信息安全管理教材
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
– SP 800-23,《联邦机构安全保障和采购指南/使用可信 或经评估的产品指南》(Guide to Federal Organizations on Security Assurance and Acquisition/ Use of Tested/Evaluated Products)
二、信息安全管理标准
• 管理基础 – 安全产品分类编码
– 信息技术安全管理指南(ISO/IEC TR 13335) – 信息安全管理(ISO/IEC TR 17799)
• 系统管理 – 安全报警报告功能(GB 17143.7-1997 idt 10164.7-1992) – 安全审计跟踪功能(GB 17143.8-1997 idt 10164.8-1993) – 访问控制对象和属性(GB 17143.9-1997 idt 10164.9-1993 – 风险管理
BS 7799-2
• 控制细则
– 安全策略 – 安全组织 – 资产分级和控制 – 人员安全 – 物理和环境安全 – 通信和运行管理 – 访问控制 – 系统开发和维护 – 商业连续性管理 – 符合性等10项要求
通用准则(CC )
✓国际标准化组织统一现有多种准则的努力结 果;
✓1993年开始,1996年出V 1.0, 1998年出V 2.0 ,1999年6月正式成为国际标准,1999年12月 ISO出版发行ISO/IEC 15408;
SSE-CMM项目
• 1993年4月开始酝量,1996年10月出版了SSE-CMM 模型的第一个版本,1997年4月出版了评定方法的 第一个版本。
• 1999年4月出版了第二版。 • 正在申报国际标准ISO/IEC 21827。
• NIST SP 800 (Special Publication 800-series)
BS 7799-2
• BS 7799-2第1版出版于1998年 • BS 7799-2第2版出版于2002年 • 评估一个组织全面或部分信息安全管理体
系的基础, • 也可以作为一个正式认证方案的基础。
BS 7799-2
• 建立信息管理体系的要求
– 总则 – 建立管理框架 – 实施 – 文档化 – 文档控制 – 记录
– SP 800-12, 《计算机安全手册》(Computer Security Handbook)
– SP 800-14, 《公认【安全】原则与操作》( Generally Accepted [Security] Principles & Practices)
– SP 800-18, 《安全计划开发指南》(Guide for Developing Security Plans)
ISO27001是建立和维护信息安全管理体系的标准,是信 息安全管理领域的权威标准。
信息安全管理的基本原则 主要领导负责 规范定级 一人为本 适度安全
• 党的十五届五中全会和第九届人大第六次会议决 定建立国家信息安全保障体系
• 性质:国家以国家意志和国家行为的方式,在信息技术
方面所形成的用于保护其安全利益的资源和能力,这种资 源和能力体现为特定形态和过程的技术结构、社会结构和 人才结构
• 测评认证
– 信息技术安全性评估准则(ISO/IEC 15408:1999)(CC) – 计算机信息系统安全保护等级划分准则(GB 17859:1999)
– 通用测评方法(SC27 N2722|CEM)
– 系统安全工程能力成熟模型(SSE-CMM)
信息安全管理基础: BS7799
• 英国标准协会(BSI)于1995年制定BS7799 《信息安全管理体系标准》,1999年修订 改版:
✓主要思想和框架取自ITSEC和FC; ✓充分突出“保护轮廓”,将评估过程分“功能”和
“保证”两部分; ✓是目前最全面的评价准则
CC的结构以及目标读者
安全管理指南:ISO/IEC TR 13335
• 信息技术安全的概念和模型 • 信息技术安全的管理和规划 • 信息技术安全的管理技术 • 信息技术安全措施的安全 • 网络安全性的管理指导
– 7799-1 : 《信息安全管理操作规wenku.baidu.com》 – 7799-2 : 《信息安全管理系统规范》
• 7799-1已经在2000年末被采纳为国际标准 ,即:ISO/TEC17799《信息安全管理操作 规则》,香港、台湾等都采用BS7799标准 。
ISO/IEC 17799( BS7799-1 )
划分为11个主要方面: 1、安全策略 2、组织信息安全 3、资产分级与控制 4、人员安全 5、物理和环境安全 6、通信和运行管理 7、访问控制 8、信息系统获取、开发和维护 9、信息安全事件管理 10、业务连续性管理 11、符合性
• 信息安全核心问题: – 信息技术:特性和过程结果可侵害或保护国家、社会、 个人的安全利益
信息安全管理体系
信息安全管理体系ISMS:是组织在整体或特定范围内建 立信息安全的方针和目标,以及完成这些目标所用的方 法的体系。包括建立、实施、操作、监视、复查、维护 和改进信息安全等一系列的管理活动,并且表现为组织 结构、策略方针、计划活动、目标与原则、人员与责任 、过程与方法、资源等诸多要素的集合。
• 内容
– 技术资源
– 管理资源
– 人力资源
信息安全管理的层次与内容
• 宏观管理(政府)
– 方针 – 政策 – 法规 – 标准
• 微观管理(信息安全机构)
– 规章 – 制度 – 策略 – 措施
信息安全管理的发展
• 历史发展阶段
– 管人 – 管密码 – 管密钥 – 管口令 – 管配置 – 管产品测评 – 管产品采购 – 管系统安全 – 管等级划分
信息安全管理教材
2020年4月25日星期六
第二章、信息安全管理基础
信息安全是指在信息传递的过程中,数据被破坏、偷窃或丢 失的风险性。
• 信息安全性质:信息技术以网络化的方式应用于社会生活 各方面时,对国家、社会、个人安全利益的侵害与保护
• 信息安全关键点: – 安全利益:国家、社会、个人的生存和发展的利益 – 信息技术:对信息、信息系统(网络化)以及信息和信 息系统关联的主体(国家、社会、个人)的特定安全利 益的侵害与保护
二、信息安全管理标准
• 管理基础 – 安全产品分类编码
– 信息技术安全管理指南(ISO/IEC TR 13335) – 信息安全管理(ISO/IEC TR 17799)
• 系统管理 – 安全报警报告功能(GB 17143.7-1997 idt 10164.7-1992) – 安全审计跟踪功能(GB 17143.8-1997 idt 10164.8-1993) – 访问控制对象和属性(GB 17143.9-1997 idt 10164.9-1993 – 风险管理
BS 7799-2
• 控制细则
– 安全策略 – 安全组织 – 资产分级和控制 – 人员安全 – 物理和环境安全 – 通信和运行管理 – 访问控制 – 系统开发和维护 – 商业连续性管理 – 符合性等10项要求
通用准则(CC )
✓国际标准化组织统一现有多种准则的努力结 果;
✓1993年开始,1996年出V 1.0, 1998年出V 2.0 ,1999年6月正式成为国际标准,1999年12月 ISO出版发行ISO/IEC 15408;
SSE-CMM项目
• 1993年4月开始酝量,1996年10月出版了SSE-CMM 模型的第一个版本,1997年4月出版了评定方法的 第一个版本。
• 1999年4月出版了第二版。 • 正在申报国际标准ISO/IEC 21827。
• NIST SP 800 (Special Publication 800-series)
BS 7799-2
• BS 7799-2第1版出版于1998年 • BS 7799-2第2版出版于2002年 • 评估一个组织全面或部分信息安全管理体
系的基础, • 也可以作为一个正式认证方案的基础。
BS 7799-2
• 建立信息管理体系的要求
– 总则 – 建立管理框架 – 实施 – 文档化 – 文档控制 – 记录
– SP 800-12, 《计算机安全手册》(Computer Security Handbook)
– SP 800-14, 《公认【安全】原则与操作》( Generally Accepted [Security] Principles & Practices)
– SP 800-18, 《安全计划开发指南》(Guide for Developing Security Plans)
ISO27001是建立和维护信息安全管理体系的标准,是信 息安全管理领域的权威标准。
信息安全管理的基本原则 主要领导负责 规范定级 一人为本 适度安全
• 党的十五届五中全会和第九届人大第六次会议决 定建立国家信息安全保障体系
• 性质:国家以国家意志和国家行为的方式,在信息技术
方面所形成的用于保护其安全利益的资源和能力,这种资 源和能力体现为特定形态和过程的技术结构、社会结构和 人才结构
• 测评认证
– 信息技术安全性评估准则(ISO/IEC 15408:1999)(CC) – 计算机信息系统安全保护等级划分准则(GB 17859:1999)
– 通用测评方法(SC27 N2722|CEM)
– 系统安全工程能力成熟模型(SSE-CMM)
信息安全管理基础: BS7799
• 英国标准协会(BSI)于1995年制定BS7799 《信息安全管理体系标准》,1999年修订 改版:
✓主要思想和框架取自ITSEC和FC; ✓充分突出“保护轮廓”,将评估过程分“功能”和
“保证”两部分; ✓是目前最全面的评价准则
CC的结构以及目标读者
安全管理指南:ISO/IEC TR 13335
• 信息技术安全的概念和模型 • 信息技术安全的管理和规划 • 信息技术安全的管理技术 • 信息技术安全措施的安全 • 网络安全性的管理指导
– 7799-1 : 《信息安全管理操作规wenku.baidu.com》 – 7799-2 : 《信息安全管理系统规范》
• 7799-1已经在2000年末被采纳为国际标准 ,即:ISO/TEC17799《信息安全管理操作 规则》,香港、台湾等都采用BS7799标准 。
ISO/IEC 17799( BS7799-1 )
划分为11个主要方面: 1、安全策略 2、组织信息安全 3、资产分级与控制 4、人员安全 5、物理和环境安全 6、通信和运行管理 7、访问控制 8、信息系统获取、开发和维护 9、信息安全事件管理 10、业务连续性管理 11、符合性
• 信息安全核心问题: – 信息技术:特性和过程结果可侵害或保护国家、社会、 个人的安全利益
信息安全管理体系
信息安全管理体系ISMS:是组织在整体或特定范围内建 立信息安全的方针和目标,以及完成这些目标所用的方 法的体系。包括建立、实施、操作、监视、复查、维护 和改进信息安全等一系列的管理活动,并且表现为组织 结构、策略方针、计划活动、目标与原则、人员与责任 、过程与方法、资源等诸多要素的集合。
• 内容
– 技术资源
– 管理资源
– 人力资源
信息安全管理的层次与内容
• 宏观管理(政府)
– 方针 – 政策 – 法规 – 标准
• 微观管理(信息安全机构)
– 规章 – 制度 – 策略 – 措施
信息安全管理的发展
• 历史发展阶段
– 管人 – 管密码 – 管密钥 – 管口令 – 管配置 – 管产品测评 – 管产品采购 – 管系统安全 – 管等级划分
信息安全管理教材
2020年4月25日星期六
第二章、信息安全管理基础
信息安全是指在信息传递的过程中,数据被破坏、偷窃或丢 失的风险性。
• 信息安全性质:信息技术以网络化的方式应用于社会生活 各方面时,对国家、社会、个人安全利益的侵害与保护
• 信息安全关键点: – 安全利益:国家、社会、个人的生存和发展的利益 – 信息技术:对信息、信息系统(网络化)以及信息和信 息系统关联的主体(国家、社会、个人)的特定安全利 益的侵害与保护