【正文】 EECMM COBIT 人員與組織 ISO/IEC TR13335 ISO TR 13569:1998(E) ISO/IEC 17799:2022(E) SEECMM COBIT ISO/IEC TR13335 ISO TR13569:1998(E) ISO/IEC 17799:2022(E) SEECMM COBIT 信息安全防護結(jié)構(gòu) 相關(guān)標(biāo)準(zhǔn)如何借鑒 標(biāo)準(zhǔn) 目的 方法 范圍 COBIT 定義內(nèi)部控制保障要求 提供審核內(nèi)部控制審核流程 內(nèi)部審核 ISO/IEC TR13335 改善信息安全技術(shù)管理的規(guī)范 用來 達到信息安全服務(wù) 方法的指導(dǎo)文件 安全工程組織 ISO/IEC 15026 軟件 整合性的 規(guī)范 用來 達到與維護軟件 整合性等級方法的指引 整合性 軟件組織 ISO/IEC 15408 信息技術(shù) 安全 評 估的規(guī)范 安全產(chǎn)品與系 統(tǒng)的安全 規(guī)范與評定 方法 安全產(chǎn)品與系統(tǒng)評定組織 ISO/IEC TR15504 軟件 程序的改善 與評定 軟件 程序的改善模式與 評論 方法 軟件工程組織 ISO/IEC 17799 改善 信息 安全管理 的規(guī)范 安全管理品 質(zhì)規(guī)范 的特定要求 信息 安全管理 組織 SECMM 改善 系統(tǒng) 或 產(chǎn)品的 工程程序 系統(tǒng)程序 規(guī)范 的 連續(xù) 性成熟度模式 與評 定方法 系統(tǒng)工程 組織 SSECMM 定義 、改善和 評 定安全工程的能力 持續(xù)性 的安全工程成熟度模式與評 定方法 安全系統(tǒng)工程組織 信息安全防護結(jié)構(gòu) 相關(guān)標(biāo)準(zhǔn)比較 I n t e r n e t服 務(wù) 器 集 群機 構(gòu) A機 構(gòu) B 機 構(gòu) C 機 構(gòu) DV L A N 1 V L A N 2 V L A N 3 V L A N 4信息安全防護結(jié)構(gòu) 案例 :安全域劃分 外 網(wǎng) 服 務(wù) 器 集 群I n t e r n e t服 務(wù) 器 集 群機 構(gòu) A機 構(gòu) B 機 構(gòu) C 機 構(gòu) DV L A N 1 V L A N 2 V L A N 3 V L A N 4信息安全防護結(jié)構(gòu) 案例 :安全域劃分 還存在那些風(fēng)險 ? 1. 2022年 「 華 盛頓 報 」引 用美國聯(lián) 邦官 員 的 話報道 ，涉嫌 911案的恐怖分子使用隱藏在 網(wǎng)絡(luò) 上的訊息，用以 計劃 、 偽裝 並互相 協(xié)調(diào) 他們的 攻擊活動 。 5. 1999年 6月 8日， 美國 宣布 CC 成為 ISO/IEC 15408。 ４ .2 中方被攻破網(wǎng)站：約 1,100個。 3 .「 護 照 」 是 微軟未 來最重要的科技之一 ， 至 關(guān)閉時間為 止 ， 已有 2 , 000, 0 0 0 人註冊使用 ， 而 幾 乎所有 XP的用戶 均無 法使用 到其服務(wù)。強調(diào)信息的保密性、完整性、可控性、可用性 – 主要安全威脅發(fā)展到網(wǎng)絡(luò)入侵、病毒破壞、信息對抗的攻擊等 – 主要保護措施包括防火墻、防病毒軟件、漏洞掃描、入侵檢測、 PKI、VPN、安全管理等 – 主要標(biāo)志是提出了新的安全評估準(zhǔn)則 CC（ ISO 1540 GB/T 18336） 案例分析 入侵技術(shù)交流 １ . 源起： 2022年 4月 1日美國情報偵察機誤闖中國領(lǐng)空與其所導(dǎo)致的殲 八撞機失事、飛行員王偉先生失蹤事件。 3. Solaris 主機入侵 2,000 臺 IIS 主機後，修改 Solaris 主機的 網(wǎng)頁。 信息安全發(fā)展歷程 發(fā)展歷程之間關(guān)系 美國國家安全局 國家標(biāo)準(zhǔn)技術(shù)局 國家認證機構(gòu) 多個 授權(quán)測試實驗室 認證申請者 國家實驗室認可程序 管理 監(jiān)督 指導(dǎo) 評估 結(jié)果 信息安全發(fā)展歷程 美國測評認證體系模式 信息安全發(fā)展歷程 國際互認情況 ? 15408: 通用準(zhǔn)則 (CC) ? 15292: PP注冊程序 ? 15446: PP和 ST生成指南 ? 15443: IT安全保障框架 (FRITSA) ? 18045: 通用評估方法（ CEM) ? 19790: 密碼模塊的安全要求 ? 19791: 運行系統(tǒng)的安全評估 ? 19792: 生物識別技術(shù)的安全測評框架 (SETBIT) ? 21827:2022 系統(tǒng)安全工程 – 能力成熟模型 (SSECMM) 信息安全發(fā)展歷程 測評相關(guān)標(biāo)準(zhǔn) 信息安全發(fā)展歷程 第四階段：信息安全保障 人員安全 安全培訓(xùn)安全意識 安全管理物理安全計算環(huán)境安全運 行人邊界安全災(zāi)難恢復(fù)備份與基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全證書系統(tǒng)監(jiān) 控檢 測安全評估授權(quán)系統(tǒng)技 術(shù)運 行人邊界安全災(zāi)難恢復(fù)備份與基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān) 控檢 測安全評估技 術(shù) “確保信息和信息系統(tǒng)的可用性、完整性、可 認證性、保密性和不可否認性的保護和防范活動。 4. 許多美國及海外的 網(wǎng)絡(luò)從業(yè) 者，包括 美國在線 、微 軟 、雅虎等，已經(jīng)收到 信息 ，要求其交出所謂的「 網(wǎng)絡(luò)隱藏圖文 」的 通訊記錄 。 信息安全防護結(jié)構(gòu) 信息風(fēng)險對策：風(fēng)險管理 信息安全保障 信息安全管理 信息安全保障體系實施 ? 英國模式 ★ BS 7799認證 ? 美國模式 認證與認可 (Camp。隨著信息化應(yīng)用需求的牽引，安全事件的驅(qū)動和信息安全 技術(shù)、信息安全管理概念的發(fā)展深化，他們對信息安 全風(fēng)險評估管理的認識也逐步加深。 信息安全管理 英國模式 信息安全管理 風(fēng)險管理 組織 方針 …… 風(fēng)險評估 風(fēng)險處理 風(fēng)險評價 風(fēng)險分析 信息安全管理 信息安全管理 ? 2022年正式推出 27000系列 ? 初步考慮制定將近 10個標(biāo)準(zhǔn)全面規(guī)范信息安全管理體系 (ISMS) 信息安全管理 ISO SC27 WG1的 ISMS系列 27000 標(biāo)準(zhǔn) 族 27000 ISMS 原則和術(shù)語 信息安全管理 體系 要求 2022 27001 信息安全管理實用 規(guī)則 17799： 2022 （現(xiàn)已改為 27002） 27002 27003 27004 27005 27006 27007 27009 ISMS 實施指南 信息安全 管理度量 信息安全 風(fēng)險管理 信息安全管理 體系認證機構(gòu) 的 認可要求 信息安全管理 ISMS安全管理體系 27000 ?名稱 :IS 27000 – Information security managementsystem fundamentals and vocabulary (NP) ?來源 :整合改寫 13335 ?內(nèi)容 :闡述 ISMS的基本原理和詞匯 27001 ?名稱 :ISO/IEC 27001 – Information security management systems – Requirements(信息安全管理體系要求 ) ?來源 :源于 BS77992 ?內(nèi)容 :提出 ISMS的基本要求 ?狀況 :2022年正式發(fā)布 ? 前 言 ? 引 言 ? 1 范圍 ? 2 規(guī)范性引用文件 ? 3 術(shù)語和定義 ? 4 信息安全管理體系（ ISMS） ? 5 管理職責(zé) ? 6 內(nèi)部 ISMS審核 ? 7 ISMS的管理評審 ? 8 ISMS改進 ? 附 錄 A （規(guī)范性附錄） 控制目標(biāo)和控制措施 ? 附 錄 B （資料性附錄） OECD原則和本標(biāo)準(zhǔn) ? 附 錄 C （資料性附錄） ISO 9001:2022, ISO 14001:2022和 和 本標(biāo)準(zhǔn)之間的對照 信息安全管理 ２７００１結(jié)構(gòu) 組織 受控的 信息安全 P l an 建立 ISMS 建立，維 護 改進循環(huán) 保持與改進ISMS 實施與運行ISMS Do 組織 信息安全 需求與期望 Act 監(jiān)控與評審ISMS Check 信息安全管理 ＰＤＣＡ模型 信息安全管理 控制目標(biāo)與控制措施 １１個域、３９個控制目標(biāo)、１３３個控制措施 DO CHECK ACT PLAN 公司治理 風(fēng)險管理處理 系統(tǒng)控制 內(nèi)部審計功能 ISO/IEC 17799 信息安全管理 與其他體系如何結(jié)合 信息安全管理 ISMS 規(guī)劃階段的工作 信息安全管理 ISMS實施階段的工作 信息安全管理 ISMS檢查階段的工作 信息安全管理 ISMS處置階段的工作 ； ，設(shè)置崗位、配置人員并分配職責(zé)； ； ； ； ； ； 。 信息安全風(fēng)險評估 風(fēng)險評估意義 風(fēng)險三角形 威 脅 資 產(chǎn) 脆 弱 性 ? 風(fēng)險關(guān)鍵要素 資產(chǎn) 威脅 脆弱性 信息安全風(fēng)險評估 風(fēng)險評估基本要素 信息安全風(fēng)險評估 ISO TR 13335的觀點 影響 使命 保障 資產(chǎn)價值 成本 安全需求 被滿足 安全措施 未控制 殘余風(fēng)險 事件 威脅 脆弱性 資產(chǎn) 風(fēng)險 導(dǎo)致 增加 導(dǎo)出 導(dǎo)出 風(fēng)險關(guān)鍵要素關(guān)系圖 防 護 措施 脆 弱性 資產(chǎn) 威脅 威脅 威脅 威脅 風(fēng) 險 資產(chǎn) 威脅 漏洞 資產(chǎn)估價 威脅可能性， 影響 風(fēng)險預(yù)判 風(fēng)險的計算 R=F（ A， T， V） 信息安全風(fēng)險評估 風(fēng)險評估風(fēng)險計算方法 ? 系統(tǒng)邊界 ? 系統(tǒng)功能 ? 系統(tǒng)和數(shù)據(jù)的關(guān)鍵性 ? 系統(tǒng)和數(shù)據(jù)的敏感性 ? 硬件 ? 軟件 ? 系統(tǒng)接口 ? 數(shù)據(jù)和信息 ? 人員 ? 系統(tǒng)使命 ? 系統(tǒng)攻擊歷史 ? 來自情報機構(gòu)的數(shù)據(jù) ? 以前的風(fēng)險評估報告 ? 任何審計意見 ? 安全要求 ? 安全測試結(jié)果 ? 當(dāng)前的控制 ? 規(guī)劃的控制 ? 威脅源的動機 ? 威脅的能力 ? 脆弱性的性質(zhì) ? 當(dāng)前的控制 ? 分析對使命的影響 ? 評估資產(chǎn)的關(guān)鍵性 ? 數(shù)據(jù)關(guān)鍵性 ? 數(shù)據(jù)敏感性 ? 威脅破壞的可能性 ? 影響的程度 ? 規(guī)劃中或當(dāng)前控制的 足夠性 ? 威脅聲明 ? 可能的脆弱性列表 ? 當(dāng)前控制及規(guī)劃控制清單 ? 可能性級別 ? 影響級別 ? 風(fēng)險及相關(guān)風(fēng)險的級別 ? 建議的控制 ? 風(fēng)險評估報告 識別威脅 識別脆弱性 分析安全控制 確定可能性 分析影響 完整性損失 可用性損失 保密性損失 確定風(fēng)險 對安全控制提出建議 記錄評估結(jié)果 描述系統(tǒng)特征 系統(tǒng) 目標(biāo)分析 資產(chǎn)收集調(diào)查 IT設(shè)備 審計 主機系統(tǒng) 審計 網(wǎng)絡(luò)設(shè)備 審計 安全設(shè)備 審計 網(wǎng)絡(luò)架構(gòu) 安全評估 安全風(fēng)險評估報告 安全解決方案 應(yīng)用系統(tǒng) 安全評估 滲透測試 安全掃描 安全管理審計 業(yè)務(wù)連續(xù)性審計 信息安全風(fēng)險評估 風(fēng)險評估工作內(nèi)容 1. 80年代後期，美國國家安全局國家電腦安全中心 (National Computer Security Center)開始推廣穿透測試。 5