一、信息安全標準與規范信息安全標準的意義：標準是規范性文件之一。
其定義是為了在一定的范圍內獲得**秩序，經(jīng)協(xié)商一致制定并由公認機構批準，共同使用的和重復使用的一種規范性文件。
信息安全標準組織在國際上，與信息安全標準化有關(guān)的組織主要有以下2個(gè)：1、International Organization for Standardization（ISO）****化組織，International Electrotechnical Commission（IEC）國際電工委員會(huì )2、國內的安全標準組織主要有：信息技術(shù)安全標準化技術(shù)委員會(huì )（CITS），中國通信標準化協(xié)會(huì )（CCSA）下轄的網(wǎng)絡(luò )與信息安全技術(shù)工作委員會(huì )3、其它一些制定標準的組織：International Telecommunication Union（ITU）國際電信聯(lián)盟，The Internet Engineering Task Force（IETF）Internet工程任務(wù)組二、ISO27001信息安全管理體系信息安全管理體系（Information Security Management System，簡(jiǎn)稱(chēng)ISMS）的概念最初來(lái)源于英國標準學(xué)會(huì )制定的BS7799標準，并伴隨著(zhù)其作為****的發(fā)布和普及而被廣泛地接受。
Plan：信息安全管理體系的策劃與準備。
根據組織的整體方針和目標，建立安全策略、目標以及與管理風(fēng)險和改進(jìn)信息安全相關(guān)的過(guò)程和程序，以獲得結果。
Do：信息安全管理體系文件的編制。
實(shí)施和運行安全策略、控制、過(guò)程和程序。
Check：信息安全管理體系運行。
適用時(shí)，根據安全策略、目標和慣有經(jīng)驗評估和測量過(guò)程業(yè)績(jì)，向管理層報告結果，進(jìn)行評審。
Action：信息安全管理體系審核、評審和持續改進(jìn)。
根據內部ISMS審核和管理評審或其他信息，采取糾正和預防措施，以實(shí)現ISMS的持續改進(jìn)。
1）ISO信息安全管理體系家族2) ISO27001演變歷程目前正在適用的ISO/IEC27001及ISO/IEC27002均為2013發(fā)布的版本。
以下是九腦匯學(xué)院所整理IMSI與ISO/IEC 27000的區別，如下：ISMS是信息安全管理體系，任何公司都可以實(shí)施這個(gè)體系，但是怎么實(shí)施呢？要達到哪些要求呢？ISO27000就給出了詳細的要求或標準。
組織可以依據ISO27001的詳細標準或要求去建立ISMS體系。
ISO27001的理念是基于風(fēng)險評估的信息安全風(fēng)險管理，采用PDCA過(guò)程方法，全面、系統、持續地改進(jìn)組織的信息安全管理。
可用于組織的信息安全管理體系建立和實(shí)施，保障組織的信息安全。
ISO27001是一個(gè)總的指導思想，依據是“PDCA"（PLAN、DO、CHECK、ACTION）的“戴明環(huán)”管理思想，是一個(gè)整體的信息安全管理框架，強調的是建立一個(gè)持續循環(huán)的長(cháng)效管理機制；而ISO27002就是具體的信息安全管理流程，是在ISO27001整體框架指導下具體的信息安全細節。
只有ISOIEC27001是可以被認證的，其余的標準都是為這個(gè)認證所服務(wù)的具體條款和操作指導。
3) 構建信息安全管理體系的具體內容ISO27002中的14個(gè)控制行為：ISO27001認證過(guò)程中主要的檢查點(diǎn)有：文件審核：風(fēng)險評估報告、安全方針、SOA、其他ISMS文檔；正式審核：*記錄檢查：如帳號和權限授權記錄、培訓記錄、業(yè)務(wù)連續性演練記錄、訪(fǎng)問(wèn)控制記錄、介質(zhì)使用記錄*信息資產(chǎn)識別、資產(chǎn)標識和處理及風(fēng)險評估處理表檢查*終端安全檢查：屏保、鎖屏、防病毒軟件安裝及升級狀況等*物理環(huán)境勘查：機房、辦公環(huán)境的現場(chǎng)觀(guān)察及詢(xún)問(wèn)4）ISO 27001 項目實(shí)施方法及步驟三、信息安全等級保護體系1）等級保護定義：信息安全等級保護是指對國家重要信息、法人和其他組織及公民的專(zhuān)有信息以及公開(kāi)信息和存儲、傳輸、處理這些信息的信息系統分等級實(shí)行安全保護，對信息系統中使用的信息安全產(chǎn)品實(shí)行按等級管理，對信息系統中發(fā)生的信息安全事件分等級響應、處置。
2）等級保護的意義：3）等保保護背景發(fā)展歷程：4）等級保護范圍：5）等級保護系統定級：第一級：信息系統受到破壞后，會(huì )對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會(huì )秩序和公共利益。
第二級：信息系統受到破壞后，會(huì )對公民、法人和其他組織的合法權益產(chǎn)生嚴重損害，或者對社會(huì )秩序和公共利益造成損害，但不損害國家安全。
第三級：信息系統受到破壞后，會(huì )對社會(huì )秩序和公共利益造成嚴重損害，或者對國家安全造成損害。
第四級：信息系統受到破壞后，會(huì )對社會(huì )秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。
第五級：信息系統受到破壞后，會(huì )對國家安全造成特別嚴重損害。
6）等級保護的基本技術(shù)要求7）等級保護流程