[精选]信息系统安全集成-第1章.pptx

《[精选]信息系统安全集成-第1章.pptx》由会员分享，可在线阅读，更多相关《[精选]信息系统安全集成-第1章.pptx（41页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、1信息系统安全集成信息系统安全集成概念与标准概念与标准2本章本章 本章讲述信息系统安全集成概念与信息系统安全集成相关的标准，并详细讲述信息系统安全集成效劳资质认证实施规则。摘 要主要内容主要内容一、一、基本基本概念概念二、二、SSE-CMM标准及其演化进程介绍标准及其演化进程介绍三、三、ISO20000与与ISO27000标准介绍标准介绍四、四、信息系统信息系统安全集成效劳资质认证实施规则安全集成效劳资质认证实施规则4一、一、基本概念基本概念1.什么是什么是信息系统安全集成信息系统安全集成？新建系统新建系统升级升级系统系统优化优化加固加固信息系统安全集成是信息系统安全集成是在组织在组织IT战略

2、指战略指导思想下导思想下按照按照组织的组织的信息系统安全需信息系统安全需求，采用信息系统安全工程的方法和求，采用信息系统安全工程的方法和理论，将安全单元、产品部件进行集理论，将安全单元、产品部件进行集成的行为或活动。成的行为或活动。5一、基本概念2.标准与标准化标准与标准化的概念的概念GB/T 20000.1-2002标准化工作指南 第1局部:标准化和相关活动的通用词汇中对标准的定义：为了在一定范围内获得最正确秩序，经协商一致制定并由公认机构批准，共同使用的和重复使用的一种标准性文件。标准化是制定、发布及实施标准的过程。标准是科学、技术和实践经验的总结。标准化是为在一定的范围内获得最正确秩序，

3、对实际的或潜在的问题制定共同的和重复使用的规则的活动。6一、基本概念3.标准化组织简介标准化组织简介国际标准化组织，简称ISO，是世界上最大的非政府性标准化专门机构，是国际标准化领域中一个十分重要的组织。中国国家标准化管理 会，英文缩写SAC，为国家质检总局管理的事业单位。国家标准化管理 会是国务院授权的履行行政管理职能，统一管理全国标准化工作的主管机构。分为国际标准化组织、区域标准化组织、行业标准化组织、国家标准化组织。7二、二、SSE-CMMSSE-CMM标准介绍及其在国内外演化进程标准介绍及其在国内外演化进程本节主要内容：本节主要内容：SSE-CMM概念 SSE-CMM背景与开展 SSE

4、-CMM背景与开展8二、二、SSE-CMMSSE-CMM标准介绍及其在国内外演化进程标准介绍及其在国内外演化进程SSE-CMM中文解释为：信息安全工程能力成熟度模型。它描述了一个组织的安全工程过程必须包含的本质特征，这些特征是完善的安全工程保证。1.SSE-CMM概念SSE-CMM模型是安全工程实施的标准度量标准，它覆盖了：整个生命期，包括开发、运行、维护和终止；整个组织，包括其中的管理、组织和工程活动；与其它标准并行的相互作用，如系统、软件、硬件、人的因素、测试工程、系统管理、运行和维护等标准；与其它机构的相互作用，包括获取、系统管理、认证、认可和评价机构。9二、二、SSE-CMMSSE-C

5、MM标准介绍及其在国内外演化进程标准介绍及其在国内外演化进程2.SSE-CMM背景与开展SSE-CMM背景n无论是顾客，还是供给商都对改进安全产品、系统和效劳的开发感兴趣。n安全工程领域已有一些被充分接受的原则，但仍缺少一个易于理解的评估安全工程实施的框架。nSSE-CMM正是这样一个框架，它为安全工程原则的应用提供了一个衡量和改进的途径。10二、二、SSE-CMMSSE-CMM标准介绍及其在国内外演化进程标准介绍及其在国内外演化进程2.SSE-CMM背景与开展SSE-CMM开展nSSE-CMM由 国家 NSA提出，会聚60多个厂商集中开发。n1993年 国家 提出SSE-CMM的设想；n19

6、95年3月SSE-CMM工程工作组完成了SSE-CMM模型和认定方法工作；n1996年10月出版SSE-CMM的第一版；n1997年4月出版SSE-CMM的第二版；n2003年7月出版SSE-CMM的第三版。11二、二、SSE-CMMSSE-CMM标准介绍及其在国内外演化进程标准介绍及其在国内外演化进程2.SSE-CMM背景与开展SSE-CMM、ISO/TEC 21872与GB/T20261的关系n2002年SSE-CMM被国际标准化组织采纳成为国际标准即ISO/IEC 21827:2002。n2006年中国将ISO/TEC 21872：2002转化为国标GB/T20261：2006。12二、

7、二、SSE-CMMSSE-CMM标准介绍及其在国内外演化进程标准介绍及其在国内外演化进程3.SSE-CMM应用与意义SSE-CMM的应用的应用nSSE-CMM涉及到整个系统生命周期的安全工程活动，其中包括概念定义、需求分析、设计、开发、集成、安装、运行、维护和终止。nSSE-CMM适用于安全产品开发、安全系统开发、系统集成和提供安全效劳与全工程的机构；nSSE-CMM适用于所有类型和规模的安全工程，如 队、政府机构、学术机构、商业机构等。13二、二、SSE-CMMSSE-CMM标准介绍及其在国内外演化进程标准介绍及其在国内外演化进程3.SSE-CMM应用与意义SSE-CMM的意义的意义n通过区

8、分投标者的能力级别和相关的方案风险来选择合格的安全工程提供商；n工程组把投资集中在安全工程工具、培训、过程定义、管理实施和改进上；n基于能力的保证，也就是说，信赖是基于对工程组织安全工程实践和过程成熟的信心。SSE-CMM工程的目标是促进安全工程成为一个确定的、成熟的和可度量的科目。这个SSE-CMM将带来以下益处：14三三、ISO20000ISO20000与与ISO27001ISO27001标准介绍标准介绍本节主要内容：本节主要内容：ITIL、ISO20000与GB/T24405 ISO20000与ISO27001 ISO20000体系简介 ISO27001体系简介15三三、ISO20000

9、ISO20000与与ISO27001ISO27001标准介绍标准介绍1.ITIL、ISO20000与GB/T24405 内部流程和程序内部流程和程序ITIL 2.0ISO/IEC 20000-2实用用规则ISO/IEC 20000-1要求要求GB/T24405ISO20000是面向IT效劳管理的质量体系标准，强调以流程的方式到达质量管理标准。16三三、ISO20000ISO20000与与ISO27001ISO27001标准介绍标准介绍2.ISO20000与ISO27001ISO27001标准概述标准概述nISO27001标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS 779

10、9-1：1995信息安全管理实施细则，它提供了一套综合的、由信息安全最正确惯例组成的实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准，并且适用于大、中、小组织。n2000年，国际标准化组织ISO在BS7799-1的基础上制定通过了ISO 17799标准。BS7799-2在2002年也由BSI进行了重新的修订。ISO组织在2005年对ISO 17799再次修订，BS7799-2也于2005年被采用为ISO27001:2005。17三三、ISO20000ISO20000与与ISO27001ISO27001标准介绍标准介绍2.ISO20000与ISO27001ISO20

11、000与与ISO27001的关系的关系nISO20000以流程为核心，定义了一系列比较抽象的流程目标；ISO27001以控制点/控制措施为主，比较具体。nISO20000是面向IT效劳管理的质量体系标准；ISO27001是面向信息安全的质量标准标准。nISO20000强调以流程的方式到达质量管理标准；ISO27001强调以风险控制点的方式来到达信息安全管理的目的。n两套体系标准存在着许多的共性特征，如：事件管理、业务连续性管理、信息资产管理等方面。ISO20000在效劳提供过程的“信息安全管理局部中包括有对信息安全的要求。尽管两者都专注于IT效劳的管理，然而，在专注点和适用范围上有着很大的不同

12、：18三三、ISO20000ISO20000与与ISO27001ISO27001标准介绍标准介绍3.ISO20000体系简介ISO20000标准特点标准特点nISO20000是“以客户为导向，以流程为中心的先进理念，强调PDCA的方法论持续改进组织所提供的IT效劳，标准化管理效劳运营的输入与输出、生产流程、新的或变更的效劳，以及效劳管理体系。nISO20000通过采用标准的流程方法，有效的向客户提供满足业务与客户需求的高质量效劳，从而最终保证以最低的成本提供质量稳定的IT效劳，保证业务持续运作的能力。19三三、ISO20000ISO20000与与ISO27001ISO27001标准介绍标准介绍

13、3.ISO20000体系简介ISO20000标准主要内容标准主要内容ISO20000标准包括了5大过程,13个管理面,150多个核心控制点，如下：效劳交付效劳交付控制过程控制过程发布过程发布过程解决过程解决过程业务过程业务过程效劳等级管理配置管理发布管理事故管理 业务关系管理效劳报告变更管理问题管理能力管理持续性与可用性信息安全管理预算编制与会计核算20三三、ISO20000ISO20000与与ISO27001ISO27001标准介绍标准介绍3.ISO20000体系简介ISO20000认证认证的的益处益处n保证IT效劳管理的质量，展示自身实力，全面到达行业标准要求；n有效地想客户证明自身的特殊

14、IT效劳，并承诺效劳的稳定以及持续的效劳提供能力，满足客户业务应用要求和法律法规要求；n强化组织人员的IT效劳意识，标准组织提供IT效劳的行为，构建新型的角色职责体系，实现科学分工与运营管理；n对组织的关键IT资产进行全面系统的保护，确保业务持续性。21三三、ISO20000ISO20000与与ISO27001ISO27001标准介绍标准介绍4.ISO27001体系简介机密性：机密性：信息不可被未经授权之个人、实体、流程所取得或揭露的特性。可用性：可用性：基于需要可由授权者存取及使用的特性。：性整完：性整完征特的整完和威胁脆弱确准产资护保风险ISO27001关于信息安全的主要含义22三三、IS

15、O20000ISO20000与与ISO27001ISO27001标准介绍标准介绍4.ISO27001体系简介ISO27001标准适用范围标准适用范围n信息安全管理标准正式发布后得到了很多国家的认可，是国际上具有代表性的信息安全管理体系标准。n信息安全管理对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。23三三、ISO20000ISO20000与与ISO27001ISO27001标准介绍标准介绍4.ISO27001体系简介ISO27001标准主要内容标准主要内容信息安全政策信息安全政策组织的安全组织的安全资产管理资产管理人员的安全人员的

16、安全实体及环境的安全实体及环境的安全通信与操作管理通信与操作管理访问控制访问控制信息系统的获得、开发与维护信息系统的获得、开发与维护信信 息息 安安 全全 事事 件件 管管 理理业务持续性管理业务持续性管理相关标准的符合相关标准的符合十一个控制域：十一个控制域：标准包含11大控制域、39个控制目标和133项控制措施,组织提供提供全方位的信息安全保障。24三三、ISO20000ISO20000与与ISO27001ISO27001标准介绍标准介绍4.ISO27001体系简介ISO27001对组织的益处对组织的益处n符合法律法规要求.n维护企业的声誉、品牌和客户信任.n履行信息安全管理责任.n增强员

17、工的意识、责任感和相关技能.n保持业务持续开展和竞争优势.n实现风险管理.n减少损失，降低成本.2544、安全集成效劳资质认证实施安全集成效劳资质认证实施规则规则本节主要内容：本节主要内容：概述资质要求过程要求认证模式与流程评价要求2644、安全集成效劳资质认证实施安全集成效劳资质认证实施规则规则.概述概述安全集成效劳资质的实施情况安全集成效劳资质的实施情况n经国家认证认可监督管理 会批准，从事信息安全效劳资质认证的机构;n信息安全效劳资质认证是依据国家法律法规、国家标准、行业标准和技术标准，按照认证基本标准及认证规则，对提供信息安全效劳机构的安全效劳资质进行评价的认证活动;n2008年7月颁

18、发第一批认证证书。n2010年X月颁发第二批认证证书。2744、安全集成效劳资质认证实施安全集成效劳资质认证实施规则规则.概述概述安全集成效劳资质的适用范围安全集成效劳资质的适用范围n资质标准提出了信息系统安全集成效劳提供者以下简称效劳提供者应具备的效劳能力要求，及实施信息系统安全集成效劳资质认证的程序与管理要求。n适用于对效劳提供者效劳能力的评价活动；可作为信息系统所有者选择效劳提供者的依据；可为有关管理部门对效劳提供者进行管理提供参考；也可为效劳提供者自我能力改进提供参考。2844、安全集成效劳资质认证实施安全集成效劳资质认证实施规则规则.概述概述安全集成效劳资质的安全集成效劳资质的认证依

19、据认证依据认证依据认证依据nGB/T 20261-2006 信息技术 系统安全工程 能力成熟度模型 nYD/T 1621-2007 网络与信息安全效劳资质评价准则 nYD/T 1799-2008 网络与信息安全应急处理效劳资质评价方法 nYD/T 2252-2011 网络与信息安全风险评估效劳能力评价方法 nCNCA/CTS 0052-2007 信息安全效劳资质认证技术标准 nGB/T 5271.8-2001信息技术词汇第8局部：安全中的术语和定义适用于本标准。2944、安全集成效劳资质认证实施安全集成效劳资质认证实施规则规则.基本资质要求基本资质要求对安全集成服务对安全集成服务提供者的资质要

20、提供者的资质要求求基本能力要求基本能力要求分级评价要求分级评价要求基本条件基本条件基本管理基本管理能力能力基本技术基本技术能力能力集成准备集成准备方案设计方案设计建设实施建设实施安全保证安全保证三级资质能力三级资质能力要求要求二级资质能力二级资质能力要求要求一级资质能力一级资质能力要求要求服务过程要求服务过程要求3044、安全集成效劳资质认证实施安全集成效劳资质认证实施规则规则.基本资质要求基本资质要求基本条件基本条件基本条件基本条件 效劳提供者应：n具有 境内的独立法人资格，具有相关部门颁发的合法经营资格；n近两年内经济状况良好，财务数据真实可信，并应经国家相关部门认定的会计师事务所核实；n

21、具有固定的工作场所。n遵守国家现行法律、法规的规定。3144、安全集成效劳资质认证实施安全集成效劳资质认证实施规则规则.基本资质要求基本资质要求基本管理能力要求基本管理能力要求基本管理能力要求基本管理能力要求n确保客户信息的安全、可控；n确保密岗位与职责，定期对效劳人员进行保密教育与培训，并签订保密责任书；n建立人员管理程序；n制定标准的工程管理制度，并按照工程管理制度实施；n制定工程风险管理制度；n制定符合标准要求的安全集成方案、报告等文档模板；n制定针对供方的管理要求。3244、安全集成效劳资质认证实施安全集成效劳资质认证实施规则规则.基本资质要求基本资质要求基本技术能力要求基本技术能力要

22、求基本技术能力要求基本技术能力要求 n具备制定安全集成方案并能够按照该方案实施的能力；能够提供信息系统安全集成效劳报告、系统使用指南等文档；n具备对安全集成完成的系统进行检测和验证的能力；n熟悉国内外主流的信息技术产品、信息安全产品的功能及特性；n具有满足工程需要的开发、测试工具或模拟环境；n有专门的技术人员关注并掌握信息安全技术、标准和法规；关注国内外权威机构发布的安全公告及漏洞公告，对最新的安全相关技术进行研究。3344、安全集成效劳资质认证实施安全集成效劳资质认证实施规则规则.过程要求过程要求概述概述n信息系统安全集成效劳过程分为集成准备、方案设计、建设实施和安全保证四个阶段,这四个阶段

23、包括10个过程要求，各过程要求细则共43项。n过程要求项定义了为满足各阶段过程的内容要点以及最正确实践。44、安全集成效劳资质认证实施安全集成效劳资质认证实施规则规则.过程要求过程要求界定安全需求界定安全需求 安全方案设计安全方案设计协调安全协调安全建立保证论据建立保证论据 签订效劳合同签订效劳合同管理安全控制管理安全控制 建立保证论据建立保证论据 签订效劳合同签订效劳合同安全监控安全监控 签订保密协议签订保密协议集成准备集成准备方案设计方案设计建设实施建设实施安全保证安全保证3544、安全集成效劳资质认证实施安全集成效劳资质认证实施规则规则.分级评价要求分级评价要求概述概述n信息系统安全集成

24、效劳资质级别是衡量效劳提供者效劳能力的尺度。n根据效劳提供者的机构注册资金、从业经验、人员素质要求、工程经验、管理能力和技术能力等要素，将效劳提供者的资质划分为一级、二级、三级共三个级别，其中一级最高，三级最低。3644、安全集成效劳资质认证实施安全集成效劳资质认证实施规则规则.分级评价要求分级评价要求基本资格基本资格 三级资质三级资质 二级资质二级资质 一级资质一级资质注册资本注册资本500万元人民币1000万元人民币2000万元人民币人员素质要求人员素质要求机构总人数30人以上；机构总人数100人以上；机构总人数200人以上；集成效劳人员10人以上；集成效劳人员20人以上；集成效劳人员30

25、人以上；本科以上学历人员比例60%以上；本科以上学历人员比例70%以上；本科以上学历人员比例80%以上；拥有安全集成效劳资质人数拥有安全集成效劳资质人数2人6人10人拥有工程管理资格人数拥有工程管理资格人数1人2人5人单位负责人要求单位负责人要求2年以上信息技术领域企业管理经历3年以上信息技术领域企业管理经历5年以上信息技术领域企业管理经历技术负责人要求技术负责人要求电子信息技术类高级职称；安全集成技术工作经验不少于2年；电子信息技术类高级职称；安全集成技术工作经验不少于3年；电子信息技术类高级职称；安全集成技术工作经验不少于5年；财务负责人要求财务负责人要求财务方面的初级以上职称财务方面的中

26、级以上职称财务方面的中级以上职称从业时间从业时间信息系统安全集成效劳1年以上信息系统安全集成效劳3年以上 信息系统安全集成效劳5年以上从业经验从业经验3年内4个以上的工程且合同总额不少于300万元人民币；一个100万元以上的安全集成工程；3年内6个以上的工程且合同总额不少于1000万元人民币；一个200万元以上的安全集成工程；3年内完成10个以上的工程且合同总额不少于2000万元人民币；一个500万元以上的安全集成工程；3744、安全集成效劳资质认证实施安全集成效劳资质认证实施规则规则.分级评价要求分级评价要求 三级资质三级资质 二级资质二级资质 一级资质一级资质 管理能力管理能力制定效劳质量

27、持续改进的制度，跟踪其落实情况；制定效劳质量持续改进的制度，跟踪其落实情况；参考GB/T 22080-2008/ISO/IEC 27001:2005信息技术 安全技术 信息安全管理体系要求标准建立信息安全管理体系 技术能力技术能力具有足够的技术力量，根据效劳业务的需求开发信息安全产品或支持性工具；有足够的技术力量，根据效劳业务的需求开发信息安全产品或支持性工具；应具有足够的技术力量，对市场的信息安全产品进行功能分析、提出安全策略及安全产品进行集成的能力.至少提供一个已完成信息系统，其安全性须经由权威机构专家组验证通过.效劳过程要求效劳过程要求制定安全测量准则以监控安全保证目标备注：灰色方框局部

28、表示遵守三个级别资质的通用要求；备注：灰色方框局部表示遵守三个级别资质的通用要求；3844、安全集成效劳资质认证实施安全集成效劳资质认证实施规则规则.认证模式与流程认证模式与流程38认证模式：现场检查认证模式：现场检查+特定效劳检查特定效劳检查+获证后监督获证后监督n现场检查是在文档审核通过后，审核组到申请方的注册地址或业务量较集中的办公地址进行的标准符合性验证活动。n特定效劳检查是审核组对申请方的效劳团队进行的特定效劳过程演示或到客户现场见证效劳过程的检查活动，从而判定该申请方的效劳能力。n获证后监督是确保获证方在获证后能够持续满足标准的要求，在证书的三年有效期内认证机构对获证方进行一或两次

29、现场监督审核。n如有特殊情况发生，认证机构可增加监督审核频次。3944、安全集成效劳资质认证实施安全集成效劳资质认证实施规则规则.认证模式与流程认证模式与流程3940 谢谢谢谢 谢谢谢谢 ！9、静夜四无邻，荒居旧业贫。4月-234月-23Monday,April 17,202310、雨中黄叶树，灯下白头人。17:04:4917:04:4917:044/17/2023 5:04:49 PM11、以我独沈久，愧君相见频。4月-2317:04:4917:04Apr-2317-Apr-2312、故人江海别，几度隔山川。17:04:4917:04:4917:04Monday,April 17,20231

30、3、乍见翻疑梦，相悲各问年。4月-234月-2317:04:4917:04:49April 17,202314、他乡生白发，旧国见青山。17 四月 20235:04:49 下午17:04:494月-2315、比不了得就不比，得不到的就不要。四月 235:04 下午4月-2317:04April 17,202316、行动出成果，工作出财富。2023/4/17 17:04:4917:04:4917 April 202317、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。5:04:49 下午5:04 下午17:04:494月-239、没有失败，只有暂时停止成功！。4月-234月-

31、23Monday,April 17,202310、很多事情努力了未必有结果，但是不努力却什么改变也没有。17:04:4917:04:4917:044/17/2023 5:04:49 PM11、成功就是日复一日那一点点小小努力的积累。4月-2317:04:4917:04Apr-2317-Apr-2312、世间成事，不求其绝对圆满，留一份缺乏，可得无限完美。17:04:4917:04:4917:04Monday,April 17,202313、不知香积寺，数里入云峰。4月-234月-2317:04:4917:04:49April 17,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。

32、17 四月 20235:04:49 下午17:04:494月-2315、楚塞三湘接，荆门九派通。四月 235:04 下午4月-2317:04April 17,202316、少年十五二十时，步行夺得胡马骑。2023/4/17 17:04:4917:04:4917 April 202317、空山新雨后，天气晚来秋。5:04:49 下午5:04 下午17:04:494月-239、杨柳散和风，青山澹吾虑。4月-234月-23Monday,April 17,202310、阅读一切好书如同和过去最杰出的人谈话。17:04:4917:04:4917:044/17/2023 5:04:49 PM11、越是没有

33、本领的就越加自命非凡。4月-2317:04:4917:04Apr-2317-Apr-2312、越是无能的人，越喜欢挑剔别人的错儿。17:04:4917:04:4917:04Monday,April 17,202313、知人者智，自知者明。胜人者有力，自胜者强。4月-234月-2317:04:4917:04:49April 17,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。17 四月 20235:04:49 下午17:04:494月-2315、最具挑战性的挑战莫过于提升自我。四月 235:04 下午4月-2317:04April 17,202316、业余生活要有意义，不要越轨。2023/4/17 17:04:4917:04:4917 April 202317、一个人即使已登上顶峰，也仍要自强不息。5:04:49 下午5:04 下午17:04:494月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉