信息安全标准介绍

1、 2010 联想网御信息安全相关标准介绍安全服务部安全服务部 袁曙光袁曙光联想网御科技（北京）有限公司联想网御科技（北京）有限公司目录目录信息安全标准概述信息安全标准概述等级保护标准等级保护标准 ISO27000系列标准系列标准 ITIL与与ISO20000 企业内控相关标准企业内控相关标准什么是标准什么是标准标准是对重复性事物和概念所作的统一规标准是对重复性事物和概念所作的统一规定。它以科学、技术和实践经验的综合成定。它以科学、技术和实践经验的综合成果为基础，经有关方面协商一致，由主管果为基础，经有关方面协商一致，由主管机构批准，以特定形式发布，作为共同遵机构批准，以特定形式发布，作为共同遵

2、守的准则和依据。守的准则和依据。“没有规矩，不成方圆没有规矩，不成方圆”主要的信息安全标准国际标准主要的信息安全标准国际标准发布的机构发布的机构安全标准安全标准1ISO（国际标准组织）ISO17799/ISO27001/ISO27002ISO/IEC 15408ISO/IEC 13335ISO/TR 135692ISACA（信息系统审计与控制学会）COBIT 4.13ISSEA（国际系统安全工程协会）SSE-CMM Systems Security Engineering - Capability Maturity Model 3.04ISSA（信息系统安全协会）GAISP Version 3

3、.05ISF (信息安全论坛）The Standard of Good Practice forInformation Security6IETF （互联网工程任务小组）各种RFC （Request for Comments）主要的信息安全标准国际标准主要的信息安全标准国际标准( (续）续）发布的机构发布的机构安全标准安全标准7NIST（国家标准和技术研究所）NIST 800系列8DOD (美国国防部)TCSEC（可信计算机系统评测标准） 彩虹系列9Carnegie Mellon Software Engineering Institute (SEI) Operationally Critic

4、al Threat, Asset, and Vulnerability Evaluation (OCTAVE) Criteria Version 2.010OECD（经济与贸易发展组织）Guidelines for the Security of InformationSystems and Networks and AssociatedImplementation Plan11The Open GroupManagers Guide to Information Security12ITILSecurity management除了上述标准，世界各国的官方机构和行业监管机构还有许多信息安全方

5、面的标准、指引和建议的操作实践。主要的信息安全标准国内标准主要的信息安全标准国内标准发布的机构发布的机构安全标准安全标准1全国信息安全标准化技术委员会等级保护系列标准信息安全技术 信息系统安全等级保护基本要求信息安全技术 信息系统安全等级保护定级指南 信息安全技术 信息系统安全等级保护实施指南其他信息安全标准 截至2007年底，共完成了国家标准59项，还有56项国家标准在研制中。2公安部、安全部、国家保密局、国家密码管理委员会等部门 一系列的信息安全方面的政策法规如：计算机信息网络国际联网安全保护管理办法 互联网信息服务管理办法计算机信息系统保密管理暂行规定 计算机软件保护条例商用密码管理条例

6、，等。信息安全标准的演进信息安全标准的演进各个主流标准的使用位置各个主流标准的使用位置目录目录信息安全标准概述信息安全标准概述等级保护标准等级保护标准 ISO27000系列标准系列标准 ITIL与与ISO20000 企业内控相关标准企业内控相关标准等级保护相关法规等级保护相关法规1、1994年年中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例 （国务院（国务院147号令）号令）2、2003年年国家信息化领导小组关于加强信息安全保障工作的意见国家信息化领导小组关于加强信息安全保障工作的意见（中办发（中办发200327号）号）3、关于信息安全等级保护工作的实施意见关

7、于信息安全等级保护工作的实施意见（公通字（公通字200466号）号）4、信息安全等级保护管理办法信息安全等级保护管理办法（公通字（公通字200743号号5、关于开展全国重要信息系统安全保护等级定级工作的通知关于开展全国重要信息系统安全保护等级定级工作的通知（公信安（公信安2007861号）号）6、国务院办公厅关于印发国务院办公厅关于印发的通知的通知（国办发（国办发200928号）号）7、发改委、公安部、国家保密局会签文件、发改委、公安部、国家保密局会签文件关于加强国家电子政务工程建设项关于加强国家电子政务工程建设项目信息安全风险评估工作的通知目信息安全风险评估工作的通知（发改高技（发改高技20

8、082071号）号）8、信息安全等级保护备案实施细则信息安全等级保护备案实施细则（公信安（公信安20071360号号9、公安机关信息安全等级保护检查工作规范（试行）公安机关信息安全等级保护检查工作规范（试行）（公信安（公信安2008736号号 ）10、关于开展信息安全等级保护安全建设整改工作的指导意见关于开展信息安全等级保护安全建设整改工作的指导意见(2009年年10月月)重要法规梳理重要法规梳理l27号文：号文：明确指出明确指出“实行信息安全等级保护实行信息安全等级保护”，这是我国第一个信息安这是我国第一个信息安全保障工作的纲领性文件。全保障工作的纲领性文件。l66号文：等级保护是今后国家信

9、息安全的基本制度也是根本方法、等级号文：等级保护是今后国家信息安全的基本制度也是根本方法、等级保护制度的重要意义、原则、基本内容、工作职责分工、工作要求和实施保护制度的重要意义、原则、基本内容、工作职责分工、工作要求和实施计划。计划。 l43号文：明确号文：明确 五个安全等级，确立了五个安全等级，确立了等级保护主要内容是定级、备案、等级保护主要内容是定级、备案、系统建设整改系统建设整改、等级测评、监督检查。、等级测评、监督检查。l736号文：是号文：是等级保护检查工作制定的工作规范，在检查依据、内容、程等级保护检查工作制定的工作规范，在检查依据、内容、程序、形式、时限要求等方面了详细规定。序、

10、形式、时限要求等方面了详细规定。l2009年年10月发布月发布关于开展信息安全等级保护安全建设整改工作的指导关于开展信息安全等级保护安全建设整改工作的指导意见意见，是信息系统定级备案工作完成后，开展信息安全等级保护后续工，是信息系统定级备案工作完成后，开展信息安全等级保护后续工作的指导性文件。作的指导性文件。类别类别要求要求公安机关公安机关监督、检查、指导。国家保密工作部门国家保密工作部门保密保密工作的监督、检查、指导。国家密码管理部门国家密码管理部门密码密码工作的监督、检查、指导。工信部信息安全协调司工信部信息安全协调司部门间的协调其他职能部门其他职能部门依据国际法律法规的规定信息安全等级保

11、护管理办法（公通字【2007】43号），明确了公安、保密、密码、信息化部门以及其他部门的职责：我国信息安全等级保护职责分工我国信息安全等级保护职责分工等级保护职责分工原则等级保护职责分工原则l谁主管、谁负责谁主管、谁负责l谁运营、谁负责谁运营、谁负责l谁建设、谁负责谁建设、谁负责等级保护标准体系等级保护标准体系基础类标准基础类标准计算机信息系统安全保护等级划分准则（GB17859-1999）信息系统安全等级保护基本要求（GB/T 22239-2008）等级保护标准体系等级保护标准体系应用类标准应用类标准u 信息系统定级信息系统安全保护等级定级指南（GB/T 22240-2008）u 等级保护实

12、施信息系统安全等级保护实施指南（报批稿）u 信息系统安全建设信息系统通用安全技术要求（GB/T 20271-2006）信息系统等级保护安全设计技术要求（报批稿）信息系统安全管理要求（GB/T 20269-2006）信息系统安全工程管理要求（GB/T 20282-2006）信息系统物理安全技术要求（GB/T 21052-2007）网络基础安全技术要求（GB/T 20270-2006）信息系统安全等级保护体系框架（GA/T 708-2007）信息系统安全等级保护基本模型（GA/T 709-2007）信息系统安全等级保护基本配置（GA/T 710-2007）u 等级测评等级测评信息系统安全等级保护测

13、评要求信息系统安全等级保护测评要求（报批稿）（报批稿）信息系统安全等级保护测评过程指信息系统安全等级保护测评过程指南南（报批稿）（报批稿）信息系统安全管理测评信息系统安全管理测评（GA/T 713-2007） 等级保护标准体系等级保护标准体系产品类标准产品类标准u 操作系统操作系统安全技术要求操作系统安全评估准则u 数据库数据库管理系统安全技术要求数据库管理系统安全评估准则u 网络网络端设备隔离部件技术要求网络端设备隔离部件测试评价方法u PKI公钥基础设施安全技术要求PKI系统安全等级保护技术要求u 网关网关安全技术要求服务器服务器安全技术要求u 入侵检测入侵检测入侵检测系统技术要求和检测方

14、法入侵检测系统技术要求和检测方法计算机网络入侵分级要求计算机网络入侵分级要求u 防火墙防火墙防火墙安全技术要求防火墙安全技术要求防火墙技术测评方法防火墙技术测评方法u 路由器路由器路由器安全技术要求路由器安全技术要求路由器安全评估准则路由器安全评估准则路由器安全测评要求路由器安全测评要求u 交换机交换机网络交换机安全技术要求网络交换机安全技术要求交换机安全测评要求交换机安全测评要求u 其他产品其他产品终端计算机系统安全等级技术要求终端计算机系统安全等级技术要求终端计算机系统测评方法终端计算机系统测评方法审计产品技术要求和测评方法审计产品技术要求和测评方法等级保护标准体系等级保护标准体系其他类标

15、准其他类标准u 风险评估信息安全风险评估规范（GB/T 20984-2007）u 事件管理信息安全事件管理指南（GB/Z 20985-2007）信息安全事件分类分级指南（GB/Z 20986-2007）信息系统灾难恢复规范恢复规范（GB/T 20988-2007GB/T 20988-2007） 等等级级保保护护标标准准关关系系信息系统安全等级保护基本要求信息系统安全等级保护基本要求GB/T 22239-2008计算机信息系统安全保护等级划分准则（GB17859）信息系统通用安全技术要求信息系统物理安全技术要求技术类技术类其他技术类标准信息系统安全管理要求信息系统安全工程管理要求其他管理类标准信

16、息系统安全等级保护定级指南(GB/T 22240-2008)信息系统安全等级保护基本要求的行业细则信息系统安全等级保护测评过程指南信息系统安全等级保护测评要求信息系统等级保护安全设计技术要求管理类管理类产品类产品类数据库管理系统安全技术要求其他产品类标准信息系统安全等级保护行业定级细则操作系统安全技术要求信息安全等级信息安全等级保护安全建设保护安全建设网络基础安全技术要求网络和终端设备隔离部件技术要求安全等级基线要求状况分析方法指导信息系统安全等级保护实施指南 关于开展信息安全等级保护安全建设整改工作的指导意见 计算机信息系统安全保护等级划分准则（GB17859-1999） 信息系统安全等级保

17、护基本要求（GB/T 22239-2008） 信息系统安全等级保护实施指南（报批稿）主要政策标准主要政策标准指导意见指导意见关于开展信息安全等级保护安全建设整改工作的关于开展信息安全等级保护安全建设整改工作的指导意见指导意见 在全国完成信息系统安全保护定级工作后，公安部拟在全国完成信息系统安全保护定级工作后，公安部拟下发通知部署安全保护等级为第三级以上的信息系统（以下发通知部署安全保护等级为第三级以上的信息系统（以下简称下简称“重要信息系统重要信息系统”）等级保护安全建设工作。等级）等级保护安全建设工作。等级保护安全建设工作主要包括三项工作内容：一是开展重要保护安全建设工作主要包括三项工作内容

18、：一是开展重要信息系统等级测评工作；二是开展重要信息系统安全建设信息系统等级测评工作；二是开展重要信息系统安全建设整改工作；三是开展重要信息系统检查工作。整改工作；三是开展重要信息系统检查工作。 是信息系统定级备案工作完成后，开展信息安全等级是信息系统定级备案工作完成后，开展信息安全等级保护后续工作的指导性文件。本通知下发后，国家信息安保护后续工作的指导性文件。本通知下发后，国家信息安全等级保护制度的政策体系将基本成型。全等级保护制度的政策体系将基本成型。指导意见中的指导意见中的“工作目标工作目标” 依据信息安全等级保护有关政策和标准，通依据信息安全等级保护有关政策和标准，通过组织开展信息安全

19、等级保护安全管理制度建设、过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评，落实等级保护制度的各技术措施建设和等级测评，落实等级保护制度的各项要求，使信息系统安全管理水平明显提高，安全项要求，使信息系统安全管理水平明显提高，安全防范能力明显增强，安全隐患和安全事故明显减少，防范能力明显增强，安全隐患和安全事故明显减少，有效保障信息化健康发展，维护国家安全、社会秩有效保障信息化健康发展，维护国家安全、社会秩序和公共利益，力争在序和公共利益，力争在2012年底前完成已定级信年底前完成已定级信息系统安全建设整改工作。息系统安全建设整改工作。指导意见中指导意见中“工作目标工作目标”的

20、政策要点的政策要点（一）工作主体（一）工作主体各地区、各部门，这其中包括信各地区、各部门，这其中包括信息系统备案单位；息系统备案单位；（二）工作对象（二）工作对象安全保护等级为第三级以上的信安全保护等级为第三级以上的信息系统；息系统；（三）工作内容（三）工作内容信息系统等级测评工作、信息系信息系统等级测评工作、信息系统安全建设整改工作、等级保护工作监督、检查；统安全建设整改工作、等级保护工作监督、检查；指导意见中指导意见中“工作目标工作目标”的政策要点的政策要点（四）工作依据（四）工作依据等级保护政策和标准，主要包括：等级保护政策和标准，主要包括：国务院国务院147号令，中办发号令，中办发27

21、号文件、公通字号文件、公通字66号文号文件、件、43号文件以及号文件以及基本要求基本要求、测评要求测评要求测评工作过程指南测评工作过程指南、实施指南实施指南、测评过测评过程指南程指南等相关技术标准；等相关技术标准；指导意见中指导意见中“工作目标工作目标”的政策要点的政策要点（五）时间要求（五）时间要求总体上用三年时间完成重要信息总体上用三年时间完成重要信息系统安全建设工作。各地区、各部门要于系统安全建设工作。各地区、各部门要于2009年年底前完成工作部署，从底前完成工作部署，从2010年开始到年开始到2011年底前年底前完成全国三级以上重要信息系统安全建设工作。为完成全国三级以上重要信息系统安

22、全建设工作。为体现体现“突出重点、保护重点突出重点、保护重点”的原则，安全保护等的原则，安全保护等级为第四级的信息系统应于级为第四级的信息系统应于2010年底前完成等级年底前完成等级保护安全建设工作；保护安全建设工作；指导意见中指导意见中“工作目标工作目标”的政策要点的政策要点（六）直观工作目标（六）直观工作目标明确等级保护安全建设需求，明确等级保护安全建设需求，有针对性的开展安全等级保护管理制度建设和技术有针对性的开展安全等级保护管理制度建设和技术措施建设，落实等级保护制度的各项要求。在信息措施建设，落实等级保护制度的各项要求。在信息系统整个生命周期中，在系统立项、规划设计、建系统整个生命周

23、期中，在系统立项、规划设计、建设、投入使用、日常运维等各个工作环节，通过定设、投入使用、日常运维等各个工作环节，通过定级、备案、等级测评、建设整改、监督检查等工作级、备案、等级测评、建设整改、监督检查等工作流程，建立并完善等级保护工作领导体制和工作机流程，建立并完善等级保护工作领导体制和工作机制，落实各项工作责任，落实各项管理制度和技术制，落实各项工作责任，落实各项管理制度和技术措施，认真开展自查和检查等；措施，认真开展自查和检查等；指导意见中指导意见中“工作目标工作目标”的政策要点的政策要点（七）根本工作目标（七）根本工作目标这是国家贯彻落实信息安全这是国家贯彻落实信息安全等级保护制度的根本

24、目标。贯彻实施信息安全等级等级保护制度的根本目标。贯彻实施信息安全等级保护工作不仅要提升系统安全保护能力，而且提出保护工作不仅要提升系统安全保护能力，而且提出系统安全要保障信息化健康发展，维护国家安全、系统安全要保障信息化健康发展，维护国家安全、社会秩序和公共利益，这与信息系统定级工作的依社会秩序和公共利益，这与信息系统定级工作的依据标准一致，安全建设作为信息系统定级的后续工据标准一致，安全建设作为信息系统定级的后续工作，其工作目标与信息系统定级依据相同，在政策作，其工作目标与信息系统定级依据相同，在政策体系上保持了一致。体系上保持了一致。建设整改的流程建设整改的流程信息系统安全建设整改工作分

25、五步进行。信息系统安全建设整改工作分五步进行。第一步：制定信息系统安全建设整改工作规划，对信息系第一步：制定信息系统安全建设整改工作规划，对信息系统安全建设整改工作进行总体部署；统安全建设整改工作进行总体部署；第二步：开展信息系统安全保护现状分析，从管理和技术第二步：开展信息系统安全保护现状分析，从管理和技术两个方面确定信息系统安全建设整改需求；两个方面确定信息系统安全建设整改需求；第三步：确定安全保护策略，制定信息系统安全建设整改第三步：确定安全保护策略，制定信息系统安全建设整改方案；方案；第四步：开展信息系统安全建设整改工作，建立并落实安第四步：开展信息系统安全建设整改工作，建立并落实安全

26、管理制度，落实安全责任制，建设安全设施，落实安全全管理制度，落实安全责任制，建设安全设施，落实安全措施；措施；第五步：开展安全自查和等级测评，及时发现信息系统中第五步：开展安全自查和等级测评，及时发现信息系统中存在安全隐患和威胁，进一步开展安全建设整改工作。该存在安全隐患和威胁，进一步开展安全建设整改工作。该流程如下图所示。流程如下图所示。信息系统安全管理建设信息系统安全管理建设信息系统安全技术建设信息系统安全技术建设开展信息系统安全自查和等级测评开展信息系统安全自查和等级测评信息系统安全保护现状分析信息系统安全保护现状分析信息系统安全建设整改工作规划和工作部署信息系统安全建设整改工作规划和工

27、作部署确定安全策略，制定安全建设整改方案确定安全策略，制定安全建设整改方案物物 理理 安安 全全网网 络络 安安 全全主主 机机 安安 全全应应 用用 安安 全全数数 据据 安安 全全安全管理机构安全管理机构安全管理制度安全管理制度人员安全管理人员安全管理系统建设管理系统建设管理系统运行管理系统运行管理建设整改的流程建设整改的流程管理制度建设管理制度建设明确主管领导、落实责任部门落实安全岗位和人员信息系统安全管理现状分析确定安全管理策略、制定安全管理制度安全自查和调整系统建设管理落实安全管理措施人员安全管理环境和资产管理设备和介质管理日常运行维护集中安全管理事件处置和应急响应灾难备份安全监测系

28、统运维管理安全技术建设安全技术建设信息系统安全保护技术现状分析开展建设整改技术方案详细设计工程实施及验收等级测评不符合标准要求开展建设整改技术方案论证和评审确定安全策略，开展建设整改技术方案总体设计通信网络安全物理安全。应用系统安全区域边界安全主机系统安全备份和恢复建设并落实安全技术措施计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则早在1985年，美国国防部为指导计算机安全产品的制造和数据处理系统的安全建设与评估，制定并颁布了可信计算机系统评估准则（DoD 5200.28-STD），也就是TCSEC。1999年我国在此标准的基础上修改制定了国家强制标准GB 17859-1

29、999计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则 GB 17859-1999计算机信息系统安全保护等级划分准则 用户自主保护级 自主访问控制、身份鉴别、数据完整性 系统审计保护级 自主访问控制、身份鉴别、数据完整性、安全审计、客体重用 安全标记保护级 自主访问控制、身份鉴别、数据完整性、安全审计、客体重用、强制访问控制、标记 结构化保护级 自主访问控制、身份鉴别、数据完整性、安全审计、客体重用、强制访问控制、标记、隐蔽信道分析、可信路径 访问验证保护级 自主访问控制、

30、身份鉴别、数据完整性、安全审计、客体重用、强制访问控制、标记、隐蔽信道分析、可信路径、可信恢复基本要求基本要求标准编制思路标准编制思路一级系统一级系统二级系统二级系统三级系统三级系统四级系统四级系统防护防护防护防护/监测监测策略策略/防护防护/监测监测/恢复恢复策略策略/防护防护/监测监测/恢复恢复/响应响应一级系统一级系统二级系统二级系统三级系统三级系统四级系统四级系统通信通信/边界（基本）边界（基本）通信通信/边界边界/内部（关键设备）内部（关键设备）通信通信/边界边界/内部（主要设备）内部（主要设备）通信通信/边界边界/内部内部/基础设施（所有设备）基础设施（所有设备）基本要求基本要求标

31、准编制思路标准编制思路基本要求的组织方式基本要求的组织方式某级系统某级系统类类技术要求技术要求管理要求管理要求基本要求基本要求类类控制点控制点具体要求具体要求控制点控制点具体要求具体要求三、标准的主要内容三、标准的主要内容7 第三级基本要求7.1 技术要求7.1.1 物理安全（类） 物理位置的选择（控制点） 本项要求包括（具体要求） a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内 b)机房场地应避免设在建筑物的高层或地下室，以及用水设备的下 层或隔壁。 。7.2 管理要求7.2.1 安全管理制度（类） 管理制度（控制点） 本项要求包括： （具体要求）

32、a)应制定信息安全工作的总体方针和安全策略，说明机构安全工作 的总体目标、范围、原则和安全框架等； b)应对安全管理活动中的各类管理内容建立安全管理制度；实施指南实施指南- -基本实施过程基本实施过程重大变更重大变更局部调整局部调整系统定级系统定级安全规划设计安全规划设计安全实施安全实施/ /实现实现安全运行管理安全运行管理系统终止系统终止与信息系统生命周期之间的关系与信息系统生命周期之间的关系 新建信息系统新建信息系统等级保护实施过新建信息系统等级保护实施过程程信息系统生命周期信息系统生命周期安全运行管理安全运行管理（变更管理（变更管理/ /定期安全测定期安全测评评/ /监督检查）监督检查）

33、系统系统定级定级安全规安全规划设计划设计安全安全实施实施系统系统终止终止设计开设计开发阶段发阶段运行维护阶段运行维护阶段启动启动阶段阶段实施实施阶段阶段中止中止阶段阶段安全态势分析安全态势分析信息安全标准概述信息安全标准概述等级保护标准等级保护标准 ISO27000系列标准系列标准 ITIL与与ISO20000 企业内控相关标准企业内控相关标准ISO 27001 ISO 27001 介绍介绍什么是什么是 文档化体系 信息安全策略 风险处置计划 范围内的信息资产清单 风险评估 适用性声明 策略、流程、指南、程序 ISMS 需要 执行与管理 复查、 审计和考核 持续改进 认证 有意义但不是根本 最

34、终阶段 需要第三方认证 证据业务驱动业务驱动 实施信息安全最佳实践实施信息安全最佳实践保证信息资产的安全保护企业声誉满足合规性要求提升 IT 架构效率质量体系保证 认证驱动认证驱动企业证明客户、合作伙伴要求政府、投资者要求证明您对信息安全的承诺证明您对信息安全的承诺信息是一种非常重要的资产，它贯穿并支持组织的整个经营活动，从小交易到公司合并，从大项目到员工资料管理如果没有有效的信息管理，一些仅供组织内部使用的敏感信息，很容易泄漏。如果组织的信息体系从信息质量、数量或沟通环节被攻击，那么组织会处于极大的风险中这就是为什么您需要主动地管理信息安全，向您的员工、股东、合作伙伴分享信息安全管理经验确保

35、您的信息安全并持续保持确保您的信息安全并持续保持ISO27001:2005 信息安全管理体系(ISMS)认证表明您对信息安全、客户要求和持续改进的承诺标准由两部分构成： ISO27002:2005 信息安全管理实施指南，指导ISMS实践 ISO27001:2005 信息安全管理体系标准，ISMS认证标准界定ISMS认证范围，对于识别风险和评审风险至关重要一个成功ISMS体系包括建立、运行、评审、维护和改进一系列过程标准的发展标准的发展199519981999.042000.1220022005.62005.10BS7799-2:1998信息安全信息安全管理体系规范管理体系规范BS7799:19

36、99BS7799的两个部分进行的两个部分进行合并合并ISO/IEC 17799:2000信息技术信息技术信息安全管信息安全管理实施规则理实施规则BS7799-2:2002安全管理体系规范安全管理体系规范与使用指南与使用指南ISO/IEC 17799:2005信息安全管理体系实施规信息安全管理体系实施规则则ISO/IEC 27001:2005信息技术安全技术信信息技术安全技术信息安全管理体系要求息安全管理体系要求BS7799-1:1995信息安全信息安全管理实施规则管理实施规则ISO/IEC 27002:2005信息安全管理体系实施规信息安全管理体系实施规则则信息安全标准现状信息安全标准现状 已

37、有二十多个国家和地区引用BS7799作为本国标准，并有四十多个国家和地区开展了相关业务。澳大利亚/新西兰（前国标AS/NZS 4444，现国标AS/NZS 7799）荷兰（SPE 20003）瑞典（SS 627799）日本（JIS X 5080，相当于BS 7799-1） 国内，ISO 17799:2000已被转化为GB/T 19716:2005 国际， ISO 17799:2000已被转化为ISO 27002:2005ISO 27001ISO 27001认证机构认证机构 在中国大陆地区，可以提供BS7799/ISO 27001认证服务的主要是DNV（Det Norske Veritas挪威船

38、级社）和BSI（British Standards Institution英国标准协会 ）认可机制认可机制认证（Certification）和认可（Accreditation）认证是第三方依据程序对产品、过程、服务符合规定要求给予的书面保证（合格证书），其基础是相关标准。根据对象的不同，认证通常分为产品认证和体系认证。通过认证，组织可以对外提供某种信任和保证认可是由某权威机构依据程序对某团体（例如对认证机构的认可）或个人（例如对审核员资格的认可）具有从事特定任务的能力给予的正式承认认可机构英国UKAS、荷兰RvA、瑞典Swedac基于流程的基于流程的 ISMS ISMS InterestedP

39、artiesInformationsecurityrequirements and expectationsInterestedPartiesManagedInformationsecurityContinual improvementof the Information Security Management SystemEstablish ISMS4.2.1Monitor and Review the ISMS4.2.3Implement and Operate the ISMS4.2.2Maintain and improve the ISMS4.2.4InputOutputInform

40、ation security management systemPDACPDACPDACPDACISO/IEC17799ISO/IEC17799模型模型ISO/IEC 17799ISO/IEC 17799标准的内容涉及标准的内容涉及1010个领域，个领域，3636个控制目标和个控制目标和127127个控制措施。个控制措施。 ISO/IEC 27001/27002:2005ISO/IEC 27001/27002:2005 的內容的內容总共分成 11个领域、 39个控制目标、 133个控制措施。 11个领域包括A.1 Security PolicyA.2 organization of infor

41、mation securityA.3 Asset managementA.4 Human resources securityA.5 Physical and environmental securityA.6 Communications and operations managementA.7 Access controlA.8 Information systems acquisition, development and maintenanceA.8 Information security incident managementA.10 Business continuity man

42、agementA.11 ComplianceBS 7799 Part 2:2002 vs ISO 27001:2005BS 7799 Part 2:2002 vs ISO 27001:2005Chapter 0. 简介简介Chapter 1. 范围范围Chapter 2. 强制性引用标准强制性引用标准 Chapter 3. 术语和定义术语和定义Chapter 4. 信息安全管理体系信息安全管理体系 Chapter 5. 管理责任管理责任Chapter 6. ISMS管理评审管理评审Chapter 7. ISMS改进改进BS 7799-2:2002Chapter 0. 简介简介Chapter 1

43、. 范围范围Chapter 2. 强制性引用标准强制性引用标准 Chapter 3. 术语和定义术语和定义Chapter 4. 信息安全管理体系信息安全管理体系 Chapter 5. 管理责任管理责任Chapter 6. 内部审核内部审核Chapter 7. 管理评审管理评审Chapter 8. 持续改进持续改进ISO 27001:2005Chapter 1. 范围范围Chapter 2. 术语和定义术语和定义Chapter 3. 安全策略安全策略Chapter 4. 安全组织安全组织Chapter 5. 资产分类和控制资产分类和控制Chapter 6. 人员安全人员安全Chapter 7.

44、物理和环境安全物理和环境安全Chapter 8. 通信和操作管理通信和操作管理Chapter 9. 访问控制访问控制Chapter 10. 系统开发和维护系统开发和维护Chapter 11. 业务连续性管理业务连续性管理Chapter 12. 符合性符合性ISO 17799:2000ISO 17799:2000 vs ISO 17799:2005ISO 17799:2000 vs ISO 17799:2005Chapter 1. 范围范围Chapter 2. 术语和定义术语和定义Chapter 3. 标准结构标准结构Chapter 4. 风险评估和处理风险评估和处理Chapter 5. 安全策

45、略安全策略Chapter 6. 组织信息安全组织信息安全 Chapter 7. 资产管理资产管理 Chapter 8. 人力资源安全人力资源安全 Chapter 9. 物理和环境安全物理和环境安全 Chapter 10. 通信和操作管理通信和操作管理 Chapter 11. 访问控制访问控制 Chapter 12. 系统开发和维护系统开发和维护 Chapter 13. 信息安全事件管理信息安全事件管理 Chapter 14. 业务连续性管理业务连续性管理 Chapter 15. 符合性符合性ISO 17799:2005ISO 27001 SeriesISO 27001 SeriesISO 27

46、000 - will contain the vocabulary and definitionsvocabulary and definitions i.e. terminology for all of these information security management standardsISO 27001 - is the Information Security Management System requirements standard Information Security Management System requirements standard (specifi

47、cation)(specification) against which organizations are formally certified compliantISO 27002 will be the new name for the standard currently known as ISO 17799ISO 17799 and formerly known as BS 7799 part 1. This is the code of practice for information code of practice for information security manage

48、mentsecurity management describing a comprehensive set of information security control objectives and a menu of best-practice security controls ISO 27003 - will be an implementation guideimplementation guide ISO 27004 - will be an information security management measurementinformation security manag

49、ement measurement standard to help measure the effectiveness of information security management system implementations.ISO 27005 - will be an information security risk management information security risk management standard (will replace the recently issued BS 7799 Part 3BS 7799 Part 3).ISO 27006 -

50、 is a guide to the certification/registration processguide to the certification/registration process for accredited ISMS certification/registration bodies. ISO 27007 - will probably be a guideline for auditing Information Security Management guideline for auditing Information Security Management Sys

51、temsSystems. ISO 27031 will be telecomms sector-specific implementation guidance for ISO telecomms sector-specific implementation guidance for ISO 17799/2700217799/27002. ISO 27008-59 - is our holding page with preliminary information on various other rumoured ISO 27000-series Information Security M

52、anagement standards including industry-specific implementation guidelines and a disaster recovery standard.ISO 27799 - will be health sector-specific implementation guidance for ISO health sector-specific implementation guidance for ISO 17799/2700217799/27002.ISO 27001:2005 ISO 27001:2005 的益处的益处ISO的

53、声誉和通过国际认可的ISO 27001:2005认证增强了所有公司的可信度。它清楚地表明了您的信息的有效性和一个真正对信息安全支持的承诺ISMS的建立和认证也可以改变您公司内外的文化，使您赢得具与有安全意识的客户开拓新业务的机会，以及提升员工的道德观念和他们对整个工作场所信息安全的思想观念。而且，它使您可以增强信息安全，减少可能产生欺骗、信息丢失和泄漏的风险获得BS7799认证的组织将要换证为ISO 27001:2005。根据2006年1月UKAS 换证声明，通过BS 7799-2:2002认证的公司可以在2007年7月前完成换证。http:/ 27001 ISO 27001 实施与认证过程实

54、施与认证过程ISO 27001 ISO 27001 一般认证过程一般认证过程ISO 27001ISO 27001证书获取过程证书获取过程Periodical AuditsFollow UpISMSInitial AuditPre-AssessmentPre-Study/Implementation顾问顾问/咨询机构咨询机构Auditor(s)Confidentiality AgreementAwareness creationISO 27001ISO 27001认证费用认证费用 认证机构的报价根据其投入的时间和人员来确定，决定因素包括：The size of the companyScopeI

55、T-environmentThe readiness for certification within the companyPrior certification 10,000 for a company with 100 employees provided that the company already is well on its way with the implementation.ISMS Project RoadmapISMS Project Roadmap确定范围确定范围资产调研资产调研管理层策略管理层策略风险评估风险评估适用性声明适用性声明PLAN文档准备文档准备实施实施

56、ISMS教育培训教育培训证据证据持续改进持续改进复查、监控复查、监控检查、审计检查、审计DOCHECKACTISMS ISMS 实施过程实施过程0. 0. 获得管理层支持获得管理层支持 说起来容易做起来难 提高管理层意识 当前的风险 与最佳实践的差距分析1. 1. 定义定义 ISMS ISMS 范围范围 Businesses Business units Departments Systems 2. 2. 准备适用性声明准备适用性声明(SOA)(SOA) 哪些控制目标适用(applicable) 哪些控制目标不相关(irrelevant)、不适用(not appropriate )、不需要(n

57、ot required)ISMS ISMS 实施过程（续）实施过程（续）3. 3. 资产调研资产调研information systems, networks, databases, data items, documents etc.4. 4. 风险评估风险评估标准中并没有指定风险评估方法Mehari/CRAMM/OCTAVE/Citicus One/ISO TR 13335/AS/NZS 4360:2004:/HB 436:2004/NIST SP 800-30 DIY5. 5. 准备风险处置计划准备风险处置计划(RTP)(RTP)哪些控制用来应对已识别的风险6. 6. 制定制定 ISMS

58、 ISMS 实施计划实施计划需要的资源专家的支持专家的支持Internal Audit, Risk, Compliance, HR, Finance 的支持ISMS ISMS 实施过程（续）实施过程（续）7. ISMS 7. ISMS 实施实施项目管理计划、预算、进度8. ISMS 8. ISMS 运行运行是一项持续的活动9. 9. 收集收集 ISMS ISMS 运行证据运行证据security logs, log review reports, firewall configuration files, risk assessment reports etc.10. 10. 审查合规性审查合

59、规性A.15内部需求：策略外部要求：法律、法规11. 11. 实施纠正措施实施纠正措施Plan-Do-Check-ActISMS ISMS 实施过程（续）实施过程（续）12. 12. 认证前自评估认证前自评估ISMS 稳定、有效检查 SOA、RTP 有没有遗漏地方13. 13. 认证审核认证审核SOA、RTP、证据关键成功因素关键成功因素 a) information security policy, objectives, and activities that reflect business objectives;信息安全策略、目标和行为应与业务目标保持一致；b) an approach

60、 and framework to implementing, maintaining, monitoring, and improving information security that is consistent with the organizational culture;信息安全实施、维护、监控、改进的方法应该符合组织的文化；c) visible support and commitment from all levels of management;来自所有管理层可见的支持和承诺；d) a good understanding of the information securi