某咨詢-信息安全標(biāo)準(zhǔn)培訓(xùn)

中國銀行業(yè)監(jiān)督管理委員會培訓(xùn)信息安全標(biāo)準(zhǔn)2008年4月3日季瑞華合伙人系統(tǒng)和流程管理提綱信息安全標(biāo)準(zhǔn)概述國際標(biāo)準(zhǔn)–ISO/IEC系列信息安全標(biāo)準(zhǔn)國際標(biāo)準(zhǔn)–COBIT國內(nèi)標(biāo)準(zhǔn)－等級保護(hù)安全標(biāo)準(zhǔn)的總結(jié)問題與回答2提綱信息安全標(biāo)準(zhǔn)概述國際標(biāo)準(zhǔn)–ISO/IEC系列信息安全標(biāo)準(zhǔn)國際標(biāo)準(zhǔn)–COBIT國內(nèi)標(biāo)準(zhǔn)－等級保護(hù)安全標(biāo)準(zhǔn)的總結(jié)問題與回答3信息安全標(biāo)準(zhǔn)概述信息安全的重要性得到廣泛的關(guān)注。與此同時，國際和國內(nèi)的各種官方和科研機(jī)構(gòu)都發(fā)布了大量的安全標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)都是為實現(xiàn)安全目標(biāo)而服務(wù)，并從不同的角度對如何保障組織的信息安全提供了指導(dǎo)。4信息安全標(biāo)準(zhǔn)的演進(jìn)5主要的信息安全標(biāo)準(zhǔn)－國際標(biāo)準(zhǔn)發(fā)布的機(jī)構(gòu)安全標(biāo)準(zhǔn)1ISO（國際標(biāo)準(zhǔn)組織）ISO17799/ISO27001/ISO27002ISO/IEC15408ISO/IEC13335ISO/TR135692ISACA（信息系統(tǒng)審計與控制學(xué)會）COBIT4.13ISSEA（國際系統(tǒng)安全工程協(xié)會）SSE-CMMSystemsSecurityEngineering-CapabilityMaturityModel3.04ISSA（信息系統(tǒng)安全協(xié)會）GAISPVersion3.05ISF(信息安全論壇）TheStandardofGoodPracticeforInformationSecurity6IETF（互聯(lián)網(wǎng)工程任務(wù)小組）各種RFC（RequestforComments）6主要的信息安全標(biāo)準(zhǔn)－國際標(biāo)準(zhǔn)(續(xù)）發(fā)布的機(jī)構(gòu)安全標(biāo)準(zhǔn)7NIST（國家標(biāo)準(zhǔn)和技術(shù)研究所）NIST800系列8DOD(美國國防部)TCSEC（可信計算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)）－彩虹系列9CarnegieMellonSoftwareEngineeringInstitute(SEI)

OperationallyCriticalThreat,Asset,andVulnerabilityEvaluation(OCTAVE)CriteriaVersion2.010OECD（經(jīng)濟(jì)與貿(mào)易發(fā)展組織）GuidelinesfortheSecurityofInformationSystemsandNetworksandAssociatedImplementationPlan11TheOpenGroupManager’sGuidetoInformationSecurity12ITILSecuritymanagement除了上述標(biāo)準(zhǔn)，世界各國的官方機(jī)構(gòu)和行業(yè)監(jiān)管機(jī)構(gòu)還有許多信息安全方面的標(biāo)準(zhǔn)、指引和建議的操作實踐。7主要的信息安全標(biāo)準(zhǔn)－國內(nèi)標(biāo)準(zhǔn)發(fā)布的機(jī)構(gòu)安全標(biāo)準(zhǔn)1全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會等級保護(hù)系列標(biāo)準(zhǔn)信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實施指南其他信息安全標(biāo)準(zhǔn)－截至2007年底，共完成了國家標(biāo)準(zhǔn)59項，還有56項國家標(biāo)準(zhǔn)在研制中。2公安部、安全部、國家保密局、國家密碼管理委員會等部門一系列的信息安全方面的政策法規(guī)如：計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法互聯(lián)網(wǎng)信息服務(wù)管理辦法計算機(jī)信息系統(tǒng)保密管理暫行規(guī)定計算機(jī)軟件保護(hù)條例商用密碼管理條例，等。8在下面的課程中，我們會主要介紹以下標(biāo)準(zhǔn)：ISO系列安全標(biāo)準(zhǔn)，包括ISO17799/ISO27001/ISO27002ISO/IEC15408ISO/IEC13335ISO/TR13569ISACA的COBIT4.1全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會的等級保護(hù)系列標(biāo)準(zhǔn)9提綱信息安全標(biāo)準(zhǔn)概述國際標(biāo)準(zhǔn)–ISO/IEC系列信息安全標(biāo)準(zhǔn)國際標(biāo)準(zhǔn)–COBIT國內(nèi)標(biāo)準(zhǔn)－等級保護(hù)安全標(biāo)準(zhǔn)的比較問題與回答10國際際標(biāo)標(biāo)準(zhǔn)準(zhǔn)化化組組織織簡簡介介國際際標(biāo)標(biāo)準(zhǔn)準(zhǔn)化化組組織織(InternationalOrganizationforStandardization)是是由由多多國國聯(lián)聯(lián)合合組組成成的的非非政政府府性性國國際際標(biāo)標(biāo)準(zhǔn)準(zhǔn)化化機(jī)機(jī)構(gòu)構(gòu)。。到到目目前前為為止止，，ISO有有正正式式成成員員國國120多多個個，，中國國是是其其中中之之一一。。國際際標(biāo)標(biāo)準(zhǔn)準(zhǔn)化化組組織織1946年年成成立立于于瑞瑞士士日日內(nèi)內(nèi)瓦瓦，，負(fù)負(fù)責(zé)責(zé)制制定定在在世世界界范范圍圍內(nèi)內(nèi)通通用用的的國國際際標(biāo)標(biāo)準(zhǔn)準(zhǔn)；；ISO技技術(shù)術(shù)工工作作是是高高度度分分散散的的，，分分別別由由2700多多個個技技術(shù)術(shù)委委員員會會(TC)、、分分技技術(shù)術(shù)委委員員會會(SC)和和工工作作組組(WG)承承擔(dān)擔(dān)。。ISO技技術(shù)術(shù)工工作作的的成成果果是是正正式式出出版版的的國國際際標(biāo)標(biāo)準(zhǔn)準(zhǔn)，，即即ISO標(biāo)標(biāo)準(zhǔn)準(zhǔn)。。ISO在信息安全方方面的標(biāo)準(zhǔn)主主要包括：ISO17799/ISO27001/ISO27002ISO/IEC15408ISO/IEC13335ISO/TR1356911關(guān)于ISO/IEC17799/27001/27002ISO/IEC17799是由國際際標(biāo)準(zhǔn)化組織織（ISO））與IEC（國際電工委委員會）共同同成立的聯(lián)合合技術(shù)委員會會ISO/IECJTC1，以英國標(biāo)準(zhǔn)準(zhǔn)BS7799為藍(lán)本而制定定的一套全面面和復(fù)雜的信信息安全管理理標(biāo)準(zhǔn)。ISO/IEC17799于2000年正式頒布。。ISO/IEC17799標(biāo)準(zhǔn)由兩部分分構(gòu)成:第一部分是信信息安全管理理體系的實施施指南，相當(dāng)當(dāng)于BS7799-1;第二部分是信信息安全管理理體系規(guī)范，，相當(dāng)于BS7799-2。ISO/IEC17799標(biāo)準(zhǔn)的內(nèi)容涉涉及10個領(lǐng)域，36個管理目標(biāo)和和127個控制措施。。2005年ISO17799更名為ISO27001和ISO27002，分別為：ISO/IEC27001:2005Informationtechnology--Securitytechniques--Informationsecuritymanagementsystems–RequirementsISO/IEC27002:2005Informationtechnology--Securitytechniques--Codeofpracticeforinformationsecuritymanagement2007年ISO又頒布了Informationtechnology--Securitytechniques--Requirementsforbodiesprovidingauditandcertificationofinformationsecuritymanagementsystems.12ISO/IEC17799模型ISO/IEC17799標(biāo)準(zhǔn)的的內(nèi)容涉及10個領(lǐng)域，，36個控制目標(biāo)和和127個控控制措施。13ISO17799模型SecurityPolicyAssetClassificationAndControlSecurityOrganization紀(jì)錄和溝通信信息系統(tǒng)政策策和法規(guī)的審審核分配職責(zé)和分分工，第3方授權(quán)，風(fēng)險險/控制的外包資產(chǎn)的保存，，對于敏感/商業(yè)風(fēng)險的區(qū)區(qū)分14ISO17799模型PersonalSecurityComm/OpsManagementPhysicalandEnvironmentSecurity員工聘請，知知識培訓(xùn)，事事故報告等物理安全參數(shù)數(shù)，設(shè)備保護(hù)護(hù)，桌面及電電腦的重要文文件的保護(hù)事故流程，職職責(zé)分離，系系統(tǒng)規(guī)劃，電電子郵件控制制15ISO17799模型AccessControlBusinessContinuityPlanningSystemDevelopmentandMaintenance權(quán)限管理：包包括應(yīng)用系統(tǒng)統(tǒng)，操作系統(tǒng)統(tǒng)，網(wǎng)絡(luò)變更控制，環(huán)環(huán)境劃分，安安全設(shè)備商業(yè)可持續(xù)性性計劃及其框框架，測試計計劃以及計劃劃的維護(hù)和更更新Compliance版權(quán)控制，記記錄和信息的的保存，數(shù)據(jù)據(jù)保護(hù)，公司司制度的服從從16ISO/IEC27001/27002:2005的內(nèi)容總共分成11個領(lǐng)域、39個控制目標(biāo)、133個控制措施。11個領(lǐng)域包括A.1

Security

PolicyA.2

organization

ofinformation

securityA.3Assetmanagement

A.4Human

resources

securityA.5Physical

and

environmental

securityA.6Communicationsand

operationsmanagementA.7Access

controlA.8

Informationsystems

acquisition,

development

and

maintenanceA.8

Informationsecurityincident

managementA.10Business

continuitymanagementA.11Compliance17關(guān)于ISO/IEC1540890年代開始，由由于Internet的日益普及，，信息安全領(lǐng)領(lǐng)域呼吁修改改桔皮書，以以解決商用信信息系統(tǒng)安全全問題。1991年歐盟(EuropeanCommission)頒布了ITSEC(InformationTechnologySecurityEvaluationCriteria,信息技術(shù)安全全評估準(zhǔn)則)。在此基礎(chǔ)上，，美國、加拿拿大、英國、、法國等7國組織聯(lián)合研研制了“信息息技術(shù)評估安安全公共準(zhǔn)則則”（CC：CommonCriteria）。1999年6月ISO通過了ISO/IEC15408安全評估準(zhǔn)則則（ISO/IEC15408:1999SecurityTechniques—EvaluationCriteriaforITSecurity）。目前的最最新版本于2005年發(fā)布。ISO/IEC15408是基于多個標(biāo)標(biāo)準(zhǔn)而產(chǎn)生的的，它的演進(jìn)進(jìn)過程如下圖圖所示：18ISO/IEC15408的內(nèi)容容ISO/IEC15408由以下三部分分組成：第一部分：介介紹和一般模模型第二部分：安安全功能需求求第三部分：安安全認(rèn)證需求求ISO/IEC15408準(zhǔn)則比以往的的其他信息技技術(shù)安全評估估標(biāo)準(zhǔn)更加規(guī)規(guī)范，采用以以下方式定義義：類別（CLASS）；認(rèn)證族（ASSURANCEFAMILY）；認(rèn)證部件（ASSURANCECOMPONENT）；認(rèn)證元素（ASSURANCEELEMENT）。其中類別中有有若干族，族族中有若干部部件，部件中中有若干元素素。19ISO/IEC15408的特點點ISO/IEC15408信息技術(shù)安全全評估準(zhǔn)則中中討論的是TOE（targetofevaluation),即評估對象。。該準(zhǔn)則關(guān)注注于評估對象象的安全功能能，安全功能能執(zhí)行的是安安全策略。ISO/IEC15408定義了安全屬屬性，包括用用戶屬性、客客體屬性、主主體屬性、和和信息屬性。。ISO/IEC15408加強(qiáng)了完整性性和可用性的的防護(hù)措施，，強(qiáng)調(diào)了抗抵抵賴性的安全全要求。ISO/IEC15408還定義了加密密的要求，強(qiáng)強(qiáng)調(diào)對用戶的的隱私保護(hù)。。ISO/IEC15408還討論了某些些故障、錯誤誤和異常的安安全保護(hù)問題題。20ISO/IEC15408的類別ISO/IEC15408中，類別（class)代表最概括的的分類和定義義方式。包括括:安全功能類別別，共11個，分別為為安全審計、、通信、加密密支持、用戶戶數(shù)據(jù)防護(hù)、、標(biāo)識與鑒別別、安全管理理、隱私、安安全功能的防防護(hù)、資源利利用、對評估估對象的訪問問、可信通路路/通道。安全認(rèn)知類別別，共8個，分別為配配置管理、遞遞交和操作、、開發(fā)、指南南文檔、生存存期支持、測測試、脆弱性性評估、認(rèn)證證維護(hù)。評估認(rèn)證級別別類別，共7個，分別為評評估功能測試試、結(jié)構(gòu)測試試、方法測試試和檢查、半半形式設(shè)計和和測試、半形形式驗證設(shè)計計和測試、形形式驗證設(shè)計計和測試。評估類別，共3個，包括2個預(yù)評估類別別和TOE評估（即評估估對象的評估估）。其中預(yù)預(yù)評估類別分分別為：防護(hù)框架評估估（ProtectionProfileevaluation,簡稱PP評估）:評估的一般是是某類安全產(chǎn)產(chǎn)品，如防火火墻等，提出出測評的常為為是行業(yè)組織織；安全目標(biāo)評估估（SecurityTargetevaluation,簡稱ST評估）：評估估的一般是某某一類的特定定產(chǎn)品，如某某品牌的防火火墻，提出測測評的常為廠廠商。21ISO/IEC15408的評估方法對于信息系統(tǒng)統(tǒng)和產(chǎn)品進(jìn)行行安全認(rèn)證ISO/IEC15408通常采用如下下方法進(jìn)行評評估：分析和檢查進(jìn)進(jìn)程與過程檢查進(jìn)程和過過程被應(yīng)用的的情況分析TOE設(shè)計表示一致致性分析TOE設(shè)計表示與需需求的滿足性性驗證分析指南文檔檔分析功能測試試和測試結(jié)果果獨立功能測試試分析脆弱性（（包括漏洞假假說）侵入測試等（TOE是評估對象（（TargetofEvaluation）的縮寫）22關(guān)于ISO/IEC13335ISO/IEC13335InformationTechnology—GuidelinesfortheManagementofITSecurity是一套關(guān)于信信息安全管理理的技術(shù)文件件，共由五個個部分組成，，這五個組成成部分分別在在1996至2001年間發(fā)布布。第一部分分：安全全概念和和模型（（Part1—ConceptsandModelsforITSecurity），發(fā)布布于1996年12月15日。第二部分分：安全全管理和和規(guī)劃（（Part2—ManagingandPlanningITSecurity）），發(fā)布布于1997年12月15日。第三部部分：：安全全管理理技術(shù)術(shù)（Part3——TechniquesfortheManagementofITSecurity），發(fā)發(fā)布于于1998年6月15日。第四部部分：：保護(hù)護(hù)的選選擇（（Part4——SelectionofSafeguards）），發(fā)發(fā)布于于2000年3月1日。第五部部分：：外部部聯(lián)接接的防防護(hù)（（Part5—ManagementGuidanceonNetworkSecurity），發(fā)發(fā)布于于2001年1月2日。其中第第一部部分分分別于于1997年和2004年發(fā)布布了更更新版版本。。23關(guān)于ISO13569ISO13569的全稱稱為ISO/TR13569:2005Financialservices--Informationsecurityguidelines。它它提供了了對于于金融融服務(wù)務(wù)行業(yè)業(yè)機(jī)構(gòu)構(gòu)的信信息安安全程程序開開發(fā)的的指導(dǎo)導(dǎo)方針針。它它包括括了對對制度度，組組織結(jié)結(jié)構(gòu)和和法律律法規(guī)規(guī)等內(nèi)內(nèi)容的的討論論。該標(biāo)準(zhǔn)準(zhǔn)對組組織選選擇和和實施施安全全控制制，和和金融融機(jī)構(gòu)構(gòu)用于于管理理信息息安全全風(fēng)險險的要要素進(jìn)進(jìn)行了了闡述述。ISO13569于1997年首次次發(fā)布布，分分別于于2003年和2005年更新新，目目前的的最新新版本本為2005年的版版本。。24ISO/IEC13569的主主要內(nèi)內(nèi)容ISO/IEC13569是針對對金融融行業(yè)業(yè)的信信息安安全標(biāo)標(biāo)準(zhǔn)，，包括括以下下主要要內(nèi)容容：組織的的IT安全政政策IT安全管管理風(fēng)險分分析和和評估估安全保保護(hù)的的實施施和選選擇IT系統(tǒng)保保護(hù)金融服服務(wù)行行業(yè)專專題，，包括括如銀銀行卡卡、電電子資資金傳傳輸(ElectronicFundTransfer)、支票票、電電子商商務(wù)等等內(nèi)容容；另外，，還包包括如如加密密、審審計、、事件件管理理等專專項討討論。。25提綱信息安安全標(biāo)標(biāo)準(zhǔn)概概述國際標(biāo)標(biāo)準(zhǔn)–ISO/IEC系列信信息安安全標(biāo)標(biāo)準(zhǔn)國際標(biāo)標(biāo)準(zhǔn)–COBIT國內(nèi)標(biāo)標(biāo)準(zhǔn)－－等等級保保護(hù)安全標(biāo)標(biāo)準(zhǔn)的的比較較問題與與回答答26COBIT簡介介COBIT（ControlObjectivesforInformationandrelatedTechnology）是由由信息息系統(tǒng)統(tǒng)審計計與控控制學(xué)學(xué)會ISACA（InformationSystemsAuditandControlAssociation）在1996年所公公布的的控制制框架架；目前已已經(jīng)更更新至至第4.1版;COBIT的主要要目的的是研研究、、發(fā)展展、宣宣傳權(quán)權(quán)威的的、最最新的的國際際化的的公認(rèn)認(rèn)信息息技術(shù)術(shù)控制制目標(biāo)標(biāo)以供供企業(yè)業(yè)經(jīng)理理、IT專業(yè)人人員和和審計計專業(yè)業(yè)人員員日常常使用用。COBIT框架共共有34個IT的流程程，分分成四四個領(lǐng)領(lǐng)域：：PO（計劃與與組織織）、AI（獲取與與實施施）、DS（交付與與支持持）、和和ME（監(jiān)控與與評估估）。27COBIT來源源1992年：ISACF(InformationSystemAuditandControlFoundation)發(fā)起，參閱全全球不不同國國家、政府府、標(biāo)準(zhǔn)組組織的的26份文件件后，基于其中之之18份文件件，研研擬COBIT，同時籌籌組COBIT指導(dǎo)委委員會會(SteeringCommittee)。1996年：COBIT指導(dǎo)委委員會會公布布COBIT第一版版。1998年：COBIT指導(dǎo)委委員會會公布布COBIT第二版版，將將第一一版之之32個高級控控制目目標(biāo)(HighLevelControlObjectives)擴(kuò)充成成34個。2000年：COBIT指導(dǎo)委委員會會公布布COBIT第三版版。2005年：COBIT指導(dǎo)委委員會會公布布COBIT第四版。2007年：發(fā)發(fā)布COBIT4.1版，為為目前前最新新版本本。28COBIT涉及及領(lǐng)域域商業(yè)目標(biāo)及IT治理目標(biāo)效率應(yīng)用系統(tǒng)信息基礎(chǔ)架構(gòu)人力交付與支持監(jiān)控與評估獲得與實施信息IT資源CobiT框架效果保密性完整性可用性合規(guī)性DS1定義和管理服務(wù)水平DS2管理第三方服務(wù)DS3性能管理和容量管理DS4確保服務(wù)的連續(xù)性DS5確保系統(tǒng)安全DS6確定并分配成本DS7教育和培訓(xùn)用戶DS8服務(wù)臺和緊急事件管理DS9配置管理DS10問題管理DS11數(shù)據(jù)管理DS12物理環(huán)境管理DS13運(yùn)營管理ME1監(jiān)控和評價IT績效ME2監(jiān)控和評價內(nèi)部控制ME3確保與法律的符合性ME4提供IT治理P01定義IT戰(zhàn)略計劃P02定義IT信息架構(gòu)P03確定技術(shù)導(dǎo)向P04定義IT過程/組織和關(guān)系P05IT投資管理P06傳遞管理目標(biāo)和方向P07IT人力資源管理P08質(zhì)量管理P09IT風(fēng)險評估及管理P10項目管理AI1識別自動化解決方案AI2獲取并維護(hù)應(yīng)用軟件AI3獲取并維護(hù)技術(shù)基礎(chǔ)設(shè)施AI4保障運(yùn)營和使用AI5獲取IT資源AI6變革管理AI7安裝/授權(quán)解決方案和變更計劃與組織可靠性29COBIT的組組件實施概概要管理層層指引引具體控控制目目標(biāo)構(gòu)架伴隨高高級控控制目目標(biāo)關(guān)鍵職職能和和目標(biāo)標(biāo)說明明關(guān)鍵的的成功功因素素成熟的的模板板審計指指引實施工工具30COBIT框架架的原原理控制領(lǐng)領(lǐng)域(Domains)流程(Processes)活動(Activities/Tasks)人力資資源源應(yīng)用系系統(tǒng)統(tǒng)基礎(chǔ)架架構(gòu)構(gòu)信息息信息技術(shù)資資源可信賴性需需求質(zhì)量需需求求信息處處理理要要求求信息技術(shù)流流程安全性性需求31COBIT框架的原原理有效性應(yīng)以及時、正確、一致及可用的方式與業(yè)務(wù)流程有關(guān)的信息效率通過優(yōu)化（生產(chǎn)率最高且經(jīng)濟(jì)合理）資源使用來交付信息保密性保護(hù)敏感信息免受未授權(quán)訪問完整性信息的正確和完整，并根據(jù)業(yè)務(wù)價值和期望進(jìn)行嚴(yán)正可用性若業(yè)務(wù)流程現(xiàn)在或?qū)懋a(chǎn)生需要，信息是可用的，關(guān)注于保護(hù)所需的資源及相應(yīng)的能力合規(guī)性外部合規(guī)性和內(nèi)部合規(guī)性，滿足業(yè)務(wù)流程必須遵循的法律、法規(guī)及合同要求可靠性為管理者提供適當(dāng)信息，以檢驗管理者的履職程度和職責(zé)可信性需求安全需求質(zhì)量需求信息處理要求IT資源IT流程32COBIT框架的原原理IT流程管理各各種IT資源，以產(chǎn)產(chǎn)生、傳遞遞并存儲可可滿足業(yè)務(wù)務(wù)需求的各各種信息。。CobiT中定義的IT資源包括如如下方面：：應(yīng)用系統(tǒng)：：處理信息息的自動化化信息系統(tǒng)統(tǒng)及相應(yīng)手手冊程序信息：信息息系統(tǒng)輸入入、處理和和輸出的所所有形式的的數(shù)據(jù)，可可以被業(yè)務(wù)務(wù)以任何形形式使用基礎(chǔ)架構(gòu)：：保障應(yīng)用用系統(tǒng)處理理信息所需需的技術(shù)和和設(shè)施（硬硬件、操作作系統(tǒng)、數(shù)數(shù)據(jù)庫管理理系統(tǒng)、網(wǎng)網(wǎng)絡(luò)、多媒媒體，以及及放置上述述設(shè)施所需需的環(huán)境））人員：策劃劃、組織、、采購、實實施、交付付、支持、、監(jiān)控和評評價信息系系統(tǒng)和服務(wù)務(wù)所需的人人員，可以以是內(nèi)部的的也可以是是外部的應(yīng)用系統(tǒng)信息基礎(chǔ)架構(gòu)人員IT資源信息處理要求IT流程33提綱信息安全標(biāo)標(biāo)準(zhǔn)概述國際標(biāo)準(zhǔn)–ISO/IEC系列信息安安全標(biāo)準(zhǔn)國際標(biāo)準(zhǔn)–COBIT國內(nèi)標(biāo)準(zhǔn)－－等級保保護(hù)安全標(biāo)準(zhǔn)的的總結(jié)問題與回答答34全國信息安安全標(biāo)準(zhǔn)化化技術(shù)委員員會簡介中國從1984年開開始就組建建了數(shù)據(jù)加加密技術(shù)委委員會，并并在1997年8月月，將該委委員會改組組為全國信信息技術(shù)標(biāo)標(biāo)準(zhǔn)化分技技術(shù)委員會會，主要負(fù)負(fù)責(zé)制定信信息安全的的國家標(biāo)準(zhǔn)準(zhǔn)。2001年，國家標(biāo)標(biāo)準(zhǔn)化管理理委員會批批準(zhǔn)成立全全國信息安安全標(biāo)準(zhǔn)化化技術(shù)委員員會，簡稱稱“全國安安標(biāo)委”。。標(biāo)準(zhǔn)委員員會的標(biāo)號號是TC260。全國信息安安全標(biāo)準(zhǔn)化化技術(shù)委員員會包括四四個工作組組：信息安全標(biāo)標(biāo)準(zhǔn)體系與與協(xié)調(diào)工作作組PKI和PMI工作作組信息安全評評估工作組組信息安全管管理工作組組截至2007年底，全國國信息安全全標(biāo)準(zhǔn)化技技術(shù)委員會會已經(jīng)完成成了國家標(biāo)標(biāo)準(zhǔn)59項，還有56項國家標(biāo)準(zhǔn)準(zhǔn)在研制中中。35等級保護(hù)是是什么？等級保護(hù)基基本概念：：信息系統(tǒng)統(tǒng)安全等級級保護(hù)是指指對信息安安全實行等等級化保護(hù)護(hù)和等級化化管理根據(jù)信息系系統(tǒng)應(yīng)用業(yè)業(yè)務(wù)重要程程度及其實實際安全需需求，實行行分級、分分類、分階階段實施保保護(hù)，保障障信息安全全和系統(tǒng)安安全正常運(yùn)運(yùn)行，維護(hù)護(hù)國家利益益、公共利利益和社會會穩(wěn)定。等級保護(hù)的的核心是對對信息系統(tǒng)統(tǒng)特別是對對業(yè)務(wù)應(yīng)用用系統(tǒng)安全全分等級、、按標(biāo)準(zhǔn)進(jìn)進(jìn)行建設(shè)、、管理和監(jiān)監(jiān)督。國家家對信息安安全等級保保護(hù)工作運(yùn)運(yùn)用法律和和技術(shù)規(guī)范范逐級加強(qiáng)強(qiáng)監(jiān)管力度度。突出重重點，保障障重要信息息資源和重重要信息系系統(tǒng)的安全全。36等級保護(hù)法法律和政策策依據(jù)《中華人民民共和國計計算機(jī)信息息系統(tǒng)安全全保護(hù)條例例》第二章章安全保護(hù)護(hù)制度部分分規(guī)定：“計算機(jī)信信息系統(tǒng)實實行安全等等級保護(hù)。。安全等級級的劃分標(biāo)標(biāo)準(zhǔn)和安全全等級保護(hù)護(hù)的具體辦辦法，由公公安部會同同有關(guān)部門門制定?！薄薄队嬎銠C(jī)信信息系統(tǒng)安安全保護(hù)等等級劃分準(zhǔn)準(zhǔn)則》GB17859-1999（（技術(shù)法規(guī)））規(guī)定：“國家對信息息系統(tǒng)實行行五級保護(hù)護(hù)?！薄秶倚畔⑾⒒I(lǐng)導(dǎo)小小組關(guān)于加加強(qiáng)信息安安全保障工工作的意見見》重點強(qiáng)強(qiáng)調(diào)：“實行信息安安全等級保保護(hù)制度，，重點保護(hù)護(hù)基礎(chǔ)信息息網(wǎng)絡(luò)和重重要信息系系統(tǒng)?！?7等級保護(hù)的的分級等級保護(hù)分分為5級管理制度度：第一級，自自主保護(hù)級級：信息系統(tǒng)統(tǒng)受到破壞壞后，會對對公民，法法人和其他他組織的合合法權(quán)益造造成損害，，但不損害害國家安全全，社會秩秩序和公共共利益。第二級，指指導(dǎo)保護(hù)級級：信息系統(tǒng)統(tǒng)受到破壞壞后，會對對公民，法法人和其他他組織的合合法權(quán)益造造成嚴(yán)重?fù)p損害，或者者對社會秩秩序和公共共利益造成成損害，但但不損害國國家安全。。第三級，監(jiān)監(jiān)督保護(hù)級級：信息系統(tǒng)統(tǒng)受到破壞壞后，會對對社會秩序序和公共利利益造成嚴(yán)嚴(yán)重?fù)p害，，或者對國國家安全造造成損害。。第四級，強(qiáng)強(qiáng)制保護(hù)級級：信息系統(tǒng)統(tǒng)受到破壞壞后，會對對社會秩序序和公共利利益造成嚴(yán)嚴(yán)重?fù)p害，，或者對國國家安全造造成嚴(yán)重?fù)p損害。第五級，專專控保護(hù)級級：信息系統(tǒng)統(tǒng)受到破壞壞后，會對對國家安全全造成特別別嚴(yán)重?fù)p害害。38等級保護(hù)定定級要素受侵害的客客體公民，法人人和其他組組織的合法法權(quán)益社會秩序，，公共利益益國家安全對客體的侵侵害程度造成一般損損害造成嚴(yán)重?fù)p損害造成特別嚴(yán)嚴(yán)重?fù)p害39安全保護(hù)要要素與等級級關(guān)系業(yè)務(wù)信息安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級40等級保護(hù)監(jiān)監(jiān)管級別與與等級對應(yīng)應(yīng)情況等級對象侵害客體侵害程度監(jiān)管強(qiáng)度第一級一般系統(tǒng)合法權(quán)益損害自主保護(hù)第二級合法權(quán)益嚴(yán)重?fù)p害指導(dǎo)社會秩序和公共利益損害第三級重要系統(tǒng)社會秩序和公共利益嚴(yán)重?fù)p害監(jiān)督檢查國家安全損害第四級社會秩序和公共利益特別嚴(yán)重?fù)p害強(qiáng)制監(jiān)督檢查國家安全嚴(yán)重?fù)p害第五級極端重要系統(tǒng)國家安全特別嚴(yán)重?fù)p害專門監(jiān)督檢查41等級保護(hù)定定級流程信息系統(tǒng)安安全包括業(yè)業(yè)務(wù)信息安安全和系統(tǒng)統(tǒng)服務(wù)安全全，與之相相關(guān)的受侵侵害客體和和對客體得得侵害程度度可能不同同，因此信信息系統(tǒng)定定級也應(yīng)由由業(yè)務(wù)信息息安全和系系統(tǒng)服務(wù)安安全兩方面面確定。具具體流程為為：確定業(yè)務(wù)信息安全受到破壞時所侵害的客體綜合評定對客體的侵害程度確定定級對象業(yè)務(wù)信息安全等級定級對象的安全保護(hù)等級確定系統(tǒng)服務(wù)安全受到破壞時所侵害的客體綜合評定對客體的侵害程度系統(tǒng)服務(wù)安全等級42等級保護(hù)定定級對象確確定作為定級對對象的信息息系統(tǒng)應(yīng)具具有如下基基本特征：：具有唯一確確定的安全全責(zé)任單位位作為定級對對象的信息息系統(tǒng)應(yīng)能能夠唯一地地確定其安安全責(zé)任單單位，這個個安全責(zé)任任單位就是是負(fù)責(zé)等級級保護(hù)工作作部署、實實施的單位位，也是完完成等級保保護(hù)備案和和接受監(jiān)督督檢查的直直接責(zé)任單單位。具有信息系系統(tǒng)的基本本要素作為定級對對象的信息息系統(tǒng)應(yīng)該該是由相關(guān)關(guān)的和配套套的設(shè)備、、設(shè)施按照照一定的應(yīng)應(yīng)用目標(biāo)和和規(guī)則組合合而成的有有形實體。。應(yīng)避免將將某個單一一的系統(tǒng)組組件，如單單臺的服務(wù)務(wù)器、終端端或網(wǎng)絡(luò)設(shè)設(shè)備等作為為定級對象象。承載單一或或相對獨立立的業(yè)務(wù)應(yīng)應(yīng)用定級對象承承載“相對對獨立”的的業(yè)務(wù)應(yīng)用用是指其中中的一個或或多個業(yè)務(wù)務(wù)應(yīng)用的主主要業(yè)務(wù)流流程、部分分業(yè)務(wù)功能能獨立，同同時與其他他信息系統(tǒng)統(tǒng)的業(yè)務(wù)應(yīng)應(yīng)用有少量量的數(shù)據(jù)交交換，定級級對象可能能會與其他他業(yè)務(wù)應(yīng)用用共享一些些設(shè)備，尤尤其是網(wǎng)絡(luò)絡(luò)傳輸設(shè)備備。“相對對獨立”的的業(yè)務(wù)應(yīng)用用并不意味味著整個業(yè)業(yè)務(wù)流程，，可以使完完整的業(yè)務(wù)務(wù)流程的一一部分。43等級保護(hù)的的基本要求求信息系統(tǒng)安安全等級保保護(hù)應(yīng)依據(jù)據(jù)信息系統(tǒng)統(tǒng)的安全保保護(hù)等級情情況保證它它們具有相相應(yīng)等級的的基本安全全保護(hù)能力力，不同安全保保護(hù)等級的的信息系統(tǒng)統(tǒng)要求具有有不同的安安全保護(hù)能能力?；景踩蠓譃榛炯夹g(shù)要要求和基本管理要要求兩大類。二二者都是確確保信息系系統(tǒng)安全不不可分割的的兩個部分分。信息系統(tǒng)具具有的整體體安全保護(hù)護(hù)能力通過過不同組件件實現(xiàn)基本本安全要求求來保證。。除了保證系系統(tǒng)的每個個組件滿足足基本安全全要求外，，還要考慮慮組件之間間的相互關(guān)關(guān)系，來保保證信息系系統(tǒng)的整體體安全保護(hù)護(hù)能力。44等級保護(hù)的的基本要求求（續(xù)））基本技術(shù)要求基本管理要求與信息系統(tǒng)提供的技術(shù)安全機(jī)制有關(guān)；主要通過在信息系統(tǒng)中部署軟硬件并正確的配置其安全功能來實現(xiàn)。與信息系統(tǒng)中各種角色參與的活動有關(guān)；主要通過控制各種角色的活動，從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來實現(xiàn)?；炯夹g(shù)要求從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全幾個層面提出。從安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理幾個方面提出。45基本技術(shù)要要求的類型型基本技術(shù)要要求分為三三種類型：：保護(hù)數(shù)據(jù)在在存儲、傳傳輸、處理理過程中不不被泄漏、、破壞和免免受未授權(quán)權(quán)的修改的的信息安全全類要求（（簡記為S）；保護(hù)系統(tǒng)連連續(xù)正常的的運(yùn)行，免免受對系統(tǒng)統(tǒng)的未授權(quán)權(quán)修改、破破壞而導(dǎo)致致系統(tǒng)不可可用的服務(wù)務(wù)保證類要要求（簡記記為A）；通用安全保保護(hù)類要求求（簡記為為G）。46等級保護(hù)-實施指南南基本原則：：等級保護(hù)護(hù)的核心是是對信息系系統(tǒng)分等級級、按標(biāo)準(zhǔn)準(zhǔn)進(jìn)行建設(shè)設(shè)、管理和和監(jiān)督。等等級保護(hù)在在實施過程程中應(yīng)遵循循以下基本本原則：自主保護(hù)原原則：由各各主管部門門和運(yùn)營使使用單位按按照國家相相關(guān)法規(guī)和和標(biāo)準(zhǔn)，自自主確定信信息系統(tǒng)的的安全等級級自行組織織實施安全全保同步建設(shè)原則則：信息系統(tǒng)統(tǒng)在新建、改改建、擴(kuò)建時時應(yīng)當(dāng)同步規(guī)規(guī)劃和設(shè)計安安全方案，投投入一定比例例的資金建設(shè)設(shè)信息安全設(shè)設(shè)施，保障信信息安全與信信息化建設(shè)相相適應(yīng)。重點保護(hù)護(hù)原則：：根據(jù)據(jù)信息系系統(tǒng)的重重要程度度、業(yè)務(wù)務(wù)特點，，通過劃劃分不同同安全等等級的信信息系統(tǒng)統(tǒng)，實現(xiàn)現(xiàn)不同強(qiáng)強(qiáng)度的安安全保護(hù)護(hù)，集中中資源優(yōu)優(yōu)先保護(hù)護(hù)涉及核核心業(yè)務(wù)務(wù)或關(guān)鍵鍵信息資資產(chǎn)的信信息系統(tǒng)統(tǒng)。適當(dāng)調(diào)整整原則：：要跟蹤蹤信息系系統(tǒng)的變變化情況況，調(diào)整整安全保保護(hù)措施施。因為為信息系系統(tǒng)的應(yīng)應(yīng)用類型型、范圍圍等條件件的變化化及其他他原因，，安全等等級需要要變更的的，應(yīng)當(dāng)當(dāng)根據(jù)等等級保護(hù)護(hù)的管理理規(guī)范和和技術(shù)標(biāo)標(biāo)準(zhǔn)的要要求，重重新確定定信息系系統(tǒng)的安安全等級級，根據(jù)據(jù)信息系系統(tǒng)安全全等級的的調(diào)整情情況，重重新實施施安全保保護(hù)。47等級保護(hù)護(hù)-實施施指南角色和職職責(zé)：對一個信信息系統(tǒng)統(tǒng)實施等等級保護(hù)護(hù)的過程程中涉及及到各類類組織和和人員，，他們將將會參與與不同的的或相同同的活動動，等級保護(hù)護(hù)標(biāo)準(zhǔn)將將參與等等級保護(hù)護(hù)過程的的各類組組織和人人員劃分分為主要要角色和和次要角角色。其其中：主要角色色將參與與等級保保護(hù)實施施過程的的所有活活動，次要角色色將參與與等級保保護(hù)實施施過程的的某一個個或多個個活動。。主要角色色是指信信息系統(tǒng)統(tǒng)主管部部門和信信息系統(tǒng)統(tǒng)運(yùn)營、、使用單單位；次要角色色是指信信息系統(tǒng)統(tǒng)安全服服務(wù)商、、信息安安全監(jiān)管管機(jī)構(gòu)、、安全測測評機(jī)構(gòu)構(gòu)和安全全產(chǎn)品提提供商。48等級保護(hù)護(hù)-實施施的基本本過程系統(tǒng)定級級安全規(guī)劃劃設(shè)計安全實施施安全運(yùn)維維系統(tǒng)終止止重大變更更局部調(diào)整整49等級保護(hù)護(hù)實施過過程的主主要活動動50等級保護(hù)護(hù)過程與與信息系系統(tǒng)生命命周期對對應(yīng)關(guān)系系51提綱信息安全全標(biāo)準(zhǔn)概概述國際標(biāo)準(zhǔn)準(zhǔn)–ISO/IEC系列信息息安全標(biāo)標(biāo)準(zhǔn)國際標(biāo)準(zhǔn)準(zhǔn)–COBIT國內(nèi)標(biāo)準(zhǔn)準(zhǔn)－等等級保護(hù)護(hù)安全標(biāo)準(zhǔn)準(zhǔn)的總結(jié)結(jié)問題與回回答52信息安全全標(biāo)準(zhǔn)總總結(jié)世界各國國近幾年年來發(fā)布布了各種種各樣的的信息安安全標(biāo)準(zhǔn)準(zhǔn)。各種標(biāo)準(zhǔn)準(zhǔn)的對象象、目的的和范圍圍都有所所不同。。各個標(biāo)準(zhǔn)準(zhǔn)之間盡盡管側(cè)重重點不同同，但原原則上也也有很多多共同之之處：基于風(fēng)險險，即以以信息安安全風(fēng)險險為主要要的探討討對象，，為組織織如何管管理信息息安全風(fēng)風(fēng)險提供供指導(dǎo)；；提供有關(guān)關(guān)安全控控制的操操作實踐踐；各個標(biāo)準(zhǔn)準(zhǔn)建議的的操作實實踐本身身基本沒沒有沖突突。53關(guān)注的安安全領(lǐng)域域安全標(biāo)準(zhǔn)關(guān)注的安全領(lǐng)域安全管理組件安全原則概括性的安全控制詳細(xì)的控制活動安全模型或方法論ISO/IEC

17799√ISO/IEC

13335√√√√ISO/TR13569√√ISO/IEC15408√√COBIT√√√等級保護(hù)√√√54關(guān)注的信信息技術(shù)術(shù)資源安全標(biāo)準(zhǔn)關(guān)注的信息技術(shù)資源人員People應(yīng)用程序Applications技術(shù)Technology設(shè)施Facilities數(shù)據(jù)DataISO/IEC

17799＋＋＋＋OISO/IEC

13335＋＋＋＋＋I(xiàn)SO/TR13569＋＋＋＋OISO/IEC15408＋＋＋O＋COBIT＋＋＋＋＋等級保護(hù)O＋＋＋O注釋：＋：較多多描述O:中等詳細(xì)細(xì)程度－－：：較少描描述55認(rèn)證安全標(biāo)準(zhǔn)認(rèn)證信息ISO/IEC

17799本身不提供認(rèn)證，但可以作為BS7799的認(rèn)證參考指引。ISO/IEC

13335不提供認(rèn)證。ISO/TR13569不提供認(rèn)證。ISO/IEC15408為安全產(chǎn)品和系統(tǒng)提供認(rèn)證標(biāo)準(zhǔn)。COBIT不提供認(rèn)證。等級保護(hù)不適用。56提綱信息安全全標(biāo)準(zhǔn)概概述國際標(biāo)準(zhǔn)準(zhǔn)–ISO/IEC系列信息息安全標(biāo)標(biāo)準(zhǔn)國際標(biāo)準(zhǔn)準(zhǔn)–COBIT國內(nèi)標(biāo)準(zhǔn)準(zhǔn)－等等級保護(hù)護(hù)安全標(biāo)準(zhǔn)準(zhǔn)的總結(jié)結(jié)問題與回回答57?2008普華永道道版權(quán)所所有。「「普華永永道」乃乃指PricewaterhouseCoopers旗下之中中國內(nèi)地地機(jī)構(gòu)，，或視乎乎上文下下理之含含義，泛泛指PricewaterhouseCoopersInternationalLimited之成員機(jī)機(jī)構(gòu)網(wǎng)絡(luò)絡(luò)，而其其中每個個成員均均為個別別及獨立立之法律律實體。。*connectedthinking為PricewaterhouseCoopers之商標(biāo)標(biāo)。謝謝大大家?。⌒畔舶踩珮?biāo)標(biāo)準(zhǔn)2008年4月3日季瑞華華合伙人人系系統(tǒng)和和流程程管理理william.gee@中國銀銀行業(yè)業(yè)監(jiān)督督管理理委員員會培培訓(xùn)9、靜夜四無無鄰，荒居居舊業(yè)貧。。。12月-2212月-22Tuesday,December13,202210、雨中黃黃葉樹，，燈下白白頭人。。。22:18:3322:18:3322:1812/13/202210:18:33PM11、以我我獨沈沈久，，愧君君相見見頻。。。12月月-2222:18:3322:18Dec-2213-Dec-2212、故人人江海海別，，幾度度隔山山川。。。22:18:3322:18:3322:18Tuesday,December13,202213、乍見翻疑夢夢，相悲各問問年。。12月-2212月-2222:18:3322:18:33December13,202214、他鄉(xiāng)生白白發(fā)，舊國國見青山。。。13十二二月202210:18:33下下午22:18:3312月-2215、比不不了得得就不不比，，得不