freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

cisp信息安全法規(guī)、政策和標準_v30-文庫吧資料

2025-01-12 02:01本頁面
  

【正文】 典型標準 介紹 ?知識子域 :測評標準 ? 了解已發(fā)布的測評標準及其適用范圍 ? 了解 《 信息技術(shù)安全性評估準則 》 的 結(jié)構(gòu) ? 理解相關(guān) 概念( TOE、 PP、 ST、 EAL) ? 了解 《 信息系統(tǒng)安全保障評估框架 》 的意義和結(jié)構(gòu) ?知識子域:密碼技術(shù)標準 ? 了解已發(fā)布的密碼技術(shù)標準及其適用范圍 98 基礎(chǔ) 標準 ?GB/T 25069– 2023《 信息安全技術(shù) 術(shù)語 》 ? 定義 信息 安全領(lǐng)域相關(guān) 術(shù)語 ? 分為 一般概念術(shù)語、信息安全技術(shù)術(shù)語、信息安全管理術(shù)語三 類 ?GB/T 《 信息技術(shù) 開放系統(tǒng)互連 基本 參考 模型 第 1部分:基本模型 》 ? idt ISO/IEC 74981:1994 ?GB/T 《信息處理 系統(tǒng) 開放系統(tǒng)互連 基本 參考 模型 第 2部分:安全體系結(jié)構(gòu) 》 ? idt ISO 74982:1989 ? 解決開放系統(tǒng)互聯(lián)中 安全問題的一致性方法 99 技術(shù)與機制標準 ? GB/T 284552023《引入可信第三方的實體鑒別及接入架構(gòu)規(guī)范》 ? 標識與鑒別 標準 ? 提出 一套適用于網(wǎng)絡(luò)訪問控制和身份管理,并具有普遍適用性的實體鑒別與安全接入的協(xié)議和 結(jié)構(gòu) ? GB/T 284472023《電子認證服務(wù)機構(gòu)運營管理規(guī)范》 ? 授權(quán)與訪問控制標準 ? 規(guī)定了電子認證服務(wù)機構(gòu)在業(yè)務(wù)運營、認證系統(tǒng)運行、物理環(huán)境與設(shè)施安全 、業(yè)務(wù) 連續(xù)性、審計與改進等方面應(yīng)遵循的要求 ? GB/T 210522023《信息系統(tǒng)物理安全技術(shù)要求》 ? 物理安全標準 ? 將 物理安全 按照 五個不同級別 分別描述要求 ? GB 《 信息技術(shù)設(shè)備 安全 第 1部分:通用要求》 ? 物理安全標準 ? 旨在 減小設(shè)備在安裝 、操作和維修時的危險 100 管理標準 ?GB/T 220802023《信息安全管理體系 要求》 ? idt ISO/IEC 27001:2023 ? 為建立、實施、運行、監(jiān)視、評審、保持和 改進 ISMS進行 了 規(guī)范 ?GB/Z 243642023《信息安全風險管理指南》 ? 規(guī)范信息安全風險管理的內(nèi)容和 過程 ? 為 信息系統(tǒng)生命周期不同階段的信息安全風險管理提供指導(dǎo) ?GB/T 202822023《信息安全技術(shù) 信息系統(tǒng)安全工程管理要求》 ? 對信息系統(tǒng)安全工程中所涉及到的需求方、實施方與第三方工程實施的指導(dǎo),各方可以此為依據(jù)建立安全工程管理 體系 ? 按照 GB 178591999劃分的五個安全保護等級,規(guī)定了信息系統(tǒng)安全工程管理的不同 要求 101 測評標準 ?GB/T18336《信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準則》 ? 為 信息技術(shù)產(chǎn)品 和 系統(tǒng) 敵 安全功能 及其保證 措施 的 安全評估提出了 通用要求 ? 可 作為 評估 IT產(chǎn)品和系統(tǒng)安全性的基礎(chǔ) 準則 ? 適用于對于用戶、開發(fā)者和評估者 ?GB/T 20274《信息系統(tǒng)安全保障評估框架》 ? 用于 描述 和 評估 信息系統(tǒng)安全保障 內(nèi)容 、 能力 的通用框架 ? 信息系統(tǒng)作為評估對象 , 從 技術(shù) 、 管理、工程 等 多個 方面 描述 102 GB/T18336《信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準則》 ? 分三部分 ? GB/《第 1部分:簡介和一般模型 》 ? ISO/IEC 154081:2023 ? 定義了 IT安全性評估的一般概念和原理,并提出了評估的一般模型 ? GB/《第 2部分:安全功能要求 》 ? ISO/IEC 154082:2023 ? 規(guī)定了一系列功能組件族和類,作為表達評估對象( TOE)功能要求的標準方法 ? GB/《第 3部分:安全保證要求 》 ? ISO/IEC 154083:2023 ? 規(guī)定了一系列保證組件族和類,作為表達 TOE保證要求的標準 方法 ? 定義了保護輪廓( PP)和安全目標( ST)的評估準則,提出了評估保證 級別 ( Evaluation Assurance Level, EAL) 103 《 信息技術(shù)安全性評估準則 》 的發(fā)展 104 ITSEC 1991 CC 1996 ISO15408 1999 CC 1998 GB/T 18336 2023 CD 1997 GB 17859 1999 ISO15408 2023 TCSEC 1985 FC 1992 CTCPEC 1993 GB/T 18336 2023 FCD 1998 對 《 信息技術(shù)安全性評估準則 》 的理解 ?發(fā)展 ? 國際標準化組織統(tǒng)一現(xiàn)有多種準則的努力結(jié)果 ? 1999年正式成為國際標準 ISO/IEC 15408 ?特點 ? 定義了“保護輪廓”和“安全目標” ? 將評估過程分“功能”和“保證”兩部分 ? 基于 風險管理理論,對安全模型、安全概念和安全功能進行了全面系統(tǒng)描繪,強化 了保證 評估 ?優(yōu)點 ? 通用的表達方式,便于理解 ? 是目前最全面的評價準則 ? 一種評估方法,其評估結(jié)果國際互認 105 《 信息技術(shù)安全性評估準則 》 術(shù)語 —— TOE ?評估 對象( TOE) ? Target of Evaluation ? 評估 對象(即被評估的產(chǎn)品 或 系統(tǒng)) ? 用于安全評估的信息技術(shù)產(chǎn)品、系統(tǒng)或子系統(tǒng)(如防火墻、計算機網(wǎng)絡(luò)、密碼模塊等),包括相關(guān)的管理員指南、用戶指南、設(shè)計方案等文檔 106 《 信息技術(shù)安全性評估準則 》 術(shù)語 —— PP ?保護輪廓( PP) ? Protection Profile ? 為了滿足安全目標而提出的一整套相對應(yīng)的功能和保證需求 ? 是滿足用戶需要的、與實現(xiàn)無關(guān)的安全需求 ? PP與某個具體的 TOE無關(guān),它定義的是用戶對這類TOE的安全需求 ? 主要內(nèi)容:需保護的對象;確定安全環(huán)境; TOE的安全目的; IT安全要求; 基本原理 ? 在 標準體系中 PP相當于產(chǎn)品標準 ? 如: 《 包過濾防火墻安全技術(shù) 要求 》 107 《 信息技術(shù)安全性評估準則 》 術(shù)語 —— ST ?安全 目標( ST) ? Security Target ? 針對具體 TOE而言,是某 一款產(chǎn)品對某一 PP要求的具體 實現(xiàn) ? 包括 該 TOE的安全要求和用于滿足安全要求的特定安全功能和保證 措施 ? ST包括的技術(shù)要求和保證措施。參議院向國會提交了 《 網(wǎng)絡(luò)安全法 》 議案 ? 2023年 6月 , 美國國防部正式成立了由戰(zhàn)略司令部領(lǐng)導(dǎo)的網(wǎng)絡(luò)戰(zhàn)司令部(主要進行數(shù)字戰(zhàn)爭 , 防護針對美軍計算機網(wǎng)絡(luò)的安全威脅)。安全等級的劃分標準和安全等級保護的具體辦法,由公安部會同有關(guān)部門制定。 ?檢查重點 ? 國務(wù)院各部門和地方政府的辦公系統(tǒng)、重要業(yè)務(wù)系統(tǒng)、門戶網(wǎng)站以及重要新聞網(wǎng)站,要作為檢查重點。 ? 從法律上授予美國國內(nèi)執(zhí)法機構(gòu)和國際情報機構(gòu)非常廣泛的權(quán)力和相應(yīng)的設(shè)施以防止、偵破和打擊恐怖主義活動,使美國人民能夠生活在安全的環(huán)境 中 ? 由于該法賦予聯(lián)邦政府的權(quán)力過大,引起美國國內(nèi)民權(quán)人士的擔憂,并產(chǎn)生訴 案 ? 該法 還對美國現(xiàn)有的十幾部法律做出了修改 ? 政府可以對國外銀行和對私人存戶達到 100萬美元以上的賬戶進行調(diào)查 44 《 聯(lián)邦信息安全管理法案 》 ?《 聯(lián)邦信息安全管理法案 》 ? 對 國家信息安全管理職責 的授權(quán) ?國家標準與技術(shù)局( NIST)為聯(lián)邦政府使用的系統(tǒng)制定安全標準與指南 ?管理與預(yù)算辦公室( OMB)主任對安全政策、原則、標準、指南等的制定、執(zhí)行(包括遵守)情況進行監(jiān)督 ? 屬于《電子政務(wù)法》的第三部分 ,《電子政務(wù)法》 ?該法對聯(lián)邦政府信息技術(shù)管理和規(guī)劃的每一個方面,從危機管理到電子檔案及查詢索引都做了規(guī)定 45 《 公眾公司會計改革與投資者保護法 》 ?《 公眾公司會計改革與投資者保護法 》 ? 又名《薩班斯 奧克斯利法》 ? 主要目的是加強對上市公司內(nèi)部 金融 信息的監(jiān)管,以維護金融市場的秩序和安全 ? 該法案要求公眾公司保證其內(nèi)部金融控制的準確性,規(guī)定由證券交易委員會( SEC)制定規(guī)則,強制要求公眾公司年度報告中包含內(nèi)部控制報告及其評價,并要求會計師事務(wù)所對公司管理層做出的評價出具鑒定報告 46 知識域:信息安全政策 ?知識子域:國家信息安全政策概況 ? 了解國家有關(guān)政策提出的加強信息安全保障工作的方針和總體要求 ? 理解國家有關(guān)政策規(guī)定的加強信息安全保障工作的主要原則 ? 理解國家有關(guān)政策規(guī)定的需要重點加強的信息安全保障工作 47 我國信息安全保障 工作 總體文件 ?《 國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見 》 ? 中 辦發(fā) [2023]27號 ? 明確了我國信息安全保障工作的方針和總體 要求 ? 加強 信息安全保障工作的主要 原則 ? 需要 重點加強的信息安全保障 工作 ? 27號文的發(fā)布 具有重大 意義 ? 它 標志著我國信息安全保障工作有了總體 綱領(lǐng) ? 我國 最近十余年的信息安全保障工作都是圍繞此政策性文件來展開和推進 的 ? 促進 了我國信息安全保障建設(shè)的各項工作 48 《 國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見 》 ?總體 方針和 要求 ? 堅持積極防御、綜合防范的方針 ? 全面提高信息安全防護能力 ? 重點保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全 ? 創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境,保障和促進信息化發(fā)展,保護公眾利益,維護國家安全 ?主要原則 ? 立足國情,以我為主,堅持技術(shù)與管理并重 ? 正確處理安全和發(fā)展的關(guān)系,以安全保發(fā)展,在發(fā)展中求安全 ? 統(tǒng)籌規(guī)劃,突出重點,強化基礎(chǔ)工作 ? 明確國家、企業(yè)、個人的責任和義務(wù),充分發(fā)揮各方面的積極性,共同構(gòu)筑國家信息安全保障體系 49 《 國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見 》 ?主要任務(wù)(重點加強的安全保障工作) ? 實行信息安全等級保護 ? 加強以密碼技術(shù)為基礎(chǔ)的信息保護和網(wǎng)絡(luò)信任體系建設(shè) ? 建設(shè)和完善信息安全監(jiān)控體系 ? 重視信息安全應(yīng)急處理工作 ? 加強信息安全技術(shù)研究開發(fā),推進信息安全產(chǎn)業(yè)發(fā)展 ? 加強信息安全法制建設(shè)和標準化建設(shè) ? 加快信息安全人才培養(yǎng),增強全民信息安全意識 ? 保證信息安全資金 ? 加強對信息安全保障工作的領(lǐng)導(dǎo),建立健全信息安全管理責任制 50 我國信息安全 政策 的初步成效、后續(xù)展望 ?初步成效 ? 依托 2023年的 27號文(總體綱領(lǐng)),明確了信息安全保障工作的總體要求、工作原則和重點工作內(nèi)容 ? 圍繞信息安全保障體系,廣度結(jié)合深度,制定、發(fā)布并落實了一些典型的信息安全政策(風險評估、等級保護、電子政務(wù)類、應(yīng)急預(yù)案等) ? 其他領(lǐng)域:災(zāi)難備份、管理體系、監(jiān)控、應(yīng)急、信任體系、產(chǎn)品和服務(wù)認證、人員培訓(xùn)和認證等 ?后續(xù)展望 ? “十一五”期間發(fā)布的各項政策均將進入落實 期 ? 由電子政務(wù)領(lǐng)域向其他 領(lǐng)域拓 展 ? 盡快形成 “ 統(tǒng)一的 ” 信息安全服務(wù)資質(zhì)管理體制 ? 基于信息安全服務(wù)類的標準(政策帶動標準,標準支撐政策) ? 統(tǒng)一安全服務(wù)行業(yè)的企業(yè)資質(zhì)和人員資 質(zhì) ? 由 “ 狹義信息安全 ” 向 “ 廣義信息安全 ” 延伸 ?IT服務(wù)(外包)的 信息 安全保障 ?新技術(shù)、 新應(yīng)用下的信息安全保障 51 知識域:信息安全政策 ?知識 子域:信息安全相關(guān)國家政策 ? 了解 信息安全相關(guān)國家政策 ? 理解 風險評估、保密管理、應(yīng)急處理、安全檢查和工控安全等涉及信息安全的相關(guān)內(nèi)容 ? 理解 信息安全等級保護政策體系 ,了解信息 安全等級保護相關(guān)政策 52 信息安全相關(guān)的政策 ?風險評估相關(guān) 政策 ?保密管理相關(guān) 政策 ?應(yīng)急處理相關(guān) 政策 ?安全檢查相關(guān) 政策 ?工控安全相關(guān) 政策 ?等級保護相關(guān) 政策 ?加強信息安全保障相關(guān) 政策 ?物聯(lián)網(wǎng)安全相關(guān)政策 53 關(guān)于開展信息安全風險評估工作 的意見 ( 國信 辦 [2023]5號) ?信息安全風險評估 (基于風險管理) ? 系統(tǒng)分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性 ? 評估安全事件一旦發(fā)生可能造成的危害程度 ? 提出有針對性的抵御威脅的防護對策和整改措施 ?基本工作要求 ? 應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運行的全過程( 設(shè)計、驗收、運維 ) ? 信息 安全風險評估分自評估、檢查評估兩形式 ,應(yīng)以自評估為主,自評估和檢查評估相互結(jié)合、互為補充 ?相關(guān)保障 ? 參照標準 :《 信息安全風險評估規(guī)范 》 ( GB/T 209842023) 、 《 信息安全風險管理指南 》 ( GB/Z 243642023) ? 服務(wù)資質(zhì)( 對于涉及國計民生的基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的風險評估
點擊復(fù)制文檔內(nèi)容
教學(xué)課件相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖鄂ICP備17016276號-1