ISO/IEC 27001 :2022培训 GBT22080-2022信息技术安全技术信息安全管理体系要求 主讲 : PLUS WHAT ISO/EC27001简介 - 2 - GB 中华人民共和国国家标准 GB/T 220802016/SO/EC27001:2013 GBT22080-2022信息技术安全技术 信息安全管理体系要求 信息技术安全技术 本标准提供建立、实现、维护和持续改进信息安全管理体系 信息安全管理体系要求 的要求。 (ISO/EC 27001;2013,IDT) 信息安全管理体系通过应用风险管理过程来保持信息的保密 性、完整性和可用性，并为相关方树立风险得到充分管理的 信心。 7-03-01实尚 口第一版(2005 年) 第三版(2022年) WHAT ISO/IEC27001发展历程 2022 ISO组织正式发布ISO/EC27001:2016 2013 ISO组织正式发布ISO/IEC27001” 2008 ISO/IEC27001等标准正式等同转化为国标 2005 ISO/IEC17799-1：2000升级为ISO/IEC27002:2005 2005 ISO依据修订后的BS7799-2制定了ISO/IEC27001:2005 2000 ISO依据BS7799-1制定了ISO/IEC17799-1 1999 BS7799修订并拆分为：BS7799-1和BS7799-2 1995 英国标准协会公布BS7799标准《信息安全管理实施细则》 WHAT ISO/EC27001标准族 - 4 - 术语标准4.2 ISO/EC27000 要求标准4.3 ISO/IEC27001 ISO/IEC27006 ISO/IEC27009 ISMS标光族 ISO/TEC27002 ISO/TEC27003 ISO/IEC27004 ISO/IEC27005 ISO/IEC27007 指南标准4.4 ISO/ECTR27008 ISO/IEC27013 ISO/IEC27014 ISO/ECTR27016 行业特定 ISO/EC27010 ISO/IEC27011 ISO/ECTR27015 ISO/IEC27017 指南标准4.5 ISO/TEC27018 ISO/IECTR27019 ISO/IEC2703x ISO/IEC2704x 特定控制指南标准* WHAT ISO/IEC 27001″内容概述 - 5 - 4.组织背景 ISO/IEC27001:2013 环境建立 风险识别 沟通和商 风险评估 监视和评审 个 信息安全风 风险分析 险管理过程 个 风险评价 风险处置 6.1.3.信息安全风险处置 ISO/IEC27001:2013 2. WHAT 信息安全管理体系背景介绍 信息 信息安全 Information (ISO/IEC 27000:2016 3.2.2) Information Security (ISO/IEC 27000:2016 2.33) 对信息的保密性、完整性和可用性的保持 信息是一种资产 信息安全包含应用和管理适当的控制，这些 信息可以以多种形式存储，包括：数字 控制广泛地考虑到各种威胁，目标是确保业 形式（例如，存储在电子或光介质上的 务的持续成功和连续性，并最大限度地减少 数据文件）、物质形式（例如，在纸 信息安全事件的后果。 上），以及以员工知识形式存在、未被 信息安全是通过实施一套使用的控制来实现 表现的信息。 这套控制通过所采用的风险管理过程选出 并使用ISMS来管理，包括策略、过程、规程 组织结构、软件和硬件，用以保护已识别的 信息资产。 2. WHAT 信息安全管理体系背景介绍 威胁 利用 漏洞 增加 增加 抗击 暴露 防护措施 降低 信息资产 风险 拥有 增加 被满足 防护需求 价值