融合实施等级保护与ISO27000

1、融合实施信息安全等级保护与IS027000系列标准广州华南信息安全测评中心等级保护与IS027000的不同点等级保护与IS027000的相似点4等级保护与IS027000实施时的问题等级保护与IS027000相互补充融合 1985年第一个信息安全评估标准TCSEC 1994年提出符合我国国情的“分等级保护”制度 2006年6月公安部开展全国等级保护试点，在全国十三个 省市自治区开展2005年ISO/IEC27001正式成为标准，截止2010年底我国 共有347家组织通过IS027001认证等级保护制度体系彳吉忌、冢统玄全等碾丫呆护雀级击旨南俸 0 系 统安全許级侑?护行业定级细贝II信思系纸安

2、全等级倔护3基卒尊菲日勺育业细贝Ulil-ill. f swliliBisis rXX信思系纸逋用安全信忌、系统安全搽作系绻安全按丰佶忌辛饨恸理安全境用寒7R佶思菲绽安全工程数据岸甘理辛饨共全祸纟各基召出至全技术婪衣耳他曾鯉粪标泯祸纟各和终蹄课鬲侣西S5&具他产品粪标准具他核术配标淮TrTcGB/T 22239-2008信息系统安全等级保护基本要求 GB/T 22240-2008信息系统安全等级保护定级指南 信息系统安全等级保护测评过程指南（国标报批稿） 信息系统安全等级保护测评要求（国标报批稿）GB/T 25058-2010信息系统安全等级保护实施指南GB/T 25070-2010信

3、息系统等级保护安全设计技术要等级保护相关标准GA/T7O8-2OO7信息系统安全等级保护体系框架GA/T 709-2007 £GA/T71O-2OO7信息系统安全等级保护基本配置GA/T 711 -2007应用软件系统安全等级保护通用技术指南GA/T 712-2007应用软件系统安全等级保护通用测试指南GA/T 713-2007信息系统安全管理测评GB/T 18018-2007路由器安全技术要求GB/T 20269-2006信息系统安全管理要求GB/T 20270-2006网络基础安全技术要求GB/T 202712006信息系统安全通用技术要求GB/T 20272-2006操作系统安

4、全技术要求GB/T 20273-2006数据库管理系统安全技术要求GB/T 20275-2006入侵检测系统技术耍求和测试评价方法GB/T 20278-2006网络脆弱性扫描产品技术要求GB/T 20279-2006网络和终端设备隔离部件安全技术耍求GB/T 20281-2006防火墙技术要求和测试评价方法GB/T 20282-2006信息系统安全工程管理要求GB/T 20979-2007虹膜识别系统技术要求GB/T 20984-2007信息安全风险评估规范GB/T 20988-2007信息系统灾难恢复规范GB/T 21028-2007服务器安全技术要求GB/T 21052-2007信息系统物

5、理安全技术要求GB/T 21053-2007公钥基础设施PKI系统安全等级保护技术耍求GB/Z 20985-2007信息安全事件管理指南YD/TGB/Z 20986-2007信息安全事件分类分级指南IS027000发展GVT 22081:2008中国国家标准宿息安全管理实用規則(Code of practice for infonation security anageieirt)I30/IEC 17799:2000国际标准'ISD/IEC 17199:2005» 国际标准j ISO/IEC 21WZ 2005»国稱准BS7799-1:1995英国国冢标准<4

6、等级保护与IS02'保护国家安全、社 会秩序和公共利益 指导全国安全工作 构建国家整体安全 保障体系IS027000保证组织业务连 续性缩减业务风险最大化投资收益分级标准差异等级保护首先定级根据级别提出安 全要求等级保护分级考公民法人及其他组织合法权益虑三方而影响：社会秩序、公共利葢国家安全按影响程度分为5个级别ISO2首先进行风险评估根据资产价值和风险分类选择风险 处置措施根据资产、威胁、脆弱性、现有安 全控制措施进行分析定量或定性分级以组织外部影响为依据山组织自行决定风险可接受程度以组织内部业务影响为依据安全分类差异体系目的控制项控制点IS0/IEC27001建立适合企业实际情况的

7、信息 安全管理体系11个39个控制项，133个控制点国家等级保护 （2007版等级保 护基本要求）保障国家、人民、社会的信息 安全10个一级48个控制点、85个具体要求二级66个控制点、175个具体要求三级73个控制点、290个具体要求四级77个控制点、319个具体要求等级保护基本要求组织形式信息系统IK运理 统管类 系维建理 统管类 系设安理 员管类 人全管构 全轨类 安理管度宝理安备M 据及恢类 数全份安类nn -应全眩类知全安理金物令要48 储项 具求控耍70 休项 具求要1 休项具求要18 体项 具求制13控点制1J控怵项耳 2体项具求具求要14休项具求休项具求休顶具求具求雯36休项具

8、來具求信息安全等级保护基本要求ISO/IEC27000标准体系要求A10通讯源女全All访问控制策划(P)实施(D)检査(C)A14业务连续性管理A15合规性流 程环 境信 息A8人力资 A9物理/环境安全运营管理A6组织信息安全A7资产管理注：笛个控制域，39个控制目标，133个控制措施A5安全方针A13信息女全事件管理改进(A)安全需求分析流程差异IS027000体系实施流程规划（建立ISMS）建立与管理风险和改进信息安全有关尸 一的ISMS方针、冃标、过程和程序，以|I提供与组织总方针和总冃标相一致的 | L 勢1->实施（实施和运行ISMS）|实施和运行ISMS方针、控制措施、过

9、程|和程序。|一一 |对照ISMS方针、冃标和实践经验，评估I检查（监视和评审ISMS）I并在适当时，测量过程的执行情况，!并将结果报告管理者以供评审。!I jI处置（保持和改进ISMS）|基于ISMS内部审核和管理评审的结果 ；或者其他相关信息，采取纠正和预防 f措施，以持续改进ISMSo系统定级总体规划设计实施安全运维系统终止信息系统分安全需求分安全方案详运行管理和信息转移、析析细设计控制暂存或清除安全保护等安全总体设等级保护管变更管理和设备迁移或级确定计理实施控制废弃安全建设规等级保护技安全状态监存储戒指的划术实施控安全事件处 置与应急预 案安全检杳和 持续改进等级保护安清除或销毁全测评

10、信息系统备 峰级保护监风险处理思想相同安全分类共同点IS027001的11 个安全政策物理安全网络安全信息安全组织；主机安全资产管理应用安全人力资源安全I |数据安全物理和环境安全安全制度通信与操作管理I安全机构访冋控制人员安全系统运维业务连续性符合性I系统建设等级保护信息系统获取.开发和维护言息安全事故管理宏观与微观相辅相成两个体系均认识到：信息系统分布于各个组织内部组织内部的信息安全是国家整体安全基础 国家整体安全体现在各个组织微观能力上 组织的风险同时来自于内部和外部没有国家宏观信息安全也没有组织内部信息安全覆巢之下岂有完卵!IS027000实施难点风险评估安全措施选择重评估管理体系常态

11、化风险评估方法选择困难、实施难度大、耗时长、成木高 如何选择控制措施困难，如何有重点针对性的选择控制措施更难等级保护实施过程不足4虽预留特殊安全保护需求，但对 大型系统，宏观分级无法细化到 具体要求等级保护等级SAG以国家安全、社会秩序和公共利 益为出发点，对特定单位需求有 偏差，导致推动等保力度和决心 不足内容的相互补充IS027000 1 适用范围广1r 等级保护 基本要求 内容细致形成全面 细致的可 操作要求IS027000安全事件管理等级保护 运维建设新运八控制措施集合1IS027000业务连续性管理实施过程的融合安全需求安全规划基本安全要求等级保护管理办法、指南 信息安全政策、标准、法律法规风险列表风险分析保护对象划分和定级网络系统划分和定级资产风险评估策划阶段按风险处置计划实施控制措施 进彳亍安全意识、技能培训进行各类技术管理安全格改处置阶段实施各类改进措施进行预防和纠正措施持续改进安全保证能力y结合等级保护测评的风险评估流程进