【文章內(nèi)容簡介】 種記錄文件，包括實施各項流程的記錄成果。這些文件通常表現(xiàn)為記錄表格，應(yīng)該成為ISMS 得以持續(xù)運行的有力證據(jù)，由各個相關(guān)部門自行維護。,Page 27,第二十七頁，共九十三頁。,第五章 管理職責(zé),5.1 管理層責(zé)任 說明管理層在ISMS 建設(shè)過程中應(yīng)該承擔(dān)的責(zé)任。 5.2 對資源的管理 5.2.1 資源提供 －組織應(yīng)該確定并提供ISMS 相關(guān)所有活動必要的資源 5.2.2 培訓(xùn)、意識和能力 －通過培訓(xùn)，組織應(yīng)該確保所有在ISMS 中承擔(dān)責(zé)任的人能夠勝任其職,Page 28,第二十八頁，共九十三頁。,第六章 ISMS 內(nèi)部審計,組織應(yīng)該通過定期的內(nèi)部審計來確定ISMS 的控制目標(biāo)、控制、過程和程序滿足相關(guān)要求。,Page 29,第二十九頁，共九十三頁。,第七章 ISMS 的管理評審,7.1 概要 管理層應(yīng)該對組織的ISMS 定期進行評審，確保其持續(xù)適宜、充分和有效。 7.2 評審輸入 評審時需要的輸入資料，包括內(nèi)審結(jié)果。 7.3 評審輸出 評審成果，應(yīng)該包含任何決策及相關(guān)行動。,Page 30,第三十頁，共九十三頁。,第八章 ISMS 改進,8.1 持續(xù)改進 組織應(yīng)該借助信息安全策略、安全目標(biāo)、審計結(jié)果、受監(jiān)視的事件分析、糾正性和預(yù)防性措施、管理復(fù)審來持續(xù)改進ISMS 的效力。 8.2 糾正措施 組織應(yīng)該采取措施，消除并實施和操作ISMS 相關(guān)的不一致因素，避免其再次出現(xiàn)。 8.3 預(yù)防措施 為了防止將來出現(xiàn)不一致，應(yīng)該確定防護措施。所采取的預(yù)防措施應(yīng)與潛在問題的影響相適宜。,Page 31,第三十一頁，共九十三頁。,目錄,背景介紹 ISO/IEC 17799 ISO/IEC 27001 重點內(nèi)容 重點章節(jié) 認(rèn)證流程 17799amp。27001 我司業(yè)務(wù)與ISO/IEC 27001,Page 32,第三十二頁，共九十三頁。,建設(shè)ISMS,第一步工作是建設(shè)ISMS系統(tǒng)，這部分工作可以由組織或者公司自己進行，前提是該組織擁有專業(yè)的人才。大部分的公司不具備這樣的能力，這就需要一些專業(yè)的咨詢公司或者安全公司等有27001專業(yè)實施經(jīng)驗的公司協(xié)助進行。 建設(shè)ISMS的工作不是一個純粹的IT建設(shè)，而是建立一個循序漸進的體系，需要公司的全員配合，特別是公司領(lǐng)導(dǎo)層重視，需要成立專門的團隊來負(fù)責(zé)這項工作。,Page 33,第三十三頁，共九十三頁。,建設(shè)ISMS（續(xù)）,文件化很重要，針對標(biāo)準(zhǔn)4.3的內(nèi)容，各個層次的文件和記錄都需要編寫完備，這些工作也可以由第三方來協(xié)助進行。 風(fēng)險評估，培訓(xùn)等工作的進行也需要在咨詢公司的協(xié)助下進行。 ISMS初步建立之后，需要運行一段時間，針對出現(xiàn)的問題進行修正。,Page 34,第三十四頁，共九十三頁。,提出申請,待ISMS穩(wěn)定運行一段時間之后，可以考慮提出審核申請?？梢赃M行27001審核的機構(gòu)在國內(nèi)有BSI(英國標(biāo)準(zhǔn)化協(xié)會)和DNV(挪威船級社) 等。,Page 35,第三十五頁，共九十三頁。,認(rèn)證審核－預(yù)審,預(yù)審核（Preassessment Audit）也稱預(yù)審，是在第一階段審核之前執(zhí)行的一種非強制性要求的非正式審核。從本質(zhì)上看，預(yù)審是正式審核的預(yù)演或排練。許多組織都沒有采用預(yù)審核。 預(yù)審是審核員通過使用“差距分析”方法，分析和檢查組織的ISMS與ISO/IEC 27001：2005要求的差距，包括(但不僅限于)： 分析ISMS方針與程序，組織當(dāng)前的業(yè)務(wù)保護情況； 檢查ISMS是否與其實際業(yè)務(wù)融合一起； 檢查ISMS是否符合正式審核的基本條件； 檢查組織還有哪些未能按照標(biāo)準(zhǔn)要求進行運行的領(lǐng)域，包括員工的安全意識和員工是否知道ISMS 等； 檢查ISMS運行的時間長度。 注：預(yù)審也是要收費的！,Page 36,第三十六頁，共九十三頁。,認(rèn)證審核－桌面審核,Page 37,第三十七頁，共九十三頁。,認(rèn)證審核－現(xiàn)場審核,桌面審核（文件審核）的結(jié)果作為現(xiàn)場審核輸入。 現(xiàn)場審核的內(nèi)容包括會議、現(xiàn)場調(diào)查、形成審核發(fā)現(xiàn)、舉行末次會議和報告審核結(jié)果等。 審核內(nèi)容 驗證第一階段的審核發(fā)現(xiàn)是否獲得糾正。 證實受審核組織是否按照其方針、目標(biāo)和程序，執(zhí)行工作。 證實受審核組織的ISMS是否符合ISO/IEC 27001:2005第48章的所有要求,Page 38,第三十八頁，共九十三頁。,認(rèn)證審核－獲得證書,所有審核工作結(jié)束并達到要求后，用戶會得到證書。 半年或者一年，用戶需要進行復(fù)審 三年時，證書期滿，需要重新審核。,Page 39,第三十九頁，共九十三頁。,目錄,背景介紹 ISO/IEC 17799 ISO/IEC 27001 重點內(nèi)容 重點章節(jié) 認(rèn)證流程 17799amp。27001 我司業(yè)務(wù)與ISO/IEC 27001,Page 40,第四十頁，共九十三頁。,區(qū)別,ISO/IEC 17799－《信息技術(shù)——信息安全管理實施細(xì)則》 ISO/IEC 27001－《信息技術(shù)——信息安全管理體系要求》 17799重點關(guān)注的是實施細(xì)則，同時，針對17799并沒有認(rèn)證機制。27001重點關(guān)注的是建設(shè)體系的要求，并且有認(rèn)證機制。,Page 41,第四十一頁，共九十三頁。,聯(lián)系,ISO/IEC 27001的附錄中有ISO/IEC 17799中的5到15章的全部內(nèi)容，也就是說在進行ISMS建設(shè)以及27001認(rèn)證時， ISO/IEC 17799中11個方面，39個控制點，以及133個控制措施都作為重要的參考點，進行差距分析時，這些內(nèi)容都是重要的依據(jù)。 所以，我們經(jīng)常提到27001，實際上27001應(yīng)該是ISO/IEC 27001和ISO/IEC 17799的組合體，兩者缺一不可。,Page 42,第四十二頁，共九十三頁。,舉例,為了方便大家理解，舉個例子來進行說明： 華賽公司要參加上地地區(qū)的一個衛(wèi)生評比，評比通過發(fā)放《上地地區(qū)高科技企業(yè)衛(wèi)生紅旗》。 該次評比有個評比要求《上地地區(qū)高科技企業(yè)衛(wèi)生評比要求》，要求內(nèi)容包括，建立長效的衛(wèi)生機制，如劃定公司衛(wèi)生范圍，購買各種衛(wèi)生用具，專門領(lǐng)導(dǎo)負(fù)責(zé)，成立專門團隊，聘請專業(yè)保潔公司，組織內(nèi)部檢查，內(nèi)部互查等等。,Page 43,第四十三頁，共九十三頁。,舉例(續(xù)),該《上地地區(qū)高科技企業(yè)衛(wèi)生評比要求》還附帶了一個《上地地區(qū)高科技企業(yè)衛(wèi)生評比細(xì)則》，細(xì)則內(nèi)容包括11個方面 辦公室衛(wèi)生 機房衛(wèi)生 樓道衛(wèi)生 衛(wèi)生間衛(wèi)生 個人衛(wèi)生 。,Page 44,第四十四頁，共九十三頁。,舉例(續(xù)),評比由上地地區(qū)衛(wèi)生檢疫所進行，該次評比首先進行預(yù)查，確認(rèn)達到基本要求后開始進行規(guī)范評比，檢查公司的各種衛(wèi)生規(guī)范，之后進行現(xiàn)場評比，由專門的檢查員深入公司檢查衛(wèi)生的實際執(zhí)行情況，并和相關(guān)責(zé)任人進行溝通。 評比結(jié)束，華賽公司各種衛(wèi)生規(guī)范齊全，衛(wèi)生情況良好，得到了海淀區(qū)環(huán)衛(wèi)局頒發(fā)的《上地地區(qū)高