收藏
下载资源

普华永道关于信息安全标准的培训-中国银行业监督管理委员会

上传人:tian****1990 文档编号:82252365 上传时间:2019-02-23 格式:PPT 页数:59 大小:891.50KB
返回 下载 相关 举报
普华永道关于信息安全标准的培训-中国银行业监督管理委员会_第1页
第1页 / 共59页
普华永道关于信息安全标准的培训-中国银行业监督管理委员会_第2页
第2页 / 共59页
普华永道关于信息安全标准的培训-中国银行业监督管理委员会_第3页
第3页 / 共59页
普华永道关于信息安全标准的培训-中国银行业监督管理委员会_第4页
第4页 / 共59页
普华永道关于信息安全标准的培训-中国银行业监督管理委员会_第5页
第5页 / 共59页
点击查看更多>>
资源描述

《普华永道关于信息安全标准的培训-中国银行业监督管理委员会》由会员分享,可在线阅读,更多相关《普华永道关于信息安全标准的培训-中国银行业监督管理委员会(59页珍藏版)》请在金锄头文库上搜索。

1、中国银行业监督管理委员会培训,信息安全标准 2008年4月3日 季瑞华 合伙人 系统和流程管理,第 2 页,提纲,信息安全标准概述 国际标准 ISO/IEC 系列信息安全标准 国际标准 COBIT 国内标准 等级保护 安全标准的总结 问题与回答,第 3 页,提纲,信息安全标准概述 国际标准 ISO/IEC 系列信息安全标准 国际标准 COBIT 国内标准 等级保护 安全标准的总结 问题与回答,第 4 页,信息安全标准概述,信息安全的重要性得到广泛的关注。 与此同时,国际和国内的各种官方和科研机构都发布了大量的安全标准。 这些标准都是为实现安全目标而服务,并从不同的角度对如何保障组织的信息安全提

2、供了指导。,第 5 页,信息安全标准的演进,第 6 页,主要的信息安全标准国际标准,第 7 页,主要的信息安全标准国际标准(续),除了上述标准,世界各国的官方机构和行业监管机构还有许多信息安全方面的标准、指引和建议的操作实践。,第 8 页,主要的信息安全标准国内标准,第 9 页,在下面的课程中,我们会主要介绍以下标准:,ISO系列安全标准,包括 ISO17799/ISO27001/ISO27002 ISO/IEC 15408 ISO/IEC 13335 ISO/TR 13569 ISACA的COBIT 4.1 全国信息安全标准化技术委员会的等级保护系列标准,第 10 页,提纲,信息安全标准概述

3、 国际标准 ISO/IEC 系列信息安全标准 国际标准 COBIT 国内标准 等级保护 安全标准的比较 问题与回答,第 11 页,国际标准化组织简介,国际标准化组织 (International Organization for Standardization)是由多国联合组成的非政府性国际标准化机构。到目前为止,ISO有正式成员国120多个,中国是其中之一。 国际标准化组织1946年成立于瑞士日内瓦,负责制定在世界范围内通用的国际标准; ISO技术工作是高度分散的,分别由2700多个技术委员会(TC)、分技术委员会(SC)和工作组(WG)承担。 ISO技术工作的成果是正式出版的国际标准,即I

4、SO标准。 ISO在信息安全方面的标准主要包括: ISO17799/ISO27001/ISO27002 ISO/IEC 15408 ISO/IEC 13335 ISO/TR 13569,第 12 页,关于ISO/IEC 17799/27001/27002,ISO/IEC17799是由国际标准化组织(ISO)与 IEC (国际电工委员会)共同成立的联合技术委员会 ISO/IEC JTC 1,以英国标准 BS7799为蓝本而制定的一套全面和复杂的信息安全管理标准。 ISO/IEC17799于2000年正式颁布。ISO/IEC 17799标准由两部分构成: 第一部分是信息安全管理体系的实施指南,相当

5、于BS7799-1; 第二部分是信息安全管理体系规范,相当于BS7799-2。 ISO/IEC 17799标准的内容涉及10个领域,36个管理目标和127个控制措施。 2005年 ISO17799更名为ISO27001和ISO27002,分别为: ISO/IEC 27001:2005 Information technology - Security techniques - Information security management systems Requirements ISO/IEC 27002:2005 Information technology - Security tech

6、niques - Code of practice for information security management 2007年 ISO又颁布了Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems.,第 13 页,ISO/IEC17799模型,ISO/IEC 17799标准的内容涉及10个领域,36个控制目标和127个控制措施。,第 14 页,ISO

7、17799模型,Security Policy,Asset Classification And Control,Security Organization,纪录和沟通信息系统政策和法规的审核,分配职责和分工,第3方授权,风险/控制的外包,资产的保存,对于敏感/商业风险的区分,第 15 页,ISO17799模型,Personal Security,Comm/Ops Management,Physical and Environment Security,员工聘请,知识培训,事故报告等,物理安全参数,设备保护,桌面及电脑的重要文件的保护,事故流程,职责分离,系统规划,电子邮件控制,第 16 页,

8、ISO17799模型,Access Control,Business Continuity Planning,System Development and Maintenance,权限管理:包括应用系统,操作系统,网络,变更控制,环境划分,安全设备,商业可持续性计划及其框架,测试计划以及计划的维护和更新,Compliance,版权控制,记录和信息的保存,数据保护,公司制度的服从,第 17 页,ISO/IEC 27001/27002:2005 的內容,总共分成 11个领域、 39个控制目标、 133个控制措施。 11个领域包括 A.1 Security Policy A.2 organizati

9、on of information security A.3 Asset management A.4 Human resources security A.5 Physical and environmental security A.6 Communications and operations management A.7 Access control A.8 Information systems acquisition, development and maintenance A.8 Information security incident management A.10 Busi

10、ness continuity management A.11 Compliance,第 18 页,关于ISO/IEC15408,90年代开始,由于Internet的日益普及,信息安全领域呼吁修改桔皮书,以解决商用信息系统安全问题。 1991年欧盟(European Commission) 颁布了ITSEC (Information Technology Security Evaluation Criteria,信息技术安全评估准则)。 在此基础上,美国、加拿大、英国、法国等7国组织联合研制了“信息技术评估安全公共准则”(CC:Common Criteria)。 1999年6月ISO通过了IS

11、O/IEC 15408 安全评估准则 (ISO/IEC 15408:1999 Security TechniquesEvaluation Criteria for IT Security)。目前的最新版本于2005年发布。 ISO/IEC 15408是基于多个标准而产生的,它的演进过程如下图所示:,第 19 页,ISO/IEC 15408的内容,ISO/IEC 15408由以下三部分组成: 第一部分:介绍和一般模型 第二部分:安全功能需求 第三部分:安全认证需求 ISO/IEC 15408准则比以往的其他信息技术安全评估标准更加规范,采用以下方式定义: 类别(CLASS); 认证族(ASSUR

12、ANCE FAMILY); 认证部件(ASSURANCE COMPONENT); 认证元素(ASSURANCE ELEMENT)。 其中类别中有若干族,族中有若干部件,部件中有若干元素。,第 20 页,ISO/IEC 15408的特点,ISO/IEC 15408 信息技术安全评估准则中讨论的是TOE (target of evaluation), 即评估对象。该准则关注于评估对象的安全功能,安全功能执行的是安全策略。 ISO/IEC 15408 定义了安全属性,包括用户属性、客体属性、主体属性、和信息属性。 ISO/IEC 15408加强了完整性和可用性的防护措施,强调了抗抵赖性的安全要求。

13、ISO/IEC 15408 还定义了加密的要求,强调对用户的隐私保护。 ISO/IEC 15408还讨论了某些故障、错误和异常的安全保护问题。,第 21 页,ISO/IEC15408的类别,ISO/IEC 15408中,类别(class) 代表最概括的分类和定义方式。包括: 安全功能类别,共11个, 分别为安全审计、通信、加密支持、用户数据防护、标识与鉴别、安全管理、隐私、安全功能的防护、资源利用、对评估对象的访问、可信通路/通道。 安全认知类别,共8个,分别为配置管理、递交和操作、开发、指南文档、生存期支持、测试、脆弱性评估、认证维护。 评估认证级别类别,共7个,分别为评估功能测试、结构测试

14、、方法测试和检查、半形式设计和测试、半形式验证设计和测试、形式验证设计和测试。 评估类别,共3个,包括2个预评估类别和TOE评估(即评估对象的评估)。其中预评估类别分别为: 防护框架评估(Protection Profile evaluation,简称PP评估): 评估的一般是某类安全产品,如防火墙等,提出测评的常为是行业组织; 安全目标评估 (Security Target evaluation, 简称ST评估):评估的一般是某一类的特定产品,如某品牌的防火墙,提出测评的常为厂商。,第 22 页,ISO/IEC15408的评估方法,对于信息系统和产品进行安全认证ISO/IEC15408通常采

15、用如下方法进行评估: 分析和检查进程与过程 检查进程和过程被应用的情况 分析TOE设计表示一致性 分析TOE设计表示与需求的满足性 验证 分析指南文档 分析功能测试和测试结果 独立功能测试 分析脆弱性(包括漏洞假说) 侵入测试等 (TOE是评估对象(Target of Evaluation)的缩写),第 23 页,关于ISO/IEC 13335,ISO/IEC 13335 Information TechnologyGuidelines for the Management of IT Security 是一套关于信息安全管理的技术文件,共由五个部分组成,这五个组成部分分别在1996至2001

16、年间发布。 第一部分:安全概念和模型 (Part 1Concepts and Models for IT Security ),发布于1996年12月15日。 第二部分:安全管理和规划 (Part 2Managing and Planning IT Security),发布于1997年12月15日。 第三部分:安全管理技术(Part 3Techniques for the Management of IT Security),发布于1998年6月15日。 第四部分:保护的选择 (Part 4Selection of Safeguards),发布于2000年3月1日。 第五部分:外部联接的防护(Part 5Management Guidance on Network Security),发布于2001年1月2日。 其中第一部分分别于1997年和2004年发布了更新版本。,第 24 页,关于ISO13569,ISO13569的全称为ISO/TR 13569:2005 Financial services - Info

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号