信息系统安全管理理论及应用 李建华信息系统安全管理理论及应用 1-4 信息安全管理相关标准及法律法规新

1、在线教务辅导网： 更多课程配套课件资源请访问在线教务辅导网8/20/20221信息平安管理相关标准及法律法规8/20/20222主要内容信息平安管理标准及开展 信息平安标准与法律法规 存在的问题8/20/20223第三章信息平安管理标准及开展 信息平安标准与法律法规 存在的问题8/20/20224标准组织国际组织ISO和IEC成立联合技术委员会，即ISO/IEC JTC1，负责信息技术领域的标准化工作。其中的子委员会27(ISO/IEC JTC1 SC27)专门负责IT平安技术领域的标准化工作，主要负责通用信息技术平安标准ISO/TC 68，主要负责研究行业应用信息平安标准国际电信联盟ITU所

2、属的SG17组，主要负责研究通信系统平安标准。Internet工程任务组，其主要任务是负责互联网相关技术标准的研发和制定。 8/20/20225标准组织(续)国家组织美国国家标准和技术委员会(NIST) ，负责为美国政府和商业机构提供信息平安管理相关的标准标准，NIST的一系列FIPS标准和NIST 特别出版物800系列(NIST SP 800系列)成为了指导美国信息平安管理建设的主要标准 英国标准协会(BSI) ，英国负责信息平安管理标准的机构 全国信息技术平安标准化技术委员会CITS，在国家标准化管理委员会和信息产业部的共同领导下负责全国信息技术领域以及与ISO/IEC JTC1相对应的标

3、准化工作 公安部、国家平安部、国家保密局、国家密码管理委员会，研究与信息平安的行业标准 8/20/20226信息平安管理相关标准ISO 13335ISO 27000系列NIST SP 800系列8/20/20227ISO 13335之历史ISO/IEC TR 13335，被称作“IT平安管理指南 Guidelines for the Management of IT Security，GMITS ，是由ISO/IEC JTC1制定的技术报告，由5个局部组成。ISO/IEC TR 13335-1:1996 IT 平安的概念和模型ISO/IEC TR 13335-2:1997 管理和规划IT 平安

4、 ISO/IEC TR 13335-3:1998 IT 平安管理技术 ISO/IEC TR 13335-4:2000 防护措施的选择 ISO/IEC TR 13335-5:2001 网络平安管理指南 8/20/20228ISO/IEC TR 13335组成局部 代号 名称 内容简介 ISO/IEC TR 13335-1:1996 Concepts and models for IT Security IT安全概念与模型。这部分包含了对IT安全和安全管理中一些基本概念和模型的解释。ISO/IECTR 13335-2:1997 Managing and planning IT Security I

5、T安全管理和计划。这部分建议性地介绍了IT安全管理和计划的方式和要点。ISO/IECTR 13335-3:1998 Techniques for the management of IT Security IT安全管理技术。这部分描述了风险管理技术、IT安全计划的开发、实施和测试，还包括策略审查、事件分析、IT安全教育等后续内容。ISO/IECTR 13335-4:2000 Selection of safeguards 安全措施的选择。这部分描述了针对一个组织特定环境和安全需求可以选择的安全措施，不仅仅是技术性措施。ISO/IECTR 13335-5:2001 Management guid

6、ance on network security 网络安全管理指南。这部分提供了关于网络和通信安全管理的指导性内容。该指南为识别和分析建立网络安全需求时需要考虑的通信相关因素提供支持，也包括对可能的安全措施方面的简要介绍。8/20/20229ISO 13335之现状改版后，被称作“信息和通信技术平安管理 Management of Information and Communications Technology Security，MICTS ，包括2个局部ISO/IEC 13335-1: 2004，?信息技术 平安技术 信息和通信技术平安管理 (MICTS) 第1 局部：信息和通信技术平安管

7、理的概念和模型?，已发布，取代原来的ISO/IEC TR 13335-1和2局部。ISO/IEC 13335-2 ?信息技术 平安技术 信息和通信技术平安管理 第2 局部：信息平安风险管理?，已发布，但编号变更为ISO/IEC 27005:2021发布，取代原来的ISO/IEC TR 13335-3和4局部8/20/202210ISO 27000系列开展历史标准现状标准介绍8/20/202211BS7799标准最早是由英国工贸部在1992年立项、英国标准化协会BSI组织的相关专家共同开发制定的针对信息平安管理的标准。1995年，BS7799标准的第一个版本正式发布。BS7799BS7799-1

8、BS7799-21997年，BS7799标准第一次改版，并分成指南和标准两局部。在1998年、1999年第两次修订之后出版BS7799-1：1998和BS7799-2：1999。ISO17799ISO270012000年4月，将BS7799-1：1999提交ISO，同年10月获得通过成为ISO/IEC17799：2000版。2005年对ISO/IEC17799：2000版进行了修订，于6月15日发布了ISO/IEC17799：2005版。1999年修订BS7799-2：1999，同年BS7799-2：2000发布。2002年对BS7799-2：2000进行了修订发布了BS7799-2：2002

9、版。ISO于2005年10月15采用BS7799-2：2002版本成为国际标准-ISO/IEC27001：2005版。ISO27001/ISO27002 开展历史ISO270022007年变更ISO/IEC17799：2005的编号为ISO/IEC27002：2005注：内容未作变更8/20/202212ISO 27000系列标准介绍(1) ISO 27000Information security management systems - Overview and vocabulary信息平安管理概述与术语，主要用于阐述ISMS的根本原理和词汇，目前是FCD (final committee

10、 draft)版本，预计2021年发布。(2) ISO 27001Information security management systems-Requirements信息平安管理体系要求，主要提出ISMS的根本要求，于2005年10月15日正式发布。(3) ISO 27002Code of practice for information security management信息平安管理实施细那么，主要阐述ISMS的实施细那么，于2005年6月15日正式发布。(4) ISO 27003Information security management systems implementati

11、on guidance信息平安管理系统实施指南，目前还在开发中。(5) ISO 27004Information security management measurements信息平安管理度量，阐述信息平安管理的过程度量和控制度量，目前是FCD (final committee draft)版本。(6) ISO 27005Information security risk management信息平安风险管理，主要阐述风险评估和风险处置，参考了BS 7799-3:2006和ISO/IEC TR 13335-3:1998，于2021年6月发布。(7) ISO 27006Requirements

12、 for bodies providing audit and certification of information security management systems信息平安管理认可认证，于2007年2月发布。8/20/202213ISO/IEC 27001和27002ISO/IEC27001：2005明确提出信息平安管理体系及其平安控制要求，是27000系列标准的总纲ISO/IEC 27002：2005对应平安控制要求给出通用的控制措施，为27001中规定的平安控制要求的具体实施提供指南 ISO/IEC27001和27002已被我国所采纳引进，成为我国编号分别为GB/T 22080

13、-2021、 GB/T 22081-2021的国家标准8/20/202214ISO/IEC 27001该标准规定了一个组织建立、实施、运行、监视、评审、保持、改进信息平安管理体系的要求；它基于风险管理的思想，旨在通过持续改进的过程PDCA模型使组织到达有效的信息平安。该标准使用了和ISO 9001、ISO 14001相关的管理体系过程模型，是一个用于认证和审核的标准。该标准与ISO/IEC 27002共同使用，一个组织在按照该标准实施ISMS的过程中，应首先选择ISO/IEC 27002中推荐的控制措施。8/20/202215ISO/IEC 27002倾向于作为参考文档使用，是实施ISO/IE

14、C 27001的支撑标准包含了11个控制类， 39项控制目标，133项控制措施聚集了信息平安的最好的实际经验不可以用作评估和认证8/20/202216信息平安管理模型PDCAPlan筹划、Do执行、Check检查、Action措施持续改进管理模式的管理思想 8/20/20221711个控制类1信息平安方针Security Policy2信息平安组织Organization of Information Security3资产管理Asset Management4人力资源平安Human resources security5物理和环境平安Physical and environmental se

15、curity6通信和操作管理Communications and operations management7访问控制Access control8系统采购、开发和维护Information systems acquisition, development and maintenance9信息平安事故管理Information security incident management10业务连续性管理Business continuity management11符合性Compliance8/20/202218NIST SP 800系列 美国国家标准技术协会National Institute

16、 of Standards and Technology，NIST发布的Special Publication 800文档是一系列针对信息平安技术和管理领域的实践参考指南，其中有多篇是有关信息平安管理的，包括： SP 800-12：计算机平安介绍An Introduction to Computer Security: The NIST Handbook SP 800-30：IT系统风险管理指南Risk Management Guide for Information Technology Systems SP 800-26：IT系统平安自我评估指南Security Self-Assessme

17、nt Guide for Information Technology Systems SP 800-37：联邦信息系统认证认可指南Guide for the Security Certification and Accreditation of Federal Information SystemsSP 800-53：联邦信息系统推荐平安控制Recommended Security Controls for Federal Information SystemsSP 800-53A：联邦信息系统中平安控制的评估指南Guide for Assessing the Security Contro

18、ls in Federal Information Systems这些文件可以作为实施ISMS 过程中一些关键任务的指导和参照例如风险评估、应急方案等，是对27000系列标准很好的补充和细化。8/20/202219第三章信息平安管理标准及开展 信息平安标准与法律法规 存在的问题8/20/202220信息平安标准信息平安标准从构成上讲可以分为根底性标准、物理平安标准、系统与网络标准、应用与工程标准以及管理标准，其中：根底性标准：是整个信息平安标准体系的根底，为其他技术标准提供支撑，其下又可分为信息平安术语、信息平安体系结构、信息平安框架、信息平安模型、平安技术等；相应的标准有TCP/IP平安体系

19、结构、开放系统平安框架、网络平安模型、分组密码算法、IT入侵检测框架等。物理平安标准：提供物理平安方面的标准和指导，其下又可分为物理环境和保障、平安产品、介质平安等；相应的标准有计算机场地通用标准、包过滤防火墙、媒体平安等。系统与网络标准：可分为软/硬件应用平台平安、网络平安、平安协议、平安信息交换语法规那么、业务应用平台等；相应的标准有IT网络平安、平安数据交换协议、密钥管理协议等。应用与工程标准：可分为平安工程和效劳、人员资质、行业应用；相应的标准有系统平安工程能力成熟模型、金融的交易和业务平安等。管理标准：包括信息技术平安管理和信息平安管理等的根底标准之外，还可包括认证和评估的标准，如信息技术平安性评估准那么、应用与工程标准等 8/20/202221信息平安法律法规美国已确立的局部信息平安法律法规：信息自由法、个人隐私法、反腐败行径法、伪造访问设备和计算机欺骗滥用法、电子通信隐私法、计算机欺骗滥用法、计算机平安法和电讯法等 我国已确立的局部信息平安法律法规：?互联网信息效劳管理方法? 、?维护互联网平安的决定? 、?中华人民共和国计算机信息系统平安保护条例? 、?计算机病毒防治管理方法? 、?中华人民共和国保守国家秘密法? 8/20/202222第三章信息平安管理标准及开展 信息平安标准与法律法规 存在的问题8/20/202223存在的问题