【正文】 中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)培訓(xùn) 信息安全標(biāo)準(zhǔn) 2023年 4月 3日 季瑞華 合伙人 系統(tǒng)和流程管理 169。 2023 普華永道版權(quán)所有 2023 年 4 月 提綱 1. 信息安全標(biāo)準(zhǔn)概述 2. 國(guó)際標(biāo)準(zhǔn) – ISO/IEC 系列信息安全標(biāo)準(zhǔn) 3. 國(guó)際標(biāo)準(zhǔn) – COBIT 4. 國(guó)內(nèi)標(biāo)準(zhǔn) －等級(jí)保護(hù) 5. 安全標(biāo)準(zhǔn)的總結(jié) 6. 問題與回答 2 169。 2023 普華永道版權(quán)所有 2023 年 4 月 提綱 1. 信息安全標(biāo)準(zhǔn)概述 2. 國(guó)際標(biāo)準(zhǔn) – ISO/IEC 系列信息安全標(biāo)準(zhǔn) 3. 國(guó)際標(biāo)準(zhǔn) – COBIT 4. 國(guó)內(nèi)標(biāo)準(zhǔn) －等級(jí)保護(hù) 5. 安全標(biāo)準(zhǔn)的總結(jié) 6. 問題與回答 3 169。 2023 普華永道版權(quán)所有 2023 年 4 月 信息安全標(biāo)準(zhǔn)概述 信息安全的重要性得到廣泛的關(guān)注。 與此同時(shí)，國(guó)際和國(guó)內(nèi)的各種官方和科研機(jī)構(gòu)都發(fā)布了大量的安全標(biāo)準(zhǔn)。 這些標(biāo)準(zhǔn)都是為實(shí)現(xiàn)安全目標(biāo)而服務(wù)，并從不同的角度對(duì)如何保障組織的信息安全提供了指導(dǎo)。 4 169。 2023 普華永道版權(quán)所有 2023 年 4 月 信息安全標(biāo)準(zhǔn)的演進(jìn) NSEWM o n d a y , M a r c h 3 1 , 2 0 0 8P a g e 1信 息 安 全 國(guó) 際 國(guó) 內(nèi) 準(zhǔn) 則 重 要 里 程 碑1 9 9 5 2 0 0 81 9 9 6 1 9 9 7 1 9 9 8 1 9 9 9 2 0 0 0 2 0 0 1 2 0 0 2 2 0 0 3 2 0 0 4 2 0 0 5 2 0 0 6 2 0 0 7 2 0 0 81 9 9 6C O B I T 第 1 版1 9 9 8C O B I T 第 2 版 I S O 1 3 5 6 9 更 新2 0 0 0C O B I T 第 3 版2 0 0 7C O B I T 4 . 12 0 0 7信 息 安 全等 級(jí) 管 理 辦 法T o d a y1 9 9 5B S 7 7 9 92 0 0 0I S O 1 7 7 9 92 0 0 5I S O 2 7 0 0 1/ 0 0 21 9 9 6I S O 1 3 5 6 9 I S O 1 3 3 3 5 第 1 部 分1 9 9 9I S O 1 5 4 0 82 0 0 1I S O 1 3 3 3 5第 5 部 分2 0 0 5C O B I T 4 . 0 I S O 1 7 7 9 9 更 新2 0 0 3關(guān) 于 信 息 安 全 等 級(jí)保 護(hù) 工 作 實(shí) 施 意 見2 0 0 3G A I S P 3 . 01 9 9 9S S E C M M 1 . 0 I T I L S e c u r i t y M a n g e m e n t2 0 0 2S S E C M M 3 . 02 0 0 3S t a n d a r d o f G o o d P r a c t i c e f o r I n f o r m a t i o n S e c u r i t y V 32 0 0 6I S O 1 3 3 3 5 第1 2 部 分 更 新2 0 0 4I S O 1 5 4 0 8 更 新1 9 9 5N I S T 8 0 0 1 21 9 9 6N I S T 8 0 0 1 41 9 9 8N I S T 1 . 82 0 0 5N I S T 8 0 0 5 32 0 0 1C r i t e r i a V e r s i o n 2 . 05 169。 2023 普華永道版權(quán)所有 2023 年 4 月 主要的信息安全標(biāo)準(zhǔn)－國(guó)際標(biāo)準(zhǔn) 發(fā)布的機(jī)構(gòu) 安全標(biāo)準(zhǔn) 1 ISO（國(guó)際標(biāo)準(zhǔn)組織） ISO17799/ISO27001/ISO27002 ISO/IEC 15408 ISO/IEC 13335 ISO/TR 13569 2 ISACA（ 信息系統(tǒng)審計(jì)與控制學(xué)會(huì)） COBIT 3 ISSEA（國(guó)際系統(tǒng)安全工程協(xié)會(huì)） SSECMM Systems Security Engineering Capability Maturity Model 4 ISSA（信息系統(tǒng)安全協(xié)會(huì)） GAISP Version 5 ISF (信息安全論壇） The Standard of Good Practice for Information Security 6 IETF （互聯(lián)網(wǎng)工程任務(wù)小組） 各種 RFC （ Request for Comments） 6 169。 2023 普華永道版權(quán)所有 2023 年 4 月 主要的信息安全標(biāo)準(zhǔn)－國(guó)際標(biāo)準(zhǔn) (續(xù)） 發(fā)布的機(jī)構(gòu) 安全標(biāo)準(zhǔn) 7 NIST（國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所） NIST 800系列 8 DOD (美國(guó)國(guó)防部 ) TCSEC（可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)標(biāo)準(zhǔn)）－ 彩虹系列 9 Carnegie Mellon Software Engineering Institute (SEI) Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) Criteria Version 10 OECD（經(jīng)濟(jì)與貿(mào)易發(fā)展組織） Guidelines for the Security of Information Systems and Networks and Associated Implementation Plan 11 The Open Group Manager’s Guide to Information Security 12 ITIL Security management 除了上述標(biāo)準(zhǔn)，世界各國(guó)的官方機(jī)構(gòu)和行業(yè)監(jiān)管機(jī)構(gòu)還有許多信息安全方面的標(biāo)準(zhǔn)、指引和建議的操作實(shí)踐。 7 169。 2023 普華永道版權(quán)所有 2023 年 4 月 主要的信息安全標(biāo)準(zhǔn)－國(guó)內(nèi)標(biāo)準(zhǔn) 發(fā)布的機(jī)構(gòu) 安全標(biāo)準(zhǔn) 1 全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì) 等級(jí)保護(hù)系列標(biāo)準(zhǔn) ? 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求 ? 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南 ? 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南 其他信息安全標(biāo)準(zhǔn) － 截至 2023年底，共 完成了國(guó)家標(biāo)準(zhǔn) 59項(xiàng)，還有 56項(xiàng)國(guó)家標(biāo)準(zhǔn)在研制中。 2 公安部、安全部、國(guó)家保密局、國(guó)家密碼管理委員會(huì)等部門 一系列的信息安全方面的政策法規(guī)如： ? 計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法 ? 互聯(lián)網(wǎng)信息服務(wù)管理辦法 ? 計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定 ? 計(jì)算機(jī)軟件保護(hù)條例 ? 商用密碼管理?xiàng)l例，等。 8 169。 2023 普華永道版權(quán)所有 2023 年 4 月 在下面的課程中，我們會(huì)主要介紹以下標(biāo)準(zhǔn)： 1. ISO系列安全標(biāo)準(zhǔn)，包括 ISO17799/ISO27001/ISO27002 ISO/IEC 15408 ISO/IEC 13335 ISO/TR 13569 2. ISACA的 COBIT 3. 全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)的等級(jí)保護(hù)系列標(biāo)準(zhǔn) 9 169。 2023 普華永道版權(quán)所有 2023 年 4 月 提綱 1. 信息安全標(biāo)準(zhǔn)概述 2. 國(guó)際標(biāo)準(zhǔn) – ISO/IEC 系列信息安全標(biāo)準(zhǔn) 3. 國(guó)際標(biāo)準(zhǔn) – COBIT 4. 國(guó)內(nèi)標(biāo)準(zhǔn) －等級(jí)保護(hù) 5. 安全標(biāo)準(zhǔn)的比較 6. 問題與回答 10 169。 2023 普華永道版權(quán)所有 2023 年 4 月 國(guó)際標(biāo)準(zhǔn)化組織簡(jiǎn)介 ? 國(guó)際標(biāo)準(zhǔn)化組織 (International Organization for Standardization)是由多國(guó)聯(lián)合組成的非政府性國(guó)際標(biāo)準(zhǔn)化機(jī)構(gòu)。到目前為止， ISO有正式成員國(guó) 120多個(gè)，中國(guó)是其中之一。 ? 國(guó)際標(biāo)準(zhǔn)化組織 1946年成立于瑞士日內(nèi)瓦，負(fù)責(zé)制定在世界范圍內(nèi)通用的國(guó)際標(biāo)準(zhǔn)； ? ISO技術(shù)工作是高度分散的，分別由 2700多個(gè)技術(shù)委員會(huì) (TC)、分技術(shù)委員會(huì)(SC)和工作組 (WG)承擔(dān)。 ? ISO技術(shù)工作的成果是正式出版的國(guó)際標(biāo)準(zhǔn)，即 ISO標(biāo)準(zhǔn)。 ? ISO在信息安全方面的標(biāo)準(zhǔn)主要包括： ? ISO17799/ISO27001/ISO27002 ? ISO/IEC 15408 ? I