收藏
下载资源

风险评估及等级保护

上传人:千****8 文档编号:131118814 上传时间:2020-05-04 格式:PPT 页数:50 大小:952KB
返回 下载 相关 举报
风险评估及等级保护_第1页
第1页 / 共50页
风险评估及等级保护_第2页
第2页 / 共50页
风险评估及等级保护_第3页
第3页 / 共50页
风险评估及等级保护_第4页
第4页 / 共50页
风险评估及等级保护_第5页
第5页 / 共50页
点击查看更多>>
资源描述

《风险评估及等级保护》由会员分享,可在线阅读,更多相关《风险评估及等级保护(50页珍藏版)》请在金锄头文库上搜索。

1、风险评估的国际动态 汇报要点 信息安全管理成为信息安全保障的热点泰德带来的启示风险评估和等级保护的关系 信息安全管理成为信息安全保障的热点 ITIS 信息就是财富 安全才有价值 CI CriticalInfrastructureCIP CriticalInfrastructureProtectionCII CriticalInformationInfrastructure CIIP CriticalInformationInfrastructureProtection技术提供安全保障功能 但不是安全保障的全部提高人的安全意识 技术 管理两手抓成为国际共识 标准化组织和行业团体抓紧制定管理标准

2、ISO13335正在重组修改正在修订17799BS7799 2成为国际标准正在讨论 NIST在联邦IT系统认证认可的名义下提出大量规范SP800 18 IT系统安全计划开发指南 1998年12月 SP800 26 IT系统安全自评估指南 2001年11月 SP800 30 IT系统风险管理指南 2002年1月发布 2004年1月21日修订 SP800 37 联邦IT系统认证认可指南 2002年9月 2003年7月 2004年5月最后文本 FIPS199 联邦信息和信息系统的安全分类标准 草案第一版 2003年12月 SP800 53 联邦信息系统安全控制 2003年8月31日发布草案 SP80

3、0 53A 联邦信息系统安全控制有效性检验技术和流程 计划2003至2004年出版 SP800 60 信息和信息类型与安全目标及风险级别对应指南 2004年3月草案2 0版 ManagingEnterpriseRiskandAchievingMoreSecureInformationSystemsinvolves Categorizing enterpriseinformationandinformationsystems Selecting appropriatesecuritycontrols Refining securitycontrolsthroughariskassessment

4、Documenting securitycontrolsinasystemsecurityplan Implementing securitycontrolsinnewandlegacysystems Assessing theeffectivenessofsecuritycontrols Determining enterprise levelriskandriskacceptability Authorizing informationsystemsforprocessing Monitoring securitycontrolsonanongoingbasis 国际信息系统审计与控制协会

5、 ISACA 提出 1 ISRiskAssessment effective1July20022 DigitalSignatures effective1July20023 IntrusionDetection effective1August20034 VirusesandotherMaliciousLogic effective1August20035 ControlRiskSelf assessment effective1August20036 Firewalls effective1August20037 IrregularitiesandIllegalActsEffective1N

6、ovember20038 SecuurityAssessment PenetrationTestingandVulnerabilityAnalysis effective1September2004 提出 信息和相关技术的控制目标 CoBIT CoBIT开发和推广了第三版 CoBIT起源于组织为达到业务目标所需的信息这个前提CoBIT鼓励以业务流程为中心 实行业务流程负责制CoBIT还考虑到组织对信用 质量和安全的需要它提供了组织用于定义其对IT业务要求的几条信息准则 效率 效果 可用性 完整性 保密性 可靠性和一致性 CoBIT进一步把IT分成4个领域计划和组织 获取和运用 交付和支持 监控

7、和评价 共计34个IT业务流程 其中3个与信息安全直接密切相关的业务流程是 计划和组织流程9 评估风险 传递和支持流程4 确保连贯的服务 传递和支持流程5 保证系统安全 CoBIT为正在寻求控制实施最佳实践的管理者和IT实施人员提供了超过300个详细的控制目标 以及建立在这些目标上的广泛的行动指南 后者是用来评估和审计对IT流程控制和治理的程度 国际CIIP手册 2004 PartIIAnalysisofMethodsandModelsforCIIAssessment1SectorAnalysis2InterdependencyAnalysis3RiskAnalysis4ThreatAsses

8、sment5VulnerabilityAssessment6ImpactAssessment7SystemAnalysis 2002年版 TechnicalIT SecurityModelsRiskAnalysisMethodology forITSystems InfrastructureRiskAnalysisModel IRAM Leontief BasedModelofRiskinComplexInterconnectedInfrastructures SectorandLayerModel SectorAnalysis ProcessandTechnologyAnalysis Dim

9、ensionalInterdependencyAnalysis 泰德带来的启示 风险三角形 风险 资产 威胁 脆弱性 泰德眼中的InformationSecurityGovernance标准体系 ISMS ISMSStandardsISO IEC17799andBS7799 2 NON MANDATORYStatementsRiskassessmentAudit reviews MANDATORYStatementsRiskassessment treatmentandmanagementComplianceaudit reviews SHALLstatements Governancepri

10、nciples ISMSSpecifications ISMSStandardsManagementsystemspecs guidance auditing BS7799Part2 ProductStandards Technicalimplementationandspecificationstandards Encryption Authentication Digitalsignatures Keymanagement Non repudiation ITnetworksecurity TPPservices Timestamping Accesscontrol Biometrics

11、Cards Productandproductsystemtestingandevaluation ISO IEC15408Evaluationcriteria Protectionprofiles ISMSStandardsBS7799 2 2002 PDCAModel DesignISMS Implement useISMS Monitor reviewISMS Maintain improveISMS Riskbasedcontinualimprovementframeworkforinformationsecuritymanagement ISO IEC17799新老版本对比 ISMS

12、StandardsRevisionofISO IEC17799 2000 新老版本变化 老版本 包含10个控制要项 36个控制目标 127个控制措施新版本 11个39个134个 风险评估如何贯穿于安全管理BS7799 2 2002 ISMS ISMSStandardsBS7799 2 2002 ISMS ISMSStandardsBS7799 2 2002 ISMS ISMSStandardsBS7799 2 2002 ISMS ISMSAssets ISO IEC177997 1 1Inventoryofassets ISMSRisks Assetthreats vulnerabilitie

13、s Assetvalue utility Risks impacts 风险等级 业务影响低 可忽略 无关紧要 为不足道 无须重视 中低 值得注意 相当可观但不是主要的 中 重要 主要 中高 严重危险 潜在灾难 高 破坏性的 总体失灵 完全停顿 资产分级 资产分级 资产分级 威胁和脆弱性估计 威胁应该考虑它们出现的可能性 以及可能利用弱点 脆弱性可能性 风险控制 Riskthreshold Risklevel 风险控制 ContinualImprovement 启示 风险评估是出发点等级划分是判断点安全控制是落脚点 风险评估和等级保护的关系 27号文件把实施信息系统安全等级保护作为重要基础性工作

14、 信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中 提高信息安全保障能力和水平 维护国家安全 社会稳定和公共利益 保障和促进信息化建设健康发展的一项基本制度 我们国家为实施等级保护奋斗了20年 实施信息安全等级保护 能够有效地提高我国信息和信息系统安全建设的整体水平 有利于在信息化建设过程中同步建设信息安全设施 保障信息安全与信息化建设相协调 有利于为信息系统安全建设和管理提供系统性 针对性 可行性的指导和服务 有效控制信息安全建设成本 有利于优化信息安全资源的配置 对信息系统分级实施保护 重点保障基础信息网络和关系国家安全 经济命脉 社会稳定等方面的重要信息系统的安全 有利于明确

15、国家 法人和其他组织 公民的信息安全责任 加强信息安全管理 有利于推动信息安全产业的发展 逐步探索出一条适应社会主义市场经济发展的信息安全模式 信息安全等级保护制度的基本内容 信息安全等级保护是指对国家秘密信息 法人和其他组织及公民的专有信息以及公开信息和存储 传输 处理这些信息的信息系统分等级实行安全保护 对信息系统中使用的信息安全产品实行按等级管理 对信息系统中发生的信息安全事件分等级响应 处置 保护等级的划分 1 第一级为自主保护级 适用于一般的信息和信息系统 其受到破坏后 会对公民 法人和其他组织的权益有一定影响 但不危害国家安全 社会秩序 经济建设和公共利益 2 第二级为指导保护级

16、适用于一定程度上涉及国家安全 社会秩序 经济建设和公共利益的一般信息和信息系统 其受到破坏后 会对国家安全 社会秩序 经济建设和公共利益造成一定损害 3 第三级为监督保护级 适用于涉及国家安全 社会秩序 经济建设和公共利益的信息和信息系统 其受到破坏后 会对国家安全 社会秩序 经济建设和公共利益造成较大损害 4 第四级为强制保护级 适用于涉及国家安全 社会秩序 经济建设和公共利益的重要信息和信息系统 其受到破坏后 会对国家安全 社会秩序 经济建设和公共利益造成严重损害 5 第五级为专控保护级 适用于涉及国家安全 社会秩序 经济建设和公共利益的重要信息和信息系统的核心子系统 其受到破坏后 会对国家安全 社会秩序 经济建设和公共利益造成特别严重损害 实施信息安全等级保护工作的要求 一 完善标准 分类指导 二 科学定级 严格备案 三 建设整改 落实措施 四 自查自纠 落实要求 五 建立制度 加强管理 六 监督检查 完善保护 同一个问题的不同侧面 从资产的重要性看 划分需要的保护等级 从面对的威胁和脆弱性看 进行风险分析 从安全保障能力看 选择需要的安全控制 等级保护制度进行全面管理 响应和处

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 经营企划

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号