安全体系认证ISO27001和ISO27018.ppt
《安全体系认证ISO27001和ISO27018.ppt》由会员分享,可在线阅读,更多相关《安全体系认证ISO27001和ISO27018.ppt(24页珍藏版)》请在咨信网上搜索。
1、https:/安全体系认证:ISO27001和ISO27018ISMS information securitymanagement system背景介绍1ISO27001内容2PDCA和ISMS的结合3ISO270184目录ContentsISO27001和ISO27018区别和联系51背景介绍背景介绍稍微有点规模的公司很注重制度和流程,岗位职责分工明细,那么这些安全管理制度,就是你所能掌控的游戏规则,几个人的信息安全影响着全部人的生存之道。信息安全管理体系背景信息安全管理体系背景信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,特别是Internet的问世及网上交易的启用
2、,许多信息安全的问题也纷纷出现:系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。安全问题所带来的损失远大于交易的帐面损失,它可分为三类,包括直接损失、间接损失和法律损失:一.直接损失:丢失订单,减少直接收入,损失生产率;二.间接损失:恢复成本,竞争力受损,品牌、声誉受损,负面的公众影响,失去未来的业务机会,影响股票市值或政治声誉;三.法律损失:法律、法规的制裁,带来相关联的诉讼或追索等。所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏和泄露,已成为当前企业迫切需要解决的问题。信息安全
3、信息安全可能带来的损失信息安全管理体系信息安全管理体系的标准:的标准:ISO27001发展历史国际标准 目前目前,在信息安全管理体系,在信息安全管理体系方面,方面,ISO/IEC27001:2005-信息信息安全管理体系标准已经成为世界安全管理体系标准已经成为世界上应用最广泛与典型的信息安全上应用最广泛与典型的信息安全管理标准。管理标准。ISO/IEC27001是英国是英国标准标准BS7799转换而转换而成成 BS7799标准于标准于1993年由英国贸易工业部立项,于年由英国贸易工业部立项,于1995年英国首次出版年英国首次出版BS 7799-1:1995信息安全管理实施细则信息安全管理实施细
4、则2000年年12月,月,BS7799-1:1999信息安全管理实施细则通过了国际标准化组织信息安全管理实施细则通过了国际标准化组织ISO的认可,正式成为国际标准的认可,正式成为国际标准-ISO/IEC17799:2000信息技信息技术术-信息安全管理实施细则信息安全管理实施细则2002年年9月月5日,日,BS7799-2:2002正式发布,正式发布,2002版标准主要在结构上做了修订,引入了版标准主要在结构上做了修订,引入了PDCA(Plan-Do-Check-Act)的过程管理模式,建立了与的过程管理模式,建立了与ISO 9001、ISO 14001和和OHSAS 18000等管理体系标准
5、相同的结构和运行模式。等管理体系标准相同的结构和运行模式。2005年,年,BS 7799-2:2002正式转换为国际标准正式转换为国际标准ISO/IEC27001:2005。ISO27001标准的两个关键点:标准的两个关键点:ISMS文件和文件和PDCA方法方法 ISO27001PDCA方法ISMS文件2ISO27001内容内容ISMS文件和文件和PDCA方法方法说明说明信息安全管理体系(信息安全管理体系(ISMSinformation securitymanagement system)必须的必须的ISMS文件:文件:1、ISMS方针文件,包括方针文件,包括ISMS的范围;的范围;2、风险评
6、估程序和风险处理程序;、风险评估程序和风险处理程序;3、文件控制程序和记录控制程序;、文件控制程序和记录控制程序;4、内部审核程序和管理评审程序(尽管、内部审核程序和管理评审程序(尽管没没 有有强制);强制);5、纠正措施和预防措施控制程序;、纠正措施和预防措施控制程序;6、控制措施有效性的测量程序;、控制措施有效性的测量程序;7、适用性声明、适用性声明必须的必须的ISMS文件文件ISMS文件的益处文件的益处234561改善总体安全改善总体安全管理并管理并减少减少安全安全事件的影响事件的影响便利持续便利持续改进改进提高盈利能力提高盈利能力增强顾客信心和满意增强顾客信心和满意改善对安全改善对安全
7、方针方针及及要求的符合性要求的符合性提供竞争优势提供竞争优势PDCA(戴明环)方法(戴明环)方法AA(Action)-行动,对总结检行动,对总结检查的结果进行处理,查的结果进行处理,成功的经验加以肯定并适当推成功的经验加以肯定并适当推广、标准化;失败的教广、标准化;失败的教训加以总结,以免重现,未解训加以总结,以免重现,未解决的问题放到下一个决的问题放到下一个PDCA循环。循环。PP(Plan)-计划,确定方针和计划,确定方针和目标,确定活动计划目标,确定活动计划CC(Check)-检查,总结执行检查,总结执行计划的结果,注意效计划的结果,注意效果,找出问题果,找出问题DD(Do)-执行,实地
8、去做,执行,实地去做,实现计划中的内容实现计划中的内容PDCA(Plan、Do、Check 和和Act)是管理学惯用的一个过程模型,最早是由休哈特()是管理学惯用的一个过程模型,最早是由休哈特(WalterShewhart)于)于19 世纪世纪30 年代构想的,后来被戴明(年代构想的,后来被戴明(Edwards Deming)采纳、宣传并运用于持续改善产品质量的过程当中。)采纳、宣传并运用于持续改善产品质量的过程当中。PDCAABPDCA循环作为质量管理的基本循环作为质量管理的基本方法,方法,都有自己的都有自己的PDCA循环,层层循环循环,层层循环,通,通过过循环把企业上下或工程项目的各项工作
9、有机地联系起来,彼此协同,互相循环把企业上下或工程项目的各项工作有机地联系起来,彼此协同,互相促进。以上特点。促进。以上特点。PDCA循环就像爬楼梯一样,一个循环运转结束,生产的质量就会提高循环就像爬楼梯一样,一个循环运转结束,生产的质量就会提高一步,然后再制定下一个循环,再运转、再提高,不断前进,不断提一步,然后再制定下一个循环,再运转、再提高,不断前进,不断提高,是一个螺旋式上升的过程。高,是一个螺旋式上升的过程。3PDCA和ISMS的结合理解业务信息安全要求以及建立信息安全方针和目标的需求在管理组织的整体业务风险中实施并运作控制监控并评审ISMS的绩效及有效性在客观测量基础上持续改进PD
10、CA和ISMS的结合单击此处编辑您要的内容,建议您在展示时采用微软雅黑字体,本模版所有图形线条及其相应素材均可自由编辑、改色、替换。单击此处编辑您要的内容,建议您在展示时采用微软雅黑字体,本模版所有图形线条及其相应素材均可自由编辑、改色、替换。PDCA和ISMS的结合 建立ISMS(PLAN)定义ISMS 的范围定义ISMS 策略定义系统的风险评估途径识别风险,评估风险,识别并评价风险处理措施,选择用于风险处理的控制目标和控制,准备适用性声明(SoA)取得管理层对残留风险的承认,并授权实施和操作ISMS监控和评审ISMS(CHECK)执行监视程序和控制,对ISMS 的效力进行定期复审,复审残留
11、风险和可接受风险的水平,按照预定计划进行内部ISMS 审计,定期对ISMS 进行管理复审,记录活动和事件可能对ISMS 的效力或执行力度造成影响实施和运行ISMS(DO)制定风险处理计划,实施风险处理计划,实施所选的控制措施以满足控制目标,实施培训和意识程序,管理操作,管理资源,实施能够激发安全事件检测和响应的程序和控制保持和改进ISMS(ACT)对ISMS 实施可识别的改进采取恰当的纠正和预防措施,与所有利益伙伴沟通,确保改进成果满足其预期目标管理承诺321678459为为ISMS的发展、的发展、实施、运作实施、运作和维持提供充足的资源和维持提供充足的资源确定接受风险的准则和可接受确定接受风
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全 体系 认证 ISO27001 ISO27018
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【w****g】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【w****g】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。