【正文】 *connectedthinking 為 PricewaterhouseCoopers 之商標。 169。 ISO/TR 13569 不提供認證。 2022 普華永道版權所有 2022 年 4 月 第 54 頁 關注的安全領域 安全標準 關注的安全領域 安全管理組件 安全原則 概括性的安全控制 詳細的控制活動 安全模型或方法論 ISO/IEC 17799 √ ISO/IEC 13335 √ √ √ √ ISO/TR 13569 √ √ ISO/IEC 15408 √ √ COBIT √ √ √ 等級保護 √ √ √ 169。 2022 普華永道版權所有 2022 年 4 月 第 53 頁 信息安全標準總結 世界各國近幾年來發(fā)布了各種各樣的信息安全標準。 2022 普華永道版權所有 2022 年 4 月 第 49 頁 等級保護 實施的基本過程 系統(tǒng)定級 安全規(guī)劃設計 安全實施 安全運維 系統(tǒng)終止 重大變更 局部調整 169。 2022 普華永道版權所有 2022 年 4 月 第 48 頁 等級保護 實施指南 角色和職責： 對一個信息系統(tǒng)實施等級保護的過程中涉及到各類組織和人員，他們將會參與不同的或相同的活動， 等級保護標準將參與等級保護過程的各類組織和人員劃分為主要角色和次要角色。 ? 重點保護原則： 根據信息系統(tǒng)的重要程度、業(yè)務特點，通過劃分不同安全等級的信息系統(tǒng)，實現不同強度的安全保護，集中資源優(yōu)先保護涉及核心業(yè)務或關鍵信息資產的信息系統(tǒng)。 2022 普華永道版權所有 2022 年 4 月 第 46 頁 基本技術要求的類型 基本技術要求分為三種類型： ? 保護數據在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權的修改的信息安全類要求（簡記為 S）； ? 保護系統(tǒng)連續(xù)正常的運行，免受對系統(tǒng)的未授權修改、破壞而導致系統(tǒng)不可用的服務保證類要求（簡記為 A）； ? 通用安全保護類要求（簡記為 G）。 與信息系統(tǒng)中 各種角色參與的活動 有關； 主要通過控制各種角色的活動， 從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定 來實現。 ? 信息系統(tǒng)具有的整體安全保護能力通過不同組件實現基本安全要求來保證。具體流程為： 確定業(yè)務信息安全受到 破壞時所侵害的客體 綜合評定對客體的侵害程度 確定定級對象 業(yè)務信息安全等級 定級對象的安全保護等級 確定系統(tǒng)服務安全受到 破壞時所侵害的客體 綜合評定對客體的侵害程度 系統(tǒng)服務安全等級 169。 2022 普華永道版權所有 2022 年 4 月 第 39 頁 等級保護定級要素 受侵害的客體 ? 公民，法人和其他組織的合法權益 ? 社會秩序，公共利益 ? 國家安全 對客體的侵害程度 ? 造成一般損害 ? 造成嚴重損害 ? 造成特別嚴重損害 169。 ? 第三級，監(jiān)督保護級 ：信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。 ” 《國家信息化領導小組關于加強信息安全保障工作的意見》重點強調： “ 實行信息安全等級保護制度，重點保護基礎信息網絡和重要信息系統(tǒng)。 169。 2022 普華永道版權所有 2022 年 4 月 第 36 頁 等級保護是什么？ 等級保護基本概念：信息系統(tǒng)安全等級保護是指對信息安全實行等級化保護和等級化管理 ? 根據信息系統(tǒng)應用業(yè)務重要程度及其實際安全需求，實行分級、分類、分階段實施保護，保障信息安全和系統(tǒng)安全正常運行，維護國家利益、公共利益和社會穩(wěn)定。 2022年，國家標準化管理委員會批準成立全國信息安全標準化技術委員會，簡稱“全國安標委”。 2022 普華永道版權所有 2022 年 4 月 第 33 頁 COBIT框架的原理 IT流程管理各種 IT資源，以產生、傳遞并存儲可滿足業(yè)務需求的各種信息。 2022 普華永道版權所有 2022 年 4 月 第 29 頁 COBIT涉及領域 商業(yè)目標及 IT治理目標 效率 應用系統(tǒng) 信息 基礎架構 人力 交付與支持 監(jiān)控與評估 獲得與實施 信息 IT資源 CobiT框架 效果 保密性 完整性 可用性 合規(guī)性 DS1 定義和管理服務水平 DS2 管理第三方服務 DS3 性能管理和容量管理 DS4 確保服務的連續(xù)性 DS5 確保系統(tǒng)安全 DS6 確定并分配成本 DS7 教育和培訓用戶 DS8 服務臺和緊急事件管理 DS9 配置管理 DS10 問題管理 DS11 數據管理 DS12 物理環(huán)境管理 DS13 運營管理 ME1 監(jiān)控和評價 IT績效 ME2 監(jiān)控和評價內部控制 ME3 確保與法律的符合性 ME4 提供 IT治理 P01 定義 IT戰(zhàn)略計劃 P02 定義 IT信息架構 P03 確定技術導向 P04 定義 IT過程 /組織和關系 P05 IT投資管理 P06 傳遞管理目標和方向 P07 IT人力資源管理 P08 質量管理 P09 IT風險評估及管理 P10 項目管理 AI1 識別自動化解決方案 AI2 獲取并維護應用軟件 AI3 獲取并維護技術基礎設施 AI4 保障運營和使用 AI5 獲取 IT資源 AI6 變革管理 AI7 安裝 /授權解決方案和變更 計劃與組織 可靠性 169。 ? 2022年： COBIT指導委員會公布 COBIT第三版。 169。 2022 普華永道版權所有 2022 年 4 月 第 26 頁 提綱 1. 信息安全標準概述 2. 國際標準 – ISO/IEC 系列信息安全標準 3. 國際標準 – COBIT 4. 國內標準 －等級保護 5. 安全標準的比較 6. 問題與回答 169。 ? ISO13569于 1997年首次發(fā)布，分別于 2022年和 2022年更新，目前的最新版本為 2022年的版本。 2022 普華永道版權所有 2022 年 4 月 第 24 頁 關于 ISO13569 ? ISO13569的全稱為 ISO/TR 13569:2022 Financial services Information security guidelines。 ? 第四部分：保護的選擇 （ Part 4—Selection of Safeguards），發(fā)布于 2022年 3月 1日。 2022 普華永道版權所有 2022 年 4 月 第 23 頁 關于 ISO/IEC 13335 ISO/IEC 13335 Information Technology— Guidelines for the Management of IT Security 是一套關于信息安全管理的技術文件，共由五個部分組成，這五個組成部分分別在 1996至 2022年間發(fā)布。 評估類別 ，共 3個，包括 2個預評估類別和 TOE評估（即評估對象的評估）。 2022 普華永道版權所有 2022 年 4 月 第 21 頁 ISO/IEC15408的類別 ISO/IEC 15408中，類別（ class) 代表最概括的分類和定義方式。 ISO/IEC 15408加強了完整性和可用性的防護措施，強調了抗抵賴性的安全要求。 169。目前的最新版本于 2022年發(fā)布。 2022 普華永道版權所有 2022 年 4 月 第 18 頁 關于 ISO/IEC15408 90年代開始，由于 Inter的日益普及，信息安全領域呼吁修改桔皮書，以解決商用信息系統(tǒng)安全問題。 2022 普華永道版權所有 2022 年 4 月 第 15 頁 ISO17799模型 Personal Securi