咨詢服務(wù)及認證實施 ISO27001信息安全管理體系

目錄

一、ISO27001標準簡介

二、ISO27001信息安全項目實施流程

三、ISO27001認證的價值

 一、 ISO27000系列標準簡介 ISO27000標準族介紹 27000～27009：ISMS基本標準， 27010～27019：ISMS標準族的解釋性指南與文檔 認證機構(gòu) 認可要求 信息安全基本目標 信息安全通常強調(diào)所謂CIA三元組的目標，即保密性、完整性和可用性。CIA概念的闡述源自信息技術(shù)安全評估標準（InformationTechnology Security Evaluation Criteria，ITSEC），它也是信息安全的基本要素和安全建設(shè)所應(yīng)遵循的基本原則。

 2005與2013區(qū)別：正文 2005與2013區(qū)別：附錄 信息安全管理咨詢服務(wù)將根據(jù)組織的不同需求為其量身定做適合自己的信息安全管理體系，幫助企業(yè)更好的加強自身信息安全管理水平，降低企業(yè)業(yè)務(wù)運作過程中的風(fēng)險。并采用可信任的控制措施，提供行業(yè)解決方案，滿足客戶的不同需求。 根據(jù)ISO 27001，信息安全管理體系包括： 14 個控制域 35 個控制目標 114 個控制措施 業(yè)務(wù)連續(xù)性 管理 訪問控制 系統(tǒng)獲取 開發(fā)維護管理 通信安全 人力資源安全 合規(guī)性 資產(chǎn)管理 信息安全組織 物理環(huán)境 安全 信息安全 事件管理 信息 客戶記錄 個人記錄 法律記錄 安全策略 策略 程序、流程 工作指導(dǎo)書、操作說明、模板、檢查表等 文檔、記錄 密碼學(xué) 操作安全 供應(yīng)商關(guān)系安全 管理 ISO27001信息安全管理體系 計 劃 （PLAN） 實 施 (DO) 檢 查 (CHECK) 改 進 （Act） 業(yè)務(wù)現(xiàn)狀了解 信息資產(chǎn)識別 威脅 脆弱性 當前控制措施 風(fēng)險評價 風(fēng) 險 處 置 制定風(fēng)險接受標準 制定ISMS文檔架構(gòu) 策略 程序與流程 指導(dǎo)書、模板等 文檔、記錄等 1級 2級 3級 4級 可能性 嚴重性 持續(xù)改進機制 管理層評審 內(nèi)部ISMS審計 持續(xù)的風(fēng)險評估 ISMS體系度量與監(jiān)控 體 系 運 行 符合性指標 效能指標 損失性指標 改 進 需 求 預(yù)防性措施 糾正性措施 風(fēng)險評估 風(fēng)險處置計劃 識別不合格項 根源分析 記錄與追蹤 識別潛在不合格項 制定預(yù)防措施 記錄與追蹤 體系發(fā)布 項目方法將基于貴公司的業(yè)務(wù)現(xiàn)狀、對信息安全的要求及建立信息安全策略和目標。在貴公司的整體業(yè)務(wù)風(fēng)險框架內(nèi)，依據(jù)ISO27001標準，以風(fēng)險評估為基礎(chǔ)，根據(jù)風(fēng)險處置計劃建立和實施信息安全管理體系（ISMS）以管理信息安全風(fēng)險。并通過建立相關(guān)監(jiān)控體系評估ISMS的有效性，最終將針對監(jiān)測結(jié)果對信息安全管理體系進行持續(xù)改進。 ISO27001信息安全管理體系實施方法 項目實施采取的程序 項目可能用到的工具 訪談 文檔審閱 調(diào)查問卷 現(xiàn)場檢查 系統(tǒng)檢查 技術(shù)掃描 信息安全風(fēng)險評估工具 網(wǎng)絡(luò)脆弱性評估 服務(wù)器端口掃描 資產(chǎn)識別工具 滲透測試 信息安全控制審計 序號 標準名稱 1 ISO 27001 ：2005信息安全管理體系要求 3 ISO 27002 -27005 信息安全管理 使用規(guī)則 實施指南 風(fēng)險評估 4 煙草行業(yè)信息安全等級保護規(guī)范 5 《信息系統(tǒng)安全等級保護基本要求》 6 《信息系統(tǒng)安全等級保護實施指南》 7 GB22080-2008-T 信息技術(shù) 安全技術(shù) 信息安全管理體系 要求 8 GB22081-2008-T 信息技術(shù) 安全技術(shù) 信息安全管理實用規(guī)則 9 GB50174-2008 電子信息系統(tǒng)機房設(shè)計規(guī)范 10 GBT 20270-2006 信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求 11 GBT 21028-2007 信息安全技術(shù) 服務(wù)器安全技術(shù)要求 12 GBT 21052-2007 信息安全技術(shù) 信息系統(tǒng)物理安全技術(shù)要求 參考的相關(guān)標準 項目實施采取的程序和可能用到的工具 ISO27001信息安全管理體系實施方法（2） 項目啟動和差異分析 項目啟動會議，確定項目團隊、建立項目組管理架構(gòu) 信息安全管理現(xiàn)狀的快速評估 信息安全管理體系差異分析 設(shè)計信息安全方針 設(shè)計信息安全管理組織架構(gòu) 信息安全管理培訓(xùn) 階段項目總結(jié)會議 項目計劃 差異分析報告 信息安全管理組織架構(gòu) 信息安全方針 階段 主要任務(wù) 主要交付品 風(fēng)險評估 資產(chǎn)收集及風(fēng)險評估方法與標準 資產(chǎn)級別劃分標準 技術(shù)弱點掃描報告 資產(chǎn)清單、威脅列表、脆弱性列表、風(fēng)險列表 風(fēng)險評估報告 制定資產(chǎn)識別標準
（包含保密級別劃分） 資產(chǎn)收集及風(fēng)險評估方法培訓(xùn) 信息資產(chǎn)收集 識別威脅、脆弱性、并安全漏洞掃描 評估風(fēng)險，劃分風(fēng)險等級 階段項目總結(jié)會議 體系設(shè)計與發(fā)布 風(fēng)險容忍標準及風(fēng)險處置計劃 適用性聲明 ISMS制度和流程 ISM