國(guó)內(nèi)外信息安全標(biāo)準(zhǔn)與信息安全模型經(jīng)典.經(jīng)典.pptx課件

1、國(guó)內(nèi)外信息安全標(biāo)準(zhǔn)與模型精品文檔1信息安全標(biāo)準(zhǔn)概述國(guó)際標(biāo)準(zhǔn) ISO/IEC 系列信息安全標(biāo)準(zhǔn)國(guó)際標(biāo)準(zhǔn) COBIT 國(guó)內(nèi)標(biāo)準(zhǔn) 等級(jí)保護(hù)安全標(biāo)準(zhǔn)的總結(jié)問(wèn)題與回答提綱精品文檔2信息安全標(biāo)準(zhǔn)概述信息安全的重要性得到廣泛的關(guān)注。與此同時(shí)，國(guó)際和國(guó)內(nèi)的各種官方和科研機(jī)構(gòu)都發(fā)布了大量的安全標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)都是為實(shí)現(xiàn)安全目標(biāo)而服務(wù)，并從不同的角度對(duì)如何保障組織的信息安全提供了指導(dǎo)。第 3 頁(yè)精品文檔3信息安全標(biāo)準(zhǔn)的演進(jìn)第 4 頁(yè)精品文檔4主要的信息安全標(biāo)準(zhǔn)國(guó)際標(biāo)準(zhǔn)發(fā)布的機(jī)構(gòu)安全標(biāo)準(zhǔn)1ISO（國(guó)際標(biāo)準(zhǔn)組織）ISO17799/ISO27001/ISO27002ISO/IEC 15408ISO/IEC 13335IS

2、O/TR 135692ISACA（信息系統(tǒng)審計(jì)與控制學(xué)會(huì)）COBIT 4.13ISSEA（國(guó)際系統(tǒng)安全工程協(xié)會(huì)）SSE-CMM Systems Security Engineering - Capability Maturity Model 3.04ISSA（信息系統(tǒng)安全協(xié)會(huì)）GAISP Version 3.05ISF (信息安全論壇）The Standard of Good Practice forInformation Security6IETF （互聯(lián)網(wǎng)工程任務(wù)小組）各種RFC （Request for Comments）5主要的信息安全標(biāo)準(zhǔn)國(guó)際標(biāo)準(zhǔn)(續(xù)）發(fā)布的機(jī)構(gòu)安全標(biāo)準(zhǔn)7NIST（國(guó)

3、家標(biāo)準(zhǔn)和技術(shù)研究所）NIST 800系列8DOD (美國(guó)國(guó)防部)TCSEC（可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)標(biāo)準(zhǔn)） 彩虹系列9Carnegie Mellon Software Engineering Institute (SEI) Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) Criteria Version 2.010OECD（經(jīng)濟(jì)與貿(mào)易發(fā)展組織）Guidelines for the Security of InformationSystems and Networks and AssociatedI

4、mplementation Plan11The Open GroupManagers Guide to Information Security12ITILSecurity management除了上述標(biāo)準(zhǔn)，世界各國(guó)的官方機(jī)構(gòu)和行業(yè)監(jiān)管機(jī)構(gòu)還有許多信息安全方面的標(biāo)準(zhǔn)、指引和建議的操作實(shí)踐。第 6 頁(yè)第 6 頁(yè)提綱信息安全標(biāo)準(zhǔn)概述國(guó)際標(biāo)準(zhǔn) ISO/IEC 系列信息安全標(biāo)準(zhǔn)國(guó)際標(biāo)準(zhǔn) COBIT 國(guó)內(nèi)標(biāo)準(zhǔn) 等級(jí)保護(hù)安全標(biāo)準(zhǔn)的比較問(wèn)題與回答第 7 頁(yè)精品文檔7主要的信息安全標(biāo)準(zhǔn)國(guó)內(nèi)標(biāo)準(zhǔn)發(fā)布的機(jī)構(gòu)安全標(biāo)準(zhǔn)1全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)等級(jí)保護(hù)系列標(biāo)準(zhǔn)信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息安全技術(shù)

5、 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南其他信息安全標(biāo)準(zhǔn) 截至2007年底，共完成了國(guó)家標(biāo)準(zhǔn)59項(xiàng)，還有56項(xiàng)國(guó)家標(biāo)準(zhǔn)在研制中。2公安部、安全部、國(guó)家保密局、國(guó)家密碼管理委員會(huì)等部門(mén) 一系列的信息安全方面的政策法規(guī)如：計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法 互聯(lián)網(wǎng)信息服務(wù)管理辦法計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定 計(jì)算機(jī)軟件保護(hù)條例商用密碼管理?xiàng)l例，等。第 8 頁(yè)第 8 頁(yè)在下面的課程中，我們會(huì)主要介紹以下標(biāo)準(zhǔn)：ISO系列安全標(biāo)準(zhǔn)，包括ISO17799/ISO27001/ISO27002ISO/IEC 15408ISO/IEC 13335ISO/TR 13569I

6、SACA的COBIT 4.1全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)的等級(jí)保護(hù)系列標(biāo)準(zhǔn)第 9 頁(yè)課程主要內(nèi)容精品文檔9目錄信息安全標(biāo)準(zhǔn)概述國(guó)際標(biāo)準(zhǔn) ISO/IEC 系列信息安全標(biāo)準(zhǔn)國(guó)際標(biāo)準(zhǔn) COBIT國(guó)內(nèi)標(biāo)準(zhǔn) 等級(jí)保護(hù)安全標(biāo)準(zhǔn)的總結(jié)問(wèn)題與回答精品文檔10國(guó)際標(biāo)準(zhǔn)化組織簡(jiǎn)介國(guó)際標(biāo)準(zhǔn)化組織 (International Organization for Standardization)是由多國(guó)聯(lián)合組成的非政府性國(guó)際標(biāo)準(zhǔn)化機(jī)構(gòu)。到目前為止，ISO有正式成員國(guó)120多個(gè)。國(guó)際標(biāo)準(zhǔn)化組織1946年成立于瑞士日內(nèi)瓦，負(fù)責(zé)制定在世界范圍內(nèi)通用的國(guó)際標(biāo)準(zhǔn)；ISO技術(shù)工作是高度分散的，分別由2700多個(gè)技術(shù)委員會(huì)(TC)、

7、分技術(shù)委員會(huì)(SC)和工作組(WG)承擔(dān)。ISO技術(shù)工作的成果是正式出版的國(guó)際標(biāo)準(zhǔn)，即ISO標(biāo)準(zhǔn)。ISO在信息安全方面的標(biāo)準(zhǔn)主要包括：ISO17799/ISO27001/ISO27002ISO/IEC 15408ISO/IEC 13335ISO/TR 13569第 11 頁(yè)精品文檔11關(guān)于ISO/IEC 17799/27001/27002ISO/IEC17799是由國(guó)際標(biāo)準(zhǔn)化組織（ISO）與 IEC （國(guó)際電工委員會(huì)）共同成立的聯(lián)合技術(shù)委員會(huì) ISO/IEC JTC 1，以英國(guó)標(biāo)準(zhǔn) BS7799為藍(lán)本而制定的一套全面和復(fù)雜的信息安全管理標(biāo)準(zhǔn)。ISO/IEC17799于2000年正式頒布。ISO

8、/IEC 17799標(biāo)準(zhǔn)由兩部分構(gòu)成:第一部分是信息安全管理體系的實(shí)施指南，相當(dāng)于BS7799-1;第二部分是信息安全管理體系規(guī)范，相當(dāng)于BS7799-2。 ISO/IEC 17799標(biāo)準(zhǔn)的內(nèi)容涉及10個(gè)領(lǐng)域，36個(gè)管理目標(biāo)和127個(gè)控制措施。2005年 ISO17799更名為ISO27001和ISO27002，分別為：ISO/IEC 27001:2005 Information technology - Security techniques - Information security management systems RequirementsISO/IEC 27002:2005 In

9、formation technology - Security techniques - Code of practice for information security management2007年 ISO又頒布了Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems.第 12 頁(yè)精品文檔12ISO/IEC17799模型ISO/IEC 17799標(biāo)準(zhǔn)的

10、內(nèi)容涉及10個(gè)領(lǐng)域，36個(gè)控制目標(biāo)和127個(gè)控制措施。 第 13 頁(yè)精品文檔13ISO17799模型Security PolicyAssetClassificationAnd ControlSecurityOrganization紀(jì)錄和溝通信息系統(tǒng)政策和法規(guī)的審核分配職責(zé)和分工，第3方授權(quán)，風(fēng)險(xiǎn)/控制的外包資產(chǎn)的保存，對(duì)于敏感/商業(yè)風(fēng)險(xiǎn)的區(qū)分第 14 頁(yè)精品文檔14ISO17799模型PersonalSecurity Comm/OpsManagementPhysical and EnvironmentSecurity員工聘請(qǐng)，知識(shí)培訓(xùn)，事故報(bào)告等物理安全參數(shù)，設(shè)備保護(hù)，桌面及電腦的重要文件的保

11、護(hù)事故流程，職責(zé)分離，系統(tǒng)規(guī)劃，電子郵件控制第 15 頁(yè)精品文檔15ISO17799模型AccessControlBusinessContinuityPlanningSystemDevelopmentandMaintenance權(quán)限管理：包括應(yīng)用系統(tǒng)，操作系統(tǒng)，網(wǎng)絡(luò)變更控制，環(huán)境劃分，安全設(shè)備商業(yè)可持續(xù)性計(jì)劃及其框架，測(cè)試計(jì)劃以及計(jì)劃的維護(hù)和更新Compliance版權(quán)控制，記錄和信息的保存，數(shù)據(jù)保護(hù)，公司制度的服從第 16 頁(yè)精品文檔16ISO/IEC 27001/27002:2005的內(nèi)容總共分成11個(gè)領(lǐng)域、39個(gè)控制目標(biāo)、133個(gè)控制措施。11個(gè)領(lǐng)域包括A.1SecurityPolicy

12、A.2organizationofinformationsecurityA.3AssetmanagementA.4HumanresourcessecurityA.5PhysicalandenvironmentalsecurityA.6CommunicationsandoperationsmanagementA.7AccesscontrolA.8Informationsystemsacquisition,developmentandmaintenanceA.9InformationsecurityincidentmanagementA.10Businesscontinuitymanagement

13、A.11Compliance第 17 頁(yè)精品文檔17關(guān)于ISO/IEC1540890年代開(kāi)始，由于Internet的日益普及，信息安全領(lǐng)域呼吁修改桔皮書(shū)，以解決商用信息系統(tǒng)安全問(wèn)題。1991年歐盟(European Commission) 頒布了ITSEC (Information Technology Security Evaluation Criteria,信息技術(shù)安全評(píng)估準(zhǔn)則)。在此基礎(chǔ)上，美國(guó)、加拿大、英國(guó)、法國(guó)等7國(guó)組織聯(lián)合研制了“信息技術(shù)評(píng)估安全公共準(zhǔn)則”（CC：Common Criteria）。1999年6月ISO通過(guò)了ISO/IEC 15408 安全評(píng)估準(zhǔn)則 （ISO/IEC

14、15408:1999 Security TechniquesEvaluation Criteria for IT Security）。目前的最新版本于2005年發(fā)布。ISO/IEC 15408是基于多個(gè)標(biāo)準(zhǔn)而產(chǎn)生的，它的演進(jìn)過(guò)程如下圖所示：第 18 頁(yè)精品文檔18ISO/IEC 15408的內(nèi)容ISO/IEC 15408由以下三部分組成：第一部分：介紹和一般模型第二部分：安全功能需求第三部分：安全認(rèn)證需求ISO/IEC 15408準(zhǔn)則比以往的其他信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)更加規(guī)范，采用以下方式定義：類(lèi)別（CLASS）；認(rèn)證族（ASSURANCE FAMILY）；認(rèn)證部件（ASSURANCE COMP

15、ONENT）；認(rèn)證元素（ASSURANCE ELEMENT）。其中類(lèi)別中有若干族，族中有若干部件，部件中有若干元素。第 19 頁(yè)精品文檔19ISO/IEC 15408的特點(diǎn)ISO/IEC 15408 信息技術(shù)安全評(píng)估準(zhǔn)則中討論的是TOE （target of evaluation), 即評(píng)估對(duì)象。該準(zhǔn)則關(guān)注于評(píng)估對(duì)象的安全功能，安全功能執(zhí)行的是安全策略。ISO/IEC 15408 定義了安全屬性，包括用戶屬性、客體屬性、主體屬性、和信息屬性。ISO/IEC 15408加強(qiáng)了完整性和可用性的防護(hù)措施，強(qiáng)調(diào)了抗抵賴(lài)性的安全要求。ISO/IEC 15408 還定義了加密的要求，強(qiáng)調(diào)對(duì)用戶的隱私保護(hù)。

16、ISO/IEC 15408還討論了某些故障、錯(cuò)誤和異常的安全保護(hù)問(wèn)題。第 20 頁(yè)精品文檔20ISO/IEC15408的類(lèi)別ISO/IEC 15408中，類(lèi)別（class) 代表最概括的分類(lèi)和定義方式。包括:安全功能類(lèi)別，共11個(gè)， 分別為安全審計(jì)、通信、加密支持、用戶數(shù)據(jù)防護(hù)、標(biāo)識(shí)與鑒別、安全管理、隱私、安全功能的防護(hù)、資源利用、對(duì)評(píng)估對(duì)象的訪問(wèn)、可信通路/通道。安全認(rèn)知類(lèi)別，共8個(gè)，分別為配置管理、遞交和操作、開(kāi)發(fā)、指南文檔、生存期支持、測(cè)試、脆弱性評(píng)估、認(rèn)證維護(hù)。評(píng)估認(rèn)證級(jí)別類(lèi)別，共7個(gè)，分別為評(píng)估功能測(cè)試、結(jié)構(gòu)測(cè)試、方法測(cè)試和檢查、半形式設(shè)計(jì)和測(cè)試、半形式驗(yàn)證設(shè)計(jì)和測(cè)試、形式驗(yàn)證設(shè)計(jì)和

17、測(cè)試。評(píng)估類(lèi)別，共3個(gè)，包括2個(gè)預(yù)評(píng)估類(lèi)別和TOE評(píng)估（即評(píng)估對(duì)象的評(píng)估）。其中預(yù)評(píng)估類(lèi)別分別為：防護(hù)框架評(píng)估（Protection Profile evaluation,簡(jiǎn)稱(chēng)PP評(píng)估）: 評(píng)估的一般是某類(lèi)安全產(chǎn)品，如防火墻等，提出測(cè)評(píng)的常為是行業(yè)組織；安全目標(biāo)評(píng)估 （Security Target evaluation, 簡(jiǎn)稱(chēng)ST評(píng)估）：評(píng)估的一般是某一類(lèi)的特定產(chǎn)品，如某品牌的防火墻，提出測(cè)評(píng)的常為廠商。第 21 頁(yè)精品文檔21ISO/IEC15408的評(píng)估方法對(duì)于信息系統(tǒng)和產(chǎn)品進(jìn)行安全認(rèn)證ISO/IEC15408通常采用如下方法進(jìn)行評(píng)估：分析和檢查進(jìn)程與過(guò)程檢查進(jìn)程和過(guò)程被應(yīng)用的情況分析T

18、OE設(shè)計(jì)表示一致性分析TOE設(shè)計(jì)表示與需求的滿足性驗(yàn)證分析指南文檔分析功能測(cè)試和測(cè)試結(jié)果獨(dú)立功能測(cè)試分析脆弱性（包括漏洞假說(shuō)）侵入測(cè)試等（TOE是評(píng)估對(duì)象（Target of Evaluation）的縮寫(xiě)）第 22 頁(yè)精品文檔22關(guān)于ISO/IEC 13335 ISO/IEC 13335 Information TechnologyGuidelines for the Management of IT Security 是一套關(guān)于信息安全管理的技術(shù)文件，共由五個(gè)部分組成，這五個(gè)組成部分分別在1996至2001年間發(fā)布。第一部分：安全概念和模型 （Part 1Concepts and Model

19、s for IT Security ），發(fā)布于1996年12月15日。第二部分：安全管理和規(guī)劃 （Part 2Managing and Planning IT Security），發(fā)布于1997年12月15日。第三部分：安全管理技術(shù)（Part 3Techniques for the Management of IT Security），發(fā)布于1998年6月15日。第四部分：保護(hù)的選擇 （Part 4Selection of Safeguards），發(fā)布于2000年3月1日。第五部分：外部聯(lián)接的防護(hù)（Part 5Management Guidance on Network Security），發(fā)

20、布于2001年1月2日。其中第一部分分別于1997年和2004年發(fā)布了更新版本。第 23 頁(yè)精品文檔23關(guān)于ISO13569ISO13569的全稱(chēng)為ISO/TR 13569:2005 Financial services - Information security guidelines。 它提供了對(duì)于金融服務(wù)行業(yè)機(jī)構(gòu)的信息安全程序開(kāi)發(fā)的指導(dǎo)方針。它包括了對(duì)制度，組織結(jié)構(gòu)和法律法規(guī)等內(nèi)容的討論。該標(biāo)準(zhǔn)對(duì)組織選擇和實(shí)施安全控制，和金融機(jī)構(gòu)用于管理信息安全風(fēng)險(xiǎn)的要素進(jìn)行了闡述。ISO13569于1997年首次發(fā)布，分別于2003年和2005年更新，目前的最新版本為2005年的版本。第 24 頁(yè)精品

21、文檔24ISO/IEC 13569的主要內(nèi)容ISO/IEC 13569是針對(duì)金融行業(yè)的信息安全標(biāo)準(zhǔn)，包括以下主要內(nèi)容：組織的IT安全政策IT安全管理風(fēng)險(xiǎn)分析和評(píng)估安全保護(hù)的實(shí)施和選擇IT系統(tǒng)保護(hù)金融服務(wù)行業(yè)專(zhuān)題，包括如銀行卡、電子資金傳輸(Electronic Fund Transfer)、支票、電子商務(wù)等內(nèi)容；另外，還包括如加密、審計(jì)、事件管理等專(zhuān)項(xiàng)討論。第 25 頁(yè)精品文檔25提綱信息安全標(biāo)準(zhǔn)概述國(guó)際標(biāo)準(zhǔn) ISO/IEC 系列信息安全標(biāo)準(zhǔn)國(guó)際標(biāo)準(zhǔn) COBIT 國(guó)內(nèi)標(biāo)準(zhǔn) 等級(jí)保護(hù)安全標(biāo)準(zhǔn)的比較問(wèn)題與回答第 26 頁(yè)精品文檔26COBIT簡(jiǎn)介COBIT（ControlObjectivesfor

22、InformationandrelatedTechnology）是由信息系統(tǒng)審計(jì)與控制學(xué)會(huì)ISACA（InformationSystemsAuditandControlAssociation）在1996年所公布的控制框架；目前已經(jīng)更新至第4.1版;COBIT的主要目的是研究、發(fā)展、宣傳權(quán)威的、最新的國(guó)際化的公認(rèn)信息技術(shù)控制目標(biāo)以供企業(yè)經(jīng)理、IT專(zhuān)業(yè)人員和審計(jì)專(zhuān)業(yè)人員日常使用。COBIT框架共有34個(gè)IT的流程，分成四個(gè)領(lǐng)域：PO（計(jì)劃與組織）、AI（獲取與實(shí)施）、DS（交付與支持）、和ME（監(jiān)控與評(píng)估）。第 27 頁(yè)精品文檔27COBIT來(lái)源1992年：ISACF (Information S

23、ystem Audit and Control Foundation)發(fā)起，參閱全球不同國(guó)家、政府、標(biāo)準(zhǔn)組織的26份文件后，基于其中之18份文件，研擬COBIT，同時(shí)籌組COBIT指導(dǎo)委員會(huì)(Steering Committee)。1996年：COBIT指導(dǎo)委員會(huì)公布COBIT第一版。1998年：COBIT指導(dǎo)委員會(huì)公布COBIT第二版，將第一版之32個(gè)高級(jí)控制目標(biāo)(High Level Control Objectives)擴(kuò)充成34個(gè)。2000年：COBIT指導(dǎo)委員會(huì)公布COBIT第三版。2005年： COBIT指導(dǎo)委員會(huì)公布COBIT第四版。2007年：發(fā)布COBIT 4.1版，為目前最

24、新版本。第 28 頁(yè)精品文檔28COBIT涉及領(lǐng)域商業(yè)目標(biāo)及IT治理目標(biāo)效率應(yīng)用系統(tǒng)信息基礎(chǔ)架構(gòu)人力交付與支持監(jiān)控與評(píng)估獲得與實(shí)施信息IT資源CobiT框架效果保密性完整性可用性合規(guī)性DS1 定義和管理服務(wù)水平DS2 管理第三方服務(wù)DS3 性能管理和容量管理DS4 確保服務(wù)的連續(xù)性DS5 確保系統(tǒng)安全DS6 確定并分配成本DS7 教育和培訓(xùn)用戶DS8 服務(wù)臺(tái)和緊急事件管理DS9 配置管理DS10 問(wèn)題管理DS11 數(shù)據(jù)管理DS12 物理環(huán)境管理DS13 運(yùn)營(yíng)管理ME1 監(jiān)控和評(píng)價(jià)IT績(jī)效ME2 監(jiān)控和評(píng)價(jià)內(nèi)部控制ME3 確保與法律的符合性ME4 提供IT治理P01 定義IT戰(zhàn)略計(jì)劃P02 定義

25、IT信息架構(gòu)P03 確定技術(shù)導(dǎo)向P04 定義IT過(guò)程/組織和關(guān)系P05 IT投資管理P06 傳遞管理目標(biāo)和方向P07 IT人力資源管理P08 質(zhì)量管理P09 IT風(fēng)險(xiǎn)評(píng)估及管理P10 項(xiàng)目管理AI1 識(shí)別自動(dòng)化解決方案AI2 獲取并維護(hù)應(yīng)用軟件AI3 獲取并維護(hù)技術(shù)基礎(chǔ)設(shè)施AI4 保障運(yùn)營(yíng)和使用AI5 獲取IT資源AI6 變革管理AI7 安裝/授權(quán)解決方案和變更計(jì)劃與組織可靠性第 29 頁(yè)精品文檔29COBIT的組件實(shí)施概要管理層指引具體控制目標(biāo)構(gòu)架伴隨高級(jí)控制目標(biāo)關(guān)鍵職能和目標(biāo)說(shuō)明關(guān)鍵的成功因素成熟的模板審計(jì)指引實(shí)施工具第 30 頁(yè)精品文檔30COBIT框架的原理控制領(lǐng)域(Domains)流

26、程(Processes)活動(dòng)(Activities/Tasks)人 力 資 源應(yīng) 用 系 統(tǒng)基 礎(chǔ) 架 構(gòu)信 息信息技術(shù)資源可信賴(lài)性需求質(zhì) 量 需 求信 息 處 理 要 求信息技術(shù)流程 安 全 性 需 求第 31 頁(yè)精品文檔31COBIT框架的原理IT流程管理各種IT資源，以產(chǎn)生、傳遞并存儲(chǔ)可滿足業(yè)務(wù)需求的各種信息。CobiT中定義的IT資源包括如下方面：應(yīng)用系統(tǒng)：處理信息的自動(dòng)化信息系統(tǒng)及相應(yīng)手冊(cè)程序信息：信息系統(tǒng)輸入、處理和輸出的所有形式的數(shù)據(jù)，可以被業(yè)務(wù)以任何形式使用基礎(chǔ)架構(gòu)：保障應(yīng)用系統(tǒng)處理信息所需的技術(shù)和設(shè)施（硬件、操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、網(wǎng)絡(luò)、多媒體，以及放置上述設(shè)施所需的環(huán)境）

27、人員：策劃、組織、采購(gòu)、實(shí)施、交付、支持、監(jiān)控和評(píng)價(jià)信息系統(tǒng)和服務(wù)所需的人員，可以是內(nèi)部的也可以是外部的應(yīng)用系統(tǒng)信息基礎(chǔ)架構(gòu)人員IT 資源信息處理要求IT 流程第 32 頁(yè)精品文檔32提綱信息安全標(biāo)準(zhǔn)概述國(guó)際標(biāo)準(zhǔn) ISO/IEC 系列信息安全標(biāo)準(zhǔn)國(guó)際標(biāo)準(zhǔn) COBIT 國(guó)內(nèi)標(biāo)準(zhǔn) 等級(jí)保護(hù)安全標(biāo)準(zhǔn)的總結(jié)問(wèn)題與回答第 33 頁(yè)精品文檔33全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)簡(jiǎn)介中國(guó)從1984年開(kāi)始就組建了數(shù)據(jù)加密技術(shù)委員會(huì)，并在1997年8月，將該委員會(huì)改組為全國(guó)信息技術(shù)標(biāo)準(zhǔn)化分技術(shù)委員會(huì)，主要負(fù)責(zé)制定信息安全的國(guó)家標(biāo)準(zhǔn)。2001年，國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)批準(zhǔn)成立全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)，簡(jiǎn)稱(chēng)“全國(guó)安標(biāo)委

28、”。標(biāo)準(zhǔn)委員會(huì)的標(biāo)號(hào)是TC260。 全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)包括四個(gè)工作組：信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組PKI和PMI工作組信息安全評(píng)估工作組信息安全管理工作組截至2007年底，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)已經(jīng)完成了國(guó)家標(biāo)準(zhǔn)59項(xiàng)，還有56項(xiàng)國(guó)家標(biāo)準(zhǔn)在研制中。第 34 頁(yè)精品文檔34等級(jí)保護(hù)是什么？等級(jí)保護(hù)基本概念：信息系統(tǒng)安全等級(jí)保護(hù)是指對(duì)信息安全實(shí)行等級(jí)化保護(hù)和等級(jí)化管理根據(jù)信息系統(tǒng)應(yīng)用業(yè)務(wù)重要程度及其實(shí)際安全需求，實(shí)行分級(jí)、分類(lèi)、分階段實(shí)施保護(hù)，保障信息安全和系統(tǒng)安全正常運(yùn)行，維護(hù)國(guó)家利益、公共利益和社會(huì)穩(wěn)定。等級(jí)保護(hù)的核心是對(duì)信息系統(tǒng)特別是對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)安全分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、

29、管理和監(jiān)督。國(guó)家對(duì)信息安全等級(jí)保護(hù)工作運(yùn)用法律和技術(shù)規(guī)范逐級(jí)加強(qiáng)監(jiān)管力度。突出重點(diǎn)，保障重要信息資源和重要信息系統(tǒng)的安全。第 35 頁(yè)精品文檔35等級(jí)保護(hù)法律和政策依據(jù)中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例第二章安全保護(hù)制度部分規(guī)定：“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)。安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法，由公安部會(huì)同有關(guān)部門(mén)制定?！庇?jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB17859-1999（技術(shù)法規(guī)）規(guī)定：“國(guó)家對(duì)信息系統(tǒng)實(shí)行五級(jí)保護(hù)?！眹?guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)重點(diǎn)強(qiáng)調(diào)：“實(shí)行信息安全等級(jí)保護(hù)制度，重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)?！钡?36 頁(yè)精品文檔36等

30、級(jí)保護(hù)的分級(jí)等級(jí)保護(hù)分為5級(jí)管理制度：第一級(jí)，自主保護(hù)級(jí)：信息系統(tǒng)受到破壞后，會(huì)對(duì)公民，法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全，社會(huì)秩序和公共利益。第二級(jí)，指導(dǎo)保護(hù)級(jí)：信息系統(tǒng)受到破壞后，會(huì)對(duì)公民，法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。第三級(jí)，監(jiān)督保護(hù)級(jí)：信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。第四級(jí)，強(qiáng)制保護(hù)級(jí)：信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。第五級(jí)，專(zhuān)控保護(hù)級(jí)：信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。第 37 頁(yè)精品文檔37安

31、全保護(hù)要素與等級(jí)關(guān)系業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體對(duì)相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)第 38 頁(yè)38等級(jí)保護(hù)監(jiān)管級(jí)別與等級(jí)對(duì)應(yīng)情況等級(jí)對(duì)象侵害客體侵害程度監(jiān)管強(qiáng)度第一級(jí)一般系統(tǒng)合法權(quán)益損害自主保護(hù)第二級(jí)合法權(quán)益嚴(yán)重?fù)p害指導(dǎo)社會(huì)秩序和公共利益損害第三級(jí)重要系統(tǒng)社會(huì)秩序和公共利益嚴(yán)重?fù)p害監(jiān)督檢查國(guó)家安全損害第四級(jí)社會(huì)秩序和公共利益特別嚴(yán)重?fù)p害強(qiáng)制監(jiān)督檢查國(guó)家安全嚴(yán)重?fù)p害第五級(jí)極端重要系統(tǒng)國(guó)家安全特別嚴(yán)重?fù)p害專(zhuān)門(mén)監(jiān)督檢查39等級(jí)保護(hù)定級(jí)流程信息系統(tǒng)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，與之相關(guān)的受侵害客體和對(duì)客體得侵害程度可能不同，因此信息系統(tǒng)定級(jí)也應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定。具體流程為：確定業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體綜合評(píng)定對(duì)客體的侵害程度確定定級(jí)對(duì)象業(yè)務(wù)信息安全等級(jí)定級(jí)對(duì)象的安全保護(hù)等級(jí)確定系統(tǒng)服務(wù)安全受到破壞時(shí)所侵害的客體綜合評(píng)定對(duì)客體的侵害程度系統(tǒng)服務(wù)安全等級(jí)第 40 頁(yè)精品文檔40等級(jí)保護(hù)定級(jí)對(duì)象確定作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)具有如下基本特征：具有唯一確定的安全責(zé)任單位能夠唯一地確定其安全責(zé)任單位具有信息系統(tǒng)的基本要素承載單一或相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用第 41 頁(yè)精品文檔41等級(jí)保護(hù)的基本要求信息系統(tǒng)安