信息安全标准(银监会+普华永道)

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

中国银行业监督管理委员会培训信息安全标准2008年4月3日季瑞华合伙人系统和流程管理©2008普华永道版权所有2008年4月第2页提纲1.信息安全标准概述2.国际标准–ISO/IEC系列信息安全标准3.国际标准–COBIT4.国内标准-等级保护5.安全标准的总结6.问题与回答©2008普华永道版权所有2008年4月第3页提纲1.信息安全标准概述2.国际标准–ISO/IEC系列信息安全标准3.国际标准–COBIT4.国内标准-等级保护5.安全标准的总结6.问题与回答©2008普华永道版权所有2008年4月第4页信息安全标准概述信息安全的重要性得到广泛的关注。与此同时,国际和国内的各种官方和科研机构都发布了大量的安全标准。这些标准都是为实现安全目标而服务,并从不同的角度对如何保障组织的信息安全提供了指导。©2008普华永道版权所有2008年4月第5页信息安全标准的演进NSEWNSEWMonday,March31,2008Page1信息安全国际国内准则重要里程碑1995200819961997199819992000200120022003200420052006200720081996COBIT第1版1998COBIT第2版&ISO13569更新2000COBIT第3版2007COBIT4.12007信息安全等级管理办法Today1995BS77992000ISO177992005ISO27001/0021996ISO13569&ISO13335第1部分1999ISO154082001ISO13335第5部分2005COBIT4.0&ISO17799更新2003关于信息安全等级保护工作实施意见2003GAISP3.01999SSE-CMM1.0&ITILSecurityMangement2002SSE-CMM3.02003StandardofGoodPracticeforInformationSecurityV32006ISO13335第1&2部分更新2004ISO15408更新1995NIST800-121996NIST800-141998NIST1.82005NIST800-532001CriteriaVersion2.0©2008普华永道版权所有2008年4月第6页主要的信息安全标准-国际标准发布的机构安全标准1ISO(国际标准组织)ISO17799/ISO27001/ISO27002ISO/IEC15408ISO/IEC13335ISO/TR135692ISACA(信息系统审计与控制学会)COBIT4.13ISSEA(国际系统安全工程协会)SSE-CMMSystemsSecurityEngineering-CapabilityMaturityModel3.04ISSA(信息系统安全协会)GAISPVersion3.05ISF(信息安全论坛)TheStandardofGoodPracticeforInformationSecurity6IETF(互联网工程任务小组)各种RFC(RequestforComments)©2008普华永道版权所有2008年4月第7页主要的信息安全标准-国际标准(续)发布的机构安全标准7NIST(国家标准和技术研究所)NIST800系列8DOD(美国国防部)TCSEC(可信计算机系统评测标准)-彩虹系列9CarnegieMellonSoftwareEngineeringInstitute(SEI)OperationallyCriticalThreat,Asset,andVulnerabilityEvaluation(OCTAVE)CriteriaVersion2.010OECD(经济与贸易发展组织)GuidelinesfortheSecurityofInformationSystemsandNetworksandAssociatedImplementationPlan11TheOpenGroupManager’sGuidetoInformationSecurity12ITILSecuritymanagement除了上述标准,世界各国的官方机构和行业监管机构还有许多信息安全方面的标准、指引和建议的操作实践。©2008普华永道版权所有2008年4月第8页主要的信息安全标准-国内标准发布的机构安全标准1全国信息安全标准化技术委员会等级保护系列标准•信息安全技术信息系统安全等级保护基本要求•信息安全技术信息系统安全等级保护定级指南•信息安全技术信息系统安全等级保护实施指南其他信息安全标准-截至2007年底,共完成了国家标准59项,还有56项国家标准在研制中。2公安部、安全部、国家保密局、国家密码管理委员会等部门一系列的信息安全方面的政策法规如:•计算机信息网络国际联网安全保护管理办法•互联网信息服务管理办法•计算机信息系统保密管理暂行规定•计算机软件保护条例•商用密码管理条例,等。©2008普华永道版权所有2008年4月第9页在下面的课程中,我们会主要介绍以下标准:1.ISO系列安全标准,包括-ISO17799/ISO27001/ISO27002-ISO/IEC15408-ISO/IEC13335-ISO/TR135692.ISACA的COBIT4.13.全国信息安全标准化技术委员会的等级保护系列标准©2008普华永道版权所有2008年4月第10页提纲1.信息安全标准概述2.国际标准–ISO/IEC系列信息安全标准3.国际标准–COBIT4.国内标准-等级保护5.安全标准的比较6.问题与回答©2008普华永道版权所有2008年4月第11页国际标准化组织简介•国际标准化组织(InternationalOrganizationforStandardization)是由多国联合组成的非政府性国际标准化机构。到目前为止,ISO有正式成员国120多个,中国是其中之一。•国际标准化组织1946年成立于瑞士日内瓦,负责制定在世界范围内通用的国际标准;•ISO技术工作是高度分散的,分别由2700多个技术委员会(TC)、分技术委员会(SC)和工作组(WG)承担。•ISO技术工作的成果是正式出版的国际标准,即ISO标准。•ISO在信息安全方面的标准主要包括:•ISO17799/ISO27001/ISO27002•ISO/IEC15408•ISO/IEC13335•ISO/TR13569©2008普华永道版权所有2008年4月第12页关于ISO/IEC17799/27001/27002•ISO/IEC17799是由国际标准化组织(ISO)与IEC(国际电工委员会)共同成立的联合技术委员会ISO/IECJTC1,以英国标准BS7799为蓝本而制定的一套全面和复杂的信息安全管理标准。•ISO/IEC17799于2000年正式颁布。ISO/IEC17799标准由两部分构成:•第一部分是信息安全管理体系的实施指南,相当于BS7799-1;•第二部分是信息安全管理体系规范,相当于BS7799-2。ISO/IEC17799标准的内容涉及10个领域,36个管理目标和127个控制措施。•2005年ISO17799更名为ISO27001和ISO27002,分别为:•ISO/IEC27001:2005Informationtechnology--Securitytechniques--Informationsecuritymanagementsystems–Requirements•ISO/IEC27002:2005Informationtechnology--Securitytechniques--Codeofpracticeforinformationsecuritymanagement•2007年ISO又颁布了Informationtechnology--Securitytechniques--Requirementsforbodiesprovidingauditandcertificationofinformationsecuritymanagementsystems.©2008普华永道版权所有2008年4月第13页ISO/IEC17799模型ISO/IEC17799标准的内容涉及10个领域,36个控制目标和127个控制措施。©2008普华永道版权所有2008年4月第14页ISO17799模型SecurityPolicyAssetClassificationAndControlSecurityOrganization纪录和沟通信息系统政策和法规的审核分配职责和分工,第3方授权,风险/控制的外包资产的保存,对于敏感/商业风险的区分©2008普华永道版权所有2008年4月第15页ISO17799模型PersonalSecurityComm/OpsManagementPhysicalandEnvironmentSecurity员工聘请,知识培训,事故报告等物理安全参数,设备保护,桌面及电脑的重要文件的保护事故流程,职责分离,系统规划,电子邮件控制©2008普华永道版权所有2008年4月第16页ISO17799模型AccessControlBusinessContinuityPlanningSystemDevelopmentandMaintenance权限管理:包括应用系统,操作系统,网络变更控制,环境划分,安全设备商业可持续性计划及其框架,测试计划以及计划的维护和更新Compliance版权控制,记录和信息的保存,数据保护,公司制度的服从©2008普华永道版权所有2008年4月第17页ISO/IEC27001/27002:2005的內容总共分成11个领域、39个控制目标、133个控制措施。11个领域包括A.1SecurityPolicyA.2organizationofinformationsecurityA.3AssetmanagementA.4HumanresourcessecurityA.5PhysicalandenvironmentalsecurityA.6CommunicationsandoperationsmanagementA.7AccesscontrolA.8Informationsystemsacquisition,developmentandmaintenanceA.8InformationsecurityincidentmanagementA.10BusinesscontinuitymanagementA.11Compliance©2008普华永道版权所有2008年4月第18页关于ISO/IEC1540890年代开始,由于Internet的日益普及,信息安全领域呼吁修改桔皮书,以解决商用信息系统安全问题。1991年欧盟(EuropeanCommission)颁布了ITSEC(InformationTechnologySecurityEvaluationCriteria,信息技术安全评估准则)。在此基础上,美国、加拿大、英国、法国等7国组织联合研制了“信息技术评估安全公共准则”(CC:CommonCriteria)。1999年6月ISO通过了ISO/IEC15408安全评估准则(ISO/IEC15408:1999SecurityTechniques—EvaluationCriteriaforITSecurity)。目前的最新版本于2005年发布。ISO/IEC15408是基于多个标准而产生的,它的演进过程如下图所示:©2008普华永道版权所有2008年4月第19页ISO/IEC15408的内容ISO/IEC15408由以下三部分组成:第一部分:介绍和一般模型第二部分:安全功能需求第三部分:安全认证需求ISO/IEC15408准则比以往的其他信息技术安全评估标准更加规范,采用以下方式定义:类别(CLASS);认证族(ASSURANCEFAMILY);认证部件(ASSURANCECOMPONENT);认证元素(ASSURANCEELEMENT)。其中类别中有若干族,族中有若干部件,部件中有若干元素。©2008普华

1 / 58
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功