信息安全管理体系信息安全管理体系 · 2015-09-30 · qatar 9 france 82 usa ......
TRANSCRIPT
GBGB//TT22080-200822080-2008信息安全管理体系信息安全管理体系 要求要求
王新杰王新杰
ISMSISMS顾问顾问
CCAACCAA国家注册国家注册ISMSISMS审核员培训教师审核员培训教师
wangxinjiewangxinjie@@sinasina..comcom
© copyright Wang Xinjie 2008
© copyright Wang Xinjie 2008
自我介绍
王新杰
2000200020002000年开始ISMSISMSISMSISMS相关工作,目前主要从事:
� ISMSISMSISMSISMS研究研究研究研究� ISO/IEC27001ISO/IEC27001ISO/IEC27001ISO/IEC27001认证咨询认证咨询认证咨询认证咨询�国家注册国家注册国家注册国家注册ISMSISMSISMSISMS审核员培训审核员培训审核员培训审核员培训
国家注册ISMSISMSISMSISMS审核员培训教师
中国合格评定国家认可委员会信息安全专业委员会委员
ISMSISMSISMSISMS国家标准工作组成员
联系:13701275907 wangxinjie@13701275907 wangxinjie@13701275907 wangxinjie@13701275907 [email protected]
© copyright Wang Xinjie 2008
60606060分钟课程目标
认识一些认识一些认识一些认识一些ISMSISMSISMSISMS标准标准标准标准
沟通一些沟通一些沟通一些沟通一些ISMSISMSISMSISMS情况情况情况情况
共享一些共享一些共享一些共享一些ISMSISMSISMSISMS经验经验经验经验
讨论一些讨论一些讨论一些讨论一些ISMSISMSISMSISMS问题问题问题问题
© copyright Wang Xinjie 2008
=
© copyright Wang Xinjie 2008
认识信息安全管理体系(ISMSISMSISMSISMS)
Information Security Management System-ISMSInformation Security Management System-ISMSInformation Security Management System-ISMSInformation Security Management System-ISMS
信息安全管理体系
基于国际标准ISO/IEC27001ISO/IEC27001ISO/IEC27001ISO/IEC27001:信息安全管理体系要求;
是综合信息安全管理和技术手段,保障组织信息安全的一种
方法;
ISO/IEC27001ISO/IEC27001ISO/IEC27001ISO/IEC27001认证正在被全球越来越多的组织所采用;
ISMSISMSISMSISMS是管理体系(MSMSMSMS)家族的一个成员。
© copyright Wang Xinjie 2008
当前管理体系(MSMSMSMS)家族
ISO9000 质量管理体系
ISO14000 环境管理体系
OHSAS 职业健康安全管理体系
ISO/IEC27000 信息安全管理体系
ISO/IEC20000 服务管理体系
ISO/TS16949 汽车工业质量管理体系
IECQ QC 080000 有害物质过程管理体系
管理体系Management
System
© copyright Wang Xinjie 20084987498749874987 Absolute Total Absolute Total Absolute Total Absolute Total 3 3 3 3
VietnamVietnamVietnamVietnam 11 11 11 11 IcelandIcelandIcelandIceland
4997 4997 4997 4997 Relative Total Relative Total Relative Total Relative Total 3 3 3 3 PortugalPortugalPortugalPortugal 14 14 14 14 UAE UAE UAE UAE
1 1 1 1 UruguayUruguayUruguayUruguay 3 3 3 3
PeruPeruPeruPeru 15 15 15 15 TurkeyTurkeyTurkeyTurkey
1 1 1 1 UkraineUkraineUkraineUkraine 3 3 3 3
MacauMacauMacauMacau 16 16 16 16 RomaniaRomaniaRomaniaRomania
1 1 1 1 New ZealandNew ZealandNew ZealandNew Zealand 3 3 3 3 ChileChileChileChile 17 17 17 17 ThailandThailandThailandThailand
1 1 1 1 MoldovaMoldovaMoldovaMoldova 4 4 4 4
SwitzerlandSwitzerlandSwitzerlandSwitzerland 20 20 20 20 MexicoMexicoMexicoMexico
1 1 1 1 MacedoniaMacedoniaMacedoniaMacedonia 4 4 4 4 Sri LankaSri LankaSri LankaSri Lanka 20 20 20 20 BrazilBrazilBrazilBrazil
1 1 1 1 LuxembourgLuxembourgLuxembourgLuxembourg 4 4 4 4
NorwayNorwayNorwayNorway 26 26 26 26 SpainSpainSpainSpain
1 1 1 1 LithuaniaLithuaniaLithuaniaLithuania 4 4 4 4
KuwaitKuwaitKuwaitKuwait 26 26 26 26 MalaysiaMalaysiaMalaysiaMalaysia
1 1 1 1 LebanonLebanonLebanonLebanon 4 4 4 4 IndonesiaIndonesiaIndonesiaIndonesia 26 26 26 26 IrelandIrelandIrelandIreland
1 1 1 1 KyrgyzstanKyrgyzstanKyrgyzstanKyrgyzstan 4 4 4 4
BahrainBahrainBahrainBahrain 26 26 26 26 AustriaAustriaAustriaAustria
1 1 1 1 KazakhstanKazakhstanKazakhstanKazakhstan 5 5 5 5
South AfricaSouth AfricaSouth AfricaSouth Africa 28 28 28 28 AustraliaAustraliaAustraliaAustralia
1 1 1 1 IranIranIranIran 5 5 5 5
GreeceGreeceGreeceGreece 36 36 36 36 PolandPolandPolandPoland
1 1 1 1 EgyptEgyptEgyptEgypt 5 5 5 5
CroatiaCroatiaCroatiaCroatia 38 38 38 38 Hong KongHong KongHong KongHong Kong
1 1 1 1 BelgiumBelgiumBelgiumBelgium 6 6 6 6 SlovakiaSlovakiaSlovakiaSlovakia 54 54 54 54 ItalyItalyItalyItaly
1 1 1 1 BangladeshBangladeshBangladeshBangladesh 7 7 7 7 SwedenSwedenSwedenSweden 66 66 66 66 Czech Republic Czech Republic Czech Republic Czech Republic
1 1 1 1 ArmeniaArmeniaArmeniaArmenia 7 7 7 7
SloveniaSloveniaSloveniaSlovenia 71 71 71 71 KoreaKoreaKoreaKorea
2 2 2 2 YemenYemenYemenYemen 7 7 7 7 ColombiaColombiaColombiaColombia 74 74 74 74 HungaryHungaryHungaryHungary
2 2 2 2 QatarQatarQatarQatar 9 9 9 9
FranceFranceFranceFrance 82 82 82 82 USAUSAUSAUSA
2 2 2 2 OmanOmanOmanOman 10 10 10 10 RussianFederatioRussianFederatioRussianFederatioRussianFederatio
nnnn 108 108 108 108 GermanyGermanyGermanyGermany
2 2 2 2 MoroccoMoroccoMoroccoMorocco 10 10 10 10
PakistanPakistanPakistanPakistan 174 174 174 174 ChinaChinaChinaChina
2 2 2 2 Isle of ManIsle of ManIsle of ManIsle of Man 10 10 10 10
Saudi ArabiaSaudi ArabiaSaudi ArabiaSaudi Arabia 202 202 202 202 TaiwanTaiwanTaiwanTaiwan
2 2 2 2 GibraltarGibraltarGibraltarGibraltar 10 10 10 10 PhilippinesPhilippinesPhilippinesPhilippines 368 368 368 368 UKUKUKUK
2 2 2 2 CanadaCanadaCanadaCanada 11 11 11 11 SingaporeSingaporeSingaporeSingapore 433 433 433 433 IndiaIndiaIndiaIndia
2 2 2 2 BulgariaBulgariaBulgariaBulgaria 11 11 11 11 NetherlandsNetherlandsNetherlandsNetherlands 2863286328632863**** JapanJapanJapanJapan
截至2008年11月
全球通过27001认证的情况
(不完全统计)
© copyright Wang Xinjie 2008
主要内容
1.1. GB/T22080 GB/T22080的用途的用途
2.2. GB/T22080 GB/T22080的产生背景的产生背景
3.3. GB/T22080 GB/T22080的主要内容的主要内容
4.4. GB/T22080 GB/T22080的发展的发展
© copyright Wang Xinjie 2008
1.GB/T220801.GB/T22080的用途的用途
2008-10-072008-10-072008-10-072008-10-07右:ISO/IEC JTC1/SC27/WG1ISO/IEC JTC1/SC27/WG1ISO/IEC JTC1/SC27/WG1ISO/IEC JTC1/SC27/WG1 召集人Edward HumphreysEdward HumphreysEdward HumphreysEdward Humphreys
27001在27000家族中的地位
支持27001270012700127001的指南
认可要求和审核指南
特定行业要求和指南
© copyright Wang Xinjie 2008
1.GB/T220801.GB/T22080的用途的用途
27001在27000家族中的地位
2005.06.152005.06.152005.06.152005.06.15发布信息安全管理使用规则ISO/IEC27002ISO/IEC27002ISO/IEC27002ISO/IEC270023333
2005.10.152005.10.152005.10.152005.10.15发布ISMSISMSISMSISMS要求ISO/IEC27001ISO/IEC27001ISO/IEC27001ISO/IEC270012222
序号 ISOISOISOISO////IECIECIECIEC标准号 标准名称 当前状态
1111 ISO/IEC27000ISO/IEC27000ISO/IEC27000ISO/IEC27000 ISMSISMSISMSISMS概述和词汇 制定中
4444 ISO/IEC27003ISO/IEC27003ISO/IEC27003ISO/IEC27003 ISMSISMSISMSISMS实施指南 制定中
5555 ISO/IEC27004ISO/IEC27004ISO/IEC27004ISO/IEC27004 ISMSISMSISMSISMS测量 制定中
6666 ISO/IEC27005ISO/IEC27005ISO/IEC27005ISO/IEC27005 信息安全风险管理 2008.06.152008.06.152008.06.152008.06.15发布
8888 ISO/IISO/IISO/IISO/IEC27007EC27007EC27007EC27007 ISMSISMSISMSISMS审核指南 制定中
7777 ISO/IEC27006ISO/IEC27006ISO/IEC27006ISO/IEC27006 ISMSISMSISMSISMS认证机构要求 2007.03.152007.03.152007.03.152007.03.15发布
© copyright Wang Xinjie 2008
1.GB/T220801.GB/T22080的用途的用途
27001在27000家族中的地位
新项目跨部门信息交换中的信息安全管理
ISO/IEC27010ISO/IEC27010ISO/IEC27010ISO/IEC2701011111111
新项目信息安全治理框架ISO/IEC27009ISO/IEC27009ISO/IEC27009ISO/IEC2700910101010
序号 ISOISOISOISO////IECIECIECIEC标准号 标准名称 当前状态
9999 ISO/IEC27008ISO/IEC27008ISO/IEC27008ISO/IEC27008 ISMSISMSISMSISMS控制措施审核指南 制定中
12121212 ISO/IEC27011ISO/IEC27011ISO/IEC27011ISO/IEC27011 通信业ISMSISMSISMSISMS 2008200820082008年发布
13131313 ISO/IEC27012ISO/IEC27012ISO/IEC27012ISO/IEC27012 金融和保险业ISMSISMSISMSISMS 制定中
14141414 ISO/IEC27013ISO/IEC27013ISO/IEC27013ISO/IEC27013 EEEE----GOVGOVGOVGOV ISMSISMSISMSISMS 新项目
15151515 ISO/IEC27014ISO/IEC27014ISO/IEC27014ISO/IEC27014 服务业ISMSISMSISMSISMS 新项目
© copyright Wang Xinjie 2008
1.GB/T220801.GB/T22080的用途的用途
27001在27000家族中的地位
制定中NetworkNetworkNetworkNetwork securitysecuritysecuritysecurityISO/IEC27033ISO/IEC27033ISO/IEC27033ISO/IEC2703318181818
制定中CyberCyberCyberCyber securitysecuritysecuritysecurityISO/IEC27032ISO/IEC27032ISO/IEC27032ISO/IEC2703217171717
序号 ISOISOISOISO////IECIECIECIEC标准号 标准名称 当前状态
16161616 ISO/IEC27031ISO/IEC27031ISO/IEC27031ISO/IEC27031 ICTICTICTICT ReadinessReadinessReadinessReadiness forforforfor BusinessBusinessBusinessBusiness ContinuityContinuityContinuityContinuity
制定中
19191919 ISO/IEC27034ISO/IEC27034ISO/IEC27034ISO/IEC27034 ApplicationApplicationApplicationApplication securitysecuritysecuritysecurity 制定中
20202020 ISO/IEC27035ISO/IEC27035ISO/IEC27035ISO/IEC27035 InformationInformationInformationInformation SecuritySecuritySecuritySecurity IncidentIncidentIncidentIncident ManagementManagementManagementManagement
制定中
注:以上5555个标准由SCSCSCSC27/27/27/27/WGWGWGWG4444负责制定
© copyright Wang Xinjie 2008
1.GB/T220801.GB/T22080的用途的用途
要求标准 指南标准
管理体系标准的类型ISO GUIDE 72:2001ISO GUIDE 72:2001ISO GUIDE 72:2001ISO GUIDE 72:2001
Type AType AType AType A
requeirements requeirements requeirements requeirements standardstandardstandardstandard
Type BType BType BType B
guidelines guidelines guidelines guidelines standardstandardstandardstandard
相关标准
Type CType CType CType C
related related related related standardstandardstandardstandard
© copyright Wang Xinjie 2008
1.GB/T220801.GB/T22080的用途的用途
GB/T22080
为建立、实施、运行、监视、评审、保持和改进ISMS提供模型
基于过程方法的PDCA模型
为文件化的ISMS规定了要求
本标准可被内部和外部相关方用于一致性评估
27001认证(第三方认证)
内部审核(第一方审核)
客户审核(第二方审核)
GB/T22080的两个用途
© copyright Wang Xinjie 2008
1.GB/T220801.GB/T22080的用途的用途
要求 要求被满足
分析改进资源管理
产品实现
管理职责
输入 输出
管理体系的持续改进
基于PDCA的管理体系模型
规划
实施检查
处置
PPPP
DDDD
AAAA
CCCC
© copyright Wang Xinjie 2008
1.GB/T220801.GB/T22080的用途的用途
ISO/IEC27001认证
从业人员从业人员从业人员从业人员认可认可认可认可
认证培训认证培训认证培训认证培训机构机构机构机构
审核员审核员审核员审核员
国际互认国际互认国际互认国际互认双边互认双边互认双边互认双边互认多边互认多边互认多边互认多边互认
国家行政国家行政国家行政国家行政管理机构管理机构管理机构管理机构
认证认可条例认证认可条例认证认可条例认证认可条例
ISOISOISOISO/IEC17021/IEC17021/IEC17021/IEC17021ISO/IEC17024ISO/IEC17024ISO/IEC17024ISO/IEC17024
27001270012700127001认证证书认证证书认证证书认证证书
ISO/IEC19011ISO/IEC19011ISO/IEC19011ISO/IEC19011认证认证认证认证机构机构机构机构
申请认证申请认证申请认证申请认证组织组织组织组织
认证咨询认证咨询认证咨询认证咨询机构机构机构机构
从业机构从业机构从业机构从业机构认可认可认可认可
咨询师咨询师咨询师咨询师
© copyright Wang Xinjie 2008
主要内容
1.1.1.1.1.1.1.1. GB/T22080GB/T22080的用途的用途
2.2. GB/T22080 GB/T22080的产生背景的产生背景
3.3. GB/T22080 GB/T22080的主要内容的主要内容
4.4. GB/T22080 GB/T22080的发展的发展
© copyright Wang Xinjie 2008
2.GB/T220802.GB/T22080的产生背景的产生背景
上世纪90年代末,信息安全问题开始从军事、国防领域向社会各个领域延伸和渗透
各种类型的网络与信息安全产品应运而生
产品成为许多用户寻求解决信息安全问题的主要途径
信息技术的迅猛发展,使得信息安全问题呈现广泛化、多样性、复杂、繁琐等特点
网络与信息安全产品的局限性越来越明显
管理问题在信息安全保障中越来越突出
© copyright Wang Xinjie 2008
2.GB/T220802.GB/T22080的产生背景的产生背景
administeradministrationAdministrator
Governance
managemanagement
manager
18181818世纪工业革命
(1700'S)
管理康熙19年(1680)
“管” “理”
中国古代春秋战国
讨论:管理和技术的辩证关系
© copyright Wang Xinjie 2008
2.GB/T220802.GB/T22080的产生背景的产生背景
Code of practiceCode of practiceCode of practiceCode of practice英国DTIDTIDTIDTI
BS 7799-Part1BS 7799-Part1BS 7799-Part1BS 7799-Part1
1993.91993.91993.91993.9
英国BSIBSIBSIBSI1995.21995.21995.21995.2
BS 7799-Part2BS 7799-Part2BS 7799-Part2BS 7799-Part2
1998.21998.21998.21998.2
BS 7799-1:1999BS 7799-1:1999BS 7799-1:1999BS 7799-1:19991999.41999.41999.41999.4
ISO/IEC JTC1/SC27ISO/IEC JTC1/SC27ISO/IEC JTC1/SC27ISO/IEC JTC1/SC272000.122000.122000.122000.12
++++
BS 7799-2:1999BS 7799-2:1999BS 7799-2:1999BS 7799-2:1999
ISO 17799ISO 17799ISO 17799ISO 17799:2000:2000:2000:2000
BS7799 Part 2BS7799 Part 2BS7799 Part 2BS7799 Part 2:2002200220022002
2002.92002.92002.92002.9
ISO 27002ISO 27002ISO 27002ISO 27002:2005:2005:2005:2005
ISO27001ISO27001ISO27001ISO27001:2005200520052005
2005.10.152005.10.152005.10.152005.10.152005.6.152005.6.152005.6.152005.6.15
GB/T22081GB/T22081GB/T22081GB/T22081-2008-2008-2008-2008
GB/T22080GB/T22080GB/T22080GB/T22080-2008-2008-2008-2008
2008.6.192008.6.192008.6.192008.6.192008.6.192008.6.192008.6.192008.6.19
2008200820082008
ISO/IEC JTC1/SC27ISO/IEC JTC1/SC27ISO/IEC JTC1/SC27ISO/IEC JTC1/SC27
TC260TC260TC260TC260
2005200520052005
© copyright Wang Xinjie 2008
主要内容
1.1.1.1.1.1.1.1. GB/T22080GB/T22080的用途的用途
2.2. GB/T22080 GB/T22080的产生背景的产生背景
3.3. GB/T22080 GB/T22080的主要内容的主要内容
4.4. GB/T22080 GB/T22080的发展的发展
© copyright Wang Xinjie 2008
3.GB/T220803.GB/T22080的主要内容的主要内容
相关方
受控的信息安全
信息安全要求和期望
相关方
检查CheckCheckCheckCheck
建立ISMSISMSISMSISMS
实施和运行ISMSISMSISMSISMS
保持和改进ISMSISMSISMSISMS
监视和评审ISMSISMSISMSISMS
规划PlanPlanPlanPlan
实施DoDoDoDo
处置ActActActAct
图1 1 1 1 应用于ISMSISMSISMSISMS过程的PDCAPDCAPDCAPDCA模型
© copyright Wang Xinjie 2008
3.GB/T220803.GB/T22080的主要内容的主要内容
PDCA各阶段 内容 对应标准条款
P-规划
建立ISMS
建立与管理风险和改进信息安全有关的ISMS
方针、目标、过程和程序,以提供与组织整
体方针和目标相一致的结果。
4.1 4.2.1 4.3 5
D-实施
实施和运行
ISMS
实施和运行ISMS方针、控制措施、过程和程
序。 4.2.2
C-检查
监视和评审
ISMS
对照ISMS方针、目标和实践经验,评估并在
适当时,测量过程的执行情况,并将结果报
告管理者以供评审。
4.2.3 6 7
A-处置
保持和改进
ISMS
基于ISMS内部审核和管理评审的结果或者其
他相关信息,采取纠正和预防措施,以持续
改进ISMS。
4.2.4 8
© copyright Wang Xinjie 2008
3.GB/T220803.GB/T22080的主要内容的主要内容
13339合计
103符合性A.15
51业务连续性管理A.14
52信息安全事故管理A.13
166信息系统获取、开发和维护A.12
257访问控制A.11
3210通信和操作管理A.10
132物理和环境安全A.9
93人力资源安全A.8
52资产管理A.7
112信息安全组织A.6
21安全方针A.5
控制措施控制目标控制措施域附录A
© copyright Wang Xinjie 2008
3.GB/T220803.GB/T22080的主要内容的主要内容
信息安全方面规定做什么并形成文件
按照文件去做
检查所做的是否符合文件规定
保持和改进
规划
实施检查
处置
PPPP
DDDD
AAAA
CCCC
如何实施GB/T22080 ?
© copyright Wang Xinjie 2008
主要内容
1.1.1.1.1.1.1.1. GB/T22080GB/T22080的用途的用途
2.2. GB/T22080 GB/T22080的产生背景的产生背景
3.3. GB/T22080GB/T22080的主要内容的主要内容
4.4. GB/T22080GB/T22080的发展的发展
© copyright Wang Xinjie 2008
4.GB/T220804.GB/T22080的发展的发展
按照ISO规定,一个国际标准的修订周期通常为5年
GB/T22080 GB/T22080 GB/T22080 GB/T22080等同采用ISO/IEC27001ISO/IEC27001ISO/IEC27001ISO/IEC27001
GB/T22080GB/T22080GB/T22080GB/T22080将随着ISO/IEC27001ISO/IEC27001ISO/IEC27001ISO/IEC27001的修订而修订
2008.10.5~10在Cyprus召开了第37届SC27/WG1工作组会议
就美国提案召开了““““27001&2700227001&2700227001&2700227001&27002修订战略””””专题会议
决议修订ISO/IEC27001&27002ISO/IEC27001&27002ISO/IEC27001&27002ISO/IEC27001&27002,计划2011201120112011年发布下一个版本
© copyright Wang Xinjie 2008
Homework
请结合实际工作和本次信息安全国家标准学习,写一篇论文。
要求:字数不限,培训班结束后1111周内完成,交TC260TC260TC260TC260。
题目:论实施GB/T22080GB/T22080GB/T22080GB/T22080与我国信息安全等级保护、风险评估等
工作的关系
感谢大家耐心听完课程!感谢大家耐心听完课程!
任何任何ISMSISMSISMSISMSISMSISMSISMSISMS问题,欢迎联系:问题,欢迎联系:
王新杰王新杰
wangxinjiewangxinjiewangxinjiewangxinjiewangxinjiewangxinjiewangxinjiewangxinjie@@@@@@@@sinasinasinasinasinasinasinasina........comcomcomcomcomcomcomcom1370127590713701275907137012759071370127590713701275907137012759071370127590713701275907