安全生产_信息化安全生产标准管理导论

1 信息安全标准 信息安全导论 模块3 信息安全法律法规与标准 2 内容提要 1 标准的定义2 标准的分级3 标准的分类4 与计算机信息系统安全等级保护相关的标准5 信息安全国际标准 3 1标准的定义 国际标准化组织定义 由有关各方根据科学技术成就与先进经验 共同合作起草 一致或基本上同意的技术规范或其他公开文件 其目的在于促进最佳的公共利益 并由标准化团体批准我国定义 标准是对重复性事物和概念所做的统一规定 它以科学 技术和实践经验的综合成果为基础 经有关方面协调一致 由主管机构批准 以特定形式发布 作为共同遵守的准则和依据 4 2标准的分级 我国标准分为四级国家标准 由国务院标准化行政主管部门负责组织制定和审批行业标准 由国务院有关行政主管部门负责制定和审批 并报国务院标准化行政主管部门备案地方标准 由省级政府标准化行政主管部门负责制定和审批 并报国务院标准化行政主管部门和国务院有关行政主管部门备案企业标准 由企业法人代表或法人代表授权的主管领导批准 发布 由企业法人代表授权的部门统一管理 企业产品标准应向当地标准化行政主管部门和有关行政主管部门备案 5 3标准的分类 按标准发生作用的范围和审批标准级别来分国家标准行业标准地方标准企业标准按标准的约束性来分按标准在标准系统中的地位和作用来分按标准化对象在生产过程中的作用来分按标准的性质来分 6 3标准的分类 按标准发生作用的范围和审批标准级别来分按标准的约束性来分强制性标准 保障人体健康 人身 财产安全的国家标准或行业标准和法律及行政法规规定强制执行的标准 必须执行 不符合的产品禁止生产 销售和进口推荐性标准 相对于强制性标准的其他标准 鼓励企业自行采用按标准在标准系统中的地位和作用来分按标准化对象在生产过程中的作用来分按标准的性质来分 7 3标准的分类 按标准发生作用的范围和审批标准级别来分按标准的约束性来分按标准在标准系统中的地位和作用来分基础标准 一定范围内作为其他标准的基础并普遍使用的标准 具有广泛的指导意义例如 GB17859 1999 计算机信息系统安全保护等级划分准则 一般标准 相对于基础标准的其他标准按标准化对象在生产过程中的作用来分按标准的性质来分 8 3标准的分类 按标准发生作用的范围和审批标准级别来分按标准的约束性来分按标准在标准系统中的地位和作用来分按标准化对象在生产过程中的作用来分产品标准 原材料标准 零部件标准 工艺和工艺装备标准 设备维修标准 检验和试验方法标准 检验 测量和试验设备标准 搬运 贮存 包装 标识标准等按标准的性质来分 9 3标准的分类 按标准发生作用的范围和审批标准级别来分按标准的约束性来分按标准在标准系统中的地位和作用来分按标准化对象在生产过程中的作用来分按标准的性质来分技术标准 对标准化领域中需要协调统一的技术事项所制定的标准管理标准 对标准化领域中需要协调统一的管理事项所制定的标准工作标准 对工作的责任 权利 范围 质量要求 程序 效果 检查方法 考核办法所制定的标准 10 信息安全标准 我国的信息安全从保密技术 难度 标准的特点出发 将信息安全保密标准分为三级第一级国家标准第二级国家军队标准第三级国家保密标准三级标准中 国家保密标准最高其他标准还包括 公共安全行业标准 GA 11 我国信息安全标准委员会在制定我国信息安全标准方面做了大量的工作目前已出台的信息安全保护方面的标准主要包括在国家标准和公共安全行业标准中 当然在国家军队标准 国家保密标准中也有所涉及 12 4与计算机信息系统安全等级保护相关的标准 GB17859 1999 计算机信息系统安全保护等级划分准则 GA T387 2002 计算机信息系统安全等级保护网络技术要求 GA T388 2002 计算机信息系统安全等级保护操作系统技术要求 GA T389 2002 计算机信息系统安全等级保护数据库管理系统技术要求 GA T390 2002 计算机信息系统安全等级保护通用技术要求 GA T391 2002 计算机信息系统安全等级保护管理要求 GB9361 88S 计算站场地安全要求 GA163 1997 计算机信息系统安全专用产品分类原则 13 GB17859 1999 计算机信息系统安全保护等级划分准则 是建立计算机信息系统安全等级保护制度 实施安全等级管理的重要基础性标准将计算机信息系统安全保护能力划分为五个等级 用户自主保护级系统审计保护级安全标记保护级结构化保护级访问验证保护级 14 GA T390 2002 计算机信息系统安全等级保护通用技术要求 是计算机信息系统安全等级保护技术要求系列标准的基础性标准 用以指导设计者如何设计和实现具有所需要的安全等级的计算机信息系统主要说明了为实现GB17859 1999中每一个保护等级的安全要求应采取的通用的安全技术 和为确保这些安全技术所实现的安全功能达到其应具有的安全性而采取的通用的保证措施 15 GA T391 2002 计算机信息系统安全等级保护管理要求 明确提出了管理层 物理层 网络层 系统层 应用层和运行层的安全管理要求 并将管理要求落实到GB17859 1999的五个等级上更有利于对安全管理的继承 理解 分工实施 更有利于对安全管理的评估和检查 16 GA T387 2002 计算机信息系统安全等级保护网络技术要求 用以指导设计者如何设计和实现具有所需要的安全等级的网络系统主要从对网络的安全保护等级进行划分的角度来说明其技术要求 即主要说明了为实现GB17859 1999中每一个保护等级的安全要求对网络系统应采取的安全技术措施 以及各安全技术要求在不同安全级中具体实现上的差异 17 GA T388 2002 计算机信息系统安全等级保护操作系统技术要求 用以指导设计者如何设计和实现具有所需要的安全等级的操作系统 主要从对操作系统的安全保护等级进行划分的角度来说明其技术要求 18 GA T389 2002 计算机信息系统安全等级保护数据库管理系统技术要求 用以指导设计者如何设计和实现具有所需要的安全等级的数据库管理系统 主要从对数据库管理系统的安全保护等级进行划分的角度来说明其技术要求 19 GB17859 1999 计算机信息系统安全保护等级划分准则 五个等级 第一级 用户自主保护级第二级 系统审计保护级第三级 安全标记保护级第四级 结构化保护级第五级 访问验证保护级安全保护能力随着安全保护等级的提高 逐渐增强 20 五个等级保护能力比较 21 GA T391 2002 计算机信息系统安全等级保护管理要求 信息系统安全管理 是对一个组织或机构中信息系统的生命周期全过程实施符合安全等级责任要求的科学管理落实安全组织及安全管理人员 明确角色与职责 制定安全规划开发安全策略实施风险管理制定业务持续性计划和灾难恢复计划选择与实施安全措施保证配置 变更的正确与安全进行安全审计保证维护支持进行监控 检查 处理安全事件安全意识与安全教育人员安全管理等 22 主要安全要素 23 信息系统安全管理的基本原则总原则主要领导人负责原则规范定级原则依法行政原则以人为本原则适度安全原则全面防范 突出重点原则系统 动态原则控制社会影响原则主要安全管理策略 24 信息系统安全管理的基本原则总原则主要安全管理策略分权制衡最小特权选用成熟技术普遍参与 25 5信息安全国际标准 国际上比较有影响的信息安全标准体系主要有 ISO IEC的国际标准13335 17799 27001系列美国国家标准和技术委员会 NIST 的特别出版物系列英国标准协会 BSI 的7799系列 26 国际标准ISO IEC是国际上最权威的由国际标准化组织 ISO 和国际电工委员会 IEC 所制定的国际标准ISO和IEC是世界范围的标准化组织 它由各个国家和地区的成员组成 各国的相关标准化组织都是其成员 他们通过各技术委员会 参与相关标准的制定 27 ISO IEC联合技术委员会JTC1子委员会27 ISO IECJTC1SC27 是信息安全领域最权威和国际认可的标准化组织ISO IECJTC1SC27发布的目前最主要的标准是ISO IEC13335ISO IEC17799 2005ISO IEC27001 2005 28 BS7799受到广泛认可它的第一部分已成为国际标准ISO IEC17799 2005它的第二部分成为国际标准ISO IEC27001 2005 29 BS7799 信息安全管理标准 BS7799是英国标准协会针对信息安全管理而制定的标准第一部分 是信息安全管理实践规范CodeofPracticeforInformationSecurityManagement主要供负责信息安全系统开发的人员作为参考使用第二部分 是建立信息安全管理体系的规范SpecificationforInformationSecurityManagementSystems可用来指导相关人员应用第一部分 最终目的是建立适合企业需要的信息安全管理体系 30 国际标准ISO IEC17799 2005 国际标准ISO IEC17799 2005 信息技术 安全技术 信息安全管理实践规范 描述了信息安全管理领域的最佳惯例 由11个独立的部分组成安全方针信息安全组织资产管理人力资源安全物理与环境安全通信和运作管理访问控制信息系统的获取 开发及维护信息安全事故管理业务连续性管理符合性 31 上述11个方面 除了三个与技术密切相关之外 其他方面更侧重于组织整体的管理和运营操作体现了信息安全 三分技术 七分管理 管理与技术并重 的理念 3