【信息安全】普华永道-信息安全标准培训

信息平安标准2021年4月3日季瑞华合伙人系统和流程管理提纲信息平安标准概述国际标准–ISO/IEC系列信息平安标准国际标准–COBIT国内标准－等级保护平安标准的总结问题与答复2提纲信息平安标准概述国际标准–ISO/IEC系列信息平安标准国际标准–COBIT国内标准－等级保护平安标准的总结问题与答复3信息平安标准概述信息平安的重要性得到广泛的关注。与此同时，国际和国内的各种官方和科研机构都发布了大量的平安标准。这些标准都是为实现平安目标而效劳，并从不同的角度对如何保障组织的信息平安提供了指导。4信息平安标准的演进5主要的信息平安标准－国际标准发布的机构安全标准1ISO（国际标准组织）ISO17799/ISO27001/ISO27002ISO/IEC15408ISO/IEC13335ISO/TR135692ISACA（信息系统审计与控制学会）COBIT4.13ISSEA（国际系统安全工程协会）SSE-CMMSystemsSecurityEngineering-CapabilityMaturityModel3.04ISSA（信息系统安全协会）GAISPVersion3.05ISF(信息安全论坛）TheStandardofGoodPracticeforInformationSecurity6IETF（互联网工程任务小组）各种RFC（RequestforComments）6主要的信息平安标准－国际标准(续〕发布的机构安全标准7NIST（国家标准和技术研究所）NIST800系列8DOD(美国国防部)TCSEC（可信计算机系统评测标准）－彩虹系列9CarnegieMellonSoftwareEngineeringInstitute(SEI)

OperationallyCriticalThreat,Asset,andVulnerabilityEvaluation(OCTAVE)CriteriaVersion2.010OECD（经济与贸易发展组织）GuidelinesfortheSecurityofInformationSystemsandNetworksandAssociatedImplementationPlan11TheOpenGroupManager’sGuidetoInformationSecurity12ITILSecuritymanagement除了上述标准，世界各国的官方机构和行业监管机构还有许多信息平安方面的标准、指引和建议的操作实践。7主要的信息平安标准－国内标准发布的机构安全标准1全国信息安全标准化技术委员会等级保护系列标准信息安全技术信息系统安全等级保护基本要求信息安全技术信息系统安全等级保护定级指南信息安全技术信息系统安全等级保护实施指南其他信息安全标准－截至2007年底，共完成了国家标准59项，还有56项国家标准在研制中。2公安部、安全部、国家保密局、国家密码管理委员会等部门一系列的信息安全方面的政策法规如：计算机信息网络国际联网安全保护管理办法互联网信息服务管理办法计算机信息系统保密管理暂行规定计算机软件保护条例商用密码管理条例，等。8在下面的课程中，我们会主要介绍以下标准：9提纲信息平安标准概述国际标准–ISO/IEC系列信息平安标准国际标准–COBIT国内标准－等级保护平安标准的比较问题与答复10国际标准化组织简介11关于ISO/IEC17799/27001/2700212ISO/IEC17799模型ISO/IEC17799标准的内容涉及10个领域，36个控制目标和127个控制措施。13ISO17799模型SecurityPolicyAssetClassificationAndControlSecurityOrganization分配职责和分工，第3方授权，风险/控制的外包资产的保存，对于敏感/商业风险的区分14ISO17799模型PersonalSecurityComm/OpsManagementPhysicalandEnvironmentSecurity员工聘请，知识培训，事故报告等物理平安参数，设备保护，桌面及电脑的重要文件的保护事故流程，职责别离，系统规划，电子邮件控制15ISO17799模型AccessControlBusinessContinuityPlanningSystemDevelopmentandMaintenance权限管理：包括应用系统，操作系统，网络变更控制，环境划分，平安设备商业可持续性方案及其框架，测试方案以及方案的维护和更新Compliance版权控制，记录和信息的保存，数据保护，公司制度的服从16ISO/IEC27001/27002:2005

的內容总共分成

11个领域、

39个控制目标、

133个控制措施。

11个领域包括

A.1

Security

Policy

A.2

organization

of

information

security

A.3

Asset

management

A.4

Human

resources

security

A.5

Physical

and

environmental

security

A.6

Communications

and

operations

management

A.7

Access

control

A.8

Information

systems

acquisition,

development

and

maintenance

A.8

Information

security

incident

management

A.10

Business

continuity

management

A.11

Compliance

17关于ISO/IEC1540818ISO/IEC15408的内容19ISO/IEC15408的特点20ISO/IEC15408的类别21ISO/IEC15408的评估方法对于信息系统和产品进行平安认证ISO/IEC15408通常采用如下方法进行评估：分析和检查进程与过程检查进程和过程被应用的情况分析TOE设计表示一致性分析TOE设计表示与需求的满足性验证分析指南文档分析功能测试和测试结果独立功能测试分析脆弱性〔包括漏洞假说〕侵入测试等〔TOE是评估对象〔TargetofEvaluation〕的缩写〕22关于ISO/IEC1333523关于ISO13569ISO13569的全称为ISO/TR13569:2005Financialservices--Informationsecurityguidelines。它提供了对于金融效劳行业机构的信息平安程序开发的指导方针。它包括了对制度，组织结构和法律法规等内容的讨论。该标准对组织选择和实施平安控制，和金融机构用于管理信息平安风险的要素进行了阐述。ISO13569于1997年首次发布，分别于2003年和2005年更新，目前的最新版本为2005年的版本。24ISO/IEC13569的主要内容25提纲信息平安标准概述国际标准–ISO/IEC系列信息平安标准国际标准–COBIT国内标准－等级保护平安标准的比较问题与答复26COBIT简介27COBIT来源28COBIT涉及领域商业目标及IT治理目标效率应用系统信息基础架构人力交付与支持监控与评估获得与实施信息IT资源CobiT框架效果保密性完整性可用性合规性DS1定义和管理服务水平DS2管理第三方服务DS3性能管理和容量管理DS4确保服务的连续性DS5确保系统安全DS6确定并分配成本DS7教育和培训用户DS8服务台和紧急事件管理DS9配置管理DS10问题管理DS11数据管理DS12物理环境管理DS13运营管理ME1监控和评价IT绩效ME2监控和评价内部控制ME3确保与法律的符合性ME4提供IT治理P01定义IT战略计划P02定义IT信息架构P03确定技术导向P04定义IT过程/组织和关系P05IT投资管理P06传递管理目标和方向P07IT人力资源管理P08质量管理P09IT风险评估及管理P10项目管理AI1识别自动化解决方案AI2获取并维护应用软件AI3获取并维护技术基础设施AI4保障运营和使用AI5获取IT资源AI6变革管理AI7安装/授权解决方案和变更计划与组织可靠性29COBIT的组件实施概要管理层指引具体控制目标构架伴随高级控制目标关键职能和目标说明关键的成功因素 成熟的模板审计指引实施工具30COBIT框架的原理控制领域(Domains)流程(Processes)活动(Activities/Tasks)人力资源应用系统基础架构信息可信赖性需求质量需求信息处理要求安全性

需求31COBIT框架的原理有效性应以及时、正确、一致及可用的方式与业务流程有关的信息效率通过优化（生产率最高且经济合理）资源使用来交付信息保密性保护敏感信息免受未授权访问完整性信息的正确和完整，并根据业务价值和期望进行严正可用性若业务流程现在或将来产生需要，信息是可用的，关注于保护所需的资源及相应的能力合规性外部合规性和内部合规性，满足业务流程必须遵循的法律、法规及合同要求可靠性为管理者提供适当信息，以检验管理者的履职程度和职责可信性需求安全需求质量需求信息处理要求IT资源IT流程32COBIT框架的原理应用系统信息基础架构人员IT资源信息处理要求IT流程33提纲信息平安标准概述国际标准–ISO/IEC系列信息平安标准国际标准–COBIT国内标准－等级保护平安标准的总结问题与答复3435等级保护是什么？3637等级保护的分级38等级保护定级要素对客体的侵害程度造成一般损害造成严重损害造成特别严重损害39平安保护要素与等级关系业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级40等级保护监管级别与等级对应情况等级对象侵害客体侵害程度监管强度第一级一般系统合法权益损害自主保护第二级合法权益严重损害指导社会秩序和公共利益损害第三级重要系统社会秩序和公共利益严重损害监督检查国家安全损害第四级社会秩序和公共利益特别严重损害强制监督检查国家安全严重损害第五级极端重要系统国家安全特别严重损害专门监督检查41等级保护定级流程信息系统平安包括业务信息平安和系统效劳平安，与之相关的受侵害客体和对客体得侵害程度可能不同，因此信息系统定级也应由业务信息平安和系统效劳平安两方面确定。具体流程为：确定业务信息安全受到破坏时所侵害的客体综合评定对客体的侵害程度确定定级对象业务信息安全等级定级对象的安全保护等级确定系统服务安全受到破坏时所侵害的客体综合评定对客体的侵害程度系统服务安全等级42等级保护定级对象确定作为定级对象的信息系统应具有如下根本特征：具有唯一确定的平安责任单位作为定级对象的信息系统应能够唯一地确定其平安责任单位，这个平安责任单位就是负责等级保护工作部署、实施的单位，也是完成等级保护备案和接受监督检查的直接责任单位。具有信息系统的根本要素作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规那么组合而成的有形实体。应防止将某个单一的系统组件，如单台的效劳器、终端或网络设备等作为定级对象。承载单一或相对独立的业务应用定级对象承载“相对独立〞的业务应用是指其中的一个或多个业务应用的主要业务流程、局部业务功能独立，同时与其他信息系统的业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。“相对独立〞的业务应用并不意味着整个业务流程，可以使完整的业务流程的一局部。43等级保护的根本要求44等级保护的根本要求〔续〕基本技术要求基本管理要求与信息系统提供的技术安全机制有关；主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现。与信息系统中各种角色参与的活动有关；主要通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面做出规定来实现。基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出。从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出。4546等级保护-实施指南47等级保护-实施指南角色和职责：对一个信息系统实施等级保护的过程中涉及到各类组织和人员，他们将会参与不同的或相同的活动，等级保护标准将参与等级保护过程的各类组织和人员划分为主要角色和次要角色。其中：主要角色将参与等级保护实施过程的所有活动，次要角色将参与等级保护实施过程的某一个或多个活动。主要角色是指信息系统主管部门和信息系统运营、使用单位；次要角色是指信息系统平安效劳商、信息平安监管机构、平安测评机构和平安产品提供商。48等级保护-实施的根本过程系统定级平安规划设计平安实施平安运维系统终止重大变更局部调整49等级保护实施过程的主要活动50等级保护过程与信息系统生命周期对应关系51提纲信息平安标准概述国际标准–ISO/IEC系列信息平安标准国际标准–COBIT国内标准－等级保护平安标准的总结问题与答复52信息平安标准总结世界各国近几年来发布了各种各样的信息平安标准。各种标准的对象、目的和范围都有所不同。各个标准之间尽管侧重点不同，但原那么上也有很多共同之处：基于风险，即以信息平安风险为主要的探讨对象，为组织如何管理信息平安风险提供指导；提供有关平安控制的操作实践；各个标准建议的操作实践本身根本没有冲突。53关注的平安领域安全标准关注的安全领域安全管理组件安全原则概括性的安全控制详细的控制活动安全模型或方法论ISO/IEC

17799√ISO/IEC

13335√√√√ISO/TR13569√√ISO/IEC15408√√COBIT√√√