信息安全管理基础

信息安全管理基础 中国信息安全测评中心 课程内容 2 信息安全管理 基础 知识体 信息安全管理基 本概念 信息安全管理方 法 信息安全管理的定义 信息安全管理成果关键因素 风险管理的概念和作用 信息安全管理体系的作用 ISMS体系各阶段主要工作内容 知识域 知识子域 信息安全管理的侧重点 信息安全技管并重原则 信息安全等级保护的管理机制 知识体：信息安全管理基础和方法 v知识域： 信息安全管理基本概念 理解信息安全及管理的含义； 理解信息安全管理的侧重点； 理解信息安全“技管并重”原则的意义； 理解成功实施信息安全管理工作的关键因素。 3 信息安全管理相关概念 v基本概念 信息 与 信息安全 管理 与 信息安全管理 4 信息与信息安全 5 v信息：有意义的数据。（-ISO 9000:2005 质量管理体系 基础和 术语） “象其他重要业务资产一样，信息也是对组织 业务至关重要的一种资产”； 信息已成为企业赖以生存和发展的最有价值的 资产之一； 需要加以适当的保护。 v信息的范例 专利 标准 专有技术 商业档案 文件 图样 统计数据 专有技术 配方 报价 规章制度 财务数据 工艺 计划 资源配置 管理体系 NOT ONLY IT ! 哪些信息需要“安全” 6 v国家秘密 国家规定需要保护的信息 v商业秘密 专利、技术 业务数据 v个人隐私 家庭住址 电话 身份证号等 v 信息、信息安全 7 v信息安全：信息的保密性、完整性和可用性的保持。 （另外，也可包括真实性、可稽核性、不可否认性和 可靠性等属性)（-ISO/IEC 27000:2009 信息技术 安全技术 信息安全管理体系 概述和术语） 即指通过采用计算机软硬件技术、网络技术、密钥技术等安全技术 和各种组织管理措施，来保护信息在其生命周期内的产生、传输、交换、 处理和存储的各个环节中，信息的保密性、完整性和可用性不被破坏。 管理、信息安全管理 8 administer administration administrator manage management manager 18世纪 工业革命 （1700S） 管理 康熙19年 （1680） “管”“理” 中国古代 春秋战国 管理与信息安全管理 v管理 指挥和控制组织的协调的活动。（- ISO9000:2005 质量管 理体系 基础和术语） 管理者为了达到特定目的而对管理对象进行的计划 、组织、指挥、协调和控制的一系列活动。 v信息安全管理 组织中为了完成信息安全目标，遵循安全策略，按 照规定的程序，运用恰当的方法，而进行的规划、 组织、指导、协调和控制等活动 9 规则 组织 人员 信息输入立法摘要 变化？ 关键活动 测量拥有者 资 源记录标 准 输入输出 生 产经 营 过程 信息安全管理 v现实世界里大多数安全事件的发生和安全隐患的 存在，与其说是技术上的原因，不如说是管理不 善造成的，理解并重视管理对于信息安全的关键 作用，对于真正实现信息安全目标来说尤其重要 。 v信息安全管理（Information Security Management）作为组织完整的管理体系中一个重 要的环节，它构成了信息安全具有能动性的部分 ，是指导和控制组织的关于信息安全风险的相互 协调的活动，其针对对象就是组织的信息资产。 10 信息安全管理 11 n信息安全管理的对象：包括人员在内的各类信息相关资 产。 规则 人员 目标组织 知识体：信息安全管理基础和方法 v知识域： 信息安全管理基本概念 理解信息安全及管理的含义； 理解信息安全管理的侧重点； 理解信息安全“技管并重”原则的意义； 理解成功实施信息安全管理工作的关键因素。 12 如何理解信息安全管理侧重点 v管（责任与权利） 组织架构 职责 任务 考核 v理（方式） 策略 目标 制度 流程 13 信息安全管理 14 v信息安全管理中的“管理”侧重于： 股东大会 董事会 总经理 职能部1职能部2职能部3职能部4 监事会 A. 企业的组织管理 人大 政府 工商税务技术监督其他 政协 B. 政府对企业的管理 企业 C. 企业的出入管理 企业 行政部 门禁管理办法 门禁设施员工管理访客管理监控管理 检查部门 信息安全管理 15 举例 项目 举例1：某大型国企发文，要 求各单位建立和实施信息安全 管理机制 举例2：该国企总部根据自身需 要决定建立和实施信息安全管理 机制 性质 行政管理（政府管理）行为 总部自身事务，与其它单位无关 依据 法律法规、国网制度 总部自身业务需要和规章制度 主体 行政机关 具体的“总部”这个组织 目的 行政管理 自身的业务(工作)管理 方法 法规、文件 总部自己决定 知识体：信息安全管理基础和方法 v知识域： 信息安全管理基本概念 理解信息安全及管理的含义； 理解信息安全管理的侧重点； 理解信息安全“技管并重”原则的意义； 理解成功实施信息安全管理工作的关键因素。 16 信息安全管理的需求 17 v如果你把钥匙落在锁眼上会怎样？ v技术措施需要配合正确的使用才能 发挥作用 保险柜就一定安全吗？ 18 精心设计的网络 防御体系，因违 规外连形同虚设 防火墙能解决这样的问题吗？ 信息安全管理的需求 19 信息系统是人机交互系统 设备的有效利用是人为的管理过程 信息安全管理的需求 应对风险需要人为的管理过程 信息安全管理的2/8原则 20 80%的问题 20%的风险 20%的损失 安全产品 21 20%的问题 80%的风险 80%的损失 安全管理 三分技术,七分管理？ 信息安全管理的2/8原则 信息安全“技管并重”的原则 v信息安全的成败取决于两个因素：技术和管理。 v安全技术是信息安全的构筑材料，安全管理是真正的 粘合剂和催化剂。 v 对于信息安全，到底是技术更重要，还是管理更重 要？ v 技管并重。 “坚持管理与技术并重”是我国加强信息安全保 障工作的主要原则 22 v 技术和产品是基础，管理才是关键 v 产品和技术，要通过管理的组织职能才能发挥最 佳作用 v 技术不高但管理良好的系统远比技术高超但管理 混乱的系统安全 v 先进、易于理解、方便操作的安全策略对信息安 全至关重要 v 建立一个管理框架，让好的安全策略在这个框架 内可重复实施，并不断得到修正，就会拥有持续 安全 v 根本上说，信息安全是个管理过程，而不是技术 过程 信息安全管理的作用 23 知识体：信息安全管理基础和方法 v知识域： 信息安全管理基本概念 理解信息安全及管理的含义； 理解信息安全管理的侧重点； 理解信息安全“技管并重”原则的意义； 理解成功实施信息安全管理工作的关键因素。 24 实施信息安全管理的关键成功因素(CSF) v 安全策略、目标和活动应该反映业务目标 v 有一种与组织文化保持一致的实施、维护、监督和改进信息安全的 途径 v 来自高级管理层的明确的支持和承诺 v 深刻理解安全需求、风险评估和风险管理 v 向所有管理者和员工有效地推广安全意识 v 向所有管理者、员工及其他伙伴方分发信息安全策略、指南和标准 v 为信息安全管理活动提供资金支持 v 提供适当的培训和教育 v 建立有效的信息安全事件管理流程 v 建立测量体系，用来评估信息安全管理体系的表现，提供反馈建议 供改进 25 实施信息安全管理的关键成功因素 v理解组织文化 v得到高层承诺 v做好风险评估 v整合管理体系 v积极有效宣贯 v纳入奖惩机制 v持续改进体系 26 知识体：信息安全管理基础和方法 v知识域： 信息安全管理方法 理解信息安全风险的概念：资产价值、威胁、脆弱 性、防护措施、影响、可能性。 理解风险管理是信息安全管理的基础和核心； 理解信息安全管理体系的方法机制； 理解信息安全等级保护的管理机制； 了解NIST SP 800中的安全管理机制。 27 安全风险要素 安全风险的基本概念 v资产 资产是任何对组织有价值的东西 信息也是一种资产，对组织具有价值 v资产的分类 电子信息资产 纸介资产 软件资产 物理资产 人员 服务性资产 公司形象和名誉 29 安全风险的基本概念 v威胁 资威胁是可能导致信息安全事故和组织信息资产损 失的环境或事件 威胁是利用脆弱性来造成后果 v威胁举例 黑客入侵和攻击病毒和其他恶意程序 软硬件故障人为误操作 盗窃网络监听 供电故障设置后门 未授权访问自然灾害如：地震、火灾 30 安全风险的基本概念 v脆弱性 是与信息资产有关的弱点或安全隐患。 脆弱性本身并不对资产构成危害，但是在一定条件 得到满足时，脆弱性会被威胁加以利用来对信息资 产造成危害。 v脆弱性举例 系统漏洞程序Bug 专业人员缺乏不良习惯 缺少审计缺乏安全意识 系统后门 物理环境访问控制措施不当 31 安全风险的基本概念 32 v控制措施 管理风险的方法。为达成组织目标提供合理保证，并 能预防、检查和纠正风险。 它们可以是行政、技术、管理、法律等方面的措施。 安全风险要素之间的相互关系 资产 威胁防护措施脆弱性 风险 利用对抗 导 致 增 加 减 少 作 用 于 33 知识体：信息安全管理基础和方法 v知识域： 信息安全管理方法 理解信息安全风险的概念：资产价值、威胁、脆弱 性、防护措施、影响、可能性。 理解风险管理是信息安全管理的基础和核心； 理解信息安全管理体系的方法机制； 理解信息安全等级保护的管理机制； 了解NIST SP 800中的安全管理机制。 34 什么是风险管理 vGB/Z 24364信息安全风险管理规范定义： 信息安全风险管理是识别、控制、消除或最小化可 能影响系统资源的不确定因素的过程。 通用风险管理定义 v定义 是指如何在一个肯定有风险的环境里把风险减至最 低的管理过程。 风险管理包括对风险的量度、评估和应变策略。 理想的风险管理，是一连串排好优先次序的过程， 使引致最大损失及最可能发生的事情优先处理、而 相对风险较低的事情则押后处理。 36 为什么要做风险管理 v成本与效益平衡 好的风险管理过程可以让机构以最具有成本效益的方 式运行，并且使已知的风险维持在可接受的水平 v工作条理化 好的风险管理过程使组织可以用一种一致的、条理清 晰的方式来组织有限的资源并确定优先级，更好地管 理风险。而不是将保贵的资源用于解决所有可能的风 险 vPDCA过程的要求 风险管理是一个持续的PDCA管理过程 37 风险管理是 信息安全保 障工作有效 工作方式 风险评估是信息安全管理的基础 v风险评估主要对ISMS范围内的信息资产进行鉴定 和估价，然后对信息资产面对的各种威胁和脆弱 性进行评估，同时对已存在的或规划的安全控制 措施进行界定。 v信息安全管理机制的建立需要确定信息安全需求 v信息安全需求获取的主要手段就是安全风险评估 v信息安全风险评估是信息安全管理机制建立的基 础，没有风险评估，信息安全管理机制的建立就 没有依据。 38 风险处置是信息安全管理的核心 v应对风险评估的结果进行相应的风险处置。本质 上，风险处置的最佳集合就是信息安全管理体系 的控制措施集合。 v控制目标、控制手段、实施指南的逻辑梳理出这 些风险控制措施集合的过程也就是信息安全建立 体系的建立过程。 v信息安全管理体系的核心就是这些最佳控制措施 的集合。 39 风险管理是信息安全管理的根本方法 40 v周期性的风险评估与风险处置活动即形成对风险 的动态管理。 v动态的风险管理是进行信息安全管理、实现信息 安全目标、维持信息安全水平的根本方法。 有关风险管理的详细内容参见CISP0302信息安全风险管理。 知识体：信息安全管理基础和方法 v知识域： 信息安全管理方法 理解信息安全风险的概念：资产价值、威胁、脆弱 性、防护措施、影响、可能性。 理解风险管理是信息安全管理的基础和核心； 理解信息安全管理体系的方法机制； 理解信息安全等级保护的管理机制； 了解NIST SP 800中的安全管理机制。 41 管理体系相关概念 42 v体系 相互关联和相互作用的一组要素。 （- ISO9000:2005 质量管理体系 基础和术语） v管理体系： 建立方针和目标并达到目标的体系。 （- ISO9000:2005 质量管理体系 基础和术语） 为达到组织目标的策略、程序、指南和相关资源的框架。 （- ISO/IEC 27000:2009 信息技术 安全技术 信息安全管理体系 概述和术语） 管理体系 43 ISO9000 质量管理体系 ISO14000 环境管理体系 OHSAS 职业健康安全管理体系 ISO/IEC27000 信息安全管理体系 ISO/IEC20000 服务管理体系 ISO22000食品安全管理体系 管理体系 Management System 管理体系 44 管理体系方法图解 信息安全管理体系 45 v什么是信息安全管理体系 信息安全 管理体系 ISMS ISO/IEC27001 信息安全管理体系 46 v什么是信息安全管理体系 l 数据安全 l 网络安全 l 系统安全 l 设备安全 l 物理安全 l 人员安全 l 应急响应 l 。 l 管理体系方法 l 管理体系要求 l 认证机构和认 证 l 审核和审核员 l 国际互认 l 。 l Information Security Management System-ISMS 信息安全管理体系; l 基于ISO/IEC27000系列国际标准族; l 是综合信息安全管理和技术手段，保 障组织信息安全的一种方法； l ISMS是管理体系（MS）家族的一个 成员。 信息安全 管理体系 ISMS 信息安全管理体系 47 v什么是信息安全管理体系 基于国际标准ISO/IEC27001：信息安全管理体 系要求是综合信息安全管理和技术手段，保障组织 信息安全的一种方法，是管理体系（MS）家族的一 个成员 BS7799、ISO17799、ISO27001、ISO27002、GB/T22080、GB/T22081的历史沿革 u 1990年代初 英国贸工部（DTI）成立工作组，立项开发一套可供开发、实施和 测量有效安全管理惯例并提供贸易伙伴间信任的通用框架。 u 1993年9月 颁布信息安全管理实施细则，形成BS 7799的基础。 u 1995年2月 首次出版BS 7799-1:1995信息安全管理实用规则。 u 1998年2月 英国公布BS 7799-2:信息安全管理体系要求。 u 1999年4月 BS 7799-1与BS 7799-2修订后重新发布。 u 2000年12月 国际标准组织 ISO/IEC JTC 1/SC27工作组认可通过BS 7799-1，颁 布ISO/IEC 17799:2000信息安全管理实用规则。 u 2002年9月 BSI对BS 7799-2进行了改版，用来替代原标准（BS 7799-2:1999） 使用。 u 2005年6月 ISO 17799:2000改版，成为ISO 17799:2005。 u 2005年10月 ISO正式采用BS 7799-2:2002，命名为ISO 27001:2005。 u 2007年7月 ISO 17799:2005归入ISO 27000系列，命名为ISO 27002:2005。 u 2008年6月- 中国政府等同采用ISO 27001:2005, 命名为GB/T 22080-2008； 中国政府等同采用ISO 27002:2005, 命名为GB/T 22081-2008. ISO/IEC 27000标准族介绍 48 49 vISO/IEC 27000系列 27000270032700427008 27000 信息安全管理体系 概述和术语 27001 信息安全管理体系要求 27002 信息安全管理实用规则 27003 信息安全管理体系 实施指南 27004 信息安全管理测量 27005 信息安全风险管理 27006 提供信息安全管理体系 审核和认证机构的要求 27007 信息安全管理体系 审核指南 27008 信息安全管理体系 控制措施审核员指南 27001 27002 27000 27006 27005 27003 27004 信息安全管理体系基本原理和词汇 ISO/IEC 27000标准族介绍 50 v ISO27001标准是认证机构进行审核时的审核准则，是 ISO27000标准族中最重要最核心的一份标准。 v 目前，ISO27000标准族已经日益完善，已经开发和正在开 发的标准共28项。其中正式发布的标准有13项；部分发布 的标准有2项； v 由于移动互联网、物联网、云计算等新概念新技术的出现 ，且基于ISO的标准修订周期规则，ISO27001、ISO27002标 准已经在修订当中，有望在2013年发布新版本。 ISO/IEC 27000标准族介绍 信息安全管理体系的特点 51 v 信息安全管理体系要求组织通过确定信息安全管理体系范 围，制定信息安全方针，明确管理职责，以风险评估为基 础选择控制目标和措施等一系列活动来建立信息安全管理 体系； v 体系的建立基于系统、全面、科学的安全风险评估，体现 以预防控制为主的思想，强调遵守国家有关信息安全的法 律、法规及其他合同方面的要求； v 强调全过程和动态控制，本着控制费用与风险平衡的原则 合理选择安全控制方式；强调保护组织所拥有的关键性信 息资产，而不是全部信息资产，确保信息的保密性、完整 性和可用性，保持组织的竞争优势和业务的持续性。 A 规划 实施检查 处置 P DC PDCA循环 52 PDCA循环 53 PDCA也称“戴明环”，由美国质量管理专家戴明提出。 vP（Plan）：计划，确定方针和目标，确定活动计划； vD（Do）：实施，实际去做，实现计划中的内容； vC（Check）：检查，总结执行计划的结果，注意效果 ，找出问题； vA（Action）：行动，对总结检查的结果进行处理，成 功地经验加以肯定并适当推广、标准化；失败的教训 加以总结，以免重现；未解决的问题放到下一个PDCA 循环。 54 vPDCA特点一：按顺序进行，它靠组织 的力量来推动，像车轮一样向前进， 周而复始，不断循环。 90 90 处置 实施 规划 检查 C A D P vPDCA特点二： 组织中的每个部分， 甚至个人，均可以PDCA循环，大环 套小环，一层一层地解决问题。 vPDCA特点三：每通过一次PDCA 循 环，都要进行总结，提出新目标，再 进行第二次PDCA 循环。 90909090 处置 实施 规划 检查 C A D P 达到新的水平 改进(修订标准) 维持原有水平 90909090 处置 实施 规划 检查 C A D P PDCA循环的特征与作用 vPDCA循环环，能够够提供一种优优秀的过过程方法， 以实现实现 持续续改进进。 v遵循PDCA循环，能使任何一项活动都有效地 进行。 PDCA循环的作用 55 vISMS的核心内容可以概括为4句话 1.规定你应该做什么并形成文件：P 2.做文件已规定的事情： D 3.评审你所做的事情的符合性： C 4.采取纠正和预防措施，持续改进：A 用PDCA来理解什么是信息安全管理体系 56 信息安全管理过程方法的作用 57 v为组织根据业务风险建立、实施、运行、监视、 评审、保持和改进文件化的信息安全管理体系规 定了要求。 v按照PDCA循环理念运行的信息安全管理体系是从 过程上严格保证了信息安全管理体系的有效性， 在过程上的这些要求是不可或缺的，也就是说不 是可选的，是必须执行的。 GB/T22081：2008 信息安全管理实用规则 v实施GB/T22080:2008的支撑标准，给出了组织建 立信息安全管理体系（ISMS）时可以选择实施的 控制目标和控制措施集合 v一个信息安全管理最佳实践的汇总 v包括11个主要安全类别，汇集了39个控制目标， 133个安全控制措施 58 GB/T22081：2008 信息安全管理实用规则 v每个主要安全类别包括： 一个控制目标，声明要实现什么 一个或多个控制措施，可被用于实现该控制目标 每个控制措施都有对应的实施指南，为支持控制措 施的实施和满足控制目标，提供更为详细的信息。 59 控制措施分类 v 预防性控制措施：在问题发生前潜在问题，并作出纠正 仅雇佣胜任的人员 职责分工 使用访问控制软件，只允许授权用户访问敏感文件 v 检查性控制：检查控制发生的错误、疏漏或蓄意行为 生产作业中设置检查点 网络通信过程中的Echo控制 内部审计 v 纠正性控制：减少危害影响，修复检查性控制发现的问题 意外处理计划 备份流程 恢复运营流程 60 资产管理-what v 信息安全管理工作的根本目的是保护系统中的资产 v 资产包括： 信息：业务数据、合同协议、科研材料、操作手册 、系统配置、审计记录、制度流程等 软件：应用软件、系统软件、开发工具 物理资产：计算机设备、通信设备、存储介质等 安全防护设备 服务：通信服务、供暖、照明、能源等 人员 无形资产，如品牌、声誉和形象 61 资产管理控制目标（一）对资产负责 v目标： 实现和保持对组织资产的适当保护 所有资产是可核查的，并且有制定的责任人 对于所有资产宜制定责任人，并且赋予保持相应控 制措施的职责。特定控制措施的实施可以由责任人 适当地委派别人承担，但责任人仍有对资产提供适 当保护的责任。 62 对资产负责的控制措施 v资产清单 宜清晰地识别所有资产，编制并维护所有重要资产 的清单 v资产责任人 与信息处理实施有关的所有信息和资产宜由组织的 指定部门或人员承担责任 v资产的可接受使用 与信息处理实施有关的信息和资产可接受使用规则 宜被确定，形成文件并加以实施 63 资产管理控制目标（二）信息分类 v目标： 确保信息受到适当级别的保护 信息宜分类，以在处理信息时指明保护的需求、优 先级和期望程度 信息具有各种程度的敏感性和关键性，某些项可能 要求附加等级的保护或特殊处理。信息分类机制用 来定义一组合适的保护等级并传达对特殊处理措施 的需求 64 信息分类的控制措施 v分类指南 信息宜按照它对组织的价值、法律要求、敏感性和 关键性予以分类 v信息的标记和处理 宜按照组织所采纳的分类机制建立和实施一组合适 的信息标记和处理规程 65 知识体：信息安全管理基础和方法 v知识域： 信息安全管理方法 理解信息安全风险的概念：资产价值、威胁、脆弱 性、防护措施、影响、可能性。 理解风险管理是信息安全管理的基础和核心； 理解信息安全管理体系的方法机制； 理解信息安全等级保护的管理机制； 了解NIST SP 800中的安全管理机制。 66 信息安全等级保护法规政策体系 67 信息安全等级保护 68 v 中华人民共和国计算机信息系统安全保护条例（1994 年国务院147号令） 第九条 计算机信息系统实行安全等级保护。安全等级 的划分标准和安全等级保护的具体办法，由公安部会 同有关部门制定。 v GB 17859-1999计算机信息系统安全保护等级划分准则 第一级:用户自主保护级； 第二级:系统审计保护级； 第三级:安全标记保护级； 第四级:结构化保护级； 第五级:访问验证保护级； 等级保护标准族的五级划分依据 v 第一级：信息系统受到破坏后，会对公民、法人和其他组织的合 法权益造成损害，但不损害国家安全、社会秩序和公共利益。 v 第二级：信息系统受到破坏后，会对公民、法人和其他组织的合 法权益产生严重损害，或者对社会秩序和公共利益造成损害，但 不损害国家安全。 v 第三级：信息系统受到破坏后，会对社会秩序和公共利益造成严 重损害，或者对国家安全造成损害。 v 第四级：信息系统受到破坏后，会对社会秩序和公共利益造成特 别严重损害，或者对国家安全造成严重损害。 v 第五级：信息系统受到破坏后，会对国家安全造成特别严重损害 。 69 信息安全等级保护标准 70 计算机信息系统安全保护等级划分准则 信息系统安全等级保护定级指南 信息系统安全等级保护基本要求 信息系统安全等级保护实施指南 信息系统等级保护安全设计技术要求 信息系统安全管理要求 信息系统安全工程管理要求 信息系统安全等级保护测评要求 信息系统安全等级保护测评指南 信息安全风险评估规范 信息安全等级保护测评机构能力规范等 等级保护标准 GB17859 技术要求 等保实施 等保测评 管理要求 GB/T22019-2008 信息安全技术 信息系统安全等级保护基本要求 GB/T 22020-2008 信息安全技术 信息系统安全保护等级定级指南 信息安全等级保护实施指南 （已发布） GB/T 20269-2006 信息安全技术 信息系统安全管理要求 GB/T 20282-2006 信息安全技术 信息系统安全工程管理要求 信息安全等级保护 信息系统测评准则 （报批稿） 信息安全技术 信息系统安全等级保护测评指南 （报批稿） 71 信息安全等级保护 72 v等级保护主要流程 一：定级 二：备案 三：建设、整改 四：等级测评 五：定期开展监督检查 等级保护基本要求 73 技术要求 物理安全 网络安全 主机安全 应用安全 数据安全 管理要求 系统运维管理 系统建设管理 人员安全管理 安全管理制度 安全管理机构 安全要求类层面一级二级三级四级 技术要求物理安全7101010 网络安全3677 主机安全4679 应用安全47911 数据安全及备份恢复2333 管理要求安全管理制度2333 安全管理机构4555 人员安全管理4555 系统建设管理991111 系统运维管理9121313 合计/4866737777 控制点控制点 基本要求GB/T 22239-2008 74 等级保护技术要求 75 v物理安全：物理位置选择、物理访问控制、防盗和防破 坏、防雷击、防火、防水、防潮湿、防静电、电力保障、 电磁防护 v网络安全：结构安全、访问控制、安全审计、边界完整 性检查、入侵防范、恶意代码防范、网络设备防护 v主机系统安全：身份鉴别、自主访问控制、强制访问 控制、安全审计、剩余信息保护、入侵防范、恶意代码防 范、资源控制 v应用安全：身份鉴别、访问控制、安全审计、剩余信息 保护、通信保密性、通信完整性、抗抵赖、软件容错、资 源控制 v数据安全：数据完整性、数据保密性、数据备份与恢复 等级保护管理要求 v安全管理机构 岗位设置、人员配置、授权与审批、沟通与合作、审核与 检查 v安全管理制度 管理制度、制定与发布、评审与修订 v人员安全管理 人员录用、人员离岗、人员考核、安全意识教育与培训、 第三方人员管理 v系统建设管理 系统定级、系统备案、安全方案设计、产品采购、自行软 件研发、外包软件开发、工程实施、工程验收 v系统运维管理 环境管理、资产管理、介质管理、设备管理、监控管理、 网络安全管理、系统安全管理、恶意代码防范管理、密码 管理、变更管理、备份与恢复管理、安全事件管理、应急 预案管理 76 知识体：信息安全管理基础和方法 v知识域： 信息安全管理方法 理解信息安全风险的概念：资产价值、威胁、脆弱 性、防护措施、影响、可能性。 理解风险管理是信息安全管理的基础和核心； 理解信息安全管理体系的方法机制； 理解信息安全等级保护的管理机制； 了解NIST SP 800中的安全管理机制。 77 NIST SP 800中的安全管理机制 78 v美国联邦下信息安全管理法（FISMA）的实施 vNIST SP 800系列出版物是美国NIST（National Institute of Standards and Technology）发布 的一系列关于计算机安全的指南文档（SP是 Special Publications的缩写） vSP 800系列建立于1990年，目的是独立发布与信 息技术安全相关的出版物，报告NIST信息技术实 验室在计算机安全方面的研究、指南和成果以及 与行业、政府以及学术组织的协作活动。 NIST SP 800中的安全管理机制 79 v与FIPS（联邦信息处理标准）不同，NIST SP不是 强制性的，FISMA要求联邦机构采纳并符合FIPS vNIST SP作为推荐和指南文档，并不要求联邦机构 强制实施 除国家安全系统外，联邦机构应遵循FIPS中要求的 NIST SP，例如FIPS 200要求使用SP 800-53 除国家安全系统国外，美国行政管理和预算局（ OMB）要求联邦机构必须遵循某些特定的NIST SP NIST SP 800中的安全管理机制 80 v按照OMB策略要求，联邦机构在遵循特定的NIST SP时，有一定的灵活性 联邦机构应根据其使命、业务职能和操作环境采用 NIST SP中的安全概念和原则 因此，同一NIST SP的应用可能导致不同的安全解 决方案，这是可接受，并符合指南以及OMB要求的 NIST SP 800中的安全管理机制 81 v在NIST的标准系列文件中，虽然NIST SP并不作为 正式法定标准，但在实际工作中，已经成为美国 和国际安全界得到广泛认可的事实标准和权威指 南。NIST SP800系列成为了指导美国信息安全管 理建设的主要标准和参考资料 82 目前，NIST SP 800系列已经出版了近150多本正式文件 ，形成了从计划、风险管理、安全意识培训和教育以及安全 控制措施的一整套信息安全管理体系。 主要包括： n SP 800-12：计算机安全介绍（An Introduction to Computer Security: The NIST Handbook） n SP 800-18：IT系统安全计划开发指南（Guide for Developing Security Plans for Information Technology Systems） n SP 800-26：IT系统安全自我评估指南（Security Self-Assessment Guide for Information Technology Systems） n SP 800-30：IT系统风险管理指南（Risk Management Guide for Information Technology Systems） NIST SP 800中的安全管理机制 83 n SP 800-34：IT系统应急计划指南（Contingency Planning Guide for Information Technology Systems） nSP