信息安全管理体系.ppt

《信息安全管理体系.ppt》由会员分享，可在线阅读，更多相关《信息安全管理体系.ppt（228页珍藏版）》请在咨信网上搜索。

信息安全管理体系教程课前介绍n n课程目标课程目标n n课程安排课程安排n n课程内容课程内容n n注意事项注意事项n n学员介绍学员介绍2024/5/262024/5/26周日周日周日周日.课程目标n n掌握信息安全管理的一般知识掌握信息安全管理的一般知识n n了解信息安全管理在信息系统安全保障了解信息安全管理在信息系统安全保障体系中的地位体系中的地位n n认识和了解认识和了解ISO17799n n理解一个组织实施理解一个组织实施ISO17799的意义的意义n n初步掌握建立信息安全管理体系初步掌握建立信息安全管理体系（ISMS）的方法和步骤）的方法和步骤2024/5/262024/5/26周日周日周日周日.课程安排n n课时课时:24Hn n课程方法：讲授、小组讨论、练习课程方法：讲授、小组讨论、练习2024/5/262024/5/26周日周日周日周日.课程内容1 1、信息安全基础知识、信息安全基础知识2 2、信息安全管理与信息系统安全保障、信息安全管理与信息系统安全保障3 3、信息安全管理体系标准概述、信息安全管理体系标准概述4 4、信息安全管理体系方法、信息安全管理体系方法5 5、ISO17799ISO17799中的控制目标和控制措施中的控制目标和控制措施6 6、ISMSISMS建设、运行、审核与认证建设、运行、审核与认证7 7、信息系统安全保障管理要求、信息系统安全保障管理要求2024/5/262024/5/26周日周日周日周日.注意事项注意事项n n积极参与、活跃气氛积极参与、活跃气氛n n守时守时n n保持安静保持安静n n有问题可随时举手提问有问题可随时举手提问2024/5/262024/5/26周日周日周日周日.1.1.信息安全基础知识1.11.1 信息安全的基本概念信息安全的基本概念信息安全的基本概念信息安全的基本概念 1.21.2 为什么需要信息安全为什么需要信息安全为什么需要信息安全为什么需要信息安全 1.31.3 实践中的信息安全问题实践中的信息安全问题实践中的信息安全问题实践中的信息安全问题 1.41.4 信息安全管理的实践经验信息安全管理的实践经验信息安全管理的实践经验信息安全管理的实践经验2024/5/262024/5/26周日周日周日周日.请思考：请思考：什么是信息安全？什么是信息安全？什么是信息安全？什么是信息安全？1.1 信息安全基本概念2024/5/262024/5/26周日周日周日周日.什么是信息？什么是信息？n nISO17799ISO17799中的描述中的描述“Informationisanassetwhich,likeotherimportantbusinessassets,Informationisanassetwhich,likeotherimportantbusinessassets,hasvaluetoanorganizationandconsequentlyneedstobesuitablyhasvaluetoanorganizationandconsequentlyneedstobesuitablyprotected.”protected.”“Informationcanexistinmanyforms.Itcanbeprintedorwritten“Informationcanexistinmanyforms.Itcanbeprintedorwrittenonpaper,storedelectronically,transmittedbypostorusingonpaper,storedelectronically,transmittedbypostorusingelectronicmeans,shownonfilms,orspokeninconversation.electronicmeans,shownonfilms,orspokeninconversation.n n强调信息：强调信息：强调信息：强调信息：是一种资产是一种资产是一种资产是一种资产同其它重要的商业资产一样同其它重要的商业资产一样同其它重要的商业资产一样同其它重要的商业资产一样对组织具有价值对组织具有价值对组织具有价值对组织具有价值 需要适当的保护需要适当的保护需要适当的保护需要适当的保护以各种形式存在：纸、电子、影片、交谈等以各种形式存在：纸、电子、影片、交谈等以各种形式存在：纸、电子、影片、交谈等以各种形式存在：纸、电子、影片、交谈等2024/5/262024/5/26周日周日周日周日.小问题：小问题：小问题：小问题：你们公司的你们公司的KnowledgeKnowledge都在哪里？都在哪里？信息在哪里？信息在哪里？2024/5/262024/5/26周日周日周日周日.什么是信息安全什么是信息安全?n nISO17799ISO17799中的描述中的描述“Information security protects information from a wide Information security protects information from a wide range of threats in order to ensure business continuity,range of threats in order to ensure business continuity,minimize business damage and maximize return on minimize business damage and maximize return on investments and business opportunities.”investments and business opportunities.”n n信息安全：信息安全：保护信息免受各方威胁保护信息免受各方威胁保护信息免受各方威胁保护信息免受各方威胁确保组织业务连续性确保组织业务连续性确保组织业务连续性确保组织业务连续性将信息不安全带来的损失降低到最小将信息不安全带来的损失降低到最小将信息不安全带来的损失降低到最小将信息不安全带来的损失降低到最小 获得最大的投资回报和商业机会获得最大的投资回报和商业机会获得最大的投资回报和商业机会获得最大的投资回报和商业机会2024/5/262024/5/26周日周日周日周日.信息安全的特征（信息安全的特征（CIA）n nISO17799ISO17799中的描述中的描述Information security is characterized here as the preservation Information security is characterized here as the preservation of:of:ConfidentialityConfidentialityIntegrityIntegrityAvailabilityAvailabilityn n信息在安全方面三个特征：信息在安全方面三个特征：机密性：确保只有被授权的人才可以访问信息；机密性：确保只有被授权的人才可以访问信息；完整性：确保信息和信息处理方法的准确性和完整性；完整性：确保信息和信息处理方法的准确性和完整性；可用性：确保在需要时，被授权的用户可以访问信息和相可用性：确保在需要时，被授权的用户可以访问信息和相关的资产。关的资产。2024/5/262024/5/26周日周日周日周日.信息本身信息本身信息本身信息本身信息处理设施信息处理设施信息处理设施信息处理设施信息处理者信息处理者信息处理者信息处理者信息处理信息处理信息处理信息处理过程过程过程过程 机密机密 可用可用 完整完整 总结总结2024/5/262024/5/26周日周日周日周日.请思考：请思考：组织为什么要花钱实现信息安全？组织为什么要花钱实现信息安全？组织为什么要花钱实现信息安全？组织为什么要花钱实现信息安全？1.2 为什么需要信息安全2024/5/262024/5/26周日周日周日周日.组织自身业务的需要自身业务和利益的要求自身业务和利益的要求自身业务和利益的要求自身业务和利益的要求客户的要求客户的要求客户的要求客户的要求合作伙伴的要求合作伙伴的要求合作伙伴的要求合作伙伴的要求投标要求投标要求投标要求投标要求竞争优势，树立品牌竞争优势，树立品牌竞争优势，树立品牌竞争优势，树立品牌加强内部管理的要求加强内部管理的要求加强内部管理的要求加强内部管理的要求2024/5/262024/5/26周日周日周日周日.法律法规的要求计算机信息系统安全保护条例计算机信息系统安全保护条例计算机信息系统安全保护条例计算机信息系统安全保护条例知识产权保护知识产权保护知识产权保护知识产权保护互联网安全管理办法互联网安全管理办法互联网安全管理办法互联网安全管理办法网站备案管理规定网站备案管理规定网站备案管理规定网站备案管理规定2024/5/262024/5/26周日周日周日周日.信息系统使命的要求信息系统本身具有特定的使命信息系统本身具有特定的使命信息系统本身具有特定的使命信息系统本身具有特定的使命信息安全的目的就是使信息系统的使命得到保信息安全的目的就是使信息系统的使命得到保信息安全的目的就是使信息系统的使命得到保信息安全的目的就是使信息系统的使命得到保障障障障。2024/5/262024/5/26周日周日周日周日.请思考：请思考：目前，解决信息安全问题，通常的做法目前，解决信息安全问题，通常的做法目前，解决信息安全问题，通常的做法目前，解决信息安全问题，通常的做法是什么？是什么？是什么？是什么？1.3 实践中的信息安全问题2024/5/262024/5/26周日周日周日周日.“产品导向型产品导向型”信息安全信息安全n n初始阶段，解决信息安全问题，通常的方法：初始阶段，解决信息安全问题，通常的方法：初始阶段，解决信息安全问题，通常的方法：初始阶段，解决信息安全问题，通常的方法：采购各种安全产品，由产品厂商提供方案；采购各种安全产品，由产品厂商提供方案；采购各种安全产品，由产品厂商提供方案；采购各种安全产品，由产品厂商提供方案；Anti-VirusAnti-VirusAnti-VirusAnti-Virus、FirewallFirewallFirewallFirewall、IDS&ScannerIDS&ScannerIDS&ScannerIDS&Scanner 组织内部安排组织内部安排组织内部安排组织内部安排1-21-21-21-2人兼职负责日常维护，通常来自以技术为主的人兼职负责日常维护，通常来自以技术为主的人兼职负责日常维护，通常来自以技术为主的人兼职负责日常维护，通常来自以技术为主的ITITITIT部门；部门；部门；部门；更多的情况是几乎没有日常维护更多的情况是几乎没有日常维护更多的情况是几乎没有日常维护更多的情况是几乎没有日常维护n n存在的问题存在的问题存在的问题存在的问题 需求难以确定需求难以确定需求难以确定需求难以确定保护什么、保护对象的边界到哪里、应该保护到什么程度保护什么、保护对象的边界到哪里、应该保护到什么程度保护什么、保护对象的边界到哪里、应该保护到什么程度保护什么、保护对象的边界到哪里、应该保护到什么程度 管理和服务跟不上，对采购产品运行的效率和效果缺乏评价管理和服务跟不上，对采购产品运行的效率和效果缺乏评价管理和服务跟不上，对采购产品运行的效率和效果缺乏评价管理和服务跟不上，对采购产品运行的效率和效果缺乏评价 通常用漏洞扫描（通常用漏洞扫描（通常用漏洞扫描（通常用漏洞扫描（ScannerScannerScannerScanner）来代替风险评估）来代替风险评估）来代替风险评估）来代替风险评估有哪些不安全的因素（威胁、脆弱性）、信息不安全的影响、对风险的有哪些不安全的因素（威胁、脆弱性）、信息不安全的影响、对风险的有哪些不安全的因素（威胁、脆弱性）、信息不安全的影响、对风险的有哪些不安全的因素（威胁、脆弱性）、信息不安全的影响、对风险的态度态度态度态度“头痛医头，脚痛医脚头痛医头，脚痛医脚头痛医头，脚痛医脚头痛医头，脚痛医脚”，很难实现整体安全；不同厂商、不同产品之间的，很难实现整体安全；不同厂商、不同产品之间的，很难实现整体安全；不同厂商、不同产品之间的，很难实现整体安全；不同厂商、不同产品之间的协调也是难题协调也是难题协调也是难题协调也是难题2024/5/262024/5/26周日周日周日周日.信息安全管理信息安全管理n nISO17799ISO17799强调：强调：“Information security is a management process,not a Information security is a management process,not a technological process.”technological process.”技术和产品是基础，管理是关键；技术和产品是基础，管理是关键；技术和产品是基础，管理是关键；技术和产品是基础，管理是关键；产品和技术，要通过管理的组织职能才能发挥最好的作用；产品和技术，要通过管理的组织职能才能发挥最好的作用；产品和技术，要通过管理的组织职能才能发挥最好的作用；产品和技术，要通过管理的组织职能才能发挥最好的作用；技术不高但管理良好的系统远比技术高但管理混乱的系统安技术不高但管理良好的系统远比技术高但管理混乱的系统安技术不高但管理良好的系统远比技术高但管理混乱的系统安技术不高但管理良好的系统远比技术高但管理混乱的系统安全；全；全；全；先进、易于理解、方便操作的安全策略对信息安全至关重要，先进、易于理解、方便操作的安全策略对信息安全至关重要，先进、易于理解、方便操作的安全策略对信息安全至关重要，先进、易于理解、方便操作的安全策略对信息安全至关重要，也证明了管理的重要；也证明了管理的重要；也证明了管理的重要；也证明了管理的重要；建立一个管理框架，让好的安全策略在这个框架内可重复实建立一个管理框架，让好的安全策略在这个框架内可重复实建立一个管理框架，让好的安全策略在这个框架内可重复实建立一个管理框架，让好的安全策略在这个框架内可重复实施，并不断得到修正，就会持续安全。施，并不断得到修正，就会持续安全。施，并不断得到修正，就会持续安全。施，并不断得到修正，就会持续安全。2024/5/262024/5/26周日周日周日周日.1.4 信息安全管理的实践经验 反映组织业务目标的安全方针、目标和活动；反映组织业务目标的安全方针、目标和活动；符合组织文化的安全实施方法；符合组织文化的安全实施方法；管理层明显的支持和承诺；管理层明显的支持和承诺；安全需求、风险评估和风险管理的正确理解；安全需求、风险评估和风险管理的正确理解；有效地向所有管理人员和员工推行安全措施；有效地向所有管理人员和员工推行安全措施；向所有的员工和签约方提供本组织的信息安全方针向所有的员工和签约方提供本组织的信息安全方针与标准；与标准；提供适当的培训和教育；提供适当的培训和教育；一整套用于评估信息安全管理能力和反馈建议的测一整套用于评估信息安全管理能力和反馈建议的测量系统量系统2024/5/262024/5/26周日周日周日周日.2、信息安全管理与信息系统安全保障2.12.1信息系统的使命信息系统的使命2.22.2信息系统安全保障模型信息系统安全保障模型2.32.3信息系统安全保障框架信息系统安全保障框架2.42.4信息系统安全保障生命周期的保证信息系统安全保障生命周期的保证2.52.5信息安全管理模型信息安全管理模型2.62.6信息安全管理与信息系统安全保障的关系信息安全管理与信息系统安全保障的关系2024/5/262024/5/26周日周日周日周日.2.1信息系统的使命资产资产资产资产可能意识到可能意识到可能意识到可能意识到引起引起引起引起增加增加增加增加利用利用利用利用导致导致导致导致威胁主体威胁主体威胁主体威胁主体威胁威胁威胁威胁所有者所有者所有者所有者风险风险风险风险脆弱性脆弱性脆弱性脆弱性对策对策对策对策可能被减少可能被减少可能被减少可能被减少利用利用利用利用价值价值价值价值希望最小化希望最小化希望最小化希望最小化希望滥用或破坏希望滥用或破坏希望滥用或破坏希望滥用或破坏可能具有可能具有可能具有可能具有减少减少减少减少到到到到到到到到使命使命使命使命希望完成希望完成希望完成希望完成到到到到可能阻碍或破坏可能阻碍或破坏可能阻碍或破坏可能阻碍或破坏2024/5/262024/5/26周日周日周日周日.2.2信息系统安全保障模型信息系统安全保障模型2024/5/262024/5/26周日周日周日周日.2.3信息系统安全保障框架信息系统安全保障框架信息系统使命信息系统使命信息系统使命信息系统使命信息系统建模，。信息系统建模，。信息系统建模，。信息系统建模，。GB 18336 idt ISO/IEC 15408GB 18336 idt ISO/IEC 15408信息技术安全性评估准则信息技术安全性评估准则信息技术安全性评估准则信息技术安全性评估准则IATF IATF 信息保障技术框架信息保障技术框架信息保障技术框架信息保障技术框架ISSE ISSE 信息系统安全工程信息系统安全工程信息系统安全工程信息系统安全工程SSE-CMMSSE-CMM系统安全工程能力成熟度模型系统安全工程能力成熟度模型系统安全工程能力成熟度模型系统安全工程能力成熟度模型BS 7799,ISO/IEC 17799BS 7799,ISO/IEC 17799信息安全管理实践准则信息安全管理实践准则信息安全管理实践准则信息安全管理实践准则其他相关标准、准则其他相关标准、准则其他相关标准、准则其他相关标准、准则例如：例如：例如：例如：ISO/IEC 15443,COBITISO/IEC 15443,COBIT。系统认证和认可标准和实践系统认证和认可标准和实践系统认证和认可标准和实践系统认证和认可标准和实践例如：美国例如：美国例如：美国例如：美国DITSCAP,DITSCAP,中国信息安全产品测评认证中心中国信息安全产品测评认证中心中国信息安全产品测评认证中心中国信息安全产品测评认证中心相关文档和系统测评认证实践相关文档和系统测评认证实践相关文档和系统测评认证实践相关文档和系统测评认证实践技术准则技术准则技术准则技术准则（信息技术系统评估准则）（信息技术系统评估准则）（信息技术系统评估准则）（信息技术系统评估准则）管理准则管理准则管理准则管理准则（信息系统管理评估准则）（信息系统管理评估准则）（信息系统管理评估准则）（信息系统管理评估准则）过程准则过程准则过程准则过程准则（信息系统安全工程评估准则）（信息系统安全工程评估准则）（信息系统安全工程评估准则）（信息系统安全工程评估准则）信信信信息息息息系系系系统统统统安安安安全全全全保保保保障障障障评评评评估估估估准准准准则则则则将将GB 18336GB 18336从产品和产品系统扩展到信息技术系统安全性评估从产品和产品系统扩展到信息技术系统安全性评估传统传统C&AC&A信息系统认证认可和实践信息系统认证认可和实践2024/5/262024/5/26周日周日周日周日.2.4信息系统安全保障生命周期的保证信息系统安全保障生命周期的保证变更应用于系统变更应用于系统变更应用于系统变更应用于系统计划组织计划组织计划组织计划组织开发采购开发采购开发采购开发采购实施交付实施交付实施交付实施交付运行维护运行维护运行维护运行维护废弃废弃废弃废弃建立使命要求建立使命要求建立使命要求建立使命要求建立使命要求建立使命要求建立使命要求建立使命要求审阅业务要求审阅业务要求审阅业务要求审阅业务要求系统需求分析系统需求分析系统需求分析系统需求分析定义运行需求定义运行需求定义运行需求定义运行需求系统体系设计系统体系设计系统体系设计系统体系设计项目与预算管理项目与预算管理项目与预算管理项目与预算管理两种类型：两种类型：两种类型：两种类型：开发、购买开发、购买/客户化客户化/集成集成人员保证人员保证（决策人员）（决策人员）技术保证技术保证（技术方案（技术方案安全产品）安全产品）过程保证过程保证（服务能力（服务能力工程过程）工程过程）管理保证管理保证（安全管理）（安全管理）人员保证人员保证（管理（管理/维护维护/使用人员）使用人员）人员保证人员保证（管理人员）（管理人员）人员保证人员保证（实施人员）（实施人员）管理保证管理保证（安全管理）（安全管理）管理保证管理保证（安全管理）（安全管理）管理保证管理保证（安全管理）（安全管理）信息系统安全保障（信息系统技术、管理、过程和人员领域要求及保证）信息系统安全保障（信息系统技术、管理、过程和人员领域要求及保证）信息系统安全保障（信息系统技术、管理、过程和人员领域要求及保证）信息系统安全保障（信息系统技术、管理、过程和人员领域要求及保证）系系系系统统统统保保保保证证证证信信信信息息息息系系系系统统统统生生生生命命命命周周周周期期期期2024/5/262024/5/26周日周日周日周日.2.5信息安全管理模型信息安全管理模型信息系统安全管理基础信息系统安全管理基础信息系统安全管理基础信息系统安全管理基础组织体系组织体系组织体系组织体系策略制度策略制度策略制度策略制度遵循性遵循性遵循性遵循性人人人人员员员员安安安安全全全全采采采采购购购购管管管管理理理理投投投投资资资资和和和和预预预预算算算算管管管管理理理理持持持持续续续续性性性性管管管管理理理理环环环环境境境境设设设设备备备备紧紧紧紧急急急急用用用用途途途途和和和和供供供供给给给给变更控制管理变更控制管理变更控制管理变更控制管理信信信信息息息息技技技技术术术术战战战战略略略略规规规规划划划划变更应用于系统变更应用于系统变更应用于系统变更应用于系统计划组织计划组织计划组织计划组织开发采购开发采购开发采购开发采购实施交付实施交付实施交付实施交付运行维护运行维护运行维护运行维护废弃废弃废弃废弃信信信信息息息息技技技技术术术术战战战战略略略略规规规规划划划划系系系系统统统统操操操操作作作作物物物物理理理理访访访访问问问问运运运运行行行行环环环环境境境境设设设设备备备备管管管管理理理理2024/5/262024/5/26周日周日周日周日.2.6信息安全管理与信息系统安全保障的关系n n信息系统安全保障三大部分：信息系统安全保障三大部分：信息系统安全保障三大部分：信息系统安全保障三大部分：技术保障技术保障技术保障技术保障 过程保障过程保障过程保障过程保障 管理保障管理保障管理保障管理保障n n信息安全管理是信息系统安全保障的三大部分信息安全管理是信息系统安全保障的三大部分信息安全管理是信息系统安全保障的三大部分信息安全管理是信息系统安全保障的三大部分之一：之一：之一：之一：管理保障管理保障管理保障管理保障n n信息安全管理涉及到系统的整个生命周期信息安全管理涉及到系统的整个生命周期信息安全管理涉及到系统的整个生命周期信息安全管理涉及到系统的整个生命周期2024/5/262024/5/26周日周日周日周日.3.3.信息安全管理体系标准概述3.13.1 信息安全标准介绍信息安全标准介绍信息安全标准介绍信息安全标准介绍3.23.2 ISO17799ISO177993.33.3 ISO17799ISO17799的历史及发展的历史及发展的历史及发展的历史及发展3.43.4 ISO17799:2000ISO17799:2000的内容框架的内容框架的内容框架的内容框架3.53.5 BS7799-2:1999BS7799-2:1999的内容框架的内容框架的内容框架的内容框架3.6ISO/IEC17799:2000(BS7799-1:1999)3.6ISO/IEC17799:2000(BS7799-1:1999)、BS7799-2:1999BS7799-2:1999、BS7799-2:2002BS7799-2:2002 之区别之区别之区别之区别2024/5/262024/5/26周日周日周日周日.3.1 信息安全标准介绍n n信息安全标准n n 管理体系标准2024/5/262024/5/26周日周日周日周日.信息安全标准n nISO7498-2(GB/T9387.2-1995)n nISO13335n nSSE-CMM(GB21827)n nISO15408（GB/T18336-2001）n nISO177992024/5/262024/5/26周日周日周日周日.ISO7498-2(GB/T9387.2-1995)n n开放系统互联安全体系结构开放系统互联安全体系结构开放系统互联安全体系结构开放系统互联安全体系结构n n由由由由ISO/ICEJTC1/SC21ISO/ICEJTC1/SC21完成完成完成完成n n19821982年开始，年开始，年开始，年开始，19881988年结束，年结束，年结束，年结束，ISOISO发布了发布了发布了发布了ISO7498-2ISO7498-2n n给出了基于给出了基于给出了基于给出了基于OSIOSI参考模型的参考模型的参考模型的参考模型的7 7层协议上的安全体系结构层协议上的安全体系结构层协议上的安全体系结构层协议上的安全体系结构n n其核心内容是：为了保证异构计算机进程与进程之间其核心内容是：为了保证异构计算机进程与进程之间其核心内容是：为了保证异构计算机进程与进程之间其核心内容是：为了保证异构计算机进程与进程之间远距离安全交换信息的安全，它定义了该系统的远距离安全交换信息的安全，它定义了该系统的远距离安全交换信息的安全，它定义了该系统的远距离安全交换信息的安全，它定义了该系统的5 5大类大类大类大类安全服务，以及提供这些服务的安全服务，以及提供这些服务的安全服务，以及提供这些服务的安全服务，以及提供这些服务的8 8大类安全机制及相应大类安全机制及相应大类安全机制及相应大类安全机制及相应的安全管理，并可根据具体系统适当的配置于的安全管理，并可根据具体系统适当的配置于的安全管理，并可根据具体系统适当的配置于的安全管理，并可根据具体系统适当的配置于OSIOSI模型模型模型模型的的的的7 7层协议中。层协议中。层协议中。层协议中。2024/5/262024/5/26周日周日周日周日.ISO7498-2安全体系结构安全体系结构加加密密数数字字签签名名数数据据完完整整性性访访问问控控制制数数据据交交换换业业务务流流填填充充路路由由控控制制公公证证抗抵赖抗抵赖数据保密性数据保密性数据完整性数据完整性访问控制访问控制鉴别服务鉴别服务物理层物理层链路层链路层表示层表示层应用层应用层传输层传输层网络层网络层会话层会话层安全机制安全机制安全服务安全服务OSIOSI参考模型参考模型2024/5/262024/5/26周日周日周日周日.ISO13335IT安全管理n n分为分为5个部分：个部分：ISO/IECTR13335-1ISO/IECTR13335-1：概念和模型：概念和模型：概念和模型：概念和模型 ISO/IECTR13335-2ISO/IECTR13335-2：管理和规划：管理和规划：管理和规划：管理和规划ISO/IECTR13335-3ISO/IECTR13335-3：管理技术：管理技术：管理技术：管理技术ISO/IECTR13335-4ISO/IECTR13335-4：安全措施的选择：安全措施的选择：安全措施的选择：安全措施的选择ISO/IECTR13335-5ISO/IECTR13335-5：网络安全性的管理指：网络安全性的管理指：网络安全性的管理指：网络安全性的管理指导导导导 n n由由ISO/IECJTC1/SC27完成完成2024/5/262024/5/26周日周日周日周日.SSE-CMM信息系统安全工程能力成熟度模型n nCMMCMMCapabilityMaturityModelCapabilityMaturityModel首先用于软件工首先用于软件工首先用于软件工首先用于软件工程；程；程；程；n n19931993年年年年4 4月，由美国月，由美国月，由美国月，由美国NSANSA资助，安全业界、资助，安全业界、资助，安全业界、资助，安全业界、DODDOD、加、加、加、加拿大通信安全机构共同组成项目组，研究把拿大通信安全机构共同组成项目组，研究把拿大通信安全机构共同组成项目组，研究把拿大通信安全机构共同组成项目组，研究把CMMCMM用用用用于安全工程；于安全工程；于安全工程；于安全工程；n n19961996年年年年1010月推出第一版，月推出第一版，月推出第一版，月推出第一版，9797年年年年4 4月推出方法月推出方法月推出方法月推出方法（SSAMSSAM）第一版；）第一版；）第一版；）第一版；9898年底推出第二版，年底推出第二版，年底推出第二版，年底推出第二版，9999年年年年4 4月推月推月推月推出出出出SSAMSSAM第二版；第二版；第二版；第二版；n n用于信息系统安全的工程组织、采购组织和评估机用于信息系统安全的工程组织、采购组织和评估机用于信息系统安全的工程组织、采购组织和评估机用于信息系统安全的工程组织、采购组织和评估机构构构构n n5 5个能力级别，个能力级别，个能力级别，个能力级别，1111个过程区个过程区个过程区个过程区n n20032003年，出版了年，出版了年，出版了年，出版了SSE-CMMV3.0SSE-CMMV3.02024/5/262024/5/26周日周日周日周日.5 5 5 5个能力级别：个能力级别：个能力级别：个能力级别：1 1 1 1级：非正式执行级级：非正式执行级级：非正式执行级级：非正式执行级 2 2 2 2级：计划和跟踪级级：计划和跟踪级级：计划和跟踪级级：计划和跟踪级 3 3 3 3级：充分定义级级：充分定义级级：充分定义级级：充分定义级 4 4 4 4级：量化控制级级：量化控制级级：量化控制级级：量化控制级 5 5 5 5级：持续改进级级：持续改进级级：持续改进级级：持续改进级 代表安全工程组织的代表安全工程组织的 成熟度级别成熟度级别1111个过程区：个过程区：个过程区：个过程区：PA 01 PA 01 管理安全控制管理安全控制管理安全控制管理安全控制 PA 02 PA 02 评估影响评估影响评估影响评估影响 PA 03 PA 03 评估安全风险评估安全风险评估安全风险评估安全风险 PA 04 PA 04 评估威胁评估威胁评估威胁评估威胁 PA 05 PA 05 评估脆弱性评估脆弱性评估脆弱性评估脆弱性 PA 06 PA 06 建立保证论据建立保证论据建立保证论据建立保证论据 PA 07 PA 07 协调安全协调安全协调安全协调安全 PA 08 PA 08 监视安全态势监视安全态势监视安全态势监视安全态势 PA 09 PA 09 提供安全输入提供安全输入提供安全输入提供安全输入 PA 10 PA 10 指定安全要求指定安全要求指定安全要求指定安全要求 PA 11 PA 11 验证和证实安全性验证和证实安全性验证和证实安全性验证和证实安全性 SSE-CMM信息系统安全工程能力成熟度模型（续）2024/5/262024/5/26周日周日周日周日.ISO15408(GB/T18336)信息技术安全性评估准则n n通常简称通常简称通常简称通常简称CCCC通用准则，通用准则，通用准则，通用准则，ISO15408:1999ISO15408:1999，GB/T18336:2001;GB/T18336:2001;n n定义了评估信息技术产品和系统安全性所需的定义了评估信息技术产品和系统安全性所需的定义了评估信息技术产品和系统安全性所需的定义了评估信息技术产品和系统安全性所需的基础准则，是度量信息技术安全性的基准；基础准则，是度量信息技术安全性的基准；基础准则，是度量信息技术安全性的基准；基础准则，是度量信息技术安全性的基准；n n分为分为分为分为3 3个部分：个部分：个部分：个部分：第一部分：简介和一般模型第一部分：简介和一般模型第一部分：简介和一般模型第一部分：简介和一般模型 第二部分：安全功能要求第二部分：安全功能要求第二部分：安全功能要求第二部分：安全功能要求 第三部分：安全保证要求第三部分：安全保证要求第三部分：安全保证要求第三部分：安全保证要求2024/5/262024/5/26周日周日周日周日.管理体系标准n nISO9000族族质量管理体系质量管理体系n nISO14000环境管理体系标准环境管理体系标准n nOHSAM18000职业安全卫生管理体职业安全卫生管理体系标准系标准n nISO17799信息安全管理体系标信息安全管理体系标准准2024/5/262024/5/26周日周日周日周日.ISO/IEC17799:2000 ISO/IEC17799:2000InformationtechnologyInformationtechnologyCodeofpracticeforinformationsecuritymanagementCodeofpracticeforinformationsecuritymanagement信息技术信息安全管理实施细则信息技术信息安全管理实施细则 3.2 ISO/IEC17799:20002024/5/262024/5/26周日周日周日周日.l l 历史历史BS 7799-2:1999BS 7799-2:19992001.62001.6BS7799 Part 2BS7799 Part 2version Cversion CCode of practiceCode of practiceDTIDTIBS 7799-Part1BS 7799-Part11993.91993.9BSIBSI1995.21995.2BS 7799-Part2BS 7799-Part21998.21998.2BS 7799-1:1999BS 7799-1:19991999.41999.4ISO/IECISO/IEC2000.122000.12+ISO 17799ISO 177993.3 ISO17799ISO17799的历史及发展2024/5/262024/5/26周日周日周日周日.BSI简介简介n nBSIBSI 英国标准协会英国标准协会英国标准协会英国标准协会 英国标准协会是全球领先的国际标准、产品测试、体系认证英国标准协会是全球领先的国际标准、产品测试、体系认证英国标准协会是全球领先的国际标准、产品测试、体系认证英国标准协会是全球领先的国际标准、产品测试、体系认证机构。机构。机构。机构。n n发起制定的标准发起制定的标准发起制定的标准发起制定的标准 ISO9000ISO9000（质量管理体系）（质量管理体系）（质量管理体系）（质量管理体系）ISO14001ISO14001（环境管理体系）（环境管理体系）（环境管理体系）（环境管理体系）OHSAS18001OHSAS18001（职业健康与安全管理体系）（职业健康与安全管理体系）（职业健康与安全管理体系）（职业健康与安全管理体系）QS-9000/ISO/TS16949QS-9000/ISO/TS16949（汽车供应行业的质量管理体系）（汽车供应行业的质量管理体系）（汽车供应行业的质量管理体系）（汽车供应行业的质量管理体系）TL9000TL9000（电信供应行业的质量管理体系）（电信供应行业的质量管理体系）（电信供应行业的质量管理体系）（电信供应行业的质量管理体系）BS7799BS7799。2024/5/262024/5/26周日周日周日周日.IUG：International User Group 19971997年成立年成立年成立年成立 宗旨宗旨宗旨宗旨 促进促进促进促进ISO17799/BS7799ISO17799/BS7799的应用和推广的应用和推广的应用和推广的应用和推广 促进对信息安全管理体系标准、认证等的理解，服务全促进对信息安全管理体系标准、认证等的理解，服务全促进对信息安全管理体系标准、认证等的理解，服务全