安全体系认证ISO27001和ISO27018.ppt

https:/安全体系认证：ISO27001和ISO27018ISMS information securitymanagement system背景介绍1ISO27001内容2PDCA和ISMS的结合3ISO270184目录ContentsISO27001和ISO27018区别和联系51背景介绍背景介绍稍微有点规模的公司很注重制度和流程，岗位职责分工明细，那么这些安全管理制度，就是你所能掌控的游戏规则，几个人的信息安全影响着全部人的生存之道。信息安全管理体系背景信息安全管理体系背景信息作为组织的重要资产，需要得到妥善保护。但随着信息技术的高速发展，特别是Internet的问世及网上交易的启用，许多信息安全的问题也纷纷出现：系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。安全问题所带来的损失远大于交易的帐面损失，它可分为三类，包括直接损失、间接损失和法律损失：一.直接损失：丢失订单，减少直接收入，损失生产率；二.间接损失：恢复成本，竞争力受损，品牌、声誉受损，负面的公众影响，失去未来的业务机会，影响股票市值或政治声誉；三.法律损失：法律、法规的制裁，带来相关联的诉讼或追索等。所以，在享用现代信息系统带来的快捷、方便的同时，如何充分防范信息的损坏和泄露，已成为当前企业迫切需要解决的问题。信息安全信息安全可能带来的损失信息安全管理体系信息安全管理体系的标准：的标准：ISO27001发展历史国际标准 目前目前，在信息安全管理体系，在信息安全管理体系方面，方面，ISO/IEC27001:2005-信息信息安全管理体系标准已经成为世界安全管理体系标准已经成为世界上应用最广泛与典型的信息安全上应用最广泛与典型的信息安全管理标准。管理标准。ISO/IEC27001是英国是英国标准标准BS7799转换而转换而成成 BS7799标准于标准于1993年由英国贸易工业部立项，于年由英国贸易工业部立项，于1995年英国首次出版年英国首次出版BS 7799-1：1995信息安全管理实施细则信息安全管理实施细则2000年年12月，月，BS7799-1：1999信息安全管理实施细则通过了国际标准化组织信息安全管理实施细则通过了国际标准化组织ISO的认可，正式成为国际标准的认可，正式成为国际标准-ISO/IEC17799：2000信息技信息技术术-信息安全管理实施细则信息安全管理实施细则2002年年9月月5日，日，BS7799-2:2002正式发布，正式发布，2002版标准主要在结构上做了修订，引入了版标准主要在结构上做了修订，引入了PDCA(Plan-Do-Check-Act)的过程管理模式，建立了与的过程管理模式，建立了与ISO 9001、ISO 14001和和OHSAS 18000等管理体系标准相同的结构和运行模式。等管理体系标准相同的结构和运行模式。2005年，年，BS 7799-2:2002正式转换为国际标准正式转换为国际标准ISO/IEC27001：2005。ISO27001标准的两个关键点：标准的两个关键点：ISMS文件和文件和PDCA方法方法 ISO27001PDCA方法ISMS文件2ISO27001内容内容ISMS文件和文件和PDCA方法方法说明说明信息安全管理体系（信息安全管理体系（ISMSinformation securitymanagement system)必须的必须的ISMS文件：文件：1、ISMS方针文件，包括方针文件，包括ISMS的范围；的范围；2、风险评估程序和风险处理程序；、风险评估程序和风险处理程序；3、文件控制程序和记录控制程序；、文件控制程序和记录控制程序；4、内部审核程序和管理评审程序（尽管、内部审核程序和管理评审程序（尽管没没 有有强制）；强制）；5、纠正措施和预防措施控制程序；、纠正措施和预防措施控制程序；6、控制措施有效性的测量程序；、控制措施有效性的测量程序；7、适用性声明、适用性声明必须的必须的ISMS文件文件ISMS文件的益处文件的益处234561改善总体安全改善总体安全管理并管理并减少减少安全安全事件的影响事件的影响便利持续便利持续改进改进提高盈利能力提高盈利能力增强顾客信心和满意增强顾客信心和满意改善对安全改善对安全方针方针及及要求的符合性要求的符合性提供竞争优势提供竞争优势PDCA（戴明环）方法（戴明环）方法AA（Action）-行动，对总结检行动，对总结检查的结果进行处理，查的结果进行处理，成功的经验加以肯定并适当推成功的经验加以肯定并适当推广、标准化；失败的教广、标准化；失败的教训加以总结，以免重现，未解训加以总结，以免重现，未解决的问题放到下一个决的问题放到下一个PDCA循环。循环。PP（Plan）-计划，确定方针和计划，确定方针和目标，确定活动计划目标，确定活动计划CC（Check）-检查，总结执行检查，总结执行计划的结果，注意效计划的结果，注意效果，找出问题果，找出问题DD（Do）-执行，实地去做，执行，实地去做，实现计划中的内容实现计划中的内容PDCA（Plan、Do、Check 和和Act）是管理学惯用的一个过程模型，最早是由休哈特（）是管理学惯用的一个过程模型，最早是由休哈特（WalterShewhart）于）于19 世纪世纪30 年代构想的，后来被戴明（年代构想的，后来被戴明（Edwards Deming）采纳、宣传并运用于持续改善产品质量的过程当中。）采纳、宣传并运用于持续改善产品质量的过程当中。PDCAABPDCA循环作为质量管理的基本循环作为质量管理的基本方法，方法，都有自己的都有自己的PDCA循环，层层循环循环，层层循环，通，通过过循环把企业上下或工程项目的各项工作有机地联系起来，彼此协同，互相循环把企业上下或工程项目的各项工作有机地联系起来，彼此协同，互相促进。以上特点。促进。以上特点。PDCA循环就像爬楼梯一样，一个循环运转结束，生产的质量就会提高循环就像爬楼梯一样，一个循环运转结束，生产的质量就会提高一步，然后再制定下一个循环，再运转、再提高，不断前进，不断提一步，然后再制定下一个循环，再运转、再提高，不断前进，不断提高，是一个螺旋式上升的过程。高，是一个螺旋式上升的过程。3PDCA和ISMS的结合理解业务信息安全要求以及建立信息安全方针和目标的需求在管理组织的整体业务风险中实施并运作控制监控并评审ISMS的绩效及有效性在客观测量基础上持续改进PDCA和ISMS的结合单击此处编辑您要的内容，建议您在展示时采用微软雅黑字体，本模版所有图形线条及其相应素材均可自由编辑、改色、替换。单击此处编辑您要的内容，建议您在展示时采用微软雅黑字体，本模版所有图形线条及其相应素材均可自由编辑、改色、替换。PDCA和ISMS的结合 建立ISMS(PLAN)定义ISMS 的范围定义ISMS 策略定义系统的风险评估途径识别风险,评估风险,识别并评价风险处理措施,选择用于风险处理的控制目标和控制,准备适用性声明（SoA）取得管理层对残留风险的承认，并授权实施和操作ISMS监控和评审ISMS(CHECK)执行监视程序和控制,对ISMS 的效力进行定期复审,复审残留风险和可接受风险的水平,按照预定计划进行内部ISMS 审计,定期对ISMS 进行管理复审,记录活动和事件可能对ISMS 的效力或执行力度造成影响实施和运行ISMS(DO)制定风险处理计划,实施风险处理计划,实施所选的控制措施以满足控制目标,实施培训和意识程序,管理操作,管理资源,实施能够激发安全事件检测和响应的程序和控制保持和改进ISMS(ACT)对ISMS 实施可识别的改进采取恰当的纠正和预防措施,与所有利益伙伴沟通,确保改进成果满足其预期目标管理承诺321678459为为ISMS的发展、的发展、实施、运作实施、运作和维持提供充足的资源和维持提供充足的资源确定接受风险的准则和可接受确定接受风险的准则和可接受的风险等级的风险等级确保确保ISMS内部审核的实施内部审核的实施进行进行ISMS管理评审管理评审向本组织宣传达到信息安全目向本组织宣传达到信息安全目标和符合信息安全方针的重要标和符合信息安全方针的重要性性建立信息安全方针建立信息安全方针为信息安全定岗并建立岗位职为信息安全定岗并建立岗位职责责确保信息安全目标和计划的建确保信息安全目标和计划的建立立管理本组织的法律责任和持续改进的本组织的法律责任和持续改进的需求需求管理者应通过如下所示向ISMS的建立、实施、运作、监管、审核、维持和改进提供承诺的证据评审和改进组织应通过信息安全方针、安全目标、审核结果、监督事件的分析、纠正和预防措施以及管理评审来持续改进ISMS的有效性评审改进整合管理相辅相成期管理评审，以确保适宜性、充分性和有效性评审应包括评价ISMS的改进机会和变更需要，包括安全 方针和安全目标；评审结果应清楚地写入文件，保持评审的记录11大控制域信息资产保密性完整性可用性安全方针信息安全组织资产管理人力资源安全物理和环境安全通信与操作安全信息安全事件管理信息系统的获取开发和维护访问控制业务持续性管理符合性4ISO27018ISO27018产生背景 个人个人数据泄露的潜在风险已成为国际首要议程。大量重数据泄露的潜在风险已成为国际首要议程。大量重 大信息安全事件已将人们的注意力引大信息安全事件已将人们的注意力引向如何保护自己的向如何保护自己的 个人详细信息。如果审视一系列安全事件以及受影响的个人详细信息。如果审视一系列安全事件以及受影响的 人员的数量，您就会清人员的数量，您就会清晰了解这一问题的严重程度：涉晰了解这一问题的严重程度：涉 及超过及超过2100万名政府雇员的美国人事管理局万名政府雇员的美国人事管理局(US Office of Personnel Management)的数据被窃取；针对英国电信的数据被窃取；针对英国电信 运营商维尔豪思运营商维尔豪思(Carphone Warehouse)的攻击使其的攻击使其200 多万客户受到影响。这些只是多万客户受到影响。这些只是2015年一个季度所发生攻年一个季度所发生攻 击事件的冰山一角。实际上根据泄露等级击事件的冰山一角。实际上根据泄露等级指数（指数（Breach Level Index,BLI）统计，）统计，2015年年 7.075亿数据被亿数据被泄露。泄露。ISO/IEC 27001一直沿用至今。为了处理云计算技术所一直沿用至今。为了处理云计算技术所 引发的问题，引发的问题，ISO于于2014年秋季创立了一年秋季创立了一项新的标准项新的标准 ISO/IEC 27018。云服务供应商要采用这一标准以确保。云服务供应商要采用这一标准以确保 客户数据安全，让客户能够安客户数据安全，让客户能够安枕无忧。这一新标准是对枕无忧。这一新标准是对 ISO/IEC 27001和和ISO/IEC 27002标准的扩展，为云服标准的扩展，为云服 务供应商如何处理个务供应商如何处理个人可识别信息人可识别信息(PII)的企业提供了指的企业提供了指 南。南。ISO/IEC 27018标准 最关键最关键的定义是的定义是PII（个人可识别（个人可识别信息）本身信息）本身PII被定义为被定义为(a)可被用于识别与此类信息相关的可被用于识别与此类信息相关的PII当当事事 人，或者人，或者(b)可直接或间接与可直接或间接与PII当事人关联的任何当事人关联的任何信息。信息。当然，这引发了另一个问题当然，这引发了另一个问题如何定义如何定义PII当当事人？这一事人？这一 问题更复杂，因为在一些国家，这一实问题更复杂，因为在一些国家，这一实体指的是数据主体指的是数据主 体。同样，对于体。同样，对于PII控制者（有时称控制者（有时称为数据控制者）的定为数据控制者）的定 义也存在一些模糊性，不过，义也存在一些模糊性，不过，核心的一点在于核心的一点在于PII控制者控制者 是数据处理目的的确定者是数据处理目的的确定者。ISO/IEC 27018包含什么？01030402ISO/IEC 27018能够确保云服务供应 商在处理PII方面有着适当的程序。它还可以帮助制定更强的云服务协 议。该标准就PII的问题，规定了 CSPs如何培训员工，需要什么文件 程序，并提供了相应的指导方针。ISO/IEC 27018旨在为云服务客户 提供真正的透明度，以便客户能够 清楚了解云服务供应商商在保护和 保护个人数据方面所做的事情。帮助公有云服务供应商在作为 PII处 理者开展业务时承担必要的责任，无论此类责任是否直接或通过合同 明确应 使公有云PII处理者在相关事务中保 持透明，从而让客户可以选择经过良 好治理的，基于云的PII 处理服务 协助客户和公有云PII处理者达成合 同协议 为云服务客户提供行使审核和合规权 利及责任的机制。单独的个人云服 务客户审核托管在多方虚拟化服务器（云）环境中的数据可能在技术上不 切实际，同时可能增大物理及逻辑的 网络安全风险 是否有企业必须遵守的现有法律和 法规要求，包括任何行业特定规则 和法规 遵守ISO/IEC 27018是否会为企业招 致更多风险 采用此标准是否会与企业的政策和企 业文化背道而驰这一标准包含若干指南，根据ISO 定义，这些指南旨在：包含的目标企业须考虑到 下列三个方面：在存储和任何可移动的物理介质中，对PII进行加密的要求 一旦数据不再需要，在指定的时间内 删除PII 符合云服务协议中明文规定的目的 时，才进行PII处理 如法规所明文规定，在处理PII原则的 权利问题上，可检查和纠正PII扩展的安全控制包括如下:ISO/IEC 27018有助于将行业的关注焦点集中于提供更大的有助于将行业的关注焦点集中于提供更大的 安全性，从而有效保护安全性，从而有效保护PII。这一标准已经获得一些主要。这一标准已经获得一些主要 的云服的云服务供应商的支持：务供应商的支持：Microsoft Azure,IBM Softlayer,Google Apps for Work,亚马逊网络服务以及亚马逊网络服务以及 Dropbox 均均 已获得已获得ISO/IEC 27018认证。认证。预计更多云服务供应商将紧预计更多云服务供应商将紧 随其后，越来越多的企业将把更多随其后，越来越多的企业将把更多的信息移至云端，以的信息移至云端，以 获得更大的技术灵活性和资源需求降低所获得更大的技术灵活性和资源需求降低所带来的优势。带来的优势。不过，随着云技术被更广泛应用，安全（尤其是不过，随着云技术被更广泛应用，安全（尤其是隐私）隐私）问题不容忽视。问题不容忽视。欧洲欧洲法规的实施将确保隐私保护所采用的新方式成为当法规的实施将确保隐私保护所采用的新方式成为当 今今的新秩序。的新秩序。ISO/IEC 27018为客户和云服务供应商等提供了一套为客户和云服务供应商等提供了一套针针 对对PII适当保护的指导方针。适当保护的指导方针。它不是国家和国际法规的替代，它不是国家和国际法规的替代，广泛采用这一标准也不广泛采用这一标准也不 意味着服务供应商自动遵循了相关法规意味着服务供应商自动遵循了相关法规要求，但是，它要求，但是，它 将成为发展道路中的重要一步。将成为发展道路中的重要一步。结论5ISO27001和ISO27018的区别和联系ISO27001和ISO27018的区别和联系关系ISO 27018是基于ISO 27002标准和ISO 27001标准的延伸。ISO27001信息安全管理体系要求ISO27018是首个专注于云中个人数据保护的国际行为准则。ISO27002信息技术安全技术信息安全管理实践规ISO 27001因为是最基础的规范，所以在进行因为是最基础的规范，所以在进行 ISO 27018之前，必须先经过基本之前，必须先经过基本的的ISO 27001认证认证基于基于ISO 27001 认证基础下，可以思考额外包含认证基础下，可以思考额外包含：ISO 27018:如果公司预计提供云端服务，相关云端维运的安全控制如果公司预计提供云端服务，相关云端维运的安全控制措施措施从市场营销的观点来看，从市场营销的观点来看，ISO 27001是可以获得一个认证，因此容易得到客户的认可是可以获得一个认证，因此容易得到客户的认可。从信息安全来看，从信息安全来看，ISO 27018更偏重于信息安全管制措施。更偏重于信息安全管制措施。