信息安全保障实践

信息安全保障实践2课程内容23知识子域：国外信息安全保障情况了解发达国家信息安全状况和信息安全保障的主要举措了解发达国家信息安全方面主要动态知识子域：我国信息安全保障工作总体情况了解我国信息安全保障工作发展阶段理解国家信息安全保障基本原则了解国家信息安全保障建设主要内容知识域：信息安全保障工作概况34发达国家信息安全状况发达国家信息安全保障的主要举措国外信息安全保障情况45发达国家信息安全保障的主要举措信息安全是国家安全的重要组成部分已成为世界各国的共识;各国纷纷出台自己的信息安全战略和政策，加强自身的国家信息安全保障体系建设。56国外信息安全保障体系的最新趋势战略：发布网络安全战略、政策评估报告、推进计划等文件政治：通过设立网络安全协调机构、设立协调官，强化集中领导和综合协调军事：陆续成立网络战司令部，开展大规模攻防演练，招募网络战精英人才，加快军事网络和通信系统的升级改造，网络战成为热门话题外交：信息安全问题的国际交流与对话增多，美欧盟友之间网络协同攻防倾向愈加明显，信息安全成为国际多边或双边谈判的实质性内容科技：各国寻求走突破性跨越式发展路线推进技术创新，力求在科技发展上保持和占据优势地位关键基础设施仍然是信息安全保障的最核心内容7美国信息安全保障战略：

一个轮回三届政府四个文件网络空间国家安全战略框架98年克林顿政府PDD6300年信息系统保护国家计划01年布什政府PCIPB03年保护网际空间国家战略1998年5月，克林顿政府发布了第63号总统令（PDD63）：《克林顿政府对关键基础设施保护的政策》2000年1月，克林顿政府发布了《信息系统保护国家计划V1.0》，提出了美国政府在21世纪之初若干年的网络空间安全发展规划。2001年10月16日，布什政府意识到了911之后信息安全的严峻性，发布了第13231号行政令《信息时代的关键基础设施保护》，宣布成立“总统关键基础设施保护委员会”，简称PCIPB，代表政府全面负责国家的网络空间安全工作2003年2月，在征求国民意见的基础上，发布了《保护网际空间的国家战略》的正式版本，对原草案版本做了大篇幅的改动，重点突出国家政府层面上的战略任务，这是一个非常大的跨越2010年3月2日，奥巴马政府部分解密了CNCI，包括3个重要目标，12个倡议8美国CNCI：网络“曼哈顿计划”2008年1月2日发布的国家安全总统令54/国土安全总统令23，建立了国家网络安全综合计划(CNCI)。三道防线建立第一线防御：减少当前漏洞和隐患，预防入侵；全面应对各类威胁：增强反间能力，加强供应链安全来抵御各种威胁；强化未来安全环境：增强研究、开发和教育以及投资先进的技术来构建将来的环境。十二项任务9美国信息安全保障的重点对象2001年美国出台《美国爱国者法案》，定义“关键基础实施”的含义；2003年12月发布《国土安全总统令/HSPD-7》确定了17个关键基础设施；2008年3月国土安全部将关键制造业类为第18项关键基础设施；目前美国的关键基础设施和主要资源部门；10美国信息安全保障组织机构网络安全协调官：负责领导白宫“网络安全办公室”，制定和发布国家信息安全政策首任网络安全协调官霍华德·施密特，被喻为“网络沙皇”国土安全部（DHS）、国家安全局（NSA）、国防部（DOD）、联邦调查局（FBI）、中央情况报局（CIA）、国家标准技术研究所（NIST）等6个机构具体执行不同的分管职责公私合作机构:国家基础设施顾问委员会（NIAC）、信息共享和分析中心（ISAC）、网络安全全国联盟（NCSA）等等11美国信息安全保障基本做法1993年克林顿政府提出兴建“国家信息基础设施”（信息高速公路），1998年首次提出信息安全的概念和意义；1998年5月国家安全局制定了《信息保障技术框架》；2000年公布首个《信息系统保护国家计划》；2002年下半年，以《国土安全战略》为引导，布什政府逐步出台一系列国家安全政策，将信息保障战略纳入总体国家战略之中：2003年2月，发布《网络空间安全国家战略》、《保护关键基础设施和重要资产的国家战略》12美国信息安全保障基本做法2005年美国建立了国家漏洞库（NVD），利用技术优势掌握全球最全面的信息安全漏洞信息2008年1月8日，布什以第54号国家安全总统令和第23号国土安全总统令的形式签署《国家网络安全综合计划》这项计划高度强调国家意志，被称为信息安全的“曼哈顿计划；目标：保护没有网络安全，防止美国遭到敌对的电子攻击，并能对敌方展开在线攻击；预算：高达300-400亿美元属于高度机密，2010年3月奥巴马政府公开了其部分内容要求美国政府与安全有关的部门参与实施13英国信息安全保障体系建设动态全面紧跟美国，2009年6月，英国发布首份国家《网络安全战略》，宣布成立“网络安全办公室”和“网络安全运行中心”，提出建立新的网络管理机构的具体措施。注重信息安全标准组织建设，重视将本国标准向海外推广，积极参与国际信息安全标准制定。英国BSI7799标准享誉全球，已成为国际标准，并主导ISO/IEC27000系列标准强化网络监控，规定警方和国家安全、税务等监察部门有权监控电子邮件和移动电话等系统，成为西方大国中唯一的政府可以要求网络用户交出加密资料密钥的国家14英国信息安全保障的重点对象英国国计民生不可或缺的许多关键服务依赖信息技术，有10个部分被认为是在提供“基本服务”。15英国信息安全保障组织机构国家基础设施安全协调中心负责信息安全工作的跨部门机构运行着英国的计算机应急响应小组信息保障中央主办局和民事应急局——负责信息安全工作的重要政府机构16英国信息安全保障基本做法立法工作1984年制定《数据保护法》1990年出台《反计算机滥用法》1997年实施《电信诈骗法》2000年出台《信息自由法》1998年贸易和工业部发表《加强竞争力白皮书》：确定了英国建设信息社会的方式2005年英国政府制定发表了《信息保障管理框架》：作为信息安全保障战略。17英国信息安全保障基本做法2009年6月，英国政府推出首份《国家网络安全战略》，宣布成立“网络安全办公室”和“网络安全运行中心”，提出了建立网络管理机制的具体措施英国建立了两个国家级的计算机应急响应小组英国政府计算机响应小组英国国防部计算机应急响应小组注重政府信息系统安全采用网络逻辑隔离、PKI等安全技术加强政务外网安全构建支持“身份联合管理”的内部电子邮件系统注重标准制定，BS7799是国际信息安全管理标准ISO27000的前身注重网络监管是唯一政府可以要求网络用户交出加密密钥的国家18德国信息安全保障体系建设动态世界上第一个建立电子政务标准的国家。1991年，德国在内政部下建立信息安全局（BSI），负责处理与网络空间相关的所有问题。重视关键基础设施信息安全保障，建立日尔曼人的“基线”防御。1997年建立部际关键基础设施工作组；2005年出台《信息基础设施保护计划》和《关键基础设施保护的基线保护概念》19法国信息安全保障体系建设动态2003年12月总理办公室提出《强化信息系统安全国家计划》并得到政府批准实施，四大目标：确保国家领导通信安全；确保政府信息通信安全；建立计算机反共济能力；将法国信息系统安全纳入欧盟颞部法国安全政策范围。2009年7月7日，成立国家级“网络和信息安全局”，置于总理领导之下，隶属国防部。20其他西方国家信息安全保障体系建设动态加拿大：2004年提出了《国家安全政策》；2004年11月发布《国家关键基础设施保护战略》；2010年10月3日，发布《加拿大网络安全战略》。澳大利亚：把信息网络技术作为国家经济和社会发展的重要推动力量。制定并采取一系列与信息安全有关的政策和措施，把建立安全可靠的网络空间作为信息安全保障的战略目标。…21重点保护对象：经济、国内和外交政策、科学和技术、国家信息和通信系统、国防、司法、灾害响应机构：俄罗斯联邦安全理事会；俄罗斯联邦安全局（国家安全管理机关，信息安全工作主管和执法机关）；俄罗斯技术和出口控制局；俄罗斯联邦保卫局、信息技术和通信部基本做法：《俄罗斯国家安全纲要》作为信息安全战略；注重安全测评；实施信息安全分级管理。俄罗斯信息安全保障体系建设动态22亚太地区信息安全保障体系建设动态日本：实施了“保障型”信息安全战略；强调“信息安全保障是日本综合安全保障体系的核心”。韩国：将信息安全视为使馆国防安全的重大战略问题，不断加大信息安全保障系统管理力度，加快信息安全系统的建设步伐；在2010年建立信息安全司令部，以维护韩国的国家网络安全。…23日本重点保护对象：通信、政府和行政管理服务、金融、民航、铁路、后勤保障、电力、天然气、医疗服务、水机构：日本IT战略本部、国家信息安全中心、信息安全政策理事会、经济贸易产业省、国家警察厅基本做法：1992年建立国家计算机应急响应协调中心；2001年实施《建设先进信息和电信网络社会基本法》，同年公布《确保电子政务实施过程中的信息安全行动方案；》2003年经济经济贸易产业省开发多种信息安全评估系统；2004年国家警察厅在每个地区局建立反高科技犯罪科；2005年成立国家信息安全中心以美国《网络空间安全国家战略》为蓝本，发布《日本计算机安全战略》。24印度重点保护对象：银行和金融、保险、民航、电信、原子能、电力、邮政、铁路、太空、石油和天然气、国防、执法机关机构：国家信息委员会、国家信息安全协调中心、信息基础设施保护中心、信息技术局、印度计算机应急响应小组基本做法：2000年，颁布《信息安全法》；积极推广互联网和IT基础设施建设等；2009年印度政府宣布开发“中央监控系统”，直接连接国内所有通信服务商，实现对印度境内所有电话和互联网通信的监听25分析总结——重点保护对象各国之间历史、国情、文化不同，具体的重点保护对象也有所差异，但共同特点是将与国家安全、社会稳定和民生密切相关的关键基础设施作为信息安全保障的重点；《国际关键信息基础设施保护手册（CIIPHandbook）2008/2009》显示，所有国家最常被提到的关键部门都是现代化社会的核心部门，也是被破坏后可能造成极大规模灾害的部门；其中银行和金融被全部24个接受CIIP调查的国家列为国家关键基础设施。26分析总结——信息安全组织机构少数国家在中央政府一级设立机构专门负责处理网络信息安全问题，如美国；大多数国家信息安全管理职能由不同政府部门的多个机构和单位共同承担；机构单位的设立，以及机构在信息安全管理中的影响力，受到民防传统、资源配置、历史经验以及决策者对信息安全威胁总体认识程度的影响；两种观念在机构设置问题上具有较大影响力：执法机关强调信息安全属于防范敌对势力入侵及网络犯罪的范畴经营基础设施的部门将调信息安全属于技术问题或经济成本问题在现实信息安全威胁性质的决定下，前一种观念在大多数国家成为主流27分析总结——基本做法将信息安全视为国家安全的重要组成部分是主流积极推动信息安全立法和标准规范建设是主流重视对基础网络和重要信息系统的监管和安全测评是主流普遍重视信息安全事件应急响应普遍认识到公共私营合作伙伴关系的重要性，一方面政府加强管理力度，一方面充分利用社会资源28我国信息安全保障工作发展阶段国家信息安全保障基本原则国家信息安全保障建设主要内容我国信息安全保障总体情况2829阶段主要工作2001-2002启动国家信息化小组重组；网络与信息安全协调小组成立2003-2005逐步展开积极推进国家出台指导政策；召开第一次全国信息安全保障会议；发布国家信息安全战略；国家网络与信息安全协调小组召开四次会议2006至今深化落实信息安全法律法规、标准化和人才培养工作取得新成果；信息安全等级保护和风险评估取得新进展我国信息安全保障工作发展阶段2930信息安全保障的基本原则——立足国情，以我为主，坚持管理与技术并重；正确处理安全与发展的关系，以安全保发展，在发展中求安全；统筹规划，突出重点，强化基础性工作；明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。等级保护制度：根据应用系统、应用单位的重要程度，将信息系统划分为不同的重要级别，然后采用不同的技术和产品进行保护。国家信息安全保障基本原则3031我国信息安全保障建设的主要内容建立健全国家信息安全组织与管理体制机制，加强信息安全工作的组织保障建立健全信息安全法律法规体系，推进信息安全法制建设建立完善信息安全标准体系，加强信息安全标准化工作建立信息安全技术体系，实现国家信息化发展的自主可控建设信息安全基础设施，提供国家信息安全保障能力支撑建立信息安全人才培养体系，加快信息安全学科建设和信息安全人才培养32建立健全信息安全组织与管理体制机制2002年，国家网络与信息安全协调小组成立；2003年前我国具备了一套分层次、分领域的信息安全相关法律法规；2003年第27号文件颁布推动我国信息安全法制建设进入一个新阶段，信息安全法律体系进一步深化和发展；信息安全法制建设工作的现状和发展。33建设信息安全基础设施，

提供国家信息安全保障能力支撑建立信息安全通报和应急处置体系信息安全应急处理机制的建立

信息安全通报机制的建立建立以密码技术为基础的网络信任体系建立信息安全等级保护和风险评估体系建立信息安全测评认证体系完善信息安全监控体系34建立信息安全人才培养体系，

加快信息安全学科建设和信息安全人才培养加强信息安全理论研究和信息安全学科、专业建设加强信息安全的本科、硕士和博士学历教育培养信息安全的“执法”人才、组织决策管理人才、安全技术开发人才和技术服务人才加强安全宣传教育，普及全民信息安全意识35信息安全保障的基本原则——信息安全的等级保护制度等级保护制度：根据应用系统、应用单位的重要程度，将信息系统划分为不同的重要级别，然后采用不同的技术和产品进行保护。国家信息安全保障基本原则3536我国信息安全保障建设的主要内容建立健全国家信息安全组织与管理体制机制，加强信息安全工作的组织保障建立健全信息安全法律法规体系，推进信息安全法制建设建立完善信息安全标准体系，加强信息安全标准化工作建立信息安全技术体系，实现国家信息化发展的自主可控建设信息安全基础设施，提供国家信息安全保障能力支撑建立信息安全人才培养体系，加快信息安全学科建设和信息安全人才培养37建立健全信息安全组织与管理体制机制2002年，国家网络与信息安全协调小组成立；2003年前我国具备了一套分层次、分领域的信息安全相关法律法规；2003年第27号文件颁布推动我国信息安全法制建设进入一个新阶段，信息安全法律体系进一步深化和发展；信息安全法制建设工作的现状和发展。38建设信息安全基础设施，

提供国家信息安全保障能力支撑建立信息安全通报和应急处置体系信息安全应急处理机制的建立

信息安全通报机制的建立建立以密码技术为基础的网络信任体系建立信息安全等级保护和风险评估体系建立信息安全测评认证体系完善信息安全监控体系39建立信息安全人才培养体系，

加快信息安全学科建设和信息安全人才培养加强信息安全理论研究和信息安全学科、专业建设加强信息安全的本科、硕士和博士学历教育培养信息安全的“执法”人才、组织决策管理人才、安全技术开发人才和技术服务人才加强安全宣传教育，普及全民信息安全意识40阶段主要工作2001-2002启动国家信息化小组重组；网络与信息安全协调小组成立2003-2005逐步展开积极推进国家出台指导政策；召开第一次全国信息安全保障会议；发布国家信息安全战略；国家网络与信息安全协调小组召开四次会议2006至今深化落实信息安全法律法规、标准化和人才培养工作取得新成果；信息安全等级保护和风险评估取得新进展我国信息安全保障工作发展阶段4041启动阶段（2001-2002）2001年至2002年，是我国网络与信息安全事件频发且性质严重的时期，鉴于严峻的信息安全形势，国家信息化领导小组重组，网络与信息安全协调小组成立，我国信息安全保障工作正式启动。2001年至2002年中国发生的网络和信息安全事件：来自境外邪教组织、敌对势力的破坏各种政治谣言、反动宣传和社会敏感热点问题日益增多网络系统、重要信息系统自身存在诸多安全隐患如深圳证券交易所因系统崩溃停市半天，造成直接经济损失和社会影响；北京首都国际机场信息系统出现故障，造成上百个航班延误，数万名旅客滞留。42积极推进阶段（2003-2005）2003年至2005年，是国家信息安全保障体系建设逐步展开和推进的阶段，国家出台指导政策，召开第一次全国信息安全保障会议，发布国家信息安全战略，国家网络与信息安全协调小组召开了四次会议，信息安全保障各项工作积极推进。2003年7月，国家信息化领导小组《关于加强信息安全保障工作的意见》（中办发27号文件件）。2004年1月9日国家信息安全保障工作会议召开。2005年3月29日，国家网络与信息安全协调小组第四次会议召开。2005年12月16日，国家网络与信息安全协调小组第五次会议召开。会议主要关注：高度重视信息安全风险评估、网络信任体系以及保密和密码工作，进一步完善各项措施和政策规定，提高信息安全建设和管理水平。43深化落实阶段（2006年至今）2006年至今，围绕27号文件开展的各项信息安全保障工作迈出了新的坚实步伐。信息安全法律法规、标准化和人才培养工作取得了新成果。指导政策从完善到落实等级保护工作取得重要进展信息安全风险评估工作更加深入推进机制从实践到成型 标准规范从研究到实施在全国信息技术标准化技术委员会信息安全技术分委员会和各界、各部门的努力下，本着积极采用国际标准的原则，转化了一批国际信息安全基础技术标准。44我国在信息安全保障领域的国际合作在信息安全领域开展国际合作，是充分利用我国战略发展的机遇期，营造和谐、和平的良好国际环境，谋求我更深更广发展的重要措施。严格遵守《联合国宪章》和国际公认的信息通信技术的使用准则，妥善解决信息安全问题。倡导加强各国在信息安全领域的交流与合作。45制定信息安全保障需求的作用制定信息系统安全保障需求的方法和原则信息安全保障解决方案确定安全保障解决方案的原则实施信息安全保障解决方案的原则信息安全测评信息安全测评的重要性国内外信息安全测评现状产品、人员、商资、系统测评的方法和流程持续提高信息系统安全保障能力。信息系统安全监护和维护确定需求制定方案开展测评持续改进信息安全保障工作基本内容4546确定需求制定方案开展测评持续改进步骤一：确定信息系统安全保障需求步骤二：规范化、结构化的描述信息系统安全保障具体需求步骤三：根据信息系统安全保障需求编制具体的信息系统安全保障解决方案步骤五：用户根据信息系统安全保障评估情况进行改进，形成满足安全保障需求的可持续改进的安全保障能力。步骤四：对信息系统安全保障进行评估信息安全保障建设步骤4647知识域：信息安全保障工作基本内容知识子域：确定安全需求理解确定信息系统安全保障需求的作用理解确定信息系统安全保障需求的方法和原则47为什么要提取信息安全需求信息安全需求是安全方案设计和安全措施实施的依据准确地提取安全需求一方面可以保证安全措施可以全面覆盖信息系统面临的风险，是安全防护能力达到业务目标和法规政策的要求的基础另一方面可以提高安全措施的针对性，避免不必要的安全投入，防止浪费482023/1/1349“信息系统安全保障需求描述”风险评估确定信息系统安全保障具体需求如何制定信息安全保障需求49法规符合性50

安全需求的制定流程安全需求的主要内容

制定信息系统安全保障需求的方法和原则5051$VISIOCORPORATION目标映射至要求安全策略系统现状安全目标抵抗支持客户审阅安全威胁系统

环境

风险，策略,假设技术要求管理要求工程要求符合性声明系统安全保障级别系统

描述安全需求的制定流程5152

信息系统保护轮廓（ISPP）是根据组织机构使命和所处的运行环境，从组织机构的策略和风险的实际情况出发，对具体信息系统安全保障需求和能力进行具体描述。表达一类产品或系统的安全目的和要求。

ISPP是从信息系统的所有者（用户）的角度规范化、结构化的描述信息系统安全保障需求。信息系统安全保障的具体需求由信息系统保护轮廓(ISPP)确定。ISPP52标准化的安全保障需求文档-ISPP53ISSP引言信息系统描述信息系统安全环境安全保障目的安全保障要求ISPP应用注解符合性声明规范化、结构化信息系统安全保障具体需求5354ISPP的框架结构5455信息系统安全保护轮廓（ISPP）描述用户信息系统安全保障要求第二部分技术保障安全技术控制组件技术架构能力级第三部分管理保障安全管理控制组件管理能力级第四部分工程保障安全工程控制组件工程能力级参考国家标准制定安全需求55安全需求的具体内容可以从国家标准《信息系统安全保障评估保障评估框架》中抽取56知识域：信息系统安全保障工作基本内容知识子域：设计和实施信息安全方案

理解信息安全方案的作用和主要内容理解制定信息安全方案的主要原则理解信息安全方案实施的主要原则

5657信息安全保障解决方案是一个动态的风险管理过程，通过对信息系统生命周期内风险的控制，来解决在运行环境中信息系统安全建设所面临的各种问题，从而有效保障业务系统及应用的持续发展信息安全保障解决方案57信息安全保障解决方案制定的原则以风险评估和法规要求得出的安全需求为依据考虑系统的业务功能和价值考虑系统风险哪些是必须处置的，哪些是可接受的贴合实际具有可实施性可接受的成本合理的进度技术可实现性组织管理和文化的可接受性582023/1/1359信息系统安全目标（ISST）是根据信息系统保护轮廓（ISPP）编制的信息系统安全保障方案。某一特定产品或系统的安全需求。ISST从信息系统安全保障的建设方（厂商）的角度制定的信息系统安全保障方案。信息系统安全目标（ISST）规范化、结构化信息系统安全保障方案5960ISST的结构和内容ISST引言信息系统描述信息系统安全环境安全保障目的安全保障要求信息系统概要规范ISPP声明符合性声明6061编制信息系统安全保障目标（ISST）信息系统安全保障方案6162信息系统安全保障目标（ISST）描述用户信息系统安全保障方案第二部分技术保障安全技术控制组件技术架构能力级第三部分管理保障安全管理控制组件管理能力级第四部分工程保障安全工程控制组件工程能力级信息系统安全保护轮廓（ISPP）信息系统安全保障方案6263以信息安全保障方案为依据覆盖方案提出的建设目标和建设内容规范的实施过程实施的质量、进度和成本必须受控实施过程中出现的变更必须受控充分考虑实施风险，如资源不足、组织文化的抵触情绪、对业务正常运行造成的影响、信息泄露或破坏等信息安全保障实施的原则6364覆盖信息系统全生命周期以风险和策略为核心风险评估贯穿系统全生命周期建立完整的策略体系涉及技术、管理、工程、人技术：分层多点的深度防御系统管理：建立能力成熟的信息安全管理体系工程：选择有能力的信息安全集成商和服务商人：建立完善的人才体系，增强安全意识和文化信息安全保障实施的内容6465策略体系风险管理系统测评/风险评估生命周期安全管理对手，动机和攻击国家/业务/机构策略，规范，标准使命要求组织体系建设业务持续性管理应急响应管理意识培训和教育策略标准流程，指导方针&实践信息安全保障实施-管理体系6566管理体系建设方法相关方信息安全需求&期待设计和实施ISMS改进ISMSPlan计划Do实施Act改进Check检查开发、维护&改进循环相关方管理的信息安全Plan计划（建立ISMS环境）根据组织机构的整体策略和目标，建立同控制风险和改进信息安全相关的安全策略、目的、目标、过程和流程以交付结果。Do做（设计&实施）实施和操作策略（过程和流程）Check检查（监控&审核）通过策略、目的和实践经验测量和评估过程执行，并将结果汇报给决策人。Act行动（改进）建立纠正和预防行动以进一步改进过程的执行建立ISMS环境&风险评估监控&审核ISMS6667信息安全外部环境（政策、法律法规和标准）数据应用系统网络物理边界信息安全管理和工程数据应用系统网络物理边界信息安全管理和工程网络基础设施端到端数据流安全检测和响应基础设施公钥基础设施信息安全保障实施-技术保障6768信息安全保障实施-工程过程68DISCOVERNEEDSDEFINESYSTEMREQUIREMENTSDESIGNSYSTEMARCHITECTUREDEVELOPDETAILEDDESIGNIMPLEMENTSYSTEM发掘需求定义系统要求定义系统体系结构开发详细设计实现系统用户/用户代表评估有效性计划组织开发采购实施交付运行维护废弃将安全措施融入信息系统生命周期69信息安全保障实施-工程过程6970知识域：信息系统安全保障工作基本内容70知识子域：信息安全测评了解信息安全测评的重要性了解国内外信息安全测评概况理解信息安全产品测评方法和流程理解信息系统安全测评方法和流程了解服务商资质测评方法和流程了解信息安全人员资质测评方法和流程71信息系统安全保障评估信息系统安全保障评估——在信息系统所处的运行环境中对信息系统安全保障的具体工作和活动进行客观的评估，通过信息系统安全保障评估所搜集的客观证据，向信息系统的所有相关方提供信息系统的安全保障工作能够实现其安全保障策略，能够将其所面临的风险降低到其可接受的程度的主观信心。7172信息系统安全保障评估的作用7273信息安全保障评估评估是信息系统安全保障的一个重要概念，系统所有者可以根据评估所得到的客观评估结果建立其主观的信心。评估对象是信息系统，不仅包含了信息技术系统，还包括同信息系统所处的运行环境相关的人和管理等领域。评估是一种动态持续的评估过程。7374美国欧洲亚太国际组织中国国内外信息安全保障测评74752023/1/13国防部:1997年《IT安全认证认可过程》（DITSCAP）2007年《信息保障认证和认可过程》（DIACAP）国土安全部:关键信息基础设施保护规划RAMCAP(RiskAnalysisandManagementforCriticalAssetProtection)商务部/NIST：《IT系统安全自评估指南》（SP800-26）《IT系统风险管理指南》（SP800-30）（SP800-53a）审计署/OMB：FISMA科研机构：CMUOCTAVE,SANDIARAM-*

政策明确,技术实用美国—风险评估领头羊75762023/1/13欧盟：CORAS安全关键系统的风险分析平台英国：COBRA，CRAMM，用例推理德国：德国联邦IT基线防护手册（ITBPM）法国:EBIOS,MEHARI瑞典:ATAM(安全架构评估),XMASS挪威:安全策略评估芬兰:安全指标评估

技术创新强,未形成明确政策欧洲-积极探索创新76772023/1/13日本：政府和关键信息系统安全基线措施评估韩国：信息安全等级风险评估新加坡：信息安全风险审计和评估

追随多,创新少亚太：及时跟进，确保发展77782023/1/13ISO:ISO27004信息安全管理的度量指标和测量ITU:基于通信安全架构(x.805)的风险评估ISACA：信息系统风险评估指南、安全评估之渗透测试和漏洞分析指南

注重操作实用，弱化理论方法国际组织：规范标准787979《信息安全风险评估指南》

-资产/威胁/脆弱性《信息系统等级保护测评指南》

-安全保护基线《信息系统安全保障评估框架》

-安全保障措施与能力2023/1/13我国风险评估技术情况7980我国信息安全测评认证标准我国信息安全测评认证所使用的标准主要有三个来源：采用国家标准、在没有国家标准的情况下采用国际标准、采用认证中心管委会批准的技术要求和保护轮廓。8081国家信息安全测评主要对象

信息产品安全测评信息系统安全测评服务商资质测评信息安全人员资质测评8182信息安全产品测评8283信息产品安全评估是测评机构对产品的安全性做出的独立评价，目的是为产品认证提供证据，增强用户对已评估产品安全的信任，向消费者提供信息技术安全产品的采购依据，从而推动信息技术安全产业的发展、提高信息技术安全科研和生产水平。信息产品安全测评依据的标准是：CC、CEM和CNITSEC的要求信息安全产品测评8384产品认证的基本要求产品认证属于典型完整的产品质量认证。

产品认证的基本要求是对认证申请者送达的样品进行型式试验（测试评估），同时对申请者的质量体系（即质量保证能力）进行检查、评审。这两方面都符合有关标准要求，则予以认证。认证通过后，认证中心予以发放证书。证书发放以后，认证中心再从市场和、或工厂（车间）抽样进行核查试验，即监督检验，同时对其质量体系进行监督性复查，若两方面都合格，即维持认证，否则取消认证。8485根据国家标准GB/T18336－2001，信息产品安全的测评由低到高划分为7级别，即CC的EAL1-7级。目前中国信息安全测评中心开展了1~4级四个级别的测评工作。5~7级三个级别的测评将视具体情况与委托方研究协商后确定

获得的级别越高，安全性与可信度越高信息安全测评级别8586准备阶段评估阶段认证阶段监督和维持阶段信息产品安全测评流程8687信息系统安全测评87电子商务系统工业控制系统电子政务系统88信息系统安全保障的评估，是从信息系统安全保障的概念出发，在信息系统的生命周期内，根据组织机构的要求在信息系统的安全技术、安全管理和安全工程领域内对信息系统的安全技术控制措施和技术架构能力、安全管理控制和管理能力以及安全工程实施控制措施和工程实施能力进行评估综合，从而最终得出信息系统在其运行环境中安全保障措施满足其安全保障要求的符合性以及信息系统安全保障能力的评估。信息系统安全保障评估的内容8889信息系统安全测评标准

信息系统安全测评标准是GB/T20274《信息系统安全保障评估框架》，它为信息系统安全测评提供了思路框架和操作规范保障要素生命周期信息特征8990信息安全保障评估总体思路9091评估信息系统安全保障目标（ISST）对信息系统安全保障要求（ISPP）的符合性，即具体的信息系统安全保障措施信息系统在其运行环境下是否满足信息系统安全保障的需求对信息系统安全保障的执行能力进行评估，评估信息系统安全保障级（包括技术架构能力级、工程能力级和管理能力级的评定）符合性目标及级别目标9192信息系统安全分级分类“信息系统安全保障评估框架”信息系统安全保障级ISALTCML安全技术架构能力级MCML安全管理能力级ECML安全过程能力级信息系统安全分级分类价值信息特征保密性完整性可用性信息系统使命类信息系统威胁分级+92信息系统的分级原则93信息系统的安全保障能力成熟度级管理能力成熟度等级（MCML）：

MCML1、MCML2、MCML3、MCML4和

MCML5工程能力成熟度等级（PCML）：

PCML1、PCML2、PCML3、PCML4和

PCML5技术体系架构成熟度级别（TCML）：

TCML1、TCML2、TCML3、TCML4、

TCML59394评估对象评估实施评估结果评估规范、准则评估方法、工具评估预案、组织安全要求安全风险信息系统安全保护等级划分等级认证信息系统安全保障评估总体框架9495信息系统安全保障等级评估规范的建立安全环境安全目标安全需求评估规范ISPP/ISST物理环境假设威胁系统使命受保护资产组织管理管理技术工程服务9596服务商资质测评96信息安全服务是指信息安全工程的设计、实施、测试、运行和维护，以及相关的咨询和培训活动。集成商开发商运维商97信息安全服务资质测评信息安全服务资质测评是对信息安全服务商的技术、资源、管理等方面的能力和稳定性、可靠性进行评估目前中国信息安全测评中心开展的信息安全服务资质评估包括3个类别信息安全工程类信息安全开发类信息系统灾难恢复类97服务资质测评的作用对安全服务提供方：获得自身安全服务能力的认可获得自身安全服务能力规范和提高（可重复、可预测的过程和实施减少返工）提高组织的市场竞争力（知名度）

对安全服务需求方：可获得选择服务商的第三方保证提供有能力、有保障的服务商的范围（选择依据）

对社会和行业：规范和