電子商務(wù)安全管理秦成德第9章-信息系統(tǒng)安全評(píng)估新

第9章

信息系統(tǒng)安全評(píng)估9.1信息系統(tǒng)安全標(biāo)準(zhǔn)9.2信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)9.3國(guó)際與國(guó)內(nèi)信息系統(tǒng)安全測(cè)評(píng)認(rèn)證

9.1信息系統(tǒng)安全標(biāo)準(zhǔn)信息系統(tǒng)安全標(biāo)準(zhǔn)簡(jiǎn)介我國(guó)的信息系統(tǒng)安全標(biāo)準(zhǔn)

信息系統(tǒng)安全標(biāo)準(zhǔn)簡(jiǎn)介9.1.2我國(guó)的信息系統(tǒng)安全標(biāo)準(zhǔn)9.1.2我國(guó)的信息系統(tǒng)安全標(biāo)準(zhǔn)2.物理安全相關(guān)國(guó)家標(biāo)準(zhǔn)（表9-2）

表9-2物理安全相關(guān)國(guó)家標(biāo)準(zhǔn)9.1.2我國(guó)的信息系統(tǒng)安全標(biāo)準(zhǔn)3.信息安全評(píng)估相關(guān)國(guó)家標(biāo)準(zhǔn)（表9-3）

表9-3信息安全評(píng)估相關(guān)國(guó)家標(biāo)準(zhǔn)9.2信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)安全評(píng)估標(biāo)準(zhǔn)及其發(fā)展信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)所面臨的問(wèn)題及改進(jìn)建議

安全評(píng)估標(biāo)準(zhǔn)及其發(fā)展安全評(píng)估標(biāo)準(zhǔn)及其發(fā)展2.安全評(píng)估標(biāo)準(zhǔn)的發(fā)展在國(guó)際上，針對(duì)信息系統(tǒng)安全的等級(jí)防護(hù)和評(píng)估，先后制定了多個(gè)標(biāo)準(zhǔn)，其發(fā)展過(guò)程和關(guān)系見下圖（圖9-1）。但是，由于標(biāo)準(zhǔn)眾多，對(duì)于標(biāo)準(zhǔn)的爭(zhēng)論從未停息過(guò)。9.2.2信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)9.2.2信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)2.偏重于安全管理方面的標(biāo)準(zhǔn)1995年，英國(guó)貿(mào)工部根據(jù)英國(guó)國(guó)內(nèi)企業(yè)對(duì)信息安全日益高漲的呼聲，組織大企業(yè)的信息安全經(jīng)理們，制定了世界上第一個(gè)信息安全管理體系標(biāo)準(zhǔn)BS7799-1：1995《信息安全管理實(shí)施規(guī)則》，作為工商業(yè)和大、中、小型組織實(shí)施信息安全管理的指南。1998年，為了適應(yīng)第三方認(rèn)證的需要，英國(guó)又制定了第一個(gè)信息安全管理體系認(rèn)證標(biāo)準(zhǔn)--

BS7799-2：1998《信息安全管理體系規(guī)范》，作為對(duì)一個(gè)組織的全面或部分信息安全管理體系進(jìn)行評(píng)審認(rèn)證的依據(jù)標(biāo)準(zhǔn)。9.2.2信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)信息系統(tǒng)安全管理標(biāo)準(zhǔn)發(fā)展過(guò)程如圖9-2所示。9.2.2信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)9.2.2信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)9.2.2信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)9.2.2信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)三個(gè)過(guò)程控制是指：構(gòu)建過(guò)程控制、測(cè)評(píng)過(guò)程控制、執(zhí)行過(guò)程控制。9.2.3信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)比較分析9.2.3信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)比較分析9.2.3信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)比較分析2.CC標(biāo)準(zhǔn)與BS7799的異同點(diǎn)CC（即GB/T18336:2001

idtISO/IEC15408:1999

）和BS7799標(biāo)準(zhǔn)的共同點(diǎn)表現(xiàn)在以下四個(gè)方面：（1）兩個(gè)標(biāo)準(zhǔn)所涉及的范圍從大的角度來(lái)說(shuō)都是信息安全領(lǐng)域；（2）兩個(gè)標(biāo)準(zhǔn)對(duì)信息安全的定義相同，都是指對(duì)信息保密性、完整性和可用性的保護(hù)；（3）兩個(gè)標(biāo)準(zhǔn)對(duì)信息安全風(fēng)險(xiǎn)的定義基本相同，都是從資產(chǎn)、威脅、薄弱點(diǎn)和影響來(lái)考察風(fēng)險(xiǎn)；（4）兩個(gè)標(biāo)準(zhǔn)都針對(duì)不同的風(fēng)險(xiǎn)提出了相應(yīng)的控制目標(biāo)和控制措施。9.2.4信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)所面臨的問(wèn)題及改進(jìn)建議9.2.4信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)所面臨的問(wèn)題及改進(jìn)建議9.3國(guó)際與國(guó)內(nèi)信息系統(tǒng)安全測(cè)評(píng)認(rèn)證測(cè)評(píng)認(rèn)證的概念9.3.2測(cè)評(píng)認(rèn)證的標(biāo)準(zhǔn)與規(guī)范9.3.3測(cè)評(píng)認(rèn)證的方法與流程

9.3國(guó)際與國(guó)內(nèi)信息系統(tǒng)安全測(cè)評(píng)認(rèn)證9.3.1測(cè)評(píng)認(rèn)證的概念9.3.1測(cè)評(píng)認(rèn)證的概念9.3.1測(cè)評(píng)認(rèn)證的概念3.測(cè)評(píng)認(rèn)證的產(chǎn)生國(guó)際上信息大國(guó)每年用于信息安全領(lǐng)域的預(yù)算開支都在10億美元以上。中國(guó)的信息安全產(chǎn)業(yè)近10年以驚人的速度發(fā)展起來(lái)。2000年底與信息安全相關(guān)的注冊(cè)公司達(dá)1300多家，隨著中國(guó)信息化水平的全面提高，將擁有世界最大的信息安全市場(chǎng)。9.3.1測(cè)評(píng)認(rèn)證的概念9.3.2測(cè)評(píng)認(rèn)證的標(biāo)準(zhǔn)與規(guī)范9.3.2測(cè)評(píng)認(rèn)證的標(biāo)準(zhǔn)與規(guī)范9.3.2測(cè)評(píng)認(rèn)證的標(biāo)準(zhǔn)與規(guī)范9.3.2測(cè)評(píng)認(rèn)證的標(biāo)準(zhǔn)與規(guī)范測(cè)評(píng)認(rèn)證的