第1章 概述V5課件_第1頁
第1章 概述V5課件_第2頁
第1章 概述V5課件_第3頁
第1章 概述V5課件_第4頁
第1章 概述V5課件_第5頁
已閱讀5頁,還剩16頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

2018/7/5第1章概述1信息安全保障人員認證22引入隨著我國信息化進程的推進,信息系統(tǒng)應用到社會的各個

領域。信息及網絡通信技術的進步為信息共享、數(shù)據(jù)融合、系統(tǒng)集約化提出了新的需求,信息系統(tǒng)在功能不斷強大的

同時,系統(tǒng)構成卻越來越復雜,安全問題層出不窮。信息社會發(fā)展過程中,新舊信息系統(tǒng)并存的現(xiàn)象將一直存在,如何實現(xiàn)對信息系統(tǒng)的安全集成是我們本書討論的主要話題。12018/7/5信息安全保障人員認證33信息系統(tǒng)內容1系統(tǒng)、信息系統(tǒng)集成2集成概念解析信息系統(tǒng)安全集成法律法規(guī)3一個核心兩種模式41.1信息系統(tǒng)22018/7/5信息安全保障人員認證51.1信息系統(tǒng)信息香農博士:信息是消除不確定性的東西國標GB4894-85現(xiàn)代科學維納信息安全保障人員認證61.1信息系統(tǒng)系統(tǒng)貝塔朗菲:系統(tǒng)是相互聯(lián)系相互作用的諸元素的綜合體錢學森GB/T

20261朗文詞典32018/7/5信息安全保障人員認證7系統(tǒng)的基本特征有機組合整體性和獨立性層次性和聚合性穩(wěn)定性信息安全保障人員認證81.1信息系統(tǒng)信息系統(tǒng)GB/Z20986-2007:”由計算機及其相關的和配套的設備、設施(含網絡)構成的,按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)“42018/7/5信息安全保障人員認證9信息系統(tǒng)的基本特征有機組合整體性和獨立性層次性和聚合性穩(wěn)定性安全屬性1.2系統(tǒng)集成52018/7/5信息安全保障人員認證111.2系統(tǒng)集成信息系統(tǒng)集成系統(tǒng)集成集成數(shù)據(jù)載體環(huán)境邊界信息系統(tǒng)集成策

開劃

發(fā)管理

資源實施12保障服務信息安全保障人員認證62018/7/51.3信息系統(tǒng)安全集成信息安全保障人員認證141.3信息系統(tǒng)安全集成基本概念安全信息系統(tǒng)安全集成CCRC-ISV-R01:2018《信息安全服務資質認證實施規(guī)則》CCRC-ISV-C01:2018《信息安全服務規(guī)范》72018/7/5信息安全保障人員認證15CISAW統(tǒng)一模型CISAW信息安全保障模型通過實現(xiàn)數(shù)據(jù)、載體、環(huán)境與邊界4個實體對象全生命周期的可用性、完整性、真實性、機密性、不可否認性等若干安全屬性來支撐“業(yè)務”的正常進行。并在實現(xiàn)安全屬性的過程中采取了預警、保護、檢測、響應、恢復和反擊6個動態(tài)安全環(huán)節(jié)的技術手段與措施。模型中為實現(xiàn)上述對象的安全屬性及6個環(huán)節(jié)需要充足的人力、財務、技術、信息資源提供保障。而以上的各類對象、環(huán)節(jié)、資源都必須進行綜合有效的管理。生命環(huán)境期周完整真實機密可控可靠預警W可用不可否認反應R保護P檢測D恢復R反擊C資源管理…環(huán)境與邊界數(shù)據(jù)載體業(yè)務信息安全保障人員認證16CISAW信息系統(tǒng)安全集成模型一個核心業(yè)務兩種模式安全集成和集成安全四個階段安全需求界定、安全設計、安全實施、安全保障八個環(huán)節(jié)82018/7/5信息安全保障人員認證17安全集成模型業(yè)務信息安全保障人員認證18CISAW信息系統(tǒng)安全集成模型92018/7/5信息安全保障人員認證19安全集成模型業(yè)務信息安全保障人員認證20安全集成模型業(yè)務對象措施資源管理102018/7/5信息安全保障人員認證21安全集成模型信息安全保障人員認證22安全集成本質信息系統(tǒng)安全集成過程是安全集成所涉及的各個要素建立聯(lián)系的過程,這些要素包括核心業(yè)務對象、實體對象及其生命周期、安全屬性、資源與管理。業(yè)務流實體對象安全屬性集成資源整合管理統(tǒng)籌112018/7/5信息安全保障人員認證23安全的集成數(shù)據(jù)載體環(huán)境數(shù)據(jù)安全子系統(tǒng)/設備載體安全子系統(tǒng)/設備環(huán)境安全子系統(tǒng)/設備信息安全保障人員認證24安全的集成特點現(xiàn)有系統(tǒng)展開,具有事后性松耦合無法根本解決安全問題、脆弱性122018/7/5信息安全保障人員認證250203040506070801措施盤點措施計劃措施實施監(jiān)視評審改進安全集成模式風險評估符合性要求信息安全保障人員認證26集成的安全132018/7/5信息安全保障人員認證27集成的安全特點同步性緊密耦合底層出發(fā)、較好解決安全問題和脆弱性信息安全保障人員認證280203040506070801評審監(jiān)視改進集成安全模式風險評估符合性要求142018/7/5兩種模式符合性要求改進

風險評估評審監(jiān)視

工程實施安全評測集成與安全設計評審改進監(jiān)視29符合性要求措施實施風險評估措施盤點措施計劃信息安全保障人員認證1.4法律法規(guī)152018/7/5信息安全保障人員認證311.4法律法規(guī)及標準信息系統(tǒng)安全工程GB/T20261-2006/ISO218270:2002

SSE-CMMGB/T20282:2006信息系統(tǒng)工程安全管理要求GB/T20271:2006信息系統(tǒng)通用安全技術要求TCSEC標準CC標準第三章信息安全保障人員認證32法律法規(guī)及標準–國際標準信息安全管理體系相關標準ISO/IEC27000

ISMS概述和術語ISO/IEC27001信息安全管理體系要求ISO/IEC27002信息安全管理體系實用規(guī)則ISO/IEC27003信息安全管理體系實施指南ISO/IEC27004信息安全管理度量ISO/IEC27005信息安全風險管理ISO/IEC27006

ISMS認證機構的認可要求ISO/IEC27007信息安全管理體系審核指南ISO/IEC27008

ISMS控制措施審核員指南ISO/IEC27010部門間通信的信息安全管理ISO/IEC27011電信業(yè)信息安全管理指南162018/7/5信息安全保障人員認證33法律法規(guī)及標準–國際標準信息系統(tǒng)安全工程TCSEC標準美國可信計算機系統(tǒng)評價標準全安等級:A、B、C、D四類八個級別,27準則CC標準信息安全保障人員認證34法律法規(guī)及標準–國際標準信息系統(tǒng)安全工程TCSEC標準CC標準信息技術安全評估通用準則美、加、歐共體172018/7/5信息安全保障人員認證35法律法規(guī)及標準–國內標準GB17859—1999計算機信息系統(tǒng)安全保護等級劃分準則GA/T390—2002計算機信息系統(tǒng)安全等級保護通用技術要求GA/T391—2002計算機信息系統(tǒng)安全等級保護管理要求GA163—1997計算機信息系統(tǒng)安全專用產品分類原則GB9361—88S計算站場地安全要求GB/T22080—2008信息技術安全技術信息安全管理體系要求GB/T22081—2008信息技術安全技術信息安全管理實用規(guī)則……信息安全保障人員認證法律法規(guī)及標準–法律法規(guī)《中華人民共和國計算機信息系統(tǒng)安全保護條例》;《計算機信息網絡國際聯(lián)網安全保護管理辦法》;《計算機信息網絡國際聯(lián)網管理暫行規(guī)定實施辦法》;《關于維護互聯(lián)網安全的決定》;《互聯(lián)網上網服務營業(yè)場所管理條例》;《互聯(lián)網安全保護技術措施規(guī)定》;《互聯(lián)網電子郵件服務管理辦法》;《國務院關于大力推進信息化發(fā)展和切實保障信息安全的若干意見(2013)》;《國家安全監(jiān)管總局辦公廳關于印發(fā)總局網絡運行和信息安全保密管理辦法的通知》;《信息網絡傳播權保護條例(2013修訂)》;《全國人大常委會關于加強網絡信息保護的決定》;《互聯(lián)網信息服務管理辦法》;《工業(yè)和信息化部關于近期部分互聯(lián)網站信息泄露事件的通告(2011)》;《中華人民共和國保守國家秘密法》;《中華人民共和國國家安全法》;《計算機信息系統(tǒng)安全專用產品檢測和銷36

售許可證管理辦法》;182018/7/5信息安全保障人員認證37法律法規(guī)及標準–法律法規(guī)《涉及國家秘密的通信、辦公自動化和計算機信息系統(tǒng)審批暫行辦法》;《商用密碼管理條例》;《科學技術保密規(guī)定》;《關于禁止侵犯商業(yè)秘密行為的若干規(guī)定》;《加強科技人員流動中技術秘密管理的若干意見》;《計算機病毒防治管理辦法》;《計算機信息系統(tǒng)國際聯(lián)網保密管理規(guī)定》;《中華人民共和國電信條例》;《聯(lián)網單位安全員管理辦法》;《計算機軟件保護條例》;《信息安全產品測評認證管理辦法》;《中華人民共和國電子簽名法》;《商用密碼產品銷售管理規(guī)定》;《電子認證服務密碼管理辦法》;《商用密碼科研管理規(guī)定》;《商用密碼產品生產管理規(guī)定》;信息安全保障人員認證38法律法規(guī)及標準–法律法規(guī)《電子認證服務管理辦法》;《關于加強新技術產品使用保密管理的通知》;《商用密碼產品使用管理規(guī)定》;《信息安全等級保護管理辦法》;《境外組織和個人在華使用密碼產品管理辦法》;《刑法修正案(七)關于信息安全的修訂與解讀》;《通信網絡安全防護管理辦法》;《中央企業(yè)商業(yè)秘密保護暫行規(guī)定》192018/7/5信息安全保障人員認證39謝謝!202018/7

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論