【正文】 審你所做的事情的符合性 ： C 4. 采取糾正和預防措施，持續(xù)改進 ： A 用 PDCA來理解什么是信息安全管理體系 15 16 ?一級文檔：宏觀 方針性文檔 ?二級文檔 ：管控 程序及 管理制度性文檔 ?三級文檔：操作指南及作業(yè)指導書 類 ?四級文檔 ：體系運行 的各種 記錄 下級文件應支持上級文件。信息技術部門是信息安全組織中的重要執(zhí)行機構，但不是全部。 , January 23, 2023 雨中黃葉樹，燈下白頭人。 下午 8時 25分 13秒 下午 8時 25分 20:25: 沒有失敗，只有暫時停止成功！。 2023年 1月 23日星期一 8時 25分 13秒 20:25:1323 January 2023 1空山新雨后，天氣晚來秋。 2023年 1月 23日星期一 下午 8時 25分 13秒 20:25: 1最具挑戰(zhàn)性的挑戰(zhàn)莫過于提升自我。勝人者有力，自勝者強。 2023年 1月 23日星期一 下午 8時 25分 13秒 20:25: 1楚塞三湘接，荊門九派通。 2023年 1月 下午 8時 25分 :25January 23, 2023 1行動出成果，工作出財富。 ? 信息系統(tǒng)審核的考慮因素 —— 最大化信息系統(tǒng)審核的有效性，最小化來自 /對信息系統(tǒng)審核的影響。 ? 必須保護這些資產(chǎn)不受威脅侵害 ? 定義和監(jiān)督執(zhí)行 XX系統(tǒng)網(wǎng)絡與信息安全總體策略是XX部門的責任 32 舉例 —— 《 XX系統(tǒng)信息安全總體策略 》 ?安全方針概述 ?資產(chǎn)分類和控制 ? 信息分類 ? 資產(chǎn)分類：信息資產(chǎn)，包括計算機和網(wǎng)絡，應當依據(jù)其價值和敏感性以及保密性、完整性和可用性原則進行分類。 信息安全管理體系文檔要求 BS779 ISO1779 ISO2700 ISO2700 GB/T22080、 GB/T22081的歷史沿革 ? 1990年代初 —— 英國貿工部（ DTI）成立工作組，立項開發(fā)一套可供開發(fā)、實施和測量有效安全管理慣例并提供貿易伙伴間信任的通用 框架 ? 1993年 9月 —— 頒布 《 信息安全管理實施細則 》 ，形成 BS 7799的 基礎 ? 1995年 2月 —— 首次出版 BS 77991:1995《 信息安全管理實用規(guī)則 》 ? 1998年 2月 —— 英國公布 BS 77992:《 信息安全管理體系要求 》 ,1999年 4月修訂 ? 2023年 12月 —— 國際標準組織 ISO/IEC JTC 1/SC27工作組認可通過 BS 77991，頒布 ISO/IEC 17799:2023《 信息安全管理實用規(guī)則 》 ? 2023年 9月 —— BSI對 BS 77992進行了 改版 ? 2023年 6月 —— ISO 17799:2023改版， 成為 ISO/IEC 17799:2023 ? 2023年 10月 —— ISO正式采用 BS 77992:2023，命名 為 ISO/IEC 27001:2023 ? 2023年 7月 —— ISO 17799:2023歸入 ISO 27000系列，命名 為 ISO/IEC 27002:2023 ? 2023年 6月 中國等同 采用 ISO 27001:2023, 命名為 GB/T 220802023 中國等同 采用 ISO 27002:2023, 命名為 GB/T 220812023 ? 2023年 10月 —— ISO正式發(fā)布 ISO/IEC 27001:2023和 ISO/IEC 27002:2023 ISO/IEC 27000標準簇介紹 17 BS7799 BS77991 BS77992 ISO17799 ISO27002 GB/T22081 ISO27001 GB/T22080 ISO/IEC 27000標準簇介紹 BS779 ISO1779 ISO2700 ISO2700 GB/T22080、 GB/T22081的對應關系 18 19 ?ISO/IEC 27000系列 ? 已經(jīng)制定標準： 21個 ? 正在制定標準： 11個 ISO/IEC 27000標準簇介紹 2 7 0 0 02 7 0 0 52 7 0 0 42 7 0 0 32 7 0 0 22 7 0 0 1? ?2 7 0 0 0 信 息 安 全 管 理 體系 概 述 和 術 語2 7 0 0 1 信 息 安 全 管 理 體系 要 求2 7 0 0 2 信 息 安 全 管 理 實用 規(guī) 則2 7 0 0 3 信 息 安 全 管 理 體系 實 施 指 南2 7 0 0 4 信 息 安 全 管 理 測量2 7 0 0 5 信 息 安 全 風 險 管理2 7 0 0 6 信 息 安 全 管 理 體系 審 核 和 認 證 機 構 要 求2 7 0 0 7 信 息 安 全 管 理 體系 審 核 指 南2 7 0 0 8 信 息 安 全 管 理 體系 控 制 措 施 審 核 員 指 南? ?ISMS標準我國采標情況 ?各國等同采標 ?我國采標情況 20 序號 國際標準 采標形式 國家標準 1 ISO/IEC 27000:2023 等同采用 《 信息安全管理體系概述和詞匯 》（ GB/T 292462023） 2 ISO/IEC 27001:2023 等同采用 《 信息安全管理體系 要求 》（ GBT 220802023） 3 ISO/IEC 27002:2023 等同采用 《 信息安全管理實用規(guī)則 》（ GB/T 220812023） 4 ISO/IEC 27006:2023 等同采用 《 信息安全管理體系審核認證機構的要求 》 （ GB/T 250672023） 知識體：信息 安全管理 體系 ?知識域：信息安全管理控制措施 ? 了解信息安全管理控制措施的作用 ? 理解安全方針、信息安全組織、資產(chǎn)管理、人力資源管理、物理和環(huán)境安全等 管理域的控制目標和主要控制措施 ? 了解 通信和操作管理 、 訪問控制 、 信息系統(tǒng) 獲取開發(fā) 和維護 、 信息安全事件管理 、 業(yè)務連續(xù)性管理 等管理域的控制目標 和控制 措施 21 信息安全控制措施 ?控制 措施 ? 是 實施信息安全管理的方法和 手段 ? 單位 通過實施一組適當?shù)陌踩刂拼胧?，保護信息資產(chǎn)，抵御威脅并減少系統(tǒng)脆弱性，降低安全風險，達到信息安全 目標 ? 控制 措施涉及行政、技術和管理等 方面 ?如何制定信息安全控制措施 ? 自己 制定本單位的信息 安全管理控制 措施 ? 學習別人實踐經(jīng)驗，參考國際 /國家標準 ? 《 信息安全管理實用規(guī)則 》 （ ISO 27002） ? 《信息安全管理實用規(guī)則》（ GB/T 22081） 22 ISMS信息 安全管理域 23 安全方針信息安全組織資產(chǎn)管理人力資源安全物理和環(huán)境安全通信和操作管理信息系統(tǒng)獲取開發(fā)和維護訪問控制信息安全事件管理業(yè)務連續(xù)性管理符合性? 《信息安全管理實用規(guī)則》（ ISO 27002:2023） ? 《信息安全管理實用規(guī)則》 （ GB/T 220812023） 信息安全管理實用規(guī)則（ GB/T 220812023） 11個域 39個目標 133個控制 措施 24 信息安全管理實用規(guī)則 ?每個主要 安全域， 包括： ? 控制 目標，聲明要實現(xiàn)什么 ? 一個或多 個控制 措施 ，用于 實現(xiàn)該控制 目標 ? 每個（安全）控制措施的描述內容 ? 控制措施： 是對該控制措施的定義 ? 實施指南： 是對實施該控制措施的指導性說明 ? 其它信息： 其它需要說明的補充信息，如法律考慮 25 什么是控制措施 ?什么是控制措施 ? 管理風險的方法。 信息安全領導小組 ?信息安全領導小組 ? 信息安全領導小組是各級系統(tǒng)網(wǎng)絡與信息安全工作的最高領導決策機構 ?