风险评估的国际动态(ppt 50)

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

精品资料网汇报要点•信息安全管理成为信息安全保障的热点•泰德带来的启示•风险评估和等级保护的关系精品资料网•ITIS$!•信息就是财富,安全才有价值。•CI:CriticalInfrastructure•CIP:CriticalInfrastructureProtection•CII:CriticalInformationInfrastructure.•CIIP:CriticalInformationInfrastructureProtection•技术提供安全保障功能,但不是安全保障的全部•提高人的安全意识,技术、管理两手抓成为国际共识。精品资料网标准化组织和行业团体抓紧制定管理标准•ISO–13335正在重组修改–正在修订17799–BS7799-2成为国际标准正在讨论精品资料网•NIST在联邦IT系统认证认可的名义下提出大量规范•SP800-18《IT系统安全计划开发指南》(1998年12月)•SP800-26《IT系统安全自评估指南》(2001年11月)•SP800-30《IT系统风险管理指南》(2002年1月发布,2004年1月21日修订)•SP800-37《联邦IT系统认证认可指南》(2002年9月,2003年7月,2004年5月最后文本)•FIPS199《联邦信息和信息系统的安全分类标准》(草案第一版)(2003年12月)•SP800-53《联邦信息系统安全控制》(2003年8月31日发布草案)•SP800-53A《联邦信息系统安全控制有效性检验技术和流程》(计划2003至2004年出版)•SP800-60《信息和信息类型与安全目标及风险级别对应指南》(2004年3月草案2.0版)—•Categorizing(enterpriseinformationandinformationsystems)•Selecting(appropriatesecuritycontrols)•Refining(securitycontrolsthroughariskassessment)•Documenting(securitycontrolsinasystemsecurityplan)•Implementing(securitycontrolsinnewandlegacysystems)•Assessing(theeffectivenessofsecuritycontrols)•Determining(enterprise-levelriskandriskacceptability)•Authorizing(informationsystemsforprocessing)•Monitoring(securitycontrolsonanongoingbasis)•精品资料网•国际信息系统审计与控制协会(ISACA)提出:1.ISRiskAssessment,effective1July20022.DigitalSignatures,effective1July20023.IntrusionDetection,effective1August20034.VirusesandotherMaliciousLogic,effective1August20035.ControlRiskSelf-assessment,effective1August20036.Firewalls,effective1August20037.IrregularitiesandIllegalActsEffective1November20038.SecuurityAssessment—PenetrationTestingandVulnerabilityAnalysis,effective1September2004精品资料网•提出《信息和相关技术的控制目标》(CoBIT)–CoBIT开发和推广了第三版,–CoBIT起源于组织为达到业务目标所需的信息这个前提–CoBIT鼓励以业务流程为中心,实行业务流程负责制–CoBIT还考虑到组织对信用、质量和安全的需要–它提供了组织用于定义其对IT业务要求的几条信息准则:效率、效果、可用性、完整性、保密性、可靠性和一致性。精品资料网•CoBIT进一步把IT分成4个领域–计划和组织,–获取和运用,–交付和支持,–监控和评价。•共计34个IT业务流程。其中3个与信息安全直接密切相关的业务流程是:–计划和组织流程9——评估风险:–传递和支持流程4——确保连贯的服务;–传递和支持流程5——保证系统安全。精品资料网•CoBIT为正在寻求控制实施最佳实践的管理者和IT实施人员提供了超过300个详细的控制目标,以及建立在这些目标上的广泛的行动指南。后者是用来评估和审计对IT流程控制和治理的程度。手册(2004)精品资料网•PartIIAnalysisofMethodsandModelsforCIIAssessment–1SectorAnalysis–2InterdependencyAnalysis–3RiskAnalysis–4ThreatAssessment–5VulnerabilityAssessment–6ImpactAssessment–7SystemAnalysis年版•TechnicalIT-SecurityModels•RiskAnalysisMethodology(forITSystems)•InfrastructureRiskAnalysisModel(IRAM)•Leontief-BasedModelofRiskinComplexInterconnectedInfrastructures精品资料网•SectorandLayerModel,•SectorAnalysis,•ProcessandTechnologyAnalysis,•DimensionalInterdependencyAnalysis.标准体系(ISMS)BS7799Part2CorporateGovernancePLANDOACTCHECK风险管理处理系统控制内部审计功能ISO/IEC17799(SHALLstatements)Governanceprinciples(riskassessment,selectionofcontrols)GMITS/MICTSISO/IEC18044IncidenthandlingPD3000seriesonriskandselectionofcontrolsISMSControlCataloguesISO/IEC17799Managementsystemcertificationandaccreditationstandards(auditingprocess,proceduresetc)ISOGuide62EA7/03EN45013EN45012ISO19011ISO9001Nationalschemesandstandards精品资料网ISMSStandardsBS7799-2:2002PLANDOACTCHECKPLANDOACTCHECKPDCAModelDesignISMSImplement&useISMSMonitor&reviewISMSMaintain&improveISMSRiskbasedcontinualimprovementframeworkforinformationsecuritymanagement新老版本对比SecuritypolicySecurityorganisationAssetclassification&controlPersonnelsecurityPhysical&environmentalsecurityCommunications&operationsmanagementAccesscontrolSystemsdevelopment&maintenanceBusinesscontinuityCompliance2000versionSecuritypolicyOrganisinginformationsecurityAssetmanagementHumanresourcessecurityPhysical&environmentalsecurityCommunications&operationsmanagementAccesscontrolInformationsystemsacquisition,developmentandmaintenanceBusinesscontinuitymanagementComplianceInformationsecurityincidentmanagementnewversionSecuritypolicyOrganisinginformationsecurityAssetmanagementHumanresourcessecurityPhysical&environmentalsecurityCommunications&operationsmanagementAccesscontrolInformationsystemsacquisition,developmentandmaintenanceBusinesscontinuitymanagementCo

1 / 50
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功