普华永道信息安全标准培训PPT课件

这是一个关于普华永道信息安全标准培训PPT（部分ppt内容已做更新升级）课件，主要介绍了信息安全标准概述、ISO/IEC 系列信息安全标准、等级保护、安全标准的总结、问题与回答等内容。信息安全的重要性得到广泛的关注。与此同时，国际和国内的各种官方和科研机构都发布了大量的安全标准。
这些标准都是为实现安全目标而服务，并从不同的角度对如何保障组织的信息安全提供了指导。国际标准化组织 (International Organization for Standardization)是由多国联合组成的非政府性国际标准化机构。到目前为止，ISO有正式成员国120多个，中国是其中之一。国际标准化组织1946年成立于瑞士日内瓦，负责制定在世界范围内通用的国际标准，欢迎点击下载普华永道信息安全标准培训PPT（部分ppt内容已做更新升级）课件哦。

普华永道信息安全标准培训PPT课件是由红软PPT免费下载网推荐的一款培训教程PPT类型的PowerPoint.

提纲SuK红软基地
信息安全标准概述SuK红软基地
国际标准 – ISO/IEC 系列信息安全标准SuK红软基地
国际标准 – COBIT SuK红软基地
国内标准 －等级保护SuK红软基地
安全标准的总结SuK红软基地
问题与回答SuK红软基地
提纲SuK红软基地
信息安全标准概述SuK红软基地
国际标准 – ISO/IEC 系列信息安全标准SuK红软基地
国际标准 – COBIT SuK红软基地
国内标准 －等级保护SuK红软基地
安全标准的总结SuK红软基地
问题与回答SuK红软基地
信息安全标准概述SuK红软基地
信息安全的重要性得到广泛的关注。SuK红软基地
与此同时，国际和国内的各种官方和科研机构都发布了大量的安全标准。SuK红软基地
这些标准都是为实现安全目标而服务，并从不同的角度对如何保障组织的信息安全提供了指导。SuK红软基地
信息安全标准的演进SuK红软基地
主要的信息安全标准－国际标准SuK红软基地
主要的信息安全标准－国际标准(续）SuK红软基地
除了上述标准，世界各国的官方机构和行业监管机构还有许多信息安全方面的标准、指引和建议的操作实践。SuK红软基地
主要的信息安全标准－国内标准SuK红软基地
在下面的课程中，我们会主要介绍以下标准：SuK红软基地
ISO系列安全标准，包括SuK红软基地
ISO17799/ISO27001/ISO27002SuK红软基地
ISO/IEC 15408SuK红软基地
ISO/IEC 13335SuK红软基地
ISO/TR 13569SuK红软基地
ISACA的COBIT 4.1SuK红软基地
全国信息安全标准化技术委员会的等级保护系列标准SuK红软基地
提纲SuK红软基地
信息安全标准概述SuK红软基地
国际标准 – ISO/IEC 系列信息安全标准SuK红软基地
国际标准 – COBIT SuK红软基地
国内标准 －等级保护SuK红软基地
安全标准的比较SuK红软基地
问题与回答SuK红软基地
国际标准化组织简介SuK红软基地
国际标准化组织 (International Organization for Standardization)是由多国联合组成的非政府性国际标准化机构。到目前为止，ISO有正式成员国120多个，中国是其中之一。SuK红软基地
国际标准化组织1946年成立于瑞士日内瓦，负责制定在世界范围内通用的国际标准；SuK红软基地
ISO技术工作是高度分散的，分别由2700多个技术委员会(TC)、分技术委员会(SC)和工作组(WG)承担。SuK红软基地
ISO技术工作的成果是正式出版的国际标准，即ISO标准。SuK红软基地
ISO在信息安全方面的标准主要包括：SuK红软基地
ISO17799/ISO27001/ISO27002SuK红软基地
ISO/IEC 15408SuK红软基地
ISO/IEC 13335SuK红软基地
ISO/TR 13569SuK红软基地
关于ISO/IEC 17799/27001/27002SuK红软基地
ISO/IEC17799是由国际标准化组织（ISO）与 IEC （国际电工委员会）共同成立的联合技术委员会 ISO/IEC JTC 1，以英国标准 BS7799为蓝本而制定的一套全面和复杂的信息安全管理标准。SuK红软基地
ISO/IEC17799于2000年正式颁布。ISO/IEC 17799标准由两部分构成:SuK红软基地
第一部分是信息安全管理体系的实施指南，相当于BS7799-1;SuK红软基地
第二部分是信息安全管理体系规范，相当于BS7799-2。 ISO/IEC 17799标准的内容涉及10个领域，36个管理目标和127个控制措施。SuK红软基地
2005年 ISO17799更名为ISO27001和ISO27002，分别为：SuK红软基地
ISO/IEC 27001:2005 Information technology -- Security techniques -- Information security management systems – RequirementsSuK红软基地
ISO/IEC 27002:2005 Information technology -- Security techniques -- Code of practice for information security managementSuK红软基地
2007年 ISO又颁布了Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems.SuK红软基地
ISO/IEC17799模型SuK红软基地
ISO17799模型SuK红软基地
ISO17799模型SuK红软基地
ISO17799模型SuK红软基地
ISO/IEC 27001/27002:2005 的內容SuK红软基地
总共分成 11个领域、 39个控制目标、 133个控制措施。 11个领域包括A.1 Security PolicyA.2 organization of information securityA.3 Asset managementA.4 Human resources securityA.5 Physical and environmental securityA.6 Communications and operations managementA.7 Access controlA.8 Information systems acquisition， development and maintenanceA.8 Information security incident managementA.10 Business continuity managementA.11 ComplianceSuK红软基地
关于ISO/IEC15408SuK红软基地
90年代开始，由于Internet的日益普及，信息安全领域呼吁修改桔皮书，以解决商用信息系统安全问题。SuK红软基地
1991年欧盟(European Commission) 颁布了ITSEC (Information Technology Security Evaluation Criteria，信息技术安全评估准则)。SuK红软基地
在此基础上，美国、加拿大、英国、法国等7国组织联合研制了“信息技术评估安全公共准则”（CC：Common Criteria）。SuK红软基地
1999年6月ISO通过了ISO/IEC 15408 安全评估准则 （ISO/IEC 15408:1999 Security Techniques—Evaluation Criteria for IT Security）。目前的最新版本于2005年发布。SuK红软基地
ISO/IEC 15408是基于多个标准而产生的，它的演进过程如下图所示：SuK红软基地
ISO/IEC 15408的内容SuK红软基地
ISO/IEC 15408由以下三部分组成：SuK红软基地
第一部分：介绍和一般模型SuK红软基地
第二部分：安全功能需求SuK红软基地
第三部分：安全认证需求SuK红软基地
ISO/IEC 15408准则比以往的其他信息技术安全评估标准更加规范，采用以下方式定义：SuK红软基地
类别（CLASS）；SuK红软基地
认证族（ASSURANCE FAMILY）；SuK红软基地
认证部件（ASSURANCE COMPONENT）；SuK红软基地
认证元素（ASSURANCE ELEMENT）。SuK红软基地
其中类别中有若干族，族中有若干部件，部件中有若干元素。SuK红软基地
ISO/IEC 15408的特点SuK红软基地
ISO/IEC 15408 信息技术安全评估准则中讨论的是TOE （target of evaluation)， 即评估对象。该准则关注于评估对象的安全功能，安全功能执行的是安全策略。SuK红软基地
ISO/IEC 15408 定义了安全属性，包括用户属性、客体属性、主体属性、和信息属性。SuK红软基地
ISO/IEC 15408加强了完整性和可用性的防护措施，强调了抗抵赖性的安全要求。SuK红软基地
ISO/IEC 15408 还定义了加密的要求，强调对用户的隐私保护。SuK红软基地
ISO/IEC 15408还讨论了某些故障、错误和异常的安全保护问题。SuK红软基地
ISO/IEC15408的类别SuK红软基地
ISO/IEC 15408中，类别（class) 代表最概括的分类和定义方式。包括:SuK红软基地
安全功能类别，共11个， 分别为安全审计、通信、加密支持、用户数据防护、标识与鉴别、安全管理、隐私、安全功能的防护、资源利用、对评估对象的访问、可信通路/通道。SuK红软基地
安全认知类别，共8个，分别为配置管理、递交和操作、开发、指南文档、生存期支持、测试、脆弱性评估、认证维护。SuK红软基地
评估认证级别类别，共7个，分别为评估功能测试、结构测试、方法测试和检查、半形式设计和测试、半形式验证设计和测试、形式验证设计和测试。SuK红软基地
评估类别，共3个，包括2个预评估类别和TOE评估（即评估对象的评估）。其中预评估类别分别为：SuK红软基地
防护框架评估（Protection Profile evaluation，简称PP评估）: 评估的一般是某类安全产品，如防火墙等，提出测评的常为是行业组织；SuK红软基地
安全目标评估 （Security Target evaluation， 简称ST评估）：评估的一般是某一类的特定产品，如某品牌的防火墙，提出测评的常为厂商。SuK红软基地
ISO/IEC15408的评估方法SuK红软基地
对于信息系统和产品进行安全认证ISO/IEC15408通常采用如下方法进行评估：SuK红软基地
分析和检查进程与过程SuK红软基地
检查进程和过程被应用的情况SuK红软基地
分析TOE设计表示一致性SuK红软基地
分析TOE设计表示与需求的满足性SuK红软基地
验证SuK红软基地
分析指南文档SuK红软基地
分析功能测试和测试结果SuK红软基地
独立功能测试SuK红软基地
分析脆弱性（包括漏洞假说）SuK红软基地
侵入测试等SuK红软基地
（TOE是评估对象（Target of Evaluation）的缩写）SuK红软基地
关于ISO/IEC 13335 SuK红软基地
ISO/IEC 13335 Information Technology—Guidelines for the Management of IT Security 是一套关于信息安全管理的技术文件，共由五个部分组成，这五个组成部分分别在1996至2001年间发布。SuK红软基地
第一部分：安全概念和模型 （Part 1—Concepts and Models for IT Security ），发布于1996年12月15日。SuK红软基地
第二部分：安全管理和规划 （Part 2—Managing and Planning IT Security），发布于1997年12月15日。SuK红软基地
第三部分：安全管理技术（Part 3—Techniques for the Management of IT Security），发布于1998年6月15日。SuK红软基地
第四部分：保护的选择 （Part 4—Selection of Safeguards），发布于2000年3月1日。SuK红软基地
第五部分：外部联接的防护（Part 5—Management Guidance on Network Security），发布于2001年1月2日。SuK红软基地
其中第一部分分别于1997年和2004年发布了更新版本。SuK红软基地
关于ISO13569SuK红软基地
ISO13569的全称为ISO/TR 13569:2005 Financial services -- Information security guidelines。 它提供了对于金融服务行业机构的信息安全程序开发的指导方针。它包括了对制度，组织结构和法律法规等内容的讨论。SuK红软基地
该标准对组织选择和实施安全控制，和金融机构用于管理信息安全风险的要素进行了阐述。SuK红软基地
ISO13569于1997年首次发布，分别于2003年和2005年更新，目前的最新版本为2005年的版本。SuK红软基地
ISO/IEC 13569的主要内容SuK红软基地
ISO/IEC 13569是针对金融行业的信息安全标准，包括以下主要内容：SuK红软基地
组织的IT安全政策SuK红软基地
IT安全管理SuK红软基地
风险分析和评估SuK红软基地
安全保护的实施和选择SuK红软基地
IT系统保护SuK红软基地
金融服务行业专题，包括如银行卡、电子资金传输(Electronic Fund Transfer)、支票、电子商务等内容；SuK红软基地
另外，还包括如加密、审计、事件管理等专项讨论。SuK红软基地
提纲SuK红软基地
信息安全标准概述SuK红软基地
国际标准 – ISO/IEC 系列信息安全标准SuK红软基地
国际标准 – COBIT SuK红软基地
国内标准 －等级保护SuK红软基地
安全标准的比较SuK红软基地
问题与回答SuK红软基地
COBIT简介SuK红软基地
COBIT来源SuK红软基地
1992年：ISACF (Information System Audit and Control Foundation)发起，参阅全球不同国家、政府、标准组织的26份文件后，基于其中之18份文件，研擬COBIT，同时筹组COBIT指导委员会(Steering Committee)。SuK红软基地
1996年：COBIT指导委员会公布COBIT第一版。SuK红软基地
1998年：COBIT指导委员会公布COBIT第二版，將第一版之32個高级控制目标(High Level Control Objectives)扩充成34个。SuK红软基地
2000年：COBIT指导委员会公布COBIT第三版。SuK红软基地
2005年： COBIT指导委员会公布COBIT第四版。SuK红软基地
2007年：发布COBIT 4.1版，为目前最新版本。SuK红软基地
COBIT涉及领域SuK红软基地
COBIT的组件SuK红软基地
COBIT框架的原理SuK红软基地
COBIT框架的原理SuK红软基地
COBIT框架的原理SuK红软基地
IT流程管理各种IT资源，以产生、传递并存储可满足业务需求的各种信息。SuK红软基地
CobiT中定义的IT资源包括如下方面：SuK红软基地
应用系统：处理信息的自动化信息系统及相应手册程序SuK红软基地
信息：信息系统输入、处理和输出的所有形式的数据，可以被业务以任何形式使用SuK红软基地
基础架构：保障应用系统处理信息所需的技术和设施（硬件、操作系统、数据库管理系统、网络、多媒体，以及放置上述设施所需的环境）SuK红软基地
人员：策划、组织、采购、实施、交付、支持、监控和评价信息系统和服务所需的人员，可以是内部的也可以是外部的SuK红软基地
提纲SuK红软基地
信息安全标准概述SuK红软基地
国际标准 – ISO/IEC 系列信息安全标准SuK红软基地
国际标准 – COBIT SuK红软基地
国内标准 －等级保护SuK红软基地
安全标准的总结SuK红软基地
问题与回答SuK红软基地
全国信息安全标准化技术委员会简介SuK红软基地
中国从1984年开始就组建了数据加密技术委员会，并在1997年8月，将该委员会改组为全国信息技术标准化分技术委员会，主要负责制定信息安全的国家标准。SuK红软基地
2001年，国家标准化管理委员会批准成立全国信息安全标准化技术委员会，简称“全国安标委”。标准委员会的标号是TC260。  SuK红软基地
全国信息安全标准化技术委员会包括四个工作组：SuK红软基地
信息安全标准体系与协调工作组SuK红软基地
PKI和PMI工作组SuK红软基地
信息安全评估工作组SuK红软基地
信息安全管理工作组SuK红软基地
截至2007年底，全国信息安全标准化技术委员会已经完成了国家标准59项，还有56项国家标准在研制中。SuK红软基地
等级保护是什么？SuK红软基地
等级保护基本概念：信息系统安全等级保护是指对信息安全实行等级化保护和等级化管理SuK红软基地
根据信息系统应用业务重要程度及其实际安全需求，实行分级、分类、分阶段实施保护，保障信息安全和系统安全正常运行，维护国家利益、公共利益和社会稳定。SuK红软基地
等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点，保障重要信息资源和重要信息系统的安全。SuK红软基地
等级保护法律和政策依据SuK红软基地
《中华人民共和国计算机信息系统安全保护条例》第二章安全保护制度部分规定：SuK红软基地
“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。”SuK红软基地
《计算机信息系统安全保护等级划分准则》GB17859-1999（技术法规）规定：SuK红软基地
“国家对信息系统实行五级保护。”SuK红软基地
《国家信息化领导小组关于加强信息安全保障工作的意见》重点强调：SuK红软基地
“实行信息安全等级保护制度，重点保护基础信息网络和重要信息系统。”SuK红软基地
等级保护的分级SuK红软基地
等级保护分为5级管理制度：SuK红软基地
第一级，自主保护级：信息系统受到破坏后，会对公民，法人和其他组织的合法权益造成损害，但不损害国家安全，社会秩序和公共利益。SuK红软基地
第二级，指导保护级：信息系统受到破坏后，会对公民，法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。SuK红软基地
第三级，监督保护级：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。SuK红软基地
第四级，强制保护级：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成严重损害。SuK红软基地
第五级，专控保护级：信息系统受到破坏后，会对国家安全造成特别严重损害。SuK红软基地
等级保护定级要素SuK红软基地
受侵害的客体SuK红软基地
公民，法人和其他组织的合法权益SuK红软基地
社会秩序，公共利益SuK红软基地
国家安全SuK红软基地
对客体的侵害程度SuK红软基地
造成一般损害SuK红软基地
造成严重损害SuK红软基地
造成特别严重损害SuK红软基地
安全保护要素与等级关系SuK红软基地
等级保护监管级别与等级对应情况SuK红软基地
等级保护定级流程SuK红软基地
信息系统安全包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体得侵害程度可能不同，因此信息系统定级也应由业务信息安全和系统服务安全两方面确定。具体流程为：SuK红软基地
等级保护定级对象确定SuK红软基地
作为定级对象的信息系统应具有如下基本特征：SuK红软基地
具有唯一确定的安全责任单位SuK红软基地
作为定级对象的信息系统应能够唯一地确定其安全责任单位，这个安全责任单位就是负责等级保护工作部署、实施的单位，也是完成等级保护备案和接受监督检查的直接责任单位。SuK红软基地
具有信息系统的基本要素SuK红软基地
作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如单台的服务器、终端或网络设备等作为定级对象。SuK红软基地
承载单一或相对独立的业务应用SuK红软基地
定级对象承载“相对独立”的业务应用是指其中的一个或多个业务应用的主要业务流程、部分业务功能独立，同时与其他信息系统的业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。“相对独立”的业务应用并不意味着整个业务流程，可以使完整的业务流程的一部分。SuK红软基地
等级保护的基本要求SuK红软基地
信息系统安全等级保护应依据信息系统的安全保护等级情况保证它们具有相应等级的基本安全保护能力，SuK红软基地
不同安全保护等级的信息系统要求具有不同的安全保护能力。SuK红软基地
基本安全要求分为基本技术要求和基本管理要求两大类。二者都是确保信息系统安全不可分割的两个部分。SuK红软基地
信息系统具有的整体安全保护能力通过不同组件实现基本安全要求来保证。SuK红软基地
除了保证系统的每个组件满足基本安全要求外，还要考虑组件之间的相互关系，来保证信息系统的整体安全保护能力。 SuK红软基地
等级保护的基本要求 （续）SuK红软基地
基本技术要求的类型SuK红软基地
基本技术要求分为三种类型：SuK红软基地
保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求（简记为S）；SuK红软基地
保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求（简记为A）；SuK红软基地
通用安全保护类要求（简记为G）。SuK红软基地
等级保护-实施指南SuK红软基地
基本原则：等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。等级保护在实施过程中应遵循以下基本原则：SuK红软基地
自主保护原则：由各主管部门和运营使用单位按照国家相关法规和标准，自主确定信息系统的安全等级自行组织实施安全保 SuK红软基地
同步建设原则：信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全设施，保障信息安全与信息化建设相适应。SuK红软基地
重点保护原则： 根据信息系统的重要程度、业务特点，通过划分不同安全等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。SuK红软基地
适当调整原则：要跟踪信息系统的变化情况，调整安全保护措施。因为信息系统的应用类型、范围等条件的变化及其他原因，安全等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全等级，根据信息系统安全等级的调整情况，重新实施安全保护。SuK红软基地
等级保护-实施指南SuK红软基地
角色和职责：SuK红软基地
对一个信息系统实施等级保护的过程中涉及到各类组织和人员，他们将会参与不同的或相同的活动，SuK红软基地
等级保护标准将参与等级保护过程的各类组织和人员划分为主要角色和次要角色。其中：SuK红软基地
主要角色将参与等级保护实施过程的所有活动，SuK红软基地
次要角色将参与等级保护实施过程的某一个或多个活动。SuK红软基地
主要角色是指信息系统主管部门和信息系统运营、使用单位；SuK红软基地
次要角色是指信息系统安全服务商、信息安全监管机构、安全测评机构和安全产品提供商 。SuK红软基地
等级保护-实施的基本过程SuK红软基地
 等级保护实施过程的主要活动 SuK红软基地
等级保护过程与信息系统生命周期对应关系SuK红软基地
提纲SuK红软基地
信息安全标准概述SuK红软基地
国际标准 – ISO/IEC 系列信息安全标准SuK红软基地
国际标准 – COBIT SuK红软基地
国内标准 －等级保护SuK红软基地
安全标准的总结SuK红软基地
问题与回答SuK红软基地
信息安全标准总结SuK红软基地
世界各国近几年来发布了各种各样的信息安全标准。SuK红软基地
各种标准的对象、目的和范围都有所不同。SuK红软基地
各个标准之间尽管侧重点不同，但原则上也有很多共同之处：SuK红软基地
基于风险，即以信息安全风险为主要的探讨对象，为组织如何管理信息安全风险提供指导；SuK红软基地
提供有关安全控制的操作实践；SuK红软基地
各个标准建议的操作实践本身基本没有冲突。SuK红软基地
关注的安全领域SuK红软基地
关注的信息技术资源SuK红软基地
认证SuK红软基地
提纲SuK红软基地
信息安全标准概述SuK红软基地
国际标准 – ISO/IEC 系列信息安全标准SuK红软基地
国际标准 – COBIT SuK红软基地
国内标准 －等级保护SuK红软基地
安全标准的总结SuK红软基地
问题与回答SuK红软基地
 SuK红软基地