信息安全保障體系和測(cè)評(píng)認(rèn)證課件

信息安全保障體系和測(cè)評(píng)認(rèn)證信息安全保障體系和測(cè)評(píng)認(rèn)證1我國(guó)國(guó)家領(lǐng)導(dǎo)高度重視信息安全胡錦濤總書記在一份報(bào)告上批示：信息安全事關(guān)國(guó)家安全，必須予以高度重視李嵐清同志在中辦的一份信息通報(bào)上批示：信息安全是危及國(guó)家安全的大事我國(guó)國(guó)家領(lǐng)導(dǎo)高度重視信息安全胡錦濤總書記在一份報(bào)告上批示：信2國(guó)家高度重視信息安全測(cè)評(píng)認(rèn)證工作胡錦濤總書記在一份報(bào)告上批示：信息安全事關(guān)國(guó)家安全，必須予以高度重視。在2000年3月29日的信息網(wǎng)絡(luò)安全協(xié)調(diào)會(huì)議上又強(qiáng)調(diào)“要建設(shè)好信息安全測(cè)評(píng)認(rèn)證中心”吳邦國(guó)同志在一份報(bào)告上批示：信息安全認(rèn)證中心的工作很重要，是確保國(guó)家信息安全，促進(jìn)互聯(lián)網(wǎng)健康發(fā)展的重大舉措，又是當(dāng)前急需解決的緊迫問(wèn)題國(guó)家高度重視信息安全測(cè)評(píng)認(rèn)證工作胡錦濤總書記在一份報(bào)告上批示3國(guó)家信息安全測(cè)評(píng)認(rèn)證管理委員會(huì)中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心及其分支機(jī)構(gòu)授權(quán)測(cè)試實(shí)驗(yàn)室國(guó)家實(shí)驗(yàn)室認(rèn)可程序ISO65、25認(rèn)證申請(qǐng)者授權(quán)質(zhì)管測(cè)試報(bào)告申報(bào)測(cè)試報(bào)告評(píng)估報(bào)告認(rèn)證證書監(jiān)管機(jī)構(gòu)國(guó)家認(rèn)證實(shí)體授權(quán)測(cè)評(píng)機(jī)構(gòu)國(guó)家信息安全測(cè)評(píng)認(rèn)證體系組織結(jié)構(gòu)國(guó)家信息安全測(cè)評(píng)認(rèn)證管理委員會(huì)中國(guó)信息安全產(chǎn)品測(cè)評(píng)授權(quán)測(cè)試實(shí)4認(rèn)證中心的性質(zhì)中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心是經(jīng)中央批準(zhǔn)成立的、代表國(guó)家實(shí)施信息安全測(cè)評(píng)認(rèn)證的職能機(jī)構(gòu)，依據(jù)國(guó)家有關(guān)產(chǎn)品質(zhì)量認(rèn)證和信息安全管理的法律法規(guī)，管理和運(yùn)行國(guó)家信息安全測(cè)評(píng)認(rèn)證體系認(rèn)證中心的性質(zhì)中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心是經(jīng)中央批準(zhǔn)成立的5認(rèn)證中心的主要職能任務(wù)1、對(duì)國(guó)內(nèi)外信息安全設(shè)備和信息技術(shù)實(shí)施安全性檢驗(yàn)、測(cè)試與認(rèn)證2、對(duì)國(guó)內(nèi)信息系統(tǒng)和工程進(jìn)行安全性評(píng)估與認(rèn)證3、對(duì)提供信息安全服務(wù)的單位、人員的資質(zhì)進(jìn)行評(píng)估與認(rèn)證4、承擔(dān)國(guó)家信息安全技術(shù)標(biāo)準(zhǔn)的研究、制訂和信息安全培訓(xùn)5、與各國(guó)相應(yīng)的測(cè)評(píng)認(rèn)證機(jī)構(gòu)進(jìn)行國(guó)際交流與合作認(rèn)證中心的主要職能任務(wù)1、對(duì)國(guó)內(nèi)外信息安全設(shè)備和信息技術(shù)實(shí)61、包過(guò)濾防火墻安全技術(shù)要求2、應(yīng)用級(jí)防火墻安全技術(shù)要求3、信息技術(shù)安全性評(píng)估準(zhǔn)則4、信息系統(tǒng)安全工程能力成熟模型5、信息安全服務(wù)評(píng)價(jià)準(zhǔn)則6、信息安全工程質(zhì)量管理要求7、電信智能卡安全技術(shù)要求8、商用密碼產(chǎn)品安全技術(shù)要求9、網(wǎng)上證券委托系統(tǒng)安全技術(shù)要求10、信息技術(shù)安全性評(píng)估方法等共20多項(xiàng)國(guó)家標(biāo)準(zhǔn)的制定情況1、包過(guò)濾防火墻安全技術(shù)要求國(guó)家標(biāo)準(zhǔn)的制定情況7概述為推動(dòng)信息系統(tǒng)安全測(cè)評(píng)認(rèn)證工作開展，2002年1月，中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心內(nèi)部立項(xiàng)，開始進(jìn)行有關(guān)部門信息系統(tǒng)安全測(cè)評(píng)認(rèn)證的標(biāo)準(zhǔn)，程序，方法和工具的研究工作?！缎畔⑾到y(tǒng)安全通用評(píng)估準(zhǔn)則》作為其中十分重要的工作之一開始展開。經(jīng)過(guò)兩年的工作和實(shí)踐，目前完成了：《信息系統(tǒng)安全保障通用評(píng)估準(zhǔn)則》（征求意見(jiàn)稿）《電子政務(wù)信息系統(tǒng)安全保障評(píng)估準(zhǔn)則》（征求意見(jiàn)稿）概述為推動(dòng)信息系統(tǒng)安全測(cè)評(píng)認(rèn)證工作開展，2002年1月，中8信息系統(tǒng)使命信息系統(tǒng)建模，。。。GB18336idtISO/IEC15408信息技術(shù)安全性評(píng)估準(zhǔn)則IATF信息保障技術(shù)框架ISSE信息系統(tǒng)安全工程SSE-CMM系統(tǒng)安全工程能力成熟度模型BS7799,ISO/IEC17799信息安全管理實(shí)踐準(zhǔn)則其他相關(guān)標(biāo)準(zhǔn)、準(zhǔn)則例如：ISO/IEC15443,COBIT。。。系統(tǒng)認(rèn)證和認(rèn)可標(biāo)準(zhǔn)和實(shí)踐例如：美國(guó)DITSCAP,…中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心相關(guān)文檔和系統(tǒng)測(cè)評(píng)認(rèn)證實(shí)踐技術(shù)準(zhǔn)則（信息技術(shù)系統(tǒng)評(píng)估準(zhǔn)則）管理準(zhǔn)則（信息系統(tǒng)管理評(píng)估準(zhǔn)則）過(guò)程準(zhǔn)則（信息系統(tǒng)安全工程評(píng)估準(zhǔn)則）信息系統(tǒng)安全性評(píng)估準(zhǔn)則信息安全管理和管理能力成熟度模型將GB18336從產(chǎn)品和產(chǎn)品系統(tǒng)擴(kuò)展到信息技術(shù)系統(tǒng)安全性評(píng)估安全工程過(guò)程和能力成熟度模型傳統(tǒng)C&A信息系統(tǒng)認(rèn)證認(rèn)可和實(shí)踐信息系統(tǒng)相關(guān)基礎(chǔ)知識(shí)信息系統(tǒng)安全保障通用評(píng)估準(zhǔn)則

內(nèi)容組成信息系統(tǒng)使命GB18336idtISO/IEC1549信息系統(tǒng)安全保障模型技術(shù)過(guò)程管理人員保證對(duì)象生命周期信息特征計(jì)劃組織開發(fā)采購(gòu)實(shí)施交付運(yùn)行維護(hù)廢棄機(jī)密性完整性可用性信息系統(tǒng)安全保障模型技術(shù)過(guò)程管理人員保生命周期信計(jì)開實(shí)運(yùn)廢機(jī)10信息系統(tǒng)分類和安全保障分級(jí)信息系統(tǒng)使命類信息系統(tǒng)威脅分級(jí)信息系統(tǒng)安全保障級(jí)ISAL+價(jià)值信息特征機(jī)密性完整行可用性產(chǎn)品EAL級(jí)別要求EAL管理能力成熟度級(jí)別ISAM-CML過(guò)程能力成熟度級(jí)別ISAE-CML信息系統(tǒng)安全分類安全要求基線信息系統(tǒng)分類和安全保障分級(jí)信息系統(tǒng)使命類信息系統(tǒng)威脅分級(jí)信息11信息系統(tǒng)使命類分類信息系統(tǒng)使命類信息特征信息和信息系統(tǒng)價(jià)值機(jī)密性完整性可用性IBBB對(duì)信息保障策略的違犯造成的負(fù)面影響和結(jié)果可以忽略。IIBMM對(duì)信息保障策略的違犯會(huì)對(duì)安全、保險(xiǎn)、金融狀況、組織機(jī)構(gòu)的基礎(chǔ)設(shè)施造成不良影響和/或小的破壞。IIIBMH對(duì)信息保障策略的違犯會(huì)產(chǎn)生一定破壞IVBHH對(duì)信息保障策略的違犯會(huì)嚴(yán)重的破壞安全、保險(xiǎn)、金融狀況、組織機(jī)構(gòu)的基礎(chǔ)設(shè)施VMHH對(duì)信息保障策略的違犯會(huì)造成異常嚴(yán)重的破壞信息系統(tǒng)使命類分類信息系統(tǒng)信息特征信息和信息系統(tǒng)價(jià)值機(jī)密性完12信息系統(tǒng)威脅分類威脅級(jí)別威脅說(shuō)明T1無(wú)意的或意外的事件T2被動(dòng)的、無(wú)意識(shí)的占有很少資源并且愿意冒少量風(fēng)險(xiǎn)的對(duì)手T3占有少量資源但是愿意冒很大風(fēng)險(xiǎn)的對(duì)手T4占有中等程度資源的熟練的對(duì)手，愿意冒少量風(fēng)險(xiǎn)T5占有中等程度資源的熟練的對(duì)手，愿意冒較大風(fēng)險(xiǎn)T6占有豐富程度資源的特別熟練的對(duì)手，愿意冒少量風(fēng)險(xiǎn)T7占有豐富程度資源的特別熟練的對(duì)手，愿意冒較大風(fēng)險(xiǎn)信息系統(tǒng)威脅分類威脅級(jí)別威脅說(shuō)明T1無(wú)意的或意外的事件T2被13信息系統(tǒng)安全保障級(jí)信息系統(tǒng)安全保障級(jí)技術(shù)（主要安全產(chǎn)品EAL級(jí)）安全保障管理能力成熟度級(jí)別安全保障過(guò)程能力成熟度級(jí)別EGISAL1EAL1EGISAM-CML1EGISAE-CML1EGISAL2EAL2EGISAM-CML1EGISAE-CML1EGISAL3EAL3EGISAM-CML2EGISAE-CML2EGISAL4EAL4EGISAM-CML3EGISAE-CML3EGISAL5EAL5EGISAM-CML3EGISAE-CML3信息系統(tǒng)安全保障級(jí)信息系統(tǒng)安全保障級(jí)技術(shù)安全保障管理能力成熟14信息系統(tǒng)安全保障

安全管理能力成熟度級(jí)別信息系統(tǒng)安全保障

安全管理能力成熟度級(jí)別15信息系統(tǒng)安全保障

安全過(guò)程能力成熟度級(jí)別信息系統(tǒng)安全保障

安全過(guò)程能力成熟度級(jí)別16信息系統(tǒng)安全認(rèn)證定義：“對(duì)信息系統(tǒng)在其運(yùn)行環(huán)境中的技術(shù)和非技術(shù)環(huán)節(jié)進(jìn)行全面的分析，從而確定與其所聲稱的安全目標(biāo)和需求的符合性…”(PP/ST)通過(guò)在系統(tǒng)生命周期過(guò)程中實(shí)施一整套結(jié)構(gòu)化的活動(dòng)來(lái)實(shí)現(xiàn)識(shí)別并降低系統(tǒng)非授權(quán)訪問(wèn)、修改信息和資源拒絕服務(wù)的風(fēng)險(xiǎn)信息系統(tǒng)安全認(rèn)證定義：“對(duì)信息系統(tǒng)在其運(yùn)行環(huán)境中的技術(shù)和非技17系統(tǒng)認(rèn)可定義：“某個(gè)指定機(jī)構(gòu)根據(jù)認(rèn)證過(guò)程的結(jié)果和其他相關(guān)的考慮對(duì)信息系統(tǒng)的運(yùn)行所作出的管理決定”在實(shí)施恰當(dāng)?shù)陌踩胧┖?，平衡業(yè)務(wù)需求和信息系統(tǒng)的殘余風(fēng)險(xiǎn)將信息系統(tǒng)或網(wǎng)絡(luò)安全和可靠運(yùn)行的責(zé)任指派給了某個(gè)指定的機(jī)構(gòu)系統(tǒng)認(rèn)可定義：“某個(gè)指定機(jī)構(gòu)根據(jù)認(rèn)證過(guò)程的結(jié)果和其他相關(guān)的考18信息系統(tǒng)測(cè)評(píng)認(rèn)證流程申請(qǐng)及文檔審查階段項(xiàng)目啟動(dòng)階段現(xiàn)場(chǎng)核查安全性測(cè)試綜合評(píng)估階段

現(xiàn)場(chǎng)檢測(cè)階段安全認(rèn)證階段

信息系統(tǒng)測(cè)評(píng)認(rèn)證流程申請(qǐng)及文檔審查階段項(xiàng)目啟動(dòng)階段現(xiàn)場(chǎng)核查安19

信息系統(tǒng)安全策略信息系統(tǒng)安全技術(shù)方案信息系統(tǒng)安全管理機(jī)構(gòu)及制度信息系統(tǒng)安全工程過(guò)程信息系統(tǒng)安全審計(jì)與評(píng)估提交的五類文檔：用戶申請(qǐng)書信息系統(tǒng)安全技術(shù)方案信息系統(tǒng)安全管理機(jī)構(gòu)及制度信息系統(tǒng)安全工20問(wèn)題？問(wèn)題？21系統(tǒng)安全保障方案（ISST）系統(tǒng)安全保障方案（ISST）22管理制度描述組織機(jī)構(gòu)描述管理制度及流程描述系統(tǒng)資產(chǎn)描述管理制度描述組織機(jī)構(gòu)描述23工程實(shí)施過(guò)程文檔工程實(shí)施計(jì)劃安全產(chǎn)品及應(yīng)用系統(tǒng)功能及系統(tǒng)測(cè)試紀(jì)錄，選型依據(jù)實(shí)施過(guò)程的重大改進(jìn)或意外事件紀(jì)錄系統(tǒng)聯(lián)調(diào)及測(cè)試報(bào)告系統(tǒng)驗(yàn)收?qǐng)?bào)告工程實(shí)施過(guò)程文檔工程實(shí)施計(jì)劃24系統(tǒng)自我風(fēng)險(xiǎn)評(píng)估文檔信息系統(tǒng)威脅分析；信息系統(tǒng)脆弱性分析；信息系統(tǒng)威脅所產(chǎn)生的后果分析；風(fēng)險(xiǎn)分析；風(fēng)險(xiǎn)處理；系統(tǒng)自我風(fēng)險(xiǎn)評(píng)估文檔信息系統(tǒng)威脅分析；25現(xiàn)場(chǎng)核查管理核查運(yùn)行核查審計(jì)核查現(xiàn)場(chǎng)核查管理核查26網(wǎng)絡(luò)結(jié)構(gòu)探測(cè)；Router,Firewall,IDSOS安全測(cè)試；脆弱性掃描；口令猜解；日志檢查；滲透性測(cè)試安全性測(cè)試網(wǎng)絡(luò)結(jié)構(gòu)探測(cè)；安全性測(cè)試27認(rèn)證與認(rèn)可階段提交認(rèn)證與認(rèn)可批準(zhǔn)包：申請(qǐng)方系統(tǒng)安全計(jì)劃；測(cè)評(píng)認(rèn)證計(jì)劃；安全性測(cè)試計(jì)劃；申請(qǐng)方風(fēng)險(xiǎn)自評(píng)報(bào)告；安全現(xiàn)場(chǎng)核查報(bào)告；安全性測(cè)試報(bào)告；安全性綜合評(píng)估報(bào)告；認(rèn)證與認(rèn)可階段提交認(rèn)證與認(rèn)可批準(zhǔn)包：28 每年進(jìn)行一次管理體系監(jiān)督檢查 每年進(jìn)行一次產(chǎn)品質(zhì)量的監(jiān)督檢測(cè) 每年進(jìn)行一次對(duì)系統(tǒng)運(yùn)行維護(hù)狀態(tài)的監(jiān) 督核查 根據(jù)需要安排系統(tǒng)測(cè)試證后監(jiān)督 每年進(jìn)行一次管理體系監(jiān)督檢查證后監(jiān)督29問(wèn)題？問(wèn)題？30信息安全保障體系和測(cè)評(píng)認(rèn)證信息安全保障體系和測(cè)評(píng)認(rèn)證31我國(guó)國(guó)家領(lǐng)導(dǎo)高度重視信息安全胡錦濤總書記在一份報(bào)告上批示：信息安全事關(guān)國(guó)家安全，必須予以高度重視李嵐清同志在中辦的一份信息通報(bào)上批示：信息安全是危及國(guó)家安全的大事我國(guó)國(guó)家領(lǐng)導(dǎo)高度重視信息安全胡錦濤總書記在一份報(bào)告上批示：信32國(guó)家高度重視信息安全測(cè)評(píng)認(rèn)證工作胡錦濤總書記在一份報(bào)告上批示：信息安全事關(guān)國(guó)家安全，必須予以高度重視。在2000年3月29日的信息網(wǎng)絡(luò)安全協(xié)調(diào)會(huì)議上又強(qiáng)調(diào)“要建設(shè)好信息安全測(cè)評(píng)認(rèn)證中心”吳邦國(guó)同志在一份報(bào)告上批示：信息安全認(rèn)證中心的工作很重要，是確保國(guó)家信息安全，促進(jìn)互聯(lián)網(wǎng)健康發(fā)展的重大舉措，又是當(dāng)前急需解決的緊迫問(wèn)題國(guó)家高度重視信息安全測(cè)評(píng)認(rèn)證工作胡錦濤總書記在一份報(bào)告上批示33國(guó)家信息安全測(cè)評(píng)認(rèn)證管理委員會(huì)中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心及其分支機(jī)構(gòu)授權(quán)測(cè)試實(shí)驗(yàn)室國(guó)家實(shí)驗(yàn)室認(rèn)可程序ISO65、25認(rèn)證申請(qǐng)者授權(quán)質(zhì)管測(cè)試報(bào)告申報(bào)測(cè)試報(bào)告評(píng)估報(bào)告認(rèn)證證書監(jiān)管機(jī)構(gòu)國(guó)家認(rèn)證實(shí)體授權(quán)測(cè)評(píng)機(jī)構(gòu)國(guó)家信息安全測(cè)評(píng)認(rèn)證體系組織結(jié)構(gòu)國(guó)家信息安全測(cè)評(píng)認(rèn)證管理委員會(huì)中國(guó)信息安全產(chǎn)品測(cè)評(píng)授權(quán)測(cè)試實(shí)34認(rèn)證中心的性質(zhì)中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心是經(jīng)中央批準(zhǔn)成立的、代表國(guó)家實(shí)施信息安全測(cè)評(píng)認(rèn)證的職能機(jī)構(gòu)，依據(jù)國(guó)家有關(guān)產(chǎn)品質(zhì)量認(rèn)證和信息安全管理的法律法規(guī)，管理和運(yùn)行國(guó)家信息安全測(cè)評(píng)認(rèn)證體系認(rèn)證中心的性質(zhì)中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心是經(jīng)中央批準(zhǔn)成立的35認(rèn)證中心的主要職能任務(wù)1、對(duì)國(guó)內(nèi)外信息安全設(shè)備和信息技術(shù)實(shí)施安全性檢驗(yàn)、測(cè)試與認(rèn)證2、對(duì)國(guó)內(nèi)信息系統(tǒng)和工程進(jìn)行安全性評(píng)估與認(rèn)證3、對(duì)提供信息安全服務(wù)的單位、人員的資質(zhì)進(jìn)行評(píng)估與認(rèn)證4、承擔(dān)國(guó)家信息安全技術(shù)標(biāo)準(zhǔn)的研究、制訂和信息安全培訓(xùn)5、與各國(guó)相應(yīng)的測(cè)評(píng)認(rèn)證機(jī)構(gòu)進(jìn)行國(guó)際交流與合作認(rèn)證中心的主要職能任務(wù)1、對(duì)國(guó)內(nèi)外信息安全設(shè)備和信息技術(shù)實(shí)361、包過(guò)濾防火墻安全技術(shù)要求2、應(yīng)用級(jí)防火墻安全技術(shù)要求3、信息技術(shù)安全性評(píng)估準(zhǔn)則4、信息系統(tǒng)安全工程能力成熟模型5、信息安全服務(wù)評(píng)價(jià)準(zhǔn)則6、信息安全工程質(zhì)量管理要求7、電信智能卡安全技術(shù)要求8、商用密碼產(chǎn)品安全技術(shù)要求9、網(wǎng)上證券委托系統(tǒng)安全技術(shù)要求10、信息技術(shù)安全性評(píng)估方法等共20多項(xiàng)國(guó)家標(biāo)準(zhǔn)的制定情況1、包過(guò)濾防火墻安全技術(shù)要求國(guó)家標(biāo)準(zhǔn)的制定情況37概述為推動(dòng)信息系統(tǒng)安全測(cè)評(píng)認(rèn)證工作開展，2002年1月，中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心內(nèi)部立項(xiàng)，開始進(jìn)行有關(guān)部門信息系統(tǒng)安全測(cè)評(píng)認(rèn)證的標(biāo)準(zhǔn)，程序，方法和工具的研究工作。《信息系統(tǒng)安全通用評(píng)估準(zhǔn)則》作為其中十分重要的工作之一開始展開。經(jīng)過(guò)兩年的工作和實(shí)踐，目前完成了：《信息系統(tǒng)安全保障通用評(píng)估準(zhǔn)則》（征求意見(jiàn)稿）《電子政務(wù)信息系統(tǒng)安全保障評(píng)估準(zhǔn)則》（征求意見(jiàn)稿）概述為推動(dòng)信息系統(tǒng)安全測(cè)評(píng)認(rèn)證工作開展，2002年1月，中38信息系統(tǒng)使命信息系統(tǒng)建模，。。。GB18336idtISO/IEC15408信息技術(shù)安全性評(píng)估準(zhǔn)則IATF信息保障技術(shù)框架ISSE信息系統(tǒng)安全工程SSE-CMM系統(tǒng)安全工程能力成熟度模型BS7799,ISO/IEC17799信息安全管理實(shí)踐準(zhǔn)則其他相關(guān)標(biāo)準(zhǔn)、準(zhǔn)則例如：ISO/IEC15443,COBIT。。。系統(tǒng)認(rèn)證和認(rèn)可標(biāo)準(zhǔn)和實(shí)踐例如：美國(guó)DITSCAP,…中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心相關(guān)文檔和系統(tǒng)測(cè)評(píng)認(rèn)證實(shí)踐技術(shù)準(zhǔn)則（信息技術(shù)系統(tǒng)評(píng)估準(zhǔn)則）管理準(zhǔn)則（信息系統(tǒng)管理評(píng)估準(zhǔn)則）過(guò)程準(zhǔn)則（信息系統(tǒng)安全工程評(píng)估準(zhǔn)則）信息系統(tǒng)安全性評(píng)估準(zhǔn)則信息安全管理和管理能力成熟度模型將GB18336從產(chǎn)品和產(chǎn)品系統(tǒng)擴(kuò)展到信息技術(shù)系統(tǒng)安全性評(píng)估安全工程過(guò)程和能力成熟度模型傳統(tǒng)C&A信息系統(tǒng)認(rèn)證認(rèn)可和實(shí)踐信息系統(tǒng)相關(guān)基礎(chǔ)知識(shí)信息系統(tǒng)安全保障通用評(píng)估準(zhǔn)則

內(nèi)容組成信息系統(tǒng)使命GB18336idtISO/IEC15439信息系統(tǒng)安全保障模型技術(shù)過(guò)程管理人員保證對(duì)象生命周期信息特征計(jì)劃組織開發(fā)采購(gòu)實(shí)施交付運(yùn)行維護(hù)廢棄機(jī)密性完整性可用性信息系統(tǒng)安全保障模型技術(shù)過(guò)程管理人員保生命周期信計(jì)開實(shí)運(yùn)廢機(jī)40信息系統(tǒng)分類和安全保障分級(jí)信息系統(tǒng)使命類信息系統(tǒng)威脅分級(jí)信息系統(tǒng)安全保障級(jí)ISAL+價(jià)值信息特征機(jī)密性完整行可用性產(chǎn)品EAL級(jí)別要求EAL管理能力成熟度級(jí)別ISAM-CML過(guò)程能力成熟度級(jí)別ISAE-CML信息系統(tǒng)安全分類安全要求基線信息系統(tǒng)分類和安全保障分級(jí)信息系統(tǒng)使命類信息系統(tǒng)威脅分級(jí)信息41信息系統(tǒng)使命類分類信息系統(tǒng)使命類信息特征信息和信息系統(tǒng)價(jià)值機(jī)密性完整性可用性IBBB對(duì)信息保障策略的違犯造成的負(fù)面影響和結(jié)果可以忽略。IIBMM對(duì)信息保障策略的違犯會(huì)對(duì)安全、保險(xiǎn)、金融狀況、組織機(jī)構(gòu)的基礎(chǔ)設(shè)施造成不良影響和/或小的破壞。IIIBMH對(duì)信息保障策略的違犯會(huì)產(chǎn)生一定破壞IVBHH對(duì)信息保障策略的違犯會(huì)嚴(yán)重的破壞安全、保險(xiǎn)、金融狀況、組織機(jī)構(gòu)的基礎(chǔ)設(shè)施VMHH對(duì)信息保障策略的違犯會(huì)造成異常嚴(yán)重的破壞信息系統(tǒng)使命類分類信息系統(tǒng)信息特征信息和信息系統(tǒng)價(jià)值機(jī)密性完42信息系統(tǒng)威脅分類威脅級(jí)別威脅說(shuō)明T1無(wú)意的或意外的事件T2被動(dòng)的、無(wú)意識(shí)的占有很少資源并且愿意冒少量風(fēng)險(xiǎn)的對(duì)手T3占有少量資源但是愿意冒很大風(fēng)險(xiǎn)的對(duì)手T4占有中等程度資源的熟練的對(duì)手，愿意冒少量風(fēng)險(xiǎn)T5占有中等程度資源的熟練的對(duì)手，愿意冒較大風(fēng)險(xiǎn)T6占有豐富程度資源的特別熟練的對(duì)手，愿意冒少量風(fēng)險(xiǎn)T7占有豐富程度資源的特別熟練的對(duì)手，愿意冒較大風(fēng)險(xiǎn)信息系統(tǒng)威脅分類威脅級(jí)別威脅說(shuō)明T1無(wú)意的或意外的事件T2被43信息系統(tǒng)安全保障級(jí)信息系統(tǒng)安全保障級(jí)技術(shù)（主要安全產(chǎn)品EAL級(jí)）安全保障管理能力成熟度級(jí)別安全保障過(guò)程能力成熟度級(jí)別EGISAL1EAL1EGISAM-CML1EGISAE-CML1EGISAL2EAL2EGISAM-CML1EGISAE-CML1EGISAL3EAL3EGISAM-CML2EGISAE-CML2EGISAL4EAL4EGISAM-CML3EGISAE-CML3EGISAL5EAL5EGISAM-CML3EGISAE-CML3信息系統(tǒng)安全保障級(jí)信息系統(tǒng)安全保障級(jí)技術(shù)安全保障管理能力成熟44信息系統(tǒng)安全保障

安全管理能力成熟度級(jí)別信息系統(tǒng)安全保障

安全管理能力成熟度級(jí)別45信息系統(tǒng)安全保障

安全過(guò)程能力成熟度級(jí)別信息系統(tǒng)安全保障

安全過(guò)程能力成熟度級(jí)別46信息系統(tǒng)安全認(rèn)證定義：“對(duì)信息系統(tǒng)在其運(yùn)行環(huán)境中的技術(shù)和非技術(shù)環(huán)節(jié)進(jìn)行全面的分析，從而確定與其所聲稱的安全目標(biāo)和需求的符合性…”(PP/ST)通過(guò)在系統(tǒng)生命周期過(guò)程中實(shí)施一整套結(jié)構(gòu)化的活動(dòng)來(lái)實(shí)現(xiàn)識(shí)別并降低系統(tǒng)非授權(quán)訪問(wèn)、修改信息和資源拒絕服務(wù)的風(fēng)險(xiǎn)信息系統(tǒng)安全認(rèn)證定義：“對(duì)信息系統(tǒng)在其運(yùn)行環(huán)境中的技術(shù)和非技47系統(tǒng)認(rèn)可定義：“某個(gè)指定機(jī)構(gòu)根據(jù)認(rèn)證過(guò)程的結(jié)果和其他相關(guān)的考慮對(duì)信息系統(tǒng)的運(yùn)行所作出的管理決定”在實(shí)施恰當(dāng)?shù)陌踩胧┖螅胶鈽I(yè)務(wù)需求和信息系統(tǒng)的殘余風(fēng)險(xiǎn)將信息系統(tǒng)或網(wǎng)絡(luò)安全和可靠運(yùn)行的責(zé)任指派給了某個(gè)指定的機(jī)構(gòu)系統(tǒng)認(rèn)可定義：“某個(gè)指定機(jī)構(gòu)根據(jù)認(rèn)證過(guò)程的結(jié)果和其他相關(guān)的考48信息系統(tǒng)測(cè)評(píng)認(rèn)