单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,精品文档,国内外信息安全标准与模型,精品文档,1,国内外信息安全标准与模型精品文档1,信息安全标准概述,国际标准,ISO/IEC,系列信息安全标准,国际标准,COBIT,国内标准 等级保护,安全标准的总结,问题与回答,提纲,精品文档,2,信息安全标准概述提纲精品文档2,信息安全标准概述,信息安全的重要性得到广泛的关注。,与此同时,国际和国内的各种官方和科研机构都发布了大量的安全标准。,这些标准都是为实现安全目标而服务,并从不同的角度对如何保障组织的信息安全提供了指导。,第,3,页,精品文档,3,信息安全标准概述信息安全的重要性得到广泛的关注。第 3 页精,信息安全标准的演进,第,4,页,精品文档,4,信息安全标准的演进第 4 页精品文档4,主要的信息安全标准国际标准,发布的机构,安全标准,1,ISO,(国际标准组织),ISO17799/ISO27001/ISO27002,ISO/IEC 15408,ISO/IEC 13335,ISO/TR 13569,2,ISACA,(,信息系统审计与控制学会),COBIT 4.1,3,ISSEA,(国际系统安全工程协会),SSE-CMM Systems Security Engineering-Capability Maturity Model 3.0,4,ISSA,(信息系统安全协会),GAISP Version 3.0,5,ISF(,信息安全论坛),The Standard of Good Practice for,Information Security,6,IETF,(互联网工程任务小组),各种,RFC,(,Request for Comments,),5,主要的信息安全标准国际标准发布的机构安全标准1ISO(国际,主要的信息安全标准国际标准,(,续),发布的机构,安全标准,7,NIST,(国家标准和技术研究所),NIST 800,系列,8,DOD(,美国国防部,),TCSEC,(可信计算机系统评测标准)彩虹系列,9,Carnegie Mellon Software Engineering Institute(SEI),Operationally Critical Threat,Asset,and Vulnerability Evaluation(OCTAVE)Criteria Version 2.0,10,OECD,(经济与贸易发展组织),Guidelines for the Security of Information,Systems and Networks and Associated,Implementation Plan,11,The Open Group,Managers Guide to Information Security,12,ITIL,Security management,除了上述标准,世界各国的官方机构和行业监管机构还有许多信息安全方面的标准、指引和建议的操作实践。,第,6,页,第,6,页,主要的信息安全标准国际标准(续)发布的机构安全标准7NIS,提纲,信息安全标准概述,国际标准,ISO/IEC,系列信息安全标准,国际标准,COBIT,国内标准 等级保护,安全标准的比较,问题与回答,第,7,页,精品文档,7,提纲信息安全标准概述第 7 页精品文档7,主要的信息安全标准国内标准,发布的机构,安全标准,1,全国信息安全标准化技术委员会,等级保护系列标准,信息安全技术 信息系统安全等级保护基本要求,信息安全技术 信息系统安全等级保护定级指南,信息安全技术 信息系统安全等级保护实施指南,其他信息安全标准 截至,2007,年底,共,完成了国家标准,59,项,还有,56,项国家标准在研制中。,2,公安部、安全部、国家保密局、国家密码管理委员会等部门,一系列的信息安全方面的政策法规如:,计算机信息网络国际联网安全保护管理办法,互联网信息服务管理办法,计算机信息系统保密管理暂行规定,计算机软件保护条例,商用密码管理条例,等。,第,8,页,第,8,页,主要的信息安全标准国内标准发布的机构安全标准1全国信息安全,在下面的课程中,我们会主要介绍以下标准:,ISO,系列安全标准,包括,ISO17799/ISO27001/ISO27002,ISO/IEC 15408,ISO/IEC 13335,ISO/TR 13569,ISACA,的,COBIT 4.1,全国信息安全标准化技术委员会的等级保护系列标准,第,9,页,课程主要内容,精品文档,9,在下面的课程中,我们会主要介绍以下标准:ISO系列安全标准,,目录,信息安全标准概述,国际标准,ISO/IEC,系列信息安全标准,国际标准,COBIT,国内标准 等级保护,安全标准的总结,问题与回答,精品文档,10,目录信息安全标准概述精品文档10,国际标准化组织简介,国际标准化组织,(International Organization for Standardization),是由多国联合组成的非政府性国际标准化机构。到目前为止,,ISO,有正式成员国,120,多,个,。,国际标准化组织,1946,年成立于瑞士日内瓦,负责制定在世界范围内通用的国际标准;,ISO,技术工作是高度分散的,分别由,2700,多个技术委员会,(TC),、分技术委员会,(SC),和工作组,(WG),承担。,ISO,技术工作的成果是正式出版的国际标准,即,ISO,标准。,ISO,在信息安全方面的标准主要包括:,ISO17799/ISO27001/ISO27002,ISO/IEC 15408,ISO/IEC 13335,ISO/TR 13569,第,11,页,精品文档,11,国际标准化组织简介国际标准化组织(Internationa,关于,ISO/IEC 17799/27001/27002,ISO/IEC17799,是由国际标准化组织(,ISO,)与,IEC,(国际电工委员会)共同成立的联合技术委员会,ISO/IEC JTC 1,,以英国标准,BS7799,为蓝本而制定的一套全面和复杂的信息安全管理标准。,ISO/IEC17799,于,2000,年正式颁布。,ISO/IEC 17799,标准由两部分构成,:,第一部分是信息安全管理体系的实施指南,相当于,BS7799-1;,第二部分是信息安全管理体系规范,相当于,BS7799-2,。,ISO/IEC 17799,标准的内容涉及,10,个领域,,36,个管理目标和,127,个控制措施。,2005,年,ISO17799,更名为,ISO27001,和,ISO27002,,分别为:,ISO/IEC 27001:2005 Information technology-Security techniques-Information security management systems Requirements,ISO/IEC 27002:2005 Information technology-Security techniques-Code of practice for information security management,2007,年,ISO,又颁布了,Information technology-Security techniques-Requirements for bodies providing audit and certification of information security management systems.,第,12,页,精品文档,12,关于ISO/IEC 17799/27001/27002ISO,ISO/IEC17799,模型,ISO/IEC 17799,标准的内容涉及,10,个领域,,36,个控制目标和,127,个控制措施。,第,13,页,精品文档,13,ISO/IEC17799模型ISO/IEC 17799标准的,ISO17799,模型,Security,Policy,Asset,Classification,And Control,Security,Organization,纪录和沟通信息系统政策和法规的审核,分配职责和分工,第,3,方授权,风险,/,控制的外包,资产的保存,对于敏感,/,商业风险的区分,第,14,页,精品文档,14,ISO17799模型Security AssetSecuri,ISO17799,模型,Personal,Security,Comm/Ops,Management,Physical and,Environment,Security,员工聘请,知识培训,事故报告等,物理安全参数,设备保护,桌面及电脑的重要文件的保护,事故流程,职责分离,系统规划,电子邮件控制,第,15,页,精品文档,15,ISO17799模型PersonalComm/OpsPhys,ISO17799,模型,Access,Control,Business,Continuity,Planning,System,Development,and,Maintenance,权限管理:包括应用系统,操作系统,网络,变更控制,环境划分,安全设备,商业可持续性计划及其框架,测试计划以及计划的维护和更新,Compliance,版权控制,记录和信息的保存,数据保护,公司制度的服从,第,16,页,精品文档,16,ISO17799模型AccessBusinessSystem,ISO,/IEC,27001,/27002,:2005,的內容,总共,分成,11,个领域,、,39,个控制目标,、,133,个控制措施,。,11,个领域,包括,A.1SecurityPolicyA.2organizationofinformationsecurityA.3AssetmanagementA.4HumanresourcessecurityA.5PhysicalandenvironmentalsecurityA.6CommunicationsandoperationsmanagementA.7AccesscontrolA.8Informationsystemsacquisition,developmentandmaintenanceA.,9,InformationsecurityincidentmanagementA.10BusinesscontinuitymanagementA.11Compliance,第,17,页,精品文档,17,ISO/IEC 27001/27002:2005的內容总共,关于,ISO/IEC15408,90,年代开始,由于,Internet,的日益普及,信息安全领域呼吁修改桔皮书,以解决商用信息系统安全问题。,1991,年欧盟,(European Commission),颁布了,ITSEC(Information Technology Security Evaluation Criteria,信息技术安全评估准则,),。,在此基础上,美国、加拿大、英国、法国等,7,国组织联合研制了“信息技术评估安全公共准则”(,CC,:,Common Criteria,)。,1999,年,6,月,ISO,通过了,ISO/IEC 15408,安全评估准则(,ISO/IEC 15408:1999 Security TechniquesEvaluation Criteria for IT Security,)。目前的最新版本于,2005,年发布。,ISO/IEC 15408,是基于多个标准而产生的,它的演进过程如下图所示:,第,18,页,精品文档,18,关于ISO/IEC1540890年代开始,由于Interne,ISO/IEC 15408,的内容,ISO/IEC 15408,由以下三部分组成:,第一部分:介绍和一般模型,第二部分:安全功能需求,第三部分:安全认证需求,ISO/IEC 15408,准则比以往的其他信息技术安全