计算机安全策略与评估讲义课件

1第17-18章安全框架与评估标准华南理工大学电子商务学院

本科课程—电子商务安全与保密1第17-18章安全框架与评估标准华南理工大学电子商务学院12本章要点：→风险评估的要素和基本流程→CC和BS7799安全规范→SSE-CMM→计算机系统等级保护制度2本章要点：→风险评估的要素和基本流程23安全设计和安全域/等级保护的结合安全体系的全面性措施分级保护、适度安全强度分级三分技术，七分管理3安全设计和安全域/等级保护的结合安全体系的全面性34OSI的安全体系结构网络信息系统安全体系结构4OSI的安全体系结构网络信息系统安全体系结构45信息安全评估及相关标准信息安全评估定义:信息安全评估是对一个构件、产品、子系统或系统的安全属性进行的技术评价，通过评估判断该构件、产品、子系统或系统是否满足一组特定的要求产品安全评估信息系统安全评估5信息安全评估及相关标准信息安全评估56风险评估的目的了解组织的安全现状分析组织的安全需求建立信息安全管理体系的要求制订安全策略和实施安防措施的依据组织实现信息安全的必要的、重要的步骤6风险评估的目的了解组织的安全现状67.........风险的四个要素：资产及其价值威胁脆弱性现有的和计划的控制措施资产的分类电子信息资产软件资产物理资产人员公司形象和名誉威胁举例：黑客入侵和攻击病毒和其他恶意程序软硬件故障人为误操作自然灾害如：地震、火灾、爆炸等盗窃网络监听供电故障后门未授权访问……7.........风险的四个要素：资产及其价值资产的分78脆弱性是与信息资产有关的弱点或安全隐患。脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁加以利用来对信息资产造成危害。脆弱性举例：系统漏洞程序Bug专业人员缺乏不良习惯系统没有进行安全配置物理环境不安全缺少审计缺乏安全意识后门……......风险的四个要素：8脆弱性是与信息资产有关的弱点或安全隐患。脆弱性举例：系统漏89安全评估模型9安全评估模型910安全评估模型10安全评估模型1011安全评估模型11安全评估模型1112风险评估的一般工作流程12风险评估的一般工作流程1213风险评估的一般工作流程13风险评估的一般工作流程1314风险评估的一般工作流程14风险评估的一般工作流程1415评估工具评估工具目前存在以下几类：扫描工具：包括主机扫描、网络扫描、数据库扫描，用于分析系统的常见漏洞；入侵检测系统（IDS）：用于收集与统计威胁数据；渗透性测试工具：黑客工具，用于人工渗透，评估系统的深层次漏洞；主机安全性审计工具：用于分析主机系统配置的安全性；安全管理评价系统：用于安全访谈，评价安全管理措施；

风险综合分析系统：在基础数据基础上，定量、综合分析系统的风险，并且提供分类统计、查询、TOPN查询以及报表输出功能；评估支撑环境工具:

评估指标库、知识库、漏洞库、算法库、模型库。15评估工具评估工具目前存在以下几类：1516信息技术安全评估准则发展过程

《可信计算机系统评估准则》TCSEC《信息技术安全评估准则》ITSEC通用准则CC（ISO15408、GB/T18336)《计算机信息系统安全保护等级划分准则》BS7799、ISO17799《信息技术安全技术信息技术安全性评估准则》ISO13335《IT安全管理指南》SSE-CMM系统安全工程能力成熟度模型我国的信息安全标准制定情况标准介绍保障信息安全有三个支柱，一个是技术、一个是管理、一个是法律法规。国家的法律法规，有专门的部门在研究和制定和推广。

根据国务院27号文件，对信息安全实施分级安全保护的规定出台后，各有关部门都在积极制定相关的制度和法规，当前被普遍采用的技术标准的是CC/ISO15408，管理体系标准是ISO17799/BS7799。

16信息技术安全评估准则发展过程标准介绍保障信息安全有三个1617GB18336idtISO/IEC15408信息技术安全性评估准则IATF信息保障技术框架ISSE信息系统安全工程SSE-CMM系统安全工程能力成熟度模型BS7799,ISO/IEC17799信息安全管理实践准则其他相关标准、准则例如：ISO/IEC15443,COBIT。。。系统认证和认可标准和实践例如：美国DITSCAP,…中国信息安全产品测评认证中心相关文档和系统测评认证实践技术准则（信息技术系统评估准则）管理准则（信息系统管理评估准则）过程准则（信息系统安全工程评估准则）信息系统安全保障评估准则与现有标准关系信息系统安全保障评估准则17GB18336idtISO/IEC15408IA1718信息技术安全评估准则发展过程1999年GB17859计算机信息系统安全保护等级划分准则1991年欧洲信息技术安全性评估准则（ITSEC）国际通用准则1996年（CC1.0）1998年（CC2.0）1985年美国可信计算机系统评估准则（TCSEC）1993年加拿大可信计算机产品评估准则（CTCPEC）1993年美国联邦准则（FC1.0）1999年国际标准ISO/IEC154081989年英国可信级别标准（MEMO3DTI）德国评估标准（ZSEIC）法国评估标准（B-W-RBOOK）2001年国家标准GB/T18336信息技术安全性评估准则idtiso/iec154081993年美国NIST的MSFR18信息技术安全评估准则发展过程1999年GB178591819CC的适用范围CC定义了评估信息技术产品和系统安全型所需的基础准则，是度量信息技术安全性的基准针对在安全评估过程中信息技术产品和系统的安全功能及相应的保证措施提出的一组通用要求，使各种相对独立的安全评估结果具有可比性。该标准适用于对信息技术产品或系统的安全性进行评估，不论其实现方式是硬件、固件还是软件，还可用于指导产品和系统开发。该标准的主要目标读者是用户、开发者、评估者。19CC的适用范围CC定义了评估信息技术产品和系统安全型所需1920CC内容CC吸收了个先进国家对现代信息系统安全的经验和知识，对信息系统安全的研究和应用定来了深刻的影响。它分为三部分：第一部分介绍CC的基本概念和基本原理；第二部分提出了安全功能要求；第三部分提出了非技术性的安全保证要求。20CC内容CC吸收了个先进国家对现代信息系统安全的经验和知2021CC内容后两部分构成了CC安全要求的全部：安全功能要求和安全保证要求，其中安全保证的目的是为了确保安全功能的正确性和有效性，这是从ITSEC和CTCPEC中吸收的。同时CC还从FC中吸收了保护轮廓的(PP)的概念，从而为CC的应用和发展提供了最大可能的空间和自由度。

CC定义了作为评估信息技术产品和系统安全性的基础准则，提出了目前国际上公认的表述信息技术安全性的结构，即：安全要求=规范产品和系统安全行为的功能要求+解决如何正确有效的实施这些功能的保证要求。21CC内容后两部分构成了CC安全要求的全部：安全功能要求和2122CC的关键概念22CC的关键概念2223232324通用准则CC第二部分：安全功能要求CC的第二部分是安全功能要求，对满足安全需求的诸安全功能提出了详细的要求另外，如果有超出第二部分的安全功能要求，开发者可以根据“类-族-组件-元素”的描述结构表达其安全要求，并附加在其ST中24通用准则CC第二部分：安全功能要求CC的第二部分是安全2425通用准则CC第二部分：安全功能要求25通用准则CC第二部分：安全功能要求2526通用准则CC第二部分：安全功能要求26通用准则CC第二部分：安全功能要求2627通用准则CC第二部分：安全功能要求27通用准则CC第二部分：安全功能要求2728通用准则CC第二部分：安全功能要求28通用准则CC第二部分：安全功能要求2829安全功能需求层次关系功能和保证要求以“类—族—组件”的结构表述，组件作为安全要求的最小构件块，可以用于“保护轮廓”、“安全目标”和“包”的构建，例如由保证组件构成典型的包——“评估保证级包”。29安全功能需求层次关系功能和保证要求以“类—族—组件”的结2930通用准则CC：第三部分评估方法CC的第三部分是评估方法部分，共包括10个类。维护类提出了保证评估过的受测系统或产品运行于所获得的安全级别上的要求只有七个安全保证类是（评估对象）TOE的评估类别30通用准则CC：第三部分评估方法CC的第三部分是评估方法3031通用准则CC：第三部分评估方法31通用准则CC：第三部分评估方法3132通用准则CC：第三部分评估方法32通用准则CC：第三部分评估方法3233通用准则CC：第三部分评估方法33通用准则CC：第三部分评估方法3334通用准则CC：第三部分评估方法34通用准则CC：第三部分评估方法3435通用准则CC：第三部分评估方法35通用准则CC：第三部分评估方法3536通用准则CC七个安全保证类ACM类：配置管理CM自动化CM能力CM范围ADO类：交付和运行交付安装、生成和启动ADV类：开发功能规范高层设计实现表示TSF内部低层设计表示对应性安全策略模型36通用准则CC七个安全保证类3637AGD类：指南文档管理员指南用户指南ALC类：生命周期支持开发安全缺陷纠正生命周期定义工具和技术ATE类：测试覆盖范围深度功能测试独立性测试AVA类：脆弱性评定隐蔽信道分析误用TOE安全功能强度脆弱性分析通用准则CC37AGD类：指南文档通用准则CC3738通用准则CC安全保证要求部分提出了七个评估保证级别（EvaluationAssuranceLevels：EALs）分别是：38通用准则CC安全保证要求部分提出了七个评估保证级别（3839通用准则CC：EAL解释39通用准则CC：EAL解释3940通用准则CC：EAL解释40通用准则CC：EAL解释4041CC的EAL与其他标准等级的比较41CC的EAL与其他标准等级的比较4142BS7799的历史沿革1995年，英国制定国家标准BS7799第一部分：“信息安全管理事务准则”，并提交国际标准组织(ISO)，成为ISODIS14980。1998年，英国公布BS7799第二部分“信息安全管理规范”并成为信息安全管理认证的依据；同年，欧盟于1995年10月公布之“个人资料保护指令，自1998年10月25日起正式生效，要求以适当标准保护个人资料”。2000年，国际标准组织ISO/IECJTCSC27在日本东京10月21日通过BS7799-1，成为ISODIS17799-1，2000年12月1日正式发布。目前除英国之外，国际上已有荷兰、丹麦、挪威、瑞典、芬兰、澳大利亚、新西兰、南非、巴西已同意使用BS7799；日本、瑞士、卢森堡表示对BS7799感兴趣；我国的台湾、香港地区也在推广该标准。BS7799(ISO/IEC17799)在欧洲的证书发放量已经超过ISO9001。但是：ISO17799不是认证标准，目前正在修订。BS7799-2是认证标准，作为国际标准目前正在讨论。42BS7799的历史沿革1995年，英国制定国家标准BS4243BS7799内容：总则要求各组织建立并运行一套经过验证的信息安全管理体系（ISMS），用于解决如下问题：资产的保管、组织的风险管理、管理标的和管理办法、要求达到的安全程度。建立管理框架确立并验证管理目标和管理办法时需采取如下步骤：定义信息安全策略定义信息安全管理体系的范围，包括定义该组织的特征、地点、资产和技术等方面的特征进行合理的风险评估，包括找出资产面临的威胁、弱点、对组织的冲击、风险的强弱程度等等根据组织的信息安全策略及所要求的安全程度，决定应加以管理的风险领域选出合理的管理标的和管理办法，并加以实施；选择方案时应做到有法可依准备可行性声明是指在声明中应对所选择的管理标的和管理办法加以验证，同时对选择的理由进行验证，并对第四章中排除的管理办法进行记录对上述步骤的合理性应按规定期限定期审核。43BS7799内容：总则要求各组织建立并运行一套经过验证的4344BS7799部分BS7799-1:1999《信息安全管理实施细则》是组织建立并实施信息安全管理体系的一个指导性的准则，主要为组织制定其信息安全策略和进行有效的信息安全控制提供的一个大众化的最佳惯例。BS7799-2:2002《信息安全管理体系规范》规定了建立、实施和文件化信息安全管理体系(ISMS)的要求，规定了根据独立组织的需要应实施安全控制的要求。即本标准适用以下场合:组织按照本标准要求建立并实施信息安全管理体系，进行有效的信息安全风险管理，确保商务可持续性发展；作为寻求信息安全管理体系第三方认证的标准。BS7799标准第二部分明确提出安全控制要求，标准第一部分对应给出了通用的控制方法（措施），因此可以说，标准第一部分为第二部分的具体实施提供了指南。BS7799Part2CorporateGovernancePLANDOACTCHECK风险管理处理系统控制内部审计功能ISO/IEC1779944BS7799部分BS7799-1:1999《信息安全管4445十大管理要项BS7799-2:200245十大管理要项BS7799-2:20024546十大管理要项BS7799-2:2002

1、安全方针：为信息安全提供管理指导和支持；2、组织安全：建立信息安全架构，保证组织的内部管理；被第三方访问或外协时，保障组织的信息安全；3、资产的归类与控制：明确资产责任，保持对组织资产的适当保护；将信息进行归类，确保信息资产受到适当程度的保护；4、人员安全：在工作说明和资源方面，减少因人为错误、盗窃、欺诈和设施误用造成的风险；加强用户培训，确保用户清楚知道信息安全的危险性和相关事项，以便在他们的日常工作中支持组织的安全方针；制定安全事故或故障的反应程序，减少由安全事故和故障造成的损失，监控安全事件并从这种事件中吸取教训；5、实物与环境安全：确定安全区域，防止非授权访问、破坏、干扰商务场所和信息；通过保障设备安全，防止资产的丢失、破坏、资产危害及商务活动的中断；采用通用的控制方式，防止信息或信息处理设施损坏或失窃；46十大管理要项BS7799-2:20021、4647十大管理要项BS7799-2:20026、通信和操作方式管理：明确操作程序及其责任，确保信息处理设施的正确、安全操作；加强系统策划与验收，减少系统失效风险；防范恶意软件以保持软件和信息的完整性；加强内务管理以保持信息处理和通讯服务的完整性和有效性通过；加强网络管理确保网络中的信息安全及其辅助设施受到保护；通过保护媒体处理的安全，防止资产损坏和商务活动的中断；加强信息和软件的交换的管理，防止组织间在交换信息时发生丢失、更改和误用；7、访问控制：按照访问控制的商务要求，控制信息访问；加强用户访问管理，防止非授权访问信息系统；明确用户职责，防止非授权的用户访问；加强网络访问控制，保护网络服务程序；加强操作系统访问控制，防止非授权的计算机访问；加强应用访问控制，防止非授权访问系统中的信息；通过监控系统的访问与使用，监测非授权行为；在移动式计算和电传工作方面，确保使用移动式计算和电传工作设施的信息安全；8、系统开发与维护：明确系统安全要求，确保安全性已构成信息系统的一部份；加强应用系统的安全，防止应用系统用户数据的丢失、被修改或误用；加强密码技术控制，保护信息的保密性、可靠性或完整性；加强系统文件的安全，确保IT方案及其支持活动以安全的方式进行；加强开发和支持过程的安全，确保应用系统软件和信息的安全；9、商务连续性管理：防止商务活动的中断及保护关键商务过程不受重大失误或灾难事故的影响；10、符合：符合法律法规要求，避免刑法、民法、有关法令法规或合同约定事宜及其他安全要求的规定相抵触；加强安全方针和技术符合性评审，确保体系按照组织的安全方针及标准执行；系统审核考虑因素，使效果最大化，并使系统审核过程的影响最小化。

47十大管理要项BS7799-2:20026、通47ISMSSpecifications

ISMSStandards标准BS7799Part2ISMSGuidelines(riskassessment,selectionofcontrols)GMITS/MICTSISO/IEC18044IncidenthandlingPD3000seriesonriskandselectionofcontrolsISMSControlCataloguesISO/IEC17799Managementsystemcertificationandaccreditationstandards(auditingprocess,proceduresetc)ISOGuide62EA7/03EN45013EN45012ISO19011ISO9001NationalschemesandstandardsISMSSpecificationsISMSStanda48ISMSStandards

BS7799-2:2002PLANDOACTCHECKPDCAModelDesignISMSImplement&useISMSMonitor&reviewISMSMaintain&improveISMSRiskbasedcontinualimprovementframeworkforinformationsecuritymanagementISMSStandards

BS7799-2:2002P49PDCA循环的概念最早是由美国质量管理专家戴明提出来的，所以又称为“戴明环”。ＰＤＣＡ循环即计划（Ｐｌａｎ）、执行（Ｄｏ）、检查（Ｃｈｅｃｋ）和处理（Ａｃｔｉｏｎ），它是一个标准的管理工作程序，也是进行质量管理的四个步骤。Ｐ（计划）：即根据用户的要求，制定相应的技术经济指标、质量目标，以及实现这些目标的具体措施和方法。Ｄ（执行）：按照所制定的计划和措施付诸实施。Ｃ（检查）：对照计划，检查执行的情况和效果，及时发现问题。Ａ（处理）：根据检查结果采取措施，巩固成绩，吸取教训，防止重蹈覆辙，并将未解决的问题转到下一次ＰＤＣＡ循环中去。PDCA循环的概念最早是由美国质量管理专家戴明提出来50ＰＤＣＡ循环有两个特点：①大环套小环，ＰＤＣＡ能应用于企业的各个方面和各个层次，整个企业的质量管理运作是一个大的ＰＤＣＡ循环，而其中的某一车间或部门乃至个人的行动也按ＰＤＣＡ循环进行，形成大环套小环的综合循环系统，相互推动。②螺旋式上升，每次ＰＤＣＡ循环都不是在原地踏步，而是每次循环都能解决一些问题，下次循环就在一个较高的层面上进一步解决新的问题。所以，它在不断循环的同时，还在不断上升，呈螺旋上升状态。ＰＤＣＡ循环有两个特点：5152第一步制订信息安全方针BS7799-2对ISMS的要求：组织应定义信息安全方针。信息安全是指保证信息的保密性、完整性和可用性不受破坏。建立信息安全管理体系的目标是对公司的信息安全进行全面管理。信息安全方针是由组织的最高管理者正式制订和发布的该组织的信息安全的目标和方向，用于指导信息安全管理体系的建立和实施过程。要经最高管理者批准和发布体现了最高管理者对信息安全的承诺与支持要传达给组织内所有的员工要定期和适时进行评审目的和意义为组织提供了关注的焦点，指明了方向，确定了目标；确保信息安全管理体系被充分理解和贯彻实施；统领整个信息安全管理体系。建立ISMS框架52第一步制订信息安全方针建立ISMS框架5253第一步制订信息安全方针信息安全方针的内容包括但不限于：组织对信息安全的定义信息安全总体目标和范围最高管理者对信息安全的承诺与支持的声明符合相关标准、法律法规、和其它要求的声明对信息安全管理的总体责任和具体责任的定义相关支持文件注意事项简单明了易于理解可实施避免太具体建立ISMS框架53第一步制订信息安全方针建立ISMS框架5354第二步确定ISMS范围BS7799-2对ISMS的要求：组织应定义信息安全管理体系的范围，范围的边界应依据组织的结构特征、地域特征、资产和技术特点来确定。可以根据组织的实际情况，将组织的一部分定义为信息安全管理范围，也可以将组织整体定义为信息安全管理范围；信息安全管理范围必须用正式的文件加以记录。ISMS范围文件文件是否明白地描述了信息安全管理体系的范围范围的边界和接口是否已清楚定义建立ISMS框架54第二步确定ISMS范围建立ISMS框架5455第三步风险评估BS7799-2对ISMS的要求：组织应进行适当的风险评估，风险评估应识别资产所面对的威胁、脆弱性、以及对组织的潜在影响，并确定风险的等级。是否执行了正式的和文件化的风险评估？是否经过一定数量的员工验证其正确性？风险评估是否识别了资产的威胁、脆弱性和对组织的潜在影响？风险评估是否定期和适时进行？建立ISMS框架55第三步风险评估建立ISMS框架5556第四步风险管理BS7799-2对ISMS的要求：组织应依据信息安全方针和组织要求的安全保证程度来确定需要管理的信息安全风险。根据风险评估的结果，选择风险控制方法，将组织面临的风险控制在可以接受的范围之内。是否定义了组织的风险管理方法？是否定义了所需的信息安全保证程度？是否给出了可选择的控制措施供管理层做决定？建立ISMS框架56第四步风险管理建立ISMS框架5657第五步选择控制目标和控制措施BS7799-2对ISMS的要求：组织应选择适当的控制措施和控制目标来满足风险管理的要求，并证明选择结果的正确性。选择控制措施的示意图选择的控制措施是否建立在风险评估的结果之上？是否能从风险评估中清楚地看出哪一些是基本控制措施，哪一些是必须的，哪一些是可以考虑选择的控制措施？选择的控制措施是否反应了组织的风险管理战略？针对每一种风险，控制措施都不是唯一的，要根据实际情况进行选择建立ISMS框架安全问题安全需求控制目标控制措施解决指出定义被满足57第五步选择控制目标和控制措施建立ISMS框架安全问题安5758第五步选择控制目标和控制措施BS7799-2对ISMS的要求：未选择某项控制措施的原因风险原因-没有识别出相关的风险财务原因-财务预算的限制环境原因-安全设备、气候、空间等技术-某些控制措施在技术上不可行文化-社会环境的限制时间-某些要求目前无法实施其它-？建立ISMS框架58第五步选择控制目标和控制措施建立ISMS框架5859第六步准备适用声明BS7799-2对ISMS的要求：组织应准备适用声明，记录已选择的控制措施和理由，以及未选择的控制措施及其理由。在选择了控制目标和控制措施后，对实施某项控制目标、措施和不实施某项控制目标、措施进行记录，并对原因进行解释的文件。建立ISMS框架未来实现公司ISMS适用声明59第六步准备适用声明建立ISMS框架未来实现公司ISMS5960BS7799与CC的比较BS7799完全从管理角度制定，并不涉及具体的安全技术，实施不复杂，主要是告诉管理者一些安全管理的注意事项和安全制度，例如磁盘文件交换和处理的安全规定、设备的安全配置管理、工作区进出的控制等一些很容易理解的问题。这些管理规定一般的单位都可以制定，但要想达到BS7799的全面性则需要一番努力。同BS7799相比，信息技术安全性评估准则(CC)和美国国防部可信计算机评估准则(TCSEC)等更侧重于对系统和产品的技术指标的评估；系统安全工程能力成熟模型(SSE-CMM)更侧重于对安全产品开发、安全系统集成等安全工程过程的管理。在对信息系统日常安全管理方面，BS7799的地位是其他标准无法取代的。总的来说，BS7799涵盖了安全管理所应涉及的方方面面，全面而不失可操作性，提供了一个可持续提高的信息安全管理环境。推广信息安全管理标准的关键在重视程度和制度落实方面。它是目前可以用来达到一定预防标准的最好的指导标准。60BS7799与CC的比较BS7799完全从管理角度制定6061SSE-CMM是系统安全工程能力成熟模型（SystemsSecurityEngineeringCapabilityMaturityModel）的缩写，它描述了一个组织的安全工程过程必须包含的本质特征，这些特征是完善的安全工程的保证。尽管SSE-CMM没有规定一个特定的过程和步骤，但是它汇集了工业界常见的实施方法。本模型是安全工程实施的标准度量准则，它覆盖了：整个生命期，包括开发、运行、维护和终止；整个组织，包括其中的管理、组织和工程活动；与其它规范并行的相互作用，如系统、软件、硬件、人的因素、测试工程、系统管理、运行和维护等规范；与其它机构的相互作用，包括采办、系统管理、认证、认可和评估机构。在SSE-CMM模型描述中，提供了对所基于的原理、体系结构的全面描述；模型的高层综述；适当运用此模型的建议；包括在模型中的实施以及模型的属性描述。它还包括了开发该模型的需求。SSE-CMM评定方法部分描述了针对SSE-CMM来评价一个组织的安全工程能力的过程和工具。

SSE-CMM61SSE-CMM是系统安全工程能力成熟模型（Systems6162安全工程过程的三个组成部分SSE-CMM过程区域62安全工程过程的三个组成部分SSE-CMM过程区域6263SSE-CMM将安全工程划分为三个基本的过程区域：风险，工程，保证。它们可以独立地加以考虑，但这决不意味它们之间有截然不同的区分。在最简单的级别上，风险过程识别出所开发的产品或系统的危险性并对这些危险性进行优先级排序。针对危险性所面临的问题，安全工程过程要与其它工程一起来确定和实施解决方案。最后，由安全保证过程来建立对解决方案的信任并向顾客转达这种安全信任。

SSE-CMM过程区域63SSE-CMM将安全工程划分为三个基本的过程区域：风险，6364风险过程64风险过程6465安全措施的实施可以减轻风险。安全措施可针对威胁、脆弱性、影响和风险自身。但无论如何，并不能消除所有威胁或根除某个具体威胁。这主要是因为风险消除的代价和相关的不确定性。因此，必须接受残留的风险。在存在很高的不确定性的情况下，由于风险的不精确的本质，因此是否接受风险是需要慎重对待的大问题。SSE-CMM过程域包括威胁、脆弱性、影响和相关风险进行分析的活动保证。

风险过程65安全措施的实施可以减轻风险。安全措施可针对威胁、脆弱性、6566工程过程66工程过程6667安全工程与其它科目一样，它是一个包括概念、设计、实现、测试、部署、运行、维护、退出的完整过程。在这个过程中，安全工程的实施必须紧密地与其它的系统工程队伍相合作。SSE-CMM强调安全工程师是一个大的项目队伍中的一部分，需要与其它科目工程师的活动相互协调。这会有助于保证安全成为一个大的项目过程中一个整体部分，而不是一个分开的独立活动。在生命周期的后面阶段，安全工程师将根据意识到风险来适当地配置系统，以确保新的风险不会造成系统运行的不安全状态。

工程过程67安全工程与其它科目一样，它是一个包括概念、设计、实现、测6768保证过程68保证过程6869保证是指安全需要得到满足的信任程度。它是安全工程非常重要的产品。存在着有许多的保证形式。SSE-CMM的信任程度来自于安全工程过程可重复性的结果质量。这种信任的基础是成熟组织比不成熟组织更可能产生出重复的结果。不同保证形式之间的详细关系目前是正在研究的课题。

安全保证并不能添加任何额外的对安全相关风险的抗拒能力，但它能为减少预期安全风险控制的执行提供信心。安全保证也可看作是安全措施按照要求运行的信心。这种信心来自于正确性和有效性。正确性保证了安全措施按设计实现了需求。有效性则保证了提供的安全措施可充分地满足顾客的安全需要。SSE-CMM体系结构69保证是指安全需要得到满足的信任程度。它是安全工程非常重要6970SSE-CMM体系结构的设计是可在整个安全工程范围内决定安全工程组织的成熟性。这个体系结构的目标是清晰地从管理和制度化特征中分离出安全工程的基本特征。为了保证这种分离，这个模型是两维的，分别称为“域”和“能力”。重要的是，SSE-CMM并不意味着在一个组织中任何项目组或角色必须执行这个模型中所描述的任何过程，也不要求使用最新的和最好的安全工程技术和方法论。然而，这个模型要求是一个组织机构要有一个适当过程，这个过程应包括这个模型中所描述的基本安全实施。组织机构可以以任何方式随意创建符合他们业务目标的过程以及组织结构。SSE-CMM也并不意味着执行通用实施的专门要求。一个组织机构一般可随意以他们所选择的方式和次序来计划、跟踪、定义、控制和改进他们的过程。然而，由于一些较高级别的通用实施依赖于较低级别的通用实施，因此组织机构应在试图达到较高级别之前，应首先实现较低级别通用实施。SSE-CMM体系结构70SSE-CMM体系结构的设计是可在整个安全工程范围内决定7071域维仅仅由定义安全工程的所有实施构成。这些实施称为“基本实施”——BP。能力维代表了若干可表现管理和制度化能力的实施。这些实施被称作“通用实施”——GP，可在广泛的域中应用。通用实施表现了一个基本实施中应当完成的活动。通过设置这两个相互依赖的维，SSE-CMM在各个能力级别上覆盖了整个安全活动范围。

SSE-CMM基本模型71域维仅仅由定义安全工程的所有实施构成。这些实施称为“基本7172基本实施与通用实施的关系SSE-CMM基本模型72基本实施与通用实施的关系SSE-CMM基本模型7273将基本实施和通用实施综合考虑使得可以检查一个机构实施一个特定活动的能力。上图中，感兴趣的人士可能会问：“你的机构有足够的资源来查找系统的安全脆弱性吗？”如果回答“是”，则对方显然获知了机构在这方面的能力。在二维图的所有交叉点上的问题都得到回答后，我们就得到了对一个机构的安全工程能力的总体认识。SSE-CMM基本模型73将基本实施和通用实施综合考虑使得可以检查一个机构实施一个737460个基本实施被归为的11类，称为过程域。有许多方式将安全工程范畴划分为过程域。一种可能的做法是将真实世界模型化，创建匹配安全工程服务的过程域。其它的方法可以是概念域的方法，这些概念域形成了基础的安全工程建设模块。SSE-CMM在确定11个过程域的过程中，综合了比较优秀的几种方法。过程域：汇集了一个域中的相关活动与有价值的安全工程服务相关可在整个组织生命周期中应用能在多个组织和多类产品范围内实现能作为一个独立的过程加以改进能够被感兴趣的组织加以改进包括了所有需要满足过程域目标的BP

过程域7460个基本实施被归为的11类，称为过程域。有许多方式将安747511个过程域PA01管理安全控制PA02评估影响PA03评估安全风险PA04评估威胁PA05评估脆弱性PA06建立安全论据PA07协调安全性PA08监视安全态势PA09提供安全输入PA10确定安全需求PA11验证与确认安全过程域7511个过程域PA01管理安全控制过程域7576其它过程域PA12确保质量PA13管理配置PA14管理项目风险PA15监视和控制技术工作PA16规划技术工作PA17定义机构的系统工程过程PA18改善机构的系统工程过程PA19管理产品线发展PA20管理系统工程支持环境PA21提供不断发展的技能和知识PA22与提供商相协调

SSE-CMM还包括其余11个与项目和机构活动相关的过程域。它们来自于SE-CMM（系统工程——能力成熟模型）。这些过程域不是与安全直接相关的，但是它们也会对安全造成影响。过程域76其它过程域PA12确保质量SSE-CMM还包括其余17677第一级：非正式执行该级将关注一个机构或项目是否执行了包含基本实施过程的安全工程。该级别的特点可以描述为“你必须首先做它，然后才能管理它”。在本级别，过程域中的基本实施通常已得到了执行。但这些基本实施的执行可能未经过严格的计划和跟踪，而是基于个人的知识和努力。各过程域的工作结果可用来确认基本实施已经执行。在机构中以个人为单元辨别出某基本实施应被执行，并对执行的需求及时间达成普遍意见。本级的工作结果是可标识的。

SSE-CMM的5个能力级别77第一级：非正式执行该级将关注一个机构或项目是否执行了包含7778第二级：计划和跟踪该级将关注项目层面的定义、规划和执行问题。该级别的特点可描述为“在定义机构层面的过程之前，先要理解项目的相关事项”。在本级别上，基本实施的执行要经过规划并被跟踪。执行时要依据具体的流程，并应得到验证。工作结果要符合特定的标准和需求。执行情况还要经过测量，以使机构能够基于这些执行而管理其活动。它与非正式执行级的主要区别是过程的实施要经过规划和管理。

SSE-CMM的5个能力级别78第二级：计划和跟踪该级将关注项目层面的定义、规划和执行问7879第三级：充分定义该级将关注于在机构层面上从既定过程中实施已融合了各个专业领域知识的裁剪结果。该级别的特点可描述为“用项目中学到的最好的东西来创建机构层面的过程”。在本级别，基本实施应按照充分定义的过程来执行，执行过程中将使用已获批准的、经裁剪的标准。本级与第2级“计划和跟踪级”的主要区别在于本级将利用机构范围内的标准化过程来规划和管理安全工程过程。SSE-CMM的5个能力级别79第三级：充分定义该级将关注于在机构层面上从既定过程中实施7980第四级：量化控制该级将关注于测量，它是与机构的业务目标紧密联系在一起的。这个级别的特点可以描述为“只有你知道它是什么，你才能测量它”以及“当你测量正确的对象时，基于测量的管理才有意义”。对过程执行情况的详细测量将在本级中进行收集和分析。这将形成对过程能力的量化理解，使机构有能力去预测过程的执行。本级中，过程执行的管理是客观的，工作结果的质量是量化的。本级与充分定义级的主要区别在于所定义的过程是可量化理解和控制的。SSE-CMM的5个能力级别80第四级：量化控制该级将关注于测量，它是与机构的业务目标紧8081第五级：连续改进该级将从此前各级的所有管理活动中获得最大的收益，并强调机构的文化，以保持所取得的成果。该级别的特点可以描述为“一个持续改进的文化需要以良好的管理措施、既定过程和可测量的目标为基础”。在本级别，有关工程过程效果和效率的量化执行目标已经基于机构的业务目标而建立。过程的执行以及试验性的新概念和新技术产生了量化反馈，从而使基于这些目标的连续的过程改进得到了实现。本级与量化控制级的主要区别在于，在本级中，基于对这些过程变化效果的量化理解，工程中既定过程和标准过程将得到不断的改进和提高。

SSE-CMM的5个能力级别81第五级：连续改进该级将从此前各级的所有管理活动中获得最大8182系统安全等级a)第一级为自主保护级b)第二级为指导保护级c)第三级为监督保护级d)第四级为强制保护级e)第五级为专控保护级计算机系统等级保护制度82系统安全等级计算机系统等级保护制度8283实施的基本过程计算机系统等级保护制度83实施的基本过程计算机系统等级保护制度8384安全规划设计计算机系统等级保护制度84安全规划设计计算机系统等级保护制度8485安全规划设计计算机系统等级保护制度85安全规划设计计算机系统等级保护制度8586安全规划设计计算机系统等级保护制度86安全规划设计计算机系统等级保护制度8687第17-18章安全框架与评估标准华南理工大学电子商务学院

本科课程—电子商务安全与保密1第17-18章安全框架与评估标准华南理工大学电子商务学院8788本章要点：→风险评估的要素和基本流程→CC和BS7799安全规范→SSE-CMM→计算机系统等级保护制度2本章要点：→风险评估的要素和基本流程8889安全设计和安全域/等级保护的结合安全体系的全面性措施分级保护、适度安全强度分级三分技术，七分管理3安全设计和安全域/等级保护的结合安全体系的全面性8990OSI的安全体系结构网络信息系统安全体系结构4OSI的安全体系结构网络信息系统安全体系结构9091信息安全评估及相关标准信息安全评估定义:信息安全评估是对一个构件、产品、子系统或系统的安全属性进行的技术评价，通过评估判断该构件、产品、子系统或系统是否满足一组特定的要求产品安全评估信息系统安全评估5信息安全评估及相关标准信息安全评估9192风险评估的目的了解组织的安全现状分析组织的安全需求建立信息安全管理体系的要求制订安全策略和实施安防措施的依据组织实现信息安全的必要的、重要的步骤6风险评估的目的了解组织的安全现状9293.........风险的四个要素：资产及其价值威胁脆弱性现有的和计划的控制措施资产的分类电子信息资产软件资产物理资产人员公司形象和名誉威胁举例：黑客入侵和攻击病毒和其他恶意程序软硬件故障人为误操作自然灾害如：地震、火灾、爆炸等盗窃网络监听供电故障后门未授权访问……7.........风险的四个要素：资产及其价值资产的分9394脆弱性是与信息资产有关的弱点或安全隐患。脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁加以利用来对信息资产造成危害。脆弱性举例：系统漏洞程序Bug专业人员缺乏不良习惯系统没有进行安全配置物理环境不安全缺少审计缺乏安全意识后门……......风险的四个要素：8脆弱性是与信息资产有关的弱点或安全隐患。脆弱性举例：系统漏9495安全评估模型9安全评估模型9596安全评估模型10安全评估模型9697安全评估模型11安全评估模型9798风险评估的一般工作流程12风险评估的一般工作流程9899风险评估的一般工作流程13风险评估的一般工作流程99100风险评估的一般工作流程14风险评估的一般工作流程100101评估工具评估工具目前存在以下几类：扫描工具：包括主机扫描、网络扫描、数据库扫描，用于分析系统的常见漏洞；入侵检测系统（IDS）：用于收集与统计威胁数据；渗透性测试工具：黑客工具，用于人工渗透，评估系统的深层次漏洞；主机安全性审计工具：用于分析主机系统配置的安全性；安全管理评价系统：用于安全访谈，评价安全管理措施；

风险综合分析系统：在基础数据基础上，定量、综合分析系统的风险，并且提供分类统计、查询、TOPN查询以及报表输出功能；评估支撑环境工具:

评估指标库、知识库、漏洞库、算法库、模型库。15评估工具评估工具目前存在以下几类：101102信息技术安全评估准则发展过程

《可信计算机系统评估准则》TCSEC《信息技术安全评估准则》ITSEC通用准则CC（ISO15408、GB/T18336)《计算机信息系统安全保护等级划分准则》BS7799、ISO17799《信息技术安全技术信息技术安全性评估准则》ISO13335《IT安全管理指南》SSE-CMM系统安全工程能力成熟度模型我国的信息安全标准制定情况标准介绍保障信息安全有三个支柱，一个是技术、一个是管理、一个是法律法规。国家的法律法规，有专门的部门在研究和制定和推广。

根据国务院27号文件，对信息安全实施分级安全保护的规定出台后，各有关部门都在积极制定相关的制度和法规，当前被普遍采用的技术标准的是CC/ISO15408，管理体系标准是ISO17799/BS7799。

16信息技术安全评估准则发展过程标准介绍保障信息安全有三个102103GB18336idtISO/IEC15408信息技术安全性评估准则IATF信息保障技术框架ISSE信息系统安全工程SSE-CMM系统安全工程能力成熟度模型BS7799,ISO/IEC17799信息安全管理实践准则其他相关标准、准则例如：ISO/IEC15443,COBIT。。。系统认证和认可标准和实践例如：美国DITSCAP,…中国信息安全产品测评认证中心相关文档和系统测评认证实践技术准则（信息技术系统评估准则）管理准则（信息系统管理评估准则）过程准则（信息系统安全工程评估准则）信息系统安全保障评估准则与现有标准关系信息系统安全保障评估准则17GB18336idtISO/IEC15408IA103104信息技术安全评估准则发展过程1999年GB17859计算机信息系统安全保护等级划分准则1991年欧洲信息技术安全性评估准则（ITSEC）国际通用准则1996年（CC1.0）1998年（CC2.0）1985年美国可信计算机系统评估准则（TCSEC）1993年加拿大可信计算机产品评估准则（CTCPEC）1993年美国联邦准则（FC1.0）1999年国际标准ISO/IEC154081989年英国可信级别标准（MEMO3DTI）德国评估标准（ZSEIC）法国评估标准（B-W-RBOOK）2001年国家标准GB/T18336信息技术安全性评估准则idtiso/iec154081993年美国NIST的MSFR18信息技术安全评估准则发展过程1999年GC的适用范围CC定义了评估信息技术产品和系统安全型所需的基础准则，是度量信息技术安全性的基准针对在安全评估过程中信息技术产品和系统的安全功能及相应的保证措施提出的一组通用要求，使各种相对独立的安全评估结果具有可比性。该标准适用于对信息技术产品或系统的安全性进行评估，不论其实现方式是硬件、固件还是软件，还可用于指导产品和系统开发。该标准的主要目标读者是用户、开发者、评估者。19CC的适用范围CC定义了评估信息技术产品和系统安全型所需105106CC内容CC吸收了个先进国家对现代信息系统安全的经验和知识，对信息系统安全的研究和应用定来了深刻的影响。它分为三部分：第一部分介绍CC的基本概念和基本原理；第二部分提出了安全功能要求；第三部分提出了非技术性的安全保证要求。20CC内容CC吸收了个先进国家对现代信息系统安全的经验和知106107CC内容后两部分构成了CC安全要求的全部：安全功能要求和安全保证要求，其中安全保证的目的是为了确保安全功能的正确性和有效性，这是从ITSEC和CTCPEC中吸收的。同时CC还从FC中吸收了保护轮廓的(PP)的概念，从而为CC的应用和发展提供了最大可能的空间和自由度。

CC定义了作为评估信息技术产品和系统安全性的基础准则，提出了目前国际上公认的表述信息技术安全性的结构，即：安全要求=规范产品和系统安全行为的功能要求+解决如何正确有效的实施这些功能的保证要求。21CC内容后两部分构成了CC安全要求的全部：安全功能要求和107108CC的关键概念22CC的关键概念10810923109110通用准则CC第二部分：安全功能要求CC的第二部分是安全功能要求，对满足安全需求的诸安全功能提出了详细的要求另外，如果有超出第二部分的安全功能要求，开发者可以根据“类-族-组件-元素”的描述结构表达其安全要求，并附加在其ST中24通用准则CC第二部分：安全功能要求CC的第二部分是安全110111通用准则CC第二部分：安全功能要求25通用准则CC第二部分：安全功能要求111112通用准则CC第二部分：安全功能要求26通用准则CC第二部分：安全功能要求112113通用准则CC第二部分：安全功能要求27通用准则CC第二部分：安全功能要求113114通用准则CC第二部分：安全功能要求28通用准则CC第二部分：安全功能要求114115安全功能需求层次关系功能和保证要求以“类—族—组件”的结构表述，组件作为安全要求的最小构件块，可以用于“保护轮廓”、“安全目标”和“包”的构建，例如由保证组件构成典型的包——“评估保证级包”。29安全功能需求层次关系功能和保证要求以“类—族—组件”的结115116通用准则CC：第三部分评估方法CC的第三部分是评估方法部分，共包括10个类。维护类提出了保证评估过的受测系统或产品运行于所获得的安全级别上的要求只有七个安全保证类是（评估对象）TOE的评估类别30通用准则CC：第三部分评估方法CC的第三部分是评估方法116117通用准则CC：第三部分评估方法31通用准则CC：第三部分评估方法117118通用准则CC：第三部分评估方法32通用准则CC：第三部分评估方法118119通用准则CC：第三部分评估方法33通用准则CC：第三部分评估方法119120通用准则CC：第三部分评估方法34通用准则CC：第三部分评估方法120121通用准则CC：第三部分评估方法35通用准则CC：第三部分评估方法121122通用准则CC七个安全保证类ACM类：配置管理CM自动化CM能力CM范围ADO类：交付和运行交付安装、生成和启动ADV类：开发功能规范高层设计实现表示TSF内部低层设计表示对应性安全策略模型36通用准则CC七个安全保证类122123AGD类：指南文档管理员指南用户指南ALC类：生命周期支持开发安全缺陷纠正生命周期定义工具和技术ATE类：测试覆盖范围深度功能测试独立性测试AVA类：脆弱性评定隐蔽信道分析误用TOE安全功能强度脆弱性分析通用准则CC37AGD类：指南文档通用准则CC123124通用准则CC安全保证要求部分提出了七个评估保证级别（EvaluationAssuranceLevels：EALs）分别是：38通用准则CC安全保证要求部分提出了七个评估保证级别（124125通用准则CC：EAL解释39通用准则CC：EAL解释125126通用准则CC：EAL解释40通用准则CC：EAL解释126127CC的EAL与其他标准等级的比较41CC的EAL与其他标准等级的比较127128BS7799的历史沿革1995年，英国制定国家标准BS7799第一部分：“信息安全管理事务准则”，并提交国际标准组织(ISO)，成为ISODIS14980。1998年，英国公布BS7799第二部分“信息安全管理规范”并成为信息安全管理认证的依据；同年，欧盟于1995年10月公布之“个人资料保护指令，自1998年10月25日起正式生效，要求以适当标准保护个人资料”。2000年，国际标准组织ISO/IECJTCSC27在日本东京10月21日通过BS7799-1，成为ISODIS17799-1，2000年12月1日正式发布。目前除英国之外，国际上已有荷兰、丹麦、挪威、瑞典、芬兰、澳大利亚、新西兰、南非、巴西已同意使用BS7799；日本、瑞士、卢森堡表示对BS7799感兴趣；我国的台湾、香港地区也在推广该标准。BS7799(ISO/IEC17799)在欧洲的证书发放量已经超过ISO9001。但是：ISO17799不是认证标准，目前正在修订。BS7799-2是认证标准，作为国际标准目前正在讨论。42BS7799的历史沿革1995年，英国制定国家标准BS128129BS7799内容：总则要求各组织建立并运行一套经过验证的信息安全管理体系（ISMS），用于解决如下问题：资产的保管、组织的风险管理、管理标的和管理办法、要求达到的安全程度。建立管理框架确立并验证管理目标和管理办法时需采取如下步骤：定义信息安全策略定义信息安全管理体系的范围，包括定义该组织的特征、地点、资产和技术等方面的特征进行合理的风险评估，包括找出资产面临的威胁、弱点、对组织的冲击、风险的强弱程度等等根据组织的信息安全策略及所要求的安全程度，决定应加以管理的风险领域选出合理的管理标的和管理办法，并加以实施；选择方案时应做到有法可依准备可行性声明是指在声明中应对所选择的管理标的和管理办法加以验证，同时对选择的理由进行验证，并对第四章中排除的管理办法进行记录对上述步骤的合理性应按规定期限定期审核。43BS7799内容：总则要求各组织建立并运行一套经过验证的129130BS7799部分BS7799-1:1999《信息安全管理实施细则》是组织建立并实施信息安全管理体系的一个指导性的准则，主要为组织制定其信息安全策略和进行有效的信息安全控制提供的一个大众化的最佳惯例。BS7799-2:2002《信息安全管理体系规范》规定了建立、实施和文件化信息安全管理体系(ISMS)的要求，规定了根据独立组织的需要应实施安全控制的要求。即本标准适用以下场合:组织按照本标准要求建立并实施信息安全管理体系，进行有效的信息安全风险管理，确保商务可持续性发展；作为寻求信息安全管理体系第三方认证的标准。BS7799标准第二部分明确提出安全控制要求，标准第一部分对应给出了通用的控制方法（措施），因此可以说，标准第一部分为第二部分的具体实施提供了指南。BS7799Part2CorporateGovernancePLANDOACTCHECK风险管理处理系统控制内部审计功能ISO/IEC1779944BS7799部分BS7799-1:1999《信息安全管130131十大管理要项BS7799-2:200245十大管理要项BS7799-2:2002131132十大管理要项BS7799-2:2002

1、安全方针：为信息安全提供管理指导和支持；2、组织安全：建立信息安全架构，保证组织的内部管理；被第三方访问或外协时，保障组织的信息安全；3、资产的归类与控制：明确资产责任，保持对组织资产的适当保护；将信息进行归类，确保信息资产受到适当程度的保护；4、人员安全：在工作说明和资源方面，减少因人为错误、盗窃、欺诈和设施误用造成的风险；加强用户培训，确保用户清楚知道信息安全的危险性和相关事项，以便在他们的日常工作中支持组织的安全方针；制定安全事故或故障的反应程序，减少由安全事故和故障造成的损失，监控安全事件并从这种事件中吸取教训；5、实物与环境安全：确定安全区域，防止非授权访问、破坏、干扰商务场所和信息；通过保障设备安全，防止资产的丢失、破坏、资产危害及商务活动的中断；采用通用的控制方式，防止信息或信息处理设施损坏或失窃；46十大管理要项BS7799-2:20021、132133十大管理要项BS7799-2:20026、通信和操作方式管理：明确操作程序及其责任，确保信息处理设施的正确、安全操作；加强系统策划与验收，减少系统失效风险；防范恶意软件以保持软件和信息的完整性；加强内务管理以保持信息处理和通讯服务的完整性和有效性通过；加强网络管理确保网络中的信息安全及其辅助设施受到保护；通过保护媒体处理的安全，防止资产损坏和商务活动的中断；加强信息和软件的交换的管理，防止组织间在交换信息时发生丢失、更改和误用；7、访问控制：按照访问控制的商务要求，控制信息访问；加强用户访问管理，防止非授权访问信息系统；明确用户职责，防止非授权的用户访问；加强网络访问控制，保护网络服务程序；加强操作系统访问控制，防止非授权的计算机访问；加强应用访问控制，防止非授权访问系统中的信息；通过监控系统的访问与使用，监测非授权行为；在移动式计算和电传工作方面，确保使用移动式计算和电传工作设施的信息安全；8、系统开发与维护：明确系统安全要求，确保安全性已构成信息系统的一部份；加强应用系统的安全，防止应用系统用户数据的丢失、被修改或误用；加强密码技术控制，保护信息的保密性、可靠性或完整性；加强系统文件的安全，确保IT方案及其支持活动以安全的方式进行；加强开发和支持过程的安全，确保应用系统软件和信息的安全；9、商务连续性管理：防止商务活动的中断及保护关键商务过程不受重大失误或灾难事故的影响；10、符合：符合法律法规要求，避免刑法、民法、有关法令法规或合同约定事宜及其他安全要求的规定相抵触；加强安全方针和技术符合性评审，确保体系按照组织的安全方针及标准执行；系统审核考虑因素，使效果最大化，并使系统审核过程的影响最小化。

47十大管理要项BS7799-2:20026、通133ISMSSpecifications

ISMSStandards标准BS7799Part2ISMSGuidelines(riskassessment,selectionofcontrols)GMITS/MICTSISO/IEC18044IncidenthandlingPD3000seriesonriskandselectionofcontrolsISMSControlCataloguesISO/IEC17799Managementsystemcertificationandaccreditationstandards(auditingprocess,proceduresetc)ISOGuide62EA7/03EN45013EN45012ISO19011ISO9001NationalschemesandstandardsISMSSpecificationsISMSStanda134ISMSStandards

BS7799-2:2002PLANDOACTCHECKPDCAModelDesignISMSImplement&useISMSMonitor&reviewISMSMaintain&improveISMSRiskbasedcontinualimprovementframeworkforinformationsecuritymanagementISMSStandards

BS7799-2:2002P135PDCA循环的概念最早是由美国质量管理专家戴明提出来的，所以又称为“戴明环”。ＰＤＣＡ循环即计划（Ｐｌａｎ）、执行（Ｄｏ）、检查（Ｃｈｅｃｋ）和处理（Ａｃｔｉｏｎ），它是一个标准的管理工作程序，也是进行质量管理的四个步骤。Ｐ（计划）：即根据用户的要求，制定相应的技术经济指标、质量目标，以及实现这些目标的具体措施和方法。Ｄ（执行）：按照所制定的计划和措施付诸实施。Ｃ（检查）：对照计划，检查执行的情况和效果，及时发现问题。Ａ（处理）：根据检查结果采取措施，巩固成绩，吸取教训，防止重蹈覆辙，并将未解决的问题转到下一次ＰＤＣＡ循环中去。PDCA循环的概念最早是由美国质量管理专家戴明提出来136ＰＤＣＡ循环有两个特点：①大环套小环，ＰＤＣＡ能应用于企业的各个方面和各个层次，整个企业的质量管理运作是一个大的ＰＤＣＡ循环，而其中的某一车间或部门乃至个人的行动也按ＰＤＣＡ循环进行，形成大环套小环的综合循环系统，相互推动。②螺旋式上升，每次ＰＤＣＡ循环都不是在原地踏步，而是每次循环都能解决一些问题，下次循环就在一个较高的层面上进一步解决新的问题。所以，它在不断循环的同时，还在不断上升，呈螺旋上升状态。ＰＤＣＡ循环有两个特点：137138第一步制订信息安全方针BS7799-2对ISMS的要求：组织应定义信息安全方针。信息安全是指保证信息的保密性、完整性和可用性不受破坏。建立信息安全管理体系的目标是对公司的信息安全进行全面管理。信息安全方针是由组织的最高管理者正式制订和发布的该组织的信息安全的目标和方向，用于指导信息安全管理体系的建立和实施过程。要经最高管理者批准和发布体现了最高管理者对信息安全的承诺与支持要传达给组织内所有的员工要定期和适时进行评审目的和意义为组织提供了关注的焦点，指明了方向，确定了目标；确保信息安全管理体系被充分理解和贯彻实施；统领整个信息安全管理体系。建立ISMS框架52第一步制订信息安全方针建立ISMS框架138139第一步制订信息安全方针信息安全方针的内容包括但不限于：组织对信息安全的定义信息安全总体目标和范围最高管理者对信息安全的承诺与支持的声明符合相关标准、法律法规、和其它要求的声明对信息安全管理的总体责任和具体责任的定义相关支持文件注意事项简单明了易于理解可实施避免太具体建立ISMS框架53第一步制订信息安全方针建立ISMS框架139140第二步确定ISMS范围BS7799-2对ISMS的要求：组织应定义信息安全管理体系的范围，范围的边界应依据组织的结构特征、地域特征、资产和技术特点来确定。可以根据组织的实际情况，将组织的一部分定义为信息安全管理范围，也可以将组织整体定义为信息安全管理范围；信息安全管理范围必须用正式的文件加以记录。ISMS范围文件文件是否明白地描述了信息安全管理体系的范围范围的边界和接口是否已清楚定义建立ISMS框架54第二步确定ISMS范围建立ISMS框架140141第三步风险评估BS7799-2对ISMS的要求：组织应进行适当的风险评估，风险评估应识别资产所面对的威胁、脆弱性、以及对组织的潜在影响，并确定风险的等级。是否执行了正式的和文件化的风险评估？是否经过一定数量的员工验证其正确性？风险评估是否识别了资产的威胁、脆弱性和对组织的潜在影响？风险评估是否定期和适时进行？建立ISMS框架55第三步风险评估建立ISMS框架141142第四步风险管理BS7799-2对ISMS的要求：组织应依据信息安全方针和组织要求的安全保证程度来确定需要管理的信息安全风险。根据风险评估的结果，选择风险控制方法，将组织面临的风险控制在可以接受的范围之内。是否定义了组织的风险管理方法？是否定义了所需的信息安全保证程度？是否给出了可选择的控制措施供管理层做决定？建立ISMS框架56第四步风险管理建立ISMS框架142143第五步选择控制目标和控制措施BS7799-2对ISMS的要求：组织应选择适当的控制措施和控制目标来满足风险管理的要求，并证明选择结果的正确性。选择控制措施的示意图选择的控制措施是否建立在风险评估的结果之上？是否能从风险评估中清楚地看出哪一些是基本控制措施，哪一些是必须的，哪一些是可以考虑选择的控制措施？选择的控制措施是否反应了组织的风险管理战略？针对每一种风险，控制措施都不是唯一的，要根据实际情况进行选择建立ISMS框架安全问题安全需求控制目标控制措施解决指出定义被满足57第五步选择控制目标和控制措施建立ISMS框架安全问题安143144第五步选择控制目标和控制措施BS7799-2对ISMS的要求：未选择某项控制措施的原因风险原因-没有识别出相关的风险财务原因-财务预算的限制环境原因-安全设备、气候、空间等技术-某些控制措施在技术上不可行文化-社会环境的限制时间-某些要求目前无法实施其它-？建立ISMS框架58第五步选择控制目标和控制措施建立ISMS框架144145第六步准备适用声明BS7799-2对ISMS的要求：组织应准备适用声明，记录已选择的控制措施和理由，以及未选择的控制措施及其理由。在选择了控制目标和控制措施后，对实施某项控制目标、措施和不实施某项控制目标、措施进行记录，并对原因进行解释的文件。建立ISMS框架未来实现公司ISMS适用声明59第六步准备适用声明建立ISMS框架未来实现公司ISMS145146BS7799与CC的比较BS7799完全从管理角度制定，并不涉及具体的安全技术，实施不复杂，主要是告诉管理者一些安全管理的注意事项和安全制度，例如磁盘文件交换和处理的安全规定、设备的安全配置管理、工作区进出的控制等一些很容易理解的问题。这些管理规定一般的单位都可以制定，但要想达到BS7799的全面性则需要一番努力。同BS7799相比，信息技术安全性评估准则(CC)和美国国防部可信计算机评估准则(TCSEC)等更侧重于对系统和产品的技术指标的评估；系统安全工程能力成熟模型(SSE-CMM)更侧重于对安全产品开发、安全系统集成等安全工程过程的管理。在对信息系统日常安全管理方面，BS7799的地位是其他标准无法取代的。总的来说，BS7799涵盖了安全管理所应涉及的方方面面，全面而不失可操作性，提供了一个可持续提高的信息安全管理环境。推广信息安全管理标准的关键在重视程度和制度落实方面。它是目前可以用来达到一定预防标准的最好的指导标准。60BS7799与CC的比较BS7799完全从管理角度制定146147SSE-CMM是系统安全工程能力成熟模型（SystemsSecurityEngineeringCapabilityMaturityModel）的缩写，它描述了一个组织的安全工程过程必须包含的本质特征，这些特征是完善的安全工程的保证。尽管SSE-CMM没有规定一个特定的过程和步骤，但是它汇集了工业界常见的实施方法。本模型是安全工程实施的标准度量准则，它覆盖了：整个生命期，包括开发、运行、维护和终止；整个组织，包括其中的管理、组织和工程活