文档介绍:国内外信息安全标准与模型
1
.
信息安全标准概述
国际标准 – ISO/IEC 系列信息安全标准
国际标准 – COBIT
国内标准 -等级保护
安全标准的总结
问题与回答
提纲
2
.
信息安全标准概述
信息安全的重要性得到广泛的关注。
与此同时,国际和国内的各种官方和科研机构都发布了大量的安全标准。
这些标准都是为实现安全目标而服务,并从不同的角度对如何保障组织的信息安全提供了指导。
第 3 页
3
.
信息安全标准的演进
第 4 页
4
.
主要的信息安全标准-国际标准
发布的机构
安全标准
1
ISO(国际标准组织)
ISO17799/ISO27001/ISO27002
ISO/IEC 15408
ISO/IEC 13335
ISO/TR 13569
2
ISACA(信息系统审计与控制学会)
COBIT
3
ISSEA(国际系统安全工程协会)
SSE-CMM Systems Security Engineering - Capability Maturity Model
4
ISSA(信息系统安全协会)
GAISP Version
5
ISF (信息安全论坛)
The Standard of Good Practice for
Information Security
6
IETF (互联网工程任务小组)
各种RFC (Request for Comments)
5
主要的信息安全标准-国际标准(续)
发布的机构
安全标准
7
NIST(国家标准和技术研究所)
NIST 800系列
8
DOD (美国国防部)
TCSEC(可信计算机系统评测标准)- 彩虹系列
9
Carnegie Mellon Software Engineering Institute (SEI)
Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) Criteria Version
10
OECD(经济与贸易发展组织)
Guidelines for the Security of Information
Systems and Networks and Associated
Implementation Plan
11
The Open Group
Manager’s Guide to Information Security
12
ITIL
Security management
除了上述标准,世界各国的官方机构和行业监管机构还有许多信息安全方面的标准、指引和建议的操作实践。
第 6 页
第 6 页
提纲
信息安全标准概述
国际标准 – ISO/IEC 系列信息安全标准
国际标准 – COBIT
国内标准 -等级保护
安全标准的比较
问题与回答
第 7 页
7
.
主要的信息安全标准-国内标准
发布的机构
安全标准
1
全国信息安全标准化技术委员会
等级保护系列标准
信息安全技术 信息系统安全等级保护基本要求
信息安全技术 信息系统安全等级保护定级指南
信息安全技术 信息系统安全等级保护实施指南
其他信息安全标准 - 截至2007年底,共完成了国家标准59项,还有56项国家标准在研制中。
2
公安部、安全部、国家保密局、国家密码管理委员会等部门
一系列的信息安全方面的政策法规如:
计算机信息网络国际联网安全保护管理办法
互联网信息服务管理办法
计算机信息系统保密管理暂行规定
计算机软件保护条例
商用密码管理条例,等。
第 8 页
第 8 页
在下面的课程中,我们会主要介绍以下标准:
ISO系列安全标准,包括
ISO17799/ISO27001/ISO27002
ISO/IEC 15408
ISO/IEC 13335
ISO/TR 13569
ISACA的COBIT
全国信息安全标准化技术委员会的等级保护系列标准
第 9 页
课程主要内容
9
.
目录
信息安全标准概述
国际标准 – ISO/IEC 系列信息安全标准
国际标准 – COBIT
国内标准 -等级保护
安全标准的总结
问题与回答
10
.