【文章內(nèi)容簡(jiǎn)介】 :2022(E) SEECMM COBIT ISO/IEC TR13335 ISO TR13569:1998(E) ISO/IEC 17799:2022(E) SEECMM COBIT 信息安全防護(hù)結(jié)構(gòu) 相關(guān)標(biāo)準(zhǔn)如何借鑒 標(biāo)準(zhǔn) 目的 方法 范圍 COBIT 定義內(nèi)部控制保障要求 提供審核內(nèi)部控制審核流程 內(nèi)部審核 ISO/IEC TR13335 改善信息安全技術(shù)管理的規(guī)范 用來(lái) 達(dá)到信息安全服務(wù) 方法的指導(dǎo)文件 安全工程組織 ISO/IEC 15026 軟件 整合性的 規(guī)范 用來(lái) 達(dá)到與維護(hù)軟件 整合性等級(jí)方法的指引 整合性 軟件組織 ISO/IEC 15408 信息技術(shù) 安全 評(píng) 估的規(guī)范 安全產(chǎn)品與系 統(tǒng)的安全 規(guī)范與評(píng)定 方法 安全產(chǎn)品與系統(tǒng)評(píng)定組織 ISO/IEC TR15504 軟件 程序的改善 與評(píng)定 軟件 程序的改善模式與 評(píng)論 方法 軟件工程組織 ISO/IEC 17799 改善 信息 安全管理 的規(guī)范 安全管理品 質(zhì)規(guī)范 的特定要求 信息 安全管理 組織 SECMM 改善 系統(tǒng) 或 產(chǎn)品的 工程程序 系統(tǒng)程序 規(guī)范 的 連續(xù) 性成熟度模式 與評(píng) 定方法 系統(tǒng)工程 組織 SSECMM 定義 、改善和 評(píng) 定安全工程的能力 持續(xù)性 的安全工程成熟度模式與評(píng) 定方法 安全系統(tǒng)工程組織 信息安全防護(hù)結(jié)構(gòu) 相關(guān)標(biāo)準(zhǔn)比較 I n t e r n e t服 務(wù) 器 集 群機(jī) 構(gòu) A機(jī) 構(gòu) B 機(jī) 構(gòu) C 機(jī) 構(gòu) DV L A N 1 V L A N 2 V L A N 3 V L A N 4信息安全防護(hù)結(jié)構(gòu) 案例 :安全域劃分 外 網(wǎng) 服 務(wù) 器 集 群I n t e r n e t服 務(wù) 器 集 群機(jī) 構(gòu) A機(jī) 構(gòu) B 機(jī) 構(gòu) C 機(jī) 構(gòu) DV L A N 1 V L A N 2 V L A N 3 V L A N 4信息安全防護(hù)結(jié)構(gòu) 案例 :安全域劃分 還存在那些風(fēng)險(xiǎn) ? 1. 2022年 「 華 盛頓 報(bào) 」引 用美國(guó)聯(lián) 邦官 員 的 話(huà)報(bào)道 ，涉嫌 911案的恐怖分子使用隱藏在 網(wǎng)絡(luò) 上的訊息，用以 計(jì)劃 、 偽裝 並互相 協(xié)調(diào) 他們的 攻擊活動(dòng) 。 3. 法國(guó) 警方 發(fā)現(xiàn) 一本 屬于 涉嫌 911案的一名恐怖分子的 筆記 本，其中 記載 的 密碼 或可 讀本 拉登 網(wǎng)絡(luò) 內(nèi)的 信 息。這 本筆記本 已經(jīng)送交 美國(guó)當(dāng)局處理 。 4. 許多美國(guó)及海外的 網(wǎng)絡(luò)從業(yè) 者，包括 美國(guó)在線(xiàn) 、微 軟 、雅虎等，已經(jīng)收到 信息 ，要求其交出所謂的「 網(wǎng)絡(luò)隱藏圖文 」的 通訊記錄 。 5. ISO TR 13569 1997(E)中 ， 對(duì)于信息隱藏學(xué) 之 圖像 疊加、 隱藏痕跡協(xié)議 、 數(shù)字 浮印等 技術(shù) 日益普及帶來(lái)之新的 信息 安全 風(fēng)險(xiǎn) 特別要求加以 補(bǔ)充 。 信息安全保障 案例分析：信息隱蔽 ? 信息安全對(duì)策必須以風(fēng)險(xiǎn)管理為基礎(chǔ)：安全不必是完美無(wú)缺 、面面俱到的 。 但風(fēng)險(xiǎn)必須是能夠管理的 。 ? 最適宜的信息安全策略就是最優(yōu)的風(fēng)險(xiǎn)管理對(duì)策 。 這是一個(gè)在有限資源前提下的最優(yōu)選擇問(wèn)題： ? 防范不足會(huì)造成直接的損失；防范過(guò)多又會(huì)造成間接的損失 。必須根據(jù)安全目標(biāo)審查安全手段 。 ? 信息安全保障的問(wèn)題就是安全的效用問(wèn)題 ， 在解決或預(yù)防信息安全問(wèn)題時(shí) ， 要從經(jīng)濟(jì) 、 技術(shù) 、 管理的可行性和有效性上做出權(quán)衡和取舍 。 信息安全防護(hù)結(jié)構(gòu) 信息風(fēng)險(xiǎn)對(duì)策：風(fēng)險(xiǎn)管理 信息安全保障 信息安全管理 信息安全保障體系實(shí)施 ? 英國(guó)模式 ★ BS 7799認(rèn)證 ? 美國(guó)模式 認(rèn)證與認(rèn)可 (Camp。A)模式 認(rèn)證是指由認(rèn)證機(jī)構(gòu)證明產(chǎn)品、服務(wù)、管理體系符合相關(guān)技術(shù)規(guī)范、相關(guān)技術(shù)規(guī)范的強(qiáng)制性要求或 者標(biāo)準(zhǔn)的合格評(píng)定活動(dòng)。認(rèn)可是指由認(rèn)可機(jī)構(gòu)對(duì)認(rèn)證機(jī)構(gòu)、檢查機(jī)構(gòu)、實(shí)驗(yàn)室，以及從事評(píng)審、審 核等認(rèn)證活動(dòng)人員的能力和執(zhí)業(yè)資格，予以承認(rèn)的合格評(píng)定活動(dòng)。 ? ISO SC27 WG1 正在構(gòu)建 ISMS標(biāo)準(zhǔn)體系 信息安全管理 幾種管理模式 ? “”事件后，新出現(xiàn)的對(duì)美國(guó)政府的威脅表明了需要新的安全措施。為應(yīng)對(duì)這些初現(xiàn)的威脅， 2022年 電子政府法形成為法律。 這個(gè)立法也包含了聯(lián)邦信息 安全管理法 (FISMA) ，它代替了 2022年國(guó)防授權(quán)法 包括的政府信息安全改革法 GISRA)。 ? FISMA 引起了一個(gè)連鎖反應(yīng)，它要求 DoD 和其他的 聯(lián)邦政府部門(mén)更新他們現(xiàn)在的關(guān)于信息保障的指南和 標(biāo)準(zhǔn)。 信息安全管理 風(fēng)險(xiǎn)管理重要轉(zhuǎn)折點(diǎn) ? 美國(guó)是國(guó)際上信息化技術(shù)和應(yīng)用最發(fā)達(dá)的國(guó)家。隨著信息化應(yīng)用需求的牽引，安全事件的驅(qū)動(dòng)和信息安全 技術(shù)、信息安全管理概念的發(fā)展深化，他們對(duì)信息安 全風(fēng)險(xiǎn)評(píng)估管理的認(rèn)識(shí)也逐步加深。 ★ 以計(jì)算機(jī)為對(duì)象的信息保密階段 ★ 以計(jì)算機(jī)和網(wǎng)絡(luò)為對(duì)象的信息安全保護(hù)階段 ★ 以信息系統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施為對(duì)象的信息保障階段 信息安全管理 美國(guó)信息系統(tǒng)安全認(rèn)證認(rèn)可 NIST提出的觀點(diǎn) :系統(tǒng)安全不同于產(chǎn)品安全 保護(hù)輪廓 IT 產(chǎn)品 NIAP CCEVS CC 評(píng)價(jià) 經(jīng)認(rèn)可的 測(cè)試實(shí)驗(yàn)室 NIST CMVP 密碼模塊 FIPS1402 測(cè)試 產(chǎn)品 保護(hù)輪廓 證據(jù) ? 安全目標(biāo) ? 評(píng)估報(bào)告 ? 認(rèn)證報(bào)告 ? 標(biāo)準(zhǔn) ? 指南 運(yùn)營(yíng)環(huán)境 認(rèn)可機(jī)構(gòu) 實(shí)際的威脅和脆弱性 系統(tǒng)級(jí)的保護(hù)輪廓 具體的 IT系統(tǒng) 通用子系統(tǒng) 產(chǎn)品 ? 風(fēng)險(xiǎn)管理 ? 安全策略 ? 系統(tǒng)安全規(guī)劃 ? 人員安全 ? 過(guò)程安全 ? 物理安全 ? 認(rèn)證 ? 認(rèn)可 技 術(shù) 安 全 ?SP 80018 《 IT系統(tǒng)安全計(jì)劃開(kāi)發(fā)指南 》 （ 1998年 12月 ） ?SP 80026 《 IT系統(tǒng)安全自評(píng)估指南 》 （ 2022年 11月） ?SP 80030 《 IT系統(tǒng)風(fēng)險(xiǎn)管理指南 》 （ 2022年 1月發(fā)布， 2022年 1月 21日 修訂 ） ?SP 80037 《 聯(lián)邦 IT系統(tǒng)認(rèn)證認(rèn)可指南 》 （ 2022年 9月， 2022年 7月， 2022年5月最后文本） ?FIPS 199《 聯(lián)邦信息和信息系統(tǒng)的安全分類(lèi)標(biāo)準(zhǔn) 》 （草案第一版）（ 2022年12月） ?SP 80053《 聯(lián)邦信息系統(tǒng)安全控制 》 （ 2022年 8月 31日發(fā)布草案） ?SP 80053A《 聯(lián)邦信息系統(tǒng)安全控制有效性檢驗(yàn)技術(shù)和流程 》 （ 2022年 7月發(fā)布草案） ?SP 80060 《 信息和信息類(lèi)型與安全目標(biāo)及風(fēng)險(xiǎn)級(jí)別對(duì)應(yīng)指南 》 （ 2022年 3月草案 ) 信息安全管理 美國(guó)配套文件 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 8 監(jiān)控 １ 分類(lèi) ２ 選擇 ３ 補(bǔ)充 ４ 計(jì)劃 ５ 實(shí)現(xiàn) ６ 評(píng)估 ７ 批準(zhǔn) 類(lèi) 族 基準(zhǔn)控制 標(biāo)識(shí)符 低 中 高 管理 RA PL SA ，認(rèn)可和安全評(píng)估 CA 信息安全管理 NIST 80053安全控制 類(lèi) 族 基準(zhǔn)控制 標(biāo)識(shí)符 低 中 高 運(yùn)行 PS PE CP CM MA SI MP IR AT 信息安全管理 NIST 80053安全控制 類(lèi) 族 基準(zhǔn)控制 標(biāo)識(shí)符 低 中 高 技術(shù) IA AC AU SC 基準(zhǔn)控制總數(shù) : 低 :96 中 :157 高 :188 信息安全管理 NIST 80053安全控制 ? 為了支持 FISMA， DoD 于 2022年發(fā)布了信息保障 的實(shí)現(xiàn) DoDI 。 DoDI 定義了保證一 個(gè)信息系統(tǒng)的保密性、完整性和可用性必需的安 全控制，監(jiān)控和管理。 ? 美國(guó) DoD 已經(jīng)開(kāi)發(fā)了一個(gè)新的 Camp。A過(guò)程，稱(chēng)為 《 國(guó)防信息安全保障認(rèn)證和認(rèn)可過(guò)程 (DIACAP)》 （ DoDI 8510. bb）。它將替代 DITSCAP，而不是對(duì) DITSCAP的升級(jí)。 信息安全管理 美國(guó)國(guó)防部動(dòng)態(tài) 信息安全管理 DIACAP過(guò)程 管理體系 簡(jiǎn)稱(chēng) 相關(guān)標(biāo)準(zhǔn) 服務(wù)對(duì)象 質(zhì)量管理體系 QMS ISO/IEC9000， 9001， 9004等 顧客 環(huán)境管理體系 EMS ISO/IEC14000 社會(huì) 職業(yè)安全健康 管理體系 OSHMS OHSAS 18000 員工 信息安全管理體系 ISMS ISO/IEC 17799， ISO27001 組織 信息安全管理 英國(guó)模式 參照質(zhì)量管理體系 BSI提出了信息安全管理標(biāo) 準(zhǔn) BS 7799系列 uInformation security anagement – Part 1: Code of practice for information security management Part 2: Specification for information security management systems. 信息安全管理 英國(guó)模式 ? BS 7799中提出了若干重要概念 風(fēng)險(xiǎn)評(píng)估 :評(píng)估信息安全漏洞對(duì)信息處理設(shè)備帶來(lái)的威脅和影響及其發(fā)生的可能性。 風(fēng)險(xiǎn)管理 :以可以接受的成為、確認(rèn)、控制、排除 可能影響信息系統(tǒng)的安全風(fēng)險(xiǎn)或?qū)⑵鋷?lái)的危害最 小化的過(guò)程。 信息安全管理 英國(guó)模式 信息安全管理 風(fēng)險(xiǎn)管理 組織 方針 …… 風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)處理 風(fēng)險(xiǎn)評(píng)價(jià) 風(fēng)險(xiǎn)分析 信息安全管理 信息安全管理 ? 2022年正式推出 27000系列 ? 初步考慮制定將近 10個(gè)標(biāo)準(zhǔn)全面規(guī)范信息安全管理體系 (ISMS) 信息安全管理 ISO SC27 WG1的 ISMS系列 27000 標(biāo)準(zhǔn) 族 27000 ISMS 原則和術(shù)語(yǔ) 信息安全管理 體系 要求 2022 27001 信息安全管理實(shí)用 規(guī)則 17799： 2022 （現(xiàn)已改為 27002） 27002 27003 27004 27005 27006 27007 27009 ISMS 實(shí)施指南 信息安全 管理度量 信息安全 風(fēng)險(xiǎn)管理 信息安全管理 體系認(rèn)證機(jī)構(gòu) 的 認(rèn)可要求 信息安全管理 ISMS安全管理體系 27000 ?名稱(chēng) :IS 27000 – Information security managementsystem fundamentals and vocabulary (NP) ?來(lái)源 :整合改寫(xiě) 13335 ?內(nèi)容 :闡述 ISMS的基本原理和詞匯 27001 ?名稱(chēng) :ISO/IEC 27001 – Information security management systems – Requirements(信息安全管理體系要求 ) ?來(lái)源 :源于 BS77992 ?內(nèi)容 :提出 ISMS的基本要求 ?狀況 :2022年正式發(fā)布 ? 前 言 ? 引 言 ? 1 范圍 ? 2 規(guī)范性引用文件 ? 3 術(shù)語(yǔ)和定義 ? 4 信息安全管理體系（ ISMS） ? 5 管理職責(zé) ? 6 內(nèi)部 ISMS審核 ? 7 ISMS的管理評(píng)審 ? 8 ISMS改進(jìn) ? 附 錄 A （規(guī)范性附錄） 控制目標(biāo)和控制措施 ? 附 錄 B （資料性附錄） OECD原則和本標(biāo)準(zhǔn) ? 附 錄