ISO27005信息安全技术风险管理白皮书
2023-5G网络安全标准化白皮书-1
5G网络安全标准化白皮书
作为当前最具备争议性的技术之一,5G网络无疑已经受到了越来越多
的关注。
而与技术相关的安全问题也受到了越来越多的关注。
为了推进5G网络的安全标准化,国家信息安全标准化技术委员会
(TC260)已经发布了“5G网络安全标准化白皮书”。
这份白皮书共包含了以下几个方面:
1. 5G网络安全架构标准
这部分内容主要是关于5G网络的安全体系架构方面的标准化,包含了
5G核心网、传输网络和接入网络的安全标准。
2. 5G网络安全协议标准
这部分内容主要是关于5G网络的安全协议方面的标准化,包括认证、
加密等方面。
3. 5G网络安全基础设施标准
这部分内容主要是关于5G网络的安全基础设施方面的标准化,包括证
书管理、密钥管理等方面标准的规范。
4. 5G网络应用场景安全标准
这部分内容主要是关于5G网络在行业特定场景下的安全标准,包括工
业控制、智能驾驶等方面的安全标准。
5. 5G网络运营管理安全标准
这部分内容主要是关于5G网络运营管理方面的安全标准,包括网络监
测与维护、应急管理等方面的标准规范。
以上内容为5G网络安全标准化白皮书的主要内容。
这份白皮书的发布,
对于推动5G网络的安全标准化,从而保障国家信息安全有着非常重要的意义。
此外,这份白皮书也为相关行业提供了规范的指南,使他们在5G网络领域中有更加明确的标准来遵循。
总之,5G网络的安全问题必须受到高度关注,而在安全标准化方面的工作,无疑是提高5G网络安全水平最关键的一步。
希望相关方面也能够在这方面做出更多的努力,让5G网络更加安全、稳定地发展。
ISO-27002-2005-中文版
5.1
安全区域
5.1.1
物理安全边界
安全边界(障碍物如墙、入口门禁、有人值守接待处)应被用来保护包含信息和信息处理设备的区域。.
5.1.2
物理入口控制
安全区域应采用适当的入口控制确保只有经过授权的人员才允许访问。
5.1.3
保护办公室、房间和设备
应设计和采用针对办公室、房间、设备的物理安全措施。
5.1.4
7.2.4
用户访问权利检查
管理部门应使用一个正式流程定期检查用户访问权利。
7.3
用户责任
7.3.1
口令使用
应要求用户根据良好的安全实践进行密码的选择和使用。
7.3.2
用户自助设备
用户应确保自助设备被适当保护
7.3.3
桌面和屏幕清除策略
应采用有关纸张和可移动存储介质的桌面清除策略以及对信息处理设备的屏幕清除策略。
7.4.5
网络隔离
信息服务、用户和系统的不同分组应予以网络隔离。
7.4.6
网络连接控制
对于共享网络,尤其是扩展到组织边界外的,用户连接到网络的能力应受到限制,以符合访问控制策略和业务应用的需要。
7.4.7
网络路由控制
应在网络上部署路由控制以确保计算机连接和信息流不会破坏业务应用的访问控制策略。
7.5
4.2.3
训诫过程
对任何造成安全破坏的雇员进行训诫的流程必须存在书面文档并被执行。
4.3
雇用终止或变更
4.3.1
终止职责
雇用变更或终止流程应被定义并指派给适当的职员负责。
4.3.2
资产返还
所有雇员、合约人及外部用户在雇用终止后应返还所有组织所有的资产。
4.3.3
ISO2700-信息安全适用性声明
目标/限制
是否 选择
选择理由
相关文件
他们的平安责任
A.7.1.1
审查
限制
YES
通过人员考察,预防人员带 来的信息平安风险.
?人力资源平安治理程 序?
A.7.1.2
任用条款及条 件
限制
YES
履行信息平安保密协议是 雇佣人员的一个根本条件.
?人力资源平安治理程
序?
?保密协议?
A.7.2
任用中
目标
YES
A.9.3.1
秘密鉴别信息的 使用
限制
YES
应要求用户遵循组织的规 那么使用其认证信息.
?用户访问限制程序?
A.9.4
系统和应用访问 限制
目标
YES
预防对系统和应用的未授权访问
A.9.4.1
信息访问限制
限制
YES
我司信息访问权限是根据 业务运做的需要及信息安 全考虑所规定的,系统的访 问功能应加以限制.
?信息处理设施限制程
序?
?计算机治理规定?
?介质治理程序?
A.11.2.7
设备的平安处置 或再利用
限制
YES
对我司储存有关敏感信息 的设备,如效劳器、硬盘, 对其处置和再利用应将其 信息去除.
?信息处理设施限制程
序?
?介质治理程序?
A.11.2.8
无人值守的用户 设备
限制
YES
保证无人值守设备得到足 够的保护.
信息平安适用性声明
1.目的3
2.范围3
3.责任与权限3
4.相关文件3
5.术语定义3
6.适用性声明3
A.5信息平安方针4
庆6信息平安组织4
信息安全白皮书
信息安全白皮书摘要:本白皮书旨在探讨信息安全领域的重要性,并提供一些关键性的观点和建议,以帮助组织和个人保护其信息资产免受各种威胁。
首先,我们将介绍信息安全的定义和范围,随后讨论当前面临的主要威胁和挑战。
接下来,我们将提供一些信息安全的最佳实践和策略,以及一些技术解决方案。
最后,我们将强调持续的教育和培训的重要性,以确保信息安全意识的普及和提高。
1. 引言信息安全是指保护信息资产免受未经授权的访问、使用、披露、破坏、修改或泄露的过程。
在当今数字化时代,信息安全已成为组织和个人不可或缺的重要组成部分。
随着互联网的普及和技术的不断发展,信息安全面临着越来越多的威胁和挑战。
2. 当前的威胁和挑战在信息安全领域,我们面临着各种各样的威胁和挑战。
其中包括:- 黑客攻击:黑客通过网络攻击和渗透技术,获取未经授权的访问权限,窃取敏感信息或破坏系统。
- 恶意软件:恶意软件如病毒、蠕虫和木马程序,可以破坏计算机系统、窃取敏感信息或进行其他不良行为。
- 社会工程学:攻击者利用心理学和社交工程学技巧,通过欺骗和误导来获取信息或访问权限。
- 数据泄露:未经授权的信息披露可能导致个人隐私泄露、金融损失或声誉受损。
- 供应链攻击:攻击者通过渗透供应链,将恶意代码或后门引入软件或硬件产品中,从而获取对系统的控制权。
3. 信息安全的最佳实践和策略为了有效保护信息资产,以下是一些信息安全的最佳实践和策略:- 制定和实施安全政策:组织应该制定明确的安全政策,并确保其被全体员工遵守。
安全政策应涵盖访问控制、密码管理、数据备份等方面。
- 加强身份验证:采用多因素身份验证,如密码加令牌、生物识别等,以提高访问控制的安全性。
- 加密敏感数据:对敏感数据进行加密,以防止未经授权的访问或泄露。
- 定期更新和维护系统:及时应用安全补丁、更新防病毒软件和防火墙等,以确保系统的安全性。
- 建立灾备和业务连续性计划:制定并测试灾备和业务连续性计划,以应对突发事件和数据丢失。
ISOIEC27005白皮书
ISOIEC27005白皮书1. ISO/IEC 27005介绍7月9日,ISO发布ISO/IEC 27005:2018,这是该标准的第3个版本,是该标准2011年改版后的再次修订。
在我们这个超级链接、技术驱动的世界中,数据泄露和网络攻击是组织当前面临的重大威胁。
保护公司信息的安全(无论是商业敏感信息还是客户的个人身份信息)受到前所未有的关注,诸如欧洲GDPR 等新的立法意味着组织面临更大的压力,必须确保信息安全才能赢得商业成功。
但衡量什么样的技术、流程是合适的是个难题,《ISO/IEC 27005:2018 信息技术 - 安全技术 - 信息安全风险管理》,提供了一套适用于信息安全的风险管理方法,它通过提供有效管理风险的框架,为组织提供指导,帮助组织解决信息安全管理问题。
Edward Humphreys是ISO/IEC工作组的召集人,同时开发了ISO/IEC 27001和ISO/IEC 27005,他说这个更新后的标准是ISO/IEC“网络风险工具箱”中的关键工具。
“ISO/IEC 27005为组织提供“why、what和how”,支持组织按照ISO/IEC 27001有效地管理信息安全风险”,他说,“它还有助于向组织的客户或利益相关方证明稳健的风险流程已经到位,让他们相信自己可以安全做生意。
”2. ISO/IEC 27000标准族在ISO/IEC 27000标准族中,ISO/IEC 27005是一个支持和资料性标准。
ISO/IEC 27000标准族的核心框架在这个框架图中,我们可以看到:· ISO/IEC 27000:2018 综述和词汇描述了ISO/IEC 27000 ISMS 标准族的整体结构与范围,并给出了术语表,为整个标准族奠定了基础;2018版为其最新版本;· ISO/IEC 27001:2013 信息安全管理体系要求正式指明了ISMS 的要求,组织可以依据此标准进行认证,说它是整个标准族的核心丝毫不为过;2013版为其最新版本;· ISO/IEC 27002:2013 信息安全控制实用规则提供了一个公认的控制目标和控制最佳实践的列表(用于选择和实施),为信息安全控制的实施提供指导;它与ISO/IEC 27001是伴生的,2013版为其最新版,从第5条到第18条(14个领域,113个控制项)提供了具体的实施建议和指导,以支持ISO/IEC 27001:2013 A.5至A.18中指定的要求;· ISO/IEC 27003:2017 信息安全管理体系实施指南提供ISO/IEC 27001的解释和实施的程序化指导;它是重要的参考性标准,2017版为其最新版;· ISO/IEC 27004:2016 信息安全管理测量“如果你无法测量它,你就无法管理它”,测量在管理中具有举足轻重的地位。
信息安全管理体系ISOIEC27000标准系列概论
什么是 ISO/IEC 27001? ISO/IEC 27001标准的名称为《信息技术 —安全技术 —信息安全管理体系 —要求》,由国际标准化组织( ISO )及国际电工委员会( IEC )出版。
ISO/IEC 27001:2013(下称 ISO/IEC 27001)为最新版本的 ISO/IEC 27001标准,修订了 2005年出版的上一个版本(即 ISO/IEC 27001:2005)。
本标准订明有关建立、推行、维护和持续改进信息安全管理体系的各项要求。
信息安全管理体系阐述保护敏感信息安全的系统化方式,通过应用风险管理流程管理人事、工序及信息技术系统。
这套系统不仅适用于大型机构,中小型企业也会合用。
ISO/IEC 27001可以与相关支援控制措施配合使用,例如载列于 ISO/IEC 27002:2013(下称 ISO/IEC 27002)文件的控制措施。
ISO/IEC 27002分为 14节及 35个控制目标,详述 114项安全控制措施。
有关 ISO/IEC 27001及 ISO/IEC 27002的目录载于附录 A 。
机构是否遵行 ISO/IEC 27001标准所定的要求,可由认可认证机构进行正式评估和认证。
若机构的信息安全管理体系获取 ISO/IEC 27001标准的认证,显示机构致力保护信息安全,又可增加客户、合伙人及持份者的信心。
ISO/IEC 27001认证要求为符合 ISO/IEC 27001认证要求,机构的信息安全管理体系必须由国际认可的认证机构进行审计。
ISO/IEC 27001第 4节至 10节所载的要求(见附录 A )是强制性要求,并没有豁免情况。
若机构的信息安全管理体系通过正式审计,便会获认证机构颁发 ISO/IEC 27001证书。
证书的有效期为三年,期满后,机构需要重新为其信息安全管理体系进行认证。
在三年有效期内,机构必须执行证书维护,以确保信息安全管理体系持续遵行有关要求,按规定运行和不断改进。
信息安全等级保护目标白皮书
信息安全等级保护目标白皮书信息安全等级保护目标白皮书(覆盖等保二级和三级)目录1.第二级等保安全目标 (3)1.1. 技术目标 (3)1.2. 管理目标 (5)2.第三级等保安全目标 (7)2.1. 技术目标 (7)2.2. 管理目标 (10)3.等级保护二级、三级要求比较 (13)3.1. 技术要求比较 (13)3.2. 管理要求比较 (27)1.第二级等保安全目标第二级信息系统应实现以下目标。
1.1.技术目标O2-1. 应具有抵抗一般强度地震、台风等自然灾难造成破坏的能力O2-2. 应具有防止雷击事件导致重要设备被破坏的能力O2-3. 应具有防水和防潮的能力O2-4. 应具有灭火的能力O2-5. 应具有检测火灾和报警的能力O2-6. 应具有温湿度自动检测和控制的能力O2-7. 应具有防止电压波动的能力O2-8. 应具有对抗短时间断电的能力O2-9. 应具有防止静电导致重要设备被破坏的能力O2-10. 具有基本的抗电磁干扰能力O2-11. 应具有对传输和存储数据进行完整性检测的能力O2-12. 应具有对硬件故障产品进行替换的能力O2-13. 应具有系统软件、应用软件容错的能力O2-14. 应具有软件故障分析的能力O2-15. 应具有合理使用和控制系统资源的能力O2-16. 应具有记录用户操作行为的能力O2-17. 应具有对用户的误操作行为进行检测和报警的能力O2-18. 应具有控制机房进出的能力O2-19. 应具有防止设备、介质等丢失的能力O2-20. 应具有控制机房内人员活动的能力O2-21. 应具有控制接触重要设备、介质的能力O2-22. 应具有对传输和存储中的信息进行保密性保护的能力O2-23. 应具有对通信线路进行物理保护的能力O2-24. 应具有限制网络、操作系统和应用系统资源使用的能力O2-25. 应具有能够检测对网络的各种攻击并记录其活动的能力O2-26. 应具有发现所有已知漏洞并及时修补的能力O2-27. 应具有对网络、系统和应用的访问进行控制的能力O2-28. 应具有对数据、文件或其他资源的访问进行控制的能力O2-29. 应具有对资源访问的行为进行记录的能力O2-30. 应具有对用户进行唯一标识的能力O2-31. 应具有对用户产生复杂鉴别信息并进行鉴别的能力O2-32. 应具有对恶意代码的检测、阻止和清除能力O2-33. 应具有防止恶意代码在网络中扩散的能力O2-34. 应具有对恶意代码库和搜索引擎及时更新的能力O2-35. 应具有保证鉴别数据传输和存储保密性的能力O2-36. 应具有对存储介质中的残余信息进行删除的能力O2-37. 应具有非活动状态一段时间后自动切断连接的能力O2-38. 应具有网络边界完整性检测能力O2-39. 应具有重要数据恢复的能力1.2.管理目标O2-40. 应确保建立了安全职能部门,配备了安全管理人员,支持信息安全管理工作O2-41. 应确保配备了足够数量的管理人员,对系统进行运行维护O2-42. 应确保对主要的管理活动进行了制度化管理O2-43. 应确保建立并不断完善、健全安全管理制度- 10 -O2-44. 应确保能协调信息安全工作在各功能部门的实施O2-45. 应确保能控制信息安全相关事件的授权与审批O2-46. 应确保建立恰当可靠的联络渠道,以便安全事件发生时能得到支持O2-47. 应确保对人员的行为进行控制O2-48. 应确保对人员的管理活动进行了指导O2-49. 应确保安全策略的正确性和安全措施的合理性O2-50. 应确保对信息系统进行合理定级O2-51. 应确保安全产品的可信度和产品质量O2-52. 应确保自行开发过程和工程实施过程中的安全O2-53. 应确保能顺利地接管和维护信息系统O2-54. 应确保安全工程的实施质量和安全功能的准确实现O2-55. 应确保机房具有良好的运行环境O2-56. 应确保对信息资产进行标识管理O2-57. 应确保对各种软硬件设备的选型、采购、发放、使用和保管等过程进行控制O2-58. 应确保各种网络设备、服务器正确使用和维护O2-59. 应确保对网络、操作系统、数据库管理系统和应用系统进行安全管理O2-60. 应确保用户具有鉴别信息使用的安全意识O2-61. 应确保定期地对通信线路进行检查和维护O2-62. 应确保硬件设备、存储介质存放环境安全,并对其的使用进行控制和保护O2-63. 应确保对支撑设施、硬件设备、存储介质进行日常维护和管理O2-64. 应确保系统中使用的硬件、软件产品的质量O2-65. 应确保各类人员具有与其岗位相适应的技术能力O2-66. 应确保对各类人员进行相关的技术培训O2-67. 应确保提供的足够的使用手册、维护指南等资料O2-68. 应确保内部人员具有安全方面的常识和意识O2-69. 应确保具有设计合理、安全网络结构的能力O2-70. 应确保密码算法和密钥的使用符合国家有关法律、法规的规定O2-71. 应确保任何变更控制和设备重用要申报和审批,并对其实行制度化的管理O2-72. 应确保在事件发生后能采取积极、有效的应急策略和措施O2-73. 应确保信息安全事件实行分等级响应、处置2.第三级等保安全目标第三级信息系统应实现以下目标。
27000系列标准族谱
2和术语 信息安全管理--体系要求 信息安全管理--实践规则 信息安全管理--体系实施指南 信息安全管理--测量与指标 信息安全管理--风险管理 信息安全管理--体系审核认证机构要求 信息技术—安全技术—电信机构基于ISO/IEC 27002的信息安全管理 指南 医疗信息学—使用ISO/IEC 27002的医疗信息安全管理 信息技术—安全技术—安全事件管理 信息技术—安全技术—信息安全管理体系审核指南 信息技术—安全技术—ISMS控制措施的审核员指南 信息技术—安全技术—跨领域沟通的信息安全管理 IT技术—安全技术—ISO/IEC 20000-1 和 ISO/IEC 27001整合实施指 南 信息技术—安全技术—信息安全治理架构 信息技术—安全技术—金融保险行业信息安全管理体系指南 信息技术—安全技术—业务连续性的ICT准备能力指南 信息技术—安全技术—网络空间安全指南 信息技术—安全技术—网络安全 信息技术—安全技术—应用安全 IT安全—安全技术—外包安全管理指南 IT安全—安全技术—数字证据的识别、收集、获取和保存指南 以BS 7799-2为基础 ISO/IEC 17799:2005 来源
27000系列标准族谱
状态 序号 1 2 3 4 已发布 5 6 7 8 9 10 1 2 3 4 待发布 (处于起 草阶段, 待发布) 5 6 7 8 9 10 11 12 编号 ISO/IEC 27000:2009 ISO/IEC 27001:2005 ISO/IEC 27002:2005 ISO/IEC 27003:2010 ISO/IEC 27004:2009 ISO/IEC 27005:2008 ISO/IEC 27006:2007 ISO/IEC 27011:2008 ISO 27799:2008 ISO/IEC 27035:2011 ISO/IEC 27007 ISO/IEC 27008 ISO/IEC 27010 ISO/IEC 27013 ISO/IEC 27014 ISO/IEC 27015 ISO/IEC 27031 ISO/IEC 27032 ISO/IEC 27033 ISO/IEC 27034 ISO/IEC 27036 ISO/IEC 27037
国家标准《信息安全技术ICT供应链安全风险管理指南》(草案)编制说明
国家标准《信息安全技术ICT供应链安全风险管理指南》(草案)编制说明一、工作简况1.1任务来源本项目为2012年的标准编制项目,名为“信息安全技术 ICT供应链安全风险管理指南”(以下简称《供应链指南》),计划号为20120528-T-469。
该标准规定了ICT供应链安全风险管理的过程和控制措施。
本项目由中国电子技术标准化研究院负责具体实施,参与起草单位包括中国科学院软件研究所、华为技术有限公司、联想(北京)有限公司、浙江蚂蚁小微金融服务集团股份有限公司、阿里巴巴(北京)软件服务有限公司、北京京东叁佰陆拾度电子商务有限公司、中国信息通信研究院、浪潮电子信息产业股份有限公司、微软(中国)有限公司、国家信息技术安全研究中心、英特尔(中国)有限公司、阿里云计算有限公司、中国信息安全认证中心、清华同方计算机有限公司、中国科学院信息工程研究所信息安全国家重点实验室。
1.2主要工作过程1. 2012年3月,成立标准编制组考虑到信息通信技术产品和服务的产业现状,标准编制组广泛吸收了国内的研究机构、第三方测评机构、信息通信技术企业参与到标准研制工作,同时按照相关程序,接受了部分国外企业作为观察成员,参与标准研制过程。
2. 2012年4月至2013年6月,调研国内外供应链安全标准现状研究现有国内外供应链安全相关标准,分析各自特点,学习借鉴,主要包括:1)《供应链风险管理指南》(GB/T 24420)2)《信息技术安全技术信息安全风险管理》(GB/T 31722,即ISO/IEC 27005)3)《信息安全技术信息安全风险管理指南》(GB/Z 24364)4)《信息安全技术信息安全风险评估规范》(GB/T 20984)5)《信息安全技术信息安全风险评估实施指南》(GB/T 31509)6)《信息技术安全技术信息安全管理实用规则》(GB/T 22081,即ISO/IEC27002)7)《信息安全技术云计算服务安全能力要求》(GB/T 31168)8)《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239)9)《信息安全技术政府部门信息安全管理基本要求》(GB/T 29245)10)《信息安全技术信息技术产品供应方行为安全准则》(GB/T 32921)11)《Information technology - Security techniques - Code of practice for Information security controls》(ISO/IEC 27002) 12)《Information technology - Security techniques - Information security for supplier relationships》(ISO/IEC 27036)13)《Systems and software engineering - Systems and software assurance》(ISO/IEC 15026)14)《Information Technology - Open Trusted Technology Provider TM Standard(O-TTPS) - Mitigating maliciously tainted and counterfeit products》(ISO/IEC 22043)15)《Supply Chain Risk Management Practices for Federal Information Systems and Organizations》(NIST SP 800-161)16)《Security and Privacy Controls for Federal Information Systems and Organizations》(NIST SP 800-53)3. 2013年7-9月,调研国内信息通信技术产品和服务供应链安全需求与产业现状2013年7-9月,与国内外信息通信技术产品和服务厂商、第三方测评机构等代表进行研讨,并到个别厂商和政府机构实地调研情况,了解信息通信技术产品和服务供应链的管理现状与安全需求。
信息安全风险评估管理程序
文件制修订记录1、目的本程序规定了本公司信息安全风险管理的内容和过程。
通过识别信息资产、风险等级评估,认知本公司的信息安全风险,在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平,保持本公司业务持续性发展,以满足本公司信息安全管理方针的要求。
2、范围本指南适用于信息系统风险的初始评估与风险处置、变更评估与变更后的风险处置、定期的风险再评估与风险处置。
3、参考文件3.1ISO/IEC27001:2022《信息安全管理体系要求》3.2ISO/IEC27002:2022《信息技术网络安全与隐私保护信息安全控制》4、定义4.1资产通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。
4.2资产价值资产是有价值的,资产价值可通过资产的敏感程度、重要程度和关键程度来表示。
4.3威胁一个单位的信息资产的安全可能受到的侵害。
威胁由多种属性来刻画:威胁的主体(威胁源)、能力、资源、动机、途径、可能性和后果。
4.4脆弱性信息资产及其安全措施在安全方面的不足和弱点。
脆弱性也常常被称为漏洞。
4.5事件如果威胁主体能够产生威胁,利用资产及其安全措施的脆弱性,那么实际产生危害的情况称之为事件。
4.6风险由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。
风险由安全事件发生的可能性及其造成的影响这两种指标来衡量。
4.7残余风险采取安全措施对风险进行处理,提高了信息安全保障能力后,仍然可能存在的风险。
4.8安全需求为保证单位的使命能够正常行使,在信息安全保障措施方面提出的要求。
4.9措施对付威胁,减少脆弱性,保护资产,限制意外事件的影响,检测、响应意外事件,促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。
4.10风险评估通过一定的步骤和技术手段来评估信息系统安全风险的过程,并判断风险的优先级,建议处理风险的措施。
风险评估也称为风险分析,是风险管理的一部分。
ISO27005信息安全技术风险管理白皮书
ISO/IEC 27005:2008信息技术–安全技术–信息安全风险管理Information Technology – Security techniques - Information security risk management目录前言 (4)介绍 (5)1. 范围 (6)2. 规范性引用文件 (6)3. 术语和定义 (6)4. 本国际标准的结构 (8)5. 背景 (9)6. 信息安全风险管理过程概述 (10)7. 确定范畴 (13)7.1. 总则 (13)7.2. 基本准则 (13)7.3. 范围和边界 (16)7.4. 信息安全的组织架构 (17)信息安全风险评估 (17)8.1. 信息安全风险评估综述 (17)8.2. 风险分析 (18)8.2.1. 风险识别 (18)8.2.2. 风险估算 (23)8.3. 风险评价 (27)信息安全风险处置 (28)9.1. 风险处置综述 (28)9.2. 风险降低 (31)9.3. 风险保持 (32)9.4. 风险回避 (32)9.5. 风险转移 (33)10. 信息安全风险的接受 (33)11. 信息安全风险的沟通 (34)12. 信息安全监视和评审 (35)12.1. 监视和评审风险因子 (35)12.2. 风险管理监视、评审和改进 (37)附录A (资料性)界定信息安全风险管理过程的范围和边界 (38)A.1 对组织进行研究 (38)A.2 影响组织的约束清单 (39)A.3 适用于组织的法律法规的参考清单 (42)A.4 影响范围的约束清单 (42)附录B (资料性)资产的识别和赋值以及影响评估 (44)B.1 资产识别的例子 (44)B.1.1 基本资产的识别 (44)B.1.2 支持性资产的清单和描述 (45)B.2 资产赋值 (52)B.3 影响评估 (56)附录C (资料性)典型威胁示例 (57)附录D (资料性)脆弱点和脆弱性评估方法 (61)D.1 脆弱点示例 (61)D.2 评估技术性脆弱点的方法 (65)附录E (资料性)信息安全风险评估方法 (66)1 纲领性信息安全风险评估 (66)E.2 详细的信息安全风险评估 (68)E.2.1 示例1:预定值矩阵 (68)E.2.2 示例2:通过风险值进行威胁评级 (71)E.2.3 示例3:为风险的可能性和可能的后果赋值 (71)附录F (资料性)降低风险的约束 (73)前言ISO(国际标准化组织)和IEC (国际电工委员会)构成世界范围内的标准化专门体系。
信息安全风险评估/管理相关国家标准介绍
5)信息安 全风险管理 的国家标准正在 升级 ,在 《国家标准 (信息安全风险评估实施指南 ) (送审稿 )编制说明 》 (正式发布后就足CB/T 3I509—2015)的 2.2中提到 “结合国家信息 中心正在编写 的 《信息安全风险管理规范 》标准草案”。在后续的信息安全管理系列 中,我们会陆续介绍 。 6)BS 7799—3:2006 Guidelinesforinformation security riskmanagement,在2008年成为 国际标准之后 ,英国国家标准的标识 为:BSISO/IEC 27005:2008。 7)Context词 的原意为 “上下文” ,在研究领域经常翻译为情 境 ,实际上在此处 就是上下文 的意思 。 8)由于英文词汇是risk treatment,可能 引起歧 义。在 《意见汇 总处理表 》中有一条意 见为 “风险处理的定义还应该进一 步斟酌 ”,因此其 巾的相荚 词汇 nr 能 会 修 改
(2)开始考虑情 境 (context)¨的建立 。情境包 括 了一系 列的 内容 ,例如 ,基本 准则 、范 围和边 界 以及 信息安 全风险 管理组织 等 ,实际上就 是包括 了 主要 的准备活动 。在 ISO/IEC 27001的 2013版本 中 , 也 用 了这 个 词 汇 ,在 2005版 中则 没 有 。
GB/T 31722-2015/ISO/IEC 27005:2008中 信 息 安全 风险管理过程 由语境建立 (第 7章 )、风险评 估 (第 8章 )、风 险处置 (第 9章 )、风 险接 受 (第 10章 )、风险沟通 (第 11章 )和风险监视 与评审 (第 12章 )组成 ,对每一个过程 的描述非 常清晰 ,依次 划分为 :输入 、动作 、实施指南和输出。
ISO27002-2013中文版
CISAW培训教材《信息安全风险管理》内容概述
《信息安全风险管理》力求从实践出发,介绍当前信息安全保障工作中的风险管理技术,适合申请认证考试人员或从事信息安全风险管理工作的人员使用。
全书共分为5章:
第1章概述。
本章从信息安全风险管理模型出发,阐述风险的起源、特性、要素及其关系和风险管理的基本概念;
第2章信息安全风险管理相关标准。
本章从信息安全风险管理标准出发,介绍ISO/IEC31000、ISO/IEC13335、ISO/IEC27005、卡内基梅隆、GB/T20984等相关标准的内容;
第3章信息安全风险评估实现。
本章关注风险管理中的风险评估这一核心要素,详细介绍了信息安全风险评估内容,按照风险识别、风险分析、风险评价这条主线展开论述,同时辅以部分实例进行说明;
第4章信息安全风险处置。
本章从风险处置的角度出发,详细阐述了风险处置的过程框架,并讨论了几种典型的风险处置措施及其应用;
第5章信息安全风险管理案例。
本章从整体出发,依照本书中第1章提出的风险管理模型,以一个实际项目作为案例,对整个风险管理的实施过程进行了论述。
《信息安全技术》是《信息安全风险管理》的配套教程,详细介绍了信息安全的基本概念和技术原理。
全书分上下册,共23章,包括信息安全基本概念、密码技术、身份认证、访问控制、信息隐藏、容错容灾、反垃圾邮件技术、存储
介质安全技术、恶意代码及防护、传输安全、机房环境、漏洞管理、主机安全、安全审计、取证技术、安全测试、安全编码、物理边界控制、防火墙技术、入侵检测、云计算安全和物联网安全。
ISO2700风险评价方法与准则
风险评估方法与准则
资产价值
威胁值
弱点值
风险等级
风险值=资产价值X 弱点严重性X 威胁可能性
常见威胁
高 3 非常容易被利用
a 高 3 发生频率为每半年1次
威胁分类表
常见脆弱性
缺少审核跟踪可能会被以未经授权许可的方式使用软件这一威
脆弱性识别内容表
策略、内部访问控制策略、网络设备安全配置等方面进行
风险评估对象:判定为重要信息资产的信息资产(资产价值2以上)
风险处置对象:判定为中风险以上的风险(风险等级2级以上)
风险评估接受准则:
经过风险处置后判定为风险等级1级(风险值1,2,3,4)的风险为可接受风险。
国际标准化组织(ISO)发布最新修订的ISOIEC27005标准
国际标准化组织(ISO)发布最新修订的ISOIEC27005标准2018年7月13日,国际标准化组织(ISO)发布了一则有关降低信息安全漏洞的新闻,指出在我们的超连接,技术驱动的世界中,数据泄露和网络攻击是目前社会组织面临的重大威胁,而且社会组织往往缺乏对风险的认识。
新修订的ISO/IEC 27005标准将有助于改善目前信息安全漏洞风险。
对于保护公司信息的安全,无论是商业敏感还是客户的个人信息,都从未如此受到关注。
目前一些有关信息安全的新立法陆续出台,例如欧盟通用数据保护条例,这意味着当前社会组织面临更大的安全压力,确保其信息安全,已迫在眉睫。
但如何拥有最合适的技术和流程还是目前所面临的难点。
作为ISO/IEC 27001:2013的补充,新修订的ISO/IEC 27005:2018,信息技术-安全技术-信息安全风险管理,提供了信息安全管理系统(ISMS)的要求,通过提供有效管理风险的框架,为组织提供指导,帮助他们解决有关信息安全方面的问题,从而确保它最适合满足当今组织的需求。
专家意见Edward Humphreys,ISO/IEC工作组的召集人,同时也是ISO/IEC 27001和ISO/IEC 27005标准的制定者,他说更新后的ISO/IEC 27005:2018标准是ISO/IEC“网络风险工具箱”中的重要工具。
他同时指出“ISO/IEC 27005为组织提供'风险的原因,内容和方式',以便能够有效地管理其信息安全风险”,“此修订的ISO/IEC 27005新标准还有助于向各社会组织的客户或利益相关者证明组织已经具备强大的风险处理能力,让他们相信此风险管理能力,将有利于事业更好的发展。
”标准简介ISO/IEC 27005是ISO/IEC 27000系列中十多个标准之一,构成了网络风险工具包,由ISO/IEC 27001引领,信息技术-安全技术-信息安全管理系统。
该系列中的其他人包括用于保护云信息,电信和公用事业部门的信息安全,网络安全,ISMS审计等。
CISP考试(习题卷16)
CISP考试(习题卷16)第1部分:单项选择题,共94题,每题只有一个正确答案,多选或少选均不得分。
1.[单选题]下面关于IIS报错信息含义的描述正确的是?A)401-找不到文件B)403-禁止访问C)404-权限问题D)500-系统错误答案:B解析:2.[单选题]CC标准是目前系统安全认证方面最权威的标准,以下哪一项没有体现CC标准的先进性?A)实用性,将CC的安全性要求具体应用到IT产品的开发、生产、测试和评估过程中。
B)结构的开放性,即功能和保证要求都可以在具体的“保护轮廓”和“安全目标”中进一步细化和扩展C)独立性,它强调将安全的功能和保证分离。
D)表达方式的通用性,即给出通用的表达方式答案:C解析:3.[单选题]小王在学习定量风险评估方法后,决定试着为单位机房计算火灾的风险大小,假设单位 机房的总价值为200 万元人民币,暴露系数(ExposureFactor ,EF )是 25%,年度发生率 (Annualized Rate ofOccurrence,ARO)为0.1,那么小王计算的年度预期损失(Annualized Loss Expectancy,ALE )应该是?A)5 万元人民币B)50 万元人民币C)2.5 万元人民币D)25 万元人民币答案:A解析:4.[单选题]以下哪些不是可能存在的弱点问题?A)保安工作不得力B)应用系统存在BugC)内部人员故意泄密D)物理隔离不足答案:C解析:5.[单选题]为了达到组织灾难恢复的要求,备份时间间隔不能超过;A)服务水平目标(SLO)B)恢复时间目标(RTO)C)恢复点目标(RPO)D)停用的最大可接受程度(MAO)答案:C解析:6.[单选题]某单位在一次信息安全风险管理活动中,风险评估报告提出服务器A的FTP服务存在高风险漏洞。
随后该单位在风险处理时选择了关闭FTP服务的处理措施,请问该措施属于哪种风险处理方式A)风险规避B)风险转移C)风险接受D)风险降低答案:A解析:7.[单选题]随着时代的发展,有很多伟人都为通信事业的发展贡献出白己力量,根据常识可知以下哪项是正确的?( )A)19 世纪中叶以后,随着电磁技术的发展,诞生了笔记本电脑,通信领域产生了根本性的飞跃,开始了人类通信新时代B)1837 年,美国人费曼发明了电报机,可将信息转换成电脉冲传向目的地,再转换为原来的信息,从而实现了长途电报通信C)1875 年,贝尔(Bell)发明了电话机。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ISO/IEC 27005:2008信息技术–安全技术–信息安全风险管理Information Technology – Security techniques - Information security risk management目录前言 (4)介绍 (5)1. 范围 (6)2. 规范性引用文件 (6)3. 术语和定义 (6)4. 本国际标准的结构 (8)5. 背景 (9)6. 信息安全风险管理过程概述 (10)7. 确定范畴 (13)7.1. 总则 (13)7.2. 基本准则 (13)7.3. 范围和边界 (16)7.4. 信息安全的组织架构 (17)信息安全风险评估 (17)8.1. 信息安全风险评估综述 (17)8.2. 风险分析 (18)8.2.1. 风险识别 (18)8.2.2. 风险估算 (23)8.3. 风险评价 (27)信息安全风险处置 (28)9.1. 风险处置综述 (28)9.2. 风险降低 (31)9.3. 风险保持 (32)9.4. 风险回避 (32)9.5. 风险转移 (33)10. 信息安全风险的接受 (33)11. 信息安全风险的沟通 (34)12. 信息安全监视和评审 (35)12.1. 监视和评审风险因子 (35)12.2. 风险管理监视、评审和改进 (37)附录A (资料性)界定信息安全风险管理过程的范围和边界 (38)A.1 对组织进行研究 (38)A.2 影响组织的约束清单 (39)A.3 适用于组织的法律法规的参考清单 (42)A.4 影响范围的约束清单 (42)附录B (资料性)资产的识别和赋值以及影响评估 (44)B.1 资产识别的例子 (44)B.1.1 基本资产的识别 (44)B.1.2 支持性资产的清单和描述 (45)B.2 资产赋值 (52)B.3 影响评估 (56)附录C (资料性)典型威胁示例 (57)附录D (资料性)脆弱点和脆弱性评估方法 (61)D.1 脆弱点示例 (61)D.2 评估技术性脆弱点的方法 (65)附录E (资料性)信息安全风险评估方法 (66)1 纲领性信息安全风险评估 (66)E.2 详细的信息安全风险评估 (68)E.2.1 示例1:预定值矩阵 (68)E.2.2 示例2:通过风险值进行威胁评级 (71)E.2.3 示例3:为风险的可能性和可能的后果赋值 (71)附录F (资料性)降低风险的约束 (73)前言ISO(国际标准化组织)和IEC (国际电工委员会)构成世界范围内的标准化专门体系。
国家机构作为ISO或IEC的成员,通过由处理特定技术领域的相应组织所建立的技术委员会参与开发国际标准。
ISO和IEC的技术委员会在共同关心的领域合作。
其他的国际性组织,官方或非官方的,也与ISO和IEC联系,参与部分工作。
在信息技术领域,ISO/IEC 建立了联合技术委员会,IEO/IEC JTC 1。
国际标准依据ISO/IEC 指南第2部分起草。
联合技术委员会的主要任务是起草国际标准。
被联合技术委员会接受的国际标准草案,将提交过国家机构进行投票。
成为国际标准公开发布,则需要至少75%的国家机构投赞成票。
应注意本标准的某些内容可能涉及专利。
ISO和IEC不负责识别任何专利。
ISO/IEC 20000-1由ISO/IEC JTC1信息技术联合技术委员会SC27安全技术分起草。
ISO/IEC 27005的第一版作为技术性修订,废弃和替代了ISO/IEC TR 13335-3:1998, and ISO/IEC TR 13335-4:2000。
信息技术–安全技术–信息安全风险管理1. 范围本国际标准为信息安全风险管理提供指南。
本国际标准支持ISO/IEC 27001所描述的一般概念,并致力于协助实施符合要求的、基于风险管理方法的信息安全。
理解ISO/IEC 27001 和ISO/IEC 27002 所描述的概念、模型、过程和术语,对于完整理解本标准是很重要的。
本标准适用于试图管理危及组织信息安全风险的各种类型组织(如,商业企业、政府机构、非盈利组织)。
2. 规范性引用文件下列参考文件对于本文件的应用是必不可少的。
凡是注明日期的引用文件,只有引用的版本适用于本标准;凡是不注日期的引用文件,其最新版本(包括任何修改)适用于本标准。
ISO/IEC 27001:2005,信息技术–安全技术–信息安全管理体系–要求ISO/IEC 27002:2005,信息技术–安全技术–信息安全管理使用规则3. 术语和定义下列术语和定义以及ISO/IEC 27001、ISO/IEC 27002 中的术语和定义适用于本标准。
3.1 Impact 影响给达成的业务目标级别带来不利的变化3.2 Information Security Risk 信息安全风险某种特定的威胁利用资产或一组资产的脆弱点,导致这些资产受损或破坏的潜在可能注:通常用事态的可能性及其后果的组合来测量。
3.3 risk avoidance 风险回避决定不卷入风险处境或从风险处境中撤出[ISO/IEC Guide 73:2002]3.4 risk communication 风险沟通在决策者或其他利益相关方之间交换或共享有关风险的信息[ISO/IEC Guide 73:2002]3.5 risk estimation 风险估算对风险的可能性和后果进行赋值的过程[ISO/IEC Guide 73:2002]注1:对于风险估算,在本国际标准范畴内,用术语“活动”替代术语“过程”。
注2:对于风险估算,在本国际标准范畴内,用术语“可能性”替代术语“概率”。
3.6 risk identification 风险识别发现、列出并描述风险要素的过程[ISO/IEC Guide 73:2002]注1:对于风险识别,在本国际标准范畴内,用术语“活动”替代术语“过程”。
3.7 risk reduction 风险降低采取行动降低风险发生的可能性或减轻负面后果,或同时降低风险发生的可能性和减轻负面后果[ISO/IEC Guide 73:2002]注:对于风险降低,在本国际标准范畴内,用术语“可能性”替代术语“概率”。
3.8 risk retention 风险保持接受特定风险带来的损失或收益[ISO/IEC Guide 73:2002]注:在信息安全风险范畴内,风险保持只考虑负面后果(损失)。
3.9 risk transfer 风险转移与其它组织分担风险的损失或收益[ISO/IEC Guide 73:2002]注:在信息安全风险范畴内,转移风险只考虑负面后果(损失)。
4. 本国际标准的结构本标准包含信息安全风险管理过程及活动的描述。
条款5 提供背景信息。
条款6 提供信息安全风险管理过程的概述。
条款6 提及的所有信息安全管理活动在随后的以下条款中叙述:∙条款7 确定风险管理范畴,∙条款8 描述风险评估,∙条款9 描述风险处置,∙条款10 描述风险接受,∙条款11 描述风险沟通,条款12 描述风险监视和评审。
附录提供有关信息安全风险管理活动的补充信息。
附录A(定义信息安全管理过程的范围和边界)为建立风险评估范畴提供支持。
附录B(资产示例)、附录C(典型威胁示例)和附录D(典型脆弱点示例)讨论有关资产的识别和赋值以及影响的评估。
附录E 提供信息安全风险评估方法的示例。
附录F 表述降低风险的约束条件。
从条款7 到条款12 描述的所有风险管理活动采用如下结构:输入:识别执行活动所必需的任何信息。
活动:活动的描述。
实施指南:提供执行活动的指南。
指南的部分内容可能不适用于所有情形,并且执行活动的其他方式可能更为合适。
输出:识别活动执行后所得到的任何信息。
5. 背景信息安全风险管理的系统化方法对于识别组织有关信息安全要求和建立有效的信息安全管理体系(ISMS)来说是必须的。
信息安全风险管理方法应该适合于组织的环境,特别是应该与组织的整体风险管理相一致。
应该按照需要的时间和地点,以有效和及时的方式处理风险。
信息安全风险管理应该是构成整个信息安全管理活动的一部分,并应该应用于ISMS 的实施和持续运行中。
信息安全风险管理是一个持续的过程。
该过程应该建立范畴,评估风险,并利用风险处置计划来实施建议和决策以处置风险。
风险管理分析,是在决定应该做什么和什么时候做之前分析可能发生什么以及可能的后果是什么,以将风险降低到可以接受的级别。
信息安全风险管理应该为以下方面提供帮助:∙识别风险∙依据风险造成的业务后果和发生的可能性进行风险评估∙就风险的后果和可能性进行沟通并达成理解∙建立风险处置的优先次序∙对降低风险的活动进行排序∙在做出风险管理决策时,让利益相关方参与,并及时告知风险管理的状态∙有效监视风险处置∙监视风险和风险管理过程,并定期评审∙收集信息以改进风险管理方法∙应该对管理者和员工进行有关风险和减轻风险所应采取行动的培训信息安全风险管理过程可能应用于整个组织,组织的任何部分(如部门、物理区域或某个服务),任何信息系统,现有、计划或特定部分的控制措施(如业务连续性计划)。
6. 信息安全风险管理过程概述信息安全风险管理过程由确定范畴(条款7)、风险评估(条款8)、风险处置(条款9)、风险接受(条款10)、风险沟通(条款11)以及风险监视和评审(条款12)组成。
如图1 所示,信息安全风险管理过程可能循环进行风险评估和/或风险处置活动。
风险评估的循环方法能够使得每一次循环更加深入和具体。
循环方法可以在确保高风险被准确识别和在识别控制措施上花费最小的时间和精力之间寻找平衡。
首先确定范畴。
然后进行风险评估。
如果风险评估为进行有效决策的提供了充分的信息,以确定将风险降低到可接受级别所需活动,则风险评估任务结束,开始进行风险处置。
如果信息不够充分,则进行另外一个修订范畴和风险评估的循环,也可能是整个范围内的部分内容进行循环。
有效的风险处置依赖于风险评估的结果。
风险处置可能不会立即将残余风险降低到可以接受的级RISK ANALYSIS 风险分析 RISK INDENTIFICATION 风险识别 RISK ESTIMATION 风险估计 RISK EVALUATION 风险评价 RISK ASSEMENT 风险评估 RISK DECISION POINT 1Assessment satisfactory风险决策点1风险评估是否满足要求? NOYES RISK DECISION POINT 2 Treatment satisfactory 风险决策点2 风险处置是否满足要求? NOYES RISK ACCEPTENCE风险接受 RISK TREATMENT 风险处置 风险监视和评审 CONTEXT ESTABLISHMENT 确定范畴 风险沟通 别。