信息安全国际标准
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
– 防止非授权访问
• 控制目标二: 设备安全
– 防止资产的丢失,破坏和损坏; 防止业务活 动被中断
• 控制目标三: 一般性控制
– 防止危害或窃取信息及设施
通信和操作安全
• • • • • • • 控制目标一: 操作流程和责任 控制目标二: 系统规划和验收 控制目标三: 防范恶意软件 控制目标四: 内务管理(备份,日志) 控制目标五: 网络管理 控制目标六: 介质处理及安全 控制目标七: 信息和软件的交换
– 信息安全管理的即成标准 – 提供企业开发、实施、评估有效安全建设的框架
• ISF SOGP
– Information Security Forum (ISF), 信息安全优秀实践标准 (Standard of Good Practice for Information Security, 1998 )
提纲
概述 安全标准组织 安全标准分类 安全管理标准(ISO17799) 安全技术标准 安全产品标准(CC) 安全工程标准(SSE-CMM) 安全方法论 安全资格认证(CISSP/CISA)
14
安全标准的类型
•安全管理框架
•安全技术标准
•安全方法论 •产品的安全性保证 •安全工程标准 •安全的资格认证
• 政府组织 – NIST-National Institute of Standards and Technology – NSA-National Security Agency – GAO- General Accounting Office – BSI- British Standard Institution • 标准化组织 – ISO/IEC JTC1 SC27 – ANSI -American National Standards Institute • 专业组织/行业联盟 – IEEE – IETF – W3C – ISSA-Information Systems Security Association – ITAA-Information Technology Association Of America) • 大学
ISO17799 的文档结构
• 分为10个领域的安全实 践建议分为36个子项, 共127项安全控制措施
– – – – – – – – – – 安全方针(1) 组织安全(3) 资产分类与控制(2) 人员安全(3) 物理与环境安全(3) 通信与操作安全(7) 访问控制(8) 系统开发与维护(5) 业务持续计划(1) 依从(3)
业务连续性管理
• 控制目标: 业务连续性管理的各个方面 • 控制措施
– 业务连续性管理过程 – 业务连续性和影响分析 – 编写并实施连续性计划 – 业务连续性计划框架 – 测试,维护和复审业务连续性计划
符合性
• 控制目标一: 符合法律要求 • 控制目标二: 对安全策略和技术的评审 • 控制目标三: 系统审核的考虑
NIST,国家标准技术协会
• NIST是美国National Institute of Standards and Technology的简称 • 已发布的部分文献
• FIPS(Federal Information Processing Standards Publications )
– FIPS PUB 140-2 Security Requirements for Cryptographic Modules – FIPS PUB 180-1 Secure Hash Standard – FIPS PUB 197 Advanced Encryption Standard
INTEGRITY
AVAILABILITY
什么是标准?
• 标准:标准是对重复性事物和概念所做的 统一规定。它以科学、技术和实践的综合
成果为基础,经有关方面协商一致,由主
管部门批准,以特定的方式发布,作为共
同遵守的准则和依据。
• 强制性标准:保障人体健康、人身、财产
安全的标准和法律、行政法规规定强制执
其他组织
• IEEE - 电气电子工程师协会
– 在信息安全方面主要是提出了 LAN/WAN安全方面的标准和公钥密 码标准
• IETF - Internet工程任务组
– 主要提出Internet标准草案和成为 RFC的协议文稿,内容广泛,也包 括安全方面的建议稿,经过网上讨 论修改,被大家广泛接受就成了的 事实上的标准标准
其他组织
• ANSI,美国国家标准协会
– 80年代初开始数据加密标准化工作 – 制定了三个通用的国家标准 • ANSI X.9系列财务服务安全标准
• ITU-T,国际电讯联盟
– 前身是CCITT,单独或于ISO合作开 发诸如消息处理系统、目录系统 (X.400系列、X.500系列)和安全 框架、安全模型等标准 • ITU-T X.509 The Directory: Authentication Framework
ISO/IEC JTC1/SC27
– JTC1(Joint Technical Committee 1)是ISO 及IEC的联合技术委员会, SC27 小组专门负 责安全技术标准的制定、审核 – 已发布的部分标准 • ISO/IEC 18033 加密机制 • ISO/IEC 9796,14888.15964 数字签名 • ISO/IEC TR 13335 GMITS • ISO/IEC 15408 Evaluation criteria for IT Security • ISO/IEC 17799 Code of Practice for Information Security Management • ISO/IEC 21287 SSE-CMM
信息安全国际标准
提纲
信息安全标准概述 安全标准组织 安全标准分类 安全管理标准(ISO17799) 安全技术标准 安全产品标准(CC) 安全工程标准(SSE-CMM) 安全方法论 安全资格认证(CISSP/CISA)
2
什么是信息安全?
保密性 完整性
可用性
CONFIDENTIALATY
– ISO 9001 – ISO 14001
IEC,国际电工委员会
• IEC是International Electrotechnical Commission的简称 • 世界上最早的国际性电工标准化机构 • 负责有关电工、电子领域的国际标准 化工作 • 在信息安全技术标准化方面,同ISO联 合成立JTC1 • 在电磁兼容EMC等方面成立技术委员 会,制定相关国际标准
安全策略
• 控制目标:信息安全策略
– 为信息安全提供管理指导和支持
• 控制措施:
– 信息安全策略文件 – 复查和审查
组织安全
• 控制目标一: 信息安全基础设施
– 管理组织内部的信息安全
• 控制目标二: 第三方访问安全
– 维护被第三方访问的基础设施和信息资产 的安全
• 控制目标三: 外包
– 当IT外包给其他组织负责时,维护信息的安 全
行的标准;其它标准是推荐性标准。
无规矩不成方圆
• 无规矩不成方圆!
提纲
信息安全标准概述 安全标准组织 安全标准分类 安全管理标准(ISO17799) 安全技术标准 安全产品标准(CC) 安全工程标准(SSE-CMM) 安全方法论 安全资格认证(CISSP/CISA)
6
标准的来源
提纲
概述 安全标准组织 安全标准分类 安全管理标准(ISO17799) 安全技术标准 安全产品标准(CC) 安全工程标准(SSE-CMM) 安全方法论 安全资格认证(CISSP/CISA)
16
安全管理框架
• OSI – ISO 7498-2 /10181
– 开放系统互连第二部分 安全体系结构,10181是7498-2的后续标 准,分部分描述5类安全服务的实现
什么是ISO17799/ BS7799?
• 关注于安全管理的框架和指导 • 提供了10个方面36个安全目标,127项安全控制措 施,建立了Best Practice指引; • 广泛应用于在政府、企业、金融、电信等行业,应 用最广泛的安全标准
1993 – 1995 Department of Trade and Industry (UK) 建立工作组进行 信息系统安全研究
BS 7799介绍
• BS 7799 AS/NZS 4444 ISO/IEC 17799 – 信息安全管理的即成标准 – 提供企业开发、实施、评估有效安全建设的框架 – BS 7799 包括两部分 • 第一部分: 提供安全管理的最佳实践,等同于 ISO/IEC 17799:2000 – 提供10个领域的127项安全措施 – 整套的基于业界经验的安全性最佳实践的指 导 • 第二部分ISMS规范 Specification for ISMS (Information Security Management Systems) – 提供依据第一部分进行内部审计、外部认证 的流程体系
• SP(Special Publications 800 series 是关于计算机安 全的文献)
– SP 800-12 Computer Security Handbook – SP 800-30 Risk Management Guide for IT Systems – SP 800-44 Guidelines on Securing Public Web Servers
1995 BS7799正式发布
ISO/IEC 17799: 2000 1998 BS7799: PART 2 1999 BS7799:1999发布 ISMS 发布
17799的十个方面
Security Policy 安全策略 System Asset Classification Development and Personnel and Control Maintenance 资产分类 Security 系统开发 与控制 人员安全 与维护 Access Control 访问控制
• GMITS, Guidelines for the Management of IT Security
– ISO/IEC 13335 Guidelines for the Management of IT Security – 提供IT安全管理的指导
• BS 7799
AS/NZS 4444
ISO/IEC 17799
访问控制
• • • • • • • • 控制目标一: 控制目标二: 控制目标三: 控制目标四: 控制目标五: 控制目标六: 控制目标七: 控制目标八: 访问控制的业务需求 用户访问管理 用户责任 网络访问控制 操作系统访问控制 应用系统访问控制 监视系统访问和使用 移动计算和通信
系统开发和维护
• • • • • 控制目பைடு நூலகம்一: 系统的安全需求 控制目标二: 应用系统的安全 控制目标三: 密码控制 控制目标四: 系统文件的安全 控制目标五: 开发和支持过程的安全
Communications & Operations Business Physical and Management Continuity Environmental Security Security Compliance 通信与运作 Planning Organization 管理 物理与环境 业务持续性 符合性 组织安全 安全 管理
资产分类与控制
• 控制目标一: 资产责任
– 保证对组织资产做适当的保护
• 控制目标二: 信息分类
– 确保信息资产得到适当级别的保护
人员安全
• 控制目标一: 岗位安全责任和人员录用 要求 • 控制目标二: 用户培训 • 控制目标三: 对安全事件和故障的响应
物理与环境安全
• 控制目标一: 安全区域
ISO,国际标准化组织
• ISO是International Organization for Standardization的简称 • 国际最大的标准化组织机构 • 与IEC联合成立的JTC1/SC27 负责通 用信息技术安全标准的制定 • ISO/TC68 负责银行和金融服务业务应 用范围内信息安全标准的制定 • 已发布的其他行业的重要标准
• 控制目标二: 设备安全
– 防止资产的丢失,破坏和损坏; 防止业务活 动被中断
• 控制目标三: 一般性控制
– 防止危害或窃取信息及设施
通信和操作安全
• • • • • • • 控制目标一: 操作流程和责任 控制目标二: 系统规划和验收 控制目标三: 防范恶意软件 控制目标四: 内务管理(备份,日志) 控制目标五: 网络管理 控制目标六: 介质处理及安全 控制目标七: 信息和软件的交换
– 信息安全管理的即成标准 – 提供企业开发、实施、评估有效安全建设的框架
• ISF SOGP
– Information Security Forum (ISF), 信息安全优秀实践标准 (Standard of Good Practice for Information Security, 1998 )
提纲
概述 安全标准组织 安全标准分类 安全管理标准(ISO17799) 安全技术标准 安全产品标准(CC) 安全工程标准(SSE-CMM) 安全方法论 安全资格认证(CISSP/CISA)
14
安全标准的类型
•安全管理框架
•安全技术标准
•安全方法论 •产品的安全性保证 •安全工程标准 •安全的资格认证
• 政府组织 – NIST-National Institute of Standards and Technology – NSA-National Security Agency – GAO- General Accounting Office – BSI- British Standard Institution • 标准化组织 – ISO/IEC JTC1 SC27 – ANSI -American National Standards Institute • 专业组织/行业联盟 – IEEE – IETF – W3C – ISSA-Information Systems Security Association – ITAA-Information Technology Association Of America) • 大学
ISO17799 的文档结构
• 分为10个领域的安全实 践建议分为36个子项, 共127项安全控制措施
– – – – – – – – – – 安全方针(1) 组织安全(3) 资产分类与控制(2) 人员安全(3) 物理与环境安全(3) 通信与操作安全(7) 访问控制(8) 系统开发与维护(5) 业务持续计划(1) 依从(3)
业务连续性管理
• 控制目标: 业务连续性管理的各个方面 • 控制措施
– 业务连续性管理过程 – 业务连续性和影响分析 – 编写并实施连续性计划 – 业务连续性计划框架 – 测试,维护和复审业务连续性计划
符合性
• 控制目标一: 符合法律要求 • 控制目标二: 对安全策略和技术的评审 • 控制目标三: 系统审核的考虑
NIST,国家标准技术协会
• NIST是美国National Institute of Standards and Technology的简称 • 已发布的部分文献
• FIPS(Federal Information Processing Standards Publications )
– FIPS PUB 140-2 Security Requirements for Cryptographic Modules – FIPS PUB 180-1 Secure Hash Standard – FIPS PUB 197 Advanced Encryption Standard
INTEGRITY
AVAILABILITY
什么是标准?
• 标准:标准是对重复性事物和概念所做的 统一规定。它以科学、技术和实践的综合
成果为基础,经有关方面协商一致,由主
管部门批准,以特定的方式发布,作为共
同遵守的准则和依据。
• 强制性标准:保障人体健康、人身、财产
安全的标准和法律、行政法规规定强制执
其他组织
• IEEE - 电气电子工程师协会
– 在信息安全方面主要是提出了 LAN/WAN安全方面的标准和公钥密 码标准
• IETF - Internet工程任务组
– 主要提出Internet标准草案和成为 RFC的协议文稿,内容广泛,也包 括安全方面的建议稿,经过网上讨 论修改,被大家广泛接受就成了的 事实上的标准标准
其他组织
• ANSI,美国国家标准协会
– 80年代初开始数据加密标准化工作 – 制定了三个通用的国家标准 • ANSI X.9系列财务服务安全标准
• ITU-T,国际电讯联盟
– 前身是CCITT,单独或于ISO合作开 发诸如消息处理系统、目录系统 (X.400系列、X.500系列)和安全 框架、安全模型等标准 • ITU-T X.509 The Directory: Authentication Framework
ISO/IEC JTC1/SC27
– JTC1(Joint Technical Committee 1)是ISO 及IEC的联合技术委员会, SC27 小组专门负 责安全技术标准的制定、审核 – 已发布的部分标准 • ISO/IEC 18033 加密机制 • ISO/IEC 9796,14888.15964 数字签名 • ISO/IEC TR 13335 GMITS • ISO/IEC 15408 Evaluation criteria for IT Security • ISO/IEC 17799 Code of Practice for Information Security Management • ISO/IEC 21287 SSE-CMM
信息安全国际标准
提纲
信息安全标准概述 安全标准组织 安全标准分类 安全管理标准(ISO17799) 安全技术标准 安全产品标准(CC) 安全工程标准(SSE-CMM) 安全方法论 安全资格认证(CISSP/CISA)
2
什么是信息安全?
保密性 完整性
可用性
CONFIDENTIALATY
– ISO 9001 – ISO 14001
IEC,国际电工委员会
• IEC是International Electrotechnical Commission的简称 • 世界上最早的国际性电工标准化机构 • 负责有关电工、电子领域的国际标准 化工作 • 在信息安全技术标准化方面,同ISO联 合成立JTC1 • 在电磁兼容EMC等方面成立技术委员 会,制定相关国际标准
安全策略
• 控制目标:信息安全策略
– 为信息安全提供管理指导和支持
• 控制措施:
– 信息安全策略文件 – 复查和审查
组织安全
• 控制目标一: 信息安全基础设施
– 管理组织内部的信息安全
• 控制目标二: 第三方访问安全
– 维护被第三方访问的基础设施和信息资产 的安全
• 控制目标三: 外包
– 当IT外包给其他组织负责时,维护信息的安 全
行的标准;其它标准是推荐性标准。
无规矩不成方圆
• 无规矩不成方圆!
提纲
信息安全标准概述 安全标准组织 安全标准分类 安全管理标准(ISO17799) 安全技术标准 安全产品标准(CC) 安全工程标准(SSE-CMM) 安全方法论 安全资格认证(CISSP/CISA)
6
标准的来源
提纲
概述 安全标准组织 安全标准分类 安全管理标准(ISO17799) 安全技术标准 安全产品标准(CC) 安全工程标准(SSE-CMM) 安全方法论 安全资格认证(CISSP/CISA)
16
安全管理框架
• OSI – ISO 7498-2 /10181
– 开放系统互连第二部分 安全体系结构,10181是7498-2的后续标 准,分部分描述5类安全服务的实现
什么是ISO17799/ BS7799?
• 关注于安全管理的框架和指导 • 提供了10个方面36个安全目标,127项安全控制措 施,建立了Best Practice指引; • 广泛应用于在政府、企业、金融、电信等行业,应 用最广泛的安全标准
1993 – 1995 Department of Trade and Industry (UK) 建立工作组进行 信息系统安全研究
BS 7799介绍
• BS 7799 AS/NZS 4444 ISO/IEC 17799 – 信息安全管理的即成标准 – 提供企业开发、实施、评估有效安全建设的框架 – BS 7799 包括两部分 • 第一部分: 提供安全管理的最佳实践,等同于 ISO/IEC 17799:2000 – 提供10个领域的127项安全措施 – 整套的基于业界经验的安全性最佳实践的指 导 • 第二部分ISMS规范 Specification for ISMS (Information Security Management Systems) – 提供依据第一部分进行内部审计、外部认证 的流程体系
• SP(Special Publications 800 series 是关于计算机安 全的文献)
– SP 800-12 Computer Security Handbook – SP 800-30 Risk Management Guide for IT Systems – SP 800-44 Guidelines on Securing Public Web Servers
1995 BS7799正式发布
ISO/IEC 17799: 2000 1998 BS7799: PART 2 1999 BS7799:1999发布 ISMS 发布
17799的十个方面
Security Policy 安全策略 System Asset Classification Development and Personnel and Control Maintenance 资产分类 Security 系统开发 与控制 人员安全 与维护 Access Control 访问控制
• GMITS, Guidelines for the Management of IT Security
– ISO/IEC 13335 Guidelines for the Management of IT Security – 提供IT安全管理的指导
• BS 7799
AS/NZS 4444
ISO/IEC 17799
访问控制
• • • • • • • • 控制目标一: 控制目标二: 控制目标三: 控制目标四: 控制目标五: 控制目标六: 控制目标七: 控制目标八: 访问控制的业务需求 用户访问管理 用户责任 网络访问控制 操作系统访问控制 应用系统访问控制 监视系统访问和使用 移动计算和通信
系统开发和维护
• • • • • 控制目பைடு நூலகம்一: 系统的安全需求 控制目标二: 应用系统的安全 控制目标三: 密码控制 控制目标四: 系统文件的安全 控制目标五: 开发和支持过程的安全
Communications & Operations Business Physical and Management Continuity Environmental Security Security Compliance 通信与运作 Planning Organization 管理 物理与环境 业务持续性 符合性 组织安全 安全 管理
资产分类与控制
• 控制目标一: 资产责任
– 保证对组织资产做适当的保护
• 控制目标二: 信息分类
– 确保信息资产得到适当级别的保护
人员安全
• 控制目标一: 岗位安全责任和人员录用 要求 • 控制目标二: 用户培训 • 控制目标三: 对安全事件和故障的响应
物理与环境安全
• 控制目标一: 安全区域
ISO,国际标准化组织
• ISO是International Organization for Standardization的简称 • 国际最大的标准化组织机构 • 与IEC联合成立的JTC1/SC27 负责通 用信息技术安全标准的制定 • ISO/TC68 负责银行和金融服务业务应 用范围内信息安全标准的制定 • 已发布的其他行业的重要标准