【正文】 ? 是規(guī)劃、建設(shè)、實施及完善信息安全管理體系的基礎(chǔ)和主要目標(biāo)。 ? 管理與安全相關(guān)的變更可能有困難。 CC文檔結(jié)構(gòu) ? CC標(biāo)準(zhǔn)提倡 安全工程 的思想，通過信息安全產(chǎn)品的 開發(fā)、評價、使用 全過程的各個環(huán)節(jié)的綜合考慮來 確保產(chǎn)品的安全性 。 ? 定義了三種評價類型，分別為 安全功能需求評價 、 安全保證需求評價 和 安全產(chǎn)品評價 ? 第一項評價的目的是證明安全功能需求是完全的、一致的和技術(shù)良好的，能用作可評價的安全產(chǎn)品的需求表示； ? 第二項評價的目的是證明安全保證需求是完全的、一致的和技術(shù)良好的，可作為相應(yīng)安全產(chǎn)品評價的基礎(chǔ)，如果安全保證需求中含有安全功能需求一致性的聲明，還要證明安全保證需求能完全滿足安全功能需求。 ? 第二級 系統(tǒng)審計保護(hù)級：與用戶自主保護(hù)級相比，本級的計算機(jī)信息系統(tǒng)可信計算基實施了粒度更細(xì)的自主訪問控制，它通過登錄規(guī)程、審計安全性相關(guān)事件和隔離資源，使用戶對自己的行為負(fù)責(zé)。例如一些犯罪分子利用網(wǎng)上購物的無紙化和實物不可見的特點，發(fā)布虛假商品出售信息，在騙取購物者錢財之后便銷聲匿跡，嚴(yán)重破壞了市場經(jīng)濟(jì)秩序和社會秩序。 信息安全法律法規(guī) ? 建立完善信息安全法律體系是當(dāng)今重要課題。 規(guī)范信息安全技術(shù)及管理方面的規(guī)定 ? 這類法律主要有 《 商用密碼管理條例 》 、 《 計算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法 》 、 《 計算機(jī)病毒防治管理辦法 》 等。 ? 中華人民共和國 刑法 的第二百一十九條規(guī)定“有下列侵犯商業(yè)秘密行為之一，給商業(yè)秘密的權(quán)利人造成重大損失的，處三年以下有期徒刑或者拘役，并處或者單處罰金；造成特別嚴(yán)重后果的，處三年以上七年以下有期徒刑，并處罰金”。 ? 互惠原則 是指任何一個使用者必須認(rèn)識到，每個個體均是信息資源使用者和享受者，也是信息資源的生產(chǎn)者和提供者，在擁有享用信息資源的權(quán)利同時，也應(yīng)承擔(dān)信息社會對其成員所要求的責(zé)任。 ? 信息竊取 此類犯罪是指未經(jīng)信息所有者同意，擅自秘密竊取或非法使用其信息的犯罪行為。 ?截止 2022年 11月，國家共發(fā)布有關(guān)信息 安全技術(shù)、產(chǎn)品、測評和管理 的國家標(biāo)準(zhǔn) 69項（不包括密碼與保密標(biāo)準(zhǔn)）。 ? 各個階段順序進(jìn)行，前一個階段的工作結(jié)果是后一個階段的工作基礎(chǔ)。 風(fēng)險控制實施流程 — NIST SP800系列標(biāo)準(zhǔn) 信息安全標(biāo)準(zhǔn) ? 互操作、技術(shù)與工程、信息安全管理與控制三類標(biāo)準(zhǔn) ? 技術(shù)與工程標(biāo)準(zhǔn) 最多也最詳細(xì)，它們有效地推動了信息安全產(chǎn)品的開發(fā)及國際化，如 CC、 SSECMM等標(biāo)準(zhǔn)。 ? 基線 ：就是在諸多標(biāo)準(zhǔn)規(guī)范中確定的一組安全控制措施或者慣例，這些措施和慣例可以滿足特定環(huán)境下的信息系統(tǒng)的基本安全需求，使信息系統(tǒng)達(dá)到一定的安全防護(hù)水平。 ? 目前我國現(xiàn)行法律法規(guī)中，與信息安全有關(guān)的已有近百部 ? 涉及網(wǎng)絡(luò)與信息系統(tǒng)安全、信息內(nèi)容安全、信息安全系統(tǒng)與產(chǎn)品、保密及密碼管理、計算機(jī)病毒與危害性程序防治、金融等特定領(lǐng)域的信息安全、信息安全犯罪制裁等多個領(lǐng)域，初步形成了我國信息安全的法律體系。 ? ISMS應(yīng)該體現(xiàn) 預(yù)防控制 為主的思想，強(qiáng)調(diào)遵守國家有關(guān)信息安全的法律法規(guī)，強(qiáng)調(diào)全過程的動態(tài)調(diào)整，從而確保整個安全體系在有效管理控制下，不斷改進(jìn)完善以適應(yīng)新的安全需求。 實施 ：具體運作，實現(xiàn)計劃中的內(nèi)容 檢查 ：監(jiān)視評審解決方案的有效性，發(fā)現(xiàn)問題在下一個階段予以解決。 ? 除了有關(guān)的組織部門自己制定的相關(guān)規(guī)章制度之外，國家的有關(guān)信息安全法律法規(guī)更是有關(guān)人員需要遵守的。 )()(),( iiiiii TFTPVTAR ??)()(),(11iniinii TFTPVTARR ??? ????總因為存在威脅 Ti而使資產(chǎn) Ai具有的風(fēng)險， Ti為針對資產(chǎn) Ai的脆弱性 Vi的威脅 威脅 Ti發(fā)生的概率 威脅 Ti發(fā)生時的破壞程度 風(fēng)險評估的任務(wù) ① 識別組織面臨的各種風(fēng)險，了解總體的安全狀況； ② 分析計算風(fēng)險概率，預(yù)估可能帶來的負(fù)面影響； ③ 評價組織承受風(fēng)險的能力，確定各項安全建設(shè)的優(yōu)先等級； ④ 推薦風(fēng)險控制策略，為安全需求提供依據(jù)。 ? 風(fēng)險轉(zhuǎn)移 是指通過使用其它措施來補(bǔ)償損失，從而轉(zhuǎn)移風(fēng)險，如購買保險等。 安全產(chǎn)品的開發(fā) ? CC標(biāo)準(zhǔn)體現(xiàn)了軟件工程與安全工程相結(jié)合思想。 ? 步驟五、 確定控制目標(biāo)和選擇控制措施 控制目標(biāo)的確定和控制措施的選擇原則是費用不超過風(fēng)險所造成的損失。 ? “ 網(wǎng)絡(luò)犯罪 就是行為主體以計算機(jī)或計算機(jī)網(wǎng)絡(luò)為犯罪工具或攻擊對象，故意實施的危害計算機(jī)網(wǎng)絡(luò)安全的，觸犯有關(guān)法律規(guī)范的行為。 ? 整體原則 是指一切信息活動必須服從于社會國家等團(tuán)體的整體利益。第十一條規(guī)定“國家安全機(jī)關(guān)為維護(hù)國家安全的需要，可以查驗組織和個人的電子通信工具、器材等設(shè)備、設(shè)施”；第二十一條規(guī)定“任何個人和組織都不得非法持有、使用竊聽、竊照等專用間諜器材”。”第七條規(guī)定“商用密碼產(chǎn)品由國家密碼管理機(jī)構(gòu)指定的單位生產(chǎn)。 ? 1995年 2月，頒布的 《 中華人民共和國人民警察法 》 明確了公安機(jī)關(guān)具有監(jiān)督管理計算機(jī)信息系統(tǒng)安全的職責(zé)。 信息犯罪的顯著特點 ? 智能化 以計算機(jī)及網(wǎng)絡(luò)犯罪為例，犯罪者大多是掌握計算機(jī)和網(wǎng)絡(luò)技術(shù)的專業(yè)人才。 ? 第五級 訪問驗證保護(hù)級 ：本級的計算機(jī)信息系統(tǒng)可信計算基滿足訪問監(jiān)控器需求。 ? 第一部分 BS77991是 《 信息安全管理實施細(xì)則 》 ，也就是國際標(biāo)準(zhǔn)化組織的 ISO/IEC 17799標(biāo)準(zhǔn)的部分，主要 提供給負(fù)責(zé)信息安全系統(tǒng)開發(fā)的人員參考使用 ，其中分 11個標(biāo)題，定義了 133項安全控制（最佳慣例）。 ? 在 CC標(biāo)準(zhǔn)中， 安全需求以類、族、組件的形式進(jìn)行定義 ，這給出了對安全需求進(jìn)行分組歸類的方法。 組合評估 ? 組合評估要求首先對所有的系統(tǒng)進(jìn)行一次初步的風(fēng)險評估，依據(jù)各信息資產(chǎn)的實際價值和可能面臨的風(fēng)險，劃分出 不同的評估范圍 ，對于具有較高重要性的資產(chǎn)部分采取 詳細(xì)風(fēng)險評估 ，而其它部分采用 基線風(fēng)險評估 。 風(fēng)險評估 風(fēng)險評估主要包括風(fēng)險分析和風(fēng)險評價 ?風(fēng)險分析： 全面地識別風(fēng)險來源及類型； ?風(fēng)險評價： 依據(jù)風(fēng)險標(biāo)準(zhǔn)估算風(fēng)險水平 ,確定風(fēng)險的嚴(yán)重性。 ? 國際標(biāo)準(zhǔn)可以分為 互操作標(biāo)準(zhǔn) 、 技術(shù)與工程標(biāo)準(zhǔn) 、 信息安全管理與控制標(biāo)準(zhǔn) 三類。第 10章 信息安全管理 主要內(nèi)容 概述 信息安全風(fēng)險管理 (風(fēng)險評估、風(fēng)險控制 ) 信息安全標(biāo)準(zhǔn) (CC標(biāo)準(zhǔn)、 BS7799標(biāo)準(zhǔn) ) 信息安全法律法規(guī)及道德規(guī)范 概述 ? 當(dāng)今社會已經(jīng)進(jìn)入到信息化社