【正文】 ， 如何 選擇適宜的安全管理控制 措施 ?ISMS過(guò)程 ? 信息安全管理體系標(biāo)準(zhǔn)要求建立 ISMS過(guò)程 ? 制定信息安全策略，確定體系范圍，明確管理職責(zé) ? 單位應(yīng)該實(shí)施、維護(hù)和持續(xù) 改進(jìn) 該體系，保持其有效性 9 ISMS過(guò)程 10 相關(guān)方 受控的 信息安全 信息安全 要求和期望 相關(guān)方 檢查 Check 建立ISMS 實(shí)施和 運(yùn)行 ISMS 保持和 改進(jìn) ISMS 監(jiān)視和 評(píng)審 ISMS 規(guī)劃 Plan 實(shí)施 Do 改進(jìn)Act 建立 ISMS ?建立 ISMS， PLAN ?主要工作 ? 定義 ISMS范圍和 邊界 ? 《 ISMS范圍說(shuō)明書(shū) 》 ：組織結(jié)構(gòu)范圍、業(yè)務(wù)范圍、信息系統(tǒng)范圍和物理范圍 ? 制定 ISMS方針和策略 ? 實(shí)施風(fēng)險(xiǎn) 評(píng)估 ? 識(shí)別 風(fēng)險(xiǎn)、分析和評(píng)價(jià)風(fēng)險(xiǎn) 11 實(shí)施和運(yùn)行 ISMS ?實(shí)施和運(yùn)行 ISMS， DO ?主要工作 ? 制定風(fēng)險(xiǎn)處理計(jì)劃 ? 實(shí)施風(fēng)險(xiǎn)處理計(jì)劃 ? 制定 有效性測(cè)量程序 ? 管理 ISMS的運(yùn)行 12 監(jiān)視和評(píng)審 ISMS ?監(jiān)視和評(píng)審 ISMS， CHECK ?主要 工作 ? 日常監(jiān)視和 檢查 ? 有效性測(cè)量 ? 內(nèi)部審核 ? 風(fēng)險(xiǎn) 再 評(píng)估 ? 管理評(píng)審 13 保持和改進(jìn) ISMS ?保持和改進(jìn) ISMS， ACT ?主要 工作 ? 實(shí)施糾正和預(yù)防 措施 ? 持續(xù) 改進(jìn) ISMS ? 溝通 措施改進(jìn)情況 14 ?ISMS的 核心過(guò)程可以 概括為 4句話 1. 規(guī)定你應(yīng)該做什么并形成文件 ： P 2. 做文件已規(guī)定的事情 ： D 3. 評(píng)審你所做的事情的符合性 ： C 4. 采取糾正和預(yù)防措施，持續(xù)改進(jìn) ： A 用 PDCA來(lái)理解什么是信息安全管理體系 15 16 ?一級(jí)文檔：宏觀 方針性文檔 ?二級(jí)文檔 ：管控 程序及 管理制度性文檔 ?三級(jí)文檔：操作指南及作業(yè)指導(dǎo)書(shū) 類(lèi) ?四級(jí)文檔 ：體系運(yùn)行 的各種 記錄 下級(jí)文件應(yīng)支持上級(jí)文件。 信息安全管理體系文檔要求 BS779 ISO1779 ISO2700 ISO2700 GB/T22080、 GB/T22081的歷史沿革 ? 1990年代初 —— 英國(guó)貿(mào)工部（ DTI）成立工作組，立項(xiàng)開(kāi)發(fā)一套可供開(kāi)發(fā)、實(shí)施和測(cè)量有效安全管理慣例并提供貿(mào)易伙伴間信任的通用 框架 ? 1993年 9月 —— 頒布 《 信息安全管理實(shí)施細(xì)則 》 ，形成 BS 7799的 基礎(chǔ) ? 1995年 2月 —— 首次出版 BS 77991:1995《 信息安全管理實(shí)用規(guī)則 》 ? 1998年 2月 —— 英國(guó)公布 BS 77992:《 信息安全管理體系要求 》 ,1999年 4月修訂 ? 2023年 12月 —— 國(guó)際標(biāo)準(zhǔn)組織 ISO/IEC JTC 1/SC27工作組認(rèn)可通過(guò) BS 77991，頒布 ISO/IEC 17799:2023《 信息安全管理實(shí)用規(guī)則 》 ? 2023年 9月 —— BSI對(duì) BS 77992進(jìn)行了 改版 ? 2023年 6月 —— ISO 17799:2023改版， 成為 ISO/IEC 17799:2023 ? 2023年 10月 —— ISO正式采用 BS 77992:2023，命名 為 ISO/IEC 27001:2023 ? 2023年 7月 —— ISO 17799:2023歸入 ISO 27000系列，命名 為 ISO/IEC 27002:2023 ? 2023年 6月 中國(guó)等同 采用 ISO 27001:2023, 命名為 GB/T 220802023 中國(guó)等同 采用 ISO 27002:2023, 命名為 GB/T 220812023 ? 2023年 10月 —— ISO正式發(fā)布 ISO/IEC 27001:2023和 ISO/IEC 27002:2023 ISO/IEC 27000標(biāo)準(zhǔn)簇介紹 17 BS7799 BS77991 BS77992 ISO17799 ISO27002 GB/T22081 ISO27001 GB/T22080 ISO/IEC 27000標(biāo)準(zhǔn)簇介紹 BS779 ISO1779 ISO2700 ISO2700 GB/T22080、 GB/T22081的對(duì)應(yīng)關(guān)系 18 19 ?ISO/IEC 27000系列 ? 已經(jīng)制定標(biāo)準(zhǔn)： 21個(gè) ? 正在制定標(biāo)準(zhǔn)： 11個(gè) ISO/IEC 27000標(biāo)準(zhǔn)簇介紹 2 7 0 0 02 7 0 0 52 7 0 0 42 7 0 0 32 7 0 0 22 7 0 0 1? ?2 7 0 0 0 信 息 安 全 管 理 體系 概 述 和 術(shù) 語(yǔ)2 7 0 0 1 信 息 安 全 管 理 體系 要 求2 7 0 0 2 信 息 安 全 管 理 實(shí)用 規(guī) 則2 7 0 0 3 信 息 安 全 管 理 體系 實(shí) 施 指 南2 7 0 0 4 信 息 安 全 管 理 測(cè)量2 7 0 0 5 信 息 安 全 風(fēng) 險(xiǎn) 管理2 7 0 0 6 信 息 安 全 管 理 體系 審 核 和 認(rèn) 證 機(jī) 構(gòu) 要 求2 7 0 0 7 信 息 安 全 管 理 體系 審 核 指 南2 7 0 0 8 信 息 安 全 管 理 體系 控 制 措 施 審 核 員 指 南? ?ISMS標(biāo)準(zhǔn)我國(guó)采標(biāo)情況 ?各國(guó)等同采標(biāo) ?我國(guó)采標(biāo)情況 20 序號(hào) 國(guó)際標(biāo)準(zhǔn) 采標(biāo)形式 國(guó)家標(biāo)準(zhǔn) 1 ISO/IEC 27000:2023 等同采用 《 信息安全管理體系概述和詞匯 》（ GB/T 292462023） 2 ISO/IEC 27001:2023 等同采用 《 信息安全管理體系 要求 》（ GBT 220802023） 3 ISO/IEC 27002:2023 等同采用 《 信息安全管理實(shí)用規(guī)則 》（ GB/T 220812023） 4 ISO/IEC 27006:2023 等同采用 《 信息安全管理體系審核認(rèn)證機(jī)構(gòu)的要求 》 （ GB/T 250672023） 知識(shí)體：信息 安全管理 體系 ?知識(shí)域：信息安全管理控制措施 ? 了解信息安全管理控制措施的作用 ? 理解安全方針、信息安全組織、資產(chǎn)管理、人力資源管理、物理和環(huán)境安全等 管理域的控制目標(biāo)和主要控制措施 ? 了解 通信和操作管理 、 訪問(wèn)控制 、 信息系統(tǒng) 獲取開(kāi)發(fā) 和維護(hù) 、 信息安全事件管理 、 業(yè)務(wù)連續(xù)性管理 等管理域的控制目標(biāo) 和控制 措施 21 信息安全控制措施 ?控制 措施 ? 是 實(shí)施信息安全管理的方法和 手段 ? 單位 通過(guò)實(shí)施一組適當(dāng)?shù)陌踩刂拼胧?，保護(hù)信息資產(chǎn)，抵御威脅并減少系統(tǒng)脆弱性，降低安全風(fēng)險(xiǎn)，達(dá)到信息安全 目標(biāo) ? 控制 措施涉及行政、技術(shù)和管理等 方面 ?如何制定信息安全控制措施 ? 自己 制定本單位的信息 安全管理控制 措施 ? 學(xué)習(xí)別人實(shí)踐經(jīng)驗(yàn)，參考國(guó)際 /國(guó)家標(biāo)準(zhǔn) ? 《 信息安全管理實(shí)用規(guī)則 》 （ ISO 27002） ? 《信息安全管理實(shí)用規(guī)則》（ GB/T 22081） 22 ISMS信息 安全管理域 23 安全方針信息安全組織資產(chǎn)管理人力資源安全物理和環(huán)境安全通信和操作管理信息系統(tǒng)獲取開(kāi)發(fā)和維護(hù)訪問(wèn)控制信息安全事件管理業(yè)務(wù)連續(xù)性管理符合性? 《信息安全管理實(shí)用規(guī)則》（ ISO 27002:2023） ? 《信息安全管理實(shí)用規(guī)則》 （ GB/T 220812023） 信息安全管理實(shí)用規(guī)則（ GB/T 220812023） 11個(gè)域 39個(gè)目標(biāo) 133個(gè)控制 措施 24 信息安全管理實(shí)用規(guī)則 ?每個(gè)主要 安全域， 包括： ? 控制 目標(biāo)，聲明要實(shí)現(xiàn)