信息安全管理技术.

Slides:



Advertisements
Similar presentations
智能建筑弱电工程师 培训课程简介 主管单位:工业和信息化部教育与考试中心主办单位:北京六度天成教育科技有限公司 联系人: 电话:
Advertisements

1 计算机软件考试命题模式 计算机软件考试命题模式 张 淑 平 张 淑 平. 2  命题模式内容  组织管理模式 − 命题机构和人员组成 − 命题程序  试卷组成模式.
商学院教学办 工作汇报 王景峰 2014年6月25日.
ISO 14000法規彙整及文件整理 姓名:巫建旻 學校:南開科技大學 實習單位:品保部 指導小老師:官慧雯.
计算机信息系统安全评估标准介绍 北京大学 闫强.
第10章 信息安全管理.
党的十八届四中全会 依法治国精神解读. 党的十八届四中全会 依法治国精神解读 一、十八届四中全会概况 中国共产党第十八届中央委员会第四次全体会议,于2014年10月20日至23日在北京举行。 全会审议通过了《中共中央关于全面推进依法治国若干重大问题的决定》。
——Windows98与Office2000(第二版) 林卓然编著 中山大学出版社
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
第一章 计算机网络安全概述.
证券市场法律制度与监督管理 作者:张学亮.
供应商信息录入操作指引 ----山东钢铁集团房地产有限公司.
第十章 会计工作的组织和管理 第一节 我国会计工作的管理体制.
网络安全法律法规.
工程建设基本程序 项目决策 初步设计 技术设计 施工图设计 招投标 项目实施 竣工验收.
香港浸會大學 - 全人教育 卓越創新 陳新滋教授 香港浸會大學校長 2011年2月24日.
大綱 基本觀念 安全的重要性 取捨 一些安全防護技術和制度的基本原理 你只需要知道原理 你自己要有因應的措施 企業安全規範 1.
我怀念的乡村记忆 陈秀华 社会工作0841.
沟通技巧 主讲:涂育俊.
信息安全评估准则 姓名:万项超 学号:S
知识模块 13 国内外相关标准 沈晴霓 软件与微电子学院 北京大学 1.
内容讲解 第五节 会计法律规范体系 一、会计法律 二、会计法规 三、会计规章 ●.
第十二章   会计规范体系与会计工作组织 内蒙古财经学院会计学院.
2013年度述职报告.
信息安全标准、法律法规及等级保护 温州市继续教育院 -信息安全继续教育培训 陆军波 /
区级课题汇报 (初期) 汇报人:建平中学周宁医 2008年9月27日.
信息安全等级保护政策、标准和五个规定动作
CHAINFIN 供应链金融服务平台 供应商 物流商 采购商 融资 签订合同,融资 提供上游企业资质评估 提供资质评估 风控体系
UI(用户界面)集训班 Illustrator 高级班.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
会计学专业基础课堂之 基础会计(初级会计) 安徽财经大学会计学院.
二、东亚货币合作的发展进程 马尼拉亚太地区高级财政金融会议上,提出了一个加强地 区金融合作新机制的设想,又称“马尼拉框架协议”
国有资产有偿 使用收入管理 湖南省非税收入征收管理局 庞力.
第三篇 组织工作.
中国药物GCP检查 国家食品药品监督管理局药品认证管理中心         李见明         北京 国家食品药品监督管理局药品认证管理中心.
计算机基础知识 丁家营镇九年制学校 徐中先.
Network and Information Security
信息安全等级保护 制度实施 毕马宁.
第1章 机械设计概要 §1-1 机械设计的基本要求 §1-2 机械设计的一般程序 §1-3 零件的主要失效形式 与设计准则
9.1.3 财经监控法的体系 一、财经监控法体系的涵义 二、财经监控法体系的构成
Information & Security System in China China North Eastern Air Traffic Control Bureau (CAAC) Customer Background Subsidiary of General Administration of.
自治规范视野下的网规 ——网络法治的必由之路
ISO 9000 簡介 駱玫君.
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
Signutil.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
9 資訊安全 Information Security: A Managerial Perspective 國立中央大學.資訊管理系 范錚強
标准及其标准化.
产品使用说明标准和应用 冯 卫 2012年9月.
数 控 技 术 华中科技大学机械科学与工程学院.
第3章 信息与信息系统 陈恭和.
何勉 新浪微博: Scrum框架及其背后的原则 原始图片 何勉 新浪微博:
实用网络营销基础 冯英健 2006年8月6日 首页.
新一代安全网上银行 小组成员:杨志明 王晶 任毅 刘建中 关昊 刘超.
第一章 总 论 学习单元六 兽药的管理.
C语言程序设计 主讲教师:陆幼利.
质量管理体系和认证人员管理 Quality management system and certification personnel management.
USER-PRODUCER DIALOGUE IN CHINA
中国国家标准文献 共享服务平台检索 信息检索与利用 2019/4/29 王婧怡 图书馆615室 科技信息研究所
计算机网络与网页制作 Chapter 07:Dreamweaver CS5入门
企业文化内涵体系 持续循环 企业标志 品牌力:…… 服务力:…… 品牌力/服务力 潜规则是…… 1、品质 2、战略 1、价值 2、绩效
信息安全等级保护定级工作简介 网络信息中心
第八章 总线技术 8.1 概述 8.2 局部总线 8.3 系统总线 8.4 通信总线.
GIS基本功能 数据存储 与管理 数据采集 数据处理 与编辑 空间查询 空间查询 GIS能做什么? 与分析 叠加分析 缓冲区分析 网络分析
網路安全與ISMS 期末報告 A 蔣嘉祐 指導老師:梁明章老師.
国 际 法 第 一 讲 主讲人: 兰州大学法学院李晓静.
信息安全管理教程.
入侵检测技术 大连理工大学软件学院 毕玲.
第二章 宪法与政治制度 陈 云.
IT 安全 第 1节 安全目标.
Presentation transcript:

信息安全管理技术

目录 信息安全等级保护 ISO信息安全管理标准 信息安全法规

信息安全等级保护 我们在13章提到的一些信息安全评估准则: 《可信技术安全评估准则》(ITSEC) 《信息安全技术通用评估准则》(CC) GB 17859—1999《计算机信息系统安全保护等级划分准则》 GB 18366—2001《信息技术 安全技术 信息技术安全性评估准则》

信息安全等级保护 以上的安全评估准则既是信息安全评估的依据,也是政府、部队和企业实施信息安全管理的指导原则。在这些准则中,不同等级的信息系统或安全设备满足安全性的要求和程度不同,在应用中所适合的场合也不同,组织按照这些原则对信息系统和安全设备进行管理的措施称为信息安全等级保护。

信息安全等级保护 西方发达国家和地区高度重视信息安全等级保护。其中,以美国国家标准与技术协会(NIST)与美国国家安全局(NSA)推出的一些标准和规范最具影响力。

信息安全等级保护 NIST颁布的技术文件分为特别出版物(SP,Special Publication)和联邦信息处理标准出版物(FIPS PUB,Federal Information Processing Standards Publication)两个系列。2003年颁布的FIPS PUB 199《联邦信息和信息系统安全分类标准》将信息和信息系统按照保密性、完整性和可用性3个安全目标被破坏的后果将他们分为低、中、高3个级别;同年颁布的NIST SP 800-53《联邦信息系统建议安全控制》将安全措施分为基本级、增强级和强健级,并针对FIPS Pub 199中3个级别的信息和信息系统分别给出了需要采取的最小保护措施;另外,NIST SP 800-37和NIST SP 800-53A向政府机构提供了如何对NIST SP 800-53所采取的安全措施进行有效性验证的指南。

信息安全等级保护 1999年,NSA制定了《信息保障技术框架》(IATF,Information Assurance Technical Framework),它将信息资产的价值分为V1~V5共5个级别,将威胁按照其危害程度分为T1~T7,将安全机制的强度分为SML1~SML3共3级,它还建议采用CC的评估保证级EAL1~EAL7衡量对安全功能的保障能力,并建议采用下图中的等级保护方法。

信息安全等级保护 我国政府高度重视信息安全等级保护工作。 1994年,国务院发布了《中华人民共和国计算机信息系统安全保护条例》,它是我国计算机信息系统安全保护的法律基础,其中规定我国计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法由公安部会同有关部门联合制定。 公安部在《条例》发布后制定了GB 17859—1999《计算机信息系统保护等级划分准则》国家标准。该准则的发布为计算机信息系统安全法规和配套标准的制定和执法部门的监督检查提供了依据,为安全产品的研制提供了技术支持,为安全系统的建设和管理提供了技术指导,是我国计算机信息系统安全保护等级工作的基础。 2006年,公安部、国家保密局、国家密码管理局、国务院信息化办公室联合颁布《信息安全等级保护管理办法》,它将信息系统划分为自主保护级、指导保护级、监督保护级、强制保护级、专控保护级由低到高5级,将信息系统运营、使用单位及个人分为5个级别,规定了它(他)们对信息安全等级保护的职责和义务。

ISO信息安全管理标准 什么是ISO? 国际标准化组织的英语简称。其全称是International Organization for Standardization或International Standard Organized 。ISO一来源于希腊语“ISOS”,即“EQUAL”——平等之意。国际标准化组织(ISO)是由各国标准化团体(ISO成员团体)组成的世界性的联合会。制定国际标准工作通常由ISO的技术委员会完成。ISO与国际电工委员会(IEC)在电工技术标准化方面保持密切合作的关系。。中国是ISO的正式成员,代表中国的组织为中国国家标准化管理委员会(Standardization Administration of China,简称SAC)。

ISO信息安全管理标准 ISO信息安全管理标准的发展起源于英国标准管理协会(BSI,British Standards Institute)制定的BS 7799系列标准。1995年BSI颁布了BS 7799-1:1995《信息安全管理实施细则》,1998年又公布了BS 7799-2:1999,前者于2000年被ISO采纳为ISO/IEC 17799-1号标准,2007年被更新为ISO/IEC 27002《信息安全管理实践规则》,后者于2005年被ISO采纳为ISO/IEC 27000《信息安全管理体系规范要求》。 ISO/IEC 27002与ISO/IEC 27001是ISO/IEC 27000系列中最主要的两个标准,该系列标准组织安全管理提供了指导,使组织可以建立比较完整的信息安全管理体系,实现制度化及预防为主的信息安全管理方式,增加信息安全技术实施的效能。

ISO信息安全管理标准 ISO信息安全管理实践规则 ISO信息安全管理体系规范

ISO信息安全管理实践规则 ISO/IEC 27002《信息安全管理实践规则》的特点: 思想上必须依赖合理的管理控制手段、管理程序和风险评估措施,从危害源头抓起,主动避免安全事件的发生。 将需要实施管理控制的对象分为11类:安全策略、组织信息安全、资产管理、人力资源安全、通信和操作管理、访问控制、信息系统的获取或开发与维护、信息安全事故管理、业务连续性管理和兼容性。

ISO信息安全管理体系规范 ISO/IEC 27001《信息安全管理体系规范要求》借鉴了ISO/IEC 9000 《质量管理体系》的基本思想,采用了“规划、实施、检查、处置”的质量管理理念建立、执行和维护信息安全管理体系,给出了ISMS的规划和建立、实施和运行、监控与评审、保持和改进4个阶段的基本要求,并指出这是一个循环迭代的提高过程。当前,ISO正在组织制定ISO/IEC 27003《信息安全管理体系实施指南》,它的颁布将为以上4个阶段的工作提供更具体的指导。 ISO/IEC 27001及其前身不但已经在一些西方国家得到了应用,我国也与2006年启动了“信息安全管理标准应用(ISMS)试点”工作,试点历时半年,涉及我国一些税务、证券、大型国有企业等重要单位,取得了良好的效果。

信息安全法规 信息安全法规以法律形式保障信息安全,它们不但对组织的信息安全管理具有促进和指导作用,其本身也是更高层次的信息安全管理。从这种意义上说,信息安全法规借助司法制度加强了信息安全,这类似于用具体的管理制度提高信息系统的安全。

信息安全法规 西方发达国家在信息安全法规的建设方面起步较早。美国是迄今信息安全法规最多的国家,其信息安全法规已经构成了比较完善的法规体系,涉及行政法、刑法、诉讼法等领域。比较有影响的包括:20世纪80年代颁布的《计算机犯罪法》和《计算机诈骗和滥用法》已经成为美国计算机犯罪法规体系的基础,各州已经结合该法设立了计算机服务盗窃罪、侵犯知识产权罪、破坏计算机设备或配置罪、计算机诈骗罪、计算机滥用罪、计算机错误访问罪、非授权计算机使用罪等多种罪名。为了调查和诉讼以上犯罪,《联邦证据法》为计算机证据作出规定。此外,欧共体和俄罗斯等也颁布了类似的法律。

信息安全法规 我国在信息安全方面也已经制定一些法规,其中有国家制定的和职能部门制定的,也有一些行业制定了自己的相关规定。这些法规主要包括《中华人民共和国保守国家秘密法》、《中华人民共和国电子签名法》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《商用密码管理条例》、《全国人民代表大会常务委员会关于维护互联网安全的决定》、公安部《计算机病毒防止管理办法》、国家密码管理局《电子认证密码管理办法》、国家新闻出版总署《互联网出版管理暂行规定》、中国人民银行《金融机构计算机信息系统安全保护工作暂行规定》等。

The End Thanks