信息安全风险评估概述.ppt

ISO/IEC27001:2005是什么?ISO/IEC27001:2005内容ISO/IEC27001:2005建立练****ISO/IEC27001:2005介绍ISO27001的标准全称(ISO27001标准题目)Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-Requirements信息技术-安全技术-信息安全管理体系-要求ISMS信息安全管理体系-管理体系-信息安全相关-ISO27001的"3术语和定义-":2005是什么建立方针和目标并实现这些目标的相互关联或相互作用的一组要素。管理体系包括组织结构,策略,规划,角色,职责,流程,程序和资源等。(ISO27001"3术语和定义-")管理的方方面面以及公司的所有雇员,均囊括在管理体系范围内。?Qualitymanagementsystem(ISO9001)Environmentalmanagementsystem(ISO14001)Safetymanagementsystem(OHSAS18001)HumanFoodSafetymanagementsystem(P)ITServiceManagementSystem(ISO20000)Informationsecuritymanagementsystem(ISO27001)?保护信息的保密性、完整性和可用性(CIA);另外也可包括诸如真实性,可核查性,不可否认性和可靠性等特性(ISO27001"3术语和定义-")机密性(Confidentiality) 信息不能被未授权的个人,实体或者过程利用或知悉的特性(ISO27001"3术语和定义-")完整性(Integrity) 保护资产的准确和完整的特性(ISO27001"3术语和定义-").确保信息在存储、使用、传输过程中不会被非授权用户篡改,同时还要防止授权用户对系统及信息进行不恰当的篡改,保持信息内、外部表示的一致性。可用性(Availability) 根据授权实体的要求可访问和利用的特性(ISO27001"3术语和定义-").确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源信息安全管理体系(ISMS):是整个管理体系的一部分,建立在业务风险的方法上,以:建立实施运作监控评审维护改进信息安全。“术语和定义-"职业健康安全IT服务信息安全环境管理体系食品安全质量建设了ISMS,尤其是获取了ISO27001认证后,组织将在信息安全方面进入一个强制的良性循环。()相关方受控的信息安全信息安全要求和期望相关方检查Check建立ISMS实施和运行ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do处置Act图1应用于ISMS过程的PDCA模型一个组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的ISMS。就本标准而言,使用的过程基于图1所示的PDCA模型。 :2005,AnnexA11Clauses (ISO27001附录A)pliance)业务连续性管理(BusinessContinuityManagement)信息安全事故管理(InformationSecurityIncidentManagement)访问控制(AccessControl)人力资源安全(HumanResourc