第七章信息安全标准上_第1页
第七章信息安全标准上_第2页
第七章信息安全标准上_第3页
第七章信息安全标准上_第4页
第七章信息安全标准上_第5页
已阅读5页,还剩92页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、LOGO第七章信息平安标第七章信息平安标准准( (上上) LN) LNLOGOLOGOLOGOLOGO标准的分类标准的分类 从世界范围,按标准的层次分类: 国际标准:由国际标准化组织国际标准:由国际标准化组织ISO和国际电工委和国际电工委员会员会IEC制定的标准。制定的标准。 区域标准:是世界区域性标准化组织制定的标准。区域标准:是世界区域性标准化组织制定的标准。 国家标准:在一个国家内通用的标准。国家标准:在一个国家内通用的标准。 行业标准:是在某个行业或专业范围内适用的标准。行业标准:是在某个行业或专业范围内适用的标准。 企业标准:有企业制定的标准。企业标准:有企业制定的标准。LOGO企业

2、标准企业标准地方标准地方标准行业标准行业标准国家标准国家标准LOGO国家标准国家标准对需要在全国范围内统一的技术要求,应当制定国家标准。国家标准由国家标准化管理委员会编制方案、审批、编号、发布。国家标准代号为:GB和GB/T,其含义分别为强制性国家标准和推荐性国家标准。国家标准是四级标准体系中的主体,在全国范围内使用,其他各级标准不得与之相抵触。1998年增加一种“国家标准化指导性技术文件,作为国家标准的补充,其代号为GB/Z。LOGO行业标准行业标准对没有国家标准又需要在全国某个行业范围内统一的技术要求,可以制定行业标准。当相应的国家标准实施后,该行业标准应自行废止。行业标准由行业标准归口部

3、门编制方案、审批、编号、发布、管理。局部行业的行业标准代号如下:汽车QC化工HG电子SJ石油化工SH有色金属YS邮电通信YD机械JB船舶CB电力DL商检SN包装BB核工业EJLOGO地方标准地方标准对没有国家标准和行业标准而又需要在省、自治区、直辖市范围内统一的要求,可以制定地方标准。地方标准由省、自治区、直辖市标准化行政主管部门统一编制方案、组织制定、审批、编号、发布。地方标准在本行政区域内使用,不得与国家标准和行业标准相抵触。国家标准、行业标准公布实施后,相应的地方标准自行废止。地方标准制定范围: 工业产品的平安、卫生要求; 药品、兽药、食品卫生、环境保护、节约能源、种子等法律法规要求;

4、其他法律法规规定的要求。LOGO企业标准企业标准是对企业范围内需要协调、统一的技术要求、管理要求和工作要求所制定的标准。企业标准由企业制定,企业标准是企业组织生产、经营活动的依据,由企业法人代表或法人代表授权的主管领导批准、发布。企业产品标准应在发布后30日内向政府备案。LOGO 按法律的约束性分类:强制性强制性标准标准推荐性推荐性标准标准标准化指标准化指导性技术导性技术文件文件LOGO技术标准管理标准工业标准LOGO 按标准化的对象和作用分类:分类分类根底标准根底标准产品标准产品标准方法标准方法标准平安标准平安标准卫生标准卫生标准环境保护标准环境保护标准LOGO标准化三维空间标准化三维空间国

5、际级区域级国家级行业级地方级企业级人员效劳系统产品过程术语体系、框架技术机制应用管理YXZX轴代表标准化的对象Y轴代表标准化的内容Z轴代表标准化的级别LOGO八字原理八字原理我国通行我国通行“标准化八字原理标准化八字原理统一统一简化简化协调协调最优最优LOGO我国标准工作归口单位我国标准工作归口单位 国家标准化管理委员会 全国信息平安标准化技术委员会简称信息平安标委会,TC260 全国信息技术标准化技术委员会简称信标委,CITS,负责全国信息技术领域以及与ISO/IEC JTC1相对应的标准化工作。 全国金融标准化技术委员会简称金标委,负责金融系统标准化技术归口管理工作和国际标准化组织中银行与

6、相关金融业务标准化技术委员会的归口管理工作。LOGOIT标准化标准化 IT标准开展趋势 标准逐步从技术驱动向市场驱动方向开展。 信息技术标准化机构由分散走向联合。 信息技术标准化的内容更加广泛,重点更加突出,从IT技术领域向社会各个领域渗透,涉及教育、文化、医疗、交通、商务等广泛领域,需求大量增加。 从技术角度看,IT标准化的重点将放在网络接口、软件接口、信息格式、平安等方面,并向着以技术中立为前提,保证互操作为目的方向开展。LOGO 标准根底知识简介 信息平安标准化组织 国外信息平安相关标准 国内信息平安相关标准本讲提纲LOGO国际信息平安标准化组织国际信息平安标准化组织 国际标准化组织IS

7、O建于1947年2月23日2952个技术成员工作成果发布为国际标准ISu由146个国家标准成员组成的世界联盟190个技术委员会(TCs)、544个子委员会(SCs)、2188个工作组(WGs)u与平安相关机构 ISO/IEC JTC 1/SC 27:IT平安技术 ISO TC 68:金融效劳 ISO TC 215:健康医疗学LOGO 国际标准化组织ISOuJTC1其他分技术委员会 SC6系统间通信与信息交换 SC17识别卡和有关设备 SC18文件处理及有关通信 SC21开放系统互连,数据处理和开放式分布处理 SC22程序语言,其环境及系统软件接口,也开发相应的平安标准 SC30开放式电子数据交

8、换,主要开发电子数据交换的有关平安标准LOGO 国际电工委员会IECu正式成立于1906年10月,是世界上成立最早的专门国际标准化机构。u成立的相关技术委员会: TC56:可靠性 TC74:IT设备平安与成效 TC77:电磁兼容 TC108:音频/视频 CISPR:无线电干扰特别委员会LOGO 国际电信联盟ITUu成立于1865年5月17日,其前身是国际电报和 咨询委员会CCITT。u主要负责研究通信系统平安标准。uITU SG17组主要研究方向:通信平安工程平安架构与框架计算平安平安管理用于平安的生物测定平安通信效劳LOGO Internet工程任务组IETFu始创于1986年,包括170多

9、个RFC,12个工作组u主要任务:负责互联网相关技术标准的研发和制定。uIETF平安工作小组:PGP开发标准openpgp鉴别防火墙遍历aft通用鉴别技术cat域名效劳系统平安dnssecIP平安协议ipsec一次性口令鉴别otpX.509公钥根底设施pkixS/MIME平安电子邮件smime平安Shellsecsh)传输层平安tlsLOGO 电气和电子工程师学会IEEEu1963年1月1日由美国无线电工程师协会(IRE, 创立于1912年)和美国电气工程师协会(AIEE,创立于1884年)合并而成。uIEEE 802委员会,成立于1980年2月,任务是制定局域网的国际标准802.117。 高

10、层接口 逻辑链路控制 CSMA/CD网 令牌总线网 令牌环网 城域网 LOGO 欧洲计算机制造商协会ECMAu负责适用于计算机技术的各种的标准的制定和公布。 TC32“通信、网络和系统互连曾定义了开放系统应用层平安结构。 TC36“IT平安负责信息技术设备的平安标准。LOGO外国信息平安标准化组织外国信息平安标准化组织 美国 美国国家标准协会ANSI 国家标准与技术研究院NIST 美国国防部DODNCITS-T4 制定IT平安技术标准X9 制定金融业务标准X12 制定商业交易标准负责联邦政府非密敏感信息其工作以NIST出版物FIPSPUB和NIST特别出版物SPECPUB等形式发布制定了数据加

11、密标准DES、密钥托管加密标准EES负责涉密信息NSA(National Security Agency,美国国家平安局)国防部指令DODI如TCSECLOGO 英国 BS 7799 医疗卫生信息系统平安 加拿大 计算机平安管理 日本 JIS 国家标准 JISC 工业协会标准 韩国 KISA负责 防火墙、IDS、PKI方面标准LOGOISO/IEC JTC1 SC27 ISO/IEC JTC1 SC27IT平安技术 其工作领域是IT平安的通用方法和技术,包括: ISO/IEC JTC1 SC27已成为信息平安领域最具权威和得到国际最广泛认可的标准化组织。 为IT平安效劳识别通用要求包括要求方法

12、; 开发平安技术和机制包括注册流程以及平安组件的关系; 开发平安指南例如:解释文件、风险分析; 开发管理支持文件和标准例如:术语和平安评估准那么。LOGO SC27的5个工作组方向: WG3平安评估 WG1信息平安管理体系 WG4平安控制与效劳 WG2密码与平安机制WG5身份管理与隐私技术评估评估指南指南技术技术产品产品系统系统过程过程环境环境LOGOISO/IEC JTC1 SC27标准动态表标准动态表标准号标准名称ISO/IEC TR 13335-3IT安全管理指南-第三部分:IT安全管理技术ISO/IEC TR 13335-4IT安全管理指南-第四部分:安全措施选择ISO/IEC TR

13、13335-1信息与通信技术安全管理-第一部分:信息与通信技术安全管理的概念和模型ISO/IEC 27000信息安全管理体系-概念和词汇ISO/IEC 27001信息安全管理体系-要求ISO/IEC 27002信息安全管理实用规则ISO/IEC 27003信息安全管理体系实现指南ISO/IEC 27004信息安全管理测量ISO/IEC 27005信息安全风险管理ISO/IEC 27006信息安全管理体系审核认证机构的要求ISO/IEC 27007信息安全管理体系审核指南ISO/IEC 7064校验字符系统LOGO国内信息平安标准化组织国内信息平安标准化组织 全国信息平安标准化技术委员会简称信安

14、标委TC260 2002年4月15日成立 负责组织开展国内信息平安有关的标准化工作 工作范围包括:共76个标准13项修订标准50项标准正在研制中 平安技术 平安机制 平安效劳 平安管理 平安评估LOGO TC260工作组WG1:信息平安标准体系与协调工作组WG2:涉密信息系统平安保密标准工作组WG3:密码技术标准工作组WG4:鉴别与授权工作组WG5:信息平安评估工作组WG7:信息平安管理工作组LOGO信安标委工作组信安标委工作组工作任务工作任务WG1研究信息安全标准体系跟踪国际标准发展动态研究信息安全标准需求研究并提出新工作项目及设立新工作组的建议协调过工作组项目WG2研究提出涉密信息系统安全

15、保密标准体系制定和修改涉密信息系统安全保密标准WG3研究提出密码技术标准体系研究制定密码算法、密码模块和密钥管理等相关标准WG4研究制定鉴别与授权标准体系调研国内相关标准需求研究制定鉴别与授权标准WG5调研测评标准现状与发展趋势研究我国统一测评标准体系的思路和框架,提出测评标准体系研究制定急需的测评标准WG7研究信息安全管理动态,调研国内管理标准需求研究提出信息安全管理标准体系制定信息安全管理相关标准LOGO 信安标委制定国家信息平安标准流程:立项申请提出草案工作组征求意见评审通过形成送审稿秘书处网上征求意见评审通过形成送批稿主任办公会审查国标委批准发布定期复审提出修改LOGO国内其他信息平安

16、标准管理机构国内其他信息平安标准管理机构 国家保密局 行业标准化组织负责管理、发布并强制执行国家保密标准。国家保密标准和国家保密法规共同构成我国保密管理的重要根底。公安部信息系统平安标准化技术委员会中国通信标准化协会网络与信息平安技术工作委员会成立于1999年3月31日负责规划和制定我国公共平安行业信息平安标准和技术标准,监督技术标准的实施。成立于2003年12月专门组织、研究和制定通信行业网络与信息平安相关的技术标准和技术标准。LOGO 标准根底知识简介 信息平安标准化组织 国外信息平安相关标准 国内信息平安相关标准本讲提纲LOGO国外信息平安相关标准和指南国外信息平安相关标准和指南 OEC

17、D指南指南 GASSP 英国英国BSIBS 7799-1BS 7799-2 美国美国NISTNIST SP 800-53NIST SP 800-30COBITITILISO/IEC 17799ISO/IEC 27001ISO/IEC 13335ISO/IEC 27000系列系列CNITSEC信息系统平安保障框架信息系统平安保障框架管理保障局部管理保障局部国外组织机构指南国外国家标准指南信息系统审计领域IT效劳管理领域LOGOBS 7799标准标准 由英国标准协会BSI制定 BS 7799标准: BS 7799-1:1999?信息平安管理实用规那么? BS 7799-2:2002 ?信息平安管理

18、体系标准? BS 7799-3:2002 ?信息平安风险评估? 平安方针的制定 平安责任的归属 风险的评估 访问控制 防病毒相关策略 BS 7799广泛涵盖所有信息平安议题:LOGO BS 7799-1 是组织建立并实施信息平安管理的一个指导性准那么 从以下10个方面定义了127 项控制措施:平安政策组织平安资产分类与控制人员平安物理与环境平安业务连续性管理符合性管理通信与操作管理访问控制系统开发与维护 侧重于组织整体的侧重于组织整体的管理和运营操作管理和运营操作 与信息平安技术相与信息平安技术相关关LOGO BS 7799-2 引用PDCA模型,将信息平安管理体系分解成4个子过程:1风险评估

19、 3平安管理 2平安设计与执行 4再评估 建立信息平安管理体系的步骤:1定义信息平安策略2定义ISMS范围3进行信息平安风险评估4信息平安风险管理5确定控制目标和选择控制措施6准备信息平安闲用性声明LOGOISO/IEC 17799标准标准 2000年12月,BS 7799-1被ISO正式批准为国际标准,编号ISO/IEC 17799 最新版本ISO/IEC 17799:2005 提高外部风险管理要求例如:外包、效劳提供商、第三方、业务合作伙伴或客户 增加了效劳等级协议SLA、审计说明 效劳交付管理沿用IT效劳管路标准BS 15000/ISO 20000的思想LOGO ISO/IEC 1779

20、9:2005标准结构前言0引言1范围2术语和定义3本标准的组织结构4风险评估和处置5平安策略6信息平安的组织架构7资产管理8人力资源管理9物理和坏境平安10通信和运行平安11访问控制12信息系统采购、开发和维护13信息平安事故管理14业务持续性管理15符合性LOGOISO/IEC 2700X标准族标准族 ISMS要求ISO/IEC 27001:2005BS 7799-2:2002) ISMS实用规那么ISO/IEC 27002:2005 ISO/IEC 17799) ISMS实施指南ISO/IEC 27003 ISMS测量ISO/IEC 27004 风险管理ISO/IEC 27005 ISO/

21、IEC 13335-3 ISMS审核和认证机构ISO/IEC 27006:2007 ISMS概念和词汇表ISO/IEC 27000:2007 ISO/IEC 13335-1 ISMS审核员指南ISO/IEC 27007特定标准和指南特定标准和指南附录ALOGO ISO/IEC 27001:2005 2005年10月,BS 7799-2成功升级为国际标准,编号为ISO/IEC 27001 ISO/IEC 27001是信息平安管理体系ISMS的标准说明 强调风险管理的思想,指导组织建立ISMSLOGOp建立方针和目标并实现这些目标的相互关联或相互作用的一组要素。p管理体系包括组织结构,策略,规划,

22、角色,职责,流程,程序和资源等。p管理的方方面面以及公司的所有雇员,均囊括在管理体系范围内。Quality management system (ISO 9001)Environmental management system(ISO 14001)Safety management system(OHSAS 18001)Human Food Safety management system(HACCP)IT Service Management System (ISO 20000)Information security management system(ISO 27001)什么是管理体系?

23、什么是管理体系?LOGO信息平安管理体系信息平安管理体系(ISMS):是整个管理体系的一局部,是整个管理体系的一局部,建立在业务风险的方法上,建立在业务风险的方法上,以:以: 建立建立实施实施运作运作监控监控评审评审维护维护改进改进信息平安。信息平安。职业健康职业健康平安平安IT效劳效劳信息平安信息平安环境环境管理体系管理体系食品平安食品平安质量质量建设了建设了ISMS,尤其是获取了,尤其是获取了ISO27001认证后,组织将在信息平认证后,组织将在信息平安方面进入一个强制的良性循环。安方面进入一个强制的良性循环。LOGO0. 引言引言1. 范围范围2. 标准性应用文件标准性应用文件3. 术语

24、和定义术语和定义4. 信息平安管理体系信息平安管理体系(ISMS)4.1 总要求总要求4.2 建立和管理建立和管理ISMS4.2.1 建立建立 ISMS4.2.2 实施和运维实施和运维 ISMS4.2.3 监控和评审监控和评审 ISMS4.2.4 维护和改进维护和改进 ISMS4.3 文件要求文件要求5. 管理职责管理职责6. ISMS的内部审核的内部审核7. ISMS的管理评审的管理评审8. ISMS 改进改进附录附录A 控制目标和控制措施控制目标和控制措施附录附录B OECD原那么与本标准原那么与本标准附录附录C ISO9001:2000和和ISO14001:2004对照对照参考书目参考书

25、目SO/IEC27001:2005的结构的结构27001辅助局部辅助局部27001核心局部核心局部条款条款4-8)27001核心局部核心局部27001辅助局部辅助局部LOGO 27001的核心内容的核心内容相关方相关方受控的受控的信息安信息安全全信息安信息安全要求全要求和期望和期望相关方相关方检查检查CheckCheck建立建立ISMSISMS实施和实施和运行运行ISMSISMS保持和保持和改进改进ISMSISMS监视和监视和评审评审ISMSISMS规划规划PlanPlan实实施施DoDo处处置置ActAct一个组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进

26、文件化的ISMS。就本标准而言,使用的过程基于图1所示的PDCA模型。图1 应用于ISMS过程的PDCA模型LOGOISO27001所关注的领域所关注的领域信息平安策略信息平安策略信息平安组织信息平安组织资产管理资产管理人力资源的平安人力资源的平安物理和环境平安物理和环境平安通信和操作管理通信和操作管理访问控制访问控制信息系统的获取,开发和维护信息系统的获取,开发和维护信息平安事故管理信息平安事故管理业务连续性管理业务连续性管理合规性合规性LOGOISO27001正式的标准正式的标准可认证的标准可认证的标准管理体系的要求管理体系的要求控制措施的要求控制措施的要求ISO 17799实施细那么一整

27、套实施细那么一整套最正确实践最正确实践控制措施的实施建议控制措施的实施建议和实施指导和实施指导ISO27001的附录的附录A的细化与补充的细化与补充ISO27001与与ISO1779927002为为设设计计控控制制措措施施提提供供实实施施指指南南ISO/IEC 17799为设计控制措施提供实施指南为设计控制措施提供实施指南LOGOISO/IEC 13335 ISO/IEC TR 13335系列:GMITSIT平安管理指南系列标准 ISO/IEC IS 13335系列:MICTS信息与通信技术平安管理 ISO/IEC TR 13335-1:1996?IT平安的概念与模型? ISO/IEC TR

28、13335-2:1997?IT平安管理与筹划? ISO/IEC TR 13335-3:1998?IT平安管理技术? ISO/IEC TR 13335-4:2000?平安管理措施的选择? ISO/IEC TR 13335-5:2001?网络平安管理指南? ISO/IEC 13335-1:2004 第1局部:信息与通信技术平安管理概念和模型 ISO/IEC 13335-2 第2局部:信息与通信技术平安风险管理技术取代ISO/IEC TR 13335-1:1996将取代ISO/IEC TR 13335-2:1997LOGOISO27001正式的标准正式的标准可认证的标准可认证的标准管理体系的要求管理

29、体系的要求控制措施的要求控制措施的要求ISO TR 13335风险管理方法论风险管理方法论提供如何识别风险到风险提供如何识别风险到风险处置处置对对ISO27001的风险评估的风险评估方法的细化和补充方法的细化和补充ISO27001与与ISO13335为为风风险险管管理理提提供供方方法法风险评估具有不同的方法。在ISO/IEC TR 13335-3IT平安管理指南:IT平安管理技术中描述了风险评估方法的例子 LOGOISO13335:以风险为核心的平安模型:以风险为核心的平安模型风险风险安全措施安全措施信息资产信息资产威胁威胁漏洞漏洞安全需求安全需求降低增加增加利用暴露价值价值拥有抗击增加引出被

30、满足LOGO 资产资产Assetq 任何对组织有价值的东西任何对组织有价值的东西ISO/IEC27001:2005 3 术语和定义术语和定义q 资产是企业、机构直接赋予了价值因而需要保护的东西。资产是企业、机构直接赋予了价值因而需要保护的东西。q 信息资产是指组织的信息系统、其提供的效劳以及处理的数据。信息资产是指组织的信息系统、其提供的效劳以及处理的数据。q 资产的根本属性是:价值资产的根本属性是:价值C、I、A值值q风险风险安全措施安全措施信息资产信息资产威胁威胁漏洞漏洞安全需求安全需求降低增加增加利用暴露价值价值拥有抗击增加引出被满足LOGO 漏洞漏洞Vulnerabilityq 脆弱性

31、是资产本身存在的,它可以被威胁利用、引起资产或商业目标的损害。 q 脆弱性包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。 q 脆弱性的根本属性是:严重程度脆弱性被利用后对资产的损害程度、脆弱性被利用的难易程度 风险风险安全措施安全措施信息资产信息资产威胁威胁漏洞漏洞安全需求安全需求降低增加增加利用暴露价值价值拥有抗击增加引出被满足LOGO 威胁威胁ThreatThreatq 威胁是对组织的资产引起不期望事件而造成的损害的潜在可能性。 q 威胁可以分为人为威胁成心、非成心和非人为威胁环境、故障2种。 q 威胁的根本属性是:出现的频率还包括威胁的能力,威胁的决心。

32、风险风险安全措施安全措施信息资产信息资产威胁威胁漏洞漏洞安全需求安全需求降低增加增加利用暴露价值价值拥有抗击增加引出被满足LOGO风险评估实施流程图风险评估实施流程图LOGO美国国家标准与技术委员会美国国家标准与技术委员会NIST 美国NIST相关管理标准指南 NIST SP 800系列中信息平安管理相关文件: NIST SP 800系列是NIST根据美国联邦信息平安管理法案FISMA 2002所赋予的法定职责所开发的系列文件。NIST SP 800-53:联邦信息系统推荐平安控制NIST SP 800-18:开发IT系统平安方案指南NIST SP 800-30:IT系统风险管理指南NIST

33、SP 800-34:IT系统业务持续性规划指南NIST SP 800-50:建立信息平安意识和培训管理LOGO系统平安工程系统平安工程-能力成熟度模型能力成熟度模型SSE-CMM 1993年4月美国国家平安局NSA开始酝酿 1996年10月发布SSE-CMM的1.0版本 1999年4月完成SSE-CMM的2.0版本 2002年成为国际标准ISO/IEC 21827:2002 ?信息技术 系统平安工程 能力成熟度模型? 2003年6月由国际系统平安工程协会ISSEA更新为3.0版本 2021年10月,ISO基于SSE-CMM 3.0发布了ISO/IEC 21827:2021LOGOSSE-CMM

34、 定义 描述了一个组织的平安工程过程必须包含的本质特征,这些特征是完善的平安工程保证。 现代统计过程控制理论说明通过强调生产过程的高质量和在现代统计过程控制理论说明通过强调生产过程的高质量和在过程中组织实施的成熟性可以低本钱地生产出高质量产品。过程中组织实施的成熟性可以低本钱地生产出高质量产品。 SSE-CMM工程目标是促进平安工程成为一个确定的、成熟的和可度量的科目。通过区分投标者的能力级别和相关方案风险来选择合格的平安工程提供商;工程组把投资集中在平安工程工具、培训、过程定义、管理实施和改进上;基于能力的保证,也就是说,信赖是基于对工程组织平安工程实践和过程成熟的信心。 理论根底 目的LO

35、GOSSE-CMM体系结构体系结构 SSE-CMM包括两维:“域和“能力LOGO根本实施及过程域根本实施及过程域 SSE-CMM包含61个根本实施过程,其被归入11个平安工程过程域PA PA01管理平安控制 PA02评估影响 PA03评估平安风险 PA04评估威胁 PA05评估脆弱性 PA06建立平安论据 PA07协调平安 PA08监视平安态势 PA09提供平安输入 PA10确定平安需求 PA11验证与确认平安LOGO通用实施与公共特征通用实施与公共特征 通用实施是应用于所有过程域中的活动。其针对的是过程的管理、测量和制度化。 通用实施被归入12个不同的逻辑域,称为“公共特征。 12个公共特征

36、被分为5个能力级别,代表了依次增长的平安功能能力。LOGO 通用实施、公共特征、能力级别的关系以实施或制度化为手段来提高工程过程的实施能力通用实施的集合,每一集合中的公共特征面向的是同一类过程的管理和制度化问题假设干个公共特征的组合,显示了平安工程过程的实施能力级别LOGO SSE-CMM五个能力级别SSE-CMM五个能力级别及其包含的公共特征LOGO平安工程过程平安工程过程平安工程过程的三个主要局部LOGO 风险过程风险过程 PA04:评估威胁 PA05:评估脆弱性 PA02:评估影响威胁信息脆弱性信息影响信息 PA03:评估平安风险风险信息SSE-CMM中与风险相关的过程域LOGO 工程过

37、程工程过程 PA10:确定平安需求 PA01:管理平安控制 PA09:提供平安输入风险信息要求、政策等解决方案、指导等 PA08:监视平安态势配置信息SSE-CMM中与工程相关的过程域 PA07:协调平安LOGO 保证过程保证过程 PA11:检验与确认平安检验与确认后的证据证据 PA06:建立平安论据保证论据SSE-CMM中与保证相关的过程域 其他的PALOGO信息及相关技术控制目标信息及相关技术控制目标COBIT 由信息系统审计和控制协会ISACF于1996年发布 国际通用的信息系统审计标准,为信息系统审计和治理提供一整套的控制目标、管理措施、审计指南等。 把IT划分为4个域,并进一步细分为

38、34个流程: 规划与组织PO 获取与实施AI 交付与支持DS 监控M评估风险确保持续的效劳保证系统平安平安审计LOGO IT治理治理 信息信息 监控监控 IT资源资源 交付与支持交付与支持 获得与实施获得与实施 规划与组织规划与组织 COBIT 组织战略目标组织战略目标 COBIT模型LOGOCOBIT的的4个域,个域,34个个IT处理流程处理流程 1 规划与组织规划与组织POPO1 制定IT战略规划PO2 确定信息体系结构PO3 确定技术方向PO4 定义IT组织与关系PO5 管理IT资产PO6 沟通管理目标与方向PO7人力资源管理PO8 确保符合外部需求PO9 风险评估PO10 项目管理PO

39、11 质量管理 2 获取与实施获取与实施AIAI1 确定自动化解决方案AI2 获取并维护应用软件AI3 获取并维护技术基础设施AI4 程序开发与维护AI5 系统安装与鉴定AI6 变更管理 3 交付与支持交付与支持DS DS1 定义并管理服务水平DS2 管理第三方服务DS3 性能管理与容量管理DS4 确保服务的连续性DS5 确保系统安全DS6 确定并分配成本DS7 教育并培训用户DS8 为客户提供帮助和建议DS9 配置管理DS10 问题管理和突发事件管理DS11 数据管理DS12 设施管理DS13 操作管理 4 监控监控MMI 过程监控M2 评价内部控制的适当性M3 确保独立性鉴定M4 提供独立

40、性审计LOGO COBIT产品家族分类: 执行概要 高级控制目标框架 实施工具集 管理指南 具体控制目标 审计指南 关键成功因素、关键目标指标与关键绩效指标 成熟度模型LOGO信息技术根底设施库信息技术根底设施库ITIL 由英国政府的中央计算机和通信机构CCTA制定,由英国商务部OGC负责维护,主要适用于IT效劳管理ITSM ITIL核心内容:效劳支持和效劳交付服务支持(服务支持(Service Support)服务支付(服务支付(Service Delivery)服务台事故管理问题管理配置管理变更管理发布管理服务级别管理成本管理持续性管理可用性管理容量管理LOGO ITIL整体架构ITIL的

41、架构模型LOGO 标准根底知识简介 信息平安标准化组织 国外信息平安相关标准 国内信息平安相关标准本讲提纲LOGO 信息平安技术标准体系信息平安技术标准体系管理标准管理标准根底标准根底标准平平安安术术语语技术与机制标准技术与机制标准体体系系与与模模型型保保密密技技术术密密码码技技术术标标识识与与鉴鉴别别系系统统评评估估产产品品评评估估评评估估根根底底工工程程与与效效劳劳管管理理方方法法管管理理根根底底物物理理平平安安管管理理技技术术管管理理要要素素测评标准测评标准授授权权与与访访问问控控制制LOGO国内信息平安相关标准国内信息平安相关标准 1995年发布了1项 1999年发布了3项 2000年

42、发布了1项 2002年发布了2项 2005年发布了8项 2006年发布了18项 2007年发布了14项 2021年发布了20项 2021年发布了3项 LOGO国家信息平安标准化工作成果国家信息平安标准化工作成果完成标准制定完成标准制定正在制定的标准正在制定的标准信息安全等级保护92网络信任体系建设3019网络安全产品测评2617信息安全管理标准104其他应用安全标准18合计7650信息平安标准分布情况LOGO 1999年发布的信息平安国标 BG 17859-1999 计算机信息系统平安保护等级划分准那么 GB/T 17901.1-19 99 信息技术 平安技术 密钥管理 第1局部:框架 GB/

43、T 17902.1-1999 信息技术 平安技术 带附录的数字签名 第1局部:框架 1995年发布的信息平安国标 GB 15851-1995 信息技术 平安技术 带消息恢复的数字签名方案LOGO 2000年发布的信息平安国标 GB/T 18238.1-2000 信息技术 平安技术 散列函数 第1局部:概述 2002年发布的信息平安国标 GB/T 18238.2-2002信息技术 平安技术 散列函数 第2局部:采用n位块密码的散列函数 GB/T 18238.3-2002信息技术 平安技术 散列函数 第3局部:专用散列函数LOGO 2005年发布的信息平安国标GB/T 19713-2005信息技术

44、 平安技术 公钥根底设施 在线证书状态协议GB/T 19714-2005信息技术 平安技术 公钥根底设施 证书管理协议GB/Z 19717-2005基于多用途互联网邮件扩展MIME的平安报文交换GB/T 19771-2005信息技术 平安技术 公钥根底设施 PKI 组件最小互操作标准GB/T 20008-2005信息平安技术 操作系统平安评估准那么GB/T 20009-2005信息平安技术 数据库管理系统平安评估准那么GB/T 20010-2005信息平安技术 包过滤防火墙评估准那么GB/T 20011-2005信息平安技术 路由器平安评估准那么LOGO 2006年发布的信息平安国标 GB/T

45、 20269-2006信息平安技术 信息系统平安管理要求 GB/T 20270-2006信息平安技术 网络根底平安技术要求 GB/T 20271-2006信息平安技术 信息系统通用平安技术要求 GB/T 20272-2006信息平安技术 操作系统平安技术要求 GB/T 20273-2006信息平安技术 数据库管理系统平安技术要求 GB/T 20274.1-2006信息平安技术 信息系统平安保障评估框架 第一局部:简介和一般模型LOGO 2006年发布的信息平安国标续 GB/T 20275-2006信息平安技术 入侵检测系统技术要求和测试评价方法 GB/T 20276-2006信息平安技术 智能

46、卡嵌入式软件平安技术要求EAL4增强级 GB/T 20277-2006信息平安技术 网络和终端设备隔离部件测试评价方法 GB/T 20278-2006信息平安技术 网络脆弱性扫描产品技术要求 GB/T 20279-2006信息平安技术 网络和终端设备隔离部件平安技术要求 GB/T 20280-2006信息平安技术 网络脆弱性扫描产品测试评价方法LOGO 2006年发布的信息平安国标续 GB/T 20281-2006信息平安技术 防火墙技术要求和测试评价方法 GB/T 20282-2006信息平安技术 信息系统平安工程管理要求 GB/Z 20283-2006信息平安技术 保护轮廓和平安目标的产生

47、指南 GB/T 20518-2006信息平安技术 公钥根底设施 数字证书格式 GB/T 20519-2006信息平安技术 公钥根底设施 特定权限管理中心技术标准 GB/T 20520-2006信息平安技术 公钥根底设施 时间戳标准LOGO 2007年发布的信息平安国标 GB/T 18018-2007信息平安技术 路由器平安技术要求 GB/T 20945-2007信息平安技术 信息系统平安审计产品技术要求和测试评价方法 GB/T 20979-2007信息平安技术 虹膜识别系统技术要求 GB/T 20983-2007信息平安技术 网上银行系统信息平安保障评估准那么 GB/T 20984-2007信

48、息平安技术 信息平安风险评估标准 GB/Z 20985-2007信息技术 平安技术 信息平安事件管理指南 GB/Z 20986-2007信息平安技术 信息平安事件分类分级指南LOGO 2007年发布的信息平安国标续 GB/T 20987-2007信息平安技术 网上证券交易系统信息平安保障评估准那么 GB/T 20988-2007信息平安技术 信息系统灾难恢复标准 GB/T 21028-2007信息平安技术 效劳器平安技术要求 GB/T 21050-2007信息平安技术 网络交换机平安技术要求评估保证级3 GB/T 21052-2007信息平安技术 信息系统物理平安技术要求 GB/T 21053

49、-2007信息平安技术 公钥根底设施 PKI系统平安等级保护技术要求 GB/T 21054-2007信息平安技术 公钥根底设施 PKI系统平安等级保护评估准那么LOGO 2021年发布的信息平安国标GB/T 17964-2021信息平安技术 分组密码算法的工作模式GB/T 22080-2021信息技术 平安技术 信息平安管理体系 要求GB/T 22081-2021信息技术 平安技术 信息平安管理实用规那么GB/T 22186-2021信息平安技术 具有中央处理器的集成电路IC卡芯片平安技术要求(评估保证级4增强级)GB/T 22239-2021信息平安技术 信息系统平安等级保护根本要求GB/T

50、 22240-2021信息平安技术 信息系统平安等级保护定级指南LOGO 2021年发布的信息平安国标续GB/T 15843.1-2021信息技术 平安技术 实体鉴别 第1局部: 概述GB/T 15843.2-2021信息技术 平安技术 实体鉴别 第2局部: 采用对称加密算法的机制GB/T 15843.3-2021信息技术 平安技术 实体鉴别 第3局部: 采用数字签名技术的机制GB/T 15843.4-2021信息技术 平安技术 实体鉴别 第4局部: 采用密码校验函数的机制GB/T 15852.1-2021信息技术 平安技术 消息鉴别码 第1局部:采用分组密码的机制GB/T 17903.1-2021信息技术 平安技

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论