國(guó)內(nèi)外信息安全標(biāo)準(zhǔn)與信息安全模型

國(guó)內(nèi)外信息安全標(biāo)準(zhǔn)與模型信息安全標(biāo)準(zhǔn)概述國(guó)際標(biāo)準(zhǔn)–ISO/IEC系列信息安全標(biāo)準(zhǔn)國(guó)際標(biāo)準(zhǔn)–COBIT國(guó)內(nèi)標(biāo)準(zhǔn)－等級(jí)保護(hù)安全標(biāo)準(zhǔn)的總結(jié)問(wèn)題與回答提綱2信息安全標(biāo)準(zhǔn)概述信息安全的重要性得到廣泛的關(guān)注。與此同時(shí)，國(guó)際和國(guó)內(nèi)的各種官方和科研機(jī)構(gòu)都發(fā)布了大量的安全標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)都是為實(shí)現(xiàn)安全目標(biāo)而服務(wù)，并從不同的角度對(duì)如何保障組織的信息安全提供了指導(dǎo)。第3

頁(yè)3信息安全標(biāo)準(zhǔn)的演進(jìn)第4

頁(yè)4主要的信息安全標(biāo)準(zhǔn)－國(guó)際標(biāo)準(zhǔn)發(fā)布的機(jī)構(gòu)安全標(biāo)準(zhǔn)1ISO（國(guó)際標(biāo)準(zhǔn)組織）ISO17799/ISO27001/ISO27002ISO/IEC15408ISO/IEC13335ISO/TR135692ISACA（信息系統(tǒng)審計(jì)與控制學(xué)會(huì)）COBIT4.13ISSEA（國(guó)際系統(tǒng)安全工程協(xié)會(huì)）SSE-CMMSystemsSecurityEngineering-CapabilityMaturityModel3.04ISSA（信息系統(tǒng)安全協(xié)會(huì)）GAISPVersion3.05ISF(信息安全論壇）TheStandardofGoodPracticeforInformationSecurity6IETF（互聯(lián)網(wǎng)工程任務(wù)小組）各種RFC（RequestforComments）5主要的信息安全標(biāo)準(zhǔn)－國(guó)際標(biāo)準(zhǔn)(續(xù)）發(fā)布的機(jī)構(gòu)安全標(biāo)準(zhǔn)7NIST（國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所）NIST800系列8DOD(美國(guó)國(guó)防部)TCSEC（可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)標(biāo)準(zhǔn)）－彩虹系列9CarnegieMellonSoftwareEngineeringInstitute(SEI)OperationallyCriticalThreat,Asset,andVulnerabilityEvaluation(OCTAVE)CriteriaVersion2.010OECD（經(jīng)濟(jì)與貿(mào)易發(fā)展組織）GuidelinesfortheSecurityofInformationSystemsandNetworksandAssociatedImplementationPlan11TheOpenGroupManager’sGuidetoInformationSecurity12ITILSecuritymanagement除了上述標(biāo)準(zhǔn)，世界各國(guó)的官方機(jī)構(gòu)和行業(yè)監(jiān)管機(jī)構(gòu)還有許多信息安全方面的標(biāo)準(zhǔn)、指引和建議的操作實(shí)踐。第6

頁(yè)6提綱信息安全標(biāo)準(zhǔn)概述國(guó)際標(biāo)準(zhǔn)–ISO/IEC系列信息安全標(biāo)準(zhǔn)國(guó)際標(biāo)準(zhǔn)–COBIT國(guó)內(nèi)標(biāo)準(zhǔn)－等級(jí)保護(hù)安全標(biāo)準(zhǔn)的比較問(wèn)題與回答第7

頁(yè)7主要的信息安全標(biāo)準(zhǔn)－國(guó)內(nèi)標(biāo)準(zhǔn)發(fā)布的機(jī)構(gòu)安全標(biāo)準(zhǔn)1全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)等級(jí)保護(hù)系列標(biāo)準(zhǔn)信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南其他信息安全標(biāo)準(zhǔn)－截至2007年底，共完成了國(guó)家標(biāo)準(zhǔn)59項(xiàng)，還有56項(xiàng)國(guó)家標(biāo)準(zhǔn)在研制中。2公安部、安全部、國(guó)家保密局、國(guó)家密碼管理委員會(huì)等部門(mén)一系列的信息安全方面的政策法規(guī)如：計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法互聯(lián)網(wǎng)信息服務(wù)管理辦法計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定計(jì)算機(jī)軟件保護(hù)條例商用密碼管理?xiàng)l例，等。第8

頁(yè)8在下面的課程中，我們會(huì)主要介紹以下標(biāo)準(zhǔn)：ISO系列安全標(biāo)準(zhǔn)，包括ISO17799/ISO27001/ISO27002ISO/IEC15408ISO/IEC13335ISO/TR13569ISACA的COBIT4.1全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)的等級(jí)保護(hù)系列標(biāo)準(zhǔn)第9

頁(yè)課程主要內(nèi)容9目錄信息安全標(biāo)準(zhǔn)概述國(guó)際標(biāo)準(zhǔn)–ISO/IEC系列信息安全標(biāo)準(zhǔn)國(guó)際標(biāo)準(zhǔn)–COBIT國(guó)內(nèi)標(biāo)準(zhǔn)－等級(jí)保護(hù)安全標(biāo)準(zhǔn)的總結(jié)問(wèn)題與回答10國(guó)際標(biāo)準(zhǔn)化組組織簡(jiǎn)介國(guó)際標(biāo)準(zhǔn)化組組織(InternationalOrganizationforStandardization)是由多國(guó)聯(lián)合合組成的非政政府性國(guó)際標(biāo)標(biāo)準(zhǔn)化機(jī)構(gòu)。。到目前為止止，ISO有正式成員國(guó)國(guó)120多個(gè)。國(guó)際標(biāo)準(zhǔn)化組組織1946年成立于瑞士士日內(nèi)瓦，負(fù)負(fù)責(zé)制定在世世界范圍內(nèi)通通用的國(guó)際標(biāo)標(biāo)準(zhǔn)；ISO技術(shù)工作是高高度分散的，，分別由2700多個(gè)技術(shù)委員員會(huì)(TC)、分技術(shù)委員員會(huì)(SC)和工作組(WG)承擔(dān)。ISO技術(shù)工作的成成果是正式出出版的國(guó)際標(biāo)標(biāo)準(zhǔn)，即ISO標(biāo)準(zhǔn)。ISO在信息安全方方面的標(biāo)準(zhǔn)主主要包括：ISO17799/ISO27001/ISO27002ISO/IEC15408ISO/IEC13335ISO/TR13569第11頁(yè)11關(guān)于ISO/IEC17799/27001/27002ISO/IEC17799是由國(guó)際標(biāo)準(zhǔn)準(zhǔn)化組織（ISO）與IEC（國(guó)際際電工工委員員會(huì)））共同同成立立的聯(lián)聯(lián)合技技術(shù)委委員會(huì)會(huì)ISO/IECJTC1，以英英國(guó)標(biāo)標(biāo)準(zhǔn)BS7799為藍(lán)本本而制制定的的一套套全面面和復(fù)復(fù)雜的的信息息安全全管理理標(biāo)準(zhǔn)準(zhǔn)。ISO/IEC17799于2000年正式式頒布布。ISO/IEC17799標(biāo)準(zhǔn)由由兩部部分構(gòu)構(gòu)成:第一部部分是是信息息安全全管理理體系系的實(shí)實(shí)施指指南，，相當(dāng)當(dāng)于BS7799-1;第二部部分是是信息息安全全管理理體系系規(guī)范范，相相當(dāng)于于BS7799-2。ISO/IEC17799標(biāo)準(zhǔn)的的內(nèi)容容涉及及10個(gè)領(lǐng)域域，36個(gè)管理理目標(biāo)標(biāo)和127個(gè)控制制措施施。2005年ISO17799更名為為ISO27001和ISO27002，分別別為：：ISO/IEC27001:2005Informationtechnology--Securitytechniques--Informationsecuritymanagementsystems––RequirementsISO/IEC27002:2005Informationtechnology--Securitytechniques--Codeofpracticeforinformationsecuritymanagement2007年ISO又頒布布了Informationtechnology--Securitytechniques--Requirementsforbodiesprovidingauditandcertificationofinformationsecuritymanagementsystems.第12頁(yè)12ISO/IEC17799模型ISO/IEC17799標(biāo)準(zhǔn)的的內(nèi)容容涉及及10個(gè)領(lǐng)域域，36個(gè)控制制目標(biāo)標(biāo)和127個(gè)控制制措施施。第13頁(yè)13ISO17799模型SecurityPolicyAssetClassificationAndControlSecurityOrganization紀(jì)錄和和溝通通信息息系統(tǒng)統(tǒng)政策策和法法規(guī)的的審核核分配職職責(zé)和和分工工，第第3方授權(quán)權(quán)，風(fēng)風(fēng)險(xiǎn)/控制的的外包包資產(chǎn)的的保存存，對(duì)對(duì)于敏敏感/商業(yè)風(fēng)風(fēng)險(xiǎn)的的區(qū)分分第14頁(yè)14ISO17799模型PersonalSecurityComm/OpsManagementPhysicalandEnvironmentSecurity員工聘聘請(qǐng)，，知識(shí)識(shí)培訓(xùn)訓(xùn)，事事故報(bào)報(bào)告等等物理安安全參參數(shù)，，設(shè)備備保護(hù)護(hù)，桌桌面及及電腦腦的重重要文文件的的保護(hù)護(hù)事故故流流程程，，職職責(zé)責(zé)分分離離，，系系統(tǒng)統(tǒng)規(guī)規(guī)劃劃，，電電子子郵郵件件控控制制第15頁(yè)15ISO17799模型型AccessControlBusinessContinuityPlanningSystemDevelopmentandMaintenance權(quán)限限管管理理：：包包括括應(yīng)應(yīng)用用系系統(tǒng)統(tǒng)，，操操作作系系統(tǒng)統(tǒng)，，網(wǎng)網(wǎng)絡(luò)絡(luò)變更更控控制制，，環(huán)環(huán)境境劃劃分分，，安安全全設(shè)設(shè)備備商業(yè)業(yè)可可持持續(xù)續(xù)性性計(jì)計(jì)劃劃及及其其框框架架，，測(cè)測(cè)試試計(jì)計(jì)劃劃以以及及計(jì)計(jì)劃劃的的維維護(hù)護(hù)和和更更新新Compliance版權(quán)控制制，記錄錄和信息息的保存存，數(shù)據(jù)據(jù)保護(hù)，，公司制制度的服服從第16頁(yè)16ISO/IEC27001/27002:2005的內(nèi)容總共分成11個(gè)領(lǐng)域、39個(gè)控制目目標(biāo)、133個(gè)控制措措施。11個(gè)領(lǐng)域包括A.1SecurityPolicy

A.2organizationofinformationsecurityA.3

Asset

managementA.4

Human

resourcessecurityA.5Physicaland

environmentalsecurityA.6

Communications

andoperations

managementA.7

Accesscontrol

A.8Informationsystems

acquisition,developmentandmaintenanceA.9Informationsecurityincidentmanagement

A.10Businesscontinuitymanagement

A.11Compliance第17頁(yè)17關(guān)于ISO/IEC1540890年代開(kāi)始始，由于于Internet的日益普普及，信信息安全全領(lǐng)域呼呼吁修改改桔皮書(shū)書(shū)，以解解決商用用信息系系統(tǒng)安全全問(wèn)題。。1991年歐盟(EuropeanCommission)頒布了ITSEC(InformationTechnologySecurityEvaluationCriteria,信息技術(shù)術(shù)安全評(píng)評(píng)估準(zhǔn)則則)。在此基礎(chǔ)礎(chǔ)上，美美國(guó)、加加拿大、、英國(guó)、、法國(guó)等等7國(guó)組織聯(lián)聯(lián)合研制制了“信信息技術(shù)術(shù)評(píng)估安安全公共共準(zhǔn)則””（CC：CommonCriteria）。1999年6月ISO通過(guò)了ISO/IEC15408安全評(píng)估估準(zhǔn)則（（ISO/IEC15408:1999SecurityTechniques—EvaluationCriteriaforITSecurity）。目前前的最新新版本于于2005年發(fā)布。。ISO/IEC15408是基于多多個(gè)標(biāo)準(zhǔn)準(zhǔn)而產(chǎn)生生的，它它的演進(jìn)進(jìn)過(guò)程如如下圖所所示：第18頁(yè)18ISO/IEC15408的內(nèi)容ISO/IEC15408由以下三三部分組組成：第一部分分：介紹紹和一般般模型第二部分分：安全全功能需需求第三部分分：安全全認(rèn)證需需求ISO/IEC15408準(zhǔn)則比以以往的其其他信息息技術(shù)安安全評(píng)估估標(biāo)準(zhǔn)更更加規(guī)范范，采用用以下方方式定義義：類別（CLASS）；認(rèn)證族（（ASSURANCEFAMILY）；認(rèn)證部件件（ASSURANCECOMPONENT）；認(rèn)證元素素（ASSURANCEELEMENT）。其中類別別中有若若干族，，族中有有若干部部件，部部件中有有若干元元素。第19頁(yè)19ISO/IEC15408的特點(diǎn)ISO/IEC15408信息技術(shù)術(shù)安全評(píng)評(píng)估準(zhǔn)則則中討論論的是TOE（targetofevaluation),即評(píng)估對(duì)對(duì)象。該該準(zhǔn)則關(guān)關(guān)注于評(píng)評(píng)估對(duì)象象的安全全功能，，安全功功能執(zhí)行行的是安安全策略略。ISO/IEC15408定義了安安全屬性性，包括括用戶屬屬性、客客體屬性性、主體體屬性、、和信息息屬性。。ISO/IEC15408加強(qiáng)了完完整性和和可用性性的防護(hù)護(hù)措施，，強(qiáng)調(diào)了了抗抵賴賴性的安安全要求求。ISO/IEC15408還定義了了加密的的要求，，強(qiáng)調(diào)對(duì)對(duì)用戶的的隱私保保護(hù)。ISO/IEC15408還討論了了某些故故障、錯(cuò)錯(cuò)誤和異異常的安安全保護(hù)護(hù)問(wèn)題。。第20頁(yè)20ISO/IEC15408的類別別ISO/IEC15408中，類類別（（class)代表最最概括括的分分類和和定義義方式式。包包括:安全功功能類類別，共11個(gè)，分分別別為安安全審審計(jì)、、通信信、加加密支支持、、用戶戶數(shù)據(jù)據(jù)防護(hù)護(hù)、標(biāo)標(biāo)識(shí)與與鑒別別、安安全管管理、、隱私私、安安全功功能的的防護(hù)護(hù)、資資源利利用、、對(duì)評(píng)評(píng)估對(duì)對(duì)象的的訪問(wèn)問(wèn)、可可信通通路/通道。。安全認(rèn)認(rèn)知類類別，共8個(gè)，分分別為為配置置管理理、遞遞交和和操作作、開(kāi)開(kāi)發(fā)、、指南南文檔檔、生生存期期支持持、測(cè)測(cè)試、、脆弱弱性評(píng)評(píng)估、、認(rèn)證證維護(hù)護(hù)。評(píng)估認(rèn)認(rèn)證級(jí)級(jí)別類類別，，共7個(gè)，分分別為為評(píng)估估功能能測(cè)試試、結(jié)結(jié)構(gòu)測(cè)測(cè)試、、方法法測(cè)試試和檢檢查、、半形形式設(shè)設(shè)計(jì)和和測(cè)試試、半半形式式驗(yàn)證證設(shè)計(jì)計(jì)和測(cè)測(cè)試、、形式式驗(yàn)證證設(shè)計(jì)計(jì)和測(cè)測(cè)試。。評(píng)估類類別，共3個(gè)，包包括2個(gè)預(yù)評(píng)評(píng)估類類別和和TOE評(píng)估（（即評(píng)評(píng)估對(duì)對(duì)象的的評(píng)估估）。。其中中預(yù)評(píng)評(píng)估類類別分分別為為：防護(hù)框框架評(píng)評(píng)估（（ProtectionProfileevaluation,簡(jiǎn)稱PP評(píng)估））:評(píng)估的的一般般是某某類安安全產(chǎn)產(chǎn)品，，如防防火墻墻等，，提出出測(cè)評(píng)評(píng)的常常為是是行業(yè)業(yè)組織織；安全目目標(biāo)評(píng)評(píng)估（（SecurityTargetevaluation,簡(jiǎn)稱ST評(píng)估））：評(píng)評(píng)估的的一般般是某某一類類的特特定產(chǎn)產(chǎn)品，，如某某品牌牌的防防火墻墻，提提出測(cè)測(cè)評(píng)的的常為為廠商商。第21頁(yè)21ISO/IEC15408的評(píng)估估方法法對(duì)于信信息系系統(tǒng)和和產(chǎn)品品進(jìn)行行安全全認(rèn)證證ISO/IEC15408通常采采用如如下方方法進(jìn)進(jìn)行評(píng)評(píng)估：：分析和和檢查查進(jìn)程程與過(guò)過(guò)程檢查進(jìn)進(jìn)程和和過(guò)程程被應(yīng)應(yīng)用的的情況況分析TOE設(shè)計(jì)表表示一一致性性分析TOE設(shè)計(jì)表表示與與需求求的滿滿足性性驗(yàn)證分析指指南文文檔分析功功能測(cè)測(cè)試和和測(cè)試試結(jié)果果獨(dú)立功功能測(cè)測(cè)試分析脆脆弱性性（包包括漏漏洞假假說(shuō)））侵入測(cè)測(cè)試等等（TOE是評(píng)估估對(duì)象象（TargetofEvaluation）的縮縮寫(xiě)）第22頁(yè)22關(guān)于ISO/IEC13335ISO/IEC13335InformationTechnology——GuidelinesfortheManagementofITSecurity是一套套關(guān)于于信息息安全全管理理的技技術(shù)文文件，，共由由五個(gè)個(gè)部分分組成成，這這五個(gè)個(gè)組成成部分分分別別在1996至2001年間發(fā)發(fā)布。。第一部部分：：安全全概念念和模模型（（Part1——ConceptsandModelsforITSecurity），發(fā)發(fā)布于于1996年12月15日。第二部部分：：安全全管理理和規(guī)規(guī)劃（（Part2——ManagingandPlanningITSecurity），發(fā)布于于1997年12月15日。第三部分：：安全管理理技術(shù)（Part3—TechniquesfortheManagementofITSecurity），發(fā)布于于1998年6月15日。第四部分：：保護(hù)的選選擇（Part4—SelectionofSafeguards），發(fā)布于于2000年3月1日。第五部分：：外部聯(lián)接接的防護(hù)（（Part5—ManagementGuidanceonNetworkSecurity），發(fā)布于于2001年1月2日。其中第一部部分分別于于1997年和2004年發(fā)布了更更新版本。。第23頁(yè)23關(guān)于ISO13569ISO13569的全稱為ISO/TR13569:2005Financialservices--Informationsecurityguidelines。它提供了對(duì)于于金融服務(wù)務(wù)行業(yè)機(jī)構(gòu)構(gòu)的信息安安全程序開(kāi)開(kāi)發(fā)的指導(dǎo)導(dǎo)方針。它它包括了對(duì)對(duì)制度，組組織結(jié)構(gòu)和和法律法規(guī)規(guī)等內(nèi)容的的討論。該標(biāo)準(zhǔn)對(duì)組組織選擇和和實(shí)施安全全控制，和和金融機(jī)構(gòu)構(gòu)用于管理理信息安全全風(fēng)險(xiǎn)的要要素進(jìn)行了了闡述。ISO13569于1997年首次發(fā)布布，分別于于2003年和2005年更新，目目前的最新新版本為2005年的版本。。第24頁(yè)24ISO/IEC13569的主要內(nèi)容容ISO/IEC13569是針對(duì)金融融行業(yè)的信信息安全標(biāo)標(biāo)準(zhǔn)，包括括以下主要要內(nèi)容：組織的IT安全政策IT安全管理風(fēng)險(xiǎn)分析和和評(píng)估安全保護(hù)的的實(shí)施和選選擇IT系統(tǒng)保護(hù)金融服務(wù)行行業(yè)專題，，包括如銀銀行卡、電電子資金傳傳輸(ElectronicFundTransfer)、支票、電電子商務(wù)等等內(nèi)容；另外，還包包括如加密密、審計(jì)、、事件管理理等專項(xiàng)討討論。第25頁(yè)25提綱信息安全標(biāo)標(biāo)準(zhǔn)概述國(guó)際標(biāo)準(zhǔn)–ISO/IEC系列信息安安全標(biāo)準(zhǔn)國(guó)際標(biāo)準(zhǔn)–COBIT國(guó)內(nèi)標(biāo)準(zhǔn)－－等級(jí)保保護(hù)安全標(biāo)準(zhǔn)的的比較問(wèn)題與回答答第26頁(yè)26COBIT簡(jiǎn)介COBIT（ControlObjectives

for

Information

and

related

Technology）是由信息息系統(tǒng)審計(jì)計(jì)與控制學(xué)學(xué)會(huì)ISACA（InformationSystemsAudit

and

Control

Association）在1996年所公布的的控制框架架；目前已經(jīng)更更新至第4.1版;COBIT的主要目的的是研究、、發(fā)展、宣宣傳權(quán)威的的、最新的的國(guó)際化的的公認(rèn)信息息技術(shù)控制制目標(biāo)以供供企業(yè)經(jīng)理理、IT專業(yè)人員和和審計(jì)專業(yè)業(yè)人員日常常使用。COBIT框架共有34個(gè)IT的流程，分分成四個(gè)領(lǐng)領(lǐng)域：PO（計(jì)劃與組織織）、AI（獲取與實(shí)施施）、DS（交付與支持持）、和ME（監(jiān)控與評(píng)估估）。第27頁(yè)27COBIT來(lái)源1992年：ISACF(InformationSystemAuditandControlFoundation)發(fā)起，參閱全球不不同國(guó)家、政府、標(biāo)準(zhǔn)組織的的26份文件后，基于其中之18份文件，研研擬COBIT，同時(shí)籌組COBIT指導(dǎo)委員會(huì)會(huì)(SteeringCommittee)。1996年：COBIT指導(dǎo)委員會(huì)會(huì)公布COBIT第一版。1998年：COBIT指導(dǎo)委員會(huì)會(huì)公布COBIT第二版，將將第一版之之32個(gè)高級(jí)控制目目標(biāo)(HighLevelControlObjectives)擴(kuò)充成34個(gè)。2000年：COBIT指導(dǎo)委員會(huì)會(huì)公布COBIT第三版。2005年：COBIT指導(dǎo)委員會(huì)會(huì)公布COBIT第四版。2007年：：發(fā)發(fā)布布COBIT4.1版，，為為目目前前最最新新版版本本。。第28頁(yè)28COBIT涉及及領(lǐng)領(lǐng)域域商業(yè)目標(biāo)及IT治理目標(biāo)效率應(yīng)用系統(tǒng)信息基礎(chǔ)架構(gòu)人力交付與支持監(jiān)控與評(píng)估獲得與實(shí)施信息IT資源CobiT框架效果保密性完整性可用性合規(guī)性DS1定義和管理服務(wù)水平DS2管理第三方服務(wù)DS3性能管理和容量管理DS4確保服務(wù)的連續(xù)性DS5確保系統(tǒng)安全DS6確定并分配成本DS7教育和培訓(xùn)用戶DS8服務(wù)臺(tái)和緊急事件管理DS9配置管理DS10問(wèn)題管理DS11數(shù)據(jù)管理DS12物理環(huán)境管理DS13運(yùn)營(yíng)管理ME1監(jiān)控和評(píng)價(jià)IT績(jī)效ME2監(jiān)控和評(píng)價(jià)內(nèi)部控制ME3確保與法律的符合性ME4提供IT治理P01定義IT戰(zhàn)略計(jì)劃P02定義IT信息架構(gòu)P03確定技術(shù)導(dǎo)向P04定義IT過(guò)程/組織和關(guān)系P05IT投資管理P06傳遞管理目標(biāo)和方向P07IT人力資源管理P08質(zhì)量管理P09IT風(fēng)險(xiǎn)評(píng)估及管理P10項(xiàng)目管理AI1識(shí)別自動(dòng)化解決方案AI2獲取并維護(hù)應(yīng)用軟件AI3獲取并維護(hù)技術(shù)基礎(chǔ)設(shè)施AI4保障運(yùn)營(yíng)和使用AI5獲取IT資源AI6變革管理AI7安裝/授權(quán)解決方案和變更計(jì)劃與組織可靠性第29頁(yè)29COBIT的組組件件實(shí)施施概概要要管理理層層指指引引具體體控控制制目目標(biāo)標(biāo)構(gòu)架架伴隨隨高高級(jí)級(jí)控控制制目目標(biāo)標(biāo)關(guān)鍵鍵職職能能和和目目標(biāo)標(biāo)說(shuō)說(shuō)明明關(guān)鍵鍵的的成成功功因因素素成熟熟的的模模板板審計(jì)計(jì)指指引引實(shí)施施工工具具第30頁(yè)30COBIT框架架的的原原理理控制制領(lǐng)領(lǐng)域域(Domains)流程程(Processes)活動(dòng)動(dòng)(Activities/Tasks)人力力資資源源應(yīng)用用系系統(tǒng)統(tǒng)基礎(chǔ)礎(chǔ)架架構(gòu)構(gòu)信息息信息息技技術(shù)術(shù)資資源源可信信賴賴性性需需求求質(zhì)量量需需求求信息處處理理要求求信息技術(shù)流程程安全性性需求第31頁(yè)31COBIT框架的原理IT流程管理各種種IT資源，以產(chǎn)生生、傳遞并存存儲(chǔ)可滿足業(yè)業(yè)務(wù)需求的各各種信息。CobiT中定義的IT資源包括如下下方面：應(yīng)用系統(tǒng)：處處理信息的自自動(dòng)化信息系系統(tǒng)及相應(yīng)手手冊(cè)程序信息：信息系系統(tǒng)輸入、處處理和輸出的的所有形式的的數(shù)據(jù)，可以以被業(yè)務(wù)以任任何形式使用用基礎(chǔ)架構(gòu)：保保障應(yīng)用系統(tǒng)統(tǒng)處理信息所所需的技術(shù)和和設(shè)施（硬件件、操作系統(tǒng)統(tǒng)、數(shù)據(jù)庫(kù)管管理系統(tǒng)、網(wǎng)網(wǎng)絡(luò)、多媒體體，以及放置置上述設(shè)施所所需的環(huán)境））人員：策劃、、組織、采購(gòu)購(gòu)、實(shí)施、交交付、支持、、監(jiān)控和評(píng)價(jià)價(jià)信息系統(tǒng)和和服務(wù)所需的的人員，可以以是內(nèi)部的也也可以是外部部的應(yīng)用系統(tǒng)信息基礎(chǔ)架構(gòu)人員IT資源信息處理要求IT流程第32頁(yè)32提綱信息安全標(biāo)準(zhǔn)準(zhǔn)概述國(guó)際標(biāo)準(zhǔn)–ISO/IEC系列信息安全全標(biāo)準(zhǔn)國(guó)際標(biāo)準(zhǔn)–COBIT國(guó)內(nèi)標(biāo)準(zhǔn)－－等級(jí)保護(hù)安全標(biāo)準(zhǔn)的總總結(jié)問(wèn)題與回答第33頁(yè)33全國(guó)信息安全全標(biāo)準(zhǔn)化技術(shù)術(shù)委員會(huì)簡(jiǎn)介介中國(guó)從1984年開(kāi)始就組建建了數(shù)據(jù)加密密技術(shù)委員會(huì)會(huì)，并在1997年8月，將該委員員會(huì)改組為全全國(guó)信息技術(shù)術(shù)標(biāo)準(zhǔn)化分技技術(shù)委員會(huì)，，主要負(fù)責(zé)制制定信息安全全的國(guó)家標(biāo)準(zhǔn)準(zhǔn)。2001年，國(guó)家標(biāo)準(zhǔn)準(zhǔn)化管理委員員會(huì)批準(zhǔn)成立立全國(guó)信息安安全標(biāo)準(zhǔn)化技技術(shù)委員會(huì)，，簡(jiǎn)稱“全國(guó)國(guó)安標(biāo)委”。。標(biāo)準(zhǔn)委員會(huì)會(huì)的標(biāo)號(hào)是TC260。全國(guó)信息安全全標(biāo)準(zhǔn)化技術(shù)術(shù)委員會(huì)包括括四個(gè)工作組組：信息安全標(biāo)準(zhǔn)準(zhǔn)體系與協(xié)調(diào)調(diào)工作組PKI和PMI工作組信息安安全評(píng)評(píng)估工工作組組信息安安全管管理工工作組組截至2007年底，，全國(guó)國(guó)信息息安全全標(biāo)準(zhǔn)準(zhǔn)化技技術(shù)委委員會(huì)會(huì)已經(jīng)經(jīng)完成成了國(guó)國(guó)家標(biāo)標(biāo)準(zhǔn)59項(xiàng)，還還有56項(xiàng)國(guó)家家標(biāo)準(zhǔn)準(zhǔn)在研研制中中。第34頁(yè)34等級(jí)保保護(hù)是是什么么？等級(jí)保保護(hù)基基本概概念：：信息息系統(tǒng)統(tǒng)安全全等級(jí)級(jí)保護(hù)護(hù)是指指對(duì)信信息安安全實(shí)實(shí)行等等級(jí)化化保護(hù)護(hù)和等等級(jí)化化管理理根據(jù)信信息系系統(tǒng)應(yīng)應(yīng)用業(yè)業(yè)務(wù)重重要程程度及及其實(shí)實(shí)際安安全需需求，，實(shí)行行分級(jí)級(jí)、分分類、、分階階段實(shí)實(shí)施保保護(hù)，，保障障信息息安全全和系系統(tǒng)安安全正正常運(yùn)運(yùn)行，，維護(hù)護(hù)國(guó)家家利益益、公公共利利益和和社會(huì)會(huì)穩(wěn)定定。等級(jí)保保護(hù)的的核心心是對(duì)對(duì)信息息系統(tǒng)統(tǒng)特別別是對(duì)對(duì)業(yè)務(wù)務(wù)應(yīng)用用系統(tǒng)統(tǒng)安全全分等等級(jí)、、按標(biāo)標(biāo)準(zhǔn)進(jìn)進(jìn)行建建設(shè)、、管理理和監(jiān)監(jiān)督。。國(guó)家家對(duì)信信息安安全等等級(jí)保保護(hù)工工作運(yùn)運(yùn)用法法律和和技術(shù)術(shù)規(guī)范范逐級(jí)級(jí)加強(qiáng)強(qiáng)監(jiān)管管力度度。突突出重重點(diǎn)，，保障障重要要信息息資源源和重重要信信息系系統(tǒng)的的安全全。第35頁(yè)35等級(jí)保保護(hù)法法律和和政策策依據(jù)據(jù)《中華華人民民共和和國(guó)計(jì)計(jì)算機(jī)機(jī)信息息系統(tǒng)統(tǒng)安全全保護(hù)護(hù)條例例》第第二章章安全全保護(hù)護(hù)制度度部分分規(guī)定定：“計(jì)算算機(jī)信信息系系統(tǒng)實(shí)實(shí)行安安全等等級(jí)保保護(hù)。。安全全等級(jí)級(jí)的劃劃分標(biāo)標(biāo)準(zhǔn)和和安全全等級(jí)級(jí)保護(hù)護(hù)的具具體辦辦法，，由公公安部部會(huì)同同有關(guān)關(guān)部門(mén)門(mén)制定定?！薄薄队?jì)算算機(jī)信信息系系統(tǒng)安安全保保護(hù)等等級(jí)劃劃分準(zhǔn)準(zhǔn)則》》GB17859-1999（（技術(shù)法法規(guī)））規(guī)定定：“國(guó)家對(duì)對(duì)信息息系統(tǒng)統(tǒng)實(shí)行行五級(jí)級(jí)保護(hù)護(hù)?！薄薄秶?guó)家家信息息化領(lǐng)領(lǐng)導(dǎo)小小組關(guān)關(guān)于加加強(qiáng)信信息安安全保保障工工作的的意見(jiàn)見(jiàn)》重重點(diǎn)強(qiáng)強(qiáng)調(diào)：：“實(shí)行信信息安安全等等級(jí)保保護(hù)制制度，，重點(diǎn)點(diǎn)保護(hù)護(hù)基礎(chǔ)礎(chǔ)信息息網(wǎng)絡(luò)絡(luò)和重重要信信息系系統(tǒng)。?！钡?6頁(yè)36等級(jí)保保護(hù)的的分級(jí)級(jí)等級(jí)保保護(hù)分分為5級(jí)管理理制度度：第一級(jí)級(jí)，自自主保保護(hù)級(jí)級(jí)：信息息系統(tǒng)統(tǒng)受到到破壞壞后，，會(huì)對(duì)對(duì)公民民，法法人和和其他他組織織的合合法權(quán)權(quán)益造造成損損害，，但不不損害害國(guó)家家安全全，社社會(huì)秩秩序和和公共共利益益。第二級(jí)級(jí)，指指導(dǎo)保保護(hù)級(jí)級(jí)：信息息系統(tǒng)統(tǒng)受到到破壞壞后，，會(huì)對(duì)對(duì)公民民，法法人和和其他他組織織的合合法權(quán)權(quán)益造造成嚴(yán)嚴(yán)重?fù)p損害，，或者者對(duì)社社會(huì)秩秩序和和公共共利益益造成成損害害，但但不損損害國(guó)國(guó)家安安全。。第三級(jí)級(jí)，監(jiān)監(jiān)督保保護(hù)級(jí)級(jí)：信息息系統(tǒng)統(tǒng)受到到破壞壞后，，會(huì)對(duì)對(duì)社會(huì)會(huì)秩序序和公公共利利益造造成嚴(yán)嚴(yán)重?fù)p損害，，或者者對(duì)國(guó)國(guó)家安安全造造成損損害。。第四級(jí)級(jí)，強(qiáng)強(qiáng)制保保護(hù)級(jí)級(jí)：信息息系統(tǒng)統(tǒng)受到到破壞壞后，，會(huì)對(duì)對(duì)社會(huì)會(huì)秩序序和公公共利利益造造成嚴(yán)嚴(yán)重?fù)p損害，，或者者對(duì)國(guó)國(guó)家安安全造造成嚴(yán)嚴(yán)重?fù)p損害。。第五級(jí)級(jí)，專專控保保護(hù)級(jí)級(jí)：信息息系統(tǒng)統(tǒng)受到到破壞壞后，，會(huì)對(duì)對(duì)國(guó)家家安全全造成成特別別嚴(yán)重重?fù)p害害。第37頁(yè)37安全保保護(hù)要要素與與等級(jí)級(jí)關(guān)系系業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體對(duì)相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)第38頁(yè)38等級(jí)保保護(hù)監(jiān)監(jiān)管級(jí)級(jí)別與與等級(jí)級(jí)對(duì)應(yīng)應(yīng)情況況等級(jí)對(duì)象侵害客體侵害程度監(jiān)管強(qiáng)度第一級(jí)一般系統(tǒng)合法權(quán)益損害自主保護(hù)第二級(jí)合法權(quán)益嚴(yán)重?fù)p害指導(dǎo)社會(huì)秩序和公共利益損害第三級(jí)重要系統(tǒng)社會(huì)秩序和公共利益嚴(yán)重?fù)p害監(jiān)督檢查國(guó)家安全損害第四級(jí)社會(huì)秩序和公共利益特別嚴(yán)重?fù)p害強(qiáng)制監(jiān)督檢查國(guó)家安全嚴(yán)重?fù)p害第五級(jí)極端重要系統(tǒng)國(guó)家安全特別嚴(yán)重?fù)p害專門(mén)監(jiān)督檢查39等級(jí)保保護(hù)定定級(jí)流流程信息系系統(tǒng)安安全包包括業(yè)業(yè)務(wù)信信息安安全和和系統(tǒng)統(tǒng)服務(wù)務(wù)安全全，與與之相相關(guān)的的受侵侵害客客體和和對(duì)客客體得得侵害害程度度可能能不同同，因因此信信息系系統(tǒng)定定級(jí)也也應(yīng)由由業(yè)務(wù)務(wù)信息息安全全和系系統(tǒng)服服務(wù)安安全兩兩方面面確定定。具具體流流程為為：確定業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體綜合評(píng)定對(duì)客體的侵害程度確定定級(jí)對(duì)象業(yè)務(wù)信息安全等級(jí)定級(jí)對(duì)象的安全保護(hù)等級(jí)確定系統(tǒng)服務(wù)安全受到破壞時(shí)所侵害的客體綜合評(píng)定對(duì)客體的侵害程度系統(tǒng)服務(wù)安全等級(jí)第40頁(yè)40等級(jí)保保護(hù)定定級(jí)對(duì)對(duì)象確確定作為定定級(jí)對(duì)對(duì)象的的信息息系統(tǒng)統(tǒng)應(yīng)具具有如如下基基本特特征：：具有唯唯一確確定的的安全全責(zé)任任單位位能夠唯唯一地地確定定其安安全責(zé)責(zé)任單單位具有信信息系系統(tǒng)的的基本本要素素承載單單一或或相對(duì)對(duì)獨(dú)立立的業(yè)業(yè)務(wù)應(yīng)應(yīng)用第41頁(yè)41等級(jí)保保護(hù)的的基本本要求求信息系統(tǒng)統(tǒng)安全等等級(jí)保護(hù)護(hù)應(yīng)依據(jù)據(jù)信息系系統(tǒng)的安安全保護(hù)護(hù)等級(jí)情情況保證證它們具具有相應(yīng)應(yīng)等級(jí)的的基本安安全保護(hù)護(hù)能力，，基本安全全要求分