【文章內(nèi)容簡(jiǎn)介】 lines for telemunications anizations based on ISO/IEC 27002 基于 ISO/IEC27002的電信行業(yè)信息安全管理指南 ISO/IEC 27012 ISMS for eGovernment 電子政務(wù)的 ISMS(曾經(jīng)列入計(jì)劃，但尚未發(fā)布任何草案 ) ISO/IEC 27013:(DIS) Guideline on the integrated implementation of ISO/IEC 202301 and ISO/IEC 27001 ISO202301和 ISO27001集成實(shí)施指南 (DIS: Draft International Standard，國(guó)際標(biāo)準(zhǔn)草案 ) 45 ISO/IEC 27000標(biāo)準(zhǔn)族介紹 ISO/IEC 27014:(draft) Information security governance framework 信息安全治理框架 (草案 ) ISO/IEC 27015:(draft) Information security management guidance for financial services 金融服務(wù)信息安全管理指南 (草案 )（由于輸入極小，本標(biāo)準(zhǔn)有可能取消） ISO/IEC 27016:(draft) Information security management – Organizational economics 信息安全管理 組織經(jīng)濟(jì)學(xué)（草案） ISO/IEC 27017 Cloud Computing Security and Privacy 云計(jì)算安全和保密（研究階段的第二期已結(jié)束，此標(biāo)準(zhǔn)本身將是一個(gè)標(biāo)準(zhǔn)族） ISO/IEC 27031:2023 Guidelines for information and munications technology readiness for business continuity 業(yè)務(wù)連續(xù)性的信息和通信技術(shù)準(zhǔn)備就緒指南 ISO/IEC 27032:(FDIS) Guidelines for cybersecurity 網(wǎng)際安全指南 (FDIS: Final Draft International Standard，最終國(guó)際標(biāo)準(zhǔn)草案 ) ISO/IEC 27033: (part 1 published, rest under development) Network Security 網(wǎng)絡(luò)安全 (第一部分已經(jīng)發(fā)布，其余尚在開(kāi)發(fā)中 ) (ISO/IEC 270331:2023: work security overview and concepts 網(wǎng)絡(luò)安全概述和概念 ) ISO/IEC 27034: (part 1 published, rest under development) Application Security 應(yīng)用安全 (第一部分已經(jīng)發(fā)布，其余尚在開(kāi)發(fā)中 ) (ISO/IEC 270341:2023: Application security — Overview and concepts 應(yīng)用安全 概述和概念） 46 ISO/IEC 27000標(biāo)準(zhǔn)族介紹 ISO/IEC 27035:2023 Information security Incident Management 信息安全事件管理 ISO/IEC 27036:(draft) Information security for supplier relationships 供應(yīng)商關(guān)系信息安全（草案） ISO/IEC 27037:(DIS) Guidelines for identification, collection, acquisition, and preservation of digital evidence 識(shí)別、收集、獲取和保存數(shù)字證據(jù)指南 (DIS: Draft International Standard，國(guó)際標(biāo)準(zhǔn)草案 ) ISO/IEC 27038:(draft) Specification for digital redaction 數(shù)字編輯規(guī)范（草案） ISO/IEC 27039:(draft) Selection, deployment and operations of Intrusion Detection [and Prevention] Systems (IDPS) 選擇、開(kāi)發(fā)和運(yùn)行入侵檢測(cè)和防護(hù)系統(tǒng) (IDPS)(草案） ISO/IEC 27040:(draft) Storage security 存儲(chǔ)安全（草案） ISO 27799:2023 Information security management in health using ISO/IEC 27002 用 ISO/IEC 27002進(jìn)行健康信息安全管理 信息安全管理體系的特點(diǎn) 47 ?信息安全管理體系要求組織通過(guò)確定信息安全管理體系范圍，制定信息安全方針，明確管理職責(zé)，以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)選擇控制目標(biāo)和措施等一系列活動(dòng)來(lái)建立信息安全管理體系； ?體系的建立基于系統(tǒng)、全面、科學(xué)的安全風(fēng)險(xiǎn)評(píng)估，體現(xiàn)以預(yù)防控制為主的思想，強(qiáng)調(diào)遵守國(guó)家有關(guān)信息安全的法律、法規(guī)及其他合同方面的要求； ?強(qiáng)調(diào)全過(guò)程和動(dòng)態(tài)控制，本著控制費(fèi)用與風(fēng)險(xiǎn)平衡的原則合理選擇安全控制方式；強(qiáng)調(diào)保護(hù)組織所擁有的關(guān)鍵性信息資產(chǎn)，而不是全部信息資產(chǎn)，確保信息的保密性、完整性和可用性，保持組織的競(jìng)爭(zhēng)優(yōu)勢(shì)和業(yè)務(wù)的持續(xù)性。 A 規(guī)劃 實(shí)施 檢查 處置 P D C PDCA循環(huán) 48 PDCA循環(huán) 49 PDCA也稱“戴明環(huán)”，由美國(guó)質(zhì)量管理專家戴明提出。 ?P（ Plan）： 計(jì)劃，確定方針和目標(biāo)，確定活動(dòng)計(jì)劃； ?D（ Do）： 實(shí)施，實(shí)際去做，實(shí)現(xiàn)計(jì)劃中的內(nèi)容； ?C（ Check）： 檢查，總結(jié)執(zhí)行計(jì)劃的結(jié)果，注意效果，找出問(wèn)題； ?A（ Action）： 行動(dòng)，對(duì)總結(jié)檢查的結(jié)果進(jìn)行處理，成功地經(jīng)驗(yàn)加以肯定并適當(dāng)推廣、標(biāo)準(zhǔn)化；失敗的教訓(xùn)加以總結(jié)，以免重現(xiàn)；未解決的問(wèn)題放到下一個(gè) PDCA循環(huán)。 50 ? PDCA特點(diǎn)一： 按順序進(jìn)行，它靠組織的力量來(lái)推動(dòng)，像車輪一樣向前進(jìn)，周而復(fù)始，不斷循環(huán)。 90 90 處置 實(shí)施 規(guī)劃 檢查 C A D P ? PDCA特點(diǎn)二： 組織中的每個(gè)部分，甚至個(gè)人，均可以 PDCA循環(huán)，大環(huán)套小環(huán)，一層一層地解決問(wèn)題。 90CADP90CADP 90CADP? PDCA特點(diǎn)三： 每通過(guò)一次 PDCA 循環(huán)，都要進(jìn)行總結(jié)，提出新目標(biāo)，再進(jìn)行第二次 PDCA 循環(huán)。 90 處置 實(shí)施 規(guī)劃 檢查 C A D P 達(dá)到新的水平 改進(jìn) (修訂標(biāo)準(zhǔn) ) 維持原有水平 90 處置 實(shí)施 規(guī)劃 檢查 C A D P PDCA循環(huán)的特征與作用 ?PDCA循環(huán)，能夠提供一種優(yōu)秀的過(guò)程方法，以實(shí)現(xiàn)持續(xù)改進(jìn)。 ?遵循 PDCA循環(huán)， 能使任何一項(xiàng)活動(dòng)都有效地進(jìn)行。 PDCA循環(huán)的作用 51 信息安全管理體系持續(xù)改進(jìn)的 PDCA循環(huán)過(guò)程 52 信息安全管理體系是 PDCA動(dòng)態(tài)持續(xù)改進(jìn)的一個(gè)循環(huán)體。 規(guī)劃和建立 實(shí)施和運(yùn)行 監(jiān)視和評(píng)審 保持和改進(jìn) 相關(guān)方 信息安全要求和期望 相關(guān)方 受控的信息安全 ?ISMS的核心內(nèi)容可以概括為 4句話 1. 規(guī)定你應(yīng)該做什么并形成文件 ： P 2. 做文件已規(guī)定的事情 ： D 3. 評(píng)審你所做的事情的符合性 ： C 4. 采取糾正和預(yù)防措施，持續(xù)改進(jìn) ： A 用 PDCA來(lái)理解什么是信息安全管理體系 53 信息安全管理過(guò)程方法的作用 54 ?過(guò)程方法要求（ Methodological requirements）：為組織根據(jù)業(yè)務(wù)風(fēng)險(xiǎn)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全管理體系規(guī)定了要求。 ?按照 PDCA循環(huán)理念運(yùn)行的信息安全管理體系是從過(guò)程上嚴(yán)格保證了信息安全管理體系的有效性，在過(guò)程上的這些要求是不可或缺的，也就是說(shuō)不是可選的，是必須執(zhí)行的。 信息安全管理過(guò)程方法的結(jié)構(gòu) 55 D 1 開(kāi) 發(fā) 風(fēng) 險(xiǎn) 處 置 計(jì) 劃D 2 實(shí) 施 風(fēng) 險(xiǎn) 處 置 計(jì) 劃D 3 實(shí) 施 安 全 控 制 措 施D 4 實(shí) 施 安 全 教 育 培 訓(xùn)D 5 管 理 I S M S 的 運(yùn) 行D 6 管 理 I S M S 的 資 源D 7 執(zhí) 行 檢 測(cè) 安 全 事 件 程 序D 8 執(zhí) 行 響 應(yīng) 安 全 事 故 程 序A 1 實(shí) 施 已 識(shí) 別 的 I S M S 改 進(jìn) 措 施A 2 執(zhí) 行 糾 正 性 和 預(yù) 防 性 措 施A 3 通 知 相 關(guān) 人 員 I S M S 的 變 更A 4 從 安 全 經(jīng) 驗(yàn) 和 教 訓(xùn) 中 學(xué) 習(xí)C 1 執(zhí) 行 I S M S 監(jiān) 視 程 序C 2 執(zhí) 行 I S M S 評(píng) 價(jià) 程 序C 3 定 期 執(zhí) 行 I S M S 評(píng) 審C 4 測(cè) 量 控 制 措 施 的 有 效 性C 5 驗(yàn) 證 安 全 要 求 是 否 被 滿 足C 6 按 計(jì) 劃 進(jìn) 行 風(fēng) 險(xiǎn) 評(píng) 估C 7 評(píng) 審 可 接 受 殘 余 風(fēng) 險(xiǎn)C 8 按 計(jì) 劃 進(jìn) 行 內(nèi) 部 審 核C 9 按 計(jì) 劃 進(jìn) 行 管 理 評(píng) 審C 1 0 更 新 信 息 安 全 計(jì) 劃C 1 1 記 錄 對(duì) I S M S 有 影 響 的 行 動(dòng) 和 事 件P 1 定 義 I S M S 范 圍P 2 定 義 I S M S 方 針P 3 確 定 風(fēng) 險(xiǎn) 評(píng) 估 方 法P 4 分 析 和 評(píng) 估 信 息 安 全 風(fēng) 險(xiǎn)P 5 識(shí) 別 和 評(píng) 價(jià) 風(fēng) 險(xiǎn) 處 理 的 可 選 措 施P 6 為 處 理 風(fēng) 險(xiǎn) 選 擇 控 制 目 標(biāo) 和 控 制 措 施P 7 準(zhǔn) 備 詳 細(xì) 的 適 用 性 聲 明 S o AP l a n規(guī) 劃 和 建 立 I S M SAct維護(hù)和改進(jìn)ISMSC h e c k監(jiān) 視 和 評(píng) 審 I S M SD