(精品)信息安全国际标准.ppt

《(精品)信息安全国际标准.ppt》由会员分享，可在线阅读，更多相关《(精品)信息安全国际标准.ppt（78页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全国际标准信息安全国际标准2提纲提纲信息安全标准概述信息安全标准概述安全标准组织安全标准组织安全标准分类安全标准分类安全管理标准（安全管理标准（ISO17799）安全技术标准安全技术标准安全产品标准（安全产品标准（CC）安全工程标准（安全工程标准（SSE-CMM）安全方法论安全方法论安全资格认证（安全资格认证（CISSP/CISA）什么是信息安全？什么是信息安全？保密性 完整性 可用性 CONFIDENTIALATYINTEGRITYAVAILABILITY什么是标准？什么是标准？标准：标准是对重复性事物和概念所做的统一规定。它以科学、技术和实践的综合成果为基础，经有关方面协商一致，由主

2、管部门批准，以特定的方式发布，作为共同遵守的准则和依据。强制性标准：保障人体健康、人身、财产安全的标准和法律、行政法规规定强制执行的标准；其它标准是推荐性标准。无规矩不成方圆无规矩不成方圆无规矩不成方圆!6提纲提纲信息安全标准概述信息安全标准概述安全标准组织安全标准组织安全标准分类安全标准分类安全管理标准（安全管理标准（ISO17799）安全技术标准安全技术标准安全产品标准（安全产品标准（CC）安全工程标准（安全工程标准（SSE-CMM）安全方法论安全方法论安全资格认证（安全资格认证（CISSP/CISA）标准的来源标准的来源政府组织政府组织NIST-National Institute of

3、 Standards and TechnologyNSA-National Security AgencyGAO-General Accounting OfficeBSI-British Standard Institution标准化组织标准化组织ISO/IEC JTC1 SC27 ANSI-American National Standards Institute 专业组织专业组织/行业联盟行业联盟 IEEEIETFW3CISSA-Information Systems Security AssociationITAA-Information Technology Association O

4、f America)大学大学ISOISO，国际标准化组织，国际标准化组织ISO是是International Organization for Standardization的简称的简称国际最大的标准化组织机构国际最大的标准化组织机构与与IEC联合成立的联合成立的JTC1/SC27 负责通负责通用信息技术安全标准的制定用信息技术安全标准的制定ISO/TC68 负责银行和金融服务业务应负责银行和金融服务业务应用范围内信息安全标准的制定用范围内信息安全标准的制定已发布的其他行业的重要标准已发布的其他行业的重要标准ISO 9001ISO 14001IECIEC，国际电工委员会，国际电工委员会IEC是

5、是International Electrotechnical Commission的简称的简称世界上最早的国际性电工标准化机构世界上最早的国际性电工标准化机构负责有关电工、电子领域的国际标准负责有关电工、电子领域的国际标准化工作化工作在信息安全技术标准化方面，同在信息安全技术标准化方面，同ISO联联合成立合成立JTC1在电磁兼容在电磁兼容EMC等方面成立技术委员等方面成立技术委员会，制定相关国际标准会，制定相关国际标准ISO/IEC JTC1/SC27ISO/IEC JTC1/SC27 JTC1(Joint Technical Committee 1)是ISO 及IEC的联合技术委员会,SC

6、27 小组专门负责安全技术标准的制定、审核 已发布的部分标准ISO/IEC 18033 加密机制ISO/IEC 9796,14888.15964 数字签名ISO/IEC TR 13335 GMITSISO/IEC 15408 Evaluation criteria for IT SecurityISO/IEC 17799 Code of Practice for Information Security ManagementISO/IEC 21287 SSE-CMMNISTNIST，国家标准技术协会，国家标准技术协会NIST是美国National Institute of Standards

7、and Technology的简称已发布的部分文献FIPS（Federal Information Processing Standards Publications）FIPS PUB 140-2 Security Requirements for Cryptographic ModulesFIPS PUB 180-1 Secure Hash StandardFIPS PUB 197 Advanced Encryption StandardSP（Special Publications 800 series 是关于计算机安全的文献）SP 800-12 Computer Security Han

8、dbookSP 800-30 Risk Management Guide for IT SystemsSP 800-44 Guidelines on Securing Public Web Servers其他组织其他组织ANSI，美国国家标准协会，美国国家标准协会80年代初开始数据加密标准化工作制定了三个通用的国家标准ANSI X.9系列财务服务安全标准ITU-T，国际电讯联盟，国际电讯联盟 前身是CCITT，单独或于ISO合作开发诸如消息处理系统、目录系统（X.400系列、X.500系列）和安全框架、安全模型等标准ITU-T X.509 The Directory:Authenticatio

9、n Framework其他组织其他组织IEEE-电气电子工程师协会在信息安全方面主要是提出了LAN/WAN安全方面的标准和公钥密码标准IETF-Internet工程任务组 主要提出Internet标准草案和成为RFC的协议文稿，内容广泛，也包括安全方面的建议稿，经过网上讨论修改，被大家广泛接受就成了的事实上的标准标准14提纲提纲概述概述安全标准组织安全标准组织安全标准分类安全标准分类安全管理标准（安全管理标准（ISO17799）安全技术标准安全技术标准安全产品标准（安全产品标准（CC）安全工程标准（安全工程标准（SSE-CMM）安全方法论安全方法论安全资格认证安全资格认证（CISSP/CISA

10、）安全标准的类型安全标准的类型安全管理框架安全管理框架安全技术标准安全技术标准安全方法论安全方法论产品的安全性保证产品的安全性保证安全工程标准安全工程标准安全的资格认证安全的资格认证16提纲提纲概述概述安全标准组织安全标准组织安全标准分类安全标准分类安全管理标准（安全管理标准（ISO17799）安全技术标准安全技术标准安全产品标准（安全产品标准（CC）安全工程标准（安全工程标准（SSE-CMM）安全方法论安全方法论安全资格认证（安全资格认证（CISSP/CISA）安全管理框架安全管理框架OSI ISO 7498-2/10181开放系统互连第二部分 安全体系结构，10181是7498-2的后续标

11、准，分部分描述5类安全服务的实现GMITS,Guidelines for the Management of IT SecurityISO/IEC 13335 Guidelines for the Management of IT Security提供IT安全管理的指导BS 7799 AS/NZS 4444 ISO/IEC 17799信息安全管理的即成标准提供企业开发、实施、评估有效安全建设的框架ISF SOGP Information Security Forum(ISF),信息安全优秀实践标准（Standard of Good Practice for Information Securi

12、ty,1998）BS 7799BS 7799介绍介绍BS 7799 AS/NZS 4444 ISO/IEC 17799信息安全管理的即成标准提供企业开发、实施、评估有效安全建设的框架BS 7799 包括两部分第一部分:提供安全管理的最佳实践，等同于 ISO/IEC 17799:2000提供10个领域的127项安全措施整套的基于业界经验的安全性最佳实践的指导第二部分ISMS规范 Specification for ISMS(Information Security Management Systems)提供依据第一部分进行内部审计、外部认证的流程体系什么是什么是ISO17799/BS7799IS

13、O17799/BS7799？关注于安全管理的框架和指导提供了10个方面36个安全目标，127项安全控制措施，建立了Best Practice指引；广泛应用于在政府、企业、金融、电信等行业，应用最广泛的安全标准1993 1995 1993 1995 Department of Trade and Industry(UK)建立工作组进行信息系统安全研究 1995 1995 BS7799BS7799正式发布正式发布正式发布正式发布19981998 BS7799:PART 2 BS7799:PART 2ISMS ISMS 发布发布发布发布1999 1999 BS7799BS7799：19991999发

14、布发布发布发布ISO/IEC 17799:2000ISO/IEC 17799:20001779917799的十个方面的十个方面Security Policy安全策略安全策略SecurityOrganization组织安全组织安全PersonnelSecurity人员安全人员安全AssetClassificationand Control资产分类资产分类与控制与控制Physical andEnvironmentalSecurity物理与环境物理与环境安全安全Communications&OperationsManagement通信与运作通信与运作管理管理BusinessContinuityPla

15、nning业务持续性业务持续性管理管理SystemDevelopmentandMaintenance系统开发系统开发与维护与维护AccessControl访问控制访问控制Compliance符合性符合性ISO17799 ISO17799 的文档结构的文档结构分为10个领域的安全实践建议分为36个子项，共127项安全控制措施安全方针（1）组织安全（3）资产分类与控制（2）人员安全（3）物理与环境安全（3）通信与操作安全（7）访问控制（8）系统开发与维护（5）业务持续计划（1）依从（3）安全策略安全策略控制目标:信息安全策略为信息安全提供管理指导和支持控制措施:信息安全策略文件复查和审查组织安全组

16、织安全控制目标一:信息安全基础设施管理组织内部的信息安全控制目标二:第三方访问安全维护被第三方访问的基础设施和信息资产的安全控制目标三:外包当IT外包给其他组织负责时,维护信息的安全资产分类与控制资产分类与控制控制目标一:资产责任保证对组织资产做适当的保护控制目标二:信息分类确保信息资产得到适当级别的保护人员安全人员安全控制目标一:岗位安全责任和人员录用要求控制目标二:用户培训控制目标三:对安全事件和故障的响应物理与环境安全物理与环境安全控制目标一:安全区域防止非授权访问控制目标二:设备安全防止资产的丢失,破坏和损坏;防止业务活动被中断控制目标三:一般性控制防止危害或窃取信息及设施通信和操作安

17、全通信和操作安全控制目标一:操作流程和责任控制目标二:系统规划和验收控制目标三:防范恶意软件控制目标四:内务管理(备份,日志)控制目标五:网络管理控制目标六:介质处理及安全控制目标七:信息和软件的交换访问控制访问控制控制目标一:访问控制的业务需求控制目标二:用户访问管理控制目标三:用户责任控制目标四:网络访问控制控制目标五:操作系统访问控制控制目标六:应用系统访问控制控制目标七:监视系统访问和使用控制目标八:移动计算和通信系统开发和维护系统开发和维护控制目标一:系统的安全需求控制目标二:应用系统的安全控制目标三:密码控制控制目标四:系统文件的安全控制目标五:开发和支持过程的安全业务连续性管理业

18、务连续性管理控制目标:业务连续性管理的各个方面控制措施业务连续性管理过程业务连续性和影响分析编写并实施连续性计划业务连续性计划框架测试,维护和复审业务连续性计划符合性符合性控制目标一:符合法律要求控制目标二:对安全策略和技术的评审控制目标三:系统审核的考虑BS7799 BS7799 第第2 2部分部分BS 7799 PART 2 是一个规范。使用该规范对组织的信息安全管理体系进行审核与认证。通过使用该规范能使组织建立信信息安全管理体系息安全管理体系（ISMS）。该规范提供以下内容建立信息安全管理体系（ISMS）指导成功实施信息安全的关键因素PDCA(Plan-do-check-act)模型持续

19、性改进改进安全管理评估业务变化、新技术、新威胁对安全管理流程的影响Plan ISMS的确立Do ISMS的运用CheckISMS的监控Act ISMS的改善PDCA模型模型什么什么是是ISO-7498-2ISO-7498-2信息处理系统 开放系统互连 基本参考模型 第2部分:安全体系结构Information processing system-Open Systems Interconnection-Basic Reference Model-Part2:Security architecture提供安全服务与有关机制的一般描述,这些服务与机制可以为GB938788/ISO7498-1参考模

20、型所配备。确定在参考模型内部可以提供这些服务与机制的位置已被接受为国标GB/T 9387.21995五种安全服务五种安全服务认证认证 对等实体认证 数据原发认证 访问控制访问控制 数据机密性数据机密性 连接机密性 无连接机密性 选择字段机密性 通信业务流机密性 数据完整性数据完整性 带恢复的连接完整性 不带恢复的连接完整性 选择字段的连接完整性 无连接完整性 选择字段无连接完整性 抗抵赖抗抵赖 有数据原发证明的抗抵赖有交付证明的抗抵赖 八种安全机制八种安全机制特定的安全机制用来实现以上安全服务加密 数字签名机制 访问控制机制 数据完整性机制 认证交换机制 通信业务填充机制 提供各种不同级别的保

21、护,抵抗通信业务分析 路由选择控制机制 公证机制 服务与机制的关系服务与机制的关系机机制制服服务务加密加密 数字数字签签名名 访问访问控制控制数据数据完整完整性性认证认证交交换换通信通信业务业务填充填充路由路由控制控制 公公证证对等实体认证数据原发认证访问控制服务连接机密性无连接机密性选择字段机密性通信业务流机密性 带恢复的连接完整性不带恢复的连接完整性选择字段连接完整性无连接完整性选择字段无连接完整性抗抵赖,带数据原发证据抗抵赖,带交付接收证据服务应用与服务应用与OSIOSI层的关系层的关系OSI层服务物理物理层层链链路路层层网网络层络层传输层传输层会会话层话层表示表示层层应应用用层层对等实

22、体认证数据原发认证访问控制服务连接机密性无连接机密性选择字段机密性通信业务流机密性带恢复的连接完整性不带恢复的连接完整性选择字段连接完整性无连接完整性选择字段无连接完整性抗抵赖,带数据原发证据抗抵赖,带交付证据安全管理安全管理安全管理信息库(SMIB)是一个概念上的集存地,存储开放系统所需的与 安全有关的全部信息。这一概念对信息的存储形式与实施方式不提出要求。SMIB能有多种实现办法,例如:a)数据表;b)文卷;c)嵌入实开放系统 软件或硬件中的数据或规则。OSI安全管理的分类：系统安全管理 涉及总的OSI环境安全方面的管理；例：总体安全策略的管理、与别的OSI管理功能的相互作用、与安全服务管

23、理和安全机制管理的交互作用、事件处理管理、安全审计管理、安全恢复管理安全服务管理 涉及特定安全服务的管理；例：指定特定服务的保护目标、指定与维护特定的安全机制、安全机制协商(本地的与远程的)、调用特定的安全机制、与别的安全服务和安全机制的交互作用 安全机制管理 涉及的是特定安全机制的管理。例：密钥管理、加密管理、数字签名管理、访问控制管理等等OSI管理本身的安全 所有OSI管理功能和信息自身的安全。这一类安全管理将借助OSI安全服务与机制以确保OSI管理协议与信息获得足够的保护。作为ISO 7498-2的后续标准，1988年开始建立ISO/IEC 10181ISO/IEC 10181(Secu

24、rity frameworks for open systems)有七个部分第 2-6部分对应ISO 7498-2定义的5种服务Part 1:概述Part 2:认证服务架构Part 3:访问控制服务架构Part 4:防抵赖服务架构Part 5:数据保密服务架构Part 6:数据完整服务架构Part 7:安全审计、报警架构ISO/IEC 10181ISO/IEC 10181什么是什么是ISO 13335ISO 13335ISO/IEC 13335，即，即IT安全管理指南安全管理指南（Guidelines for the Management of IT Security,GMITS）,是由是由I

25、SO/IEC JTC制定的技术报告制定的技术报告ISO/IEC 13335是一个信息安全管理方是一个信息安全管理方面的指导性标准面的指导性标准其目的是为有效实施其目的是为有效实施IT安全管理提供建安全管理提供建议议 ISO 13335(GMITS)ISO 13335(GMITS)的内容的内容13335-1:IT安全概念和模型安全概念和模型包含了对IT安全和安全管理中一些基本概念和模型的解释13335-2:IT安全计划和管理安全计划和管理建议性地介绍了IT安全管理和计划的方式和要点 13335-3:IT安全管理技术安全管理技术描述了风险管理技术、IT安全计划的开发、实施和测试还包括策略审查、事件

26、分析、IT安全教育等后续内容。13335-4:安全措施的选择安全措施的选择描述了针对一个组织特定环境和安全需求可以选择的安全措施,不仅仅是技术性措施13335-5:网络安全的管理指导网络安全的管理指导提供了关于网络和通信安全管理的指导性内容,该指南为识别和分析建立网络安全需求时需要考虑的通信相关因素提供支持,也包括对可能的安全措施方面的简要介绍ISO13335 vs.BS7799ISO13335 vs.BS7799与BS7799相比，ISO/IEC 13335只是一个技术报告和指导性文件，并不是可依据的认证标准也不像BS7799那样给出一个全面而完整的信息安全管理框架但13335在信息安全尤其

27、是IT安全的某些具体环节切入较深，对实际的工作具有较好的指导价值，从可实施性上来说要比BS7799好些另外13335对安全计划、安全策略、控制措施选择的内容的阐述要比BS7799具体很多总之，作为一个框架、总体要求和目标选择，总之，作为一个框架、总体要求和目标选择，BS7799是我们信息安全管理体系建设过程中要贯是我们信息安全管理体系建设过程中要贯彻的指导方针，而这期间的一些具体的活动则可以彻的指导方针，而这期间的一些具体的活动则可以参考参考13335，比如风险评估。，比如风险评估。43提纲提纲概述概述安全标准组织安全标准组织安全标准分类安全标准分类安全管理标准（安全管理标准（ISO17799

28、）安全技术标准安全技术标准安全产品标准（安全产品标准（CC）安全工程标准（安全工程标准（SSE-CMM）安全方法论安全方法论安全资格认证（安全资格认证（CISSP/CISA）PKIFireWallLDAPVPN IDSAAAScannerSSO安全技术标准安全技术标准 Application Protocols SSL,S-HTTP Network Protocols IPSec Cryptography RSA,DSA,ECC DES,AES SHA-1 PKCSVulnerabilityCVE Authentication Kerberos RADIUS SAML Messaging S/

29、MIME,OpenPGP,PEM XMLDSIG,XMLENC Application Security CORBA Security WS-Security45提纲提纲概述概述安全标准组织安全标准组织安全标准分类安全标准分类安全管理标准（安全管理标准（ISO17799）安全技术标准安全技术标准安全产品标准（安全产品标准（CC）安全工程标准（安全工程标准（SSE-CMM）安全方法论安全方法论安全资格认证（安全资格认证（CISSP/CISA）产品安全性保证标准产品安全性保证标准Common Criteria(CC)ISO/IEC 15408 Evaluation criteria for IT

30、Security 针对产品或组件的保证标准e.g.Firewalls,IDS,OS 定义了7个 Evaluation Assurance Levels(EAL)一级最低，七级最高1996年国际上的六个国家（美、加、英、法、德、荷）联合提出了信息技术安全评价的通用准则（CC）。CC的基础是欧州的ITSEC，美国的包括 TCSEC 在内的新 的联邦评价标准，加拿大的 CTCPEC，以及 国际标准化组织ISO:SC27 WG3 的安全评价标准。Trusted Computer System Evaluation Criteria（TCSEC）The Orange Book分为D/C1/C2/B1/B

31、2/B3/A1七个等级C2-部分OS有:VMS,IBM OS/400,Windows NT,Novell NetWare 4.11,Oracle 7,DG AOS/VS II.B1-部分OS有:HP-UX BLS,Cray Research Trusted Unicos 8.0,Digital SEVMS,Harris CS/SX,SGI Trusted IRIX.B2-部分OS有:Honeywell Multics,Cryptek VSLAN,Trusted XENIX B3-仅有的OS:Getronics/Wang Federal XTS-300 A1-Boeing MLS LAN,Gem

32、ini Trusted Network Processor,Honeywell SCOMP.FIPS PUB 140-2 Cryptographic模块的安全要求标准 定义了4个等级。美国美国TCSECTCSEC1970年由美国国防部提出。年由美国国防部提出。1985年公年公布。布。主要为军用标准。延用至民用。主要为军用标准。延用至民用。安全级别从高到低分为安全级别从高到低分为A、B、C、D四级，级下再分小级。四级，级下再分小级。彩虹系列彩虹系列 桔皮书：可信计算机系统评估准则桔皮书：可信计算机系统评估准则黄皮书：桔皮书的应用指南黄皮书：桔皮书的应用指南 红皮书：可信网络解释红皮书：可信网络解

33、释 紫皮书：可信数据库解释紫皮书：可信数据库解释美国美国美国美国TCSECTCSECqD:最小保护Minimal ProtectionqC1:自主安全保护Discretionary Security ProtectionqC2:访问控制保护Controlled Access ProtectionqB1:安全标签保护Labeled Security ProtectionqB2:结构化保护Structured ProtectionqB3:安全域保护Security DomainqA1:验证设计保护Verified Design低保证系统高保证系统CCCC标准的发展历程标准的发展历程CCCC驱动因素

34、驱动因素CCCC要实现的目标要实现的目标成为统一的国际（通用）IT产品和系统安全标准目前，CC已经成为ISO国际标准（15408）在不同国家间达成协议，相互承认产品评估为开发者拓展国际舞台改善IT安全产品在全世界的可用性CCCC的目标读者的目标读者消费者消费者-具有IT安全功能的产品购买指南购买指南产品开发者和集成商产品开发者和集成商-具有IT安全功能的产品的开发基础开发基础评估员评估员-IT安全产品的评估基础评估基础审核员审核员,认证人员认证人员,授权人员授权人员-对他们的特定应特定应用用给予支持CCCC的内容组织的内容组织CCCC定义了两类安全需求定义了两类安全需求CCCC的关键概念的关键

35、概念评估目标评估目标(TOE)IT产品或系统及其相关的管理指南和用户指南等文档，是评估的对象保护轮廓保护轮廓(Protect Profile PP)满足特定消费者需求的、独立于实现的、关于某一类TOE的一组安全要求（用户提出要求）（用户提出要求）安全目标安全目标(Security Target ST)依赖于实现的一组安全要求和说明，作为指定TOE的评估基础（开发者给出）（开发者给出）用户借助用户借助PPPP定义需求定义需求厂商使用厂商使用STST对用户需求做出响应对用户需求做出响应PPPP、STST和和TOETOE之间的关系之间的关系评估保证等级评估保证等级CCCC总体结构总体结构安全产品评估

36、框架模型安全产品评估框架模型CC vs.BS7799CC vs.BS7799都是认证标准，但是对象不同，CC评估的对象是系统和产品，而7799关注的信息安全管理在依照BS7799标准来实施ISMS时，一些涉及系统和产品安全的技术要求，可以参考CC63提纲提纲概述概述安全标准组织安全标准组织安全标准分类安全标准分类安全管理标准（安全管理标准（ISO17799）安全技术标准安全技术标准安全产品标准（安全产品标准（CC）安全工程标准（安全工程标准（SSE-CMM）安全方法论安全方法论安全资格认证（安全资格认证（CISSP/CISA）什么是什么是SSE-CMMSSE-CMMSSE-CMM是系统安全工程

37、能力成熟模型（Systems Security Engineering Capability Maturity Model）的缩写，它描述了一个组织的安全工程过程必须包含的本质特征，这些特征是完善的安全工程保证,为安全工程的应用提供了一个衡量和改进的途径 现代统计过程控制理论表明通过强调生产过程的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品SSE-CMM项目的目标是促进安全工程成为一个确定的、成熟的和可度量的科目 SSE-CMM项目进展来自于安全工程业界、美国国防部和加拿大通讯安全机构积极参与和共同的投入1995 1995 成立项目组成立项目组成立项目组成立项目组1996 19

38、96 SSE-CMMv1SSE-CMMv1正式发布正式发布正式发布正式发布19971997 SSE-CMM SSE-CMM评定方法发布评定方法发布评定方法发布评定方法发布1999 1999 SSE-CMMv2SSE-CMMv2发布发布发布发布2002 ISO/IEC 2002 ISO/IEC 21827218272003 2003 SSE-CMMv3SSE-CMMv3发布发布发布发布SSE-CMMSSE-CMM模型结构模型结构Base PracticesGenericPracticesProcess AreasProcess CategoryProcess AreasBase Practice

39、sDomainCommonFeaturesGenericPracticesGenericPracticesGenericPracticesGenericPracticesGenericPracticesBase PracticesBase PracticesBase PracticesBase PracticesProcess AreasProcess AreasCapabilityLevelCommonFeaturesCommonFeaturesCapability二维结构：Domain,CapabilityDomain 包含安全工程中的实践领域，分为3个主要的Process 类，22个PA

40、，130多项BPCapability 表示过程管理、衡量及制度化的能力，共分为5级，下面细分为12个Common Features，以及近30个Generic Practices5 5级成熟能力级成熟能力12345非正式执行 没有控制计划并跟踪-引入了计划、跟踪和管理，周期性的评估执行的效果，并定义了改进过程；周期性的评估执行的效果，并定义了改进过程；适当定义-在组织内建立并共享 bestPractices量化控制-收集量化指标，进行量化管理持续改进系统安全工程过程系统安全工程过程风险过程风险过程工程过程工程过程保证过程保证过程SSE-CMMSSE-CMM与与ISO17799ISO17799的

41、内容比较的内容比较SSE-CMMISO17799PA01：管理安全性控制(4BP)Section 5,Personnel SecuritySection 6,Communications and operationsManagementSection 8,Systems Development andMaintenancePA02：评估影响(6BP)IntroductionPA03：评估风险(6BP)IntroductionPA04：评估威胁(6BP)IntroductionPA05：评估脆弱性(5BP)IntroductionPA06：建立保证论据(5BP)Section 10,Compli

42、ancePA07：协调安全性(4BP)Section 2,Security OrganizationSection 6,Communications and operationsManagementPA08：监视安全状态(7BP)Section 10,CompliancePA09：提供安全性条件(6BP)Section 1,Security PolicySection 3,Asset Classification and ControlSection 5,Physical and Environmental SecurityPA10：特殊的安全性需求(11BP)Section 1,Securi

43、ty PolicySection 7,Access ControlSection 8,Systems Development andMaintenanceSection 9,Business Continuity PlanningPA11：确认和证实（5BP）Section 10,Compliance72提纲提纲概述概述安全标准组织安全标准组织安全标准分类安全标准分类安全管理标准（安全管理标准（ISO17799）安全技术标准安全技术标准安全产品标准（安全产品标准（CC）安全工程标准（安全工程标准（SSE-CMM）安全方法论安全方法论安全资格认证（安全资格认证（CISSP/CISA）安全方法论安

44、全方法论AS/NZS 4360澳洲/新西兰风险管理标准提供建立、实施风险管理过程的指导NIST SP 800-30Risk Management Guide for IT Systems建立、实施风险管理过程的指导OCTAVEOperationally Critical Threat,Asset,and Vulnerability Evaluation由CMU-SEI（Carnegie Mellon University-Software Engineering Institute）建立的风险评估方法论74提纲提纲概述概述安全标准组织安全标准组织安全标准分类安全标准分类安全管理标准（安全管理标

45、准（ISO17799）安全技术标准安全技术标准安全产品标准（安全产品标准（CC）安全工程标准（安全工程标准（SSE-CMM）安全方法论安全方法论安全资格认证（安全资格认证（CISSP/CISA）安全资格认证标准：安全资格认证标准：CISSPCISSP Certified Information Systems Security Professional(CISSP)由美国(ISC)2进行认证管理 十个 Common Body of Knowledge(CBK)访问控制Access Control Systems&Methodology 应用开发Applications&Systems Deve

46、lopment 业务持续性Business Continuity Planning 加密Cryptography 法律、道德、调查Law,Investigation&Ethics 操作安全Operations Security 物理安全Physical Security 安全架构及模型Security Architecture&Models 安全管理实践Security Management Practices 网络安全Telecommunications,Network&Internet Security(ISC)2=International Information Systems Sec

47、urity Certifications Consortium 安全资格认证标准安全资格认证标准:CISA:CISA Certified Information Systems Auditor(CISA)由 ISACA管理认证依据Control Objectives for Information and related Technologies(CobiT)考试包括7个内容 IS计划、管理和组织Management,Planning&Organization of IS 技术结构及操作实践Technical Infrastructure&Operational Practices 信息资产保

48、护Protection of Information Assets 灾难恢复及业务持续Disaster Recovery&Business Continuity 系统开发、实施、管理Business Application System Development,Acquisition,Implementation,&Maintenance 商业过程评估及风险管理Business Process Evaluation&Risk Management IS审计IS Audit ProcessISACA=Information Systems Audit and Control Associatio

49、n安全资格认证标准：安全资格认证标准：CISMCISM Certified Information Security Manager(CISM)由 ISACA管理认证 面向安全管理人员 比CISSP/CISA更早的认证 包含5项内容信息安全管辖 Information Security Governance风险管理 Risk Management 信息安全程序管理 Information Security Programme Management 信息安全管理 Information Security Management 安全响应管理Response ManagementISACA=Information Systems Audit and Control Association