風(fēng)險(xiǎn)評估及等級(jí)保護(hù)課件

風(fēng)險(xiǎn)評估的國際動(dòng)態(tài)風(fēng)險(xiǎn)評估的國際動(dòng)態(tài)1匯報(bào)要點(diǎn)信息安全管理成為信息安全保障的熱點(diǎn)泰德帶來的啟示風(fēng)險(xiǎn)評估和等級(jí)保護(hù)的關(guān)系匯報(bào)要點(diǎn)信息安全管理成為信息安全保障的熱點(diǎn)2信息安全管理成為

信息安全保障的熱點(diǎn)信息安全管理成為

信息安全保障的熱點(diǎn)3ITIS$！信息就是財(cái)富,安全才有價(jià)值。CI:CriticalInfrastructureCIP:CriticalInfrastructureProtectionCII:CriticalInformation

Infrastructure.CIIP:CriticalInformation

InfrastructureProtection技術(shù)提供安全保障功能，但不是安全保障的全部提高人的安全意識(shí)，技術(shù)、管理兩手抓成為國際共識(shí)。ITIS$！4標(biāo)準(zhǔn)化組織和行業(yè)團(tuán)體抓緊制定管理標(biāo)準(zhǔn)ISO13335正在重組修改正在修訂17799BS7799-2成為國際標(biāo)準(zhǔn)正在討論標(biāo)準(zhǔn)化組織和行業(yè)團(tuán)體抓緊制定管理標(biāo)準(zhǔn)ISO5NIST在聯(lián)邦I(lǐng)T系統(tǒng)認(rèn)證認(rèn)可的名義下提出大量規(guī)范SP800-18《IT系統(tǒng)安全計(jì)劃開發(fā)指南》（1998年12月）

SP800-26《IT系統(tǒng)安全自評估指南》（2001年11月）SP800-30《IT系統(tǒng)風(fēng)險(xiǎn)管理指南》（2002年1月發(fā)布，2004年1月21日

修訂）SP800-37《聯(lián)邦I(lǐng)T系統(tǒng)認(rèn)證認(rèn)可指南》（2002年9月，2003年7月，2004年5月最后文本）FIPS199《聯(lián)邦信息和信息系統(tǒng)的安全分類標(biāo)準(zhǔn)》（草案第一版）（2003年12月）SP800-53《聯(lián)邦信息系統(tǒng)安全控制》（2003年8月31日發(fā)布草案）

SP800-53A《聯(lián)邦信息系統(tǒng)安全控制有效性檢驗(yàn)技術(shù)和流程》（計(jì)劃2003至2004年出版）SP800-60《信息和信息類型與安全目標(biāo)及風(fēng)險(xiǎn)級(jí)別對應(yīng)指南》（2004年3月草案2.0版)NIST在聯(lián)邦I(lǐng)T系統(tǒng)認(rèn)證認(rèn)可的名義下提出大量規(guī)范6ManagingEnterpriseRiskandAchievingMoreSecureInformationSystemsinvolves—Categorizing(enterpriseinformationandinformationsystems)Selecting(appropriatesecuritycontrols)Refining(securitycontrolsthroughariskassessment)Documenting(securitycontrolsinasystemsecurityplan)Implementing(securitycontrolsinnewandlegacysystems)Assessing(theeffectivenessofsecuritycontrols)Determining(enterprise-levelriskandriskacceptability)Authorizing(informationsystemsforprocessing)Monitoring(securitycontrolsonanongoingbasis)

ManagingEnterpriseRiskandA7國際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)

(ISACA)

提出：1.ISRiskAssessment,effective1July20022.DigitalSignatures,effective1July20023.IntrusionDetection,effective1August20034.VirusesandotherMaliciousLogic,effective1August20035.ControlRiskSelf-assessment,effective1August20036.Firewalls,effective1August20037.IrregularitiesandIllegalActsEffective1November20038.SecuurityAssessment—PenetrationTestingandVulnerabilityAnalysis,effective1September2004國際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(ISACA)提出：8提出《信息和相關(guān)技術(shù)的控制目標(biāo)》(CoBIT)CoBIT開發(fā)和推廣了第三版，CoBIT起源于組織為達(dá)到業(yè)務(wù)目標(biāo)所需的信息這個(gè)前提

CoBIT鼓勵(lì)以業(yè)務(wù)流程為中心，實(shí)行業(yè)務(wù)流程負(fù)責(zé)制CoBIT還考慮到組織對信用、質(zhì)量和安全的需要它提供了組織用于定義其對IT業(yè)務(wù)要求的幾條信息準(zhǔn)則：效率、效果、可用性、完整性、保密性、可靠性和一致性。提出《信息和相關(guān)技術(shù)的控制目標(biāo)》(CoBIT)9CoBIT進(jìn)一步把IT分成4個(gè)領(lǐng)域計(jì)劃和組織，獲取和運(yùn)用，交付和支持，監(jiān)控和評價(jià)。共計(jì)34個(gè)IT業(yè)務(wù)流程。其中3個(gè)與信息安全直接密切相關(guān)的業(yè)務(wù)流程是：計(jì)劃和組織流程9——評估風(fēng)險(xiǎn)：傳遞和支持流程4——確保連貫的服務(wù)；傳遞和支持流程5——保證系統(tǒng)安全。CoBIT進(jìn)一步把IT分成4個(gè)領(lǐng)域10CoBIT為正在尋求控制實(shí)施最佳實(shí)踐的管理者和IT實(shí)施人員提供了超過300個(gè)詳細(xì)的控制目標(biāo)，以及建立在這些目標(biāo)上的廣泛的行動(dòng)指南。后者是用來評估和審計(jì)對IT流程控制和治理的程度。CoBIT為正在尋求控制實(shí)施最佳實(shí)踐的管理者和IT實(shí)施人員提11國際CIIP手冊(2004)國際CIIP手冊(2004)12PartIIAnalysisofMethodsandModelsforCIIAssessment1SectorAnalysis2InterdependencyAnalysis3RiskAnalysis4ThreatAssessment5VulnerabilityAssessment6ImpactAssessment7SystemAnalysisPartIIAnalysisofMethodsan132002年版TechnicalIT-SecurityModelsRiskAnalysisMethodology(forITSystems)InfrastructureRiskAnalysisModel(IRAM)Leontief-BasedModelofRiskinComplexInterconnectedInfrastructures

2002年版TechnicalIT-SecurityMo14SectorandLayerModel,SectorAnalysis,ProcessandTechnologyAnalysis,DimensionalInterdependencyAnalysis.SectorandLayerModel,15泰德帶來的啟示泰德帶來的啟示16風(fēng)險(xiǎn)三角形風(fēng)險(xiǎn)資產(chǎn)威脅脆弱性風(fēng)險(xiǎn)三角形風(fēng)險(xiǎn)資產(chǎn)威脅脆弱性17泰德眼中的

InformationSecurityGovernance

標(biāo)準(zhǔn)體系（

ISMS）BS7799Part2CorporateGovernancePLANDOACTCHECK風(fēng)險(xiǎn)管理處理系統(tǒng)控制內(nèi)部審計(jì)功能ISO/IEC17799泰德眼中的

InformationSecurityGov18ISMSStandards

ISO/IEC17799and

BS7799-2SecurityprocessesandcontrolcompliancestatementsControlsandcontrolimplementationadviceControlsNON-MANDATORYStatementsRiskassessmentAudit/reviewsMANDATORYStatementsRiskassessment,treatmentandmanagementComplianceaudit/reviews(SHALLstatements)GovernanceprinciplesISMSStandards

ISO/IEC17799a19ISMSSpecifications

ISMSStandards

Managementsystemspecs,guidance&auditingBS7799Part2ISMSGuidelines(riskassessment,selectionofcontrols)GMITS/MICTSISO/IEC18044IncidenthandlingPD3000seriesonriskandselectionofcontrolsISMSControlCataloguesISO/IEC17799Managementsystemcertificationandaccreditationstandards(auditingprocess,proceduresetc)ISOGuide62EA7/03EN45013EN45012ISO19011ISO9001NationalschemesandstandardsISMSSpecificationsISMSStanda20ProductStandardsTechnicalimplementationandspecificationstandardsEncryptionAuthenticationDigitalsignaturesKeymanagementNon-repudiationITnetworksecurityTPPservicesTimestampingAccesscontrolBiometricsCardsProductandproductsystemtestingandevaluationISO/IEC15408EvaluationcriteriaProtectionprofilesProductStandardsTechnicalimp21ISMSStandards

BS7799-2:2002PLANDOACTCHECKPDCAModelDesignISMSImplement&useISMSMonitor&reviewISMSMaintain&improveISMSRiskbasedcontinualimprovementframeworkforinformationsecuritymanagementISMSStandards

BS7799-2:2002P22ISO/IEC17799新老版本對比SecuritypolicySecurityorganisationAssetclassification&controlPersonnelsecurityPhysical&environmentalsecurityCommunications&operationsmanagementAccesscontrolSystemsdevelopment&maintenanceBusinesscontinuityCompliance2000versionSecuritypolicyOrganisinginformationsecurityAssetmanagementHumanresourcessecurityPhysical&environmentalsecurityCommunications&operationsmanagementAccesscontrolInformationsystemsacquisition,developmentandmaintenance

BusinesscontinuitymanagementComplianceInformationsecurityincidentmanagementnewversionSecuritypolicyOrganisinginformationsecurityAssetmanagementHumanresourcessecurityPhysical&environmentalsecurityCommunications&operationsmanagementAccesscontrolInformationsystemsacquisition,developmentandmaintenance

BusinesscontinuitymanagementComplianceInformationsecurityincidentmanagementnewversionISO/IEC17799新老版本對比Securitypo23ISMSStandards

RevisionofISO/IEC17799:2000SatisfyrequirementControl(plussupportingtext)Staterequirement2000editionControlObjectiveControlImplementationguidanceOtherinformationRevisededitionControlObjectiveISMSStandards

RevisionofISO24新老版本變化ISO/IEC17799neweditionISO/IEC17799oldedition9oldcontrolsdeleted16newcontrolsadded118controlsremaining老版本:包含10個(gè)控制要項(xiàng)，36個(gè)控制目標(biāo)，127個(gè)控制措施新版本:11個(gè)39個(gè)134個(gè)新老版本變化ISO/IEC17799ISO/IEC17725風(fēng)險(xiǎn)評估如何貫穿于安全管理

BS7799-2:2002設(shè)計(jì)ISMSImplementandusetheISMSMonitoringandreviewtheISMSImproveandupdatetheISMS計(jì)劃DOCHECKACTISMS定義ISMS的執(zhí)行范圍和政策執(zhí)行風(fēng)險(xiǎn)評估對風(fēng)險(xiǎn)評估處理作出決定

選擇控制風(fēng)險(xiǎn)評估如何貫穿于安全管理

BS7799-2:2002設(shè)計(jì)26ISMSStandards

BS7799-2:2002DesigntheISMS執(zhí)行和使用ISMSMonitoringandreviewtheISMSImproveandupdatetheISMSPLAN行動(dòng)CHECKACTISMS執(zhí)行風(fēng)險(xiǎn)評估處理計(jì)劃執(zhí)行控制執(zhí)行意識(shí)/培訓(xùn)將ISMS放到

操作使用中ISMSStandards

BS7799-2:2002D27ISMSStandards

BS7799-2:2002DesigntheISMSImplementandusetheISMS監(jiān)控和檢查ISMSImproveandupdatetheISMSPLANDO檢查ACTISMS執(zhí)行監(jiān)控進(jìn)程執(zhí)行定期檢查

檢查剩余風(fēng)險(xiǎn)和可接受的風(fēng)險(xiǎn)內(nèi)部審計(jì)ISMSStandards

BS7799-2:2002D28ISMSStandards

BS7799-2:2002DesigntheISMSImplementandusetheISMSMonitoringandreviewtheISMS改進(jìn)和升級(jí)ISMSPLANDOCHECKACTISMS實(shí)現(xiàn)改進(jìn)矯正性和預(yù)防性的活動(dòng)傳達(dá)結(jié)果

檢查改進(jìn)達(dá)到的目標(biāo)ISMSStandards

BS7799-2:2002D29ISMSAssetsBusinessprocessesInformation

PeopleServicesICTPhysicallocationApplications

assetdirectoryAssetsCorporateimagePeopleInformation/informationsystemsProcessesProducts/servicesApplicationsICTPhysicalISO/IEC177997.1.1InventoryofassetsISMSAssetsBusinessprocessesI30ISMSRisksAssetthreats&vulnerabilitiesAssetvalue&utility

assetdirectoryAssetsCorporateimagePeopleInformation/informationsystemsProcessesProducts/servicesApplicationsICTPhysicalRisktreatmentRisks&impactsRisktreatmentISMSRisksAssetAssetvaluea31風(fēng)險(xiǎn)等級(jí)不可容忍的風(fēng)險(xiǎn)可容忍的風(fēng)險(xiǎn)很少發(fā)生業(yè)務(wù)暴露持續(xù)的業(yè)務(wù)暴露對業(yè)務(wù)影響的因果關(guān)系較小對業(yè)務(wù)產(chǎn)生災(zāi)難性影響的因果關(guān)系業(yè)務(wù)影響低(可忽略,無關(guān)緊要,為不足道,無須重視)

中低(值得注意,相當(dāng)可觀但不是主要的)

中

(重要,主要)中高

(嚴(yán)重危險(xiǎn),潛在災(zāi)難)高

(破壞性的,總體失靈,完全停頓)風(fēng)險(xiǎn)等級(jí)不可容忍可容忍很少發(fā)生業(yè)務(wù)暴露持續(xù)的業(yè)務(wù)暴露對業(yè)務(wù)影32保密性要求(C)資產(chǎn)價(jià)值分級(jí)描述1–低可公開非敏感信息和信息處理設(shè)施及系統(tǒng)資源，可以公開.。2–中僅供內(nèi)部使用或限制使用非敏感的信息僅限內(nèi)部使用，即不能公開或限制信息或信息處理設(shè)施及系統(tǒng)資源可在組織內(nèi)部根據(jù)業(yè)務(wù)需要的約束來使用。3–高秘密或絕密敏感的信息或信息處理設(shè)施和系統(tǒng)資源，只能根據(jù)需要（need-to-know）或嚴(yán)格依據(jù)工作需要。資產(chǎn)分級(jí)

保密性要求(C)資產(chǎn)價(jià)值分級(jí)描述1–低可公開非敏感信息33完整性要求(I)資產(chǎn)價(jià)值分級(jí)描述1–低低完整性對信息的非授權(quán)的損害或更改不會(huì)危及業(yè)務(wù)應(yīng)用或?qū)I(yè)務(wù)的影響可以忽略。2–中中完整性對信息的非授權(quán)的損害或更改不會(huì)危及業(yè)務(wù)應(yīng)用，但是值得注意以及對業(yè)務(wù)的影響是重要的。3–高高或非常高完整性對信息的非授權(quán)的損害或更改危及業(yè)務(wù)應(yīng)用，且對業(yè)務(wù)的影響是嚴(yán)重的并會(huì)導(dǎo)致業(yè)務(wù)應(yīng)用的重大或全局失敗。資產(chǎn)分級(jí)完整性要求(I)資產(chǎn)價(jià)值分級(jí)描述1–低低完整性對信息的34可用性要求

(A)資產(chǎn)價(jià)值分級(jí)描述1-低低可用性資產(chǎn)(信息,信息系統(tǒng)

系統(tǒng)資源/網(wǎng)絡(luò)服務(wù),人員等.)可以容忍多于一天的不能使用。2–中中可用性資產(chǎn)(信息,信息系統(tǒng)

系統(tǒng)資源/網(wǎng)絡(luò)服務(wù),人員等.)可以容忍半天到一天的不能使用。3–高高可用性資產(chǎn)(信息,信息系統(tǒng)

系統(tǒng)資源/網(wǎng)絡(luò)服務(wù),人員等.)可以容忍幾個(gè)小時(shí)的不能使用。4–非常高非常高的可用性資產(chǎn)(信息,信息系統(tǒng)

系統(tǒng)資源/網(wǎng)絡(luò)服務(wù),人員等.)必須保證每年每周24x7工作。資產(chǎn)分級(jí)可用性要求(A)資產(chǎn)價(jià)值分級(jí)描述1-低低可用性資產(chǎn)35威脅和脆弱性估計(jì)威脅應(yīng)該考慮它們出現(xiàn)的可能性，以及可能利用弱點(diǎn)/脆弱性可能性。實(shí)例不太可能發(fā)生的機(jī)會(huì)小于可能出現(xiàn)的機(jī)會(huì)小于25%很可能/大概機(jī)會(huì)50:50高可能發(fā)生的機(jī)會(huì)多于75%非?？赡懿话l(fā)生的機(jī)會(huì)小于1/10絕對無疑100%會(huì)發(fā)生威脅和脆弱性估計(jì)威脅應(yīng)該考慮它們出現(xiàn)的可能性，以及可能利用弱36風(fēng)險(xiǎn)控制RiskthresholdRisklevel風(fēng)險(xiǎn)控制RiskthresholdRisklevel37風(fēng)險(xiǎn)控制ContinualImprovement風(fēng)險(xiǎn)控制ContinualImprovement38啟示風(fēng)險(xiǎn)評估是出發(fā)點(diǎn)等級(jí)劃分是判斷點(diǎn)安全控制是落腳點(diǎn)啟示風(fēng)險(xiǎn)評估是出發(fā)點(diǎn)39風(fēng)險(xiǎn)評估

和

等級(jí)保護(hù)的關(guān)系風(fēng)險(xiǎn)評估

和

等級(jí)保護(hù)的關(guān)系4027號(hào)文件把實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)作為重要基礎(chǔ)性工作。信息安全等級(jí)保護(hù)制度是國家在國民經(jīng)濟(jì)和社會(huì)信息化的發(fā)展過程中，提高信息安全保障能力和水平，維護(hù)國家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)健康發(fā)展的一項(xiàng)基本制度。我們國家為實(shí)施等級(jí)保護(hù)奮斗了20年。

27號(hào)文件把實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)作為重要基礎(chǔ)性工作。41實(shí)施信息安全等級(jí)保護(hù)，能夠有效地提高我國信息和信息系統(tǒng)安全建設(shè)的整體水平，有利于在信息化建設(shè)過程中同步建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相協(xié)調(diào)；有利于為信息系統(tǒng)安全建設(shè)和管理提供系統(tǒng)性、針對性、可行性的指導(dǎo)和服務(wù)，有效控制信息安全建設(shè)成本；有利于優(yōu)化信息安全資源的配置，對信息系統(tǒng)分級(jí)實(shí)施保護(hù)，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)的安全；有利于明確國家、法人和其他組織、公民的信息安全責(zé)任，加強(qiáng)信息安全管理；有利于推動(dòng)信息安全產(chǎn)業(yè)的發(fā)展，逐步探索出一條適應(yīng)社會(huì)主義市場經(jīng)濟(jì)發(fā)展的信息安全模式。實(shí)施信息安全等級(jí)保護(hù)，能夠有效地提高我國信息和信息系統(tǒng)安全建42信息安全等級(jí)保護(hù)制度的基本內(nèi)容

信息安全等級(jí)保護(hù)是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。信息安全等級(jí)保護(hù)制度的基本內(nèi)容信息安全等級(jí)保護(hù)是指對國家秘43保護(hù)等級(jí)的劃分1、第一級(jí)為自主保護(hù)級(jí)，適用于一般的信息和信息系統(tǒng)，其受到破壞后，會(huì)對公民、法人和其他組織的權(quán)益有一定影響，但不危害國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益。2、第二級(jí)為指導(dǎo)保護(hù)級(jí)，適用于一定程度上涉及國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息系統(tǒng)，其受到破壞后，會(huì)對國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成一定損害。保護(hù)等級(jí)的劃分1、第一級(jí)為自主保護(hù)級(jí)，適用于一般的信息和信息443、第三級(jí)為監(jiān)督保護(hù)級(jí)，適用于涉及國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息和信息系統(tǒng)，其受到破壞后，會(huì)對國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成較大損害。4、第四級(jí)為強(qiáng)制保護(hù)級(jí)，適用于涉及國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng)，其受到破壞后，會(huì)對國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成嚴(yán)重?fù)p害。

3、第三級(jí)為監(jiān)督保護(hù)級(jí)，適用于涉及國家安全、社會(huì)秩序、經(jīng)濟(jì)建455、第五級(jí)為專控保護(hù)級(jí)，適用于涉及國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng)的核心子系統(tǒng)，其受到破壞后，會(huì)對國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成特別嚴(yán)重?fù)p害。5、第五級(jí)為?？乇Ｗo(hù)級(jí)，適用于涉及國家安全、社會(huì)秩序、經(jīng)濟(jì)建46實(shí)施信息安全等級(jí)保護(hù)工作的要求

（一）完善標(biāo)準(zhǔn)，分類指導(dǎo)。（二）科學(xué)定級(jí)，嚴(yán)格備案。（三）建設(shè)整改，落實(shí)措施。（四）自查自糾，落實(shí)要求。（五）建立制度，加強(qiáng)管理。（六）監(jiān)督檢查，完善保護(hù)。

實(shí)施信息安全等級(jí)保護(hù)工作的要求（一）完善標(biāo)準(zhǔn)，分類指導(dǎo)。47同一個(gè)問題的不同側(cè)面從資產(chǎn)的重要性看-劃分需要的保護(hù)等級(jí)。從面對的威脅和脆弱性看-進(jìn)行風(fēng)險(xiǎn)分析。從安全保障能力看-選擇需要的安全控制。等級(jí)保護(hù)制度進(jìn)行全面管理、響應(yīng)和處置。同一個(gè)問題的不同側(cè)面從資產(chǎn)的重要性看-劃分需要的保護(hù)等級(jí)。48幾點(diǎn)認(rèn)識(shí)風(fēng)險(xiǎn)評估是落實(shí)等級(jí)保護(hù)的抓手。面向?qū)ο蠛兔嫦蚴侄尾荒芊指?。IT驅(qū)動(dòng)和業(yè)務(wù)驅(qū)動(dòng)同樣需要。風(fēng)險(xiǎn)評估是出發(fā)點(diǎn)等級(jí)劃分是判斷點(diǎn)安全控制是落腳點(diǎn)幾點(diǎn)認(rèn)識(shí)風(fēng)險(xiǎn)評估是落實(shí)等級(jí)保護(hù)的抓手。49謝謝大家謝謝大家50演講完畢，謝謝觀看！演講完畢，謝謝觀看！51風(fēng)險(xiǎn)評估的國際動(dòng)態(tài)風(fēng)險(xiǎn)評估的國際動(dòng)態(tài)52匯報(bào)要點(diǎn)信息安全管理成為信息安全保障的熱點(diǎn)泰德帶來的啟示風(fēng)險(xiǎn)評估和等級(jí)保護(hù)的關(guān)系匯報(bào)要點(diǎn)信息安全管理成為信息安全保障的熱點(diǎn)53信息安全管理成為

信息安全保障的熱點(diǎn)信息安全管理成為

信息安全保障的熱點(diǎn)54ITIS$！信息就是財(cái)富,安全才有價(jià)值。CI:CriticalInfrastructureCIP:CriticalInfrastructureProtectionCII:CriticalInformation

Infrastructure.CIIP:CriticalInformation

InfrastructureProtection技術(shù)提供安全保障功能，但不是安全保障的全部提高人的安全意識(shí)，技術(shù)、管理兩手抓成為國際共識(shí)。ITIS$！55標(biāo)準(zhǔn)化組織和行業(yè)團(tuán)體抓緊制定管理標(biāo)準(zhǔn)ISO13335正在重組修改正在修訂17799BS7799-2成為國際標(biāo)準(zhǔn)正在討論標(biāo)準(zhǔn)化組織和行業(yè)團(tuán)體抓緊制定管理標(biāo)準(zhǔn)ISO56NIST在聯(lián)邦I(lǐng)T系統(tǒng)認(rèn)證認(rèn)可的名義下提出大量規(guī)范SP800-18《IT系統(tǒng)安全計(jì)劃開發(fā)指南》（1998年12月）

SP800-26《IT系統(tǒng)安全自評估指南》（2001年11月）SP800-30《IT系統(tǒng)風(fēng)險(xiǎn)管理指南》（2002年1月發(fā)布，2004年1月21日

修訂）SP800-37《聯(lián)邦I(lǐng)T系統(tǒng)認(rèn)證認(rèn)可指南》（2002年9月，2003年7月，2004年5月最后文本）FIPS199《聯(lián)邦信息和信息系統(tǒng)的安全分類標(biāo)準(zhǔn)》（草案第一版）（2003年12月）SP800-53《聯(lián)邦信息系統(tǒng)安全控制》（2003年8月31日發(fā)布草案）

SP800-53A《聯(lián)邦信息系統(tǒng)安全控制有效性檢驗(yàn)技術(shù)和流程》（計(jì)劃2003至2004年出版）SP800-60《信息和信息類型與安全目標(biāo)及風(fēng)險(xiǎn)級(jí)別對應(yīng)指南》（2004年3月草案2.0版)NIST在聯(lián)邦I(lǐng)T系統(tǒng)認(rèn)證認(rèn)可的名義下提出大量規(guī)范57ManagingEnterpriseRiskandAchievingMoreSecureInformationSystemsinvolves—Categorizing(enterpriseinformationandinformationsystems)Selecting(appropriatesecuritycontrols)Refining(securitycontrolsthroughariskassessment)Documenting(securitycontrolsinasystemsecurityplan)Implementing(securitycontrolsinnewandlegacysystems)Assessing(theeffectivenessofsecuritycontrols)Determining(enterprise-levelriskandriskacceptability)Authorizing(informationsystemsforprocessing)Monitoring(securitycontrolsonanongoingbasis)

ManagingEnterpriseRiskandA58國際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)

(ISACA)

提出：1.ISRiskAssessment,effective1July20022.DigitalSignatures,effective1July20023.IntrusionDetection,effective1August20034.VirusesandotherMaliciousLogic,effective1August20035.ControlRiskSelf-assessment,effective1August20036.Firewalls,effective1August20037.IrregularitiesandIllegalActsEffective1November20038.SecuurityAssessment—PenetrationTestingandVulnerabilityAnalysis,effective1September2004國際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(ISACA)提出：59提出《信息和相關(guān)技術(shù)的控制目標(biāo)》(CoBIT)CoBIT開發(fā)和推廣了第三版，CoBIT起源于組織為達(dá)到業(yè)務(wù)目標(biāo)所需的信息這個(gè)前提

CoBIT鼓勵(lì)以業(yè)務(wù)流程為中心，實(shí)行業(yè)務(wù)流程負(fù)責(zé)制CoBIT還考慮到組織對信用、質(zhì)量和安全的需要它提供了組織用于定義其對IT業(yè)務(wù)要求的幾條信息準(zhǔn)則：效率、效果、可用性、完整性、保密性、可靠性和一致性。提出《信息和相關(guān)技術(shù)的控制目標(biāo)》(CoBIT)60CoBIT進(jìn)一步把IT分成4個(gè)領(lǐng)域計(jì)劃和組織，獲取和運(yùn)用，交付和支持，監(jiān)控和評價(jià)。共計(jì)34個(gè)IT業(yè)務(wù)流程。其中3個(gè)與信息安全直接密切相關(guān)的業(yè)務(wù)流程是：計(jì)劃和組織流程9——評估風(fēng)險(xiǎn)：傳遞和支持流程4——確保連貫的服務(wù)；傳遞和支持流程5——保證系統(tǒng)安全。CoBIT進(jìn)一步把IT分成4個(gè)領(lǐng)域61CoBIT為正在尋求控制實(shí)施最佳實(shí)踐的管理者和IT實(shí)施人員提供了超過300個(gè)詳細(xì)的控制目標(biāo)，以及建立在這些目標(biāo)上的廣泛的行動(dòng)指南。后者是用來評估和審計(jì)對IT流程控制和治理的程度。CoBIT為正在尋求控制實(shí)施最佳實(shí)踐的管理者和IT實(shí)施人員提62國際CIIP手冊(2004)國際CIIP手冊(2004)63PartIIAnalysisofMethodsandModelsforCIIAssessment1SectorAnalysis2InterdependencyAnalysis3RiskAnalysis4ThreatAssessment5VulnerabilityAssessment6ImpactAssessment7SystemAnalysisPartIIAnalysisofMethodsan642002年版TechnicalIT-SecurityModelsRiskAnalysisMethodology(forITSystems)InfrastructureRiskAnalysisModel(IRAM)Leontief-BasedModelofRiskinComplexInterconnectedInfrastructures

2002年版TechnicalIT-SecurityMo65SectorandLayerModel,SectorAnalysis,ProcessandTechnologyAnalysis,DimensionalInterdependencyAnalysis.SectorandLayerModel,66泰德帶來的啟示泰德帶來的啟示67風(fēng)險(xiǎn)三角形風(fēng)險(xiǎn)資產(chǎn)威脅脆弱性風(fēng)險(xiǎn)三角形風(fēng)險(xiǎn)資產(chǎn)威脅脆弱性68泰德眼中的

InformationSecurityGovernance

標(biāo)準(zhǔn)體系（

ISMS）BS7799Part2CorporateGovernancePLANDOACTCHECK風(fēng)險(xiǎn)管理處理系統(tǒng)控制內(nèi)部審計(jì)功能ISO/IEC17799泰德眼中的

InformationSecurityGov69ISMSStandards

ISO/IEC17799and

BS7799-2SecurityprocessesandcontrolcompliancestatementsControlsandcontrolimplementationadviceControlsNON-MANDATORYStatementsRiskassessmentAudit/reviewsMANDATORYStatementsRiskassessment,treatmentandmanagementComplianceaudit/reviews(SHALLstatements)GovernanceprinciplesISMSStandards

ISO/IEC17799a70ISMSSpecifications

ISMSStandards

Managementsystemspecs,guidance&auditingBS7799Part2ISMSGuidelines(riskassessment,selectionofcontrols)GMITS/MICTSISO/IEC18044IncidenthandlingPD3000seriesonriskandselectionofcontrolsISMSControlCataloguesISO/IEC17799Managementsystemcertificationandaccreditationstandards(auditingprocess,proceduresetc)ISOGuide62EA7/03EN45013EN45012ISO19011ISO9001NationalschemesandstandardsISMSSpecificationsISMSStanda71ProductStandardsTechnicalimplementationandspecificationstandardsEncryptionAuthenticationDigitalsignaturesKeymanagementNon-repudiationITnetworksecurityTPPservicesTimestampingAccesscontrolBiometricsCardsProductandproductsystemtestingandevaluationISO/IEC15408EvaluationcriteriaProtectionprofilesProductStandardsTechnicalimp72ISMSStandards

BS7799-2:2002PLANDOACTCHECKPDCAModelDesignISMSImplement&useISMSMonitor&reviewISMSMaintain&improveISMSRiskbasedcontinualimprovementframeworkforinformationsecuritymanagementISMSStandards

BS7799-2:2002P73ISO/IEC17799新老版本對比SecuritypolicySecurityorganisationAssetclassification&controlPersonnelsecurityPhysical&environmentalsecurityCommunications&operationsmanagementAccesscontrolSystemsdevelopment&maintenanceBusinesscontinuityCompliance2000versionSecuritypolicyOrganisinginformationsecurityAssetmanagementHumanresourcessecurityPhysical&environmentalsecurityCommunications&operationsmanagementAccesscontrolInformationsystemsacquisition,developmentandmaintenance

BusinesscontinuitymanagementComplianceInformationsecurityincidentmanagementnewversionSecuritypolicyOrganisinginformationsecurityAssetmanagementHumanresourcessecurityPhysical&environmentalsecurityCommunications&operationsmanagementAccesscontrolInformationsystemsacquisition,developmentandmaintenance

BusinesscontinuitymanagementComplianceInformationsecurityincidentmanagementnewversionISO/IEC17799新老版本對比Securitypo74ISMSStandards

RevisionofISO/IEC17799:2000SatisfyrequirementControl(plussupportingtext)Staterequirement2000editionControlObjectiveControlImplementationguidanceOtherinformationRevisededitionControlObjectiveISMSStandards

RevisionofISO75新老版本變化ISO/IEC17799neweditionISO/IEC17799oldedition9oldcontrolsdeleted16newcontrolsadded118controlsremaining老版本:包含10個(gè)控制要項(xiàng)，36個(gè)控制目標(biāo)，127個(gè)控制措施新版本:11個(gè)39個(gè)134個(gè)新老版本變化ISO/IEC17799ISO/IEC17776風(fēng)險(xiǎn)評估如何貫穿于安全管理

BS7799-2:2002設(shè)計(jì)ISMSImplementandusetheISMSMonitoringandreviewtheISMSImproveandupdatetheISMS計(jì)劃DOCHECKACTISMS定義ISMS的執(zhí)行范圍和政策執(zhí)行風(fēng)險(xiǎn)評估對風(fēng)險(xiǎn)評估處理作出決定

選擇控制風(fēng)險(xiǎn)評估如何貫穿于安全管理

BS7799-2:2002設(shè)計(jì)77ISMSStandards

BS7799-2:2002DesigntheISMS執(zhí)行和使用ISMSMonitoringandreviewtheISMSImproveandupdatetheISMSPLAN行動(dòng)CHECKACTISMS執(zhí)行風(fēng)險(xiǎn)評估處理計(jì)劃執(zhí)行控制執(zhí)行意識(shí)/培訓(xùn)將ISMS放到

操作使用中ISMSStandards

BS7799-2:2002D78ISMSStandards

BS7799-2:2002DesigntheISMSImplementandusetheISMS監(jiān)控和檢查ISMSImproveandupdatetheISMSPLANDO檢查ACTISMS執(zhí)行監(jiān)控進(jìn)程執(zhí)行定期檢查

檢查剩余風(fēng)險(xiǎn)和可接受的風(fēng)險(xiǎn)內(nèi)部審計(jì)ISMSStandards

BS7799-2:2002D79ISMSStandards

BS7799-2:2002DesigntheISMSImplementandusetheISMSMonitoringandreviewtheISMS改進(jìn)和升級(jí)ISMSPLANDOCHECKACTISMS實(shí)現(xiàn)改進(jìn)矯正性和預(yù)防性的活動(dòng)傳達(dá)結(jié)果

檢查改進(jìn)達(dá)到的目標(biāo)ISMSStandards

BS7799-2:2002D80ISMSAssetsBusinessprocessesInformation

PeopleServicesICTPhysicallocationApplications

assetdirectoryAssetsCorporateimagePeopleInformation/informationsystemsProcessesProducts/servicesApplicationsICTPhysicalISO/IEC177997.1.1InventoryofassetsISMSAssetsBusinessprocessesI81ISMSRisksAssetthreats&vulnerabilitiesAssetvalue&utility

assetdirectoryAssetsCorporateimagePeopleInformation/informationsystemsProcessesProducts/servicesApplicationsICTPhysicalRisktreatmentRisks&impactsRisktreatmentISMSRisksAssetAssetvaluea82風(fēng)險(xiǎn)等級(jí)不可容忍的風(fēng)險(xiǎn)可容忍的風(fēng)險(xiǎn)很少發(fā)生業(yè)務(wù)暴露持續(xù)的業(yè)務(wù)暴露對業(yè)務(wù)影響的因果關(guān)系較小對業(yè)務(wù)產(chǎn)生災(zāi)難性影響的因果關(guān)系業(yè)務(wù)影響低(可忽略,無關(guān)緊要,為不足道,無須重視)

中低(值得注意,相當(dāng)可觀但不是主要的)

中

(重要,主要)中高

(嚴(yán)重危險(xiǎn),潛在災(zāi)難)高

(破壞性的,總體失靈,完全停頓)風(fēng)險(xiǎn)等級(jí)不可容忍可容忍很少發(fā)生業(yè)務(wù)暴露持續(xù)的業(yè)務(wù)暴露對業(yè)務(wù)影83保密性要求(C)資產(chǎn)價(jià)值分級(jí)描述1–低可公開非敏感信息和信息處理設(shè)施及系統(tǒng)資源，可以公開.。2–中僅供內(nèi)部使用或限制使用非敏感的信息僅限內(nèi)部使用，即不能公開或限制信息或信息處理設(shè)施及系統(tǒng)資源可在組織內(nèi)部根據(jù)業(yè)務(wù)需要的約束來使用。3–高秘密或絕密敏感的信息或信息處理設(shè)施和系統(tǒng)資源，只能根據(jù)需要（need-to-know）或嚴(yán)格依據(jù)工作需要。資產(chǎn)分級(jí)

保密性要求(C)資產(chǎn)價(jià)值分級(jí)描述1–低可公開非敏感信息84完整性要求(I)資產(chǎn)價(jià)值分級(jí)描述1–低低完整性對信息的非授權(quán)的損害或更改不會(huì)危及業(yè)務(wù)應(yīng)用或?qū)I(yè)務(wù)的影響可以忽略。2–中中完整性對信息的非授權(quán)的損害或更改不會(huì)危及業(yè)務(wù)應(yīng)用，但是值得注意以及對業(yè)務(wù)的影響是重要的。3–高高或非常高完整性對信息的非授權(quán)的損害或更改危及業(yè)務(wù)應(yīng)用，且對業(yè)務(wù)的影響是嚴(yán)重的并會(huì)導(dǎo)致業(yè)務(wù)應(yīng)用的重大或全局失敗。資產(chǎn)分級(jí)完整性要求(I)資產(chǎn)價(jià)值分級(jí)描述1–低低完整性對信息的85可用性要求

(A)資產(chǎn)價(jià)值分級(jí)描述1-低低可用性資產(chǎn)(信息,信息系統(tǒng)

系統(tǒng)資源/網(wǎng)絡(luò)服務(wù),人員等.)可以容忍多于一天的不能使用。2–中中可用性資產(chǎn)(信息,信息系統(tǒng)

系統(tǒng)資源/網(wǎng)絡(luò)