一,、信息安全標(biāo)準(zhǔn)與規(guī)范信息安全標(biāo)準(zhǔn)的意義：標(biāo)準(zhǔn)是規(guī)范性文件之一,。
其定義是為了在一定的范圍內(nèi)獲得**秩序，經(jīng)協(xié)商一致制定并由公認(rèn)機構(gòu)批準(zhǔn),，共同使用的和重復(fù)使用的一種規(guī)范性文件,。
信息安全標(biāo)準(zhǔn)組織在國際上，與信息安全標(biāo)準(zhǔn)化有關(guān)的組織主要有以下2個：1,、International Organization for Standardization（ISO）****化組織,，International Electrotechnical Commission（IEC）國際電工委員會2、國內(nèi)的安全標(biāo)準(zhǔn)組織主要有：信息技術(shù)安全標(biāo)準(zhǔn)化技術(shù)委員會（CITS）,，中國通信標(biāo)準(zhǔn)化協(xié)會（CCSA）下轄的網(wǎng)絡(luò)與信息安全技術(shù)工作委員會3,、其它一些制定標(biāo)準(zhǔn)的組織：International Telecommunication Union（ITU）國際電信聯(lián)盟，The Internet Engineering Task Force（IETF）Internet工程任務(wù)組二,、ISO27001信息安全管理體系信息安全管理體系（Information Security Management System,，簡稱ISMS）的概念最初來源于英國標(biāo)準(zhǔn)學(xué)會制定的BS7799標(biāo)準(zhǔn)，并伴隨著其作為****的發(fā)布和普及而被廣泛地接受,。
Plan：信息安全管理體系的策劃與準(zhǔn)備,。
根據(jù)組織的整體方針和目標(biāo)，建立安全策略,、目標(biāo)以及與管理風(fēng)險和改進信息安全相關(guān)的過程和程序,，以獲得結(jié)果。
Do：信息安全管理體系文件的編制,。
實施和運行安全策略,、控制、過程和程序,。
Check：信息安全管理體系運行,。
適用時,，根據(jù)安全策略、目標(biāo)和慣有經(jīng)驗評估和測量過程業(yè)績,，向管理層報告結(jié)果,，進行評審。
Action：信息安全管理體系審核,、評審和持續(xù)改進,。
根據(jù)內(nèi)部ISMS審核和管理評審或其他信息，采取糾正和預(yù)防措施,，以實現(xiàn)ISMS的持續(xù)改進,。
1）ISO信息安全管理體系家族2) ISO27001演變歷程目前正在適用的ISO/IEC27001及ISO/IEC27002均為2013發(fā)布的版本。
以下是九腦匯學(xué)院所整理IMSI與ISO/IEC 27000的區(qū)別,，如下：ISMS是信息安全管理體系,，任何公司都可以實施這個體系，但是怎么實施呢,？要達到哪些要求呢,？ISO27000就給出了詳細的要求或標(biāo)準(zhǔn)。
組織可以依據(jù)ISO27001的詳細標(biāo)準(zhǔn)或要求去建立ISMS體系,。
ISO27001的理念是基于風(fēng)險評估的信息安全風(fēng)險管理,，采用PDCA過程方法，全面,、系統(tǒng),、持續(xù)地改進組織的信息安全管理。
可用于組織的信息安全管理體系建立和實施,，保障組織的信息安全,。
ISO27001是一個總的指導(dǎo)思想，依據(jù)是“PDCA"（PLAN,、DO,、CHECK、ACTION）的“戴明環(huán)”管理思想,，是一個整體的信息安全管理框架,，強調(diào)的是建立一個持續(xù)循環(huán)的長效管理機制；而ISO27002就是具體的信息安全管理流程,，是在ISO27001整體框架指導(dǎo)下具體的信息安全細節(jié),。
只有ISOIEC27001是可以被認(rèn)證的，其余的標(biāo)準(zhǔn)都是為這個認(rèn)證所服務(wù)的具體條款和操作指導(dǎo),。
3) 構(gòu)建信息安全管理體系的具體內(nèi)容ISO27002中的14個控制行為：ISO27001認(rèn)證過程中主要的檢查點有：文件審核：風(fēng)險評估報告,、安全方針、SOA、其他ISMS文檔,；正式審核：*記錄檢查：如帳號和權(quán)限授權(quán)記錄,、培訓(xùn)記錄、業(yè)務(wù)連續(xù)性演練記錄,、訪問控制記錄,、介質(zhì)使用記錄*信息資產(chǎn)識別、資產(chǎn)標(biāo)識和處理及風(fēng)險評估處理表檢查*終端安全檢查：屏保,、鎖屏、防病毒軟件安裝及升級狀況等*物理環(huán)境勘查：機房,、辦公環(huán)境的現(xiàn)場觀察及詢問4）ISO 27001 項目實施方法及步驟三,、信息安全等級保護體系1）等級保護定義：信息安全等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲,、傳輸,、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理,，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng),、處置。
2）等級保護的意義：3）等保保護背景發(fā)展歷程：4）等級保護范圍：5）等級保護系統(tǒng)定級：第一級：信息系統(tǒng)受到破壞后,，會對公民,、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全,、社會秩序和公共利益,。
第二級：信息系統(tǒng)受到破壞后，會對公民,、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,，或者對社會秩序和公共利益造成損害，但不損害國家安全,。
第三級：信息系統(tǒng)受到破壞后,，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害,。
第四級：信息系統(tǒng)受到破壞后,，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害,。
第五級：信息系統(tǒng)受到破壞后,，會對國家安全造成特別嚴(yán)重?fù)p害。
6）等級保護的基本技術(shù)要求7）等級保護流程