【正文】 中國銀行業(yè)監(jiān)督管理委員會培訓 信息安全標準 2023年 4月 3日 季瑞華 合伙人 系統(tǒng)和流程管理 169。 2023 普華永道版權所有 2023 年 4 月 提綱 1. 信息安全標準概述 2. 國際標準 – ISO/IEC 系列信息安全標準 3. 國際標準 – COBIT 4. 國內(nèi)標準 －等級保護 5. 安全標準的總結 6. 問題與回答 2 169。 2023 普華永道版權所有 2023 年 4 月 提綱 1. 信息安全標準概述 2. 國際標準 – ISO/IEC 系列信息安全標準 3. 國際標準 – COBIT 4. 國內(nèi)標準 －等級保護 5. 安全標準的總結 6. 問題與回答 3 169。 2023 普華永道版權所有 2023 年 4 月 信息安全標準概述 信息安全的重要性得到廣泛的關注。 與此同時，國際和國內(nèi)的各種官方和科研機構都發(fā)布了大量的安全標準。 這些標準都是為實現(xiàn)安全目標而服務，并從不同的角度對如何保障組織的信息安全提供了指導。 4 169。 2023 普華永道版權所有 2023 年 4 月 信息安全標準的演進 NSEWM o n d a y , M a r c h 3 1 , 2 0 0 8P a g e 1信 息 安 全 國 際 國 內(nèi) 準 則 重 要 里 程 碑1 9 9 5 2 0 0 81 9 9 6 1 9 9 7 1 9 9 8 1 9 9 9 2 0 0 0 2 0 0 1 2 0 0 2 2 0 0 3 2 0 0 4 2 0 0 5 2 0 0 6 2 0 0 7 2 0 0 81 9 9 6C O B I T 第 1 版1 9 9 8C O B I T 第 2 版 I S O 1 3 5 6 9 更 新2 0 0 0C O B I T 第 3 版2 0 0 7C O B I T 4 . 12 0 0 7信 息 安 全等 級 管 理 辦 法T o d a y1 9 9 5B S 7 7 9 92 0 0 0I S O 1 7 7 9 92 0 0 5I S O 2 7 0 0 1/ 0 0 21 9 9 6I S O 1 3 5 6 9 I S O 1 3 3 3 5 第 1 部 分1 9 9 9I S O 1 5 4 0 82 0 0 1I S O 1 3 3 3 5第 5 部 分2 0 0 5C O B I T 4 . 0 I S O 1 7 7 9 9 更 新2 0 0 3關 于 信 息 安 全 等 級保 護 工 作 實 施 意 見2 0 0 3G A I S P 3 . 01 9 9 9S S E C M M 1 . 0 I T I L S e c u r i t y M a n g e m e n t2 0 0 2S S E C M M 3 . 02 0 0 3S t a n d a r d o f G o o d P r a c t i c e f o r I n f o r m a t i o n S e c u r i t y V 32 0 0 6I S O 1 3 3 3 5 第1 2 部 分 更 新2 0 0 4I S O 1 5 4 0 8 更 新1 9 9 5N I S T 8 0 0 1 21 9 9 6N I S T 8 0 0 1 41 9 9 8N I S T 1 . 82 0 0 5N I S T 8 0 0 5 32 0 0 1C r i t e r i a V e r s i o n 2 . 05 169。 2023 普華永道版權所有 2023 年 4 月 主要的信息安全標準－國際標準 發(fā)布的機構 安全標準 1 ISO（國際標準組織） ISO17799/ISO27001/ISO27002 ISO/IEC 15408 ISO/IEC 13335 ISO/TR 13569 2 ISACA（ 信息系統(tǒng)審計與控制學會） COBIT 3 ISSEA（國際系統(tǒng)安全工程協(xié)會） SSECMM Systems Security Engineering Capability Maturity Model 4 ISSA（信息系統(tǒng)安全協(xié)會） GAISP Version 5 ISF (信息安全論壇） The Standard of Good Practice for Information Security 6 IETF （互聯(lián)網(wǎng)工程任務小組） 各種 RFC （ Request for Comments） 6 169。 2023 普華永道版權所有 2023 年 4 月 主要的信息安全標準－國際標準 (續(xù)） 發(fā)布的機構 安全標準 7 NIST（國家標準和技術研究所） NIST 800系列 8 DOD (美國國防部 ) TCSEC（可信計算機系統(tǒng)評測標準）－ 彩虹系列 9 Carnegie Mellon Software Engineering Institute (SEI) Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) Criteria Version 10 OECD（經(jīng)濟與貿(mào)易發(fā)展組織） Guidelines for the Security of Information Systems and Networks and Associated Implementation Plan 11 The Open Group Manager’s Guide to Information Security 12 ITIL Security management 除了上述標準，世界各國的官方機構和行業(yè)監(jiān)管機構還有許多信息安全方面的標準、指引和建議的操作實踐。 7 169。 2023 普華永道版權所有 2023 年 4 月 主要的信息安全標準－國內(nèi)標準 發(fā)布的機構 安全標準 1 全國信息安全標準化技術委員會 等級保護系列標準 ? 信息安全技術 信息系統(tǒng)安全等級保護基本要求 ? 信息安全技術 信息系統(tǒng)安全等級保護定級指南 ? 信息安全技術 信息系統(tǒng)安全等級保護實施指南 其他信息安全標準 － 截至 2023年底，共 完成了國家標準 59項，還有 56項國家標準在研制中。 2 公安部、安全部、國家保密局、國家密碼管理委員會等部門 一系列的信息安全方面的政策法規(guī)如： ? 計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法 ? 互聯(lián)網(wǎng)信息服務管理辦法 ? 計算機信息系統(tǒng)保密管理暫行規(guī)定 ? 計算機軟件保護條例 ? 商用密碼管理條例，等。 8 169。 2023 普華永道版權所有 2023 年 4 月 在下面的課程中，我們會主要介紹以下標準： 1. ISO系列安全標準，包括 ISO17799/ISO27001/ISO27002 ISO/IEC 15408 ISO/IEC 13335 ISO/TR 13569 2. ISACA的 COBIT 3. 全國信息安全標準化技術委員會的等級保護系列標準 9 169。 2023 普華永道版權所有 2023 年 4 月 提綱 1. 信息安全標準概述 2. 國際標準 – ISO/IEC 系列信息安全標準 3. 國際標準 – COBIT 4. 國內(nèi)標準 －等級保護 5. 安全標準的比較 6. 問題與回答 10 169。 2023 普華永道版權所有 2023 年 4 月 國際標準化組織簡介 ? 國際標準化組織 (International Organization for Standardization)是由多國聯(lián)合組成的非政府性國際標準化機構。到目前為止， ISO有正式成員國 120多個，中國是其中之一。 ? 國際標準化組織 1946年成立于瑞士日內(nèi)瓦，負責制定在世界范圍內(nèi)通用的國際標準； ? ISO技術工作是高度分散的，分別由 2700多個技術委員會 (TC)、分技術委員會(SC)和工作組 (WG)承擔。 ? ISO技術工作的成果是正式出版的國際標準，即 ISO標準。 ? ISO在信息安全方面的標準主要包括： ? ISO17799/ISO27001/ISO27002 ? ISO/IEC 15408 ? I