ISO27001信息安全管理体系-咨询服务及认证实施课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《ISO27001信息安全管理体系-咨询服务及认证实施课件.ppt》由用户(晟晟文业)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ISO27001 信息 安全管理 体系 咨询服务 认证 实施 课件
- 资源描述:
-
1、ISO27001ISO27001信息安全管理体系信息安全管理体系咨询服务及认证实施咨询服务及认证实施目录一、一、ISO27001ISO27001标准简介标准简介二、二、ISO27001ISO27001信息安全项目实施流程信息安全项目实施流程三、三、ISO27001ISO27001认证的价值认证的价值一、一、ISO27000ISO27000系列标准简介系列标准简介ISO27000标准族介绍2700027009:ISMS基本标准,基本标准,2701027019:ISMS标准族的解释性指南与文档标准族的解释性指南与文档 认证机构 认可要求 信息安全基本目标信息安全基本目标20052005与与2013
2、2013区别:正文区别:正文20052005与与20132013区别:附录区别:附录信息安全管理咨询服务将根据组织的不同需求为其量身定做适合自己的信息安全管理体系,帮助企业更好的加强自身信息安全管理水平,降低企业业务运作过程中的风险。并采用可信任的控制措施,提供行业解决方案,满足客户的不同需求。根据ISO 27001,信息安全管理体系包括:14 个控制域 35 个控制目标 114 个控制措施业务连续性业务连续性管理管理访问控制访问控制系统获取系统获取开发维护管理开发维护管理通信安全通信安全人力资源安全人力资源安全合规性合规性资产管理资产管理信息安全组织信息安全组织物理环境物理环境安全安全信息安
3、全信息安全事件管理事件管理信息信息客户记录客户记录个人记录个人记录法律记录法律记录安全策略安全策略策略策略程序、流程程序、流程工作指导书、操作工作指导书、操作说明、模板、检查说明、模板、检查表等表等文档、记录文档、记录密码学密码学操作安全操作安全供应商关系安全供应商关系安全管理管理ISO27001信息安全管理体系计 划(PLAN)实 施(DO)检 查(CHECK)改 进(Act)业务现状了解业务现状了解信息资产信息资产识别识别威胁脆弱性当前控制措施风险评价风险评价风风险险处处置置制定风险接受标准制定风险接受标准制定制定ISMSISMS文档架构文档架构策略程序与流程指导书、模板等文档、记录等1级
4、2级3级4级可能性可能性严重性严重性持续改进机制持续改进机制管理层评审管理层评审内部内部ISMSISMS审计审计持续的风险评估持续的风险评估ISMSISMS体系度量与监体系度量与监控控体体系系运运行行 符合性指标符合性指标效能指标效能指标损失性指标损失性指标改改进进需需求求预防性措施预防性措施纠正性措施纠正性措施风险评估风险处置计划风险处置计划识别不合格项识别不合格项根源分析根源分析 记录与追踪记录与追踪识别潜在不合识别潜在不合格项格项 制定预防措施制定预防措施 记录与追踪记录与追踪体系发布体系发布项目方法将基于贵公司的业务现状、对信息安全的要求及建立信息安全策略和目标。在贵公司的整体业务风险
5、框架内,依据ISO27001标准,以风险评估为基础,根据风险处置计划建立和实施信息安全管理体系(ISMS)以管理信息安全风险。并通过建立相关监控体系评估ISMS的有效性,最终将针对监测结果对信息安全管理体系进行持续改进。ISO27001信息安全管理体系实施方法项目实施采取的程序项目实施采取的程序项目可能用到的工具项目可能用到的工具访谈访谈文档审阅文档审阅调查问卷调查问卷现场检查现场检查系统检查系统检查技术扫描技术扫描信息安全风险评估工具信息安全风险评估工具网络脆弱性评估网络脆弱性评估服务器端口扫描服务器端口扫描资产识别工具资产识别工具渗透测试渗透测试信息安全控制审计信息安全控制审计序号标准名称
6、1ISO 27001:2005信息安全管理体系要求3ISO 27002-27005 信息安全管理 使用规则 实施指南 风险评估4烟草行业信息安全等级保护规范5信息系统安全等级保护基本要求6信息系统安全等级保护实施指南7GB22080-2008-T 信息技术 安全技术 信息安全管理体系 要求8GB22081-2008-T 信息技术 安全技术 信息安全管理实用规则9GB50174-2008 电子信息系统机房设计规范10GBT 20270-2006 信息安全技术 网络基础安全技术要求11GBT 21028-2007 信息安全技术 服务器安全技术要求12GBT 21052-2007 信息安全技术 信息
7、系统物理安全技术要求参考的相关标准项目实施采取的程序和可能用到的工具ISO27001信息安全管理体系实施方法(2)项目启动和差异分析项目启动和差异分析项目启动会议,确项目启动会议,确定项目团队、建立定项目团队、建立项目组管理架构项目组管理架构信息安全管理现状信息安全管理现状的快速评估的快速评估信息安全管理体系信息安全管理体系差异分析差异分析设计信息安全方针设计信息安全方针设计信息安全管理设计信息安全管理组织架构组织架构信息安全管理培训信息安全管理培训阶段项目总结会议阶段项目总结会议项目计划项目计划差异分析报告差异分析报告信息安全管理组织信息安全管理组织架构架构信息安全方针信息安全方针阶段主要任
8、务主要交付品风险评估风险评估资产收集及风险评资产收集及风险评估方法与标准估方法与标准资产级别划分标准资产级别划分标准技术弱点扫描报告技术弱点扫描报告资产清单、威胁列资产清单、威胁列表、脆弱性列表、表、脆弱性列表、风险列表风险列表风险评估报告风险评估报告制定资产识别标准制定资产识别标准(包含保密级别划(包含保密级别划分)分)资产收集及风险评资产收集及风险评估方法培训估方法培训信息资产收集信息资产收集识别威胁、脆弱性、识别威胁、脆弱性、并安全漏洞扫描并安全漏洞扫描评估风险,划分风评估风险,划分风险等级险等级阶段项目总结会议阶段项目总结会议体系设计与发布体系设计与发布风险容忍标准及风风险容忍标准及风
9、险处置计划险处置计划适用性声明适用性声明ISMSISMS制度和流程制度和流程ISMSISMS体系、事故响体系、事故响应培训应培训信息安全体系技术信息安全体系技术落地建议书落地建议书体系运行与监控体系运行与监控ISMSISMS绩效监控流程绩效监控流程信息安全推广培训信息安全推广培训认证及持续改进认证及持续改进ISMSISMS内审报告内审报告ISMSISMS外审报告及改外审报告及改进进ISMSISMS管理评审报告管理评审报告项目总结报告项目总结报告12345确定风险容忍度和确定风险容忍度和风险偏好风险偏好确定风险处置措施确定风险处置措施并实施整改计划并实施整改计划制度整合及信息安制度整合及信息安全
10、管理体系文档编全管理体系文档编写写信息安全体系技术信息安全体系技术控制及管理落地建控制及管理落地建议议信息安全管理体系信息安全管理体系发布及培训发布及培训阶段项目总结会议阶段项目总结会议制定信息安全管理制定信息安全管理绩效监控流程绩效监控流程信息安全管理体系信息安全管理体系试运行试运行体系运行监控体系运行监控业务连续性管理培业务连续性管理培训训阶段项目总结会议阶段项目总结会议ISMSISMS内审培训内审培训ISMSISMS内审内审ISMSISMS外审外审ISMSISMS管理评审管理评审纠正、预防措施持纠正、预防措施持续改进建议续改进建议项目总结会议项目总结会议协助后续的内审和协助后续的内审和临
展开阅读全文