【正文】 保障評(píng)估方法信息系統(tǒng)安全保障級(jí)信息系統(tǒng)安全保障評(píng)估ISP P評(píng)估ISST評(píng)估））86 符合性目標(biāo)及級(jí)別目標(biāo) ? 評(píng)估信息系統(tǒng)安全保障目標(biāo)（ ISST）對(duì)信息系統(tǒng)安全保障要求（ ISPP）的符合性，即具體的信息系統(tǒng)安全保障措施信息系統(tǒng)在其運(yùn)行環(huán)境下是否滿足信息系統(tǒng)安全保障的需求 ? 對(duì)信息系統(tǒng)安全保障的執(zhí)行能力進(jìn)行評(píng)估，評(píng)估信息系統(tǒng)安全保障級(jí)（包括技術(shù)架構(gòu)能力級(jí)、工程能力級(jí)和管理能力級(jí)的評(píng)定） 87 87 88 信息系統(tǒng)的分級(jí)原則 信息系統(tǒng)安全分級(jí)分類 “信息系統(tǒng)安全保障評(píng)估框架” 信息系統(tǒng)安全保障級(jí) ISAL TCML 安全技術(shù)架構(gòu)能力級(jí) MCML 安全管理能力級(jí) ECML 安全過程能力級(jí) 信息系統(tǒng)安全分級(jí)分類 價(jià)值 信息特征 ?保密性 ?完整性 ?可用性 信息系統(tǒng)使命類 信息系統(tǒng)威脅分級(jí) + 88 89 信息系統(tǒng)的安全保障能力成熟度級(jí) ? 管理能力成熟度等級(jí)（ MCML）： MCML MCML MCML MCML4和 MCML5 ? 工程能力成熟度等級(jí)（ PCML）： PCML PCML PCML PCML4和 CML5 ? 技術(shù)體系架構(gòu)成熟度級(jí)別（ TCML） ： TCML TCML TCML TCML TCML5 89 2022/2/5 90 ? 具體而言，管理能力成熟度一級(jí)表示組織內(nèi)部能夠依據(jù)經(jīng)驗(yàn)進(jìn)行部分的安全管理工作；二級(jí)表示組織能夠建立完善的管理體系來規(guī)范安全管理管理能力；三級(jí)表示組織能夠采取有效措施來敦促所制定管理體系的落實(shí)和實(shí)施；從而確保了管理體系有效的實(shí)施；四級(jí)表示組織所制定的管理體系不僅能夠有效實(shí)施，而且還能夠?qū)?shí)施的管理措施的效果進(jìn)行測(cè)試，盡量的采用量化的數(shù)據(jù)來分析和驗(yàn)證所采用的管理體系；五級(jí)表示組織能夠?qū)芾眢w系進(jìn)行持續(xù)改進(jìn)，使管理體系始終對(duì)組織安全保障體系的運(yùn)行發(fā)揮最大效應(yīng)。 信息系統(tǒng)的安全保障能力成熟度級(jí) 91 信息系統(tǒng)安全保障評(píng)估總體框架 評(píng)估對(duì)象 評(píng)估實(shí)施 評(píng)估結(jié)果 評(píng)估規(guī)范、準(zhǔn)則 評(píng)估方法、工具 評(píng)估預(yù)案、組織 安全要求 安全風(fēng)險(xiǎn) 信息系統(tǒng)安全 保護(hù)等級(jí)劃分 等級(jí)認(rèn)證 91 2022/2/5 92 ? 在基于安全風(fēng)險(xiǎn)分析得出的信息系統(tǒng)安全保護(hù)等級(jí)劃分的基礎(chǔ)上，提出安全需求、即得到評(píng)估對(duì)象的保護(hù)輪廓。參照評(píng)估準(zhǔn)則和規(guī)范，制定出評(píng)估預(yù)案和規(guī)劃，使用相應(yīng)評(píng)估方法和工具，即可實(shí)施對(duì)評(píng)估對(duì)象的評(píng)估操作。評(píng)估中發(fā)現(xiàn)的問題、差距再反饋到評(píng)估的預(yù)案制訂和安全需求，評(píng)估對(duì)象作相應(yīng)調(diào)整、優(yōu)化，達(dá)到信息系統(tǒng)資產(chǎn)所有者保證資產(chǎn)安全的初衷，即殘余風(fēng)險(xiǎn)是可以承受的，資產(chǎn)價(jià)值受到保護(hù)，使命可以完成，最后得到評(píng)估結(jié)論，并給出安全等級(jí)的認(rèn)證。 信息系統(tǒng)安全保障評(píng)估總體框架 93 信息系統(tǒng)安全保障等級(jí)評(píng)估規(guī)范的建立 安全環(huán)境 安全目標(biāo) 安全需求 評(píng)估規(guī)范 ISPP/ ISST 物理環(huán)境 假 設(shè) 威 脅 系統(tǒng)使命 受保護(hù)資產(chǎn) 組織管理 管 理 技 術(shù) 工 程 服 務(wù) 93 2022/2/5 94 ? 為了提煉出評(píng)估對(duì)象的安全需求，需要建立安全環(huán)境，綜合考慮如下因素：需要保護(hù)的信息系統(tǒng)資產(chǎn)，系統(tǒng)所要完成的使命、組織管理、所處的物理環(huán)境，其面臨的威脅、信息對(duì)抗的假設(shè)，然后在該特定的安全環(huán)境下確立系統(tǒng)的安全目標(biāo)，提出系統(tǒng)的安全需求：包括安全技術(shù)需求、安全管理需求、安全過程需求和系統(tǒng)服務(wù)安全的需求，最終形成系統(tǒng)安全保障等級(jí)評(píng)估的規(guī)范（即系統(tǒng)保護(hù)輪廓和安全目標(biāo)） 信息系統(tǒng)安全保障等級(jí)評(píng)估規(guī)范的建立 95 服務(wù)商資質(zhì)測(cè)評(píng) 95 ?信息安全服務(wù) 是指信息安全工程的設(shè)計(jì)、實(shí)施、測(cè)試、運(yùn)行和維護(hù)，以及相關(guān)的咨詢和培訓(xùn)活動(dòng)。 集成商 開發(fā)商 運(yùn)維商 信息安全服務(wù)資質(zhì)測(cè)評(píng) ? 信息安全服務(wù)資質(zhì)測(cè)評(píng)是對(duì)信息安全服務(wù)商的技術(shù)、資源、管理等方面的能力和穩(wěn)定性、可靠性進(jìn)行評(píng)估 ? 目前中國信息安全測(cè)評(píng)中心開展的信息安全服務(wù)資質(zhì)評(píng)估包括 3個(gè)類別 ? 信息安全工程類 ? 信息安全開發(fā)類 ? 信息系統(tǒng)災(zāi)難恢復(fù)類 96 96 服務(wù)資質(zhì)測(cè)評(píng)的作用 ? 對(duì)安全服務(wù)提供方 ： ? 獲得自身安全服務(wù)能力的認(rèn)可 ? 獲得自身安全服務(wù)能力規(guī)范和提高（可重復(fù)、可預(yù)測(cè)的過程和實(shí)施減少返工 ） ? 提高組織的市場(chǎng)競(jìng)爭(zhēng)力（知名度 ） ? 對(duì)安全服務(wù)需求方 ： ? 可獲得選擇服務(wù)商的第三方保證 ? 提供有能力、有保障的服務(wù)商的范圍（選擇依據(jù) ） ? 對(duì)社會(huì)和行業(yè) ： ? 規(guī)范和指導(dǎo)整個(gè)社會(huì)和信息安全服務(wù)行業(yè)的行為 ? 搭建起信息安全服務(wù)領(lǐng)域科學(xué)的、規(guī)范的發(fā)展框架 97 服務(wù)資質(zhì)測(cè)評(píng)的程序 申 請(qǐng) 委 托 人申 請(qǐng) 書形 式 化 審 查受 理 決 定評(píng) 審 決 定靜 態(tài) 評(píng) 估現(xiàn) 場(chǎng) 審 核專 家 組 評(píng) 審認(rèn) 證 決 定證 后 監(jiān) 督公 告發(fā) 證 備 案限 期 整 改抽 樣 檢 查不 予 認(rèn) 證不 予 受 理98 99 ? 基本資格 ? 獨(dú)立實(shí)體 ——本身合法 ? 遵守國家有關(guān)法規(guī) ——行為合法 ? 基本能力 ? 組織機(jī)構(gòu) ? 外部協(xié)作 ? 人員素質(zhì) ? 資產(chǎn)規(guī)模 ? 設(shè)施環(huán)境 ? 業(yè)績 信息安全服務(wù)資質(zhì)評(píng)估主要內(nèi)容 99 100 ? 安全工程過程能力級(jí)別是評(píng)定信息系統(tǒng)安全服務(wù)組織資質(zhì)的主要依據(jù)，標(biāo)志著服務(wù)組織提供給客戶的安全服務(wù)專業(yè)水平和質(zhì)量保證程度。 ? 信息系統(tǒng)工程的過程能力級(jí)別按成熟性排序，表示依次增加的組織能力。 《 信息系統(tǒng)安全服務(wù)資質(zhì)評(píng)估準(zhǔn)則 》 將信息系統(tǒng)安全服務(wù)組織的工程能力分為五個(gè)級(jí)別： ? 一級(jí)：基本執(zhí)行級(jí) ? 二級(jí)：計(jì)劃跟蹤級(jí) ? 三級(jí)：充分定義級(jí) ? 四級(jí)：量化控制級(jí) ? 五級(jí)：連續(xù)改進(jìn)級(jí) 信息安全服務(wù)資質(zhì)評(píng)估主要內(nèi)容 100 101 ? 項(xiàng)目和組織過程能力包括： ? 質(zhì)量保證； ? 管理配置； ? 管理項(xiàng)目風(fēng)險(xiǎn)； ? 監(jiān)控技術(shù)活動(dòng)； ? 規(guī)劃技術(shù)活動(dòng)； ? 管理系統(tǒng)工程支持環(huán)境； ? 提供不短發(fā)展的技能和知識(shí)； ? 與供應(yīng)商協(xié)調(diào)。 信息安全服務(wù)資質(zhì)評(píng)估主要內(nèi)容 101 102 信息安全人員資質(zhì)測(cè)評(píng) CISE CISO 102 CISM 概述 ? “注冊(cè)信息安全專業(yè)人員” (Certified Information Security Engineer，簡(jiǎn)稱 CISP)是一種特殊專業(yè)崗位人員，其所具備的專業(yè)資質(zhì)和能力，系經(jīng)國家認(rèn)證和認(rèn)可。 CISP的基本職能是對(duì)信息系統(tǒng)的安全提供技術(shù)保障。 ? 申請(qǐng) CISP認(rèn)證的境內(nèi)人員必須具備相關(guān)的教育和工作經(jīng)歷，通過信息安全專業(yè)人員培訓(xùn)及考試，提交申請(qǐng)，并由認(rèn)證中心認(rèn)證。 CISP證書在有效期內(nèi)實(shí)行年度確認(rèn)制度，在有效期結(jié)束進(jìn)行復(fù)查換證。 103 103 104 CISP ? CISP分為 根據(jù)實(shí)際崗位工作需要，分為兩個(gè)基礎(chǔ)類別 : 注冊(cè)信息安全工程師（ CISE） ,適合 從事信息安全技術(shù)領(lǐng)域的工作 ； 注冊(cè)信息安全管理人員（ CISO） ,適合 信息安全管理領(lǐng)域的工作 ； ? 在兩個(gè)基礎(chǔ)類別之上還有兩個(gè)擴(kuò)展類別： 注冊(cè)信息安全專業(yè)人員 審計(jì)師 （ CISPAUIT（原CISA） ），適合 從事信息安全審計(jì)工作。 注冊(cè)信息安全專業(yè)人員 災(zāi)難恢復(fù)工程師 （ CISPDRP），適合從事 信息系統(tǒng)災(zāi)難恢復(fù)工作。 104 105 信息安全人才知識(shí)體系戰(zhàn)略 安全意識(shí)安全基礎(chǔ)和安全文化信息安全專業(yè)人員（信息安全相關(guān)的崗位和職責(zé)）計(jì)劃組織開發(fā)采購實(shí)施交付運(yùn)行維護(hù)廢棄信息安全從業(yè)人員（信息系統(tǒng)相關(guān)的崗位和職責(zé)）所有員工注冊(cè)信息安全員（ C I S M ）信息安全保障專家注冊(cè)信息安全專業(yè)人員（ C I S P ）培訓(xùn)意識(shí)105 106 CISP的知識(shí)體系架構(gòu) 106 注冊(cè)信息安全專業(yè)人員（ CISP）知識(shí)體系結(jié)構(gòu) 安全體系模型 信息安全保障框架 信息安全測(cè)試評(píng)估 計(jì)算機(jī)架構(gòu)與安全模型 安全管理 安全管理體系 風(fēng)險(xiǎn) 管理 安全管理措施 安全技術(shù) 安全工程 密碼技術(shù) 網(wǎng)絡(luò)安全 系統(tǒng)安全 應(yīng)用安全 安全攻防 安全工程 理論 安全標(biāo)準(zhǔn)法規(guī) 信息安全法規(guī)與政策 信息安全標(biāo)準(zhǔn) 道德規(guī)范 安全工程 實(shí)踐 107 CISP資質(zhì)認(rèn)證流程 C I S P 申 請(qǐng) 者咨 詢 相 關(guān) 事 宜參 加 培 訓(xùn)考 試 申 請(qǐng)參 加 考 試認(rèn) 證 申 請(qǐng)認(rèn) 證 決 定取 得 證 書證 后 維 持考 試 通 過認(rèn) 證 通 過考 試 未 通 過認(rèn) 證 未 通 過無法維持認(rèn)證申請(qǐng)階段 評(píng)估階段 認(rèn)證階段 監(jiān)督階段 107 知識(shí)域： 信息系統(tǒng)安全保障工作基本內(nèi)容 108 108 ?知識(shí)子域： 信息安全監(jiān)控與維護(hù) ? 理解在系統(tǒng)生命周期中持續(xù)提高信息系統(tǒng)安全保障能力的意義 ? 理解信息系統(tǒng)安全監(jiān)控與維護(hù)的主要原則 109 ? 為什么投入錢、投入人，信息安全問題還是層出不窮？ ? 因?yàn)轱L(fēng)險(xiǎn)是動(dòng)態(tài)變化的，信息系統(tǒng)安全保障需要覆蓋信息系統(tǒng)的整個(gè)生命周期，形成持續(xù)改進(jìn)的信息系統(tǒng)安全保障能力（技術(shù) /管理 /工程能力） 系統(tǒng)安全監(jiān)控維護(hù)的意義 109 信息系統(tǒng)安全監(jiān)控與保持 一種是已經(jīng)被攻破的 從風(fēng)險(xiǎn)的角度看，信息系統(tǒng)只有以下兩種： 另一種是即將被攻破的 110 持續(xù)的風(fēng)險(xiǎn)評(píng)估是 信息安全保障的一 項(xiàng)基礎(chǔ)性工作 持續(xù)的風(fēng)險(xiǎn)評(píng)估為新 的安全決策和需求提供 重要依據(jù) 風(fēng)險(xiǎn)評(píng)估 信息系統(tǒng)安全監(jiān)控與保持的工作內(nèi)容 111 112 ? 以風(fēng)險(xiǎn)管理為基礎(chǔ)做好以下工作 ? 安全漏洞隱患的消控 ? 建立有效事件管理與應(yīng)急響應(yīng)機(jī)制 ? 建立強(qiáng)大的信息系統(tǒng)災(zāi)難恢復(fù)能力 112 信息系統(tǒng)安全監(jiān)控與保持的工作內(nèi)容 公司 徽標(biāo) 謝謝，請(qǐng)?zhí)釂栴}！