信息安全标准上共97页.ppt
97页
LOGO第第13讲讲 信息安全标准(一)信息安全标准(一)北京邮电大学 计算机学院副教授 徐国爱信息安全标准体系 LOGO§标准基础知识简介§信息安全标准化组织§国外信息安全相关标准§国内信息安全相关标准本讲提纲 LOGO基本概念基本概念§标准化:在一定的范围内获得最佳秩序,对实际的或潜在的问题制定共同的和重复使用的规则的活动§实质:通过制定、发布和实施标准,达到统一§目的:获得最佳秩序和社会效益§意义:促进和带动产业发展;解决安全互联互通 LOGO§等同采用国际标准IDT(identical)§修改采用国际标准MOD(modified)§非等效采用国际标准NEQ(not equivalent)——是指我国标准在技术内容与文本结构上均与国际标准完全相同,或者我国标准在技术内容上可以与国际标准相同,但可以包含小的编辑性修改是采用国际标准的基本方法之一——是指允许我国标准和国际标准存在技术性差异,并对这些技术性差异进行了清楚的标示和解释是采用国际标准的基本方法之一——是指我国标准与相应国际标准在技术内容和文本结构上均不相同,它们之间的差异也未被清楚的标示其不属于采用国际标准 LOGO标准的分类标准的分类§从世界范围,按标准的层次分类:•国际标准国际标准:由国际标准化组织(ISO)和国际电工委员会(IEC)制定的标准。
•区域标准区域标准:是世界区域性标准化组织制定的标准•国家标准国家标准:在一个国家内通用的标准•行业标准行业标准:是在某个行业或专业范围内适用的标准•企业标准企业标准:有企业制定的标准 LOGO我国按适用范围分类我国按适用范围分类企业标准企业标准地方标准地方标准行业标准行业标准国家标准国家标准 LOGO国家标准国家标准―对需要在全国范围内统一的技术要求,应当制定国家标准―国家标准由国家标准化管理委员会编制计划、审批、编号、发布―国家标准代号为:GB和GB/T,其含义分别为强制性国家标准和推荐性国家标准―国家标准是四级标准体系中的主体,在全国范围内使用,其他各级标准不得与之相抵触―2019年增加一种“国家标准化指导性技术文件”,作为国家标准的补充,其代号为GB/Z LOGO行业标准行业标准―对没有国家标准又需要在全国某个行业范围内统一的技术要求,可以制定行业标准―当相应的国家标准实施后,该行业标准应自行废止―行业标准由行业标准归口部门编制计划、审批、编号、发布、管理―部分行业的行业标准代号如下:汽车——QC化工——HG电子——SJ石油化工——SH有色金属——YS邮电通信——YD机械——JB船舶——CB电力——DL商检——SN包装——BB核工业——EJ LOGO地方标准地方标准―对没有国家标准和行业标准而又需要在省、自治区、直辖市范围内统一的要求,可以制定地方标准。
―地方标准由省、自治区、直辖市标准化行政主管部门统一编制计划、组织制定、审批、编号、发布―地方标准在本行政区域内使用,不得与国家标准和行业标准相抵触国家标准、行业标准公布实施后,相应的地方标准自行废止―地方标准制定范围:•工业产品的安全、卫生要求;•药品、兽药、食品卫生、环境保护、节约能源、种子等法律法规要求;•其他法律法规规定的要求 LOGO企业标准企业标准―是对企业范围内需要协调、统一的技术要求、管理要求和工作要求所制定的标准―企业标准由企业制定,企业标准是企业组织生产、经营活动的依据,由企业法人代表或法人代表授权的主管领导批准、发布―企业产品标准应在发布后30日内向政府备案 LOGO§按法律的约束性分类:强制性强制性标准标准推荐性推荐性标准标准标准化指标准化指导性技术导性技术文件文件 LOGO技术标准管理标准工业标准按标准的性质按标准的性质按标准的性质按标准的性质分类分类分类分类 LOGO§按标准化的对象和作用分类:分类分类基础标准基础标准产品标准产品标准方法标准方法标准安全标准安全标准卫生标准卫生标准环境保护标准环境保护标准 LOGO标准化三维空间标准化三维空间国际级区域级国家级行业级地方级企业级人员服务系统产品过程术语体系、框架技术机制应用管理YXZ•X轴代表标准化的对象•Y轴代表标准化的内容•Z轴代表标准化的级别 LOGO八字原理八字原理我国通行我国通行我国通行我国通行“ “标标准化八字原理准化八字原理准化八字原理准化八字原理” ”统统一一一一简简化化化化协调协调最最最最优优 LOGO我国标准工作归口单位我国标准工作归口单位§国家标准化管理委员会sac.gov/§全国信息安全标准化技术委员会(简称信息安全标委会,TC260)tc260.org/§全国信息技术标准化技术委员会(简称信标委,CITS),负责全国信息技术领域以及与ISO/IEC JTC1相对应的标准化工作。
nits.gov/§全国金融标准化技术委员会(简称金标委),负责金融系统标准化技术归口管理工作和国际标准化组织中银行与相关金融业务标准化技术委员会的归口管理工作cfstc.org/ LOGOIT标准化标准化§IT标准发展趋势1.标准逐步从技术驱动向市场驱动方向发展2.信息技术标准化机构由分散走向联合3.信息技术标准化的内容更加广泛,重点更加突出,从IT技术领域向社会各个领域渗透,涉及教育、文化、医疗、交通、商务等广泛领域,需求大量增加4.从技术角度看,IT标准化的重点将放在网络接口、软件接口、信息格式、安全等方面,并向着以技术中立为前提,保证互操作为目的方向发展 LOGO§标准基础知识简介§信息安全标准化组织§国外信息安全相关标准§国内信息安全相关标准本讲提纲 LOGO国际信息安全标准化组织国际信息安全标准化组织§国际标准化组织(ISO)•建于1947年2月23日•2952个技术成员•工作成果发布为国际标准(IS)u由146个国家标准成员组成的世界联盟▪190个技术委员会(TCs)、544个子委员会(SCs)、2188个工作组(WGs)u与安全相关机构•ISO/IEC JTC 1/SC 27:IT安全技术•ISO TC 68:金融服务•ISO TC 215:健康医疗学 LOGO§国际标准化组织(ISO)uJTC1其他分技术委员会•SC6——系统间通信与信息交换•SC17——识别卡和有关设备•SC18——文件处理及有关通信•SC21——开放系统互连,数据处理和开放式分布处理•SC22——程序语言,其环境及系统软件接口,也开发相应的安全标准•SC30——开放式电子数据交换,主要开发电子数据交换的有关安全标准 LOGO§国际电工委员会(IEC)u正式成立于1906年10月,是世界上成立最早的专门国际标准化机构。
u成立的相关技术委员会:•TC56:可靠性•TC74:IT设备安全与功效•TC77:电磁兼容•TC108:音频/视频•CISPR:无线电干扰特别委员会 LOGO§国际电信联盟(ITU)u成立于1865年5月17日,其前身是国际电报和咨询委员会(CCITT)u主要负责研究通信系统安全标准uITU SG17组主要研究方向:•通信安全项目•安全架构与框架•计算安全•安全管理•用于安全的生物测定•安全通信服务 LOGO§Internet工程任务组(IETF)u始创于1986年,包括170多个RFC,12个工作组u主要任务:负责互联网相关技术规范的研发和制定uIETF安全工作小组:•PGP开发规范(openpgp)•鉴别防火墙遍历(aft)•通用鉴别技术(cat)•域名服务系统安全(dnssec)•IP安全协议(ipsec)•一次性口令鉴别(otp)•X.509公钥基础设施(pkix)•S/MIME安全电子邮件(smime)•安全Shell(secsh)•传输层安全(tls) LOGO§电气和电子工程师学会(IEEE)u1963年1月1日由美国无线电工程师协会(IRE, 创立于1912年)和美国电气工程师协会(AIEE,创建于1884年)合并而成。
uIEEE 802委员会,成立于1980年2月,任务是制定局域网的国际标准(802.1~17)•高层接口•逻辑链路控制•CSMA/CD网•令牌总线网•令牌环网•城域网•…… LOGO§欧洲计算机制造商协会(ECMA)u负责适用于计算机技术的各种的标准的制定和颁布•TC32——“通信、网络和系统互连”曾定义了开放系统应用层安全结构•TC36——“IT安全”负责信息技术设备的安全标准 LOGO外国信息安全标准化组织外国信息安全标准化组织§美国◘美国国家标准协会(ANSI)◘国家标准与技术研究院(NIST)◘美国国防部(DOD)▪NCITS-T4 制定IT安全技术标准▪X9 制定金融业务标准▪X12 制定商业交易标准▪负责联邦政府非密敏感信息▪其工作以NIST出版物(FIPSPUB)和NIST特别出版物(SPECPUB)等形式发布▪制定了数据加密标准DES、密钥托管加密标准EES▪负责涉密信息▪NSA(National Security Agency,美国国家安全局)▪国防部指令(DODI)(如TCSEC) LOGO§英国▪BS 7799▪医疗卫生信息系统安全§加拿大▪计算机安全管理§日本▪JIS 国家标准▪JISC 工业协会标准§韩国▪KISA负责▪防火墙、IDS、PKI方面标准 LOGOISO/IEC JTC1 SC27§ISO/IEC JTC1 SC27——IT安全技术§其工作领域是IT安全的通用方法和技术,包括:§ISO/IEC JTC1 SC27已成为信息安全领域最具权威和得到国际最广泛认可的标准化组织。
•为IT安全服务识别通用要求(包括要求方法);•开发安全技术和机制(包括注册流程以及安全组件的关系);•开发安全指南(例如:解释文件、风险分析);•开发管理支持文件和标准(例如:术语和安全评估准则) LOGO§SC27的5个工作组方向: WG3安全评估 WG1信息安全管理体系 WG4安全控制与服务 WG2密码与安全机制WG5身份管理与隐私技术评估评估指南指南技术技术产品产品系统系统过程过程环境环境 LOGOISO/IEC JTC1 SC27标准动态表标准动态表标准号标准名称ISO/IEC TR 13335-3IT安全管理指南-第三部分:IT安全管理技术ISO/IEC TR 13335-4IT安全管理指南-第四部分:安全措施选择ISO/IEC TR 13335-1信息与通信技术安全管理-第一部分:信息与通信技术安全管理的概念和模型ISO/IEC 27000信息安全管理体系-概念和词汇ISO/IEC 27001信息安全管理体系-要求ISO/IEC 27002信息安全管理实用规则ISO/IEC 27003信息安全管理体系实现指南ISO/IEC 27004信息安全管理测量ISO/IEC 27005信息安全风险管理ISO/IEC 27006信息安全管理体系审核认证机构的要求ISO/IEC 27007信息安全管理体系审核指南ISO/IEC 7064校验字符系统… LOGO国内信息安全标准化组织国内信息安全标准化组织§全国信息安全标准化技术委员会——简称信安标委(TC260)▪2019年4月15日成立▪负责组织开展国内信息安全有关的标准化工作▪工作范围包括:•共76个标准(13项修订标准)•50项标准正在研制中•安全技术•安全机制•安全服务•安全管理•安全评估 LOGO§TC260工作组•WG1:信息安全标准体系与协调工作组•WG2:涉密信息系统安全保密标准工作组•WG3:密码技术标准工作组•WG4:鉴别与授权工作组•WG5:信息安全评估工作组•WG7:信息安全管理工作组 LOGO信安标委工作组信安标委工作组工作任务工作任务WG1研究信息安全标准体系跟踪国际标准发展动态研究信息安全标准需求研究并提出新工作项目及设立新工作组的建议协调过工作组项目WG2研究提出涉密信息系统安全保密标准体系制定和修改涉密信息系统安全保密标准WG3研究提出密码技术标准体系研究制定密码算法、密码模块和密钥管理等相关标准WG4研究制定鉴别与授权标准体系调研国内相关标准需求研究制定鉴别与授权标准WG5调研测评标准现状与发展趋势研究我国统一测评标准体系的思路和框架,提出测评标准体系研究制定急需的测评标准WG7研究信息安全管理动态,调研国内管理标准需求研究提出信息安全管理标准体系制定信息安全管理相关标准 LOGO§信安标委制定国家信息安全标准流程:立项申请提出草案工作组征求意见评审通过形成送审稿秘书处网上征求意见评审通过形成送批稿主任办公会审查国标委批准发布定期复审提出修改 LOGO国内其他信息安全标准管理机构国内其他信息安全标准管理机构§国家保密局§行业标准化组织▪负责管理、发布并强制执行国家保密标准。
▪国家保密标准和国家保密法规共同构成我国保密管理的重要基础▪公安部信息系统安全标准化技术委员会▪中国通信标准化协会网络与信息安全技术工作委员会•成立于2019年3月31日•负责规划和制定我国公共安全行业信息安全标准和技术规范,监督技术标准的实施•成立于2019年12月•专门组织、研究和制定通信行业网络与信息安全相关的技术标准和技术规范 LOGO§标准基础知识简介§信息安全标准化组织§国外信息安全相关标准§国内信息安全相关标准本讲提纲 LOGO国外信息安全相关标准和指南国外信息安全相关标准和指南 OECD指南指南 GASSP 英国英国BSIBS 7799-1BS 7799-2 美国美国NISTNIST SP 800-53NIST SP 800-30……COBITITILISO/IEC 17799ISO/IEC 27001ISO/IEC 13335ISO/IEC 27000系列系列CNITSEC信息系统安全保障框架信息系统安全保障框架管理保障部分管理保障部分国外组织机构指南国外国家标准指南信息系统审计领域IT服务管理领域 LOGOBS 7799标准标准§由英国标准协会BSI制定§BS 7799标准:•BS 7799-1:2019《信息安全管理实用规则》•BS 7799-2:2019 《信息安全管理体系规范》•BS 7799-3:2019 《信息安全风险评估》•安全方针的制定•安全责任的归属•风险的评估•访问控制•防病毒相关策略•……§BS 7799广泛涵盖所有信息安全议题: LOGO§BS 7799-1▪是组织建立并实施信息安全管理的一个指导性准则▪从以下10个方面定义了127 项控制措施:•安全政策•组织安全•资产分类与控制•人员安全•物理与环境安全•业务连续性管理•符合性管理•通信与操作管理•访问控制•系统开发与维护 侧重于组织整体的侧重于组织整体的管理和运营操作管理和运营操作 与信息安全技术相与信息安全技术相关关 LOGO§BS 7799-2▪引用PDCA模型,将信息安全管理体系分解成4个子过程:1)风险评估 3)安全管理 2)安全设计与执行 4)再评估▪建立信息安全管理体系的步骤:1)定义信息安全策略2)定义ISMS范围3)进行信息安全风险评估4)信息安全风险管理5)确定控制目标和选择控制措施6)准备信息安全适用性声明 LOGOISO/IEC 17799标准标准§2000年12月,BS 7799-1被ISO正式批准为国际标准,编号ISO/IEC 17799§最新版本ISO/IEC 17799:2019•提高外部风险管理要求(例如:外包、服务提供商、第三方、业务合作伙伴或客户)•增加了服务等级协议(SLA)、审计说明•服务交付管理沿用IT服务管路标准BS 15000/ISO 20000的思想 LOGO§ISO/IEC 17799:2019标准结构•前言•0引言•1范围•2术语和定义•3本标准的组织结构•4风险评估和处置•5安全策略•6信息安全的组织架构•7资产管理•8人力资源管理•9物理和坏境安全•10通信和运行安全•11访问控制•12信息系统采购、开发和维护•13信息安全事故管理•14业务持续性管理•15符合性 LOGOISO/IEC 2700X标准族标准族 ISMS要求ISO/IEC 27001:2019(BS 7799-2:2019) ISMS实用规则ISO/IEC 27002:2019( ISO/IEC 17799) ISMS实施指南ISO/IEC 27003 ISMS测量ISO/IEC 27004 风险管理ISO/IEC 27005( ISO/IEC 13335-3) ISMS审核和认证机构ISO/IEC 27006:2019 ISMS概念和词汇表ISO/IEC 27000:2019( ISO/IEC 13335-1) ISMS审核员指南ISO/IEC 27007特定标准和指南特定标准和指南附录A LOGO§ISO/IEC 27001:2019•2019年10月,BS 7799-2成功升级为国际标准,编号为ISO/IEC 27001•ISO/IEC 27001是信息安全管理体系(ISMS)的规范说明•强调风险管理的思想,指导组织建立ISMS LOGOp建立方针和目标并实现这些目标的相互关联或相互作用的一组要素。
p管理体系包括组织结构,策略,规划,角色,职责,流程,程序和资源等p管理的方方面面以及公司的所有雇员,均囊括在管理体系范围内Quality management system (ISO 9001)Environmental management system(ISO 14001)Safety management system(OHSAS 18001)Human Food Safety management system(HACCP)IT Service Management System (ISO 20000)Information security management system(ISO 27001)什么是管理体系?什么是管理体系? LOGO§信息安全管理体系信息安全管理体系(ISMS):§是整个管理体系的一部分,是整个管理体系的一部分,建立在业务风险的方法上,建立在业务风险的方法上,以:以: p建立建立p实施实施p运作运作p监控监控p评审评审p维护维护p改进改进§信息安全信息安全职业健康职业健康安全安全IT服务服务信息安全信息安全环境环境管理体系管理体系食品安全食品安全质量质量建设了建设了ISMS,尤其是获取了,尤其是获取了ISO27001认证后,组织将在信息安认证后,组织将在信息安全方面进入一个强制的良性循环。
全方面进入一个强制的良性循环 LOGO0. 引言引言1. 范围范围2. 规范性应用文件规范性应用文件3. 术语和定义术语和定义4. 信息安全管理体系信息安全管理体系(ISMS)4.1 总要求总要求4.2 建立和管理建立和管理ISMS4.2.1 建立建立 ISMS4.2.2 实施和运维实施和运维 ISMS4.2.3 监控和评审监控和评审 ISMS4.2.4 维护和改进维护和改进 ISMS4.3 文件要求文件要求5. 管理职责管理职责6. ISMS的内部审核的内部审核7. ISMS的管理评审的管理评审8. ISMS 改进改进附录附录A 控制目标和控制措施控制目标和控制措施附录附录B OECD原则与本标准原则与本标准附录附录C ISO9001:2000和和ISO14001:2019对照对照参考书目参考书目SO/IEC27001:2019的结构的结构27001辅助部分辅助部分27001核心部分核心部分(条款(条款4-8)27001核心部分核心部分27001辅助部分辅助部分 LOGO 27001的核心内容的核心内容相关方相关方受控的受控的信息安信息安全全信息安信息安全要求全要求和期望和期望相关方相关方检查检查CheckCheck建立建立ISMSISMS实施和实施和运行运行ISMSISMS保持和保持和改进改进ISMSISMS监视和监视和评审评审ISMSISMS规划规划PlanPlan实实施施DoDo处处置置ActAct§一个组织应在其整体业务活动和所面临风风险险的环境下建立、实施、运行、监视、评审、保持和改进文文件件化化的的ISMSISMS。
就本标准而言,使用的过程基于图1所示的PDCAPDCA模型模型图1 应用于ISMS过程的PDCA模型 LOGOISO27001所关注的领域所关注的领域信息安全策略信息安全策略信息安全信息安全组织资产管理管理人力人力资源的安全源的安全物理和物理和环境安全境安全通信和操作管理通信和操作管理访问控制控制信息系信息系统的的获取,开取,开发和和维护信息安全事故管理信息安全事故管理业务连续性管理性管理合合规性性 LOGOISO27001正式的标准正式的标准可认证的标准可认证的标准管理体系的要求管理体系的要求控制措施的要求控制措施的要求ISO 17799实施施细则(一整套最佳(一整套最佳实践)践)控制措施的控制措施的实施建施建议和和实施指施指导ISO27001的附的附录A的的细化与化与补充充ISO27001与与ISO17799((27002))为为设设计计控控制制措措施施提提供供实实施施指指南南ISO/IEC 17799为设计控制措施提供实施指南为设计控制措施提供实施指南 LOGOISO/IEC 13335§ISO/IEC TR 13335系列:GMITS(IT安全管理指南)系列标准§ISO/IEC IS 13335系列:MICTS(信息与通信技术安全管理)•ISO/IEC TR 13335-1:2019《IT安全的概念与模型》•ISO/IEC TR 13335-2:2019《IT安全管理与策划》•ISO/IEC TR 13335-3:2019《IT安全管理技术》•ISO/IEC TR 13335-4:2000《安全管理措施的选择》•ISO/IEC TR 13335-5:2019《网络安全管理指南》▪ISO/IEC 13335-1:2019 第1部分:信息与通信技术安全管理概念和模型▪ISO/IEC 13335-2 第2部分:信息与通信技术安全风险管理技术•取代ISO/IEC TR 13335-1:2019•将取代ISO/IEC TR 13335-2:2019 LOGOISO27001正式的标准正式的标准可认证的标准可认证的标准管理体系的要求管理体系的要求控制措施的要求控制措施的要求ISO TR 13335风险管理方法管理方法论提供如何提供如何识别风险到到风险处置置对ISO27001的的风险评估估方法的方法的细化和化和补充充ISO27001与与ISO13335为为风风险险管管理理提提供供方方法法风险评估具有不同的方法。
在ISO/IEC TR 13335-3(IT安全管理指南:IT安全管理技术)中描述了风险评估方法的例子 LOGOISO13335:以风险为核心的安全模型:以风险为核心的安全模型风险风险安全措施安全措施信息资产信息资产威胁威胁漏洞漏洞安全需求安全需求降低增加增加利用暴露价值价值拥有抗击增加引出被满足 LOGO§资产资产((Asset))q任何对组织有价值的东西任何对组织有价值的东西[ISO/IEC27001:2019 3 术语和定义术语和定义]q资产是企业、机构直接赋予了价值因而需要保护的东西资产是企业、机构直接赋予了价值因而需要保护的东西q信息资产是指组织的信息系统、其提供的服务以及处理的数据信息资产是指组织的信息系统、其提供的服务以及处理的数据资产的根本属性是:资产的根本属性是:价值价值((C C、、I I、、A A值)值) 风险风险安全措施安全措施信息资产信息资产威胁威胁漏洞漏洞安全需求安全需求降低增加增加利用暴露价值价值拥有抗击增加引出被满足 LOGO§漏洞漏洞((Vulnerability))q脆脆弱弱性性是是资资产产本本身身存存在在的的,,它它可可以以被被威威胁胁利利用用、、引引起起资资产产或或商商业业目目标的损害标的损害。
q脆脆弱弱性性包包括括物物理理环环境境、、组组织织、、过过程程、、人人员员、、管管理理、、配配置置、、硬硬件件、、软软件和信息等各种资产的脆弱性件和信息等各种资产的脆弱性 q脆脆弱弱性性的的根根本本属属性性是是::严严重重程程度度((脆脆弱弱性性被被利利用用后后对对资产的损害程度、脆弱性被利用的难易程度)资产的损害程度、脆弱性被利用的难易程度) 风险风险安全措施安全措施信息资产信息资产威胁威胁漏洞漏洞安全需求安全需求降低增加增加利用暴露价值价值拥有抗击增加引出被满足 LOGO§威胁威胁((Threat))q威胁是对组织的资产引起不期望事件而造成的损害的潜在可能性威胁是对组织的资产引起不期望事件而造成的损害的潜在可能性 q威威胁胁可可以以分分为为人人为为威威胁胁((故故意意、、非非故故意意))和和非非人人为为威威胁胁((环环境境、、故障)故障)2种 q威威胁胁的的根根本本属属性性是是::出出现现的的频频率率((还还包包括括威威胁胁的的能能力,威胁的决心力,威胁的决心风险风险安全措施安全措施信息资产信息资产威胁威胁漏洞漏洞安全需求安全需求降低增加增加利用暴露价值价值拥有抗击增加引出被满足 LOGO风险评估实施流程图风险评估实施流程图 LOGO美国国家标准与技术委员会美国国家标准与技术委员会NIST§美国NIST相关管理标准指南§NIST SP 800系列中信息安全管理相关文件:•NIST SP 800系列是NIST根据美国联邦信息安全管理法案(FISMA 2019)所赋予的法定职责所开发的系列文件。
•NIST SP 800-53:联邦信息系统推荐安全控制•NIST SP 800-18:开发IT系统安全计划指南•NIST SP 800-30:IT系统风险管理指南•NIST SP 800-34:IT系统业务持续性规划指南•NIST SP 800-50:建立信息安全意识和培训管理•…… LOGO系统安全工程系统安全工程-能力成熟度模型(能力成熟度模型(SSE-CMM))§1993年4月美国国家安全局(NSA)开始酝酿§2019年10月发布SSE-CMM的1.0版本§2019年4月完成SSE-CMM的2.0版本§2019年成为国际标准ISO/IEC 21827:2019 《信息技术 系统安全工程 能力成熟度模型》§2019年6月由国际系统安全工程协会(ISSEA)更新为3.0版本§2019年10月,ISO基于SSE-CMM 3.0发布了ISO/IEC 21827:2019 LOGOSSE-CMM§定义•描述了一个组织的安全工程过程安全工程过程必须包含的本质特征,这些特征是完善的安全工程保证•现代统计过程控制理论现代统计过程控制理论表明通过强调生产过程的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品。
•SSE-CMM项目目标是促进安全工程成为一个确定的、成熟的和可度量的科目•通过区分投标者的能力级别和相关计划风险来选择合格的安全选择合格的安全工程提供商工程提供商;•工程组把投资投资集中在安全工程工具、培训、过程定义、管理实施和改进上;•基于能力的保证基于能力的保证,也就是说,信赖是基于对工程组织安全工程实践和过程成熟的信心§理论基础§目的 LOGOSSE-CMM体系结构体系结构§SSE-CMM包括两维:“域”和“能力” LOGO基本实施及过程域基本实施及过程域§SSE-CMM包含61个基本实施过程,其被归入11个安全工程过程域(PA)•PA01—管理安全控制•PA02—评估影响•PA03—评估安全风险•PA04—评估威胁•PA05—评估脆弱性•PA06—建立安全论据•PA07—协调安全•PA08—监视安全态势•PA09—提供安全输入•PA10—确定安全需求•PA11—验证与确认安全 LOGO通用实施与公共特征通用实施与公共特征§通用实施是应用于所有过程域中的活动其针对的是过程的管理、测量和制度化§通用实施被归入12个不同的逻辑域,称为“公公共特征共特征”§12个公共特征被分为5个能力级别能力级别,代表了依次增长的安全功能能力。
LOGO§通用实施、公共特征、能力级别的关系以实施或制度化为手段来提高工程过程的实施能力通用实施的集合,每一集合中的公共特征面向的是同一类过程的管理和制度化问题若干个公共特征的组合,显示了安全工程过程的实施能力级别 LOGO§SSE-CMM五个能力级别SSE-CMM五个能力级别及其包含的公共特征 LOGO安全工程过程安全工程过程安全工程过程的三个主要部分 LOGO§风险过程风险过程 PA04:评估威胁 PA05:评估脆弱性 PA02:评估影响威胁信息脆弱性信息影响信息 PA03:评估安全风险风险信息SSE-CMM中与风险相关的过程域 LOGO§工程过程工程过程 PA10:确定安全需求 PA01:管理安全控制 PA09:提供安全输入风险信息要求、政策等解决方案、指导等 PA08:监视安全态势配置信息SSE-CMM中与工程相关的过程域 PA07:协调安全 LOGO§保证过程保证过程 PA11:检验与确认安全检验与确认后的证据证据 PA06:建立安全论据保证论据SSE-CMM中与保证相关的过程域 其他的PA LOGO信息及相关技术控制目标(信息及相关技术控制目标(COBIT))§由信息系统审计和控制协会(ISACF)于2019年发布§国际通用的信息系统审计信息系统审计标准,为信息系统审计和治理提供一整套的控制目标、管理措施、审计指南等。
§把IT划分为4个域,并进一步细分为34个流程:•规划与组织(PO)•获取与实施(AI)•交付与支持(DS)•监控(M)评估风险确保持续的服务保证系统安全安全审计 LOGO IT治理治理 信息信息 监控监控 IT资源资源 交付与支持交付与支持 获得与实施获得与实施 规划与组织规划与组织 COBIT 组织战略目标组织战略目标§COBIT模型 LOGOCOBIT的的4个域,个域,34个个IT处理流程处理流程 1 规划与组织规划与组织POPO1 制定IT战略规划PO2 确定信息体系结构PO3 确定技术方向PO4 定义IT组织与关系PO5 管理IT资产PO6 沟通管理目标与方向PO7人力资源管理PO8 确保符合外部需求PO9 风险评估PO10 项目管理PO11 质量管理 2 获取与实施获取与实施AIAI1 确定自动化解决方案AI2 获取并维护应用软件AI3 获取并维护技术基础设施AI4 程序开发与维护AI5 系统安装与鉴定AI6 变更管理 3 交付与支持交付与支持DS DS1 定义并管理服务水平DS2 管理第三方服务DS3 性能管理与容量管理DS4 确保服务的连续性DS5 确保系统安全DS6 确定并分配成本DS7 教育并培训用户DS8 为客户提供帮助和建议DS9 配置管理DS10 问题管理和突发事件管理DS11 数据管理DS12 设施管理DS13 操作管理 4 监控监控MMI 过程监控M2 评价内部控制的适当性M3 确保独立性鉴定M4 提供独立性审计 LOGO§COBIT产品家族分类: 执行概要 高级控制目标框架 实施工具集 管理指南 具体控制目标 审计指南 关键成功因素、关键目标指标与关键绩效指标 成熟度模型 LOGO信息技术基础设施库(信息技术基础设施库(ITIL))§由英国政府的中央计算机和通信机构(CCTA)制定,由英国商务部(OGC)负责维护,主要适用于IT服务管理(ITSM)§ITIL核心内容:服务支持和服务交付服务支持(服务支持(Service Support)服务支付(服务支付(Service Delivery))•服务台•事故管理•问题管理•配置管理•变更管理•发布管理•服务级别管理•成本管理•持续性管理•可用性管理•容量管理 LOGO§ITIL整体架构ITIL的架构模型 LOGO§标准基础知识简介§信息安全标准化组织§国外信息安全相关标准§国内信息安全相关标准本讲提纲 LOGO 信息安全技信息安全技术标准体系准体系管理管理管理管理标标准准准准基基基基础标础标准准准准安安安安全全全全术术语语技技技技术术与机制与机制与机制与机制标标准准准准体体体体系系系系与与与与模模模模型型型型保保保保密密密密技技技技术术密密密密码码技技技技术术标标识识与与与与鉴鉴别别系系系系统统评评估估估估产产品品品品评评估估估估评评估估估估基基基基础础工工工工程程程程与与与与服服服服务务管管管管理理理理方方方方法法法法管管管管理理理理基基基基础础物物物物理理理理安安安安全全全全管管管管理理理理技技技技术术管管管管理理理理要要要要素素素素测评标测评标准准准准授授授授权权与与与与访访问问控控控控制制制制 LOGO国内信息安全相关标准国内信息安全相关标准§2019年发布了1项§2019年发布了3项§2000年发布了1项§2019年发布了2项§2019年发布了8项§2019年发布了18项§2019年发布了14项§2019年发布了20项§2009年发布了3项§…… LOGO国家信息安全标准化工作成果国家信息安全标准化工作成果完成标准制定完成标准制定正在制定的标准正在制定的标准信息安全等级保护92网络信任体系建设3019网络安全产品测评2617信息安全管理标准104其他应用安全标准18合计7650信息安全标准分布情况 LOGO§2019年发布的信息安全国标 •BG 17859-2019 计算机信息系统安全保护等级划分准则•GB/T 17901.1-19 99 信息技术 安全技术 密钥管理 第1部分:框架•GB/T 17902.1-2019 信息技术 安全技术 带附录的数字签名 第1部分:框架§2019年发布的信息安全国标 •GB 15851-2019 信息技术 安全技术 带消息恢复的数字签名方案 LOGO§2000年发布的信息安全国标•GB/T 18238.1-2000 信息技术 安全技术 散列函数 第1部分:概述§2019年发布的信息安全国标•GB/T 18238.2-2019信息技术 安全技术 散列函数 第2部分:采用n位块密码的散列函数•GB/T 18238.3-2019信息技术 安全技术 散列函数 第3部分:专用散列函数 LOGO§2019年发布的信息安全国标•GB/T 19713-2019信息技术 安全技术 公钥基础设施 证书状态协议•GB/T 19714-2019信息技术 安全技术 公钥基础设施 证书管理协议•GB/Z 19717-2019基于多用途互联网邮件扩展(MIME)的安全报文交换•GB/T 19771-2019信息技术 安全技术 公钥基础设施 PKI 组件最小互操作规范•GB/T 20008-2019信息安全技术 操作系统安全评估准则•GB/T 20009-2019信息安全技术 数据库管理系统安全评估准则•GB/T 20190-2019信息安全技术 包过滤防火墙评估准则•GB/T 20191-2019信息安全技术 路由器安全评估准则 LOGO§2019年发布的信息安全国标•GB/T 20269-2019信息安全技术 信息系统安全管理要求•GB/T 20270-2019信息安全技术 网络基础安全技术要求•GB/T 20271-2019信息安全技术 信息系统通用安全技术要求•GB/T 20272-2019信息安全技术 操作系统安全技术要求•GB/T 20273-2019信息安全技术 数据库管理系统安全技术要求•GB/T 20274.1-2019信息安全技术 信息系统安全保障评估框架 第一部分:简介和一般模型 LOGO§2019年发布的信息安全国标(续)•GB/T 20275-2019信息安全技术 入侵检测系统技术要求和测试评价方法•GB/T 20276-2019信息安全技术 智能卡嵌入式软件安全技术要求(EAL4增强级)•GB/T 20277-2019信息安全技术 网络和终端设备隔离部件测试评价方法•GB/T 20278-2019信息安全技术 网络脆弱性扫描产品技术要求•GB/T 20279-2019信息安全技术 网络和终端设备隔离部件安全技术要求•GB/T 20280-2019信息安全技术 网络脆弱性扫描产品测试评价方法 LOGO§2019年发布的信息安全国标(续)•GB/T 20281-2019信息安全技术 防火墙技术要求和测试评价方法•GB/T 20282-2019信息安全技术 信息系统安全工程管理要求•GB/Z 20283-2019信息安全技术 保护轮廓和安全目标的产生指南•GB/T 20518-2019信息安全技术 公钥基础设施 数字证书格式•GB/T 20519-2019信息安全技术 公钥基础设施 特定权限管理中心技术规范•GB/T 20520-2019信息安全技术 公钥基础设施 时间戳规范 LOGO§2019年发布的信息安全国标•GB/T 18018-2019信息安全技术 路由器安全技术要求•GB/T 20945-2019信息安全技术 信息系统安全审计产品技术要求和测试评价方法•GB/T 20979-2019信息安全技术 虹膜识别系统技术要求•GB/T 20983-2019信息安全技术 网上银行系统信息安全保障评估准则•GB/T 20984-2019信息安全技术 信息安全风险评估规范•GB/Z 20985-2019信息技术 安全技术 信息安全事件管理指南•GB/Z 20986-2019信息安全技术 信息安全事件分类分级指南 LOGO§2019年发布的信息安全国标(续)•GB/T 20987-2019信息安全技术 网上证券交易系统信息安全保障评估准则•GB/T 20988-2019信息安全技术 信息系统灾难恢复规范•GB/T 21028-2019信息安全技术 服务器安全技术要求•GB/T 21050-2019信息安全技术 网络交换机安全技术要求(评估保证级3)•GB/T 21052-2019信息安全技术 信息系统物理安全技术要求•GB/T 21053-2019信息安全技术 公钥基础设施 PKI系统安全等级保护技术要求•GB/T 21054-2019信息安全技术 公钥基础设施 PKI系统安全等级保护评估准则 LOGO§2019年发布的信息安全国标•GB/T 17964-2019信息安全技术 分组密码算法的工作模式•GB/T 22080-2019信息技术 安全技术 信息安全管理体系 要求•GB/T 22081-2019信息技术 安全技术 信息安全管理实用规则•GB/T 22186-2019信息安全技术 具有中央处理器的集成电路(IC)卡芯片安全技术要求(评估保证级4增强级)•GB/T 22239-2019信息安全技术 信息系统安全等级保护基本要求•GB/T 22240-2019信息安全技术 信息系统安全等级保护定级指南 LOGO§2019年发布的信息安全国标(续)•GB/T 15843.1-2019信息技术 安全技术 实体鉴别 第1部分: 概述•GB/T 15843.2-2019信息技术 安全技术 实体鉴别 第2部分: 采用对称加密算法的机制•GB/T 15843.3-2019信息技术 安全技术 实体鉴别 第3部分: 采用数字签名技术的机制•GB/T 15843.4-2019信息技术 安全技术 实体鉴别 第4部分: 采用密码校验函数的机制•GB/T 15852.1-2019信息技术 安全技术 消息鉴别码 第1部分:采用分组密码的机制•GB/T 17903.1-2019信息技术 安全技术 抗抵赖 第1部分: 概述•GB/T 17903.2-2019信息技术 安全技术 抗抵赖 第2部分: 采用对称技术的机制 LOGO§2019年发布的信息安全国标(续)•GB/T 17903.3-2019信息技术 安全技术 抗抵赖 第3部分: 采用非对称技术的机制•GB/T 18336.1-2019信息技术 安全技术 信息技术安全性评估准则 第1部分: 简介和一般模型•GB/T 18336.2-2019信息技术 安全技术 信息技术安全性评估准则 第2部分: 安全功能要求•GB/T 18336.3-2019信息技术 安全技术 信息技术安全性评估准则 第3部分: 安全保证要求 •GB/T 20274.2-2019信息安全技术 信息系统安全保障评估框架 第2部分:技术保障•GB/T 20274.3-2019信息安全技术 信息系统安全保障评估框架 第3部分:管理保障•GB/T 20274.4-2019信息安全技术 信息系统安全保障评估框架 第4部分:工程保障 LOGO§2009年发布的信息安全国标•GB/Z 24294-2009信息安全技术 基于互联网电子政务信息安全实施指南•GB/T 24363-2009信息安全技术 信息安全应急响应计划规范 •GB/Z 24364-2009信息安全技术 信息安全风险管理指南 LOGO§目前我国已经正式转化的信息安全管理国际标准有:•GB/T 19716-2019 《信息技术 信息安全管理实用规则》(修改采用国际标准ISO/IEC 17799:2000)•GB/T 19715.1-2019 《信息技术 IT安全管理指南第1部分:IT安全概念和模型》(等同采用ISO/IEC TR 13335-1:2019)•GB/T 19715.2-2019 《信息技术 IT安全管理指南第2部分:管理和规划IT安全》(等同采用ISO/IEC TR 13335-2:2019)•GB/T 22080-2019 《信息技术 安全技术 信息安全管理体系 要求》(等同采用ISO/IEC 27001:2019)•GB/T 22081-2019 《信息技术 安全技术 信息安全管理实用规则》(代替GB/T 19716-2019 ,等同采用ISO/IEC 27002:2019) LOGO工作规划工作规划§2019年5月发布《国家信息安全标准化“十一五”规划》§规划提出“十一五”末期到达的目标:•基本建立适应信息安全保障体系建设需求的信息安全标准体系;•完成150项国家标准的制定;•自主制定高质量国家标准比例达到40%;•提高实际参与国际标准化活动的水平,在制定国际标准上取得突破。
LOGO§“十一五”期间中国信息安全标准化工作任务:1)开展标准战略与基础理论研究2)加快急需标准的制定3)做好标准的推广实施4)积极参与国际标准化活动 LOGO§“十一五”期间重点信息安全标准项目信息安全等级保信息安全等级保护有关标准护有关标准涉密信息系统安涉密信息系统安全保密标准全保密标准密码技术与网络信密码技术与网络信任体系标准任体系标准电子政务信息安电子政务信息安全标准全标准电子商务信息安电子商务信息安全标准全标准信息安全政府监信息安全政府监督有关标准督有关标准信息安全管理体系信息安全管理体系标准标准信息安全应急与信息安全应急与灾备有关标准灾备有关标准信息安全服务管信息安全服务管理标准理标准信息安全测评标信息安全测评标准准信息安全保障指标信息安全保障指标与评价体系与评价体系可信计算技术标可信计算技术标准准无线通信和移动无线通信和移动通信安全标准通信安全标准通讯社及广播电通讯社及广播电视等新闻发布系视等新闻发布系统安全标准统安全标准信息安全相关的生信息安全相关的生物特征识别标准物特征识别标准信息安全标准体信息安全标准体系系 LOGO 小结小结§标准化:在一定的范围内获得最佳秩序,对实际的或潜在的问题制定共同的和重复使用的规则的活动。
§实质:通过制定、发布和实施标准,达到统一§目的:获得最佳秩序和社会效益§意义:促进和带动产业发展;解决安全互联互通 LOGO 。
