【正文】 ， 如何 選擇適宜的安全管理控制 措施 ?ISMS過程 ? 信息安全管理體系標(biāo)準(zhǔn)要求建立 ISMS過程 ? 制定信息安全策略，確定體系范圍，明確管理職責(zé) ? 單位應(yīng)該實(shí)施、維護(hù)和持續(xù) 改進(jìn) 該體系，保持其有效性 9 ISMS過程 10 相關(guān)方 受控的 信息安全 信息安全 要求和期望 相關(guān)方 檢查 Check 建立ISMS 實(shí)施和 運(yùn)行 ISMS 保持和 改進(jìn) ISMS 監(jiān)視和 評(píng)審 ISMS 規(guī)劃 Plan 實(shí)施 Do 改進(jìn)Act 建立 ISMS ?建立 ISMS， PLAN ?主要工作 ? 定義 ISMS范圍和 邊界 ? 《 ISMS范圍說明書 》 ：組織結(jié)構(gòu)范圍、業(yè)務(wù)范圍、信息系統(tǒng)范圍和物理范圍 ? 制定 ISMS方針和策略 ? 實(shí)施風(fēng)險(xiǎn) 評(píng)估 ? 識(shí)別 風(fēng)險(xiǎn)、分析和評(píng)價(jià)風(fēng)險(xiǎn) 11 實(shí)施和運(yùn)行 ISMS ?實(shí)施和運(yùn)行 ISMS， DO ?主要工作 ? 制定風(fēng)險(xiǎn)處理計(jì)劃 ? 實(shí)施風(fēng)險(xiǎn)處理計(jì)劃 ? 制定 有效性測(cè)量程序 ? 管理 ISMS的運(yùn)行 12 監(jiān)視和評(píng)審 ISMS ?監(jiān)視和評(píng)審 ISMS， CHECK ?主要 工作 ? 日常監(jiān)視和 檢查 ? 有效性測(cè)量 ? 內(nèi)部審核 ? 風(fēng)險(xiǎn) 再 評(píng)估 ? 管理評(píng)審 13 保持和改進(jìn) ISMS ?保持和改進(jìn) ISMS， ACT ?主要 工作 ? 實(shí)施糾正和預(yù)防 措施 ? 持續(xù) 改進(jìn) ISMS ? 溝通 措施改進(jìn)情況 14 ?ISMS的 核心過程可以 概括為 4句話 1. 規(guī)定你應(yīng)該做什么并形成文件 ： P 2. 做文件已規(guī)定的事情 ： D 3. 評(píng)審你所做的事情的符合性 ： C 4. 采取糾正和預(yù)防措施，持續(xù)改進(jìn) ： A 用 PDCA來理解什么是信息安全管理體系 15 16 ?一級(jí)文檔：宏觀 方針性文檔 ?二級(jí)文檔 ：管控 程序及 管理制度性文檔 ?三級(jí)文檔：操作指南及作業(yè)指導(dǎo)書 類 ?四級(jí)文檔 ：體系運(yùn)行 的各種 記錄 下級(jí)文件應(yīng)支持上級(jí)文件。 信息安全管理體系文檔要求 BS779 ISO1779 ISO2700 ISO2700 GB/T22080、 GB/T22081的歷史沿革 ? 1990年代初 —— 英國貿(mào)工部（ DTI）成立工作組，立項(xiàng)開發(fā)一套可供開發(fā)、實(shí)施和測(cè)量有效安全管理慣例并提供貿(mào)易伙伴間信任的通用 框架 ? 1993年 9月 —— 頒布 《 信息安全管理實(shí)施細(xì)則 》 ，形成 BS 7799的 基礎(chǔ) ? 1995年 2月 —— 首次出版 BS 77991:1995《 信息安全管理實(shí)用規(guī)則 》 ? 1998年 2月 —— 英國公布 BS 77992:《 信息安全管理體系要求 》 ,1999年 4月修訂 ? 2023年 12月 —— 國際標(biāo)準(zhǔn)組織 ISO/IEC JTC 1/SC27工作組認(rèn)可通過 BS 77991，頒布 ISO/IEC 17799:2023《 信息安全管理實(shí)用規(guī)則 》 ? 2023年 9月 —— BSI對(duì) BS 77992進(jìn)行了 改版 ? 2023年 6月 —— ISO 17799:2023改版， 成為 ISO/IEC 17799:2023 ? 2023年 10月 —— ISO正式采用 BS 77992:2023，命名 為 ISO/IEC 27001:2023 ? 2023年 7月 —— ISO 17799:2023歸入 ISO 27000系列，命名 為 ISO/IEC 27002:2023 ? 2023年 6月 中國等同 采用 ISO 27001:2023, 命名為 GB/T 220802023 中國等同 采用 ISO 27002:2023, 命名為 GB/T 220812023 ? 2023年 10月 —— ISO正式發(fā)布 ISO/IEC 27001:2023和 ISO/IEC 27002:2023 ISO/IEC 27000標(biāo)準(zhǔn)簇介紹 17 BS7799 BS77991 BS77992 ISO17799 ISO27002 GB/T22081 ISO27001 GB/T22080 ISO/IEC 27000標(biāo)準(zhǔn)簇介紹 BS779 ISO1779 ISO2700 ISO2700 GB/T22080、 GB/T22081的對(duì)應(yīng)關(guān)系 18 19 ?ISO/IEC 27000系列 ? 已經(jīng)制定標(biāo)準(zhǔn)： 21個(gè) ? 正在制定標(biāo)準(zhǔn)： 11個(gè) ISO/IEC 27000標(biāo)準(zhǔn)簇介紹 2 7 0 0 02 7 0 0 52 7 0 0 42 7 0 0 32 7 0 0 22 7 0 0 1? ?2 7 0 0 0 信 息 安 全 管 理 體系 概 述 和 術(shù) 語2 7 0 0 1 信 息 安 全 管 理 體系 要 求2 7 0 0 2 信 息 安 全 管 理 實(shí)用 規(guī) 則2 7 0 0 3 信 息 安 全 管 理 體系 實(shí) 施 指 南2 7 0 0 4 信 息 安 全 管 理 測(cè)量2 7 0 0 5 信 息 安 全 風(fēng) 險(xiǎn) 管理2 7 0 0 6 信 息 安 全 管 理 體系 審 核 和 認(rèn) 證 機(jī) 構(gòu) 要 求2 7 0 0 7 信 息 安 全 管 理 體系 審 核 指 南2 7 0 0 8 信 息 安 全 管 理 體系 控 制 措 施 審 核 員 指 南? ?ISMS標(biāo)準(zhǔn)我國采標(biāo)情況 ?各國等同采標(biāo) ?我國采標(biāo)情況 20 序號(hào) 國際標(biāo)準(zhǔn) 采標(biāo)形式 國家標(biāo)準(zhǔn) 1 ISO/IEC 27000:2023 等同采用 《 信息安全管理體系概述和詞匯 》（ GB/T 292462023） 2 ISO/IEC 27001:2023 等同采用 《 信息安全管理體系 要求 》（ GBT 220802023） 3 ISO/IEC 27002:2023 等同采用 《 信息安全管理實(shí)用規(guī)則 》（ GB/T 220812023） 4 ISO/IEC 27006:2023 等同采用 《 信息安全管理體系審核認(rèn)證機(jī)構(gòu)的要求 》 （ GB/T 250672023） 知識(shí)體：信息 安全管理 體系 ?知識(shí)域：信息安全管理控制措施 ? 了解信息安全管理控制措施的作用 ? 理解安全方針、信息安全組織、資產(chǎn)管理、人力資源管理、物理和環(huán)境安全等 管理域的控制目標(biāo)和主要控制措施 ? 了解 通信和操作管理 、 訪問控制 、 信息系統(tǒng) 獲取開發(fā) 和維護(hù) 、 信息安全事件管理 、 業(yè)務(wù)連續(xù)性管理 等管理域的控制目標(biāo) 和控制 措施 21 信息安全控制措施 ?控制 措施 ? 是 實(shí)施信息安全管理的方法和 手段 ? 單位 通過實(shí)施一組適當(dāng)?shù)陌踩刂拼胧?，保護(hù)信息資產(chǎn)，抵御威脅并減少系統(tǒng)脆弱性，降低安全風(fēng)險(xiǎn)，達(dá)到信息安全 目標(biāo) ? 控制 措施涉及行政、技術(shù)和管理等 方面 ?如何制定信息安全控制措施 ? 自己 制定本單位的信息 安全管理控制 措施 ? 學(xué)習(xí)別人實(shí)踐經(jīng)驗(yàn)，參考國際 /國家標(biāo)準(zhǔn) ? 《 信息安全管理實(shí)用規(guī)則 》 （ ISO 27002） ? 《信息安全管理實(shí)用規(guī)則》（ GB/T 22081） 22 ISMS信息 安全管理域 23 安全方針信息安全組織資產(chǎn)管理人力資源安全物理和環(huán)境安全通信和操作管理信息系統(tǒng)獲取開發(fā)和維護(hù)訪問控制信息安全事件管理業(yè)務(wù)連續(xù)性管理符合性? 《信息安全管理實(shí)用規(guī)則》（ ISO 27002:2023） ? 《信息安全管理實(shí)用規(guī)則》 （ GB/T 220812023） 信息安全管理實(shí)用規(guī)則（ GB/T 220812023） 11個(gè)域 39個(gè)目標(biāo) 133個(gè)控制 措施 24 信息安全管理實(shí)用規(guī)則 ?每個(gè)主要 安全域， 包括： ? 控制 目標(biāo)，聲明要實(shí)現(xiàn)