普华永道_信息安全标准培训

中国银行业监督管理委员会培训信息安全标准2008年4月3日季瑞华合伙人系统和流程管理©2008普华永道版权所有2008年4月第2页提纲1.信息安全标准概述2.国际标准–ISO/IEC系列信息安全标准3.国际标准–COBIT4.国内标准－等级保护5.安全标准的总结6.问题与回答©2008普华永道版权所有2008年4月第3页提纲1.信息安全标准概述2.国际标准–ISO/IEC系列信息安全标准3.国际标准–COBIT4.国内标准－等级保护5.安全标准的总结6.问题与回答©2008普华永道版权所有2008年4月第4页信息安全标准概述信息安全的重要性得到广泛的关注。与此同时，国际和国内的各种官方和科研机构都发布了大量的安全标准。这些标准都是为实现安全目标而服务，并从不同的角度对如何保障组织的信息安全提供了指导。©2008普华永道版权所有2008年4月第5页信息安全标准的演进NSEWNSEWMonday,March31,2008Page1信息安全国际国内准则重要里程碑1995200819961997199819992000200120022003200420052006200720081996COBIT第1版1998COBIT第2版&ISO13569更新2000COBIT第3版2007COBIT4.12007信息安全等级管理办法Today1995BS77992000ISO177992005ISO27001/0021996ISO13569&ISO13335第1部分1999ISO154082001ISO13335第5部分2005COBIT4.0&ISO17799更新2003关于信息安全等级保护工作实施意见2003GAISP3.01999SSE-CMM1.0&ITILSecurityMangement2002SSE-CMM3.02003StandardofGoodPracticeforInformationSecurityV32006ISO13335第1&2部分更新2004ISO15408更新1995NIST800-121996NIST800-141998NIST1.82005NIST800-532001CriteriaVersion2.0©2008普华永道版权所有2008年4月第6页主要的信息安全标准－国际标准发布的机构安全标准1ISO（国际标准组织）ISO17799/ISO27001/ISO27002ISO/IEC15408ISO/IEC13335ISO/TR135692ISACA（信息系统审计与控制学会）COBIT4.13ISSEA（国际系统安全工程协会）SSE-CMMSystemsSecurityEngineering-CapabilityMaturityModel3.04ISSA（信息系统安全协会）GAISPVersion3.05ISF(信息安全论坛）TheStandardofGoodPracticeforInformationSecurity6IETF（互联网工程任务小组）各种RFC（RequestforComments）©2008普华永道版权所有2008年4月第7页主要的信息安全标准－国际标准(续）发布的机构安全标准7NIST（国家标准和技术研究所）NIST800系列8DOD(美国国防部)TCSEC（可信计算机系统评测标准）－彩虹系列9CarnegieMellonSoftwareEngineeringInstitute(SEI)OperationallyCriticalThreat,Asset,andVulnerabilityEvaluation(OCTAVE)CriteriaVersion2.010OECD（经济与贸易发展组织）GuidelinesfortheSecurityofInformationSystemsandNetworksandAssociatedImplementationPlan11TheOpenGroupManager’sGuidetoInformationSecurity12ITILSecuritymanagement除了上述标准，世界各国的官方机构和行业监管机构还有许多信息安全方面的标准、指引和建议的操作实践。©2008普华永道版权所有2008年4月第8页主要的信息安全标准－国内标准发布的机构安全标准1全国信息安全标准化技术委员会等级保护系列标准•信息安全技术信息系统安全等级保护基本要求•信息安全技术信息系统安全等级保护定级指南•信息安全技术信息系统安全等级保护实施指南其他信息安全标准－截至2007年底，共完成了国家标准59项，还有56项国家标准在研制中。2公安部、安全部、国家保密局、国家密码管理委员会等部门一系列的信息安全方面的政策法规如：•计算机信息网络国际联网安全保护管理办法•互联网信息服务管理办法•计算机信息系统保密管理暂行规定•计算机软件保护条例•商用密码管理条例，等。©2008普华永道版权所有2008年4月第9页在下面的课程中，我们会主要介绍以下标准：1.ISO系列安全标准，包括-ISO17799/ISO27001/ISO27002-ISO/IEC15408-ISO/IEC13335-ISO/TR135692.ISACA的COBIT4.13.全国信息安全标准化技术委员会的等级保护系列标准©2008普华永道版权所有2008年4月第10页提纲1.信息安全标准概述2.国际标准–ISO/IEC系列信息安全标准3.国际标准–COBIT4.国内标准－等级保护5.安全标准的比较6.问题与回答©2008普华永道版权所有2008年4月第11页国际标准化组织简介•国际标准化组织(InternationalOrganizationforStandardization)是由多国联合组成的非政府性国际标准化机构。到目前为止，ISO有正式成员国120多个，中国是其中之一。•国际标准化组织1946年成立于瑞士日内瓦，负责制定在世界范围内通用的国际标准；•ISO技术工作是高度分散的，分别由2700多个技术委员会(TC)、分技术委员会(SC)和工作组(WG)承担。•ISO技术工作的成果是正式出版的国际标准，即ISO标准。•ISO在信息安全方面的标准主要包括：•ISO17799/ISO27001/ISO27002•ISO/IEC15408•ISO/IEC13335•ISO/TR13569©2008普华永道版权所有2008年4月第12页关于ISO/IEC17799/27001/27002•ISO/IEC17799是由国际标准化组织（ISO）与IEC（国际电工委员会）共同成立的联合技术委员会ISO/IECJTC1，以英国标准BS7799为蓝本而制定的一套全面和复杂的信息安全管理标准。•ISO/IEC17799于2000年正式颁布。ISO/IEC17799标准由两部分构成:•第一部分是信息安全管理体系的实施指南，相当于BS7799-1;•第二部分是信息安全管理体系规范，相当于BS7799-2。ISO/IEC17799标准的内容涉及10个领域，36个管理目标和127个控制措施。•2005年ISO17799更名为ISO27001和ISO27002，分别为：•ISO/IEC27001:2005Informationtechnology--Securitytechniques--Informationsecuritymanagementsystems–Requirements•ISO/IEC27002:2005Informationtechnology--Securitytechniques--Codeofpracticeforinformationsecuritymanagement•2007年ISO又颁布了Informationtechnology--Securitytechniques--Requirementsforbodiesprovidingauditandcertificationofinformationsecuritymanagementsystems.©2008普华永道版权所有2008年4月第13页ISO/IEC17799模型ISO/IEC17799标准的内容涉及10个领域，36个控制目标和127个控制措施。©2008普华永道版权所有2008年4月第14页ISO17799模型SecurityPolicyAssetClassificationAndControlSecurityOrganization纪录和沟通信息系统政策和法规的审核分配职责和分工，第3方授权，风险/控制的外包资产的保存，对于敏感/商业风险的区分©2008普华永道版权所有2008年4月第15页ISO17799模型PersonalSecurityComm/OpsManagementPhysicalandEnvironmentSecurity员工聘请，知识培训，事故报告等物理安全参数，设备保护，桌面及电脑的重要文件的保护事故流程，职责分离，系统规划，电子邮件控制©2008普华永道版权所有2008年4月第16页ISO17799模型AccessControlBusinessContinuityPlanningSystemDevelopmentandMaintenance权限管理：包括应用系统，操作系统，网络变更控制，环境划分，安全设备商业可持续性计划及其框架，测试计划以及计划的维护和更新Compliance版权控制，记录和信息的保存，数据保护，公司制度的服从©2008普华永道版权所有2008年4月第17页ISO/IEC27001/27002:2005的內容总共分成11个领域、39个控制目标、133个控制措施。11个领域包括A.1SecurityPolicyA.2organizationofinformationsecurityA.3AssetmanagementA.4HumanresourcessecurityA.5PhysicalandenvironmentalsecurityA.6CommunicationsandoperationsmanagementA.7AccesscontrolA.8Informationsystemsacquisition,developmentandmaintenanceA.8InformationsecurityincidentmanagementA.10BusinesscontinuitymanagementA.11Compliance©2008普华永道版权所有2008年4月第18页关于ISO/IEC1540890年代开始，由于Internet的日益普及，信息安全领域呼吁修改桔皮书，以解决商用信息系统安全问题。1991年欧盟(EuropeanCommission)颁布了ITSEC(InformationTechnologySecurityEvaluationCriteria,信息技术安全评估准则)。在此基础上，美国、加拿大、英国、法国等7国组织联合研制了“信息技术评估安全公共准则”（CC：CommonCriteria）。1999年6月ISO通过了ISO/IEC15408安全评估准则（ISO/IEC15408:1999SecurityTechniques—EvaluationCriteriaforITSecurity）。目前的最新版本于2005年发布。ISO/IEC15408是基于多个标准而产生的，它的演进过程如下图所示：©2008普华永道版权所有2008年4月第19页ISO/IEC15408的内容ISO/IEC15408由以下三部分组成：第一部分：介绍和一般模型第二部分：安全功能需求第三部分：安全认证需求ISO/IEC15408准则比以往的其他信息技术安全评估标准更加规范，采用以下方式定义：类别（CLASS）；认证族（ASSURANCEFAMILY）；认证部件（ASSURANCECOMPONENT）；认证元素（ASSURANCEELEMENT）。其中类别中有若干族，族中有若干部件，部件中有若干元素。©2008普华