当前位置:文档之家 › ISO27001信息安全管理体系介绍

ISO27001信息安全管理体系介绍

  • 格式:ppt
  • 大小:1.41 MB
  • 文档页数:52

下载文档原格式

  / 52
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
招商银行信息系统内部审计培训 ISO27001信息安全管理体系介绍
2009年3月
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 1
目录
1 2 3 4 5
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
(例如,供暖,照明,能源,空调); ► 人员,他们的资格、技能和经验; ► 无形资产,如组织的声誉和形象。
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 5
信息资产
信息资产存在方式:
► 电脑数据 ► 网络传输 ► 传真 ► 纸上记录 ► 图片 ► 数码照片 ► 光盘磁带 ► 电话交谈 ► 人的大脑等
招商银行信息系统内部审计培训
Βιβλιοθήκη Baidu
ISO27001信息安全管理体系介绍
页数 6
信息资产
信息资产的生命周期:
► 产生 ► 使用 ► 存储 ► 传输 ► 销毁/抛弃
产生
销毁/ 抛弃
传输
使用 存贮
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 7
什么是信息安全?
ISO27001 将信息安全定义如下: 保证信息的保密性,完整性,可用性;另外也可包括诸 如真实性,可核查性,不可否认性和可靠性等特性
方式,是否收到足够保护? ► 信息安全事件给企业造成的最大/最坏影响?
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 3
目录
1 2 3 4 5
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
招商银行信息系统内部审计培训
术委员会1/子委员27/工作组1),WG1做为ISMS标准的工作组,负 责开发ISMS相关的标准与指南
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 10
ISO 27000系列标准
标准序号
标准名称
ISO/IEC 27000 基础与术语
ISO/IEC 27001 ISMS Requirement ISMS要求
► GB/T 22080-2008 信息技术 安全技术 信息安全管理体系 要求 ► GB/T 22081-2008 信息技术 安全技术 信息安全管理实用规则
页数 11
ISO 27001 的历史
1995年 发布BS 7799 Part 1
1998年
发布BS 7799 Part 2
1999年 发布新版 BS 7799 Part 1 & 2
2000年 发布ISO 17799:2000
2002年 发布新版BS 7799-2
2005年
发布ISO 17799:2005 发布ISO 27001:2005
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 2
几个问题
► 信息是否是企业的重要资产? ► 信息的泄漏是否会给企业带来重大影响? ► 信息的真实性对企业是否带来重大影响? ► 信息的可用性对企业是否带来重大影响? ► 我们是否清楚知道什么信息对企业是重要的? ► 信息的价值是否在企业内部有一个统一的标准? ► 我们是否知道企业关系信息的所有人 ► 我们是否知道企业关系信息的信息流向、状态、存储
ISO/IEC 27006 Certification and Registration process审核认证机构要求
发布时间
起草中,未发布 2005年10月 2007年4月 起草中,未发布 起草中,未发布 2008年6月 2007年2月
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
► 保密性:信息不能被未授权的个人,实体或者过程利用或知悉的特性 ► 可用性:根据授权实体的要求可访问和利用的特性 ► 完整性:保护资产的准确和完整的特性
招商银行信息系统内部审计培训
保密性
ISO27001信息安全管理体系介绍
可用性
页数 8
目录
1 2 3 4 5
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
ISO27001信息安全管理体系介绍
页数 4
信息资产
信息资产类型:
► 信息:数据库和数据文件、合同和协议、系统文件、研究信息、用户 手册、培训材料、操作或支持程序、业务连续性计划、应变安排 (fallback arrangement)、审核跟踪记录(audit trails)、归档 信息;
► 软件资产:应用软件、系统软件、开发工具和实用程序; ► 物理资产:计算机设备、通信设备、可移动介质和其他设备; ► 服务:计算和通信服务(例如,网络浏览、域名解析)、公用设施
2007年 ISO 27002:2005替代ISO 17799:2005
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 12
等同的国家标准
我国已将ISO27001和ISO27002系列标准等同转化为国家标准。2008年9月 ,经国家标准化管理委员会批准,全国信息安全标准化技术委员会发布 两个新的国家标准,并于2008年11月1日起实施。
ISO/IEC 27002 Code of Practice for ISMS实用规则
ISO/IEC 27003 ISMS Implementation Guidance ISMS实施指南
ISO/IEC 27004 ISMS Metrics and Measurement ISMS的测量
ISO/IEC 27005 Information Security Risk Management 信息安全风险管理
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 9
信息安全管理体系(ISMS)介绍
► Information Security Management System(ISMS)信息安全管理体系 ► 基于国际标准ISO/IEC27001:信息安全管理体系要求 ► 是综合信息安全管理和技术手段,保障组织信息安全的一种方法 ► ISMS是管理体系(MS)家族的一个成员 ► ISO/IEC JTC1/SC27/WG1(国际标准化组织/国际电工委员会 联合技

合集下载

相关主题