【正文】 23 普華永道版權(quán)所有 2023 年 4 月 COBIT框架的原理 IT流程管理各種 IT資源，以產(chǎn)生、傳遞并存儲(chǔ)可滿足業(yè)務(wù)需求的各種信息。 2023 普華永道版權(quán)所有 2023 年 4 月 COBIT框架的原理 控制領(lǐng)域 (Domains) 流程 (Processes) 活動(dòng) (Activities/Tasks) 人 力 資 源 應(yīng) 用 系 統(tǒng) 基 礎(chǔ) 架 構(gòu) 信 息 信 息 處 理 要 求 信息技術(shù)流程 31 169。 2023 普華永道版權(quán)所有 2023 年 4 月 COBIT涉及領(lǐng)域 商業(yè)目標(biāo)及 IT治理目標(biāo) 效率 應(yīng)用系統(tǒng) 信息 基礎(chǔ)架構(gòu) 人力 交付與支持 監(jiān)控與評(píng)估 獲得與實(shí)施 信息 IT資源 CobiT框架 效果 保密性 完整性 可用性 合規(guī)性 DS1 定義和管理服務(wù)水平 DS2 管理第三方服務(wù) DS3 性能管理和容量管理 DS4 確保服務(wù)的連續(xù)性 DS5 確保系統(tǒng)安全 DS6 確定并分配成本 DS7 教育和培訓(xùn)用戶 DS8 服務(wù)臺(tái)和緊急事件管理 DS9 配置管理 DS10 問題管理 DS11 數(shù)據(jù)管理 DS12 物理環(huán)境管理 DS13 運(yùn)營管理 ME1 監(jiān)控和評(píng)價(jià) IT績效 ME2 監(jiān)控和評(píng)價(jià)內(nèi)部控制 ME3 確保與法律的符合性 ME4 提供 IT治理 P01 定義 IT戰(zhàn)略計(jì)劃 P02 定義 IT信息架構(gòu) P03 確定技術(shù)導(dǎo)向 P04 定義 IT過程 /組織和關(guān)系 P05 IT投資管理 P06 傳遞管理目標(biāo)和方向 P07 IT人力資源管理 P08 質(zhì)量管理 P09 IT風(fēng)險(xiǎn)評(píng)估及管理 P10 項(xiàng)目管理 AI1 識(shí)別自動(dòng)化解決方案 AI2 獲取并維護(hù)應(yīng)用軟件 AI3 獲取并維護(hù)技術(shù)基礎(chǔ)設(shè)施 AI4 保障運(yùn)營和使用 AI5 獲取 IT資源 AI6 變革管理 AI7 安裝 /授權(quán)解決方案和變更 計(jì)劃與組織 可靠性 29 169。 ? 2023年：發(fā)布 COBIT ，為目前最新版本。 ? 2023年： COBIT指導(dǎo)委員會(huì)公布 COBIT第三版。 ? 1996年： COBIT指導(dǎo)委員會(huì)公布 COBIT第一版。 27 169。 ? COBIT的主要目的是研究、發(fā)展、宣傳權(quán)威的、最新的國際化的公認(rèn)信息技術(shù)控制目標(biāo)以供企業(yè)經(jīng)理、 IT專業(yè)人員和審計(jì)專業(yè)人員日常使用。 2023 普華永道版權(quán)所有 2023 年 4 月 提綱 1. 信息安全標(biāo)準(zhǔn)概述 2. 國際標(biāo)準(zhǔn) – ISO/IEC 系列信息安全標(biāo)準(zhǔn) 3. 國際標(biāo)準(zhǔn) – COBIT 4. 國內(nèi)標(biāo)準(zhǔn) －等級(jí)保護(hù) 5. 安全標(biāo)準(zhǔn)的比較 6. 問題與回答 26 169。 2023 普華永道版權(quán)所有 2023 年 4 月 ISO/IEC 13569的主要內(nèi)容 ISO/IEC 13569是針對(duì)金融行業(yè)的信息安全標(biāo)準(zhǔn)，包括以下主要內(nèi)容： ? 組織的 IT安全政策 ? IT安全管理 ? 風(fēng)險(xiǎn)分析和評(píng)估 ? 安全保護(hù)的實(shí)施和選擇 ? IT系統(tǒng)保護(hù) ? 金融服務(wù)行業(yè)專題，包括如銀行卡、電子資金傳輸(Electronic Fund Transfer)、支票、電子商務(wù)等內(nèi)容； ? 另外，還包括如加密、審計(jì)、事件管理等專項(xiàng)討論。 ? ISO13569于 1997年首次發(fā)布，分別于 2023年和 2023年更新，目前的最新版本為 2023年的版本。它包括了對(duì)制度，組織結(jié)構(gòu)和法律法規(guī)等內(nèi)容的討論。 2023 普華永道版權(quán)所有 2023 年 4 月 關(guān)于 ISO13569 ? ISO13569的全稱為 ISO/TR 13569:2023 Financial services Information security guidelines。 其中第一部分分別于 1997年和 2023年發(fā)布了更新版本。 ? 第四部分：保護(hù)的選擇 （ Part 4—Selection of Safeguards），發(fā)布于 2023年 3月 1日。 ? 第二部分：安全管理和規(guī)劃 （ Part 2—Managing and Planning IT Security），發(fā)布于 1997年 12月 15日。 2023 普華永道版權(quán)所有 2023 年 4 月 關(guān)于 ISO/IEC 13335 ISO/IEC 13335 Information Technology— Guidelines for the Management of IT Security 是一套關(guān)于信息安全管理的技術(shù)文件，共由五個(gè)部分組成，這五個(gè)組成部分分別在 1996至 2023年間發(fā)布。 21 169。 評(píng)估類別 ，共 3個(gè)，包括 2個(gè)預(yù)評(píng)估類別和 TOE評(píng)估（即評(píng)估對(duì)象的評(píng)估）。 安全認(rèn)知類別 ，共 8個(gè)，分別為配置管理、遞交和操作、開發(fā)、指南文檔、生存期支持、測試、脆弱性評(píng)估、認(rèn)證維護(hù)。 2023 普華永道版權(quán)所有 2023 年 4 月 ISO/IEC15408的類別 ISO/IEC 15408中，類別（ class) 代表最概括的分類和定義方式。 ISO/IEC 15408還討論了某些故障、錯(cuò)誤和異常的安全保護(hù)問題。 ISO/IEC 15408加強(qiáng)了完整性和可用性的防護(hù)措施，強(qiáng)調(diào)了抗抵賴性的安全要求。該準(zhǔn)則關(guān)注于評(píng)估對(duì)象的安全功能，安全功能執(zhí)行的是安全策略。 19 169。 2023 普華永道版權(quán)所有 2023 年 4 月 ISO/IEC 15408的內(nèi)容 ISO/IEC 15408由以下三部分組成： 第一部分：介紹和一般模型 第二部分：安全功能需求 第三部分：安全認(rèn)證需求 ISO/IEC 15408準(zhǔn)則比以往的其他信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)更加規(guī)范，采用以下方式定義： 類別（ CLASS）； 認(rèn)證族（ ASSURANCE FAMILY）； 認(rèn)證部件（ ASSURANCE COMPONENT）； 認(rèn)證元素（ ASSURANCE ELEMENT）。目前的最新版本于 2023年發(fā)布。 在此基礎(chǔ)上，美國、加拿大、英國、法國等 7國組織聯(lián)合研制了“信息技術(shù)評(píng)估安全公共準(zhǔn)則”（ CC： Common Criteria）。 2023 普華永道版權(quán)所有 2023 年 4 月 關(guān)于 ISO/IEC15408 90年代開始，由于 Inter的日益普及，信息安全領(lǐng)域呼吁修改桔皮書，以解決商用信息系統(tǒng)安全問題。 2023 普華永道版權(quán)所有 2023 年 4 月 ISO/IEC 27001/27002:2023 的內(nèi)容 總共 分成 11個(gè)領(lǐng)域 、 39個(gè)控制目標(biāo) 、 133個(gè)控制措施 。 2023 普華永道版權(quán)所有 2023 年 4 月 ISO17799模型 Personal Security Comm/Ops Management Physical and Environment Security 員工聘請(qǐng)，知識(shí)培訓(xùn)，事故報(bào)告等 物理安全參數(shù)，設(shè)備保護(hù)，桌面及電腦的重要文件的保護(hù) 事故流程，職責(zé)分離，系統(tǒng)規(guī)劃，電子郵件控制 15 169。 13 169。 ? 2023年 ISO17799更名為 ISO27001和 ISO27002，分別為： ? ISO/IEC 27001:2023 Information technology Security techniques Information security management systems – Requirements ? ISO/IEC 27002:2023 Information technology Security techniques Code of practice for information security management ? 2023年 ISO又頒布了 Information technology Security techniques Requirements for bodies providing audit and certification of information security management systems. 12 169。 ? 第二部分是信息安全管理體系規(guī)范，相當(dāng)于 BS77992。 ? ISO/IEC17799于 2023年正式頒布。 ? ISO在信息安全方面的標(biāo)準(zhǔn)主要包括： ? ISO1779