【信息安全】普華永道-信息安全標(biāo)準(zhǔn)培訓(xùn)

信息平安標(biāo)準(zhǔn)2021年4月3日季瑞華合伙人系統(tǒng)和流程管理提綱信息平安標(biāo)準(zhǔn)概述國(guó)際標(biāo)準(zhǔn)–ISO/IEC系列信息平安標(biāo)準(zhǔn)國(guó)際標(biāo)準(zhǔn)–COBIT國(guó)內(nèi)標(biāo)準(zhǔn)－等級(jí)保護(hù)平安標(biāo)準(zhǔn)的總結(jié)問(wèn)題與答復(fù)2提綱信息平安標(biāo)準(zhǔn)概述國(guó)際標(biāo)準(zhǔn)–ISO/IEC系列信息平安標(biāo)準(zhǔn)國(guó)際標(biāo)準(zhǔn)–COBIT國(guó)內(nèi)標(biāo)準(zhǔn)－等級(jí)保護(hù)平安標(biāo)準(zhǔn)的總結(jié)問(wèn)題與答復(fù)3信息平安標(biāo)準(zhǔn)概述信息平安的重要性得到廣泛的關(guān)注。與此同時(shí)，國(guó)際和國(guó)內(nèi)的各種官方和科研機(jī)構(gòu)都發(fā)布了大量的平安標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)都是為實(shí)現(xiàn)平安目標(biāo)而效勞，并從不同的角度對(duì)如何保障組織的信息平安提供了指導(dǎo)。4信息平安標(biāo)準(zhǔn)的演進(jìn)5主要的信息平安標(biāo)準(zhǔn)－國(guó)際標(biāo)準(zhǔn)發(fā)布的機(jī)構(gòu)安全標(biāo)準(zhǔn)1ISO（國(guó)際標(biāo)準(zhǔn)組織）ISO17799/ISO27001/ISO27002ISO/IEC15408ISO/IEC13335ISO/TR135692ISACA（信息系統(tǒng)審計(jì)與控制學(xué)會(huì)）COBIT4.13ISSEA（國(guó)際系統(tǒng)安全工程協(xié)會(huì)）SSE-CMMSystemsSecurityEngineering-CapabilityMaturityModel3.04ISSA（信息系統(tǒng)安全協(xié)會(huì)）GAISPVersion3.05ISF(信息安全論壇）TheStandardofGoodPracticeforInformationSecurity6IETF（互聯(lián)網(wǎng)工程任務(wù)小組）各種RFC（RequestforComments）6主要的信息平安標(biāo)準(zhǔn)－國(guó)際標(biāo)準(zhǔn)(續(xù)〕發(fā)布的機(jī)構(gòu)安全標(biāo)準(zhǔn)7NIST（國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所）NIST800系列8DOD(美國(guó)國(guó)防部)TCSEC（可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)標(biāo)準(zhǔn)）－彩虹系列9CarnegieMellonSoftwareEngineeringInstitute(SEI)

OperationallyCriticalThreat,Asset,andVulnerabilityEvaluation(OCTAVE)CriteriaVersion2.010OECD（經(jīng)濟(jì)與貿(mào)易發(fā)展組織）GuidelinesfortheSecurityofInformationSystemsandNetworksandAssociatedImplementationPlan11TheOpenGroupManager’sGuidetoInformationSecurity12ITILSecuritymanagement除了上述標(biāo)準(zhǔn)，世界各國(guó)的官方機(jī)構(gòu)和行業(yè)監(jiān)管機(jī)構(gòu)還有許多信息平安方面的標(biāo)準(zhǔn)、指引和建議的操作實(shí)踐。7主要的信息平安標(biāo)準(zhǔn)－國(guó)內(nèi)標(biāo)準(zhǔn)發(fā)布的機(jī)構(gòu)安全標(biāo)準(zhǔn)1全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)等級(jí)保護(hù)系列標(biāo)準(zhǔn)信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南其他信息安全標(biāo)準(zhǔn)－截至2007年底，共完成了國(guó)家標(biāo)準(zhǔn)59項(xiàng)，還有56項(xiàng)國(guó)家標(biāo)準(zhǔn)在研制中。2公安部、安全部、國(guó)家保密局、國(guó)家密碼管理委員會(huì)等部門一系列的信息安全方面的政策法規(guī)如：計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法互聯(lián)網(wǎng)信息服務(wù)管理辦法計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定計(jì)算機(jī)軟件保護(hù)條例商用密碼管理?xiàng)l例，等。8在下面的課程中，我們會(huì)主要介紹以下標(biāo)準(zhǔn)：9提綱信息平安標(biāo)準(zhǔn)概述國(guó)際標(biāo)準(zhǔn)–ISO/IEC系列信息平安標(biāo)準(zhǔn)國(guó)際標(biāo)準(zhǔn)–COBIT國(guó)內(nèi)標(biāo)準(zhǔn)－等級(jí)保護(hù)平安標(biāo)準(zhǔn)的比較問(wèn)題與答復(fù)10國(guó)際標(biāo)準(zhǔn)化組織簡(jiǎn)介11關(guān)于ISO/IEC17799/27001/2700212ISO/IEC17799模型ISO/IEC17799標(biāo)準(zhǔn)的內(nèi)容涉及10個(gè)領(lǐng)域，36個(gè)控制目標(biāo)和127個(gè)控制措施。13ISO17799模型SecurityPolicyAssetClassificationAndControlSecurityOrganization分配職責(zé)和分工，第3方授權(quán)，風(fēng)險(xiǎn)/控制的外包資產(chǎn)的保存，對(duì)于敏感/商業(yè)風(fēng)險(xiǎn)的區(qū)分14ISO17799模型PersonalSecurityComm/OpsManagementPhysicalandEnvironmentSecurity員工聘請(qǐng)，知識(shí)培訓(xùn)，事故報(bào)告等物理平安參數(shù)，設(shè)備保護(hù)，桌面及電腦的重要文件的保護(hù)事故流程，職責(zé)別離，系統(tǒng)規(guī)劃，電子郵件控制15ISO17799模型AccessControlBusinessContinuityPlanningSystemDevelopmentandMaintenance權(quán)限管理：包括應(yīng)用系統(tǒng)，操作系統(tǒng)，網(wǎng)絡(luò)變更控制，環(huán)境劃分，平安設(shè)備商業(yè)可持續(xù)性方案及其框架，測(cè)試方案以及方案的維護(hù)和更新Compliance版權(quán)控制，記錄和信息的保存，數(shù)據(jù)保護(hù)，公司制度的服從16ISO/IEC27001/27002:2005

的內(nèi)容總共分成

11個(gè)領(lǐng)域、

39個(gè)控制目標(biāo)、

133個(gè)控制措施。

11個(gè)領(lǐng)域包括

A.1

Security

Policy

A.2

organization

of

information

security

A.3

Asset

management

A.4

Human

resources

security

A.5

Physical

and

environmental

security

A.6

Communications

and

operations

management

A.7

Access

control

A.8

Information

systems

acquisition,

development

and

maintenance

A.8

Information

security

incident

management

A.10

Business

continuity

management

A.11

Compliance

17關(guān)于ISO/IEC1540818ISO/IEC15408的內(nèi)容19ISO/IEC15408的特點(diǎn)20ISO/IEC15408的類別21ISO/IEC15408的評(píng)估方法對(duì)于信息系統(tǒng)和產(chǎn)品進(jìn)行平安認(rèn)證ISO/IEC15408通常采用如下方法進(jìn)行評(píng)估：分析和檢查進(jìn)程與過(guò)程檢查進(jìn)程和過(guò)程被應(yīng)用的情況分析TOE設(shè)計(jì)表示一致性分析TOE設(shè)計(jì)表示與需求的滿足性驗(yàn)證分析指南文檔分析功能測(cè)試和測(cè)試結(jié)果獨(dú)立功能測(cè)試分析脆弱性〔包括漏洞假說(shuō)〕侵入測(cè)試等〔TOE是評(píng)估對(duì)象〔TargetofEvaluation〕的縮寫〕22關(guān)于ISO/IEC1333523關(guān)于ISO13569ISO13569的全稱為ISO/TR13569:2005Financialservices--Informationsecurityguidelines。它提供了對(duì)于金融效勞行業(yè)機(jī)構(gòu)的信息平安程序開(kāi)發(fā)的指導(dǎo)方針。它包括了對(duì)制度，組織結(jié)構(gòu)和法律法規(guī)等內(nèi)容的討論。該標(biāo)準(zhǔn)對(duì)組織選擇和實(shí)施平安控制，和金融機(jī)構(gòu)用于管理信息平安風(fēng)險(xiǎn)的要素進(jìn)行了闡述。ISO13569于1997年首次發(fā)布，分別于2003年和2005年更新，目前的最新版本為2005年的版本。24ISO/IEC13569的主要內(nèi)容25提綱信息平安標(biāo)準(zhǔn)概述國(guó)際標(biāo)準(zhǔn)–ISO/IEC系列信息平安標(biāo)準(zhǔn)國(guó)際標(biāo)準(zhǔn)–COBIT國(guó)內(nèi)標(biāo)準(zhǔn)－等級(jí)保護(hù)平安標(biāo)準(zhǔn)的比較問(wèn)題與答復(fù)26COBIT簡(jiǎn)介27COBIT來(lái)源28COBIT涉及領(lǐng)域商業(yè)目標(biāo)及IT治理目標(biāo)效率應(yīng)用系統(tǒng)信息基礎(chǔ)架構(gòu)人力交付與支持監(jiān)控與評(píng)估獲得與實(shí)施信息IT資源CobiT框架效果保密性完整性可用性合規(guī)性DS1定義和管理服務(wù)水平DS2管理第三方服務(wù)DS3性能管理和容量管理DS4確保服務(wù)的連續(xù)性DS5確保系統(tǒng)安全DS6確定并分配成本DS7教育和培訓(xùn)用戶DS8服務(wù)臺(tái)和緊急事件管理DS9配置管理DS10問(wèn)題管理DS11數(shù)據(jù)管理DS12物理環(huán)境管理DS13運(yùn)營(yíng)管理ME1監(jiān)控和評(píng)價(jià)IT績(jī)效ME2監(jiān)控和評(píng)價(jià)內(nèi)部控制ME3確保與法律的符合性ME4提供IT治理P01定義IT戰(zhàn)略計(jì)劃P02定義IT信息架構(gòu)P03確定技術(shù)導(dǎo)向P04定義IT過(guò)程/組織和關(guān)系P05IT投資管理P06傳遞管理目標(biāo)和方向P07IT人力資源管理P08質(zhì)量管理P09IT風(fēng)險(xiǎn)評(píng)估及管理P10項(xiàng)目管理AI1識(shí)別自動(dòng)化解決方案AI2獲取并維護(hù)應(yīng)用軟件AI3獲取并維護(hù)技術(shù)基礎(chǔ)設(shè)施AI4保障運(yùn)營(yíng)和使用AI5獲取IT資源AI6變革管理AI7安裝/授權(quán)解決方案和變更計(jì)劃與組織可靠性29COBIT的組件實(shí)施概要管理層指引具體控制目標(biāo)構(gòu)架伴隨高級(jí)控制目標(biāo)關(guān)鍵職能和目標(biāo)說(shuō)明關(guān)鍵的成功因素 成熟的模板審計(jì)指引實(shí)施工具30COBIT框架的原理控制領(lǐng)域(Domains)流程(Processes)活動(dòng)(Activities/Tasks)人力資源應(yīng)用系統(tǒng)基礎(chǔ)架構(gòu)信息可信賴性需求質(zhì)量需求信息處理要求安全性

需求31COBIT框架的原理有效性應(yīng)以及時(shí)、正確、一致及可用的方式與業(yè)務(wù)流程有關(guān)的信息效率通過(guò)優(yōu)化（生產(chǎn)率最高且經(jīng)濟(jì)合理）資源使用來(lái)交付信息保密性保護(hù)敏感信息免受未授權(quán)訪問(wèn)完整性信息的正確和完整，并根據(jù)業(yè)務(wù)價(jià)值和期望進(jìn)行嚴(yán)正可用性若業(yè)務(wù)流程現(xiàn)在或?qū)?lái)產(chǎn)生需要，信息是可用的，關(guān)注于保護(hù)所需的資源及相應(yīng)的能力合規(guī)性外部合規(guī)性和內(nèi)部合規(guī)性，滿足業(yè)務(wù)流程必須遵循的法律、法規(guī)及合同要求可靠性為管理者提供適當(dāng)信息，以檢驗(yàn)管理者的履職程度和職責(zé)可信性需求安全需求質(zhì)量需求信息處理要求IT資源IT流程32COBIT框架的原理應(yīng)用系統(tǒng)信息基礎(chǔ)架構(gòu)人員IT資源信息處理要求IT流程33提綱信息平安標(biāo)準(zhǔn)概述國(guó)際標(biāo)準(zhǔn)–ISO/IEC系列信息平安標(biāo)準(zhǔn)國(guó)際標(biāo)準(zhǔn)–COBIT國(guó)內(nèi)標(biāo)準(zhǔn)－等級(jí)保護(hù)平安標(biāo)準(zhǔn)的總結(jié)問(wèn)題與答復(fù)3435等級(jí)保護(hù)是什么？3637等級(jí)保護(hù)的分級(jí)38等級(jí)保護(hù)定級(jí)要素對(duì)客體的侵害程度造成一般損害造成嚴(yán)重?fù)p害造成特別嚴(yán)重?fù)p害39平安保護(hù)要素與等級(jí)關(guān)系業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體對(duì)相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)40等級(jí)保護(hù)監(jiān)管級(jí)別與等級(jí)對(duì)應(yīng)情況等級(jí)對(duì)象侵害客體侵害程度監(jiān)管強(qiáng)度第一級(jí)一般系統(tǒng)合法權(quán)益損害自主保護(hù)第二級(jí)合法權(quán)益嚴(yán)重?fù)p害指導(dǎo)社會(huì)秩序和公共利益損害第三級(jí)重要系統(tǒng)社會(huì)秩序和公共利益嚴(yán)重?fù)p害監(jiān)督檢查國(guó)家安全損害第四級(jí)社會(huì)秩序和公共利益特別嚴(yán)重?fù)p害強(qiáng)制監(jiān)督檢查國(guó)家安全嚴(yán)重?fù)p害第五級(jí)極端重要系統(tǒng)國(guó)家安全特別嚴(yán)重?fù)p害專門監(jiān)督檢查41等級(jí)保護(hù)定級(jí)流程信息系統(tǒng)平安包括業(yè)務(wù)信息平安和系統(tǒng)效勞平安，與之相關(guān)的受侵害客體和對(duì)客體得侵害程度可能不同，因此信息系統(tǒng)定級(jí)也應(yīng)由業(yè)務(wù)信息平安和系統(tǒng)效勞平安兩方面確定。具體流程為：確定業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體綜合評(píng)定對(duì)客體的侵害程度確定定級(jí)對(duì)象業(yè)務(wù)信息安全等級(jí)定級(jí)對(duì)象的安全保護(hù)等級(jí)確定系統(tǒng)服務(wù)安全受到破壞時(shí)所侵害的客體綜合評(píng)定對(duì)客體的侵害程度系統(tǒng)服務(wù)安全等級(jí)42等級(jí)保護(hù)定級(jí)對(duì)象確定作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)具有如下根本特征：具有唯一確定的平安責(zé)任單位作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)能夠唯一地確定其平安責(zé)任單位，這個(gè)平安責(zé)任單位就是負(fù)責(zé)等級(jí)保護(hù)工作部署、實(shí)施的單位，也是完成等級(jí)保護(hù)備案和接受監(jiān)督檢查的直接責(zé)任單位。具有信息系統(tǒng)的根本要素作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)那么組合而成的有形實(shí)體。應(yīng)防止將某個(gè)單一的系統(tǒng)組件，如單臺(tái)的效勞器、終端或網(wǎng)絡(luò)設(shè)備等作為定級(jí)對(duì)象。承載單一或相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用定級(jí)對(duì)象承載“相對(duì)獨(dú)立〞的業(yè)務(wù)應(yīng)用是指其中的一個(gè)或多個(gè)業(yè)務(wù)應(yīng)用的主要業(yè)務(wù)流程、局部業(yè)務(wù)功能獨(dú)立，同時(shí)與其他信息系統(tǒng)的業(yè)務(wù)應(yīng)用有少量的數(shù)據(jù)交換，定級(jí)對(duì)象可能會(huì)與其他業(yè)務(wù)應(yīng)用共享一些設(shè)備，尤其是網(wǎng)絡(luò)傳輸設(shè)備。“相對(duì)獨(dú)立〞的業(yè)務(wù)應(yīng)用并不意味著整個(gè)業(yè)務(wù)流程，可以使完整的業(yè)務(wù)流程的一局部。43等級(jí)保護(hù)的根本要求44等級(jí)保護(hù)的根本要求〔續(xù)〕基本技術(shù)要求基本管理要求與信息系統(tǒng)提供的技術(shù)安全機(jī)制有關(guān)；主要通過(guò)在信息系統(tǒng)中部署軟硬件并正確的配置其安全功能來(lái)實(shí)現(xiàn)。與信息系統(tǒng)中各種角色參與的活動(dòng)有關(guān)；主要通過(guò)控制各種角色的活動(dòng)，從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來(lái)實(shí)現(xiàn)?；炯夹g(shù)要求從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全幾個(gè)層面提出。從安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理幾個(gè)方面提出。4546等級(jí)保護(hù)-實(shí)施指南47等級(jí)保護(hù)-實(shí)施指南角色和職責(zé)：對(duì)一個(gè)信息系統(tǒng)實(shí)施等級(jí)保護(hù)的過(guò)程中涉及到各類組織和人員，他們將會(huì)參與不同的或相同的活動(dòng)，等級(jí)保護(hù)標(biāo)準(zhǔn)將參與等級(jí)保護(hù)過(guò)程的各類組織和人員劃分為主要角色和次要角色。其中：主要角色將參與等級(jí)保護(hù)實(shí)施過(guò)程的所有活動(dòng)，次要角色將參與等級(jí)保護(hù)實(shí)施過(guò)程的某一個(gè)或多個(gè)活動(dòng)。主要角色是指信息系統(tǒng)主管部門和信息系統(tǒng)運(yùn)營(yíng)、使用單位；次要角色是指信息系統(tǒng)平安效勞商、信息平安監(jiān)管機(jī)構(gòu)、平安測(cè)評(píng)機(jī)構(gòu)和平安產(chǎn)品提供商。48等級(jí)保護(hù)-實(shí)施的根本過(guò)程系統(tǒng)定級(jí)平安規(guī)劃設(shè)計(jì)平安實(shí)施平安運(yùn)維系統(tǒng)終止重大變更局部調(diào)整49等級(jí)保護(hù)實(shí)施過(guò)程的主要活動(dòng)50等級(jí)保護(hù)過(guò)程與信息系統(tǒng)生命周期對(duì)應(yīng)關(guān)系51提綱信息平安標(biāo)準(zhǔn)概述國(guó)際標(biāo)準(zhǔn)–ISO/IEC系列信息平安標(biāo)準(zhǔn)國(guó)際標(biāo)準(zhǔn)–COBIT國(guó)內(nèi)標(biāo)準(zhǔn)－等級(jí)保護(hù)平安標(biāo)準(zhǔn)的總結(jié)問(wèn)題與答復(fù)52信息平安標(biāo)準(zhǔn)總結(jié)世界各國(guó)近幾年來(lái)發(fā)布了各種各樣的信息平安標(biāo)準(zhǔn)。各種標(biāo)準(zhǔn)的對(duì)象、目的和范圍都有所不同。各個(gè)標(biāo)準(zhǔn)之間盡管側(cè)重點(diǎn)不同，但原那么上也有很多共同之處：基于風(fēng)險(xiǎn)，即以信息平安風(fēng)險(xiǎn)為主要的探討對(duì)象，為組織如何管理信息平安風(fēng)險(xiǎn)提供指導(dǎo)；提供有關(guān)平安控制的操作實(shí)踐；各個(gè)標(biāo)準(zhǔn)建議的操作實(shí)踐本身根本沒(méi)有沖突。53關(guān)注的平安領(lǐng)域安全標(biāo)準(zhǔn)關(guān)注的安全領(lǐng)域安全管理組件安全原則概括性的安全控制詳細(xì)的控制活動(dòng)安全模型或方法論ISO/IEC

17799√ISO/IEC

13335√√√√ISO/TR13569√√ISO/IEC15408√√COBIT√√√