信息安全管理成為信息安全保障的熱點

風(fēng)險評估的國際動態(tài)匯報要點信息安全管理成為信息安全保障的熱點泰德帶來的啟示風(fēng)險評估和等級保護的關(guān)系信息安全管理成為

信息安全保障的熱點ITIS$！信息就是財富,安全才有價值。CI:CriticalInfrastructureCIP:CriticalInfrastructureProtectionCII:CriticalInformation

Infrastructure.CIIP:CriticalInformation

InfrastructureProtection技術(shù)提供安全保障功能，但不是安全保障的全部提高人的安全意識，技術(shù)、管理兩手抓成為國際共識。標(biāo)準(zhǔn)化組織和行業(yè)團體抓緊制定管理標(biāo)準(zhǔn)ISO13335正在重組修改正在修訂17799BS7799-2成為國際標(biāo)準(zhǔn)正在討論NIST在聯(lián)邦I(lǐng)T系統(tǒng)認(rèn)證認(rèn)可的名義下提出大量規(guī)范SP800-18《IT系統(tǒng)安全計劃開發(fā)指南》（1998年12月）SP800-26《IT系統(tǒng)安全自評估指南》（2001年11月）SP800-30《IT系統(tǒng)風(fēng)險管理指南》（2002年1月發(fā)布，2004年1月21日修訂）SP800-37《聯(lián)邦I(lǐng)T系統(tǒng)認(rèn)證認(rèn)可指南》（2002年9月，2003年7月，2004年5月最后文本）FIPS199《聯(lián)邦信息和信息系統(tǒng)的安全分類標(biāo)準(zhǔn)》（草案第一版）（2003年12月）SP800-53《聯(lián)邦信息系統(tǒng)安全控制》（2003年8月31日發(fā)布草案）SP800-53A《聯(lián)邦信息系統(tǒng)安全控制有效性檢驗技術(shù)和流程》（計劃2003至2004年出版）SP800-60《信息和信息類型與安全目標(biāo)及風(fēng)險級別對應(yīng)指南》（2004年3月草案2.0版)ManagingEnterpriseRiskandAchievingMoreSecureInformationSystemsinvolves—Categorizing(enterpriseinformationandinformationsystems)Selecting(appropriatesecuritycontrols)Refining(securitycontrolsthroughariskassessment)Documenting(securitycontrolsinasystemsecurityplan)Implementing(securitycontrolsinnewandlegacysystems)Assessing(theeffectivenessofsecuritycontrols)Determining(enterprise-levelriskandriskacceptability)Authorizing(informationsystemsforprocessing)Monitoring(securitycontrolsonanongoingbasis)

國際信息系統(tǒng)審計與控制協(xié)會

(ISACA)

提出：1.ISRiskAssessment,effective1July20022.DigitalSignatures,effective1July20023.IntrusionDetection,effective1August20034.VirusesandotherMaliciousLogic,effective1August20035.ControlRiskSelf-assessment,effective1August20036.Firewalls,effective1August20037.IrregularitiesandIllegalActsEffective1November20038.SecuurityAssessment—PenetrationTestingandVulnerabilityAnalysis,effective1September2004提出《信息和相關(guān)技術(shù)的控制目標(biāo)》(CoBIT)CoBIT開發(fā)和推廣了第三版，CoBIT起源于組織為達到業(yè)務(wù)目標(biāo)所需的信息這個前提

CoBIT鼓勵以業(yè)務(wù)流程為中心，實行業(yè)務(wù)流程負責(zé)制CoBIT還考慮到組織對信用、質(zhì)量和安全的需要它提供了組織用于定義其對IT業(yè)務(wù)要求的幾條信息準(zhǔn)則：效率、效果、可用性、完整性、保密性、可靠性和一致性。CoBIT進一步把IT分成4個領(lǐng)域計劃和組織，獲取和運用，交付和支持，監(jiān)控和評價。共計34個IT業(yè)務(wù)流程。其中3個與信息安全直接密切相關(guān)的業(yè)務(wù)流程是：計劃和組織流程9——評估風(fēng)險：傳遞和支持流程4——確保連貫的服務(wù)；傳遞和支持流程5——保證系統(tǒng)安全。CoBIT為正在在尋求求控制制實施施最佳佳實踐踐的管管理者者和IT實施人人員提提供了了超過過300個詳細細的控控制目目標(biāo)，，以及及建立立在這這些目目標(biāo)上上的廣廣泛的的行動動指南南。后后者是是用來來評估估和審審計對對IT流程控控制和和治理理的程程度。。國際CIIP手冊(2004)PartIIAnalysisofMethodsandModelsforCIIAssessment1SectorAnalysis2InterdependencyAnalysis3RiskAnalysis4ThreatAssessment5VulnerabilityAssessment6ImpactAssessment7SystemAnalysis2002年版TechnicalIT-SecurityModelsRiskAnalysisMethodology(forITSystems)InfrastructureRiskAnalysisModel(IRAM)Leontief-BasedModelofRiskinComplexInterconnectedInfrastructuresSectorandLayerModel,SectorAnalysis,ProcessandTechnologyAnalysis,DimensionalInterdependencyAnalysis.泰德帶帶來的的啟示示風(fēng)險三三角形形風(fēng)險資產(chǎn)威脅脆弱性性泰德眼眼中的的InformationSecurityGovernance標(biāo)準(zhǔn)體體系（ISMS）BS7799Part2CorporateGovernancePLANDOACTCHECK風(fēng)險管理處理系統(tǒng)控制內(nèi)部審計功能ISO/IEC17799ISMSStandardsISO/IEC17799andBS7799-2SecurityprocessesandcontrolcompliancestatementsControlsandcontrolimplementationadviceControlsNON-MANDATORYStatementsRiskassessmentAudit/reviewsMANDATORYStatementsRiskassessment,treatmentandmanagementComplianceaudit/reviews(SHALLstatements)GovernanceprinciplesISMSSpecificationsISMSStandardsManagementsystemspecs,guidance&auditingBS7799Part2ISMSGuidelines(riskassessment,selectionofcontrols)GMITS/MICTSISO/IEC18044IncidenthandlingPD3000seriesonriskandselectionofcontrolsISMSControlCataloguesISO/IEC17799Managementsystemcertificationandaccreditationstandards(auditingprocess,proceduresetc)ISOGuide62EA7/03EN45013EN45012ISO19011ISO9001NationalschemesandstandardsProductStandardsTechnicalimplementationandspecificationstandardsEncryptionAuthenticationDigitalsignaturesKeymanagementNon-repudiationITnetworksecurityTPPservicesTimestampingAccesscontrolBiometricsCardsProductandproductsystemtestingandevaluationISO/IEC15408EvaluationcriteriaProtectionprofilesISMSStandardsBS7799-2:2002PLANDOACTCHECKPDCAModelDesignISMSImplement&useISMSMonitor&reviewISMSMaintain&improveISMSRiskbasedcontinualimprovementframeworkforinformationsecuritymanagementISO/IEC17799新老版版本對對比SecuritypolicySecurityorganisationAssetclassification&controlPersonnelsecurityPhysical&environmentalsecurityCommunications&operationsmanagementAccesscontrolSystemsdevelopment&maintenanceBusinesscontinuityCompliance2000versionSecuritypolicyOrganisinginformationsecurityAssetmanagementHumanresourcessecurityPhysical&environmentalsecurityCommunications&operationsmanagementAccesscontrolInformationsystemsacquisition,developmentandmaintenance

BusinesscontinuitymanagementComplianceInformationsecurityincidentmanagementnewversionSecuritypolicyOrganisinginformationsecurityAssetmanagementHumanresourcessecurityPhysical&environmentalsecurityCommunications&operationsmanagementAccesscontrolInformationsystemsacquisition,developmentandmaintenance

BusinesscontinuitymanagementComplianceInformationsecurityincidentmanagementnewversionISMSStandardsRevisionofISO/IEC17799:2000SatisfyrequirementControl(plussupportingtext)Staterequirement2000editionControlObjectiveControlImplementationguidanceOtherinformationRevisededitionControlObjective新老版版本變變化ISO/IEC17799neweditionISO/IEC17799oldedition9oldcontrolsdeleted16newcontrolsadded118controlsremaining老版本本:包含10個控制制要項項，36個控控制制目目標(biāo)標(biāo)，，127個控控制制措措施施新版版本本:11個39個134個風(fēng)險險評評估估如如何何貫貫穿穿于于安安全全管管理理BS7799-2:2002設(shè)計ISMSImplementandusetheISMSMonitoringandreviewtheISMSImproveandupdatetheISMS計劃DOCHECKACTISMS定義ISMS的執(zhí)行范圍和政策執(zhí)行風(fēng)險評估對風(fēng)險評估處理作出決定

選擇控制ISMSStandardsBS7799-2:2002DesigntheISMS執(zhí)行和使用ISMSMonitoringandreviewtheISMSImproveandupdatetheISMSPLAN行動CHECKACTISMS執(zhí)行風(fēng)險評估處理計劃執(zhí)行控制執(zhí)行意識/培訓(xùn)將ISMS放到

操作使用中ISMSStandardsBS7799-2:2002DesigntheISMSImplementandusetheISMS監(jiān)控和檢查ISMSImproveandupdatetheISMSPLANDO檢查ACTISMS執(zhí)行監(jiān)控進程執(zhí)行定期檢查

檢查剩余風(fēng)險和可接受的風(fēng)險內(nèi)部審計ISMSStandardsBS7799-2:2002DesigntheISMSImplementandusetheISMSMonitoringandreviewtheISMS改進和升級ISMSPLANDOCHECKACTISMS實現(xiàn)改進矯正性和預(yù)防性的活動傳達結(jié)果

檢查改進達到的目標(biāo)ISMSAssetsBusinessprocessesInformation

PeopleServicesICTPhysicallocationApplications

assetdirectoryAssetsCorporateimagePeopleInformation/informationsystemsProcessesProducts/servicesApplicationsICTPhysicalISO/IEC177997.1.1InventoryofassetsISMSRisksAssetthreats&vulnerabilitiesAssetvalue&utility

assetdirectoryAssetsCorporateimagePeopleInformation/informationsystemsProcessesProducts/servicesApplicationsICTPhysicalRisktreatmentRisks&impactsRisktreatment風(fēng)險險等等級級不可容忍的風(fēng)險可容忍的風(fēng)險很少發(fā)生業(yè)務(wù)暴露持續(xù)的業(yè)務(wù)暴露對業(yè)務(wù)影響的因果關(guān)系較小對業(yè)務(wù)產(chǎn)生災(zāi)難性影響的因果關(guān)系業(yè)務(wù)務(wù)影影響響低(可忽忽略略,無關(guān)關(guān)緊緊要要,為不不足足道道,無須須重重視視)中低低(值得得注注意意,相當(dāng)當(dāng)可可觀觀但但不不是是主主要要的的)中(重要要,主要要)中高高(嚴(yán)重重危危險險,潛在在災(zāi)災(zāi)難難)高(破壞壞性性的的,總體體失失靈靈,完全全停停頓頓)保密性要求(C)資產(chǎn)價值分級描述1–低可公開非敏感信息和信息處理設(shè)施及系統(tǒng)資源，可以公開.。2–中僅供內(nèi)部使用或限制使用非敏感的信息僅限內(nèi)部使用，即不能公開或限制信息或信息處理設(shè)施及系統(tǒng)資源可在組織內(nèi)部根據(jù)業(yè)務(wù)需要的約束來使用。3–高秘密或絕密敏感的信息或信息處理設(shè)施和系統(tǒng)資源，只能根據(jù)需要（need-to-know）或嚴(yán)格依據(jù)工作需要。資產(chǎn)產(chǎn)分分級級完整性要求(I)資產(chǎn)價值分級描述1–低低完整性對信息的非授權(quán)的損害或更改不會危及業(yè)務(wù)應(yīng)用或?qū)I(yè)務(wù)的影響可以忽略。2–中中完整性對信息的非授權(quán)的損害或更改不會危及業(yè)務(wù)應(yīng)用，但是值得注意以及對業(yè)務(wù)的影響是重要的。3–高高或非常高完整性對信息的非授權(quán)的損害或更改危及業(yè)務(wù)應(yīng)用，且對業(yè)務(wù)的影響是嚴(yán)重的并會導(dǎo)致業(yè)務(wù)應(yīng)用的重大或全局失敗。資產(chǎn)產(chǎn)分分級級可用性要求

(A)資產(chǎn)價值分級描述1-低低可用性資產(chǎn)(信息,信息系統(tǒng)

系統(tǒng)資源/網(wǎng)絡(luò)服務(wù),人員等.)可以容忍多于一天的不能使用。2–中中可用性資產(chǎn)(信息,信息系統(tǒng)

系統(tǒng)資源/網(wǎng)絡(luò)服務(wù),人員等.)可以容忍半天到一天的不能使用。3–高高可用性資產(chǎn)(信息,信息系統(tǒng)

系統(tǒng)資源/網(wǎng)絡(luò)服務(wù),人員等.)可以容忍幾個小時的不能使用。4–非常高非常高的可用性資產(chǎn)(信息,信息系統(tǒng)

系統(tǒng)資源/網(wǎng)絡(luò)服務(wù),人員等.)必須保證每年每周24x7工作。資產(chǎn)產(chǎn)分分級級威脅脅和和脆脆弱弱性性估估計計威脅脅應(yīng)該該考考慮慮它它們們出出現(xiàn)現(xiàn)的的可可能能性性，，以以及及可可能能利利用用弱弱點點/脆弱弱性性可可能能性性。。實例不太可能發(fā)生的機會小于可能出現(xiàn)的機會小于25%很可能/大概機會50:50高可能發(fā)生的機會多于75%非常可能不發(fā)生的機會小于1/10絕對無疑100%會發(fā)生風(fēng)險險控控制制RiskthresholdRisklevel風(fēng)險險控控制制ContinualImprovement啟示示風(fēng)險險評評估估是是出出發(fā)發(fā)點點等級級劃劃分分是是判判斷斷點點安全全控控制制是是落落腳腳點點風(fēng)險險評評估估和和等等級級保保護護的的關(guān)關(guān)系系27號文文件件把把實實施施信信息息系系統(tǒng)統(tǒng)安安全全等等級級保保護護作作為為重重要要基基礎(chǔ)礎(chǔ)性性工工作作。。信息息安安全全等等級級保保護護制制度度是是國國家家在在國國民民經(jīng)經(jīng)濟濟和和社社會會信信息息化化的的發(fā)發(fā)展展過過程程中中，，提提高高信信息息安安全全保保障障能能力力和和水水平平，，維維護護國國家家安安全全、、社社會會穩(wěn)穩(wěn)定定和和公公共共利利益益，，保保障障和和促促進進信信息息化化建建設(shè)設(shè)健健康康發(fā)發(fā)展展的的一一項項基基本本制制度度。。我們們國國家家為為實實施施等等級級保保護護奮奮斗斗了了20年。。實施施信信息息安安全全等等級級保保護護，，能能夠夠有有效效地地提提高高我我國國信信息息和和信信息息系系統(tǒng)統(tǒng)安安全全建建設(shè)設(shè)的的整整體體水水平平，，有利利于于在信信息息化化建建設(shè)設(shè)過過程程中中同同步步建建設(shè)設(shè)信信息息安安全全設(shè)設(shè)施施，，保保障障信信息息安安全全與與信信息息化化建建設(shè)設(shè)相相協(xié)協(xié)調(diào)調(diào)；；有利利于于為信信息息系系統(tǒng)統(tǒng)安安全全建建設(shè)設(shè)和和管管理理提提供供系系統(tǒng)統(tǒng)性性、、針針對對性性、、可可行行性性的的指指導(dǎo)導(dǎo)和和服服務(wù)務(wù)，，有有效效控控制制信信息息安安全全建建設(shè)設(shè)成成本本；；有利利于于優(yōu)化化信信息息安安全全資資源源的的配配置置，，對對信信息息系系統(tǒng)統(tǒng)分分級級實實施施保保護護，，重重點點保保障障基基礎(chǔ)礎(chǔ)信信息息網(wǎng)網(wǎng)絡(luò)絡(luò)和和關(guān)關(guān)系系國國家家安安全全、、經(jīng)經(jīng)濟濟命命脈脈、、社社會會穩(wěn)穩(wěn)定定等等方方面面的的重重要要信信息息系系統(tǒng)統(tǒng)的的安安全全；；有利利于于明確確國國家家、、法法人人和和其其他他組組織織、、公公民民的的信信息息安安全全責(zé)責(zé)任任，，加加強強信信息息安安全全管管理理；；有利利于于推動動信信息息安安全全產(chǎn)產(chǎn)業(yè)業(yè)的的發(fā)發(fā)展展，，逐逐步步探探索索出出一一條條適適應(yīng)應(yīng)社社會會主主義義市市場場經(jīng)經(jīng)濟濟發(fā)發(fā)展展的的信信息息安安全全模模式式。。信息息安安全全等等級級保保護護制制度度的的基基本本內(nèi)內(nèi)容容信息息安安全全等等級級保保護護是是指指對對國國家家秘秘密密信信息息、、法法人人和和其其他他組組織織及及公公民民的的專專有有信信息息以以及及公公開開信信息息和和存存儲儲、、傳傳輸輸、、處處理理這這些些信信息息的的信信息息系系統(tǒng)統(tǒng)分分等等級級實實行行安安全全保保護護，，對對信信息息系系統(tǒng)統(tǒng)中中使使用用的的信信息息安安全全產(chǎn)產(chǎn)品品實實行行按按等等級級管管理理，，對對信信息息系系統(tǒng)統(tǒng)中中發(fā)發(fā)生生的的信信息息安安全全事事件件分分等等級級響響應(yīng)應(yīng)、、處處置置。。保護等級級的劃分分1、第一級級為自主保護護級，適用于于一般的的信息和和信息系系統(tǒng)，其其受到破破壞后，，會對公公民、法法人和其其他組織織的權(quán)益益有一定定影響，，但不危危害國家家安全、、社會秩秩序、經(jīng)經(jīng)濟建設(shè)設(shè)和公共共利益。。2、第二級級為指導(dǎo)保護護級，適用于于一定程程度上涉涉及國家家安全、、社會秩秩序、經(jīng)經(jīng)濟建設(shè)設(shè)和公共共利益的的一般信信息和信信息系統(tǒng)統(tǒng)，其受受到破壞壞后，會會對國家家安全、、社會秩秩序、經(jīng)經(jīng)濟建設(shè)設(shè)和公共共利益造造成一定定損害。。3、第三級級為監(jiān)督保護護級，適用于于涉及國國家安全全、社會會秩序、、經(jīng)濟建建設(shè)和公公共利益益的信息息和信息息系統(tǒng)，，其受到到破壞后后，會對對國家安安全、社社會秩序序、經(jīng)濟濟建設(shè)和和公共利利益造成成較大損損害。4、第四級級為強制保護護級，適用于于涉及國國家安全全、社會會秩序、、經(jīng)濟建建設(shè)和公公共利益益的重要要信息和和信息系系統(tǒng)，其其受到破破壞后，，會對國國家安全全、社會會秩序、、經(jīng)濟建建設(shè)和公公共利益益造成嚴(yán)嚴(yán)重損害害。5、第五級級為專控保護護級，適用于于涉及國國家安全全、社會會秩序、、經(jīng)濟建建設(shè)和公公共利益益的重要要信息和和信息系系統(tǒng)的核核心子系系統(tǒng)，其其受到破破壞后，，會對國國家安全全、社會會秩序、、經(jīng)濟建建設(shè)和公公共利益益造成特特別嚴(yán)重重損害。。實施信息息安全等等級保護護工作的的要求（一）完完善標(biāo)準(zhǔn)準(zhǔn)，分類類指導(dǎo)。。（二）科科學(xué)定級級，嚴(yán)格格備案。。（三）建建設(shè)整改改，落實實措施。。（四）自自查自糾糾，落實實要求。。（五）建建立制度度，加強強管理。。（六）監(jiān)監(jiān)督檢查查，完善善保護。。同一個問問題的不不同側(cè)面面從資產(chǎn)的的重要性性看-劃分需要要的保護護等級。。從面對的的威脅和和脆弱性性看-進行風(fēng)險險分析。。從安全保保障能力力看-選擇需要要的安全全控制。。等級保護護制度進進行全面面管理、、響應(yīng)和和處置。。幾點認(rèn)識識風(fēng)險評估估是落實實等級保保護的抓抓手。面向?qū)ο笙蠛兔嫦蛳蚴侄尾徊荒芊指罡睢T驅(qū)動和業(yè)業(yè)務(wù)驅(qū)動動同樣需需要。風(fēng)險評估估是出發(fā)發(fā)點等級劃分分是判斷斷點安全控制制是落腳腳點9、靜夜四四無鄰，，荒居舊舊業(yè)貧。。。12月-2212月-22Thursday,December29,202210、雨中黃葉葉樹，燈下下白頭人。。。03:48:4303:48:4303:4812/29/20223:48:43AM11、以我獨沈沈久，愧君君相見頻。。。12月-2203:48:4303:48Dec-2229-Dec-2212、故故人人江江海海別別，，幾幾度度隔隔山山川川。。。。03:48:4303:48:4303:48Thursday,December29,202213、乍見見翻疑疑夢，，相悲悲各問問年。。。12月月-2212月月-2203:48:4303:48:43December29,202214、他鄉(xiāng)生生白發(fā)，，舊國見見青山。。。29十十二月20223:48:43上午午03:48:4312月-2215、比不了得得就不比，，得不到的的就不要。。。。十二月223:48上上午12月-2203:48December29,202216、行行動動出出成成果果，，工工作作出出財財富富。。。。2022/12/293:48:4303:48:4329December202217、做做前前，，能能夠夠環(huán)環(huán)視視四四周周；；做做時時，，你你只只能能或或者者最最好好沿沿著著以以腳腳為為起起點點的的射射線線向向前前。。。。3:48:43上上午午3:48上上午午03:48:4312月月-229、沒有有失敗敗，只只有暫暫時停停止成成功??！。12月月-2212月月-22Thursday,December29,202210、很多多事情情努力力了未未必有有結(jié)果果，但但是不不努力力卻什什么改改變也也沒有有。。。03:48:4303:48:4303:4812/29/20223:48:43AM11、成功就就是日復(fù)復(fù)一日那那一點點點小小努努力的積積累。。。12月-2203:48:4303:48Dec-2229-Dec-2212、世間成事事，不求其其絕對圓滿滿，留一份份不足，可可得無限完完美。。03:48:4303:48:4303:48Thursday,December29,202213、不不知知香香積積寺寺，，數(shù)數(shù)里里入入云云峰峰。。。。12月月-2212月月-2203:48:430