信息安全标准上课件

第13讲信息安全标准（一）北京邮电大学计算机学院副教授徐国爱信息安全标准体系第13讲信息安全标准（一）北京邮电大学计算机学院信息安全1标准基础知识简介信息安全标准化组织国外信息安全相关标准国内信息安全相关标准本讲提纲标准基础知识简介本讲提纲2基本概念标准化：在一定的范围内获得最佳秩序，对实际的或潜在的问题制定共同的和重复使用的规则的活动。实质：通过制定、发布和实施标准，达到统一。目的：获得最佳秩序和社会效益。意义：促进和带动产业发展；解决安全互联互通。基本概念标准化：在一定的范围内获得最佳秩序，对实际的或潜在的3等同采用国际标准IDT（identical）修改采用国际标准MOD（modified）非等效采用国际标准NEQ（notequivalent）——是指我国标准在技术内容与文本结构上均与国际标准完全相同，或者我国标准在技术内容上可以与国际标准相同，但可以包含小的编辑性修改。是采用国际标准的基本方法之一。——是指允许我国标准和国际标准存在技术性差异，并对这些技术性差异进行了清楚的标示和解释。是采用国际标准的基本方法之一。——是指我国标准与相应国际标准在技术内容和文本结构上均不相同，它们之间的差异也未被清楚的标示。其不属于采用国际标准。等同采用国际标准IDT（identical）——是指我国标准4标准的分类从世界范围，按标准的层次分类：国际标准：由国际标准化组织（ISO）和国际电工委员会（IEC）制定的标准。区域标准：是世界区域性标准化组织制定的标准。国家标准：在一个国家内通用的标准。行业标准：是在某个行业或专业范围内适用的标准。企业标准：有企业制定的标准。标准的分类从世界范围，按标准的层次分类：国际标准：由国际标准5我国按适用范围分类企业标准地方标准行业标准国家标准我国按适用范围分类企业标准地方标准行业标准国家标准6国家标准对需要在全国范围内统一的技术要求，应当制定国家标准。国家标准由国家标准化管理委员会编制计划、审批、编号、发布。国家标准代号为：GB和GB/T，其含义分别为强制性国家标准和推荐性国家标准。国家标准是四级标准体系中的主体，在全国范围内使用，其他各级标准不得与之相抵触。2019年增加一种“国家标准化指导性技术文件”，作为国家标准的补充，其代号为GB/Z。国家标准对需要在全国范围内统一的技术要求，应当制定国家标准。7行业标准对没有国家标准又需要在全国某个行业范围内统一的技术要求，可以制定行业标准。当相应的国家标准实施后，该行业标准应自行废止。行业标准由行业标准归口部门编制计划、审批、编号、发布、管理。部分行业的行业标准代号如下：汽车——QC化工——HG电子——SJ石油化工——SH有色金属——YS邮电通信——YD机械——JB船舶——CB电力——DL商检——SN包装——BB核工业——EJ行业标准对没有国家标准又需要在全国某个行业范围内统一的技术要8地方标准对没有国家标准和行业标准而又需要在省、自治区、直辖市范围内统一的要求，可以制定地方标准。地方标准由省、自治区、直辖市标准化行政主管部门统一编制计划、组织制定、审批、编号、发布。地方标准在本行政区域内使用，不得与国家标准和行业标准相抵触。国家标准、行业标准公布实施后，相应的地方标准自行废止。地方标准制定范围：工业产品的安全、卫生要求；药品、兽药、食品卫生、环境保护、节约能源、种子等法律法规要求；其他法律法规规定的要求。地方标准对没有国家标准和行业标准而又需要在省、自治区、直辖市9企业标准是对企业范围内需要协调、统一的技术要求、管理要求和工作要求所制定的标准。企业标准由企业制定，企业标准是企业组织生产、经营活动的依据，由企业法人代表或法人代表授权的主管领导批准、发布。企业产品标准应在发布后30日内向政府备案。企业标准是对企业范围内需要协调、统一的技术要求、管理要求和工10按法律的约束性分类：强制性标准推荐性标准标准化指导性技术文件按法律的约束性分类：强制性标准推荐性标准标准化指导性技术文件11技术标准管理标准工业标准按标准的性质分类技术标准管理标准工业标准按标准的性质分类12按标准化的对象和作用分类：分类基础标准产品标准方法标准安全标准卫生标准环境保护标准按标准化的对象和作用分类：分类基础标准产品标准方法标准安全标13标准化三维空间国际级区域级国家级行业级地方级企业级人员服务系统产品过程术语体系、框架技术机制应用管理YXZX轴代表标准化的对象Y轴代表标准化的内容Z轴代表标准化的级别标准化三维空间国际级人员术语体系、框架技术机制应用管理YXZ14八字原理我国通行“标准化八字原理”统一简化协调最优八字原理我国通行“标准化八字原理”统一简化协调最优15我国标准工作归口单位国家标准化管理委员会/全国信息安全标准化技术委员会（简称信息安全标委会，TC260）/全国信息技术标准化技术委员会（简称信标委，CITS），负责全国信息技术领域以及与ISO/IECJTC1相对应的标准化工作。/全国金融标准化技术委员会（简称金标委），负责金融系统标准化技术归口管理工作和国际标准化组织中银行与相关金融业务标准化技术委员会的归口管理工作。/我国标准工作归口单位国家标准化管理委员会/16IT标准化IT标准发展趋势标准逐步从技术驱动向市场驱动方向发展。信息技术标准化机构由分散走向联合。信息技术标准化的内容更加广泛，重点更加突出，从IT技术领域向社会各个领域渗透，涉及教育、文化、医疗、交通、商务等广泛领域，需求大量增加。从技术角度看，IT标准化的重点将放在网络接口、软件接口、信息格式、安全等方面，并向着以技术中立为前提，保证互操作为目的方向发展。IT标准化IT标准发展趋势标准逐步从技术驱动向市场驱动方向发17标准基础知识简介信息安全标准化组织国外信息安全相关标准国内信息安全相关标准本讲提纲标准基础知识简介本讲提纲18国际信息安全标准化组织国际标准化组织（ISO）建于1947年2月23日2952个技术成员工作成果发布为国际标准（IS）由146个国家标准成员组成的世界联盟190个技术委员会(TCs)、544个子委员会(SCs)、2188个工作组(WGs)与安全相关机构ISO/IECJTC1/SC27：IT安全技术ISOTC68：金融服务ISOTC215：健康医疗学国际信息安全标准化组织国际标准化组织（ISO）建于1947年19国际标准化组织（ISO）JTC1其他分技术委员会SC6——系统间通信与信息交换SC17——识别卡和有关设备SC18——文件处理及有关通信SC21——开放系统互连，数据处理和开放式分布处理SC22——程序语言，其环境及系统软件接口，也开发相应的安全标准SC30——开放式电子数据交换，主要开发电子数据交换的有关安全标准国际标准化组织（ISO）JTC1其他分技术委员会SC6——系20国际电工委员会（IEC）正式成立于1906年10月，是世界上成立最早的专门国际标准化机构。成立的相关技术委员会：TC56：可靠性TC74：IT设备安全与功效TC77：电磁兼容TC108：音频/视频CISPR：无线电干扰特别委员会国际电工委员会（IEC）正式成立于1906年10月，是世界上21国际电信联盟（ITU）成立于1865年5月17日，其前身是国际电报和电话咨询委员会（CCITT）。主要负责研究通信系统安全标准。ITUSG17组主要研究方向：通信安全项目安全架构与框架计算安全安全管理用于安全的生物测定安全通信服务国际电信联盟（ITU）成立于1865年5月17日，其前身是国22Internet工程任务组（IETF）始创于1986年，包括170多个RFC，12个工作组主要任务：负责互联网相关技术规范的研发和制定。IETF安全工作小组：PGP开发规范（openpgp）鉴别防火墙遍历（aft）通用鉴别技术（cat）域名服务系统安全（dnssec）IP安全协议（ipsec）一次性口令鉴别（otp）X.509公钥基础设施（pkix）S/MIME安全电子邮件（smime）安全Shell（secsh)传输层安全（tls）Internet工程任务组（IETF）始创于1986年，包括23电气和电子工程师学会（IEEE）1963年1月1日由美国无线电工程师协会(IRE,创立于1912年)和美国电气工程师协会(AIEE,创建于1884年)合并而成。IEEE802委员会，成立于1980年2月，任务是制定局域网的国际标准（802.1~17）。高层接口逻辑链路控制CSMA/CD网令牌总线网令牌环网城域网……电气和电子工程师学会（IEEE）1963年1月1日由美国无线24欧洲计算机制造商协会（ECMA）负责适用于计算机技术的各种的标准的制定和颁布。TC32——“通信、网络和系统互连”曾定义了开放系统应用层安全结构。TC36——“IT安全”负责信息技术设备的安全标准。欧洲计算机制造商协会（ECMA）负责适用于计算机技术的各种的25外国信息安全标准化组织美国美国国家标准协会（ANSI）国家标准与技术研究院（NIST）美国国防部（DOD）NCITS-T4制定IT安全技术标准X9制定金融业务标准X12制定商业交易标准负责联邦政府非密敏感信息其工作以NIST出版物（FIPSPUB）和NIST特别出版物（SPECPUB）等形式发布制定了数据加密标准DES、密钥托管加密标准EES负责涉密信息NSA(NationalSecurityAgency，美国国家安全局)国防部指令（DODI）（如TCSEC）外国信息安全标准化组织美国美国国家标准协会（ANSI）NCI26英国BS7799医疗卫生信息系统安全加拿大计算机安全管理日本JIS国家标准JISC工业协会标准韩国KISA负责防火墙、IDS、PKI方面标准英国BS7799加拿大计算机安全管理日本JIS国家标准韩27ISO/IECJTC1SC27ISO/IECJTC1SC27——IT安全技术其工作领域是IT安全的通用方法和技术，包括：ISO/IECJTC1SC27已成为信息安全领域最具权威和得到国际最广泛认可的标准化组织。为IT安全服务识别通用要求（包括要求方法）；开发安全技术和机制（包括注册流程以及安全组件的关系）；开发安全指南（例如：解释文件、风险分析）；开发管理支持文件和标准（例如：术语和安全评估准则）。ISO/IECJTC1SC27ISO/IECJTC128SC27的5个工作组方向：WG3安全评估WG1信息安全管理体系WG4安全控制与服务WG2密码与安全机制WG5身份管理与隐私技术评估指南技术产品系统过程环境SC27的5个工作组方向：WG3WG1WG4WG2W29ISO/IECJTC1SC27标准动态表标准号标准名称ISO/IECTR13335-3IT安全管理指南-第三部分：IT安全管理技术ISO/IECTR13335-4IT安全管理指南-第四部分：安全措施选择ISO/IECTR13335-1信息与通信技术安全管理-第一部分：信息与通信技术安全管理的概念和模型ISO/IEC27000信息安全管理体系-概念和词汇ISO/IEC27001信息安全管理体系-要求ISO/IEC27002信息安全管理实用规则ISO/IEC27003信息安全管理体系实现指南ISO/IEC27004信息安全管理测量ISO/IEC27005信息安全风险管理ISO/IEC27006信息安全管理体系审核认证机构的要求ISO/IEC27007信息安全管理体系审核指南ISO/IEC7064校验字符系统…ISO/IECJTC1SC27标准动态表标准号标准名称I30国内信息安全标准化组织全国信息安全标准化技术委员会——简称信安标委（TC260）2019年4月15日成立负责组织开展国内信息安全有关的标准化工作工作范围包括：共76个标准（13项修订标准）50项标准正在研制中安全技术安全机制安全服务安全管理安全评估国内信息安全标准化组织全国信息安全标准化技术委员会——简称信31TC260工作组WG1：信息安全标准体系与协调工作组WG2：涉密信息系统安全保密标准工作组WG3：密码技术标准工作组WG4：鉴别与授权工作组WG5：信息安全评估工作组WG7：信息安全管理工作组TC260工作组WG1：信息安全标准体系与协调工作组32信安标委工作组工作任务WG1研究信息安全标准体系跟踪国际标准发展动态研究信息安全标准需求研究并提出新工作项目及设立新工作组的建议协调过工作组项目WG2研究提出涉密信息系统安全保密标准体系制定和修改涉密信息系统安全保密标准WG3研究提出密码技术标准体系研究制定密码算法、密码模块和密钥管理等相关标准WG4研究制定鉴别与授权标准体系调研国内相关标准需求研究制定鉴别与授权标准WG5调研测评标准现状与发展趋势研究我国统一测评标准体系的思路和框架，提出测评标准体系研究制定急需的测评标准WG7研究信息安全管理动态，调研国内管理标准需求研究提出信息安全管理标准体系制定信息安全管理相关标准信安标委工作组工作任务WG1研究信息安全标准体系跟踪国际标准33信安标委制定国家信息安全标准流程：立项申请提出草案工作组征求意见评审通过形成送审稿秘书处网上征求意见评审通过形成送批稿主任办公会审查国标委批准发布定期复审提出修改信安标委制定国家信息安全标准流程：立项申请提出草案工作组征求34国内其他信息安全标准管理机构国家保密局行业标准化组织负责管理、发布并强制执行国家保密标准。国家保密标准和国家保密法规共同构成我国保密管理的重要基础。公安部信息系统安全标准化技术委员会中国通信标准化协会网络与信息安全技术工作委员会成立于2019年3月31日负责规划和制定我国公共安全行业信息安全标准和技术规范，监督技术标准的实施。成立于2019年12月专门组织、研究和制定通信行业网络与信息安全相关的技术标准和技术规范。国内其他信息安全标准管理机构国家保密局负责管理、发布并强制执35标准基础知识简介信息安全标准化组织国外信息安全相关标准国内信息安全相关标准本讲提纲标准基础知识简介本讲提纲36国外信息安全相关标准和指南

OECD指南GASSP

英国BSIBS7799-1BS7799-2

美国NISTNISTSP800-53NISTSP800-30……COBITITILISO/IEC17799ISO/IEC27001ISO/IEC13335ISO/IEC27000系列CNITSEC信息系统安全保障框架管理保障部分国外组织机构指南国外国家标准指南信息系统审计领域IT服务管理领域国外信息安全相关标准和指南OECDGASSP英国BS37BS7799标准由英国标准协会BSI制定BS7799标准：BS7799-1:2019《信息安全管理实用规则》BS7799-2:2019《信息安全管理体系规范》BS7799-3:2019《信息安全风险评估》安全方针的制定安全责任的归属风险的评估访问控制防病毒相关策略……BS7799广泛涵盖所有信息安全议题：BS7799标准由英国标准协会BSI制定BS7799-138BS7799-1是组织建立并实施信息安全管理的一个指导性准则从以下10个方面定义了127项控制措施：安全政策组织安全资产分类与控制人员安全物理与环境安全业务连续性管理符合性管理通信与操作管理访问控制系统开发与维护

侧重于组织整体的管理和运营操作

与信息安全技术相关BS7799-1是组织建立并实施信息安全管理的一个指导性准39BS7799-2引用PDCA模型，将信息安全管理体系分解成4个子过程：1）风险评估3）安全管理

2）安全设计与执行4）再评估建立信息安全管理体系的步骤：1）定义信息安全策略2）定义ISMS范围3）进行信息安全风险评估4）信息安全风险管理5）确定控制目标和选择控制措施6）准备信息安全适用性声明BS7799-2引用PDCA模型，将信息安全管理体系分解成40ISO/IEC17799标准2000年12月，BS7799-1被ISO正式批准为国际标准，编号ISO/IEC17799最新版本ISO/IEC17799:2019提高外部风险管理要求（例如：外包、服务提供商、第三方、业务合作伙伴或客户）增加了服务等级协议（SLA）、审计说明服务交付管理沿用IT服务管路标准BS15000/ISO20000的思想ISO/IEC17799标准2000年12月，BS77941ISO/IEC17799:2019标准结构前言0引言1范围2术语和定义3本标准的组织结构4风险评估和处置5安全策略6信息安全的组织架构7资产管理8人力资源管理9物理和坏境安全10通信和运行安全11访问控制12信息系统采购、开发和维护13信息安全事故管理14业务持续性管理15符合性ISO/IEC17799:2019标准结构前言42ISO/IEC2700X标准族ISMS要求ISO/IEC27001:2019（BS7799-2:2019)ISMS实用规则ISO/IEC27002:2019（ISO/IEC17799)ISMS实施指南ISO/IEC27003ISMS测量ISO/IEC27004

风险管理ISO/IEC27005（ISO/IEC13335-3）ISMS审核和认证机构ISO/IEC27006:2019ISMS概念和词汇表ISO/IEC27000:2019（ISO/IEC13335-1）ISMS审核员指南ISO/IEC27007特定标准和指南附录AISO/IEC2700X标准族ISMS要求ISMS实用43ISO/IEC27001:20192019年10月，BS7799-2成功升级为国际标准，编号为ISO/IEC27001ISO/IEC27001是信息安全管理体系（ISMS）的规范说明强调风险管理的思想，指导组织建立ISMSISO/IEC27001:20192019年10月，BS44建立方针和目标并实现这些目标的相互关联或相互作用的一组要素。管理体系包括组织结构，策略，规划，角色，职责，流程，程序和资源等。管理的方方面面以及公司的所有雇员，均囊括在管理体系范围内。Qualitymanagementsystem(ISO9001)Environmentalmanagementsystem(ISO14001)Safetymanagementsystem(OHSAS18001)HumanFoodSafetymanagementsystem(HACCP)ITServiceManagementSystem(ISO20000)Informationsecuritymanagementsystem(ISO27001)什么是管理体系？QualitymanagementsystemEnvir45信息安全管理体系(ISMS):是整个管理体系的一部分，建立在业务风险的方法上，以：建立实施运作监控评审维护改进信息安全。职业健康

安全IT服务信息安全环境管理体系食品安全质量建设了ISMS，尤其是获取了ISO27001认证后，组织将在信息安全方面进入一个强制的良性循环。信息安全管理体系(ISMS):职业健康

安全IT服务信息安全460.引言1.范围2.规范性应用文件3.术语和定义4.信息安全管理体系(ISMS) 4.1总要求 4.2建立和管理ISMS 4.2.1建立ISMS 4.2.2实施和运维ISMS 4.2.3监控和评审ISMS 4.2.4维护和改进ISMS 4.3文件要求5.管理职责6.ISMS的内部审核7.ISMS的管理评审8.ISMS改进附录A控制目标和控制措施附录BOECD原则与本标准附录CISO9001:2000和ISO14001:2019对照参考书目SO/IEC27001:2019的结构27001辅助部分27001核心部分（条款4-8)27001核心部分27001辅助部分0.引言SO/IEC27001:2019的结构27001辅47

27001的核心内容相关方受控的信息安全信息安全要求和期望相关方检查Check建立ISMS实施和运行ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do处置Act一个组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的ISMS。就本标准而言，使用的过程基于图1所示的PDCA模型。图1应用于ISMS过程的PDCA模型27001的核心内容相关方受控的信息安全要求和期望相关方检48ISO27001所关注的领域信息安全策略信息安全组织资产管理人力资源的安全物理和环境安全通信和操作管理访问控制信息系统的获取，开发和维护信息安全事故管理业务连续性管理合规性ISO27001所关注的领域49ISO27001正式的标准可认证的标准管理体系的要求控制措施的要求ISO17799实施细则（一整套最佳实践）控制措施的实施建议和实施指导ISO27001的附录A的细化与补充ISO27001与ISO17799（27002）为设计控制措施提供实施指南ISO/IEC17799为设计控制措施提供实施指南ISO27001ISO17799ISO27001与ISO150ISO/IEC13335ISO/IECTR13335系列：GMITS（IT安全管理指南）系列标准ISO/IECIS13335系列：MICTS（信息与通信技术安全管理）ISO/IECTR13335-1:2019《IT安全的概念与模型》ISO/IECTR13335-2:2019《IT安全管理与策划》ISO/IECTR13335-3:2019《IT安全管理技术》ISO/IECTR13335-4:2000《安全管理措施的选择》ISO/IECTR13335-5:2019《网络安全管理指南》ISO/IEC13335-1:2019第1部分：信息与通信技术安全管理概念和模型ISO/IEC13335-2第2部分：信息与通信技术安全风险管理技术取代ISO/IECTR13335-1:2019将取代ISO/IECTR13335-2:2019ISO/IEC13335ISO/IECTR13335系51ISO27001正式的标准可认证的标准管理体系的要求控制措施的要求ISOTR13335风险管理方法论提供如何识别风险到风险处置对ISO27001的风险评估方法的细化和补充ISO27001与ISO13335为风险管理提供方法风险评估具有不同的方法。在ISO/IECTR13335-3（IT安全管理指南：IT安全管理技术）中描述了风险评估方法的例子ISO27001ISOTR13335ISO27001与I52ISO13335：以风险为核心的安全模型风险安全措施信息资产威胁漏洞安全需求降低增加增加利用暴露价值拥有抗击增加引出被满足ISO13335：以风险为核心的安全模型风险安全措施信息资产53资产（Asset）任何对组织有价值的东西[ISO/IEC27001:20193术语和定义]资产是企业、机构直接赋予了价值因而需要保护的东西。信息资产是指组织的信息系统、其提供的服务以及处理的数据。资产的根本属性是：价值（C、I、A值）

风险安全措施信息资产威胁漏洞安全需求降低增加增加利用暴露价值拥有抗击增加引出被满足资产（Asset）任何对组织有价值的东西[ISO/IEC2754漏洞（Vulnerability）脆弱性是资产本身存在的，它可以被威胁利用、引起资产或商业目标的损害。脆弱性包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。脆弱性的根本属性是：严重程度（脆弱性被利用后对资产的损害程度、脆弱性被利用的难易程度）风险安全措施信息资产威胁漏洞安全需求降低增加增加利用暴露价值拥有抗击增加引出被满足漏洞（Vulnerability）风险安全措施信息资产威胁漏55威胁（Threat）威胁是对组织的资产引起不期望事件而造成的损害的潜在可能性。威胁可以分为人为威胁（故意、非故意）和非人为威胁（环境、故障）2种。

威胁的根本属性是：出现的频率（还包括威胁的能力，威胁的决心。）风险安全措施信息资产威胁漏洞安全需求降低增加增加利用暴露价值拥有抗击增加引出被满足威胁（Threat）风险安全措施信息资产威胁漏洞安全需求降低56风险评估实施流程图风险评估实施流程图57美国国家标准与技术委员会NIST美国NIST相关管理标准指南NISTSP800系列中信息安全管理相关文件：NISTSP800系列是NIST根据美国联邦信息安全管理法案（FISMA2019）所赋予的法定职责所开发的系列文件。NISTSP800-53：联邦信息系统推荐安全控制NISTSP800-18：开发IT系统安全计划指南NISTSP800-30：IT系统风险管理指南NISTSP800-34：IT系统业务持续性规划指南NISTSP800-50：建立信息安全意识和培训管理……美国国家标准与技术委员会NIST美国NIST相关管理标准指南58系统安全工程-能力成熟度模型（SSE-CMM）1993年4月美国国家安全局（NSA）开始酝酿2019年10月发布SSE-CMM的1.0版本2019年4月完成SSE-CMM的2.0版本2019年成为国际标准ISO/IEC21827:2019《信息技术系统安全工程能力成熟度模型》2019年6月由国际系统安全工程协会（ISSEA）更新为3.0版本2019年10月，ISO基于SSE-CMM3.0发布了ISO/IEC21827:2019系统安全工程-能力成熟度模型（SSE-CMM）1993年4月59SSE-CMM定义描述了一个组织的安全工程过程必须包含的本质特征，这些特征是完善的安全工程保证。现代统计过程控制理论表明通过强调生产过程的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品。SSE-CMM项目目标是促进安全工程成为一个确定的、成熟的和可度量的科目。通过区分投标者的能力级别和相关计划风险来选择合格的安全工程提供商；工程组把投资集中在安全工程工具、培训、过程定义、管理实施和改进上；基于能力的保证，也就是说，信赖是基于对工程组织安全工程实践和过程成熟的信心。理论基础目的SSE-CMM定义描述了一个组织的安全工程过程必须包含的本质60SSE-CMM体系结构SSE-CMM包括两维：“域”和“能力”SSE-CMM体系结构SSE-CMM包括两维：“域”和“能力61基本实施及过程域SSE-CMM包含61个基本实施过程，其被归入11个安全工程过程域（PA）PA01—管理安全控制PA02—评估影响PA03—评估安全风险PA04—评估威胁PA05—评估脆弱性PA06—建立安全论据PA07—协调安全PA08—监视安全态势PA09—提供安全输入PA10—确定安全需求PA11—验证与确认安全基本实施及过程域SSE-CMM包含61个基本实施过程，其被归62通用实施与公共特征通用实施是应用于所有过程域中的活动。其针对的是过程的管理、测量和制度化。通用实施被归入12个不同的逻辑域，称为“公共特征”。12个公共特征被分为5个能力级别，代表了依次增长的安全功能能力。通用实施与公共特征通用实施是应用于所有过程域中的活动。其针对63通用实施、公共特征、能力级别的关系以实施或制度化为手段来提高工程过程的实施能力通用实施的集合，每一集合中的公共特征面向的是同一类过程的管理和制度化问题若干个公共特征的组合，显示了安全工程过程的实施能力级别通用实施、公共特征、能力级别的关系以实施或制度化为手段来提高64SSE-CMM五个能力级别SSE-CMM五个能力级别及其包含的公共特征SSE-CMM五个能力级别SSE-CMM五个能力级别及其包含65安全工程过程安全工程过程的三个主要部分安全工程过程安全工程过程的三个主要部分66风险过程

PA04：评估威胁

PA05：评估脆弱性

PA02：评估影响威胁信息脆弱性信息影响信息

PA03：评估安全风险风险信息SSE-CMM中与风险相关的过程域风险过程PA04：评估威胁PA05：评估脆弱性PA0267工程过程

PA10：确定安全需求

PA01：管理安全控制

PA09：提供安全输入风险信息要求、政策等解决方案、指导等

PA08：监视安全态势配置信息SSE-CMM中与工程相关的过程域

PA07：协调安全工程过程PA10：确定安全需求PA01：管理安全控制P68保证过程

PA11：检验与确认安全检验与确认后的证据证据

PA06：建立安全论据保证论据SSE-CMM中与保证相关的过程域

其他的PA保证过程PA11：检验与确认安全检验与确认后的证据证据P69信息及相关技术控制目标（COBIT）由信息系统审计和控制协会（ISACF）于2019年发布国际通用的信息系统审计标准，为信息系统审计和治理提供一整套的控制目标、管理措施、审计指南等。把IT划分为4个域，并进一步细分为34个流程：规划与组织（PO）获取与实施（AI）交付与支持（DS）监控（M）评估风险确保持续的服务保证系统安全安全审计信息及相关技术控制目标（COBIT）由信息系统审计和控制协会70

IT治理

信息

监控IT资源

交付与支持

获得与实施

规划与组织

COBIT

组织战略目标COBIT模型IT治理信息监控IT资源交付与支持获得与实施规71COBIT的4个域，34个IT处理流程1规划与组织POPO1制定IT战略规划PO2确定信息体系结构PO3确定技术方向PO4定义IT组织与关系PO5管理IT资产PO6沟通管理目标与方向PO7人力资源管理PO8确保符合外部需求PO9风险评估PO10项目管理PO11质量管理2获取与实施AIAI1确定自动化解决方案AI2获取并维护应用软件AI3获取并维护技术基础设施AI4程序开发与维护AI5系统安装与鉴定AI6变更管理3交付与支持DSDS1定义并管理服务水平DS2管理第三方服务DS3性能管理与容量管理DS4确保服务的连续性DS5确保系统安全DS6确定并分配成本DS7教育并培训用户DS8为客户提供帮助和建议DS9配置管理DS10问题管理和突发事件管理DS11数据管理DS12设施管理DS13操作管理4监控MMI过程监控M2评价内部控制的适当性M3确保独立性鉴定M4提供独立性审计COBIT的4个域，34个IT处理流程1规划与组织72COBIT产品家族分类：

执行概要

高级控制目标框架

实施工具集

管理指南

具体控制目标

审计指南

关键成功因素、关键目标指标与关键绩效指标

成熟度模型COBIT产品家族分类：执行概要高级控制目标框架实施工73信息技术基础设施库（ITIL）由英国政府的中央计算机和通信机构（CCTA）制定，由英国商务部（OGC）负责维护，主要适用于IT服务管理（ITSM）ITIL核心内容：服务支持和服务交付服务支持（ServiceSupport)服务支付（ServiceDelivery）服务台事故管理问题管理配置管理变更管理发布管理服务级别管理成本管理持续性管理可用性管理容量管理信息技术基础设施库（ITIL）由英国政府的中央计算机和通信机74ITIL整体架构ITIL的架构模型ITIL整体架构ITIL的架构模型75标准基础知识简介信息安全标准化组织国外信息安全相关标准国内信息安全相关标准本讲提纲标准基础知识简介本讲提纲76

信息安全技术标准体系管理标准基础标准安全术语技术与机制标准体系与模型保密技术密码技术标识与鉴别系统评估产品评估评估基础工程与服务管理方法管理基础物理安全管理技术管理要素测评标准授权与访问控制信息安全技术标准体系管理标准基础标准安全术语技术与机制标准77国内信息安全相关标准2019年发布了1项2019年发布了3项2000年发布了1项2019年发布了2项2019年发布了8项2019年发布了18项2019年发布了14项2019年发布了20项2009年发布了3项……国内信息安全相关标准2019年发布了1项78国家信息安全标准化工作成果完成标准制定正在制定的标准信息安全等级保护92网络信任体系建设3019网络安全产品测评2617信息安全管理标准104其他应用安全标准18合计7650信息安全标准分布情况国家信息安全标准化工作成果完成标准制定正在制定的标准信息安全792019年发布的信息安全国标BG17859-2019计算机信息系统安全保护等级划分准则GB/T17901.1-1999信息技术安全技术密钥管理第1部分：框架GB/T17902.1-2019信息技术安全技术带附录的数字签名第1部分：框架2019年发布的信息安全国标GB15851-2019信息技术安全技术带消息恢复的数字签名方案2019年发布的信息安全国标BG17859-2019计802000年发布的信息安全国标GB/T18238.1-2000信息技术安全技术散列函数第1部分：概述2019年发布的信息安全国标GB/T18238.2-2019信息技术安全技术散列函数第2部分:采用n位块密码的散列函数GB/T18238.3-2019信息技术安全技术散列函数第3部分:专用散列函数2000年发布的信息安全国标GB/T18238.1-200812019年发布的信息安全国标GB/T19713-2019信息技术安全技术公钥基础设施在线证书状态协议GB/T19714-2019信息技术安全技术公钥基础设施证书管理协议GB/Z19717-2019基于多用途互联网邮件扩展（MIME）的安全报文交换GB/T19771-2019信息技术安全技术公钥基础设施PKI组件最小互操作规范GB/T20008-2019信息安全技术操作系统安全评估准则GB/T20009-2019信息安全技术数据库管理系统安全评估准则GB/T20190-2019信息安全技术包过滤防火墙评估准则GB/T20191-2019信息安全技术路由器安全评估准则2019年发布的信息安全国标GB/T19713-2019信822019年发布的信息安全国标GB/T20269-2019信息安全技术信息系统安全管理要求GB/T20270-2019信息安全技术网络基础安全技术要求GB/T20271-2019信息安全技术信息系统通用安全技术要求GB/T20272-2019信息安全技术操作系统安全技术要求GB/T20273-2019信息安全技术数据库管理系统安全技术要求GB/T20274.1-2019信息安全技术信息系统安全保障评估框架第一部分：简介和一般模型2019年发布的信息安全国标GB/T20269-2019信832019年发布的信息安全国标（续）GB/T20275-2019信息安全技术入侵检测系统技术要求和测试评价方法GB/T20276-2019信息安全技术智能卡嵌入式软件安全技术要求（EAL4增强级）GB/T20277-2019信息安全技术网络和终端设备隔离部件测试评价方法GB/T20278-2019信息安全技术网络脆弱性扫描产品技术要求GB/T20279-2019信息安全技术网络和终端设备隔离部件安全技术要求GB/T20280-2019信息安全技术网络脆弱性扫描产品测试评价方法2019年发布的信息安全国标（续）GB/T20275-20842019年发布的信息安全国标（续）GB/T20281-2019信息安全技术防火墙技术要求和测试评价方法GB/T20282-2019信息安全技术信息系统安全工程管理要求GB/Z20283-2019信息安全技术保护轮廓和安全目标的产生指南GB/T20518-2019信息安全技术公钥基础设施数字证书格式GB/T20519-2019信息安全技术公钥基础设施特定权限管理中心技术规范GB/T20520-2019信息安全技术公钥基础设施时间戳规范2019年发布的信息安全国标（续）GB/T20281-20852019年发布的信息安全国标GB/T18018-2019信息安全技术路由器安全技术要求GB/T20945-2019信息安全技术信息系统安全审计产品技术要求和测试评价方法GB/T20979-2019信息安全技术虹膜识别系统技术要求GB/T20983-2019信息安全技术网上银行系统信息安全保障评估准则GB/T20984-2019信息安全技术信息安全风险评估规范GB/Z20985-2019信息技术安全技术信息安全事件管理指南GB/Z20986-2019信息安全技术信息安全事件分类分级指南2019年发布的信息安全国标GB/T18018-2019信862019年发布的信息安全国标（续）GB/T20987-2019信息安全技术网上证券交易系统信息安全保障评估准则GB/T20988-2019信息安全技术信息系统灾难恢复规范GB/T21028-2019信息安全技术服务器安全技术要求GB/T21050-2019信息安全技术网络交换机安全技术要求（评估保证级3）GB/T21052-2019信息安全技术信息系统物理安全技术要求GB/T21053-2019信息安全技术公钥基础设施PKI系统安全等级保护技术要求GB/T21054-2019信息安全技术公钥基础设施PKI系统安全等级保护评估准则2019年发布的信息安全国标（续）GB/T20987-20872019年发布的信息安全国标GB/T17964-2019信息安全技术分组密码算法的工作模式GB/T22080-2019信息技术安全技术信息安全管理体系要求GB/T22081-2019信息技术安全技术信息安全管理实用规则GB/T22186-2019信息安全技术具有中央处理器的集成电路（IC）卡芯片安全技术要求(评估保证级4增强级)GB/T22239-2019信息安全技术信息系统安全等级保护基本要求GB/T22240-2019信息安全技术信息系统安全等级保护定级指南2019年发布的信息安全国标GB/T17964-2019信882019年发布的信息安全国标（续）GB/T15843.1-2019信息技术安全技术实体鉴别第1部分:概述GB/T15843.2-2019信息技术安全技术实体鉴别第2部分:采用对称加密算法的机制GB/T15843.3-2019信息技术安全技术实体鉴别第3部分:采用数字签名技术