信息系统安全集成-第1章课件.pptx
《信息系统安全集成-第1章课件.pptx》由会员分享,可在线阅读,更多相关《信息系统安全集成-第1章课件.pptx(41页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、1信息系统安全集成信息系统安全集成概念与标准概念与标准2本章摘要本章摘要 本章讲述信息系统安全集成概念与信息系统安全集成相关的标准,并详细讲述信息系统安全集成服务资质认证实施规则。摘 要主要内容主要内容一、一、基本基本概念概念二、二、SSE-CMM标准及其演化进程介绍标准及其演化进程介绍三、三、ISO20000与与ISO27000标准介绍标准介绍四、四、信息系统信息系统安全集成服务资质认证实施规则安全集成服务资质认证实施规则4一、一、基本概念基本概念1.什么是什么是信息系统安全集成信息系统安全集成?新建系统新建系统升级升级系统系统优化优化加固加固信息系统安全集成是信息系统安全集成是在组织在组织
2、IT战略指战略指导思想下导思想下按照按照组织的组织的信息系统安全需信息系统安全需求,采用信息系统安全工程的方法和求,采用信息系统安全工程的方法和理论,将安全单元、产品部件进行集理论,将安全单元、产品部件进行集成的行为或活动。成的行为或活动。5一、基本概念2.标准与标准化标准与标准化的概念的概念GB/T 20000.1-2002标准化工作指南 第1部分:标准化和相关活动的通用词汇中对标准的定义:为了在一定范围内获得最佳秩序,经协商一致制定并由公认机构批准,共同使用的和重复使用的一种规范性文件。标准化是制定、发布及实施标准的过程。标准是科学、技术和实践经验的总结。标准化是为在一定的范围内获得最佳秩
3、序,对实际的或潜在的问题制定共同的和重复使用的规则的活动。6一、基本概念3.标准化组织简介标准化组织简介国际标准化组织,简称ISO,是世界上最大的非政府性标准化专门机构,是国际标准化领域中一个十分重要的组织。中国国家标准化管理委员会,英文缩写SAC,为国家质检总局管理的事业单位。国家标准化管理委员会是国务院授权的履行行政管理职能,统一管理全国标准化工作的主管机构。分为国际标准化组织、区域标准化组织、行业标准化组织、国家标准化组织。7二、二、SSE-CMMSSE-CMM标准介绍及其在国内外演化进程标准介绍及其在国内外演化进程本节主要内容:本节主要内容:SSE-CMM概念 SSE-CMM背景与发展
4、 SSE-CMM背景与发展8二、二、SSE-CMMSSE-CMM标准介绍及其在国内外演化进程标准介绍及其在国内外演化进程SSE-CMM中文解释为:信息安全工程能力成熟度模型。它描述了一个组织的安全工程过程必须包含的本质特征,这些特征是完善的安全工程保证。1.SSE-CMM概念SSE-CMM模型是安全工程实施的标准度量标准,它覆盖了:整个生命期,包括开发、运行、维护和终止;整个组织,包括其中的管理、组织和工程活动;与其它规范并行的相互作用,如系统、软件、硬件、人的因素、测试工程、系统管理、运行和维护等规范;与其它机构的相互作用,包括获取、系统管理、认证、认可和评价机构。9二、二、SSE-CMMS
5、SE-CMM标准介绍及其在国内外演化进程标准介绍及其在国内外演化进程2.SSE-CMM背景与发展SSE-CMM背景n无论是顾客,还是供应商都对改进安全产品、系统和服务的开发感兴趣。n安全工程领域已有一些被充分接受的原则,但仍缺少一个易于理解的评估安全工程实施的框架。nSSE-CMM正是这样一个框架,它为安全工程原则的应用提供了一个衡量和改进的途径。10二、二、SSE-CMMSSE-CMM标准介绍及其在国内外演化进程标准介绍及其在国内外演化进程2.SSE-CMM背景与发展SSE-CMM发展nSSE-CMM由美国国家安全局(NSA)提出,汇聚60多个厂商集中开发。n1993年美国国家安全局提出SS
6、E-CMM的构想;n1995年3月SSE-CMM项目工作组完成了SSE-CMM模型和认定方法工作;n1996年10月出版SSE-CMM的第一版;n1997年4月出版SSE-CMM的第二版;n2003年7月出版SSE-CMM的第三版。11二、二、SSE-CMMSSE-CMM标准介绍及其在国内外演化进程标准介绍及其在国内外演化进程2.SSE-CMM背景与发展SSE-CMM、ISO/TEC 21872与GB/T20261的关系n2002年SSE-CMM被国际标准化组织采纳成为国际标准即ISO/IEC 21827:2002。n2006年中国将ISO/TEC 21872:2002转化为国标GB/T202
7、61:2006。12二、二、SSE-CMMSSE-CMM标准介绍及其在国内外演化进程标准介绍及其在国内外演化进程3.SSE-CMM应用与意义SSE-CMM的应用的应用nSSE-CMM涉及到整个系统生命周期的安全工程活动,其中包括概念定义、需求分析、设计、开发、集成、安装、运行、维护和终止。nSSE-CMM适用于安全产品开发、安全系统开发、系统集成和提供安全服务与全工程的机构;nSSE-CMM适用于所有类型和规模的安全工程,如军队、政府机构、学术机构、商业机构等。13二、二、SSE-CMMSSE-CMM标准介绍及其在国内外演化进程标准介绍及其在国内外演化进程3.SSE-CMM应用与意义SSE-C
8、MM的意义的意义n通过区分投标者的能力级别和相关的计划风险来选择合格的安全工程提供商;n工程组把投资集中在安全工程工具、培训、过程定义、管理实施和改进上;n基于能力的保证,也就是说,信赖是基于对工程组织安全工程实践和过程成熟的信心。SSE-CMM项目的目标是促进安全工程成为一个确定的、成熟的和可度量的科目。这个SSE-CMM将带来以下益处:14三三、ISO20000ISO20000与与ISO27001ISO27001标准介绍标准介绍本节主要内容:本节主要内容:ITIL、ISO20000与GB/T24405 ISO20000与ISO27001 ISO20000体系简介 ISO27001体系简介1
9、5三三、ISO20000ISO20000与与ISO27001ISO27001标准介绍标准介绍1.ITIL、ISO20000与GB/T24405 内部流程和程序内部流程和程序ITIL 2.0ISO/IEC 20000-2实用用规则ISO/IEC 20000-1要求要求GB/T24405ISO20000是面向IT服务管理的质量体系标准,强调以流程的方式达到质量管理标准。16三三、ISO20000ISO20000与与ISO27001ISO27001标准介绍标准介绍2.ISO20000与ISO27001ISO27001标准概述标准概述nISO27001标准于1993年由英国贸易工业部立项,于1995年
10、英国首次出版BS 7799-1:1995信息安全管理实施细则,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准,并且适用于大、中、小组织。n2000年,国际标准化组织(ISO)在BS7799-1的基础上制定通过了ISO 17799标准。BS7799-2在2002年也由BSI进行了重新的修订。ISO组织在2005年对ISO 17799再次修订,BS7799-2也于2005年被采用为ISO27001:2005。17三三、ISO20000ISO20000与与ISO27001ISO27001标准介绍标准介绍2.ISO20000与
11、ISO27001ISO20000与与ISO27001的关系的关系nISO20000以流程为核心,定义了一系列比较抽象的流程目标;ISO27001以控制点/控制措施为主,比较具体。nISO20000是面向IT服务管理的质量体系标准;ISO27001是面向信息安全的质量标准规范。nISO20000强调以流程的方式达到质量管理标准;ISO27001强调以风险控制点的方式来达到信息安全管理的目的。n两套体系规范存在着许多的共性特征,如:事件管理、业务连续性管理、信息资产管理等方面。ISO20000在服务提供过程的“信息安全管理”部分中包括有对信息安全的要求。尽管两者都专注于IT服务的管理,然而,在专注
12、点和适用范围上有着很大的不同:18三三、ISO20000ISO20000与与ISO27001ISO27001标准介绍标准介绍3.ISO20000体系简介ISO20000标准特点标准特点nISO20000是“以客户为导向,以流程为中心”的先进理念,强调PDCA的方法论持续改进组织所提供的IT服务,标准化管理服务运营的输入与输出、生产流程、新的或变更的服务,以及服务管理体系。nISO20000通过采用标准的流程方法,有效的向客户提供满足业务与客户需求的高质量服务,从而最终保证以最低的成本提供质量稳定的IT服务,保证业务持续运作的能力。19三三、ISO20000ISO20000与与ISO27001I
13、SO27001标准介绍标准介绍3.ISO20000体系简介ISO20000标准主要内容标准主要内容ISO20000标准包括了5大过程,13个管理面,150多个核心控制点,如下:服务交付服务交付控制过程控制过程发布过程发布过程解决过程解决过程业务过程业务过程服务等级管理配置管理发布管理事故管理 业务关系管理服务报告变更管理问题管理能力管理持续性与可用性信息安全管理预算编制与会计核算20三三、ISO20000ISO20000与与ISO27001ISO27001标准介绍标准介绍3.ISO20000体系简介ISO20000认证认证的的益处益处n保证IT服务管理的质量,展示自身实力,全面达到行业规范要求
14、;n有效地想客户证明自身的特殊IT服务,并承诺服务的稳定以及持续的服务提供能力,满足客户业务应用要求和法律法规要求;n强化组织人员的IT服务意识,规范组织提供IT服务的行为,构建新型的角色职责体系,实现科学分工与运营管理;n对组织的关键IT资产进行全面系统的保护,确保业务持续性。21三三、ISO20000ISO20000与与ISO27001ISO27001标准介绍标准介绍4.ISO27001体系简介机密性:机密性:信息不可被未经授权之个人、实体、流程所取得或揭露的特性。可用性:可用性:基于需要可由授权者存取及使用的特性。:性整完:性整完征特的整完和威胁脆弱确准产资护保风险ISO27001关于信
15、息安全的主要含义22三三、ISO20000ISO20000与与ISO27001ISO27001标准介绍标准介绍4.ISO27001体系简介ISO27001标准适用范围标准适用范围n信息安全管理标准正式发布后得到了很多国家的认可,是国际上具有代表性的信息安全管理体系标准。n信息安全管理对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。23三三、ISO20000ISO20000与与ISO27001ISO27001标准介绍标准介绍4.ISO27001体系简介ISO27001标准主要内容标准主要内容信息安全政策信息安全政策组织的安全组织的安全资
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息系统安全 集成 课件
限制150内