信息安全国际标准培训教材

74,华为技术,单击此处编辑母版文本样式,第二级,第三级,内部机密，未经许可不得扩散,单击此处编辑母版标题样式,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,Huawei Technologies Co.,LTD.,信息安全国际标准培训,华 为 技 术 有 限 公 司,刘新娜 CISSP/CISA/CCIE,提纲,信息安全标准概述,安全标准组织,安全标准分类,安全管理标准（ISO17799）,安全技术标准,安全产品标准（CC）,安全工程标准（SSE-CMM）,安全方法论,安全资格认证（CISSP/CISA）,什么是信息安全？,保密性,完整性,可用性,CONFIDENTIALATY,INTEGRITY,AVAILABILITY,什么是标准？,标准：,标准是对重复性事物和概念所做的统一规定。它以科学、技术和实践的综合成果为基础，经有关方面协商一致，由主管部门批准，以特定的方式发布，作为共同遵守的准则和依据。,强制性标准：保障人体健康、人身、财产安全的标准和法律、行政法规规定强制执行的标准；其它标准是推荐性标准。,无规矩不成方圆,无规矩不成方圆!,提纲,信息安全标准概述,安全标准组织,安全标准分类,安全管理标准（ISO17799）,安全技术标准,安全产品标准（CC）,安全工程标准（SSE-CMM）,安全方法论,安全资格认证（CISSP/CISA）,标准的来源,政府组织,NIST-National Institute of Standards and Technology,NSA-National Security Agency,GAO- General Accounting Office,BSI- British Standard Institution,标准化组织,ISO/IEC JTC1 SC27,ANSI -American National Standards Institute,专业组织/行业联盟,IEEE,IETF,W3C,ISSA-Information Systems Security Association,ITAA-Information Technology Association Of America),大学,ISO，国际标准化组织,ISO是,International Organization for Standardization的简称,国际最大的标准化组织机构,与IEC联合成立的JTC1/SC27 负责通用信息技术安全标准的制定,ISO/TC68 负责银行和金融服务业务应用范围内信息安全标准的制定,已发布的其他行业的重要标准,ISO 9001,ISO 14001,IEC，国际电工委员会,IEC是,International Electrotechnical Commission的简称,世界上最早的国际性电工标准化机构,负责有关电工、电子领域的国际标准化工作,在信息安全技术标准化方面，同ISO联合成立JTC1,在电磁兼容EMC等方面成立技术委员会，制定相关国际标准,ISO/IEC JTC1/SC27, JTC1(Joint Technical Committee 1)是ISO 及IEC的联合技术委员会, SC27 小组专门负责安全技术标准的制定、审核, 已发布的部分标准,ISO/IEC 18033 加密机制,ISO/IEC 9796,14888.15964 数字签名,ISO/IEC TR 13335 GMITS,ISO/IEC 15408 Evaluation criteria for IT Security,ISO/IEC 17799 Code of Practice for Information Security Management,ISO/IEC 21287 SSE-CMM,NIST，国家标准技术协会,NIST是美国National Institute of Standards and Technology的简称,已发布的部分文献,FIPS（Federal Information Processing Standards Publications ）,FIPS PUB 140-2,Security Requirements for Cryptographic Modules,FIPS PUB 180-1,Secure Hash Standard,FIPS PUB 197,Advanced Encryption Standard,SP（Special Publications 800 series 是关于计算机安全的文献）,SP 800-12,Computer Security Handbook,SP 800-30,Risk Management Guide for IT Systems,SP 800-44,Guidelines on Securing Public Web Servers,其他组织,ANSI，美国国家标准协会,80年代初开始数据加密标准化工作,制定了三个通用的国家标准,ANSI X.9系列财务服务安全标准,ITU-T，国际电讯联盟,前身是CCITT，单独或于ISO合作开发诸如消息处理系统、目录系统（X.400系列、X.500系列）和安全框架、安全模型等标准,ITU-T X.509 The Directory: Authentication Framework,其他组织,IEEE - 电气电子工程师协会,在信息安全方面主要是提出了LAN/WAN安全方面的标准和公钥密码标准,IETF - Internet工程任务组,主要提出Internet标准草案和成为RFC的协议文稿，内容广泛，也包括安全方面的建议稿，经过网上讨论修改，被大家广泛接受就成了的事实上的标准标准,提纲,概述,安全标准组织,安全标准分类,安全管理标准（ISO17799）,安全技术标准,安全产品标准（CC）,安全工程标准（SSE-CMM）,安全方法论,安全资格认证（CISSP/CISA）,安全标准的类型,安全管理框架,安全技术标准,安全方法论,产品的安全性保证,安全工程标准,安全的资格认证,提纲,概述,安全标准组织,安全标准分类,安全管理标准（ISO17799）,安全技术标准,安全产品标准（CC）,安全工程标准（SSE-CMM）,安全方法论,安全资格认证（CISSP/CISA）,安全管理框架,OSI ISO 7498-2 /10181,开放系统互连第二部分 安全体系结构，10181是7498-2的后续标准，分部分描述5类安全服务的实现,GMITS, Guidelines for the Management of IT Security,ISO/IEC 13335 Guidelines for the Management of IT Security,提供IT安全管理的指导,BS 7799 AS/NZS 4444 ISO/IEC 17799,信息安全管理的即成标准,提供企业开发、实施、评估有效安全建设的框架,ISF SOGP,Information Security Forum (ISF), 信息安全优秀实践标准（Standard of Good Practice for Information Security, 1998 ）,BS 7799介绍,BS 7799 AS/NZS 4444 ISO/IEC 17799,信息安全管理的即成标准,提供企业开发、实施、评估有效安全建设的框架,BS 7799 包括两部分,第一部分: 提供安全管理的最佳实践，等同于 ISO/IEC 17799:2000,提供10个领域的127项安全措施,整套的基于业界经验的安全性最佳实践的指导,第二部分ISMS规范 Specification for ISMS (Information Security Management Systems),提供依据第一部分进行内部审计、外部认证的流程体系,什么是ISO17799/ BS7799？,关注于安全管理的框架和指导,提供了10个方面36个安全目标，127项安全控制措施，建立了Best Practice指引；,广泛应用于在政府、企业、金融、电信等行业，应用最广泛的安全标准,1993 1995,Department of Trade and Industry (UK) 建立工作组进行信息系统安全研究,1995,BS7799正式发布,1998,BS7799: PART 2,ISMS 发布,1999,BS7799：1999发布,ISO/IEC 17799: 2000,17799的十个方面,Security,Policy,安全策略,Security,Organization,组织安全,Personnel,Security,人员安全,Asset,Classification,and Control,资产分类,与控制,Physical and,Environmental,Security,物理与环境,安全,Communications,& Operations,Management,通信与运作,管理,Business,Continuity,Planning,业务持续性,管理,System,Development,and,Maintenance,系统开发,与维护,Access,Control,访问控制,Compliance,符合性,ISO17799 的文档结构,分为10个领域的安全实践建议分为36个子项，共127项安全控制措施,安全方针（1）,组织安全（3）,资产分类与控制（2）,人员安全（3）,物理与环境安全（3）,通信与操作安全（7）,访问控制（8）,系统开发与维护（5）,业务持续计划（1）,依从（3）,安全策略,控制目标:信息安全策略,为信息安全提供管理指导和支持,控制措施:,信息安全策略文件,复查和审查,组织安全,控制目标一: 信息安全基础设施,管理组织内部的信息安全,控制目标二: 第三方访问安全,维护被第三方访问的基础设施和信息资产的安全,控制目标三: 外包,当IT外包给其他组织负责时,维护信息的安全,资产分类与控制,控制目标一: 资产责任,保证对组织资产做适当的保护,控制目标二: 信息分类,确保信息资产得到适当级别的保护,人员安全,控制目标一: 岗位安全责任和人员录用要求,控制目标二: 用户培训,控制目标三: 对安全事件和故障的响应,物理与环境安全,控制目标一: 安全区域,防止非授权访问,控制目标二: 设备安全,防止资产的丢失,破坏和损坏; 防止业务活动被中断,控制目标三: 一般性控制,防止危害或窃取信息及设施,通信和操作安全,控制目标一: 操作流程和责任,控制目标二: 系统规划和验收,控制目标三: 防范恶意软件,控制目标四: 内务管理(备份,日志),控制目标五: 网络管理,控制目标六: 介质处理及安全,控制目标七: 信息和软件的交换,访问控制,控制目标一: 访问控制的业务需求,控制目标二: 用户访问管理,控制目标三: 用户责任,控制目标四: 网络访问控制,控制目标五: 操作系统访问控制,控制目标六: 应用系统访问控制,控制目标七: 监视系统访问和使用,控制目标八: 移动计算和通信,系统开发和维护,控制目标一: 系统的安全需求,控制目标二: 应用系统的安全,控制目标三: 密码控制,控制目标四: 系统文件的安全,控制目标五: 开发和支持过程的安全,业务连续性管理,控制目标: 业务连续性管理的各个方面,控制措施,业务连续性管理过程,业务连续性和影响分析,编写并实施连续性计划,业务连续性计划框架,测试,维护和复审业务连续性计划,符合性,控制目标一: 符合法律要求,控制目标二: 对安全策略和技术的评审,控制目标三: 系统审核的考虑,BS7799 第2部分,BS 7799 PART 2 是一个规范。使用该规范对组织的信息安全管理体系进行审核与认证。通过使用该规范能使组织建立,信息安全管理体系,（ISMS）。该规范提供以下内容,建立信息安全管理体系（ISMS）指导,成功实施信息安全的关键因素,PDCA (Plan-do-check-act)模型,持续性改进,改进安全管理,评估业务变化、新技术、新威胁对安全管理流程的影响,Plan,ISMS的确立,Do,ISMS的运用,Check,ISMS的监控,Act,ISMS的改善,PDCA,模型,什么是ISO-7498-2,信息处理系统 开放系统互连 基本参考模型 第2部分: 安全体系结构Information processing system-Open Systems Interconnection-Basic Reference Model -Part2: Security architecture,提供安全服务与有关机制的一般描述, 这些服务与机制可以为GB938788/ISO7498-1参考模型所配备。确定在参考模型内部可以提供这些服务与机制的位置,已被接受为国标,GB/T 9387.21995,五种安全服务,认证,对等实体认证,数据原发认证,访问控制,数据机密性,连接机密性,无连接机密性,选择字段机密性,通信业务流机密性,数据完整性,带恢复的连接完整性,不带恢复的连接完整性,选择字段的连接完整性,无连接完整性,选择字段无连接完整性,抗抵赖,有数据原发证明的抗抵赖,有交付证明的抗抵赖,八种安全机制,特定的安全机制用来实现以上安全服务,加密,数字签名机制,访问控制机制,数据完整性机制,认证交换机制,通信业务填充机制,提供各种不同级别的保护, 抵抗通信业务分析,路由选择控制机制,公证机制,服务与机制的关系,机,制,服,务,加密,数字签名,访问控制,数据完整性,认证交换,通信业务填充,路由控制,公证,对等实体认证,数据原发认证,访问控制服务,连接机密性,无连接机密性,选择字段机密性,通信业务流机密性,带恢复的连接完整性,不带恢复的连接完整性,选择字段连接完整性,无连接完整性,选择字段无连接完整性,抗抵赖, 带数据原发证据,抗抵赖, 带交付接收证据,服务应用与OSI层的关系,OSI,层,服,务,物理层,链路层,网络层,传输层,会话层,表示层,应用层,对等实体认证,数据原发认证,访问控制服务,连接机密性,无连接机密性,选择字段机密性,通信业务流机密性,带恢复的连接完整性,不带恢复的连接完整性,选择字段连接完整性,无连接完整性,选择字段无连接完整性,抗抵赖, 带数据原发证据,抗抵赖, 带交付证据,安全管理,安全管理信息库(SMIB)是一个概念上的集存地, 存储开放系统所需的与 安全有关的全部信息。这一概念对信息的存储形式与实施方式不提出要求。SMIB能有多种实现办法, 例如: a)数据表; b)文卷; c)嵌入实开放系统 软件或硬件中的数据或规则。,OSI安全管理的分类 ：,系统安全管理,涉及总的OSI环境安全方面的管理；例：总体安全策略的管理、与别的OSI管理功能的相互作用、与安全服务管理和安全机制管理的交互作用、事件处理管理、安全审计管理、安全恢复管理,安全服务管理,涉及特定安全服务的管理；例：指定特定服务的保护目标、指定与维护特定的安全机制、安全机制协商(本地的与远程的)、调用特定的安全机制、与别的安全服务和安全机制的交互作用,安全机制管理,涉及的是特定安全机制的管理。例：密钥管理、加密管理、数字签名管理、访问控制管理等等,OSI管理本身的安全,所有OSI管理功能和信息自身的安全 。这一类安全管理将借助OSI安全服务与机制以确保OSI管理协议与信息获得足够的保护。,作为,ISO 7498-2的后续标准，1988年开始建立ISO/IEC 10181,ISO/IEC 10181 (,Security frameworks for open systems,),有七个部分,第,2-6,部分对应,ISO 7498-2,定义的,5,种服务,Part 1:,概述,Part 2:,认证服务架构,Part 3:,访问控制服务架构,Part 4:,防抵赖服务架构,Part 5:,数据保密服务架构,Part 6:,数据完整服务架构,Part 7:,安全审计、报警架构,ISO/IEC 10181,什么是ISO 13335,ISO/IEC 13335，即IT安全管理指南（Guidelines for the Management of IT Security, GMITS）, 是由ISO/IEC JTC制定的技术报告,ISO/IEC 13335是一个信息安全管理方面的指导性标准,其目的是为有效实施IT安全管理提供建议,ISO 13335(GMITS)的内容,13335-1: IT安全概念和模型,包含了对IT安全和安全管理中一些基本概念和模型的解释,13335-2: IT安全计划和管理,建议性地介绍了IT安全管理和计划的方式和要点,13335-3: IT安全管理技术,描述了风险管理技术、IT安全计划的开发、实施和测试还包括策略审查、事件分析、IT安全教育等后续内容。,13335-4: 安全措施的选择,描述了针对一个组织特定环境和安全需求可以选择的安全措施,不仅仅是技术性措施,13335-5: 网络安全的管理指导,提供了关于网络和通信安全管理的指导性内容,该指南为识别和分析建立网络安全需求时需要考虑的通信相关因素提供支持,也包括对可能的安全措施方面的简要介绍,ISO13335 vs. BS7799,与BS7799相比，ISO/IEC 13335只是一个技术报告和指导性文件，并不是可依据的认证标准,也不像BS7799那样给出一个全面而完整的信息安全管理框架,但13335在信息安全尤其是IT安全的某些具体环节切入较深，对实际的工作具有较好的指导价值，从可实施性上来说要比BS7799好些,另外13335对安全计划、安全策略、控制措施选择的内容的阐述要比BS7799具体很多,总之，作为一个框架、总体要求和目标选择，BS7799是我们信息安全管理体系建设过程中要贯彻的指导方针，而这期间的一些具体的活动则可以参考13335，比如风险评估。,提纲,概述,安全标准组织,安全标准分类,安全管理标准（ISO17799）,安全技术标准,安全产品标准（CC）,安全工程标准（SSE-CMM）,安全方法论,安全资格认证（CISSP/CISA）,PKI,FireWall,LDAP,VPN,IDS,AAA,Scanner,SSO,安全技术标准,Application Protocols, SSL, S-HTTP,Network Protocols, IPSec,Cryptography, RSA, DSA, ECC, DES, AES, SHA-1, PKCS,Vulnerability,CVE,Authentication, Kerberos, RADIUS, SAML, Messaging, S/MIME, OpenPGP, PEM, XMLDSIG, XMLENC, Application Security, CORBA Security, WS-Security,提纲,概述,安全标准组织,安全标准分类,安全管理标准（ISO17799）,安全技术标准,安全产品标准（CC）,安全工程标准（SSE-CMM）,安全方法论,安全资格认证（CISSP/CISA）,产品安全性保证标准,Common Criteria (CC), ISO/IEC 15408,Evaluation criteria for IT Security, 针对产品或组件的保证标准e.g. Firewalls, IDS, OS, 定义了7个 Evaluation Assurance Levels (EAL) 一级最低，七级最高,1996年国际上的六个国家（美、加、英、法、德、荷）联合提出了信息技术安全评价的通用准则（CC）。CC的基础是欧州的ITSEC，美国的包括 TCSEC 在内的新 的联邦评价标准，加拿大的 CTCPEC，以及 国际标准化组织ISO :SC27 WG3 的安全评价标准。,Trusted Computer System Evaluation Criteria （TCSEC）,The Orange Book,分为D/C1/C2/B1/B2/B3/A1七个等级,C2-部分OS有:,VMS,IBM OS/400,Windows NT, Novell,NetWare 4.11,Oracle 7, DG,AOS/VS II.,B1-部分OS有:,HP-UX BLS, Cray Research,Trusted Unicos 8.0, Digital,SEVMS, Harris,CS/SX, SGI,Trusted IRIX,.,B2-部分OS有: Honeywell Multics, Cryptek,VSLAN, Trusted,XENIX,B3-仅有的OS:Getronics/Wang Federal,XTS-300,A1-Boeing,MLS LAN,Gemini Trusted Network Processor, Honeywell SCOMP.,FIPS PUB 140-2, Cryptographic模块的安全要求标准, 定义了4个等级。,美国TCSEC,1970年由美国国防部提出。1985年公布。,主要为军用标准。延用至民用。,安全级别从高到低分为A、B、C、D四级，级下再分小级。,彩虹系列,桔皮书：可信计算机系统评估准则,黄皮书：桔皮书的应用指南,红皮书：可信网络解释,紫皮书：可信数据库解释,美国TCSEC,D:,最小保护,Minimal Protection,C1:,自主安全保护,Discretionary Security Protection,C2:,访问控制保护,Controlled Access Protection,B1:,安全标签保护,Labeled Security Protection,B2:,结构化保护,Structured Protection,B3:,安全域保护,Security Domain,A1:,验证设计保护,Verified Design,低保证系统,高保证系统,CC标准的发展历程,CC驱动因素,CC要实现的目标,成为统一的国际（通用）IT产品和系统安全标准,目前， CC已经成为ISO国际标准（15408）,在不同国家间达成协议，相互承认产品评估,为开发者拓展国际舞台,改善IT安全产品在全世界的可用性,CC的目标读者,消费者 -,具有IT安全功能的产品,购买指南,产品开发者和集成商,- 具有IT安全功能的产品的,开发基础,评估员,- IT安全产品的,评估基础,审核员, 认证人员, 授权人员,- 对他们的,特定应用,给予支持,CC的内容组织,CC定义了两类安全需求,CC的关键概念,评估目标 (TOE),IT产品或系统及其相关的管理指南和用户指南等文档，是评估的对象,保护轮廓 (Protect Profile PP),满足特定消费者需求的、独立于实现的、关于某一类TOE的一组安全要求,（用户提出要求）,安全目标 (Security Target ST),依赖于实现的一组安全要求和说明，作为指定TOE的评估基础,（开发者给出）,用户借助PP定义需求,厂商使用ST对用户需求做出响应,PP、ST和TOE之间的关系,评估保证等级,CC总体结构,安全产品评估框架模型,CC vs. BS7799,都是认证标准，但是对象不同，CC评估的对象是系统和产品，而7799关注的信息安全管理,在依照BS7799标准来实施ISMS时，一些涉及系统和产品安全的技术要求，可以参考CC,提纲,概述,安全标准组织,安全标准分类,安全管理标准（ISO17799）,安全技术标准,安全产品标准（CC）,安全工程标准（SSE-CMM）,安全方法论,安全资格认证（CISSP/CISA）,什么是SSE-CMM,SSE-CMM是系统安全工程能力成熟模型（Systems Security Engineering Capability Maturity Model）的缩写，它描述了一个组织的安全工程过程必须包含的本质特征，这些特征是完善的安全工程保证,为安全工程的应用提供了一个衡量和改进的途径,现代统计过程控制理论表明通过强调生产过程的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品,SSE-CMM项目的目标是促进安全工程成为一个确定的、成熟的和可度量的科目,SSE-CMM项目进展来自于安全工程业界、美国国防部和加拿大通讯安全机构积极参与和共同的投入,1995,成立项目组,1996,SSE-CMMv1正式发布,1997,SSE-CMM评定方法发布,1999,SSE-CMMv2发布,2002 ISO/IEC 21827,2003,SSE-CMMv3发布,SSE-CMM模型结构,Base Practices,Generic,Practices,Process Areas,Process Category,Process Areas,Base Practices,Domain,Common,Features,Generic,Practices,Generic,Practices,Generic,Practices,Generic,Practices,Generic,Practices,Base Practices,Base Practices,Base Practices,Base Practices,Process Areas,Process Areas,CapabilityLevel,Common,Features,Common,Features,Capability,二维结构：Domain, Capability,Domain 包含安全工程中的实践领域，,分为3个主要的Process 类，22个PA，130多项BP,Capability 表示过程管理、衡量及制度化的能力，共分为5级，下面细分为12个Common Features，以及近30个Generic Practices,5级成熟能力,1,2,3,4,5,非正式执行,没有控制,计划并跟踪-引入了计划、跟踪和管理，,周期性的评估执行的效果，并定义了改进过程；,适当定义- 在组织内建立并共享,best,Practices,量化控制-收集量化指标，进行量化管理,持续改进,系统安全工程过程,风险过程,工程过程,保证过程,SSE-CMM与ISO17799的内容比较,SSE-CMM,ISO17799,PA01：管理安全性控制(4BP),Section 5, Personnel Security,Section 6, Communications and operations,Management,Section 8, Systems Development and,Maintenance,PA02：评估影响(6BP),Introduction,PA03：评估风险(6BP),Introduction,PA04：评估威胁(6BP),Introduction,PA05：评估脆弱性(5BP),Introduction,PA06：建立保证论据(5BP),Section 10, Compliance,PA07：协调安全性(4BP),Section 2, Security Organization,Section 6, Communications and operations,Management,PA08：监视安全状态(7BP),Section 10, Compliance,PA09：提供安全性条件(6BP),Section 1, Security Policy,Section 3, Asset Classification and Control,Section 5, Physical and Environmental Security,PA10：特殊的安全性需求(11BP),Section 1, Security Policy,Section 7, Access Control,Section 8, Systems Development and,Maintenance,Section 9, Business Continuity Planning,PA11：确认和证实（5BP）,Section 10, Compliance,提纲,概述,安全标准组织,安全标准分类,安全管理标准（ISO17799）,安全技术标准,安全产品标准（CC）,安全工程标准（SSE-CMM）,安全方法论,安全资格认证（CISSP/CISA）,安全方法论,AS/NZS 4360,澳洲/新西兰风险管理标准,提供建立、实施风险管理过程的指导,NIST SP 800-30,Risk Management Guide for IT Systems,建立、实施风险管理过程的指导,OCTAVE,Operationally Critical Threat, Asset, and Vulnerability Evaluation,由CMU-SEI（,Carnegie Mellon University-Software Engineering Institute）建立的风险评估方法论,提纲,概述,安全标准组织,安全标准分类,安全管理标准（ISO17799）,安全技术标准,安全产品标准（CC）,安全工程标准（SSE-CMM）,安全方法论,安全资格认证（CISSP/CISA）,安全资格认证标准：CISSP,Certified Information Systems Security Professional (CISSP,), 由美国 (ISC)2进行认证管理, 十个 Common Body of Knowledge (CBK), 访问控制Access Control Systems & Methodology, 应用开发Applications & Systems Development, 业务持续性Business Continuity Planning, 加密Cryptography, 法律、道德、调查Law, Investigation & Ethics, 操作安全Operations Security, 物理安全Physical Security, 安全架构及模型Security Architecture & Models, 安全管理实践Security Management Practices, 网络安全Telecommunications, Network & Internet Security,(ISC)2 = International Information Systems Security Certifications Consortium,安全资格认证标准: CISA,Certified Information Systems Auditor (CISA),由 ISACA管理认证,依据Control Objectives for Information and related Technologies (CobiT),考试包括7个内容, IS计划、管理和组织Management, Planning & Organization of IS, 技术结构及操作实践Technical Infrastructure & Operational Practices, 信息资产保护Protection of Information Assets, 灾难恢复及业务持续Disaster Recovery & Business Continuity, 系统开发、实施、管理Business Application System Development, Acquisition, Implementation, & Maintenance, 商业过程评估及风险管理Business Process Evaluation & Risk Management, IS审计IS Audit Process,ISACA = Information Systems Audit and Control Association,安全资格认证标准：CISM,Certified Information Security Manager (CISM),由 ISACA管理认证, 面向安全管理人员, 比CISSP/CISA更早的认证, 包含5项内容,信息安全管辖 Information Security Governance,风险管理 Risk Management, 信息安全程序管理 Information Security Programme Management, 信息安全管理 Information Security Management, 安全响应管理Response Management,ISACA = Information Systems Audit and Control Association,