信息安全、信息技術(shù)（IT）服務(wù)

管理體系簡介

2024/9/242本次交流的主要內(nèi)容交流內(nèi)容二、體系介紹21一、背景介紹3三、體系比較4四、概括總結(jié)2024/9/243本次交流的主要內(nèi)容交流內(nèi)容1一、背景介紹2024/9/244背景介紹我們身邊的信息化：●電腦→筆記本→寬帶●露天電影→家庭影院●銀行取款→刷卡購物●電話→手機(jī)→可視電話●手寫情書→依妹兒●電子商務(wù)、電子政務(wù)……“信息”是有意義的數(shù)據(jù)Internet技術(shù)的飛速增長2024/9/245背景介紹復(fù)雜程度InternetEmailWeb瀏覽Intranet站點(diǎn)電子商務(wù)電子政務(wù)電子交易時(shí)間2024/9/246背景介紹信息化出現(xiàn)的新問題：●網(wǎng)上信息可信度差●垃圾電子郵件●信息竊取●網(wǎng)絡(luò)入侵●……人們享受信息化便利的同時(shí)遭受信息安全問題的困擾！！在Internet上誰又知道我是只狗呢？^Q^2024/9/247背景介紹●基于互聯(lián)網(wǎng)的信息安全問題●基于物理環(huán)境的信息安全問題（靜電、灰塵、鼠蟻蟲害…）●基于自然災(zāi)害的信息安全問題●基于人為因素的信息安全問題……2024/9/248體系介紹安全涉及的因素：網(wǎng)絡(luò)安全信息安全物理安全文化安全2024/9/249體系介紹物理安全容災(zāi)集群備份環(huán)境溫度電磁濕度2024/9/2410體系介紹網(wǎng)絡(luò)安全因特網(wǎng)安全漏洞危害在增大信息對(duì)抗的威脅在增加研究安全漏洞以防之電力交通通訊控制廣播工業(yè)金融醫(yī)療研究攻防技術(shù)以阻之網(wǎng)絡(luò)對(duì)國民經(jīng)濟(jì)的影響在加強(qiáng)因特網(wǎng)2024/9/2411體系介紹信息安全信息竊取信息傳遞信息冒充信息篡改信息抵賴加密技術(shù)完整性技術(shù)認(rèn)證技術(shù)數(shù)字簽名2024/9/2412背景介紹典型案例：★1999年1月，美國黑客組織“美國地下軍團(tuán)”聯(lián)合了波蘭、英國等黑客組織有組織地對(duì)我國的政府網(wǎng)站進(jìn)行了攻擊。★伊朗核電站被“末日炸彈”病毒攻擊，夾在win32中運(yùn)行，攻擊公控設(shè)備。和U盤使用有關(guān)。2024/9/2413背景介紹典型案例：★2005年6月19日，萬事達(dá)公司儲(chǔ)存有大約4千萬信用卡客戶信息的電腦系統(tǒng)遭到一名黑客入侵。被盜賬號(hào)的信息資料在互聯(lián)網(wǎng)上公開出售，每條100美元，并被用于金融欺詐活動(dòng)。★2005年7月12日下午2時(shí)35分，承載著超過200萬用戶的北京網(wǎng)通ADSL和LAN寬帶網(wǎng)，突然同時(shí)大面積中斷。經(jīng)緊急搶修，至3時(shí)30分左右開始網(wǎng)絡(luò)逐漸恢復(fù)正常。這次事故大約影響了20萬北京網(wǎng)民。2024/9/2414背景介紹典型案例：★中國電子商務(wù)協(xié)會(huì)等機(jī)構(gòu)聯(lián)合發(fā)布《2012年中國網(wǎng)站可信驗(yàn)證行業(yè)發(fā)展報(bào)告》顯示，截止2012年6月底，在過去的一年間，在網(wǎng)購用戶中，有31.8%的網(wǎng)民（6169萬人）曾直接遭遇詐騙網(wǎng)站。每年因詐騙網(wǎng)站給網(wǎng)民造成的損失不低于308億元。截止2012年6月底，全國團(tuán)購網(wǎng)站累計(jì)誕生總數(shù)高達(dá)6069家，累計(jì)關(guān)閉2859家，死亡率達(dá)48%。2024/9/2415背景介紹汶川地震“艷照門”事件互聯(lián)網(wǎng)、微博信息（虛假、色情、反動(dòng)言論等）景泰藍(lán)技術(shù)（掐絲琺瑯）的泄露高考志愿篡改、作弊個(gè)人信息、網(wǎng)銀信息泄露……其他典型案例：2024/9/2416背景介紹信息安全的根源：內(nèi)因：網(wǎng)絡(luò)和系統(tǒng)的自身缺陷與脆弱性。外因：國家、政治、商業(yè)和個(gè)人利益沖突。2024/9/2417背景介紹常用攻擊技術(shù)見下圖：利用弱口令入侵利用系統(tǒng)漏洞入侵利用網(wǎng)絡(luò)監(jiān)聽入侵利用網(wǎng)絡(luò)欺騙入侵拒絕訪問服務(wù)攻擊利用網(wǎng)絡(luò)病毒攻擊其它網(wǎng)絡(luò)入侵方式典型網(wǎng)絡(luò)入侵技術(shù)2024/9/2418背景介紹信息丟失、篡改、銷毀內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈黑客攻擊計(jì)算機(jī)病毒后門、隱蔽通道蠕蟲特洛伊木馬網(wǎng)絡(luò)2024/9/2419背景介紹產(chǎn)生的背景：

以上案例僅僅是冰山一角。從這些案例可以看出，信息資產(chǎn)一旦遭到破壞，將給組織或個(gè)人帶來直接的經(jīng)濟(jì)損失，損害聲譽(yù)和公眾形象，喪失市場機(jī)會(huì)和競爭力，更為甚者，會(huì)威脅到組織的生存甚至國家安全。信息安全問題出現(xiàn)的初期，人們主要依靠信息安全的技術(shù)和產(chǎn)品來解決信息安全問題。但人們發(fā)現(xiàn)僅僅靠這些產(chǎn)品和技術(shù)還不夠，即使采購和使用了足夠先進(jìn)、足夠多的信息安全產(chǎn)品，如防病毒、防火墻、入侵檢測、隱患掃描等，仍然無法避免一些信息安全事件的發(fā)生。2024/9/2420背景介紹三分技術(shù)七分管理2024/9/2421背景介紹體系的誕生：

人們開始逐漸意識(shí)到管理在解決信息安全問題中的作用。于是ISMS應(yīng)運(yùn)而生。2000年12月，國際標(biāo)準(zhǔn)化組織發(fā)布一個(gè)信息安全管理的標(biāo)準(zhǔn)－ISO/IEC17799:2000“信息安全管理實(shí)用規(guī)則，2005年6月，對(duì)該標(biāo)準(zhǔn)進(jìn)行了修訂，頒布了ISO/IEC17799:2005（現(xiàn)已更名為ISO/IEC27002:2005），10月，又發(fā)布了ISO/IEC27001:2005“信息安全管理體系要求”。之后又發(fā)布了IS0／IEC20000一1：2005“信息技術(shù)服務(wù)管理第1部分：規(guī)范”和IS0／IEC20000一2：2005“信息技術(shù)服務(wù)管理第2部分：實(shí)踐規(guī)則”2024/9/2422背景介紹體系的產(chǎn)生：

信息安全管理體系（InformationSecurityManagementSystem，簡稱為ISMS）是1998年前后從英國發(fā)展起來的信息安全領(lǐng)域中的一個(gè)新概念，是管理體系思想和方法在信息安全領(lǐng)域的應(yīng)用。IT服務(wù)管理體系（Informationtechnology—ServiceManagementSystem，簡稱為ITSMS），從2002年開始提出此理念。2024/9/2423背景介紹體系的重要性：如今，我們已經(jīng)身處信息和網(wǎng)絡(luò)時(shí)代，“計(jì)算機(jī)和網(wǎng)絡(luò)”已經(jīng)成為組織重要的生產(chǎn)工具，“信息”成為主要的生產(chǎn)資料和產(chǎn)品，組織的業(yè)務(wù)越來越依賴計(jì)算機(jī)、網(wǎng)絡(luò)和信息，它們共同成為組織賴以生存的重要信息資產(chǎn)。可是，計(jì)算機(jī)、網(wǎng)絡(luò)和信息等信息資產(chǎn)在服務(wù)于組織業(yè)務(wù)的同時(shí)，也受到越來越多的安全威脅。病毒破壞、黑客攻擊、信息系統(tǒng)癱瘓、網(wǎng)絡(luò)欺詐、重要信息資料丟失以及利用計(jì)算機(jī)網(wǎng)絡(luò)實(shí)施的各種犯罪行為，人們已不再陌生，隨時(shí)在我們身邊發(fā)生。2024/9/2424背景介紹體系的重要性：

ISMS迅速被全球接受和認(rèn)可，成為世界各國、各種類型、各種規(guī)模的組織解決信息安全問題的一個(gè)有效方法。目前，在信息安全管理體系方面，ISMS標(biāo)準(zhǔn)已經(jīng)成為世界上應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn)。ITSMS標(biāo)準(zhǔn)成為信息技術(shù)服務(wù)管理的典型規(guī)范和實(shí)踐規(guī)則。這兩體系認(rèn)證成為組織向社會(huì)及其相關(guān)方證明其信息安全水平和服務(wù)能力的一種有效途徑。建立體系是組織的一項(xiàng)戰(zhàn)略性決策,保障信息安全和信息技術(shù)服務(wù)是一種系統(tǒng)性的工作。2024/9/2425背景介紹體系的重要性：

另外，在實(shí)際運(yùn)行中，體系認(rèn)證已經(jīng)成為招投標(biāo)項(xiàng)目中的重要組成部分。傳統(tǒng)三個(gè)體系一般各占一分，ISMS在招投標(biāo)中也越來越受到重視，除了金融、銀行、IT相關(guān)行業(yè)是必然加分項(xiàng)之外，其他行業(yè)也逐漸成為加分項(xiàng)，例如印刷行業(yè)（母嬰三證招投標(biāo)中，除了國家秘密載體復(fù)制證之外，ISMS認(rèn)證單獨(dú)占一分）。ISMS認(rèn)證和ITSMS認(rèn)證會(huì)在今后招投標(biāo)項(xiàng)目中更多的引用。2024/9/2426背景介紹體系的現(xiàn)狀：

我們國家非常重視信息安全。2002年4月,我國成立了“全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(TC260)”。2006年3月，認(rèn)監(jiān)委批準(zhǔn)4家ISMS試點(diǎn)認(rèn)證機(jī)構(gòu)。CNCA于2009年發(fā)布第47號(hào)公告《關(guān)于正式開展信息安全管理體系認(rèn)證工作的公告》。到目前為止，經(jīng)CNAS批準(zhǔn)的ISMS認(rèn)證機(jī)構(gòu)有5家，經(jīng)CNCA批準(zhǔn)的ISMS認(rèn)證機(jī)構(gòu)有14家。2024/9/2427背景介紹體系的現(xiàn)狀：

2010年8月12日，由工業(yè)和信息化部、國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局、中國人民銀行、國務(wù)院國有資產(chǎn)監(jiān)督管理委員會(huì)、國家保密局、國家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)等6部委聯(lián)合下發(fā)了《關(guān)于加強(qiáng)信息安全管理體系認(rèn)證安全管理的通知》的394號(hào)文件。目前，ITSMS還沒有單獨(dú)成為體系進(jìn)行認(rèn)證，一般和ISMS結(jié)合進(jìn)行，2012年8月CNCA已經(jīng)正式啟動(dòng)ITSMS認(rèn)證機(jī)構(gòu)申請(qǐng)材料上報(bào)工作。2024/9/2428背景介紹體系的現(xiàn)狀：截止2009年9月，全球有5941個(gè)組織獲得了ISMS認(rèn)證；截止到2009年4月，我國獲得信息安全管理體系認(rèn)證證書的機(jī)構(gòu)約有200家。獲得認(rèn)證組織的數(shù)量正在呈快速增長趨勢。我們埃爾維已經(jīng)正式提交申請(qǐng)ISMS認(rèn)證資格的申報(bào)材料，不久就能獲得CNCA的批準(zhǔn)，隨后我們將繼續(xù)申請(qǐng)ITSMS的認(rèn)證資格，讓我們共同期待。2024/9/2429背景介紹體系的不足：

ISMS和ITSMS標(biāo)準(zhǔn)是2005年正式發(fā)布的，7年來信息技術(shù)有了飛速的發(fā)展和變化，有些條款和措施已經(jīng)不完全符合現(xiàn)實(shí)情況，不能完全滿足現(xiàn)在的要求。ISO組織正對(duì)ISMS進(jìn)行修訂之中，預(yù)計(jì)明后年就會(huì)發(fā)布新版的標(biāo)準(zhǔn)，ITSMS也會(huì)隨之更新。2024/9/2430本次交流的主要內(nèi)容交流內(nèi)容二、體系介紹2什么是ISMS？2024/9/2432體系介紹信息安全管理體系（ISMS）：基于業(yè)務(wù)風(fēng)險(xiǎn)方法，建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全的體系，是一個(gè)組織整個(gè)管理體系的一部分，注：管理體系包括組織結(jié)構(gòu)、方針策略、規(guī)劃活動(dòng)、職責(zé)、實(shí)踐、規(guī)程、過程和資源。信息安全是指：保護(hù)信息的保密性(C)、完整性(I)、可用性(A)；另外也可包括如：真實(shí)性、可核查性、不可否認(rèn)性和可靠性等。信息資產(chǎn)的安全屬性：保密性：信息不能被未授權(quán)的個(gè)人、實(shí)體或者過程利用或知悉的特性。完整性：保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性。可用性：根據(jù)授權(quán)實(shí)體的要求可訪問和利用的特性。真實(shí)性：保證主體或資源確系其所聲稱的身份的特性。可核查性：確保實(shí)體行為能被有效跟蹤的特性。可靠性：與預(yù)想的行為和結(jié)果相一致的特性。是信息資產(chǎn)最重要的三個(gè)屬性，國際上稱之為信息的CIA屬性或者信息安全金三角。保密性完整性可用性安全2024/9/2434體系標(biāo)準(zhǔn)介紹

ISO/IEC27000族系列標(biāo)準(zhǔn)1.ISO/IEC27000：2009《信息安全管理體系原理和術(shù)語》2.ISO/IEC27001：2005《信息安全管理體系要求》=GB/T22080-2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》3.ISO/IEC27002：2005《信息安全管理實(shí)踐規(guī)則》

4.ISO/IEC27003：2008《信息安全管理體系實(shí)施指南》5.ISO/IEC27004：2008《信息安全管理測量與指標(biāo)》

2024/9/2435體系標(biāo)準(zhǔn)介紹

ISO/IEC27000族系列標(biāo)準(zhǔn)6.ISO/IEC27005：2011《信息安全風(fēng)險(xiǎn)管理》7.ISO/IEC27006：2007《信息安全管理體系審核認(rèn)證機(jī)構(gòu)要求》=CNAS-CC17：20128.ISO/IEC27007：2011《信息安全管理體系審核指南》9.ISO/IEC27008：2011《ISMS控制措施審核員指南》10.ISO/IEC27010：2012《部門間和組織間通信的信息安全管理》11.ISO/IEC27011：2009《電信業(yè)信息安全管理指南》2024/9/2436體系標(biāo)準(zhǔn)介紹前言引言1、范圍2、規(guī)范性引用文件3、術(shù)語和定義4、信息安全管理體系（ISMS）5、管理職責(zé)6、ISMS內(nèi)部審核7、ISMS的管理評(píng)審8、ISMS改進(jìn)附錄A（規(guī)范性附錄）控制目標(biāo)和控制措施附錄B（資料性附錄）OECD原則和本標(biāo)準(zhǔn)附錄C（資料性附錄）GB/T19001-2000，GB/T24001-2004和本標(biāo)準(zhǔn)之間的對(duì)照參考文獻(xiàn)組織聲稱符合本標(biāo)準(zhǔn)時(shí)，對(duì)于第4章、第5章、第6章、第7章和第8章的要求不能刪減。2024/9/2437體系標(biāo)準(zhǔn)介紹

ISMS標(biāo)準(zhǔn)刪減要求：此標(biāo)準(zhǔn)特別強(qiáng)調(diào)：對(duì)于第4章信息安全管理體系（ISMS）、第5章管理職責(zé)、第6章ISMS內(nèi)部審核、第7章ISMS的管理評(píng)審和第8章ISMS改進(jìn)的要求不能刪減。只有針對(duì)附錄A的控制措施可以進(jìn)行必要的刪減，但必須證明是合理的，且需要提供證據(jù)。2024/9/2438體系標(biāo)準(zhǔn)介紹相關(guān)方受控的信息安全信息安全要求和期望相關(guān)方檢查Check建立ISMS實(shí)施和運(yùn)行ISMS保持和改進(jìn)ISMS監(jiān)視和評(píng)審ISMS規(guī)劃Plan實(shí)施Do處置Act此標(biāo)準(zhǔn)采用PDCA模型：2024/9/2439體系標(biāo)準(zhǔn)介紹GB/T22080-2008的主體：4-8章4信息安全管理體系（ISMS)4.1總要求4.2建立和管理ISMS4.2.1建立ISMS4.2.2實(shí)施和運(yùn)行ISMS4.2.3監(jiān)視和評(píng)審ISMS4.2.4保持和改進(jìn)ISMS4.3文件要求4.3.1總則4.3.2文件控制4.3.3記錄控制PDCA循環(huán)2024/9/2440體系標(biāo)準(zhǔn)介紹GB/T22080-2008的主體：4-8章5管理職責(zé)5.1管理承諾5.2資源管理5.2.1資源提供5.2.2培訓(xùn)、意識(shí)和能力6ISMS內(nèi)部審核7ISMS的管理評(píng)審7.1總則7.2評(píng)審輸入7.3評(píng)審輸出8ISMS改進(jìn)8.1持續(xù)改進(jìn)8.2糾正措施8.3預(yù)防措施2024/9/2441體系標(biāo)準(zhǔn)介紹ISMS的適用范圍：適用于各種類型、規(guī)模和特性的組織（例如：商業(yè)企業(yè)、政府機(jī)構(gòu)、非盈利組織等），規(guī)定了為適應(yīng)不同組織或其部門的需要而定制的安全控制措施的實(shí)施要求（絕不只針對(duì)IT行業(yè)和組織的IT部門）。如：金融、銀行……印刷該標(biāo)準(zhǔn)僅僅指出應(yīng)該使用體系化的方法進(jìn)行風(fēng)險(xiǎn)評(píng)估（風(fēng)險(xiǎn)評(píng)估的方法、法律要求、降低風(fēng)險(xiǎn)到可接受級(jí)別的策略和目標(biāo)）。該標(biāo)準(zhǔn)并沒有規(guī)定一個(gè)特定的方法論。2024/9/2442體系標(biāo)準(zhǔn)介紹ISMS的適用范圍：按照394號(hào)文件要求：為加強(qiáng)信息安全管理體系認(rèn)證的安全管理,減少信息安全風(fēng)險(xiǎn)，各級(jí)政府機(jī)關(guān)和政府信息系統(tǒng)運(yùn)行單位,不得利用社會(huì)第三方認(rèn)證機(jī)構(gòu)開展ISMS認(rèn)證。為確保國家秘密安全,涉密信息系統(tǒng)建設(shè)使用單位不得申請(qǐng)ISMS認(rèn)證。應(yīng)選擇國家認(rèn)證認(rèn)可監(jiān)督管理部門批準(zhǔn)從事ISMS認(rèn)證的認(rèn)證機(jī)構(gòu)進(jìn)行認(rèn)證,并簽訂安全和保密協(xié)議,履行不泄露、不擴(kuò)散、不轉(zhuǎn)讓認(rèn)證信息的義務(wù),保證重要敏感信息不出境。2024/9/2443體系標(biāo)準(zhǔn)介紹ISMS標(biāo)準(zhǔn)的特點(diǎn)：ISO/IEC27001標(biāo)準(zhǔn)用于為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)ISMS提供模型。采用ISMS應(yīng)當(dāng)是一個(gè)組織的一項(xiàng)戰(zhàn)略性決策。一個(gè)組織的ISMS的設(shè)計(jì)和實(shí)施受業(yè)務(wù)需求和目標(biāo)、安全需求、經(jīng)營狀況、所采用的過程以及組織的規(guī)模和結(jié)構(gòu)的影響，上述因素及其支持過程會(huì)不斷發(fā)生變化。按照組織的實(shí)際需要實(shí)施ISMS是該標(biāo)準(zhǔn)所期望的，例如簡單的情況可采用簡單的ISMS解決方案。——（最佳合理可行）2024/9/2444體系標(biāo)準(zhǔn)介紹ISMS標(biāo)準(zhǔn)的特點(diǎn)：ISO27001標(biāo)準(zhǔn)可以作為評(píng)估組織滿足顧客、組織本身及法律法規(guī)的信息安全要求的能力的依據(jù)，無論是組織自我評(píng)估還是評(píng)估供方能力，都可以采用，也可以用作獨(dú)立第三方認(rèn)證的依據(jù)。標(biāo)準(zhǔn)的特點(diǎn)為：*注重體系的完整性，是一套科學(xué)的ISMS

*強(qiáng)調(diào)對(duì)法律法規(guī)的符合性*以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)，采用PDCA的過程方法*適用于各種類型、不同規(guī)模和業(yè)務(wù)性質(zhì)的組織*與其他管理體系兼容（例如ISO9000標(biāo)準(zhǔn)等）2024/9/2445體系標(biāo)準(zhǔn)介紹附錄A內(nèi)容簡介：附錄A——《控制目標(biāo)和控制措施》包括11大控制領(lǐng)域（見圖1）、39個(gè)控制目標(biāo)和133項(xiàng)控制措施，為組織提供全方位的信息安全保障。附錄A是規(guī)范性附錄，和標(biāo)準(zhǔn)等同使用，可以作為認(rèn)證時(shí)判標(biāo)的依據(jù)。附錄A中所列的控制目標(biāo)和控制措施是直接源自并與GB/T22081-2008(ISO/IEC27002:2005)第5章到第15章一致。附錄A中的清單并不詳盡，一個(gè)組織可能考慮另外必要的控制目標(biāo)和控制措施。在附錄A中選擇控制目標(biāo)和控制措施是條款4.2.1規(guī)定的ISMS過程的一部分。2024/9/2446體系標(biāo)準(zhǔn)介紹2024/9/2447體系標(biāo)準(zhǔn)介紹附錄A小結(jié)：包括11個(gè)域，匯集了39個(gè)控制目標(biāo)、133個(gè)控制措施；目的是保護(hù)信息免受各種威脅的損害，以確保業(yè)務(wù)連續(xù)性、業(yè)務(wù)風(fēng)險(xiǎn)最小化、投資回報(bào)和商業(yè)機(jī)遇最大化；是實(shí)施GB/T22080-2008的支持標(biāo)準(zhǔn)，給出了組織建立信息安全管理體系（ISMS）時(shí)可選擇實(shí)施的控制目標(biāo)和控制措施集；是一個(gè)信息安全最佳實(shí)踐的匯總；值得注意的是，標(biāo)準(zhǔn)中推薦的這133個(gè)控制措施，并非信息安全控制措施的全部。組織可以根據(jù)自己的情況選擇使用標(biāo)準(zhǔn)以外的控制措施來實(shí)現(xiàn)組織的信息安全目標(biāo)。

2024/9/2448體系標(biāo)準(zhǔn)介紹信息安全基本觀點(diǎn)：絕對(duì)的安全不存在

任何安全機(jī)制的作用，都是為了在既定的安全目標(biāo)和允許的投資規(guī)模下，有效地抑制和避免系統(tǒng)當(dāng)前所面臨的安全風(fēng)險(xiǎn)，而不是一勞永逸地解決所有的問題。依據(jù)業(yè)務(wù)需求和運(yùn)營需求，保密性(C)，完整性(I)，可用性(A)三者追求一種平衡，不能把其一搞成極致。否則，會(huì)導(dǎo)致無法運(yùn)行。2024/9/2449體系標(biāo)準(zhǔn)介紹

ISMS標(biāo)準(zhǔn)重點(diǎn)內(nèi)容：體系的核心理念是通過“風(fēng)險(xiǎn)評(píng)估”、“風(fēng)險(xiǎn)管理”切入企業(yè)的信息安全需求，經(jīng)由完整的控制措施選擇及落實(shí)，有效降低企業(yè)面臨的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估是識(shí)別風(fēng)險(xiǎn)（資產(chǎn)、威脅、脆弱性、影響）的過程，該過程包括分析威脅,確定影響范圍，發(fā)現(xiàn)信息、信息系統(tǒng)和過程機(jī)制中的脆弱性，并判斷發(fā)生的可能性。風(fēng)險(xiǎn)評(píng)估有不同方法，在ISO/IECTR13335-3中描述了風(fēng)險(xiǎn)評(píng)估方法的例子。2024/9/2450體系標(biāo)準(zhǔn)介紹風(fēng)險(xiǎn)管理關(guān)系圖：風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)評(píng)價(jià)

風(fēng)險(xiǎn)處置

2024/9/2451體系標(biāo)準(zhǔn)介紹

ISMS標(biāo)準(zhǔn)重點(diǎn)術(shù)語：風(fēng)險(xiǎn)管理：指導(dǎo)和控制一個(gè)組織相關(guān)風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)。風(fēng)險(xiǎn)評(píng)估：風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的整個(gè)過程。（有多種風(fēng)險(xiǎn)評(píng)估方法和工具可以選擇）風(fēng)險(xiǎn)分析：系統(tǒng)地使用信息來識(shí)別風(fēng)險(xiǎn)來源和估計(jì)風(fēng)險(xiǎn)。（可以是定性、定量或二者結(jié)合）風(fēng)險(xiǎn)評(píng)價(jià)：將估計(jì)的風(fēng)險(xiǎn)與給定的風(fēng)險(xiǎn)準(zhǔn)則加以比較以確定風(fēng)險(xiǎn)嚴(yán)重性的過程。（賦值）R（風(fēng)險(xiǎn)值）=L（可能性）×S（后果嚴(yán)重性）2024/9/2452體系標(biāo)準(zhǔn)介紹

ISMS標(biāo)準(zhǔn)重點(diǎn)術(shù)語：風(fēng)險(xiǎn)處置：選擇并且執(zhí)行措施來更改風(fēng)險(xiǎn)的過程。風(fēng)險(xiǎn)處置方法有：接受風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)、規(guī)避風(fēng)險(xiǎn)和降低風(fēng)險(xiǎn)。威脅：可能導(dǎo)致對(duì)系統(tǒng)或組織的損害的任何不期望事件的潛在原因。脆弱性：資產(chǎn)可被威脅利用的弱點(diǎn)。（如技術(shù)脆弱性中的系統(tǒng)軟件XP→VISTA→WIN7打補(bǔ)丁）風(fēng)險(xiǎn)水平：風(fēng)險(xiǎn)等級(jí)，可用后果和可能性的組合來表示。R（風(fēng)險(xiǎn)值）=L（可能性）×S（后果嚴(yán)重性）2024/9/2453體系標(biāo)準(zhǔn)介紹

ISMS標(biāo)準(zhǔn)重點(diǎn)術(shù)語：適用性聲明(SOA)：描述與組織的信息安全管理體系相關(guān)的和適用的控制目標(biāo)和控制措施的文件。注：控制目標(biāo)和控制措施是基于風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置過程的結(jié)果和結(jié)論、法律法規(guī)要求、合同義務(wù)以及組織對(duì)信息安全的業(yè)務(wù)要求。1、適用于組織需要的目標(biāo)和控制的評(píng)述。2、適用性聲明是一個(gè)包含組織所選擇的控制目標(biāo)和控制方式的文件，相當(dāng)于一個(gè)控制目標(biāo)與方式清單：其中應(yīng)闡述選擇與不選擇的理由。2024/9/2454體系標(biāo)準(zhǔn)介紹

ISMS標(biāo)準(zhǔn)重點(diǎn)內(nèi)容：ISMS范圍的復(fù)雜性：應(yīng)依據(jù)組織的：雇員+簽約人員的數(shù)量、用戶數(shù)量、場所數(shù)量、服務(wù)器數(shù)量、工作站+PC+便攜式計(jì)算機(jī)的數(shù)量、應(yīng)用開發(fā)與維護(hù)人員的數(shù)量、網(wǎng)絡(luò)與密碼技術(shù)、法律符合性的重要性、行業(yè)特定風(fēng)險(xiǎn)的適用性等因素去確定。ISMS范圍的復(fù)雜性的整體有效類別可以是所識(shí)別的全部復(fù)雜性因素的類別中最高的那個(gè)，結(jié)果即為：“高”、“中”或“低”。2024/9/2455體系標(biāo)準(zhǔn)介紹

ISMS標(biāo)準(zhǔn)重點(diǎn)內(nèi)容：不同組織的風(fēng)險(xiǎn)準(zhǔn)則、風(fēng)險(xiǎn)分析的方法和風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果會(huì)有所不同，對(duì)于資產(chǎn)賦值、威脅賦值、脆弱性賦值也會(huì)有所不同。同樣一個(gè)風(fēng)險(xiǎn)在不同組織可能評(píng)價(jià)的風(fēng)險(xiǎn)程度會(huì)有所不同。由于風(fēng)險(xiǎn)的不確定性，不要期望完全消除風(fēng)險(xiǎn)。2024/9/2456體系標(biāo)準(zhǔn)介紹什么是ITSMS？2024/9/2458體系介紹信息技術(shù)服務(wù)管理體系（ITSMS）：

IT服務(wù)管理是一套以流程為導(dǎo)向、以客戶為中心的方法，通過整合IT服務(wù)與組織業(yè)務(wù)，提高企業(yè)提供IT服務(wù)和對(duì)IT服務(wù)進(jìn)行支持的能力的水準(zhǔn)。信息技術(shù)服務(wù)管理（ITSM）是一套幫助企業(yè)對(duì)IT系統(tǒng)的規(guī)劃、研發(fā)、實(shí)施和運(yùn)營進(jìn)行有效管理的方法，是一套方法論。這套標(biāo)準(zhǔn)已經(jīng)被歐洲、美洲和澳洲的很多企業(yè)采用，目前在歐洲40-60%的IT經(jīng)理都知道ITSM，在美國有20-30%的IT經(jīng)理了解ITSM,而在國內(nèi)了解ITSM的人還很少。2024/9/2459體系介紹信息技術(shù)服務(wù)管理體系（ITSMS）：ITSM起源于ITIL（IT基礎(chǔ)架構(gòu)標(biāo)準(zhǔn)庫），ITIL是CCTA（英國國家電腦局）于1980年開發(fā)的一套IT服務(wù)管理標(biāo)準(zhǔn)庫。它把英國在IT管理方面的方法歸納起來，變成規(guī)范，為企業(yè)的IT部門提供一套從計(jì)劃、研發(fā)、實(shí)施到運(yùn)維的標(biāo)準(zhǔn)方法。信息技術(shù)服務(wù)管理體系（ITSMS）是能夠提供ITSM的體系，是整個(gè)管理體系的一部分。2024/9/2460體系標(biāo)準(zhǔn)介紹

ISO/IEC20000系列標(biāo)準(zhǔn)1.IS0／IEC20000一1：2005=GB／T24405．1—2009《信息技術(shù)服務(wù)管理第1部分：規(guī)范》——認(rèn)證的依據(jù)2.IS0／IEC20000一2：2005=GB／T24405．2—2010《信息技術(shù)服務(wù)管理第2部分：實(shí)踐規(guī)則》——主要涉及IT服務(wù)管理過程的最佳實(shí)踐指南，旨在為審核員提供指南，也為服務(wù)提供方策劃服務(wù)改進(jìn)或依據(jù)GB／T24405-1進(jìn)行審核提供幫助2024/9/2461體系標(biāo)準(zhǔn)介紹

ITSMS-1部分標(biāo)準(zhǔn)內(nèi)容簡介：ISO/IEC20000系列標(biāo)準(zhǔn)是基于全球公認(rèn)的ITIL最佳實(shí)踐，于2005年12月15日由ISO/IEC對(duì)外正式頒布與執(zhí)行的IT服務(wù)管理國際標(biāo)準(zhǔn)。它是全球第一部最具國際影響力的IT服務(wù)管理體系標(biāo)準(zhǔn)規(guī)范。秉承“以客戶為導(dǎo)向，以流程為中心”的先進(jìn)理念，強(qiáng)調(diào)按照PDCA的方法論持續(xù)改進(jìn)組織所提供的IT服務(wù)，通過采用系統(tǒng)的流程方法，有效的向客戶提供滿足業(yè)務(wù)與客戶需求的高質(zhì)量服務(wù)，從而最終保證以最低的成本提供質(zhì)量穩(wěn)定的IT服務(wù)，保證業(yè)務(wù)持續(xù)運(yùn)作的能力。2024/9/2462體系標(biāo)準(zhǔn)介紹

ITSMS-1部分標(biāo)準(zhǔn)內(nèi)容簡介：幾個(gè)重要術(shù)語：1、基線：在某個(gè)時(shí)間點(diǎn)上服務(wù)或各個(gè)配置項(xiàng)的狀態(tài)。2、配置項(xiàng)：處于或?qū)⑻幱谂渲霉芾碇碌幕A(chǔ)設(shè)施部件或項(xiàng)。注：配置項(xiàng)在復(fù)雜性、規(guī)模和類型方面變化可能很大，配置項(xiàng)可以是整個(gè)系統(tǒng)，包括所有的硬件、軟件和文檔，也可以是單個(gè)模塊或很小的硬件部件。3、發(fā)布：經(jīng)測試且被引入實(shí)際運(yùn)行環(huán)境的新配置項(xiàng)和（或）變更的配置項(xiàng)的集合。2024/9/2463體系標(biāo)準(zhǔn)介紹

ITSMS-1部分標(biāo)準(zhǔn)內(nèi)容簡介：幾個(gè)重要術(shù)語：4、服務(wù)臺(tái)：面向顧客的、完成大部分支持工作的支持組。5、服務(wù)級(jí)別協(xié)議（SLA）：服務(wù)提供方與顧客之間簽署的、描述服務(wù)和約定服務(wù)級(jí)別的協(xié)議。6、可用性：在規(guī)定時(shí)刻或規(guī)定時(shí)間段內(nèi)，部件或服務(wù)執(zhí)行要求功能的能力。注：可用性通常用機(jī)構(gòu)使用的實(shí)際可用服務(wù)時(shí)間與約定服務(wù)時(shí)間的比率來表示。2024/9/2464體系標(biāo)準(zhǔn)介紹ITSMS-1標(biāo)準(zhǔn)主要內(nèi)容簡介：1范圍2術(shù)語和定義3管理體系要求3.1管理職責(zé)3.2文件要求3.3能力、意識(shí)和培訓(xùn)4策劃和實(shí)施服務(wù)管理4.1策劃服務(wù)管理（策劃）4.2實(shí)施服務(wù)管理和提供服務(wù)（實(shí)施）4.3監(jiān)視、測量和評(píng)審（檢查）4.4持續(xù)改進(jìn)（處置）2024/9/2465體系標(biāo)準(zhǔn)介紹此標(biāo)準(zhǔn)采用PDCA模型：2024/9/2466體系標(biāo)準(zhǔn)介紹

ITSMS-1標(biāo)準(zhǔn)主要內(nèi)容簡介：5策劃和實(shí)施新服務(wù)或變更的服務(wù)6服務(wù)交付過程6.1服務(wù)級(jí)別管理6.2服務(wù)報(bào)告6.3服務(wù)連續(xù)性和可用性管理6.4IT服務(wù)的預(yù)算與核算6.5能力管理6.6信息安全管理7關(guān)系過程7.1概述7.2業(yè)務(wù)關(guān)系管理7.3供方管理2024/9/2467體系標(biāo)準(zhǔn)介紹

ITSMS-1標(biāo)準(zhǔn)主要內(nèi)容簡介：8解決過程8.1背景8.2事件管理8.3問題管理9控制過程9.1配置管理9.2變更管理10發(fā)布過程10.1發(fā)布管理2024/9/2468體系標(biāo)準(zhǔn)介紹2024/9/2469體系標(biāo)準(zhǔn)介紹

ITSMS-2部分標(biāo)準(zhǔn)內(nèi)容簡介：作為實(shí)踐規(guī)則此部分采用指南和建議的形式針對(duì)第一部分（規(guī)范）的10項(xiàng)主要內(nèi)容提出了具體要求。描述了在ISO/IEC20000的第1部分中的服務(wù)管理的最佳實(shí)踐，對(duì)如何實(shí)現(xiàn)第1部分提供了建議和指導(dǎo)。可用于大規(guī)模也可用于小規(guī)模的服務(wù)提供方。此部分不宜作為規(guī)范引用。2024/9/2470體系標(biāo)準(zhǔn)介紹ITSMS標(biāo)準(zhǔn)的適用范圍：*將以其服務(wù)進(jìn)行投標(biāo)的機(jī)構(gòu)；*要求供應(yīng)鏈中的所有服務(wù)提供方采用一致的方法的機(jī)構(gòu)；*要確定IT服務(wù)管理基準(zhǔn)的服務(wù)提供方；*獨(dú)立評(píng)估的基礎(chǔ)；*需要證明其可提供滿足顧客要求的服務(wù)的能力的組織；*意欲通過過程的有效應(yīng)用來監(jiān)視和提高服務(wù)質(zhì)量，從而改善服務(wù)的組織。2024/9/2471體系標(biāo)準(zhǔn)介紹ITSMS標(biāo)準(zhǔn)的特點(diǎn)：*

標(biāo)準(zhǔn)為服務(wù)提供方定義了向其顧客交付可接受質(zhì)量的管理服務(wù)的要求，規(guī)定了一些緊密相關(guān)的服務(wù)管理過程，這些過程之間的關(guān)系取決于組織內(nèi)的應(yīng)用。*

作為基于過程的標(biāo)準(zhǔn)，ISO/IEC20000-1的目的并非用于產(chǎn)品評(píng)估。但是開發(fā)服務(wù)管理工具、產(chǎn)品和系統(tǒng)的組織可以使用本標(biāo)準(zhǔn)及其實(shí)踐規(guī)則來幫助他們開發(fā)支持最佳實(shí)踐服務(wù)管理的工具、產(chǎn)品和系統(tǒng)。2024/9/2472體系標(biāo)準(zhǔn)介紹ITSMS標(biāo)準(zhǔn)的特點(diǎn)：*

標(biāo)準(zhǔn)與《信息技術(shù)---服務(wù)管理---第2部分:實(shí)踐規(guī)則》一起覆蓋了ITIL中的全部最佳實(shí)踐集，便于已實(shí)施ITIL的企業(yè)轉(zhuǎn)化應(yīng)用，易于對(duì)實(shí)施ITIL有經(jīng)驗(yàn)的人士理解和接受；*

與MOF(微軟運(yùn)作構(gòu)架)、COBIT（信息和相關(guān)技術(shù)的控制目標(biāo)）等IT服務(wù)管理模型有共同的技術(shù)及管理方法基礎(chǔ)；*

與ISO9000、CMMI（軟件能力成熟度模型）、ISO/IEC27001等具有良好的兼容性。2024/9/2473本次交流的主要內(nèi)容交流內(nèi)容3三、體系比較2024/9/2474體系比較ISMS、QMS、EMS、OHSMS、ITSMS等體系之間共同點(diǎn)：*

互相兼容；*

均采用PDCA（“戴明環(huán)”）過程方法；*

均以CNAS-CC01:2011管理體系認(rèn)證機(jī)構(gòu)要求作為基本要求；*

只要ISMS以及與其他管理體系的適當(dāng)接口能夠清楚地被識(shí)別，客戶組織可以將ISMS文件與其他管理體系文件（例如，質(zhì)量、環(huán)境和健康與安全）相結(jié)合。2024/9/2475體系比較ISMS、QMS、EMS、OHSMS、ITSMS等體系之間共同點(diǎn)：*

都必須具備體系文件、程序、職責(zé)、方針、目標(biāo)指標(biāo)、內(nèi)審、管理評(píng)審、相關(guān)法律法規(guī)、糾正措施、預(yù)防措施等文件和過程；*

可以相互組合建立一體化管理體系，實(shí)現(xiàn)多體系結(jié)合認(rèn)證；*

認(rèn)證證書的使用與管理相同（3年有效，1年之內(nèi)監(jiān)督審核，認(rèn)證標(biāo)志不能用于產(chǎn)品等）；*

審核人日安排的基本準(zhǔn)則相同；*

都是體系認(rèn)證，認(rèn)證流程相同。2024/9/2476體系比較ISMS、QMS、EMS、OHSMA、ITSMS等體系之間不同點(diǎn)：*

領(lǐng)域不同；*

適用范圍有所不同（Q/E/H/IS全部適用，IT有些局限）；*

關(guān)注的側(cè)重點(diǎn)有所不同；*

條款的刪減有所不同（Q7.3、E/H/IT不允許刪減、IS只能對(duì)附錄A有所刪減）；2024/9/2477體系比較ISMS、QMS、EMS、OHSMA、ITSMS等體系之間不同點(diǎn)：*

對(duì)審核員的能力要求有所不同（ISMS、ITSMS對(duì)專業(yè)要求更嚴(yán)格）；*

認(rèn)證費(fèi)用有所不同；*

ISMS需要提供適用性聲明（SOA）文件；*ITSMS暫時(shí)還沒有成為單獨(dú)體系。2024/9/2478信息安全、質(zhì)量、環(huán)境、IT服務(wù)管理體系對(duì)應(yīng)表2024/9/2479信息安全、質(zhì)量、環(huán)境、IT服務(wù)管理體系對(duì)應(yīng)表2024/9/2480信息安全、質(zhì)量、環(huán)境、IT服務(wù)管理體系對(duì)應(yīng)表2024/9/2481本次交流的主要內(nèi)容交流內(nèi)容4四、概括總結(jié)2024/9/2482概括總結(jié)建立信息安全管理體系的作用：任何組織，不論它在信息技術(shù)方面如何努力以及采納如何新的信息安全技術(shù)，實(shí)際上在信息安全管理方面都還存在漏洞，例如：

缺少信息安全管理論壇，安全導(dǎo)向不明確，管理支持不明顯；

缺少跨部門的信息安全協(xié)調(diào)機(jī)制；

保護(hù)特定資產(chǎn)以及完成特定安全過程的職責(zé)還不明確；

雇員信息安全意識(shí)薄弱，缺少防范意識(shí)，外來人員很容易直接進(jìn)入生產(chǎn)和工作場所；2024/9/2483概括總結(jié)建立信息安全管理體系的作用：

組織信息系統(tǒng)管理制度不夠健全；

組織信息系統(tǒng)主機(jī)房安全存在隱患，如：防火設(shè)施存在問題，與危險(xiǎn)品倉庫同處一幢辦公樓等；

組織信息系統(tǒng)備份設(shè)備仍有欠缺；

組織信息系統(tǒng)安全防范技術(shù)投入欠缺；

軟件知識(shí)產(chǎn)權(quán)保護(hù)欠缺；

計(jì)算機(jī)房、辦公場所等物理防范措施欠缺；2024/9/2484概括總結(jié)建立信息安全管理體系的作用：

檔案、記錄等缺少可靠貯存場所；

缺少一旦發(fā)生意外時(shí)的保證生產(chǎn)經(jīng)營連續(xù)性的措施和計(jì)劃；

……等等。建立ISMS和ITSMS就可以有效解決以上問題。2024/9/2485概括總結(jié)

ISMS認(rèn)證對(duì)企業(yè)的好處：

符合法律法規(guī)要求，降低法律風(fēng)險(xiǎn)；

強(qiáng)化員工的信息安全意識(shí)，規(guī)范組織信息安全行為；

增強(qiáng)客戶、合作伙伴等相關(guān)方的信任和信心；

保持組織良好的競爭力和成功運(yùn)作的狀態(tài)，提高在公眾中的形象和聲譽(yù)，提高組織的品牌、知名度與信任度，最大限度的增加投資回報(bào)和商業(yè)機(jī)會(huì)；

促使管理層堅(jiān)持貫徹信息安全保障體系，履行信息安全管理責(zé)任；2024/9/2486概括總結(jié)

ISMS認(rèn)證對(duì)企業(yè)的好處：

實(shí)現(xiàn)風(fēng)險(xiǎn)管理，預(yù)防信息安全事故，保證組織業(yè)務(wù)的連續(xù)性，使組織的重要信息資產(chǎn)受到與其價(jià)值