信息安全管理体系信息安全管理体系 · 2015-09-30 · qatar 9 france 82 usa ......

GBGB//TT22080-200822080-2008信息安全管理体系信息安全管理体系要求要求

王新杰王新杰

ISMSISMS顾问顾问

CCAACCAA国家注册国家注册ISMSISMS审核员培训教师审核员培训教师

wangxinjiewangxinjie@@sinasina..comcom

© copyright Wang Xinjie 2008


自我介绍

王新杰

2000200020002000年开始ISMSISMSISMSISMS相关工作，目前主要从事：

� ISMSISMSISMSISMS研究研究研究研究� ISO/IEC27001ISO/IEC27001ISO/IEC27001ISO/IEC27001认证咨询认证咨询认证咨询认证咨询�国家注册国家注册国家注册国家注册ISMSISMSISMSISMS审核员培训审核员培训审核员培训审核员培训

国家注册ISMSISMSISMSISMS审核员培训教师

中国合格评定国家认可委员会信息安全专业委员会委员

ISMSISMSISMSISMS国家标准工作组成员

联系：13701275907 wangxinjie@13701275907 wangxinjie@13701275907 wangxinjie@13701275907 [email protected]


60606060分钟课程目标

认识一些认识一些认识一些认识一些ISMSISMSISMSISMS标准标准标准标准

沟通一些沟通一些沟通一些沟通一些ISMSISMSISMSISMS情况情况情况情况

共享一些共享一些共享一些共享一些ISMSISMSISMSISMS经验经验经验经验

讨论一些讨论一些讨论一些讨论一些ISMSISMSISMSISMS问题问题问题问题


=


认识信息安全管理体系（ISMSISMSISMSISMS）

Information Security Management System-ISMSInformation Security Management System-ISMSInformation Security Management System-ISMSInformation Security Management System-ISMS

信息安全管理体系

基于国际标准ISO/IEC27001ISO/IEC27001ISO/IEC27001ISO/IEC27001：信息安全管理体系要求；

是综合信息安全管理和技术手段，保障组织信息安全的一种

方法；

ISO/IEC27001ISO/IEC27001ISO/IEC27001ISO/IEC27001认证正在被全球越来越多的组织所采用；

ISMSISMSISMSISMS是管理体系（MSMSMSMS）家族的一个成员。


当前管理体系（MSMSMSMS）家族

ISO9000 质量管理体系

ISO14000 环境管理体系

OHSAS 职业健康安全管理体系

ISO/IEC27000 信息安全管理体系

ISO/IEC20000 服务管理体系

ISO/TS16949 汽车工业质量管理体系

IECQ QC 080000 有害物质过程管理体系

管理体系Management

System

© copyright Wang Xinjie 20084987498749874987 Absolute Total Absolute Total Absolute Total Absolute Total 3 3 3 3

VietnamVietnamVietnamVietnam 11 11 11 11 IcelandIcelandIcelandIceland

4997 4997 4997 4997 Relative Total Relative Total Relative Total Relative Total 3 3 3 3 PortugalPortugalPortugalPortugal 14 14 14 14 UAE UAE UAE UAE

1 1 1 1 UruguayUruguayUruguayUruguay 3 3 3 3

PeruPeruPeruPeru 15 15 15 15 TurkeyTurkeyTurkeyTurkey

1 1 1 1 UkraineUkraineUkraineUkraine 3 3 3 3

MacauMacauMacauMacau 16 16 16 16 RomaniaRomaniaRomaniaRomania

1 1 1 1 New ZealandNew ZealandNew ZealandNew Zealand 3 3 3 3 ChileChileChileChile 17 17 17 17 ThailandThailandThailandThailand

1 1 1 1 MoldovaMoldovaMoldovaMoldova 4 4 4 4

SwitzerlandSwitzerlandSwitzerlandSwitzerland 20 20 20 20 MexicoMexicoMexicoMexico

1 1 1 1 MacedoniaMacedoniaMacedoniaMacedonia 4 4 4 4 Sri LankaSri LankaSri LankaSri Lanka 20 20 20 20 BrazilBrazilBrazilBrazil

1 1 1 1 LuxembourgLuxembourgLuxembourgLuxembourg 4 4 4 4

NorwayNorwayNorwayNorway 26 26 26 26 SpainSpainSpainSpain

1 1 1 1 LithuaniaLithuaniaLithuaniaLithuania 4 4 4 4

KuwaitKuwaitKuwaitKuwait 26 26 26 26 MalaysiaMalaysiaMalaysiaMalaysia

1 1 1 1 LebanonLebanonLebanonLebanon 4 4 4 4 IndonesiaIndonesiaIndonesiaIndonesia 26 26 26 26 IrelandIrelandIrelandIreland

1 1 1 1 KyrgyzstanKyrgyzstanKyrgyzstanKyrgyzstan 4 4 4 4

BahrainBahrainBahrainBahrain 26 26 26 26 AustriaAustriaAustriaAustria

1 1 1 1 KazakhstanKazakhstanKazakhstanKazakhstan 5 5 5 5

South AfricaSouth AfricaSouth AfricaSouth Africa 28 28 28 28 AustraliaAustraliaAustraliaAustralia

1 1 1 1 IranIranIranIran 5 5 5 5

GreeceGreeceGreeceGreece 36 36 36 36 PolandPolandPolandPoland

1 1 1 1 EgyptEgyptEgyptEgypt 5 5 5 5

CroatiaCroatiaCroatiaCroatia 38 38 38 38 Hong KongHong KongHong KongHong Kong

1 1 1 1 BelgiumBelgiumBelgiumBelgium 6 6 6 6 SlovakiaSlovakiaSlovakiaSlovakia 54 54 54 54 ItalyItalyItalyItaly

1 1 1 1 BangladeshBangladeshBangladeshBangladesh 7 7 7 7 SwedenSwedenSwedenSweden 66 66 66 66 Czech Republic Czech Republic Czech Republic Czech Republic

1 1 1 1 ArmeniaArmeniaArmeniaArmenia 7 7 7 7

SloveniaSloveniaSloveniaSlovenia 71 71 71 71 KoreaKoreaKoreaKorea

2 2 2 2 YemenYemenYemenYemen 7 7 7 7 ColombiaColombiaColombiaColombia 74 74 74 74 HungaryHungaryHungaryHungary

2 2 2 2 QatarQatarQatarQatar 9 9 9 9

FranceFranceFranceFrance 82 82 82 82 USAUSAUSAUSA

2 2 2 2 OmanOmanOmanOman 10 10 10 10 RussianFederatioRussianFederatioRussianFederatioRussianFederatio

nnnn 108 108 108 108 GermanyGermanyGermanyGermany

2 2 2 2 MoroccoMoroccoMoroccoMorocco 10 10 10 10

PakistanPakistanPakistanPakistan 174 174 174 174 ChinaChinaChinaChina

2 2 2 2 Isle of ManIsle of ManIsle of ManIsle of Man 10 10 10 10

Saudi ArabiaSaudi ArabiaSaudi ArabiaSaudi Arabia 202 202 202 202 TaiwanTaiwanTaiwanTaiwan

2 2 2 2 GibraltarGibraltarGibraltarGibraltar 10 10 10 10 PhilippinesPhilippinesPhilippinesPhilippines 368 368 368 368 UKUKUKUK

2 2 2 2 CanadaCanadaCanadaCanada 11 11 11 11 SingaporeSingaporeSingaporeSingapore 433 433 433 433 IndiaIndiaIndiaIndia

2 2 2 2 BulgariaBulgariaBulgariaBulgaria 11 11 11 11 NetherlandsNetherlandsNetherlandsNetherlands 2863286328632863**** JapanJapanJapanJapan

截至2008年11月

全球通过27001认证的情况

（不完全统计）


主要内容

1.1. GB/T22080 GB/T22080的用途的用途

2.2. GB/T22080 GB/T22080的产生背景的产生背景

3.3. GB/T22080 GB/T22080的主要内容的主要内容

4.4. GB/T22080 GB/T22080的发展的发展


1.GB/T220801.GB/T22080的用途的用途

2008-10-072008-10-072008-10-072008-10-07右：ISO/IEC JTC1/SC27/WG1ISO/IEC JTC1/SC27/WG1ISO/IEC JTC1/SC27/WG1ISO/IEC JTC1/SC27/WG1 召集人Edward HumphreysEdward HumphreysEdward HumphreysEdward Humphreys

27001在27000家族中的地位

支持27001270012700127001的指南

认可要求和审核指南

特定行业要求和指南




2005.06.152005.06.152005.06.152005.06.15发布信息安全管理使用规则ISO/IEC27002ISO/IEC27002ISO/IEC27002ISO/IEC270023333

2005.10.152005.10.152005.10.152005.10.15发布ISMSISMSISMSISMS要求ISO/IEC27001ISO/IEC27001ISO/IEC27001ISO/IEC270012222

序号 ISOISOISOISO////IECIECIECIEC标准号标准名称当前状态

1111 ISO/IEC27000ISO/IEC27000ISO/IEC27000ISO/IEC27000 ISMSISMSISMSISMS概述和词汇制定中

4444 ISO/IEC27003ISO/IEC27003ISO/IEC27003ISO/IEC27003 ISMSISMSISMSISMS实施指南制定中

5555 ISO/IEC27004ISO/IEC27004ISO/IEC27004ISO/IEC27004 ISMSISMSISMSISMS测量制定中

6666 ISO/IEC27005ISO/IEC27005ISO/IEC27005ISO/IEC27005 信息安全风险管理 2008.06.152008.06.152008.06.152008.06.15发布

8888 ISO/IISO/IISO/IISO/IEC27007EC27007EC27007EC27007 ISMSISMSISMSISMS审核指南制定中

7777 ISO/IEC27006ISO/IEC27006ISO/IEC27006ISO/IEC27006 ISMSISMSISMSISMS认证机构要求 2007.03.152007.03.152007.03.152007.03.15发布




新项目跨部门信息交换中的信息安全管理

ISO/IEC27010ISO/IEC27010ISO/IEC27010ISO/IEC2701011111111

新项目信息安全治理框架ISO/IEC27009ISO/IEC27009ISO/IEC27009ISO/IEC2700910101010


9999 ISO/IEC27008ISO/IEC27008ISO/IEC27008ISO/IEC27008 ISMSISMSISMSISMS控制措施审核指南制定中

12121212 ISO/IEC27011ISO/IEC27011ISO/IEC27011ISO/IEC27011 通信业ISMSISMSISMSISMS 2008200820082008年发布

13131313 ISO/IEC27012ISO/IEC27012ISO/IEC27012ISO/IEC27012 金融和保险业ISMSISMSISMSISMS 制定中

14141414 ISO/IEC27013ISO/IEC27013ISO/IEC27013ISO/IEC27013 EEEE----GOVGOVGOVGOV ISMSISMSISMSISMS 新项目

15151515 ISO/IEC27014ISO/IEC27014ISO/IEC27014ISO/IEC27014 服务业ISMSISMSISMSISMS 新项目




制定中NetworkNetworkNetworkNetwork securitysecuritysecuritysecurityISO/IEC27033ISO/IEC27033ISO/IEC27033ISO/IEC2703318181818

制定中CyberCyberCyberCyber securitysecuritysecuritysecurityISO/IEC27032ISO/IEC27032ISO/IEC27032ISO/IEC2703217171717


16161616 ISO/IEC27031ISO/IEC27031ISO/IEC27031ISO/IEC27031 ICTICTICTICT ReadinessReadinessReadinessReadiness forforforfor BusinessBusinessBusinessBusiness ContinuityContinuityContinuityContinuity

制定中

19191919 ISO/IEC27034ISO/IEC27034ISO/IEC27034ISO/IEC27034 ApplicationApplicationApplicationApplication securitysecuritysecuritysecurity 制定中

20202020 ISO/IEC27035ISO/IEC27035ISO/IEC27035ISO/IEC27035 InformationInformationInformationInformation SecuritySecuritySecuritySecurity IncidentIncidentIncidentIncident ManagementManagementManagementManagement

制定中

注：以上5555个标准由SCSCSCSC27/27/27/27/WGWGWGWG4444负责制定



要求标准指南标准

管理体系标准的类型ISO GUIDE 72:2001ISO GUIDE 72:2001ISO GUIDE 72:2001ISO GUIDE 72:2001

Type AType AType AType A

requeirements requeirements requeirements requeirements standardstandardstandardstandard

Type BType BType BType B

guidelines guidelines guidelines guidelines standardstandardstandardstandard

相关标准

Type CType CType CType C

related related related related standardstandardstandardstandard



GB/T22080

为建立、实施、运行、监视、评审、保持和改进ISMS提供模型

基于过程方法的PDCA模型

为文件化的ISMS规定了要求

本标准可被内部和外部相关方用于一致性评估

27001认证（第三方认证）

内部审核（第一方审核）

客户审核（第二方审核）

GB/T22080的两个用途



要求要求被满足

分析改进资源管理

产品实现

管理职责

输入输出

管理体系的持续改进

基于PDCA的管理体系模型

规划

实施检查

处置

PPPP

DDDD

AAAA

CCCC



ISO/IEC27001认证

从业人员从业人员从业人员从业人员认可认可认可认可

认证培训认证培训认证培训认证培训机构机构机构机构

审核员审核员审核员审核员

国际互认国际互认国际互认国际互认双边互认双边互认双边互认双边互认多边互认多边互认多边互认多边互认

国家行政国家行政国家行政国家行政管理机构管理机构管理机构管理机构

认证认可条例认证认可条例认证认可条例认证认可条例

ISOISOISOISO/IEC17021/IEC17021/IEC17021/IEC17021ISO/IEC17024ISO/IEC17024ISO/IEC17024ISO/IEC17024

27001270012700127001认证证书认证证书认证证书认证证书

ISO/IEC19011ISO/IEC19011ISO/IEC19011ISO/IEC19011认证认证认证认证机构机构机构机构

申请认证申请认证申请认证申请认证组织组织组织组织

认证咨询认证咨询认证咨询认证咨询机构机构机构机构

从业机构从业机构从业机构从业机构认可认可认可认可

咨询师咨询师咨询师咨询师


主要内容

1.1.1.1.1.1.1.1. GB/T22080GB/T22080的用途的用途





2.GB/T220802.GB/T22080的产生背景的产生背景

上世纪90年代末，信息安全问题开始从军事、国防领域向社会各个领域延伸和渗透

各种类型的网络与信息安全产品应运而生

产品成为许多用户寻求解决信息安全问题的主要途径

信息技术的迅猛发展，使得信息安全问题呈现广泛化、多样性、复杂、繁琐等特点

网络与信息安全产品的局限性越来越明显

管理问题在信息安全保障中越来越突出



administeradministrationAdministrator

Governance

managemanagement

manager

18181818世纪工业革命

（1700'S）

管理康熙19年（1680）

“管” “理”

中国古代春秋战国

讨论：管理和技术的辩证关系



Code of practiceCode of practiceCode of practiceCode of practice英国DTIDTIDTIDTI

BS 7799-Part1BS 7799-Part1BS 7799-Part1BS 7799-Part1

1993.91993.91993.91993.9

英国BSIBSIBSIBSI1995.21995.21995.21995.2

BS 7799-Part2BS 7799-Part2BS 7799-Part2BS 7799-Part2

1998.21998.21998.21998.2

BS 7799-1:1999BS 7799-1:1999BS 7799-1:1999BS 7799-1:19991999.41999.41999.41999.4

ISO/IEC JTC1/SC27ISO/IEC JTC1/SC27ISO/IEC JTC1/SC27ISO/IEC JTC1/SC272000.122000.122000.122000.12

++++

BS 7799-2:1999BS 7799-2:1999BS 7799-2:1999BS 7799-2:1999

ISO 17799ISO 17799ISO 17799ISO 17799:2000:2000:2000:2000

BS7799 Part 2BS7799 Part 2BS7799 Part 2BS7799 Part 2：2002200220022002

2002.92002.92002.92002.9

ISO 27002ISO 27002ISO 27002ISO 27002:2005:2005:2005:2005

ISO27001ISO27001ISO27001ISO27001：2005200520052005

2005.10.152005.10.152005.10.152005.10.152005.6.152005.6.152005.6.152005.6.15

GB/T22081GB/T22081GB/T22081GB/T22081-2008-2008-2008-2008

GB/T22080GB/T22080GB/T22080GB/T22080-2008-2008-2008-2008

2008.6.192008.6.192008.6.192008.6.192008.6.192008.6.192008.6.192008.6.19

2008200820082008

ISO/IEC JTC1/SC27ISO/IEC JTC1/SC27ISO/IEC JTC1/SC27ISO/IEC JTC1/SC27

TC260TC260TC260TC260

2005200520052005


主要内容

1.1.1.1.1.1.1.1. GB/T22080GB/T22080的用途的用途





3.GB/T220803.GB/T22080的主要内容的主要内容

相关方

受控的信息安全

信息安全要求和期望

相关方

检查CheckCheckCheckCheck

建立ISMSISMSISMSISMS

实施和运行ISMSISMSISMSISMS

保持和改进ISMSISMSISMSISMS

监视和评审ISMSISMSISMSISMS

规划PlanPlanPlanPlan

实施DoDoDoDo

处置ActActActAct

图1 1 1 1 应用于ISMSISMSISMSISMS过程的PDCAPDCAPDCAPDCA模型



PDCA各阶段内容对应标准条款

P-规划

建立ISMS

建立与管理风险和改进信息安全有关的ISMS

方针、目标、过程和程序，以提供与组织整

体方针和目标相一致的结果。

4.1 4.2.1 4.3 5

D-实施

实施和运行

ISMS

实施和运行ISMS方针、控制措施、过程和程

序。 4.2.2

C-检查

监视和评审

ISMS

对照ISMS方针、目标和实践经验，评估并在

适当时，测量过程的执行情况，并将结果报

告管理者以供评审。

4.2.3 6 7

A-处置

保持和改进

ISMS

基于ISMS内部审核和管理评审的结果或者其

他相关信息，采取纠正和预防措施，以持续

改进ISMS。

4.2.4 8



13339合计

103符合性A.15

51业务连续性管理A.14

52信息安全事故管理A.13

166信息系统获取、开发和维护A.12

257访问控制A.11

3210通信和操作管理A.10

132物理和环境安全A.9

93人力资源安全A.8

52资产管理A.7

112信息安全组织A.6

21安全方针A.5

控制措施控制目标控制措施域附录A



信息安全方面规定做什么并形成文件

按照文件去做

检查所做的是否符合文件规定

保持和改进

规划

实施检查

处置

PPPP

DDDD

AAAA

CCCC

如何实施GB/T22080 ?


主要内容

1.1.1.1.1.1.1.1. GB/T22080GB/T22080的用途的用途


3.3. GB/T22080GB/T22080的主要内容的主要内容

4.4. GB/T22080GB/T22080的发展的发展


4.GB/T220804.GB/T22080的发展的发展

按照ISO规定，一个国际标准的修订周期通常为5年

GB/T22080 GB/T22080 GB/T22080 GB/T22080等同采用ISO/IEC27001ISO/IEC27001ISO/IEC27001ISO/IEC27001

GB/T22080GB/T22080GB/T22080GB/T22080将随着ISO/IEC27001ISO/IEC27001ISO/IEC27001ISO/IEC27001的修订而修订

2008.10.5~10在Cyprus召开了第37届SC27/WG1工作组会议

就美国提案召开了““““27001&2700227001&2700227001&2700227001&27002修订战略””””专题会议

决议修订ISO/IEC27001&27002ISO/IEC27001&27002ISO/IEC27001&27002ISO/IEC27001&27002，计划2011201120112011年发布下一个版本


Homework

请结合实际工作和本次信息安全国家标准学习，写一篇论文。

要求：字数不限，培训班结束后1111周内完成，交TC260TC260TC260TC260。

题目：论实施GB/T22080GB/T22080GB/T22080GB/T22080与我国信息安全等级保护、风险评估等

工作的关系

感谢大家耐心听完课程！感谢大家耐心听完课程！

任何任何ISMSISMSISMSISMSISMSISMSISMSISMS问题，欢迎联系：问题，欢迎联系：

王新杰王新杰

wangxinjiewangxinjiewangxinjiewangxinjiewangxinjiewangxinjiewangxinjiewangxinjie@@@@@@@@sinasinasinasinasinasinasinasina........comcomcomcomcomcomcomcom1370127590713701275907137012759071370127590713701275907137012759071370127590713701275907

信息安全管理体系信息安全管理体系 · 2015-09-30 · qatar 9 france 82 usa ......

Documents