【正文】 9/ISO27001/ISO27002 ? ISO/IEC 15408 ? ISO/IEC 13335 ? ISO/TR 13569 11 169。 ? 國際標(biāo)準(zhǔn)化組織 1946年成立于瑞士日內(nèi)瓦，負(fù)責(zé)制定在世界范圍內(nèi)通用的國際標(biāo)準(zhǔn)； ? ISO技術(shù)工作是高度分散的，分別由 2700多個技術(shù)委員會 (TC)、分技術(shù)委員會(SC)和工作組 (WG)承擔(dān)。 2023 普華永道版權(quán)所有 2023 年 4 月 國際標(biāo)準(zhǔn)化組織簡介 ? 國際標(biāo)準(zhǔn)化組織 (International Organization for Standardization)是由多國聯(lián)合組成的非政府性國際標(biāo)準(zhǔn)化機(jī)構(gòu)。 2023 普華永道版權(quán)所有 2023 年 4 月 在下面的課程中，我們會主要介紹以下標(biāo)準(zhǔn)： 1. ISO系列安全標(biāo)準(zhǔn)，包括 ISO17799/ISO27001/ISO27002 ISO/IEC 15408 ISO/IEC 13335 ISO/TR 13569 2. ISACA的 COBIT 3. 全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會的等級保護(hù)系列標(biāo)準(zhǔn) 9 169。 2 公安部、安全部、國家保密局、國家密碼管理委員會等部門 一系列的信息安全方面的政策法規(guī)如： ? 計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法 ? 互聯(lián)網(wǎng)信息服務(wù)管理辦法 ? 計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定 ? 計(jì)算機(jī)軟件保護(hù)條例 ? 商用密碼管理?xiàng)l例，等。 7 169。 2023 普華永道版權(quán)所有 2023 年 4 月 主要的信息安全標(biāo)準(zhǔn)－國際標(biāo)準(zhǔn) 發(fā)布的機(jī)構(gòu) 安全標(biāo)準(zhǔn) 1 ISO（國際標(biāo)準(zhǔn)組織） ISO17799/ISO27001/ISO27002 ISO/IEC 15408 ISO/IEC 13335 ISO/TR 13569 2 ISACA（ 信息系統(tǒng)審計(jì)與控制學(xué)會） COBIT 3 ISSEA（國際系統(tǒng)安全工程協(xié)會） SSECMM Systems Security Engineering Capability Maturity Model 4 ISSA（信息系統(tǒng)安全協(xié)會） GAISP Version 5 ISF (信息安全論壇） The Standard of Good Practice for Information Security 6 IETF （互聯(lián)網(wǎng)工程任務(wù)小組） 各種 RFC （ Request for Comments） 6 169。 4 169。 與此同時，國際和國內(nèi)的各種官方和科研機(jī)構(gòu)都發(fā)布了大量的安全標(biāo)準(zhǔn)。 2023 普華永道版權(quán)所有 2023 年 4 月 提綱 1. 信息安全標(biāo)準(zhǔn)概述 2. 國際標(biāo)準(zhǔn) – ISO/IEC 系列信息安全標(biāo)準(zhǔn) 3. 國際標(biāo)準(zhǔn) – COBIT 4. 國內(nèi)標(biāo)準(zhǔn) －等級保護(hù) 5. 安全標(biāo)準(zhǔn)的總結(jié) 6. 問題與回答 3 169。中國銀行業(yè)監(jiān)督管理委員會培訓(xùn) 信息安全標(biāo)準(zhǔn) 2023年 4月 3日 季瑞華 合伙人 系統(tǒng)和流程管理 169。 2023 普華永道版權(quán)所有 2023 年 4 月 提綱 1. 信息安全標(biāo)準(zhǔn)概述 2. 國際標(biāo)準(zhǔn) – ISO/IEC 系列信息安全標(biāo)準(zhǔn) 3. 國際標(biāo)準(zhǔn) – COBIT 4. 國內(nèi)標(biāo)準(zhǔn) －等級保護(hù) 5. 安全標(biāo)準(zhǔn)的總結(jié) 6. 問題與回答 2 169。 2023 普華永道版權(quán)所有 2023 年 4 月 信息安全標(biāo)準(zhǔn)概述 信息安全的重要性得到廣泛的關(guān)注。 這些標(biāo)準(zhǔn)都是為實(shí)現(xiàn)安全目標(biāo)而服務(wù)，并從不同的角度對如何保障組織的信息安全提供了指導(dǎo)。 2023 普華永道版權(quán)所有 2023 年 4 月 信息安全標(biāo)準(zhǔn)的演進(jìn) NSEWM o n d a y , M a r c h 3 1 , 2 0 0 8P a g e 1信 息 安 全 國 際 國 內(nèi) 準(zhǔn) 則 重 要 里 程 碑1 9 9 5 2 0 0 81 9 9 6 1 9 9 7 1 9 9 8 1 9 9 9 2 0 0 0 2 0 0 1 2 0 0 2 2 0 0 3 2 0 0 4 2 0 0 5 2 0 0 6 2 0 0 7 2 0 0 81 9 9 6C O B I T 第 1 版1 9 9 8C O B I T 第 2 版 I S O 1 3 5 6 9 更 新2 0 0 0C O B I T 第 3 版2 0 0 7C O B I T 4 . 12 0 0 7信 息 安 全等 級 管 理 辦 法T o d a y1 9 9 5B S 7 7 9 92 0 0 0I S O 1 7 7 9 92 0 0 5I S O 2 7 0 0 1/ 0 0 21 9 9 6I S O 1 3 5 6 9 I S O 1 3 3 3 5 第 1 部 分1 9 9 9I S O 1 5 4 0 82 0 0 1I S O 1 3 3 3 5第 5 部 分2 0 0 5C O B I T 4 . 0 I S O 1 7 7 9 9 更 新2 0 0 3關(guān) 于 信 息 安 全 等 級保 護(hù) 工 作 實(shí) 施 意 見2 0 0 3G A I S P 3 . 01 9 9 9S S E C M M 1 . 0 I T I L S e c u r i t y M a n g e m e n t2 0 0 2S S E C M M 3 . 02 0 0 3S t a n d a r d o f G o o d P r a c t i c e f o r I n f o r m a t i o n S e c u r i t y V 32 0 0 6I S O 1 3 3 3 5 第1 2 部 分 更 新2 0 0 4I S O 1 5 4 0 8 更 新1 9 9 5N I S T 8 0 0 1 21 9 9 6N I S T 8 0 0 1 41 9 9 8N I S T 1 . 82 0 0 5N I S T 8 0 0 5 32 0 0 1C r i t e r i a V e r s i o n 2 . 05 169。 2023 普華永道版權(quán)所有 2023 年 4 月 主要的信息安全標(biāo)準(zhǔn)－國際標(biāo)準(zhǔn) (續(xù)） 發(fā)布的機(jī)構(gòu) 安全標(biāo)準(zhǔn) 7 NIST（國家標(biāo)準(zhǔn)和技術(shù)研究所） NIST 800系列 8 DOD (美國國防部 ) TCSEC（可信計(jì)算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)）－ 彩虹系列 9 Carnegie Mellon Software Engineering Institute (SEI) Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) Criteria Version 10 OECD（經(jīng)濟(jì)與貿(mào)易發(fā)展組織） Guidelines for the Security of Information Systems and Networks and Associated Implementation Plan 11 The Open Group Manager’s Guide to Information Security 12 ITIL Security management 除了上述標(biāo)準(zhǔn)，世界各國的官方機(jī)構(gòu)和行業(yè)監(jiān)管機(jī)構(gòu)還有許多信息安全方面的標(biāo)準(zhǔn)、指引和建議的操作實(shí)踐。 2023 普華永道版權(quán)所有 2023 年 4 月 主要的信息安全標(biāo)準(zhǔn)－國內(nèi)標(biāo)準(zhǔn) 發(fā)布的機(jī)構(gòu) 安全標(biāo)準(zhǔn) 1 全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會 等級保護(hù)系列標(biāo)準(zhǔn) ? 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求 ? 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)定級指南 ? 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)實(shí)施指南 其他信息安全標(biāo)準(zhǔn) － 截至 2023年底，共 完成了國家標(biāo)準(zhǔn) 59項(xiàng)，還有 56項(xiàng)國家標(biāo)準(zhǔn)在研制中。 8 169。 2023 普華永道版權(quán)所有 2023 年 4 月 提綱 1. 信息安全標(biāo)準(zhǔn)概述 2. 國際標(biāo)準(zhǔn) – ISO/IEC 系列信息安全標(biāo)準(zhǔn) 3. 國際標(biāo)準(zhǔn) – COBIT 4. 國內(nèi)標(biāo)準(zhǔn) －等級保護(hù) 5. 安全標(biāo)準(zhǔn)的比較 6. 問題與回答 10 169。到目前為止， ISO有正式成員國 120多個， 中國是其中之一。 ? ISO技術(shù)工作的成果是正式出版的國際標(biāo)準(zhǔn)，即 ISO標(biāo)準(zhǔn)。 2023 普華永道版權(quán)所有 2023 年 4 月 關(guān)于 ISO