信息安全标准介绍-PPT精选文档

•PPT名称：32pt黑体,白色•单位名称：如售前方案处等24pt黑体,绿色©2010联想网御信息安全相关标准介绍安全服务部袁曙光联想网御科技（北京）有限公司•标题名称：28pt黑体,深蓝色•文本内容：最大28pt黑体,黑色目录信息安全标准概述等级保护标准联想网御信息安全ISO27000系列标准ITIL与ISO20000企业内控相关标准•标题名称：28pt黑体,深蓝色•文本内容：最大28pt黑体,黑色什么是标准标准是对重复性事物和概念所作的统一规定。它以科学、技术和实践经验的综合成果为基础，经有关方面协商一致，由主管机构批准，以特定形式发布，作为共同遵守的准则和依据。“没有规矩，不成方圆”•标题名称：28pt黑体,深蓝色•文本内容：最大28pt黑体,黑色主要的信息安全标准－国际标准发布的机构安全标准1ISO（国际标准组织）ISO17799/ISO27001/ISO27002ISO/IEC15408ISO/IEC13335ISO/TR135692ISACA（信息系统审计与控制学会）COBIT4.13ISSEA（国际系统安全工程协会）SSE-CMMSystemsSecurityEngineering-CapabilityMaturityModel3.04ISSA（信息系统安全协会）GAISPVersion3.05ISF(信息安全论坛）TheStandardofGoodPracticeforInformationSecurity6IETF（互联网工程任务小组）各种RFC（RequestforComments）•标题名称：28pt黑体,深蓝色•文本内容：最大28pt黑体,黑色主要的信息安全标准－国际标准(续）发布的机构安全标准7NIST（国家标准和技术研究所）NIST800系列8DOD(美国国防部)TCSEC（可信计算机系统评测标准）－彩虹系列9CarnegieMellonSoftwareEngineeringInstitute(SEI)OperationallyCriticalThreat,Asset,andVulnerabilityEvaluation(OCTAVE)CriteriaVersion2.010OECD（经济与贸易发展组织）GuidelinesfortheSecurityofInformationSystemsandNetworksandAssociatedImplementationPlan11TheOpenGroupManager’sGuidetoInformationSecurity12ITILSecuritymanagement•除了上述标准，世界各国的官方机构和行业监管机构还有许多信息安全方面的标准、指引和建议的操作实践。•标题名称：28pt黑体,深蓝色•文本内容：最大28pt黑体,黑色主要的信息安全标准－国内标准发布的机构安全标准1全国信息安全标准化技术委员会等级保护系列标准•信息安全技术信息系统安全等级保护基本要求•信息安全技术信息系统安全等级保护定级指南•信息安全技术信息系统安全等级保护实施指南其他信息安全标准－截至2019年底，共完成了国家标准59项，还有56项国家标准在研制中。2公安部、安全部、国家保密局、国家密码管理委员会等部门一系列的信息安全方面的政策法规如：•计算机信息网络国际联网安全保护管理办法•互联网信息服务管理办法•计算机信息系统保密管理暂行规定•计算机软件保护条例•商用密码管理条例，等。•标题名称：28pt黑体,深蓝色•文本内容：最大28pt黑体,黑色第7页信息安全标准的演进NSEWNSEWMonday,March31,2008Page1信息安全国际国内准则重要里程碑1995200819961997199819992000200120022003200420052006200720081996COBIT第1版1998COBIT第2版&ISO13569更新2000COBIT第3版2007COBIT4.12007信息安全等级管理办法Today1995BS77992000ISO177992005ISO27001/0021996ISO13569&ISO13335第1部分1999ISO154082001ISO13335第5部分2005COBIT4.0&ISO17799更新2003关于信息安全等级保护工作实施意见2003GAISP3.01999SSE-CMM1.0&ITILSecurityMangement2002SSE-CMM3.02003StandardofGoodPracticeforInformationSecurityV32006ISO13335第1&2部分更新2004ISO15408更新1995NIST800-121996NIST800-141998NIST1.82005NIST800-532001CriteriaVersion2.0•标题名称：28pt黑体,深蓝色•文本内容：最大28pt黑体,黑色各个主流标准的使用位置•标题名称：28pt黑体,深蓝色•文本内容：最大28pt黑体,黑色目录信息安全标准概述等级保护标准联想网御信息安全ISO27000系列标准ITIL与ISO20000企业内控相关标准•标题名称：28pt黑体,深蓝色•文本内容：最大28pt黑体,黑色等级保护相关法规1、1994年《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）2、2019年《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2019]27号）3、《关于信息安全等级保护工作的实施意见》（公通字[2019]66号）4、《信息安全等级保护管理办法》（公通字[2019]43号5、《关于开展全国重要信息系统安全保护等级定级工作的通知》（公信安[2019]861号）6、《国务院办公厅关于印发政府信息系统安全检查办法的通知》（国办发[2009]28号）7、发改委、公安部、国家保密局会签文件《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2019]2071号）8、《信息安全等级保护备案实施细则》（公信安[2019]1360号9、《公安机关信息安全等级保护检查工作规范（试行）》（公信安[2019]736号）10、《关于开展信息安全等级保护安全建设整改工作的指导意见》(2009年10月)•标题名称：28pt黑体,深蓝色•文本内容：最大28pt黑体,黑色重要法规梳理27号文：明确指出“实行信息安全等级保护”，这是我国第一个信息安全保障工作的纲领性文件。66号文：等级保护是今后国家信息安全的基本制度也是根本方法、等级保护制度的重要意义、原则、基本内容、工作职责分工、工作要求和实施计划。43号文：明确五个安全等级，确立了等级保护主要内容是定级、备案、系统建设整改、等级测评、监督检查。736号文：是等级保护检查工作制定的工作规范，在检查依据、内容、程序、形式、时限要求等方面了详细规定。2009年10月发布《关于开展信息安全等级保护安全建设整改工作的指导意见》，是信息系统定级备案工作完成后，开展信息安全等级保护后续工作的指导性文件。•标题名称：28pt黑体,深蓝色•文本内容：最大28pt黑体,黑色类别要求公安机关监督、检查、指导。国家保密工作部门保密工作的监督、检查、指导。国家密码管理部门密码工作的监督、检查、指导。工信部信息安全协调司部门间的协调其他职能部门依据国际法律法规的规定《信息安全等级保护管理办法》（公通字【2019】43号），明确了公安、保密、密码、信息化部门以及其他部门的职责：我国信息安全等级保护职责分工•标题名称：28pt黑体,深蓝色•文本内容：最大28pt黑体,黑色等级保护职责分工原则谁主管、谁负责谁运营、谁负责谁建设、谁负责•标题名称：28pt黑体,深蓝色•文本内容：最大28pt黑体,黑色等级保护标准体系—基础类标准《计算机信息系统安全保护等级划分准则》（GB17859-2019）《信息系统安全等级保护基本要求》（GB/T22239-2019）•标题名称：28pt黑体,深蓝色•文本内容：最大28pt黑体,黑色等级保护标准体系—应用类标准信息系统定级《信息系统安全保护等级定级指南》（GB/T22240-2019）等级保护实施《信息系统安全等级保护实施指南》（报批稿）信息系统安全建设《信息系统通用安全技术要求》（GB/T20271-2019）《信息系统等级保护安全设计技术要求》（报批稿）《信息系统安全管理要求》（GB/T20269-2019）《信息系统安全工程管理要求》（GB/T20282-2019）《信息系统物理安全技术要求》（GB/T21052-2019）《网络基础安全技术要求》（GB/T20270-2019）《信息系统安全等级保护体系框架》（GA/T708-2019）《信息系统安全等级保护基本模型》（GA/T709-2019）《信息系统安全等级保护基本配置》（GA/T710-2019）等级测评《信息系统安全等级保护测评要求》（报批稿）《信息系统安全等级保护测评过程指南》（报批稿）《信息系统安全管理测评》（GA/T713-2019）•标题名称：28pt黑体,深蓝色•文本内容：最大28pt黑体,黑色等级保护标准体系—产品类标准操作系统《操作系统安全技术要求》《操作系统安全评估准则》数据库《数据库管理系统安全技术要求》《数据库管理系统安全评估准则》网络《网络端设备隔离部件技术要求》《网络端设备隔离部件测试评价方法》……PKI《公钥基础设施安全技术要求》《PKI系统安全等级保护技术要求》网关《网关安全技术要求》服务器《服务器安全技术要求》入侵检测《入侵检测系统技术要求和检测方法》《计算机网络入侵分级要求》防火墙《防火墙安全技术要求》《防火墙技术测评方法》……路由器《路由器安全技术要求》《路由器安全评估准则》《路由器安全测评要求》交换机《网络交换机安全技术要求》《交换机安全测评要求》其他产品《终端计算机系统安全等级技术要求》《终端计算机系统测评方法》《审计产品技术要求和测评方法》……•标题名称：28pt黑体,深蓝色•文本内容：最大28pt黑体,黑色等级保护标准体系—其他类标准风险评估《信息安全风险评估规范》（GB/T20984-2019）事件管理《信息安全事件管理指南》（GB/Z20985-2019）《信息安全事件分类分级指南》（GB/Z20986-2019）《信息系统灾难恢复规范》（GB/T20988-2019）•标题名称：28pt黑体,深蓝色•文本内容：最大28pt黑体,黑色等级保护标准关系信息系统安全等级保护基本要求GB/T22239-2019计算机信息系统安全保护等级划分准则（GB17859）信息系统通用安全技术要求信息系统物理安全技术要求技术类其他技术类标准信息系统安全管理要求信息系统安全工程管理要求其他管理类标准信息系统安全等级保护定级指南(GB/T22240-2019)信息系统安全等级保护基本要求的行业细则信息系统安全等级保护测评过程指南信息系统安全等级保护测评要求信息系统等级保护安全设计技术要求管理类产品类数据库管理系统安全技术要求其他产品类标准信息系统安全等级保护行业定级细则操作系统安全技术要求信息安全等级保护安全建设网络基础安全技术要求网络和终端设备隔离部件技术要求安全等级基线要求状况分析方法指导信息系统安全等级保护实施指南•标题名称：28pt黑体,深蓝色•文本内容：最大28pt黑体,黑色•《关于开展信息安全等级保护安全建设整改工作的指导意见》•《计算机信息系统安全保护等级划分准则》（GB17859-2019）•《信息系统安全等级保护基本要求》（GB/T22239-2019）•《信息系统安全等级保护实施指南》（报批稿）主要政策标准•标题名称：28pt黑体,深蓝色•文本内容：最大28pt黑体,黑色指导意见《关于开展信息安全等级保护安全建设整改工作的指导意见》在全国完成信息系统安全保护定级工作后，公安部拟下发通知部署安全保护等级为第三级以上的信息系统（以下简称“重要信息系统”）等级保护安全