信息安全管理成为信息安全保障的热点

风险评估的国际动态汇报要点信息安全管理成为信息安全保障的热点泰德带来的启示风险评估和等级保护的关系信息安全管理成为

信息安全保障的热点ITIS$！信息就是财富,安全才有价值。CI:CriticalInfrastructureCIP:CriticalInfrastructureProtectionCII:CriticalInformation

Infrastructure.CIIP:CriticalInformation

InfrastructureProtection技术提供安全保障功能，但不是安全保障的全部提高人的安全意识，技术、管理两手抓成为国际共识。标准化组织和行业团体抓紧制定管理标准ISO13335正在重组修改正在修订17799BS7799-2成为国际标准正在讨论NIST在联邦IT系统认证认可的名义下提出大量规范SP800-18《IT系统安全计划开发指南》（1998年12月）SP800-26《IT系统安全自评估指南》（2001年11月）SP800-30《IT系统风险管理指南》（2002年1月发布，2004年1月21日修订）SP800-37《联邦IT系统认证认可指南》（2002年9月，2003年7月，2004年5月最后文本）FIPS199《联邦信息和信息系统的安全分类标准》（草案第一版）（2003年12月）SP800-53《联邦信息系统安全控制》（2003年8月31日发布草案）SP800-53A《联邦信息系统安全控制有效性检验技术和流程》（计划2003至2004年出版）SP800-60《信息和信息类型与安全目标及风险级别对应指南》（2004年3月草案2.0版)ManagingEnterpriseRiskandAchievingMoreSecureInformationSystemsinvolves—Categorizing(enterpriseinformationandinformationsystems)Selecting(appropriatesecuritycontrols)Refining(securitycontrolsthroughariskassessment)Documenting(securitycontrolsinasystemsecurityplan)Implementing(securitycontrolsinnewandlegacysystems)Assessing(theeffectivenessofsecuritycontrols)Determining(enterprise-levelriskandriskacceptability)Authorizing(informationsystemsforprocessing)Monitoring(securitycontrolsonanongoingbasis)

国际信息系统审计与控制协会

(ISACA)

提出：1.ISRiskAssessment,effective1July20022.DigitalSignatures,effective1July20023.IntrusionDetection,effective1August20034.VirusesandotherMaliciousLogic,effective1August20035.ControlRiskSelf-assessment,effective1August20036.Firewalls,effective1August20037.IrregularitiesandIllegalActsEffective1November20038.SecuurityAssessment—PenetrationTestingandVulnerabilityAnalysis,effective1September2004提出《信息和相关技术的控制目标》(CoBIT)CoBIT开发和推广了第三版，CoBIT起源于组织为达到业务目标所需的信息这个前提

CoBIT鼓励以业务流程为中心，实行业务流程负责制CoBIT还考虑到组织对信用、质量和安全的需要它提供了组织用于定义其对IT业务要求的几条信息准则：效率、效果、可用性、完整性、保密性、可靠性和一致性。CoBIT进一步把IT分成4个领域计划和组织，获取和运用，交付和支持，监控和评价。共计34个IT业务流程。其中3个与信息安全直接密切相关的业务流程是：计划和组织流程9——评估风险：传递和支持流程4——确保连贯的服务；传递和支持流程5——保证系统安全。CoBIT为正在在寻求求控制制实施施最佳佳实践践的管管理者者和IT实施人人员提提供了了超过过300个详细细的控控制目目标，，以及及建立立在这这些目目标上上的广广泛的的行动动指南南。后后者是是用来来评估估和审审计对对IT流程控控制和和治理理的程程度。。国际CIIP手册(2004)PartIIAnalysisofMethodsandModelsforCIIAssessment1SectorAnalysis2InterdependencyAnalysis3RiskAnalysis4ThreatAssessment5VulnerabilityAssessment6ImpactAssessment7SystemAnalysis2002年版TechnicalIT-SecurityModelsRiskAnalysisMethodology(forITSystems)InfrastructureRiskAnalysisModel(IRAM)Leontief-BasedModelofRiskinComplexInterconnectedInfrastructuresSectorandLayerModel,SectorAnalysis,ProcessandTechnologyAnalysis,DimensionalInterdependencyAnalysis.泰德带带来的的启示示风险三三角形形风险资产威胁脆弱性性泰德眼眼中的的InformationSecurityGovernance标准体体系（ISMS）BS7799Part2CorporateGovernancePLANDOACTCHECK风险管理处理系统控制内部审计功能ISO/IEC17799ISMSStandardsISO/IEC17799andBS7799-2SecurityprocessesandcontrolcompliancestatementsControlsandcontrolimplementationadviceControlsNON-MANDATORYStatementsRiskassessmentAudit/reviewsMANDATORYStatementsRiskassessment,treatmentandmanagementComplianceaudit/reviews(SHALLstatements)GovernanceprinciplesISMSSpecificationsISMSStandardsManagementsystemspecs,guidance&auditingBS7799Part2ISMSGuidelines(riskassessment,selectionofcontrols)GMITS/MICTSISO/IEC18044IncidenthandlingPD3000seriesonriskandselectionofcontrolsISMSControlCataloguesISO/IEC17799Managementsystemcertificationandaccreditationstandards(auditingprocess,proceduresetc)ISOGuide62EA7/03EN45013EN45012ISO19011ISO9001NationalschemesandstandardsProductStandardsTechnicalimplementationandspecificationstandardsEncryptionAuthenticationDigitalsignaturesKeymanagementNon-repudiationITnetworksecurityTPPservicesTimestampingAccesscontrolBiometricsCardsProductandproductsystemtestingandevaluationISO/IEC15408EvaluationcriteriaProtectionprofilesISMSStandardsBS7799-2:2002PLANDOACTCHECKPDCAModelDesignISMSImplement&useISMSMonitor&reviewISMSMaintain&improveISMSRiskbasedcontinualimprovementframeworkforinformationsecuritymanagementISO/IEC17799新老版版本对对比SecuritypolicySecurityorganisationAssetclassification&controlPersonnelsecurityPhysical&environmentalsecurityCommunications&operationsmanagementAccesscontrolSystemsdevelopment&maintenanceBusinesscontinuityCompliance2000versionSecuritypolicyOrganisinginformationsecurityAssetmanagementHumanresourcessecurityPhysical&environmentalsecurityCommunications&operationsmanagementAccesscontrolInformationsystemsacquisition,developmentandmaintenance

BusinesscontinuitymanagementComplianceInformationsecurityincidentmanagementnewversionSecuritypolicyOrganisinginformationsecurityAssetmanagementHumanresourcessecurityPhysical&environmentalsecurityCommunications&operationsmanagementAccesscontrolInformationsystemsacquisition,developmentandmaintenance

BusinesscontinuitymanagementComplianceInformationsecurityincidentmanagementnewversionISMSStandardsRevisionofISO/IEC17799:2000SatisfyrequirementControl(plussupportingtext)Staterequirement2000editionControlObjectiveControlImplementationguidanceOtherinformationRevisededitionControlObjective新老版版本变变化ISO/IEC17799neweditionISO/IEC17799oldedition9oldcontrolsdeleted16newcontrolsadded118controlsremaining老版本本:包含10个控制制要项项，36个控控制制目目标标，，127个控控制制措措施施新版版本本:11个39个134个风险险评评估估如如何何贯贯穿穿于于安安全全管管理理BS7799-2:2002设计ISMSImplementandusetheISMSMonitoringandreviewtheISMSImproveandupdatetheISMS计划DOCHECKACTISMS定义ISMS的执行范围和政策执行风险评估对风险评估处理作出决定

选择控制ISMSStandardsBS7799-2:2002DesigntheISMS执行和使用ISMSMonitoringandreviewtheISMSImproveandupdatetheISMSPLAN行动CHECKACTISMS执行风险评估处理计划执行控制执行意识/培训将ISMS放到

操作使用中ISMSStandardsBS7799-2:2002DesigntheISMSImplementandusetheISMS监控和检查ISMSImproveandupdatetheISMSPLANDO检查ACTISMS执行监控进程执行定期检查

检查剩余风险和可接受的风险内部审计ISMSStandardsBS7799-2:2002DesigntheISMSImplementandusetheISMSMonitoringandreviewtheISMS改进和升级ISMSPLANDOCHECKACTISMS实现改进矫正性和预防性的活动传达结果

检查改进达到的目标ISMSAssetsBusinessprocessesInformation

PeopleServicesICTPhysicallocationApplications

assetdirectoryAssetsCorporateimagePeopleInformation/informationsystemsProcessesProducts/servicesApplicationsICTPhysicalISO/IEC177997.1.1InventoryofassetsISMSRisksAssetthreats&vulnerabilitiesAssetvalue&utility

assetdirectoryAssetsCorporateimagePeopleInformation/informationsystemsProcessesProducts/servicesApplicationsICTPhysicalRisktreatmentRisks&impactsRisktreatment风险险等等级级不可容忍的风险可容忍的风险很少发生业务暴露持续的业务暴露对业务影响的因果关系较小对业务产生灾难性影响的因果关系业务务影影响响低(可忽忽略略,无关关紧紧要要,为不不足足道道,无须须重重视视)中低低(值得得注注意意,相当当可可观观但但不不是是主主要要的的)中(重要要,主要要)中高高(严重重危危险险,潜在在灾灾难难)高(破坏坏性性的的,总体体失失灵灵,完全全停停顿顿)保密性要求(C)资产价值分级描述1–低可公开非敏感信息和信息处理设施及系统资源，可以公开.。2–中仅供内部使用或限制使用非敏感的信息仅限内部使用，即不能公开或限制信息或信息处理设施及系统资源可在组织内部根据业务需要的约束来使用。3–高秘密或绝密敏感的信息或信息处理设施和系统资源，只能根据需要（need-to-know）或严格依据工作需要。资产产分分级级完整性要求(I)资产价值分级描述1–低低完整性对信息的非授权的损害或更改不会危及业务应用或对业务的影响可以忽略。2–中中完整性对信息的非授权的损害或更改不会危及业务应用，但是值得注意以及对业务的影响是重要的。3–高高或非常高完整性对信息的非授权的损害或更改危及业务应用，且对业务的影响是严重的并会导致业务应用的重大或全局失败。资产产分分级级可用性要求

(A)资产价值分级描述1-低低可用性资产(信息,信息系统

系统资源/网络服务,人员等.)可以容忍多于一天的不能使用。2–中中可用性资产(信息,信息系统

系统资源/网络服务,人员等.)可以容忍半天到一天的不能使用。3–高高可用性资产(信息,信息系统

系统资源/网络服务,人员等.)可以容忍几个小时的不能使用。4–非常高非常高的可用性资产(信息,信息系统

系统资源/网络服务,人员等.)必须保证每年每周24x7工作。资产产分分级级威胁胁和和脆脆弱弱性性估估计计威胁胁应该该考考虑虑它它们们出出现现的的可可能能性性，，以以及及可可能能利利用用弱弱点点/脆弱弱性性可可能能性性。。实例不太可能发生的机会小于可能出现的机会小于25%很可能/大概机会50:50高可能发生的机会多于75%非常可能不发生的机会小于1/10绝对无疑100%会发生风险险控控制制RiskthresholdRisklevel风险险控控制制ContinualImprovement启示示风险险评评估估是是出出发发点点等级级划划分分是是判判断断点点安全全控控制制是是落落脚脚点点风险险评评估估和和等等级级保保护护的的关关系系27号文文件件把把实实施施信信息息系系统统安安全全等等级级保保护护作作为为重重要要基基础础性性工工作作。。信息息安安全全等等级级保保护护制制度度是是国国家家在在国国民民经经济济和和社社会会信信息息化化的的发发展展过过程程中中，，提提高高信信息息安安全全保保障障能能力力和和水水平平，，维维护护国国家家安安全全、、社社会会稳稳定定和和公公共共利利益益，，保保障障和和促促进进信信息息化化建建设设健健康康发发展展的的一一项项基基本本制制度度。。我们们国国家家为为实实施施等等级级保保护护奋奋斗斗了了20年。。实施施信信息息安安全全等等级级保保护护，，能能够够有有效效地地提提高高我我国国信信息息和和信信息息系系统统安安全全建建设设的的整整体体水水平平，，有利利于于在信信息息化化建建设设过过程程中中同同步步建建设设信信息息安安全全设设施施，，保保障障信信息息安安全全与与信信息息化化建建设设相相协协调调；；有利利于于为信信息息系系统统安安全全建建设设和和管管理理提提供供系系统统性性、、针针对对性性、、可可行行性性的的指指导导和和服服务务，，有有效效控控制制信信息息安安全全建建设设成成本本；；有利利于于优化化信信息息安安全全资资源源的的配配置置，，对对信信息息系系统统分分级级实实施施保保护护，，重重点点保保障障基基础础信信息息网网络络和和关关系系国国家家安安全全、、经经济济命命脉脉、、社社会会稳稳定定等等方方面面的的重重要要信信息息系系统统的的安安全全；；有利利于于明确确国国家家、、法法人人和和其其他他组组织织、、公公民民的的信信息息安安全全责责任任，，加加强强信信息息安安全全管管理理；；有利利于于推动动信信息息安安全全产产业业的的发发展展，，逐逐步步探探索索出出一一条条适适应应社社会会主主义义市市场场经经济济发发展展的的信信息息安安全全模模式式。。信息息安安全全等等级级保保护护制制度度的的基基本本内内容容信息息安安全全等等级级保保护护是是指指对对国国家家秘秘密密信信息息、、法法人人和和其其他他组组织织及及公公民民的的专专有有信信息息以以及及公公开开信信息息和和存存储储、、传传输输、、处处理理这这些些信信息息的的信信息息系系统统分分等等级级实实行行安安全全保保护护，，对对信信息息系系统统中中使使用用的的信信息息安安全全产产品品实实行行按按等等级级管管理理，，对对信信息息系系统统中中发发生生的的信信息息安安全全事事件件分分等等级级响响应应、、处处置置。。保护等级级的划分分1、第一级级为自主保护护级，适用于于一般的的信息和和信息系系统，其其受到破破坏后，，会对公公民、法法人和其其他组织织的权益益有一定定影响，，但不危危害国家家安全、、社会秩秩序、经经济建设设和公共共利益。。2、第二级级为指导保护护级，适用于于一定程程度上涉涉及国家家安全、、社会秩秩序、经经济建设设和公共共利益的的一般信信息和信信息系统统，其受受到破坏坏后，会会对国家家安全、、社会秩秩序、经经济建设设和公共共利益造造成一定定损害。。3、第三级级为监督保护护级，适用于于涉及国国家安全全、社会会秩序、、经济建建设和公公共利益益的信息息和信息息系统，，其受到到破坏后后，会对对国家安安全、社社会秩序序、经济济建设和和公共利利益造成成较大损损害。4、第四级级为强制保护护级，适用于于涉及国国家安全全、社会会秩序、、经济建建设和公公共利益益的重要要信息和和信息系系统，其其受到破破坏后，，会对国国家安全全、社会会秩序、、经济建建设和公公共利益益造成严严重损害害。5、第五级级为专控保护护级，适用于于涉及国国家安全全、社会会秩序、、经济建建设和公公共利益益的重要要信息和和信息系系统的核核心子系系统，其其受到破破坏后，，会对国国家安全全、社会会秩序、、经济建建设和公公共利益益造成特特别严重重损害。。实施信息息安全等等级保护护工作的的要求（一）完完善标准准，分类类指导。。（二）科科学定级级，严格格备案。。（三）建建设整改改，落实实措施。。（四）自自查自纠纠，落实实要求。。（五）建建立制度度，加强强管理。。（六）监监督检查查，完善善保护。。同一个问问题的不不同侧面面从资产的的重要性性看-划分需要要的保护护等级。。从面对的的威胁和和脆弱性性看-进行风险险分析。。从安全保保障能力力看-选择需要要的安全全控制。。等级保护护制度进进行全面面管理、、响应和和处置。。几点认识识风险评估估是落实实等级保保护的抓抓手。面向对象象和面向向手段不不能分割割。IT驱动和业业务驱动动同样需需要。风险评估估是出发发点等级划分分是判断断点安全控制制是落脚脚点9、静夜四四无邻，，荒居旧旧业贫。。。12月-2212月-22Thursday,December29,202210、雨中黄叶叶树，灯下下白头人。。。03:48:4303:48:4303:4812/29/20223:48:43AM11、以我独沈沈久，愧君君相见频。。。12月-2203:48:4303:48Dec-2229-Dec-2212、故故人人江江海海别别，，几几度度隔隔山山川川。。。。03:48:4303:48:4303:48Thursday,December29,202213、乍见见翻疑疑梦，，相悲悲各问问年。。。12月月-2212月月-2203:48:4303:48:43December29,202214、他乡生生白发，，旧国见见青山。。。29十十二月20223:48:43上午午03:48:4312月-2215、比不了得得就不比，，得不到的的就不要。。。。十二月223:48上上午12月-2203:48December29,202216、行行动动出出成成果果，，工工作作出出财财富富。。。。2022/12/293:48:4303:48:4329December202217、做做前前，，能能够够环环视视四四周周；；做做时时，，你你只只能能或或者者最最好好沿沿着着以以脚脚为为起起点点的的射射线线向向前前。。。。3:48:43上上午午3:48上上午午03:48:4312月月-229、没有有失败败，只只有暂暂时停停止成成功！！。12月月-2212月月-22Thursday,December29,202210、很多多事情情努力力了未未必有有结果果，但但是不不努力力却什什么改改变也也没有有。。。03:48:4303:48:4303:4812/29/20223:48:43AM11、成功就就是日复复一日那那一点点点小小努努力的积积累。。。12月-2203:48:4303:48Dec-2229-Dec-2212、世间成事事，不求其其绝对圆满满，留一份份不足，可可得无限完完美。。03:48:4303:48:4303:48Thursday,December29,202213、不不知知香香积积寺寺，，数数里里入入云云峰峰。。。。12月月-2212月月-2203:48:430