ISO27001华为内部讲稿VIP免费

HUAWEITECHNOLOGIESCO.,LTD.www.huawei.comHuaweiConfidentialSecurityLevel:内部公开马毅900034542009年5月5日ISO/IEC27001简介12/20/2024第一页，共九十三页。HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential目录背景介绍ISO/IEC17799ISO/IEC27001重点内容重点章节认证流程17799&27001我司业务与ISO/IEC27001Page2第二页，共九十三页。HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidentialBS7799BS7799是英国标准协会（BritishStandardsInstitute，BSI）针对信息安全管理而制定的一个标准。1995年，BS7799-1:1995《信息安全管理实施细则》首次出版，它提供了一套综合性的、由信息安全最佳惯例构成的实施细则，目的是为确定各类信息系统通用控制提供唯一的参考基准。1998年，BS7799-2:1998《信息安全管理体系规范》公布，这是对BS7799-1的有效补充，它规定了信息安全管理体系的要求和对信息安全控制的要求，是一个组织信息安全管理体系评估的基础，可以作为认证的依据。1999年4月，BS7799的两个部分被重新修订和扩展，形成了一个完整版的BS7799:1999。新版本充分考虑了信息处理技术应用的最新发展，特别是在网络和通信领域。除了涵盖以前版本所有内容之外，新版本还补充了很多新的控制，包括电子商务、移动计算、远程工作等。Page3第三页，共九十三页。HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidentialISO/IEC27002(17799)2000年12月，国际标准化组织ISO/IECJTC1/SC27工作组认可BS7799-1:1999，正式将其转化为国际标准，即所颁布的ISO/IEC17799:2000《信息技术——信息安全管理实施细则》。2005年6月，ISO/IEC17799:2000经过改版，形成了新的ISO/IEC17799:2005，新版本较老版本无论是组织编排还是内容完整性上都有了很大增强和提升。ISO/IEC17799:2005已更新并在2007年7月1日正式发布为ISO/IEC27002:2005，这次更新只在于标准上的号码,内容并没有改变。Page4第四页，共九十三页。HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidentialISO/IEC270012002年，BSI对BS7799:2-1999进行了重新修订，正式引入PDCA过程模型，2004年9月5日，BS7799-2:2002正式发布。2005年，BS7799-2:2002终于被ISO组织所采纳，于同年10月推出了ISO/IEC27001:2005。Page5第五页，共九十三页。HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential对应国内标准大陆2005年6月15日，我国发布了国家标准《信息安全管理实用规则》(GB/T19716-2005)。该标准修改采用了ISO/IEC17799:2000标准。2008年6月19日，GB/T19716-2005作废，改为GB/T22081-2008。台湾省在台湾，BS7799-1:1999被引用为CNS17799，而BS7799-2:2002则被引用为CNS17800。Page6第六页，共九十三页。HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential目录背景介绍ISO/IEC17799ISO/IEC27001重点内容重点章节认证流程17799&27001我司业务与ISO/IEC27001Page7第七页，共九十三页。HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential17799标准内容ISO/IEC17799:2005版包括11个方面、39个控制目标和133项控制措施1)安全方针7)访问控制2)信息安全组织8)信息系统获取、开发和维护3)资产管理9)信息安全事故管理4)人力资源安全10)业务连续性管理5)物理和环境安全11)符合性6)通信和操作管理注：详细内容见附录二Page8第八页，共九十三页。HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential17799:2000Vs17799:2005ISO/IEC17799:2005版的内容与2000版相比，新增加了17项控制，在客户往来安全、资产属主定义、人员离职管理、第三方服务交付管理、漏洞管理、取证等方面对原标准做了全新阐释或补充。去掉了原标准中的9项控制，这些控制或者是不再适应信息通信技术的发展，或者是已经并入到新标准的其他控制内容中了。Page9第九页，共九十三页。HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential17799的适用性本实用规则可认为是组织开发其详细指南的起点。对一个组织来说，本实用规则中的控制措施和指南并非全部适用，此外，很可能还需要本标准中未包括的另外的控制措施和指南。为便于审核员和业务伙伴进行符合性检查...