咨詢服務及認證實施 ISO27001信息安全管理體系

咨詢服務及認證實施 ISO27001信息安全管理體系

目錄

一、ISO27001標準簡介

二、ISO27001信息安全項目實施流程

三、ISO27001認證的價值

 一、 ISO27000系列標準簡介 ISO27000標準族介紹 27000～27009：ISMS基本標準， 27010～27019：ISMS標準族的解釋性指南與文檔 認證機構 認可要求 信息安全基本目標 信息安全通常強調(diào)所謂CIA三元組的目標，即保密性、完整性和可用性。CIA概念的闡述源自信息技術安全評估標準（InbationTechnology Security Evaluation Criteria，ITSEC），它也是信息安全的基本要素和安全建設所應遵循的基本原則。

 2005與2013區(qū)別：正文 2005與2013區(qū)別：附錄 信息安全管理咨詢服務將根據(jù)組織的不同需求為其量身定做適合自己的信息安全管理體系，幫助企業(yè)更好的加強自身信息安全管理水平，降低企業(yè)業(yè)務運作過程中的風險。并采用可信任的控制措施，提供行業(yè)解決方案，滿足客戶的不同需求。 根據(jù)ISO 27001，信息安全管理體系包括： 14 個控制域 35 個控制目標 114 個控制措施 業(yè)務連續(xù)性 管理 訪問控制 系統(tǒng)獲取 開發(fā)維護管理 通信安全 人力資源安全 合規(guī)性 資產(chǎn)管理 信息安全組織 物理環(huán)境 安全 信息安全 事件管理 信息 客戶記錄 個人記錄 法律記錄 安全策略 策略 程序、流程 工作指導書、操作說明、模板、檢查表等 文檔、記錄 密碼學 操作安全 供應商關系安全 管理 ISO27001信息安全管理體系 計 劃 （PLAN） 實 施 (DO) 檢 查 (CHECK) 改 進 （Act） 業(yè)務現(xiàn)狀了解 信息資產(chǎn)識別 威脅 脆弱性 當前控制措施 風險評價 風 險 處 置 制定風險接受標準 制定ISMS文檔架構 策略 程序與流程 指導書、模板等 文檔、記錄等 1級 2級 3級 4級 可能性 嚴重性 持續(xù)改進機制 管理層評審 內(nèi)部ISMS審計 持續(xù)的風險評估 ISMS體系度量與監(jiān)控 體 系 運 行 符合性指標 效能指標 損失性指標 改 進 需 求 預防性措施 糾正性措施 風險評估 風險處置計劃 識別不合格項 根源分析 記錄與追蹤 識別潛在不合格項 制定預防措施 記錄與追蹤 體系發(fā)布 項目方法將基于貴公司的業(yè)務現(xiàn)狀、對信息安全的要求及建立信息安全策略和目標。在貴公司的整體業(yè)務風險框架內(nèi)，依據(jù)ISO27001標準，以風險評估為基礎，根據(jù)風險處置計劃建立和實施信息安全管理體系（ISMS）以管理信息安全風險。并通過建立相關監(jiān)控體系評估ISMS的有效性，最終將針對監(jiān)測結果對信息安全管理體系進行持續(xù)改進。 ISO27001信息安全管理體系實施方法 項目實施采取的程序 項目可能用到的工具 訪談 文檔審閱 調(diào)查問卷 現(xiàn)場檢查 系統(tǒng)檢查 技術掃描 信息安全風險評估工具 網(wǎng)絡脆弱性評估 服務器端口掃描 資產(chǎn)識別工具 滲透測試 信息安全控制審計 序號 標準名稱 1 ISO 27001 ：2005信息安全管理體系要求 3 ISO 27002 -27005 信息安全管理 使用規(guī)則 實施指南 風險評估 4 煙草行業(yè)信息安全等級保護規(guī)范 5 《信息系統(tǒng)安全等級保護基本要求》 6 《信息系統(tǒng)安全等級保護實施指南》 7 GB22080-2008-T 信息技術 安全技術 信息安全管理體系 要求 8 GB22081-2008-T 信息技術 安全技術 信息安全管理實用規(guī)則 9 GB50174-2008 電子信息系統(tǒng)機房設計規(guī)范 10 GBT 20270-2006 信息安全技術 網(wǎng)絡基礎安全技術要求 11 GBT 21028-2007 信息安全技術 服務器安全技術要求 12 GBT 21052-2007 信息安全技術 信息系統(tǒng)物理安全技術要求 參考的相關標準 項目實施采取的程序和可能用到的工具 ISO27001信息安全管理體系實施方法（2） 項目啟動和差異分析 項目啟動會議，確定項目團隊、建立項目組管理架構 信息安全管理現(xiàn)狀的快速評估 信息安全管理體系差異分析 設計信息安全方針 設計信息安全管理組織架構 信息安全管理培訓 階段項目總結會議 項目計劃 差異分析報告 信息安全管理組織架構 信息安全方針 階段 主要任務 主要交付品 風險評估 資產(chǎn)收集及風險評估方法與標準 資產(chǎn)級別劃分標準 技術弱點掃描報告 資產(chǎn)清單、威脅列表、脆弱性列表、風險列表 風險評估報告 制定資產(chǎn)識別標準
（包含保密級別劃分） 資產(chǎn)收集及風險評估方法培訓 信息資產(chǎn)收集 識別威脅、脆弱性、并安全漏洞掃描 評估風險，劃分風險等級 階段項目總結會議 體系設計與發(fā)布 風險容忍標準及風險處置計劃 適用性聲明 ISMS制度和流程 ISM