【文章內(nèi)容簡介】 附錄 A LOGO ? ISO/IEC 27001:2023 ? 2023年 10月， BS 77992成功升級為國際標準，編號為 ISO/IEC 27001 ? ISO/IEC 27001是信息安全管理體系（ ISMS）的規(guī)范說明 ? 強調(diào)風險管理的思想，指導組織建立 ISMS LOGO ? 建立方針和目標并實現(xiàn)這些目標的相互關(guān)聯(lián)或相互作用的一組要素。 ? 管理體系包括組織結(jié)構(gòu)，策略，規(guī)劃，角色，職責，流程，程序和資源等。 ? 管理的方方面面以及公司的所有雇員，均囊括在管理體系范圍內(nèi)。 Quality management system (ISO 9001) Environmental management system (ISO 14001) Safety management system (OHSAS 18001) Human Food Safety management system (HACCP) IT Service Management System (ISO 20230) Information security management system (ISO 27001) 什么是管理體系？ LOGO ? 信息安全管理體系 (ISMS): ? 是整個管理體系的一部分，建立在業(yè)務(wù)風險的方法上，以： ? 建立 ? 實施 ? 運作 ? 監(jiān)控 ? 評審 ? 維護 ? 改進 ? 信息安全。 職業(yè)健康 安全 IT服務(wù) 信息安全 環(huán)境 管理體系 食品安全 質(zhì)量 建設(shè)了 ISMS，尤其是獲取了ISO27001認證后，組織將在信息安全方面進入一個強制的良性循環(huán)。 LOGO 0. 引言 1. 范圍 2. 規(guī)范性應(yīng)用文件 3. 術(shù)語和定義 4. 信息安全管理體系 (ISMS) 總要求 建立和管理 ISMS 建立 ISMS 實施和運維 ISMS 監(jiān)控和評審 ISMS 維護和改進 ISMS 文件要求 5. 管理職責 6. ISMS的內(nèi)部審核 7. ISMS的管理評審 8. ISMS 改進 附錄 A 控制目標和控制措施 附錄 B OECD原則與本標準 附錄 C ISO9001:2023和 ISO14001:2023對照 參考書目 SO/IEC27001:2023的結(jié)構(gòu) 27001輔助部分 27001核心部分 （條款 48) 27001核心部分 27001輔助部分 LOGO 27001的核心內(nèi)容 相關(guān)方 受控的 信息安全 信息安全要求和期望 相關(guān)方 檢查 Check 建立 ISMS 實施和 運行 ISMS 保持和 改進 ISMS 監(jiān)視和 評審 ISMS 規(guī)劃 Plan 實施 Do 處置 Act ? 一個組織應(yīng)在其整體業(yè)務(wù)活動和所面臨 風險 的環(huán)境下建立 、 實施 、運行 、 監(jiān)視 、 評審 、 保持和改進 文件化的 ISMS。 就本標準而言 ， 使用的過程基于圖 1所示的 PDCA模型 。 圖 1 應(yīng)用于 ISMS過程的 PDCA模型 LOGO ISO27001所關(guān)注的領(lǐng)域 信息安全策略 信息安全組織 資產(chǎn)管理 人力資源的安全 物理和環(huán)境安全 通信和操作管理 訪問控制 信息系統(tǒng)的獲取，開發(fā)和維護 信息安全事故管理 業(yè)務(wù)連續(xù)性管理 合規(guī)性 LOGO ISO27001 正式的標準 可認證的標準 管理體系的要求 控制措施的要求 ISO 17799 實施細則（一整套最佳實踐） 控制措施的實施建議和實施指導 ISO27001的附錄 A的細化與補充 ISO27001與 ISO17799（ 27002） 為設(shè)計控制措施提供實施指南 ISO/IEC 17799為設(shè)計控制措施提供實施指南 LOGO ISO/IEC 13335 ? ISO/IEC TR 13335系列： GMITS（ IT安全管理指南）系列標準 ? ISO/IEC IS 13335系列： MICTS（信息與通信技術(shù)安全管理） ? ISO/IEC TR 133351:1996《 IT安全的概念與模型 》 ? ISO/IEC TR 133352:1997《 IT安全管理與策劃 》 ? ISO/IEC TR 133353:1998《 IT安全管理技術(shù) 》 ? ISO/IEC TR 133354:2023《 安全管理措施的選擇 》 ? ISO/IEC TR 133355:2023《 網(wǎng)絡(luò)安全管理指南 》 ? ISO/IEC 133351:2023 第 1部分：信息與通信技術(shù)安全管理概念和模型 ? ISO/IEC 133352 第 2部分：信息與通信技術(shù)安全風險管理技術(shù) ? 取代 ISO/IEC TR 133351:1996 ? 將取代 ISO/IEC TR 133352:1997 LOGO ISO27001 正式的標準 可認證的標準 管理體系的要求 控制措施的要求 ISO TR 13335 風險管理方法論 提供如何識別風險到風險處置 對 ISO27001的風險評估方法的細化和補充 ISO27001與 ISO13335 為風險管理提供方法 風險評估具有不同的方法 。 在 ISO/IEC TR 133353（ IT安全管理指南：IT安全管理技術(shù) ） 中描述了風險評估方法的例子 LOGO ISO13335：以風險為核心的安全模型 風險 安全措施 信息資產(chǎn) 威脅 漏洞 安全需求 降低 增加 增加 利用 暴露 價值 擁有 抗擊 增加 引出 被滿足 LOGO ? 資產(chǎn) （ Asset） ? 任何對組織有價值的東西 [ISO/IEC27001:2023 3 術(shù)語和定義 ] ? 資產(chǎn)是企業(yè)、機構(gòu)直接賦予了價值因而需要保護的東西 。 ? 信息資產(chǎn)是指組織的信息系統(tǒng) 、 其提供的服務(wù)以及處理的數(shù)據(jù) 。 資產(chǎn)的根本屬性是： 價值 （ C、 I、 A值 ） 風險 安全措施 信息資產(chǎn) 威脅 漏洞 安全需求 降低 增加 增加 利用 暴露 價值 擁有 抗擊 增加 引出 被滿足 LOGO ? 漏洞 （ Vulnerability） ? 脆弱性是資產(chǎn)本身存在的 ， 它可以被威脅利用 、 引起資產(chǎn)或商業(yè)目標的損害 。 ? 脆弱性包括物理環(huán)境 、 組織 、 過程 、 人員 、 管理 、 配置 、 硬件 、軟件和信息等各種資產(chǎn)的脆弱性 。 ?脆弱性的根本屬性是： 嚴重程度 （ 脆弱性被利用后對資產(chǎn)的損害程度 、 脆弱性被利用的難易程度 ） 風險 安全措施 信息資產(chǎn) 威脅 漏洞 安全需求 降低 增加 增加 利用 暴露 價值 擁有 抗擊 增加 引出 被滿足 LOGO ? 威脅 （ Threat） ? 威脅是對組織的資產(chǎn)引起不期望事件而造成的損害的潛在可能性 。 ? 威脅可以分為人為威脅 （ 故意 、 非故意 ） 和非人為威脅 （ 環(huán)境 、故障 ） 2種 。 ?威脅的根本屬性是： 出現(xiàn)的頻率 （ 還包括威脅的能力 ， 威脅的決心 。 ） 風險 安全措施 信息資產(chǎn) 威脅 漏洞 安全需求 降低 增加 增加 利用 暴露 價值 擁有 抗擊 增加 引出 被滿足 LOGO 風險評估實施流程圖 風 險 評 估 準 備保 持 已 有 的 安 全 措 施威 脅 識 別已 有 安 全 措 施 的 確 認風 險 計 算制 定 風 險 處 理 計 劃并 評 估 殘 余 風 險風 險 是 否 接 受是 否 接 受 殘 余 風 險實 施 風 險 管 理資 產(chǎn) 識 別 脆 弱 性 識 別評 估 過 程 文 檔評 估 過 程 文 檔評 估 過 程 文 檔..................否否是是風 險 分 析風 險 評 估 文 檔 記 錄LOGO 美國國家標準與技術(shù)委員會 NIST ? 美國 NIST相關(guān)管理標準指南 ? NIST SP 800系列中信息安全管理相關(guān)文件： ? NIST SP 800系列是 NIST根據(jù)美國聯(lián)邦信息安全管理法案（ FISMA 2023）所賦予的法定職責所開發(fā)的系列文件。 ? NIST SP 80053：聯(lián)邦信息系統(tǒng)推薦安全控制 ? NIST SP 80018：開發(fā) IT系統(tǒng)安全計劃指南 ? NI