普华永道关于信息安全标准的培训--中国银行业监督委员会.ppt

《普华永道关于信息安全标准的培训--中国银行业监督委员会.ppt》由会员分享，可在线阅读，更多相关《普华永道关于信息安全标准的培训--中国银行业监督委员会.ppt（59页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、普华永道关于信息安普华永道关于信息安全标准的培训全标准的培训-中国中国银行业监督管理委员银行业监督管理委员会会2008普华永道版权所有2008年4月提纲1.信息安全标准概述2.国际标准ISO/IEC系列信息安全标准3.国际标准COBIT4.国内标准等级保护5.安全标准的总结6.问题与回答22008普华永道版权所有2008年4月提纲1.信息安全标准概述信息安全标准概述2.国际标准ISO/IEC系列信息安全标准3.国际标准COBIT4.国内标准等级保护5.安全标准的总结6.问题与回答32008普华永道版权所有2008年4月信息安全标准概述信息安全的重要性得到广泛的关注。与此同时，国际和国内的各种官

2、方和科研机构都发布了大量的安全标准。这些标准都是为实现安全目标而服务，并从不同的角度对如何保障组织的信息安全提供了指导。42008普华永道版权所有2008年4月信息安全标准的演进52008普华永道版权所有2008年4月主要的信息安全标准国际标准发布的机构发布的机构安全标准安全标准1ISO（国际标准组织）ISO17799/ISO27001/ISO27002ISO/IEC 15408ISO/IEC 13335ISO/TR 135692ISACA（信息系统审计与控制学会）COBIT 4.13ISSEA（国际系统安全工程协会）SSE-CMM Systems Security Engineering-C

3、apability Maturity Model 3.04ISSA（信息系统安全协会）GAISP Version 3.05ISF(信息安全论坛）The Standard of Good Practice forInformation Security6IETF（互联网工程任务小组）各种RFC（Request for Comments）62008普华永道版权所有2008年4月主要的信息安全标准国际标准(续）发布的机构发布的机构安全标准安全标准7NIST（国家标准和技术研究所）NIST 800系列8DOD(美国国防部)TCSEC（可信计算机系统评测标准）彩虹系列9Carnegie Mellon S

4、oftware Engineering Institute(SEI)Operationally Critical Threat,Asset,and Vulnerability Evaluation(OCTAVE)Criteria Version 2.010OECD（经济与贸易发展组织）Guidelines for the Security of InformationSystems and Networks and AssociatedImplementation Plan11The Open GroupManagers Guide to Information Security12ITILS

5、ecurity management除了上述标准，世界各国的官方机构和行业监管机构还有许多信息安全方面的标准、指引和建议的操作实践。72008普华永道版权所有2008年4月主要的信息安全标准国内标准发布的机构发布的机构安全标准安全标准1全国信息安全标准化技术委员会等级保护系列标准信息安全技术 信息系统安全等级保护基本要求信息安全技术 信息系统安全等级保护定级指南 信息安全技术 信息系统安全等级保护实施指南其他信息安全标准 截至2007年底，共完成了国家标准59项，还有56项国家标准在研制中。2公安部、安全部、国家保密局、国家密码管理委员会等部门 一系列的信息安全方面的政策法规如：计算机信息网络

6、国际联网安全保护管理办法 互联网信息服务管理办法计算机信息系统保密管理暂行规定 计算机软件保护条例商用密码管理条例，等。82008普华永道版权所有2008年4月在下面的课程中，我们会主要介绍以下标准：1.ISO系列安全标准，包括-ISO17799/ISO27001/ISO27002-ISO/IEC 15408-ISO/IEC 13335-ISO/TR 135692.ISACA的COBIT4.13.全国信息安全标准化技术委员会的等级保护系列标准92008普华永道版权所有2008年4月提纲1.信息安全标准概述2.国际标准国际标准ISO/IEC系列信息安全标准系列信息安全标准3.国际标准COBIT4

7、.国内标准等级保护5.安全标准的比较6.问题与回答102008普华永道版权所有2008年4月国际标准化组织简介国际标准化组织(InternationalOrganizationforStandardization)是由多国联合组成的非政府性国际标准化机构。到目前为止，ISO有正式成员国120多个，中国是其中之一。国际标准化组织1946年成立于瑞士日内瓦，负责制定在世界范围内通用的国际标准；ISO技术工作是高度分散的，分别由2700多个技术委员会(TC)、分技术委员会(SC)和工作组(WG)承担。ISO技术工作的成果是正式出版的国际标准，即ISO标准。ISO在信息安全方面的标准主要包括：ISO1

8、7799/ISO27001/ISO27002ISO/IEC15408ISO/IEC13335ISO/TR13569112008普华永道版权所有2008年4月关于ISO/IEC17799/27001/27002ISO/IEC17799是由国际标准化组织（ISO）与IEC（国际电工委员会）共同成立的联合技术委员会ISO/IECJTC1，以英国标准BS7799为蓝本而制定的一套全面和复杂的信息安全管理标准。ISO/IEC17799于2000年正式颁布。ISO/IEC17799标准由两部分构成:第一部分是信息安全管理体系的实施指南，相当于BS7799-1;第二部分是信息安全管理体系规范，相当于BS77

9、99-2。ISO/IEC17799标准的内容涉及10个领域，36个管理目标和127个控制措施。2005年ISO17799更名为ISO27001和ISO27002，分别为：ISO/IEC27001:2005Informationtechnology-Securitytechniques-InformationsecuritymanagementsystemsRequirementsISO/IEC27002:2005Informationtechnology-Securitytechniques-Codeofpracticeforinformationsecuritymanagement2007年

10、ISO又颁布了Informationtechnology-Securitytechniques-Requirementsforbodiesprovidingauditandcertificationofinformationsecuritymanagementsystems.122008普华永道版权所有2008年4月ISO/IEC17799模型ISO/IEC 17799标准的内容涉及10个领域，36个控制目标和127个控制措施。132008普华永道版权所有2008年4月ISO17799模型SecurityPolicyAssetClassificationAndControlSecurityOr

11、ganization纪录和沟通信息系统政策和法规的审核分配职责和分工，第3方授权，风险/控制的外包资产的保存，对于敏感/商业风险的区分142008普华永道版权所有2008年4月ISO17799模型PersonalSecurityComm/OpsManagementPhysicalandEnvironmentSecurity员工聘请，知识培训，事故报告等物理安全参数，设备保护，桌面及电脑的重要文件的保护事故流程，职责分离，系统规划，电子邮件控制152008普华永道版权所有2008年4月ISO17799模型AccessControlBusinessContinuityPlanningSystemD

12、evelopmentandMaintenance权限管理：包括应用系统，操作系统，网络变更控制，环境划分，安全设备商业可持续性计划及其框架，测试计划以及计划的维护和更新Compliance版权控制，记录和信息的保存，数据保护，公司制度的服从162008普华永道版权所有2008年4月ISO/IEC27001/27002:2005的內容的內容总共分成11个领域、39个控制目标、133个控制措施。11个领域包括A.1SecurityPolicyA.2organizationofinformationsecurityA.3AssetmanagementA.4Humanresourcessecurity

13、A.5PhysicalandenvironmentalsecurityA.6CommunicationsandoperationsmanagementA.7AccesscontrolA.8Informationsystemsacquisition,developmentandmaintenanceA.8InformationsecurityincidentmanagementA.10BusinesscontinuitymanagementA.11Compliance172008普华永道版权所有2008年4月关于ISO/IEC1540890年代开始，由于Internet的日益普及，信息安全领域呼

14、吁修改桔皮书，以解决商用信息系统安全问题。1991年欧盟(EuropeanCommission)颁布了ITSEC(InformationTechnologySecurityEvaluationCriteria,信息技术安全评估准则)。在此基础上，美国、加拿大、英国、法国等7国组织联合研制了“信息技术评估安全公共准则”（CC：Common Criteria）。1999年6月ISO通过了ISO/IEC15408安全评估准则（ISO/IEC15408:1999SecurityTechniquesEvaluationCriteriaforITSecurity）。目前的最新版本于2005年发布。ISO/

15、IEC15408是基于多个标准而产生的，它的演进过程如下图所示：182008普华永道版权所有2008年4月ISO/IEC15408的内容ISO/IEC15408由以下三部分组成：第一部分：介绍和一般模型第二部分：安全功能需求第三部分：安全认证需求ISO/IEC15408准则比以往的其他信息技术安全评估标准更加规范，采用以下方式定义：类别（CLASS）；认证族（ASSURANCEFAMILY）；认证部件（ASSURANCECOMPONENT）；认证元素（ASSURANCEELEMENT）。其中类别中有若干族，族中有若干部件，部件中有若干元素。192008普华永道版权所有2008年4月ISO/IE

16、C15408的特点ISO/IEC15408信息技术安全评估准则中讨论的是TOE（targetofevaluation),即评估对象。该准则关注于评估对象的安全功能，安全功能执行的是安全策略。ISO/IEC15408定义了安全属性，包括用户属性、客体属性、主体属性、和信息属性。ISO/IEC15408加强了完整性和可用性的防护措施，强调了抗抵赖性的安全要求。ISO/IEC15408还定义了加密的要求，强调对用户的隐私保护。ISO/IEC15408还讨论了某些故障、错误和异常的安全保护问题。202008普华永道版权所有2008年4月ISO/IEC15408的类别ISO/IEC15408中，类别（c

17、lass)代表最概括的分类和定义方式。包括:安全功能类别安全功能类别，共11个，分别为安全审计、通信、加密支持、用户数据防护、标识与鉴别、安全管理、隐私、安全功能的防护、资源利用、对评估对象的访问、可信通路/通道。安全认知类别安全认知类别，共8个，分别为配置管理、递交和操作、开发、指南文档、生存期支持、测试、脆弱性评估、认证维护。评估认证级别类别，评估认证级别类别，共7个，分别为评估功能测试、结构测试、方法测试和检查、半形式设计和测试、半形式验证设计和测试、形式验证设计和测试。评估类别评估类别，共3个，包括2个预评估类别和TOE评估（即评估对象的评估）。其中预评估类别分别为：防护框架评估（Pr

18、otectionProfileevaluation,简称PP评估）:评估的一般是某类安全产品，如防火墙等，提出测评的常为是行业组织；安全目标评估（SecurityTargetevaluation,简称ST评估）：评估的一般是某一类的特定产品，如某品牌的防火墙，提出测评的常为厂商。212008普华永道版权所有2008年4月ISO/IEC15408的评估方法对于信息系统和产品进行安全认证ISO/IEC15408通常采用如下方法进行评估：分析和检查进程与过程检查进程和过程被应用的情况分析TOE设计表示一致性分析TOE设计表示与需求的满足性验证分析指南文档分析功能测试和测试结果独立功能测试分析脆弱性（

19、包括漏洞假说）侵入测试等（TOE是评估对象（TargetofEvaluation）的缩写）222008普华永道版权所有2008年4月关于ISO/IEC13335ISO/IEC13335Information TechnologyGuidelines for the Management of IT Security 是一套关于信息安全管理的技术文件，共由五个部分组成，这五个组成部分分别在1996至2001年间发布。第一部分：安全概念和模型（Part1ConceptsandModelsforITSecurity），发布于1996年12月15日。第二部分：安全管理和规划（Part2Managing

20、andPlanningITSecurity），发布于1997年12月15日。第三部分：安全管理技术（Part3TechniquesfortheManagementofITSecurity），发布于1998年6月15日。第四部分：保护的选择（Part4SelectionofSafeguards），发布于2000年3月1日。第五部分：外部联接的防护（Part5ManagementGuidanceonNetworkSecurity），发布于2001年1月2日。其中第一部分分别于1997年和2004年发布了更新版本。232008普华永道版权所有2008年4月关于ISO13569ISO13569的全称为

21、ISO/TR13569:2005Financialservices-Informationsecurityguidelines。它提供了对于金融服务行业机构的信息安全程序开发的指导方针。它包括了对制度，组织结构和法律法规等内容的讨论。该标准对组织选择和实施安全控制，和金融机构用于管理信息安全风险的要素进行了阐述。ISO13569于1997年首次发布，分别于2003年和2005年更新，目前的最新版本为2005年的版本。242008普华永道版权所有2008年4月ISO/IEC13569的主要内容ISO/IEC13569是针对金融行业的信息安全标准，包括以下主要内容：组织的IT安全政策IT安全管理风

22、险分析和评估安全保护的实施和选择IT系统保护金融服务行业专题，包括如银行卡、电子资金传输(ElectronicFundTransfer)、支票、电子商务等内容；另外，还包括如加密、审计、事件管理等专项讨论。252008普华永道版权所有2008年4月提纲1.信息安全标准概述2.国际标准ISO/IEC系列信息安全标准3.国际标准国际标准COBIT4.国内标准等级保护5.安全标准的比较6.问题与回答262008普华永道版权所有2008年4月COBIT简介COBIT（ControlObjectivesforInformationandrelatedTechnology）是由信息系统审计与控制学会ISA

23、CA（InformationSystemsAuditandControlAssociation）在1996年所公布的控制框架；目前已经更新至第4.1版;COBIT的主要目的是研究、发展、宣传权威的、最新的国际化的公认信息技术控制目标以供企业经理、IT专业人员和审计专业人员日常使用。COBIT框架共有34个IT的流程，分成四个领域：PO（计划与组织）、AI（获取与实施）、DS（交付与支持）、和ME（监控与评估）。272008普华永道版权所有2008年4月COBIT来源1992年：ISACF(InformationSystemAuditandControlFoundation)发起，参阅全球不同国

24、家、政府、标准组织的26份文件后，基于其中之18份文件，研擬COBIT，同时筹组COBIT指导委员会(SteeringCommittee)。1996年：COBIT指导委员会公布COBIT第一版。1998年：COBIT指导委员会公布COBIT第二版，將第一版之32個高级控制目标(HighLevelControlObjectives)扩充成34个。2000年：COBIT指导委员会公布COBIT第三版。2005年：COBIT指导委员会公布COBIT第四版。2007年：发布COBIT4.1版，为目前最新版本。282008普华永道版权所有2008年4月COBIT涉及领域商业目标及IT治理目标效率应用系统

25、信息基础架构人力交付与支持监控与评估获得与实施信息IT资源CobiT框架效果保密性完整性可用性合规性DS1 定义和管理服务水平DS2 管理第三方服务DS3 性能管理和容量管理DS4 确保服务的连续性DS5 确保系统安全DS6 确定并分配成本DS7 教育和培训用户DS8 服务台和紧急事件管理DS9 配置管理DS10 问题管理DS11 数据管理DS12 物理环境管理DS13 运营管理ME1 监控和评价IT绩效ME2 监控和评价内部控制ME3 确保与法律的符合性ME4 提供IT治理P01 定义IT战略计划P02 定义IT信息架构P03 确定技术导向P04 定义IT过程/组织和关系P05 IT投资管理

26、P06 传递管理目标和方向P07 IT人力资源管理P08 质量管理P09 IT风险评估及管理P10 项目管理AI1 识别自动化解决方案AI2 获取并维护应用软件AI3 获取并维护技术基础设施AI4 保障运营和使用AI5 获取IT资源AI6 变革管理AI7 安装/授权解决方案和变更计划与组织可靠性292008普华永道版权所有2008年4月COBIT的组件实施概要管理层指引具体控制目标构架伴随高级控制目标关键职能和目标说明关键的成功因素成熟的模板审计指引实施工具302008普华永道版权所有2008年4月COBIT框架的原理控制领域(Domains)流程(Processes)活动(Activitie

27、s/Tasks)人 力 资 源应 用 系 统基 础 架 构信 息信息技术资源可信赖性需求质 量 需 求信 息 处 理 要 求信息技术流程 安 全 性 需 求312008普华永道版权所有2008年4月COBIT框架的原理有效性应以及时、正确、一致及可用的方式与业务流程有关的信息效率通过优化（生产率最高且经济合理）资源使用来交付信息保密性保护敏感信息免受未授权访问完整性信息的正确和完整，并根据业务价值和期望进行严正可用性若业务流程现在或将来产生需要，信息是可用的，关注于保护所需的资源及相应的能力合规性外部合规性和内部合规性，满足业务流程必须遵循的法律、法规及合同要求可靠性为管理者提供适当信息，以检

28、验管理者的履职程度和职责可信性需求安全需求质量需求信息处理要求IT 资源IT流程322008普华永道版权所有2008年4月COBIT框架的原理IT流程管理各种IT资源，以产生、传递并存储可满足业务需求的各种信息。CobiT中定义的IT资源包括如下方面：应用系统：处理信息的自动化信息系统及相应手册程序信息：信息系统输入、处理和输出的所有形式的数据，可以被业务以任何形式使用基础架构：保障应用系统处理信息所需的技术和设施（硬件、操作系统、数据库管理系统、网络、多媒体，以及放置上述设施所需的环境）人员：策划、组织、采购、实施、交付、支持、监控和评价信息系统和服务所需的人员，可以是内部的也可以是外部的应

29、用系统信息基础架构人员IT 资源信息处理要求IT 流程332008普华永道版权所有2008年4月提纲1.信息安全标准概述2.国际标准ISO/IEC系列信息安全标准3.国际标准COBIT4.国内标准国内标准等级保护等级保护5.安全标准的总结6.问题与回答342008普华永道版权所有2008年4月全国信息安全标准化技术委员会简介中国从1984年开始就组建了数据加密技术委员会，并在1997年8月，将该委员会改组为全国信息技术标准化分技术委员会，主要负责制定信息安全的国家标准。2001年，国家标准化管理委员会批准成立全国信息安全标准化技术委员会，简称“全国安标委”。标准委员会的标号是TC260。全国信

30、息安全标准化技术委员会包括四个工作组：1.信息安全标准体系与协调工作组2.PKI和PMI工作组3.信息安全评估工作组4.信息安全管理工作组截至2007年底，全国信息安全标准化技术委员会已经完成了国家标准59项，还有56项国家标准在研制中。352008普华永道版权所有2008年4月等级保护是什么？等级保护基本概念：信息系统安全等级保护是指对信息安全实行等级保护基本概念：信息系统安全等级保护是指对信息安全实行等级化保护和等级化管理等级化保护和等级化管理根据信息系统应用业务重要程度及其实际安全需求，实行分级、分类、分阶段实施保护，保障信息安全和系统安全正常运行，维护国家利益、公共利益和社会稳定。等级

31、保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点，保障重要信息资源和重要信息系统的安全。362008普华永道版权所有2008年4月等级保护法律和政策依据中华人民共和国计算机信息系统安全保护条例第二章安全保护制度部分规定：“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。”计算机信息系统安全保护等级划分准则GB17859-1999（技术法规）规定：“国家对信息系统实行五级保护。”国家信息化领导小组关于加强信息安全保障工作的意见重点强调：“实

32、行信息安全等级保护制度，重点保护基础信息网络和重要信息系统。”372008普华永道版权所有2008年4月等级保护的分级等级保护分为5级管理制度：第一级，自主保护级第一级，自主保护级：信息系统受到破坏后，会对公民，法人和其他组织的合法权益造成损害，但不损害国家安全，社会秩序和公共利益。第二级，指导保护级第二级，指导保护级：信息系统受到破坏后，会对公民，法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，监督保护级第三级，监督保护级：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，强制保护级第四级，强制保护级：信

33、息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成严重损害。第五级，专控保护级第五级，专控保护级：信息系统受到破坏后，会对国家安全造成特别严重损害。382008普华永道版权所有2008年4月等级保护定级要素受侵害的客体公民，法人和其他组织的合法权益社会秩序，公共利益国家安全对客体的侵害程度造成一般损害造成严重损害造成特别严重损害392008普华永道版权所有2008年4月安全保护要素与等级关系业务业务信息安全被破坏信息安全被破坏时时所侵害的所侵害的客体客体对对相相应应客体的侵害程度客体的侵害程度一般一般损损害害严严重重损损害害特特别严别严重重损损害害公民、法人和其他公民、法

34、人和其他组织组织的合法的合法权权益益第一第一级级第二第二级级第二第二级级社会秩序、公共利益社会秩序、公共利益第二第二级级第三第三级级第四第四级级国家安全国家安全第三第三级级第四第四级级第五第五级级402008普华永道版权所有2008年4月等级保护监管级别与等级对应情况等等级级对对象象侵害客体侵害客体侵害程度侵害程度监监管管强强度度第一第一级级一般一般系系统统合法合法权权益益损损害害自主保自主保护护第二第二级级合法合法权权益益严严重重损损害害指指导导社会秩序和公共利益社会秩序和公共利益损损害害第三第三级级重要重要系系统统社会秩序和公共利益社会秩序和公共利益严严重重损损害害监监督督检查检查国家安全

35、国家安全损损害害第四第四级级社会秩序和公共利益社会秩序和公共利益特特别严别严重重损损害害强强制制监监督督检查检查国家安全国家安全严严重重损损害害第五第五级级极端极端重要重要系系统统国家安全国家安全特特别严别严重重损损害害专门监专门监督督检查检查412008普华永道版权所有2008年4月等级保护定级流程信息系统安全包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体得侵害程度可能不同，因此信息系统定级也应由业务信息安全和系统服务安全两方面确定。具体流程为：确定业务信息安全受到破坏时所侵害的客体综合评定对客体的侵害程度确定定级对象业务信息安全等级定级对象的安全保护等级确定系统服务安全受到破

36、坏时所侵害的客体综合评定对客体的侵害程度系统服务安全等级422008普华永道版权所有2008年4月等级保护的基本要求信息系统安全等级保护应依据信息系统的安全保护等级情况保证它们具有相应等级的基本安全保护能力，不同安全保护等级的信息系统要求具有不同的安全保护能力。基本安全要求分为基本技术要求基本技术要求和基本管理要求基本管理要求两大类。二者都是确保信息系统安全不可分割的两个部分。信息系统具有的整体安全保护能力通过不同组件实现基本安全要求来保证。除了保证系统的每个组件满足基本安全要求外，还要考虑组件之间的相互关系，来保证信息系统的整体安全保护能力。442008普华永道版权所有2008年4月等级保护

37、的基本要求（续）基本技术要求基本技术要求基本管理要求基本管理要求与信息系统提供的技术安全机制有关；主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现。与信息系统中各种角色参与的活动有关；主要通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面做出规定来实现。基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出。从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出。452008普华永道版权所有2008年4月基本技术要求的类型基本技术要求分为三种类型：保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要

38、求（简记为S）；保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求（简记为A）；通用安全保护类要求（简记为G）。462008普华永道版权所有2008年4月等级保护-实施指南基本原则：等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。等级保护在实施过程中应遵循以下基本原则：自主保护原则：由各主管部门和运营使用单位按照国家相关法规和标准，自主确定信息系统的安全等级自行组织实施安全保同步建设原则：信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全设施，保障信息安全与信息化建设相适应。重点保护原则：根据信息系统的重要程度

39、、业务特点，通过划分不同安全等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。适当调整原则：要跟踪信息系统的变化情况，调整安全保护措施。因为信息系统的应用类型、范围等条件的变化及其他原因，安全等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全等级，根据信息系统安全等级的调整情况，重新实施安全保护。472008普华永道版权所有2008年4月等级保护-实施指南角色和职责：对一个信息系统实施等级保护的过程中涉及到各类组织和人员，他们将会参与不同的或相同的活动，等级保护标准将参与等级保护过程的各类组织和人员划分为主要角色和次要

40、角色。其中：主要角色将参与等级保护实施过程的所有活动，次要角色将参与等级保护实施过程的某一个或多个活动。主要角色是指信息系统主管部门和信息系统运营、使用单位；次要角色是指信息系统安全服务商、信息安全监管机构、安全测评机构和安全产品提供商。482008普华永道版权所有2008年4月等级保护-实施的基本过程系统定级安全规划设计安全实施安全运维系统终止重大变更局部调整492008普华永道版权所有2008年4月等级保护实施过程的主要活动502008普华永道版权所有2008年4月等级保护过程与信息系统生命周期对应关系512008普华永道版权所有2008年4月提纲1.信息安全标准概述2.国际标准ISO/I

41、EC系列信息安全标准3.国际标准COBIT4.国内标准等级保护5.安全标准的总结安全标准的总结6.问题与回答522008普华永道版权所有2008年4月信息安全标准总结世界各国近几年来发布了各种各样的信息安全标准。各种标准的对象、目的和范围都有所不同。各个标准之间尽管侧重点不同，但原则上也有很多共同之处：基于风险，即以信息安全风险为主要的探讨对象，为组织如何管理信息安全风险提供指导；提供有关安全控制的操作实践；各个标准建议的操作实践本身基本没有冲突。532008普华永道版权所有2008年4月关注的安全领域安全标准关注的安全领域安全管理组件安全原则概括性的安全控制详细的控制活动安全模型或方法论IS

42、O/IEC17799ISO/IEC13335ISO/TR13569ISO/IEC15408COBIT等级保护542008普华永道版权所有2008年4月关注的信息技术资源安全标准关注的信息技术资源人员People应用程序Applications技术Technology设施Facilities数据DataISO/IEC17799OISO/IEC13335ISO/TR13569OISO/IEC15408OCOBIT等级保护OO注释：较多描述O:中等详细程度：较少描述552008普华永道版权所有2008年4月认证安全标准认证信息ISO/IEC17799本身不提供认证，但可以作为BS7799的认证参考指

43、引。ISO/IEC13335不提供认证。ISO/TR13569不提供认证。ISO/IEC15408为安全产品和系统提供认证标准。COBIT不提供认证。等级保护不适用。562008普华永道版权所有2008年4月提纲1.信息安全标准概述2.国际标准ISO/IEC系列信息安全标准3.国际标准COBIT4.国内标准等级保护5.安全标准的总结6.问题与回答问题与回答57 2008 普华永道版权所有。普华永道乃指PricewaterhouseCoopers旗下之中国内地机构，或视乎上文下理之含义，泛指PricewaterhouseCoopers International Limited之成员机构网络，而其中每个成员均为个别及独立之法律实体。*connectedthinking 为 PricewaterhouseCoopers 之商标。谢谢大家！信息安全标准2008年4月3日季瑞华合伙人系统和流程管理中国银行业监督管理委员会培训