【正文】 源 應(yīng) 用 系 統(tǒng) 基 礎(chǔ) 架 構(gòu) 信 息 信 息 處 理 要 求 信息技術(shù)流程 31 169。 ? 2023年：發(fā)布 COBIT ，為目前最新版本。 ? 1996年： COBIT指導(dǎo)委員會公布 COBIT第一版。 ? COBIT的主要目的是研究、發(fā)展、宣傳權(quán)威的、最新的國際化的公認(rèn)信息技術(shù)控制目標(biāo)以供企業(yè)經(jīng)理、 IT專業(yè)人員和審計專業(yè)人員日常使用。 2023 普華永道版權(quán)所有 2023 年 4 月 ISO/IEC 13569的主要內(nèi)容 ISO/IEC 13569是針對金融行業(yè)的信息安全標(biāo)準(zhǔn)，包括以下主要內(nèi)容： ? 組織的 IT安全政策 ? IT安全管理 ? 風(fēng)險分析和評估 ? 安全保護(hù)的實施和選擇 ? IT系統(tǒng)保護(hù) ? 金融服務(wù)行業(yè)專題，包括如銀行卡、電子資金傳輸(Electronic Fund Transfer)、支票、電子商務(wù)等內(nèi)容； ? 另外，還包括如加密、審計、事件管理等專項討論。它包括了對制度，組織結(jié)構(gòu)和法律法規(guī)等內(nèi)容的討論。 其中第一部分分別于 1997年和 2023年發(fā)布了更新版本。 ? 第二部分：安全管理和規(guī)劃 （ Part 2—Managing and Planning IT Security），發(fā)布于 1997年 12月 15日。 21 169。 安全認(rèn)知類別 ，共 8個，分別為配置管理、遞交和操作、開發(fā)、指南文檔、生存期支持、測試、脆弱性評估、認(rèn)證維護(hù)。 ISO/IEC 15408還討論了某些故障、錯誤和異常的安全保護(hù)問題。該準(zhǔn)則關(guān)注于評估對象的安全功能，安全功能執(zhí)行的是安全策略。 2023 普華永道版權(quán)所有 2023 年 4 月 ISO/IEC 15408的內(nèi)容 ISO/IEC 15408由以下三部分組成： 第一部分：介紹和一般模型 第二部分：安全功能需求 第三部分：安全認(rèn)證需求 ISO/IEC 15408準(zhǔn)則比以往的其他信息技術(shù)安全評估標(biāo)準(zhǔn)更加規(guī)范，采用以下方式定義： 類別（ CLASS）； 認(rèn)證族（ ASSURANCE FAMILY）； 認(rèn)證部件（ ASSURANCE COMPONENT）； 認(rèn)證元素（ ASSURANCE ELEMENT）。 在此基礎(chǔ)上，美國、加拿大、英國、法國等 7國組織聯(lián)合研制了“信息技術(shù)評估安全公共準(zhǔn)則”（ CC： Common Criteria）。 2023 普華永道版權(quán)所有 2023 年 4 月 ISO/IEC 27001/27002:2023 的內(nèi)容 總共 分成 11個領(lǐng)域 、 39個控制目標(biāo) 、 133個控制措施 。 13 169。 ? 第二部分是信息安全管理體系規(guī)范，相當(dāng)于 BS77992。 ? ISO在信息安全方面的標(biāo)準(zhǔn)主要包括： ? ISO17799/ISO27001/ISO27002 ? ISO/IEC 15408 ? ISO/IEC 13335 ? ISO/TR 13569 11 169。 2023 普華永道版權(quán)所有 2023 年 4 月 國際標(biāo)準(zhǔn)化組織簡介 ? 國際標(biāo)準(zhǔn)化組織 (International Organization for Standardization)是由多國聯(lián)合組成的非政府性國際標(biāo)準(zhǔn)化機(jī)構(gòu)。 2 公安部、安全部、國家保密局、國家密碼管理委員會等部門 一系列的信息安全方面的政策法規(guī)如： ? 計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法 ? 互聯(lián)網(wǎng)信息服務(wù)管理辦法 ? 計算機(jī)信息系統(tǒng)保密管理暫行規(guī)定 ? 計算機(jī)軟件保護(hù)條例 ? 商用密碼管理條例，等。 2023 普華永道版權(quán)所有 2023 年 4 月 主要的信息安全標(biāo)準(zhǔn)－國際標(biāo)準(zhǔn) 發(fā)布的機(jī)構(gòu) 安全標(biāo)準(zhǔn) 1 ISO（國際標(biāo)準(zhǔn)組織） ISO17799/ISO27001/ISO27002 ISO/IEC 15408 ISO/IEC 13335 ISO/TR 13569 2 ISACA（ 信息系統(tǒng)審計與控制學(xué)會） COBIT 3 ISSEA（國際系統(tǒng)安全工程協(xié)會） SSECMM Systems Security Engineering Capability Maturity Model 4 ISSA（信息系統(tǒng)安全協(xié)會） GAISP Version 5 ISF (信息安全論壇） The Standard of Good Practice for Information Security 6 IETF （互聯(lián)網(wǎng)工程任務(wù)小組） 各種 RFC （ Request for Comments） 6 169。 與此同時，國際和國內(nèi)的各種官方和科研機(jī)構(gòu)都發(fā)布了大量的安全標(biāo)準(zhǔn)。中國銀行業(yè)監(jiān)督管理委員會培訓(xùn) 信息安全標(biāo)準(zhǔn) 2023年 4月 3日 季瑞華 合伙人 系統(tǒng)和流程管理 169。 2023 普華永道版權(quán)所有 2023 年 4 月 信息安全標(biāo)準(zhǔn)概述 信息安全的重要性得到廣泛的關(guān)注。 2023 普華永道版權(quán)所有 2023 年 4 月 信息安全標(biāo)準(zhǔn)的演進(jìn) NSEWM o n d a y , M a r c h 3 1 , 2 0 0 8P a g e 1信 息 安 全 國 際 國 內(nèi) 準(zhǔn) 則 重 要 里 程 碑1 9 9 5 2 0 0 81 9 9 6 1 9 9 7 1 9 9 8 1 9 9 9 2 0 0 0 2 0 0 1 2 0 0 2 2 0 0 3 2 0 0 4 2 0 0 5 2 0 0 6 2 0 0 7 2 0 0 81 9 9 6C O B I T 第 1 版1 9 9 8C O B I T 第 2 版 I S O 1 3 5 6 9 更 新2 0 0 0C O B I T 第 3 版2 0 0 7C O B I T 4 . 12 0 0 7信 息 安 全等 級 管 理 辦 法T o d a y1 9 9 5B S 7 7 9 92 0 0 0I S O 1 7 7 9 92 0 0 5I S O 2 7 0 0 1/ 0 0 21 9 9 6I S O 1 3 5 6 9 I S O 1 3 3 3 5 第 1 部 分1 9 9 9I S O 1 5 4 0 82 0 0 1I S O 1 3 3 3 5第 5 部 分2 0 0 5C O B I T 4 . 0 I S O 1 7 7 9 9 更 新2 0 0 3關(guān) 于 信 息 安 全 等 級保 護(hù) 工 作 實 施 意 見2 0 0 3G A I S P 3 . 01 9 9 9S S E C M M 1 . 0 I T I L S e c u r i t y M a n g e m e n t2 0 0 2S S E C M M 3 . 02 0 0 3S t a n d a r d o f G o o d P r a c t i c e f o r I n f o r m a t i o n S e c u r i t y V 32 0 0 6I S O 1 3 3 3 5 第1 2 部 分 更 新2 0 0 4I S O 1 5 4 0 8 更 新1 9 9 5N I S T 8 0 0 1 21 9 9 6N I S T 8 0 0 1 41 9 9 8N I S T 1 . 82 0 0 5N I S T 8 0 0 5 32 0 0 1C r i t e r i a V e r s i o n 2 . 05 169。 2023 普華永道版權(quán)所有 2023 年 4 月 主要的信息安全標(biāo)準(zhǔn)－國內(nèi)標(biāo)準(zhǔn) 發(fā)布的機(jī)構(gòu) 安全標(biāo)準(zhǔn) 1 全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會 等級保護(hù)系列標(biāo)準(zhǔn) ? 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求 ? 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)定級指南 ? 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)實施指南 其他信息安全標(biāo)準(zhǔn) － 截至 2023年底，共 完成了國家標(biāo)準(zhǔn) 59項，還有 56項國家標(biāo)準(zhǔn)在研制中。 2023 普華永道版權(quán)所有 2023 年 4 月 提綱 1. 信息安全標(biāo)準(zhǔn)概述 2. 國際標(biāo)準(zhǔn) – ISO/IEC 系列信息安全標(biāo)準(zhǔn) 3. 國際標(biāo)準(zhǔn) – COBIT 4. 國內(nèi)標(biāo)準(zhǔn) －等級保護(hù) 5. 安全標(biāo)準(zhǔn)的比較 6. 問題與回答 10 169。 ? ISO技術(shù)工作的成果是