信息系统安全集成-第1章

1信息系统安全集成概念与标准2本章摘要本章讲述信息系统安全集成概念与信息系统安全集成相关的标准，并详细讲述信息系统安全集成服务资质认证实施规则。摘要主要内容一、基本概念二、SSE-CMM标准及其演化进程介绍三、ISO20000与ISO27000标准介绍四、信息系统安全集成服务资质认证实施规则4一、基本概念1.什么是信息系统安全集成？新建系统升级系统优化加固信息系统安全集成是在组织IT战略指导思想下按照组织的信息系统安全需求，采用信息系统安全工程的方法和理论，将安全单元、产品部件进行集成的行为或活动。5一、基本概念2.标准与标准化的概念GB/T20000.1-2002《标准化工作指南第1部分:标准化和相关活动的通用词汇》中对标准的定义：为了在一定范围内获得最佳秩序，经协商一致制定并由公认机构批准，共同使用的和重复使用的一种规范性文件。标准化是制定、发布及实施标准的过程。标准是科学、技术和实践经验的总结。标准化是为在一定的范围内获得最佳秩序，对实际的或潜在的问题制定共同的和重复使用的规则的活动。6一、基本概念3.标准化组织简介国际标准化组织，简称ISO，是世界上最大的非政府性标准化专门机构，是国际标准化领域中一个十分重要的组织。中国国家标准化管理委员会，英文缩写SAC，为国家质检总局管理的事业单位。国家标准化管理委员会是国务院授权的履行行政管理职能，统一管理全国标准化工作的主管机构。分为国际标准化组织、区域标准化组织、行业标准化组织、国家标准化组织。7二、SSE-CMM标准介绍及其在国内外演化进程本节主要内容：１SSE-CMM概念２SSE-CMM背景与发展３SSE-CMM背景与发展8二、SSE-CMM标准介绍及其在国内外演化进程SSE-CMM中文解释为：信息安全工程能力成熟度模型。它描述了一个组织的安全工程过程必须包含的本质特征，这些特征是完善的安全工程保证。1.SSE-CMM概念SSE-CMM模型是安全工程实施的标准度量标准，它覆盖了：整个生命期，包括开发、运行、维护和终止；整个组织，包括其中的管理、组织和工程活动；与其它规范并行的相互作用，如系统、软件、硬件、人的因素、测试工程、系统管理、运行和维护等规范；与其它机构的相互作用，包括获取、系统管理、认证、认可和评价机构。9二、SSE-CMM标准介绍及其在国内外演化进程2.SSE-CMM背景与发展SSE-CMM背景无论是顾客，还是供应商都对改进安全产品、系统和服务的开发感兴趣。安全工程领域已有一些被充分接受的原则，但仍缺少一个易于理解的评估安全工程实施的框架。SSE-CMM正是这样一个框架，它为安全工程原则的应用提供了一个衡量和改进的途径。10二、SSE-CMM标准介绍及其在国内外演化进程2.SSE-CMM背景与发展SSE-CMM发展SSE-CMM由美国国家安全局（NSA）提出，汇聚60多个厂商集中开发。1993年美国国家安全局提出SSE-CMM的构想；1995年3月SSE-CMM项目工作组完成了SSE-CMM模型和认定方法工作；1996年10月出版SSE-CMM的第一版；1997年4月出版SSE-CMM的第二版；2003年7月出版SSE-CMM的第三版。11二、SSE-CMM标准介绍及其在国内外演化进程2.SSE-CMM背景与发展SSE-CMM、ISO/TEC21872与GB/T20261的关系2002年SSE-CMM被国际标准化组织采纳成为国际标准即ISO/IEC21827:2002。2006年中国将ISO/TEC21872：2002转化为国标GB/T20261：2006。12二、SSE-CMM标准介绍及其在国内外演化进程3.SSE-CMM应用与意义SSE-CMM的应用SSE-CMM涉及到整个系统生命周期的安全工程活动，其中包括概念定义、需求分析、设计、开发、集成、安装、运行、维护和终止。SSE-CMM适用于安全产品开发、安全系统开发、系统集成和提供安全服务与全工程的机构；SSE-CMM适用于所有类型和规模的安全工程，如军队、政府机构、学术机构、商业机构等。13二、SSE-CMM标准介绍及其在国内外演化进程3.SSE-CMM应用与意义SSE-CMM的意义通过区分投标者的能力级别和相关的计划风险来选择合格的安全工程提供商；工程组把投资集中在安全工程工具、培训、过程定义、管理实施和改进上；基于能力的保证，也就是说，信赖是基于对工程组织安全工程实践和过程成熟的信心。SSE-CMM项目的目标是促进安全工程成为一个确定的、成熟的和可度量的科目。这个SSE-CMM将带来以下益处：14三、ISO20000与ISO27001标准介绍本节主要内容：１ITIL、ISO20000与GB/T24405２ISO20000与ISO27001３ISO20000体系简介４ISO27001体系简介15三、ISO20000与ISO27001标准介绍1.ITIL、ISO20000与GB/T24405内部流程和程序ITIL2.0ISO/IEC20000-2实用规则ISO/IEC20000-1要求GB/T24405ISO20000是面向IT服务管理的质量体系标准，强调以流程的方式达到质量管理标准。16三、ISO20000与ISO27001标准介绍2.ISO20000与ISO27001ISO27001标准概述ISO27001标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS7799-1：1995《信息安全管理实施细则》，它提供了一套综合的、由信息安全最佳惯例组成的实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准，并且适用于大、中、小组织。2000年，国际标准化组织（ISO）在BS7799-1的基础上制定通过了ISO17799标准。BS7799-2在2002年也由BSI进行了重新的修订。ISO组织在2005年对ISO17799再次修订，BS7799-2也于2005年被采用为ISO27001:2005。17三、ISO20000与ISO27001标准介绍2.ISO20000与ISO27001ISO20000与ISO27001的关系ISO20000以流程为核心，定义了一系列比较抽象的流程目标；ISO27001以控制点/控制措施为主，比较具体。ISO20000是面向IT服务管理的质量体系标准；ISO27001是面向信息安全的质量标准规范。ISO20000强调以流程的方式达到质量管理标准；ISO27001强调以风险控制点的方式来达到信息安全管理的目的。两套体系规范存在着许多的共性特征，如：事件管理、业务连续性管理、信息资产管理等方面。ISO20000在服务提供过程的“信息安全管理”部分中包括有对信息安全的要求。尽管两者都专注于IT服务的管理，然而，在专注点和适用范围上有着很大的不同：18三、ISO20000与ISO27001标准介绍3.ISO20000体系简介ISO20000标准特点ISO20000是“以客户为导向，以流程为中心”的先进理念，强调PDCA的方法论持续改进组织所提供的IT服务，标准化管理服务运营的输入与输出、生产流程、新的或变更的服务，以及服务管理体系。ISO20000通过采用标准的流程方法，有效的向客户提供满足业务与客户需求的高质量服务，从而最终保证以最低的成本提供质量稳定的IT服务，保证业务持续运作的能力。19三、ISO20000与ISO27001标准介绍3.ISO20000体系简介ISO20000标准主要内容ISO20000标准包括了5大过程,13个管理面,150多个核心控制点，如下：服务交付控制过程发布过程解决过程业务过程服务等级管理配置管理发布管理事故管理业务关系管理服务报告变更管理问题管理能力管理持续性与可用性信息安全管理预算编制与会计核算20三、ISO20000与ISO27001标准介绍3.ISO20000体系简介ISO20000认证的益处保证IT服务管理的质量，展示自身实力，全面达到行业规范要求；有效地想客户证明自身的特殊IT服务，并承诺服务的稳定以及持续的服务提供能力，满足客户业务应用要求和法律法规要求；强化组织人员的IT服务意识，规范组织提供IT服务的行为，构建新型的角色职责体系，实现科学分工与运营管理；对组织的关键IT资产进行全面系统的保护，确保业务持续性。21三、ISO20000与ISO27001标准介绍4.ISO27001体系简介机密性：信息不可被未经授权之个人、实体、流程所取得或揭露的特性。可用性：基于需要可由授权者存取及使用的特性。：性整完征特的整完和威胁脆弱确准产资护保风险ISO27001关于信息安全的主要含义22三、ISO20000与ISO27001标准介绍4.ISO27001体系简介ISO27001标准适用范围信息安全管理标准正式发布后得到了很多国家的认可，是国际上具有代表性的信息安全管理体系标准。信息安全管理对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。23三、ISO20000与ISO27001标准介绍4.ISO27001体系简介ISO27001标准主要内容信息安全政策组织的安全资产管理人员的安全实体及环境的安全通信与操作管理访问控制信息系统的获得、开发与维护信息安全事件管理业务持续性管理相关规范的符合十一个控制域：标准包含11大控制域、39个控制目标和133项控制措施,组织提供提供全方位的信息安全保障。24三、ISO20000与ISO27001标准介绍4.ISO27001体系简介ISO27001对组织的益处符合法律法规要求.维护企业的声誉、品牌和客户信任.履行信息安全管理责任.增强员工的意识、责任感和相关技能.保持业务持续发展和竞争优势.实现风险管理.减少损失，降低成本.254、安全集成服务资质认证实施规则本节主要内容：１概述２资质要求３过程要求５认证模式与流程４评价要求264、安全集成服务资质认证实施规则１.概述安全集成服务资质的实施情况经国家认证认可监督管理委员会批准，从事信息安全服务资质认证的机构;信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范，按照认证基本规范及认证规则，对提供信息安全服务机构的安全服务资质进行评价的认证活动;2008年7月颁发第一批认证证书。2010年X月颁发第二批认证证书。274、安全集成服务资质认证实施规则１.概述安全集成服务资质的适用范围资质规范提出了信息系统安全集成服务提供者（以下简称服务提供者）应具备的服务能力要求，及实施信息系统安全集成服务资质认证的程序与管理要求。适用于对服务提供者服务能力的评价活动；可作为信息系统所有者选择服务提供者的依据；可为有关管理部门对服务提供者进行管理提供参考；也可为服务提供者自我能力改进提供参考。284、安全集成服务资质认证实施规则１.概述安全集成服务资质的认证依据GB/T20261-2006信息技术系统安全工程能力成熟度模型YD/T1621-2007网络与信息安全服务资质评价准则YD/T1799-2008网络与信息安全应急处理服务资质评价方法YD/T2252-2011网络与信息安全风险评估服务能力评价方法CNCA/CTS0052-2007信息安全服务资质认证技术规范GB/T5271.8-2001《信息技术词汇第8部分：安全》中的术语和定义适用于本标准。294、安全集成服务资质认证实施规则２.基本资质要求对安全集成服务提供者的资质要求基本能力要求•基本条件•基本管理能力•基本技术能力•集成准备•方案设计•建设实施•安全保证•三级资质能力要求•二级资质能力要求•一级资质能力要求304、安全集成服务资质认证实施规则２.基本资质要求基本条件服务提供者应：具有中华人民共和国境内的独立法人资格，具有相关部门颁发的合法经营资格；近两年内经济状况良好，财务数据真实可信，并应经国家相关部门认定的会计师事务所核实；具有固定的工作场所。遵守国家现行法律、法规的规定。314、安全集