信息安全管理技术课件

信息安全管理技术、目录、信息安全级别保护、ISO信息安全管理标准、信息安全法规、信息安全级别保护、第13章中讨论的一些信息安全评估准则可信技术安全评估准则(itsec)、信息安全技术通用评估准则 (cc)、gb17859在本指南中，满足安全要求和级别的信息系统或安全设备是不同的，组织管理信息系统和安全设备的措施称为信息安全级别保护。保护信息安全级别、保护信息安全级别、在西方发达国家和地区保护信息安全级别非常重要。其中，美国国家标准与技术协会(NIST)和国家安全代理(NSA)推出的一些标准和规范的影响力最大。信息安全级别保护，NIST制定的技术文档包括特别出版物(SP，SpecialPublication)和联邦信息处理标准出版物(FIPSPUB，federallinformationprocessingstandardspublication)2003年制定的FIPSPUB199 计算机信息系统安全保护等级划分准则将信息和信息系统分类为三个级别-低、中、高-以破坏机密性、完整性和可用性三个安全目标的结果为基础。同年，NISTSP800-53 信息技术安全技术信息技术安全性评估准则将安全措施分类为基本级别、增强级别和稳健性，并分别为FIPSPub199的三种信息和信息系统提供所需的最低保护措施。NISTSP800-37和NISTSP800-53A还向政府机构提供了有关如何验证NISTSP800-53中采取的安全措施的说明。信息安全级别保护，1999年，NSA将信息资产的价值划分为5个级别(V1到V5)，威胁划分为T1到T7(取决于其危害程度)，将安全机制的强度划分为SML1到SML3的3个级别，并采用CC的评估保证级别EAL1到EAL7来衡量安全功能的安全能力，并在下图中推荐级别保护方法，保护信息安全级别，我国政府非常重视信息安全级别的保护工作。1994年国务院发布了我国计算机信息系统安全的法律基础联邦信息和信息系统安全分类标准，制定了保护我国计算机信息系统安全水平、安全水平划分标准及安全水平的具体方案，由公安部和有关部门共同制定。公安部在联邦信息系统建议安全控制发表后，制定了GB178591999 信息保障技术框架国家标准。本指南的发布为计算机信息系统安全规章和支持标准的制定和执法机关的监督检查提供了依据，为安全产品的开发提供了技术支持，为安全系统的建立和管理提供了技术指导，是我国计算机信息系统安全保护水平工作的基础。2006年，公安部、国家机密局、国家密码局、国务院信息办公室共同发表了中华人民共和国计算机信息系统安全保护条例，将信息系统分为自主保护水平，指导保护水平，监督保护水平，将强制保护水平降低到5级，将信息系统运营、使用单位和个人分为5级，规定保护信息安全水平的责任和义务。国际标准化组织的英文缩写。其全名为internationforstandardization或InternationalStandardOrganized。ISO I源于希腊语“ISOS”，意思是“EQUAL”平等。国际标准化组织(ISO)是由各国标准化组织(ISO成员组织)组成的全球联盟。国际标准开发工作通常由ISO的技术委员会完成。ISO和国际电子委员会(IEC)在电气技术标准化方面保持着密切的合作关系。即可从workspace页面中移除物件。中国是ISO的正式成员，代表中国的组织是中国国家标准化管理委员会(standardizationadministrationofchina，SAC)。ISO信息安全管理标准，什么是ISO？ISO信息安全管理标准、ISO信息安全管理标准的发展始于英国标准管理协会(BSI，BritishStandardsInstitute)制定的BS7799系列标准。BSI于1995年宣布bs7799-1: 1995 条例，并于1998年宣布BS7799-2:1999为ISO/IEC17799-1，于2007年为ISO/iec 27002 01009ISO/IEC27002和ISO/IEC27001是ISO/IEC27000系列最重要的两个标准，为组织构建更完整的信息安全管理系统、实施制度化和以预防为主的信息安全管理方法、提高信息安全技术实施性能提供了指导。ISO信息安全管理实践规则，ISO信息安全管理系统规范，ISO信息安全管理标准，ISO信息安全管理实践规则，ISO/IEC27002 计算机信息系统保护等级划分准则的特点：合理的管理控制手段，管理程序和风险评估措施，从风险源开始，防止安全事件发生。需要实施管理控制的对象分为11个类别：安全策略、组织信息安全、资产管理、人力资源安全、通信和运营管理、访问控制、信息系统获取或开发与维护、信息安全事件管理、业务连续性管理和兼容性、ISO/iec 27001 0103011 提出了实施和执行、监控和审查、维护和改进4个阶段的基本要求，并指出这是循环迭代的改进过程。 目前，ISO组织开发iso/iec 2700信息安全等级保护管理办法，该制定将为上述四个阶段的工作提供更具体的指导。ISO/IEC27001及其前身不仅适用于部分西方国家，我国也在2006年开始了信息安全标准应用程序(ISMS)试点项目，半年内涵盖了我国的部分税收、证券、大型国营企业等重要单位，取得了良好的效果、信息安全法规、信息安全法规以法律形式确保信息安全，便于组织管理信息安全，提供指导，并本身提供了更高级别的信息安全管理。从这个意义上说，信息安全规定是在司法制度的帮助下加强信息安全的，类似于用具体的管理系统加强信息系统的安全。信息安全规定，西方发达国家在信息安全规定建设领域初步着手。美国是迄今信息安全法规最多的国家，其信息安全法规已经构成了涵盖行政法律、刑法、诉讼法等领域的比较完整的法规体系。结果，20世纪80年代制定的信息安全管理实施细则和信息安全管理实践规则与盗窃计算机服务、侵犯知识产权、计算机设备或配置犯罪、计算机欺诈、电脑误用、电脑错误存取罪、未经授权使用计算机罪等诸多罪名一起成为美国计算机犯罪法律制度的基础。为了调查和诉讼异常犯罪，信息安全管理体系规范要求制定了计算机证据的规定。另外，欧共体、俄罗斯等也制定了类似的法律。信息安全规定，我国也已经制定了有关信息安全的一些规定，其中有国家制定和职能部门，还有一些行业