信息安全、信息技术（信息安全、信息技术（ ITIT ）服务）服务管理体系简介管理体系简介

二零一二年九月八日二零一二年九月八日

23/4/21 2

本次交流的主要内容本次交流的主要内容

交流内容交流内容

二、体系介绍2

1 一、背景介绍

3 三、体系比较

4 四、概括总结

23/4/21 3

本次交流的主要内容本次交流的主要内容

交流内容交流内容

1 一、背景介绍

23/4/21 4

背景介绍背景介绍

我们身边的信息化：我们身边的信息化：

●● 电脑→笔记本→宽带电脑→笔记本→宽带

●● 露天电影→家庭影院露天电影→家庭影院

●● 银行取款→刷卡购物银行取款→刷卡购物

●● 电话→手机→可视电话电话→手机→可视电话

●● 手写情书→依妹儿手写情书→依妹儿

●● 电子商务、电子政务电子商务、电子政务…………

“信息”是有意义的数据

23/4/21 5

背景介绍背景介绍复

杂程

度

Internet Internet 技术的飞速增长技术的飞速增长

Internet Email

Web 浏览

Intranet 站点

电子商务 电子政务

电子交易

时间

23/4/21 6

背景介绍背景介绍

信息化出现的新问题：信息化出现的新问题：

●● 网上信息可信度差网上信息可信度差●● 垃圾电子邮件垃圾电子邮件●● 信息窃取信息窃取●● 网络入侵网络入侵●● …………

人们享受信息化便利的同时遭受信息安全问题的人们享受信息化便利的同时遭受信息安全问题的困扰！！困扰！！

在 Internet 上谁又知道我是只狗呢？^Q^

23/4/21 7

背景介绍背景介绍

●● 基于互联网的信息安全问题基于互联网的信息安全问题

●● 基于物理环境的信息安全问题（静电、基于物理环境的信息安全问题（静电、

灰尘、鼠蚁虫害灰尘、鼠蚁虫害……））

●● 基于自然灾害的信息安全问题基于自然灾害的信息安全问题

●● 基于人为因素的信息安全问题基于人为因素的信息安全问题

…………

23/4/21 8

体系介体系介绍绍安全涉及的因素：

网络安全

信息安全

物理安全

文文化化安安全全

23/4/21 9

体系介体系介绍绍

物理安全

容灾集群

备份

环境

温度

电磁湿度

23/4/21 10

体系介体系介绍绍

网络安全

因特网

安全漏洞危害在增大

安全漏洞危害在增大

信息对抗的威胁在增加

研究安全漏洞以防之研究安全漏洞以防之

电力交通

通讯

控制 广播工业

金融

医疗

研究攻防技术以阻之研究攻防技术以阻之

网络对国民经济的影响在加强

因特网

23/4/21 11

体系介体系介绍绍

信息安全

信息窃取信息窃取

信息传递

信息冒充信息冒充

信息篡改信息篡改

信息抵赖信息抵赖

加密技术

完整性技术

认证技术

数字签名

23/4/21 12

背景介绍背景介绍

典型案例：典型案例：

★★ 19991999年年 11 月，美国黑客组织“美国地下军团”月，美国黑客组织“美国地下军团”联合了波兰、英国等黑客组织有组织地对我国的政联合了波兰、英国等黑客组织有组织地对我国的政府网站进行了攻击。府网站进行了攻击。

★★ 伊朗核电站被“末日炸弹”病毒攻击，夹在伊朗核电站被“末日炸弹”病毒攻击，夹在win32win32 中运行，攻击公控设备。和中运行，攻击公控设备。和 UU 盘使用有关。盘使用有关。

23/4/21 13

背景介绍背景介绍

典型案例：典型案例：

★★ 20052005年年 66 月月 1919 日，万事达公司储存有大约日，万事达公司储存有大约 44千万信用卡客户信息的电脑系统遭到一名黑客入侵。千万信用卡客户信息的电脑系统遭到一名黑客入侵。被盗账号的信息资料在互联网上公开出售，每条被盗账号的信息资料在互联网上公开出售，每条100100 美元，并被用于金融欺诈活动。美元，并被用于金融欺诈活动。

★★ 20052005年年 77 月月 1212 日下午日下午 22 时时 3535 分，承载着超过分，承载着超过200200 万用户的北京网通万用户的北京网通 ADSLADSL和和 LANLAN 宽带网，突然宽带网，突然同时大面积中断。经紧急抢修，至同时大面积中断。经紧急抢修，至 33 时时 3030 分左右开分左右开始网络逐渐恢复正常。这次事故大约影响了始网络逐渐恢复正常。这次事故大约影响了 2020 万北万北京网民。京网民。

23/4/21 14

背景介绍背景介绍

典型案例：典型案例：

★★ 中国电子商务协会等机构联合发布中国电子商务协会等机构联合发布《《 20122012 年中年中国网站可信验证行业发展报告国网站可信验证行业发展报告》》显示，截止显示，截止 20122012年年 66 月底，在过去的一年间，在网购用户中，有月底，在过去的一年间，在网购用户中，有31.8%31.8% 的网民（的网民（ 61696169 万人）曾直接遭遇诈骗网站。万人）曾直接遭遇诈骗网站。每年因诈骗网站给网民造成的损失不低于每年因诈骗网站给网民造成的损失不低于 308308亿亿元。元。截止截止 20122012年年 66 月底，全国团购网站累计诞生总数月底，全国团购网站累计诞生总数高达高达 60696069 家，累计关闭家，累计关闭 28592859 家，死亡率达家，死亡率达 48%48% 。。

23/4/21 15

背景介绍背景介绍

汶川地震汶川地震““艳照门”事件艳照门”事件互联网、微博信息（虚假、色情、反动互联网、微博信息（虚假、色情、反动言论等）言论等）景泰蓝技术（掐丝珐琅）的泄露景泰蓝技术（掐丝珐琅）的泄露高考志愿篡改、作弊高考志愿篡改、作弊个人信息、网银信息泄露个人信息、网银信息泄露…………

其他典型案例：其他典型案例：

23/4/21 16

背景介绍背景介绍

信息安全的根源：信息安全的根源：

内因：网络和系统的自身缺陷与脆弱性。内因：网络和系统的自身缺陷与脆弱性。

外因：国家、政治、商业和个人利益冲突。外因：国家、政治、商业和个人利益冲突。

23/4/21 17

背景介绍背景介绍

常用攻击技术见下图：常用攻击技术见下图：

1.利用弱口令入侵2.利用系统漏洞入侵3.利用网络监听入侵4.利用网络欺骗入侵5.拒绝访问服务攻击6.利用网络病毒攻击7.其它网络入侵方式

典型网络入侵技术

23/4/21 18

背景介绍背景介绍

信息丢失、篡改、销毁

内部、外部泄密

拒绝服务攻击

逻辑炸弹

黑客攻击

计算机病毒

后门、隐蔽通道

蠕虫

特洛伊木马

网络

23/4/21 19

背景介绍背景介绍 产生的背景：产生的背景： 以上案例仅仅是冰山一角。从这些案例可以看出，信以上案例仅仅是冰山一角。从这些案例可以看出，信

息资产一旦遭到破坏，将给组织或个人带来直接的经济息资产一旦遭到破坏，将给组织或个人带来直接的经济损失，损害声誉和公众形象，丧失市场机会和竞争力，损失，损害声誉和公众形象，丧失市场机会和竞争力，更为甚者，会威胁到组织的生存甚至国家安全。更为甚者，会威胁到组织的生存甚至国家安全。 信息安全问题出现的初期，人们主要依靠信息安全的信息安全问题出现的初期，人们主要依靠信息安全的

技术和产品来解决信息安全问题。但人们发现仅仅靠这技术和产品来解决信息安全问题。但人们发现仅仅靠这些产品和技术还不够，即使采购和使用了足够先进、足些产品和技术还不够，即使采购和使用了足够先进、足够多的信息安全产品，如防病毒、防火墙、入侵检测、够多的信息安全产品，如防病毒、防火墙、入侵检测、隐患扫描等，仍然无法避免一些信息安全事件的发生。隐患扫描等，仍然无法避免一些信息安全事件的发生。

23/4/21 20

背景介绍背景介绍

三分技术 七分管理三分技术 七分管理

23/4/21 21

背景介绍背景介绍 体系的诞生：体系的诞生： 人们开始逐渐意识到管理在解决信息安全问题中人们开始逐渐意识到管理在解决信息安全问题中的作用。于是的作用。于是 ISMSISMS应运而生。应运而生。 20002000年年 1212 月，国月，国际标准化组织发布一个信息安全管理的标准－际标准化组织发布一个信息安全管理的标准－ISO/IEC 17799:2000“ISO/IEC 17799:2000“ 信息安全管理实用规信息安全管理实用规则，则， 20052005年年 66 月，对该标准进行了修订，颁布了月，对该标准进行了修订，颁布了ISO/IEC17799:2005ISO/IEC17799:2005 （现已更名为（现已更名为 ISO/ISO/IEC27002:2005IEC27002:2005 ），）， 1010 月，又发布了月，又发布了 ISO/ISO/IEC27001:2005“IEC27001:2005“ 信息安全管理体系要求”。信息安全管理体系要求”。之后之后又发布了又发布了 IS0IS0／／ IEC 20000IEC 20000一一 11 ：： 2005 2005

““信息技术服务管理 第信息技术服务管理 第 11 部分：规范”部分：规范”和和 IS0IS0／／IEC 20000IEC 20000一一 22 ：： 2005“2005“ 信息技术服务管理 第信息技术服务管理 第 22部分：实践规则”部分：实践规则”

23/4/21 22

背景介绍背景介绍

体系的产生：体系的产生：

信息安全管理体系（信息安全管理体系（ Information Information Security Management SystemSecurity Management System，简称为，简称为ISMSISMS）是）是 19981998年前后从英国发展起来的信息安全年前后从英国发展起来的信息安全领域中的一个新概念，是管理体系思想和方法在信领域中的一个新概念，是管理体系思想和方法在信息安全领域的应用。息安全领域的应用。 ITIT 服务管理体系（服务管理体系（ Information Information technology—Service Management technology—Service Management SystemSystem，简称为，简称为 ITSMSITSMS ）），从，从 20022002 年开始提出年开始提出此理念。此理念。

23/4/21 23

背景介绍背景介绍 体系的重要性：体系的重要性： 如今，我们已经身处信息和网络时代，“计算机如今，我们已经身处信息和网络时代，“计算机

和网络”已经成为组织重要的生产工具，“信息”和网络”已经成为组织重要的生产工具，“信息”成为主要的生产资料和产品，组织的业务越来越依成为主要的生产资料和产品，组织的业务越来越依赖计算机、网络和信息，它们共同成为组织赖以生赖计算机、网络和信息，它们共同成为组织赖以生存的存的重要信息资产重要信息资产。。 可是，计算机、网络和信息等信息资产在服务可是，计算机、网络和信息等信息资产在服务于组织业务的同时，也受到越来越多的安全威胁。于组织业务的同时，也受到越来越多的安全威胁。病毒破坏、黑客攻击、信息系统瘫痪、网络欺诈、病毒破坏、黑客攻击、信息系统瘫痪、网络欺诈、重要信息资料丢失以及利用计算机网络实施的各种重要信息资料丢失以及利用计算机网络实施的各种犯罪行为，人们已不再陌生，犯罪行为，人们已不再陌生，随时在我们身边发生。随时在我们身边发生。

23/4/21 24

背景介绍背景介绍 体系的重要性：体系的重要性： ISMSISMS迅速被全球接受和认可，成为世界各国、各迅速被全球接受和认可，成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有种类型、各种规模的组织解决信息安全问题的一个有效方法。效方法。目前，在信息安全管理体系方面，目前，在信息安全管理体系方面， ISMSISMS 标标准已经成为世界上应用最广泛与典型的信息安全管理准已经成为世界上应用最广泛与典型的信息安全管理标准。标准。 ITSMSITSMS标准成为信息技术服务管理的典型规范标准成为信息技术服务管理的典型规范和实践规则。这两体系和实践规则。这两体系认证成为组织向社会及其相关认证成为组织向社会及其相关方证明其信息安全水平和方证明其信息安全水平和服务服务能力的一种有效途径。能力的一种有效途径。建立体系是组织的一项战略性决策建立体系是组织的一项战略性决策 ,, 保障信息安全和保障信息安全和

信息技术服务是一种系统性的工作。信息技术服务是一种系统性的工作。

23/4/21 25

背景介绍背景介绍 体系的重要性：体系的重要性： 另外，在实际运行中，体系认证已经成为招投标项目另外，在实际运行中，体系认证已经成为招投标项目

中的重要组成部分。传统三个体系一般各占一中的重要组成部分。传统三个体系一般各占一分，分， ISMSISMS 在招投标中也越来越受到重视，除了金融、在招投标中也越来越受到重视，除了金融、银行、银行、 ITIT相关行业是必然加分项之外，其他行业也逐相关行业是必然加分项之外，其他行业也逐渐成为加分项，例如印刷行业（母婴三证招投标中，除渐成为加分项，例如印刷行业（母婴三证招投标中，除了国家秘密载体复制证之外，了国家秘密载体复制证之外， ISMSISMS 认证单独占一分）。认证单独占一分）。ISMSISMS 认证和认证和 ITSMSITSMS 认证会在今后招投标项目中更多认证会在今后招投标项目中更多的引用。的引用。

23/4/21 26

背景介绍背景介绍 体系的现状：体系的现状： 我们国家非常重视信息安全。我们国家非常重视信息安全。 20022002年年 44 月月 ,, 我国成我国成立了“全国信息安全标准化技术委员会立了“全国信息安全标准化技术委员会(TC260)”(TC260)”。。 20062006年年 33月，认监委批准月，认监委批准 44家家 ISMSISMS试试点认证机构点认证机构。。 CNCACNCA于于 20092009 年发布第年发布第 4747 号公告号公告《《关于关于正式开展信息安全管理体系认证工作的公告正式开展信息安全管理体系认证工作的公告》》。。到目前为止，经到目前为止，经 CNASCNAS 批准的批准的 ISMSISMS 认证机构有认证机构有 55 家，家，经经 CNCACNCA 批准的批准的 ISMSISMS 认证机构有认证机构有 1414 家。家。

23/4/21 27

背景介绍背景介绍 体系的现状：体系的现状： 20102010年年 88 月月 1212 日，由工业和信息化部、国家质量监日，由工业和信息化部、国家质量监督检验检疫总局、中国人民银行、国务院国有资产监督督检验检疫总局、中国人民银行、国务院国有资产监督管理委员会、国家保密局、国家认证认可监督管理委员管理委员会、国家保密局、国家认证认可监督管理委员会等会等 66 部委联合下发了部委联合下发了《《关于加强信息安全管理体系认关于加强信息安全管理体系认证安全管理的通知证安全管理的通知》》的的 394394 号文件。号文件。目前，目前， ITSMSITSMS 还没有单独成为体系进行认证，一般和还没有单独成为体系进行认证，一般和ISMSISMS 结合进行，结合进行， 20122012年年 88 月月 CNCACNCA 已经正式启动已经正式启动ITSMSITSMS 认证机构申请材料上报工作。认证机构申请材料上报工作。

23/4/21 28

背景介绍背景介绍 体系的现状：体系的现状：

截止截止 20092009年年 99 月，全球有月，全球有 59415941 个组织获得了个组织获得了 ISMSISMS认证；截止到认证；截止到 20092009年年 44 月，我国获得信息安全管理体月，我国获得信息安全管理体系认证证书的机构约有系认证证书的机构约有 200200 家。获得认证组织的数量正家。获得认证组织的数量正在呈快速增长趋势。在呈快速增长趋势。我们埃尔维已经正式提交申请我们埃尔维已经正式提交申请 ISMSISMS 认证资格的申报材认证资格的申报材

料，不久就能获得料，不久就能获得 CNCACNCA 的批准，随后我们将继续申请的批准，随后我们将继续申请ITSMSITSMS 的认证资格，让我们共同期待。的认证资格，让我们共同期待。

23/4/21 29

背景介绍背景介绍 体系的不足：体系的不足： ISMSISMS和和 ITSMSITSMS 标准是标准是 20052005 年正式发布的，年正式发布的， 77 年来年来

信息技术有了飞速的发展和变化，有些条款和措施已经信息技术有了飞速的发展和变化，有些条款和措施已经不完全符合现实情况，不能完全满足现在的要求。不完全符合现实情况，不能完全满足现在的要求。 ISOISO组织正对组织正对 ISMSISMS 进行修订之中，预计明后年就会发布新进行修订之中，预计明后年就会发布新版的标准，版的标准， ITSMSITSMS 也会随之更新。也会随之更新。

23/4/21 30

本次交流的主要内容本次交流的主要内容

交流内容交流内容

二、体系介绍2

什么是 ISMS ？

23/4/21 32

体系介体系介绍绍信息安全管理体系（信息安全管理体系（ ISMSISMS ）：）：

基于业务风险方法，建立、实施、运行、监视、评基于业务风险方法，建立、实施、运行、监视、评审、保持和改进信息安全的体系，是一个组织整个审、保持和改进信息安全的体系，是一个组织整个管理体系的一部分，管理体系的一部分，

注：管理体系包括组织结构、方针策略、规划活动、职责、实践、规程、注：管理体系包括组织结构、方针策略、规划活动、职责、实践、规程、过程和资源。过程和资源。

信息安全是指：保护信息的保密性信息安全是指：保护信息的保密性 (C)(C) 、完整性、完整性(I)(I) 、可用性、可用性 (A)(A)；另外也可包括如：真实性、可；另外也可包括如：真实性、可核查性、不可否认性和可靠性等。核查性、不可否认性和可靠性等。

• 信息资产的安全属性：信息资产的安全属性：保密性保密性：：信息不能被未授权的个人、实体或者过程利用或知信息不能被未授权的个人、实体或者过程利用或知悉的特性。悉的特性。

完整性完整性：：保护资产的准确和完整的特性。保护资产的准确和完整的特性。可用性可用性：：根据授权实体的要求可访问和利用的特性。根据授权实体的要求可访问和利用的特性。真实性：真实性：保证主体或资源确系其所声称的身份的特性。保证主体或资源确系其所声称的身份的特性。可核查性：可核查性：确保实体行为能被有效跟踪的特性。确保实体行为能被有效跟踪的特性。可靠性：可靠性：与预想的行为和结果相一致的特性。与预想的行为和结果相一致的特性。

是信息资产最重要的三个属性，国际上称之为信息的 CIA属性或者信息安全

金三角。

保密性

完整性 可用性

安全

23/4/21 34

体系标准介绍体系标准介绍 ISO/IEC 27000ISO/IEC 27000族系列标准族系列标准

1. ISO/IEC 270001. ISO/IEC 27000 ：： 20092009 《《信息安全管理体系原信息安全管理体系原理和术语理和术语 》 》2. ISO/IEC 270012. ISO/IEC 27001 ：： 20052005 《《信息安全管理体系 信息安全管理体系 要求要求》》 = GB/T 22080-2008 = GB/T 22080-2008 《《信息技术 安全技术 信息技术 安全技术 信息安全管理体系 要求信息安全管理体系 要求》》3. ISO/IEC 270023. ISO/IEC 27002 ：： 20052005 《《信息安全管理实践规信息安全管理实践规则则》》 4. ISO/IEC 270034. ISO/IEC 27003 ：： 20082008 《《信息安全管理体系实信息安全管理体系实施指南施指南 》 》5. ISO/IEC 270045. ISO/IEC 27004 ：： 20082008 《《信息安全管理测量与信息安全管理测量与指标指标 》 》 　　

23/4/21 35

体系标准介绍体系标准介绍 ISO/IEC 27000ISO/IEC 27000族系列标准族系列标准6. ISO/IEC 270056. ISO/IEC 27005 ：： 20112011 《《信息安全风险管理信息安全风险管理 》 》 7. ISO/IEC 270067. ISO/IEC 27006 ：： 20072007 《《信息安全管理体系审信息安全管理体系审

核认证机构要求核认证机构要求》》 =CNAS-CC17=CNAS-CC17：： 201220128. ISO/IEC 270078. ISO/IEC 27007 ：： 20112011 《《信息安全管理体系审信息安全管理体系审

核指南核指南 》 》9. ISO/IEC 270089. ISO/IEC 27008 ：： 20112011《《 ISMSISMS 控制措施审核控制措施审核员指南员指南 》 》10. ISO/IEC 2701010. ISO/IEC 27010 ：： 20122012 《《部门间和组织间通部门间和组织间通

信的信息安全管理信的信息安全管理 》 》11. ISO/IEC 2701111. ISO/IEC 27011 ：： 20092009 《《电信业信息安全管电信业信息安全管

理指南理指南 》 》

23/4/21 36

体系标准介绍体系标准介绍• 前言前言• 引言引言• 11 、范围、范围• 22 、规范性引用文件、规范性引用文件• 33 、术语和定义、术语和定义• 44 、信息安全管理体系（、信息安全管理体系（ ISMSISMS ））• 55 、管理职责、管理职责• 66 、、 ISMSISMS 内部审核内部审核• 77 、、 ISMSISMS 的管理评审的管理评审• 88 、、 ISMSISMS 改进改进• 附录附录 AA （规范性附录）控制目标和控制措施（规范性附录）控制目标和控制措施• 附录附录 BB （资料性附录）（资料性附录） OECDOECD 原则和本标准原则和本标准• 附录附录 CC （资料性附录）（资料性附录） GB/T19001-2000GB/T19001-2000，， GB/T24001-2004GB/T24001-2004 和本标准和本标准

之间的对照之间的对照• 参考文献参考文献

组织声称符合本标准时，对于第 4 章、第 5 章、第6 章、第 7 章和第 8 章的

要求不能删减。

23/4/21 37

体系标准介绍体系标准介绍 ISMSISMS标准删减要求：标准删减要求：

此标准特别强调：对于第此标准特别强调：对于第 44 章信息安全管理体系章信息安全管理体系（（ ISMSISMS ）、第）、第 55 章管理职责、第章管理职责、第 66 章章 ISMSISMS内部内部审核、第审核、第 77 章章 ISMSISMS 的管理评审和第的管理评审和第 88 章章 ISMSISMS 改改进的要求不能删减。进的要求不能删减。只有针对附录只有针对附录 AA 的控制措施可以进行必要的删减，的控制措施可以进行必要的删减，但必须证明是合理的，且需要提供证据。 但必须证明是合理的，且需要提供证据。

23/4/21 38

体系标准介绍体系标准介绍

相关方

受控的信息安全

信息安全要求和期望

相关方

检查 Check

建立 ISMS

实施和运行 ISMS

保持和改进 ISMS

监视和评审 ISMS

规划 Plan

实施Do

处置Act

此标准采用此标准采用 PDCAPDCA模型：模型：

23/4/21 39

体系标准介绍体系标准介绍GB/T 22080-2008GB/T 22080-2008 的主体：的主体： 4-84-8 章章4 4 信息安全管理体系（信息安全管理体系（ ISMS)ISMS)4.1 4.1 总要求总要求4.2 4.2 建立和管理建立和管理 ISMSISMS4.2.1 4.2.1 建立建立 ISMSISMS

4.2.2 4.2.2 实施和运行实施和运行 ISMSISMS

4.2.3 4.2.3 监视和评审监视和评审 ISMSISMS

4.2.4 4.2.4 保持和改进保持和改进 ISMSISMS

4.3 4.3 文件要求文件要求4.3.1 4.3.1 总则总则4.3.2 4.3.2 文件控制文件控制4.3.3 4.3.3 记录控制记录控制

PDCA 循环

23/4/21 40

体系标准介绍体系标准介绍GB/T 22080-2008GB/T 22080-2008 的主体：的主体： 4-84-8 章章5 5 管理职责管理职责5.1 5.1 管理承诺管理承诺5.2 5.2 资源管理资源管理5.2.1 5.2.1 资源提供资源提供5.2.2 5.2.2 培训、意识和能力培训、意识和能力6 ISMS6 ISMS 内部审核内部审核7 ISMS7 ISMS 的管理评审的管理评审7.1 7.1 总则总则7.2 7.2 评审输入评审输入7.3 7.3 评审输出评审输出8 ISMS8 ISMS 改进改进8.1 8.1 持续改进持续改进8.2 8.2 纠正措施纠正措施8.3 8.3 预防措施预防措施

23/4/21 41

体系标准介绍体系标准介绍 ISMSISMS 的适用范围：的适用范围：

适用于各种类型、规模和特性的组织适用于各种类型、规模和特性的组织（例如：商业（例如：商业企业、政府机构、非盈利组织等），规定了为适应企业、政府机构、非盈利组织等），规定了为适应不同组织或其部门的需要而定制的安全控制措施的不同组织或其部门的需要而定制的安全控制措施的实施要求（绝不只针对实施要求（绝不只针对 ITIT 行业和组织的行业和组织的 ITIT部门）。部门）。如：金融、银行如：金融、银行…………印刷印刷该标准仅仅指出应该使用体系化的方法进行风险评该标准仅仅指出应该使用体系化的方法进行风险评估（风险评估的方法、法律要求、降低风险到可接估（风险评估的方法、法律要求、降低风险到可接受级别的策略和目标）。受级别的策略和目标）。该标准并没有规定一个特该标准并没有规定一个特定的方法论。定的方法论。

23/4/21 42

体系标准介绍体系标准介绍 ISMSISMS 的适用范围：的适用范围：

按照按照 394394 号文件要求：为加强信息安全管理体系认号文件要求：为加强信息安全管理体系认证的安全管理证的安全管理 ,, 减少信息安全风险，减少信息安全风险，各级政府机关各级政府机关和政府信息系统运行单位和政府信息系统运行单位 ,, 不得利用社会第三方认不得利用社会第三方认证机构开展证机构开展 ISMSISMS 认证。认证。为确保国家秘密安全为确保国家秘密安全 ,, 涉涉密信息系统建设使用单位不得申请密信息系统建设使用单位不得申请 ISMSISMS 认证。认证。应选择国家认证认可监督管理部门批准从事应选择国家认证认可监督管理部门批准从事 ISMSISMS

认证的认证机构进行认证认证的认证机构进行认证 ,, 并签订安全和保密协并签订安全和保密协议议 ,, 履行不泄露、不扩散、不转让认证信息的义履行不泄露、不扩散、不转让认证信息的义务务 ,, 保证重要敏感信息不出境。保证重要敏感信息不出境。

23/4/21 43

体系标准介绍体系标准介绍 ISMSISMS标准的特点：标准的特点：

ISO/IEC 27001ISO/IEC 27001标准用于为建立、实施、运行、标准用于为建立、实施、运行、监视、评审、保持和改进监视、评审、保持和改进 ISMSISMS提供模型。采用提供模型。采用ISMSISMS应当是一个组织的一项战略性决策。一个组织应当是一个组织的一项战略性决策。一个组织的的 ISMSISMS 的设计和实施受业务需求和目标、安全需的设计和实施受业务需求和目标、安全需求、经营状况、所采用的过程以及组织的规模和结求、经营状况、所采用的过程以及组织的规模和结构的影响，上述因素及其支持过程会不断发生变化。构的影响，上述因素及其支持过程会不断发生变化。按照组织的实际需要实施按照组织的实际需要实施 ISMSISMS是该标准所期望的，是该标准所期望的，例如简单的情况可采用简单的例如简单的情况可采用简单的 ISMSISMS解决方案。解决方案。————（最佳合理可行）（最佳合理可行）

23/4/21 44

体系标准介绍体系标准介绍 ISMSISMS标准的特点：标准的特点：

ISO27001ISO27001 标准可以作为评估组织满足顾客、组织本标准可以作为评估组织满足顾客、组织本身及法律法规的信息安全要求的能力的依据，无论是组身及法律法规的信息安全要求的能力的依据，无论是组织自我评估还是评估供方能力，都可以采用，也可以用织自我评估还是评估供方能力，都可以采用，也可以用作独立第三方认证的依据。标准的特点为：作独立第三方认证的依据。标准的特点为： * * 注重体系的完整性，是一套科学的注重体系的完整性，是一套科学的 ISMSISMS * * 强调对法律法规的符合性 强调对法律法规的符合性 * * 以风险评估为基础，采用以风险评估为基础，采用 PDCAPDCA 的过程方法 的过程方法 * * 适用于各种类型、不同规模和业务性质的组织适用于各种类型、不同规模和业务性质的组织 * * 与其他管理体系兼容（例如与其他管理体系兼容（例如 ISO9000ISO9000 标准等）标准等）

23/4/21 45

体系标准介绍体系标准介绍 附录附录 AA 内容简介：内容简介：

附录附录 A——A—— 《《控制目标和控制措施控制目标和控制措施》》包括包括 1111 大控制领大控制领域（见图域（见图 11 ）、）、 3939 个控制目标和个控制目标和 133133 项控制措施，为项控制措施，为组织提供全方位的信息安全保障。附录组织提供全方位的信息安全保障。附录 AA 是是规范性附录规范性附录，，和标准等同使用，可以作为认证时判标的依据。和标准等同使用，可以作为认证时判标的依据。附录附录 AA 中所列的控制目标和控制措施是直接源自并与中所列的控制目标和控制措施是直接源自并与 GGB/T 22081-2008(ISO/IEC 27002:2005)B/T 22081-2008(ISO/IEC 27002:2005) 第第 55 章到第章到第 1515章一致。章一致。附录附录 AA 中的清单并不详尽，一个组织可能考虑另外必中的清单并不详尽，一个组织可能考虑另外必要的控制目标和控制措施。在附录要的控制目标和控制措施。在附录 AA 中选择控制目标和中选择控制目标和控制措施是条款控制措施是条款 4.2.14.2.1 规定的规定的 ISMSISMS 过程的一部分。过程的一部分。

23/4/21 46

体系标准介绍体系标准介绍

23/4/21 47

体系标准介绍体系标准介绍 附录附录 AA 小结：小结：

包括包括 1111 个域，汇集了个域，汇集了 3939 个控制目标、个控制目标、 133133 个控制措施；个控制措施；目的是保护信息免受各种威胁的损害，以确保业务连续性、业务风险目的是保护信息免受各种威胁的损害，以确保业务连续性、业务风险最小化、投资回报和商业机遇最大化；最小化、投资回报和商业机遇最大化；

是实施是实施 GB/T 22080-2008GB/T 22080-2008 的支持标准，给出了组织建立信息安全管理的支持标准，给出了组织建立信息安全管理体系（体系（ ISMSISMS ）时可选择实施的控制目标和控制措施集；）时可选择实施的控制目标和控制措施集；

是一个信息安全最佳实践的汇总；是一个信息安全最佳实践的汇总；

值得注意的是，标准中推荐的这值得注意的是，标准中推荐的这 133133个控制措施，并非信个控制措施，并非信息安全控制措施的全部。组织可以根据自己的情况选择使用息安全控制措施的全部。组织可以根据自己的情况选择使用标准以外的控制措施来实现组织的信息安全目标。标准以外的控制措施来实现组织的信息安全目标。

23/4/21 48

体系标准介绍体系标准介绍 信息安全基本观点：信息安全基本观点：

绝对的安全不存在绝对的安全不存在 任何安全机制的作用，都是为了在既定的安全目标和允许任何安全机制的作用，都是为了在既定的安全目标和允许

的投资规模下，有效地抑制和避免系统当前所面临的安全风的投资规模下，有效地抑制和避免系统当前所面临的安全风险，而不是一劳永逸地解决所有的问题。险，而不是一劳永逸地解决所有的问题。

依据业务需求和运营需求，保密性依据业务需求和运营需求，保密性 (C)(C)，完整性，完整性((I)I)，可用性，可用性 ((A)A)三者追求一种平衡，不能把其一搞三者追求一种平衡，不能把其一搞成极致。否则，会导致无法运行。成极致。否则，会导致无法运行。

23/4/21 49

体系标准介绍体系标准介绍 ISMSISMS标准重点内容：标准重点内容：

体系的核心理念是通过体系的核心理念是通过“风险评估”、“风险管“风险评估”、“风险管理”理”切入企业的信息安全需求，经由完整的控制措切入企业的信息安全需求，经由完整的控制措施选择及落实，有效降低企业面临的风险。风险评施选择及落实，有效降低企业面临的风险。风险评估是识别风险（资产、威胁、脆弱性、影响）的过估是识别风险（资产、威胁、脆弱性、影响）的过程，该过程包括分析威胁程，该过程包括分析威胁 ,, 确定影响范围，发现信确定影响范围，发现信息、信息系统和过程机制中的脆弱性，并判断发生息、信息系统和过程机制中的脆弱性，并判断发生的可能性。的可能性。风险评估有不同方法，在风险评估有不同方法，在 ISO/IEC TR 13335-3ISO/IEC TR 13335-3

中描述了风险评估方法的例子。 中描述了风险评估方法的例子。

23/4/21 50

体系标准介绍体系标准介绍 风险管理关系图：风险管理关系图：

风险分析风险分析 风险评估风险评估

风险管理 风险评价风险管理 风险评价

风险处置风险处置

23/4/21 51

体系标准介绍体系标准介绍 ISMSISMS标准重点术语：标准重点术语：

风险管理：风险管理：指导和控制一个组织相关风险的协调活指导和控制一个组织相关风险的协调活动。动。风险评估：风险评估：风险分析和风险评价的整个过程。（有风险分析和风险评价的整个过程。（有多种风险评估方法和工具可以选择）多种风险评估方法和工具可以选择）风险分析：风险分析：系统地使用信息来识别风险来源和估计系统地使用信息来识别风险来源和估计风险。（可以是定性、定量或二者结合）风险。（可以是定性、定量或二者结合）风险评价：风险评价：将估计的风险与给定的风险准则加以比将估计的风险与给定的风险准则加以比较以确定风险严重性的过程。（赋值）较以确定风险严重性的过程。（赋值）RR （风险值）（风险值） =L=L （可能性）（可能性） × S× S （后果严重性） （后果严重性）

23/4/21 52

体系标准介绍体系标准介绍 ISMSISMS标准重点术语：标准重点术语：风险处置：风险处置：选择并且执行措施来更改风险的过程。选择并且执行措施来更改风险的过程。风险处置方法有：接受风险、转移风险、规避风险风险处置方法有：接受风险、转移风险、规避风险

和降低风险。和降低风险。威胁：威胁：可能导致对系统或组织的损害的任何不期望可能导致对系统或组织的损害的任何不期望

事件的潜在原因。事件的潜在原因。脆弱性：脆弱性：资产可被威胁利用的弱点。（如技术脆弱资产可被威胁利用的弱点。（如技术脆弱

性中的系统软件性中的系统软件 XP→VISTA→WIN7 XP→VISTA→WIN7 打补丁）打补丁）风险水平：风险水平：风险等级，可用后果和可能性的组合来风险等级，可用后果和可能性的组合来表示。表示。RR （风险值）（风险值） =L=L （可能性）（可能性） × S× S （后果严重性） （后果严重性）

23/4/21 53

体系标准介绍体系标准介绍 ISMSISMS标准重点术语：标准重点术语：

适用性声明适用性声明 (SOA)(SOA) ：描述与组织的信息安全管理：描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文件。体系相关的和适用的控制目标和控制措施的文件。注：控制目标和控制措施是基于风险评估和风险处置过程注：控制目标和控制措施是基于风险评估和风险处置过程

的结果和结论、法律法规要求、合同义务以及组织对信息安的结果和结论、法律法规要求、合同义务以及组织对信息安全的业务要求。全的业务要求。11 、适用于组织需要的目标和控制的评述。、适用于组织需要的目标和控制的评述。22 、适用性声明是一个包含组织所选择的控制目标、适用性声明是一个包含组织所选择的控制目标

和控制方式的文件，相当于一个控制目标与方式清和控制方式的文件，相当于一个控制目标与方式清单：其中应阐述选择与不选择的理由。单：其中应阐述选择与不选择的理由。

23/4/21 54

体系标准介绍体系标准介绍 ISMSISMS标准重点内容：标准重点内容：

ISMS ISMS 范围的复杂性范围的复杂性：应依据组织的：雇员：应依据组织的：雇员 ++ 签签约约人员的数量、用户数量、场所数量、服务器数量、人员的数量、用户数量、场所数量、服务器数量、

工作站工作站 +PC++PC+便携式计算机的数量、应用开发与维便携式计算机的数量、应用开发与维护人员的数量、网络与密码技术、法律符合性的重护人员的数量、网络与密码技术、法律符合性的重要性、行业特定风险的适用性等因素去确要性、行业特定风险的适用性等因素去确定。定。 ISMSISMS范围的复杂性的整体有效类别可以是所范围的复杂性的整体有效类别可以是所识别的全部复杂性因素的类别中最高的那个，结果识别的全部复杂性因素的类别中最高的那个，结果即为：“高”、“中”或“低”。即为：“高”、“中”或“低”。

23/4/21 55

体系标准介绍体系标准介绍 ISMSISMS标准重点内容：标准重点内容：

不同组织的风险准则、风险分析的方法和风险评价不同组织的风险准则、风险分析的方法和风险评价

的结果会有所不同，对于资产赋值、威胁赋值、脆的结果会有所不同，对于资产赋值、威胁赋值、脆

弱性赋值也会有所不同。同样一个风险在不同组织弱性赋值也会有所不同。同样一个风险在不同组织

可能评价的风险程度会有所不同。由于风险的不确可能评价的风险程度会有所不同。由于风险的不确

定性，不要期望完全消除风险。定性，不要期望完全消除风险。

23/4/21 56

体系标准介绍体系标准介绍

什么是 ITSMS ？

23/4/21 58

体系介体系介绍绍信息技术服务管理体系（信息技术服务管理体系（ ITSMSITSMS ）：）：

ITIT 服务管理是一套以流程为导向、以客户为中心服务管理是一套以流程为导向、以客户为中心的方法，的方法，通过整合通过整合 ITIT 服务与组织业务，提高企业提服务与组织业务，提高企业提供供 ITIT 服务和对服务和对 ITIT 服务进行支持的能力的水准。服务进行支持的能力的水准。信息技术服务管理（信息技术服务管理（ ITSMITSM ））是一套帮助企业对是一套帮助企业对ITIT 系统的规划、研发、实施和运营进行有效管理的系统的规划、研发、实施和运营进行有效管理的方法，是一套方法论。方法，是一套方法论。这套标准已经被欧洲、美洲这套标准已经被欧洲、美洲和澳洲的很多企业采用，目前在欧洲和澳洲的很多企业采用，目前在欧洲 40-60%40-60%的的 ITIT经理都知道 经理都知道 ITSMITSM ，在美国有，在美国有 20-30%20-30%的的 ITIT 经理经理了解了解 ITSM,ITSM,而在国内了解而在国内了解 ITSMITSM 的人还很少。的人还很少。

23/4/21 59

体系介体系介绍绍信息技术服务管理体系（信息技术服务管理体系（ ITSMSITSMS ）：）：

ITSMITSM起源于起源于 ITILITIL（（ ITIT基础架构标准基础架构标准库），库）， ITILITIL是是 CCTACCTA （英国国家电脑局）于（英国国家电脑局）于 19801980年开发的一套年开发的一套 ITIT 服务管理标准库。它把英国在服务管理标准库。它把英国在 ITIT管理方面的方法归纳起来，变成规范，为企业的管理方面的方法归纳起来，变成规范，为企业的 ITIT部门提供一套从计划、研发、实施到运维的标准方部门提供一套从计划、研发、实施到运维的标准方法。法。 信息技术服务管理体系（信息技术服务管理体系（ ITSMSITSMS ）是能够提供）是能够提供ITSMITSM 的体系，的体系，是整个管理体系的一部分。 是整个管理体系的一部分。

23/4/21 60

体系标准介绍体系标准介绍 ISO/IEC 20000ISO/IEC 20000 系列标准系列标准

1. IS01. IS0／／ IEC 20000IEC 20000一一 11 ：： 2005=GB2005=GB／／ T T 2440524405．． 1—20091—2009《《信息技术服务管理 第信息技术服务管理 第 11部分：部分：规范规范 ——》——》 认证的依据认证的依据2. 2. IS0IS0／／ IEC 20000IEC 20000一一 22 ：： 2005=2005=GBGB／／ T T 2440524405．． 2—20102—2010《《信息技术服务管理 第信息技术服务管理 第 22 部分：部分：实践规则实践规则 ——》——》 主要涉及主要涉及 ITIT 服务管理过程的最佳实服务管理过程的最佳实践指南，旨在为审核员提供指南，也为服务提供方践指南，旨在为审核员提供指南，也为服务提供方策划服务改进或依据策划服务改进或依据 GBGB／／ T 24405-1T 24405-1 进行审核提进行审核提供帮助供帮助

23/4/21 61

体系标准介绍体系标准介绍 ITSMS-1ITSMS-1部分标准内容简介：部分标准内容简介：ISO/IEC20000ISO/IEC20000 系列标准是基于全球公认的系列标准是基于全球公认的 ITILITIL 最最佳实践，于佳实践，于 20052005年年 1212 月月 1515日由日由 ISO/IECISO/IEC 对外正式对外正式颁布与执行的颁布与执行的 ITIT服务管理国际标准。它是全球第一服务管理国际标准。它是全球第一部最具国际影响力的部最具国际影响力的 ITIT服务管理体系标准规范。服务管理体系标准规范。秉秉承“以客户为导向，以流程为中心”的先进理念，承“以客户为导向，以流程为中心”的先进理念，强调按照强调按照 PDCAPDCA 的方法论持续改进组织所提供的的方法论持续改进组织所提供的 ITIT服务，通过采用系统的流程方法，有效的向客户提服务，通过采用系统的流程方法，有效的向客户提供满足业务与客户需求的高质量服务，从而最终保供满足业务与客户需求的高质量服务，从而最终保证以最低的成本提供质量稳定的证以最低的成本提供质量稳定的 ITIT 服务，保证业务服务，保证业务持续运作的能力。持续运作的能力。

23/4/21 62

体系标准介绍体系标准介绍 ITSMS-1ITSMS-1部分标准内容简介：部分标准内容简介：

几个重要术语：几个重要术语：11 、基线：、基线：在某个时间点上服务或各个配置项的状在某个时间点上服务或各个配置项的状态。态。22 、配置项：、配置项：处于或将处于配置管理之下的基础设处于或将处于配置管理之下的基础设施部件或项。施部件或项。注：配置项在复杂性、规模和类型方面变化可能很大，配置项可以是整注：配置项在复杂性、规模和类型方面变化可能很大，配置项可以是整个系统，包括所有的硬件、软件和文档，也可以是单个模块或很小的硬个系统，包括所有的硬件、软件和文档，也可以是单个模块或很小的硬件部件。件部件。33 、发布：、发布：经测试且被引入实际运行环境的新配置经测试且被引入实际运行环境的新配置项和（或）变更的配置项的集合。项和（或）变更的配置项的集合。

23/4/21 63

体系标准介绍体系标准介绍 ITSMS-1ITSMS-1部分标准内容简介：部分标准内容简介：

几个重要术语：几个重要术语：44 、服务台：、服务台：面向顾客的、完成大部分支持工作的面向顾客的、完成大部分支持工作的支持组。支持组。55 、服务级别协议（、服务级别协议（ SLASLA ）：）：服务提供方与顾客之服务提供方与顾客之间签署的、描述服务和约定服务级别的协议。间签署的、描述服务和约定服务级别的协议。66 、可用性：、可用性：在规定时刻或规定时间段内，部件或在规定时刻或规定时间段内，部件或

服务执行要求功能的能力。服务执行要求功能的能力。注：可用性通常用机构使用的实际可用服务时间与约定服务时间的比率注：可用性通常用机构使用的实际可用服务时间与约定服务时间的比率来表示。来表示。

23/4/21 64

体系标准介绍体系标准介绍 ITSMS-1ITSMS-1标准主要内容简介：标准主要内容简介：11 范围范围22 术语和定义术语和定义33 管理体系要求管理体系要求3.13.1 管理职责管理职责3.23.2 文件要求文件要求3.33.3 能力、意识和培训能力、意识和培训

44 策划和实施服务管理策划和实施服务管理4.14.1 策划服务管理（策划）策划服务管理（策划）4.24.2 实施服务管理和提供服务（实施）实施服务管理和提供服务（实施）4.34.3 监视、测量和评审（检查）监视、测量和评审（检查）4.44.4 持续改进（处置）持续改进（处置）

23/4/21 65

体系标准介绍体系标准介绍

此标准采用此标准采用 PDCAPDCA模型：模型：

23/4/21 66

体系标准介绍体系标准介绍 ITSMS-1ITSMS-1标准主要内容简介：标准主要内容简介：

55 策划和实施新服务或变更的服务策划和实施新服务或变更的服务66 服务交付过程服务交付过程6.16.1 服务级别管理服务级别管理6.26.2 服务报告服务报告6.36.3 服务连续性和可用性管理服务连续性和可用性管理6.4IT6.4IT 服务的预算与核算服务的预算与核算6.56.5 能力管理能力管理6.66.6 信息安全管理信息安全管理77 关系过程关系过程7.17.1 概述概述7.27.2 业务关系管理业务关系管理7.37.3 供方管理供方管理

23/4/21 67

体系标准介绍体系标准介绍 ITSMS-1ITSMS-1标准主要内容简介：标准主要内容简介：

88 解决过程解决过程8.18.1 背景背景8.28.2 事件管理事件管理8.38.3 问题管理问题管理

99 控制过程控制过程9.19.1 配置管理配置管理9.29.2 变更管理变更管理

1010发布过程发布过程10.110.1 发布管理发布管理

23/4/21 68

体系标准介绍体系标准介绍

23/4/21 69

体系标准介绍体系标准介绍 ITSMS-2ITSMS-2部分标准内容简介：部分标准内容简介：

作为实践规则此部分采用指南和建议的形式针对作为实践规则此部分采用指南和建议的形式针对第一部分（规范）的第一部分（规范）的 1010项主要内容提出了具体要项主要内容提出了具体要求。描述了在 求。描述了在 ISO/IEC 20000ISO/IEC 20000 的第 的第 1 1 部分中部分中的服务管理的最佳实践，对如何实现第 的服务管理的最佳实践，对如何实现第 1 1 部分提部分提供了建议和指导。可用于大规模也可用于小规模的供了建议和指导。可用于大规模也可用于小规模的服务提供方。服务提供方。此部分不宜作为规范引用。 此部分不宜作为规范引用。

23/4/21 70

体系标准介绍体系标准介绍 ITSMSITSMS标准的适用范围：标准的适用范围：

* * 将以其服务进行投标的机构；将以其服务进行投标的机构；* * 要求供应链中的所有服务提供方采用一致的方要求供应链中的所有服务提供方采用一致的方法的机构；法的机构；* * 要确定要确定 ITIT 服务管理基准的服务提供方；服务管理基准的服务提供方；* * 独立评估的基础；独立评估的基础；* * 需要证明其可提供满足顾客要求的服务的能力需要证明其可提供满足顾客要求的服务的能力

的组织；的组织；* * 意欲通过过程的有效应用来监视和提高服务质意欲通过过程的有效应用来监视和提高服务质量，从而改善服务的组织。量，从而改善服务的组织。

23/4/21 71

体系标准介绍体系标准介绍 ITSMSITSMS标准的特点：标准的特点：

* * 标准为服务提供方定义了向其顾客交付可接受标准为服务提供方定义了向其顾客交付可接受质量的管理服务的要求，规定了一些紧密相关的服质量的管理服务的要求，规定了一些紧密相关的服务管理过程，这些过程之间的关系取决于组织内的务管理过程，这些过程之间的关系取决于组织内的应用。应用。* * 作为基于过程的标准，作为基于过程的标准， ISO/IEC20000-1ISO/IEC20000-1 的的目的并非用于产品评估。但是开发服务管理工具、目的并非用于产品评估。但是开发服务管理工具、产品和系统的组织可以使用本标准及其实践规则来产品和系统的组织可以使用本标准及其实践规则来帮助他们开发支持最佳实践服务管理的工具、产品帮助他们开发支持最佳实践服务管理的工具、产品和系统。和系统。

23/4/21 72

体系标准介绍体系标准介绍 ITSMSITSMS标准的特点：标准的特点：

* * 标准与标准与《《信息技术信息技术 ------ 服务管理服务管理 ------第第 22 部部分分 : : 实践规则实践规则》》一起覆盖了一起覆盖了 ITILITIL 中的全部最佳实中的全部最佳实践集，便于已实施践集，便于已实施 ITILITIL 的企业转化应用，易于对的企业转化应用，易于对实施实施 ITILITIL 有经验的人士理解和接受；有经验的人士理解和接受；* * 与与 MOF(MOF(微软运作构架微软运作构架 )) 、、 COBITCOBIT （信息和相（信息和相

关技术的控制目标）等关技术的控制目标）等 ITIT 服务管理模型有共同的技服务管理模型有共同的技术及管理方法基础；术及管理方法基础；* * 与与 ISO9000ISO9000、、 CMMICMMI （软件能力成熟度模（软件能力成熟度模

型）、型）、 ISO/IEC27001ISO/IEC27001 等具有良好的兼容性。等具有良好的兼容性。

23/4/21 73

本次交流的主要内容本次交流的主要内容

交流内容交流内容

3 三、体系比较

23/4/21 74

体系比较体系比较

ISMSISMS、、 QMSQMS、、 EMSEMS、、 OHSMSOHSMS、、 ITSMSITSMS 等体系之间等体系之间共同点：共同点：

* * 互相兼容；互相兼容；* * 均采用均采用 PDCAPDCA （“戴明环”）过程方法；（“戴明环”）过程方法；* * 均以均以 CNAS-CC01:2011 CNAS-CC01:2011 管理体系认证机构要求管理体系认证机构要求作为基本要求；作为基本要求；* * 只要只要 ISMS ISMS 以及与其他管理体系的适当接口能够以及与其他管理体系的适当接口能够清楚地被识别，客户组织可以将清楚地被识别，客户组织可以将 ISMS ISMS 文件与其他文件与其他管理体系文件（例如，质量、环境和健康与安全）相管理体系文件（例如，质量、环境和健康与安全）相结合。结合。

23/4/21 75

体系比较体系比较

ISMSISMS、、 QMSQMS、、 EMSEMS、、 OHSMSOHSMS、、 ITSMSITSMS 等体系之间等体系之间共同点：共同点：* * 都必须具备体系文件、程序、职责、方针、目标都必须具备体系文件、程序、职责、方针、目标指标、内审、管理评审、相关法律法规、纠正措施、指标、内审、管理评审、相关法律法规、纠正措施、预防措施等文件和过程；预防措施等文件和过程；* * 可以相互组合建立一体化管理体系，实现多体系可以相互组合建立一体化管理体系，实现多体系结合认证；结合认证；* * 认证证书的使用与管理相同（认证证书的使用与管理相同（ 33 年有效，年有效， 11 年之年之内监督审核，认证标志不能用于产品等）；内监督审核，认证标志不能用于产品等）；* * 审核人日安排的基本准则相同；审核人日安排的基本准则相同；* * 都是体系认证，认证流程相同。都是体系认证，认证流程相同。

23/4/21 76

体系比较体系比较

ISMSISMS、、 QMSQMS、、 EMSEMS、、 OHSMAOHSMA、、 ITSMSITSMS 等体系之间等体系之间不同点：不同点：

* * 领域不同；领域不同；

* * 适用范围有所不同（适用范围有所不同（ Q/E/H/ISQ/E/H/IS 全部适用，全部适用， ITIT

有些局限）；有些局限）；

* * 关注的侧重点有所不同；关注的侧重点有所不同；

* * 条款的删减有所不同（条款的删减有所不同（ Q7.3Q7.3、、 E/H/ITE/H/IT不允许不允许

删减、删减、 ISIS只能对附录只能对附录 AA 有所删减）；有所删减）；

23/4/21 77

体系比较体系比较

ISMSISMS、、 QMSQMS、、 EMSEMS、、 OHSMAOHSMA、、 ITSMSITSMS 等体系之间等体系之间不同点：不同点：

* * 对审核员的能力要求有所不同（对审核员的能力要求有所不同（ ISMSISMS、、 ITSMSITSMS

对专业要求更严格）；对专业要求更严格）；

* * 认证费用有所不同；认证费用有所不同；

* * ISMSISMS需要提供适用性声明（需要提供适用性声明（ SOASOA ）文件；）文件；

* * ITSMSITSMS暂时还没有成为单独体系。暂时还没有成为单独体系。

23/4/21 78

信息安全、质量、环境、信息安全、质量、环境、 ITIT服务管理体系对应表服务管理体系对应表

23/4/21 79

信息安全、质量、环境、信息安全、质量、环境、 ITIT服务管理体系对应表服务管理体系对应表

23/4/21 80

信息安全、质量、环境、信息安全、质量、环境、 ITIT服务管理体系对应表服务管理体系对应表

23/4/21 81

本次交流的主要内容本次交流的主要内容

交流内容交流内容 4 四、概括总结

23/4/21 82

概括总结概括总结 建立信息安全管理体系的作用：建立信息安全管理体系的作用：任何组织，不论它在信息技术方面如何努力以及采纳如何任何组织，不论它在信息技术方面如何努力以及采纳如何

新的信息安全技术，实际上在信息安全管理方面都还新的信息安全技术，实际上在信息安全管理方面都还存在漏存在漏洞洞，例如： ，例如： ◇ ◇ 缺少信息安全管理论坛，安全导向不明确，管理支持不缺少信息安全管理论坛，安全导向不明确，管理支持不明显； 明显； ◇ 缺少跨部门的信息安全协调机制； ◇ 缺少跨部门的信息安全协调机制；◇ ◇ 保护特定资产以及完成特定安全过程的职责还不明确； 保护特定资产以及完成特定安全过程的职责还不明确；

◇ 雇员信息安全意识薄弱，缺少防范意识，外来人员很容 ◇ 雇员信息安全意识薄弱，缺少防范意识，外来人员很容易直接进入生产和工作场所；易直接进入生产和工作场所；

23/4/21 83

概括总结概括总结建立信息安全管理体系的作用：建立信息安全管理体系的作用：

◇ ◇ 组织信息系统管理制度不够健全； 组织信息系统管理制度不够健全； ◇ 组织信息系统主机房安全存在隐患，如：防火设施 ◇ 组织信息系统主机房安全存在隐患，如：防火设施存在问题，与危险品仓库同处一幢办公楼等； 存在问题，与危险品仓库同处一幢办公楼等； ◇ 组织信息系统备份设备仍有欠缺； ◇ 组织信息系统备份设备仍有欠缺； ◇ 组织信息系统安全防范技术投入欠缺； ◇ 组织信息系统安全防范技术投入欠缺； ◇ 软件知识产权保护欠缺； ◇ 软件知识产权保护欠缺；◇ ◇ 计算机房、办公场所等物理防范措施欠缺； 计算机房、办公场所等物理防范措施欠缺；

23/4/21 84

概括总结概括总结建立信息安全管理体系的作用：建立信息安全管理体系的作用：

◇ ◇ 档案、记录等缺少可靠贮存场所； 档案、记录等缺少可靠贮存场所； ◇ 缺少一旦发生意外时的保证生产经营连续性的措施 ◇ 缺少一旦发生意外时的保证生产经营连续性的措施和计划； 和计划； …………等等。等等。

建立建立 ISMSISMS和和 ITSMSITSMS 就可以有效解决以上问就可以有效解决以上问题。题。

23/4/21 85

概括总结概括总结 ISMSISMS 认证对企业的好处：认证对企业的好处：

◇ ◇ 符合法律法规要求，降低法律风险；符合法律法规要求，降低法律风险；◇ 强化员工的信息安全意识，规范组织信息安全行为； ◇ 强化员工的信息安全意识，规范组织信息安全行为；

◇ 增强客户、合作伙伴等相关方的信任和信心； ◇ 增强客户、合作伙伴等相关方的信任和信心； ◇ 保持组织良好的竞争力和成功运作的状态，提高在公◇ 保持组织良好的竞争力和成功运作的状态，提高在公众中的形象和声誉，提高组织的品牌、知名度与信任度，众中的形象和声誉，提高组织的品牌、知名度与信任度，最大限度的增加投资回报和商业机会； 最大限度的增加投资回报和商业机会； ◇ 促使管理层坚持贯彻信息安全保障体系，履行信息安◇ 促使管理层坚持贯彻信息安全保障体系，履行信息安全管理责任；全管理责任；

23/4/21 86

概括总结概括总结 ISMSISMS 认证对企业的好处：认证对企业的好处：

◇ ◇ 实现风险管理，预防信息安全事故，保证组织业务实现风险管理，预防信息安全事故，保证组织业务的连续性，使组织的重要信息资产受到与其价值相符的的连续性，使组织的重要信息资产受到与其价值相符的保护，包括防范：保护，包括防范：* * 重要的商业秘密信息的泄漏、丢失、篡改和不可用；重要的商业秘密信息的泄漏、丢失、篡改和不可用；* * 重要业务所依赖的信息系统因故障、遭受病毒或攻重要业务所依赖的信息系统因故障、遭受病毒或攻

击而中断；击而中断；

◇ ◇ 在信息系统受到侵袭时，确保业务持续开展并将损在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度；失降到最低程度；

23/4/21 87

概括总结概括总结 ISMSISMS 认证对企业的好处：认证对企业的好处：

◇ ◇ 减少损失，降低成本，节省费用。一个好的减少损失，降低成本，节省费用。一个好的 ISMSISMS不仅可通过避免安全事故而使组织节省费用，而且也能不仅可通过避免安全事故而使组织节省费用，而且也能帮助组织合理筹划信息安全费用支出，包括：帮助组织合理筹划信息安全费用支出，包括： * * 依据信息资产的风险级别，安排安全控制措施的依据信息资产的风险级别，安排安全控制措施的投资优先级；投资优先级； * * 对于可接受的信息资产的风险，不投资或减少投对于可接受的信息资产的风险，不投资或减少投

资；资；

ISMSISMS 认证是实现信息安全目标的最佳途径，也认证是实现信息安全目标的最佳途径，也是招投标项目中的重要内容。是招投标项目中的重要内容。

23/4/21 88

概括总结概括总结

在现实的世界，保护信息的成本一定与安全漏洞在现实的世界，保护信息的成本一定与安全漏洞

的潜在成本进行平衡。每个企业必须完全了解自身的潜在成本进行平衡。每个企业必须完全了解自身

的安全风险才能确定适当的管理方式，并且选择处的安全风险才能确定适当的管理方式，并且选择处

理这些风险的有效控制进行实施。理这些风险的有效控制进行实施。

23/4/21 89

概括总结概括总结 ITSMSITSMS 认证的好处：认证的好处：

* * 增强客户信心，增加市场竞争力；增强客户信心，增加市场竞争力；

* * 增加投标筹码；增加投标筹码；

* * 保持保持 ITIT 服务业务的连续性；服务业务的连续性；

* * 预防为主，持续改进，节省预防为主，持续改进，节省 ITIT 成本；成本；

* * 明确接口，有效提高明确接口，有效提高 ITIT 服务提供商管理水平；服务提供商管理水平；

* * 改进改进 ITIT 服务的有效性和效率。服务的有效性和效率。

23/4/21 90

概括总结概括总结 ISMSISMS和和 ITSMSITSMS 的发展趋势：的发展趋势：

““今后的时代，控制世界的国家将不是靠军事，而是信今后的时代，控制世界的国家将不是靠军事，而是信息能力走在前面的国家。”息能力走在前面的国家。” ———— 美国前总统克林顿美国前总统克林顿

““谁掌握了信息，控制了网络，谁将拥有整个世界。”谁掌握了信息，控制了网络，谁将拥有整个世界。” ———— 美国著名未来学家阿尔温 托尔勒美国著名未来学家阿尔温 托尔勒

““ 信息时代的出现，将从根本上改变战争的进行方信息时代的出现，将从根本上改变战争的进行方式。”式。” ———— 美国前陆军参谋长沙利文上将美国前陆军参谋长沙利文上将

23/4/21 91

概括总结概括总结 ISMSISMS和和 ITSMSITSMS 的发展趋势：的发展趋势：

随着信息化、电子化、网络化的快速发展和广泛应用，随着信息化、电子化、网络化的快速发展和广泛应用，国家有关部门和各企事业单位以及个人对信息安全和国家有关部门和各企事业单位以及个人对信息安全和 ITIT

服务越来越重视，服务越来越重视， ISMSISMS和和 ITSMSITSMS 的体系认证是最佳途的体系认证是最佳途径和选择，这两个体系的认证相对竞争激烈的传统三体径和选择，这两个体系的认证相对竞争激烈的传统三体系来讲还比较新，大有方兴未艾之势，有很好的发展前系来讲还比较新，大有方兴未艾之势，有很好的发展前景。景。

23/4/21 92

概括总结概括总结 ISMSISMS和和 ITSMSITSMS 的发展趋势：的发展趋势：

所以，我们应该充分认识和利用这一大好形势，积极所以，我们应该充分认识和利用这一大好形势，积极投入到这两个体系认证中去，以投入到这两个体系认证中去，以 ISMSISMS和和 ITSMSITSMS 认证为认证为契机，依此来进一步：契机，依此来进一步：

促进个人事业的发展和提高！促进个人事业的发展和提高！促进我们中心的发展和提高！促进我们中心的发展和提高！促进认证行业的发展和提高！促进认证行业的发展和提高！

23/4/21 93

概括总结概括总结 对审核员的要求和希望：对审核员的要求和希望：

◆◆加强对加强对 ISMSISMS和和 ITSMSITSMS 的进一步了解。的进一步了解。◆◆加强对标准和专业知识的学习。加强对标准和专业知识的学习。◆◆加强对加强对 ISMSISMS和和 ITSMSITSMS 审核知识的学习和了解。审核知识的学习和了解。◆◆有相关专业的审核员积极参加培训和考试，成为该有相关专业的审核员积极参加培训和考试，成为该

体系的审核员。（基本要求、注册、实习等同其他体体系的审核员。（基本要求、注册、实习等同其他体系）系）◆◆在以上基础上加强对企业或组织的宣传，打破只有在以上基础上加强对企业或组织的宣传，打破只有ITIT 行业才有必要做此认证的误区。行业才有必要做此认证的误区。◆◆进一步增强安全、保密意识，防止由于审核造成敏进一步增强安全、保密意识，防止由于审核造成敏感信息泄露。感信息泄露。

23/4/21 94

概括总结概括总结

学习是一种信仰！机会是留给有准备人的！

23/4/21 95

概括总结概括总结 美好祝愿：美好祝愿：

让我们大家同心协力：让我们大家同心协力：

◆◆为我国的信息安全和为我国的信息安全和 ITIT 服务而努力！服务而努力！

◆◆为我国认证行业的可持续发展而努力！为我国认证行业的可持续发展而努力！

◆◆为为 EWCEWC 的蓬勃发展而努力！的蓬勃发展而努力！

23/4/21 96

概括总结概括总结 美好祝愿：美好祝愿：

EWCEWC 明天更美好！明天更美好！

23/4/21 97

概括总结概括总结 美好祝愿：美好祝愿：

祝愿大家：祝愿大家：◆◆身体健康！身体健康！

◆◆阖家幸福！阖家幸福！