【正文】 我國現(xiàn)行法律法規(guī)中，與信息安全有關(guān)的已有近百部 ? 涉及網(wǎng)絡(luò)與信息系統(tǒng)安全、信息內(nèi)容安全、信息安全系統(tǒng)與產(chǎn)品、保密及密碼管理、計(jì)算機(jī)病毒與危害性程序防治、金融等特定領(lǐng)域的信息安全、信息安全犯罪制裁等多個(gè)領(lǐng)域，初步形成了我國信息安全的法律體系。 ? 每個(gè)組織部門（如企事業(yè)單位、公司等）都有信息安全規(guī)章制度，有關(guān)人員嚴(yán)格遵守這些規(guī)章制度對于一個(gè)組織部門的信息安全來說十分重要，而 完善的規(guī)章制度 和 建全的監(jiān)管機(jī)制 更是必不可少。 ? 互操作標(biāo)準(zhǔn) ：非標(biāo)準(zhǔn)組織研發(fā)的算法和協(xié)議經(jīng)過自發(fā)的選擇過程，成為了所謂的事實(shí)標(biāo)準(zhǔn)，如 AES、 RSA、 SSL以及 CVE等。 ? 作為風(fēng)險(xiǎn)管理的基礎(chǔ)，風(fēng)險(xiǎn)評估是組織確定信息安全需求的一個(gè)重要手段。 ? ISMS應(yīng)該體現(xiàn) 預(yù)防控制 為主的思想，強(qiáng)調(diào)遵守國家有關(guān)信息安全的法律法規(guī)，強(qiáng)調(diào)全過程的動(dòng)態(tài)調(diào)整，從而確保整個(gè)安全體系在有效管理控制下，不斷改進(jìn)完善以適應(yīng)新的安全需求。 規(guī)劃 ：通過風(fēng)險(xiǎn)評估了解安全需求，根據(jù)需求制定解決方案。 ? 安全需求 可以分為 安全技術(shù)需求 和 安全管理需求兩個(gè)方面。 ? 管理在信息安全中的重要性高于安全技術(shù)層面，“ 三分技術(shù)，七分管理 ”的理念在業(yè)界中已經(jīng)得到共識。 實(shí)施 ：具體運(yùn)作，實(shí)現(xiàn)計(jì)劃中的內(nèi)容 檢查 ：監(jiān)視評審解決方案的有效性，發(fā)現(xiàn)問題在下一個(gè)階段予以解決。 ? 在信息安全管理體系的各環(huán)節(jié)中，安全需求是 前提 ，運(yùn)作實(shí)施、監(jiān)視評審和維護(hù)改進(jìn)是 重要步驟 ，而可管理的信息安全是 最終的目標(biāo) 。 ? 風(fēng)險(xiǎn)評估管理： 在信息安全管理體系的各環(huán)節(jié)中，合理地利用風(fēng)險(xiǎn)評估技術(shù)對信息系統(tǒng)及資產(chǎn)進(jìn)行安全性分析及風(fēng)險(xiǎn)管理，為規(guī)劃設(shè)計(jì)完善信息安全解決方案提供基礎(chǔ)資料，屬于信息安全管理體系的 規(guī)劃環(huán)節(jié) 。 ? 技術(shù)與工程標(biāo)準(zhǔn) ：由標(biāo)準(zhǔn)化組織制定的用于規(guī)范信息安全產(chǎn)品、技術(shù)和工程的標(biāo)準(zhǔn)，如信息產(chǎn)品通用評測準(zhǔn)則、安全系統(tǒng)工程能力成熟度模型等。 ? 除了有關(guān)的組織部門自己制定的相關(guān)規(guī)章制度之外，國家的有關(guān)信息安全法律法規(guī)更是有關(guān)人員需要遵守的。 道德規(guī)范 ? 道德規(guī)范也是信息領(lǐng)域從業(yè)人員及廣大用戶應(yīng)該遵守的。 ? 其核心內(nèi)容包括 風(fēng)險(xiǎn)評估 和 風(fēng)險(xiǎn)控制 兩個(gè)部分。 ? 威脅： 主要指可能導(dǎo)致資產(chǎn)或組織受到損害的安全事件的潛在因素。 )()(),( iiiiii TFTPVTAR ??)()(),(11iniinii TFTPVTARR ??? ????總因?yàn)榇嬖谕{ Ti而使資產(chǎn) Ai具有的風(fēng)險(xiǎn)， Ti為針對資產(chǎn) Ai的脆弱性 Vi的威脅 威脅 Ti發(fā)生的概率 威脅 Ti發(fā)生時(shí)的破壞程度 風(fēng)險(xiǎn)評估的任務(wù) ① 識別組織面臨的各種風(fēng)險(xiǎn)，了解總體的安全狀況； ② 分析計(jì)算風(fēng)險(xiǎn)概率，預(yù)估可能帶來的負(fù)面影響； ③ 評價(jià)組織承受風(fēng)險(xiǎn)的能力，確定各項(xiàng)安全建設(shè)的優(yōu)先等級； ④ 推薦風(fēng)險(xiǎn)控制策略，為安全需求提供依據(jù)。 ? 選擇安全基線 ? 基線評估（ Baseline Assessment） : 基本風(fēng)險(xiǎn)評估 ?優(yōu)點(diǎn) ： ? 需要的資源少、周期短、操作簡單，是經(jīng)濟(jì)有效的風(fēng)險(xiǎn)評估途徑。 詳細(xì)評估 Detailed Assessment ? 指組織對信息資產(chǎn)進(jìn)行 詳細(xì)識別和評價(jià) ，對可能引起風(fēng)險(xiǎn)的威脅和脆弱性進(jìn)行 充分地評估 ，根據(jù)全面系統(tǒng)的風(fēng)險(xiǎn)評估結(jié)果來確定安全需求及控制方案。 風(fēng)險(xiǎn)評估的輸出結(jié)果 ? 資產(chǎn)識別表 ? 反映了資產(chǎn)名稱、描述范圍、重要性程度、部門、所屬業(yè)務(wù)流程等 風(fēng)險(xiǎn)評估的輸出結(jié)果 ? 重要資產(chǎn)列表 ? 反映了資產(chǎn)名稱、描述范圍、機(jī)密性、可用性、完整性評分等級、資產(chǎn)與信息安全系數(shù)關(guān)系、所屬業(yè)務(wù)流程 風(fēng)險(xiǎn)評估的輸出結(jié)果 ? 威脅列表 ? 反映了資產(chǎn)名稱、面臨的威脅類、具體可能的威脅 ? 脆弱性識別表 ? 反映了脆弱性分類、脆弱性詳細(xì)描述、嚴(yán)重程度、與威脅的對應(yīng)關(guān)系、可能影響的資產(chǎn) 風(fēng)險(xiǎn)評估的輸出結(jié)果 ? 資產(chǎn)風(fēng)險(xiǎn)表 ? 反映了資產(chǎn)名稱、面臨的威脅、可能被威脅利用的脆弱性、威脅發(fā)生的可能性、威脅的影響程度 ? 風(fēng)險(xiǎn)處理計(jì)劃 ? 反映了資產(chǎn)名稱、威脅 /薄弱點(diǎn)、風(fēng)險(xiǎn)系數(shù)、處理措施、優(yōu)先處理等級等 風(fēng)險(xiǎn)控制 ? 風(fēng)險(xiǎn)控制是信息安全風(fēng)險(xiǎn)管理在風(fēng)險(xiǎn)評估完成之后的另一項(xiàng)重要工作 ? 風(fēng)險(xiǎn)控制任務(wù) ：對風(fēng)險(xiǎn)評估結(jié)論及建議中的各項(xiàng)安全措施進(jìn)行分析評估，確定優(yōu)先級以及具體實(shí)施的步驟。 ? 風(fēng)險(xiǎn)轉(zhuǎn)移 是指通過使用其它措施來補(bǔ)償損失，從而轉(zhuǎn)移風(fēng)險(xiǎn)，如購買保險(xiǎn)等。 ? 互操作標(biāo)準(zhǔn) 多數(shù)為所謂的 “ 事實(shí)標(biāo)準(zhǔn) ” ，這些標(biāo)準(zhǔn)對信息安全領(lǐng)域的發(fā)展同樣做出了巨大的貢獻(xiàn)，如 RSA、 DES、CVE等標(biāo)準(zhǔn)。 ? 第 1部分 “ 簡介和一般模型 ” ，介紹 CC中的有關(guān)術(shù)語、基本概念和一般模型以及與評估有關(guān)的一些框架，附錄部分主要介紹 “ 保護(hù)輪廓 ” 和 “ 安全目標(biāo) ” 的基本內(nèi)容； ? 第 2部分 “ 安全功能要求 ” ，這部分以 “ 類、子類、組件 ” 的方式提出安全功能要求，對每一個(gè) “ 類 ” 的具體描述除正文之外，在提示性附錄中還有進(jìn)一步的解釋； ? 第 3部分 “ 安全保證要求 ” ，定義了評估保證級別，介紹了 “ 保護(hù)輪廓 ” 和 “ 安全目標(biāo) ” 的評估，并同樣 以“類、子類、組件”的方式提出安全保證要求。 構(gòu)造管理類 發(fā)行與使用類 開發(fā)類 指南文檔類 生命周期支持類 測試類 脆弱性評估類 需求定義的用法 ? 安全需求定義中的“類、族、組件”體現(xiàn)的是分類方法，安全需求由組件體現(xiàn)，選擇需求組件等同選擇安全需求。 安全產(chǎn)品的開發(fā) ? CC標(biāo)準(zhǔn)體現(xiàn)了軟件工程與安全工程相結(jié)合思想。有時(shí)前面階段的工作也需要根據(jù)后面階段工作的反饋內(nèi)容進(jìn)行完善拓展，形成循環(huán)往復(fù)的過程。 ? 最后一項(xiàng)安全產(chǎn)品評價(jià)的目的是要證明被評價(jià)的安全產(chǎn)品能夠滿足安全保證的安全需求。 信息安全管理實(shí)施細(xì)則 11個(gè)方面定義 ? 在 BS 77991《 信息安全管理實(shí)施細(xì)則 》 中，從 11個(gè)方面定義了 133項(xiàng)控制措施， ? 這 11個(gè)方面分別是： ?安全策略 ?組織信息安全 ?資產(chǎn)管理 ?人力資源安全 ?物理和環(huán)境安全 ?通信和操作管理 ?訪問控制 ?信息系統(tǒng)獲取、開發(fā)和維護(hù) ?信息安全事件管理 ?業(yè)務(wù)連續(xù)性管理 ?符合性 建立信息安全管理體系六個(gè)基本步驟 ? 步驟一、 定義信息安全策略 信息安全策略是組織信息安全的最高方針，需要根據(jù)組織內(nèi)各個(gè)部門的實(shí)際情況，分別制訂不同的信息安全策略。 ? 步驟五、