信息安全合规性比较
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
6)网上银行系统信息安全通用规范
由于等保的测评要求和直接把等保的基本要求作为指标,所以综合为等保要求。标准编号会特别说明。
把ISO20000纳入体系,主要是在IT系统的运维阶段,安全和域内密不可分。
以后还会逐步把NIST800中有关标准纳入比较。
0.2
本文以信息系统安全内容为主线来进行比较。比较的主要条目有:
目前,信息安全的标准体系很多,主要分为管理类、技术类和工程类。在一个体系中,经常综合放映了三个方面的要求。为了便于使用,本文以信息安全各个内容为主线,梳理各个体系的要求并作出对比。
1.
0.1
由于信息安全的本质是为了确保业务价值,面向的对象是信息资产。所以围绕信息资产的信息要求来组织各个体系的内容。比较的体系包括以下4个:
参照了IT治理COBIT4的模型和风险评估模型
网上银行系统信息安全通用规范的基本方法和模型
属于分散的要求,没有模型。
3.
使用范围包括适用对象和调整的内容。
在《GB/T 22239—2008信息安全技术信息系统安全等级保护基本要求》的引言中说明的目的和动机:
指导不同安全保护等级信息系统的安全建设和监督管理。
信息安全管理体系的目的和动机
在《GB/T 22080—2008信息技术安全技术信息安全管理体系要求》的引言中说明了目的和动机
27)为建立、实施、运行、监视、评审、保持和改进信息安全管理体系提供模型。
29)针对信息系统中的单项安全措施和多个安全措施的综合防范,对应地提出单元测评和整体测评的技术要求,用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。
30)单元测评对安全技术和安全管理上各个层面的安全控制提出不同安全等级的测试评估要求,其测评内容主要针对《信息安全技术信息系统安全等级保护基本要求》规定的各单项安全控制措施在信息系统中的落实情况。
第一部分:基础部分
7)目的与动机
8)基本方法和模型
9)适用范围
第二部分:管理部分
10)文件化要求
11)信息安全方针和安全策略
12)信息安全组织
13)人员资源安全
14)安全制度和流程
15)安全事件管理
16)问题管理
17)系统的获取
18)系统的运维
19)对信息安全体系本身的管理
第三部分技术部分
20)物理安全
31)整体测评根据安全控制间、层面间和区域间相互关联关系以及信息系统整体结构对信息系统整体安全保护能力的影响提出测试评估要求。
在《信息系统安全等级保护测评要求》的第四章总则中说明了测评原则、测评内容、测评强度、结果重用和测评方法
在《GB/T 22080—2008信息技术安全技术信息安全管理体系要求》:
网上银行系ቤተ መጻሕፍቲ ባይዱ信息安全通用规范的目的和动机
在前言中说明了目的和动机:
有效增强现有网上银行系统的安全防范能力,促进网上银行规范、健康发展。作为网上银行系统建设和改造升级的安全性依据,也可以作为个单位开展安全检查和内部审计的依据。
2.
一般在引言、或者总则中说明基本方法和模型。
等保的基本方法和模型
在《信息系统安全等级保护测评要求》的引言说明基本方法和模型为:
基本安全要求包括基本技术要求和基本管理要求
信息安全管理体系的基本方法和模型
PDCA的过程方法
服务管理的基本方法和模型
通过整合过程和对不同人员和组织的协调来不断改进。
商业银行信息科技风险管理指引的基本方法和模型
管法人:从坚持法人监管出发,指出商业银行法定代表人是本机构信息科技风险管理的第一责任人
管风险:从坚持风险监管出发,要求商业银行建立有效的机制,实现对信息科技风险的识别、计量、监测和控制,提高信息技术使用水平。
1)信息系统安全等级保护测评要求
2)信息系统安全等级保护基本要求GB/T22239-2008第四级
3)信息安全管理体系要求GB/T22080-2008 idt ISO27001:2005
4)服务管理GB/T22405.1-2009 idt ISO20000-1:2005
5)商业银行信息科技风险管理指引
28)用于一致性评估
服务管理的目的和动机
在《GB/T24405.1-2009T信息技术_服务管理_第1部分_规范.》的引言中说明的目的与动机:
鼓励采用整合的过程方法,有效地交付受管理的服务,满足业务和顾客要求
商业银行信息科技风险管理指引的目的和动机
在第一章总则的第五条中说明了目的和动机:
通过建立有效机制,实现对商业银行信息科技风险的识别、计量、检测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争能力和可持续发展能力。
21)网络安全
22)主机安全
23)应用安全
24)数据和备份恢复
第四部分专题部分
25)业务连续性
26)业务恢复
1.
目的和动机一般在标准的引言中说明。也有标准在其他部分说明。
等保要求的目的和动机
在《信息系统安全等级保护测评要求》的引言中说明目的和动机:
指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。
管内控:从内控监管要求出发,要求商业银行建立完整的管理组织架构,制订完善的管理制度和流程,以相互制约的管理机制对信息科技各环节进行控制。
管透明度:要对监管方透明
管客户价值:从保护广大储户利益出发,要求商业银行在信息系统开发、测试和维护,以及服务外包过程中加强对客户信息的保护,防止敏感信息泄露
管理业务连续和服务连续:对业务连续性管理也加以规范,保障客户数据安全和服务连续。
由于等保的测评要求和直接把等保的基本要求作为指标,所以综合为等保要求。标准编号会特别说明。
把ISO20000纳入体系,主要是在IT系统的运维阶段,安全和域内密不可分。
以后还会逐步把NIST800中有关标准纳入比较。
0.2
本文以信息系统安全内容为主线来进行比较。比较的主要条目有:
目前,信息安全的标准体系很多,主要分为管理类、技术类和工程类。在一个体系中,经常综合放映了三个方面的要求。为了便于使用,本文以信息安全各个内容为主线,梳理各个体系的要求并作出对比。
1.
0.1
由于信息安全的本质是为了确保业务价值,面向的对象是信息资产。所以围绕信息资产的信息要求来组织各个体系的内容。比较的体系包括以下4个:
参照了IT治理COBIT4的模型和风险评估模型
网上银行系统信息安全通用规范的基本方法和模型
属于分散的要求,没有模型。
3.
使用范围包括适用对象和调整的内容。
在《GB/T 22239—2008信息安全技术信息系统安全等级保护基本要求》的引言中说明的目的和动机:
指导不同安全保护等级信息系统的安全建设和监督管理。
信息安全管理体系的目的和动机
在《GB/T 22080—2008信息技术安全技术信息安全管理体系要求》的引言中说明了目的和动机
27)为建立、实施、运行、监视、评审、保持和改进信息安全管理体系提供模型。
29)针对信息系统中的单项安全措施和多个安全措施的综合防范,对应地提出单元测评和整体测评的技术要求,用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。
30)单元测评对安全技术和安全管理上各个层面的安全控制提出不同安全等级的测试评估要求,其测评内容主要针对《信息安全技术信息系统安全等级保护基本要求》规定的各单项安全控制措施在信息系统中的落实情况。
第一部分:基础部分
7)目的与动机
8)基本方法和模型
9)适用范围
第二部分:管理部分
10)文件化要求
11)信息安全方针和安全策略
12)信息安全组织
13)人员资源安全
14)安全制度和流程
15)安全事件管理
16)问题管理
17)系统的获取
18)系统的运维
19)对信息安全体系本身的管理
第三部分技术部分
20)物理安全
31)整体测评根据安全控制间、层面间和区域间相互关联关系以及信息系统整体结构对信息系统整体安全保护能力的影响提出测试评估要求。
在《信息系统安全等级保护测评要求》的第四章总则中说明了测评原则、测评内容、测评强度、结果重用和测评方法
在《GB/T 22080—2008信息技术安全技术信息安全管理体系要求》:
网上银行系ቤተ መጻሕፍቲ ባይዱ信息安全通用规范的目的和动机
在前言中说明了目的和动机:
有效增强现有网上银行系统的安全防范能力,促进网上银行规范、健康发展。作为网上银行系统建设和改造升级的安全性依据,也可以作为个单位开展安全检查和内部审计的依据。
2.
一般在引言、或者总则中说明基本方法和模型。
等保的基本方法和模型
在《信息系统安全等级保护测评要求》的引言说明基本方法和模型为:
基本安全要求包括基本技术要求和基本管理要求
信息安全管理体系的基本方法和模型
PDCA的过程方法
服务管理的基本方法和模型
通过整合过程和对不同人员和组织的协调来不断改进。
商业银行信息科技风险管理指引的基本方法和模型
管法人:从坚持法人监管出发,指出商业银行法定代表人是本机构信息科技风险管理的第一责任人
管风险:从坚持风险监管出发,要求商业银行建立有效的机制,实现对信息科技风险的识别、计量、监测和控制,提高信息技术使用水平。
1)信息系统安全等级保护测评要求
2)信息系统安全等级保护基本要求GB/T22239-2008第四级
3)信息安全管理体系要求GB/T22080-2008 idt ISO27001:2005
4)服务管理GB/T22405.1-2009 idt ISO20000-1:2005
5)商业银行信息科技风险管理指引
28)用于一致性评估
服务管理的目的和动机
在《GB/T24405.1-2009T信息技术_服务管理_第1部分_规范.》的引言中说明的目的与动机:
鼓励采用整合的过程方法,有效地交付受管理的服务,满足业务和顾客要求
商业银行信息科技风险管理指引的目的和动机
在第一章总则的第五条中说明了目的和动机:
通过建立有效机制,实现对商业银行信息科技风险的识别、计量、检测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争能力和可持续发展能力。
21)网络安全
22)主机安全
23)应用安全
24)数据和备份恢复
第四部分专题部分
25)业务连续性
26)业务恢复
1.
目的和动机一般在标准的引言中说明。也有标准在其他部分说明。
等保要求的目的和动机
在《信息系统安全等级保护测评要求》的引言中说明目的和动机:
指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。
管内控:从内控监管要求出发,要求商业银行建立完整的管理组织架构,制订完善的管理制度和流程,以相互制约的管理机制对信息科技各环节进行控制。
管透明度:要对监管方透明
管客户价值:从保护广大储户利益出发,要求商业银行在信息系统开发、测试和维护,以及服务外包过程中加强对客户信息的保护,防止敏感信息泄露
管理业务连续和服务连续:对业务连续性管理也加以规范,保障客户数据安全和服务连续。