信息安全标准介绍

信息安全相关标准介绍 目录 信息安全标准概述等级保护标准 ISO27000系列标准 ITIL与ISO20000 企业内控相关标准 什么是标准标准是对重复性事物和概念所作的统一规定。它以科学、技术和实践经验的综合成果为基础，经有关方面协商一致，由主管机构批准，以特定形式发布，作为共同遵守的准则和依据。“没有规矩，不成方圆” 主要的信息安全标准国际标准发 布 的 机 构 安 全 标 准1 ISO（ 国 际 标 准 组 织 ） ISO17799/ISO27001/ISO27002ISO/IEC 15408ISO/IEC 13335ISO/TR 135692 ISACA（ 信 息 系 统 审 计 与 控 制 学 会 ） COBIT 4.13 ISSEA（ 国 际 系 统 安 全 工 程 协 会 ） SSE-CMM Systems Security Engineering - Capability Maturity Model 3.04 ISSA（ 信 息 系 统 安 全 协 会 ） GAISP Version 3.0 5 ISF (信 息 安 全 论 坛 ） The Standard of Good Practice forInformation Security6 IETF （ 互 联 网 工 程 任 务 小 组 ） 各 种 RFC （ Request for Comments） 主要的信息安全标准国际标准(续）发 布 的 机 构 安 全 标 准7 NIST（ 国 家 标 准 和 技 术研 究 所 ） NIST 800系 列8 DOD (美 国 国 防 部 ) TCSEC（ 可 信 计 算 机 系 统 评 测 标 准 ） 彩 虹 系 列9 Carnegie Mellon Software Engineering Institute (SEI) Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) Criteria Version 2.010 OECD（ 经 济 与 贸 易 发 展组 织 ） Guidelines for the Security of InformationSystems and Networks and AssociatedImplementation Plan11 The Open Group Managers Guide to Information Security 12 ITIL Security management 除了上述标准，世界各国的官方机构和行业监管机构还有许多信息安全方面的标准、指引和建议的操作实践。 主要的信息安全标准国内标准发 布 的 机 构 安 全 标 准1 全 国 信 息 安 全 标 准 化 技术 委 员 会 等 级 保 护 系 列 标 准 信 息 安 全 技 术 信 息 系 统 安 全 等 级 保 护 基 本 要 求 信 息 安 全 技 术 信 息 系 统 安 全 等 级 保 护 定 级 指 南 信 息 安 全 技 术 信 息 系 统 安 全 等 级 保 护 实 施 指 南其 他 信 息 安 全 标 准 截 至 2007年 底 ， 共 完 成 了 国 家 标准 59项 ， 还 有 56项 国 家 标 准 在 研 制 中 。2 公 安 部 、 安 全 部 、 国 家保 密 局 、 国 家 密 码 管 理委 员 会 等 部 门 一 系 列 的 信 息 安 全 方 面 的 政 策 法 规 如 ： 计 算 机 信 息 网 络 国 际 联 网 安 全 保 护 管 理 办 法 互 联 网 信 息 服 务 管 理 办 法 计 算 机 信 息 系 统 保 密 管 理 暂 行 规 定 计 算 机 软 件 保 护 条 例 商 用 密 码 管 理 条 例 ， 等 。 第 7 页 信息安全标准的演进 各个主流标准的使用位置 目录 信息安全标准概述等级保护标准 ISO27000系列标准 ITIL与ISO20000 企业内控相关标准 等级保护相关法规1、1994年中华人民共和国计算机信息系统安全保护条例 （国务院147号令）2、2003年国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）3、关于信息安全等级保护工作的实施意见（公通字200466号）4、信息安全等级保护管理办法（公通字200743号5、关于开展全国重要信息系统安全保护等级定级工作的通知（公信安2007861号）6、国务院办公厅关于印发的通知（国办发200928号）7、发改委、公安部、国家保密局会签文件关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技20082071号）8、信息安全等级保护备案实施细则（公信安20071360号9、公安机关信息安全等级保护检查工作规范（试行）（公信安2008736号 ） 10、关于开展信息安全等级保护安全建设整改工作的指导意见(2009年10月) 重 要 法 规 梳 理l27号文：明确指出“实行信息安全等级保护”，这是我国第一个信息安全保障工作的纲领性文件。l66号文：等级保护是今后国家信息安全的基本制度也是根本方法、等级保护制度的重要意义、原则、基本内容、工作职责分工、工作要求和实施计划。 l43号文：明确 五个安全等级，确立了等级保护主要内容是定级、备案、系统建设整改、等级测评、监督检查。l736号文：是等级保护检查工作制定的工作规范，在检查依据、内容、程序、形式、时限要求等方面了详细规定。l2009年10月发布关于开展信息安全等级保护安全建设整改工作的指导意见，是信息系统定级备案工作完成后，开展信息安全等级保护后续工 作的指导性文件。 类别 要求公安机关 监督、检查、指导。国家保密工作部门 保密工作的监督、检查、指导。国家密码管理部门 密码工作的监督、检查、指导。工信部信息安全协调司 部门间的协调其他职能部门 依据国际法律法规的规定信息安全等级保护管理办法（公通字【2007】43号），明确了公安、保密、密码、信息化部门以及其他部门的职责：我国信息安全等级保护职责分工 等 级 保 护 职 责 分 工 原 则l谁主管、谁负责l谁运营、谁负责l谁建设、谁负责 等 级 保 护 标 准 体 系 基 础 类 标 准 计 算 机 信 息 系 统 安 全 保 护 等 级 划 分 准 则 （ GB17859-1999） 信 息 系 统 安 全 等 级 保 护 基 本 要 求 （ GB/T 22239-2008） 等 级 保 护 标 准 体 系 应 用 类 标 准u 信 息 系 统 定 级 信 息 系 统 安 全 保 护 等 级 定 级 指 南 （ GB/T 22240-2008）u 等 级 保 护 实 施 信 息 系 统 安 全 等 级 保 护 实 施 指 南 （ 报 批 稿 ）u 信 息 系 统 安 全 建 设 信 息 系 统 通 用 安 全 技 术 要 求 （ GB/T 20271-2006） 信 息 系 统 等 级 保 护 安 全 设 计 技 术 要 求 （ 报 批 稿 ） 信 息 系 统 安 全 管 理 要 求 （ GB/T 20269-2006） 信 息 系 统 安 全 工 程 管 理 要 求 （ GB/T 20282-2006） 信 息 系 统 物 理 安 全 技 术 要 求 （ GB/T 21052-2007） 网 络 基 础 安 全 技 术 要 求 （ GB/T 20270-2006） 信 息 系 统 安 全 等 级 保 护 体 系 框 架 （ GA/T 708-2007） 信 息 系 统 安 全 等 级 保 护 基 本 模 型 （ GA/T 709-2007） 信 息 系 统 安 全 等 级 保 护 基 本 配 置 （ GA/T 710-2007） u 等级测评信息系统安全等级保护测评要求（报批稿）信息系统安全等级保护测评过程指南（报批稿）信息系统安全管理测评（GA/T 713-2007） 等 级 保 护 标 准 体 系 产 品 类 标 准u 操 作 系 统 操 作 系 统 安 全 技 术 要 求 操 作 系 统 安 全 评 估 准 则 u 数 据 库 数 据 库 管 理 系 统 安 全 技 术 要 求 数 据 库 管 理 系 统 安 全 评 估 准 则 u 网 络 网 络 端 设 备 隔 离 部 件 技 术 要 求 网 络 端 设 备 隔 离 部 件 测 试 评 价 方 法 u PKI 公 钥 基 础 设 施 安 全 技 术 要 求 PKI系 统 安 全 等 级 保 护 技 术 要 求 u 网 关 网 关 安 全 技 术 要 求 服 务 器 服 务 器 安 全 技 术 要 求 u 入侵检测入侵检测系统技术要求和检测方法计算机网络入侵分级要求u 防火墙防火墙安全技术要求防火墙技术测评方法 u 路由器路由器安全技术要求路由器安全评估准则路由器安全测评要求u 交换机网络交换机安全技术要求交换机安全测评要求u 其他产品终端计算机系统安全等级技术要求终端计算机系统测评方法审计产品技术要求和测评方法 等 级 保 护 标 准 体 系 其 他 类 标 准u风 险 评 估 信 息 安 全 风 险 评 估 规 范 （ GB/T 20984-2007）u事 件 管 理 信 息 安 全 事 件 管 理 指 南 （ GB/Z 20985-2007） 信 息 安 全 事 件 分 类 分 级 指 南 （ GB/Z 20986-2007） 信 息 系 统 灾 难 恢复规范（GB/T 20988-2007） 等级保护标准关系 信 息 系 统 安 全 等 级 保 护 基 本 要 求 GB/T 22239-2008计 算 机 信 息 系 统 安 全 保 护 等 级 划 分 准 则 （ GB17859）信 息 系 统 通 用 安 全技 术 要 求信 息 系 统 物 理 安 全技 术 要 求技术类其 他 技 术 类 标 准 信 息 系 统 安 全管 理 要 求信 息 系 统 安 全 工 程管 理 要 求其 他 管 理 类 标 准 信 息 系 统 安 全 等 级 保 护 定 级 指 南 (GB/T 22240-2008)信 息 系 统 安 全 等 级 保 护 基 本 要 求 的 行 业 细 则信息系统安全等级保护测评过程指南 信息系统安全等级保护测评要求 信息系统等级保护安全设计技术要求 管理类产品类数 据 库 管 理 系 统 安 全 技 术 要求其 他 产 品 类 标 准 信 息 系 统 安 全 等 级 保 护 行 业 定 级 细 则 操 作 系 统 安 全 技 术要 求信 息 安 全 等 级保 护 安 全 建 设网 络 基 础 安 全 技 术要 求 网 络 和 终 端 设 备 隔 离 部 件 技术 要 求安 全 等 级基 线 要 求状况分析 方法指导 信息系统安全等级保护实施指南 关于开展信息安全等级保护安全建设整改工作的指导意见 计 算 机 信 息 系 统 安 全 保 护 等 级 划 分 准 则 （ GB17859-1999） 信 息 系 统 安 全 等 级 保 护 基 本 要 求 （ GB/T 22239-2008） 信息系统安全等级保护实施指南（报批稿）主要政策标准 指导意见关于开展信息安全等级保护安全建设整改工作的指导意见 在全国完成信息系统安全保护定级工作后，公安部拟下发通知部署安全保护等级为第三级以上的信息系统（以下简称“重要信息系统”）等级保护安全建设工作。等级保护安全建设工作主要包括三项工作内容：一是开展重要信息系统等级测评工作；二是开展重要信息系统安全建设整改工作；三是开展重要信息系统检查工作。 是信息系统定级备案工作完成后，开展信息安全等级保护后续工作的指导性文件。本通知下发后，国家信息安全等级保护制度的政策体系将基本成型。 指导意见中的“工作目标” 依据信息安全等级保护有关政策和标准，通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评，落实等级保护制度的各项要求，使信息系统安全管理水平明显提高，安全防范能力明显增强，安全隐患和安全事故明显减少，有效保障信息化健康发展，维护国家安全、社会秩序和公共利益，力争在2012年底前完成已定级信息系统安全建设整改工作。 指导意见中“工作目标”的政策要点（一）工作主体各地区、各部门，这其中包括信息系统备案单位；（二）工作对象安全保护等级为第三级以上的信息系统；（三）工作内容信息系统等级测评工作、信息系统安全建设整改工作、等级保护工作监督、检查； 指导意见中“工作目标”的政策要点（四）工作依据等级保护政策和标准，主要包括：国务院147号令，中办发27号文件、公通字66号文件、43号文件以及基本要求、测评要求测评工作过程指南、实施指南、测评过程指南等相关技术标准； 指导意见中“工作目标”的政策要点（五）时间要求总体上用三年时间完成重要信息系统安全建设工作。各地区、各部门要于2009年底前完成工作部署，从2010年开始到2011年底前完成全国三级以上重要信息系统安全建设工作。为体现“突出重点、保护重点”的原则，安全保护等级为第四级的信息系统应于2010年底前完成等级保护安全建设工作； 指导意见中“工作目标”的政策要点（六）直观工作目标明确等级保护安全建设需求，有针对性的开展安全等级保护管理制度建设和技术措施建设，落实等级保护制度的各项要求。在信息系统整个生命周期中，在系统立项、规划设计、建设、投入使用、日常运维等各个工作环节，通过定级、备案、等级测评、建设整改、监督检查等工作流程，建立并完善等级保护工作领导体制和工作机制，落实各项工作责任，落实各项管理制度和技术措施，认真开展自查和检查等； 指导意见中“工作目标”的政策要点（七）根本工作目标这是国家贯彻落实信息安全等级保护制度的根本目标。贯彻实施信息安全等级保护工作不仅要提升系统安全保护能力，而且提出系统安全要保障信息化健康发展，维护国家安全、社会秩序和公共利益，这与信息系统定级工作的依据标准一致，安全建设作为信息系统定级的后续工作，其工作目标与信息系统定级依据相同，在政策体系上保持了一致。 建设整改的流程信息系统安全建设整改工作分五步进行。第一步：制定信息系统安全建设整改工作规划，对信息系统安全建设整改工作进行总体部署；第二步：开展信息系统安全保护现状分析，从管理和技术两个方面确定信息系统安全建设整改需求；第三步：确定安全保护策略，制定信息系统安全建设整改方案；第四步：开展信息系统安全建设整改工作，建立并落实安全管理制度，落实安全责任制，建设安全设施，落实安全措施；第五步：开展安全自查和等级测评，及时发现信息系统中存在安全隐患和威胁，进一步开展安全建设整改工作。该 流程如下图所示。 信息系统安全管理建设 信息系统安全技术建设开展信息系统安全自查和等级测评信息系统安全保护现状分析信息系统安全建设整改工作规划和工作部署确定安全策略，制定安全建设整改方案物 理 安 全 网 络 安 全 主 机 安 全 应 用 安 全 数 据 安 全安全管理机构 安全管理制度 人员安全管理 系统建设管理 系统运行管理建设整改的流程 管理制度建设明 确 主 管 领 导 、 落 实 责 任 部 门落 实 安 全 岗 位 和 人 员信 息 系 统 安 全 管 理 现 状 分 析确 定 安 全 管 理 策 略 、 制 定 安 全 管 理 制 度 安 全 自 查 和 调 整 系 统 建 设 管 理落 实 安 全 管 理 措 施人 员 安 全 管 理 环 境 和 资 产 管 理设 备 和 介 质 管 理日 常 运 行 维 护集 中 安 全 管 理 事 件 处 置 和 应 急 响 应灾 难 备 份安 全 监 测系 统 运 维 管 理 安全技术建设信 息 系 统 安 全 保 护 技 术 现 状 分 析开 展 建 设 整 改 技 术 方 案 详 细 设 计 工 程 实 施 及 验 收等 级 测 评不 符 合 标 准 要求 开 展 建 设 整 改 技 术 方 案 论 证 和 评 审 确 定 安 全 策 略 ， 开 展 建 设 整 改 技 术 方 案 总 体 设 计通信网络安全物理安全 。 。 。应用系统安全区域边界安全 主机系统安全 备份和恢复建 设 并 落 实 安 全 技 术 措 施 计算机信息系统安全保护等级划分准则早在1985年，美国国防部为指导计算机安全产品的制造和数据处理系统的安全建设与评估，制定并颁布了可信计算机系统评估准则（DoD 5200.28-STD），也就是TCSEC。1999年我国在此标准的基础上修改制定了国家强制标准GB 17859-1999计算机信息系统安全保护等级划分准则 计算机信息系统安全保护等级划分准则 计算机信息系统安全保护等级划分准则 GB 17859-1999计算机信息系统安全保护等级划分准则 用户自主保护级 自主访问控制、身份鉴别、数据完整性 系统审计保护级 自主访问控制、身份鉴别、数据完整性、安全审计、客体重用 安全标记保护级 自主访问控制、身份鉴别、数据完整性、安全审计、客体重用、强制访问控制、标记 结构化保护级 自主访问控制、身份鉴别、数据完整性、安全审计、客体重用、强制访问控制、标记、隐蔽信道分析、可信路径 访问验证保护级 自主访问控制、身份鉴别、数据完整性、安全审计、客体重用、强制访问控制、标记、隐蔽信道分析、可信路径、可信恢复 基本要求 标准编制思路一 级 系 统二 级 系 统三 级 系 统 四 级 系 统 防 护防 护 /监 测策 略 /防 护 /监 测 /恢 复策 略 /防 护 /监 测 /恢 复 /响 应 一 级 系 统二 级 系 统三 级 系 统四 级 系 统 通 信 /边 界 （ 基 本 ）通 信 /边 界 /内 部 （ 关 键 设 备 ）通 信 /边 界 /内 部 （ 主 要 设 备 ）通 信 /边 界 /内 部 /基 础 设 施 （ 所 有 设 备 ）基本要求 标准编制思路 基本要求的组织方式某级系统类技术要求 管理要求基本要求 类控制点 具体要求 控制点具体要求 三、标准的主要内容 7 第三级基本要求 7.1 技术要求 7.1.1 物理安全（类） 7.1.1.1 物理位置的选择（控制点） 本项要求包括（具体要求） a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内 b) 机房场地应避免设在建筑物的高层或地下室，以及用水设备的下 层或隔壁。 。 7.2 管理要求 7.2.1 安全管理制度（类） 7.2.1.1 管理制度（控制点） 本项要求包括： （具体要求） a) 应制定信息安全工作的总体方针和安全策略，说明机构安全工作 的总体目标、范围、原则和安全框架等； b) 应对安全管理活动中的各类管理内容建立安全管理制度； 实施指南-基本实施过程 重 大 变 更局 部 调 整 系 统 定 级安 全 规 划 设 计安 全 实 施 /实 现安 全 运 行 管 理系 统 终 止 与信息系统生命周期之间的关系新建信息系统新 建 信 息 系 统 等 级 保 护 实 施 过程信 息 系 统 生 命 周 期 安 全 运 行 管 理（ 变 更 管 理 /定 期 安 全 测评 /监 督 检 查 ）系 统定 级 安 全 规划 设 计 安 全实 施 系 统终 止设 计 开发 阶 段 运 行 维 护 阶 段启 动阶 段 实 施阶 段 中 止阶 段 安全态势分析 信息安全标准概述等级保护标准 ISO27000系列标准 ITIL与ISO20000 企业内控相关标准 ISO 27001 介绍 什 么 是 文档化体系信息安全策略风险处置计划范围内的信息资产清单风险评估适用性声明策略、流程、指南、程序 ISMS 需要执行与管理复查、 审计和考核持续改进认证有意义但不是根本最终阶段需要第三方认证证据 业 务 驱 动 实施信息安全最佳实践保证信息资产的安全保护企业声誉满足合规性要求提升 IT 架构效率质量体系保证 认证驱动企业证明客户、合作伙伴要求政府、投资者要求 证 明 您 对 信 息 安 全 的 承 诺信息是一种非常重要的资产，它贯穿并支持组织的整个经营活动，从小交易到公司合并，从大项目到员工资料管理如果没有有效的信息管理，一些仅供组织内部使用的敏感信息，很容易泄漏。如果组织的信息体系从信息质量、数量或沟通环节被攻击，那么组织会处于极大的风险中这就是为什么您需要主动地管理信息安全，向您的员工、股东、合作伙伴分享信息安全管理经验 确 保 您 的 信 息 安 全 并 持 续 保 持 ISO27001:2005 信息安全管理体系(ISMS)认证表明您对信息安全、客户要求和持续改进的承诺标准由两部分构成： ISO27002:2005 信息安全管理实施指南，指导ISMS实践 ISO27001:2005 信息安全管理体系标准，ISMS认证标准界定ISMS认证范围，对于识别风险和评审风险至关重要一个成功ISMS体系包括建立、运行、评审、维护和改进一系列过程 标 准 的 发 展1995 1998 1999.04 2000.12 2002 2005.6 2005.10 BS7799-2:1998信 息 安 全管 理 体 系 规 范 BS7799:1999BS7799的 两 个 部 分 进 行合 并 ISO/IEC 17799:2000信 息 技 术 信 息 安 全 管理 实 施 规 则 BS7799-2:2002安 全 管 理 体 系 规 范与 使 用 指 南 ISO/IEC 17799:2005信 息 安 全 管 理 体 系 实 施 规则 ISO/IEC 27001:2005信 息 技 术 安 全 技 术 信息 安 全 管 理 体 系 要 求BS7799-1:1995信 息 安 全管 理 实 施 规 则 ISO/IEC 27002:2005信 息 安 全 管 理 体 系 实 施 规则 信 息 安 全 标 准 现 状已有二十多个国家和地区引用BS7799作为本国标准，并有四十多个国家和地区开展了相关业务。澳大利亚/新西兰（前国标AS/NZS 4444，现国标AS/NZS 7799）荷兰（SPE 20003）瑞典（SS 627799）日本（JIS X 5080，相当于BS 7799-1） 国内，ISO 17799:2000已被转化为GB/T 19716:2005国际， ISO 17799:2000已被转化为ISO 27002:2005 ISO 27001认 证 机 构在中国大陆地区，可以提供BS7799/ISO 27001认证服务的主要是DNV（Det Norske Veritas挪威船级社）和BSI（British Standards Institution英国标准协会 ） 认 可 机 制 认证（Certification）和认可（Accreditation）认证是第三方依据程序对产品、过程、服务符合规定要求给予的书面保证（合格证书），其基础是相关标准。根据对象的不同，认证通常分为产品认证和体系认证。通过认证，组织可以对外提供某种信任和保证认可是由某权威机构依据程序对某团体（例如对认证机构的认可）或个人（例如对审核员资格的认可）具有从事特定任务的能力给予的正式承认认可机构 英国UKAS、荷兰RvA、瑞典Swedac 基 于 流 程 的 ISMS InterestedParties Informationsecurityrequirements and expectations InterestedPartiesManagedInformationsecurity Continual improvementof the Information Security Management SystemEstablish ISMS4.2.1 Monitor and Review the ISMS4.2.3Implement and Operate the ISMS4.2.2 Maintain and improve the ISMS4.2.4Input OutputInformation security management systemPDACPDAC PDAC PDAC ISO/IEC17799模型 ISO/IEC 17799标准的内容涉及10个领域，36个控制目标和127个控制措施。 ISO/IEC 27001/27002:2005 的內容 总共分成 11个领域、 39个控制目标、 133个控制措施。 11个领域包括A.1 Security PolicyA.2 organization of information securityA.3 Asset managementA.4 Human resources securityA.5 Physical and environmental securityA.6 Communications and operations managementA.7 Access controlA.8 Information systems acquisition, development and maintenanceA.8 Information security incident managementA.10 Business continuity management A.11 Compliance BS 7799 Part 2:2002 vs ISO 27001:2005Chapter 0. 简 介Chapter 1. 范 围Chapter 2. 强 制 性 引 用 标 准 Chapter 3. 术 语 和 定 义Chapter 4. 信 息 安 全 管 理 体 系 Chapter 5. 管 理 责 任Chapter 6. ISMS管 理 评 审 Chapter 7. ISMS改 进BS 7799-2:2002 Chapter 0. 简 介Chapter 1. 范 围Chapter 2. 强 制 性 引 用 标 准 Chapter 3. 术 语 和 定 义Chapter 4. 信 息 安 全 管 理 体 系 Chapter 5. 管 理 责 任Chapter 6. 内 部 审 核Chapter 7. 管 理 评 审Chapter 8. 持 续 改 进ISO 27001:2005 Chapter 1. 范 围Chapter 2. 术 语 和 定 义Chapter 3. 安 全 策 略Chapter 4. 安 全 组 织Chapter 5. 资 产 分 类 和 控 制Chapter 6. 人 员 安 全Chapter 7. 物 理 和 环 境 安 全Chapter 8. 通 信 和 操 作 管 理Chapter 9. 访 问 控 制Chapter 10. 系 统 开 发 和 维 护Chapter 11. 业 务 连 续 性 管 理 Chapter 12. 符 合 性 ISO 17799:2000ISO 17799:2000 vs ISO 17799:2005Chapter 1. 范 围Chapter 2. 术 语 和 定 义Chapter 3. 标 准 结 构Chapter 4. 风 险 评 估 和 处 理Chapter 5. 安 全 策 略Chapter 6. 组 织 信 息 安 全 Chapter 7. 资 产 管 理 Chapter 8. 人 力 资 源 安 全 Chapter 9. 物 理 和 环 境 安 全 Chapter 10. 通 信 和 操 作 管 理 Chapter 11. 访 问 控 制 Chapter 12. 系 统 开 发 和 维 护 Chapter 13. 信 息 安 全 事 件 管 理 Chapter 14. 业 务 连 续 性 管 理 Chapter 15. 符 合 性 ISO 17799:2005 ISO 27001 Series ISO 27000 - will contain the vocabular y and definitions i.e. terminology for all of these information security management standards ISO 27001 - is the Information Security Management System requirements standard (specification) against which organizations are formally cer tified compliant ISO 27002 will be the new name for the standard currently known as ISO 17799 and formerly known as BS 7799 par t 1. This is the code of practice for information security management describing a comprehensive set of information security control objectives and a menu of best-practice security controls ISO 27003 - will be an implementation guide ISO 27004 - will be an information security management measurement standard to help measure the effectiveness of information security management system implementations. ISO 27005 - will be an information security risk management standard (will replace the recently issued BS 7799 Part 3). ISO 27006 - is a guide to the certification/registration process for accredited ISMS cer tification/registration bodies. ISO 27007 - will probably be a guideline for auditing Information Security Management Systems. ISO 27031 will be telecomms sector-specific implementation guidance for ISO 17799/27002. ISO 27008-59 - is our holding page with preliminar y information on various other rumoured ISO 27000-series Information Security Management standards including industr y-specific implementation guidelines and a disaster recover y standard. ISO 27799 - will be health sector-specific implementation guidance for ISO 17799/27002. ISO 27001:2005 的 益 处 ISO的声誉和通过国际认可的ISO 27001:2005认证增强了所有公司的可信度。它清楚地表明了您的信息的有效性和一个真正对信息安全支持的承诺 ISMS的建立和认证也可以改变您公司内外的文化，使您赢得具与有安全意识的客户开拓新业务的机会，以及提升员工的道德观念和他们对整个工作场所信息安全的思想观念。而且，它使您可以增强信息安全，减少可能产生欺骗、信息丢失和泄漏的风险获得BS7799认证的组织将要换证为ISO 27001:2005。根据2006年1月UKAS 换证声明，通过BS 7799-2:2002认证的公司可以在2007年7月前完成换证。http:/ ISO 27001 实施与认证过程 ISO 27001 一 般 认 证 过 程培训 咨询公司介入 预审（可选）文件审核及第一阶段正式审核 第二阶段正式审核颁发证书 每年定期审核三年延证审核 ISO 27001证 书 获 取 过 程 Periodical AuditsFollow UpISMSInitial AuditPre-AssessmentPre-Study/Implementation 顾问/咨询机构 Auditor(s)Confidentiality AgreementAwareness creation ISO 27001认 证 费 用认证机构的报价根据其投入的时间和人员来确定，决定因素包括： The size of the company Scope IT-environment The readiness for cer tification within the company Prior cer tification 10,000 for a company with 100 employees provided that the company already is well on its way with the implementation. ISMS Project Roadmap确定范围 资产调研管理层策略 风险评估适用性声明PLAN 文档准备实施ISMS教育培训证据 持续改进复查、监控 检查、审计DO CHECKACT ISMS 实 施 过 程0. 获得管理层支持说起来容易做起来难提高管理层意识当前的风险与最佳实践的差距分析1. 定义 ISMS 范围 Businesses Business units Departments Systems 2. 准备适用性声明(SOA)哪些控制目标适用(applicable)哪些控制目标不相关(irrelevant)、不适用(not appropriate )、不需要(not required) ISMS 实 施 过 程 （ 续 ）3. 资产调研 information systems, networks, databases, data items, documents etc.4. 风险评估标准中并没有指定风险评估方法 Mehari/CRAMM/OCTAVE/Citicus One/ISO TR 13335/AS/NZS 4360:2004:/HB 436:2004/NIST SP 800-30 DIY5. 准备风险处置计划(RTP)哪些控制用来应对已识别的风险6. 制定 ISMS 实施计划需要的资源专家的支持 Internal Audit, Risk, Compliance, HR, Finance 的支持 ISMS 实 施 过 程 （ 续 ）7. ISMS 实施项目管理计划、预算、进度8. ISMS 运行是一项持续的活动9. 收集 ISMS 运行证据 security logs, log review reports, firewall configuration files, risk assessment reports etc. 10. 审查合规性 A.15内部需求：策略外部要求：法律、法规11. 实施纠正措施 Plan-Do-Check-Act ISMS 实 施 过 程 （ 续 ）12. 认证前自评估 ISMS 稳定、有效检查 SOA、RTP 有没有遗漏地方13. 认证审核 SOA、RTP、证据 关 键 成 功 因 素 a) information security policy, objectives, and activities that reflect business objectives;信息安全策略、目标和行为应与业务目标保持一致；b) an approach and framework to implementing, maintaining, monitoring, and improving information security that is consistent with the organizational culture;信息安全实施、维护、监控、改进的方法应该符合组织的文化；c) visible suppor t and commitment from all levels of management;来自所有管理层可见的支持和承诺；d) a good understanding of the information security requirements, risk assessment, and risk management;对信息安全需求、风险评估、风险管理应有很好的理解；e) effective marketing of information security to all managers, employees, and other par ties to achieve awareness;应对所有经理、员工和第三方进行信息安全的有效宣传；f ) distribution of guidance on information security policy and standards to all managers, employees and other par ties;对所有经理、员工和第三方发布信息安全策略和标准的指南；g) provision to fund information security management activities;为信息安全活动提供资金；h) providing appropriate awareness, training, and education;提供适当的教育和培训； i) establishing an effective information security incident management process;建立有效的信息安全事件管理流程；j) implementation of a measurement 1 system that is used to evaluate per formance in information security management and feedback suggestions for improvement.建立一套用来评估信息安全管理的性能和有关改进安全管理的反馈建议的测量系统。 安全态势分析 信息安全标准概述等级保护标准 ISO27000系列标准 ITIL与ISO20000 企业内控相关标准 ITIL的产生 80年代中期，英国政府计算机和电信局（CCTA），也就是现在的政府商务办公室（OGC），启动一个IT服务质量调查的项目，从IT供应商、咨询顾问及用户收集信息，由IT专家及咨询顾问开发出一套有效的、可进行财务计量的IT资源管理方法。该项目的最终结果是一套公开出版的IT服务管理指南，及ITIL，收集、整理、文档化和维护服务管理最佳实践并将其组织成一个合理和有一定逻辑性的知识库。 ITIL是什么?ITIL 是: IT Infrastructure Librar y的简称 适合公共的或私有的、大型的或小型的、集中的或分散的所有组织。宝洁公司于1997年采用ITIL，在随后的四年中节省了超过5亿美元的IT预算。全球10,000多家在各行业处于领先地位的组织都在使用ITIL流程改进IT服务的效率和沟通，大量的成功实 践表明实施ITSM可以提高IT部门营运效率25-30%。 由独立的用户组织itSMF（IT Ser vice Management Forum）管理。 任何单位和个人都可免费使用的“公共框架” 实际上是一系列由所谓“最佳实践”（Best Practice）形成的图书： ITIL不是:u 硬 件u 软 件u 可供参考使用的最佳实践 Project request by CCTAITIL first Guide Book issued1985 itSMF 1989 ITIL 1.019911993 PD000519951998 20002002200320042005PD0005 BIP0005- A Manager Guide PD0005 / BS 15000-2Become to ISO20000PD0015 / BS 15000-1PD0015 / BS 15000-1/ ITIL 2.01999 IT Service CMM Vrije Univ. 国际ITSM的发展 2007 Become to ITIL V3 ISO20000家族 Internal Processes and ProceduresITILBIP 0005ISO20000Part 2ISO20000Part 1 PD 0015 Workbook内部流程和业界解决方案流程定义管理概览实践指南标准 ISO20000标准 6. 服务交付流程服务级别管理服务报告能力管理服务持续和可用性管理 信息安全管理IT服务预算和财务管理 9. 控制流程配置管理变更管理10. 发布流程发布管理 8. 解决流程事件管理问题管理 7. 关系流程业务关系管理供应商管理5. 计划和实施新的/变更的服务4. 计划和实施服务管理3. 管理体系 ITIL的全部视野 ITIL的主要内容:服务支持+服务交付 转变观念 项目型IT 运营型IT和服务型IT投入 价值 IT服务管理核心理念1：IT服务管理体系 “服务管理”三要素：人员+流程+技术 全程服务框架支持技术 流程人员 高质量的服务 IT服务管理核心理念2：以流程为导向一个流程可定义为一系列相关的活动，并聚焦在目标的输入和输出上。 端到端 按照职能进行组织 Branch Back Office Back Office Branch但是，只有端到端的流程对客户才有意义Start End IT服务管理核心理念3：PDCA循序优化 时间IT管理目标计划改进审计 实施 有效的提高质量巩固管理水平例如：ISO 9001成熟级别 持续质量控制与改进 IT管理成熟度级别 安全态势分析 信息安全标准概述等级保护标准 ISO27000系列标准 ITIL与ISO20000 企业内控相关标准 1994年德国MGRM集团高息筹资投资石油期货损失13亿美元1994年美国加州橘郡财务长雪铁龙以政府名义筹资,投资票据亏损18亿美元导致橘郡政府破产1995年里森私设账外账，投资日经期货指数损失14亿美元，直接导致巴林银行破产1996年住友商事有色金属业务部长滨中泰男违反公司规定，从事铜的非法交易长达10年，造成了18亿美元的亏损2001年的美国安然能源公司因虚假经营、虚构利润、隐瞒亏损而导致破产，从而引发作为世界“五大”之一的安达信会计师事务所的终结2002年世界通信公司被揭露涉嫌虚报巨额利润，仅2001年到2002年第一季度，世界通信公司凭空捏造出38.52亿美元利润 2008年法国兴业银行交易员凯维埃尔在未经授权的情况下违规操作给银行造成了近50亿欧元的损失 引 言 COSO报告的出台 1992年，美国“反对虚假财务报告委员会”下属的由美国会计学会（AAA）、注册会计师协会（AICPA）、国际内部审计协会（IIA）、财务经理协会（FEI）和管理会计学会（IMA）等组织参与的发起组织成立了美国科索委员会（简称COSO），并提交了一分举世瞩目的研究报告内部控制整体框架（也称内部控制综合框架），该报告在1994年进行了增补 COSO报告定义了内部控制内 部 控 制 营 运 的 效 果 和 效 率财 务 报 表 的 可 靠 性相 关 法 令 的 遵 循 SOX法案的出台 n重 建 公 司 信 用 ， 培 育 公 众 信 心 ， 振 兴证 券 市 场 。n加 强 公 司 监 管 ， 规 范 业 务 运 作 。 n增 加 财 务 报 告 与 信 息 披 露 的 透 明 度 。n确 保 公 司 管 理 层 可 以 从 有 效 监 控 的 系统 中 获 取 重 要 信 息 。n公 司 管 理 层 必 须 对 美 国 证 券 管 理 委 员会 要 求 存 档 的 材 料 和 向 投 资 者 公 布 的 信息 承 担 责 任 我国企业内部控制的发展 1978年9月12日国务院颁布会计人员职权条例，提出“总会计师会签”制度 1984年4月24日财政部发布会计人员工作规则，要求建立会计人员岗位责任制，提出出纳人员不相容职务分离的规范要求 1985年1月21日通过的中华人民共和国会计法重申会计人员岗位责任制的要求 1996年6月17日财政部发布会计基础工作规范，要求建立与健全包括内部牵制制度在内的会计管理制度 1999年10月31日修订后的中华人民共和国会计法明确要求各单位应当建立、健全内部会计监督制度 2001年6月22日起财政部陆续发布内部会计控制规范 企业内控基本规范 2008年 6月 28日 ， 国 家 财 政 部 、 证 监 会 、 审 计署 、 银 监 会 、 保 监 会 联 合 发 布 了 企 业 内 部 控制 基 本 规 范 内部会计控制规范基本规范（试行）内部会计控制规范货币资金（试行）内部会计控制规范采购与付款（试行）内部会计控制规范销售与收款（试行） 内部会计控制规范工程项目（试行）内部会计控制规范担保（试行）内部会计控制规范对外投资（试行）内部会计控制规范成本费用（征求意见稿）内部会计控制规范预算（征求意见稿） 企业内部控制的重要性反舞弊成为加强内部控制的内在需求 风险控制是防范经营失败的重中之重实施风险管理是内部控制的发展趋势 市场经济越发展，企业内部控制更重要 SOX中对IT内控要求 第 302节 公 司 对 财 务 报 告 的 责 任 要 求 公 司 首 要 官 员 及 首 要 财 务 官 在 季 度 /年 度 报 告 中 保 证 ： 对 信 息 披 露 的 控 制 和 程 序 负 责 设 计 必 要 的 内 部 控 制 手 段 并 确 保 其 执 行 可 使 高 层 及 时 获 得 重 要 信 息 对 披 露 控 制 的 有 效 性 进 行 评 估 ， 评 估 结 果 需 存 档 不 可 向 审 计 委 员 会 和 外 部 审 计 人 员 隐 瞒 公 司 重 大 的 内 控 失 败 和 人 员 舞弊 行 为 存 档 描 述 内 部 控 制 的 重 大 变 化 第 404节 管 理 层 对 内 部 控 制 的 评 价 要 求 公 司 管 理 层 在 年 度 财 务 报 告 中 ： 描 述 他 们 在 建 立 和 维 护 一 个 针 对 财 务 报 告 的 内 部 控 制 程 序 中 的 责 任 对 与 财 务 报 告 相 关 的 内 部 控 制 有 效 性 以 一 个 公 认 架 构 进 行 评 价 （ 例 如COSO内 控 架 构 ） 同 时 要 求 外 部 审 计 人 员 ： 对 管 理 层 评 价 的 有 效 性 进 行 评 价 基本规范对IT内控的要求 COBIT产生的背景 COBIT是什么? COBIT框架 COBIT发展历程 2007 COBIT 4.1 2005 COBIT 4.0 2001 COBIT 3.0 1998 COBIT 2.0 1996 COBIT 1.0-ISAC COBIT产品簇 COBIT产品簇 COBIT各组件之间的关系 ISACA信息系统审计和控制协会 ITGI IT治理协会 COBIT优势 普遍公认的IT治理的良好实践 IT治理及相关标准的集大成者 集大成者 COBIT 特点 Business-focused Business-focused Process-Oriented Controls-based Measureme