1.2 信息安全标准与规范
1.2.1 信息安全标准与规范
1. 信息安全标准的意义:
标准是规范性文件之一。其定义是为了在一定的范围内获得最佳秩序,经协商一致制定并由公认机构批准,共同使用和重复使用的一种规范性文件。
2.信息安全标准组织
ISO ———— 国际标准化组织
IEC ———— 国际电工委员会
CITS ———— 信息技术安全标准化技术委员会(国内)
CCSA ———— 网络与信息安全技术工作委员会(国内)
ITU ———— 国际电信联盟
IETF ———— 工程任务组
3. 常见信息安全标准与规范
国家等级保护制度(GB)
ISO27001
美国标准 TCSEC
欧洲联盟标准 ITSEC
1.2.2 ISO27001信息安全管理体系
1. 信息安全管理体系 (Information Security Management System)ISMS
信息安全管理体系源于英国标准协会制定的BS7799标准,伴随着其作为国际标准的发布和普及而被广泛地接受。
2. 戴明环(PDCA)
3. ISO27000信息安全管理体系家族
4. ISO27001演变历程
(1)ISO/IEC 27001 —— 笼统的管理体系要求,是一个总的指导思想。由BS 7799-2演变过来。
ISO27001认证过程中主要的检查点有:
文件审核(风险评估报告、安全方针、SOA、其他ISMS文档)
正式审核(记录检查、信息资产识别、终端安全检查、物理环境勘察)
(2)ISO/IEC 27002 —— 具体的实施步骤和细致条款,由BS 7799-1演变而来,ISO/I EC 27002从14个方面提出35个控制目标和113个控制措施。ISO27002中的14个控制域为:
目前正在适用ISO/IEC 27001及ISO/IEC 27002均为2013发布的版本
2005年只有11个控制域(没有六、十一、八九合为一个)
1.2.3 信息安全等级化保护体系
1.信息安全等级保护定义:
信息安全等级保护指对信息和信息载体按照重要性等级分别进行保护的一种工作。
2.信息安全等级保护意义:
1、提高整体保障水平,优化安全资源分配
2、使等级保护更合法、合规
3. 信息等级保护的发展历程:
1994~2003 起步阶段:国家呼吁加强信息安全建设,提出对信息系统进行划分等级来保护。
2004~2006 发展阶段:开始1.0版本,制定大量等级保护相关的标准、规范,并在部分单位进行试点。
2007~至今 推广阶段:开始2.0版本,开始定级、整改、测评、检查,各行各业单位开始全面定级、整改建设。
4. 等级保护范围:
在1.0版本时只包含信息系统、基础信息网络
2.0版本时加入了大数据,在信息系统中分支出工业控制系统、物联网、云计算平台、使用移动互联网技术信息系统
5. 等级保护系统定级:
定级依据:根据系统被破坏后,对公民、社会、国家造成的损害程度定级。
- 第一级:对公民造成损害,但不损害社会秩序和公共利益、国家安全
- 第二级:对公民造成严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全
- 第三级:对社会秩序和公共利益造成严重损害,或者国家安全造成损害
- 第四级:对社会秩序和公共利益造成特别严重损害,或者国家安全造成严重损害
- 第五级:对国家造成特别严重损害
一般中小型企业以等保三级标准为例。
6. 等级保护中的基本技术要求:
每一个保护级别,都有对应的技术要求
在三级标准中,包含5个方面:物理安全、应用安全、数据安全、主机安全、网络安全
其中网络安全包含了7个控制点,33个要求项:
7. 等级保护流程:
定级(首要环节)——>备案(必要流程)——>测评(评价方法)—>整改(关键)——>监督(外在动力)
1.2.4 其他标准简介
-
TCSEC (Trusted Computer System Evaluation Criteria)可信计算机系统评价标准
是计算机系统安全评估的第一个正式标准
1970年由美国国防安全委员会提出
1985年12月由美国国防部公布
-
ITSEC(InformationTechnology Security Evaluation Criteria)IT安全评估准则
- 是欧洲的安全评估准则,由英、法德、荷兰共同制定
- 与TCSEC相比,在功能上更具灵活性、在评估技术方面有更大进步
- 应用领域:军队、政府、商业
-
塞班斯法案(Sarbanes-Oxley Act) 简称,SOX法案
-
全称《2002年上市公司会计改革和投资者保护法案》
-
SOX的主要内容:
- SOX对公司治理上的影响:
-