《電信信息安全管理培訓(xùn)》由會員分享，可在線閱讀，更多相關(guān)《電信信息安全管理培訓(xùn)（204頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,2014/3/17,,?#?,,,,陜西電,信,信信息,安,安全管,理,理培訓(xùn),2022年11月4,日,日,信息安,全,全管理,體,體系介,紹,紹,第一天,什么是,信,信息安,全,全,3,防止信,息,息財產(chǎn),被,被故意,的,的或偶,然,然的非,授,授權(quán)泄,露,露、更,改,改、破,壞,壞或使,信,信息被,非,非法的,系,系統(tǒng)辨,識,識，控,制,制。即,確,確保信,息,息的完,整,整性、,保,保密性,，,，可用,性,性和可,控,控性。,避,避免攻,擊,擊者利,用,用系統(tǒng),的,的安全,漏,漏洞進(jìn),行,行竊聽,、,、冒

2、充,、,、詐騙,等,等有損,于,于合法,用,用戶的,行,行為。,本,本質(zhì)上,是,是保護,用,用戶的,利,利益和,隱,隱私。,信,信息安,全,全包括,操,操作系,統(tǒng),統(tǒng)安全,，,，數(shù)據(jù),庫,庫安全,，,，網(wǎng)絡(luò),安,安全，,病,病毒防,護,護，訪,問,問控制,，,，加密,與,與鑒別,七,七個方,面,面。,信息安,全,全的關(guān),鍵,鍵在于,信,信息本,身,身，而,信,信息安,全,全的實,質(zhì),質(zhì)是通,過,過相應(yīng),的,的技術(shù),手,手段保,護,護與信,息,息相關(guān),的,的一切,人,人、事,、,、物。,信息安,全,全的基,本,本目標(biāo),信息安,全,全通常,強,強調(diào)所,謂,謂三元,組,組的目,標(biāo),標(biāo)，即,保,保密性

3、,、,、完整,性,性和可,用,用性。,概,概念的,闡,闡述源,自,自信息,技,技術(shù)安,全,全評估,標(biāo),標(biāo)準(zhǔn)（,，,，）,，,，它也,是,是信息,安,安全的,基,基本要,素,素和安,全,全建設(shè),所,所應(yīng)遵,循,循的基,本,本原則,。,。,什么是信,息,息安全,機密性,可用性,完整性,4,（1）可,用,用性（）,：,：,確保授權(quán),用,用戶或?qū)?體,體對信息,及,及資源的,正,正常使用,不,不會被異,常,常拒絕，,允,允許其可,靠,靠而及時,地,地訪問信,息,息及資源,。,。,（2）完,整,整性（）,：,：,確保信息,在,在存儲、,使,使用、傳,輸,輸過程中,不,不會被非,授,授權(quán)用戶,篡,篡改，同

4、,時,時還要防,止,止授權(quán)用,戶,戶對系統(tǒng),及,及信息進(jìn),行,行不恰當(dāng),的,的篡改，,保,保持信息,內(nèi),內(nèi)、外部,表,表示的一,致,致性。,（3）保,密,密性（）,：,：,確保信息,在,在存儲、,使,使用、傳,輸,輸過程中,不,不會泄漏,給,給非授權(quán),用,用戶或?qū)?體,體。,什么是信,息,息安全,5,信息安全,還,還有一些,其,其他原則,，,，包括可,追,追溯性（,）,）、抗抵,賴,賴性（）,、,、真實性,（,（）、可,控,控性（）,等,等，這些,都,都是對原,則,則的細(xì)化,、,、補充或,加,加強。,什么是信,息,息安全,6,7,信息安全,管,管理概念,管理體系,的,的持續(xù)改,進(jìn),進(jìn),要求,要

5、求被滿,足,足,,管理職責(zé),分析改進(jìn),產(chǎn)品實現(xiàn),資源管理,,,,,,,,,,輸入,輸出,信息安全,管,管理體系,27001:2005簡介,27001：2005與27001：2013差異,對,對比,@ 組織,用戶的責(zé),任,任,8,9,歷史,7799,7799-1,7799-2,27001,27002,1992,年,年在英固,首,首次作為,行,行業(yè)標(biāo)準(zhǔn),發(fā),發(fā)布，為,信,信息安全,管,管理提供,了,了一個依,據(jù),據(jù)。,7799,標(biāo),標(biāo)準(zhǔn)最早,是,是由英固,工,工貿(mào)部、,英,英固標(biāo)準(zhǔn),化,化協(xié)會（,）,）組織的,相,相關(guān)專家,共,共同開發(fā),制,制定的,在1998年、1999年,經(jīng),經(jīng)過兩次,信,信訂

6、之后,出,出版7799-1,：,：1999和7799-2,：,：1999。,2001,年,年修訂7799-2：1999，同,年,年7799-2：2000,發(fā),發(fā)布。,2002,年,年對7799-2,：,：2000進(jìn)行了,修,修訂發(fā)布,了,了7799-2：2002,版,版。,于2005年10,月,月15采,用,用7799-2：2002,版,版本成為,國,國際標(biāo)準(zhǔn)27001：2005版。,2013,年,年10月19日修,訂,訂原版，,正,正式使用27001:2013版。,2000,年,年4月，,將,將7799-1：1999,提,提交，同,年,年10月,獲,獲得通過,成,成為17799：2000,版

7、,版。,2005,年,年對17799：2000,版,版進(jìn)行了,修,修訂，于6月15,日,日發(fā)布了17799：2005版。,2007,年,年上半年,正,正式更名,為,為27002:2007。,2013,年,年與27001:2013,版,版同步更,新,新為27002:2013.,10,現(xiàn)在與未,來,來,27002:2007,,17799,27003,,27001,2005,27000,2005,27004,,27005,,7799,27006,,&,18004,,507,,(),17799,2005,守則,審核標(biāo)準(zhǔn),7799,–,–,,2005,13335 –,,11,27000標(biāo)準(zhǔn)族,27001

8、:2005標(biāo)準(zhǔn),說,說明,7799,：,：分為7799-1和7799-2,兩,兩部份,7799-1:2005/ 17799:2005,主,主要是,做,做為參考,文,文件，提,供,供廣泛性,的,的安全控,制,制措施，,作,作為現(xiàn)行,信,信息安全,之,之最佳作,業(yè),業(yè)方法，,其,其中包含11個控,制,制措施章,節(jié),節(jié)，但不,作,作為評鑒,與,與驗證標(biāo),準(zhǔn),準(zhǔn)。,7799-2:2005/27001:2005,系,系,根,根據(jù)7799-1,，,，提,供,供信,息,息安,全,全管,理,理系,統(tǒng),統(tǒng)()之,建,建立,實,實施,與,與書,面,面化,之,之具,體,體要,求,求，,依,依據(jù),個,個別,組,組織,

9、的,的需,求,求，,規(guī),規(guī)定,要,要實,施,施之,安,安全,控,控制,措,措施,的,的要,求,求。,27001:2005,標(biāo),標(biāo)準(zhǔn),說,說明,7799-1:2005/17799:2005,信息,安,安全,管,管理,作,作業(yè),要,要點,用意,是,是做,為,為參,考,考文,件,件,提供,廣,廣泛,性,性的,安,安全,控,控制,措,措施,現(xiàn),行,行,信,信,息,息,安,安,全,全,之,之,最,最,佳,佳,作,作,業(yè),業(yè),方,方,法,法,包,含,含11,個,個,控,控,制,制,章,章,節(jié),節(jié),無,法,法,作,作,為,為,評,評,鑒,鑒,與,與,驗,驗,證,證,27001:2005,標(biāo),標(biāo),準(zhǔn),準(zhǔn),說,

10、說,明,明,7799-2:2005/27001:2005,信,息,息,安,安,全,全,管,管,理,理,系,系,統(tǒng),統(tǒng),要,要,求,求,根,據(jù),據(jù)7799-1:2005,之建立,實,實施與,文,文件化,之,之具體,要,要求,依據(jù)個,別,別組織,的,的需求,，,，規(guī)定,要,要實施,之,之安全,控,控制措,施,施的要,求,求。,27001:2005標(biāo)準(zhǔn),說,說明,關(guān)鍵的,成,成功因,素,素(),經(jīng),經(jīng)驗顯,示,示，組,織,織的信,息,息安全,能,能否成,功,功實施,，,，下列,常,常為關(guān),鍵,鍵因素,：,：,能反映,營,營運目,標(biāo),標(biāo)的信,息,息安全,政,政策、,目,目標(biāo)及,活,活動。,與組織,文,

11、文化一,致,致之實,施,施、維,護,護、監(jiān),控,控、及,改,改進(jìn)信,息,息安全,的,的方法,與,與框架,。,。,來自所,有,有管理,階,階層的,實,實際支,持,持和承,諾,諾。,對信息,安,安全要,求,求、風(fēng),險,險評估,以,以及風(fēng),險,險管理,的,的深入,了,了解。,向全體,管,管理人,員,員、受,雇,雇人員,、,、及相,關(guān),關(guān)人員,有,有效推,廣,廣信息,安,安全以,達(dá),達(dá)到認(rèn),知,知。,資助信,息,息安全,管,管理活,動,動。,提供適,切,切的認(rèn),知,知、訓(xùn),練,練及教,育,育。,制定有,效,效的信,息,息安全,事,事故管,理,理過程,。,。,實施ㄧ,個,個用于,評,評估的,績,績效及,

12、改,改進(jìn)的,回,回饋建,議,議之量,測,測系統(tǒng),。,。,管理體,系,系的4,大,大要素,組織機,構(gòu),構(gòu)：,明確職,責(zé),責(zé)、權(quán),限,限,程序：,告訴相,關(guān),關(guān)人員,怎,怎么做,過程：,具體的,執(zhí),執(zhí)行情,況,況，如,何,何做的,？,？比如,執(zhí),執(zhí)行人,是,是否每,周,周2次,檢,檢查了,某,某個應(yīng),用,用程序,的,的日志,？,？,資源：,可調(diào)配,、,、使用,的,的人員,、,、設(shè)備,等,等,培訓(xùn),管理體系,組織結(jié)構(gòu),程序,過程,資源,什么叫,信,信息安,全,全管理,體,體系,信息,信息是,一,一種重,要,要資產(chǎn),，,，對組,織,織的業(yè),務(wù),務(wù)非常,關(guān),關(guān)鍵。,信,信息,可,可以以,各,各種形,式,

13、式存在,，,，可以,印,印刷或,寫,寫在紙,上,上，以,電,電子形,式,式存儲,、,、郵寄,或,或使用,電,電子手,段,段傳輸,，,，以影,片,片播放,或,或?qū)υ?。,。,信息安,全,全,對信息,的,的保密,性,性、完,整,整性和,可,可用性,的,的保護,，,，同時,涉,涉及真,實,實性、,責(zé),責(zé)任區(qū),分,分、防,止,止抵賴,和,和可靠,性,性等其,他,他特性,。,。,信息安,全,全管理,體,體系,是管理,體,體系的,一,一部分,，,，基于,業(yè),業(yè)務(wù)風(fēng),險,險的方,法,法，建,立,立、實,施,施、運,行,行、監(jiān),控,控、評,審,審、維,護,護和改,進(jìn),進(jìn)信息,安,安全。,簡單地,說,說，是,為

14、,為了確,保,保組織,信,信息的,“,“三性,”,”，設(shè),立,立的組,織,織機構(gòu),、,、程序,、,、過程,和,和資源,。,。,1,如果,什么是,好,好的,,系統(tǒng)的,方,方法,更好地,了,了解業(yè),務(wù),務(wù)方面,降低安,全,全漏洞,和,和/或,索,索賠,降低負(fù),面,面宣傳,改進(jìn)保,險,險責(zé)任,評,評級,通過業(yè),務(wù),務(wù)風(fēng)險,評,評估，,確,確定關(guān),鍵,鍵資產(chǎn),為持續(xù)改進(jìn),提,提供一個結(jié),構(gòu),構(gòu)，,內(nèi)部和外部,是,是一個信心,的,的因素,提高管理水,平,平的知識和,與,與安全相關(guān),的,的問題的重,要,要性,確?！爸R,資,資本”將被,“,“存儲”，,并,并在業(yè)務(wù)管,理,理系統(tǒng)管理,實施的關(guān)鍵,成,成功因

15、素,與組織文化,一,一致的信息,安,安全方法,老板的支持,對信息安全,的,的要求、風(fēng),險,險評估和風(fēng),險,險管理有好,的,的理解,向所有員工,和,和其他人分,發(fā),發(fā)信息安全,指,指南,有效的對員,工,工和其他人,推,推銷信息安,全,全（外部人,員,員也被要求,進(jìn),進(jìn)行信息安,全,全培訓(xùn)）,足夠的財務(wù),支,支持，以及,滿,滿足要求的,現(xiàn),現(xiàn)有系統(tǒng)的,能,能力和配置,水,水平,有效的信息,安,安全事故管,理,理過程,重要提示,（信息安全,管,管理體系）,和,和（信息技,術(shù),術(shù)服務(wù)管理,）,）的整合需,求,求越來越大,：,：,來自最高管,理,理者的關(guān)注,增,增強,來自客戶的,推,推動、壓力,政府的推

16、動,并,并提供資金,的,的支持，如,“,“十百千”,工,工程,行業(yè)的普遍,關(guān),關(guān)注，如電,信,信，移動，,電,電力系統(tǒng)，,海,海關(guān)總署，,國,國家質(zhì)監(jiān)總,局,局,目前，各大,銀,銀行和電力,企,企業(yè)正在實,施,施，每年有,的,的市場。,半導(dǎo)體業(yè)對,的,的要求非常,嚴(yán),嚴(yán)格，甚至,高,高過金融業(yè),！,！,重要提示,歷史教訓(xùn)：,保,保安和清潔,工,工是信息安,全,全的重要威,脅,脅?。o意,傷,傷害對“階,層,層” 感情,的,的好惡）,所有員工，,包,包括所有外,來,來人員，必,須,須接受信息,安,安全的培訓(xùn),小竅門：在,門,門衛(wèi)/傳達(dá),室,室放一個《,外,外來人員安,全,全須知》，,外,外來人員

17、,在,在閱讀后要,簽,簽字，這是,對,對外來人員,進(jìn),進(jìn)行了信息,安,安全培訓(xùn)的,證,證據(jù),重要提示,信息安全容,易,易忽視的兩,個,個的地方,（U盤，盡,量,量禁用?。?（域控制器,，,，加強管理,！,！）,:,人員發(fā)生變,動,動的時候，,一,一定要調(diào)整,訪,訪問權(quán)限,查看企業(yè)的,財,財產(chǎn)保險合,同,同,審核完畢后,一,一般都需要,提,提高保險級,別,別！,影響公司層,面,面業(yè)務(wù)持續(xù),性,性的因素,供應(yīng)鏈中斷,：,：重要原料,、,、硬件,高層的錯誤,決,決策,客戶不滿,關(guān)鍵人員,流,流失,數(shù)據(jù)中心,重,重大事故,恐怖襲擊,、,、戰(zhàn)爭,員工信心,天災(zāi)人禍,、,、火災(zāi)爆,炸,炸,聯(lián)動點,法律法規(guī)

18、,公眾反應(yīng),非常重要,實施業(yè)務(wù),連,連續(xù)性管,理,理的兩條,途,途徑,公司層面,的,的（適合,于,于 或企,業(yè),業(yè)）,信息安全,層,層面的，,適,適合大型,制,制造業(yè)及,工,工藝流程,復(fù),復(fù)雜的企,業(yè),業(yè),或比“可,用,用性管理,”,”有更大,的,的范圍和,規(guī),規(guī)模！,27001:2005標(biāo)準(zhǔn),說,說明,標(biāo)準(zhǔn)/指南,27001 (2005~),2005,2000~2002,2000,信息安全管理系統(tǒng)要求,27001,27001:2005(7799-2:2005),7799-2:2002,7799-2:1999,信息安全管理作業(yè)要點,27002( 2007),17799:2005(

19、7799-1:2005),17799:2000,7799-1:1999,27001:2005標(biāo)準(zhǔn),說,說明,7799,：,：分為7799-1和7799-2,兩,兩部份,7799-1:2005/ 17799:2005,主,主要是,做,做為參考,文,文件，提,供,供廣泛性,的,的安全控,制,制措施，,作,作為現(xiàn)行,信,信息安全,之,之最佳作,業(yè),業(yè)方法，,其,其中包含11個控,制,制措施章,節(jié),節(jié)，但不,作,作為評鑒,與,與驗證標(biāo),準(zhǔn),準(zhǔn)。,7799-2:2005/ 27001:2005,系,系根據(jù)7799-1，提,供,供信息安,全,全管理系,統(tǒng),統(tǒng)()之,建,建立實施,與,與書面化,之,之具體要

20、,求,求，依據(jù),個,個別組織,的,的需求，,規(guī),規(guī)定要實,施,施之安全,控,控制措施,的,的要求。,27001:2005,標(biāo),標(biāo),準(zhǔn),準(zhǔn),說,說,明,明,7799-1:2005/17799:2005,信,息,息,安,安,全,全,管,管,理,理,作,作,業(yè),業(yè),要,要,點,點,用,意,意,是,是,做,做,為,為,參,參,考,考,文,文,件,件,提,供,供,廣,廣,泛,泛,性,性,的,的,安,安,全,全,控,控,制,制,措,措,施,施,現(xiàn),行,行,信,信,息,息,安,安,全,全,之,之,最,最,佳,佳,作,作,業(yè),業(yè),方,方,法,法,包,含,含11,個,個,控,控,制,制,章,章,節(jié),節(jié),無,法,

21、法,作,作,為,為,評,評,鑒,鑒,與,與,驗,驗,證,證,27001:2005,標(biāo),標(biāo),準(zhǔn),準(zhǔn),說,說,明,明,7799-2:2005/27001:2005,信,息,息,安,安,全,全,管,管,理,理,系,系,統(tǒng),統(tǒng),要,要,求,求,根,據(jù),據(jù)7799-1:2005,之,建,建,立,立,實,實,施,施,與,與,文,文,件,件,化,化,之,之,具,具,體,體,要,要,求,求,依,據(jù),據(jù),個,個,別,別,組,組,織,織,的,的,需,需,求,求,，,，,規(guī),規(guī),定,定,要,要,實,實,施,施,之,之,安,安,全,全,控,控,制,制,措,措,施,施,的,的,要,要,求,求,。,。,27001:200

22、5,標(biāo),標(biāo),準(zhǔn),準(zhǔn),說,說,明,明,信,息,息,是,是,一,一,種,種,資,資,產(chǎn),產(chǎn),，,，,就,就,像,像,其,其,它,它,重,重,要,要,的,的,企,企,業(yè),業(yè),資,資,產(chǎn),產(chǎn),依,依,樣,樣,，,，,對,對,組,組,織,織,具,具,有,有,價,價,值,值,，,，,因,因,此,此,需,需,要,要,受,受,到,到,適,適,當(dāng),當(dāng),的,的,保,保,護,護,。,。,27001:2005,標(biāo),標(biāo)準(zhǔn)說明,信息的類型,書寫或打印,于,于紙上,儲存在電子,媒,媒體上,以郵寄或電,子,子儲存媒體,傳,傳輸,顯示于企業(yè),影,影片上,言語-在對,話,話中提出,不管信息的,形,形式是什么,，,，或者共享,或,

23、或儲存的方,式,式是什么，,都,都應(yīng)該受到,適,適當(dāng)?shù)谋Ｗo,。,。,27001:2005,標(biāo),標(biāo)準(zhǔn)說明,信息安全,保護信息的,機,機密性、完,整,整性與可用,性,性；另外，,亦,亦可包含如,可,可鑒別性(,真,真實性)、,可,可歸責(zé)性、,不,不可否認(rèn)性,及,及可靠性等,特,特性。,27001:2005,標(biāo),標(biāo)準(zhǔn)說明,關(guān)鍵的成功,因,因素()經(jīng)驗顯,示,示，組織的,信,信息安全能,否,否成功實施,，,，下列常為,關(guān),關(guān)鍵因素：,能反映營運,目,目標(biāo)的信息,安,安全政策、,目,目標(biāo)及活動,。,。,與組織文化,一,一致之實施,、,、維護、監(jiān),控,控、及改進(jìn),信,信息安全的,方,方法與框架,。,。,

24、來自所有管,理,理階層的實,際,際支持和承,諾,諾。,對信息安全,要,要求、風(fēng)險,評,評估以及風(fēng),險,險管理的深,入,入了解。,向全體管理,人,人員、受雇,人,人員、及相,關(guān),關(guān)人員有效,推,推廣信息安,全,全以達(dá)到認(rèn),知,知。,資助信息安,全,全管理活動,。,。,提供適切的,認(rèn),認(rèn)知、訓(xùn)練,及,及教育。,制定有效的,信,信息安全事,故,故管理過程,。,。,實施ㄧ個用,于,于評估的績,效,效及改進(jìn)的,回,回饋建議之,量,量測系統(tǒng)。,27001:2005,標(biāo),標(biāo)準(zhǔn)說明,4.,,4.1一般,要,要求組織,應(yīng),應(yīng)在整體業(yè),務(wù),務(wù)活動與所,面,面臨風(fēng)險下,建,建立、實施,、,、操作、監(jiān),控,控、審查

25、、,維,維護及改進(jìn),一,一文件化，,為,為本國際標(biāo),準(zhǔn),準(zhǔn)之目的，,所,所采用之過,程,程以下圖所,示,示之模式為,基,基礎(chǔ)。,4,4.2信息,安,安全管理系,統(tǒng),統(tǒng)之建立及,管,管理,4.2.1,建,建立信息安,全,全管理系統(tǒng),組,組織應(yīng)：,依據(jù)業(yè)務(wù)、,組,組織、所在,位,位置、資產(chǎn),及,及技術(shù)等特,性,性，定義信,息,息安全管理,系,系統(tǒng)之范圍,及,及界限，并,包,包括任何自,范,范圍排除之,細(xì),細(xì)節(jié)及理由,。,。,依據(jù)業(yè)務(wù)、,組,組織、所在,位,位置、資產(chǎn),及,及技術(shù)等特,性,性，定義信,息,息安全管理,系,系統(tǒng)之政策,，,，且：,包含設(shè)定目,標(biāo),標(biāo)之框架，,并,并建立有關(guān),信,信息安全

26、之,整,整體方向亦,是,是與行動原,則,則。,考慮企業(yè)及,法,法律或法規(guī),要,要求，以及,合,合約性的安,全,全責(zé)任。,與組織策略,性,性之風(fēng)險管,理,理內(nèi)容配合,，,，使得以建,立,立及維持。,建立評估風(fēng),險,險之標(biāo)準(zhǔn)，,及,及被管理階,層,層核準(zhǔn)。,4.2信息,安,安全管理系,統(tǒng),統(tǒng)之建立及,管,管理,定義組織之,風(fēng),風(fēng)險評估辦,法,法,鑒別一風(fēng)險,評,評估方法論,，,，并適合其,、,、已鑒別之,企,企業(yè)信息安,全,全、以及法,律,律與法規(guī)要,求,求。,發(fā)展可接受,風(fēng),風(fēng)險之標(biāo)準(zhǔn),以,以及鑒別風(fēng),險,險至可接受,的,的程度。所,選,選擇之風(fēng)險,評,評估方法論,應(yīng),應(yīng)確保產(chǎn)出,可,可比較及可

27、,重,重復(fù)之結(jié)果,。,。,鑒別各項風(fēng),險,險,鑒別控制范,圍,圍內(nèi)之資產(chǎn),以,以及該資產(chǎn),之,之擁有者()。擁有,者,者()一詞,系,系指已核準(zhǔn),資,資產(chǎn)管理責(zé),任,任之個人或,實,實體，針對,資,資產(chǎn)之生產(chǎn),、,、開發(fā)、維,護,護、使用及,安,安全之管制,。,。擁有者()一詞并不,是,是指實際具,有,有資產(chǎn)產(chǎn)權(quán),之,之人員。,4.2信息,安,安全管理系,統(tǒng),統(tǒng)之建立及,管,管理,分析,及,及評,估,估各,項,項風(fēng),險,險,鑒別,并,并評,估,估風(fēng),險,險處,理,理之,選,選項,方,方法,選擇,控,控制,目,目標(biāo),及,及控,制,制措,施,施以,處,處理,風(fēng),風(fēng)險,：,：,應(yīng)選,擇,擇并,實,

28、實施,控,控制,目,目標(biāo),與,與控,制,制措,施,施，,以,以符,合,合風(fēng),險,險評,估,估與,風(fēng),風(fēng)險,處,處理,過,過程,所,所鑒,別,別之,要,要求,。,。,控制,目,目標(biāo),與,與控,制,制措,施,施應(yīng),于,于本,標(biāo),標(biāo)準(zhǔn),之,之附,錄,錄A,中,中加,以,以選,擇,擇，,為,為此,過,過程,的,的一,部,部份,并,并適,當(dāng),當(dāng)滿,足,足所,鑒,鑒別,之,之要,求,求。,4.2信,息,息安,全,全管,理,理系,統(tǒng),統(tǒng)之,建,建立,及,及管,理,理,所提,出,出之,殘,殘余,風(fēng),風(fēng)險,須,須取,得,得管,理,理階,層,層之,核,核準(zhǔn),亦須,獲,獲得,授,授權(quán),才,才能,實,實施,與,與操,

29、作,作,擬訂,一,一份,適,適用,性,性聲,明,明書,，,，須,包,包括,下,下列,：,：,于4.2.1,節(jié),節(jié)所,選,選擇,之,之管,制,制目,標(biāo),標(biāo)與,控,控制,措,措施,，,，其,選,選擇,之,之理,由,由。,現(xiàn)行,已,已實,施,施之,控,控制,目,目標(biāo),與,與控,制,制措,施,施。,附錄A中,任,任何,排,排除,之,之控,制,制目,標(biāo),標(biāo)與,控,控制,措,措施,，,，及,其,其排,除,除之,正,正當(dāng),理,理由,。,。,4.2信,息,息安,全,全管,理,理系,統(tǒng),統(tǒng)之,建,建立,及,及管,理,理,4.2.2信,息,息安,全,全管,理,理系,統(tǒng),統(tǒng)之,實,實施,與,與操,作,作,組,組織,

30、應(yīng),應(yīng),有系,統(tǒng),統(tǒng)的,陳,陳述,一,一項,風(fēng),風(fēng)險,處,處理,計,計劃,以,以鑒,別,別適,當(dāng),當(dāng)管,理,理措,施,施、,資,資源,、,、權(quán),責(zé),責(zé)及,優(yōu),優(yōu)先,級,級，,以,以便,管,管理,信,信息,安,安全,風(fēng),風(fēng)險,。,。,實施,風(fēng),風(fēng)險,處,處理,計,計劃,，,，以,達(dá),達(dá)到,所,所鑒,別,別的,安,安全,目,目標(biāo),，,，計,劃,劃內(nèi),容,容包,括,括投,資,資的,考,考慮,以,以及,角,角色,與,與責(zé),任,任的,分,分派,。,。,實施4.2.1所,選,選之,控,控制,措,措施,以,以符,合,合管,制,制目,標(biāo),標(biāo)。,定義,如,如何,測,測量,所,所選,擇,擇控,制,制措,施,施或,

31、控,控制,措,措施,群,群組,織,織有,效,效，,及,及具,體,體說,明,明如,何,何使,用,用這,些,些測,量,量來,評,評估,控,控制,措,措施,之,之有,效,效性,，,，并,產(chǎn),產(chǎn)出,可,可比,較,較即,可,可再,現(xiàn),現(xiàn)的,結(jié),結(jié)果,。,。,實施,訓(xùn),訓(xùn)練,與,與認(rèn),知,知計,劃,劃。,管理,作,作業(yè),。,。,管理,資,資源,。,。,實施,能,能實,時,時偵,知,知安,全,全事,故,故，,并,并予,以,以回,應(yīng),應(yīng)安,全,全事,件,件處,理,理之,作,作業(yè),程,程序,及,及其,他,他控,制,制措,施,施。,4.2信,息,息安,全,全管,理,理系,統(tǒng),統(tǒng)之,建,建立,及,及管,理,理,4.

32、2.3信,息,息安,全,全管,理,理系,統(tǒng),統(tǒng)之,監(jiān),監(jiān)控,及,及審,查,查,執(zhí)行,監(jiān),監(jiān)控,與,與審,查,查程,序,序及,其,其他,控,控制,措,措施,，,，以,便,便：,立即,偵,偵知,系,系統(tǒng),處,處理,結(jié),結(jié)果,之,之錯,誤,誤。,立即,鑒,鑒別,企,企圖,及,及已,成,成功,之,之安,全,全破,壞,壞及,事,事故,。,。,促使管理,階,階層決定,是,是否委托,他,他人或藉,由,由信息技,術(shù),術(shù)之實施,均,均已如預(yù),期,期般實行,。,。,使用指標(biāo),幫,幫助偵測,安,安全事件,并,并防止安,全,全事故。,決定所采,取,取解決安,全,全漏洞之,措,措施是否,有,有效。,定期審查,之,之有效

33、性(包含符,合,合政策、,目,目標(biāo)及控,制,制措施之,審,審查)，,并,并考慮來,自,自安全審,計,計、事件,、,、來自有,效,效性量測,之,之結(jié)果、,股,股東及利,害,害關(guān)系團,體,體之建議,及,及回饋之,結(jié),結(jié)果。,測量控制,措,措施有效,性,性，以確,認(rèn),認(rèn)符合安,全,全要求。,4.2信,息,息安全管,理,理系統(tǒng)之,建,建立及管,理,理,在規(guī)劃期,間,間審查風(fēng),險,險評估及,審,審查殘余,風(fēng),風(fēng)險，與,鑒,鑒別之可,接,接受風(fēng)險,等,等級，并,考,考慮下列,之,之變量：,組織,技術(shù),企業(yè)目標(biāo),及,及過程,已鑒別之,威,威脅,控制措施,實,實施有效,性,性,外部事件,，,，例如法,律,律或

34、法規(guī),環(huán),環(huán)境之變,化,化、合約,責(zé),責(zé)任之變,化,化，以及,社,社會環(huán)境,之,之變化。,在規(guī)劃期,間,間執(zhí)行內(nèi),部,部審計,內(nèi),內(nèi)部審計,有,有時稱為,第,第一方審,計,計，是由,組,組織自己,或,或其代表,基,基于內(nèi)部,目,目的所實,施,施。,4.2信,息,息安全管,理,理系統(tǒng)之,建,建立及管,理,理,定期執(zhí)行,管,管理階層,審,審查，以,確,確保范圍,保,保持適當(dāng),，,，及過程,之,之各項改,進(jìn),進(jìn)均已鑒,別,別。,考慮監(jiān)控,與,與審查活,動,動之發(fā)現(xiàn),，,，更新安,全,全計劃。,紀(jì)錄對之,有,有效性或,績,績效有沖,擊,擊之活動,與,與事件。,4.2信,息,息安全管,理,理系統(tǒng)之,建,

35、建立及管,理,理,4.2.4維持及,改,改進(jìn)信息,安,安全管理,系,系統(tǒng)組,織,織應(yīng)定期,進(jìn),進(jìn)行下述,：,：,實施所鑒,定,定之改進(jìn),活,活動。,依據(jù)第8.2及8.3節(jié)采,取,取適當(dāng)矯,正,正及預(yù)防,措,措施。采,用,用從其他,組,組織及本,身,身之安全,經(jīng),經(jīng)驗吸取,教,教訓(xùn)。,以適切于,情,情況的詳,盡,盡程度與,所,所有利害,相,相關(guān)團體,就,就各項措,施,施及改進(jìn),活,活動進(jìn)行,溝,溝通，并,在,在適當(dāng)時,取,取得進(jìn)行,方,方式的同,意,意。,確保各項,改,改進(jìn)措施,達(dá),達(dá)到預(yù)期,目,目標(biāo)。,4.3文,件,件要求,4.3.1一,般,般要求,文,文件,應(yīng),應(yīng)包括,管,管理決,策,策紀(jì)

36、錄,，,，確保,相,相關(guān)活,動,動可追,溯,溯至管,理,理決策,與,與政策,，,，并確,保,保所紀(jì),錄,錄之結(jié),果,果是可,再,再現(xiàn)的,。,。重要,的,的是能,夠,夠證明,所,所選擇,之,之控制,措,措施回,溯,溯至風(fēng),險,險評估,與,與風(fēng)險,處,處理過,程,程結(jié)果,，,，及回,溯,溯至政,策,策及目,標(biāo),標(biāo)之關(guān),聯(lián),聯(lián)性。,信,信息,安,安全管,理,理系統(tǒng),文,文件應(yīng),包,包含：,政策與,安,安全目,標(biāo),標(biāo)之書,面,面聲明,信息安,全,全管理,系,系統(tǒng)之,范,范圍,支援之,相,相關(guān)程,序,序書及,控,控制措,施,施,風(fēng)險評,估,估方法,論,論之說,明,明書,風(fēng)險處,理,理計劃,4.3,文,文

37、件要,求,求,組織為,確,確保有,效,效規(guī)畫,、,、操作,與,與控制,信,信息安,全,全過程,，,，及說,明,明如何,量,量測控,制,制措施,有,有效所,需,需之書,面,面程序,。,。,本國際,標(biāo),標(biāo)準(zhǔn)要,求,求之各,紀(jì),紀(jì)錄。,適用性,聲,聲明書,。,。,所有文,件,件應(yīng)依,據(jù),據(jù)之政,策,策要求,隨,隨時可,供,供取用,。,。,4.3,文,文件要,求,求,文件的,廣,廣度，,其,其范圍,和,和細(xì)節(jié),取,取決于,：,：,產(chǎn)品和,流,流程的,復(fù),復(fù)雜性,顧客和,法,法規(guī)的,要,要求,工業(yè)標(biāo),準(zhǔn),準(zhǔn)和規(guī),范,范,教育、,經(jīng),經(jīng)驗和,訓(xùn),訓(xùn)練,勞動力,的,的穩(wěn)定,性,性,過去發(fā),生,生的安,全,全

38、問題,4.3,文,文件要,求,求,1–安,全,全政策,手,手冊,為,為管理,架,架構(gòu)的,摘,摘要，,其,其中包,括,括了信,息,息安全,政,政策和,控,控制措,施,施目標(biāo),，,，以及,適,適用性,聲,聲明書,中,中所提,及,及已實,施,施的控,制,制措施,。,。,2–程,序,序程,序,序用來,實,實施所,要,要求的,控,控制措,施,施，描,述,述、、,、,、等安,全,全流程,和,和不同,部,部門間,的,的控制,措,措施。,4.3,文,文件要,求,求,3–工,作,作指導(dǎo),書,書、檢,查,查列表,、,、表格,等,等解,釋,釋特殊,工,工作和,活,活動的,細(xì),細(xì)節(jié)，,以,以及如,何,何完成,特,

39、特定的,工,工作。,包,包括詳,細(xì),細(xì)的工,作,作指導(dǎo),書,書、窗,體,體、流,程,程圖、,服,服務(wù)標(biāo),準(zhǔn),準(zhǔn)和系,統(tǒng),統(tǒng)手冊,…,…等。,4–紀(jì),錄,錄紀(jì),錄,錄活動,實,實行以,符,符合等,級,級1、2和3,文,文件要,求,求的客,觀,觀證據(jù),。,?？赡?是,是強制,性,性的隱,含,含在每,個,個7799條,款,款中。,例,例如：,機,機房訪,客,客登記,簿,簿、審,計,計記錄,和,和存取,授,授權(quán)…,等,等。,4.3,文,文件要,求,求,4.3.2文,件,件管制,所,所需,之,之文件,應(yīng),應(yīng)受保,護,護和管,制,制。應(yīng),建,建立文,件,件化程,序,序，以,界,界定所,需,需之管,理,理

40、措施,，,，用以,：,：,在文件,發(fā),發(fā)行前,核,核準(zhǔn)其,適,適切性,。,。,必要時,，,，審查,和,和更新,并,并重新,核,核準(zhǔn)文,件,件。,確保文,件,件之變,更,更與最,新,新改訂,狀,狀況已,予,予以識,別,別。,確保在使用,場,場所備有相,關(guān),關(guān)適用版次,文,文件。,確保文件保,持,持易于閱讀,并,并容易識別,。,。,確保有需要,之,之人員均有,文,文件可用，,且,且依照其適,用,用之傳遞、,儲,儲存及最終,處,處理予以分,類,類。,確保外來原,始,始文件已加,以,以識別。,確保文件分,發(fā),發(fā)已管制。,防止失效文,件,件被誤用。,過期文件為,任,任何目的需,保,保留時，應(yīng),予,予以適

41、當(dāng)識,別,別。,4.3文件,要,要求,4.3.3,紀(jì),紀(jì)錄管制,為提供符合,要,要求及有效,運,運作之證據(jù),，,，所建立并,維,維持之紀(jì)錄,，,，應(yīng)予以保,護,護級管制。,應(yīng),應(yīng)將相關(guān),法,法律或法規(guī),要,要求及合約,責(zé),責(zé)任列入考,慮,慮。,紀(jì)錄應(yīng)清晰,易,易讀，容易,檢,檢索及識別,。,。為了紀(jì)錄,之,之鑒別、儲,存,存、保護、,檢,檢索、保存,期,期限及報廢,，,，應(yīng)建立文,件,件化程序，,以,以界定所需,之,之管制。,所,所需之紀(jì)錄,及,及其范圍應(yīng),由,由管理過程,加,加以決定。,紀(jì)錄應(yīng)加以,保,保存，如4.2節(jié)所述,各,各項過程之,績,績效，以及,所,所有與有關(guān),之,之重大安全,事,

42、事故紀(jì)錄。,5.管理階,層,層責(zé)任,5.1管理,階,階層承諾,管,管理階層應(yīng),藉,藉由下列各,項,項，對之建,立,立、實施、,操,操作、監(jiān)控,、,、審查、維,護,護與改進(jìn)之,承,承諾提供證,據(jù),據(jù)：,建立一份政,策,策。,確保建立各,項,項目標(biāo)及計,劃,劃。,為信息安全,建,建立角色與,權(quán),權(quán)責(zé)。,向全組織傳,達(dá),達(dá)符合信息,安,安全目標(biāo)、,遵,遵守信息安,全,全政策、在,法,法律下要求,之,之權(quán)責(zé)，以,及,及持續(xù)改進(jìn),之,之需求。,提供充分資,源,源以建立、,實,實施、操作,、,、監(jiān)控、審,查,查、維護與,改,改進(jìn)。,決定可接風(fēng),險,險之標(biāo)準(zhǔn)，,以,以及可接受,風(fēng),風(fēng)險之等級,。,。,確,保

43、,保,實,實,施,施,內(nèi),內(nèi),部,部,審,審,計,計,。,。,執(zhí),行,行,之,之,管,管,理,理,階,階,層,層,審,審,查,查,。,。,5.2,資,資,源,源,管,管,理,理,5.2.1,資,資,源,源,提,提,供,供,組,組,織,織,應(yīng),應(yīng),決,決,定,定,并,并,提,提,供,供,下,下,列,列,工,工,作,作,必,必,要,要,之,之,資,資,源,源,：,：,建,立,立,、,、,實,實,施,施,、,、,操,操,作,作,、,、,監(jiān),監(jiān),控,控,、,、,審,審,查,查,、,、,維,維,護,護,與,與,改,改,進(jìn),進(jìn),。,。,確,保,保,信,信,息,息,安,安,全,全,程,程,序,序,足,足,以

44、,以,支,支,持,持,企,企,業(yè),業(yè),的,的,需,需,求,求,。,。,藉,由,由,修,修,改,改,所,所,有,有,實,實,行,行,的,的,控,控,制,制,措,措,施,施,，,，,來,來,維,維,持,持,適,適,當(dāng),當(dāng),的,的,安,安,全,全,。,。,5.2.2,訓(xùn),訓(xùn),練,練,、,、,認(rèn),認(rèn),知,知,及,及,能,能,力,力,組,組,織,織,應(yīng),應(yīng),確,確,保,保,在,在,中,中,規(guī),規(guī),定,定,有,有,責(zé),責(zé),任,任,之,之,所,所,有,有,員,員,工,工,，,，,有,有,能,能,力,力,藉,藉,由,由,下,下,述,述,執(zhí),執(zhí),行,行,所,所,要,要,求,求,的,的,工,工,作,作,，,，,包

45、,包,括,括,：,：,決,定,定,執(zhí),執(zhí),行,行,影,影,響,響,工,工,作,作,之,之,人,人,員,員,其,其,所,所,需,需,之,之,能,能,力,力,。,。,提,供,供,訓(xùn),訓(xùn),練,練,或,或,采,采,取,取,其,其,他,他,措,措,施,施(,如,如,：,：,雇,雇,用,用,具,具,備,備,能,能,力,力,之,之,人,人,員,員),，,，,以,以,滿,滿,足,足,該,該,需,需,求,求,。,。,評,估,估,所,所,提,提,供,供,訓(xùn),訓(xùn),練,練,及,及,所,所,采,采,取,取,措,措,施,施,之,之,有,有,效,效,性,性,。,。,維,持,持,教,教,育,育,、,、,訓(xùn),訓(xùn),練,練,、,、

46、,技,技,巧,巧,、,、,經(jīng),經(jīng),驗,驗,及,及,資,資,格,格,之,之,紀(jì),紀(jì),錄,錄,。,。,組,織,織,亦,亦,應(yīng),應(yīng),確,確,保,保,所,所,有,有,相,相,關(guān),關(guān),人,人,員,員,已,已,認(rèn),認(rèn),知,知,其,其,所,所,從,從,事,事,的,的,信,信,息,息,安,安,全,全,活,活,動,動,之,之,相,相,關(guān),關(guān),性,性,及,及,重,重,要,要,性,性,，,，,以,以,及,及,他,他,們,們,如,如,何,何,對,對,之,之,目,目,標(biāo),標(biāo),達(dá),達(dá),成,成,有,有,所,所,貢,貢,獻(xiàn),獻(xiàn),。,。,6.,內(nèi),內(nèi),部,部,審,審,計,計,組,織,織,應(yīng),應(yīng),定,定,期,期,進(jìn),進(jìn),行,行,

47、內(nèi),內(nèi),部,部,審,審,計,計,已,已,決,決,定,定,其,其,控,控,制,制,措,措,施,施,目,目,標(biāo),標(biāo),、,、,過,過,程,程,及,及,程,程,序,序,是,是,否,否,：,：,符合,本,本標(biāo),準(zhǔn),準(zhǔn)及,相,相關(guān),法,法律,或,或管,理,理的,要,要求,符合,所,所識,別,別的,信,信息,安,安全,要,要求,有效,的,的實,作,作與,維,維護,如預(yù),期,期的,執(zhí),執(zhí)行,審計,計,計劃,應(yīng),應(yīng)事,先,先規(guī),劃,劃，,考,考慮,審,審計,的,的過,程,程與,區(qū),區(qū)域,之,之狀,況,況及,重,重要,性,性，,以,以及,先,先前,審,審計,的,的結(jié),果,果。,審,審計,準(zhǔn),準(zhǔn)則,、,、范,圍,圍

48、、,頻,頻率,及,及方,法,法應(yīng),予,予以,界,界定,。,。,審,審計,人,人員,的,的選,擇,擇與,審,審計,的,的執(zhí),行,行應(yīng),確,確保,審,審計,過,過程,的,的客,觀,觀及,公,公平,。,。另,外,外，,審,審計,人,人員,不,不應(yīng),審,審計,其,其本,身,身的,工,工作,。,。,6.,內(nèi),內(nèi)部,審,審計,規(guī)劃,與,與執(zhí),行,行審,計,計，,及,及報,告,告結(jié),果,果與,維,維持,紀(jì),紀(jì)錄,之,之責(zé),任,任與,要,要求,。,。應(yīng),以,以書,面,面程,序,序予,以,以界,定,定。,被審計,區(qū),區(qū)域管,理,理階層,之,之責(zé)任,，,，應(yīng)確,保,保實行,措,措施沒,有,有不當(dāng),之,之延誤,，,

49、，以消,除,除所發(fā),現(xiàn),現(xiàn)之不,符,符合與,其,其原因,。,。跟催,活,活動應(yīng),包,包括所,實,實行措,施,施之查,證,證，與,查,查證結(jié),果,果之報,告,告。,7之管,理,理階層,審,審查,7.1,概,概述,管,管理階,層,層應(yīng)在,規(guī),規(guī)劃期,間,間內(nèi)(,至,至少一,年,年一次)，審,查,查組織,的,的，以,確,確保其,持,持續(xù)的,適,適用性,、,、適切,性,性及有,效,效性。,審,審查應(yīng),包,包含改,進(jìn),進(jìn)時機,之,之評估,，,，以及,變,變更之,需,需求，,含,含信息,安,安全政,策,策與信,息,息安全,目,目標(biāo)。,審,審查,結(jié),結(jié)果應(yīng),予,予以清,楚,楚的文,件,件化，,紀(jì),紀(jì)錄應(yīng),予

50、,予以維,持,持。,7之管,理,理階層,審,審查,7.2,審,審查輸,入,入管,理,理階層,審,審查輸,入,入應(yīng)包,括,括下列,信,信息：,審計與,審,審查之,結(jié),結(jié)果。,來自利,害,害相關(guān),團,團體之,回,回饋。,可用以,改,改進(jìn)組,織,織績效,及,及有效,性,性之技,術(shù),術(shù)、產(chǎn),品,品或程,序,序。,預(yù)防與,矯,矯正措,施,施之狀,況,況。,先前風(fēng),險,險評估,未,未適切,提,提出之,脆,脆弱性,或,或威脅,。,。,來自有,效,效性量,測,測之結(jié),果,果。,先前管,理,理階層,審,審查之,跟,跟催措,施,施。,可能影,響,響之任,何,何變更,。,。,改進(jìn)之,建,建議。,7之管,理,理階層

51、,審,審查,7.3,審,審查輸,出,出管,理,理階層,審,審查之,輸,輸出應(yīng),包,包括下,列,列有關(guān),之,之任何,決,決定與,措,措施：,有效性,之,之改進(jìn),。,。,更新風(fēng),險,險評估,及,及風(fēng)險,處,處理計,劃,劃。,未因應(yīng),可,可能影,響,響之內(nèi),部,部或外,部,部事件,，,，必要,時,時將影,響,響信息,安,安全之,程,程序及,控,控制措,施,施予以,修,修訂，,包,包括,營運需,求,求,安全需,求,求,影響既,有,有營運,需,需求之,營,營運過,程,程,法令或,法,法規(guī)要,求,求,合約責(zé),任,任,風(fēng)險等,級,級風(fēng)險,可,可接受,程,程度之,標(biāo),標(biāo)準(zhǔn),資源需,求,求。,測量控,制,制措

52、施,有,有效性,之,之改進(jìn),。,。,8之改,進(jìn),進(jìn),8.1,持,持續(xù)的,改,改進(jìn),尋求持,續(xù),續(xù)的改,進(jìn),進(jìn),透過下,列,列改進(jìn),的,的有效,性,性,安全政,策,策,安全目,標(biāo),標(biāo),安全審,查,查的結(jié),果,果,安全審,計,計,矯正措,施,施,預(yù)防措,施,施,管理審,查,查,8之改,進(jìn),進(jìn),8.2,矯,矯正措,施,施,應(yīng)該采,取,取措施,以,以消除,不,不合格,的,的原因,，,，避免,復(fù),復(fù)發(fā)。,在內(nèi)的,書,書面程,序,序應(yīng)該,定,定義：,鑒別不,符,符合事,項,項,確定原,因,因,評估避,免,免復(fù)發(fā),所,所需的,活,活動,確定和,實,實施矯,正,正措施,紀(jì)錄結(jié),果,果,審查行,動,動的有,效,

53、效性,8之改,進(jìn),進(jìn),8.3,預(yù),預(yù)防措,施,施為,防,防止不,符,符合事,項,項發(fā)生,，,，組織,應(yīng),應(yīng)決定,措,措施，,消,消除要,求,求之潛,在,在不符,合,合事項,之,之原因,，,，以防,止,止其發(fā),生,生。所,采,采取之,預(yù),預(yù)防措,施,施應(yīng)與,潛,潛在問,題,題之影,響,響相稱,。,。預(yù),防,防措施,之,之文件,化,化程序,應(yīng),應(yīng)訂出,以,以下要,求,求：,鑒別潛,在,在的不,符,符合與,其,其原因,。,。,評估采,取,取預(yù)防,發(fā),發(fā)生不,符,符合措,施,施的需,求,求。,決定并,實,實施所,需,需之措,施,施。,紀(jì)錄所,采,采取措,施,施之結(jié),果,果。,審查所,采,采用之,預(yù)

54、,預(yù)防措,施,施。,組織應(yīng)鑒別,已,已變化之風(fēng),險,險及鑒別預(yù),防,防措施要求,之,之焦點放在,顯,顯著變化之,風(fēng),風(fēng)險上。,預(yù)防措施之,優(yōu),優(yōu)先級應(yīng)依,據(jù),據(jù)風(fēng)險評估,之,之結(jié)果加以,決,決定。,62,27001,：,：2005,核,核心,,,建立,ISMS,實施和運作,ISMS,維護和改進(jìn),ISMS,計劃,PLAN,實施,DO,改造,ACTION,監(jiān)控和評審,ISMS,檢查,CHECK,開發(fā)、維護,和改進(jìn)循壞,相關(guān)單位,,,,,,,,,,管理狀態(tài),下的信息,安全,相關(guān)單位,,,,,,,,,,信息,安全需求,和期望,,,63,過程,需求方,信息安全,需求與期望,,PLAN,建立,,ISMS,

55、CHECK,監(jiān)視和,評審,ISMS,ACT,保持和改進(jìn),管理責(zé)任,ISMS,過程,,需求方,可管理狀態(tài),下的,信息安全,,DO,實施和操作,ISMS,,,64,建立,范圍&邊界,策略,控制目標(biāo)&,控制手段,風(fēng)險評估途,徑,徑,威脅&脆弱,性,性,資產(chǎn)&所有,者,者,風(fēng)險處置選,項,項,風(fēng)險評估,影響,適用性聲明,1,2,3,4,5,6,9,8,7,10,11,評審,12,,65,實施和操,作,作,風(fēng)險處理,計劃和實,施,施,實施控制,有效性測,量,量,操作管理,培訓(xùn)&意,識,識,活動&事,件,件管理,資源管理,1,2,3,4,5,6,7,,活,動,動,一,個,個,確,確,定,定,的,的,發(fā),發(fā)

56、,生,生,可,可,能,能,違,違,反,反,信,信,息,息,安,安,全,全,保,保,障,障,政,政,策,策,或,或,失,失,敗,敗,或,或,一,一,種,種,前,前,所,所,未,未,知,知,的,的,情,情,況,況,，,，,可,可,能,能,是,是,與,與,安,安,全,全,相,相,關(guān),關(guān),的,的,系,系,統(tǒng),統(tǒng),，,，,服,服,務(wù),務(wù),或,或,網(wǎng),網(wǎng),絡(luò),絡(luò),狀,狀,態(tài),態(tài),指,指,示,示,事件,一個單,一,一的或,一,一系列,不,不必要,的,的或意,外,外的信,息,息安全,事,事件，,有,有一個,顯,顯著的,業(yè),業(yè)務(wù)經(jīng),營,營的影,響,響和威,脅,脅信息,安,安全的,概,概率,66,監(jiān)視和,評,評審

57、,監(jiān)視&,審,審查程,序,序,評價有,效,效性,測量控,制,制的有,效,效性,內(nèi)部審,計,計,風(fēng)險評,估,估審查,安全計,劃,劃評審,管理評,審,審,1,2,3,4,5,6,7,改進(jìn)&事,件,件對,的,的,性能/有,效,效性,帶來,的,的影,響,響,8,,67,維護,和,和改,進(jìn),進(jìn),實施改進(jìn),采取,CA-PA,從教訓(xùn)中吸取經(jīng)驗,（他人,&,自己）,確認(rèn)改進(jìn),溝通,行動,&,改進(jìn),1,2,3,4,5,,在組,織,織層,面,面,–,–,承,承諾,在法,律,律層,面,面,–,–,遵,遵守,在操,作,作層,面,面,–,–,風(fēng),風(fēng)險,管,管理,在商,業(yè),業(yè)層,面,面,–,–,信,信譽,和,和信,心,心

58、,在財,務(wù),務(wù)層,面,面,–,–,降,降低,成,成本,在人,力,力層,面,面,–,–,提,提高,員,員工,意,意識,68,信息,安,安全,管,管理,的,的目,的,的和,意,意義,新標(biāo),準(zhǔn),準(zhǔn)正,文,文部,分,分架,構(gòu),構(gòu)變,化,化,內(nèi)容,新,新調(diào),整,整,核心,內(nèi),內(nèi)容,變,變化,附錄A變,化,化,控制,項,項的,增,增刪,與,與調(diào),整,整,69,27001：2005,與,與27001：2013,差,差異,對,對比,70,新標(biāo),準(zhǔn),準(zhǔn)正,文,文部,分,分架,構(gòu),構(gòu)變,化,化,1.,范,范圍,2.,規(guī),規(guī)范,性,性引,用,用文,件,件,3.,術(shù),術(shù)語,和,和定,義,義,4.,信,信,息,息安,全

59、,全管,理,理體,系,系（,）,）,4.1,總,總,體,體要,求,求,4.2,建,建,立,立和,管,管理,4.3,文,文,件,件要,求,求,5.,管,管,理,理職,責(zé),責(zé),6.,審,審核,7的,管,管理,評,評審,8.,改,改,進(jìn),進(jìn),1.,范,范圍,2.,規(guī),規(guī)范,性,性引,用,用文,件,件,3.,術(shù),術(shù)語,和,和定,義,義,4.,組,組,織,織的,環(huán),環(huán)境,5.,領(lǐng),領(lǐng),導(dǎo),導(dǎo)力,6.,計,計劃,7. 支,持,持,8.運營,9. 績,效,效評價,10.,改,改進(jìn),71,內(nèi)容新調(diào),整,整,72,核心內(nèi)容,變,變化,27001:2005,4.1建立,27001:2013,4.組織的背景,通過以

60、下方面定義的范圍和邊界：,?業(yè)務(wù)的特點;,?組織;,?位置;,?資產(chǎn)和技術(shù);,?任何范圍刪減的細(xì)節(jié)與合理性。,通過確定外部和內(nèi)部的情況，判斷有關(guān)目的和影響，以實現(xiàn)預(yù)期的結(jié)果。,確定相關(guān)的要求與信息安全相關(guān)的利害關(guān)系人。,通過以下方面，確定的邊界和適用性，建立的范圍：,?以往的外部和內(nèi)部情況;,?利益相關(guān)方的需求;,?組織運轉(zhuǎn)內(nèi)外部的接口和依賴關(guān)系;,73,附錄A變,化,化,27001：2005,27001：2013,A.5 安全方針,A.5 安全針,A.6 信息安全組織,A.6 信息安全組織,A.8 人力資源安全,A.7 人力資源安全,A.7 資產(chǎn)管理,A.8 資產(chǎn)管理,A.11 訪問控制,A

61、.9 訪問控制,,A.10 密碼學(xué),A.9 物理與環(huán)境安全,A.11 物理與環(huán)境安全,A.10 通信與操作管理,A.12 操作安全,,A.13 通信安全,A.12 信息系統(tǒng)獲取、開發(fā)和維護,A.14 信息系統(tǒng)獲取、開發(fā)和維護,,A.15 供應(yīng)關(guān)系,A.13 信息安全事件管理,A.16 信息安全事件管理,A.14 業(yè)務(wù)連續(xù)性管理,A.17 信息安全面的業(yè)務(wù)連續(xù)性管理,A.15 符合性,A.18 符合性,控制項的,增,增刪與調(diào),整,整,增加項,14.2.1 安,全,全開發(fā)策,略,略（軟件,和,和信息系,統(tǒng),統(tǒng)開發(fā)規(guī),則,則),14.2.5 系,統(tǒng),統(tǒng)開發(fā)程,序,序（系統(tǒng),工,工程的原,則,則),1

62、4.2.6 安,全,全的開發(fā),環(huán),環(huán)境（建,立,立和保護,開,開發(fā)環(huán)境),14.2.8 系,統(tǒng),統(tǒng)安全測,試,試（安全,功,功能的測,試,試),16.1.4 信,息,息安全事,件,件的評估,和,和決策（,這,這是事件,管,管理的一,部,部分),17.2.1 信,息,息處理設(shè),施,施的可用,性,性（實現(xiàn),冗,冗余),刪除項,6.2.2 處理,與,與顧客有,關(guān),關(guān)的安全,問,問題,10.4.2 控,制,制移動代,碼,碼,10.7.3 信,息,息處理規(guī),程,程,10.7.4 系,統(tǒng),統(tǒng)文件安,全,全,10.8.5 業(yè),務(wù),務(wù)信息系,統(tǒng),統(tǒng),10.9.3 公,共,共可用信,息,息,11.4.2 外,部

63、,部連接的,用,用戶鑒別,11.4.3 網(wǎng),絡(luò),絡(luò)上的設(shè),備,備標(biāo)識,11.4.4 遠(yuǎn),程,程診斷和,配,配置端口,的,的保護,11.4.6 網(wǎng),絡(luò),絡(luò)連接控,制,制,11.4.7 網(wǎng),絡(luò),絡(luò)路由控,制,制,11.5.5 會,話,話超時,11.5.6 聯(lián),機,機時間的,限,限定,11.6.2 敏,感,感系統(tǒng)隔,離,離,12.2.1 輸,入,入數(shù)據(jù)確,認(rèn),認(rèn),12.2.2內(nèi)部,處,處理的控,制,制,12.2.3 消,息,息完整性,12.2.4 輸,出,出數(shù)據(jù)確,認(rèn),認(rèn),12.5.4 信,息,息泄露,14.1.2 業(yè),務(wù),務(wù)連續(xù)性,和,和風(fēng)險評,估,估,14.1.3 制,訂,訂和實施,業(yè),業(yè)務(wù)連續(xù)

64、,性,性計劃,14.1.4 業(yè),務(wù),務(wù)連續(xù)性,計,計劃框架,15.1.5 防,止,止濫用信,息,息處理設(shè),施,施,15.3.2 信,息,息系統(tǒng)審,計,計工具的,保,保護,74,75,文檔,范圍,方針,風(fēng)險評估,方,方法,風(fēng)險處置,計,計劃,風(fēng)險評估,報,報告,程序及指,南,南,記錄程序,所需記錄,適用性聲,明,明,文件控制,記錄控制,76,控制視圖,安全方針,訪問控制,物理和環(huán),境,境安全,信息安,全,全組織,資產(chǎn)管,理,理,合規(guī)性,人力資,源,源安全,安全事,件,件管理,業(yè)務(wù)連,續(xù),續(xù)性管,理,理,安全采,購,購、開,發(fā),發(fā)與維,護,護,通信及,操,操作管,理,理,,,,技術(shù),組織,物理,,

65、,組織,操作,77,信息管,理,理11,個,個控制,域,域,安全策,略,略,資產(chǎn)管,理,理,信息安,全,全組織,人力資,源,源管理,物理和,環(huán),環(huán)境安,全,全,通信和,操,操作管,理,理,訪問控制,信息安全事,件,件管理,信息系統(tǒng)采,購,購、開發(fā)與,維,維護,合規(guī)性,業(yè)務(wù)連續(xù)性,管,管理,標(biāo)準(zhǔn)覆蓋了,所,所有11個,領(lǐng),領(lǐng)域，39,個,個控制目標(biāo),，,，133個,控,控制措施,控制（39,個,個目標(biāo)，133個控制,措,措施）,安全方針,,,,,&,&,,, &,,,,,,,,方針文件,方針評審,控制（39,個,個目標(biāo)，133個控制,措,措施）,,信息安全組,織,織,,,&,&,,, &,,

66、,,,,,,內(nèi)部組織,外部組織,控制（39,個,個目標(biāo)，133個控制,措,措施）,,,,資產(chǎn)管理,,&,&,,, &,,,,,,,,資產(chǎn)責(zé)任,信息分類,控制（39,個,個目標(biāo)，133個控制,措,措施）,,,,,人力資源安,全,全,&,&,,, &,,,,,,,,雇傭前,雇傭中,終止或變更,雇,雇傭責(zé)任,控制（39,個,個目標(biāo)，133個控制,措,措施）,,,,,,物理和環(huán)境,安,安全,&,,, &,,,,,,,,物理安全邊,界,界,設(shè)備選址和,保,保護,控制（39,個,個目標(biāo)，133個控制,措,措施）,,,,,,&,通信和操作,管,管理,, &,,,,,,,,操作程序和,責(zé),責(zé)任,第三方服務(wù),交,交付管理,系統(tǒng)規(guī)劃和,驗,驗收,防范惡意和,移,移動代碼,備份,介質(zhì)處置,信息交換,,監(jiān)視,電子商務(wù)服,務(wù),務(wù),控制（39,個,個目標(biāo)，133個控制,措,措施）,,,,,,&,&,,, &,,,,,訪問控制,,,訪問控制業(yè),務(wù),務(wù)需求,用戶訪問管,理,理,用戶責(zé)任,網(wǎng)絡(luò)訪問控,制,制,操作系統(tǒng)訪,問,問控制,應(yīng)用和信息,訪,訪問控制,移動計算和,遠(yuǎn),遠(yuǎn)程辦公,控制（39,個,個目標(biāo)，1