信息安全合规性比较.doc

信息安全个标准体系要求之比较目前，信息安全的标准体系很多，主要分为管理类、技术类和工程类。在一个体系中，经常综合放映了三个方面的要求。为了便于使用，本文以信息安全各个内容为主线，梳理各个体系的要求并作出对比。0. 总体说明0.1 比较范围由于信息安全的本质是为了确保业务价值，面向的对象是信息资产。所以围绕信息资产的信息要求来组织各个体系的内容。比较的体系包括以下4个：1) 信息系统安全等级保护测评要求2) 信息系统安全等级保护基本要求 GB/T22239-2008第四级3) 信息安全管理体系要求 GB/T22080-2008 idt ISO27001:20054) 服务管理 GB/T22405.1-2009 idt ISO20000-1：20055) 商业银行信息科技风险管理指引6) 网上银行系统信息安全通用规范由于等保的测评要求和直接把等保的基本要求作为指标，所以综合为等保要求。标准编号会特别说明。把ISO20000纳入体系，主要是在IT系统的运维阶段，安全和域内密不可分。以后还会逐步把NIST800中有关标准纳入比较。0.2 比较的条目结构本文以信息系统安全内容为主线来进行比较。比较的主要条目有：第一部分：基础部分1) 目的与动机2) 基本方法和模型3) 适用范围第二部分：管理部分1) 文件化要求2) 信息安全方针和安全策略3) 信息安全组织4) 人员资源安全5) 安全制度和流程6) 安全事件管理7) 问题管理8) 系统的获取9) 系统的运维10) 对信息安全体系本身的管理第三部分 技术部分1) 物理安全2) 网络安全3) 主机安全4) 应用安全5) 数据和备份恢复第四部分 专题部分1) 业务连续性2) 业务恢复1. 目的和动机的比较目的和动机一般在标准的引言中说明。也有标准在其他部分说明。1.1. 等保要求的目的和动机在信息系统安全等级保护测评要求的引言中说明目的和动机：指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。在GB/T 222392008信息安全技术 信息系统安全等级保护基本要求的引言中说明的目的和动机：指导不同安全保护等级信息系统的安全建设和监督管理。1.2. 信息安全管理体系的目的和动机在GB/T 220802008 信息技术 安全技术 信息安全管理体系要求的引言中说明了目的和动机1) 为建立、实施、运行、监视、评审、保持和改进信息安全管理体系提供模型。2) 用于一致性评估1.3. 服务管理的目的和动机在GB/T24405.1-2009T信息技术_服务管理_第1部分_规范.的引言中说明的目的与动机：鼓励采用整合的过程方法，有效地交付受管理的服务，满足业务和顾客要求1.4. 商业银行信息科技风险管理指引的目的和动机在第一章总则的第五条中说明了目的和动机：通过建立有效机制，实现对商业银行信息科技风险的识别、计量、检测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争能力和可持续发展能力。1.5. 网上银行系统信息安全通用规范的目的和动机在前言中说明了目的和动机：有效增强现有网上银行系统的安全防范能力，促进网上银行规范、健康发展。作为网上银行系统建设和改造升级的安全性依据，也可以作为个单位开展安全检查和内部审计的依据。2. 基本方法和模型的比较一般在引言、或者总则中说明基本方法和模型。2.1. 等保的基本方法和模型在信息系统安全等级保护测评要求的引言说明基本方法和模型为：1) 针对信息系统中的单项安全措施和多个安全措施的综合防范，对应地提出单元测评和整体测评的技术要求，用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。 2) 单元测评对安全技术和安全管理上各个层面的安全控制提出不同安全等级的测试评估要求，其测评内容主要针对信息安全技术 信息系统安全等级保护基本要求规定的各单项安全控制措施在信息系统中的落实情况。3) 整体测评根据安全控制间、层面间和区域间相互关联关系以及信息系统整体结构对信息系统整体安全保护能力的影响提出测试评估要求。在信息系统安全等级保护测评要求的第四章总则中说明了测评原则、测评内容、测评强度、结果重用和测评方法在GB/T 220802008 信息技术 安全技术 信息安全管理体系要求 ：基本安全要求包括基本技术要求和基本管理要求 2.2. 信息安全管理体系的基本方法和模型PDCA的过程方法2.3. 服务管理的基本方法和模型通过整合过程和对不同人员和组织的协调来不断改进。2.4. 商业银行信息科技风险管理指引的基本方法和模型管法人：从坚持法人监管出发，指出商业银行法定代表人是本机构信息科技风险管理的第一责任人管风险：从坚持风险监管出发，要求商业银行建立有效的机制，实现对信息科技风险的识别、计量、监测和控制，提高信息技术使用水平。管内控：从内控监管要求出发，要求商业银行建立完整的管理组织架构，制订完善的管理制度和流程，以相互制约的管理机制对信息科技各环节进行控制。管透明度：要对监管方透明管客户价值：从保护广大储户利益出发，要求商业银行在信息系统开发、测试和维护，以及服务外包过程中加强对客户信息的保护，防止敏感信息泄露管理业务连续和服务连续：对业务连续性管理也