咨詢服務及認證實施 ISO27001信息安全管理體系

目錄

一、ISO27001標準簡介

二、ISO27001信息安全項目實施流程

三、ISO27001認證的價值

 一、 ISO27000系列標準簡介 ISO27000標準族介紹 27000～27009：ISMS基本標準， 27010～27019：ISMS標準族的解釋性指南與文檔 認證機構 認可要求 信息安全基本目標 信息安全通常強調所謂CIA三元組的目標，即保密性、完整性和可用性。CIA概念的闡述源自信息技術安全評估標準（InformationTechnology Security Evaluation Criteria，ITSEC），它也是信息安全的基本要素和安全建設所應遵循的基本原則。

 2005與2013區別：正文 2005與2013區別：附錄 信息安全管理咨詢服務將根據組織的不同需求為其量身定做適合自己的信息安全管理體系，幫助企業更好的加強自身信息安全管理水平，降低企業業務運作過程中的風險。并采用可信任的控制措施，提供行業解決方案，滿足客戶的不同需求。 根據ISO 27001，信息安全管理體系包括： 14 個控制域 35 個控制目標 114 個控制措施 業務連續性 管理 訪問控制 系統獲取 開發維護管理 通信安全 人力資源安全 合規性 資產管理 信息安全組織 物理環境 安全 信息安全 事件管理 信息 客戶記錄 個人記錄 法律記錄 安全策略 策略 程序、流程 工作指導書、操作說明、模板、檢查表等 文檔、記錄 密碼學 操作安全 供應商關系安全 管理 ISO27001信息安全管理體系 計 劃 （PLAN） 實 施 (DO) 檢 查 (CHECK) 改 進 （Act） 業務現狀了解 信息資產識別 威脅 脆弱性 當前控制措施 風險評價 風 險 處 置 制定風險接受標準 制定ISMS文檔架構 策略 程序與流程 指導書、模板等 文檔、記錄等 1級 2級 3級 4級 可能性 嚴重性 持續改進機制 管理層評審 內部ISMS審計 持續的風險評估 ISMS體系度量與監控 體 系 運 行 符合性指標 效能指標 損失性指標 改 進 需 求 預防性措施 糾正性措施 風險評估 風險處置計劃 識別不合格項 根源分析 記錄與追蹤 識別潛在不合格項 制定預防措施 記錄與追蹤 體系發布 項目方法將基于貴公司的業務現狀、對信息安全的要求及建立信息安全策略和目標。在貴公司的整體業務風險框架內，依據ISO27001標準，以風險評估為基礎，根據風險處置計劃建立和實施信息安全管理體系（ISMS）以管理信息安全風險。并通過建立相關監控體系評估ISMS的有效性，最終將針對監測結果對信息安全管理體系進行持續改進。 ISO27001信息安全管理體系實施方法 項目實施采取的程序 項目可能用到的工具 訪談 文檔審閱 調查問卷 現場檢查 系統檢查 技術掃描 信息安全風險評估工具 網絡脆弱性評估 服務器端口掃描 資產識別工具 滲透測試 信息安全控制審計 序號 標準名稱 1 ISO 27001 ：2005信息安全管理體系要求 3 ISO 27002 -27005 信息安全管理 使用規則 實施指南 風險評估 4 煙草行業信息安全等級保護規范 5 《信息系統安全等級保護基本要求》 6 《信息系統安全等級保護實施指南》 7 GB22080-2008-T 信息技術 安全技術 信息安全管理體系 要求 8 GB22081-2008-T 信息技術 安全技術 信息安全管理實用規則 9 GB50174-2008 電子信息系統機房設計規范 10 GBT 20270-2006 信息安全技術 網絡基礎安全技術要求 11 GBT 21028-2007 信息安全技術 服務器安全技術要求 12 GBT 21052-2007 信息安全技術 信息系統物理安全技術要求 參考的相關標準 項目實施采取的程序和可能用到的工具 ISO27001信息安全管理體系實施方法（2） 項目啟動和差異分析 項目啟動會議，確定項目團隊、建立項目組管理架構 信息安全管理現狀的快速評估 信息安全管理體系差異分析 設計信息安全方針 設計信息安全管理組織架構 信息安全管理培訓 階段項目總結會議 項目計劃 差異分析報告 信息安全管理組織架構 信息安全方針 階段 主要任務 主要交付品 風險評估 資產收集及風險評估方法與標準 資產級別劃分標準 技術弱點掃描報告 資產清單、威脅列表、脆弱性列表、風險列表 風險評估報告 制定資產識別標準
（包含保密級別劃分） 資產收集及風險評估方法培訓 信息資產收集 識別威脅、脆弱性、并安全漏洞掃描 評估風險，劃分風險等級 階段項目總結會議 體系設計與發布 風險容忍標準及風險處置計劃 適用性聲明 ISMS制度和流程 ISM