信息安全管理体系要求
ISO/IEC27001:2013
Information technologyTechniques-information Security Management Systems-requirements ISO/IEC27001:2013
行业重点客户
金融电子系统与金融 外包服务提供商
松下· 万宝(广州)
课程内容
第1部分 ISO27001标准正文部分详解
第2部分ISO27001标准附录A详解
ISO27001:2013标准正文部分
PLAN DO
8.运行
运行计划及控制 信息安全风险评估 信息安全风险处置
CHECK ACT
10.改进
不符合及纠正措施 持续改进
内容 提要
4.组织的背景
理解组织现状及背景 利益相关方的期望 ISMS的范围 ISMS
6.计划
处理风险和机遇的行动 可实现ISMS目标和计划
4
5
6
7
7.支持
8
9
9.绩效评价
10
5.领导力
领导力和承诺 方针 角色、责任和承诺
资源 能力 意识 沟通 文档信息
监控、测量、分析和评价 内部审核 管理评审
附件A(强制性)控制目标和控制措施
引言 0.1 总则
本国际标准为准备建立、运行、维护、持续改进信息安全管理体系(Information Security Management ISMS)的组织提供模型。采用ISMS应当是组织的一个战 略性决策。组织 ISMS 的建立和运行受需求和目标、安全需求、组织采用的过程 及组织的规模、架构的影响。上述因素会随时间发生变化。 信息安全管理体系通过应用风险管理过程来保护信息的保密性,完整性和可 用性,给相关方带来信心并使风险得到充分管理。 重要的是,信息安全管理体系是组织集成过程和整体管理架构的一部分,在流 程、信息系统、控制措施设计时都会考虑信息安全。信息安全管理体系的运行将 根据组织需求进行实际的缩放。
本国际标准可被用于内部、外部各方用于评估组织的能力来满足组织自身信 息安全要求。 本国际标准中要求的顺序并不能反映他们的重要性或暗示他们实现的顺序。
列表中的列举项仅供参考。 ISO/IEC 27000介绍了信息安全管理体系概述和词汇,引用的信息安全管理体系 系列标准(包括ISO/IEC 27003,ISO/IEC 27004和ISO/IEC 27005),相关术语 和定义。
正文解读
1)提供模型:是说IS027001:2005仅仅是提供解决信息安全问题的模型, 而不是方法; 2)战略是宏观的、全局的,长远的。采用ISMS 是组织的一项战略性决策, 再次表明了ISMS不是针对具体方法的; 3)采用ISMS时,必须具体情况具体对待,而不能过于教条,简单的组织应 该采用简单的解决方案; 4本标准的评审依据是ISO27001:2005本身,目的上看现实中的部署和标 准的吻合程度,而不是去度量信息安全本身; 5 保密性,完整性和可用性
ISO27001:2013 1)保密性confidentiality—确保信息仅授权人员访问
2)完整性inte
grity—信息及处理方法的准确和全面 3)可用性Availability—确保在需要时,授权用户能访问到信息,接触 到相关资产
0.3 与其他管理体系的兼容性
本国际标准采用 ISO/IEC 指令 第1部分的附件SL“综合ISO补充”中要求的 主条款结构、相同的子条款标题、统一的文本、常用词汇和核心定义,因此本标 准可与其他同样采用附录 SL 的管理体系标准相兼容。 附录 SL 中定义的这种通用方法,在选择符合两个或两个以上管理系体标准时仅 运行一套管理制度时是很有用的。
正文解读
※1
27000概况和术语
ISO/IEC27001 标准
术语
通用要求 27001要求 27006认证机构要求
27002实用规则
27003应用指南
27004测量
27005风险管理
27007审核指南
通用指南 27799健康领域 27011电信领域
×××领域
※2
本标准是对安全控制措施的“实施要求”,附录A是控制措施,标准正文 的4~8章讨论的正是PDCA模型来实施这些控制措施;
1 范围
本国际标准规定了在组织的环境下建立、运行、维护、持续改进信息安全管理 体系的要求。本标准还包括根据组织需求定制的信息安全风险评估和处理的要 求。本国际标准中所列的要求是通用的,适用于各种类型、规模和特性的组织。 组织声称符合本标准时,对于第4章到第10章规定的要求不能删减
2 规范性引用文件 以下文件的全部或部分在本文档中进行引用,这些文件对于本文件的应用是必不可 少的。凡是注日期的引用文件,仅引用的版本适用。凡是不注日期的引用文件,其 最新版本的参考文件(包括所有的修改单)适用于本标准。 ISO / IEC 27000,信息技术-安全技术-信息安全管理体系-概述和词汇
4组织环境
4.1 理解组织及其环境 组织应明确与信息安全管理体系目的及影响其能力有关的内外部问题, 以达到信息安全管理体系的预期效果。 注:确定这些问题是指ISO 31000:2009 的第 5.3条款 谈及的用以
建立组织的外部和内部环境。
ISO 31000:2009 5.3.3 建立内部环境: 内部环境(the internal context )是指组织力图实现 其目标而处的内部环境(environment ). 内部环境十分必要,包括但不限于: ---治理、给织桔构、角色、责任; ----方针、目标以及实现它们的战略; 能力,能资源和知识的理解(如:资本、时间、人 员、过程、系统和技术) --信息系统、信息流、决策过程 --与内部利益相关言的关系,以及他们的感知和价 值观; --组织的文化;
ISO 31000:2009 5.3.2 建立外部环境: 外部环境(the external context )是指组织力图实 现其目标而处的外部环境(environment ). 外部环境包括,但不限于: ---文化、社会、政治、法规、法规、金融、技术、 经济、自然和竞争环
境,无论是国际的、国内的区 域的或本地的; ---对组织目标有影响的亲键驱动因子和趋势; ---与外部利益相关方的关系,以及他们的感知和价 值观;
政策与法律
世界信息安全政 策 知识产权
外部环境 产业环境
产业内竞争对手 潜在进入者 买方
经济
GDP的变化 利率 行业需求 市场需求
供方
生活方式改变 对网购、网上支付 组织对信息的依赖 信息资产价值
内部环境
资源、能力与结 构
替代产品
其他利益相关方
技术
信息技术的发展 互联网普级 应用技术的成熟 黑客
社会文化
4组织环境
4.2 理解相关方的需求和期望 组织应确定: 信息安全管理体系的相关方; 这些相关方信息安全相关要求。
注:相关方的要求可能包括法律、法规要求和合同义务
政府
股东 组织 服务商 网络运营商要求 供应商 Mirsoft 版权 AUTOCAD
相关方
客户 H客户: 保密 要求/ 协商
4.3 确定信息安全管理体系ISMS的范围
组织应确定信息安全管理体系的边界和适用性,以确定其范围。 在确定此范围时,组织应考虑: 4.1 提及的外部和内部的问题; 4.2 提及的要求; 组织内执行活动与组织外执行活动间的接口及依赖关系。 范围作为文件化信息应是可用的。 1
正文解读 * ISMS范围与边界是项目的起点;确定范围不仅仅是对包括的范围的 描述,还要包括对删减的说明和删减理由。 *范围与边界虽可以不单独成文,但必须形成文件,一般合并在ISMS 方针文件中;
4.4 ISMS 信息安全管理体系
组织应按照本国际标准的要求建立、运行、维护和持续改进信息安全管理体系。
5领导力
5.1领导力和承诺 最高管理者应体现出对信息安全管理体系的领导力和承诺:
a)确保信息安全策略和信息安全目标的制定,并与组织的战略方向兼容;
b)确保信息安全管理体系的要求整合到组织的过程中; c)确保信息安全管理体系所需要的资源; 4个确保 传达、促进、支持、指导
d)传达有效的信息安全管理的重要性,并符合信息安全管理体系的要求; e)确保信息安全管理体系达到其预期的效果; f)指导和支持员工对信息安全管理体系的有效性做贡献; g)促进持续改进; h)支持其他相关管理角色来在他们适用的职责范围内展示自己的领导力。
5.2方针
最高管理者应建立一个信息安全方针:
a)与组织的宗旨相适应; b)包括信息安全目标(见 6.2),或为信息安全目标提供框架; c)包括满足与信息安全相关要求的承诺; d)包括信息安全管理体系持续改进的承诺。 2个承诺、 1个框架
信息安全的方针应: e)可作为文件化信息提供;2
f)在组织内沟通;
g)视情况提供给相关方。
5.3 角色、职责和权限 最
高管理者应确保与信息安全相关角色的职责和权限的分配和沟 通。 最高管理者应指定如下职责和权限: a)确保信息安全管理体系符合本国际标准的要求; b)将 ISMS 的绩效报告给最高管理者。
注:最高管理层可以授权他人负责组织的ISMS 的绩效报告
6.1 风险和机会的措施 6.1总则 当规划组织的信息安全管理体系时,应当考虑 4.1 提到的问题和 4.2 中所提到的要求,并确定需要应 对的风险和机会: 确保信息安全管理体系可实现预期的结果; 防止或减少不良影响; 实现持续改进。 组织应策划: 执行应对这些风险和机会的措施; 如何 1) 整合和实施这些措施,并纳入其信息安全管理 体系过程中; 2) 评估这些措施的有效性。
6.1.2信息安全风险评估
组织应确定和采用信息安全风险评估过程: a)建立和维护信息安全风险的准则,包括: 1) 风险接受准则; 2) 执行信息安全风险评估的准则; b) 确保多次使用信息安全风险评估过程都能产生一致的,有效的和可比 较的结果; c) 识别信息安全风险: 1) 应用信息安全风险评估过程,以识别信息安全管理体系范围 内的信息保密性,完整性和可用性丧失的风险; 2) 识别风险的所有者;
d) 分析信息安全风险: 1) 评估经6.1.2 c)1)识别的风险发生后将导致的潜在后果; 2) 评估经6.1.2 c)1)识别风险实现的可能性; 3) 确定风险等级; e)评估信息安全风险: 1) 用 6.1.2 a)建立的风险准则与风险分析结果进行比较; 2) 为分析的风险建立优先级以进行风险处理。 组织应保留的信息安全风险评估过程中的文件化信息。 3
6.1.3 信息安全风险处理
组织应定义和采用信息安全风险处理过程: a)在考虑到风险评估的结果,选择适当的信息安全风险处理方法; b)以实现信息安全风险处理方法,确定所有必要的信息安全风险处理措 施;
注:组织可以设计所需的控制措施,或从任何来源中识别它们。
c)将上述 6.1.3 b)中选择的控制措施与附录 A 中进行比较,并确保免除了没有必要 的控制措施; 1:附录 A 中包含控制目标和控制措施的完整列表。本国际标准的用户可将附录 A
作为选择控制措施的出发点,以确保不会遗漏重要的可选控制措施。 2:控制目标是隐含在所选择的控制措施中。附录 A 所列的控制目标和控制措施并 不详尽,额外的控制目标和控制措施也可能用到。
d)准备一个适用性声明(SOA),其中包含必要的控制措施(见 6.1.3 b) 和 )以及选择的理由,既使还未实施的,并包含附件 A 中控制措施的删减 和删减的合理性说明; e)制定信息安全风险处理计划; f)风险处理计划和残余风险应得到风险所有
者的同意。
组织应保留信息安全风险的处理过程中的文件化信息。 4 (a~f)
注:本标准中的信息安全风险评估和处置过程过程与国际标准 ISO 31000中
规定的原则和通用的准则相一致。
什么是风险管理
会发生吗?
风 险 评 估
可能性
x
发生了有多大 不良影响
=
风险值
风 险 处 置
不希望发生的
事
为什么?
依据风险准,则 确定风险级别
事前降低可能性
事后降低影响
风险管理方法
资产识别
风险评估准备
威胁识别
脆弱性识别
已有安全措施的确认
评估过程文档
风险计算
风险分析 评估过程文档
保持已有的安全措施
是
风险是否接受
否
制定和实施风险处理 计划并评估残余风险
. . . . . . . . . . . . . . . . . .
是否接受残余风险
否
评估过程文档
是
实施风险管理
风险评估文档记录
风险管理包含的过程:
风险评估 风险 管理
风险分析 风险评估
风险分析
风险评价
风险处置
风险 识别 风险估算
风险评价 6 7 8 评 估 可 能 性 估 计 风 险 的 级 别 确 定 风 险 是 否 可 接 收 识 别 风 险 处 理 措 施
风险处理 9 制 定 风 险 处 置 计 划
10 实 施 风 险 处 置 计 划
2 识 别 资 产 所 面 临 威 胁
4
3
5
1 确 定 评 估 范 围 识 别 资 产 ( 及 责 任 人 )
识 别 可 能 被
威 胁
利 用 脆 弱 性
识 别 对 资 产 造 成 的 影 响
评 估 ( 对 组 织 ) 的 影 响
选 择 控 制 目 标 和 控 制 措 施
获 得 残 余 风 险 的 批 准
风险处理计划逻辑关系
减缓
接收
转移
避免
选择控制目标和控制措施 (对应附录A)
批准残余风险 (估算出来的) 制定风险处置计划 资源 职责 优先顺序
管理措施
实施风险处置计划 实施选择的控制措施以 满足控制目标
正文解读SOA
附录A控制措施,逐条进行描述和说明, 作为认证证书的附件(需进行版本控制)
6.2信息安全目标和实现计划
组织应建立相关职能和层次的信息安全目标。 信息安全目标应: a)与信息安全方针一致; b)是可测量的(如果可行); c)考虑到适用的信息安全要求,以及风险评估和处理结果; d)是可沟通的; e)能适时更新。
组织应保留信息安全目标相关的文件化信息。 5
当策划如何实现信息安全目标时,组织应确定: f)做什么; g)需要哪些资源; h)谁负责; i)何时完成; j)如何评估结果。
ISMS设定目标可由各种指标组 成;如: 1)年度系统可用率; 2)年度宕机时间; 3)信息安全事件发生率; 4)业务中断恢复时间
三国与管理6
刘备集团的成功与BOSS的个人 感召力密不可分。 刘皇叔不但有汉室宗亲的品牌, 而且是个注重人性化管理的BOSS, “性宽和,寡言语,喜怒不显于色”
, 擅长用感情与员工交流。 建立了以“义”为核心的企业文化, 员工的思想、价值观、行为能够在企 业文化的感召下逐渐的统一,从而提 升团队凝聚力。 刘备的企业目标(方针)是“匡扶汉 室,伸大义与天下”,这对自己和团 队都产生强大的激励作用。而诸葛亮 给做出了具体的战略规划。
刘备创业之后屡战屡败,一打就输,四处逃战, 投袁绍,投刘表,屡败屡战,从不认输。 确定了目标,就要有矢志不渝的精神,不管遭 遇多大困难,始终激情澎湃,长矛在手、刀剑生 辉这种精神应该灌溉到我们的企业中。
企业方针(总目标): “匡扶汉室,伸大义与天下 1先取荆州 2即取四川 3成鼎足之 势 4可图中原
7 支持
7.1资源
组织应确定并提供信息安全管理体系的建立、运行、维护、 持续改进所需的资源。
7 支持
7.2能力
组织应: a)确定在体系管理下并会影响组织信息安全绩效的员工所必需的能力; b)确保这些人在适当的教育、培训或经验获得后是能胜任的; c)在适当情况下,采取措施以获得必要的能力,并评估所采取措施的有效 性; d)保留适当的文件化信息作为证据。 6
注:适用的措施可能包括,例如:提供培训、指导或重新分配现有员工, 或聘用或外包其他有能力人员。
7 支持
7.3意识
在组织管控下工作的人员应了解: 信息安全方针; 他们为信息安全管理体系有效性的贡献,包括改进信息安全 绩效的益处; 不符合信息安全管理体系要求所带来的影响。
7.4 沟通
组织应确定信息安全管理体系中内部和外部相关的沟通需求: a)沟通什么; b)何时沟通; c)和谁沟通; d)谁应该沟通; e)哪种有效的沟通过程。
7.5 文件化信息
7.5.1 总则 组织的信息安全管理体系应包括: a)本国际标准所需要的文件化信息; b)记录信息安全管理体系有效性必要的文件化信息。 注:不同组织的信息安全管理体系文件信息的多少与详略程度取决于: 1) 组织规模、活动类型、过程,产品和服务; 2) 过程的复杂性及其相互作用; 3) 人员的能力。 7.5.2 创建和更新 当创建和更新文件化信息时,组织应确保适当的: a)识别和描述(如标题,日期,作者,或参考文件编码); b)格式(如语言,软件版本,图形)和媒体(如纸张,电子); c)适当和足够的审查和批准。
7.5.3文件化信息的控制 信息安全管理体系与本国际标准要求的文件化信息应被管理,以确保: a)文件化信息当需要使用时,是可用的且适用的; b)得到充分的保护(例如保密性丧失,使用不当,完整性丧失); 对于文件化信息的控制,组织应制定以下活动(如适用): c)分发、访问、检索
和使用; d)存储和保存,包括易读性的保存; e)变更管理(例如版本控制); f)保留和处置。 组织信息安全管理体系的规划和运作必要的外来文件化信息,应被适当识别和控制。
注:访问表示文件化信息访问许可,或获得授权以查看和更改文件化信息等。
8 运行 8.1运行策划与控制
组织应策划,实施和控制必要的过程以满足信息安全要求,并实施在 6.1 中确定的措施。 组织还应当实施执行策划,以实现在 6.2 中确定的信息安全目标。 组织应保持相关的文件化信息,为保证过程按照策划实施提供信心。 7 组织应控制策划的变更,同时评审非策划变更,并采取适当措施以减轻任何不良影响。 组织应确保是被确定的和控制的。
The organization shall plan, implement and control the processes needed to meet information security requirements, and to implement the actions determined in 6.1. The organization shall also implement plans to achieve information security objectives determined in 6.2. The organization shall keep documented information to the extent necessary to have confidence that the processes have been carried out as planned. The organization shall control planned changes and review the consequences of unintended changes, taking action to mitigate any adverse effects, as necessary. The organization shall ensure that outsourced processes are determined and controlled.
正文解读
1)注重实施执行计划;
2)文件化的ISMS; 3)过程基于PDCA 模型; 4)外包过程
8.2信息安全风险评估
组织应按计划的时间间隔或在发生重大变 化时按照本标准6.1.2 a) 中建立的准则进行信 息安全风险评估。 组织应保留信息安全风险评估结果的文件化 信息。 8
8.3信息安全风险处理; 组织应实施信息安全风险处理 计划。 组织应保留信息安全风险处 理结果的文件化信息。9
正文解读4
信息安全技术防护体系
正文解读1
信息安全网络保障体系
运 行
技术体系+管理体系(事前) +应急体系(事后)
监 控
检 测
附录A 控制目标和控制措施
ISO 27001 控制范围 A5 安全方针 A6 信息安全组织 A7人力资源安全 A8 资产管理 A9 访问控制 A10 加密 A11物理和环境安全 A.12 操作安全 A.13 通讯安全 A.14 系统的获取、开发和维护 A15 供应关系 目标 1 2 3 3 4 3 1 7 2 3 2 控制措施 2 7 6 10 14 17 9 14 7 13 5
A16信息安全事件管理
A17信息安全方面的业务持续管理 A18 符合性
1
2 2
7
4 8
附录A 控制目标和控制措施
A5 安全方针 Information Security Policies A6 信息安全的组织 A7 人力资源安全
Human Resources Security Organisation of Information Security
A8 资产管理 Asset Management A9 访问控制
Access Control
A10加密 Cryptography
A11 物理与环境安全
Physical & Environmental Security
A12 操作
安全
Operations Security
A13 通信安全
Communications Security
A14 信息系统获取、 开发和维护
System acquisition, development and maintenance
A15供应关系
Supplier Relationships
A16信息安全事件管理 Information security incident management A17信息安全方面的业务持续管理
Information security aspects of business continuity management
A18符合性
Compliance
9 监控、度量、分析和评价
组织应评估信息安全绩效和信息安全管理体系的有效性。 组织应确定: a)什么需要进行监视和测量,包括信息安全过程和控制措施; b)监测、测量、分析和评估的方法(如适用),以确保结果有效; 注:有效方法的选择被应该可以产生可比较和可再现的结果。 c)监视和测量时间; d)谁应监视和测量; e)何时对监视和测量的结果进行分析和评估; f)谁应分析和评估这些结果。
组织应保留适当的监视和测量结果的文件化信息作为证据。 10
正文解读5
信息需求 信息安全管理过程: 控制目标; 控制措施; 应用; 过程; 规程; 有效性 测量结果
决策准则
测量对象 属性1 测量方法 属性2
指标 分析模型
导出测度
测量函数
基本测度
属性n
测量
信息安全测量模型
9.2 ISMS 内部审核 组织应在计划的时间间隔内 进行内部审核,为信息安全管理 体系提供信息判断是否: 符合 1) 组织自身信息安全管理体 系的要求; 2) 本国际标准的要求; 有效实施和保持。 组织应: a)计划、建立、实施并保持审核方案,其中包括频次、方法、职责、计划要求 和报告。审核方案应考虑相关过程的重要性和以往审核结果; b)为每次审核 确定审核准则和范围; c)选择审核员并进行审核以确保审核过程的客观性和公正性; d)确保审核结果提交给相关管理者; e)保留审核方案和审核结果的相关文件化信息作为证据。 11
9.3 ISMS 管理评审 最高管理者应在计划的时间间隔评审组织的信息安全管理体系,以确保其持续 的适宜性、充分性和有效性。 管理评审应考虑: a)以往管理评审的措施的状态; b)与信息安全管理体系相关的内外部问题的变化; c)信息安全绩效的反馈,包括如下趋势: 1) 不符合与纠正措施; 2) 监控和测量结果; 3) 审核结果; 4) 信息安全目标的实现; d)相关方的反馈; e)风险评估的结果和风险处理计划的状态; f)持续改改进的机会。 管理评审的输出应包括持续改进的机会和任何信息安全管理体系需要变更的相 关决定。 组织应保留管理评审结果的文件化信息作为证据。 12
10 ISMS 改进 10.1不符合和纠正措施 出现不符合时,组织应: a)对不符合做出反应,适当时: 1) 采取措施并纠正; 2) 处理结果; b)评估采取
措施的必要性,以消除 不符合的原因,使不再发生或不在 其他地方发生,包括: 1) 审查不符合; 2) 确定不符合的原因; 3) 确定是否存在类似的不符合 和发生的可能; c)实施所需的任何措施; d)评审已采取纠正措施的有效性; e)必要时,将改变纳入信息安全管理体系。 纠正措施应对不符合产生适当的影响。 组织应保留以下文件化信息作为证据: 13 f)不符合的性质和后续措施; 任何纠正措施的结果。
10.2持续改进 组织应不断提高信息安全管理体系的适宜性、充分性和有效性。
45
答疑?
信息安全管理体系要求
ISO/IEC27001:2013
Information technologyTechniques-information Security Management Systems-requirements ISO/IEC27001:2013
行业重点客户
金融电子系统与金融 外包服务提供商
松下· 万宝(广州)
课程内容
第1部分 ISO27001标准正文部分详解
第2部分ISO27001标准附录A详解
ISO27001:2013标准正文部分
PLAN DO
8.运行
运行计划及控制 信息安全风险评估 信息安全风险处置
CHECK ACT
10.改进
不符合及纠正措施 持续改进
内容 提要
4.组织的背景
理解组织现状及背景 利益相关方的期望 ISMS的范围 ISMS
6.计划
处理风险和机遇的行动 可实现ISMS目标和计划
4
5
6
7
7.支持
8
9
9.绩效评价
10
5.领导力
领导力和承诺 方针 角色、责任和承诺
资源 能力 意识 沟通 文档信息
监控、测量、分析和评价 内部审核 管理评审
附件A(强制性)控制目标和控制措施
引言 0.1 总则
本国际标准为准备建立、运行、维护、持续改进信息安全管理体系(Information Security Management ISMS)的组织提供模型。采用ISMS应当是组织的一个战 略性决策。组织 ISMS 的建立和运行受需求和目标、安全需求、组织采用的过程 及组织的规模、架构的影响。上述因素会随时间发生变化。 信息安全管理体系通过应用风险管理过程来保护信息的保密性,完整性和可 用性,给相关方带来信心并使风险得到充分管理。 重要的是,信息安全管理体系是组织集成过程和整体管理架构的一部分,在流 程、信息系统、控制措施设计时都会考虑信息安全。信息安全管理体系的运行将 根据组织需求进行实际的缩放。
本国际标准可被用于内部、外部各方用于评估组织的能力来满足组织自身信 息安全要求。 本国际标准中要求的顺序并不能反映他们的重要性或暗示他们实现的顺序。
列表中的列举项仅供参考。 ISO/IEC 27000介绍了信息安全管理体系概述和词汇,引用的信息安全管理体系 系列标准(包括ISO/IEC 27003,ISO/IEC 27004和ISO/IEC 27005),相关术语 和定义。
正文解读
1)提供模型:是说IS027001:2005仅仅是提供解决信息安全问题的模型, 而不是方法; 2)战略是宏观的、全局的,长远的。采用ISMS 是组织的一项战略性决策, 再次表明了ISMS不是针对具体方法的; 3)采用ISMS时,必须具体情况具体对待,而不能过于教条,简单的组织应 该采用简单的解决方案; 4本标准的评审依据是ISO27001:2005本身,目的上看现实中的部署和标 准的吻合程度,而不是去度量信息安全本身; 5 保密性,完整性和可用性
ISO27001:2013 1)保密性confidentiality—确保信息仅授权人员访问
2)完整性inte
grity—信息及处理方法的准确和全面 3)可用性Availability—确保在需要时,授权用户能访问到信息,接触 到相关资产
0.3 与其他管理体系的兼容性
本国际标准采用 ISO/IEC 指令 第1部分的附件SL“综合ISO补充”中要求的 主条款结构、相同的子条款标题、统一的文本、常用词汇和核心定义,因此本标 准可与其他同样采用附录 SL 的管理体系标准相兼容。 附录 SL 中定义的这种通用方法,在选择符合两个或两个以上管理系体标准时仅 运行一套管理制度时是很有用的。
正文解读
※1
27000概况和术语
ISO/IEC27001 标准
术语
通用要求 27001要求 27006认证机构要求
27002实用规则
27003应用指南
27004测量
27005风险管理
27007审核指南
通用指南 27799健康领域 27011电信领域
×××领域
※2
本标准是对安全控制措施的“实施要求”,附录A是控制措施,标准正文 的4~8章讨论的正是PDCA模型来实施这些控制措施;
1 范围
本国际标准规定了在组织的环境下建立、运行、维护、持续改进信息安全管理 体系的要求。本标准还包括根据组织需求定制的信息安全风险评估和处理的要 求。本国际标准中所列的要求是通用的,适用于各种类型、规模和特性的组织。 组织声称符合本标准时,对于第4章到第10章规定的要求不能删减
2 规范性引用文件 以下文件的全部或部分在本文档中进行引用,这些文件对于本文件的应用是必不可 少的。凡是注日期的引用文件,仅引用的版本适用。凡是不注日期的引用文件,其 最新版本的参考文件(包括所有的修改单)适用于本标准。 ISO / IEC 27000,信息技术-安全技术-信息安全管理体系-概述和词汇
4组织环境
4.1 理解组织及其环境 组织应明确与信息安全管理体系目的及影响其能力有关的内外部问题, 以达到信息安全管理体系的预期效果。 注:确定这些问题是指ISO 31000:2009 的第 5.3条款 谈及的用以
建立组织的外部和内部环境。
ISO 31000:2009 5.3.3 建立内部环境: 内部环境(the internal context )是指组织力图实现 其目标而处的内部环境(environment ). 内部环境十分必要,包括但不限于: ---治理、给织桔构、角色、责任; ----方针、目标以及实现它们的战略; 能力,能资源和知识的理解(如:资本、时间、人 员、过程、系统和技术) --信息系统、信息流、决策过程 --与内部利益相关言的关系,以及他们的感知和价 值观; --组织的文化;
ISO 31000:2009 5.3.2 建立外部环境: 外部环境(the external context )是指组织力图实 现其目标而处的外部环境(environment ). 外部环境包括,但不限于: ---文化、社会、政治、法规、法规、金融、技术、 经济、自然和竞争环
境,无论是国际的、国内的区 域的或本地的; ---对组织目标有影响的亲键驱动因子和趋势; ---与外部利益相关方的关系,以及他们的感知和价 值观;
政策与法律
世界信息安全政 策 知识产权
外部环境 产业环境
产业内竞争对手 潜在进入者 买方
经济
GDP的变化 利率 行业需求 市场需求
供方
生活方式改变 对网购、网上支付 组织对信息的依赖 信息资产价值
内部环境
资源、能力与结 构
替代产品
其他利益相关方
技术
信息技术的发展 互联网普级 应用技术的成熟 黑客
社会文化
4组织环境
4.2 理解相关方的需求和期望 组织应确定: 信息安全管理体系的相关方; 这些相关方信息安全相关要求。
注:相关方的要求可能包括法律、法规要求和合同义务
政府
股东 组织 服务商 网络运营商要求 供应商 Mirsoft 版权 AUTOCAD
相关方
客户 H客户: 保密 要求/ 协商
4.3 确定信息安全管理体系ISMS的范围
组织应确定信息安全管理体系的边界和适用性,以确定其范围。 在确定此范围时,组织应考虑: 4.1 提及的外部和内部的问题; 4.2 提及的要求; 组织内执行活动与组织外执行活动间的接口及依赖关系。 范围作为文件化信息应是可用的。 1
正文解读 * ISMS范围与边界是项目的起点;确定范围不仅仅是对包括的范围的 描述,还要包括对删减的说明和删减理由。 *范围与边界虽可以不单独成文,但必须形成文件,一般合并在ISMS 方针文件中;
4.4 ISMS 信息安全管理体系
组织应按照本国际标准的要求建立、运行、维护和持续改进信息安全管理体系。
5领导力
5.1领导力和承诺 最高管理者应体现出对信息安全管理体系的领导力和承诺:
a)确保信息安全策略和信息安全目标的制定,并与组织的战略方向兼容;
b)确保信息安全管理体系的要求整合到组织的过程中; c)确保信息安全管理体系所需要的资源; 4个确保 传达、促进、支持、指导
d)传达有效的信息安全管理的重要性,并符合信息安全管理体系的要求; e)确保信息安全管理体系达到其预期的效果; f)指导和支持员工对信息安全管理体系的有效性做贡献; g)促进持续改进; h)支持其他相关管理角色来在他们适用的职责范围内展示自己的领导力。
5.2方针
最高管理者应建立一个信息安全方针:
a)与组织的宗旨相适应; b)包括信息安全目标(见 6.2),或为信息安全目标提供框架; c)包括满足与信息安全相关要求的承诺; d)包括信息安全管理体系持续改进的承诺。 2个承诺、 1个框架
信息安全的方针应: e)可作为文件化信息提供;2
f)在组织内沟通;
g)视情况提供给相关方。
5.3 角色、职责和权限 最
高管理者应确保与信息安全相关角色的职责和权限的分配和沟 通。 最高管理者应指定如下职责和权限: a)确保信息安全管理体系符合本国际标准的要求; b)将 ISMS 的绩效报告给最高管理者。
注:最高管理层可以授权他人负责组织的ISMS 的绩效报告
6.1 风险和机会的措施 6.1总则 当规划组织的信息安全管理体系时,应当考虑 4.1 提到的问题和 4.2 中所提到的要求,并确定需要应 对的风险和机会: 确保信息安全管理体系可实现预期的结果; 防止或减少不良影响; 实现持续改进。 组织应策划: 执行应对这些风险和机会的措施; 如何 1) 整合和实施这些措施,并纳入其信息安全管理 体系过程中; 2) 评估这些措施的有效性。
6.1.2信息安全风险评估
组织应确定和采用信息安全风险评估过程: a)建立和维护信息安全风险的准则,包括: 1) 风险接受准则; 2) 执行信息安全风险评估的准则; b) 确保多次使用信息安全风险评估过程都能产生一致的,有效的和可比 较的结果; c) 识别信息安全风险: 1) 应用信息安全风险评估过程,以识别信息安全管理体系范围 内的信息保密性,完整性和可用性丧失的风险; 2) 识别风险的所有者;
d) 分析信息安全风险: 1) 评估经6.1.2 c)1)识别的风险发生后将导致的潜在后果; 2) 评估经6.1.2 c)1)识别风险实现的可能性; 3) 确定风险等级; e)评估信息安全风险: 1) 用 6.1.2 a)建立的风险准则与风险分析结果进行比较; 2) 为分析的风险建立优先级以进行风险处理。 组织应保留的信息安全风险评估过程中的文件化信息。 3
6.1.3 信息安全风险处理
组织应定义和采用信息安全风险处理过程: a)在考虑到风险评估的结果,选择适当的信息安全风险处理方法; b)以实现信息安全风险处理方法,确定所有必要的信息安全风险处理措 施;
注:组织可以设计所需的控制措施,或从任何来源中识别它们。
c)将上述 6.1.3 b)中选择的控制措施与附录 A 中进行比较,并确保免除了没有必要 的控制措施; 1:附录 A 中包含控制目标和控制措施的完整列表。本国际标准的用户可将附录 A
作为选择控制措施的出发点,以确保不会遗漏重要的可选控制措施。 2:控制目标是隐含在所选择的控制措施中。附录 A 所列的控制目标和控制措施并 不详尽,额外的控制目标和控制措施也可能用到。
d)准备一个适用性声明(SOA),其中包含必要的控制措施(见 6.1.3 b) 和 )以及选择的理由,既使还未实施的,并包含附件 A 中控制措施的删减 和删减的合理性说明; e)制定信息安全风险处理计划; f)风险处理计划和残余风险应得到风险所有
者的同意。
组织应保留信息安全风险的处理过程中的文件化信息。 4 (a~f)
注:本标准中的信息安全风险评估和处置过程过程与国际标准 ISO 31000中
规定的原则和通用的准则相一致。
什么是风险管理
会发生吗?
风 险 评 估
可能性
x
发生了有多大 不良影响
=
风险值
风 险 处 置
不希望发生的
事
为什么?
依据风险准,则 确定风险级别
事前降低可能性
事后降低影响
风险管理方法
资产识别
风险评估准备
威胁识别
脆弱性识别
已有安全措施的确认
评估过程文档
风险计算
风险分析 评估过程文档
保持已有的安全措施
是
风险是否接受
否
制定和实施风险处理 计划并评估残余风险
. . . . . . . . . . . . . . . . . .
是否接受残余风险
否
评估过程文档
是
实施风险管理
风险评估文档记录
风险管理包含的过程:
风险评估 风险 管理
风险分析 风险评估
风险分析
风险评价
风险处置
风险 识别 风险估算
风险评价 6 7 8 评 估 可 能 性 估 计 风 险 的 级 别 确 定 风 险 是 否 可 接 收 识 别 风 险 处 理 措 施
风险处理 9 制 定 风 险 处 置 计 划
10 实 施 风 险 处 置 计 划
2 识 别 资 产 所 面 临 威 胁
4
3
5
1 确 定 评 估 范 围 识 别 资 产 ( 及 责 任 人 )
识 别 可 能 被
威 胁
利 用 脆 弱 性
识 别 对 资 产 造 成 的 影 响
评 估 ( 对 组 织 ) 的 影 响
选 择 控 制 目 标 和 控 制 措 施
获 得 残 余 风 险 的 批 准
风险处理计划逻辑关系
减缓
接收
转移
避免
选择控制目标和控制措施 (对应附录A)
批准残余风险 (估算出来的) 制定风险处置计划 资源 职责 优先顺序
管理措施
实施风险处置计划 实施选择的控制措施以 满足控制目标
正文解读SOA
附录A控制措施,逐条进行描述和说明, 作为认证证书的附件(需进行版本控制)
6.2信息安全目标和实现计划
组织应建立相关职能和层次的信息安全目标。 信息安全目标应: a)与信息安全方针一致; b)是可测量的(如果可行); c)考虑到适用的信息安全要求,以及风险评估和处理结果; d)是可沟通的; e)能适时更新。
组织应保留信息安全目标相关的文件化信息。 5
当策划如何实现信息安全目标时,组织应确定: f)做什么; g)需要哪些资源; h)谁负责; i)何时完成; j)如何评估结果。
ISMS设定目标可由各种指标组 成;如: 1)年度系统可用率; 2)年度宕机时间; 3)信息安全事件发生率; 4)业务中断恢复时间
三国与管理6
刘备集团的成功与BOSS的个人 感召力密不可分。 刘皇叔不但有汉室宗亲的品牌, 而且是个注重人性化管理的BOSS, “性宽和,寡言语,喜怒不显于色”
, 擅长用感情与员工交流。 建立了以“义”为核心的企业文化, 员工的思想、价值观、行为能够在企 业文化的感召下逐渐的统一,从而提 升团队凝聚力。 刘备的企业目标(方针)是“匡扶汉 室,伸大义与天下”,这对自己和团 队都产生强大的激励作用。而诸葛亮 给做出了具体的战略规划。
刘备创业之后屡战屡败,一打就输,四处逃战, 投袁绍,投刘表,屡败屡战,从不认输。 确定了目标,就要有矢志不渝的精神,不管遭 遇多大困难,始终激情澎湃,长矛在手、刀剑生 辉这种精神应该灌溉到我们的企业中。
企业方针(总目标): “匡扶汉室,伸大义与天下 1先取荆州 2即取四川 3成鼎足之 势 4可图中原
7 支持
7.1资源
组织应确定并提供信息安全管理体系的建立、运行、维护、 持续改进所需的资源。
7 支持
7.2能力
组织应: a)确定在体系管理下并会影响组织信息安全绩效的员工所必需的能力; b)确保这些人在适当的教育、培训或经验获得后是能胜任的; c)在适当情况下,采取措施以获得必要的能力,并评估所采取措施的有效 性; d)保留适当的文件化信息作为证据。 6
注:适用的措施可能包括,例如:提供培训、指导或重新分配现有员工, 或聘用或外包其他有能力人员。
7 支持
7.3意识
在组织管控下工作的人员应了解: 信息安全方针; 他们为信息安全管理体系有效性的贡献,包括改进信息安全 绩效的益处; 不符合信息安全管理体系要求所带来的影响。
7.4 沟通
组织应确定信息安全管理体系中内部和外部相关的沟通需求: a)沟通什么; b)何时沟通; c)和谁沟通; d)谁应该沟通; e)哪种有效的沟通过程。
7.5 文件化信息
7.5.1 总则 组织的信息安全管理体系应包括: a)本国际标准所需要的文件化信息; b)记录信息安全管理体系有效性必要的文件化信息。 注:不同组织的信息安全管理体系文件信息的多少与详略程度取决于: 1) 组织规模、活动类型、过程,产品和服务; 2) 过程的复杂性及其相互作用; 3) 人员的能力。 7.5.2 创建和更新 当创建和更新文件化信息时,组织应确保适当的: a)识别和描述(如标题,日期,作者,或参考文件编码); b)格式(如语言,软件版本,图形)和媒体(如纸张,电子); c)适当和足够的审查和批准。
7.5.3文件化信息的控制 信息安全管理体系与本国际标准要求的文件化信息应被管理,以确保: a)文件化信息当需要使用时,是可用的且适用的; b)得到充分的保护(例如保密性丧失,使用不当,完整性丧失); 对于文件化信息的控制,组织应制定以下活动(如适用): c)分发、访问、检索
和使用; d)存储和保存,包括易读性的保存; e)变更管理(例如版本控制); f)保留和处置。 组织信息安全管理体系的规划和运作必要的外来文件化信息,应被适当识别和控制。
注:访问表示文件化信息访问许可,或获得授权以查看和更改文件化信息等。
8 运行 8.1运行策划与控制
组织应策划,实施和控制必要的过程以满足信息安全要求,并实施在 6.1 中确定的措施。 组织还应当实施执行策划,以实现在 6.2 中确定的信息安全目标。 组织应保持相关的文件化信息,为保证过程按照策划实施提供信心。 7 组织应控制策划的变更,同时评审非策划变更,并采取适当措施以减轻任何不良影响。 组织应确保是被确定的和控制的。
The organization shall plan, implement and control the processes needed to meet information security requirements, and to implement the actions determined in 6.1. The organization shall also implement plans to achieve information security objectives determined in 6.2. The organization shall keep documented information to the extent necessary to have confidence that the processes have been carried out as planned. The organization shall control planned changes and review the consequences of unintended changes, taking action to mitigate any adverse effects, as necessary. The organization shall ensure that outsourced processes are determined and controlled.
正文解读
1)注重实施执行计划;
2)文件化的ISMS; 3)过程基于PDCA 模型; 4)外包过程
8.2信息安全风险评估
组织应按计划的时间间隔或在发生重大变 化时按照本标准6.1.2 a) 中建立的准则进行信 息安全风险评估。 组织应保留信息安全风险评估结果的文件化 信息。 8
8.3信息安全风险处理; 组织应实施信息安全风险处理 计划。 组织应保留信息安全风险处 理结果的文件化信息。9
正文解读4
信息安全技术防护体系
正文解读1
信息安全网络保障体系
运 行
技术体系+管理体系(事前) +应急体系(事后)
监 控
检 测
附录A 控制目标和控制措施
ISO 27001 控制范围 A5 安全方针 A6 信息安全组织 A7人力资源安全 A8 资产管理 A9 访问控制 A10 加密 A11物理和环境安全 A.12 操作安全 A.13 通讯安全 A.14 系统的获取、开发和维护 A15 供应关系 目标 1 2 3 3 4 3 1 7 2 3 2 控制措施 2 7 6 10 14 17 9 14 7 13 5
A16信息安全事件管理
A17信息安全方面的业务持续管理 A18 符合性
1
2 2
7
4 8
附录A 控制目标和控制措施
A5 安全方针 Information Security Policies A6 信息安全的组织 A7 人力资源安全
Human Resources Security Organisation of Information Security
A8 资产管理 Asset Management A9 访问控制
Access Control
A10加密 Cryptography
A11 物理与环境安全
Physical & Environmental Security
A12 操作
安全
Operations Security
A13 通信安全
Communications Security
A14 信息系统获取、 开发和维护
System acquisition, development and maintenance
A15供应关系
Supplier Relationships
A16信息安全事件管理 Information security incident management A17信息安全方面的业务持续管理
Information security aspects of business continuity management
A18符合性
Compliance
9 监控、度量、分析和评价
组织应评估信息安全绩效和信息安全管理体系的有效性。 组织应确定: a)什么需要进行监视和测量,包括信息安全过程和控制措施; b)监测、测量、分析和评估的方法(如适用),以确保结果有效; 注:有效方法的选择被应该可以产生可比较和可再现的结果。 c)监视和测量时间; d)谁应监视和测量; e)何时对监视和测量的结果进行分析和评估; f)谁应分析和评估这些结果。
组织应保留适当的监视和测量结果的文件化信息作为证据。 10
正文解读5
信息需求 信息安全管理过程: 控制目标; 控制措施; 应用; 过程; 规程; 有效性 测量结果
决策准则
测量对象 属性1 测量方法 属性2
指标 分析模型
导出测度
测量函数
基本测度
属性n
测量
信息安全测量模型
9.2 ISMS 内部审核 组织应在计划的时间间隔内 进行内部审核,为信息安全管理 体系提供信息判断是否: 符合 1) 组织自身信息安全管理体 系的要求; 2) 本国际标准的要求; 有效实施和保持。 组织应: a)计划、建立、实施并保持审核方案,其中包括频次、方法、职责、计划要求 和报告。审核方案应考虑相关过程的重要性和以往审核结果; b)为每次审核 确定审核准则和范围; c)选择审核员并进行审核以确保审核过程的客观性和公正性; d)确保审核结果提交给相关管理者; e)保留审核方案和审核结果的相关文件化信息作为证据。 11
9.3 ISMS 管理评审 最高管理者应在计划的时间间隔评审组织的信息安全管理体系,以确保其持续 的适宜性、充分性和有效性。 管理评审应考虑: a)以往管理评审的措施的状态; b)与信息安全管理体系相关的内外部问题的变化; c)信息安全绩效的反馈,包括如下趋势: 1) 不符合与纠正措施; 2) 监控和测量结果; 3) 审核结果; 4) 信息安全目标的实现; d)相关方的反馈; e)风险评估的结果和风险处理计划的状态; f)持续改改进的机会。 管理评审的输出应包括持续改进的机会和任何信息安全管理体系需要变更的相 关决定。 组织应保留管理评审结果的文件化信息作为证据。 12
10 ISMS 改进 10.1不符合和纠正措施 出现不符合时,组织应: a)对不符合做出反应,适当时: 1) 采取措施并纠正; 2) 处理结果; b)评估采取
措施的必要性,以消除 不符合的原因,使不再发生或不在 其他地方发生,包括: 1) 审查不符合; 2) 确定不符合的原因; 3) 确定是否存在类似的不符合 和发生的可能; c)实施所需的任何措施; d)评审已采取纠正措施的有效性; e)必要时,将改变纳入信息安全管理体系。 纠正措施应对不符合产生适当的影响。 组织应保留以下文件化信息作为证据: 13 f)不符合的性质和后续措施; 任何纠正措施的结果。
10.2持续改进 组织应不断提高信息安全管理体系的适宜性、充分性和有效性。
45
答疑?