国际安全标准-v4

国际重要信息安全标准大纲要求考察是否了解ISO/IECTR13335、ISO/IEC17799、ISO/IEC27001等指导风险评估工作的国际标准23目录信息安全与安全标准ISO/IECTR13335ISO/IEC27000系列国际其他重要信息安全标准“安全”与标准419911989X.800ISO7498-2“安全”是指将资产或资源的脆弱性降到最低限度。ISO154081999当对信息进行正确的控制以确保它能防止冒险,诸如不必要的或无保证的传播、更改或遗失,IT产品和系统应执行它们的功能.“IT安全”用于概括防御和缓解这些及类似的冒险。2000ISO17799:20002005ISO17799:2005信息安全是要在很大的范围内保护信息免受各种威胁，从而确保业务的连续性、减少业务损失并且使投资和商务机会获得最大的回报。特指保护保密性、完整性和可用性。信息安全－保证信息的保密性，完整性，可用性；另外也可包括诸如真实性，可核查性，不可否认性和可靠性等特性.ISOTR13335-2:199719972004ISO13335-1:2004定义获取和维护保密性、完整性、可用性、可核查性、真实性和可靠性。合规与遵循的必要性5Sarbanes-Oxley《萨班斯-奥克斯利法案》海外法律法规Gramm-Leach-Bliley《格爱姆－里赤－布里利法案》BaselII巴塞尔新资本协议HIPAA健康保险流通与责任法案国家信息安全等级保护制度《互联网安全保护技术措施规定》公安部第82号令国信办信息安全风险评估规范银监会《商业银行内部控制指引》证监会《证券公司内部控制指引》电监会5号令保监会《保险公司风险管理指引（试行）》ISO27002CobitITILCOSO国内法律法规行业标准指南最佳实践框架……企业合规与遵循框架6IT基础设施企业IT相关资源或元素网络区域物理环境组织人员策略制度主机和系统业务应用政策法规框架标准实践指南自身现状及特点27号文147号令SOX法案等级保护……COSO-ERMCOBITISO27000系列ITILISO27002ISO13335系列等级保护标准……信息安全国标风险评估规范风险管理指南7目录信息安全与安全标准ISO/IECTR13335ISO/IEC27000系列国际其他重要信息安全标准ISO/IECTR13335ISO/IECTR13335是由ISO/IECJTC1制定的技术报告，是一个信息安全管理方面的指导性标准，其目的是为有效实施IT安全管理提供建议和支持“IT安全管理指南”（GuidelinesfortheManagementofITSecurity，GMITS）新版称作“信息和通信技术安全管理”（ManagementofInformationandCommunicationsTechnologySecurity，MICTS）89ISO/IECTR13335ISO/IEC1335-1:1996IT安全概念和模型ISO/IEC1335-2:1997IT安全管理和规划ISO/IEC1335-3:1998IT安全管理技术ISO/IEC1335-4:2000选择安全措施ISO/IEC1335-5:2001网络安全管理指南9ISO/IEC13335系列ISO/IECTR13335第一部分：IT安全概念和模型（Part1—ConceptsandModelsforITSecurity），发布于1996年12月15日第二部分：IT安全管理和规划（Part2—ManagingandPlanningITSecurity），发布于1997年12月15日第三部分：IT安全管理技术（Part3—TechniquesfortheManagementofITSecurity），发布于1998年6月15日第四部分：选择控制措施（Part4—SelectionofSafeguards），发布于2000年3月1日第五部分：网络安全管理指南（Part5—ManagementGuidanceonNetworkSecurity），发布于2001年1月2日其中第一部分分别于1997年和2004年发布了更新版本10信息安全主题IT安全管理：采用系统的方法以识别组织内IT安全的要求开发IT安全策略在组织内定义角色和职责风险管理配置管理变更管理中断计划和灾难恢复计划选择和实施安全防护措施安全意识11信息安全主题12公司目标—战略—策略公司安全目标—战略—策略公司IT安全目标—战略—策略IT系统安全-1目标—战略—策略IT系统安全-N目标—战略—策略公司财务目标—战略—策略公司人员安全目标—战略—策略……目标：我们需要达到什么战略：如何达到这些目标策略：我们需要做些什么信息安全主题ISO/IECTR13335-1给出了IT安全6个方面的含义：Confidentiality（保密性）Integrity（完整性）Availability（可用性）Accountability（可记账性）Authenticity（确实性）Reliability（可靠性）13安全要素Assets（资产）Threats（威胁）Vulnerabilities（脆弱性）Impact（影响）Risk（风险）Safeguards（防护措施）ResidualRisk（残余风险）Constraints（限制条件）14风险管理关系模型15威胁脆弱性风险防护措施资产安全要求价值影响增加增加增加增加减小提出抗击利用满足暴露具有风险管理IT安全管理16业务连续性计划变更管理配置管理监视安全意识防护措施的选择风险分析如何使用13335ISO/IECTR13335-1：描述在IT安全管理领域内的各种主题，并提供一个对基本IT安全概念和模型的简单介绍适合最组织信息安全负有责任的高层管理者第2、3、4、5部分：基于第1部分中阐述的概念和模型提供更为丰富的信息和资料适合直接负责实施和监视IT安全的人员17ISO/IECTR13335-2介绍与IT安全管理和规划相关的各种活动，以及组织内的相关角色和职责适合负责IT系统的获得、设计、实施或运行的管理人员18ISO/IECTR13335-3介绍并推荐用于成功实施IT安全管理的技术用于评估安全要求和风险有助于建立并保持适宜的安全防护措施适合所有负责IT安全的管理和/或实施人员19ISO/IECTR13335-4为选择防护措施提供指南如何形成组织范围基线安全手册适用于为IT系统选择防护措施时20ISO/IECTR13335-5指导如何识别和分析建立网络安全要求时要考虑的通讯相关要素为潜在的防护措施领域提供指导2122目录信息安全与安全标准ISO/IECTR13335ISO/IEC27000系列国际其他重要信息安全标准BS7799-2:1999BS7799Part2versionCCodeofpracticeDTIBS7799-Part11993.9BSI1995.2BS7799-Part21998.2BS7799-1:19991999.4ISO/IEC2000.12+ISO17799BS7799的历史及发展232005ISO17799-2005ISO27001-20052002ISO27002-20072007ISO27000标准族的体系24词汇要求27000指南应用2700227003270042700527007270082701327014270102701127012270152700127006概述和词汇ISMS审核认证机构要求部门间协作ISM指南ISMS要求E-GOV服务ISM指南ISMS审核指南ISMS控制审核指南20000-1与27001集成实施指南IS治理框架ISMS实用规则ISMS实施指南ISM测量IS风险管理ISO27001/ISO2700225–ISO27002:2007（BS7799-1:1999）CodeofPracticeforInformationSecurityManagement信息安全管理实用规则(指导如何进行安全管理实践)–ISO27001:2005（BS7799-2:2002）Informationsecuritymanagementsystems–Requirements信息安全管理体系要求(建立的信息安全管理体系必须符合的要求)ISO27001/ISO27002管理体系构架明确控制要求用于体系认证26各类安全控制手段实施指南包括管理制度要求建立管理体系的参考不用于认证信息安全管理标准ISO/IEC27001:2005GB/T22080-2008信息安全管理体系要求ISO/IEC27002：2007GB/T22081-2008信息安全管理实施细则2727000：ISMS基础和词汇主要以ISO/IEC13335-1:2004《信息和通信技术安全管理第1部分：信息和通信技术安全管理的概念和模型》为基础进行研究将规定27000系列标准所共用的基本原则、概念和词汇27001：信息安全管理体系要求2005年10月15日发布规定了一个组织建立、实施、运行、监视、评审、保持、改进信息安全管理体系的要求基于风险管理的思想，旨在通过持续改进的过程（PDCA模型）使组织达到有效的信息安全使用了和ISO9001、ISO14001相同的管理体系过程模型是一个用于认证和审核的标准28PDCA的过程方法29相关方信息安全需求和期望相关方受控的信息安全信息安全管理体系的持续改进建立ISMS4.2.1监控和评审ISMS4.2.3实施和运行ISMS4.2.2维护和改进ISMS4.2.4InputOutputPDACPDACPDACPDAC27001中应用于ISMS的PDCA模型ISO/IEC27001内容框架30引言总则过程方法与其他管理体系的兼容性1范围1.1总则1.2应用2规范性引用文件3术语和定义4信息安全管理体系(ISMS)4.1总要求4.2建立和管理ISMS4.2.1建立ISMS4.2.2实施和运行ISMS4.2.3监视和评审ISMS4.2.4保持和改进ISMS4.3文档要求4.3.1总则4.3.2文件控制4.3.3记录控制5管理职责5.1管理承诺5.2资源管理5.2.1资源提供5.2.2培训、意识和能力6ISMS内部审核7ISMS的管理评审7.1总则7.2评审输入7.3评审输出8ISMS改进8.1持续改进8.2纠正措施8.3预防措施附录A控制目标和控制措施附录BOECD原则和本标准附录CISO9001:2000，ISO14001:1996和本标准27002：信息安全管理实用规则即17799，2005年6月15日发布第二版包含有11个安全类别、39个控制目标、133个控制措施实施27001的支撑标准，给出了组织建立ISMS时应选择实施的控制目标和控制措施集是一个行业最佳惯例的汇总集，而不是一个认证和审核标准31ISO/IEC27002的主要内容32引言范围术语和定义本标准的结构风险评估和处理安全方针信息安全组织资产管理人力资源安全物理和环境安全通信和操作管理访问控制信息系统获取、开发和维护信息安全事故管理业务连续性管理符合性标准简介对风险管理的建议11个方面39个控制目标133项控制措施控制目标和控制措施控制目标：对一个活动期望的结果或目的，这个目标通过实施一个特殊的控制程序达到控制措施：管理风险的一种工具，包括方针（策略）、程序、指南、实践和组织架构，这些可以是行政管理、技术、运营管理或法律性质的33十一类控制措施信息安全策略（SecurityPolicy）信息安全组织（Organisinginformationsecurity）资产管理(Assetmanagement)人力资源安全(Humanresourcessecurity)物理与环境安全(PhysicandEnvironmentSecurity)通信与运行管理(CommunicationandOperationManagement