【正文】 中，風險評估管理、標準規(guī)范管理以及制度法規(guī)管理這三項工作直接影到響整個信息安全管理體系是否能夠有效實行，因此也具有非常重要的地位。 信息安全管理體系 ISMS ? 信息安全管理體系 ISMS（ Information Security Management System）是從管理學慣用的過程模型 PDCA（ Plan、 Do、Check、 Act）發(fā)展演化而來。第 10章 信息安全管理 主要內(nèi)容 概述 信息安全風險管理 信息安全標準 信息安全法律法規(guī)及道德規(guī)范 概述 ? 當今社會已經(jīng)進入到信息化社會，其信息安全是建立在信息社會的基礎設施及信息服務系統(tǒng)之間的互聯(lián)、互通、互操作意義上的安全需求上 。 ISMS ? 信息安全管理體系（ ISMS）是一個系統(tǒng)化、過程化的管理體系，體系的建立不可能一蹴而就，需要全面、系統(tǒng)、科學的風險評估、制度保證和有效監(jiān)督機制。 風險評估 ? 風險評估（ Risk Assessment）是指對信息資產(chǎn)所面臨的威脅、存在的弱點、可能導致的安全事件以及三者綜合作用所帶來的風險進行評估。 ? 國際標準可以分為互操作標準、技術(shù)與工程標準、信息安全管理與控制標準三類。 制度法規(guī)管理 ? 制度法規(guī)管理是指宣傳國家及各部門制定的相關(guān)制度法規(guī)，并監(jiān)督有關(guān)人員是否遵守這些制度法規(guī)。 立法現(xiàn)狀 ? 根據(jù)英國學者巴雷特的歸納，各國對計算機犯罪的立法，主要采取了兩種方案， – 一種是制定計算機犯罪的專項立法，如美國、英國等； – 一種是通過修訂法典，增加規(guī)定有關(guān)計算機犯罪的內(nèi)容，如法國、俄羅斯等。 ? 信息安全道德規(guī)范的基本出發(fā)點 – 是一切個人信息行為必須服從于信息社會的整體利益，即個體利益服從整體利益； – 對于運營商來說，信息網(wǎng)絡的規(guī)劃和運行應以服務于社會成員整體為目的。 – 一般認為，與信息安全風險有關(guān)的因素主要包括威脅、脆弱性、資產(chǎn)、安全控制等。 ? 安全控制（ Security Control）是指用于消除或減低安全風險所采取的某種安全行為，包括措施、程序及機制等。 – 所謂的基線就是在諸多標準規(guī)范中確定的一組安全控制措施或者慣例，這些措施和慣例可以滿足特定環(huán)境下的信息系統(tǒng)的基本安全需求，使信息系統(tǒng)達到一定的安全防護水平。 詳細評估 Detailed Assessment ? 指組織對信息資產(chǎn)進行詳細識別和評價，對可能引起風險的威脅和脆弱性進行充分地評估，根據(jù)全面系統(tǒng)的風險評估結(jié)果來確定安全需求及控制方案。 組合評估 ? 組合評估要求首先對所有的系統(tǒng)進行一次初步的風險評估，依據(jù)各信息資產(chǎn)的實際價值和可能面臨的風險，劃分出不同的評估范圍，對于具有較高重要性的資產(chǎn)部分采取詳細風險評估，而其它部分采用基線風險評估。 ? 風險控制的目標是將安全風險降低到一個可接受的范圍內(nèi)， – 消除所有風險往往是不切實際的，甚至也是近乎不可能的， – 安全管理人員有責任運用最小成本來實現(xiàn)最合適的控制，使?jié)撛诎踩L險對該組織造成的負面影響最小化。 安全風險系統(tǒng)判斷過程 風險控制具體做法 ? 當存在系統(tǒng)脆弱性時，減少或修補系統(tǒng)脆弱性，降低脆弱性被攻擊利用的可能性； ? 當系統(tǒng)脆弱性可利用時，運用層次化保護、結(jié)構(gòu)化設計以及管理控制等手段，防止脆弱性被利用或降低被利用后的危害程度； ? 當攻擊成本小于攻擊可能的獲利時，運用保護措施，通過提高攻擊者成本來降低攻擊者的攻擊動機，如加強訪問控制，限制系統(tǒng)用戶的訪問對象和行為，降低攻擊獲利； ? 當風險預期損失較大時，優(yōu)化系統(tǒng)設計、加強容錯容災以及運用非技術(shù)類保護措施來限制攻擊的范圍，從而將風險降低到可接受范圍。 – 信息安全管理與控制標準的意義在于可以更具體有效地指導信息安全具體實踐，其中 BS 7799就是這類標準的代表，其卓越成績也已得到業(yè)界共識。 ? CVE（ Common Vulnerabilities Exposures） ，即通用漏洞及暴露，是 IDnA（ Intrusion Detection and Assessment）的行業(yè)標準。 CC文檔結(jié)構(gòu) ? CC標準提倡安全工程的思想，通過信息安全產(chǎn)品的開發(fā)、評價、使用全過程的各個環(huán)節(jié)的綜合考慮來確保產(chǎn)品的安全性。首先，對全部安全需求進行分析，根據(jù)不同的側(cè)重點，劃分成若干大組，每個大組就稱為一個類； 安全功能 需求類 （ 共 11項） 安全 保證需求類（共 7項） 安全 審計類 通信類 加密支持類 用戶數(shù)據(jù)保護類 身份識別與認證類 安全管理類 隱私類 安全功能件保護類 資源使用類 安全產(chǎn)品訪問類 可信路徑 /通道類。 – 保護輪廓定義是一份安全需求說明書，是針對某一類安全環(huán)境確立相應的安全目標，進而定義為實現(xiàn)這些安全目標所需要的安全需求，保護輪廓定義的主要內(nèi)容包括定義簡述、產(chǎn)品說明、安全環(huán)境、安全目標、安全需求、應用注釋和理論依據(jù)等。 EAL4 基于方法學的設計 、 測試與審查級 要求按照商業(yè)化開發(fā)慣例實施安全工程思想 ， 提供中高級的獨立安全保證 。 目前只限于可進行形式化分析的安全產(chǎn)品 。 ? 各個階段順序進行，前一個階段的工作結(jié)果是后一個階段的工作基礎。 ? 定義了三種評價類型，分別為安全功能需求評價、安全保證需求評價和安全產(chǎn)品評價 – 第一項評價的目的是證明安全功能需求是完全的、一致的和技術(shù)良好的，能用作可評價的安全產(chǎn)品的需求表示； – 第二項評價的目的是證明安全保證需求是完全的、一致的和技術(shù)良好的，可作為相應安全產(chǎn)品評價的基礎，如果安全保證需求中含有安全功能需求一致性的聲明，還要證明安全保證需求能完全滿足安全功能需求。 – 第二部分 BS77992是《信息安全管理體系規(guī)范》（即ISO/IEC 27001），其中詳細說明了建立、實施和維護信息安全管理體系的要求，可用來指導相關(guān)人員去應用ISO/IEC 17799，其最終目的是建立適合企業(yè)所需的信息安全管理體系。 ? 步驟四、信息安全風險管理 根據(jù)風險評估的結(jié)果進行相應的風險管理。 ? 截止 2023年 11月，國家共發(fā)布有關(guān)信息安全技術(shù)、產(chǎn)品、測評和管理的國家標準 69項（不包括密碼與保密標準）。 ? 第二級 系統(tǒng)審計保護級：與用戶自主保護級相比，本級的計算機信息系統(tǒng)可信計算基實施了粒度更細的自主訪問控制，它通過登錄規(guī)程、審計安全性相關(guān)事件和隔離資源，使用戶對自己的行為負責。訪問監(jiān)控器仲裁主體對客體的全部訪問。 ? 公安部 “所謂計算機犯罪，就是在信息活動領域中，以計算機信息系統(tǒng)或計算機信息知識作為手段，或者針對計算機信息系統(tǒng)，對國家、團體或個人造成危害，依據(jù)法律規(guī)定，應當予以刑罰處罰的行為”。 – 信息竊取 此類犯罪是指未經(jīng)信息所有者同意，擅自秘密竊取或非法使用其信息的犯罪行為。例如一些犯罪分子利用網(wǎng)上購物的無紙化和實物不可見的特點，發(fā)布虛假商品出售信息，在騙取購物者錢財之后便銷聲匿跡，致使許多消費者上當受騙。 信息犯罪的顯著特點 ? 智能化 以計算機及網(wǎng)絡犯罪為例，犯罪者大多是掌握計算機和網(wǎng)絡技術(shù)的專業(yè)人才。 ? 犯罪后果嚴重 信息安全專家普遍認為，信息犯罪危害性的大小，取決于信息資源的社會作用，作用越大，信息犯罪的后果越嚴重。 – 兼容原則是指社會的各主體間的信息活動方式應符合某種公認的規(guī)范和標準，個人的具體行為應該被他人及整個社會所接受，最終實現(xiàn)信息活動的規(guī)范化和信息交流的無障礙化。 美國的計算機協(xié)會（ The Association of Computing Machinery） 的 倫理道德和職業(yè)規(guī)范， ? 為社會和人類做出貢獻； ? 避免傷害他人；