ISO培训讲稿PPT课件下载推荐.ppt
- 文档编号:14312016
- 上传时间:2022-10-22
- 格式:PPT
- 页数:92
- 大小:2.34MB
ISO培训讲稿PPT课件下载推荐.ppt
《ISO培训讲稿PPT课件下载推荐.ppt》由会员分享,可在线阅读,更多相关《ISO培训讲稿PPT课件下载推荐.ppt(92页珍藏版)》请在冰豆网上搜索。
,Page4,ISO/IEC27002(17799),2000年12月,国际标准化组织ISO/IECJTC1/SC27工作组认可BS7799-1:
1999,正式将其转化为国际标准,即所颁布的ISO/IEC17799:
2000信息技术信息安全管理实施细则。
2005年6月,ISO/IEC17799:
2000经过改版,形成了新的ISO/IEC17799:
2005,新版本较老版本无论是组织编排还是内容完整性上都有了很大增强和提升。
ISO/IEC17799:
2005已更新并在2007年7月1日正式发布为ISO/IEC27002:
2005,这次更新只在于标准上的号码,内容并没有改变。
Page5,ISO/IEC27001,2002年,BSI对BS7799:
2-1999进行了重新修订,正式引入PDCA过程模型,2004年9月5日,BS7799-2:
2002正式发布。
2005年,BS7799-2:
2002终于被ISO组织所采纳,于同年10月推出了ISO/IEC27001:
2005。
Page6,对应国内标准,大陆2005年6月15日,我国发布了国家标准信息安全管理实用规则(GB/T19716-2005)。
该标准修改采用了ISO/IEC17799:
2000标准。
2008年6月19日,GB/T19716-2005作废,改为GB/T22081-2008。
台湾省在台湾,BS7799-1:
1999被引用为CNS17799,而BS7799-2:
2002则被引用为CNS17800。
Page7,目录,背景介绍ISO/IEC17799ISO/IEC27001重点内容重点章节认证流程17799&
27001我司业务与ISO/IEC27001,Page8,17799标准内容,ISO/IEC17799:
2005版包括11个方面、39个控制目标和133项控制措施1)安全方针7)访问控制2)信息安全组织8)信息系统获取、开发和维护3)资产管理9)信息安全事故管理4)人力资源安全10)业务连续性管理5)物理和环境安全11)符合性6)通信和操作管理注:
详细内容见附录二,Page9,17799:
2000Vs17799:
2005,ISO/IEC17799:
2005版的内容与2000版相比,新增加了17项控制,在客户往来安全、资产属主定义、人员离职管理、第三方服务交付管理、漏洞管理、取证等方面对原标准做了全新阐释或补充。
去掉了原标准中的9项控制,这些控制或者是不再适应信息通信技术的发展,或者是已经并入到新标准的其他控制内容中了。
Page10,17799的适用性,本实用规则可认为是组织开发其详细指南的起点。
对一个组织来说,本实用规则中的控制措施和指南并非全部适用,此外,很可能还需要本标准中未包括的另外的控制措施和指南。
为便于审核员和业务伙伴进行符合性检查,当开发包含另外的指南或控制措施的文件时,对本标准中条款的相互参考可能是有用的。
(引用自ISO/IEC17799:
2005中“0.8开发你自己的指南”),Page11,信息安全起点,实施细则中有些内容可能并不使用于所有组织和企业,但是有些措施可以使用于大多数的组织,他们被成为“信息安全起点”。
从法律的观点看,根据适用的法律,对某个组织重要的控制措施包括:
a)数据保护和个人信息的隐私(见15.1.4);
b)保护组织的记录(见15.1.3);
c)知识产权(见15.1.2)。
被认为是信息安全的常用惯例的控制措施包括:
a)信息安全方针文件(见5.1.1);
b)信息安全职责的分配(见6.1.3);
c)信息安全意识、教育和培训(见8.2.2);
d)应用中的正确处理(见12.2);
e)技术脆弱性管理(见12.6);
f)业务连续性管理(见14);
g)信息安全事故和改进管理(见13.2)。
这些控制措施适用于大多数组织和环境。
(引用自ISO/IEC17799:
2005中“0.6信息安全起点”),Page12,目录,背景介绍ISO/IEC17799ISO/IEC27001重点内容重点章节认证流程17799&
27001我司业务与ISO/IEC27001,Page13,ISMS(信息安全管理系统),ISO/IEC27001:
2005版通篇就在讲一件事,ISMS(信息安全管理系统)。
本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系(InformationSecurityManagementSystem,简称ISMS)提供模型。
采用ISMS应当是一个组织的一项战略性决策。
一个组织的ISMS的设计和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响,上述因素及其支持系统会不断发生变化。
按照组织的需要实施ISMS,是本标准所期望的,例如,简单的情况可采用简单的ISMS解决方案。
本标准可被内部和外部相关方用于一致性评估。
(引用自ISO/IEC27001:
2005中“0.1总则”),Page14,PDCA(戴明环),PDCA(Plan、Do、Check和Act)是管理学惯用的一个过程模型,最早是由休哈特(WalterShewhart)于19世纪30年代构想的,后来被戴明(EdwardsDeming)采纳、宣传并运用于持续改善产品质量的过程当中。
1、P(Plan)-计划,确定方针和目标,确定活动计划;
2、D(Do)-执行,实地去做,实现计划中的内容;
3、C(Check)-检查,总结执行计划的结果,注意效果,找出问题;
4、A(Action)-行动,对总结检查的结果进行处理,成功的经验加以肯定并适当推广、标准化;
失败的教训加以总结,以免重现,未解决的问题放到下一个PDCA循环。
Page15,PDCA特点,大环套小环,小环保大环,推动大循环PDCA循环作为质量管理的基本方法,不仅适用于整个工程项目,也适应于整个企业和企业内的科室、工段、班组以至个人。
各级部门根据企业的方针目标,都有自己的PDCA循环,层层循环,形成大环套小环,小环里面又套更小的环。
大环是小环的母体和依据,小环是大环的分解和保证。
各级部门的小环都围绕着企业的总目标朝着同一方向转动。
通过循环把企业上下或工程项目的各项工作有机地联系起来,彼此协同,互相促进。
以上特点。
Page16,PDCA特点(续),不断前进、不断提高PDCA循环就像爬楼梯一样,一个循环运转结束,生产的质量就会提高一步,然后再制定下一个循环,再运转、再提高,不断前进,不断提高,是一个螺旋式上升的过程。
P,D,C,A,质量水平,螺旋上升的PDCA,Page17,PDCA和ISMS的结合,Page18,与其他标准的兼容性,本标准与GB/T19001-2000及GB/T24001-1996相结合,以支持与相关管理标准一致的、整合的实施和运行。
因此,一个设计恰当的管理体系可以满足所有这些标准的要求。
表C.1说明了本标准、GB/T19001-2000(ISO9001:
2000)和GB/T24001-1996(ISO14001:
2004)的各条款之间的关系。
本标准的设计能够使一个组织将其ISMS与其它相关的管理体系要求结合或整合起来。
2005中“0.3与其它管理体系的兼容性”)注:
ISO14001:
2004环境管理体系规范及使用指南ISO9001:
2000国际性质量管理标准,Page19,与其他标准的兼容性(续),Page20,目录,背景介绍ISO/IEC17799ISO/IEC27001重点内容重点章节认证流程17799&
27001我司业务与ISO/IEC27001,Page21,重点章节,本标准的重点章节是48章。
前三章的内容结构如下所示:
引言0.1总则0.2过程方法0.3与其他管理体系的兼容性1范围1.1总则1.2应用2规范性引用文件3术语和定义,Page22,第四章信息安全管理体系,4.1总要求一个组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的ISMS。
就本标准而言,使用的过程基于图1所示的PDCA模型。
4.2建立和管理ISMS4.2.1建立ISMS(PLAN)定义ISMS的范围定义ISMS策略定义系统的风险评估途径识别风险评估风险识别并评价风险处理措施选择用于风险处理的控制目标和控制准备适用性声明(SoA)取得管理层对残留风险的承认,并授权实施和操作ISMS,P,D,C,A,Page23,第四章信息安全管理体系(续),4.2.2实施和运行ISMS(DO)制定风险处理计划实施风险处理计划实施所选的控制措施以满足控制目标实施培训和意识程序管理操作管理资源(参见5.2)实施能够激发安全事件检测和响应的程序和控制,P,D,C,A,Page24,第四章信息安全管理体系(续),4.2.3监控和评审ISMS(CHECK)执行监视程序和控制对ISMS的效力进行定期复审复审残留风险和可接受风险的水平按照预定计划进行内部ISMS审计定期对ISMS进行管理复审记录活动和事件可能对ISMS的效力或执行力度造成影响,P,D,C,A,Page25,第四章信息安全管理体系(续),4.2.4保持和改进ISMS(ACT)对ISMS实施可识别的改进采取恰当的纠正和预防措施与所有利益伙伴沟通确保改进成果满足其预期目标,P,D,C,A,Page26,第四章信息安全管理体系(续),4.3文件要求总则文件控制记录控制,ISO27001标准所要求建立的ISMS是一个文件化的体系,ISO27001认证第一阶段就是进行文件审核,文件是否完整、足够、有效,都关乎审核的成败,所以,在整个ISO27001认证项目实施过程中,逐步建立并完善文件体系非常重要。
Page27,第四章信息安全管理体系(续),ISO27001标准要求的ISMS文件体系应该是一个层次化的体系,通常是由四个层次构成的:
信息安全手册:
该手册由信息安全委员会负责制定和修改,是对信息安全管理体系框架的整体描述,以此表明确定范围内ISMS是按照ISO27001标准要求建立并运行的。
信息安全手册包含各个一级文件。
一级文件:
全组织范围内的信息安全方针,以及下属各个方面的策略方针等。
一级文件至少包括(可能不限于此):
信息安全方针风险评估报告适用性声明(SoA)二级文件:
各类程序文件。
至少包括(可能不限于此):
风险评估流程风险管理流程风险处理计划管理评审程序信息设备管理程序信息安全组织建设规定新设施管理程序内部审核程序第三方和外包管理规定信息资产管理规定工作环境安全管理规定介质处理与
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ISO 培训 讲稿