信息安全生產(chǎn)管理標準與信息化管理介紹(共78頁).ppt

1、內(nèi)容提綱內(nèi)容提綱一、標準和標準化概述一、標準和標準化概述 二、信息平安標準化組織二、信息平安標準化組織 三、信息平安標準體系研究三、信息平安標準體系研究四、重要信息平安標準介紹四、重要信息平安標準介紹 六、存在問題分析六、存在問題分析 五、五、研究熱點追蹤研究熱點追蹤信息產(chǎn)業(yè)部電子工業(yè)標準化研究所信息產(chǎn)業(yè)部電子工業(yè)標準化研究所China Electronic Standardization Insititute一、標準和標準化一、標準和標準化概述概述 信息安全標準化的作用信息安全標準化的作用一、標準和標準化概念一、標準和標準化概念 標準化的基本原理標準化的基本原理 我國標準化工作者根據(jù)自己的實

2、踐，用自己的語言，總結(jié)了“簡化、“統(tǒng)一、“協(xié)調(diào)、“選優(yōu)的八字原理，成為我國標準化界的一種共識。 1、簡化 具有同種功能的標準化對象，當其多樣性的開展規(guī)模超出必要的范圍時，即應(yīng)消除其中多余的、可替換的和低功能的環(huán)節(jié)，保持其構(gòu)成的精練合理，使總體功能最正確。 2、統(tǒng)一 在一定時期，一定條件下，對標準化對象的形式、功能或其它技術(shù)特性所確立的一致性，應(yīng)與被取代的事物功能等效。 3、協(xié)調(diào) 在標準系統(tǒng)中，只有當各個標準子系統(tǒng)之間的功能彼此協(xié)調(diào)時，才能實現(xiàn)整體系統(tǒng)的功能最正確。 4、選優(yōu) 按照特定的目標，在一定的限定條件下，對標準系統(tǒng)的構(gòu)成因素及其關(guān)系進行選擇、設(shè)計或調(diào)整，使之到達最理想效果。一、標準和標準

3、化概念一、標準和標準化概念 國際標準的采用國際標準的采用一、標準和標準化概念一、標準和標準化概念信息產(chǎn)業(yè)部電子工業(yè)標準化研究所信息產(chǎn)業(yè)部電子工業(yè)標準化研究所China Electronic Standardization Insititute二、信息平安標準化二、信息平安標準化組織介紹組織介紹2.1 國際信息平安標準化組織國際信息平安標準化組織 ISO/IEC JTC1 SC27 ISO國際標準化組織和IEC國際電工委員會是世界上專門的標準化組織。在信息技術(shù)領(lǐng)域，ISO和IEC成立了一個聯(lián)合技術(shù)委員會JTC1。SC27是JTC1中專門從事信息平安通用方法及技術(shù)標準化工作的分技術(shù)委員會。 SC2

4、7 IT平安技術(shù)分委員會成立于1990年4月，2006年5月SC27工作組調(diào)整后，SC27下設(shè)五個工作組，各工作組信息如表2.1所示，各工作組關(guān)系如圖2.1所示。2.1 國際信息平安標準化組織國際信息平安標準化組織u聯(lián)絡(luò)關(guān)系介紹聯(lián)絡(luò)關(guān)系介紹u隨著邊緣技術(shù)的出現(xiàn)，以及隨著邊緣技術(shù)的出現(xiàn)，以及JTC1內(nèi)其他分技術(shù)委員會內(nèi)其他分技術(shù)委員會職責范圍的交叉，職責范圍的交叉，uSC27啟動了聯(lián)合工作機制，與許多組織進行了成功的合啟動了聯(lián)合工作機制，與許多組織進行了成功的合作。例如：作。例如：ISO/IECuJTC1內(nèi)有內(nèi)有SC6，SC17，SC18，SC21，SC22和和SC30；ISO內(nèi)包括內(nèi)包括TC6

5、8和和TC215；u外部組織包括外部組織包括CCIMB、ETSI、ITU-T和和ISSEA。和。和SC27存在聯(lián)絡(luò)關(guān)系的相關(guān)標存在聯(lián)絡(luò)關(guān)系的相關(guān)標u準化機構(gòu)或協(xié)會及聯(lián)絡(luò)類型如下：準化機構(gòu)或協(xié)會及聯(lián)絡(luò)類型如下：2.1 國際信息平安標準化組織國際信息平安標準化組織u典、挪威、瑞士、新西蘭、新加坡、意大利。典、挪威、瑞士、新西蘭、新加坡、意大利。uO成員：成員：11個個u包括：羅馬尼亞、印度尼西亞、愛沙尼亞、阿根廷、塞包括：羅馬尼亞、印度尼西亞、愛沙尼亞、阿根廷、塞爾維亞、立陶爾維亞、立陶u宛、匈牙利、愛爾蘭、以色列、斯洛伐克、土耳其。宛、匈牙利、愛爾蘭、以色列、斯洛伐克、土耳其。2.1 國際信息平

6、安標準化組織國際信息平安標準化組織 國際電工委員會（國際電工委員會（IECIEC）2.1 國際信息平安標準化組織國際信息平安標準化組織 國際電信聯(lián)盟（國際電信聯(lián)盟（ITUITU） 2.1 國際信息平安標準化組織國際信息平安標準化組織 互聯(lián)網(wǎng)工程任務(wù)組（互聯(lián)網(wǎng)工程任務(wù)組（IETFIETF）2.2 美國信息平安標準化組織美國信息平安標準化組織 美國國家標準化協(xié)會（美國國家標準化協(xié)會（ANSIANSI） 美國國家標準技術(shù)研究所（美國國家標準技術(shù)研究所（NISTNIST）2.2 美國信息平安標準化組織美國信息平安標準化組織 美國國家標準技術(shù)研究所（美國國家標準技術(shù)研究所（NISTNIST）2.2 美國

7、信息平安標準化組織美國信息平安標準化組織 美國電氣電工工程師協(xié)會（美國電氣電工工程師協(xié)會（IEEEIEEE）2.3 國外其它信息平安標準化組織國外其它信息平安標準化組織OMA在網(wǎng)絡(luò)與信息安全標準化方面，主要側(cè)重于數(shù)據(jù)業(yè)務(wù)。在OMA設(shè)有專門的技術(shù)委員會負責安全標準研究，即TC security，目前主要關(guān)注無線公鑰基礎(chǔ)設(shè)施（WPKI）、在線證書狀態(tài)協(xié)議（OCSP）、應(yīng)用層安全、智能卡Web服務(wù)、移動在線認證以及在線密鑰生成等方面的研究。在OMA 除TC security外，還設(shè)有專門的技術(shù)委員會負責數(shù)字版權(quán)管理方面的研究。ATIS也設(shè)有一個技術(shù)工作委員會（IDSC），專門負責信息安全和數(shù)據(jù)安全方

8、面的標準研究，主要在身份鑒別、數(shù)據(jù)保護、風險管理等方面，并出版了相應(yīng)的報告。主要制定計算機及其相關(guān)應(yīng)用的標準和技術(shù)報告，經(jīng)常向ISO提交標準提案。JTC1的歐洲秘書處就設(shè)在ECMA。它有11個技術(shù)委員會，其中TC32 “通信、網(wǎng)絡(luò)和系統(tǒng)互連”曾定義了開放系統(tǒng)應(yīng)用層安全結(jié)構(gòu)；TC36“IT安全”負責信息技術(shù)設(shè)備的安全標準，目前主要制定商用和政府用信息技術(shù)產(chǎn)品和系統(tǒng)安全性評估標準化框架，以及在開放系統(tǒng)環(huán)境下邏輯安全設(shè)備的框架。是歐洲地區(qū)性標準化組織，已頒布120多個網(wǎng)絡(luò)與信息安全標準。其下屬技術(shù)委員會SAFETY（安全），主要研究電氣安全方面的標準；技術(shù)委員會ESI（電子簽名和基礎(chǔ)設(shè)施）主要研究電

9、子簽名和PKI方面的標準；技術(shù)委員會LI（合法監(jiān)聽）主要研究合法監(jiān)聽方面的標準；特設(shè)組SAGE（安全算法專家組）負責研究密碼算法方面的標準，如GSM鑒權(quán)算法A3/A5 算法。目前，ETSI主要關(guān)注電子簽名、合法監(jiān)聽、移動通信安全、NGN安全、安全算法和智能卡安全等。主要制定計算機及其相關(guān)應(yīng)用的標準和技術(shù)報告，經(jīng)常向ISO提交標準提案。JTC1的歐洲秘書處就設(shè)在ECMA。它有11個技術(shù)委員會，其中TC32 “通信、網(wǎng)絡(luò)和系統(tǒng)互連”曾定義了開放系統(tǒng)應(yīng)用層安全結(jié)構(gòu)；TC36“IT安全”負責信息技術(shù)設(shè)備的安全標準，目前主要制定商用和政府用信息技術(shù)產(chǎn)品和系統(tǒng)安全性評估標準化框架，以及在開放系統(tǒng)環(huán)境下邏輯

10、安全設(shè)備的框架。3GPP在其業(yè)務(wù)和系統(tǒng)技術(shù)規(guī)范組下專門設(shè)置有工作組即WG3負責安全標準研究，3GPP2也在TSG-S業(yè)務(wù)和系統(tǒng)下設(shè)工作組WG4負責安全標準研究。此兩標準組織所研究的安全標準主要是與第三代移動通信有關(guān)，主要涉及算法、安全架構(gòu)（如IMS 安全架構(gòu)等）等。 1.1.歐洲計算機生產(chǎn)商協(xié)會（ECMA） 2.歐洲電信標準協(xié)會（ETSI） 3.3GPP4.開放移動聯(lián)盟（OMA） 6.結(jié)構(gòu)化信息標準促進組織（OASIS） 5.電信工業(yè)解決方案聯(lián)盟（ATIS）其其它它信信息息安安全全標標準準化化組組織織此外，英國標準學會（BSI）所制定的BS7799系列標準和德國的IT基線保護手冊也是國際上比較

11、有影響力的安全標準。2.4 我國信息平安標準化組織我國信息平安標準化組織 全國信息安全標準化技術(shù)委員會（全國信息安全標準化技術(shù)委員會（TC260TC260）2.4 我國信息平安標準化組織我國信息平安標準化組織n WG1：信息平安標準體系與協(xié)調(diào)工作組n 任務(wù)：研究信息平安標準體系；跟蹤國際信息平安標準開展動態(tài)；研究、分析國內(nèi)信息平安標準的應(yīng)用需求；研究并提出新工作工程及設(shè)立新工作組的建議；協(xié)調(diào)各工作組工程。負責標準體系研究和標準化協(xié)調(diào)。n 組長：中國電子技術(shù)標準化研究所林寧n 工作組聯(lián)絡(luò)處：中國電子技術(shù)標準化研究所n WG1開展的研究工程：n 信息平安標準體系的研究n 電子政務(wù)標準化指南第六局部

12、：信息平安n 信息平安標準術(shù)語2.4 我國信息平安標準化組織我國信息平安標準化組織n WG2：涉密信息系統(tǒng)標準工作組 n 任務(wù)：負責涉密信息系統(tǒng)標準研究 n 組長：組長單位為國家保密局n WG1開展的研究工程：n 涉密信息消除和介質(zhì)銷毀n 信息平安保密產(chǎn)品技術(shù)要求和測試方法n 涉密信息系統(tǒng)技術(shù)要求和測評n 涉密信息系統(tǒng)管理n WG3：密碼標準工作組n 任務(wù)：負責密碼相關(guān)國家標準研究 n 組長：組長單位為國家密碼管理局 n 正開展的研究工程：n 分組算法應(yīng)用接口標準n 證書認證系統(tǒng)密碼及相關(guān)平安技術(shù)標準n PCI密碼卡技術(shù)標準n ECC算法應(yīng)用接口標準n 雜湊算法應(yīng)用接口標準2.4 我國信息平安

13、標準化組織我國信息平安標準化組織n WG4：PKI/PMI工作組 n 任務(wù)：國內(nèi)外PKI/PMI標準體系的分析；研究PKI/PMI標準體系；國內(nèi)急用的標準調(diào)研；完成一批PKI/PMI根底性標準的制定工作。鑒別與授權(quán)工作組。主要負責PKI/PMI 等方面的標準研究，已完成GB/T 20518?信息技術(shù) 平安技術(shù) 公鑰根底設(shè)施數(shù)字證書格式?等10多個標準的研究。 n 組長：中國科學院研究生院馮登國 n 副組長：國家信息平安工程技術(shù)研究中心袁文恭、國家信息中心吳亞非 n 工作組聯(lián)絡(luò)處：國家信息中心n 開展的研究工程：n 公開密鑰和屬性證書框架(X.509) 時間戳標準n 基于X509的證書管理協(xié)議

14、數(shù)字證書狀態(tài)查詢協(xié)議n PKI組件最小互操作標準 PKI平安支撐平臺等n 證書認證機構(gòu)運營管理標準 證書載體應(yīng)用程序接口n 基于X509的國內(nèi)數(shù)字證書格式標準n PKI系統(tǒng)平安保護等級技術(shù)要求2.4 我國信息平安標準化組織我國信息平安標準化組織n WG5：信息平安評估工作組 n 任務(wù)：調(diào)研國內(nèi)外測評標準現(xiàn)狀與開展趨勢；研究提出我國統(tǒng)一測評標準體系的思路和框架；研究提出信息系統(tǒng)和網(wǎng)絡(luò)的平安測評標準思路和框架；研究提出急需的測評標準工程和制定方案。信息平安評估工作組。負責平安評估方面的標準研究，已完成網(wǎng)上銀行系統(tǒng)、網(wǎng)上證券系統(tǒng)等應(yīng)用系統(tǒng)評估標準以及平安路由器、防火墻、入侵檢測系統(tǒng)等產(chǎn)品評估標準，正

15、在開展平安等級保護相關(guān)的評估標準研究。 n 組長：解放軍信息平安測評認證中心崔書昆n 副組長：公安部公共信息網(wǎng)絡(luò)平安監(jiān)察局景乾元、國家信息平安評測認證中心李守鵬 n 工作組聯(lián)絡(luò)處：解放軍信息平安測評認證中心2.4 我國信息平安標準化組織我國信息平安標準化組織n WG7：信息平安管理工作組 n 任務(wù)：信息平安管理標準體系的研究；國內(nèi)急用的標準調(diào)研；完成一批信息平安管理相關(guān)根底性標準的制定工作。已完成ISO/IEC 13335.1-2、ISO/IEC17799等國際標準的采標工作，正在開展ISO/IEC27000系列標準的采標工作，并正在研究風險管理、平安事件管理、災難備份等。 n 組長：中國電子

16、技術(shù)標準化研究所王立建 n 工作組聯(lián)絡(luò)處：中國電子技術(shù)標準化研究所 n WG7開展的研究工程：n 信息技術(shù) 平安技術(shù) IT平安管理指南 n 信息技術(shù) 信息平安管理實用規(guī)那么n 信息技術(shù) 平安技術(shù) 系統(tǒng)平安工程能力成熟度模型(SSE-CMM)2.4 我國信息平安標準化組織我國信息平安標準化組織2.4 我國信息平安標準化組織我國信息平安標準化組織 公安信息系統(tǒng)安全標準化技術(shù)委員會公安信息系統(tǒng)安全標準化技術(shù)委員會2.4 我國信息平安標準化組織我國信息平安標準化組織 中國通信標準化協(xié)會網(wǎng)絡(luò)與信息安全技術(shù)工作委員會中國通信標準化協(xié)會網(wǎng)絡(luò)與信息安全技術(shù)工作委員會信息產(chǎn)業(yè)部電子工業(yè)標準化研究所信息產(chǎn)業(yè)部電子

17、工業(yè)標準化研究所China Electronic Standardization Insititute三、信息平安標準三、信息平安標準體系體系 3. 信息平安標準體系信息平安標準體系 課題目標課題目標3. 信息平安標準體系信息平安標準體系 WG1 需求安全服務(wù)與指南標準（22項） WG2 安全技術(shù)和機制標準 （45項） WG3 系統(tǒng)和產(chǎn)品安全評估與認證標準（15項）ISO-JTC/SC27ISO-JTC/SC272ISO標準體系結(jié)構(gòu)標準體系結(jié)構(gòu) 截止到截止到2007年底年底3. 信息平安標準體系信息平安標準體系實體平安A 環(huán)境平安A10 設(shè)備平安A20 媒體平安A30 運行平安B 風險分析B1

18、0 審計跟蹤B20 備份與恢復B30 應(yīng)急B40 應(yīng)急方案輔助軟件B41 應(yīng)急設(shè)施B42信息平安C 操作系統(tǒng)平安C10 平安操作系統(tǒng)C11 操作系統(tǒng)平安部件C12 數(shù)據(jù)庫平安C20 平安數(shù)據(jù)庫系統(tǒng)C21 數(shù)據(jù)庫系統(tǒng)平安部件C22 網(wǎng)絡(luò)平安C30 網(wǎng)絡(luò)平安管理C31 平安網(wǎng)絡(luò)系統(tǒng)C32 網(wǎng)絡(luò)系統(tǒng)平安部件C333 3GA163-1997GA163-1997關(guān)于計算機信息系統(tǒng)平安專用產(chǎn)品分類原那么關(guān)于計算機信息系統(tǒng)平安專用產(chǎn)品分類原那么3. 信息平安標準體系信息平安標準體系4 4一種信息平安產(chǎn)品與標準體系結(jié)構(gòu)草案一種信息平安產(chǎn)品與標準體系結(jié)構(gòu)草案1 1、網(wǎng)絡(luò)通信平安類、網(wǎng)絡(luò)通信平安類 7 7、內(nèi)容平

19、安類、內(nèi)容平安類2 2、身份鑒別類、身份鑒別類 8 8、根底平臺與中間、根底平臺與中間3 3、應(yīng)用平安類、應(yīng)用平安類 9 9、惡意代碼防治類、惡意代碼防治類4 4、監(jiān)控與審計類、監(jiān)控與審計類 1010、密碼根底類、密碼根底類5 5、平安隔離類、平安隔離類 1111、密碼設(shè)備類、密碼設(shè)備類6 6、數(shù)據(jù)平安類、數(shù)據(jù)平安類 1212、密碼模塊類、密碼模塊類3. 信息平安標準體系信息平安標準體系5一種基于通用標準體系結(jié)構(gòu)的信息平安標準體系結(jié)構(gòu)一種基于通用標準體系結(jié)構(gòu)的信息平安標準體系結(jié)構(gòu)國際級國際級區(qū)域級區(qū)域級企業(yè)級企業(yè)級國家級國家級行業(yè)級行業(yè)級地方級地方級產(chǎn)品產(chǎn)品系統(tǒng)系統(tǒng)人員人員服務(wù)服務(wù)事件事件對象

20、對象基礎(chǔ)基礎(chǔ)技術(shù)技術(shù)工作工作管理管理內(nèi)容內(nèi)容3.2 我國信息平安標準體系我國信息平安標準體系 信息安全技術(shù)標準體系框架信息安全技術(shù)標準體系框架圖3.1 信息安全技術(shù)標準體系總體框架3.2 我國信息平安標準體系我國信息平安標準體系 標準體系介紹標準體系介紹圖3.2 基礎(chǔ)標準體系框架3.2 我國信息平安標準體系我國信息平安標準體系3.2 我國信息平安標準體系我國信息平安標準體系3.2 我國信息平安標準體系我國信息平安標準體系圖3.3 技術(shù)與機制標準體系框架3.2 我國信息平安標準體系我國信息平安標準體系3.2 我國信息平安標準體系我國信息平安標準體系3.2 我國信息平安標準體系我國信息平安標準體系

21、3.2 我國信息平安標準體系我國信息平安標準體系3.2 我國信息平安標準體系我國信息平安標準體系圖4.4 信息安全管理標準體系框架3.2 我國信息平安標準體系我國信息平安標準體系3.2 我國信息平安標準體系我國信息平安標準體系3.2 我國信息平安標準體系我國信息平安標準體系3.2 我國信息平安標準體系我國信息平安標準體系3.2 我國信息平安標準體系我國信息平安標準體系信息產(chǎn)業(yè)部電子工業(yè)標準化研究所信息產(chǎn)業(yè)部電子工業(yè)標準化研究所China Electronic Standardization Insititute四、主要信息平安四、主要信息平安標準介紹標準介紹BS7799BS7799系列（系列（

22、ISO/IEC 27000ISO/IEC 27000系列）系列） ISO/IEC TR 13335系列標準舊版 GMITS，由5局部標準組成： ISO/IEC13335-1:1996?IT平安的概念與模型? ISO/IEC13335-2:1997?IT平安管理與籌劃? ISO/IEC13335-3:1998?IT平安管理技術(shù)? ISO/IEC13335-4:2000?防護措施的選擇? ISO/IEC13335-5:2001?網(wǎng)絡(luò)平安管理指南? 目前，ISO/IEC 13335-1:1996 已經(jīng)被新的ISO/IEC 13335-1:2004MICTS 第1局部：信息和通信技術(shù)平安管理的概念和模

23、型所取代，ISO/IEC 13335-2:1997也將被正在開發(fā)的ISO/IEC 13335-2MICTS 第2 局部：信息平安風險管理取代。ISO/IEC TR 13335 只是一個技術(shù)報告和指導性文件，并不是可依據(jù)的認證標準，信息平安體系建設(shè)參考BS 7799，具體實踐參考ISO TR 13335。 ? ?。SSE-CMM SSE-CMM 和和BS 7799 BS 7799 都提出了一系列最正確慣例，但都提出了一系列最正確慣例，但BS 7799 BS 7799 是一個是一個認證標準第二局部，提出了一個可供認證的認證標準第二局部，提出了一個可供認證的ISMS ISMS 體系，組織應(yīng)該將其體系

24、，組織應(yīng)該將其作為目標，通過選擇適當?shù)目刂拼胧┑谝痪植咳崿F(xiàn)。而作為目標，通過選擇適當?shù)目刂拼胧┑谝痪植咳崿F(xiàn)。而SSE-CMM SSE-CMM 那么那么是一個評估標準，是一個評估標準， 適合作為評估工程實施組織能力與資質(zhì)的標準適合作為評估工程實施組織能力與資質(zhì)的標準 我們通常所稱的通用標準或通用準那么Common Criteria，簡稱CC是指ISO/IEC15408:1999標準。目前CC標準的最新版本是2.2；CC2.1版在1999年成為國際標準ISO/IEC15408:1999；我國在2001年等同采用為國家標準GB/T 183362001。CC標準由三個局部組成： GB/T 1833

25、6.12001 idt ISO/IEC15408-1:1999 信息技術(shù)平安技術(shù)信息技術(shù)平安性評估準那么第1局部：簡介和一般模型 GB/T 18336.22001 idt ISO/IEC15408-2:1999 信息技術(shù)平安技術(shù)信息技術(shù)平安性評估準那么第2局部：平安功能要求 GB/T 18336.32001 idt ISO/IEC15408-3:1999 信息技術(shù)平安技術(shù)信息技術(shù)平安性評估準那么第3局部：平安保證要求 與BS7799 標準相比，CC 的側(cè)重點放在系統(tǒng)和產(chǎn)品的技術(shù)指標評價上，BS7799 在闡述信息平安管理要求時，并沒有強調(diào)技術(shù)細節(jié)。因此，組織在依照BS7799 標準來實施ISM

26、S 時，一些牽涉系統(tǒng)和產(chǎn)品平安的技術(shù)要求，可以借鑒CC 標準。 ITIL的全稱是信息技術(shù)根底設(shè)施庫Information Technology Infrastructure Library。ITIL針對一些重要的IT實踐，詳細描述了可適用于任何組織的全面的Checklists、Tasks、Procedures、Responsibilities等。IT效勞管理中最主要的內(nèi)容就是效勞交付Service Delivery和效勞支持Service Support 效勞交付Service Delivery： Service Level Management Financial Management fo

27、r IT Service Capacity Management IT Service Continuity Management Availability Management 效勞支持Service Support： Service Desk Incident Management Problem Management Configuration Management Change Management Release Management 2001 年，英國標準協(xié)會在國際IT 效勞管理論壇itSMF上正式發(fā)布了以ITIL為核心的英國國家標準BS15000。這成為IT 效勞管理領(lǐng)域具有歷史

28、意義的重大事件。BS15000 有兩個局部，目前都已經(jīng)轉(zhuǎn)化成國際標準了。ISO/IEC 20000-1:2005 信息技術(shù)效勞管理-效勞管理標準Information technology service management. Specification for Service Management ISO/IEC 20000-2:2005 信息技術(shù)效勞管理- 效勞管理最正確實踐 Information technology service management. Code of Practice for Service Management 與BS7799 相比，ITIL 關(guān)注面更為廣泛信

29、息技術(shù)，而且更側(cè)重于具體的實施流程。ISMS實施者可以將BS7799 作為ITIL 在信息平安方面的補充，同時引入ITIL 流程的方法，以此加強信息平安管理的實施能力。 CoBIT的全稱是信息和相關(guān)技術(shù)的控制目標Control Objectives for Information and related Technology，是ITGI提出的IT治理模型IT Governance)，是一個IT控制和IT治理的框架Framework。CobiT是一個在更高的層面上指導管理層進行技術(shù)標準和信息系統(tǒng)管理的IT治理模型。 CoBIT的八個控制過程： 方案和組織Planning & Organi

30、sation 采購和實施Acquisition & Implementation 交付和支持Delivery & Support 監(jiān)視和評估Monitoring & Evaluation CoBIT的七個控制目標： 機密性Confidentiality 完整性Integrity 可用性Availability 有效性Effectiveness 高效性Efficiency 可靠性Reliability 符合性Compliance 目前根本上存在著兩類控制模型，一類是類似COSO這樣的商業(yè)控制模式business control model，另一類那么是像BS7799這樣的

31、更關(guān)注IT的控制模型more focused on IT control model，而CoBIT的目標是在兩者之間架起一座橋梁。 美國國家標準技術(shù)協(xié)會美國國家標準技術(shù)協(xié)會National Institute of Standards and Technology，NIST發(fā)布的發(fā)布的Special Publication 800 文檔是一系文檔是一系列針對信息平安技術(shù)和管理領(lǐng)域的實踐參考指南，其中有多篇是有關(guān)信息平列針對信息平安技術(shù)和管理領(lǐng)域的實踐參考指南，其中有多篇是有關(guān)信息平安管理的，包括：安管理的，包括： SP 800-12：計算機平安介紹：計算機平安介紹An Introduction

32、 to Computer Security: The NIST Handbook SP 800-30 ： IT 系統(tǒng)風險管理指南系統(tǒng)風險管理指南Risk Management Guide for Information Technology Systems SP 800-34：IT 系統(tǒng)應(yīng)急方案指南系統(tǒng)應(yīng)急方案指南Contingency Planning Guide for Information Technology Systems SP 800-26 ： IT 系統(tǒng)平安自我評估指南系統(tǒng)平安自我評估指南 Security Self-Assessment Guide for Informati

33、on Technology Systems 這些文件可以作為實施這些文件可以作為實施ISMS 過程中一些關(guān)鍵任務(wù)的指導和參照例如風過程中一些關(guān)鍵任務(wù)的指導和參照例如風險評估、應(yīng)急方案等，是對險評估、應(yīng)急方案等，是對BS7799 標準很好的補充和細化。標準很好的補充和細化。信息產(chǎn)業(yè)部電子工業(yè)標準化研究所信息產(chǎn)業(yè)部電子工業(yè)標準化研究所China Electronic Standardization Insititute五、信息平安標準化五、信息平安標準化研究熱點研究熱點 2006年5月8日至17日，ISO/IEC JTC1/SC27第32屆工作組會議與與全體會議在西班牙召開。 20062006年年JTC1/SC27JTC1/SC27會議信息安全標準熱點跟蹤會議信息安全標準熱點跟蹤 2007年5月2日至12日，ISO/IEC JTC1/SC27第34 屆工作組會議與與全體會議在俄羅斯召開。來自英國、美國、瑞典、日本和中國等20個國家和地區(qū)的40余名代表出席