著名信息安全标准

1、管理标准管理标准ISO17799技术标准技术标准ISO13335控制标准控制标准ISO27001评估标准评估标准ISO15408审计标准审计标准COBIT4.0信息安全保障架构信息安全保障架构IATF密码术备份与容灾标识与鉴别系统保护检测监控访问控制审计跟踪数据安全信息安全技术控制信息安全技术控制人 员第三方访问系统建设系统运维物理环境信息安全运作控制信息安全运作控制信息系统等级划分信息系统等级划分信息安全控制信息安全控制信息安全服务架构信息安全服务架构威胁与脆弱性管理服务容灾备份服务安全信息与事件管理服务身份及访问控制管理服务ITIT基础设施安全架构基础设施安全架构网络安全模型应用安全架构应

2、用安全架构应用安全开发模型信息安全技术信息安全技术信息安全管理信息安全管理信息安全信息安全组织组织信息安全意识提升、技能培训和专业教育信息安全监督检查和改进响应恢复运行监控控制实施需求分析信息安全风险管理信息安全流程信息安全流程实施细则和操作规程管理办法标准规范信息安全制度信息安全制度角色模型领导角色协调角色分析角色运行角色信息安全管理架构为推广和落实信息安全控制架构建立了管理环境和流程基础。信息安全控制本身也是信息安全风险管理的成果。信息安全管理架构是实现信息安全技术架构的保障。信息安全技术架构实现的信息安全基础设施和服务反过来支持信息安全流程的改进和优化。信息安全控制对信息安全技术提出要求

3、。信息安全技术是信息安全技术控制的物质实现。风险评估风险评估风险控制风险控制 风险定义风险定义 风险识别风险识别 风险分析风险分析 风险评估风险评估 风险规避风险规避 风险转移风险转移 风险降低风险降低 风险接受风险接受脆弱性脆弱性威胁威胁风险风险资产资产价值价值保护措施保护措施保护需求保护需求非正式执行信息系统安全成熟度信息系统安全成熟度ISO21827 目前阶段目前阶段 - 过程前计划 - 过程中检查 基于最终结果的基于最终结果的安全控制安全控制计划与跟踪充分定义量化控制持续改进 2010年年 - 完善定义规范 - 严格规范执行 基于经过实践验基于经过实践验证的详细规范制度证的详细规范制度

4、 2011年年 - 定量度量 - 准确预测 基于可量化的，基于可量化的，客观、准确标准客观、准确标准 2012年年 - 高效、实用 - 自我完善 基于可准确度量基于可准确度量持续改进效益持续改进效益 初始阶段初始阶段 - 基本执行 无明确要求无明确要求总体安全方针总体安全方针边境边境环境环境设备设备信息安全标准与规范信息安全标准与规范信息安全目标信息安全目标信息安全保障架构信息安全保障架构人人PeoplePeople技术技术TechnologyTechnology操作操作OperationOperation4.2 风险评估实施方法 分为6个阶段11项任务统一的中国石油信息化工作管理制度体系中，

5、信息安全管理的所处的位置管理规定管理规定管理办法管理办法信息化工作管理规定信息化工作管理规定计划管理计划管理实施管理实施管理运维管理运维管理招标管理招标管理验收管理验收管理广域网广域网邮件系统邮件系统视频系统视频系统门户网站系统门户网站系统信息安全管理办法信息安全管理办法上游生产系统上游生产系统先进计划系统先进计划系统管道生产系统管道生产系统ERPERP系统系统数据仓库数据仓库信息标准与规范信息标准与规范信息化工作管理流程信息化工作管理流程管理细则管理细则1.3 中国石油领导高度重视信息安全工作人操作技术规范层实施层架构层 组织 核心 角色和职责信息系统安全等级定义网络 安全 模型流程架构信息

6、安全运作操作框架应用 安全 开发模型制度与标准层次结构信息安全技术操作框架信息 安全 服务架构 组 织 机 构 模型 岗位 与职 责模型 岗位 能力模型信息系统安全等级定级方法信息系统等级保护要求信息系统的安全等级定级结果信息系统的安全行为策略流程模型与活动描述制度与标准体系组织的人员配备和职责工作流程图具体制度与标准网络安全域划分与防护策略应用安全设计模式安全服务组件模型与实现机制基础设施的安全部署与配置应用系统安全开发规范、工具和方法安全服务的实施目标等级等级 分级保护分级保护保护级保护级（GB17859)实施与管理实施与管理一级一级基础安全基础安全基础防护基础防护主管部门审批主管部门审批

7、自定自定二级二级重点安全重点安全独立防护独立防护主管部门审批主管部门审批每年一次测评检每年一次测评检查查三级三级核心安全核心安全专门防护专门防护专家委评审专家委评审专门检查专门检查 信息系统等级划分：安全目标安全目标健全信息安全健全信息安全管理组织管理组织提升信息技术提升信息技术基础设施的基础设施的安全性安全性建立专业化的建立专业化的信息安全服务信息安全服务技术平台技术平台 建立信息安全建立信息安全专业服务团队专业服务团队 建立完善的信息建立完善的信息安全风险管理安全风险管理流程流程完善信息安全完善信息安全制度与标准制度与标准信息安全体系信息安全体系信息基础设施综合管理系统专业应用系统基础应用

8、系统管理保障体系 信息安全管理流程信息安全制度标准 信息安全管理组织控制保障体系 系统安全技术选择 系统安全运行维护 系统安全等级划分技术保障体系信息基础设施安全架构应用系统安全架构信息安全服务架构保护保护P检测检测D反应反应R恢复恢复R信息资产信息资产人人政策政策技术技术PDRR模型图示模型图示信息安全体系的架构模型5.1.3 项目实施方法总体规划T04国际信息安全实践与趋势研究T03信息安全现状信息收集T13现状分析与总体架构设计研讨T02信息网络安全风险评估T05信息安全现状调研分析T06信息安全愿景制定T07信息安全总体架构设计T09信息安全管理架构细化T11信息安全技术架构细化T12信息安全控制架构细化T10信息安全制度架构细化T01项目准备11T08信息网络安全域及等级划分方案制定22项目项目准备准备总体架构设计总体架构设计项目规划设计项目规划设计 T20 交流、知识转移、培训信息安全总体架构设计报告（中英）2信息安全现状与需求分析报告1信息网络风险评估报告1信息网络安全域及等级划分指南2 T14信息安全项目设计T16信息安全项目规划研讨T17信息