信息安全管理體系

(ISMS)

基礎知識培訓ISO27001

信息安全管理體系培訓基礎知識目表錄·

什么是信息·

什么是信息安全·

為什么實施信息安全管理·

如何實施信息安全管理·

信息安全管理體系

(ISMS)

概述·

信息安全管理體系

(ISMS)

標準介紹·

信息安全管理體系

(ISMS)

實施控制重點ISO27001

信息安全管理體系培訓基礎知識·

什么是信息·

什么是信息安全·

為什么實施信息安全管理·

如何實施信息安全管理·

信息安全管理體系

(ISMS)

概述·

信息安全管理體系

(ISMS)

標準介紹·

信息安全管理體系

(ISMS)

實施控制重點ISO27001

信息安全管理體系培訓基礎知識什么是信息信息通常指消息、情報、數據和知識等，在ISO/IEC27001

標準中信息是指對組織具有重要價值，可以通過多媒體傳遞和存儲的一種資產。什

么

是

信

息ISO27001

信息安全管理體系培訓基礎知識·

什么是信息·

什么是信息安全·

為什么實施信息安全管理·

如何實施信息安全管理·

信息安全管理體系

(ISMS)

概述·

信息安全管理體系

(ISMS)

標準介紹·

信息安全管理體系

(ISMS)

實施控制重點ISO27001

信息安全管理體系培訓基礎知識信息安全的作用是保護信息業務涉及范圍不受威脅所干擾，使組織業務暢順，減少損失及增大投資回報和

商機。在ISO/IEC27001

標準中信息安全主要指信息的

機密性、完整性和可用性的保持。即指通過采用計算

機軟硬件技術、網絡技術、密鑰技術等安全技術和各

種組織管理措施，來保護信息在其生命周期內的產生、

傳輸、交換、處理和存儲的各個環節中，信息的機密

性、完整性和可用性不被破壞。什么是信息安全ISO27001

信息安全管理體系培訓基礎知識什么是信息安全-信息的機密性信息的機密性是指確保授予或特定權限的人才能訪問到信息。信息的機密性依據信息被允許訪問對象的多

少而不同，所有人員都可以訪問的信息為公開信息，

需要限制訪問的信息為敏感信息或秘密信息，根據信

息的重要程度和保密要求將信息分為不同密級。

一般

分為秘密、機密和絕密三個等級，已授權用戶根據所

授予的操作權限可以對保密信息進行操作。ISO27001

信息安全管理體系培訓基礎知識信息的完整性是指要保證信息使用和處理方法的正確性和完整性。信息完整性一方面是指在使用、傳輸、

存儲、備份、交換信息的過程中不發生篡改信息、丟

失信息、錯誤信息等現象；另一方面是指信息處理方

法的正確性，信息備份、系統恢復、銷毀等處理不正

當的操作，有可能造成重要文件的丟失，甚至整個系

統的癱瘓。什么是信息安全一信息的完整性ISO27001

信息安全管理體系培訓基礎知識什么是信息安全一信息的可用性可

用

性信息的可用性是指確保已被授權的用戶訪問時得到所需要信息。即信息及相關信息資產在授權人需要時可立即

獲得。例如，通信線路中斷故障、網絡的擁堵會造成信

息在一段時間內不可用，影響正常的業務運營，這是信

息可用性的破壞。提供信息的系統必須能適當地承受攻

擊并在失敗時及時恢復。另外還要保證信息的真實性和有效性，即組織之間或組織與合作伙伴間的商業交易和信息交換是可信賴的。ISO27001

信息安全管理體系培訓基礎知識·

什么是信息·

什么是信息安全·

為什么實施信息安全管理·

如何實施信息安全管理·

信息安全管理體系

(ISMS)

概述·

信息安全管理體系

(ISMS)

標準介紹·

信息安全管理體系

(ISMS)

實施控制重點ISO27001

信息安全管理體系培訓基礎知識實施信息管理原因：自1987年以來，全世界已發現超過50000種計算機病毒，2000年爆發的“愛蟲”病毒給全球

用戶造成了100億美元的損失；美國每年因信息與網絡安全

問題所造成的損失高達75億美元。即使是防備森嚴的美國

國防信息系統2000年也受到25萬次黑客攻擊，且成功進入

率高達63%。然而，能對組織造成巨大損失的風險主要還是來源于組織內部，國外統計結果表明企業信息受到的損失中，70%是

由于內部員工的疏忽或有意泄密造成。ISO27001

信息安全管理體系培訓基礎知識實施信息管理原因：多數計算機使用者很少接受嚴格的信息安全意識培訓，每天都在以不安全的方式處理企業的大量重要信息，而且企業的合作單位、咨詢機構等外部

人員都以不同的方式使用企業的信息系統，對企業的信息

系統構成了潛在的威脅。如員工為了方便記憶系統登錄口

令而在明顯處粘一便條，就足以毀掉花費了大量成本建立的信息系統。許多對企業心存不滿的員工把“黑”掉企業網站，偷竊并散布客戶敏感信息，為競爭對手提供機密資

料，甚至破壞關鍵信息系統作為報復企業，致使企業蒙受

了巨大的經濟損失。ISO27001

信息安全管理體系培訓基礎知識實施信息管理原因：目前單一的技術手段已難以解決企業信息安全問題，只有建立一套完善的信息安全管理流程并嚴格執行，才能有效降低信息安全風險，保障企業信

息業務的連續性。實施信息管理必然性：

實踐證明信息安全是個復雜的系統問題，解決系統性安全問題，必須以系統的方法來解決，建立管理體系(明確方針和目標并實現這些目標的體系，是系統性解決復雜問題的有效方法。為了保證信息安全管理的有效性、充分性和適

宜性組織需要建立信息安全管理體系(ISMS),

信息安全管理體系通過固化信息安全管理范圍，制定信息安全管理策略方針與與目標，明確信息安全管理職責、落實控制目標并選擇控制措施進行

管控，全面系統保障管理信息的安全。ISO27001

信息安全管理體系培訓基礎知識實施信息管理必然性：·

從系統論觀點來看，

一個體系(系統)必須具有自組織、自學習、自適應、自修復、自生長的能力和功能才可以保證其持續有效

性。·

信息安全管理體系通過不斷的識別組織和相關方的信息安全要求，不斷的識別外界環境和組織自身的變化，不斷的學習采用

最新的管理理念和技術手段，不斷的調整自己的目標、方針、

程序和過程等，才可以實現持續的安全。本標準可以適合于不同性質、規模、結構和環境的各種組織。因為不擁有成熟的IT系統而擔心不可能通過ISO/IEC

27001認

證是不必要的。ISO27001

信息安全管理體系培訓基礎知識實施信息管理必然性：·

如果因為預算困難或其他原因，不能一下子降低所有不可接受風險到可接受程度時，能否通過體系認證，也是很多

人關心的問題。通常審核員關心的是組織建立的ISMS

是否

完整，是否運行正常，是否有重大的信息安全風險沒有得

到識別和評估。有小部分的風險暫時得不到有效處置是允

許的，當然“暫時接受”的不可接受風險不可以包括違背法律法規的風險。ISO27001

信息安全管理體系培訓基礎知識·

什么是信息·

什么是信息安全·

為什么實施信息安全管理·

信息安全管理體系

(ISMS)

概述·

信息安全管理體系

(ISMS)

標準介紹·

信息安全管理體系

(ISMS)

實施控制重點ISO27001

信息安全管理體系培訓基礎知識本標準用于為建立、實施、運行、監視、評審、保持和改進信息安全ISMS

概

述管理體系

(Information

Security

Management

System,簡稱ISMS)

提供模型。采用ISMS

應當是一個組織的一項戰略性決策。

一個組織的ISMS

的設計和實施受業務需求和目標、安全需求、所采用的過程以及組織的規模和結構的影響。上述因素及其支持過程會不斷發生變化。期望信息安全管理體系可以根據組織的需求而測量，例如簡單的情形可采用簡

單的ISMS

解決方案。·

本標準可被相關的內部方和外部方運用以評估一致性。ISO27001

信息安全管理體系培訓基礎知識·

什么是信息·

什么是信息安全·

為什么實施信息安全管理·

信息安全管理體系

(ISMS)

概述·

信息安全管理體系

(ISMS)

標準介紹·

信息安全管理體系

(ISMS)

實施控制重點ISO27001

信息安全管理體系培訓基礎知識ISMS標準體系一ISO/IEC27000族介紹27000--信息安全管理體系綜述與術語27001-信息安全管理體系要求27002--信息安全管理體系實踐規范27003--信息安全管理體系實施指南ISO/IEC27000

族27004--信息安全管理體系測量27005--信息安全管理體系信息安全風險管理27006--信息安全管理體系認證機構要求27007信息安全管理體系審核指南ISO27001

信息安全管理體系培訓基礎知識ISO/IEC

17799:2005

信息安全管理實施細則，于2005年6月15日正式發布

；ISO/IEC

27001信息安全管理體系要求，于2005年10月15日正式發布；ISO/IEC

27002信息安全管理體系最佳實踐，于2007年4月正式發布；ISO/IEC

27003

信息安全管理體系實施指南，正在ISMS標準的工作組研究并征求意見階段；ISO/IEC

27004

信息安全管理度量和改進，正在委員會草案階段；ISO/IEC

27005

信息安全風險管理指南，以2005年底剛剛推出的BS7799-3為準。ISO27001

信息安全管理體系培訓基礎知識·

IS09001:2008

質量管理體系·

IS014001:2004

環境管理體系·

ISO/TS16949:2009

汽車行業質量管理體系·

TL9000:

通信行業質量管理體系·

IEC

QC080000:2005

有害物質過程管理體系·

ISOIEC20000:ISO27001

信息安全管理體系培訓基礎知識·

什么是信息·

什么是信息安全·

為什么實施信息安全管理·

信息安全管理體系

(ISMS)

概述·

信息安全管理體系

(ISMS)

標準介紹·

信息安全管理體系

(ISMS)

實施控制重點ISO27001

信息安全管理體系培訓基礎知識A.8人力資源安全A.

12系統獲取開發和維護A.9物理和環境安全A.

14業務持續性管理A.6信息安全組織A.

13信息安全事件管理A.

11訪問控制A.

15符合性A.

16教育培訓A.

7資產管理ISO/IEC27001

控

制

大

項ISO27001信息安全管理體系培訓基礎知識A.

10通信和操作管理A.

5信息安全方針·

安全方針：制定信息安全方針，為信息安全提供管理指導和支持，ISM8

控

制

大

項

說

明·

信息安全組織：建立信息安全基礎設施，管理組織范圍內的信息安全；維護被第三方所訪問的組織的信息處理設施和信息資產的安全，

以及當信息處理外包給其他組織時，確保信息的安全。·資產管理：核查所有信息資產，做好信息分類，確保信息資產受到適當程度的保護。·

人力資源安全：確保所有員工、合同方和第三方了解信息安全威脅和相關事宜，他們的責任、義務，以減少人為差錯、盜竊、欺詐或

誤用設施的風險。ISO27001

信息安全管理體系培訓基礎知識·

物理與環境安全：定義安全區域，防止對辦公場所和信息的未授權ISM

時

控

制

大

項

說

明

的安全，防止信息資產的丟失、損壞或被盜，以及對業務活動的午擾；同時，還要做好一般控制，防止信息和信息處理設施的損壞或被盜。·

通訊和操作管理：制定操作規程和職責，確保信息處理設施的正確和安全操作；建立系統規劃和驗收準則，將系統失效的風險減到最

低；防范惡意代碼和移動代碼，保護軟件和信息的完整性；做好信

息備份和網絡安全管理，確保信息在網絡中的安全，確保其支持性

基礎設施得到保護；建立媒體處置和安全的規程，防止資產損壞和

業務活動的中斷；防止信息和軟件在組織之間交換時丟失、修改或

誤用。ISO27001

信息安全管理體系培訓基礎知識·

訪問控制：制定文件化的訪問控制策略，避免信息系統的未授權訪ISMS

控

制

大

頓

說

明，包括網絡訪問控制、操作系統訪

問控制、應用系統和信息訪向控制、監視系統訪問和使用，定期檢

測未授權的活動；當使用移動辦公和遠程工作時，也要確保信息安

全。信息系統的獲取、開發和維護：標識系統的安全要求，確保安全成為信息系統的內置部分；控制應用系統的安全，防止應用系統中用

戶數據的丟失、被修改或誤用；通過加密手段保護信息的保密性、

真實性和完整性；控制對系統文件的訪問，確保系統文檔的安全；

嚴格控制開發和支持過程，維護應用系統軟件和信息的安全。ISO27001

信息安全管理體系培訓基礎知識·

信

息

安

全

事

故

的

管

理

：

報

告

信

息

安

全

事

件

和

弱

點

，

及

時

采

取

糾

正

措

ISMS

控

制

大

項

說

明

信息安全事故。·

業務連續性管理：目的是為了減少業務活動的中斷，使關鍵業務過程免受主要故障或天災的影響，并確保他們的及時恢復。·

符合性：信息系統的設計、操作、使用和管理要符合法律法規的要求，符合組織安全方針和標準，還要控制系統審核，使系統審核過程的效力最大化、干擾最小化。ISO27001

信息安全管理體系培訓基礎知識ISO/IEC27001

信息安全管理體系將信息安全管理的內容劃分為11個控制域，

39個信息安全管理的控制目標，133項安全控制措施，以下是12項管理大項關

系圖。方針與策略管理風險管理數據/文檔介質管理應用與業務管理主機與系統管理網絡與通信管理

環境與設備管理業務連續性管理15021U01

結總女生官理體示后則基仙知識項目運行維護管理人員與組織管瑚合規性管理工程管理方針與策略

管理確保企業、組織擁有明確的信息安全方針以及配套的策略和制度，以實現

對信息安全工作的支持和承諾，保證信息安全的資金投入。風險管理信息安全建設不是避免風險的過程，而是管理風險的過程。沒有絕對的安

全，風險總是存在的。信息安全體系建設的目標就是要把風險控制在可以

接受的范圍之內。風險管理同時也是一個動態持續的過程。人員與組織

管理建立組織機構，明確人員崗位職責，提供安全教育和培訓，對第三方人員

進行管理，協調信息安全監管部門與行內其他部門之間的關系，保證信息

安全工作的人力資源要求，避免由于人員和組織上的錯誤產生的信息安全

風

險

。環境與設備

管理控制由于物理環境和硬件設施的不當所產生的風險。管理內容包括物理環

境安全、設備安全、介質安全等。網絡與通信

管理控制、保護網絡和通信系統，防止其受到破壞和濫用，避免和降低由于網

絡和通信系統的問題對業務系統的損害。主機與系統

管理控制和保護計算機主機及其系統，防止其受到破壞和濫用，避免和降低由

此對業務系統的損害。信息安全管理體系構成-管理內容ISO27001

信息安全管理體系培訓基礎知識應用與業務

管理對各類應用和業務系統進行安全管理，防止其受到破壞和濫用。數據/文檔/

介質管理采用數據加密和完整性保護機制，防止數據被竊取和篡改，保護業務數據的

安

全

。項目工程管理保護信息系統項目工程過程的安全，確保項目的成果是可靠的安全系統。運行維護管理保護信息系統在運行期間的安全，并確保系統維護工作的安全。業務連續性管理通過設計和執行業務連續性計劃，確保信息系統在任何災難和攻擊下，都能

夠保證業務的連續性。合規性管理確保信息安全保障工作符合國家法律、法規的要求；且信息安全方針、規定

和標準得到了遵循。信息安全管理體系構成--管理內容SU2U1信息安生官理體系培訓基硒知識采用一種過程方法來建立、實施、運行、監視、評審、保持和改進一個組織的ISMSISO27001

信息安全管理體系培訓基礎知識信息安全管理體系PDCA

模型監視和評審

ISMS檢查信息安全要求

和期望被管理的信

息

安

全保持和改進

ISMS實施和運行ISMS建立

ISMS相關方相關方實施計劃改進PDCA模式步驟方法全管理策劃體系PDCA模

型業務特征、地理位置、資產、技術等確定I

S

M

S

的

范

圍

。定義方針方針是信息安全活動的總方向和總原則，是建立目

標的框架，應考慮業務、合同安全義務和法律法規要

求

。確定風險評估的

方法識別適用的風險評估方法，確定風險接收準則，識別可接受的等級