风险评估的国际动态(ppt 50)(1)

来自中国最大的资料库下载汇报要点•信息安全管理成为信息安全保障的热点•泰德带来的启示•风险评估和等级保护的关系来自中国最大的资料库下载•ITIS$！•信息就是财富,安全才有价值。•CI:CriticalInfrastructure•CIP:CriticalInfrastructureProtection•CII:CriticalInformationInfrastructure.•CIIP:CriticalInformationInfrastructureProtection•技术提供安全保障功能，但不是安全保障的全部•提高人的安全意识，技术、管理两手抓成为国际共识。来自中国最大的资料库下载标准化组织和行业团体抓紧制定管理标准•ISO–13335正在重组修改–正在修订17799–BS7799-2成为国际标准正在讨论来自中国最大的资料库下载•NIST在联邦IT系统认证认可的名义下提出大量规范•SP800-18《IT系统安全计划开发指南》（1998年12月）•SP800-26《IT系统安全自评估指南》（2001年11月）•SP800-30《IT系统风险管理指南》（2002年1月发布，2004年1月21日修订）•SP800-37《联邦IT系统认证认可指南》（2002年9月，2003年7月，2004年5月最后文本）•FIPS199《联邦信息和信息系统的安全分类标准》（草案第一版）（2003年12月）•SP800-53《联邦信息系统安全控制》（2003年8月31日发布草案）•SP800-53A《联邦信息系统安全控制有效性检验技术和流程》（计划2003至2004年出版）•SP800-60《信息和信息类型与安全目标及风险级别对应指南》（2004年3月草案2.0版)来自—•Categorizing(enterpriseinformationandinformationsystems)•Selecting(appropriatesecuritycontrols)•Refining(securitycontrolsthroughariskassessment)•Documenting(securitycontrolsinasystemsecurityplan)•Implementing(securitycontrolsinnewandlegacysystems)•Assessing(theeffectivenessofsecuritycontrols)•Determining(enterprise-levelriskandriskacceptability)•Authorizing(informationsystemsforprocessing)•Monitoring(securitycontrolsonanongoingbasis)•来自中国最大的资料库下载•国际信息系统审计与控制协会(ISACA)提出：1.ISRiskAssessment,effective1July20022.DigitalSignatures,effective1July20023.IntrusionDetection,effective1August20034.VirusesandotherMaliciousLogic,effective1August20035.ControlRiskSelf-assessment,effective1August20036.Firewalls,effective1August20037.IrregularitiesandIllegalActsEffective1November20038.SecuurityAssessment—PenetrationTestingandVulnerabilityAnalysis,effective1September2004来自中国最大的资料库下载•提出《信息和相关技术的控制目标》(CoBIT)–CoBIT开发和推广了第三版，–CoBIT起源于组织为达到业务目标所需的信息这个前提–CoBIT鼓励以业务流程为中心，实行业务流程负责制–CoBIT还考虑到组织对信用、质量和安全的需要–它提供了组织用于定义其对IT业务要求的几条信息准则：效率、效果、可用性、完整性、保密性、可靠性和一致性。来自中国最大的资料库下载•CoBIT进一步把IT分成4个领域–计划和组织，–获取和运用，–交付和支持，–监控和评价。•共计34个IT业务流程。其中3个与信息安全直接密切相关的业务流程是：–计划和组织流程9——评估风险：–传递和支持流程4——确保连贯的服务；–传递和支持流程5——保证系统安全。来自中国最大的资料库下载•CoBIT为正在寻求控制实施最佳实践的管理者和IT实施人员提供了超过300个详细的控制目标，以及建立在这些目标上的广泛的行动指南。后者是用来评估和审计对IT流程控制和治理的程度。来自手册(2004)来自中国最大的资料库下载•PartIIAnalysisofMethodsandModelsforCIIAssessment–1SectorAnalysis–2InterdependencyAnalysis–3RiskAnalysis–4ThreatAssessment–5VulnerabilityAssessment–6ImpactAssessment–7SystemAnalysis来自年版•TechnicalIT-SecurityModels•RiskAnalysisMethodology(forITSystems)•InfrastructureRiskAnalysisModel(IRAM)•Leontief-BasedModelofRiskinComplexInterconnectedInfrastructures来自中国最大的资料库下载•SectorandLayerModel,•SectorAnalysis,•ProcessandTechnologyAnalysis,•DimensionalInterdependencyAnalysis.来自标准体系（ISMS）BS7799Part2CorporateGovernancePLANDOACTCHECK风险管理处理系统控制内部审计功能ISO/IEC17799来自(SHALLstatements)Governanceprinciples来自(riskassessment,selectionofcontrols)GMITS/MICTSISO/IEC18044IncidenthandlingPD3000seriesonriskandselectionofcontrolsISMSControlCataloguesISO/IEC17799Managementsystemcertificationandaccreditationstandards(auditingprocess,proceduresetc)ISOGuide62EA7/03EN45013EN45012ISO19011ISO9001Nationalschemesandstandards来自来自来自新老版本对比SecuritypolicySecurityorganisationAssetclassification&controlPersonnelsecurityPhysical&environmentalsecurityCommunications&operationsmanagementAccesscontrolSystemsdevelopment&maintenanceBusinesscontinuityCompliance2000versionSecuritypolicyOrganisinginformationsecurityAssetmanagementHumanresourcessecurityPhysical&environmentalsecurityCommunications&operationsmanagementAccesscontrolInformationsystemsacquisition,developmentandmaintenanceBusinesscontinuitymanagementComplianceInformationsecurityincidentmanagementnewversionSecuritypolicyOrganisinginformationsecurityAssetmanagementHumanresourcessecurityPh