信息安全管理技术
目录 信息安全等级保护 ISO信息安全管理标准 信息安全法规
信息安全等级保护 我们在13章提到的一些信息安全评估准则: 《可信技术安全评估准则》(ITSEC) 《信息安全技术通用评估准则》(CC) GB 17859—1999《计算机信息系统安全保护等级划分准则》 GB 18366—2001《信息技术 安全技术 信息技术安全性评估准则》
信息安全等级保护 以上的安全评估准则既是信息安全评估的依据,也是政府、部队和企业实施信息安全管理的指导原则。在这些准则中,不同等级的信息系统或安全设备满足安全性的要求和程度不同,在应用中所适合的场合也不同,组织按照这些原则对信息系统和安全设备进行管理的措施称为信息安全等级保护。
信息安全等级保护 西方发达国家和地区高度重视信息安全等级保护。其中,以美国国家标准与技术协会(NIST)与美国国家安全局(NSA)推出的一些标准和规范最具影响力。
信息安全等级保护 NIST颁布的技术文件分为特别出版物(SP,Special Publication)和联邦信息处理标准出版物(FIPS PUB,Federal Information Processing Standards Publication)两个系列。2003年颁布的FIPS PUB 199《联邦信息和信息系统安全分类标准》将信息和信息系统按照保密性、完整性和可用性3个安全目标被破坏的后果将他们分为低、中、高3个级别;同年颁布的NIST SP 800-53《联邦信息系统建议安全控制》将安全措施分为基本级、增强级和强健级,并针对FIPS Pub 199中3个级别的信息和信息系统分别给出了需要采取的最小保护措施;另外,NIST SP 800-37和NIST SP 800-53A向政府机构提供了如何对NIST SP 800-53所采取的安全措施进行有效性验证的指南。
信息安全等级保护 1999年,NSA制定了《信息保障技术框架》(IATF,Information Assurance Technical Framework),它将信息资产的价值分为V1~V5共5个级别,将威胁按照其危害程度分为T1~T7,将安全机制的强度分为SML1~SML3共3级,它还建议采用CC的评估保证级EAL1~EAL7衡量对安全功能的保障能力,并建议采用下图中的等级保护方法。
信息安全等级保护 我国政府高度重视信息安全等级保护工作。 1994年,国务院发布了《中华人民共和国计算机信息系统安全保护条例》,它是我国计算机信息系统安全保护的法律基础,其中规定我国计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法由公安部会同有关部门联合制定。 公安部在《条例》发布后制定了GB 17859—1999《计算机信息系统保护等级划分准则》国家标准。该准则的发布为计算机信息系统安全法规和配套标准的制定和执法部门的监督检查提供了依据,为安全产品的研制提供了技术支持,为安全系统的建设和管理提供了技术指导,是我国计算机信息系统安全保护等级工作的基础。 2006年,公安部、国家保密局、国家密码管理局、国务院信息化办公室联合颁布《信息安全等级保护管理办法》,它将信息系统划分为自主保护级、指导保护级、监督保护级、强制保护级、专控保护级由低到高5级,将信息系统运营、使用单位及个人分为5个级别,规定了它(他)们对信息安全等级保护的职责和义务。
ISO信息安全管理标准 什么是ISO? 国际标准化组织的英语简称。其全称是International Organization for Standardization或International Standard Organized 。ISO一来源于希腊语“ISOS”,即“EQUAL”——平等之意。国际标准化组织(ISO)是由各国标准化团体(ISO成员团体)组成的世界性的联合会。制定国际标准工作通常由ISO的技术委员会完成。ISO与国际电工委员会(IEC)在电工技术标准化方面保持密切合作的关系。。中国是ISO的正式成员,代表中国的组织为中国国家标准化管理委员会(Standardization Administration of China,简称SAC)。
ISO信息安全管理标准 ISO信息安全管理标准的发展起源于英国标准管理协会(BSI,British Standards Institute)制定的BS 7799系列标准。1995年BSI颁布了BS 7799-1:1995《信息安全管理实施细则》,1998年又公布了BS 7799-2:1999,前者于2000年被ISO采纳为ISO/IEC 17799-1号标准,2007年被更新为ISO/IEC 27002《信息安全管理实践规则》,后者于2005年被ISO采纳为ISO/IEC 27000《信息安全管理体系规范要求》。 ISO/IEC 27002与ISO/IEC 27001是ISO/IEC 27000系列中最主要的两个标准,该系列标准组织安全管理提供了指导,使组织可以建立比较完整的信息安全管理体系,实现制度化及预防为主的信息安全管理方式,增加信息安全技术实施的效能。
ISO信息安全管理标准 ISO信息安全管理实践规则 ISO信息安全管理体系规范
ISO信息安全管理实践规则 ISO/IEC 27002《信息安全管理实践规则》的特点: 思想上必须依赖合理的管理控制手段、管理程序和风险评估措施,从危害源头抓起,主动避免安全事件的发生。 将需要实施管理控制的对象分为11类:安全策略、组织信息安全、资产管理、人力资源安全、通信和操作管理、访问控制、信息系统的获取或开发与维护、信息安全事故管理、业务连续性管理和兼容性。
ISO信息安全管理体系规范 ISO/IEC 27001《信息安全管理体系规范要求》借鉴了ISO/IEC 9000 《质量管理体系》的基本思想,采用了“规划、实施、检查、处置”的质量管理理念建立、执行和维护信息安全管理体系,给出了ISMS的规划和建立、实施和运行、监控与评审、保持和改进4个阶段的基本要求,并指出这是一个循环迭代的提高过程。当前,ISO正在组织制定ISO/IEC 27003《信息安全管理体系实施指南》,它的颁布将为以上4个阶段的工作提供更具体的指导。 ISO/IEC 27001及其前身不但已经在一些西方国家得到了应用,我国也与2006年启动了“信息安全管理标准应用(ISMS)试点”工作,试点历时半年,涉及我国一些税务、证券、大型国有企业等重要单位,取得了良好的效果。
信息安全法规 信息安全法规以法律形式保障信息安全,它们不但对组织的信息安全管理具有促进和指导作用,其本身也是更高层次的信息安全管理。从这种意义上说,信息安全法规借助司法制度加强了信息安全,这类似于用具体的管理制度提高信息系统的安全。
信息安全法规 西方发达国家在信息安全法规的建设方面起步较早。美国是迄今信息安全法规最多的国家,其信息安全法规已经构成了比较完善的法规体系,涉及行政法、刑法、诉讼法等领域。比较有影响的包括:20世纪80年代颁布的《计算机犯罪法》和《计算机诈骗和滥用法》已经成为美国计算机犯罪法规体系的基础,各州已经结合该法设立了计算机服务盗窃罪、侵犯知识产权罪、破坏计算机设备或配置罪、计算机诈骗罪、计算机滥用罪、计算机错误访问罪、非授权计算机使用罪等多种罪名。为了调查和诉讼以上犯罪,《联邦证据法》为计算机证据作出规定。此外,欧共体和俄罗斯等也颁布了类似的法律。
信息安全法规 我国在信息安全方面也已经制定一些法规,其中有国家制定的和职能部门制定的,也有一些行业制定了自己的相关规定。这些法规主要包括《中华人民共和国保守国家秘密法》、《中华人民共和国电子签名法》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《商用密码管理条例》、《全国人民代表大会常务委员会关于维护互联网安全的决定》、公安部《计算机病毒防止管理办法》、国家密码管理局《电子认证密码管理办法》、国家新闻出版总署《互联网出版管理暂行规定》、中国人民银行《金融机构计算机信息系统安全保护工作暂行规定》等。
The End Thanks