CISP-1-信息安全保障體系和測(cè)評(píng)認(rèn)證

信息平安理論

信息平安保障體系和測(cè)評(píng)認(rèn)證中國(guó)信息平安產(chǎn)品測(cè)評(píng)認(rèn)證中心〔CNITSEC〕CISP-1-信息平安保障體系和測(cè)評(píng)認(rèn)證〔培訓(xùn)樣稿〕目錄信息系統(tǒng)平安保障測(cè)評(píng)認(rèn)證歷史和成績(jī)信息系統(tǒng)平安保障通用評(píng)估準(zhǔn)那么介紹信息系統(tǒng)平安保障測(cè)評(píng)認(rèn)證方法和實(shí)踐中國(guó)信息平安產(chǎn)品測(cè)評(píng)認(rèn)證中心

信息系統(tǒng)平安測(cè)評(píng)認(rèn)證介紹第一局部信息系統(tǒng)平安保障測(cè)評(píng)認(rèn)證歷史和成績(jī)我國(guó)國(guó)家領(lǐng)導(dǎo)高度重視信息平安國(guó)家高度重視信息平安測(cè)評(píng)認(rèn)證工作測(cè)評(píng)認(rèn)證中心的建設(shè)過(guò)程中國(guó)信息平安產(chǎn)品測(cè)評(píng)認(rèn)證中心及其分支機(jī)構(gòu)授權(quán)測(cè)試實(shí)驗(yàn)室國(guó)家實(shí)驗(yàn)室認(rèn)可程序ISO65、25認(rèn)證申請(qǐng)者授權(quán)質(zhì)管測(cè)試報(bào)告申報(bào)測(cè)試報(bào)告評(píng)估報(bào)告認(rèn)證證書監(jiān)管機(jī)構(gòu)國(guó)家認(rèn)證實(shí)體授權(quán)測(cè)評(píng)機(jī)構(gòu)國(guó)家信息平安測(cè)評(píng)認(rèn)證體系組織結(jié)構(gòu)認(rèn)證中心的性質(zhì)中國(guó)信息平安產(chǎn)品測(cè)評(píng)認(rèn)證中心是經(jīng)中央批準(zhǔn)成立的、代表國(guó)家實(shí)施信息平安測(cè)評(píng)認(rèn)證的職能機(jī)構(gòu)，依據(jù)國(guó)家有關(guān)產(chǎn)品質(zhì)量認(rèn)證和信息平安管理的法律法規(guī)，管理和運(yùn)行國(guó)家信息平安測(cè)評(píng)認(rèn)證體系認(rèn)證中心的主要職能任務(wù)中心標(biāo)志中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心CHINAINFORMATIONTECHNOLOGYSECURITYCERTIFICATIONCENTERCNITSEC中華人民共和國(guó)國(guó)家信息安全認(rèn)證認(rèn)證標(biāo)志CNITSEC國(guó)家標(biāo)準(zhǔn)的制定情況參與國(guó)際合作的情況中國(guó)信息平安產(chǎn)品測(cè)評(píng)認(rèn)證中心

信息系統(tǒng)平安測(cè)評(píng)認(rèn)證介紹第二局部信息系統(tǒng)平安保障通用評(píng)估準(zhǔn)那么介紹概述為推動(dòng)信息系統(tǒng)平安測(cè)評(píng)認(rèn)證工作開(kāi)展，2002年1月，中國(guó)信息平安產(chǎn)品測(cè)評(píng)認(rèn)證中心內(nèi)部立項(xiàng)，開(kāi)始進(jìn)行有關(guān)部門信息系統(tǒng)平安測(cè)評(píng)認(rèn)證的標(biāo)準(zhǔn)，程序，方法和工具的研究工作。?信息系統(tǒng)平安通用評(píng)估準(zhǔn)那么?作為其中十分重要的工作之一開(kāi)始展開(kāi)。經(jīng)過(guò)兩年的工作和實(shí)踐，目前完成了：?信息系統(tǒng)平安保障通用評(píng)估準(zhǔn)那么?〔征求意見(jiàn)稿〕?電子政務(wù)信息系統(tǒng)平安保障評(píng)估準(zhǔn)那么?〔征求意見(jiàn)稿〕信息系統(tǒng)使命信息系統(tǒng)建模，。。。GB18336idtISO/IEC15408信息技術(shù)安全性評(píng)估準(zhǔn)則IATF信息保障技術(shù)框架ISSE信息系統(tǒng)安全工程SSE-CMM系統(tǒng)安全工程能力成熟度模型BS7799,ISO/IEC17799信息安全管理實(shí)踐準(zhǔn)則其他相關(guān)標(biāo)準(zhǔn)、準(zhǔn)則例如：ISO/IEC15443,COBIT。。。系統(tǒng)認(rèn)證和認(rèn)可標(biāo)準(zhǔn)和實(shí)踐例如：美國(guó)DITSCAP,…中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心相關(guān)文檔和系統(tǒng)測(cè)評(píng)認(rèn)證實(shí)踐技術(shù)準(zhǔn)則（信息技術(shù)系統(tǒng)評(píng)估準(zhǔn)則）管理準(zhǔn)則（信息系統(tǒng)管理評(píng)估準(zhǔn)則）過(guò)程準(zhǔn)則（信息系統(tǒng)安全工程評(píng)估準(zhǔn)則）信息系統(tǒng)安全性評(píng)估準(zhǔn)則信息安全管理和管理能力成熟度模型將GB18336從產(chǎn)品和產(chǎn)品系統(tǒng)擴(kuò)展到信息技術(shù)系統(tǒng)安全性評(píng)估安全工程過(guò)程和能力成熟度模型傳統(tǒng)C&A信息系統(tǒng)認(rèn)證認(rèn)可和實(shí)踐信息系統(tǒng)相關(guān)基礎(chǔ)知識(shí)信息系統(tǒng)平安保障通用評(píng)估準(zhǔn)那么

內(nèi)容組成信息系統(tǒng)平安保障模型技術(shù)過(guò)程管理人員保證對(duì)象生命周期信息特征計(jì)劃組織開(kāi)發(fā)采購(gòu)實(shí)施交付運(yùn)行維護(hù)廢棄機(jī)密性完整性可用性信息系統(tǒng)分類和平安保障分級(jí)信息系統(tǒng)使命類信息系統(tǒng)威脅分級(jí)信息系統(tǒng)平安保障級(jí)ISAL+價(jià)值產(chǎn)品EAL級(jí)別要求EAL管理能力成熟度級(jí)別ISAM-CML過(guò)程能力成熟度級(jí)別ISAE-CML信息系統(tǒng)平安分類平安要求基線信息系統(tǒng)使命類分類信息系統(tǒng)使命類信息特征信息和信息系統(tǒng)價(jià)值機(jī)密性完整性可用性IBBB對(duì)信息保障策略的違犯造成的負(fù)面影響和結(jié)果可以忽略。IIBMM對(duì)信息保障策略的違犯會(huì)對(duì)安全、保險(xiǎn)、金融狀況、組織機(jī)構(gòu)的基礎(chǔ)設(shè)施造成不良影響和/或小的破壞。IIIBMH對(duì)信息保障策略的違犯會(huì)產(chǎn)生一定破壞IVBHH對(duì)信息保障策略的違犯會(huì)嚴(yán)重的破壞安全、保險(xiǎn)、金融狀況、組織機(jī)構(gòu)的基礎(chǔ)設(shè)施VMHH對(duì)信息保障策略的違犯會(huì)造成異常嚴(yán)重的破壞信息系統(tǒng)威脅分類威脅級(jí)別威脅說(shuō)明T1無(wú)意的或意外的事件T2被動(dòng)的、無(wú)意識(shí)的占有很少資源并且愿意冒少量風(fēng)險(xiǎn)的對(duì)手T3占有少量資源但是愿意冒很大風(fēng)險(xiǎn)的對(duì)手T4占有中等程度資源的熟練的對(duì)手，愿意冒少量風(fēng)險(xiǎn)T5占有中等程度資源的熟練的對(duì)手，愿意冒較大風(fēng)險(xiǎn)T6占有豐富程度資源的特別熟練的對(duì)手，愿意冒少量風(fēng)險(xiǎn)T7占有豐富程度資源的特別熟練的對(duì)手，愿意冒較大風(fēng)險(xiǎn)信息系統(tǒng)平安保障級(jí)信息系統(tǒng)安全保障級(jí)技術(shù)（主要安全產(chǎn)品EAL級(jí)）安全保障管理能力成熟度級(jí)別安全保障過(guò)程能力成熟度級(jí)別EGISAL1EAL1EGISAM-CML1EGISAE-CML1EGISAL2EAL2EGISAM-CML1EGISAE-CML1EGISAL3EAL3EGISAM-CML2EGISAE-CML2EGISAL4EAL4EGISAM-CML3EGISAE-CML3EGISAL5EAL5EGISAM-CML3EGISAE-CML3信息系統(tǒng)平安保障

平安管理能力成熟度級(jí)別信息系統(tǒng)平安保障

平安過(guò)程能力成熟度級(jí)別中國(guó)信息平安產(chǎn)品測(cè)評(píng)認(rèn)證中心

信息系統(tǒng)平安測(cè)評(píng)認(rèn)證介紹第三局部信息系統(tǒng)平安保障測(cè)評(píng)認(rèn)證方法和實(shí)踐信息系統(tǒng)平安認(rèn)證系統(tǒng)認(rèn)可定義：“某個(gè)指定機(jī)構(gòu)根據(jù)認(rèn)證過(guò)程的結(jié)果和其他相關(guān)的考慮對(duì)信息系統(tǒng)的運(yùn)行所作出的管理決定〞在實(shí)施恰當(dāng)?shù)钠桨泊胧┖螅胶鈽I(yè)務(wù)需求和信息系統(tǒng)的剩余風(fēng)險(xiǎn)將信息系統(tǒng)或網(wǎng)絡(luò)平安和可靠運(yùn)行的責(zé)任指派給了某個(gè)指定的機(jī)構(gòu)信息系統(tǒng)測(cè)評(píng)認(rèn)證流程申請(qǐng)及文檔審查階段工程啟動(dòng)階段現(xiàn)場(chǎng)核查平安性測(cè)試綜合評(píng)估階段

現(xiàn)場(chǎng)檢測(cè)階段平安認(rèn)證階段

信息系統(tǒng)安全策略信息系統(tǒng)安全技術(shù)方案信息系統(tǒng)安全管理機(jī)構(gòu)及制度信息系統(tǒng)安全工程過(guò)程信息系統(tǒng)安全審計(jì)與評(píng)估提交的五類文檔：用戶申請(qǐng)書問(wèn)題？系統(tǒng)平安保障方案〔ISST〕管理制度描述組織機(jī)構(gòu)描述管理制度及流程描述系統(tǒng)資產(chǎn)描述工程實(shí)施過(guò)程文檔工程實(shí)施方案平安產(chǎn)品及應(yīng)用系統(tǒng)功能及系統(tǒng)測(cè)試紀(jì)錄，選型依據(jù)實(shí)施過(guò)程的重大改進(jìn)或意外事件紀(jì)錄系統(tǒng)聯(lián)調(diào)及測(cè)試報(bào)告系統(tǒng)驗(yàn)收?qǐng)?bào)告系統(tǒng)自我風(fēng)險(xiǎn)評(píng)估文檔信息系統(tǒng)威脅分析；信息系統(tǒng)脆弱性分析；信息系統(tǒng)威脅所產(chǎn)生的后果分析；風(fēng)險(xiǎn)分析；風(fēng)險(xiǎn)處理；現(xiàn)場(chǎng)核查管理核查運(yùn)行核查審計(jì)核查網(wǎng)絡(luò)結(jié)構(gòu)探測(cè)；Router,Firewall,IDSOS平安測(cè)試；脆弱性掃描；口令猜解；日志檢查；滲透性測(cè)試平安性測(cè)試認(rèn)證與認(rèn)可階段提交認(rèn)證與認(rèn)可批準(zhǔn)包：申