国际安全标准-v4
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Cobit
COSO
ITIL
5
企业合规与遵循框架
27号文 147号令 等级保护 SOX法案 …… COSO-ERM COBIT ISO 27000系列 框架标准 ISO 13335系列 等级保护标准 信息安全国标 …… 组织人员 业务应用 主机和系统 网络区域 IT基础设施 物理环境 企业IT相关资源或元素 自身现状及特点
信息安全管理标准
ISO/IEC 27001:2005 GB/T 22080-2008 信息安全管理体系要求
ISO/IEC 27002:2007 GB/T 22081-2008 信息安全管理实施细则
管理体系构架 明确控制要求 用于体系认证
26
各类安全控制手段实施指南 包括管理制度要求 建立管理体系的参考 不用于认证
公司安全 目标—战略—策略
公司财务 目标—战略—策略
公司IT安全 目标—战略—策略
公司人员安全 目标—战略—策略
IT系统安全-1 目标—战略—策略
……
IT系统安全-N 目标—战略—策略
12
信息安全主题
ISO/IEC TR 13335-1给出了IT安全6个方面 的含义:
Confidentiality(保密性) Integrity(完整性) Availability(可用性) Accountability(可记账性) Authenticity(确实性) Reliability(可靠性)
“IT 安全管理指南”(Guidelines for theManagement of IT Security,GMITS) 新版称作“信息和通信技术安全管理” ( Management of Information and Communications Technology Security,MICTS)
国际重要信息安全标准
大纲要求
考察是否了解ISO/IEC TR 13335、ISO/IEC 17799、ISO/IEC 27001等指导风险评估工 作的国际标准
2
信息安全与安全标准
目录
ISO/IEC TR 13335 ISO/IEC 27000系列 国际其他重要信息安全标准
3
“安全”与标准
“安全” 是指将 资产或资源的脆弱 性降到最低限度。 当对信息进行正确的控制以确保它能 防止冒险,诸如不必要的或无保证的传 播、更改或遗失,IT产品和系统应执行 它们的功能. “IT安全”用于概括防御 和缓解这些及类似的冒险。 信息安全-保证信息的保 密性,完整性,可用性; 另外也可包括诸如真实性, 可核查性,不可否认性和 可靠性等特性.
词汇 要求
ISMS要求 ISMS实用 规则 ISMS控制 审核指南
27000
ISMS实施 指南 20000-1 与27001 集成实施 指南
ISMS审核认证机 构要求
27001
27006
ISM测量
IS风险 管理
指南
27002 27007 27010
27003 27008
部门间协作ISM 指南
27004 27013 27012
8
ISMS改进
8.1 持续改进 8.2 纠正措施 8.3 预防措施
附录A 附录B 附录C
控制目标和控制措施 OECD原则和本标准 ISO 9001:2000,ISO 14001:1996和本标准
30
27002:信息安全管理实用规则
即17799,2005年6月15日发布第二版 包含有11个安全类别、39个控制目标、 133个控制措施 实施27001的支撑标准,给出了组织建立 ISMS时应选择实施的控制目标和控制措施 集 是一个行业最佳惯例的汇总集,而不是一 个认证和审核标准
21
信息安全与安全标准
目录
ISO/IEC TR 13335 ISO/IEC 27000系列 国际其他重要信息安全标准
22
BS7799的历史及发展
DTI BSI
1993.9 1995.2 1998.2 1999.4
Code of practice
BS 7799-Part1
+
BS 7799-Part2
28
PDCA的过程方法
信息安全管理体系的持续改进 A P 相关方 C D
建立 ISMS
4.2.1
相关方
A P C D
实施和运行 ISMS
维护和改进 ISMS
A P C D
4.2.2
4.2.4
信息安全 需求和期望
Input
A P C D
监控和评审 ISMS
Output
受控的 信息安全
4.2.3
27001中应用于ISMS的PDCA模型
(指导如何进行安全管理实践)
– ISO27001:2005 (BS7799-2:2002)
Information security management systems –Requirements 信息安全管理体系要求
(建立的信息安全管理体系必须符合的要求)
25
ISO 27001/ISO 27002
信息安全是要在很大的范 围内保护信息免受各种威 胁,从而确保业务的连续 性、减少业务损失并且使 投资和商务机会获得最大 的回报。特指保护保密性、 完整性和可用性。
4
合规与遵循的必要性
海外法律法规 SarbanesOxley 《萨班斯奥克斯利法案》 Gramm-LeachBliley 《 格爱姆- 里赤- 布里利法案》 HIPAA健康保险 流通与责任法案 Basel II巴塞尔 新资本协议 国内法律法规 国家信息安全 等级保护制度 《互联网安全 保护技术 措施规定》 公安部 第82号令 国信办信息 安全风险 评估规范 …… 行业标准指南 银监会 《商业银行 内部控制指引》 证监会 《证券公司 内部控制指引》 保监会 《保险公司风险 管理指引 (试行)》 电监会5号令 最佳实践框架 ISO27002
8
ISO/IEC TR 13335
ISO/IEC13351:1996
IT安全概 念和模型
ISO/IEC13355:2001 ISO/IEC13352:1997
网络安全 管理指南ISO/IEC13335系列
IT安全管 理和规划
ISO/IEC13354:2000
ISO/IEC13353:1998
选择安全 措施
17
第2、3、4、5部分:
ISO/IEC TR 13335-2
介绍与IT安全管理和规划相关的各种活动, 以及组织内的相关角色和职责 适合负责IT系统的获得、设计、实施或运行 的管理人员
18
ISO/IEC TR 13335-3
介绍并推荐用于成功实施IT安全管理的技术
用于评估安全要求和风险 有助于建立并保持适宜的安全防护措施
BS 7799-1:1999 BS 7799-2:1999
ISO/IEC
2000.12 2002 2005
ISO 17799
BS7799 Part 2 version C
ISO 17799-2005
ISO 27001-2005
2007
23
ISO 27002-2007
ISO 27000标准族的体系
概述和词汇
10
信息安全主题
IT安全管理:采用系统的方法以识别组织内IT 安全的要求
开发IT安全策略 在组织内定义角色和职责 风险管理 配置管理 变更管理 中断计划和灾难恢复计划 选择和实施安全防护措施 安全意识
11
信息安全主题
公司 目标—战略—策略 目标:我们需要达到什么 战略:如何达到这些目标 策略:我们需要做些什么
IS治理框 27005 架
ISMS审核指南
27014
E-GOV服务ISM 指南
应用
27011
24
27015
ISO 27001/ISO 27002
– ISO27002:2007(BS7799-1:1999)
Code of Practice for Information Security Management 信息安全管理实用规则
29
ISO/IEC 270来自百度文库1 内容框架
引言
总则 过程方法 与其他管理体系的兼容性
5
管理职责
5.1 管理承诺 5.2 资源管理 5.2.1 资源提供 5.2.2 培训、意识和能力
1
范围
1.1 总则 1.2 应用
6 7
ISMS内部审核 ISMS的管理评审
7.1 总则 7.2 评审输入 7.3 评审输出
27000:ISMS基础和词汇
主要以ISO/IEC 13335-1:2004《信息和 通信技术安全管理第1部分:信息和通 信技术安全管理的概念和模型》为基础 进行研究 将规定27000系列标准所共用的基本原 则、概念和词汇
27
27001:信息安全管理体系要求
2005年10月15日发布 规定了一个组织建立、实施、运行、监视、评 审、保持、改进信息安全管理体系的要求 基于风险管理的思想,旨在通过持续改进的过 程(PDCA模型)使组织达到有效的信息安全 使用了和ISO 9001、ISO 14001相同的管理体 系过程模型 是一个用于认证和审核的标准
ISO 7498-2
X.800 1997
ISO 15408 2000 1999
ISO 13335-1:2004
ISO 17799:2005
1989
1991
2004 ISO 17799:2000
2005
ISO TR 13335-2:1997 定义获取和维护保 密性、完整性、可 用性、可核查性、 真实性和可靠性。
适合所有负责IT安全的管理和/或实施人员
19
ISO/IEC TR 13335-4
为选择防护措施提供指南
如何形成组织范围基线安全手册
适用于为IT系统选择防护措施时
20
ISO/IEC TR 13335-5
指导如何识别和分析建立网络安全要求时 要考虑的通讯相关要素 为潜在的防护措施领域提供指导
13
安全要素
Assets(资产) Threats(威胁) Vulnerabilities(脆弱性) Impact(影响) Risk(风险) Safeguards(防护措施) Residual Risk(残余风险) Constraints(限制条件)
14
风险管理关系模型
9
9
IT安全管 理技术
ISO/IEC TR 13335
第一部分:IT安全概念和模型 (Part 1—Concepts and Models for IT Security ),发布于1996年12月15日 第二部分:IT安全管理和规划 (Part 2—Managing and Planning IT Security),发布于1997年12月15日 第三部分:IT安全管理技术(Part 3—Techniques for the Management of IT Security),发布于1998年6月15日 第四部分:选择控制措施 (Part 4—Selection of Safeguards), 发布于2000年3月1日 第五部分:网络安全管理指南(Part 5—Management Guidance on Network Security),发布于2001年1月2日 其中第一部分分别于1997年和2004年发布了更新版本
2 3 4
规范性引用文件 术语和定义 信息安全管理体系 (ISMS)
4.1 总要求 4.2 建立和管理ISMS 4.2.1 建立ISMS 4.2.2 实施和运行ISMS 4.2.3 监视和评审ISMS 4.2.4 保持和改进ISMS 4.3 文档要求 4.3.1 总则 4.3.2 文件控制 4.3.3 记录控制
6
政策法规 ITIL 策略制度 实践指南 ISO 27002 风险评估规范 风险管理指南
信息安全与安全标准
目录
ISO/IEC TR 13335 ISO/IEC 27000系列 国际其他重要信息安全标准
7
ISO/IEC TR 13335
ISO/IEC TR 13335是由ISO/IEC JTC1制定的 技术报告,是一个信息安全管理方面的指 导性标准,其目的是为有效实施IT安全管理 提供建议和支持
威胁
利用
脆弱性
抗击
增加
增加
暴露
防护措施
减小
风险
增加
增加
资产
具有
满足
提出
安全要求
价值影响
15
IT安全管理
风险管理 业务连续性计划 变更管理 配置管理 监 视 安全意识 防护措施的选择 风险分析
16
如何使用13335
ISO/IEC TR 13335-1:
描述在IT安全管理领域内的各种主题,并提供 一个对基本IT安全概念和模型的简单介绍 适合最组织信息安全负有责任的高层管理者 基于第1部分中阐述的概念和模型 提供更为丰富的信息和资料 适合直接负责实施和监视IT安全的人员