信息安全、信息技術（IT）服務

管理體系簡介

2024/9/242本次交流的主要內容交流內容二、體系介紹21一、背景介紹3三、體系比較4四、概括總結2024/9/243本次交流的主要內容交流內容1一、背景介紹2024/9/244背景介紹我們身邊的信息化：●電腦→筆記本→寬帶●露天電影→家庭影院●銀行取款→刷卡購物●電話→手機→可視電話●手寫情書→依妹兒●電子商務、電子政務……“信息”是有意義的數據Internet技術的飛速增長2024/9/245背景介紹復雜程度InternetEmailWeb瀏覽Intranet站點電子商務電子政務電子交易時間2024/9/246背景介紹信息化出現的新問題：●網上信息可信度差●垃圾電子郵件●信息竊取●網絡入侵●……人們享受信息化便利的同時遭受信息安全問題的困擾！！在Internet上誰又知道我是只狗呢？^Q^2024/9/247背景介紹●基于互聯網的信息安全問題●基于物理環境的信息安全問題（靜電、灰塵、鼠蟻蟲害…）●基于自然災害的信息安全問題●基于人為因素的信息安全問題……2024/9/248體系介紹安全涉及的因素：網絡安全信息安全物理安全文化安全2024/9/249體系介紹物理安全容災集群備份環境溫度電磁濕度2024/9/2410體系介紹網絡安全因特網安全漏洞危害在增大信息對抗的威脅在增加研究安全漏洞以防之電力交通通訊控制廣播工業金融醫療研究攻防技術以阻之網絡對國民經濟的影響在加強因特網2024/9/2411體系介紹信息安全信息竊取信息傳遞信息冒充信息篡改信息抵賴加密技術完整性技術認證技術數字簽名2024/9/2412背景介紹典型案例：★1999年1月，美國黑客組織“美國地下軍團”聯合了波蘭、英國等黑客組織有組織地對我國的政府網站進行了攻擊。★伊朗核電站被“末日炸彈”病毒攻擊，夾在win32中運行，攻擊公控設備。和U盤使用有關。2024/9/2413背景介紹典型案例：★2005年6月19日，萬事達公司儲存有大約4千萬信用卡客戶信息的電腦系統遭到一名黑客入侵。被盜賬號的信息資料在互聯網上公開出售，每條100美元，并被用于金融欺詐活動。★2005年7月12日下午2時35分，承載著超過200萬用戶的北京網通ADSL和LAN寬帶網，突然同時大面積中斷。經緊急搶修，至3時30分左右開始網絡逐漸恢復正常。這次事故大約影響了20萬北京網民。2024/9/2414背景介紹典型案例：★中國電子商務協會等機構聯合發布《2012年中國網站可信驗證行業發展報告》顯示，截止2012年6月底，在過去的一年間，在網購用戶中，有31.8%的網民（6169萬人）曾直接遭遇詐騙網站。每年因詐騙網站給網民造成的損失不低于308億元。截止2012年6月底，全國團購網站累計誕生總數高達6069家，累計關閉2859家，死亡率達48%。2024/9/2415背景介紹汶川地震“艷照門”事件互聯網、微博信息（虛假、色情、反動言論等）景泰藍技術（掐絲琺瑯）的泄露高考志愿篡改、作弊個人信息、網銀信息泄露……其他典型案例：2024/9/2416背景介紹信息安全的根源：內因：網絡和系統的自身缺陷與脆弱性。外因：國家、政治、商業和個人利益沖突。2024/9/2417背景介紹常用攻擊技術見下圖：利用弱口令入侵利用系統漏洞入侵利用網絡監聽入侵利用網絡欺騙入侵拒絕訪問服務攻擊利用網絡病毒攻擊其它網絡入侵方式典型網絡入侵技術2024/9/2418背景介紹信息丟失、篡改、銷毀內部、外部泄密拒絕服務攻擊邏輯炸彈黑客攻擊計算機病毒后門、隱蔽通道蠕蟲特洛伊木馬網絡2024/9/2419背景介紹產生的背景：

以上案例僅僅是冰山一角。從這些案例可以看出，信息資產一旦遭到破壞，將給組織或個人帶來直接的經濟損失，損害聲譽和公眾形象，喪失市場機會和競爭力，更為甚者，會威脅到組織的生存甚至國家安全。信息安全問題出現的初期，人們主要依靠信息安全的技術和產品來解決信息安全問題。但人們發現僅僅靠這些產品和技術還不夠，即使采購和使用了足夠先進、足夠多的信息安全產品，如防病毒、防火墻、入侵檢測、隱患掃描等，仍然無法避免一些信息安全事件的發生。2024/9/2420背景介紹三分技術七分管理2024/9/2421背景介紹體系的誕生：

人們開始逐漸意識到管理在解決信息安全問題中的作用。于是ISMS應運而生。2000年12月，國際標準化組織發布一個信息安全管理的標準－ISO/IEC17799:2000“信息安全管理實用規則，2005年6月，對該標準進行了修訂，頒布了ISO/IEC17799:2005（現已更名為ISO/IEC27002:2005），10月，又發布了ISO/IEC27001:2005“信息安全管理體系要求”。之后又發布了IS0／IEC20000一1：2005“信息技術服務管理第1部分：規范”和IS0／IEC20000一2：2005“信息技術服務管理第2部分：實踐規則”2024/9/2422背景介紹體系的產生：

信息安全管理體系（InformationSecurityManagementSystem，簡稱為ISMS）是1998年前后從英國發展起來的信息安全領域中的一個新概念，是管理體系思想和方法在信息安全領域的應用。IT服務管理體系（Informationtechnology—ServiceManagementSystem，簡稱為ITSMS），從2002年開始提出此理念。2024/9/2423背景介紹體系的重要性：如今，我們已經身處信息和網絡時代，“計算機和網絡”已經成為組織重要的生產工具，“信息”成為主要的生產資料和產品，組織的業務越來越依賴計算機、網絡和信息，它們共同成為組織賴以生存的重要信息資產。可是，計算機、網絡和信息等信息資產在服務于組織業務的同時，也受到越來越多的安全威脅。病毒破壞、黑客攻擊、信息系統癱瘓、網絡欺詐、重要信息資料丟失以及利用計算機網絡實施的各種犯罪行為，人們已不再陌生，隨時在我們身邊發生。2024/9/2424背景介紹體系的重要性：

ISMS迅速被全球接受和認可，成為世界各國、各種類型、各種規模的組織解決信息安全問題的一個有效方法。目前，在信息安全管理體系方面，ISMS標準已經成為世界上應用最廣泛與典型的信息安全管理標準。ITSMS標準成為信息技術服務管理的典型規范和實踐規則。這兩體系認證成為組織向社會及其相關方證明其信息安全水平和服務能力的一種有效途徑。建立體系是組織的一項戰略性決策,保障信息安全和信息技術服務是一種系統性的工作。2024/9/2425背景介紹體系的重要性：

另外，在實際運行中，體系認證已經成為招投標項目中的重要組成部分。傳統三個體系一般各占一分，ISMS在招投標中也越來越受到重視，除了金融、銀行、IT相關行業是必然加分項之外，其他行業也逐漸成為加分項，例如印刷行業（母嬰三證招投標中，除了國家秘密載體復制證之外，ISMS認證單獨占一分）。ISMS認證和ITSMS認證會在今后招投標項目中更多的引用。2024/9/2426背景介紹體系的現狀：

我們國家非常重視信息安全。2002年4月,我國成立了“全國信息安全標準化技術委員會(TC260)”。2006年3月，認監委批準4家ISMS試點認證機構。CNCA于2009年發布第47號公告《關于正式開展信息安全管理體系認證工作的公告》。到目前為止，經CNAS批準的ISMS認證機構有5家，經CNCA批準的ISMS認證機構有14家。2024/9/2427背景介紹體系的現狀：

2010年8月12日，由工業和信息化部、國家質量監督檢驗檢疫總局、中國人民銀行、國務院國有資產監督管理委員會、國家保密局、國家認證認可監督管理委員會等6部委聯合下發了《關于加強信息安全管理體系認證安全管理的通知》的394號文件。目前，ITSMS還沒有單獨成為體系進行認證，一般和ISMS結合進行，2012年8月CNCA已經正式啟動ITSMS認證機構申請材料上報工作。2024/9/2428背景介紹體系的現狀：截止2009年9月，全球有5941個組織獲得了ISMS認證；截止到2009年4月，我國獲得信息安全管理體系認證證書的機構約有200家。獲得認證組織的數量正在呈快速增長趨勢。我們埃爾維已經正式提交申請ISMS認證資格的申報材料，不久就能獲得CNCA的批準，隨后我們將繼續申請ITSMS的認證資格，讓我們共同期待。2024/9/2429背景介紹體系的不足：

ISMS和ITSMS標準是2005年正式發布的，7年來信息技術有了飛速的發展和變化，有些條款和措施已經不完全符合現實情況，不能完全滿足現在的要求。ISO組織正對ISMS進行修訂之中，預計明后年就會發布新版的標準，ITSMS也會隨之更新。2024/9/2430本次交流的主要內容交流內容二、體系介紹2什么是ISMS？2024/9/2432體系介紹信息安全管理體系（ISMS）：基于業務風險方法，建立、實施、運行、監視、評審、保持和改進信息安全的體系，是一個組織整個管理體系的一部分，注：管理體系包括組織結構、方針策略、規劃活動、職責、實踐、規程、過程和資源。信息安全是指：保護信息的保密性(C)、完整性(I)、可用性(A)；另外也可包括如：真實性、可核查性、不可否認性和可靠性等。信息資產的安全屬性：保密性：信息不能被未授權的個人、實體或者過程利用或知悉的特性。完整性：保護資產的準確和完整的特性。可用性：根據授權實體的要求可訪問和利用的特性。真實性：保證主體或資源確系其所聲稱的身份的特性。可核查性：確保實體行為能被有效跟蹤的特性。可靠性：與預想的行為和結果相一致的特性。是信息資產最重要的三個屬性，國際上稱之為信息的CIA屬性或者信息安全金三角。保密性完整性可用性安全2024/9/2434體系標準介紹

ISO/IEC27000族系列標準1.ISO/IEC27000：2009《信息安全管理體系原理和術語》2.ISO/IEC27001：2005《信息安全管理體系要求》=GB/T22080-2008《信息技術安全技術信息安全管理體系要求》3.ISO/IEC27002：2005《信息安全管理實踐規則》

4.ISO/IEC27003：2008《信息安全管理體系實施指南》5.ISO/IEC27004：2008《信息安全管理測量與指標》

2024/9/2435體系標準介紹

ISO/IEC27000族系列標準6.ISO/IEC27005：2011《信息安全風險管理》7.ISO/IEC27006：2007《信息安全管理體系審核認證機構要求》=CNAS-CC17：20128.ISO/IEC27007：2011《信息安全管理體系審核指南》9.ISO/IEC27008：2011《ISMS控制措施審核員指南》10.ISO/IEC27010：2012《部門間和組織間通信的信息安全管理》11.ISO/IEC27011：2009《電信業信息安全管理指南》2024/9/2436體系標準介紹前言引言1、范圍2、規范性引用文件3、術語和定義4、信息安全管理體系（ISMS）5、管理職責6、ISMS內部審核7、ISMS的管理評審8、ISMS改進附錄A（規范性附錄）控制目標和控制措施附錄B（資料性附錄）OECD原則和本標準附錄C（資料性附錄）GB/T19001-2000，GB/T24001-2004和本標準之間的對照參考文獻組織聲稱符合本標準時，對于第4章、第5章、第6章、第7章和第8章的要求不能刪減。2024/9/2437體系標準介紹

ISMS標準刪減要求：此標準特別強調：對于第4章信息安全管理體系（ISMS）、第5章管理職責、第6章ISMS內部審核、第7章ISMS的管理評審和第8章ISMS改進的要求不能刪減。只有針對附錄A的控制措施可以進行必要的刪減，但必須證明是合理的，且需要提供證據。2024/9/2438體系標準介紹相關方受控的信息安全信息安全要求和期望相關方檢查Check建立ISMS實施和運行ISMS保持和改進ISMS監視和評審ISMS規劃Plan實施Do處置Act此標準采用PDCA模型：2024/9/2439體系標準介紹GB/T22080-2008的主體：4-8章4信息安全管理體系（ISMS)4.1總要求4.2建立和管理ISMS4.2.1建立ISMS4.2.2實施和運行ISMS4.2.3監視和評審ISMS4.2.4保持和改進ISMS4.3文件要求4.3.1總則4.3.2文件控制4.3.3記錄控制PDCA循環2024/9/2440體系標準介紹GB/T22080-2008的主體：4-8章5管理職責5.1管理承諾5.2資源管理5.2.1資源提供5.2.2培訓、意識和能力6ISMS內部審核7ISMS的管理評審7.1總則7.2評審輸入7.3評審輸出8ISMS改進8.1持續改進8.2糾正措施8.3預防措施2024/9/2441體系標準介紹ISMS的適用范圍：適用于各種類型、規模和特性的組織（例如：商業企業、政府機構、非盈利組織等），規定了為適應不同組織或其部門的需要而定制的安全控制措施的實施要求（絕不只針對IT行業和組織的IT部門）。如：金融、銀行……印刷該標準僅僅指出應該使用體系化的方法進行風險評估（風險評估的方法、法律要求、降低風險到可接受級別的策略和目標）。該標準并沒有規定一個特定的方法論。2024/9/2442體系標準介紹ISMS的適用范圍：按照394號文件要求：為加強信息安全管理體系認證的安全管理,減少信息安全風險，各級政府機關和政府信息系統運行單位,不得利用社會第三方認證機構開展ISMS認證。為確保國家秘密安全,涉密信息系統建設使用單位不得申請ISMS認證。應選擇國家認證認可監督管理部門批準從事ISMS認證的認證機構進行認證,并簽訂安全和保密協議,履行不泄露、不擴散、不轉讓認證信息的義務,保證重要敏感信息不出境。2024/9/2443體系標準介紹ISMS標準的特點：ISO/IEC27001標準用于為建立、實施、運行、監視、評審、保持和改進ISMS提供模型。采用ISMS應當是一個組織的一項戰略性決策。一個組織的ISMS的設計和實施受業務需求和目標、安全需求、經營狀況、所采用的過程以及組織的規模和結構的影響，上述因素及其支持過程會不斷發生變化。按照組織的實際需要實施ISMS是該標準所期望的，例如簡單的情況可采用簡單的ISMS解決方案。——（最佳合理可行）2024/9/2444體系標準介紹ISMS標準的特點：ISO27001標準可以作為評估組織滿足顧客、組織本身及法律法規的信息安全要求的能力的依據，無論是組織自我評估還是評估供方能力，都可以采用，也可以用作獨立第三方認證的依據。標準的特點為：*注重體系的完整性，是一套科學的ISMS

*強調對法律法規的符合性*以風險評估為基礎，采用PDCA的過程方法*適用于各種類型、不同規模和業務性質的組織*與其他管理體系兼容（例如ISO9000標準等）2024/9/2445體系標準介紹附錄A內容簡介：附錄A——《控制目標和控制措施》包括11大控制領域（見圖1）、39個控制目標和133項控制措施，為組織提供全方位的信息安全保障。附錄A是規范性附錄，和標準等同使用，可以作為認證時判標的依據。附錄A中所列的控制目標和控制措施是直接源自并與GB/T22081-2008(ISO/IEC27002:2005)第5章到第15章一致。附錄A中的清單并不詳盡，一個組織可能考慮另外必要的控制目標和控制措施。在附錄A中選擇控制目標和控制措施是條款4.2.1規定的ISMS過程的一部分。2024/9/2446體系標準介紹2024/9/2447體系標準介紹附錄A小結：包括11個域，匯集了39個控制目標、133個控制措施；目的是保護信息免受各種威脅的損害，以確保業務連續性、業務風險最小化、投資回報和商業機遇最大化；是實施GB/T22080-2008的支持標準，給出了組織建立信息安全管理體系（ISMS）時可選擇實施的控制目標和控制措施集；是一個信息安全最佳實踐的匯總；值得注意的是，標準中推薦的這133個控制措施，并非信息安全控制措施的全部。組織可以根據自己的情況選擇使用標準以外的控制措施來實現組織的信息安全目標。

2024/9/2448體系標準介紹信息安全基本觀點：絕對的安全不存在

任何安全機制的作用，都是為了在既定的安全目標和允許的投資規模下，有效地抑制和避免系統當前所面臨的安全風險，而不是一勞永逸地解決所有的問題。依據業務需求和運營需求，保密性(C)，完整性(I)，可用性(A)三者追求一種平衡，不能把其一搞成極致。否則，會導致無法運行。2024/9/2449體系標準介紹

ISMS標準重點內容：體系的核心理念是通過“風險評估”、“風險管理”切入企業的信息安全需求，經由完整的控制措施選擇及落實，有效降低企業面臨的風險。風險評估是識別風險（資產、威脅、脆弱性、影響）的過程，該過程包括分析威脅,確定影響范圍，發現信息、信息系統和過程機制中的脆弱性，并判斷發生的可能性。風險評估有不同方法，在ISO/IECTR13335-3中描述了風險評估方法的例子。2024/9/2450體系標準介紹風險管理關系圖：風險分析風險評估風險管理風險評價

風險處置

2024/9/2451體系標準介紹

ISMS標準重點術語：風險管理：指導和控制一個組織相關風險的協調活動。風險評估：風險分析和風險評價的整個過程。（有多種風險評估方法和工具可以選擇）風險分析：系統地使用信息來識別風險來源和估計風險。（可以是定性、定量或二者結合）風險評價：將估計的風險與給定的風險準則加以比較以確定風險嚴重性的過程。（賦值）R（風險值）=L（可能性）×S（后果嚴重性）2024/9/2452體系標準介紹

ISMS標準重點術語：風險處置：選擇并且執行措施來更改風險的過程。風險處置方法有：接受風險、轉移風險、規避風險和降低風險。威脅：可能導致對系統或組織的損害的任何不期望事件的潛在原因。脆弱性：資產可被威脅利用的弱點。（如技術脆弱性中的系統軟件XP→VISTA→WIN7打補丁）風險水平：風險等級，可用后果和可能性的組合來表示。R（風險值）=L（可能性）×S（后果嚴重性）2024/9/2453體系標準介紹

ISMS標準重點術語：適用性聲明(SOA)：描述與組織的信息安全管理體系相關的和適用的控制目標和控制措施的文件。注：控制目標和控制措施是基于風險評估和風險處置過程的結果和結論、法律法規要求、合同義務以及組織對信息安全的業務要求。1、適用于組織需要的目標和控制的評述。2、適用性聲明是一個包含組織所選擇的控制目標和控制方式的文件，相當于一個控制目標與方式清單：其中應闡述選擇與不選擇的理由。2024/9/2454體系標準介紹

ISMS標準重點內容：ISMS范圍的復雜性：應依據組織的：雇員+簽約人員的數量、用戶數量、場所數量、服務器數量、工作站+PC+便攜式計算機的數量、應用開發與維護人員的數量、網絡與密碼技術、法律符合性的重要性、行業特定風險的適用性等因素去確定。ISMS范圍的復雜性的整體有效類別可以是所識別的全部復雜性因素的類別中最高的那個，結果即為：“高”、“中”或“低”。2024/9/2455體系標準介紹

ISMS標準重點內容：不同組織的風險準則、風險分析的方法和風險評價的結果會有所不同，對于資產賦值、威脅賦值、脆弱性賦值也會有所不同。同樣一個風險在不同組織可能評價的風險程度會有所不同。由于風險的不確定性，不要期望完全消除風險。2024/9/2456體系標準介紹什么是ITSMS？2024/9/2458體系介紹信息技術服務管理體系（ITSMS）：

IT服務管理是一套以流程為導向、以客戶為中心的方法，通過整合IT服務與組織業務，提高企業提供IT服務和對IT服務進行支持的能力的水準。信息技術服務管理（ITSM）是一套幫助企業對IT系統的規劃、研發、實施和運營進行有效管理的方法，是一套方法論。這套標準已經被歐洲、美洲和澳洲的很多企業采用，目前在歐洲40-60%的IT經理都知道ITSM，在美國有20-30%的IT經理了解ITSM,而在國內了解ITSM的人還很少。2024/9/2459體系介紹信息技術服務管理體系（ITSMS）：ITSM起源于ITIL（IT基礎架構標準庫），ITIL是CCTA（英國國家電腦局）于1980年開發的一套IT服務管理標準庫。它把英國在IT管理方面的方法歸納起來，變成規范，為企業的IT部門提供一套從計劃、研發、實施到運維的標準方法。信息技術服務管理體系（ITSMS）是能夠提供ITSM的體系，是整個管理體系的一部分。2024/9/2460體系標準介紹

ISO/IEC20000系列標準1.IS0／IEC20000一1：2005=GB／T24405．1—2009《信息技術服務管理第1部分：規范》——認證的依據2.IS0／IEC20000一2：2005=GB／T24405．2—2010《信息技術服務管理第2部分：實踐規則》——主要涉及IT服務管理過程的最佳實踐指南，旨在為審核員提供指南，也為服務提供方策劃服務改進或依據GB／T24405-1進行審核提供幫助2024/9/2461體系標準介紹

ITSMS-1部分標準內容簡介：ISO/IEC20000系列標準是基于全球公認的ITIL最佳實踐，于2005年12月15日由ISO/IEC對外正式頒布與執行的IT服務管理國際標準。它是全球第一部最具國際影響力的IT服務管理體系標準規范。秉承“以客戶為導向，以流程為中心”的先進理念，強調按照PDCA的方法論持續改進組織所提供的IT服務，通過采用系統的流程方法，有效的向客戶提供滿足業務與客戶需求的高質量服務，從而最終保證以最低的成本提供質量穩定的IT服務，保證業務持續運作的能力。2024/9/2462體系標準介紹

ITSMS-1部分標準內容簡介：幾個重要術語：1、基線：在某個時間點上服務或各個配置項的狀態。2、配置項：處于或將處于配置管理之下的基礎設施部件或項。注：配置項在復雜性、規模和類型方面變化可能很大，配置項可以是整個系統，包括所有的硬件、軟件和文檔，也可以是單個模塊或很小的硬件部件。3、發布：經測試且被引入實際運行環境的新配置項和（或）變更的配置項的集合。2024/9/2463體系標準介紹

ITSMS-1部分標準內容簡介：幾個重要術語：4、服務臺：面向顧客的、完成大部分支持工作的支持組。5、服務級別協議（SLA）：服務提供方與顧客之間簽署的、描述服務和約定服務級別的協議。6、可用性：在規定時刻或規定時間段內，部件或服務執行要求功能的能力。注：可用性通常用機構使用的實際可用服務時間與約定服務時間的比率來表示。2024/9/2464體系標準介紹ITSMS-1標準主要內容簡介：1范圍2術語和定義3管理體系要求3.1管理職責3.2文件要求3.3能力、意識和培訓4策劃和實施服務管理4.1策劃服務管理（策劃）4.2實施服務管理和提供服務（實施）4.3監視、測量和評審（檢查）4.4持續改進（處置）2024/9/2465體系標準介紹此標準采用PDCA模型：2024/9/2466體系標準介紹

ITSMS-1標準主要內容簡介：5策劃和實施新服務或變更的服務6服務交付過程6.1服務級別管理6.2服務報告6.3服務連續性和可用性管理6.4IT服務的預算與核算6.5能力管理6.6信息安全管理7關系過程7.1概述7.2業務關系管理7.3供方管理2024/9/2467體系標準介紹

ITSMS-1標準主要內容簡介：8解決過程8.1背景8.2事件管理8.3問題管理9控制過程9.1配置管理9.2變更管理10發布過程10.1發布管理2024/9/2468體系標準介紹2024/9/2469體系標準介紹

ITSMS-2部分標準內容簡介：作為實踐規則此部分采用指南和建議的形式針對第一部分（規范）的10項主要內容提出了具體要求。描述了在ISO/IEC20000的第1部分中的服務管理的最佳實踐，對如何實現第1部分提供了建議和指導。可用于大規模也可用于小規模的服務提供方。此部分不宜作為規范引用。2024/9/2470體系標準介紹ITSMS標準的適用范圍：*將以其服務進行投標的機構；*要求供應鏈中的所有服務提供方采用一致的方法的機構；*要確定IT服務管理基準的服務提供方；*獨立評估的基礎；*需要證明其可提供滿足顧客要求的服務的能力的組織；*意欲通過過程的有效應用來監視和提高服務質量，從而改善服務的組織。2024/9/2471體系標準介紹ITSMS標準的特點：*

標準為服務提供方定義了向其顧客交付可接受質量的管理服務的要求，規定了一些緊密相關的服務管理過程，這些過程之間的關系取決于組織內的應用。*

作為基于過程的標準，ISO/IEC20000-1的目的并非用于產品評估。但是開發服務管理工具、產品和系統的組織可以使用本標準及其實踐規則來幫助他們開發支持最佳實踐服務管理的工具、產品和系統。2024/9/2472體系標準介紹ITSMS標準的特點：*

標準與《信息技術---服務管理---第2部分:實踐規則》一起覆蓋了ITIL中的全部最佳實踐集，便于已實施ITIL的企業轉化應用，易于對實施ITIL有經驗的人士理解和接受；*

與MOF(微軟運作構架)、COBIT（信息和相關技術的控制目標）等IT服務管理模型有共同的技術及管理方法基礎；*

與ISO9000、CMMI（軟件能力成熟度模型）、ISO/IEC27001等具有良好的兼容性。2024/9/2473本次交流的主要內容交流內容3三、體系比較2024/9/2474體系比較ISMS、QMS、EMS、OHSMS、ITSMS等體系之間共同點：*

互相兼容；*

均采用PDCA（“戴明環”）過程方法；*

均以CNAS-CC01:2011管理體系認證機構要求作為基本要求；*

只要ISMS以及與其他管理體系的適當接口能夠清楚地被識別，客戶組織可以將ISMS文件與其他管理體系文件（例如，質量、環境和健康與安全）相結合。2024/9/2475體系比較ISMS、QMS、EMS、OHSMS、ITSMS等體系之間共同點：*

都必須具備體系文件、程序、職責、方針、目標指標、內審、管理評審、相關法律法規、糾正措施、預防措施等文件和過程；*

可以相互組合建立一體化管理體系，實現多體系結合認證；*

認證證書的使用與管理相同（3年有效，1年之內監督審核，認證標志不能用于產品等）；*

審核人日安排的基本準則相同；*

都是體系認證，認證流程相同。2024/9/2476體系比較ISMS、QMS、EMS、OHSMA、ITSMS等體系之間不同點：*

領域不同；*

適用范圍有所不同（Q/E/H/IS全部適用，IT有些局限）；*

關注的側重點有所不同；*

條款的刪減有所不同（Q7.3、E/H/IT不允許刪減、IS只能對附錄A有所刪減）；2024/9/2477體系比較ISMS、QMS、EMS、OHSMA、ITSMS等體系之間不同點：*

對審核員的能力要求有所不同（ISMS、ITSMS對專業要求更嚴格）；*

認證費用有所不同；*

ISMS需要提供適用性聲明（SOA）文件；*ITSMS暫時還沒有成為單獨體系。2024/9/2478信息安全、質量、環境、IT服務管理體系對應表2024/9/2479信息安全、質量、環境、IT服務管理體系對應表2024/9/2480信息安全、質量、環境、IT服務管理體系對應表2024/9/2481本次交流的主要內容交流內容4四、概括總結2024/9/2482概括總結建立信息安全管理體系的作用：任何組織，不論它在信息技術方面如何努力以及采納如何新的信息安全技術，實際上在信息安全管理方面都還存在漏洞，例如：

缺少信息安全管理論壇，安全導向不明確，管理支持不明顯；

缺少跨部門的信息安全協調機制；

保護特定資產以及完成特定安全過程的職責還不明確；

雇員信息安全意識薄弱，缺少防范意識，外來人員很容易直接進入生產和工作場所；2024/9/2483概括總結建立信息安全管理體系的作用：

組織信息系統管理制度不夠健全；

組織信息系統主機房安全存在隱患，如：防火設施存在問題，與危險品倉庫同處一幢辦公樓等；

組織信息系統備份設備仍有欠缺；

組織信息系統安全防范技術投入欠缺；

軟件知識產權保護欠缺；

計算機房、辦公場所等物理防范措施欠缺；2024/9/2484概括總結建立信息安全管理體系的作用：

檔案、記錄等缺少可靠貯存場所；

缺少一旦發生意外時的保證生產經營連續性的措施和計劃；

……等等。建立ISMS和ITSMS就可以有效解決以上問題。2024/9/2485概括總結

ISMS認證對企業的好處：

符合法律法規要求，降低法律風險；

強化員工的信息安全意識，規范組織信息安全行為；

增強客戶、合作伙伴等相關方的信任和信心；

保持組織良好的競爭力和成功運作的狀態，提高在公眾中的形象和聲譽，提高組織的品牌、知名度與信任度，最大限度的增加投資回報和商業機會；

促使管理層堅持貫徹信息安全保障體系，履行信息安全管理責任；2024/9/2486概括總結

ISMS認證對企業的好處：

實現風險管理，預防信息安全事故，保證組織業務的連續性，使組織的重要信息資產受到與其價值