信息安全标准与标准化组织

信息安全法律法规,重庆电子工程职业学院-李贺华,第1讲信息安全标准与标准化组织,一、信息安全标准,信息安全标准在信息安全保障体系建设中发挥着基础胜、规范性作用，是确保信息安全产品和系统在设计、研发、生产、建设、使用、测评中，保证其一致性、可靠性、可控性的技术规范、技术依据。,没有信息安全标准，信息化建设的安全可靠就无法保证。信息安全标准化是支撑国家信息安全保障体系建设，关系国家信息安全的大事，也可以说是网络时代保证网络安全的交通规则。,信息安全标准体系主要由基础标准、技术标准和管理标准等体系组成。基础标准体系由安全技术术语、体系结构、模型和框架等方面标准组成；技术标准体系由密码技术、安全协议、标识与鉴别、访问控制、电子签名、完整吐保护、抗抵赖、审计与监控、公钥基础设施、物理安全技术以及其他安全技术等标准组成；管理标准体系由系统安全管理、等级保护、工程、评估和运行等方面组成。,二、信息安全标准化国际组织,目前世界上有近300个国际和区域性组织制定标准或技术规则，与信息安全标准化有关的国际组织主要有以下4个：1、ISO（国际标准组织）2、IEC（国际电工委员会）3、ITU（国际电信联盟）4、IETF（Internet工程任务组）,第1讲信息安全标准与标准化组织,三、信息安全标准化国内组织,1、公安部和公安部信息安全产品检测中心我国从20世纪90年代中期开始制定信息安全1998产品的标准，并与1998年成立“公安部信息安全产品检测中心”，承担国内计算机信息系统安全产品和同类进口产品的质量监督检验工作。目前，由公安部和公安部信息安全产品检测中心制定和发布实施的信息安全产品评估标准共有50多项，基本覆盖了信息安全产品的主要项目。,第1讲信息安全标准与标准化组织,三、信息安全标准化国内组织,2、信息安全标准化技术委员会（TC260）2002年4月,我国成立了“全国信息安全标准化技术委员会，（简称“信息安全标委会”，TC260，其英文名称是“ChinaInformationSecuritystandardizationTechnicalcommittee”，英文缩写“CISTC”）,该标委会是在信息安全的专业领域内,从事信息安全标准化工作的技术工作组织。官方网站：信息安全标委会设置了10个工作组,其中信息安全管理（含工程与开发）工作组(WG7)负责对信息安全的行政、技术、人员等管理提出规范要求及指导指南。它包括信息安全管理指南、信息安全管理实施规范、人员培训教育及录用要求、信息安全社会化服务管理规范、信息安全保险业务规范框架和安全策略要求与指南。,第1讲信息安全标准与标准化组织,第1讲信息安全标准与标准化组织,信息安全国家标准_最新清单（2010.10）,截止到2010年10月，由全国信息安全标准化委员会组织制定，经国家标准化管理委员会审查批准发布的我国信息安全标准汇总如表所示。,三、信息安全标准化国内组织,3、中国通信标准化协会（CCSA）中国通信标准化协会(其英文名称是“ChinaCommunicationsStandardsAssociation”，缩写为“CCSA”)于2002年12月18日在北京正式成立。该协会是国内企、事业单位自愿联合组织起来，经业务主管部门批准，国家社团登记管理机关登记，开展通信技术领域标准化活动的非营利性法人社会团体。CCSA下设多个技术委员会，其中网络与信息安全技术工作委员会（TC8）下面的工作组（安全管理工作组）主要负责安全管理方面的标准化工作。,第1讲信息安全标准与标准化组织,答案：GB是国家标准，GA是公安行业标准。两者的关系是：在有GB、无GA时，要执行GB；在没有GB、有GA时，要执行GA；在GB、GA同时有时，GA一定高于（严于）GB。你知道了两者的关系后，你所问的问题知道怎么处理了。,问题：近来看一些产品制造标准，以前接触到的都是GB标准，我的理解是GB国家标准，现在突然又遇到了GA标准（好像是公共安全行业标准）。请问高手：1、这两个标准有什么相同点，命名的原则是什么？2、这两个标准有什么不同的适用面，哪些是强制的？3、按照我个人的理解，GB比GA的级别更高一些，对吗？两者是怎样互补的。,欢迎提问？谢谢！,小结与习题_1,信息安全法律法规,李贺华,由英国标准协会(BSI)编写的信息安全管理体系标准BS7799-Part1(ISO17799,信息安全管理实施规则)及BS7799-Part2(ISO27001，信息安全管理体系规范)为各种机构、企业进行信息安全管理提供了一个完整的管理框架。BS7799基于风险管理的思想，指导机构、企业建立信息安全管理体系（ISMS），使机构或企业的信息安全以最小代价达到需要的水准。,第2讲信息安全管理标准体系,一、BS7799概述,大部分的信息安全管理专家认同“三分技术，七分管理”的说法。正是在这样的世界大环境和学术界共同认同的原则下，各国的研究机构都纷纷研究和制定信息安全管理、风险评估、信息安全技术的标准，而英国标准化协会(BSI)，这个在全世界标准界负有盛名的机构，在成功地为ISO9000、ISO14000等世界著名的标准打好基础后，又一次在信息安全管理领域拔得头筹，其制定的BS7799信息安全管理标准又一次成为国际上最具权威的和最具代表性的标准。,2000年，BS7799-1被ISO审议通过，升级为国际标准ISO17799:2000。2005年，BS7799-2成功升级为ISO27001标准，并且以后信息安全管理体系将统一到ISO2700X系列上，除了现有的管理体系和管理指南外，还将陆续出版其它指南，如表所示。,第2讲信息安全管理标准体系,二、ISO/IEC27000族标准中有哪些已转化为中国国家标准？,ISO/IEC27001:2005已等同转化为中国国家标准GB/T22080-2008/ISO/IEC27001:2005信息技术安全技术信息安全管理体系要求（2008-06-19发布，2008-11-01实施）ISO/IEC27002:2005已等同转化为中国国家标准GB/T22081-2008/ISO/IEC27002:2005信息技术安全技术信息安全管理实用规则（2008-06-19发布，2008-11-01实施）目前，全国信息安全标准化技术委员会（TC260）信息安全管理工作组（WG7）正在不断推进信息安全管理体系国家标准的编制和转化工作。,第2讲信息安全管理标准体系,三、ISO/IEC27000族标准中有哪些已转化为中国国家标准？,ISO/IEC27001:2005已等同转化为中国国家标准GB/T22080-2008/ISO/IEC27001:2005信息技术安全技术信息安全管理体系要求（2008-06-19发布，2008-11-01实施）ISO/IEC27002:2005已等同转化为中国国家标准GB/T22081-2008/ISO/IEC27002:2005信息技术安全技术信息安全管理实用规则（2008-06-19发布，2008-11-01实施）目前，全国信息安全标准化技术委员会（TC260）信息安全管理工作组（WG7）正在不断推进信息安全管理体系国家标准的编制和转化工作。,第2讲信息安全管理标准体系,四、ISO17799：2000简介,信息安全管理实施规则，主要是给负责开发的人员作为参考文档使用，从而在他们的机构内部实施和维护信息安全。这一部分包括10大管理要项，36个执行目标，127种控制方法，如表8-2所示。,第2讲信息安全管理标准体系,四、ISO17799：2000简介,第2讲信息安全管理标准体系,10个管理要项具体内容如下：1.安全政策：安全政策为信息安全提供管理方向和指南。同时管理层应制定一套清晰的指导原则，并以此明确表明其对信息安全及在单位内部贯彻实施信息安全政策的支持和承诺。2.安全组织：应建立适当的信息安全管理部门对信息安全政策进行审批，对安全权责任进行分配，并协调单位内部的安全实施。,五、ISO27001：2005简介,信息安全管理体系标准，要求组织利用风险评估的方法，来建立、实施、运行、监视、评审、保持和改进其ISMS，并根据信息资产的重要性和价值，选择适当的控制措施，减缓风险。,第2讲信息安全管理标准体系,风险评估和风险处理是ISO27001:2005标准要求的两个相互关联的必须的活动。一个组织建立ISMS体系，要进行信息资产风险评估和风险处理，其主要过程是：制定组织的ISMS方针和风险接受准则。定义组织的风险评估方法。识别要保护的信息资产，并进行登记。识别安全风险，包括识别资产所面临的威胁、组织的脆弱点和造成的影响等。对照组织的风险接受准则，评价和确定己估算风险的严重性、可否接受。形成风险评估报告。制定风险处理计划，选择风险控制措施。,五、ISO27001：2005简介,国际标准化组织（ISO）使用Plan-Do-Check-Act（即计划一实施一检查一纠正）过程模型组织ISO/IEC27001:2005标准。这个标准规定了ISMS的建立、实施与运行、监督与评审、维护与改进所要遵循的活动（过程），并形成一个周期，称“PDCA”周期，如下图所示。,第2讲信息安全管理标准体系,六、BS7799的简单评价,优点：,第2讲信息安全管理标准体系,1.提供了一个组织进行有效安全管理的公共基础，反映了信息安全的“三分技术，七分管理”的原则。2.全面涵盖了信息系统日常安全管理方面的内容，提供了一个可持续提高的信息安全管理环境。包括安全管理的注意事项和安全制度，具有可操作性。3.是对一个织织进行全面信息安全评估的基础，可以作为组织实施信息安全管理的一项体制。4.规定了建立、实施信息安全管理体系的文档，以及如何根据组织的需要进行安全控制，可以作为一个非正式认证方案的基础。,六、BS7799的简单评价,1.BS7799仅仅提供一些原则性的建议，如何将这些原则性的建议与各个组织单位自身的实际情况相结合，构架起符合组织自身状况的ISMS，才是真正具有挑战性的工作。2.BS7799在标准里描述的所有控制方式并非都适合于每种情况，它不可能将当地系统、环境和技术限制考虑在内，也不可能适合一个组织中的每个潜在的用户，因此这个标准还需结合实际情况进一步加以补充。3.此外，信息安全管理建立在风险评估的基础上，而风险评估本身是一个复杂的过程，不同组织面临不同程度和不同类型的风险，风险的测度需要有效的方法支持，因此按照该标准衡量一个系统还需要一些相关技术的配合。,第2讲信息安全管理标准体系,不足：,欢迎提问？谢谢！,小结与习题_2,信息安全法律法规,李贺华,我国信息安全测评认证体系，由三个层次的组织和功能构成。一个认证管理委员会，一个认证中心，若干个不同类型的测试分支机构。第一层是国家信息安全测评认证管理委员会。这个管理委员会是一个跨部门的机构，代表品的供方、需方，对中国国家信息安全测评认证中心运作的独立性、测评认证活动的公正性、科学性和规范性进行监督管理。第二层是国家信息安全测试认证中心。中心是由国家授权，依据有关标准和认证规范，根据特点产品和信息系统的测试及评估结果，对相应的产品、信息系统的安全性做出认证，并颁发证书的实体。第三次是测试分支机构。由中心授权，国家认可，依据标准和测评规范对不同类型的产品或信息系。统的安全性进行测试评估，向中心出具测评报告的技术组织。,第3讲信息安全测评认证工作体系,一、信息安全测评认证体系概述,中国信息安全测评中心是我国专门从事信息技术安全测试和风险评估的权威职能机构。依据中央授权，测评中心的主要职能包括：负责信息技术产品和系统的安全漏洞分析与信息通报；负责党政机关信息网络、重要信息系统的安全风险评估；开展信息技术产品、系统和工程建设的安全性测试与评估；开展信息安全服务和专业人员的能力评估与资质审核；从事信息安全测试评估的理论研究、技术研发、标准研制等。,第3讲信息安全测评认证工作体系,二、中国信息安全测评认证中心,中国信息安全测评中心地址：北京市海淀区上地西路8号院1号楼官方网站：,“注册信息安全专业人员”，英文为CertifiedInformationSecurityProfessional(简称CISP)。根据实际岗位工作需要，CISP分为三类，分别是“注册信息安全工程师”，英文为CertifiedInformationSecurityEngineer（简称CISE）;“注册信息安全管理人员”，英文为CertifiedInformationSecurityOfficer(简称CISO)，“注册信息安全审核员”英文为CertifiedInformationSecurityAuditor(简称CISA)。CISE