ISO27001認(rèn)證咨詢介紹上海翰緯信息管理咨詢有限公司黃新峰22025/1/26IT管理挑戰(zhàn)和行業(yè)標(biāo)準(zhǔn)TCOITILCMMCOBITSixSigmaISO9000NationalAwards

(e.g.,Baldrige)ScorecardsIS/ITRelevanceSpecificHolisticLowHighLevelofAbstractionPeopleCMMISO27001Lean(Toyota)MOFeTOMSOXIT管理面臨的挑戰(zhàn)：安全性（防止數(shù)據(jù)泄密、信息系統(tǒng)的安全性）運(yùn)行效率&質(zhì)量（特別是成本）用戶體驗(yàn)（關(guān)系到用戶購(gòu)買、感受和和用戶投訴)穩(wěn)定性（IT基礎(chǔ)架構(gòu)可用性/可靠性；重要業(yè)務(wù)系統(tǒng)穩(wěn)定性，業(yè)務(wù)連續(xù)性管理）行業(yè)監(jiān)管要求和監(jiān)管標(biāo)準(zhǔn)團(tuán)隊(duì)培養(yǎng)、服務(wù)意識(shí)培養(yǎng)ISO2700132025/1/26ISO27001定義簡(jiǎn)單講，ISO27001是認(rèn)證組織對(duì)敏感信息和資產(chǎn)進(jìn)行管理和控制水平的的國(guó)際標(biāo)準(zhǔn)ISO27001基于業(yè)務(wù)風(fēng)險(xiǎn)管理方法，以建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)組織的信息安全三分技術(shù)、七分管理ISO27000族標(biāo)準(zhǔn)ISO/IEC27000—Informationtechnology—Securitytechniques—Informationsecuritymanagementsystems—OverviewandvocabularyISO/IEC27001—Informationtechnology—Securitytechniques—Informationsecuritymanagementsystems—RequirementsISO/IEC27002—Informationtechnology—Securitytechniques—Codeofpracticeforinformationsecuritymanagement（即原來(lái)的17799：2005）ISO/IEC27003—Informationtechnology—Securitytechniques—InformationsecuritymanagementsystemimplementationguidanceISO/IEC27004—Informationtechnology—Securitytechniques—InformationsecuritymanagementmeasurementsISO/IEC27005—Informationtechnology—Securitytechniques—InformationsecurityriskmanagementISO/IEC27006—Informationtechnology—Securitytechniques—RequirementsforbodiesprovidingauditandcertificationofinformationsecuritymanagementsystemsISO/IEC27007—Informationtechnology—Securitytechniques—Informationsecuritymanagementsystems–Auditorguidelines42025/1/26ISO27001發(fā)展歷程52025/1/261995英國(guó)出版BS7799-1:1995《信息安全管理實(shí)施細(xì)則》英國(guó)出版BS7799-2:1998《信息安全管理體系規(guī)范》1998BS7799-1:1999與BS7799-2:1999經(jīng)過(guò)修訂后重新發(fā)布1999BS7799-1:1999通過(guò)國(guó)際化標(biāo)準(zhǔn)組織ISO認(rèn)可,12月正式成為國(guó)際標(biāo)準(zhǔn)ISO/IEC17799:2000《信息技術(shù)-信息學(xué)安全管理實(shí)施細(xì)則》2000BSI對(duì)BS7799-2:1999進(jìn)行了修訂，正式引入PDCA過(guò)程模型。9月BS7799-2:2002公布發(fā)行。20022004年9月5號(hào)，BS7799-2:2002正式發(fā)布，提交ISO，可望近期成為國(guó)際標(biāo)準(zhǔn)。20041993率先由英國(guó)貿(mào)易工業(yè)部進(jìn)行專案。2005年10月14號(hào),BS7799-2:2005成為ISO/IEC270012005年，ISO/IEC17799:2005正式發(fā)布62025/1/26ISO27001介紹Chapter0:簡(jiǎn)介Chapter1:范圍Chapter2:強(qiáng)制性應(yīng)用標(biāo)準(zhǔn)Chapter3:術(shù)語(yǔ)和定義Chapter4:信息安全管理體系Chapter5:管理責(zé)任Chapter6:ISMS內(nèi)部審查（內(nèi)審）Chapter7:ISMS管理評(píng)審Chapter8:ISMS改善附件A（強(qiáng)制性）控制目標(biāo)和控制措施附錄A：11個(gè)控制域72025/1/26訪問(wèn)控制信息安全方針安全組織人力資源安全物理與環(huán)境安全系統(tǒng)開(kāi)發(fā)連續(xù)運(yùn)營(yíng)計(jì)劃符合性信息客戶記錄人事記錄法律記錄通信與運(yùn)作管理資產(chǎn)分級(jí)控制安全事件管理39個(gè)控制目標(biāo)A.5、安全方針（SecurityPolicy）(1,2)（附注）A.6、安全組織（SecurityOrganization）(2,11)A.7、資產(chǎn)分類與控制(AssetclassificationandControl)(2,5)A.8、人員安全(PersonnelSecurity)(3,9)A.9、物理與環(huán)境安全(PhysicandEnvironmentSecurity)(2,13)A.10、通信與運(yùn)行管理(CommunicationandOperationManagement)(10,32)A.12、系統(tǒng)開(kāi)發(fā)與維護(hù)(Systemdevelopandmaintenance)(6,16)A.11、訪問(wèn)控制(Accesscontrol)(7,25)A.13、安全事件管理(Compliance)(2,5)A.14、業(yè)務(wù)持續(xù)性管理(Businesscontinuitymanagement)(1,5)A.15、符合性(Compliance)(3,10)附注：(m，n)－m：執(zhí)行目標(biāo)的數(shù)目n：控制措施的數(shù)目ISO27001定義的信息安全管理體系92025/1/261.評(píng)估安全風(fēng)險(xiǎn)3.建立信息安全管理框架確定安全需求設(shè)定信息安全的方向和目標(biāo)，定義管理層承諾的策略ISMS根據(jù)需求采取措施消減風(fēng)險(xiǎn)，以實(shí)現(xiàn)既定安全目標(biāo)2.選擇并實(shí)施控制ISO27001體系必須明確的內(nèi)容102025/1/26要保護(hù)的資產(chǎn)控制目標(biāo)和控制措施需要保證的程度風(fēng)險(xiǎn)管理的途徑112025/1/26全球ISMS證書(shū)數(shù)量統(tǒng)計(jì)數(shù)據(jù)來(lái)源：/122025/1/26認(rèn)證范圍項(xiàng)目目標(biāo)：幫助客戶建立ISMS體系建立持續(xù)改進(jìn)機(jī)制認(rèn)證范圍：適用于組織所有部門，無(wú)論是IT服務(wù)部門還是業(yè)務(wù)部門、人事行政或是財(cái)務(wù)部門。132025/1/26總體方案架構(gòu)體系審核和認(rèn)證ISO27001體系建設(shè)體系試運(yùn)行ISMS專項(xiàng)咨詢ISO27001認(rèn)知培訓(xùn)現(xiàn)狀調(diào)研/差距分析ISO27001內(nèi)審員培訓(xùn)主要工作內(nèi)容工作包（一）：ISO27