信息安全標(biāo)準(zhǔn)法規(guī)-標(biāo)準(zhǔn)（樊山修訂V1.0）

信息安全標(biāo)準(zhǔn)法規(guī)-標(biāo)準(zhǔn)主講樊山大綱描述信息安全標(biāo)準(zhǔn)法規(guī)是注冊信息安全專業(yè)人員需要掌握的通用基礎(chǔ)知識。通過本部分的學(xué)習(xí)，學(xué)員應(yīng)當(dāng)：理解遵循信息安全法規(guī)、政策、標(biāo)準(zhǔn)和道德規(guī)范的重要性掌握我國重點(diǎn)信息安全法規(guī)和政策的有關(guān)要求掌握重點(diǎn)信息安全技術(shù)標(biāo)準(zhǔn)的有關(guān)內(nèi)容了解CISP道德規(guī)范，了解通行的有關(guān)信息安全道德規(guī)范信息安全標(biāo)準(zhǔn)和法律法規(guī)10%10%信息安全標(biāo)準(zhǔn)介紹安全標(biāo)準(zhǔn)化概述信息安全評估標(biāo)準(zhǔn)信息安全管理標(biāo)準(zhǔn)等級保護(hù)標(biāo)準(zhǔn)課程內(nèi)容4知識域：安全標(biāo)準(zhǔn)化概述5知識子域：信息安全標(biāo)準(zhǔn)化概況了解標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化的基本概念和作用了解信息安全標(biāo)準(zhǔn)體系知識子域：信息安全標(biāo)準(zhǔn)化組織了解國際信息安全標(biāo)準(zhǔn)化組織了解我國信息安全標(biāo)準(zhǔn)化組織標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化的基本概念6標(biāo)準(zhǔn)為了在一定范圍內(nèi)獲得最佳秩序，經(jīng)協(xié)商一致制定并由公認(rèn)機(jī)構(gòu)批準(zhǔn)，共同使用的和重復(fù)使用的一種規(guī)范性文件。標(biāo)準(zhǔn)化（GB/T20000.1-2002）為了在一定范圍內(nèi)獲得最佳秩序，對現(xiàn)實(shí)問題或潛在問題制定共同使用和重復(fù)使用的條款的活動。標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化組織7國際標(biāo)準(zhǔn)由國際標(biāo)準(zhǔn)化組織或國際標(biāo)準(zhǔn)組織通過并公開發(fā)布的標(biāo)準(zhǔn)國家標(biāo)準(zhǔn)由國家標(biāo)準(zhǔn)機(jī)構(gòu)通過并公開發(fā)布的標(biāo)準(zhǔn)國際標(biāo)準(zhǔn)化組織（ISO）其成員資格向每個國家的有關(guān)國家機(jī)構(gòu)開放的標(biāo)準(zhǔn)化組織國家標(biāo)準(zhǔn)機(jī)構(gòu)在國家層面上承認(rèn)的，有資格成為相應(yīng)的國際和區(qū)域標(biāo)準(zhǔn)組織的國家成員的標(biāo)準(zhǔn)機(jī)構(gòu)（中國國家標(biāo)準(zhǔn)化管理委員會）標(biāo)準(zhǔn)化的特點(diǎn)8標(biāo)準(zhǔn)化的對象：共同的、可重復(fù)的事物標(biāo)準(zhǔn)化的動態(tài)性標(biāo)準(zhǔn)化的相對性標(biāo)準(zhǔn)化的效益標(biāo)準(zhǔn)化的原則9簡化：簡化作為克服產(chǎn)品規(guī)格雜亂,擴(kuò)大生產(chǎn)批量,組織專業(yè)化生產(chǎn)的措施得到廣泛應(yīng)用.統(tǒng)一化:統(tǒng)一化是把同類事物兩種以上的表現(xiàn)形態(tài)歸并為一種或限定在一個范圍內(nèi)的標(biāo)準(zhǔn)化形式.通用化:通用化是指在互相獨(dú)立的系統(tǒng)中,選擇和確定具有功能互換性或尺寸互換性的子系統(tǒng)或功能單元的標(biāo)準(zhǔn)化形式.系列化:系列化通常指產(chǎn)品系列化,它是對同一類產(chǎn)品中的一組產(chǎn)品同時進(jìn)行標(biāo)準(zhǔn)化的一種形式.標(biāo)準(zhǔn)的作用10規(guī)范流程,技術(shù)參數(shù)協(xié)調(diào)統(tǒng)一,為生產(chǎn)和管理現(xiàn)代化提供重要技術(shù)基礎(chǔ).能夠組織大規(guī)模專業(yè)化生產(chǎn),提高產(chǎn)品質(zhì)量.統(tǒng)一標(biāo)準(zhǔn),部件通用,資源共享,降低成本.符合國家標(biāo)準(zhǔn),保護(hù)人身,財(cái)產(chǎn)安全,維護(hù)消費(fèi)者權(quán)益.消除貿(mào)易壁壘,促進(jìn)企業(yè)國際貿(mào)易交流.積極參與標(biāo)準(zhǔn)制定,引導(dǎo)行業(yè)標(biāo)準(zhǔn),提高企業(yè)形象。標(biāo)準(zhǔn)化三維空間XYZ企業(yè)級地方級行業(yè)級國家級國際級區(qū)域級術(shù)語體系、框架技術(shù)機(jī)制應(yīng)用管理過程產(chǎn)品系統(tǒng)服務(wù)人員X軸代表標(biāo)準(zhǔn)化對象Y軸代表標(biāo)準(zhǔn)化的內(nèi)容Z軸代表標(biāo)準(zhǔn)化的級別我國標(biāo)準(zhǔn)化領(lǐng)域的主要法規(guī)文件121）中華人民共和國標(biāo)準(zhǔn)化法2）中華人民共和國標(biāo)準(zhǔn)化法實(shí)施條例3）中華人民共和國標(biāo)準(zhǔn)化法條文解釋4）國家標(biāo)準(zhǔn)管理辦法5）行業(yè)標(biāo)準(zhǔn)管理辦法6）地方標(biāo)準(zhǔn)管理辦法7）企業(yè)標(biāo)準(zhǔn)化管理辦法8）農(nóng)業(yè)標(biāo)準(zhǔn)化管理辦法9）能源標(biāo)準(zhǔn)化管理辦法10）信息分類編碼標(biāo)準(zhǔn)化管理辦法11）采用國際標(biāo)準(zhǔn)管理辦法12）全國專業(yè)標(biāo)準(zhǔn)化技術(shù)委員會章程…………標(biāo)準(zhǔn)的編制過程階段代碼階段名稱階段主要任務(wù)00預(yù)階段標(biāo)準(zhǔn)制定的前期研究，

提出標(biāo)準(zhǔn)立項(xiàng)建議10立項(xiàng)階段標(biāo)準(zhǔn)立項(xiàng)20起草階段起草標(biāo)準(zhǔn)征求意見稿和編制說明30征求意見階段征求意見完成送審稿和意見匯總處理表40審查階段會審或函審?fù)瓿蓤?bào)批稿和審查會紀(jì)要50批準(zhǔn)階段主管部門審查并批準(zhǔn)發(fā)標(biāo)準(zhǔn)60出版階段提供紙質(zhì)或電子版標(biāo)準(zhǔn)90復(fù)審階段對實(shí)施達(dá)五年的標(biāo)準(zhǔn)進(jìn)行復(fù)審95廢止階段對無存在價值的標(biāo)準(zhǔn)予以廢止13我國國家標(biāo)準(zhǔn)的代碼14GB強(qiáng)制性國家標(biāo)準(zhǔn)GB/T推薦性國家標(biāo)準(zhǔn)GB/Z國家標(biāo)準(zhǔn)化指導(dǎo)性技術(shù)文件國家標(biāo)準(zhǔn)化指導(dǎo)性技術(shù)文件的復(fù)審：國家標(biāo)準(zhǔn)化指導(dǎo)性技術(shù)文件在實(shí)施后3年內(nèi)必須進(jìn)行復(fù)審。復(fù)審結(jié)果的可能是:再延長3年;轉(zhuǎn)為國家標(biāo)準(zhǔn);撤銷。我國信息安全標(biāo)準(zhǔn)體系框架物理安全標(biāo)準(zhǔn)系統(tǒng)與網(wǎng)絡(luò)標(biāo)準(zhǔn)應(yīng)用與工程標(biāo)準(zhǔn)基礎(chǔ)標(biāo)準(zhǔn)管理標(biāo)準(zhǔn)15一種信息安全標(biāo)準(zhǔn)體系結(jié)構(gòu)信息安全標(biāo)準(zhǔn)技術(shù)框架標(biāo)準(zhǔn)結(jié)構(gòu)說明標(biāo)準(zhǔn)術(shù)語匯編信息安全工程標(biāo)準(zhǔn)安全測評標(biāo)準(zhǔn)安全能力評估系統(tǒng)安全結(jié)構(gòu)安全系統(tǒng)結(jié)構(gòu)系統(tǒng)安全管理基礎(chǔ)性安全技術(shù)標(biāo)準(zhǔn)密碼算法散列函數(shù)實(shí)體鑒別消息鑒別消息加密抗抵賴信息安全技術(shù)標(biāo)準(zhǔn)網(wǎng)絡(luò)信任域計(jì)算機(jī)病毒虛擬專用網(wǎng)安全芯片入侵檢測安全預(yù)警安全體制信息隱藏物理安全安全基礎(chǔ)設(shè)施標(biāo)準(zhǔn)PKI技術(shù)標(biāo)準(zhǔn)PMI技術(shù)標(biāo)準(zhǔn)KMI技術(shù)標(biāo)準(zhǔn)應(yīng)用系統(tǒng)安全技術(shù)標(biāo)準(zhǔn)應(yīng)用系統(tǒng)安全標(biāo)準(zhǔn)安全中間件標(biāo)準(zhǔn)應(yīng)用中間件標(biāo)準(zhǔn)16另一種信息安全標(biāo)準(zhǔn)體系結(jié)構(gòu)信息安全標(biāo)準(zhǔn)體系基礎(chǔ)類標(biāo)準(zhǔn)技術(shù)標(biāo)準(zhǔn)應(yīng)用標(biāo)準(zhǔn)服務(wù)標(biāo)準(zhǔn)管理標(biāo)準(zhǔn)安全框架安全模型安全機(jī)制設(shè)備網(wǎng)絡(luò)安全工程應(yīng)急響應(yīng)服務(wù)資質(zhì)管理基礎(chǔ)系統(tǒng)管理安全測評術(shù)語體系結(jié)構(gòu)無線網(wǎng)絡(luò)有線網(wǎng)絡(luò)專用安全產(chǎn)品涉及網(wǎng)間互聯(lián)的設(shè)備無線電通信設(shè)備電信通信終端設(shè)備17國際信息安全標(biāo)準(zhǔn)化組織國際上，信息安全標(biāo)準(zhǔn)化工作興起于二十世紀(jì)70年代中期80年代有了較快的發(fā)展90年代引起了世界各國的普遍關(guān)注目前。目前世界上約有近300個國際和區(qū)域性組織，制定標(biāo)準(zhǔn)或技術(shù)規(guī)則，與信息安全標(biāo)準(zhǔn)化有關(guān)的主要的組織有：國際標(biāo)準(zhǔn)化組織(ISO)、國際電工委員會（IEC）、國際電信聯(lián)盟（ITU）、Internet工程任務(wù)組（IETF）等。國際信息安全標(biāo)準(zhǔn)化組織國際標(biāo)準(zhǔn)化組織(ISO)于1947年2月23日正式開始工作ISO/IECJTC1（信息技術(shù)標(biāo)準(zhǔn)化委員會）所屬SC27（安全技術(shù)分委員會）其前身是SC20（數(shù)據(jù)加密分技術(shù)委員會），主要從事信息技術(shù)安全的一般方法和技術(shù)的標(biāo)準(zhǔn)化工作。ISO/TC68負(fù)責(zé)銀行業(yè)務(wù)應(yīng)用范圍內(nèi)有關(guān)信息安全標(biāo)準(zhǔn)的制定，它主要制定行業(yè)應(yīng)用標(biāo)準(zhǔn)，在組織上和標(biāo)準(zhǔn)之間與SC27有著密切的聯(lián)系。ISO/IECJTC1負(fù)責(zé)制定標(biāo)準(zhǔn)主要是開放系統(tǒng)互連、密鑰管理、數(shù)字簽名、安全的評估等方面的內(nèi)容。國際信息安全標(biāo)準(zhǔn)化組織ISOJTC1JTC1SC27信息技術(shù)安全技術(shù)信息安全管理體系工作組密碼與安全機(jī)制工作組安全評估準(zhǔn)則工作組安全控制與服務(wù)工作組身份管理與隱私技術(shù)工作組國際標(biāo)準(zhǔn)提案《ISMS審核指南》國際標(biāo)準(zhǔn)提案《三元實(shí)體鑒別》國際標(biāo)準(zhǔn)《信息安全事件管理》合作編輯國際標(biāo)準(zhǔn)提案《基于三元實(shí)體鑒別的訪問控制方法》20國際信息安全標(biāo)準(zhǔn)化組織21JTC1其他分技術(shù)委員會：SC6—系統(tǒng)間通信與信息交換，主要開發(fā)開放系統(tǒng)互連下四層安全模型和安全協(xié)議，如ISO9160、ISO/IEC11557SC17—識別卡和有關(guān)設(shè)備，主要開發(fā)與識別卡有關(guān)的安全標(biāo)準(zhǔn)。SC18—文件處理及有關(guān)通信，主要開發(fā)電子郵件、消息處理系統(tǒng)等安全標(biāo)準(zhǔn)SC21—開放系統(tǒng)互連，數(shù)據(jù)管理和開放式分布處理，主要開發(fā)開放系統(tǒng)互連安全體系結(jié)構(gòu)，各種安全框架，高層安全模型等標(biāo)準(zhǔn)，如:ISO/IEC7498-2、ISO/IEC9594-1至8SC22—程序語言，其環(huán)境及系統(tǒng)軟件接口，也開發(fā)相應(yīng)的安全標(biāo)準(zhǔn)SC30—開放式電子數(shù)據(jù)交換，主要開發(fā)電子數(shù)據(jù)交換的有關(guān)安全標(biāo)準(zhǔn)。如ISO9735-9、ISO9735-10國際標(biāo)準(zhǔn)化管理和組織國際電工委員會（IEC）正式成立于1906年十月，是世界上成立最早的專門國際標(biāo)準(zhǔn)化機(jī)構(gòu)。在信息安全標(biāo)準(zhǔn)化方面，主要與ISO聯(lián)合成立了JTC1下分委員會外，還在電信、電子系統(tǒng)、信息技術(shù)和電磁兼容等方面成立技術(shù)委員會，如TC56可靠性、TC74IT設(shè)備安全和功效、TC77電磁兼容、TC108音頻/視頻、信息技術(shù)和通訊技術(shù)電子設(shè)備的安全等，并制定相關(guān)國際標(biāo)準(zhǔn)，如信息技術(shù)設(shè)備安全（IEC60950）等。國際標(biāo)準(zhǔn)化管理和組織國際電信聯(lián)盟（ITU）成立于1865年5月17日，所屬的SG17組，主要負(fù)責(zé)研究通信系統(tǒng)安全標(biāo)準(zhǔn)。SG17組主要研究的有：通信安全項(xiàng)目、安全架構(gòu)和框架、計(jì)算安全、安全管理、用于安全的生物測定、安全通信服務(wù)。此外SG16和下一代網(wǎng)絡(luò)核心組也在通信安全、H323網(wǎng)絡(luò)安全、下一代網(wǎng)絡(luò)安全等標(biāo)準(zhǔn)方面進(jìn)行了研究。目前ITU-T建議書中大約有40多個都是與通信安全有關(guān)的標(biāo)準(zhǔn)。國際標(biāo)準(zhǔn)化管理和組織Internet工程任務(wù)組（IETF）史創(chuàng)于1986年，其主要任務(wù)是負(fù)責(zé)互聯(lián)網(wǎng)相關(guān)技術(shù)規(guī)范的研發(fā)和制定。目前，IETF已成為全球互聯(lián)網(wǎng)界最具權(quán)威的大型技術(shù)研究組織。IETF標(biāo)準(zhǔn)制定的具體工作由各個工作組承擔(dān)，工作組分成八個領(lǐng)域，分別是Internet路由、傳輸、應(yīng)用領(lǐng)域等等，著名的IKE和IPsec都在RFC系列之中，還有電子郵件，網(wǎng)絡(luò)認(rèn)證和密碼標(biāo)準(zhǔn)，也包括了TLS標(biāo)準(zhǔn)和其它的安全協(xié)議標(biāo)準(zhǔn)。國際信息安全標(biāo)準(zhǔn)化組織25ISO/TC68銀行及相關(guān)金融業(yè)務(wù)目前已頒布了多個安全相關(guān)標(biāo)準(zhǔn)IECTC56可靠性；TC74IT設(shè)備安全和功效；TC77電磁兼容；CISPR無線電干擾特別委員會ITU-T(PKI方面)前身是CCITT消息處理系統(tǒng)目錄系統(tǒng)(X.400系列、X.500系列)安全框架安全模型等標(biāo)準(zhǔn)國際信息安全標(biāo)準(zhǔn)化組織IETF（170多個RFC、17個工作組）IntrusionDetectionExchangeFormatExtendedIncidentHandlingIPSecurityProtocolIPSecurityPolicyIPSecurityRemoteAccessKerberizedInternetNegotiationofKeysKerberosWGMulticastSecurityAnOpenSpecificationforPrettyGoodPrivacyPublic-KeyInfrastructure(X.509)SecurelyAvailableCredentialsSecureShellS/MIMEMailSecuritySecureNetworkTimeProtocolSecurityIssuesinNetworkEventLoggingTransportLayerSecurityXMLDigitalSignatures國際信息安全標(biāo)準(zhǔn)化組織27ECMATC32——“通信、網(wǎng)絡(luò)和系統(tǒng)互連”曾定義了開放系統(tǒng)應(yīng)用層安全結(jié)構(gòu)TC36——“IT安全”負(fù)責(zé)信息技術(shù)設(shè)備的安全標(biāo)準(zhǔn)ESTI(GSM)ATM論壇3GPP密碼3GPP2密碼美國標(biāo)準(zhǔn)化組織28ANSINCITS-T4制定IT安全技術(shù)標(biāo)準(zhǔn)X9制定金融業(yè)務(wù)標(biāo)準(zhǔn)X12制定商業(yè)交易標(biāo)準(zhǔn)(EDI)NIST負(fù)責(zé)聯(lián)邦政府非密敏感信息FIPSDOD負(fù)責(zé)涉密信息NSA國防部指令（DODDI）（如TCSEC）IEEESILSP1363我國標(biāo)準(zhǔn)化組織標(biāo)準(zhǔn)化管理性質(zhì)標(biāo)準(zhǔn)化提供的事公共服務(wù)，依法管理標(biāo)準(zhǔn)化管理的性質(zhì)是國家公共行政行為。標(biāo)準(zhǔn)化的管理標(biāo)準(zhǔn)化管理機(jī)構(gòu)國務(wù)院授權(quán)履行行政管理職能，主管機(jī)構(gòu)是國家標(biāo)準(zhǔn)化管理委員會（StandardizationAdministrationofthePeople’sRepublicofChina，簡稱：SAC）標(biāo)準(zhǔn)的制定修全國專業(yè)標(biāo)準(zhǔn)化技術(shù)委員會是由國家標(biāo)準(zhǔn)化主管機(jī)構(gòu)依法組建的專家型技術(shù)組織我國標(biāo)準(zhǔn)化組織我國按照國務(wù)院授權(quán)，在國家質(zhì)量監(jiān)督撿驗(yàn)撿疫總局管理下，由國家標(biāo)準(zhǔn)化管理委員會統(tǒng)一管理全國標(biāo)準(zhǔn)化工作，下設(shè)有255個專業(yè)技術(shù)委員會。1984年成立全國信息技術(shù)安全標(biāo)準(zhǔn)化技術(shù)委員會（CITS）,在國家標(biāo)準(zhǔn)化管理委員會和信息產(chǎn)業(yè)部的共同領(lǐng)導(dǎo)下負(fù)責(zé)全國信息技術(shù)領(lǐng)域以及與ISO/IECJTC1相對應(yīng)的標(biāo)準(zhǔn)化工作，目前下設(shè)24個分技術(shù)委員會和特別工作組,是目前國內(nèi)最大的標(biāo)準(zhǔn)化技術(shù)委員會。全國信息技術(shù)安全標(biāo)準(zhǔn)化技術(shù)委員會的工作范圍是負(fù)責(zé)信息和通信安全的通用框架、方法、技術(shù)和機(jī)制的標(biāo)準(zhǔn)化，歸口國內(nèi)外對應(yīng)的標(biāo)準(zhǔn)化工作。其技術(shù)安全包括：開放式安全體系結(jié)構(gòu)、各種安全信息交換的語義規(guī)則、有關(guān)的應(yīng)用程序接口和協(xié)議引用安全功能的接口等。我國標(biāo)準(zhǔn)化組織311984年，成立數(shù)據(jù)加密技術(shù)分委員，后來改為信息技術(shù)安全分技術(shù)委員會2002年4月，為加強(qiáng)信息安全標(biāo)準(zhǔn)的協(xié)調(diào)工作，國家標(biāo)準(zhǔn)委決定成立信安標(biāo)委，由國家標(biāo)準(zhǔn)委直接領(lǐng)導(dǎo)，對口ISO/IECJTC1SC27；秘書處設(shè)在中國電子技術(shù)標(biāo)準(zhǔn)化研究所；委員會由30多個部門和單位的49名領(lǐng)導(dǎo)和專家組成目前共有工作組成員單位165家，其中企業(yè)120家我國標(biāo)準(zhǔn)化組織32國標(biāo)委高新函[2004]1號文決定，自2004年1月起，各有關(guān)部門在申報(bào)信息安全國家標(biāo)準(zhǔn)計(jì)劃項(xiàng)目時，必須經(jīng)信息安全標(biāo)委會提出工作意見，協(xié)調(diào)一致后由信息安全標(biāo)委會組織申報(bào)；在國家標(biāo)準(zhǔn)制定過程中，標(biāo)準(zhǔn)工作組或主要起草單位要與信息安全標(biāo)委會積極合作，并由信息安全標(biāo)委會完成國家標(biāo)準(zhǔn)送審、報(bào)批工作。我國標(biāo)準(zhǔn)化組織國家標(biāo)準(zhǔn)化管理委員會，/全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（簡稱信息安全標(biāo)委會，TC260），/全國信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會（簡稱信標(biāo)委,英文縮寫為CITS），負(fù)責(zé)全國信息技術(shù)領(lǐng)域以及與ISO/IECJTC1相對應(yīng)的標(biāo)準(zhǔn)化工作。/全國金融標(biāo)準(zhǔn)化技術(shù)委員會（簡稱金標(biāo)委），負(fù)責(zé)金融系統(tǒng)標(biāo)準(zhǔn)化技術(shù)歸口管理工作和國際標(biāo)準(zhǔn)化組織中銀行與相關(guān)金融業(yè)務(wù)標(biāo)準(zhǔn)化技術(shù)委員會（ISO/TC68、TC222）的歸口管理工作。/TC260的組織結(jié)構(gòu)圖34秘書處負(fù)責(zé)委員會的日常事務(wù)工作35秘書處是委員會的常設(shè)辦事機(jī)構(gòu)，負(fù)責(zé)委員會的日常事務(wù)工作秘書處設(shè)在中國電子技術(shù)標(biāo)準(zhǔn)化研究所TC260職責(zé)信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組（WG1）研究信息安全標(biāo)準(zhǔn)體系跟蹤國際標(biāo)準(zhǔn)發(fā)展動態(tài)研究信息安全標(biāo)準(zhǔn)需求研究并提出新工作項(xiàng)目及設(shè)立新工作組的建議協(xié)調(diào)各工作組項(xiàng)目涉密信息系統(tǒng)安全保密標(biāo)準(zhǔn)工作組（WG2）研究提出涉密信息系統(tǒng)安全保密標(biāo)準(zhǔn)體系制定和修訂涉密信息系統(tǒng)安全保密標(biāo)準(zhǔn)TC260職責(zé)（續(xù)一）密碼技術(shù)標(biāo)準(zhǔn)工作組（WG3）研究提出商用密碼技術(shù)標(biāo)準(zhǔn)體系研究制定商用密碼算法、商用密碼模塊和商用密鑰管理等相關(guān)標(biāo)準(zhǔn)鑒別與授權(quán)工作組（WG4）研究制定鑒別與授權(quán)標(biāo)準(zhǔn)體系調(diào)研國內(nèi)相關(guān)標(biāo)準(zhǔn)需求研究制定鑒別與授權(quán)標(biāo)準(zhǔn)信息安全評估工作組（WG5）調(diào)研測評標(biāo)準(zhǔn)現(xiàn)狀與發(fā)展趨勢研究我國統(tǒng)一測評標(biāo)準(zhǔn)體系的思路和框架，提出測評標(biāo)準(zhǔn)體系研究制訂急需的測評標(biāo)準(zhǔn)TC260職責(zé)（續(xù)二）通信安全標(biāo)準(zhǔn)工作組（WG6）調(diào)研通信安全標(biāo)準(zhǔn)現(xiàn)狀與發(fā)展趨勢研究提出通信安全標(biāo)準(zhǔn)體系研究制訂急需的通信安全標(biāo)準(zhǔn)信息安全管理工作組（WG7）研究信息安全管理動態(tài)，調(diào)研國內(nèi)管理標(biāo)準(zhǔn)需求研究提出信息安全管理標(biāo)準(zhǔn)體系制定信息安全管理相關(guān)標(biāo)準(zhǔn)國家標(biāo)準(zhǔn)分類國家標(biāo)準(zhǔn)：GB/TXXXX.X-200XGBXXXX-200X行業(yè)標(biāo)準(zhǔn)：GA，GJB地方標(biāo)準(zhǔn)：DBXX/TXXX-200XDBXX/XXX-200X企業(yè)標(biāo)準(zhǔn)：QXXX-XXX-200X采標(biāo)采標(biāo)：等同采用IDT（identical）修改采用MOD（modified）非等效采用NEQ（notequivalent）知識域：信息安全評估標(biāo)準(zhǔn)41安全技術(shù)評估標(biāo)準(zhǔn)發(fā)展歷史了解安全技術(shù)評估標(biāo)準(zhǔn)發(fā)展過程理解可信計(jì)算機(jī)評估準(zhǔn)則（TCSEC）的局限性理解GB/T18336《信息技術(shù)安全性評估準(zhǔn)則》（CC）的優(yōu)點(diǎn)信息安全技術(shù)評估準(zhǔn)則了解CC的結(jié)構(gòu)理解CC的術(shù)語（TOE、PP、ST、EAL）和基本思想了解使用CC進(jìn)行信息技術(shù)產(chǎn)品安全性評估的基本過程了解通用評估方法（CEM）信息系統(tǒng)安全保證評估框架了解GB/T20274《信息系統(tǒng)安全保障評估框架》的目的和意義了解《信息系統(tǒng)安全保障評估框架》的結(jié)構(gòu)和主要內(nèi)容安全技術(shù)評估標(biāo)準(zhǔn)的起因安全準(zhǔn)則&產(chǎn)品評估促進(jìn)因素國際IT市場趨勢各國的基本安全要求早期準(zhǔn)則的演變和改進(jìn)信息系統(tǒng)安全問題需要國際標(biāo)準(zhǔn)42安全標(biāo)準(zhǔn)的發(fā)展43ITSEC1991CC1.01996TCSEC1985CTCPEC1993FC1992ISO154081999CC2.01998GB/T183362001CD1997FCD1998GIB26461996GB178591999GB/T183362008ISO154081999美國的安全評測標(biāo)準(zhǔn)(TCSEC)1970年由美國國防科學(xué)委員會提出。1985年公布。主要為軍用標(biāo)準(zhǔn)。延用至民用。橙皮書為計(jì)算機(jī)系統(tǒng)的安全級別進(jìn)行了分類，由低到高分為D、C、B、A四級。D級（最小保護(hù)）暫不分級；C級分為C1級（選擇的安全保護(hù)）C2級（受控的訪問環(huán)境）B級分為B1級（標(biāo)號安全保護(hù)）B2級（結(jié)構(gòu)化安全保護(hù)）B3級（安全域機(jī)制）A級（可驗(yàn)證的安全設(shè)計(jì)）暫時不分子級?？偣矠?個安全級別類別名稱主要特征安全要求A驗(yàn)證設(shè)計(jì)（veritydesign）形式化的最高級描述和驗(yàn)證，形式化的隱密通道分析，非形式化的代碼一致性證明設(shè)計(jì)必須從數(shù)學(xué)角度上經(jīng)過驗(yàn)證，而且必須進(jìn)行秘密能道和可信任分布的分析。B3安全域(securitydomain)安全內(nèi)核，高抗?jié)B透能力用戶工作站或終端能過可信任途徑連接網(wǎng)絡(luò)系統(tǒng)B2結(jié)構(gòu)防護(hù)（structuredprotection）設(shè)計(jì)系統(tǒng)時必須有一個合理的總體設(shè)計(jì)方案，面向安全的體系結(jié)構(gòu)，遵循最小授權(quán)原則，較好的滲透能力，訪問控制應(yīng)對所有的主體和客體提供保護(hù)，對系統(tǒng)進(jìn)行隱蔽通道分析計(jì)算機(jī)系統(tǒng)中所有對象都加標(biāo)簽，而且給設(shè)備（如工作站、終端和磁盤驅(qū)動器）分配安全級別。B1標(biāo)號安全防護(hù)（labelsecurityprotection）除了C2級別的安全需求外，增加安全策略模型，數(shù)據(jù)標(biāo)號（安全和屬性）在不同級別對敏感信息提供更高級的保護(hù)，讓每個對象都有有一個敏感標(biāo)簽C2受控的訪問環(huán)境存取控制以用戶為單位廣泛的審計(jì)加入身份認(rèn)證級別，系統(tǒng)對發(fā)生的事件加以審計(jì)并寫入日志C1選擇性安全防護(hù)（discretionarysecurityprotection）有選擇的存取控制，用戶與數(shù)據(jù)分離，數(shù)據(jù)的保護(hù)以用戶組為單位硬件有一定的安全保護(hù)（如硬件有帶鎖裝置），用戶在使用計(jì)算機(jī)系統(tǒng)前必須先登錄。允許系統(tǒng)管理員為一些程序或數(shù)據(jù)設(shè)立訪問許可權(quán)限。D最小保護(hù)保護(hù)措施很小，沒有安全功能不要求用戶進(jìn)行登記（要求用戶提供用戶名）或使用密碼（要求用戶提供惟一的字符串來進(jìn)行訪問）美國的安全評測標(biāo)準(zhǔn)(TCSEC)分級分類主要依據(jù)四個準(zhǔn)則：安全政策可控性保證能力文檔歐洲的安全評測標(biāo)準(zhǔn)(ITSEC)47歐洲多國安全評價方法的綜合產(chǎn)物，軍用，政府用和商用。以超越TCSEC為目的，將安全概念分為功能與功能評估兩部分。功能準(zhǔn)則在測定上分F1-F10共10級。1－5級對應(yīng)于TCSEC的D到A。6－10級加上了以下概念：F6：數(shù)據(jù)和程序的完整性F7：系統(tǒng)可用性F8：數(shù)據(jù)通信完整性F9：數(shù)據(jù)通信保密性F10：包括機(jī)密性和完整性的網(wǎng)絡(luò)安全評估準(zhǔn)則分為6級：E1：測試E2：配置控制和可控的分配

E3：能訪問詳細(xì)設(shè)計(jì)和源碼E4：詳細(xì)的脆弱性分析E5：設(shè)計(jì)與源碼明顯對應(yīng)E6：設(shè)計(jì)與源碼在形式上一致。加拿大的評測標(biāo)準(zhǔn)(CTCPEC)481989年公布，專為政府需求而設(shè)計(jì)與ITSEC類似，將安全分為功能性需求和保證性需要兩部分。功能性要求分為四個大類：a機(jī)密性b完整性c可用性d可控性在每種安全需求下又分成很多小類，表示安全性上的差別，分級條數(shù)為0－5級。CTCPEC的功能性要求及分級49美國聯(lián)邦準(zhǔn)則(FC)50對TCSEC的升級1992年12月公布引入了“保護(hù)輪廓（PP）”這一重要概念每個輪廓都包括功能部分、開發(fā)保證部分和評測部分。分級方式與TCSEC不同，吸取了ITSEC、CTCPEC中的優(yōu)點(diǎn)。供美國政府用，民用和商用。通用準(zhǔn)則（CC）1993年6月，與CTCPEC、FC、TCSEC、和ITSEC有關(guān)的6個國家中的7個相關(guān)政府組織集中了他們的成果，并聯(lián)合行動將各自獨(dú)立的準(zhǔn)則整合成一系列單一的、能被廣泛接受的IT安全準(zhǔn)則。其目的是為了解決原標(biāo)準(zhǔn)中出現(xiàn)的要領(lǐng)和技術(shù)上的差異，并把結(jié)果作為對國際標(biāo)準(zhǔn)的貢獻(xiàn)提交給了ISO，并于1996年頒布了1.0版，1998年頒布了2.0版，1999年12月ISO正式將CC2.0作為國際標(biāo)準(zhǔn)——ISO15408發(fā)布。通用準(zhǔn)則（CC）52主要思想和框架取自ITSEC和FC；充分突出“保護(hù)輪廓”，將評估過程分“功能”和“保證”兩部分；是目前最全面的評價準(zhǔn)則CC強(qiáng)調(diào)將安全的功能與保障分離，并將功能需求分為九類63族，將保障分為七類29族。此通用準(zhǔn)則是目前最全面的信息技術(shù)安全評估準(zhǔn)則。通用準(zhǔn)則（CC）（續(xù)）53國際上認(rèn)同的表達(dá)IT安全的體系結(jié)構(gòu)一組規(guī)則集一種評估方法，其評估結(jié)果國際互認(rèn)通用測試方法（CEM）已有安全準(zhǔn)則的總結(jié)和兼容通用的表達(dá)方式，便于理解靈活的架構(gòu)可以定義自己的要求擴(kuò)展CC要求準(zhǔn)則今后發(fā)展的框架CC的意義與局限CC標(biāo)準(zhǔn)的意義通過評估有助于增強(qiáng)用戶對于IT產(chǎn)品的安全信心；促進(jìn)IT產(chǎn)品和系統(tǒng)的安全性；消除重復(fù)的評估。CC標(biāo)準(zhǔn)的局限性CC標(biāo)準(zhǔn)采用半形式化語言，比較難以理解；CC不包括那些與IT安全措施沒有直接關(guān)聯(lián)的、屬于行政性管理安全措施的評估準(zhǔn)則，即該標(biāo)準(zhǔn)并不關(guān)注于組織、人員、環(huán)境、設(shè)備、網(wǎng)絡(luò)等方面的具體的安全措施；CC重點(diǎn)關(guān)注人為的威脅，對于其他威脅源并沒有考慮；并不針對IT安全性的物理方面的評估（如電磁干擾）；CC并不涉及評估方法學(xué)；CC不包括密碼算法固有質(zhì)量的評估。GB/T18336（ISO15408）55GB/T18336-2008信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則（idtISO/IEC15408：2005）GB/T18336.1：簡介和一般模型是CC的簡介。它定義了IT安全評估的一般概念和原理，并提出了評估的一般模型。GB/T18336.2：安全功能要求建立一系列功能組件作為表達(dá)TOE功能要求的標(biāo)準(zhǔn)方法。GB/T18336.3：安全保證要求建立一系列保證組件作為表達(dá)TOE保證要求的標(biāo)準(zhǔn)方法。GB/T18336（CC）的目標(biāo)讀者56TOE（評估對象）的客戶CC從寫作安排上確保評估滿足用戶的需求，因?yàn)檫@是評估過程的根本目的和理由。TOE的開發(fā)者為開發(fā)者在準(zhǔn)備和協(xié)助評估產(chǎn)品或系統(tǒng)以及確定每種產(chǎn)品和系統(tǒng)要滿足的安全需求方面提供支持。TOE的評估者CC包含評估者判定TOE與其安全需求一致時所使用的準(zhǔn)則。GB/T18336（CC）的目標(biāo)讀者其他讀者系統(tǒng)管理員和系統(tǒng)安全管理員：負(fù)責(zé)確定和達(dá)到組織的IT安全策略和需求。內(nèi)部和外部審計(jì)員：負(fù)責(zé)評定系統(tǒng)安全性能是否充分。安全規(guī)劃和設(shè)計(jì)者：負(fù)責(zé)規(guī)范IT系統(tǒng)和產(chǎn)品的安全內(nèi)容。認(rèn)可者：負(fù)責(zé)認(rèn)可一個IT系統(tǒng)在特定環(huán)境中的使用。評估發(fā)起者：負(fù)責(zé)請求和支持一個評估。評估機(jī)構(gòu)：負(fù)責(zé)管理和監(jiān)督IT安全評估程序。CC使用指南CC中的關(guān)鍵概念59評估對象——TOE(TargetofEvaluation)保護(hù)輪廓——PP(ProtectionProfile）安全目標(biāo)——ST(SecurityTarget）功能(Function)保證(Assurance)組件(Component)包(Package)評估保證級——EAL(EvaluationAssuranceLevel）評估對象（TOE）60作為評估主體的IT產(chǎn)品及系統(tǒng)以及相關(guān)的管理員和用戶指南文檔。產(chǎn)品系統(tǒng)子系統(tǒng)保護(hù)輪廓（PP）61滿足特定用戶需求、與一類TOE實(shí)現(xiàn)無關(guān)的一組安全要求。表達(dá)一類產(chǎn)品或系統(tǒng)的用戶需求組合安全功能要求和安全保證要求技術(shù)與需求之間的內(nèi)在完備性提高安全保護(hù)的針對性、有效性安全標(biāo)準(zhǔn)有助于以后的兼容性同TCSEC級類似PP的內(nèi)容標(biāo)識PP，敘述性總結(jié)PPTOE的總結(jié)信息指明安全問題（要保護(hù)的資產(chǎn)，已知的攻擊方式，TOE必須使用的組織性安全策略）對安全問題的相應(yīng)反應(yīng)（包括非技術(shù)性措施）CC第二部分的功能組件CC第三部分的保證組件IT環(huán)境中軟件、硬件、固件要求目的和要求可以解決已指出的安全問題附加信息PP示例63“包過濾防火墻安全技術(shù)要求”（GB18019）“應(yīng)用級防火墻安全技術(shù)要求”（GB18020）“路由器安全技術(shù)要求”（GB18018）“電信智能卡安全技術(shù)要求”“網(wǎng)上證券委托系統(tǒng)安全技術(shù)要求”“路由器安全技術(shù)要求”（GB18018）示例安全目標(biāo)（ST）65作為指定的TOE評估基礎(chǔ)的一組安全要求和規(guī)范。IT安全目的和要求要求的具體實(shí)現(xiàn)實(shí)用方案適用于產(chǎn)品和系統(tǒng)與ITSECST類似ST的內(nèi)容標(biāo)識ST和TOE（包括版本號），敘述性總結(jié)STTOE背景信息（評估環(huán)境）指明安全問題（要保護(hù)的資產(chǎn)、已知的攻擊、TOE必須使用的組織性安全策略、假設(shè)的安全問題對安全問題的相應(yīng)反應(yīng)（包括非技術(shù)性措施）CC第二部分的功能組件CC第三部分的保證組件IT環(huán)境中軟件、硬件、固件要求IT安全功能滿足哪一個特定的安全功能要求IT保證措施滿足哪一個特定的安全保證要求解釋、證明和其他支持材料、以證實(shí)一致性聲明安全目的、安全要求、IT安全功能和保證措施可以解決已指出的安全問題功能/保證結(jié)構(gòu)67類（如用戶數(shù)據(jù)保護(hù)——FDP）類是安全要求的最高層次組合。一個類中所有成員關(guān)注同一個安全焦點(diǎn)，但覆蓋的安全目的范圍不同。類的成員被稱為子類。關(guān)注共同的安全焦點(diǎn)的一組族，覆蓋不同的安全目的范圍子類（如訪問控制——FDP_ACC）子類是若干組安全要求的組合，這些要求共享同樣的安全目的，但在側(cè)重點(diǎn)和嚴(yán)格性上有所區(qū)別。子類的成員被稱為組件。共享安全目的的一組組件，側(cè)重點(diǎn)和嚴(yán)格性不同功能/保證結(jié)構(gòu)68組件（如子集訪問控制——FDP_ACC.1)組件描述一個特定的安全要求集，它是CC結(jié)構(gòu)中最小的可選安全要求集。包含在PP/ST/包中的最小可選安全要求集CC將傳統(tǒng)的安全要求分成不能再分的構(gòu)件塊用戶/開發(fā)者可以組織這些要求到PP中到ST中組件可以進(jìn)一步細(xì)化功能規(guī)范IT產(chǎn)品和系統(tǒng)的安全行為，應(yīng)做的事69安全功能要求類功能類名所含子類數(shù)審計(jì)（FAU）6密碼支持（FCS）2通信（FCO）2用戶數(shù)據(jù)保護(hù)（FDP）13識別和鑒權(quán)（FIA）6安全管理（FMT）6隱私（FPR）4TSF保護(hù)（FPT）16資源利用（FRU）3TOE訪問（FTA）6可信路徑/通道（FTP）2安全功能要求功能類名所含族數(shù)通信2識別與鑒別6隱私4安全功能保護(hù)16資源利用3安全審計(jì)6TOE訪問6可信路徑/通道2用戶數(shù)據(jù)保護(hù)13安全管理6密碼支持2保證對功能產(chǎn)生信心的方法72TOE安全保證類73保證類保證子類縮寫名稱ACM類：配置管理CM自動化ACM_AUTCM能力ACM_CAPCM范圍ACM_SCPADD類：交付和運(yùn)行分發(fā)ADO_DEL安裝、生成和啟動ADO_IGSADV類：開發(fā)功能規(guī)范ADV_FSP高層設(shè)計(jì)ADV_HLD功能規(guī)范ADV_IMPTSF內(nèi)部ADV_INT底層設(shè)計(jì)ADV_LIDADV_RCR安全策略模型ADV_SPMAGD類：指導(dǎo)性文件管理員指南AGD_ADM用戶指南AGD_USRALC類：生命周期支持開發(fā)安全ALC_DVS缺陷糾正ALC_FLR生命周期定義ALC_LCD工具和技術(shù)ALC_TATATE類：測試覆蓋面ATE_COV深度ATE_DPT功能測試ATE_FUN獨(dú)立性測試ATE_INDAVA類：脆弱性評定隱蔽通道分析AVA_CCA誤用AVA_MSUTOE安全功能強(qiáng)度AVA_SOF脆弱性分析AVA_VLA包74為了滿足一組確定的安全目的而組合在一起的一組可重用的功能或保證組件（如EAL）。IT安全目的和要求功能或保證要求（如EAL）適用于產(chǎn)品和系統(tǒng)與ITSECE-級類似評估保證級（EAL）75由GBXXXX第3部分中保證組件構(gòu)成的包，該包代表了CC預(yù)先定義的保證尺度上的某個位置。預(yù)定義的保證包公認(rèn)的廣泛適用的一組保證要求評估保證級別（EAL）各部分的關(guān)系子類C1C2C3Cn功能(CCPART2)保證(CCPART3)FamilyC1C2C3CnFamilyC1C2C3Cn子類C1C2C3Cn子類C1C2C3Cn子類C1C2C3Cn功能類保證類功能包為構(gòu)建PP或ST而選取的一組可重復(fù)使用的功能要求評估保證級1評估保證級2評估保證級3評估保證級n保護(hù)輪廓(PP)包括一個CC評估保證級的一組可重復(fù)使用且完備的安全要求。安全目標(biāo)(ST)包括一個CC評估保證級的描述TOE的一組完備要求?？砂ūＷo(hù)輪廓、要求和/或其他非CC要求。選擇性擴(kuò)充（非CC）安全要求77評估環(huán)境評估準(zhǔn)則評估方法最終評估結(jié)果評估方案評估批準(zhǔn)/證明證書/

注冊78評估的目的保證技術(shù)產(chǎn)生保證評估給出證據(jù)所有者提供需要置信度那么對策最小化風(fēng)險(xiǎn)到資產(chǎn)79TOE開發(fā)模型80TOE評估過程81TOE評估過程a)一系列TOE證據(jù)，包括作為TOE評估基礎(chǔ)的評估過的ST；b)需要評估的TOE；c)評估準(zhǔn)則、方法學(xué)和體制。評估過程的預(yù)期結(jié)果是對TOE滿足ST中安全要求的確認(rèn)，其形式是評估者依據(jù)評估準(zhǔn)則對TOE得出的一個或多個記載調(diào)查結(jié)果的報(bào)告。這些報(bào)告對TOE（產(chǎn)品或系統(tǒng)）的實(shí)際用戶和潛在用戶非常有用，對開發(fā)者也同樣有用。通過評估獲得的信任度依賴于所達(dá)到的保證要求（即評估保證級）。TOE物理環(huán)境建立安全環(huán)境假設(shè)建立安全目的建立安全要求資產(chǎn)保護(hù)需求TOE目的威脅組織安全政策安全目的功能要求保證要求環(huán)境要求建立TOE概要規(guī)范TOE概要規(guī)范通用準(zhǔn)則要求目錄安全規(guī)范材料(PP/ST)安全需求材料（PP/ST）安全目的材料(PP/ST)安全環(huán)境材料(PP/ST)83要求和規(guī)范的導(dǎo)出評估流程圖評估PPPP評估結(jié)果PP分類已評估

的PP評估STST評估結(jié)果評估TOETOE評估結(jié)果證書分類已評估的TOE84TOE評估結(jié)果的應(yīng)用85可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則（TCSEC)缺陷集中考慮數(shù)據(jù)保密性，而忽略了數(shù)據(jù)完整性、系統(tǒng)可用性等；將安全功能和安全保證混在一起安全功能規(guī)定得過為嚴(yán)格，不便于實(shí)際開發(fā)和測評86信息技術(shù)安全性評估準(zhǔn)則（ITSEC）

與TCSEC的不同安全被定義為保密性、完整性、可用性功能和質(zhì)量/保證分開對產(chǎn)品和系統(tǒng)的評估都適用，提出評估對象（TOE）的概念產(chǎn)品：能夠被集成在不同系統(tǒng)中的軟件或硬件包；系統(tǒng)：具有一定用途、處于給定操作環(huán)境的特殊安全裝置87評測標(biāo)準(zhǔn)對應(yīng)關(guān)系圖知識域：信息安全管理標(biāo)準(zhǔn)89國際信息安全管理重要標(biāo)準(zhǔn)了解國外信息安全管理標(biāo)準(zhǔn)發(fā)展概況掌握ISO27001和ISO27002的主要內(nèi)容了解英國和美國等發(fā)達(dá)國家的信息安全管理標(biāo)準(zhǔn)了解CoBIT和ITIL的用途我國信息安全管理重要標(biāo)準(zhǔn)掌握GB/T20984《信息安全風(fēng)險(xiǎn)評估規(guī)范》的主要內(nèi)容掌握GB/Z24364《信息安全風(fēng)險(xiǎn)管理規(guī)范》的主要內(nèi)容了解GB/Z20985《信息安全事件管理指南》的主要內(nèi)容掌握GB/Z20986《信息安全事件分類分級指南》的主要內(nèi)容掌握GB/T20988《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》的主要內(nèi)容什么是信息安全管理體系ISMS90組織管理體系的一部分，用以確保信息安全源于BS7799，是應(yīng)英國工業(yè)、政府和商業(yè)共同需求而發(fā)展的一種安全管理標(biāo)準(zhǔn)。目前已經(jīng)被采納為國際標(biāo)準(zhǔn)BS7799-1->

ISO17799:2000->ISO17799:2005->ISO27002:2007BS7799-2->ISO27001:2005目前已經(jīng)被20多個國家采納為國家標(biāo)準(zhǔn)，在40多個國家開展了認(rèn)證業(yè)務(wù)建立ISMS的意義91按照國際標(biāo)準(zhǔn)建立信息安全保障體系，不僅會提升組織的信息安全保障能力，同時將會提高組織的市場競爭力（聲譽(yù)、客戶要求）；確保組織對信息系統(tǒng)的管理滿足相關(guān)法律法規(guī)的要求；有利于強(qiáng)化員工的信息安全意識，規(guī)范組織信息安全行為；在組織信息系統(tǒng)受到侵襲時，有能力確保組織業(yè)務(wù)持續(xù)開展,并將損失降到最低程度；將信息安全管理工作常態(tài)化，做到組織信息安全水平的持續(xù)改進(jìn)。ISO27000標(biāo)準(zhǔn)族的體系詞匯要求27000指南應(yīng)用2700227003270042700527007270082701327014270102701127012270152700127006概述和詞匯ISMS審核認(rèn)證機(jī)構(gòu)要求部門間協(xié)作ISM指南ISMS要求E-GOV服務(wù)ISM指南ISMS審核指南ISMS控制審核指南20000-1與27001集成實(shí)施指南IS治理框架ISMS實(shí)用規(guī)則ISMS實(shí)施指南ISM測量IS風(fēng)險(xiǎn)管理92ISO27001（GB/T22080-2008）93ISO/IEC27001:2005的名稱Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-requirements信息技術(shù)-安全技術(shù)-信息安全管理體系-要求解釋建立和維護(hù)文檔化的ISMS的要求是依照ISO27001對組織的ISMS進(jìn)行審核認(rèn)證的基礎(chǔ)ISO27001簡介94ISO27001標(biāo)準(zhǔn)對信息安全管理體系（ISMS）并沒有一個十分明確的定義，可以將其理解為組織管理體系的一部分。ISMS涉及到的內(nèi)容：用于組織信息資產(chǎn)風(fēng)險(xiǎn)管理、確保組織信息安全的、包括為制定、實(shí)施、評審和維護(hù)信息安全策略所需的組織機(jī)構(gòu)、目標(biāo)、職責(zé)、程序、過程和資源。標(biāo)準(zhǔn)要求的ISMS建立過程：制定信息安全方針策略，明確體系范圍，明確管理職責(zé)，通過風(fēng)險(xiǎn)評估確定控制目標(biāo)和控制方式。遵循PDCA體系一旦建立，組織應(yīng)該按規(guī)定要求進(jìn)行運(yùn)作，保持體系的有效性。ISMS應(yīng)形成一定的文檔，包括方針策略、適用性聲明文件和實(shí)施安全控制所需的程序文件。一個文檔化的ISMS應(yīng)該闡述：要保護(hù)的資產(chǎn)，組織進(jìn)行風(fēng)險(xiǎn)管理的途徑，控制目標(biāo)和控制方式，需要的保障程度。PDCA的過程方法相關(guān)方受控的信息安全信息安全要求和期望相關(guān)方檢查Check建立ISMS實(shí)施和運(yùn)行ISMS保持和改進(jìn)ISMS監(jiān)視和評審ISMS規(guī)劃Plan實(shí)施Do處置Act圖應(yīng)用于ISMS過程的PDCA模型95ISO/IEC27001內(nèi)容框架引言總則過程方法與其他管理體系的兼容性范圍1.1總則1.2應(yīng)用規(guī)范性引用文件術(shù)語和定義信息安全管理體系(ISMS)4.1總要求4.2建立和管理ISMS4.2.1建立ISMS4.2.2實(shí)施和運(yùn)行ISMS4.2.3監(jiān)視和評審ISMS4.2.4保持和改進(jìn)ISMS4.3文檔要求4.3.1總則4.3.2文件控制4.3.3記錄控制5管理職責(zé)5.1管理承諾5.2資源管理5.2.1資源提供5.2.2培訓(xùn)、意識和能力6ISMS內(nèi)部審核7ISMS的管理評審7.1總則7.2評審輸入7.3評審輸出8ISMS改進(jìn)8.1持續(xù)改進(jìn)8.2糾正措施8.3預(yù)防措施附錄A控制目標(biāo)和控制措施附錄BOECD原則和本標(biāo)準(zhǔn)附錄CISO9001:2000，ISO14001:1996和本標(biāo)準(zhǔn)96ISO27002（GB/T22081-2008）97ISO/IEC27002:2007的名稱Informationtechnology-Securitytechniques-Codeofpracticeforinformationsecuritymanagement信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則最佳實(shí)踐ISO27002的范圍98本標(biāo)準(zhǔn)給出了一個組織啟動、實(shí)施、保持和改進(jìn)信息安全管理的指南和一般原則。本標(biāo)準(zhǔn)列出的目標(biāo)為通常所接受的信息安全管理的目的提供了指導(dǎo)。本標(biāo)準(zhǔn)的控制目標(biāo)和控制措施的實(shí)施旨在滿足風(fēng)險(xiǎn)評估所識別的要求。本標(biāo)準(zhǔn)可作為建立組織的安全準(zhǔn)則和有效安全管理慣例的實(shí)用指南，并有利于在組織間的活動中建立信心。ISO27002的主要內(nèi)容引言范圍術(shù)語和定義本標(biāo)準(zhǔn)的結(jié)構(gòu)風(fēng)險(xiǎn)評估和處理安全方針信息安全組織資產(chǎn)管理人力資源安全物理和環(huán)境安全通信和操作管理訪問控制信息系統(tǒng)獲取、開發(fā)和維護(hù)信息安全事故管理業(yè)務(wù)連續(xù)性管理符合性11個方面39個控制目標(biāo)133項(xiàng)控制措施標(biāo)準(zhǔn)簡介對風(fēng)險(xiǎn)管理的建議99ITIL簡介ITIL將IT服務(wù)管理分為十個核心流程和一項(xiàng)管理職能。核心流程服務(wù)級別管理IT服務(wù)財(cái)務(wù)管理能力管理IT服務(wù)持續(xù)性管理可用性管理配置管理變更管理發(fā)布管理事故管理問題管理管理職服務(wù)臺ITIL簡介服務(wù)提供流

程

服

務(wù)支持流程ITIL簡介80年代中期,英國政府部門發(fā)現(xiàn)提供給其的IT服務(wù)質(zhì)量不佳,于是要求當(dāng)時的政府計(jì)算機(jī)和電信局(CCTA)(后來并

入英國政府商務(wù)部(OGC)),啟動一個

項(xiàng)目對此進(jìn)行調(diào)查,并開發(fā)一套有效的和可進(jìn)行財(cái)務(wù)計(jì)量的IT資源使用方法以供本國的政府部門和私有部門使用。Cobit簡介COBIT（ControlObjectivesforInformationandrelatedTechnology）：即信息系統(tǒng)和技術(shù)控制目標(biāo)。成立于1969年的美國信息系統(tǒng)審計(jì)與控制協(xié)會(ISACA)，于1996推出了用于“IT審計(jì)”的知識體系COBIT。“IT審計(jì)”已經(jīng)成為眾多國家的政府部門、企業(yè)對IT的計(jì)劃與組織、采購與實(shí)施、服務(wù)提供與服務(wù)支持、監(jiān)督與控制等進(jìn)行全面考核與認(rèn)可的業(yè)界標(biāo)準(zhǔn)。COBIT的主要組件執(zhí)行摘要管理指引框架控制目標(biāo)實(shí)施工具集審計(jì)準(zhǔn)則為什么使用最高管理層尤其需要明確良好的信息管理是否可以使企業(yè)：提高目標(biāo)實(shí)現(xiàn)的可能性；更好的學(xué)習(xí)能力和適應(yīng)能力；明智地管理所面臨的風(fēng)險(xiǎn)；及時發(fā)現(xiàn)并抓住機(jī)遇。為什么使用成功的企業(yè)能夠理解風(fēng)險(xiǎn)，并充分利用IT的優(yōu)勢找到對策以：使IT戰(zhàn)略與業(yè)務(wù)戰(zhàn)略保持一致；向股東和投資者保證，組織在控制IT風(fēng)險(xiǎn)方面滿足應(yīng)有的審慎性標(biāo)準(zhǔn)；將IT戰(zhàn)略和目標(biāo)逐層分解到企業(yè)；實(shí)現(xiàn)IT投資價值；建立能夠充分實(shí)現(xiàn)戰(zhàn)略和目標(biāo)的組織架構(gòu)；在業(yè)務(wù)、IT和外部相關(guān)方之間建立建設(shè)性的關(guān)系及有效的溝通渠道；考評IT績效。企業(yè)如果未采用并實(shí)施IT治理和控制框架，則無法有效滿足以下業(yè)務(wù)和治理方面的要求：建立IT與業(yè)務(wù)需求的聯(lián)系；針對這些業(yè)務(wù)需求制定清晰的IT績效；采用公認(rèn)的過程模型組織IT活動；識別關(guān)鍵IT資源以作調(diào)整；制定所需的管理控制目標(biāo)。為什么使用此外，IT治理和控制框架已經(jīng)變成IT管理最佳實(shí)踐的一部分，并促使建立IT治理，符合不斷增加的合規(guī)性要求。誰使用關(guān)注IT投資創(chuàng)造價值的企業(yè)內(nèi)部利益相關(guān)方：投資決策人；需求制定人；IT服務(wù)對象。提供IT服務(wù)的內(nèi)外部利益相關(guān)方：IT組織和流程的管理人員；IT功能開發(fā)人員；IT運(yùn)營服務(wù)人員。負(fù)責(zé)控制或風(fēng)險(xiǎn)管理的內(nèi)外部利益相關(guān)方：負(fù)責(zé)安全、隱私和/或風(fēng)險(xiǎn)管理的人員；履行合規(guī)職能的人員；要求或提供保證服務(wù)的人員。內(nèi)部控制成熟度模型成熟等級內(nèi)部控制環(huán)境狀態(tài)內(nèi)部控制的建立0無級別沒有認(rèn)識到內(nèi)部控制的必要性?？刂撇皇墙M織文化或使命的一部分。存在控制缺乏和事件的高風(fēng)險(xiǎn)。沒有評估內(nèi)部控制必要性的意識。事件升級時才被處理。1初始級對內(nèi)部控制必要性有一定認(rèn)識。風(fēng)險(xiǎn)和控制需求的方法是非正式和無組織的，沒有溝通或監(jiān)控。不足沒有被識別出來。雇員不知道他們的職責(zé)。沒有評估需要什么IT控制的意識。當(dāng)執(zhí)行高層次評估時，對重要事件的反應(yīng)只是在非正式的基礎(chǔ)之上。評估只涉及實(shí)際發(fā)生的事件。3定義級控制適當(dāng)而且被充分的文件化。運(yùn)營的有效性被定期評價并且有問題的平均數(shù)量。然而，評估流程沒有文件化。當(dāng)管理層能夠處理預(yù)期的大部分控制問題時，存在一些控制弱點(diǎn)而且影響仍然嚴(yán)重。雇員知道他們的有關(guān)控制的職責(zé)?；趦r值和風(fēng)險(xiǎn)驅(qū)動來識別關(guān)鍵IT流程。通過詳細(xì)分析來識別控制需求、差距的根本原因和開發(fā)改進(jìn)的時機(jī)。除專題研討會外，使用工具和訪談以支持分析結(jié)論，確保IT流程所有者擁有并且推動評估和改進(jìn)流程。內(nèi)部控制成熟度模型成熟等級內(nèi)部控制環(huán)境狀態(tài)內(nèi)部控制的建立4可管理級存在有效的內(nèi)部控制和風(fēng)險(xiǎn)管理環(huán)境。定期進(jìn)行正式的文件化控制評估。很多控制是自動化的并且被定期審查。管理層很可能檢測到大部分控制問題。一致致力于已識別控制缺陷的解決。有限的、戰(zhàn)術(shù)層面的技術(shù)被應(yīng)用到自動化控制中。IT流程關(guān)鍵程度在相應(yīng)業(yè)務(wù)流程所有者的充分的支持和協(xié)商下被定期的定義?？刂菩枨蟮脑u估是基于這些流程的政策和實(shí)際成熟度，根據(jù)一個包括關(guān)鍵利益相關(guān)方的全面和標(biāo)準(zhǔn)的分析。這些評估的責(zé)任是清晰和強(qiáng)制性的。改進(jìn)策略得到業(yè)務(wù)支持。達(dá)到期望結(jié)果的績效被一貫地監(jiān)控。有時組織外部控制審閱。5優(yōu)化級整個企業(yè)的風(fēng)險(xiǎn)和控制程序提供了持續(xù)和有效的控制及風(fēng)險(xiǎn)問題的解決方法。內(nèi)部控制和風(fēng)險(xiǎn)管理與企業(yè)實(shí)踐整合在一起，企業(yè)實(shí)踐由自動化的實(shí)時監(jiān)控所支持，該監(jiān)控全面負(fù)責(zé)控制監(jiān)控、風(fēng)險(xiǎn)管理和合規(guī)執(zhí)行。控制評估是持續(xù)的，是基于自我評估、差距和根本原因分析的。雇員主動參與控制改進(jìn)。業(yè)務(wù)變更考慮IT流程的關(guān)鍵性，并且包含任何重新評估流程控制能力的必要性。IT流程的所有者定期執(zhí)行自我評估，確認(rèn)控制處于符合業(yè)務(wù)需要的正確的成熟度水平，考慮了成熟度的屬性以找到使控制更加有效和高效的途徑。組織根據(jù)外部最佳實(shí)踐來制定標(biāo)準(zhǔn)，并尋求內(nèi)部控制有效性的外部建議。對于關(guān)鍵流程，采取獨(dú)立的審閱，以提供控制在所需的成熟度水平和按計(jì)劃工作的保證。應(yīng)用方法為滿足上述要求，IT治理和控制框架應(yīng)：以業(yè)務(wù)為中心，確保IT目標(biāo)與業(yè)務(wù)目標(biāo)保持一致；采用預(yù)定結(jié)構(gòu)的框架，以便易于使用，以流程為導(dǎo)向明確所需覆蓋的范圍及程度；采納與IT最佳實(shí)踐和標(biāo)準(zhǔn)一致的做法，并獨(dú)立于特定的技術(shù)；使用能夠被所有利益相關(guān)方理解的通用術(shù)語和定義；通過與公認(rèn)的公司治理標(biāo)準(zhǔn)(COSO)以及監(jiān)管機(jī)構(gòu)、外部審計(jì)人員所要求的IT控制保持一致，幫助組織滿足合規(guī)性要求。COBIT如何滿足要求COBIT框架基于以下主要特點(diǎn)制定：以業(yè)務(wù)為中心、以流程為導(dǎo)向、以控制為基礎(chǔ)、以績效測評為驅(qū)動。以業(yè)務(wù)為中心效果：涉及到信息與業(yè)務(wù)流程相關(guān)程度的屬性，以及信息交付的及時性、正確性、一致性和可用性；效率：通過優(yōu)化(生產(chǎn)率最高且符合經(jīng)濟(jì)效益)資源使用來提供信息；保密性：保護(hù)敏感信息，避免未經(jīng)授權(quán)的披露；完整性：與信息的準(zhǔn)確度和完全性有關(guān)的屬性，與業(yè)務(wù)價值和預(yù)期相一致；可用性：與業(yè)務(wù)流程對信息的當(dāng)前或未來可使用性相關(guān)的屬性，也包括所需資源和相關(guān)能力的安全性；符合性：涉及業(yè)務(wù)流程與所需遵守的法律、法規(guī)及合同約定之間的符合程度的屬性，即外部的強(qiáng)制要求和內(nèi)部政策的遵循性；可靠性：為管理者提供可靠的信息，以運(yùn)營相關(guān)實(shí)體并履行所賦予的職責(zé)。以業(yè)務(wù)為中心為提供實(shí)現(xiàn)業(yè)務(wù)目標(biāo)所需的企業(yè)信息，企業(yè)需要采用一套系統(tǒng)化的IT流程來投資、管理和控制IT資源，來提供企業(yè)信息服務(wù)。管理并控制信息是COBIT框架的核心，有助于確保與業(yè)務(wù)需求保持一致。以業(yè)務(wù)為中心以流程為導(dǎo)向這四個域分別是：計(jì)劃與組織、獲取與實(shí)施、交付與支持、監(jiān)控與評價。這些域映射到傳統(tǒng)的IT職責(zé)域：計(jì)劃、建設(shè)、運(yùn)行和監(jiān)控。以流程為導(dǎo)向計(jì)劃與組織(PO)：為提供解決方案(AI)和提供服務(wù)(DS)落實(shí)方針；獲取與實(shí)施(AI)：提供解決方案并將其轉(zhuǎn)化成為服務(wù)；交付與支持(DS)：接受解決方案，使之為最終用戶所用；監(jiān)控與評價(ME)：監(jiān)控所有流程確保遵循既定方針。以控制為基礎(chǔ)控制是指為合理保證業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)，預(yù)防、檢查和糾正非預(yù)期事件的發(fā)生所制定的一系列政策、規(guī)程、實(shí)務(wù)和組織架構(gòu)。IT控制目標(biāo)提供了一系列完整的高層需求，用于管理層對每個IT流程進(jìn)行有效控制時予以考慮，包括：管理宗旨是增加價值還是降低風(fēng)險(xiǎn)；政策、程序、實(shí)務(wù)和組織架構(gòu)；能否預(yù)防、檢查和糾正非預(yù)期事件的發(fā)生以便為業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)提供合理保證。針對這些控制目標(biāo)，企業(yè)管理層需要做出以下選擇：選擇適當(dāng)?shù)哪繕?biāo)確定要實(shí)現(xiàn)的目標(biāo)選擇如何實(shí)現(xiàn)目標(biāo)（頻率、范圍、自動控制等）接受未實(shí)現(xiàn)目標(biāo)可能帶來的風(fēng)險(xiǎn)以控制為基礎(chǔ)當(dāng)設(shè)定了供暖系統(tǒng)（處理流程）的室溫（標(biāo)準(zhǔn)）時，系統(tǒng)會持續(xù)檢查（比較）房間的環(huán)境溫度（控制信息）并指示供暖系統(tǒng)提供更多或更少的熱量（糾正）。以控制為基礎(chǔ)COBIT的每個IT流程都有一個流程描述和多個控制目標(biāo)，作為一個整體，是最佳管理流程的基本特征。以控制為基礎(chǔ)：業(yè)務(wù)控制和IT控制企業(yè)的內(nèi)部控制系統(tǒng)在以下三個層次上影響IT：在執(zhí)行管理層：設(shè)定企業(yè)目標(biāo)、制定政策、作出關(guān)于如何部署和管理企業(yè)資源以執(zhí)行企業(yè)戰(zhàn)略的決策。董事會確定治理和控制的整體方式并在企業(yè)范圍內(nèi)貫徹。在業(yè)務(wù)流程層：控制具體的業(yè)務(wù)活動。為支持業(yè)務(wù)流程，IT通常采用共享服務(wù)的方式為許多業(yè)務(wù)流程提供IT服務(wù)，因?yàn)樵S多的IT開發(fā)和操作流程需提供給整個企業(yè)，并且大多數(shù)的IT基礎(chǔ)設(shè)施是公用的(如，網(wǎng)絡(luò)、數(shù)據(jù)庫、操作系統(tǒng)和存儲)。一般控制的可靠運(yùn)行是保障應(yīng)用控制可靠性的必備條件，例如：缺乏變更管理將危及（意外或蓄意的）自動化系統(tǒng)完整性檢查的可靠性。以控制為基礎(chǔ)：IT一般控制和應(yīng)用控制一般控制是指那些嵌入到IT流程和服務(wù)中的控制，例如：系統(tǒng)開發(fā)；變更管理；安全；系統(tǒng)日常運(yùn)營。嵌入到業(yè)務(wù)流程應(yīng)用系統(tǒng)的控制通常稱為應(yīng)用控制。例如：完整性；準(zhǔn)確性；有效性；授權(quán)；職責(zé)分離。以控制為基礎(chǔ)以測評為驅(qū)動COBIT通過以下方式來解決這些問題：采用成熟度模型實(shí)施基準(zhǔn)管理以識別所需的能力改進(jìn)；

IT流程的績效目標(biāo)和指標(biāo)指明了IT流程如何滿足業(yè)務(wù)目標(biāo)和IT目標(biāo)，并基于平衡記分卡的原理用于測量內(nèi)部流程的績效；采用流程活動的目標(biāo)去促進(jìn)有效的流程績效。以測評為驅(qū)動成熟度模型1.一種衡量方法，以確定企業(yè)所處的位置；2.一套工作方式，以有效決定將要達(dá)到的水平；3.一組測量工具，以針對目標(biāo)評估流程結(jié)果。使用為每一個IT流程設(shè)計(jì)的成熟度模型，管理層可以找出：企業(yè)的實(shí)際績效—當(dāng)前所處的位置行業(yè)的當(dāng)前狀況—比較企業(yè)的改進(jìn)目標(biāo)—期望達(dá)到的位置在‘當(dāng)前’和‘獲取’之間所需的成長路徑以測評為驅(qū)動以測評為驅(qū)動以測評為驅(qū)動COBIT在三個層次上制定了目標(biāo)和衡量指標(biāo)：IT目標(biāo)和指標(biāo)，定義了業(yè)務(wù)對IT的期望和如何測評；流程目標(biāo)和指標(biāo)，定義了IT流程為了滿足IT目標(biāo)必須交付的服務(wù)和如何進(jìn)行評估；活動目標(biāo)和指標(biāo)，確定為達(dá)到所需性能而采取的流程內(nèi)活動以及如何測評。以測評為驅(qū)動以測評為驅(qū)動以測評為驅(qū)動COBIT框架模型COBIT框架模型COBIT框架模型COBIT的流程模型包括四個域，34個通用流程，管理IT資源以交付滿足業(yè)務(wù)和治理要求的信息。其他幾個信息安全管理標(biāo)準(zhǔn)GB/T20984《信息安全風(fēng)險(xiǎn)評估規(guī)范》GB/Z24364《信息安全風(fēng)險(xiǎn)管理規(guī)范》GB/Z20985《信息安全事件管理指南》GB/Z20986《信息安全事件分類分級指南》GB/T20988《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》135GB/T20984《信息安全風(fēng)險(xiǎn)評估規(guī)范》GB/T20984《信息安全風(fēng)險(xiǎn)評估規(guī)范》GB/Z24364《信息安全風(fēng)險(xiǎn)管理規(guī)范》GB/Z20985《信息安全事件管理指南》GB/Z20986《信息安全事件分類分級指南》GB/T20988《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》136GB/Z24364《信息安全風(fēng)險(xiǎn)管理規(guī)范》本標(biāo)準(zhǔn)提出了風(fēng)險(xiǎn)評估的基本概念、要素關(guān)系、分析原理、實(shí)施流程和評估方法，以及風(fēng)險(xiǎn)評估在信息系統(tǒng)生命周期不同階段的實(shí)施要點(diǎn)和工作形式。本標(biāo)準(zhǔn)適用于規(guī)范組織開展的風(fēng)險(xiǎn)評估工作。137風(fēng)險(xiǎn)評估要素關(guān)系圖138139風(fēng)險(xiǎn)評估實(shí)施流程信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評估信息系統(tǒng)生命周期規(guī)劃階段的風(fēng)險(xiǎn)評估設(shè)計(jì)階段的風(fēng)險(xiǎn)評估實(shí)施階段的風(fēng)險(xiǎn)評估運(yùn)行維護(hù)階段的風(fēng)險(xiǎn)評估廢棄階段的風(fēng)險(xiǎn)評估140GB/Z20985《信息安全事件管理指南》本標(biāo)準(zhǔn)規(guī)定了信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程，并提供了信息系統(tǒng)生命周期不同階段的信息安全風(fēng)險(xiǎn)管理措施。本標(biāo)準(zhǔn)適用于指導(dǎo)組織進(jìn)行信息安全風(fēng)險(xiǎn)管理工作。141信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程142GB/Z20986《信息安全事件分類分級指南》本指導(dǎo)性技術(shù)文件為信息安全事件的分類分級提供指導(dǎo)，用于信息安全事件的防范與處置，為事前準(zhǔn)備、事中應(yīng)對、事后處理提供一個基礎(chǔ)指南，可供信息系統(tǒng)和基礎(chǔ)信息傳輸網(wǎng)絡(luò)的運(yùn)營和使用單位以及信息安全主管部門參考使用。143信息安全事件分類信息安全事件分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件等7個基本分類，每個基本分類分別包括若干個子類。144對信息安全事件的分級主要考慮三個要素：信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響。信息系統(tǒng)的重要程度主要考慮信息系統(tǒng)所承載的業(yè)務(wù)對國家安全、經(jīng)濟(jì)建設(shè)、社會生活的重要性以及業(yè)務(wù)對信息系統(tǒng)的依賴程度，劃分為特別重要信息系統(tǒng)、重要信息系統(tǒng)和一般信息系統(tǒng)。系統(tǒng)損失是指由于信息安全事件對信息系統(tǒng)的軟硬件、功能及數(shù)據(jù)的破壞，導(dǎo)致系統(tǒng)業(yè)務(wù)中斷，從而給事發(fā)組織所造成的損失，其大小主要考慮恢復(fù)系統(tǒng)正常運(yùn)行和消除安全事件負(fù)面影響所需付出的代價，劃分為特別嚴(yán)重的系統(tǒng)損失、嚴(yán)重的系統(tǒng)損失、較大的系統(tǒng)損失和較小的系統(tǒng)損失。社會影響是指信息安全事件對社會所造成影響的范圍和程度，其大小主要考慮國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公眾利益等方面的影響，劃分為特別重大的社會影響、重大的社會影響、較大的社會影響和一般的社會影響。信息安全事件分級145信息安全事件級特別重大事件（Ⅰ級）特別重大事件是指能夠?qū)е绿貏e嚴(yán)重影響或破壞的信息安全事件，包括以下情況：a)會使特別重要信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失；b)產(chǎn)生特別重大的社會影響。重大事件（Ⅱ級）重大事件是指能夠?qū)е聡?yán)重影響或破壞的信息安全事件，包括以下情況：a)會使特別重要信息系統(tǒng)遭受嚴(yán)重的系統(tǒng)損失、或使重要信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失；b)產(chǎn)生的重大的社會影響。146信息安全事件分級較大事件（Ⅲ級）較大事件是指能夠?qū)е螺^嚴(yán)重影響或破壞的信息安全事件，包括以下情況：a)會使特別重要信息系統(tǒng)遭受較大的系統(tǒng)損失、或使重要信息系統(tǒng)遭受嚴(yán)重的系統(tǒng)損失、一般信息信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失；b)產(chǎn)生較大的社會影響。一般事件（Ⅳ級）一般事件是指不滿足以上條件的信息安全事件，包括以下情況：a)會使特別重要信息系統(tǒng)遭受較小的系統(tǒng)損失、或使重要信息系統(tǒng)遭受較大的系統(tǒng)損失，一般信息系統(tǒng)遭受嚴(yán)重或嚴(yán)重以下級別的系統(tǒng)損失；b)產(chǎn)生一般的社會影響。147信息安全事件管理的4個過程148規(guī)劃和準(zhǔn)備a)XXX信息安全事件處理小組制定信息安全事件管理策略，獲得XXX信息安全決策委員會的承諾b)XXX信息安全事件處理小組制定信息安全事件管理方案c)XXX信息安全事件處理小組對公司及系統(tǒng)／服務(wù)／網(wǎng)絡(luò)安全進(jìn)行風(fēng)險(xiǎn)分析和管理，更新策略d)XXX信息安全管理委員會發(fā)布信息安全事件管理意識簡報(bào)并開展培訓(xùn)e)XXX信息安全事件處理小組測試信息安全事件管理方案使用a)XXX信息安全事件處理小組檢測并報(bào)告信息安全事態(tài)b)XXX信息安全管理委員會評估并決定是否將事態(tài)歸類為信息安全事件c)XXX信息安全事件處理小組對信息安全事件做出響應(yīng)，其中包括進(jìn)行法律取證分析評審a)XXX信息安全事件處理小組進(jìn)一步進(jìn)行法律取證分析b)總結(jié)經(jīng)驗(yàn)教訓(xùn)c)確定安全的改進(jìn)之處d)確定信息安全事件管理方案的改進(jìn)之處

改進(jìn)a)改進(jìn)安全風(fēng)險(xiǎn)分析和管理評審的結(jié)果b)啟動對安全的改進(jìn)c)改進(jìn)信息安全事件管理方案GB/T20988《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》本標(biāo)準(zhǔn)規(guī)定了信息系統(tǒng)災(zāi)難恢復(fù)應(yīng)遵循的基本要求。本標(biāo)準(zhǔn)適用于信息系統(tǒng)災(zāi)難恢復(fù)的規(guī)劃、審批、實(shí)施和管理。信息系統(tǒng)的災(zāi)難恢復(fù)工作，包括災(zāi)難恢復(fù)規(guī)劃和災(zāi)難備份中心的日常運(yùn)行、關(guān)鍵業(yè)務(wù)功能在災(zāi)難備份中心的恢復(fù)和重續(xù)運(yùn)行，以及主系統(tǒng)的災(zāi)后重建和回退工作，還涉及突發(fā)事件發(fā)生后的應(yīng)急響應(yīng)。149災(zāi)難恢復(fù)規(guī)劃過程災(zāi)難恢復(fù)規(guī)劃是一個周而復(fù)始、持續(xù)改進(jìn)的過程，包含以下幾個階段：災(zāi)難恢復(fù)需求的確定；災(zāi)難恢復(fù)策略的制定；災(zāi)難恢復(fù)策略的實(shí)現(xiàn)；災(zāi)難恢復(fù)預(yù)案的制定、落實(shí)和管理。150附錄：災(zāi)難恢復(fù)能力等級劃分第1級：基本支持第2級：備用場地支持第3級：電子傳輸和部分設(shè)備支持第4級：電子傳輸及完整設(shè)備支持第5級：實(shí)時數(shù)據(jù)傳輸及完整設(shè)備支持第6級：數(shù)據(jù)零丟失和遠(yuǎn)程集群支持151知識域：等級保護(hù)標(biāo)準(zhǔn)等級保護(hù)定級指南了解GB/T22240《信息系統(tǒng)安全保護(hù)等級定級指南》的主要內(nèi)容掌握五個信息系統(tǒng)安全保護(hù)等級的定義掌握系統(tǒng)定級的要素、基本方法和流程等級保護(hù)基本要求了解GB/T22239《信息系統(tǒng)安全等級保護(hù)基本要求》的主要內(nèi)容掌握五個信息系統(tǒng)安全保護(hù)等級對應(yīng)的安全保護(hù)能力級別掌握管理基本要求包含的五個方面以及安全技術(shù)要求包含的五個方面等級保護(hù)其它重要標(biāo)準(zhǔn)了解《信息系統(tǒng)安全等級保護(hù)實(shí)施指南》的主要內(nèi)容了解《信息系統(tǒng)安全等級保護(hù)測評準(zhǔn)則》的主要內(nèi)容152什么是等級保護(hù)？《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（1994年國務(wù)院147號令）第九條計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級保護(hù)。安全等級的劃分標(biāo)準(zhǔn)和安全等級保護(hù)的具體辦法，由公安部會同有關(guān)部門制定。GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》第一級:用戶自主保護(hù)級；第二級:系統(tǒng)審計(jì)保護(hù)級；第三級:安全標(biāo)記保護(hù)級；第四級:結(jié)構(gòu)化保護(hù)級；第五級:訪問驗(yàn)證保護(hù)級；153等級保護(hù)標(biāo)準(zhǔn)族的五級劃分信息系統(tǒng)根據(jù)其在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度，遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等，由低到高劃分為五級第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家安全。第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。154等級保護(hù)相關(guān)法律、政策《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（1994年國務(wù)院147號令－－第9條）《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號）《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》（公通字[2004]66號）《信息安全等級保護(hù)管理辦法》（公通字[2007]43號）關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知（公信安[2007]861號）關(guān)于開展信息安全等級保護(hù)安全建設(shè)整改工作的指導(dǎo)意見（公信安[2009]1429號）155十大標(biāo)準(zhǔn)基礎(chǔ)類《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》GB17859-1999《信息系統(tǒng)安全等級保護(hù)實(shí)施指南》GB/T25058-2010應(yīng)用類定級：《信息系統(tǒng)安全保護(hù)等級定級指南》GB/T22240-2008建設(shè)：《信息系統(tǒng)安全等級保護(hù)基本要求》GB/T22239-2008《信息系統(tǒng)通用安全技術(shù)要求》GB/T20271-2006《信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求》GB/T25070-2010測評：《信息系統(tǒng)安全等級保護(hù)測評要求

《信息系統(tǒng)安全等級保護(hù)測評過程指南》管理：《信息系統(tǒng)安全管理要求》GB/T20269-2006《信息系統(tǒng)安全工程管理要求》GB/T20282-2006156其它相關(guān)標(biāo)準(zhǔn)技術(shù)類GB/T21052-2007信息安全技術(shù)信息系統(tǒng)物理安全技術(shù)要求GB/T20270-2006信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求GB/T20272-2006信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求GB/T20273-2006信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求其他信息產(chǎn)品、信息安全產(chǎn)品等。。。其他類GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范GB/T20285-2007信息安全技術(shù)信息安全事件管理指南GB/Z20986-2007信息安全技術(shù)信息安全事件分類分級指南GB/T20988-2007信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范

157邏輯關(guān)系劃分準(zhǔn)則定級指南基本要求測評要求技術(shù)設(shè)計(jì)要求實(shí)施指南測評過程指南GB/T20269安全管理GB/T20270網(wǎng)絡(luò)基礎(chǔ)GB/T20271通用安全技術(shù)GB/T20272操作系統(tǒng)GB/T20273數(shù)據(jù)庫GB/T20282安全工程管理等級保護(hù)158GB/T20984風(fēng)險(xiǎn)評估實(shí)施指南－－GB/T25058-2010等級保護(hù)實(shí)施過程基本原則主要過程及其活動角色、職責(zé)基本流程等級變更局部調(diào)整信息系統(tǒng)定級總體安全規(guī)劃安全設(shè)計(jì)與實(shí)施安全運(yùn)行維護(hù)信息系統(tǒng)終止國家管理部門（4家）信息系統(tǒng)主管部門信息系統(tǒng)運(yùn)營、使用單位信息安全服務(wù)機(jī)構(gòu)信息安全等級測評機(jī)構(gòu)信息安全產(chǎn)品供應(yīng)商159實(shí)施指南－－GB/T25058-2010主要階段主要過程活動活動輸入活動輸出信息系統(tǒng)定級信息系統(tǒng)分析系統(tǒng)識別和描述信息系統(tǒng)的立項(xiàng)、建設(shè)、管理文檔信息系統(tǒng)總體描述文件信息系統(tǒng)劃分信息系統(tǒng)總體描述文件*信息系統(tǒng)詳細(xì)描述文件安全保護(hù)等級確定定級、審核和批準(zhǔn)信息系統(tǒng)總體描述文件信息系統(tǒng)詳細(xì)描述文件定級結(jié)果形成定級報(bào)告信息系統(tǒng)總體描述文件信息系統(tǒng)詳細(xì)描述文件定級結(jié)果*信息系統(tǒng)安全保護(hù)等級定級報(bào)告總體安全規(guī)劃安全需求分析基本安全需求確定信息系統(tǒng)詳細(xì)描述文件信息系統(tǒng)安全保護(hù)等級定級報(bào)告信息系統(tǒng)安全等級保護(hù)基本要求信息系統(tǒng)相關(guān)的其它文檔基本安全需求額外/特殊安全需求的確定信息系統(tǒng)詳細(xì)描述文件信息系統(tǒng)安全保護(hù)等級定級報(bào)告信息系統(tǒng)相關(guān)的其它文檔重要資產(chǎn)的特殊保護(hù)要求形成安全需求分析報(bào)告信息系統(tǒng)詳細(xì)描述文件信息系統(tǒng)安全保護(hù)等級定級報(bào)告信息系統(tǒng)安全等級保護(hù)基本要求基本安全需求重要資產(chǎn)的特殊保護(hù)要求*安全需求分析報(bào)告注：*標(biāo)注的輸出文件為比較重要的文件。160實(shí)施指南－－GB/T25058-2010主要階段主要過程活動活動輸入活動輸出總體安全規(guī)劃安全總體設(shè)計(jì)總體安全策略設(shè)計(jì)信息系統(tǒng)詳細(xì)描述文件信息系統(tǒng)安全保護(hù)等級定級報(bào)告安全需求分析報(bào)告總體安全策略文件各級系統(tǒng)安全技術(shù)措施設(shè)計(jì)