【正文】 的保護(hù)需求相一致。 信息安全管理實(shí)施細(xì)則 11個方面定義 ? 在 BS 77991《 信息安全管理實(shí)施細(xì)則 》 中，從 11個方面定義了 133項(xiàng)控制措施， ? 這 11個方面分別是： ?安全策略 ?組織信息安全 ?資產(chǎn)管理 ?人力資源安全 ?物理和環(huán)境安全 ?通信和操作管理 ?訪問控制 ?信息系統(tǒng)獲取、開發(fā)和維護(hù) ?信息安全事件管理 ?業(yè)務(wù)連續(xù)性管理 ?符合性 建立信息安全管理體系六個基本步驟 ? 步驟一、 定義信息安全策略 信息安全策略是組織信息安全的最高方針，需要根據(jù)組織內(nèi)各個部門的實(shí)際情況，分別制訂不同的信息安全策略。 ? 第一部分 BS77991是 《 信息安全管理實(shí)施細(xì)則 》 ，也就是國際標(biāo)準(zhǔn)化組織的 ISO/IEC 17799標(biāo)準(zhǔn)的部分，主要 提供給負(fù)責(zé)信息安全系統(tǒng)開發(fā)的人員參考使用 ，其中分 11個標(biāo)題，定義了 133項(xiàng)安全控制（最佳慣例）。 ? 最后一項(xiàng)安全產(chǎn)品評價的目的是要證明被評價的安全產(chǎn)品能夠滿足安全保證的安全需求。 產(chǎn)品安全性評價 ? CC標(biāo)準(zhǔn)在評價安全產(chǎn)品時，把待評價的安全產(chǎn)品及其相關(guān)指南文檔資料作為評價對象。有時前面階段的工作也需要根據(jù)后面階段工作的反饋內(nèi)容進(jìn)行完善拓展，形成循環(huán)往復(fù)的過程。 ? 安全產(chǎn)品從需求分析到產(chǎn)品的最終實(shí)現(xiàn)，整個開發(fā)過程可依次分為應(yīng)用環(huán)境分析、明確產(chǎn)品安全環(huán)境、確立安全目標(biāo)、形成產(chǎn)品安全需求、安全產(chǎn)品概要設(shè)計(jì)、安全產(chǎn)品實(shí)現(xiàn)等幾個階段。 安全產(chǎn)品的開發(fā) ? CC標(biāo)準(zhǔn)體現(xiàn)了軟件工程與安全工程相結(jié)合思想。 ? 保護(hù)輪廓定義 是一份安全需求說明書，是針對某一類安全環(huán)境確立相應(yīng)的安全目標(biāo)，進(jìn)而定義為實(shí)現(xiàn)這些安全目標(biāo)所需要的安全需求。 構(gòu)造管理類 發(fā)行與使用類 開發(fā)類 指南文檔類 生命周期支持類 測試類 脆弱性評估類 需求定義的用法 ? 安全需求定義中的“類、族、組件”體現(xiàn)的是分類方法，安全需求由組件體現(xiàn)，選擇需求組件等同選擇安全需求。 ? 在 CC標(biāo)準(zhǔn)中， 安全需求以類、族、組件的形式進(jìn)行定義 ，這給出了對安全需求進(jìn)行分組歸類的方法。 ? 第 1部分 “ 簡介和一般模型 ” ，介紹 CC中的有關(guān)術(shù)語、基本概念和一般模型以及與評估有關(guān)的一些框架，附錄部分主要介紹 “ 保護(hù)輪廓 ” 和 “ 安全目標(biāo) ” 的基本內(nèi)容； ? 第 2部分 “ 安全功能要求 ” ，這部分以 “ 類、子類、組件 ” 的方式提出安全功能要求，對每一個 “ 類 ” 的具體描述除正文之外，在提示性附錄中還有進(jìn)一步的解釋； ? 第 3部分 “ 安全保證要求 ” ，定義了評估保證級別，介紹了 “ 保護(hù)輪廓 ” 和 “ 安全目標(biāo) ” 的評估，并同樣 以“類、子類、組件”的方式提出安全保證要求。 CC ? CC標(biāo)準(zhǔn)是 《 信息技術(shù)安全性通用評估標(biāo)準(zhǔn) 》 的簡稱，在美國和歐洲等推出的測評準(zhǔn)則上發(fā)展起來的。 ? 互操作標(biāo)準(zhǔn) 多數(shù)為所謂的 “ 事實(shí)標(biāo)準(zhǔn) ” ，這些標(biāo)準(zhǔn)對信息安全領(lǐng)域的發(fā)展同樣做出了巨大的貢獻(xiàn)，如 RSA、 DES、CVE等標(biāo)準(zhǔn)。 具體的風(fēng)險(xiǎn)控制措施 類別 措施 屬性 技術(shù)類 身份認(rèn)證技術(shù) 加密技術(shù) 防火墻技術(shù) 入侵檢測技術(shù) 系統(tǒng)審計(jì) 蜜罐 、 蜜網(wǎng)技術(shù) 預(yù)防性 預(yù)防性 預(yù)防性 檢查性 檢查性 糾正性 運(yùn)營類 物理訪問控制，如重要設(shè)備使用授權(quán)等； 容災(zāi)、容侵，如系統(tǒng)備份、數(shù)據(jù)備份等； 物理安全檢測技術(shù)，防盜技術(shù)、防火技術(shù)等； 預(yù)防性 預(yù)防性 檢查性 管理類 責(zé)任分配 權(quán)限管理 安全培訓(xùn) 人員控制 定期安全審計(jì) 預(yù)防性 預(yù)防性 預(yù)防性 預(yù)防性 檢查性 以計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)為基礎(chǔ)的直接消除或降低安全風(fēng)險(xiǎn)水平的控制措施 以設(shè)備管理、容災(zāi)容侵和物理安全為核心的控制措施 以人員管理為核心的控制措施 風(fēng)險(xiǎn)控制實(shí)施流程 — NIST SP800系列標(biāo)準(zhǔn) ? 第一步 對實(shí)施控制措施的優(yōu)先級進(jìn)行排序 ，分配資源時，對標(biāo)有不可接受的高等級的風(fēng)險(xiǎn)項(xiàng)應(yīng)該給予較高的優(yōu)先級； ? 第二步 評估所建議的安全選項(xiàng) ，風(fēng)險(xiǎn)評估結(jié)論中建議的控制措施對于具體的單位及其信息系統(tǒng)可能不是最適合或最可行的，因此要對所建議的控制措施的可行性和有效性進(jìn)行分析，選擇出最適當(dāng)?shù)目刂拼胧? ? 第三步 進(jìn)行成本效益分析 ，為決策管理層提供風(fēng)險(xiǎn)控制措施的成本效益分析報(bào)告； ? 第四步 在成本效益分析的基礎(chǔ)上， 確定即將實(shí)施 的成本有效性最好的 安全措施 ； ? 第五步 遴選出 那些擁有合適的專長和技能，可實(shí)現(xiàn)所選控制措施的 人員 （內(nèi)部人員或外部合同商），并賦以相應(yīng)責(zé)任； ? 第六步 制定控制措施的實(shí)現(xiàn)計(jì)劃 ，計(jì)劃內(nèi)容主要包括風(fēng)險(xiǎn)評估報(bào)告給出的風(fēng)險(xiǎn)、風(fēng)險(xiǎn)級別以及所建議的安全措施，實(shí)施控制的優(yōu)先級隊(duì)列、預(yù)期安全控制列表、實(shí)現(xiàn)預(yù)期安全控制時所需的資源、負(fù)責(zé)人員清單、開始日期、完成日期以及維護(hù)要求等； ? 第七步 分析計(jì)算出殘余風(fēng)險(xiǎn) ，風(fēng)險(xiǎn)控制可以降低風(fēng)險(xiǎn)級別，但不會根除風(fēng)險(xiǎn)，因此安全措施實(shí)施后仍然存在的殘余風(fēng)險(xiǎn)。 ? 風(fēng)險(xiǎn)轉(zhuǎn)移 是指通過使用其它措施來補(bǔ)償損失，從而轉(zhuǎn)移風(fēng)險(xiǎn)，如購買保險(xiǎn)等。 實(shí)施風(fēng)險(xiǎn)控制 中 風(fēng)險(xiǎn)確認(rèn)與接收 ? 為確保組織的信息安全，殘余風(fēng)險(xiǎn)應(yīng)在可接受范圍內(nèi) 風(fēng)險(xiǎn)控制手段 ? 風(fēng)險(xiǎn)承受 是指運(yùn)行的信息系統(tǒng)具有良好的健壯性，可以接受潛在的風(fēng)險(xiǎn)并穩(wěn)定運(yùn)行，或采取簡單的安全措施，就可以把風(fēng)險(xiǎn)降低到一個可接受的級別。 風(fēng)險(xiǎn)評估的輸出結(jié)果 ? 資產(chǎn)識別表 ? 反映了資產(chǎn)名稱、描述范圍、重要性程度、部門、所屬業(yè)務(wù)流程等 風(fēng)險(xiǎn)評估的輸出結(jié)果 ? 重要資產(chǎn)列表 ? 反映了資產(chǎn)名稱、描述范圍、機(jī)密性、可用性、完整性評分等級、資產(chǎn)與信息安全系數(shù)關(guān)系、所屬業(yè)務(wù)流程 風(fēng)險(xiǎn)評估的輸出結(jié)果 ? 威脅列表 ? 反映了資產(chǎn)名稱、面臨的威脅類、具體可能的威脅 ? 脆弱性識別表 ? 反映了脆弱性分類、脆弱性詳細(xì)描述、嚴(yán)重程度、與威脅的對應(yīng)關(guān)系、可能影響的資產(chǎn) 風(fēng)險(xiǎn)評估的輸出結(jié)果 ? 資產(chǎn)風(fēng)險(xiǎn)表 ? 反映了資產(chǎn)名稱、面臨的威脅、可能被威脅利用的脆弱性、威脅發(fā)生的可能性、威脅的影響程度 ? 風(fēng)險(xiǎn)處理計(jì)劃 ? 反映了資產(chǎn)名稱、威脅 /薄弱點(diǎn)、風(fēng)險(xiǎn)系數(shù)、處理措施、優(yōu)先處理等級等 風(fēng)險(xiǎn)控制 ? 風(fēng)險(xiǎn)控制是信息安