正文內容

計算機信息安全管理標準(參考版)

2024-11-22 04:54本頁面

　　

【正文】 2．BS 77992包含哪些內容？簡述之。符合性包含3個執(zhí)行目標符合法律要求安全策略和技術符合性的評審系統(tǒng)審核考慮,對應執(zhí)行目標“符合法律要求”，有7項控制措施可用法律的標識、知識產權、保護組織的記錄、個人信息的數據保護和隱私、防止濫用信息處理設施、遵循密碼控制的規(guī)章、證據的收集。,2 我國的信息安全管理標準,2.3 GB/T 197162005 GB/T 197162005 《信息技術信息安全管理實用規(guī)則》修改采用了ISO/IEC 17799:2000《信息技術信息安全管理實用規(guī)則》。第4部分提供了選擇防護措施的指南，以及通過基線模型和控制的使用如何受到支持。 2．負責制定IT系統(tǒng)的實際使用活動的管理者。它和負責組織的IT系統(tǒng)的管理者相關。,2 我國的信息安全管理標準,第1部分，提供了描述IT安全管理用的基本概念和模型的概述，適用于負責 IT安全的管理者，及那些負責組織的總體安全大綱的管理者。 3．提出了幾個可用來解釋IT安全的模型。標準的主要目標是： 1．定義和描述與IT安全管理相關的概念?！扒把浴苯榻B了GB/T 19715《信息技術信息技術安全管理指南》分為五部分：第1部分：信息技術安全概念模型；第2部分：管理規(guī)劃信息技術安全；第3部分：信息技術安全管理技術；第4部分：保護措施的選擇；第5部分：網絡安全管理指南。我國對安全技術的標準化工作一直非常重視，于2002年單獨成立“全國信息安全”標準化技術委員會，該標準化技術委員會已制定了信息技術方面的國家標準53個。,2 我國的信息安全管理標準,2.1 我國的信息安全管理標準概述信息安全標準是我國信息安全保障體系的重要組成部分，是政府進行宏觀管理的重要依據。,1 國外信息安全管理標準,CC標準的核心思想體現在兩方面：一是信息安全技術本身和對信息安全技術的保證承諾之間獨立。,1 國外信息安全管理標準,CC標準一方面可以支持產品(最終已在系統(tǒng)中安裝的產品)中安全特征的技術性要求評估，另一方面描述了用戶對安全性的技術需求. 然而，CC沒有包括對物理安全、行政管理措施、密碼機制等方面的評估，且未能體現動態(tài)的安全要求。 10．保證的維護類。,第3部分安全保障要求其文檔結構體系與第2部分類似，也分為“類——族——組件——元素”，安全保障要求中定義了10個大類的安全保障： 1．配置管理類； 2．分發(fā)和操作類； 3．開發(fā)類； 4．指導性文檔類； 5．生命周期支持類； 6．測試類； 7．脆弱性評定類； 8．PPEvaluation。,1 國外信息安全管理標準,前7類的安全功能是提供給信息系統(tǒng)使用的，后4類的安全功能是為確保安全功能?？欤═SF）自身安全而設置的。,1 國外信息安全管理標準,第1部分簡介和一般模型：正文介紹了CC中的有關術語、基本概念、一般模型、以及與評估有關的一些框架，附錄部分主要介紹安全保護框架（PP）和安全目標（ST）的基本內容。,1 國外信息安全管理標準,1.4 CC準則 CC（Common Criteria，通用準則）是目前國際上最通行的信息技術產品與系統(tǒng)安全性評估準則，也是信息技術安全性評估結果國際互認的基礎，它是若干標準的綜合，和ISO/IEC 15408 信息技術安全性評估準則、GB/T 18336信息技術安全技術——信息技術安全評估準則是同一個標準，CC是最早的稱謂，ISO/IEC 15408是正式的ISO標準，GB/T 18336是我國等同采用ISO/IEC 15408之后的國家標準。通常，一個過程的輸出便是另一個過程的輸入。過程是指使用資源把輸入轉為輸出的一組活動。 2．安全風險,1 國外信息安全管理標準,3．風險評估與處理其主要過程是： (1)制定組織的信息安全管理體系（ISMS）方針和風險接受準則； (2)定義組織的風險評估方法； (3)識別要保護的信息資產，并進行登記； (4)識別安全風險，包括識別資產所面臨的威脅、組織的弱點和造成的影響等； (5)對照組織的風險接受準則，評價和確定已估算風險的嚴重性，以及可否接受； (6)形成風險評估報告； (7)制定風險處理計劃，選擇風險控制措施(標準明確規(guī)定了4種風險處理方法，即采用適當的控制措施、接受風險、避免風險和轉移風險)； (8)執(zhí)行風險處理，將風險降低到可接受的級別。 1．信息資產是對組織具有價值、以任何方式存儲的信息。附錄A介紹了控制目標和控制措施；附錄B介紹了OECD 準則和本國際標準；附錄C介紹了本標準與ISO9001:200、ISO14001：2004 標準的對應關系。這個標準可用于組織的信息安全管理體系的建立和實施，保障組織的信息安全，采用PDCA過程方法，基于風險評估的風險管理理念，全面系統(tǒng)地持續(xù)改進組織的安全管理。,1 國外信息安全管理標準,1.3 ISO/IEC 27001：2005 ISO/IEC 27001:2005《信息技術安全技術信息安全管理體系要求》是有關信息安全管理的國際標準，源于英國BS7799標準。 4．在標準的第四部分，有比較完整的針對6種安全需求的防護措施的介紹。 2．對安全管理過程的描述非常細致，而且完全可操作。,1 國外信息安全管理標準,1.2.6 ISO/IEC 13335在BS7799基礎上的改進

點擊復制文檔內容

環(huán)評公示相關推薦

freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

計算機信息安全管理標準(參考版)