CISP課程培訓(xùn)知識總結(jié)課件

1、CISP課程培訓(xùn)知識總結(jié)機構(gòu)名稱講師姓名CISP課程培訓(xùn)知識總結(jié)機構(gòu)名稱22CISP課程培訓(xùn)知識總結(jié)（安全綜合）CISP課程培訓(xùn)知識總結(jié)（安全綜合） 主 題一、信息安全保障基本知識二、信息安全保障實踐三、信息安全管理體系四、信息安全風(fēng)險管理五、基本信息安全管理六、重要信息安全管理措施七、安全工程原理八、安全工程實踐九、法律法規(guī)十、安全標準4 主 題一、信息安全保障基本知識4課程內(nèi)容5課程內(nèi)容5信息安全發(fā)展階段6COMSEC通信安全COMPUSEC計算機安全INFOSEC信息系統(tǒng)安全IA信息安全保障CS/IA網(wǎng)絡(luò)空間安全/信息安全保障階段年代安全威脅安全措施通信安全20世紀，4070年代搭線竊聽

2、、密碼學(xué)分析加密計算機安全20世紀，70-90年代非法訪問、惡意代碼、脆弱口令等安全操作系統(tǒng)設(shè)計技術(shù)（TCB）信息系統(tǒng)安全20世紀，90年代后網(wǎng)絡(luò)入侵、病毒破壞、信息對抗等防火墻、防病毒、漏洞掃描、入侵檢測、PKI、VPN等信息安全保障今天，黑客、恐怖分子、信息戰(zhàn)、自然災(zāi)難、電力中斷等技術(shù)安全保障體系、安全管理體系、人員意識/培訓(xùn)/教育、認證和認可網(wǎng)絡(luò)安全空間/信息安全保障2009年開始國家安全的高度網(wǎng)絡(luò)防御網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)利用信息安全發(fā)展階段6COMSEC通信安全COMPUSEC計算機 信息系統(tǒng)安全保障是在信息系統(tǒng)的整個生命周期中，通過對信息系統(tǒng)的風(fēng)險分析，制定并執(zhí)行相應(yīng)的安全保障策略，從技術(shù)、

3、管理、工程和人員等方面提出安全保障要求，確保信息系統(tǒng)的保密性、完整性和可用性，降低安全風(fēng)險到可接受的程度，從而保障系統(tǒng)實現(xiàn)組織機構(gòu)的使命。 信息安全保障定義7 信息系統(tǒng)安全保障是在信息系統(tǒng)的整個生命周期中，國家標準：GB/T 20274.1-2019 信息安全技術(shù) 信息系統(tǒng)安全保障評估框架 第一部分：簡介和一般模型 信息系統(tǒng)安全保障模型8國家標準：GB/T 20274.1-2019 信息安全技P2DR策略、防護、檢測、響應(yīng)P2DR模型則更強調(diào)控制和對抗，即強調(diào)系統(tǒng)安全的動態(tài)性以安全檢測、漏洞監(jiān)測和自適應(yīng)填充“安全間隙”為循環(huán)來提高網(wǎng)絡(luò)安全特別考慮人為的管理因素分布式動態(tài)主動模型P2DR模型9P

4、2DR策略、防護、檢測、響應(yīng)分布式動態(tài)主動模型P2技術(shù)操作深度防御戰(zhàn)略人 人 通過 技術(shù) 進行 操作計算環(huán)境區(qū)域邊界網(wǎng)絡(luò)基礎(chǔ)設(shè)施支撐性基礎(chǔ)設(shè)施密鑰管理檢測響應(yīng)成功的組織功能信息安全保障（IA）IATF框架10技術(shù)操作深度防御戰(zhàn)略人 人計算環(huán)境區(qū)域 主 題一、信息安全保障基本知識二、信息安全保障實踐三、信息安全管理體系四、信息安全風(fēng)險管理五、基本信息安全管理六、重要信息安全管理措施七、安全工程原理八、安全工程實踐九、法律法規(guī)十、安全標準11 主 題一、信息安全保障基本知識112課程內(nèi)容1212課程內(nèi)容12國家信息安全保障工作總體要求堅持積極防御、綜合防范的方針，全面提高信息安全的防護能力，重點保

5、障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保障和促進信息化發(fā)展，保護公眾利益，維護國家安全。13國家信息安全保障工作總體要求堅持積極防御、綜合防范的方針，全信息安全保障工作的主要原則立足國情，以我為主，堅持管理與技術(shù)并重；正確處理安全與發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全；統(tǒng)籌規(guī)劃，突出重點，強化基礎(chǔ)性工作；明確國家、企業(yè)、個人的責任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國家信息安全保障體系。14信息安全保障工作的主要原則立足國情，以我為主，堅持管理與技術(shù)國家信息安全保障重點工作實行信息安全等級保護加強以密碼技術(shù)為基礎(chǔ)的信息保護和網(wǎng)絡(luò)信任體系建設(shè)建設(shè)和完善信息安全監(jiān)控體系

6、重視信息安全應(yīng)急處理工作加強信息安全技術(shù)研究開發(fā)，推進信息安全產(chǎn)業(yè)發(fā)展加強信息安全法制建設(shè)和標準化建設(shè)加快信息安全人才培訓(xùn)，增強全民信息安全意識保證信息安全資金加強對信息安全保障工作的領(lǐng)導(dǎo)，建立健全信息安全管理責任制15國家信息安全保障重點工作實行信息安全等級保護1516制定信息安全保障需求的作用制定信息系統(tǒng)安全保障需求的方法和原則信息安全保障解決方案確定安全保障解決方案的原則實施信息安全保障解決方案的原則信息安全測評信息安全測評的重要性國內(nèi)外信息安全測評現(xiàn)狀產(chǎn)品、人員、服務(wù)商、系統(tǒng)測評的方法和流程持續(xù)提高信息系統(tǒng)安全保障能力。信息系統(tǒng)安全監(jiān)護和維護確定需求制定方案開展測評持續(xù)改進信息系統(tǒng)安全

7、保障工作建設(shè)步驟1616確定需求制定方案開展測評持續(xù)改進信息系統(tǒng)安全保障工作建設(shè)17國家信息安全測評主要對象 信息產(chǎn)品安全測評 信息系統(tǒng)安全測評 服務(wù)商資質(zhì)測評 信息安全人員資質(zhì)測評1717國家信息安全測評主要對象 信息產(chǎn)品安全測評17 主 題一、信息安全保障基本知識二、信息安全保障實踐三、信息安全管理體系四、信息安全風(fēng)險管理五、基本信息安全管理六、重要信息安全管理措施七、安全工程原理八、安全工程實踐九、法律法規(guī)十、安全標準18 主 題一、信息安全保障基本知識1三、 信息安全管理體系19三、 信息安全管理體系19信息安全管理20什么是信息安全管理組織中為了完成信息安全目標，針對信息系統(tǒng)，遵循安

8、全策略，按照規(guī)定的程序，運用恰當?shù)姆椒?，而進行的規(guī)劃、組織、指導(dǎo)、協(xié)調(diào)和控制等活動信息安全管理工作的對象 規(guī)則 人員目標組織信息輸入立法摘要變化？關(guān)鍵活動測量擁有者資 源記錄標 準輸入輸出生 產(chǎn)經(jīng) 營過程信息安全管理20什么是信息安全管理 規(guī)則 人員目標組織安全風(fēng)險的基本概念威脅資威脅是可能導(dǎo)致信息安全事故和組織信息資產(chǎn)損失的環(huán)境或事件威脅是利用脆弱性來造成后果威脅舉例黑客入侵和攻擊病毒和其他惡意程序軟硬件故障人為誤操作盜竊網(wǎng)絡(luò)監(jiān)聽供電故障后門未授權(quán)訪問自然災(zāi)害如：地震、火災(zāi)21安全風(fēng)險的基本概念威脅21安全風(fēng)險的基本概念脆弱性是與信息資產(chǎn)有關(guān)的弱點或安全隱患。脆弱性本身并不對資產(chǎn)構(gòu)成危害，但

9、是在一定條件得到滿足時，脆弱性會被威脅加以利用來對信息資產(chǎn)造成危害。脆弱性舉例系統(tǒng)漏洞程序Bug專業(yè)人員缺乏不良習(xí)慣缺少審計缺乏安全意識后門物理環(huán)境訪問控制措施不當22安全風(fēng)險的基本概念脆弱性22信息安全的風(fēng)險模型23沒有絕對的安全，只有相對的安全信息安全建設(shè)的宗旨之一，就是在綜合考慮成本與效益的前提下，通過恰當、足夠、綜合的安全措施來控制風(fēng)險，使殘余風(fēng)險降低到可接受的程度。信息安全的風(fēng)險模型23沒有絕對的安全，只有相對的安全信息安全風(fēng)險評估是信息安全管理的基礎(chǔ)風(fēng)險評估主要對ISMS范圍內(nèi)的信息資產(chǎn)進行鑒定和估價，然后對信息資產(chǎn)面對的各種威脅和脆弱性進行評估，同時對已存在的或規(guī)劃的安全控制措施

10、進行界定。信息安全管理體系的建立需要確定信息安全需求信息安全需求獲取的主要手段就是安全風(fēng)險評估信息安全風(fēng)險評估是信息安全管理體系建立的基礎(chǔ)，沒有風(fēng)險評估，信息安全管理體系的建立就沒有依據(jù)。24風(fēng)險評估是信息安全管理的基礎(chǔ)風(fēng)險評估主要對ISMS范圍內(nèi)的信信息安全管理體系的定義信息安全管理體系（ISMS：Information Security Management System）是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標，以及完成這些目標所用的方法和體系。它是直接 管理活動的結(jié)果，表示為方針、原則、目標、方法、計劃、活動、程序、過程和資源的集合。25信息安全管理體系的定義信息安全管理體系（

11、ISMS：Infor信息安全管理的特點明確建立管理體系的工作確定范圍，制定信息安全方針，明確管理職責，以風(fēng)險評估為基礎(chǔ)選擇控制目標和措施管理體系建立有依據(jù)基于系統(tǒng)、全面、科學(xué)的安全風(fēng)險評估，體現(xiàn)以預(yù)防控制為主的思想，強調(diào)遵守國家有關(guān)信息安全的法律、法規(guī)及其他合同方面的要求強調(diào)過程和動態(tài)控制控制費用與風(fēng)險平衡的原則合理選擇安全控制方式26信息安全管理的特點明確建立管理體系的工作26信息安全管理體系作用保護資產(chǎn)對組織的關(guān)鍵信息資產(chǎn)進行全面系統(tǒng)的保護，維持競爭優(yōu)勢；保護業(yè)務(wù)持續(xù)性在信息系統(tǒng)受到侵襲時，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度；促進規(guī)范促使管理層貫徹信息安全管理體系，強化員工的信息安全意識

12、，規(guī)范組織信息安全行為；提高信心使組織的生意伙伴和客戶對組織充滿信心；27信息安全管理體系作用保護資產(chǎn)27信息安全管理體系的理念技術(shù)因素人的因素管理因素28在信息安全問題上，要綜合考慮人員與管理、技術(shù)與產(chǎn)品、流程與體系。信息安全管理體系是人員、管理與技術(shù)三者的互動。信息安全管理體系的理念技術(shù)因素人的因素管理因素28在信息安全ISO 27000系列2927001ISMS要求27004 ISMS度量指標和衡量27002 ISMS實踐準則27001的附錄A將兩者聯(lián)系起來，作為ISMS過程的一部分測量ISMS控制措施的性能和有效性的要求將兩者聯(lián)系起來ISO 27000系列292700127004 27

13、002 27000：ISMS基礎(chǔ)和詞匯30正在啟動的新標準項目；它將主要以ISO/IEC 13335-1:2019信息和通信技術(shù)安全管理第1部分：信息和通信技術(shù)安全管理的概念和模型為基礎(chǔ)進行研究；該標準將規(guī)定27000系列標準所共用的基本原則、概念和詞匯。27000：ISMS基礎(chǔ)和詞匯30正在啟動的新標準項目；27001：信息安全管理體系要求312019年10月15日發(fā)布；規(guī)定了一個組織建立、實施、運行、監(jiān)視、評審、保持、改進信息安全管理體系的要求；基于風(fēng)險管理的思想，旨在通過持續(xù)改進的過程（PDCA模型）使組織達到有效的信息安全；使用了和ISO 9001、ISO 14001相同的管理體系過程

14、模型；是一個用于認證和審核的標準；27001：信息安全管理體系要求312019年10月1527002：信息安全管理實用規(guī)則32即17799，2019年6月15日發(fā)布第二版；包含有11個安全類別、39個控制目標、138個控制措施；實施27001的支撐標準，給出了組織建立ISMS時應(yīng)選擇實施的控制目標和控制措施集；是一個行業(yè)最佳慣例的匯總集，而不是一個認證和審核標準；27002：信息安全管理實用規(guī)則32即17799，20127003：ISMS實施指南33目前處于工作草案階段；它主要以BS 7799-2:2019附錄B的內(nèi)容為基礎(chǔ)進行制定；提供了27001具體實施的指南。27003：ISMS實施指南

15、33目前處于工作草案階段；27004：信息安全管理度量34旨在為組織提供一個如何通過使用度量、測量項以及合適的測量技術(shù)來評估其安全管理狀態(tài)的指南。27004：信息安全管理度量34旨在為組織提供一個如何通27005：信息安全風(fēng)險管理35目前處于委員會草案階段；它將主要以ISO/IEC 13335-2為基礎(chǔ)進行制定；描述了信息安全風(fēng)險管理的過程及每個過程的詳細內(nèi)容。27005：信息安全風(fēng)險管理35目前處于委員會草案階段；信息安全管理體系建設(shè)（一）信息安全管理體系的規(guī)劃和建立（P)（二）信息安全管理體系的實施和運行(D)（三）信息安全管理體系的監(jiān)視和評審(C)（四）信息安全管理體系的保持和改進(A)

16、36信息安全管理體系建設(shè)（一）信息安全管理體系的規(guī)劃和建立（P)信息安全管理體系循環(huán)框架37GB/T22080-2019 信息安全技術(shù) 信息安全管理體系要.信息安全管理體系是PDCA動態(tài)持續(xù)改進的一個循環(huán)體。規(guī)劃和建立(plan)實施和運行(do)監(jiān)視和評審check保持和改進action相關(guān)方信息安全要求和期望相關(guān)方受控的信息安全信息安全管理體系循環(huán)框架37GB/T22080-2019 3、信息安全管理體系文檔框架383、信息安全管理體系文檔框架38信息安全管理體系規(guī)劃和建立P1-定義ISMS范圍P2-定義ISMS方針P3-確定風(fēng)險評估方法P4-分析和評估信息安全風(fēng)險P5-識別和評價風(fēng)險處理

17、的可選措施P6-為處理風(fēng)險選擇控制目標和控制措施P7-準備詳細的適用性聲明SoA39信息安全管理體系規(guī)劃和建立P1-定義ISMS范圍39信息安全管理控制規(guī)范十一項條款（一）信息安全策略（二）信息安全組織（三）人力資源安全（四）信息資產(chǎn)分類與控制（五）信息安全訪問控制（六）物理與環(huán)境安全（七）系統(tǒng)開發(fā)與維護（八）通信與運營安全（九）信息安全事故管理（十）業(yè)務(wù)持續(xù)性管理（十一）符合性40信息安全管理控制規(guī)范十一項條款40 主 題一、信息安全保障基本知識二、信息安全保障實踐三、信息安全管理體系四、信息安全風(fēng)險管理五、基本信息安全管理六、重要信息安全管理措施七、安全工程原理八、安全工程實踐九、法律法規(guī)

18、十、安全標準41 主 題一、信息安全保障基本知識442四、 信息安全風(fēng)險管理42四、 信息安全風(fēng)險管理通用風(fēng)險管理定義定義是指如何在一個肯定有風(fēng)險的環(huán)境里把風(fēng)險減至最低的管理過程。風(fēng)險管理包括對風(fēng)險的量度、評估和應(yīng)變策略。理想的風(fēng)險管理，是一連串排好優(yōu)先次序的過程，使引致最大損失及最可能發(fā)生的事情優(yōu)先處理、而相對風(fēng)險較低的事情則押后處理。43通用風(fēng)險管理定義定義43什么是信息安全風(fēng)險管理定義一：GB/Z 24364信息安全風(fēng)險管理指南信息安全風(fēng)險管理是識別、控制、消除或最小化可能影響系統(tǒng)資源的不確定因素的過程。定義二：在組織機構(gòu)內(nèi)部識別、優(yōu)化、管理風(fēng)險，使風(fēng)險降低到可接受水平的過程。 了解風(fēng)險

19、+控制風(fēng)險=管理風(fēng)險44什么是信息安全風(fēng)險管理了解風(fēng)險+控制風(fēng)險=管理風(fēng)險44何時作風(fēng)險管理信息安全風(fēng)險管理是信息安全保障工作中的一項基礎(chǔ)性工作 是需要貫穿信息系統(tǒng)生命周期，持續(xù)進行的工作規(guī)劃設(shè)計實施運維廢棄45何時作風(fēng)險管理信息安全風(fēng)險管理是信息安全保障工作中的一項基礎(chǔ)信息安全風(fēng)險術(shù)語資產(chǎn)（Asset）威脅源（Threat Agent）威脅（ Threat ）脆弱性（Vunerability）控制措施（Countermeasure,safeguard,control）可能性（Likelihood,Probability）影響（ Impact,loss ）風(fēng)險（Risk）殘余風(fēng)險（Reside

20、ntal Risk）46信息安全風(fēng)險術(shù)語資產(chǎn)（Asset）46信息安全風(fēng)險管理工作內(nèi)容建立背景風(fēng)險評估風(fēng)險處理批準監(jiān)督監(jiān)控審查溝通咨詢GB/Z 24364信息安全風(fēng)險管理指南 四個階段，兩個貫穿。 -47信息安全風(fēng)險管理工作內(nèi)容建立背景風(fēng)險評估風(fēng)險處理批準監(jiān)督監(jiān)控信息系統(tǒng)風(fēng)險評估風(fēng)險評估的政策要求風(fēng)險評估的流程48信息系統(tǒng)風(fēng)險評估風(fēng)險評估的政策要求48 準備 識別 計算 報告 一個簡化的風(fēng)險評估流程：準備（Readiness）、識別（Realization）、 計算（Calculation）、報告（Report） 識別 資產(chǎn) 威脅 漏洞 準備 資料審核 SLA 工作計劃 組隊 計算 威脅概率

21、事件影響 風(fēng)險定級 報告 整改建議 各類文檔 49 準備 識別 計算 報告 一個簡化的風(fēng)險評估流程：準備（風(fēng)險分析GB/T 20984-2019 信息安全風(fēng)險評估規(guī)范給出信息安全風(fēng)險分析思路 50風(fēng)險值=R（A，T，V）= R(L(T，V)，F(xiàn)(Ia，Va )。其中，R表示安全風(fēng)險計算函數(shù)；A表示資產(chǎn)；T表示威脅；V表示脆弱性； Ia表示安全事件所作用的資產(chǎn)價值；Va表示脆弱性嚴重程度；L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性；F表示安全事件發(fā)生后造成的損失。風(fēng)險分析GB/T 20984-2019 信息安全風(fēng)險評估規(guī)方法優(yōu)點缺點定性簡易的計算方式不必精確算出資產(chǎn)價值不需得到量化的威脅發(fā)生

22、率非技術(shù)或非安全背景的員工也能輕易參與流程和報告形式比較有彈性本質(zhì)上是非常主觀的對關(guān)鍵資產(chǎn)的財務(wù)價值評估參考性較低缺乏對風(fēng)險降低的成本分析定量 1. 結(jié)果建立在獨立客觀的程序或量化指標上大部分的工作集中在制定資產(chǎn)價值和減緩可能風(fēng)險主要目的是做成本效益的審核風(fēng)險計算方法復(fù)雜需要自動化工具及相當?shù)幕A(chǔ)知識投入大個人難以執(zhí)行定量分析與定性分析51方法優(yōu)點缺點定性簡易的計算方式本質(zhì)上是非常主觀的定量 1. 定量分析方法步驟1-評估資產(chǎn)：根據(jù)資產(chǎn)價值（AV）清單,計算資產(chǎn)總價值及資產(chǎn)損失對財務(wù)的直接和間接影響步驟2-確定單一預(yù)期損失SLESLE 是指發(fā)生一次風(fēng)險引起的收入損失總額。 SLE 是分配給單個

23、事件的金額，代表一個具體威脅利用漏洞時將面臨的潛在損失。 （SLE 類似于定性風(fēng)險分析的影響。）將資產(chǎn)價值與暴露系數(shù)相乘 (EF) 計算出 SLE。暴露系數(shù)表示為現(xiàn)實威脅對某個資產(chǎn)造成的損失百分比。 步驟3-確定年發(fā)生率AROARO 是一年中風(fēng)險發(fā)生的次數(shù).52定量分析方法步驟1-評估資產(chǎn)：根據(jù)資產(chǎn)價值（AV）清單,計算定量分析方法（續(xù)）步驟4-確定年預(yù)期損失ALEALE 是不采取任何減輕風(fēng)險的措施在一年中可能損失的總金額。 SLE 乘以 ARO 即可計算出該值。 ALE 類似于定量風(fēng)險分析的相對級別。步驟5-確定控制成本控制成本就是為了規(guī)避企業(yè)所存在風(fēng)險的發(fā)生而應(yīng)投入的費用.步驟6-安全投資

24、收益ROSI(實施控制前的 ALE）（實施控制后的 ALE）（年控制成本）= ROSI53定量分析方法（續(xù)）步驟4-確定年預(yù)期損失ALE53 主 題一、信息安全保障基本知識二、信息安全保障實踐三、信息安全管理體系四、信息安全風(fēng)險管理五、基本信息安全管理六、重要信息安全管理措施七、安全工程原理八、安全工程實踐九、法律法規(guī)十、安全標準54 主 題一、信息安全保障基本知識5五、基本安全管理措施55安全管理措施知識體知識域基本安全管理措施重要安全管理過程知識子域安全策略人員安全管理訪問控制物理與環(huán)境安全系統(tǒng)獲取、開發(fā)和維護通信及操作管理安全組織機構(gòu)資產(chǎn)管理符合性管理信息安全事件管理與應(yīng)急響應(yīng)業(yè)務(wù)連續(xù)性

25、管理與災(zāi)難恢復(fù)五、基本安全管理措施55安全管理知識體知識域基本安全重要安全什么是控制措施什么是控制措施管理風(fēng)險的方法。為達成企業(yè)目標提供合理保證，并能預(yù)防、檢查和糾正風(fēng)險。它們可以是行政、技術(shù)、管理、法律等方面的措施?？刂拼胧┑姆诸悾?1項控制規(guī)范預(yù)防性控制檢查性控制糾正性控制56什么是控制措施什么是控制措施56基本安全管理措施安全策略安全策略目標：提供與業(yè)務(wù)需求和法律法規(guī)相一致的管理指示及支持信息安全組織組織目標組織工作內(nèi)容人員安全管理目標：雇傭前、雇傭中、解聘與變更資產(chǎn)資產(chǎn)責任、信息分類57基本安全管理措施安全策略57基本安全管理措施物理和環(huán)境安全目標：安全區(qū)域、設(shè)備安全通信和操作管理目標

26、：網(wǎng)絡(luò)安全管理、介質(zhì)處理和安全、信息和軟件的交換、電子商務(wù)服務(wù)、監(jiān)督訪問控制符合性法律符合性組織策略符合性58基本安全管理措施物理和環(huán)境安全58 主 題一、信息安全保障基本知識二、信息安全保障實踐三、信息安全管理體系四、信息安全風(fēng)險管理五、基本信息安全管理六、重要信息安全管理措施七、安全工程原理八、安全工程實踐九、法律法規(guī)十、安全標準59 主 題一、信息安全保障基本知識5六、 重要信息安全管理過程安全管理措施知識體知識域基本安全管理措施重要安全管理過程知識子域安全策略人員安全管理訪問控制物理與環(huán)境安全系統(tǒng)獲取、開發(fā)和維護通信及操作管理安全組織機構(gòu)資產(chǎn)管理符合性管理信息安全事件管理與應(yīng)急響應(yīng)業(yè)務(wù)

27、連續(xù)性管理與災(zāi)難恢復(fù)六、 重要信息安全管理過程安全管理知識體知識域基本安全重要安信息系統(tǒng)購買安全信息系統(tǒng)購買流程需求分析市場招標評標選擇供應(yīng)商簽訂合同系統(tǒng)實施系統(tǒng)運維61信息系統(tǒng)購買安全信息系統(tǒng)購買流程需求市場評標選擇簽訂系統(tǒng)系統(tǒng)基本概念62應(yīng)急響應(yīng)計劃（Emergency Response Plan） 是指在突發(fā)/重大信息安全事件后對包括計算機運行在內(nèi)的業(yè)務(wù)運行進行維持或恢復(fù)的策略和規(guī)程。 信息安全應(yīng)急響應(yīng)計劃的制定是一個周而復(fù)始、持續(xù)改進的過程，包含以下幾個階段：（1）應(yīng)急響應(yīng)需求分析和應(yīng)急響應(yīng)策略的確定；（2）編制應(yīng)急響應(yīng)計劃文檔；（3）應(yīng)急響應(yīng)計劃的測試、培訓(xùn)、演練和維護?；靖拍?2

28、應(yīng)急響應(yīng)計劃（Emergency Respons應(yīng)急響應(yīng)六階段63第一階段：準備讓我們嚴陣以待第二階段：確認對情況綜合判斷第三階段：遏制制止事態(tài)的擴大第四階段：根除徹底的補救措施第五階段：恢復(fù)系統(tǒng)恢復(fù)常態(tài)第六階段：跟蹤還會有第二次嗎準備確認遏制根除恢復(fù)跟蹤應(yīng)急響應(yīng)六階段63第一階段：準備讓我們嚴陣以待準備確認遏信息安全應(yīng)急響應(yīng)計劃編制方法64總則角色及職責預(yù)防和預(yù)警機制應(yīng)急響應(yīng)流程應(yīng)急響應(yīng)保障措施附件總則角色及職責預(yù)防和預(yù)警機制應(yīng)急響應(yīng)流程應(yīng)急響應(yīng)保障措施附件信息安全應(yīng)急響應(yīng)計劃編制方法64總則總則角色及職責預(yù)防和預(yù)警計算機取證的步驟65準備保護提取分析提交計算機取證的步驟65準備保護提取分析

29、提交災(zāi)難恢復(fù)相關(guān)概念什么是災(zāi)難備份與恢復(fù)災(zāi)難恢復(fù)規(guī)劃與災(zāi)難恢復(fù)預(yù)案業(yè)務(wù)連續(xù)性規(guī)劃與業(yè)務(wù)連續(xù)性管理RPO（恢復(fù)點目標）/RTO（恢復(fù)時間目標）66災(zāi)難恢復(fù)相關(guān)概念什么是災(zāi)難66災(zāi)難恢復(fù)建設(shè)流程67災(zāi)難恢復(fù)建設(shè)流程67災(zāi)難恢復(fù)規(guī)劃的過程階段業(yè)務(wù)影響分析制定恢復(fù)策略災(zāi)難恢復(fù)策略的實現(xiàn)災(zāi)難恢復(fù)預(yù)案的制定、落實和管理分析業(yè)務(wù)功能和相關(guān)資源配置評估中斷影響確定災(zāi)難恢復(fù)資源獲取方式確定災(zāi)難恢復(fù)等級的要素要求正式文檔化災(zāi)難備份中心的選擇和建設(shè)災(zāi)難備份系統(tǒng)技術(shù)方案的實現(xiàn)技術(shù)支持能力的實現(xiàn)運行維護能力的實現(xiàn)災(zāi)難恢復(fù)預(yù)案的制訂災(zāi)難恢復(fù)預(yù)案的教育、培訓(xùn)和演練災(zāi)難恢復(fù)預(yù)案的管理風(fēng)險分析標識資產(chǎn)標識威脅標識脆弱性標識現(xiàn)有

30、控制定量/定性風(fēng)險分析災(zāi)難恢復(fù)需求分析災(zāi)難恢復(fù)策略制定災(zāi)難恢復(fù)預(yù)案制定和管理災(zāi)難恢復(fù)策略實現(xiàn)確定災(zāi)難恢復(fù)目標關(guān)鍵業(yè)務(wù)功能及恢復(fù)的優(yōu)先級RTO/RPO的范圍68災(zāi)難恢復(fù)規(guī)劃的過程階段業(yè)務(wù)影響制定災(zāi)難恢復(fù)策略的實現(xiàn)災(zāi)難恢復(fù)災(zāi)難恢復(fù)等級劃分國家標準信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范（GB/T 20988）69災(zāi)難恢復(fù)等級劃分國家標準信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范 主 題一、信息安全保障基本知識二、信息安全保障實踐三、信息安全管理體系四、信息安全風(fēng)險管理五、基本信息安全管理六、重要信息安全管理措施七、安全工程原理八、安全工程實踐九、法律法規(guī)十、安全標準70 主 題一、信息安全保障基本知識7七、信息安全

31、工程71安全工程原理知識體知識域安全工程理論背景安全工程能力成熟度模型知識子域質(zhì)量管理基礎(chǔ)能力成熟度模型基礎(chǔ)系統(tǒng)工程與項目管理基礎(chǔ)SSE-CMM體系與原理安全工程過程區(qū)域安全工程能力評價七、信息安全工程71安全工程知識體知識域安全工程安全工程能力學(xué)習(xí)目標理解信息安全建設(shè)必須同信息化建設(shè)“同步規(guī)劃、同步實施”的原則理解如何運用信息安全能力成熟度模型理論評價和改進信息安全工程能力學(xué)習(xí)目標理解信息安全建設(shè)必須同信息化建設(shè)“同步規(guī)劃、同步實施信息安全工程可以參考的理論基礎(chǔ)系統(tǒng)工程思想項目管理方法質(zhì)量管理體系能力成熟度模型73信息安全工程可以參考的理論基礎(chǔ)73系統(tǒng)工程基礎(chǔ)霍爾三維結(jié)構(gòu)圖系統(tǒng)指標設(shè)計知識維

32、（專業(yè)、行業(yè)）邏輯維（工作步驟）時間維（階段、進程）工程技術(shù)醫(yī)學(xué)社會科學(xué)規(guī)劃計劃系統(tǒng)開發(fā)制造安裝運行更新明確問題系統(tǒng)綜合系統(tǒng)分析決策最優(yōu)化實施計劃74系統(tǒng)工程基礎(chǔ)霍爾三維結(jié)構(gòu)圖系統(tǒng)指標設(shè)計知識維（專業(yè)、行業(yè)）能力成熟度模型的來由由質(zhì)量管理工作發(fā)展出的概念“過程改進”，即增加工作過程的能力隨著過程能力的提高，過程變得可預(yù)測和可度量，控制或消除造成質(zhì)量低劣和生產(chǎn)率不高需要一個結(jié)構(gòu)化的架構(gòu)來指導(dǎo)一個組織的過程改進，即能力成熟度模型75能力成熟度模型的來由由質(zhì)量管理工作發(fā)展出的概念“過程改進”，能力成熟度模型的概念CMM Capability Maturity Model現(xiàn)代統(tǒng)計過程控制理論表明通過強

33、調(diào)生產(chǎn)過程的高質(zhì)量和在過程中組織實施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品；所有成功企業(yè)的共同特點是都具有一組嚴格定義、管理完善、可測可控從而高度有效的業(yè)務(wù)過程；CMM模型抽取了這樣一組好的工程實踐并定義了過程的“能力”；76能力成熟度模型的概念CMM Capability MatSSE-CMM體系結(jié)構(gòu)能力維（Capability Dimension）域維（Domain Dimension）公共特征2.4跟蹤執(zhí)行PA 05評估脆弱性兩維模型：“域維” 由所有定義的安全工程過程區(qū)構(gòu)成?！澳芰S”代表組織實施這一過程的能力。77SSE-CMM體系結(jié)構(gòu)能力維（Capability DimeSSE-CM

34、M的主要概念過程區(qū)域（PA，Process Area）過程的一種單位是由一些基本實施（BP，Base Practice）組成的，這些BP共同實施以達到該PA的目標。這些BP是強制性的，只有全部成功執(zhí)行，才能滿足PA規(guī)定的目標；SSE-CMM包含三類過程區(qū)域：工程、項目和組織三類；78SSE-CMM的主要概念過程區(qū)域（PA，Process Ar域維過程類域維Base PracticesBase PracticesBase PracticesBase PracticesBase Practices基本實施Process AreasProcess AreasProcess Areas過程區(qū)BP,Ba

35、se Practice。域維的最小單位。如果選擇執(zhí)行其所屬的PA，則必須執(zhí)行它。共129個PA，Process Area由一些基本實施構(gòu)成，這些BP共同實施以達到該PA的目標。共22個PA被分為安全工程類、組織管理類和項目管理類 域維過程類域維Base PracticesBase PracSSE-CMM的主要概念過程能力（Process Capability）一個過程是否可以達到預(yù)期效果的度量方法，即執(zhí)行一個過程的成熟度級別劃分；過程能力可幫助組織預(yù)見達到過程目標的能力，如果一個組織某個過程的能力級別低，意味著完成該過程投入的成本，實現(xiàn)的進度、功能和質(zhì)量都是不穩(wěn)定的；或者說過程能力越高則達到預(yù)

36、定的成本、進度、功能和質(zhì)量目標的就越有把握80SSE-CMM的主要概念過程能力（Process Capab能力維能力維能力級別GP，Generic Practice 管理、度量和制度方面的活動，可用于決定所有活動的能力水平CF，Common Feature由GP組成的邏輯域由公共特征組成的過程能力水平的級別劃分。0-5共6個級別公共特征通用實踐能力維能力維能力級別GP，Generic Practice SSE-CMM能力成熟度評價通過設(shè)置這兩個相互依賴的維，SSE-CMM在各個能力級別上覆蓋了整個安全活動范圍。給每個PA賦予一個能力級別評分，所得到的兩維圖形便形象地反映一個工程組織整體上的系統(tǒng)

37、安全工程能力成熟度，也間接的反映其工作結(jié)果的質(zhì)量及其安全上的可信度。543210PA01PA02PA03PA04PA05能力級別安全過程區(qū)域82SSE-CMM能力成熟度評價通過設(shè)置這兩個相互依賴的維，SS域維-22個PA分成三類系統(tǒng)安全工程涉及到三類過程區(qū)域PA工程過程區(qū)域（Engineering PA）組織過程區(qū)域（Organization PA）項目過程區(qū)域（Project PA）工程過程區(qū)域11個PA描述了系統(tǒng)安全工程中實施的與安全直接相關(guān)的活動組織和項目過程區(qū)域（共11個）并不直接同系統(tǒng)安全相關(guān)，但常與11個工程過程區(qū)域一起用來度量系統(tǒng)安全隊伍的過程能力成熟度83域維-22個PA分成三

38、類系統(tǒng)安全工程涉及到三類過程區(qū)域PA8域維-工程類PA核實和確認安全（Verify and Validate Security）PA11明確安全需求（Specify Security Needs）PA10提供安全輸入（Provide Security Input）PA09監(jiān)視安全態(tài)勢（Monitor Security Posture）PA08協(xié)調(diào)安全（Coordinate Security）PA07建立保證論據(jù)（Build Assurance Argument)PA06評估脆弱性（Assess Vulnerability）PA05評估威脅（Assess Threat）PA04評估安全風(fēng)險（As

39、sess Security Risk)PA03評估影響（Assess Impact）PA02管理安全控制（Administer Security Controls）PA01風(fēng)險過程工程過程保證過程84域維-工程類PA核實和確認安全（Verify and Val域維-項目類和組織類PA與供應(yīng)商協(xié)調(diào)PA22提供持續(xù)發(fā)展的技能和知識PA21管理系統(tǒng)工程支持環(huán)境PA20管理產(chǎn)品系列進化PA19改進組織的系統(tǒng)工程過程PA18定義組織的系統(tǒng)工程過程PA17計劃技術(shù)活動PA16監(jiān)視和控制技術(shù)活動PA15管理項目風(fēng)險PA14管理配置PA13保證質(zhì)量PA12項目過程組織過程85域維-項目類和組織類PA與供應(yīng)商協(xié)

40、調(diào)PA22提供持續(xù)發(fā)展的技計劃執(zhí)行規(guī)范化執(zhí)行跟蹤執(zhí)行驗證執(zhí)行定義標準過程協(xié)調(diào)安全實施執(zhí)行已定義的過程建立可測量的質(zhì)量目標客觀地管理過程的執(zhí)行1非正規(guī)執(zhí)行2計劃與跟蹤3充分定義4量化控制5連續(xù)改進執(zhí)行基本實施改進組織能力改進過程的有效性能力級別代表安全工程組織的成熟級別 公共特征未實施0能力級別86計劃執(zhí)行定義標準過程建立可測量的質(zhì)量目標1非正規(guī)2計劃與跟蹤SSE-CMM的使用SSE-CMM可應(yīng)用于所有從事某種形式的安全工程組織，這種應(yīng)用與生命期、范圍、環(huán)境或?qū)I(yè)無關(guān)。該模型適用于以下三種方式：“評定”，允許獲取組織了解潛在項目參加者的組織層次上的安全工程過程能力?！案倪M”，使安全工程組織獲得自

41、身安全工程過程能力級別的認識，并不斷地改進其能力?！氨ＷC”，通過有根據(jù)地使用成熟過程，增加可信產(chǎn)品、系統(tǒng)和服務(wù)的可信度。87SSE-CMM的使用SSE-CMM可應(yīng)用于所有從事某種形式的 主 題一、信息安全保障基本知識二、信息安全保障實踐三、信息安全管理體系四、信息安全風(fēng)險管理五、基本信息安全管理六、重要信息安全管理措施七、安全工程原理八、安全工程實踐九、法律法規(guī)十、安全標準88 主 題一、信息安全保障基本知識8八、 信息安全工程實踐89信息安全工程監(jiān)理安全工程實施實踐知識域知識子域課程名稱信息安全工程實踐信息安全工程各方職責監(jiān)理階段目標ISSE安全工程過程信息系統(tǒng)定義與描述信息系統(tǒng)安全性驗證與

42、認可信息系統(tǒng)安全監(jiān)控與保持信息系統(tǒng)安全需求提取安全措施設(shè)計與部署信息安全工程監(jiān)理模型八、 信息安全工程實踐89信息安全工程監(jiān)理安全工程實施實踐知信息系統(tǒng)安全工程ISSE發(fā)掘信息保護需求確定系統(tǒng)安全要求設(shè)計系統(tǒng)安全體系結(jié)構(gòu)開展詳細安全設(shè)計評估信息保護有效性實施系統(tǒng)安全90信息系統(tǒng)安全工程ISSE發(fā)掘信息保護需求確定系統(tǒng)安全要求設(shè)計信息安全工程監(jiān)理模型 信息安全工程監(jiān)理階段、監(jiān)理管理和控制手段和監(jiān)理支撐要素信息安全工程監(jiān)理模型 信息安全工程監(jiān)理階段、監(jiān)理管理和控制手 主 題一、信息安全保障基本知識二、信息安全保障實踐三、信息安全管理體系四、信息安全風(fēng)險管理五、基本信息安全管理六、重要信息安全管理措

43、施七、安全工程原理八、安全工程實踐九、法律法規(guī)十、安全標準92 主 題一、信息安全保障基本知識9九、信息安全法規(guī)、政策與道德規(guī)范93信息安全法規(guī)與政策知識體知識域信息安全法律法規(guī)知識子域國家信息安全法治總體情況等級保護有關(guān)政策規(guī)范風(fēng)險評估有關(guān)政策規(guī)范信息安全國家政策現(xiàn)行重要信息安全法規(guī)電子政務(wù)與重要信息系統(tǒng)信息安全政策國家信息安全保障總體方針道德規(guī)范信息安全從業(yè)人員道德規(guī)范通行道德規(guī)范CISP職業(yè)道德準則計算機使用道德規(guī)范因特網(wǎng)使用道德規(guī)范 信息安全從業(yè)人員基本道德規(guī)范九、信息安全法規(guī)、政策與道德規(guī)范93信息安全法規(guī)與政策知識體憲法中的有關(guān)規(guī)定憲法 第二章 公民的基本權(quán)利和義務(wù) 第40條公民的

44、通信自由和通信秘密受法律的保護。除因國家安全或者追查刑事犯罪的需要，由公安機關(guān)或者檢察機關(guān)依照法律規(guī)定的程序?qū)νㄐ胚M行檢查外，任何組織或者個人不得以任何理由侵犯公民的通信自由和通信秘密。94憲法中的有關(guān)規(guī)定憲法 第二章 公民的基本權(quán)利和義務(wù) 刑法中的有關(guān)規(guī)定（1）刑法 第六章 妨礙社會管理秩序罪 第一節(jié) 擾亂公共秩序罪 第285、286、287條285條：非法侵入計算機信息系統(tǒng)罪；非法獲取計算機信息系統(tǒng)數(shù)據(jù)、非法控制計算機信息系統(tǒng)罪；提供侵入、非法控制計算機信息系統(tǒng)程序、工具罪。違反國家規(guī)定，侵入國家事務(wù)、國防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計算機信息系統(tǒng)的，處三年以下有期徒刑或者拘役。違反國家規(guī)定，

45、侵入前款規(guī)定以外的計算機信息系統(tǒng)或者采用其他技術(shù)手段，獲取該計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)，或者對該計算機信息系統(tǒng)實施非法控制，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。提供專門用于侵入、非法控制計算機信息系統(tǒng)的程序、工具，或者明知他人實施侵入、非法控制計算機信息系統(tǒng)的違法犯罪行為而為其提供程序、工具，情節(jié)嚴重的，依照前款的規(guī)定處罰。95刑法中的有關(guān)規(guī)定（1）刑法 第六章 妨礙社會管理秩序刑法中的有關(guān)規(guī)定（2）刑法 第六章 妨礙社會管理秩序罪 第一節(jié) 擾亂公共秩序罪 第285、286、287條286條：破壞計算機信

46、息系統(tǒng)罪。違反國家規(guī)定，對計算機信息系統(tǒng)功能進行刪除、修改、增加、干擾，造成計算機信息系統(tǒng)不能正常運行，后果嚴重的，處五年以下有期徒刑或者拘役；后果特別嚴重的，處五年以上有期徒刑。違反國家規(guī)定，對計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進行刪除、修改、增加的操作，后果嚴重的，依照前款的規(guī)定處罰。故意制作、傳播計算機病毒等破壞性程序，影響計算機系統(tǒng)正常運行，后果嚴重的，依照第一款的規(guī)定處罰。287條：利用計算機實施犯罪的提示性規(guī)定。利用計算機實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪的，依照本法有關(guān)規(guī)定定罪處罰。96刑法中的有關(guān)規(guī)定（2）刑法 第六章 妨礙社會管理秩序

47、治安管理處罰法中的有關(guān)規(guī)定治安管理處罰法 第三章 違反治安管理的行為和處罰 第一節(jié) 擾亂公共秩序的行為和處罰 第29條有下列行為之一的，處五日以下拘留；情節(jié)較重的，處五日以上十日以下拘留：（一）違反國家規(guī)定，侵入計算機信息系統(tǒng)，造成危害的；（二）違反國家規(guī)定，對計算機信息系統(tǒng)功能進行刪除、修改、增加、干擾，造成計算機信息系統(tǒng)不能正常運行的；（三）違反國家規(guī)定，對計算機信息系統(tǒng)中存儲、處理、傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進行刪除、修改、增加的；（四）故意制作、傳播計算機病毒等破壞性程序，影響計算機信息系統(tǒng)正常運行的。治安管理處罰法 其他規(guī)定（與非法信息傳等播相關(guān)）：第42、47、68條97治安管理處罰法中

48、的有關(guān)規(guī)定治安管理處罰法 第三章 違國家安全法中的有關(guān)規(guī)定國家安全法 第二章 國家安全機關(guān)在國家安全工作中的職權(quán) 第10、11條第10條 國家安全機關(guān)因偵察危害國家安全行為的需要，根據(jù)國家有關(guān)規(guī)定，經(jīng)過嚴格的批準手續(xù)，可以采取技術(shù)偵察措施。第11條 國家安全機關(guān)為維護國家安全的需要，可以查驗組織和個人的電子通信工具、器材等設(shè)備、設(shè)施。法律98國家安全法中的有關(guān)規(guī)定國家安全法 第二章 國家安全機保守國家秘密法（保密法 1）演進保守國家秘密暫行條例（1951年）保守國家秘密法（1989年）保守國家秘密法（2019年修訂，4月29日修訂，10月1日施行）主旨（總則）目的：保守國家秘密，維護國家安全和

49、利益。國家秘密是關(guān)系國家安全和利益，依照法定程序確定，在一定時間內(nèi)只限一定范圍的人員知悉的事項。國家秘密受法律保護。一切國家機關(guān)、武裝力量、政黨、社會團體、企業(yè)事業(yè)單位和公民都有保守國家秘密的義務(wù)。國家保密行政管理部門主管全國的保密工作。國家機關(guān)和涉及國家秘密的單位（以下簡稱機關(guān)、單位）管理本機關(guān)和本單位的保密工作。保密工作責任制：健全保密管理制度，完善保密防護措施，開展保密宣傳教育，加強保密檢查。法律99保守國家秘密法（保密法 1）演進法律99保守國家秘密法（保密法 2）國家秘密的范圍國家事務(wù)、國防武裝、外交外事、政黨秘密國民經(jīng)濟和社會發(fā)展、科學(xué)技術(shù)維護國家安全的活動、經(jīng)保密主管部門確定的事

50、項等國家秘密的密級絕密-是最重要的國家秘密，泄露會使國家安全和利益遭受特別嚴重的損害；保密期限不超過30年；機密-是重要的國家秘密，泄露會使國家安全和利益遭受嚴重的損害；保密期限不超過20年；秘密-是一般的國家秘密，泄露會使國家安全和利益遭受損害；保密期限不超過10年。國家秘密的其他基本屬性定密權(quán)限（定密責任人）、保密期限、解密條件、知悉范圍國家秘密載體、國家秘密標志法律100保守國家秘密法（保密法 2）國家秘密的范圍法律100保守國家秘密法（保密法 3）保密制度對國家秘密載體的行為要求；對屬于國家秘密的設(shè)備、產(chǎn)品的行為要求；對存儲、處理國家秘密的計算機信息系統(tǒng)的要求-分級保護；對組織和個人的

51、行為要求（涉密信息系統(tǒng)管理、國家秘密載體管理、公開發(fā)布信息、各類涉密采購、涉密人員分類管理、保密教育培訓(xùn)、保密協(xié)議等）；對公共信息網(wǎng)絡(luò)及其他傳媒的行為要求；對互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)運營商、服務(wù)商的行為要求。監(jiān)督管理國家保密行政管理部門依照法律、行政法規(guī)的規(guī)定，制定保密規(guī)章和國家保密標準。組織開展保密宣傳教育、保密檢查、保密技術(shù)防護和泄密案件查處工作，對機關(guān)、單位的保密工作進行指導(dǎo)和監(jiān)督。法律101保守國家秘密法（保密法 3）保密制度法律101保守國家秘密法（保密法 4）法律責任（第48條 人員處分及追究刑責）（一）非法獲取、持有國家秘密載體的；（二）買賣、轉(zhuǎn)送或者私自銷毀國家秘密載體的；（三

52、）通過普通郵政、快遞等無保密措施的渠道傳遞國家秘密載體的；（四）郵寄、托運國家秘密載體出境，或者未經(jīng)有關(guān)主管部門批準，攜帶、傳遞國家秘密載體出境的；（五）非法復(fù)制、記錄、存儲國家秘密的；（六）在私人交往和通信中涉及國家秘密的；（七）在互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)或者未采取保密措施的有線和無線通信中傳遞國家秘密的；（八）將涉密計算機、涉密存儲設(shè)備接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)的；（九）在未采取防護措施的情況下，在涉密信息系統(tǒng)與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)之間進行信息交換的；（十）使用非涉密計算機、非涉密存儲設(shè)備存儲、處理國家秘密信息的；（十一）擅自卸載、修改涉密信息系統(tǒng)的安全技術(shù)程序、管理程序的；（十二）

53、將未經(jīng)安全技術(shù)處理的退出使用的涉密計算機、涉密存儲設(shè)備贈送、出售、丟棄或者改作其他用途的。有前款行為尚不構(gòu)成犯罪，且不適用處分的人員，由保密行政管理部門督促其所在機關(guān)、單位予以處理。法律102保守國家秘密法（保密法 4）法律責任（第48條 人員處分全國人大關(guān)于維護互聯(lián)網(wǎng)安全的決定背景互聯(lián)網(wǎng)日益廣泛的應(yīng)用，對于加快我國國民經(jīng)濟、科學(xué)技術(shù)的發(fā)展和社會服務(wù)信息化進程具有重要作用。如何保障互聯(lián)網(wǎng)的運行安全和信息安全問題已經(jīng)引起全社會的普遍關(guān)注?；ヂ?lián)網(wǎng)安全的范疇（法律約束力）互聯(lián)網(wǎng)的運行安全（侵入、破壞性程序、攻擊、中斷服務(wù)等）國家安全和社會穩(wěn)定（有害信息、竊取/泄露國家秘密、煽動、非法組織等）市場經(jīng)濟

54、秩序和社會管理秩序（銷售偽劣產(chǎn)品/虛假宣傳、損害商業(yè)信譽、侵犯知識產(chǎn)權(quán)、擾亂金融秩序、淫穢內(nèi)容服務(wù)等）個人、法人和其他組織的人身、財產(chǎn)等合法權(quán)利（侮辱或誹謗他人、非法處理他人信息數(shù)據(jù)/侵犯通信自有和通信秘密、盜竊/詐騙/敲詐勒索等）法律責任構(gòu)成犯罪的，依照刑法有關(guān)規(guī)定追究刑事責任構(gòu)成民事侵權(quán)的，依法承擔民事責任尚不構(gòu)成犯罪的：治安管理處罰 / 行政處罰 / 行政處分或紀律處分 法律103全國人大關(guān)于維護互聯(lián)網(wǎng)安全的決定背景法律103 主 題一、信息安全保障基本知識二、信息安全保障實踐三、信息安全管理體系四、信息安全風(fēng)險管理五、基本信息安全管理六、重要信息安全管理措施七、安全工程原理八、安全工程

55、實踐九、法律法規(guī)十、安全標準104 主 題一、信息安全保障基本知識1十、信息安全標準105十、信息安全標準105標準的一些基本概念標準和標準化的定義標準的作用我國標準代碼的意義GB 強制性國家標準GB/T 推薦性國家標準GB/Z 國家標準化指導(dǎo)性技術(shù)文件106標準的一些基本概念標準和標準化的定義106我國標準化組織信息安全標準體系與協(xié)調(diào)工作組( WG1)涉密信息系統(tǒng)安全保密標準工作組(WG2）密碼技術(shù)標準工作組（WG3）鑒別與授權(quán)工作組（WG4）信息安全評估工作組（WG5）通信安全標準工作組（WG6）信息安全管理工作組（ WG7）107我國標準化組織信息安全標準體系與協(xié)調(diào)工作組( WG1)10

56、7信息安全評估標準安全技術(shù)評估標準發(fā)展歷史 了解安全技術(shù)評估標準發(fā)展過程理解可信計算機評估準則（TCSEC）的局限性理解GB/T18336信息技術(shù)安全性評估準則（CC）的優(yōu)點信息安全技術(shù)評估準則 了解CC的結(jié)構(gòu)理解CC的術(shù)語（TOE、PP、ST、EAL）和基本思想了解使用CC進行信息技術(shù)產(chǎn)品安全性評估的基本過程了解通用評估方法（CEM）信息系統(tǒng)安全保證評估框架 了解GB/T20274信息系統(tǒng)安全保障評估框架的目的和意義了解信息系統(tǒng)安全保障評估框架的結(jié)構(gòu)和主要內(nèi)容108信息安全評估標準安全技術(shù)評估標準發(fā)展歷史 108美國的安全評測標準(TCSEC)1970年由美國國防科學(xué)委員會提出,1985年公

57、布。主要為軍用標準,延用至民用。安全級別從高到低分為A、B、C、D四級，級下再分小類，即A1、B3、B2、B1、C2、C1、D分級分類主要依據(jù)四個準則：安全政策 可控性 保證能力 文檔109美國的安全評測標準(TCSEC)1970年由美國國防科學(xué)委員通用準則（CC ）國際標準化組織統(tǒng)一現(xiàn)有多種準則的努力結(jié)果；1993年開始，2019年出V 1.0, 2019年出V 2.0，2019年6月正式成為國際標準，2019年12月ISO出版發(fā)行ISO/IEC 15408；主要思想和框架取自ITSEC和FC；充分突出“保護輪廓”，將評估過程分“功能”和“保證”兩部分；是目前最全面的評價準則110通用準則（

58、CC ）國際標準化組織統(tǒng)一現(xiàn)有多種準則的努力結(jié)果；信息安全管理標準國際信息安全管理重要標準 了解國外信息安全管理標準發(fā)展概況掌握ISO27001和ISO27002的主要內(nèi)容了解英國和美國等發(fā)達國家的信息安全管理標準了解CoBIT和ITIL的用途我國信息安全管理重要標準 掌握GB/T 20984信息安全風(fēng)險評估規(guī)范的主要內(nèi)容掌握GB/Z 24364信息安全風(fēng)險管理規(guī)范的主要內(nèi)容了解GB/Z 20985信息安全事件管理指南的主要內(nèi)容掌握GB/Z 20986信息安全事件分類分級指南的主要內(nèi)容掌握GB/T 20988信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范的主要內(nèi)容111信息安全管理標準國際信息安全管理重要標準 111等

59、級保護標準等級保護定級指南了解GB/T 22240信息系統(tǒng)安全保護等級定級指南的主要內(nèi)容掌握五個信息系統(tǒng)安全保護等級的定義掌握系統(tǒng)定級的要素、基本方法和流程等級保護基本要求了解GB/T 22239信息系統(tǒng)安全等級保護基本要求的主要內(nèi)容掌握五個信息系統(tǒng)安全保護等級對應(yīng)的安全保護能力級別掌握管理基本要求包含的五個方面以及安全技術(shù)要求包含的五個方面等級保護其它重要標準了解信息系統(tǒng)安全等級保護實施指南的主要內(nèi)容了解信息系統(tǒng)安全等級保護測評準則的主要內(nèi)容112等級保護標準等級保護定級指南112什么是等級保護？中華人民共和國計算機信息系統(tǒng)安全保護條例（1994年國務(wù)院147號令）第九條 計算機信息系統(tǒng)實行

60、安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關(guān)部門制定。GB 17859-2019計算機信息系統(tǒng)安全保護等級劃分準則第一級:用戶自主保護級；第二級:系統(tǒng)審計保護級；第三級:安全標記保護級；第四級:結(jié)構(gòu)化保護級；第五級:訪問驗證保護級；113什么是等級保護？中華人民共和國計算機信息系統(tǒng)安全保護條例CISP課程培訓(xùn)知識總結(jié)（安全技術(shù)）CISP課程培訓(xùn)知識總結(jié)（安全技術(shù)） 主 題一、密碼學(xué)基礎(chǔ)二、密碼學(xué)應(yīng)用三、訪問控制與審計監(jiān)控四、協(xié)議和網(wǎng)絡(luò)架構(gòu)安全五、網(wǎng)絡(luò)安全設(shè)備六、系統(tǒng)安全七、應(yīng)用安全八、惡意代碼及安全漏洞九、安全攻防實踐十、軟件安全開發(fā)115 主 題一、密碼學(xué)基礎(chǔ)1