ISO27001华为内部讲稿.pptx
《ISO27001华为内部讲稿.pptx》由会员分享,可在线阅读,更多相关《ISO27001华为内部讲稿.pptx(92页珍藏版)》请在冰点文库上搜索。
HUAWEITECHNOLOGIESCO.,LTDHuaweiConfidentialSecurityLevel:
内部公开内部公开英文标题:
40-47pt副标题:
26-30pt字体颜色:
反白内部使用字体:
FrutigerNextLTMedium外部使用字体:
Arial中文标题:
35-47pt字体:
黑体副标题:
24-28pt字体颜色:
反白字体:
细黑体马毅马毅900034549000345420092009年年55月月55日日ISO/IEC27001简介简介2024/2/9HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential英文标题:
32-35pt颜色:
R153G0B0内部使用字体:
FrutigerNextLTMedium外部使用字体:
Arial中文标题:
30-32pt颜色:
R153G0B0字体:
黑体英文正文:
20-22pt子目录(2-5级):
18pt颜色:
黑色内部使用字体:
FrutigerNextLTRegular外部使用字体:
Arial中文正文:
18-20pt子目录(2-5级):
18pt颜色:
黑色字体:
细黑体配色参考方案:
建议同一页面内不超过四种颜色,以下是13组配色方案,同一页面内只选择一组使用。
(仅供参考)客户或者合作伙伴的标志放在右上角.目录目录l背景介绍背景介绍lISO/IEC17799lISO/IEC27001p重点内容p重点章节p认证流程l17799&27001l我司业务与我司业务与ISO/IEC27001Page2HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential英文标题:
32-35pt颜色:
R153G0B0内部使用字体:
FrutigerNextLTMedium外部使用字体:
Arial中文标题:
30-32pt颜色:
R153G0B0字体:
黑体英文正文:
20-22pt子目录(2-5级):
18pt颜色:
黑色内部使用字体:
FrutigerNextLTRegular外部使用字体:
Arial中文正文:
18-20pt子目录(2-5级):
18pt颜色:
黑色字体:
细黑体配色参考方案:
建议同一页面内不超过四种颜色,以下是13组配色方案,同一页面内只选择一组使用。
(仅供参考)客户或者合作伙伴的标志放在右上角.BS7799lBS7799是英国标准协会(是英国标准协会(BritishStandardsInstitute,BSI)针对信息安全管理)针对信息安全管理而制定的一个标准而制定的一个标准。
l1995年,年,BS7799-1:
1995信息安全管理实施细则信息安全管理实施细则首次出版,它提供了一套综首次出版,它提供了一套综合性的、由信息安全最佳惯例构成的实施细则,目的是为确定各类信息系统通用控合性的、由信息安全最佳惯例构成的实施细则,目的是为确定各类信息系统通用控制提供唯一的参考基准。
制提供唯一的参考基准。
l1998年,年,BS7799-2:
1998信息安全管理体系规范信息安全管理体系规范公布,这是对公布,这是对BS7799-1的有的有效补充,它规定了信息安全管理体系的要求和对信息安全控制的要求,是一个组织效补充,它规定了信息安全管理体系的要求和对信息安全控制的要求,是一个组织信息安全管理体系评估的基础,可以作为认证的依据。
信息安全管理体系评估的基础,可以作为认证的依据。
l1999年年4月,月,BS7799的两个部分被重新修订和扩展,形成了一个完整版的的两个部分被重新修订和扩展,形成了一个完整版的BS7799:
1999。
新版本充分考虑了信息处理技术应用的最新发展,特别是在网络和。
新版本充分考虑了信息处理技术应用的最新发展,特别是在网络和通信领域。
除了涵盖以前版本所有内容之外,新版本还补充了很多新的控制,包括通信领域。
除了涵盖以前版本所有内容之外,新版本还补充了很多新的控制,包括电子商务、移动计算、远程工作等。
电子商务、移动计算、远程工作等。
Page3HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential英文标题:
32-35pt颜色:
R153G0B0内部使用字体:
FrutigerNextLTMedium外部使用字体:
Arial中文标题:
30-32pt颜色:
R153G0B0字体:
黑体英文正文:
20-22pt子目录(2-5级):
18pt颜色:
黑色内部使用字体:
FrutigerNextLTRegular外部使用字体:
Arial中文正文:
18-20pt子目录(2-5级):
18pt颜色:
黑色字体:
细黑体配色参考方案:
建议同一页面内不超过四种颜色,以下是13组配色方案,同一页面内只选择一组使用。
(仅供参考)客户或者合作伙伴的标志放在右上角.ISO/IEC27002(17799)l2000年年12月,国际标准化组织月,国际标准化组织ISO/IECJTC1/SC27工作组认可工作组认可BS7799-1:
1999,正式将其转化为国际标准,即所颁布的,正式将其转化为国际标准,即所颁布的ISO/IEC17799:
2000信息技术信息技术信息安全管理实施细则信息安全管理实施细则。
l2005年年6月,月,ISO/IEC17799:
2000经过改版,形成了新的经过改版,形成了新的ISO/IEC17799:
2005,新版本较老版本无论是组织编排还是内容,新版本较老版本无论是组织编排还是内容完整性上都有了很大增强和提升。
完整性上都有了很大增强和提升。
lISO/IEC17799:
2005已更新并在已更新并在2007年年7月月1日正式发布为日正式发布为ISO/IEC27002:
2005,这次更新只在于标准上的号码,这次更新只在于标准上的号码,内容并没有内容并没有改变。
改变。
Page4HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential英文标题:
32-35pt颜色:
R153G0B0内部使用字体:
FrutigerNextLTMedium外部使用字体:
Arial中文标题:
30-32pt颜色:
R153G0B0字体:
黑体英文正文:
20-22pt子目录(2-5级):
18pt颜色:
黑色内部使用字体:
FrutigerNextLTRegular外部使用字体:
Arial中文正文:
18-20pt子目录(2-5级):
18pt颜色:
黑色字体:
细黑体配色参考方案:
建议同一页面内不超过四种颜色,以下是13组配色方案,同一页面内只选择一组使用。
(仅供参考)客户或者合作伙伴的标志放在右上角.ISO/IEC27001l2002年,年,BSI对对BS7799:
2-1999进行了重新修订,正式引入进行了重新修订,正式引入PDCA过程模型,过程模型,2004年年9月月5日,日,BS7799-2:
2002正式发布。
正式发布。
l2005年,年,BS7799-2:
2002终于被终于被ISO组织所采纳,于同年组织所采纳,于同年10月推月推出了出了ISO/IEC27001:
2005。
Page5HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential英文标题:
32-35pt颜色:
R153G0B0内部使用字体:
FrutigerNextLTMedium外部使用字体:
Arial中文标题:
30-32pt颜色:
R153G0B0字体:
黑体英文正文:
20-22pt子目录(2-5级):
18pt颜色:
黑色内部使用字体:
FrutigerNextLTRegular外部使用字体:
Arial中文正文:
18-20pt子目录(2-5级):
18pt颜色:
黑色字体:
细黑体配色参考方案:
建议同一页面内不超过四种颜色,以下是13组配色方案,同一页面内只选择一组使用。
(仅供参考)客户或者合作伙伴的标志放在右上角.对应国内标准l大陆大陆p2005年6月15日,我国发布了国家标准信息安全管理实用规则(GB/T19716-2005)。
该标准修改采用了ISO/IEC17799:
2000标准。
p2008年6月19日,GB/T19716-2005作废,改为GB/T22081-2008。
l台湾省台湾省p在台湾,BS7799-1:
1999被引用为CNS17799,而BS7799-2:
2002则被引用为CNS17800。
Page6HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential英文标题:
32-35pt颜色:
R153G0B0内部使用字体:
FrutigerNextLTMedium外部使用字体:
Arial中文标题:
30-32pt颜色:
R153G0B0字体:
黑体英文正文:
20-22pt子目录(2-5级):
18pt颜色:
黑色内部使用字体:
FrutigerNextLTRegular外部使用字体:
Arial中文正文:
18-20pt子目录(2-5级):
18pt颜色:
黑色字体:
细黑体配色参考方案:
建议同一页面内不超过四种颜色,以下是13组配色方案,同一页面内只选择一组使用。
(仅供参考)客户或者合作伙伴的标志放在右上角.目录目录l背景介绍背景介绍lISO/IEC17799lISO/IEC27001p重点内容p重点章节p认证流程l17799&27001l我司业务与我司业务与ISO/IEC27001Page7HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential英文标题:
32-35pt颜色:
R153G0B0内部使用字体:
FrutigerNextLTMedium外部使用字体:
Arial中文标题:
30-32pt颜色:
R153G0B0字体:
黑体英文正文:
20-22pt子目录(2-5级):
18pt颜色:
黑色内部使用字体:
FrutigerNextLTRegular外部使用字体:
Arial中文正文:
18-20pt子目录(2-5级):
18pt颜色:
黑色字体:
细黑体配色参考方案:
建议同一页面内不超过四种颜色,以下是13组配色方案,同一页面内只选择一组使用。
(仅供参考)客户或者合作伙伴的标志放在右上角.17799标准内容lISO/IEC17799:
2005版包括版包括11个方面、个方面、39个控制目标和个控制目标和133项控制措施项控制措施p1)安全方针安全方针7)访问控制访问控制p2)信息安全组织信息安全组织8)信息系统获取、开发和维护信息系统获取、开发和维护p3)资产管理资产管理9)信息安全事故管理信息安全事故管理p4)人力资源安全人力资源安全10)业务连续性管理业务连续性管理p5)物理和环境安全物理和环境安全11)符合性符合性p6)通信和操作管理通信和操作管理l注:
详细内容见附录二注:
详细内容见附录二Page8HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential英文标题:
32-35pt颜色:
R153G0B0内部使用字体:
FrutigerNextLTMedium外部使用字体:
Arial中文标题:
30-32pt颜色:
R153G0B0字体:
黑体英文正文:
20-22pt子目录(2-5级):
18pt颜色:
黑色内部使用字体:
FrutigerNextLTRegular外部使用字体:
Arial中文正文:
18-20pt子目录(2-5级):
18pt颜色:
黑色字体:
细黑体配色参考方案:
建议同一页面内不超过四种颜色,以下是13组配色方案,同一页面内只选择一组使用。
(仅供参考)客户或者合作伙伴的标志放在右上角.17799:
2000Vs17799:
2005lISO/IEC17799:
2005版的内容与版的内容与2000版相比,新增加了版相比,新增加了17项控制,项控制,在在客户往来安全、资产属主定义、人员离职管理、第三方服务交付客户往来安全、资产属主定义、人员离职管理、第三方服务交付管理、漏洞管理、取证管理、漏洞管理、取证等方面对原标准做了全新阐释或补充。
去掉等方面对原标准做了全新阐释或补充。
去掉了原标准中的了原标准中的9项控制,这些控制或者是不再适应信息通信技术的项控制,这些控制或者是不再适应信息通信技术的发展,或者是已经并入到新标准的其他控制内容中了。
发展,或者是已经并入到新标准的其他控制内容中了。
Page9HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential英文标题:
32-35pt颜色:
R153G0B0内部使用字体:
FrutigerNextLTMedium外部使用字体:
Arial中文标题:
30-32pt颜色:
R153G0B0字体:
黑体英文正文:
20-22pt子目录(2-5级):
18pt颜色:
黑色内部使用字体:
FrutigerNextLTRegular外部使用字体:
Arial中文正文:
18-20pt子目录(2-5级):
18pt颜色:
黑色字体:
细黑体配色参考方案:
建议同一页面内不超过四种颜色,以下是13组配色方案,同一页面内只选择一组使用。
(仅供参考)客户或者合作伙伴的标志放在右上角.17799的适用性l本实用规则可认为是组织开发其详细指南的起点。
对一个组织来说,本实用规则可认为是组织开发其详细指南的起点。
对一个组织来说,本实用规则中的控制措施和指南本实用规则中的控制措施和指南并非全部适用并非全部适用,此外,很可能还需,此外,很可能还需要本标准中要本标准中未包括未包括的另外的控制措施和指南。
为便于审核员和业务的另外的控制措施和指南。
为便于审核员和业务伙伴进行符合性检查,当开发包含另外的指南或控制措施的文件时,伙伴进行符合性检查,当开发包含另外的指南或控制措施的文件时,对本标准中条款的相互参考可能是有用的。
对本标准中条款的相互参考可能是有用的。
l(引用自引用自ISO/IEC17799:
2005中中“0.8开发你自己的指南开发你自己的指南”)Page10HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential英文标题:
32-35pt颜色:
R153G0B0内部使用字体:
FrutigerNextLTMedium外部使用字体:
Arial中文标题:
30-32pt颜色:
R153G0B0字体:
黑体英文正文:
20-22pt子目录(2-5级):
18pt颜色:
黑色内部使用字体:
FrutigerNextLTRegular外部使用字体:
Arial中文正文:
18-20pt子目录(2-5级):
18pt颜色:
黑色字体:
细黑体配色参考方案:
建议同一页面内不超过四种颜色,以下是13组配色方案,同一页面内只选择一组使用。
(仅供参考)客户或者合作伙伴的标志放在右上角.信息安全起点l实施细则中有些内容可能并不使用于所有组织和企业,但是有些措施可以使用于大实施细则中有些内容可能并不使用于所有组织和企业,但是有些措施可以使用于大多数的组织,他们被成为多数的组织,他们被成为“信息安全起点信息安全起点”。
p从法律的观点看,根据适用的法律,对某个组织重要的控制措施包括:
从法律的观点看,根据适用的法律,对某个组织重要的控制措施包括:
na)数据保护和个人信息的隐私(见数据保护和个人信息的隐私(见15.1.4););nb)保护组织的记录(见保护组织的记录(见15.1.3););nc)知识产权(见知识产权(见15.1.2)。
)。
p被认为是信息安全的常用惯例的控制措施包括:
被认为是信息安全的常用惯例的控制措施包括:
na)信息安全方针文件(见信息安全方针文件(见5.1.1););nb)信息安全职责的分配(见信息安全职责的分配(见6.1.3););nc)信息安全意识、教育和培训(见信息安全意识、教育和培训(见8.2.2););nd)应用中的正确处理(见应用中的正确处理(见12.2););ne)技术脆弱性管理(见技术脆弱性管理(见12.6););nf)业务连续性管理(见业务连续性管理(见14););ng)信息安全事故和改进管理(见信息安全事故和改进管理(见13.2)。
)。
l这些控制措施适用于大多数组织和环境。
这些控制措施适用于大多数组织和环境。
l(引用自引用自ISO/IEC17799:
2005中中“0.6信息安全起点信息安全起点”)Page11HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential英文标题:
32-35pt颜色:
R153G0B0内部使用字体:
FrutigerNextLTMedium外部使用字体:
Arial中文标题:
30-32pt颜色:
R153G0B0字体:
黑体英文正文:
20-22pt子目录(2-5级):
18pt颜色:
黑色内部使用字体:
FrutigerNextLTRegular外部使用字体:
Arial中文正文:
18-20pt子目录(2-5级):
18pt颜色:
黑色字体:
细黑体配色参考方案:
建议同一页面内不超过四种颜色,以下是13组配色方案,同一页面内只选择一组使用。
(仅供参考)客户或者合作伙伴的标志放在右上角.目录目录l背景介绍背景介绍lISO/IEC17799lISO/IEC27001p重点内容p重点章节p认证流程l17799&27001l我司业务与我司业务与ISO/IEC27001Page12HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential英文标题:
32-35pt颜色:
R153G0B0内部使用字体:
FrutigerNextLTMedium外部使用字体:
Arial中文标题:
30-32pt颜色:
R153G0B0字体:
黑体英文正文:
20-22pt子目录(2-5级):
18pt颜色:
黑色内部使用字体:
FrutigerNextLTRegular外部使用字体:
Arial中文正文:
18-20pt子目录(2-5级):
18pt颜色:
黑色字体:
细黑体配色参考方案:
建议同一页面内不超过四种颜色,以下是13组配色方案,同一页面内只选择一组使用。
(仅供参考)客户或者合作伙伴的标志放在右上角.ISMS(信息安全管理系统)lISO/IEC27001:
2005版通篇就在讲一件事,版通篇就在讲一件事,ISMS(信息安全管理系统信息安全管理系统)。
l本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系(InformationSecurityManagementSystem,简称,简称ISMS)提供模型。
采用)提供模型。
采用ISMS应当是一个组织的一项战略性决策。
一个组织的应当是一个组织的一项战略性决策。
一个组织的ISMS的设计和实施受其需的设计和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响,上述因素及要和目标、安全要求、所采用的过程以及组织的规模和结构的影响,上述因素及其支持系统会不断发生变化。
按照组织的需要实施其支持系统会不断发生变化。
按照组织的需要实施ISMS,是本标准所期望的,例,是本标准所期望的,例如,简单的情况可采用简单的如,简单的情况可采用简单的ISMS解决方案。
解决方案。
本标准可被内部和外部相关方用于一致性评估。
本标准可被内部和外部相关方用于一致性评估。
l(引用自引用自ISO/IEC27001:
2005中中“0.1总则总则”)Page13HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential英文标题:
32-35pt颜色:
R153G0B0内部使用字体:
FrutigerNextLTMedium外部使用字体:
Arial中文标题:
30-32pt颜色:
R153G0B0字体:
黑体英文正文:
20-22pt子目录(2-5级):
18pt颜色:
黑色内部使用字体:
FrutigerNextLTRegular外部使用字体:
Arial中文正文:
18-20pt子目录(2-5级):
18pt颜色:
黑色字体:
细黑体配色参考方案:
建议同一页面内不超过四种颜色,以下是13组配色方案,同一页面内只选择一组使用。
(仅供参考)客户或者合作伙伴的标志放在右上角.PDCA(戴明环)lPDCA(Plan、Do、Check和和Act)是管理学惯用的一个过程模型,最早是由休哈特)是管理学惯用的一个过程模型,最早是由休哈特(WalterShewhart)于)于19世纪世纪30年代构想的,后来被戴明(年代构想的,后来被戴明(EdwardsDeming)采纳、宣)采纳、宣传并运用于持续改善产品质量的过程当中。
传并运用于持续改善产品质量的过程当中。
p1、P(Plan)-计划,确定方针和目标,确定活动计划;计划,确定方针和目标,确定活动计划;p2、D(Do)-执行,实地去做,实现计划中的内容;执行,实地去做,实现计划中的内容;p3、C(Check)-检查,总结执行计划的结果,注意效检查,总结执行计划的结果,注意效果,找出问题;果,找出问题;p4、A(Action)-行动,对总结检查的结果进行处理,行动,对总结检查的结果进行处理,成功的经验加以肯定并适当推广、标准化;失败的教成功的经验加以肯定并适当推广、标准化;失败的教训加以总结,以免重现,未解决的问题放到下一个训加以总结,以免重现,未解决的问题放到下一个PDCA循环。
循环。
Page14HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential英文标题:
32-35pt颜色:
R153G0B0内部使用字体:
FrutigerNextLTMedium外部使用字体:
Arial中文标题:
30-32pt颜色:
R153G0B0字体:
黑体英文正文:
20-22pt子目录(2-5级):
18pt颜色:
黑色内部使用字体:
FrutigerNextLTRegular外部使用字体:
Arial中文正文:
18-20pt子目录(2-5级):
18pt颜色:
黑色字体:
细黑体配色参考方案:
建议同一页面内不超过四种颜色,以下是13组配色方案,同一页面内只选择一组使用。
(仅供参考)客户或者合作伙伴的标志放在右上角.PDCA特点l大环套小环,小环保大环,推动大循环大环套小环,小环保大环,推动大循环pPDCA循环作为质量管理的基本方法,不仅适用于整个工程项目,也适应于整个企业和循环作为质量管理的基本方法,不仅适用于整个工程项目,也适应于整个企业和企业内的科室、工段、班组以至个人。
各级部门根据企业的方针目标,都有自己的企业内的科室、工段、班组以至个人。
各级部门根据企业的方针目标,都有自己的PDCA循环,层层循环,形成大环套小环,小环里面又套更小的环。
大环是小环的母体循环,层层循环,形成大环套小环,小环里面又套更小的环。
大环是小环的母体和依据,小环是大环的分解和保证。
各级部门的小环都围绕着企业的总目标朝着同一方和依据,小环是大环的分解和保证。
各级部门的小环都围绕着企业的总目标朝着同一方向转动。
通过循环把企业上下或工程项目的各项工作有机地联系起来,彼此协同,互相向转动。
通过循环把企业上下或工程项目的各项工作有机地联系起来,彼此协同,互相促进。
以上特点。
促进。
以上特点。
Page15HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential英文标题:
32-35pt颜色:
R153G0B0内部使用字体:
FrutigerNextLTMedium外部使用字体:
Arial中文标题:
30-32pt颜色:
R153G0B0字体:
黑体英文正文:
20-22pt子目录(2-5级):
18pt颜色:
黑色内部使用字体:
FrutigerNextLTRegular外部使用字体:
Arial中文正文:
18-20pt子目录(2-5级):
18pt颜色:
黑色字体:
细黑体配色参考方案:
建议同一页面
升级会员 