版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、国内外信息安全标准与信息安全模型,国内外信息安全标准与模型,国内外信息安全标准与信息安全模型,2,信息安全标准概述 国际标准 ISO/IEC 系列信息安全标准 国际标准 COBIT 国内标准 等级保护 安全标准的总结 问题与回答,提纲,国内外信息安全标准与信息安全模型,3,信息安全标准概述,信息安全的重要性得到广泛的关注。 与此同时,国际和国内的各种官方和科研机构都发布了大量的安全标准。 这些标准都是为实现安全目标而服务,并从不同的角度对如何保障组织的信息安全提供了指导。,第 3 页,国内外信息安全标准与信息安全模型,4,信息安全标准的演进,第 4 页,5,主要的信息安全标准国际标准,第 6
2、页,主要的信息安全标准国际标准(续),除了上述标准,世界各国的官方机构和行业监管机构还有许多信息安全方面的标准、指引和建议的操作实践。,第 6 页,国内外信息安全标准与信息安全模型,7,提纲,信息安全标准概述 国际标准 ISO/IEC 系列信息安全标准 国际标准 COBIT 国内标准 等级保护 安全标准的比较 问题与回答,第 7 页,第 8 页,主要的信息安全标准国内标准,第 8 页,国内外信息安全标准与信息安全模型,9,在下面的课程中,我们会主要介绍以下标准:,ISO系列安全标准,包括 ISO17799/ISO27001/ISO27002 ISO/IEC 15408 ISO/IEC 1333
3、5 ISO/TR 13569 ISACA的COBIT 4.1 全国信息安全标准化技术委员会的等级保护系列标准,第 9 页,课程主要内容,国内外信息安全标准与信息安全模型,10,目录,信息安全标准概述 国际标准 ISO/IEC 系列信息安全标准 国际标准 COBIT 国内标准 等级保护 安全标准的总结 问题与回答,国内外信息安全标准与信息安全模型,11,国际标准化组织简介,国际标准化组织 (International Organization for Standardization)是由多国联合组成的非政府性国际标准化机构。到目前为止,ISO有正式成员国120多个。 国际标准化组织1946年成立
4、于瑞士日内瓦,负责制定在世界范围内通用的国际标准; ISO技术工作是高度分散的,分别由2700多个技术委员会(TC)、分技术委员会(SC)和工作组(WG)承担。 ISO技术工作的成果是正式出版的国际标准,即ISO标准。 ISO在信息安全方面的标准主要包括: ISO17799/ISO27001/ISO27002 ISO/IEC 15408 ISO/IEC 13335 ISO/TR 13569,第 11 页,国内外信息安全标准与信息安全模型,12,关于ISO/IEC 17799/27001/27002,ISO/IEC17799是由国际标准化组织(ISO)与 IEC (国际电工委员会)共同成立的联合
5、技术委员会 ISO/IEC JTC 1,以英国标准 BS7799为蓝本而制定的一套全面和复杂的信息安全管理标准。 ISO/IEC17799于2000年正式颁布。ISO/IEC 17799标准由两部分构成: 第一部分是信息安全管理体系的实施指南,相当于BS7799-1; 第二部分是信息安全管理体系规范,相当于BS7799-2。 ISO/IEC 17799标准的内容涉及10个领域,36个管理目标和127个控制措施。 2005年 ISO17799更名为ISO27001和ISO27002,分别为: ISO/IEC 27001:2005 Information technology - Security
6、 techniques - Information security management systems Requirements ISO/IEC 27002:2005 Information technology - Security techniques - Code of practice for information security management 2007年 ISO又颁布了Information technology - Security techniques - Requirements for bodies providing audit and certificat
7、ion of information security management systems.,第 12 页,国内外信息安全标准与信息安全模型,13,ISO/IEC17799模型,ISO/IEC 17799标准的内容涉及10个领域,36个控制目标和127个控制措施。,第 13 页,国内外信息安全标准与信息安全模型,14,ISO17799模型,Security Policy,Asset Classification And Control,Security Organization,纪录和沟通信息系统政策和法规的审核,分配职责和分工,第3方授权,风险/控制的外包,资产的保存,对于敏感/商业风险的
8、区分,第 14 页,国内外信息安全标准与信息安全模型,15,ISO17799模型,Personal Security,Comm/Ops Management,Physical and Environment Security,员工聘请,知识培训,事故报告等,物理安全参数,设备保护,桌面及电脑的重要文件的保护,事故流程,职责分离,系统规划,电子邮件控制,第 15 页,国内外信息安全标准与信息安全模型,16,ISO17799模型,Access Control,Business Continuity Planning,System Development and Maintenance,权限管理:包
9、括应用系统,操作系统,网络,变更控制,环境划分,安全设备,商业可持续性计划及其框架,测试计划以及计划的维护和更新,Compliance,版权控制,记录和信息的保存,数据保护,公司制度的服从,第 16 页,国内外信息安全标准与信息安全模型,17,ISO/IEC 27001/27002:2005的內容,总共分成11个领域、39个控制目标、133个控制措施。 11个领域包括A.1SecurityPolicyA.2organizationofinformationsecurityA.3AssetmanagementA.4HumanresourcessecurityA.5Physicalandenvir
10、onmentalsecurityA.6CommunicationsandoperationsmanagementA.7AccesscontrolA.8Informationsystemsacquisition,developmentandmaintenanceA.9InformationsecurityincidentmanagementA.10BusinesscontinuitymanagementA.11Compliance,第 17 页,国内外信息安全标准与信息安全模型,18,关于ISO/IEC15408,90年代开始,由于Internet的日益普及,信息安全领域呼吁修改桔皮书,以解决商
11、用信息系统安全问题。 1991年欧盟(European Commission) 颁布了ITSEC (Information Technology Security Evaluation Criteria,信息技术安全评估准则)。 在此基础上,美国、加拿大、英国、法国等7国组织联合研制了“信息技术评估安全公共准则”(CC:Common Criteria)。 1999年6月ISO通过了ISO/IEC 15408 安全评估准则 (ISO/IEC 15408:1999 Security TechniquesEvaluation Criteria for IT Security)。目前的最新版本于200
12、5年发布。 ISO/IEC 15408是基于多个标准而产生的,它的演进过程如下图所示:,第 18 页,国内外信息安全标准与信息安全模型,19,ISO/IEC 15408的内容,ISO/IEC 15408由以下三部分组成: 第一部分:介绍和一般模型 第二部分:安全功能需求 第三部分:安全认证需求 ISO/IEC 15408准则比以往的其他信息技术安全评估标准更加规范,采用以下方式定义: 类别(CLASS); 认证族(ASSURANCE FAMILY); 认证部件(ASSURANCE COMPONENT); 认证元素(ASSURANCE ELEMENT)。 其中类别中有若干族,族中有若干部件,部件
13、中有若干元素。,第 19 页,国内外信息安全标准与信息安全模型,20,ISO/IEC 15408的特点,ISO/IEC 15408 信息技术安全评估准则中讨论的是TOE (target of evaluation), 即评估对象。该准则关注于评估对象的安全功能,安全功能执行的是安全策略。 ISO/IEC 15408 定义了安全属性,包括用户属性、客体属性、主体属性、和信息属性。 ISO/IEC 15408加强了完整性和可用性的防护措施,强调了抗抵赖性的安全要求。 ISO/IEC 15408 还定义了加密的要求,强调对用户的隐私保护。 ISO/IEC 15408还讨论了某些故障、错误和异常的安全
14、保护问题。,第 20 页,国内外信息安全标准与信息安全模型,21,ISO/IEC15408的类别,ISO/IEC 15408中,类别(class) 代表最概括的分类和定义方式。包括: 安全功能类别,共11个, 分别为安全审计、通信、加密支持、用户数据防护、标识与鉴别、安全管理、隐私、安全功能的防护、资源利用、对评估对象的访问、可信通路/通道。 安全认知类别,共8个,分别为配置管理、递交和操作、开发、指南文档、生存期支持、测试、脆弱性评估、认证维护。 评估认证级别类别,共7个,分别为评估功能测试、结构测试、方法测试和检查、半形式设计和测试、半形式验证设计和测试、形式验证设计和测试。 评估类别,共
15、3个,包括2个预评估类别和TOE评估(即评估对象的评估)。其中预评估类别分别为: 防护框架评估(Protection Profile evaluation,简称PP评估): 评估的一般是某类安全产品,如防火墙等,提出测评的常为是行业组织; 安全目标评估 (Security Target evaluation, 简称ST评估):评估的一般是某一类的特定产品,如某品牌的防火墙,提出测评的常为厂商。,第 21 页,国内外信息安全标准与信息安全模型,22,ISO/IEC15408的评估方法,对于信息系统和产品进行安全认证ISO/IEC15408通常采用如下方法进行评估: 分析和检查进程与过程 检查进程
16、和过程被应用的情况 分析TOE设计表示一致性 分析TOE设计表示与需求的满足性 验证 分析指南文档 分析功能测试和测试结果 独立功能测试 分析脆弱性(包括漏洞假说) 侵入测试等 (TOE是评估对象(Target of Evaluation)的缩写),第 22 页,国内外信息安全标准与信息安全模型,23,关于ISO/IEC 13335,ISO/IEC 13335 Information TechnologyGuidelines for the Management of IT Security 是一套关于信息安全管理的技术文件,共由五个部分组成,这五个组成部分分别在1996至2001年间发布。
17、第一部分:安全概念和模型 (Part 1Concepts and Models for IT Security ),发布于1996年12月15日。 第二部分:安全管理和规划 (Part 2Managing and Planning IT Security),发布于1997年12月15日。 第三部分:安全管理技术(Part 3Techniques for the Management of IT Security),发布于1998年6月15日。 第四部分:保护的选择 (Part 4Selection of Safeguards),发布于2000年3月1日。 第五部分:外部联接的防护(Part 5
18、Management Guidance on Network Security),发布于2001年1月2日。 其中第一部分分别于1997年和2004年发布了更新版本。,第 23 页,国内外信息安全标准与信息安全模型,24,关于ISO13569,ISO13569的全称为ISO/TR 13569:2005 Financial services - Information security guidelines。 它提供了对于金融服务行业机构的信息安全程序开发的指导方针。它包括了对制度,组织结构和法律法规等内容的讨论。 该标准对组织选择和实施安全控制,和金融机构用于管理信息安全风险的要素进行了阐述。
19、 ISO13569于1997年首次发布,分别于2003年和2005年更新,目前的最新版本为2005年的版本。,第 24 页,国内外信息安全标准与信息安全模型,25,ISO/IEC 13569的主要内容,ISO/IEC 13569是针对金融行业的信息安全标准,包括以下主要内容: 组织的IT安全政策 IT安全管理 风险分析和评估 安全保护的实施和选择 IT系统保护 金融服务行业专题,包括如银行卡、电子资金传输(Electronic Fund Transfer)、支票、电子商务等内容; 另外,还包括如加密、审计、事件管理等专项讨论。,第 25 页,国内外信息安全标准与信息安全模型,26,提纲,信息安
20、全标准概述 国际标准 ISO/IEC 系列信息安全标准 国际标准 COBIT 国内标准 等级保护 安全标准的比较 问题与回答,第 26 页,国内外信息安全标准与信息安全模型,27,COBIT简介,COBIT(ControlObjectivesforInformationandrelatedTechnology)是由信息系统审计与控制学会ISACA(InformationSystemsAuditandControlAssociation)在1996年所公布的控制框架; 目前已经更新至第4.1版; COBIT的主要目的是研究、发展、宣传权威的、最新的国际化的公认信息技术控制目标以供企业经理、IT专
21、业人员和审计专业人员日常使用。 COBIT框架共有34个IT的流程,分成四个领域:PO(计划与组织)、AI(获取与实施)、DS(交付与支持)、和ME(监控与评估)。,第 27 页,国内外信息安全标准与信息安全模型,28,COBIT来源,1992年:ISACF (Information System Audit and Control Foundation)发起,参阅全球不同国家、政府、标准组织的26份文件后,基于其中之18份文件,研擬COBIT,同时筹组COBIT指导委员会(Steering Committee)。 1996年:COBIT指导委员会公布COBIT第一版。 1998年:COBIT
22、指导委员会公布COBIT第二版,將第一版之32個高级控制目标(High Level Control Objectives)扩充成34个。 2000年:COBIT指导委员会公布COBIT第三版。 2005年: COBIT指导委员会公布COBIT第四版。 2007年:发布COBIT 4.1版,为目前最新版本。,第 28 页,国内外信息安全标准与信息安全模型,29,COBIT涉及领域,第 29 页,国内外信息安全标准与信息安全模型,30,COBIT的组件,实施概要,管理层指引,具体控制目标,构架 伴随高级控制目标,关键职能和目标说明 关键的成功因素,成熟的模板,审计指引,实施工具,第 30 页,国内
23、外信息安全标准与信息安全模型,31,COBIT框架的原理,控制领域 (Domains),流程 (Processes),活动 (Activities/Tasks),人 力 资 源,应 用 系 统,基 础 架 构,信 息,信息技术资源,可信赖性需求,质 量 需 求,信 息 处 理 要 求,信息技术流程,安 全 性 需 求,第 31 页,国内外信息安全标准与信息安全模型,32,COBIT框架的原理,IT流程管理各种IT资源,以产生、传递并存储可满足业务需求的各种信息。 CobiT中定义的IT资源包括如下方面: 应用系统:处理信息的自动化信息系统及相应手册程序 信息:信息系统输入、处理和输出的所有形式
24、的数据,可以被业务以任何形式使用 基础架构:保障应用系统处理信息所需的技术和设施(硬件、操作系统、数据库管理系统、网络、多媒体,以及放置上述设施所需的环境) 人员:策划、组织、采购、实施、交付、支持、监控和评价信息系统和服务所需的人员,可以是内部的也可以是外部的,第 32 页,国内外信息安全标准与信息安全模型,33,提纲,信息安全标准概述 国际标准 ISO/IEC 系列信息安全标准 国际标准 COBIT 国内标准 等级保护 安全标准的总结 问题与回答,第 33 页,国内外信息安全标准与信息安全模型,34,全国信息安全标准化技术委员会简介,中国从1984年开始就组建了数据加密技术委员会,并在19
25、97年8月,将该委员会改组为全国信息技术标准化分技术委员会,主要负责制定信息安全的国家标准。 2001年,国家标准化管理委员会批准成立全国信息安全标准化技术委员会,简称“全国安标委”。标准委员会的标号是TC260。 全国信息安全标准化技术委员会包括四个工作组: 信息安全标准体系与协调工作组 PKI和PMI工作组 信息安全评估工作组 信息安全管理工作组 截至2007年底,全国信息安全标准化技术委员会已经完成了国家标准59项,还有56项国家标准在研制中。,第 34 页,国内外信息安全标准与信息安全模型,35,等级保护是什么?,等级保护基本概念:信息系统安全等级保护是指对信息安全实行等级化保护和等级
26、化管理 根据信息系统应用业务重要程度及其实际安全需求,实行分级、分类、分阶段实施保护,保障信息安全和系统安全正常运行,维护国家利益、公共利益和社会稳定。 等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点,保障重要信息资源和重要信息系统的安全。,第 35 页,国内外信息安全标准与信息安全模型,36,等级保护法律和政策依据,中华人民共和国计算机信息系统安全保护条例第二章安全保护制度部分规定: “计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制
27、定。” 计算机信息系统安全保护等级划分准则GB17859-1999(技术法规)规定: “国家对信息系统实行五级保护。” 国家信息化领导小组关于加强信息安全保障工作的意见重点强调: “实行信息安全等级保护制度,重点保护基础信息网络和重要信息系统。”,第 36 页,国内外信息安全标准与信息安全模型,37,等级保护的分级,等级保护分为5级管理制度: 第一级,自主保护级:信息系统受到破坏后,会对公民,法人和其他组织的合法权益造成损害,但不损害国家安全,社会秩序和公共利益。 第二级,指导保护级:信息系统受到破坏后,会对公民,法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,监督保护级:信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,强制保护级:信息系统受到破坏后,会对社会秩序
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 阅读打卡社交游戏创新创业项目商业计划书
- 2025-2030年硫酸钴行业直播电商战略分析研究报告
- 2025-2030年中国定制化面部轮廓修饰术行业前景趋势预测及发展战略咨询报告
- 2025年兰州文理学院招聘考试试卷真题
- 2012年浙江省宁波市中考数学试卷【含答案】
- 总护士长的工作总结5篇
- 确认会议议程及时间安排通知函3篇范本
- 店铺转让合同模板六篇
- 2026电信咨询面试题及答案
- 2026动物解说员面试题及答案
- 教育培训机构教师劳动合同
- 2025-国家基层糖尿病防治管理指南
- 2026年顺丰速运快递员面试问题及答案详解
- 国家基层糖尿病防治管理指南(2025)解读
- 第25课《文言文二则:曹冲称象》课件 统编版语文六年级上册
- 呼吸机脱机流程规范
- 2025年新高一英语暑假专项提升(人教版)动词时空密码速通(时态语态与主谓一致考点解析)
- 牛羊屠宰车间管理制度
- 潞安化工集团招聘2025笔试题库官方
- 2025年版云南省劳动合同范本下载
- 小学长元音知识讲解
评论
0/150
提交评论