【正文】 。,目錄,背景介紹 ISO/IEC 17799 ISO/IEC 27001 重點(diǎn)內(nèi)容 重點(diǎn)章節(jié) 認(rèn)證流程 17799amp。,重點(diǎn)章節(jié),本標(biāo)準(zhǔn)的重點(diǎn)章節(jié)是4－8章。,第四章 信息安全管理體系,4.1 總要求 一個(gè)組織應(yīng)在其整體業(yè)務(wù)活動(dòng)和所面臨風(fēng)險(xiǎn)的環(huán)境下建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的ISMS。 4. 2 建立和管理ISMS 4.2.1 建立ISMS(PLAN) 定義ISMS 的范圍 定義ISMS 策略 定義系統(tǒng)的風(fēng)險(xiǎn)評(píng)估途徑 識(shí)別風(fēng)險(xiǎn) 評(píng)估風(fēng)險(xiǎn) 識(shí)別并評(píng)價(jià)風(fēng)險(xiǎn)處理措施 選擇用于風(fēng)險(xiǎn)處理的控制目標(biāo)和控制 準(zhǔn)備適用性聲明（SoA） 取得管理層對(duì)殘留風(fēng)險(xiǎn)的承認(rèn)，并授權(quán)實(shí)施和操作ISMS,P,D,C,A,Page 22,第二十二頁(yè)，共九十三頁(yè)。,第四章 信息安全管理體系(續(xù)),4.2.3 監(jiān)控和評(píng)審ISMS(CHECK) 執(zhí)行監(jiān)視程序和控制 對(duì)ISMS 的效力進(jìn)行定期復(fù)審 復(fù)審殘留風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)的水平 按照預(yù)定計(jì)劃進(jìn)行內(nèi)部ISMS 審計(jì) 定期對(duì)ISMS 進(jìn)行管理復(fù)審 記錄活動(dòng)和事件可能對(duì)ISMS 的效力或執(zhí)行力度造成影響,P,D,C,A,Page 24,第二十四頁(yè)，共九十三頁(yè)。,第四章 信息安全管理體系(續(xù)),4.3 文件要求 總則 文件控制 記錄控制,ISO27001 標(biāo)準(zhǔn)所要求建立的ISMS 是一個(gè)文件化的體系，ISO27001 認(rèn)證第一階段就是進(jìn)行文件審核，文件是否完整、足夠、有效，都關(guān)乎審核的成敗，所以，在整個(gè)ISO27001認(rèn)證項(xiàng)目實(shí)施過(guò)程中，逐步建立并完善文件體系非常重要。,第四章 信息安全管理體系(續(xù)),ISO27001 標(biāo)準(zhǔn)要求的ISMS 文件體系應(yīng)該是一個(gè)層次化的體系，通常是由四個(gè)層次構(gòu)成的： 信息安全手冊(cè)：該手冊(cè)由信息安全委員會(huì)負(fù)責(zé)制定和修改，是對(duì)信息安全管理體系框架的整體描述，以此表明確定范圍內(nèi)ISMS 是按照ISO27001 標(biāo)準(zhǔn)要求建立并運(yùn)行的。 一級(jí)文件：全組織范圍內(nèi)的信息安全方針，以及下屬各個(gè)方面的策略方針等。至少包括（可能不限于此）： 風(fēng)險(xiǎn)評(píng)估流程 風(fēng)險(xiǎn)管理流程 風(fēng)險(xiǎn)處理計(jì)劃 管理評(píng)審程序 信息設(shè)備管理程序 信息安全組織建設(shè)規(guī)定 新設(shè)施管理程序 內(nèi)部審核程序 第三方和外包管理規(guī)定 信息資產(chǎn)管理規(guī)定 工作環(huán)境安全管理規(guī)定 介質(zhì)處理與安全規(guī)定 系統(tǒng)開(kāi)發(fā)與維護(hù)程序 業(yè)務(wù)連續(xù)性管理程序 法律符合性管理規(guī)定 信息系統(tǒng)安全審計(jì)規(guī)定 文件及材料控制程序 安全事件處理流程 三級(jí)文件：具體的作業(yè)指導(dǎo)書(shū)。 四級(jí)文件：各種記錄文件，包括實(shí)施各項(xiàng)流程的記錄成果。,Page 27,第二十七頁(yè)，共九十三頁(yè)。 5.2 對(duì)資源的管理 5.2.1 資源提供 －組織應(yīng)該確定并提供ISMS 相關(guān)所有活動(dòng)必要的資源 5.2.2 培訓(xùn)、意識(shí)和能力 －通過(guò)培訓(xùn)，組織應(yīng)該確保所有在ISMS 中承擔(dān)責(zé)任的人能夠勝任其職,Page 28,第二十八頁(yè)，共九十三頁(yè)。,Page 29,第二十九頁(yè)，共九十三頁(yè)。 7.2 評(píng)審輸入 評(píng)審時(shí)需要的輸入資料，包括內(nèi)審結(jié)果。,Page 30,第三十頁(yè)，共九十三頁(yè)。 8.2 糾正措施 組織應(yīng)該采取措施，消除并實(shí)施和操作ISMS 相關(guān)的不一致因素，避免其再次出現(xiàn)。所采取的預(yù)防措施應(yīng)與潛在問(wèn)題的影響相適宜。,目錄,背景介紹 ISO/IEC 17799 ISO/IEC 27001 重點(diǎn)內(nèi)容 重點(diǎn)章節(jié) 認(rèn)證流程 17799amp。,建設(shè)ISMS,第一步工作是建設(shè)ISMS系統(tǒng)，這部分工作可以由組織或者公司自己進(jìn)行，前提是該組織擁有專業(yè)的人才。 建設(shè)ISMS的工作不是一個(gè)純粹的IT建設(shè)，而是建立一個(gè)循序漸進(jìn)的體系，需要公司的全員配合，特別是公司領(lǐng)導(dǎo)層重視，需要成立專門(mén)的團(tuán)隊(duì)來(lái)負(fù)責(zé)這項(xiàng)工作。,建設(shè)ISMS（續(xù)）,文件化很重要，針對(duì)標(biāo)準(zhǔn)4.3的內(nèi)容，各個(gè)層次的文件和記錄都需要編寫(xiě)完備，這些工作也可以由第三方來(lái)協(xié)助進(jìn)行。 ISMS初步建立之后，需要運(yùn)行一段時(shí)間，針對(duì)出現(xiàn)的問(wèn)題進(jìn)行修正。,提出申請(qǐng),待ISMS穩(wěn)定運(yùn)行一段時(shí)間之后，可以考慮提出審核申請(qǐng)。,Page 35,第三十五頁(yè)，共九十三頁(yè)。從本質(zhì)上看，預(yù)審是正式審核的預(yù)演或排練。 預(yù)審是審核員通過(guò)使用“差距分析”方法，分析和檢查組織的ISMS與ISO/IEC 27001：2005要求的差距，包括(但不僅限于)： 分析ISMS方針與程序，組織當(dāng)前的業(yè)務(wù)保護(hù)情況； 檢查ISMS是否與其實(shí)際業(yè)務(wù)融合一起； 檢查ISMS是否符合正式審核的基本條件； 檢查組織還有哪些未能按照標(biāo)準(zhǔn)要求進(jìn)行運(yùn)行的領(lǐng)域，包括員工的安全意識(shí)和員工是否知道ISMS 等； 檢查ISMS運(yùn)行的時(shí)間長(zhǎng)度。,認(rèn)證審核－桌面審核,Page 37,第三十七頁(yè)，共九十三頁(yè)。 現(xiàn)場(chǎng)審核的內(nèi)容包括會(huì)議、現(xiàn)場(chǎng)調(diào)查、形成審核發(fā)現(xiàn)、舉行末次會(huì)議和報(bào)告審核結(jié)果等。 證實(shí)受審核組織是否按照其方針、目標(biāo)和程序，執(zhí)行工作。,認(rèn)證審核－獲得證書(shū),所有審核工作結(jié)束并達(dá)到要求后，用戶會(huì)得到證書(shū)。,Page 39,第三十九頁(yè)，共九十三頁(yè)。27001 我司業(yè)務(wù)與ISO/IEC 27001,Page 40,第四十頁(yè)，共九十三頁(yè)。27001重點(diǎn)關(guān)注的是建設(shè)體系的要求，并且有認(rèn)證機(jī)制。,聯(lián)系,ISO/IEC 27001的附錄中有ISO/IEC 17799中的5到15章的全部?jī)?nèi)容，也就是說(shuō)在進(jìn)行ISMS建設(shè)以及27001認(rèn)證時(shí)， ISO/IEC 17799中11個(gè)方面，39個(gè)控制點(diǎn)，以及133個(gè)控制措施都作為重要的參考點(diǎn)，進(jìn)行差距分析時(shí)，這些內(nèi)容都是重要的依據(jù)。,Page 42,第四十二頁(yè)，共九十三頁(yè)。 該次評(píng)比有個(gè)評(píng)比要求《上地地區(qū)高科技企業(yè)衛(wèi)生評(píng)比要求》，要求內(nèi)容包括，建立長(zhǎng)效的衛(wèi)生機(jī)制，如劃定公司衛(wèi)生范圍，購(gòu)買(mǎi)各種衛(wèi)生用具，專門(mén)領(lǐng)導(dǎo)負(fù)責(zé)，成立專門(mén)團(tuán)隊(duì)，聘請(qǐng)專業(yè)保潔公司，組織內(nèi)部檢查，內(nèi)部互查等等。,舉例(續(xù)),該《上地地區(qū)高科技企業(yè)衛(wèi)生評(píng)比要求》還附帶了一個(gè)《上地地區(qū)高科技企業(yè)衛(wèi)生評(píng)比細(xì)則》，細(xì)則內(nèi)容包括11個(gè)方面 辦公室衛(wèi)生 機(jī)房衛(wèi)生 樓道衛(wèi)生 衛(wèi)生間衛(wèi)生 個(gè)人衛(wèi)生 。,舉例(續(xù)),評(píng)比由上地地區(qū)衛(wèi)生檢疫所進(jìn)行，該次評(píng)比首先進(jìn)行預(yù)查，確認(rèn)達(dá)到基本要求后開(kāi)始進(jìn)行規(guī)范評(píng)比，檢查公司的各種衛(wèi)生規(guī)范，之后進(jìn)行現(xiàn)場(chǎng)評(píng)比，由專門(mén)的檢查員深入公司檢查衛(wèi)生的實(shí)際執(zhí)行情況，并和相關(guān)責(zé)任人進(jìn)行溝通。,Page 45,第四十五頁(yè)，共九十三頁(yè)。 《上地地區(qū)高科技企業(yè)衛(wèi)生紅旗》－27001認(rèn)證 《上地地區(qū)高科技企業(yè)衛(wèi)生評(píng)比要求》－ISO/IEC 27001 《上地地區(qū)高科技企業(yè)衛(wèi)生評(píng)比細(xì)則》－ISO/IEC 17799 專業(yè)保潔公司－咨詢公司 上地地區(qū)衛(wèi)生檢疫所－授權(quán)評(píng)審組織（BSI，DNV） 海淀區(qū)環(huán)衛(wèi)局－ISO,Page 46,第四十六頁(yè)，共九十三頁(yè)。27001 我司業(yè)務(wù)與ISO/IEC 27001,Page 47,第四十七頁(yè)，共九十三頁(yè)。 我們需