融合实施等级保护与ISO27000.pptx

融合实施信息安全等级保护与ISO27000系列标准,广州华南信息安全测评中心,目录,等级保护与ISO27000的不同点等级保护与ISO27000的相似点等级保护与ISO27000实施时的问题等级保护与ISO27000相互补充融合,引言,1985年第一个信息安全评估标准——TCSEC1994年提出符合我国国情的“分等级保护”制度2006年6月公安部开展全国等级保护试点，在全国十三个省市自治区开展2005年ISO/IEC27001正式成为标准，截止2010年底我国共有347家组织通过ISO27001认证,等级保护制度体系,等级保护重要标准,GB 17859-1999 计算机信息系统 安全保护等级划分准则GB/T 22239—2008 信息系统安全等级保护基本要求GB/T 22240—2008 信息系统安全等级保护定级指南信息系统安全等级保护测评过程指南（国标报批稿）信息系统安全等级保护测评要求（国标报批稿）GB/T 25058-2010信息系统安全等级保护实施指南GB/T 25070-2010信息系统等级保护安全设计技术要求,等级保护相关标准,GA/T 708-2007 信息系统安全等级保护体系框架GA/T 709－2007 信息系统安全等级保护基本模型GA/T 710-2007 信息系统安全等级保护基本配置GA/T 711-2007 应用软件系统安全等级保护通用技术指南GA/T 712－2007 应用软件系统安全等级保护通用测试指南GA/T 713-2007 信息系统安全管理测评GB/T 18018—2007 路由器安全技术要求GB/T 20269—2006 信息系统安全管理要求GB/T 20270—2006 网络基础安全技术要求GB/T 20271—2006 信息系统安全通用技术要求GB/T 20272—2006 操作系统安全技术要求GB/T 20273—2006 数据库管理系统安全技术要求GB/T 20275—2006 入侵检测系统技术要求和测试评价方法GB/T 20278—2006 网络脆弱性扫描产品技术要求GB/T 20279—2006 网络和终端设备隔离部件安全技术要求GB/T 20281—2006 防火墙技术要求和测试评价方法GB/T 20282—2006 信息系统安全工程管理要求GB/T 20979—2007 虹膜识别系统技术要求GB/T 20984—2007 信息安全风险评估规范GB/T 20988—2007 信息系统灾难恢复规范GB/T 21028—2007 服务器安全技术要求GB/T 21052—2007 信息系统物理安全技术要求GB/T 21053—2007 公钥基础设施 PKI系统安全等级保护技术要求GB/Z 20985—2007 信息安全事件管理指南 YD/TGB/Z 20986—2007 信息安全事件分类分级指南,ISO27000发展,,,27010～27019,ISO/IEC27000族,预留给ISMS标准族的解释性指南与文档,27000原理与术语,27001管理体系要求,27002管理实践规范,27003体系风险管理,27004管理体系测量,27005~27009实施指南等,信息安全管理体系基础和术语,Information security management measurements 信息安全管理测量,ISMS的发展和认证进入一个重要的里程碑,ISMS标准体系－ISO/IEC27000族介绍,等级保护与ISO27001不同点,出发点不同,分级标准差异,安全分类差异,等级保护基本要求组织形式,ISO/IEC27000标准体系要求,注：11个控制域，39个控制目标，133个控制措施,安全需求分析流程差异,ISO27001,等级保护,ISO27000体系实施流程,规划（建立ISMS）,实施（实施和运行ISMS）,检查（监视和评审ISMS）,处置（保持和改进ISMS）,建立与管理风险和改进信息安全有关的ISMS方针、目标、过程和程序，以提供与组织总方针和总目标相一致的结果。

实施和运行ISMS方针、控制措施、过程和程序对照ISMS方针、目标和实践经验，评估并在适当时，测量过程的执行情况，并将结果报告管理者以供评审基于ISMS内部审核和管理评审的结果或者其他相关信息，采取纠正和预防措施，以持续改进ISMS等级保护实施流程,等级保护与ISO27001相似点,,风险处理思想相同,安全分类共同点,,,安全机构,人员安全,网络安全,物理安全,等级保护,主机安全,应用安全,安全制度,系统运维,系统建设,数据安全,宏观与微观相辅相成,两个体系均认识到：信息系统分布于各个组织内部组织内部的信息安全是国家整体安全基础国家整体安全体现在各个组织微观能力上组织的风险同时来自于内部和外部没有国家宏观信息安全也没有组织内部信息安全,覆巢之下岂有完卵！,等级保护与ISO27000实施问题,,ISO27000实施难点,风险评估方法选择困难、实施难度大、耗时长、成本高如何选择控制措施困难，如何有重点针对性的选择控制措施更难,等级保护实施过程不足,虽预留特殊安全保护需求，但对大型系统，宏观分级无法细化到具体要求以国家安全、社会秩序和公共利益为出发点，对特定单位需求有偏差，导致推动等保力度和决心不足,等级保护与ISO27000互相补充促进,,内容的相互补充,实施过程的融合,,,,保护对象划分和定级,网络系统划分和定级,,,,,,资产,脆弱性,威胁,,,风险分析,,,基本安全要求,等级保护管理办法、指南信息安全政策、标准、法律法规,安全需求,风险列表,,安全规划,,风险评估,结合等级保护测评的风险评估流程,结论,等级保护与ISO27000融合实施，信息安全保障一箭双雕！,谢谢！,,。