信息平安相關標準介紹平安效勞部袁曙光聯想網御科技〔北京〕目錄信息平安標準概述等級保護標準聯想網御信息平安ISO27000系列標準

ITIL與ISO20000

企業內控相關標準什么是標準“沒有規矩，不成方圓〞主要的信息平安標準－國際標準發布的機構安全標準1ISO（國際標準組織）ISO17799/ISO27001/ISO27002ISO/IEC15408ISO/IEC13335ISO/TR135692ISACA（信息系統審計與控制學會）COBIT4.13ISSEA（國際系統安全工程協會）SSE-CMMSystemsSecurityEngineering-CapabilityMaturityModel3.04ISSA（信息系統安全協會）GAISPVersion3.05ISF(信息安全論壇）TheStandardofGoodPracticeforInformationSecurity6IETF（互聯網工程任務小組）各種RFC（RequestforComments）主要的信息平安標準－國際標準(續〕發布的機構安全標準7NIST（國家標準和技術研究所）NIST800系列8DOD(美國國防部)TCSEC（可信計算機系統評測標準）－彩虹系列9CarnegieMellonSoftwareEngineeringInstitute(SEI)OperationallyCriticalThreat,Asset,andVulnerabilityEvaluation(OCTAVE)CriteriaVersion2.010OECD（經濟與貿易發展組織）GuidelinesfortheSecurityofInformationSystemsandNetworksandAssociatedImplementationPlan11TheOpenGroupManager’sGuidetoInformationSecurity12ITILSecuritymanagement除了上述標準，世界各國的官方機構和行業監管機構還有許多信息平安方面的標準、指引和建議的操作實踐。主要的信息平安標準－國內標準發布的機構安全標準1全國信息安全標準化技術委員會等級保護系列標準信息安全技術信息系統安全等級保護基本要求信息安全技術信息系統安全等級保護定級指南信息安全技術信息系統安全等級保護實施指南其他信息安全標準－截至2007年底，共完成了國家標準59項，還有56項國家標準在研制中。2公安部、安全部、國家保密局、國家密碼管理委員會等部門一系列的信息安全方面的政策法規如：計算機信息網絡國際聯網安全保護管理辦法互聯網信息服務管理辦法計算機信息系統保密管理暫行規定計算機軟件保護條例商用密碼管理條例，等。第7

頁信息平安標準的演進各個主流標準的使用位置目錄信息平安標準概述等級保護標準聯想網御信息平安ISO27000系列標準

ITIL與ISO20000

企業內控相關標準等級保護相關法規重要法規梳理27號文：明確指出“實行信息平安等級保護〞，這是我國第一個信息平安保障工作的綱領性文件。66號文：等級保護是今后國家信息平安的根本制度也是根本方法、等級保護制度的重要意義、原那么、根本內容、工作職責分工、工作要求和實施方案。43號文：明確五個平安等級，確立了等級保護主要內容是定級、備案、系統建設整改、等級測評、監督檢查。736號文：是等級保護檢查工作制定的工作標準，在檢查依據、內容、程序、形式、時限要求等方面了詳細規定。2021年10月發布?關于開展信息平安等級保護平安建設整改工作的指導意見?，是信息系統定級備案工作完成后，開展信息平安等級保護后續工作的指導性文件。類別要求公安機關監督、檢查、指導。國家保密工作部門保密工作的監督、檢查、指導。國家密碼管理部門密碼工作的監督、檢查、指導。工信部信息安全協調司部門間的協調其他職能部門依據國際法律法規的規定我國信息平安等級保護職責分工等級保護職責分工原那么誰主管、誰負責誰運營、誰負責誰建設、誰負責等級保護標準體系—根底類標準?計算機信息系統平安保護等級劃分準那么?〔GB17859-1999〕?信息系統平安等級保護根本要求?〔GB/T22239-2021〕等級保護標準體系—應用類標準等級測評?信息系統平安等級保護測評要求?〔報批稿〕?信息系統平安等級保護測評過程指南?〔報批稿〕?信息系統平安管理測評?〔GA/T713-2007〕等級保護標準體系—產品類標準等級保護標準體系—其他類標準風險評估?信息平安風險評估標準?〔GB/T20984-2007〕事件管理?信息平安事件管理指南?〔GB/Z20985-2007〕?信息平安事件分類分級指南?〔GB/Z20986-2007〕?信息系統災難恢復標準?〔GB/T20988-2007〕等級保護標準關系信息系統安全等級保護基本要求GB/T22239-2008計算機信息系統安全保護等級劃分準則（GB17859）信息系統通用安全技術要求信息系統物理安全技術要求技術類其他技術類標準信息系統安全管理要求信息系統安全工程管理要求其他管理類標準信息系統安全等級保護定級指南(GB/T22240-2008)信息系統安全等級保護基本要求的行業細則信息系統安全等級保護測評過程指南信息系統安全等級保護測評要求信息系統等級保護安全設計技術要求管理類產品類數據庫管理系統安全技術要求其他產品類標準信息系統安全等級保護行業定級細則操作系統安全技術要求信息安全等級保護安全建設網絡基礎安全技術要求網絡和終端設備隔離部件技術要求安全等級基線要求狀況分析方法指導信息系統安全等級保護實施指南?關于開展信息平安等級保護平安建設整改工作的指導意見??計算機信息系統平安保護等級劃分準那么?〔GB17859-1999〕?信息系統平安等級保護根本要求?〔GB/T22239-2021〕?信息系統平安等級保護實施指南?〔報批稿〕指導意見指導意見中的“工作目標〞〔一〕工作主體—各地區、各部門，這其中包括信息系統備案單位；〔二〕工作對象—平安保護等級為第三級以上的信息系統；〔三〕工作內容—信息系統等級測評工作、信息系統平安建設整改工作、等級保護工作監督、檢查；〔五〕時間要求—總體上用三年時間完成重要信息系統平安建設工作。各地區、各部門要于2021年底前完成工作部署，從2021年開始到2021年底前完成全國三級以上重要信息系統平安建設工作。為表達“突出重點、保護重點〞的原那么，平安保護等級為第四級的信息系統應于2021年底前完成等級保護平安建設工作；建設整改的流程信息系統安全管理建設信息系統安全技術建設開展信息系統安全自查和等級測評信息系統安全保護現狀分析信息系統安全建設整改工作規劃和工作部署確定安全策略，制定安全建設整改方案物理安全網絡安全主機安全應用安全數據安全安全管理機構安全管理制度人員安全管理系統建設管理系統運行管理建設整改的流程管理制度建設明確主管領導、落實責任部門落實安全崗位和人員信息系統安全管理現狀分析確定安全管理策略、制定安全管理制度安全自查和調整系統建設管理落實安全管理措施人員安全管理環境和資產管理設備和介質管理日常運行維護集中安全管理事件處置和應急響應災難備份安全監測……系統運維管理信息系統安全保護技術現狀分析開展建設整改技術方案詳細設計工程實施及驗收等級測評不符合標準要求開展建設整改技術方案論證和評審確定安全策略，開展建設整改技術方案總體設計通信網絡安全物理安全。。。。應用系統安全區域邊界安全主機系統安全備份和恢復建設并落實安全技術措施?計算機信息系統平安保護等級劃分準那么?早在1985年，美國國防部為指導計算機平安產品的制造和數據處理系統的平安建設與評估，制定并公布了?可信計算機系統評估準那么?〔DoD5200.28-STD〕，也就是TCSEC。1999年我國在此標準的根底上修改制定了國家強制標準GB17859-1999?計算機信息系統平安保護等級劃分準那么??計算機信息系統平安保護等級劃分準那么?計算機信息系統平安保護等級劃分準那么GB17859-1999計算機信息系統平安保護等級劃分準那么用戶自主保護級自主訪問控制、身份鑒別、數據完整性系統審計保護級自主訪問控制、身份鑒別、數據完整性、平安審計、客體重用平安標記保護級自主訪問控制、身份鑒別、數據完整性、平安審計、客體重用、強制訪問控制、標記結構化保護級自主訪問控制、身份鑒別、數據完整性、平安審計、客體重用、強制訪問控制、標記、隱蔽信道分析、可信路徑訪問驗證保護級自主訪問控制、身份鑒別、數據完整性、平安審計、客體重用、強制訪問控制、標記、隱蔽信道分析、可信路徑、可信恢復根本要求—標準編制思路一級系統二級系統三級系統四級系統防護防護/監測策略/防護/監測/恢復策略/防護/監測/恢復/響應一級系統二級系統三級系統四級系統通信/邊界〔根本〕通信/邊界/內部〔關鍵設備〕通信/邊界/內部〔主要設備〕通信/邊界/內部/根底設施〔所有設備〕根本要求—標準編制思路根本要求的組織方式某級系統類技術要求管理要求基本要求類控制點具體要求控制點具體要求………………………………三、標準的主要內容實施指南-根本實施過程重大變更局部調整系統定級安全規劃設計安全實施/實現安全運行管理系統終止與信息系統生命周期之間的關系新建信息系統新建信息系統等級保護實施過程信息系統生命周期安全運行管理（變更管理/定期安全測評/監督檢查）系統定級安全規劃設計安全實施系統終止設計開發階段運行維護階段啟動階段實施階段中止階段平安態勢分析信息平安標準概述等級保護標準聯想網御信息平安ISO27000系列標準

ITIL與ISO20000

企業內控相關標準ISO27001介紹什么是ＩＳＭＳ文檔化體系信息平安策略風險處置方案范圍內的信息資產清單風險評估適用性聲明策略、流程、指南、程序ISMS需要執行與管理復查、審計和考核持續改進認證有意義但不是根本最終階段需要第三方認證證據業務驅動證明您對信息平安的承諾信息是一種非常重要的資產，它貫穿并支持組織的整個經營活動，從小交易到公司合并，從大工程到員工資料管理如果沒有有效的信息管理，一些僅供組織內部使用的敏感信息，很容易泄漏。如果組織的信息體系從信息質量、數量或溝通環節被攻擊，那么組織會處于極大的風險中這就是為什么您需要主動地管理信息平安，向您的員工、股東、合作伙伴分享信息平安管理經驗確保您的信息平安并持續保持ISO27001:2005信息平安管理體系(ISMS)認證說明您對信息平安、客戶要求和持續改進的承諾標準由兩局部構成：ISO27002:2005信息平安管理實施指南，指導ISMS實踐ISO27001:2005信息平安管理體系標準，ISMS認證標準界定ISMS認證范圍，對于識別風險和評審風險至關重要一個成功ISMS體系包括建立、運行、評審、維護和改進一系列過程標準的開展199519981999.042000.1220022005.62005.10BS7799-2:1998信息平安管理體系標準BS7799:1999BS7799的兩個局部進行合并BS7799-2:2002平安管理體系標準與使用指南ISO/IEC17799:2005信息平安管理體系實施規那么BS7799-1:1995信息平安管理實施規那么ISO/IEC27002:2005信息平安管理體系實施規那么信息平安標準現狀已有二十多個國家和地區引用BS7799作為本國標準，并有四十多個國家和地區開展了相關業務。澳大利亞/新西蘭〔前國標AS/NZS4444，現國標AS/NZS7799〕荷蘭〔SPE20003〕瑞典〔SS627799〕日本〔JISX5080，相當于BS7799-1〕……國內，ISO17799:2000已被轉化為GB/T19716:2005國際，ISO17799:2000已被轉化為ISO27002:2005ISO27001認證機構認可機制認證〔Certification〕和認可〔Accreditation〕認證是第三方依據程序對產品、過程、效勞符合規定要求給予的書面保證〔合格證書〕，其根底是相關標準。根據對象的不同，認證通常分為產品認證和體系認證。通過認證，組織可以對外提供某種信任和保證認可是由某權威機構依據程序對某團體〔例如對認證機構的認可〕或個人〔例如對審核員資格的認可〕具有從事特定任務的能力給予的正式成認認可機構英國UKAS、荷蘭RvA、瑞典Swedac基于流程的ISMSInterestedPartiesInformationsecurityrequirementsandexpectationsInterestedPartiesManagedInformationsecurityContinualimprovement

oftheInformationSecurityManagementSystemEstablishISMSMonitorandReviewtheISMSImplementandOperatetheISMSMaintainandimprovetheISMSInputOutputInformationsecuritymanagementsystemPDACPDACPDACPDACISO/IEC17799模型ISO/IEC17799標準的內容涉及10個領域，36個控制目標和127個控制措施。ISO/IEC27001/27002:2005

的內容總共分成

11個領域、

39個控制目標、

133個控制措施。

11個領域包括

A.1

Security

Policy

A.2

organization

of

information

security

A.3

Asset

management

A.4

Human

resources

security

A.5

Physical

and

environmental

security

A.6

Communications

and

operations

management

A.7

Access

control

A.8

Information

systems

acquisition,

development

and

maintenance

A.8

Information

security

incident

management

A.10

Business

continuity

management

A.11

Compliance

BS7799Part2:2002vsISO27001:2005BS7799-2:2002ISO27001:2005ISO17799:2000ISO17799:2000vsISO17799:2005ISO17799:2005ISO27001SeriesISO27000-willcontainthevocabularyanddefinitions

i.e.terminologyforalloftheseinformationsecuritymanagementstandardsISO27001-istheInformationSecurityManagementSystemrequirementsstandard(specification)againstwhichorganizationsareformallycertifiedcompliantISO27002willbethenewnameforthestandardcurrentlyknownasISO17799andformerlyknownasBS7799part1.

Thisisthecodeofpracticeforinformationsecuritymanagementdescribingacomprehensivesetofinformationsecuritycontrolobjectivesandamenuofbest-practicesecuritycontrolsISO27003-willbeanimplementationguide

ISO27004-willbeaninformationsecuritymanagementmeasurementstandardtohelpmeasuretheeffectivenessofinformationsecuritymanagementsystemimplementations.ISO27005-willbeaninformationsecurityriskmanagementstandard(willreplacetherecentlyissuedBS7799Part3).ISO27006-isaguidetothecertification/registrationprocessforaccreditedISMScertification/registration

bodies.ISO27007-willprobablybeaguidelineforauditingInformationSecurityManagementSystems.ISO27031willbetelecommssector-specificimplementationguidanceforISO17799/27002.ISO27008-59-isourholdingpagewithpreliminaryinformationonvariousotherrumouredISO27000-seriesInformationSecurityManagementstandardsincludingindustry-specificimplementationguidelinesandadisasterrecoverystandard.ISO27799-willbehealthsector-specificimplementationguidanceforISO17799/27002.ISO27001:2005的益處ISO的聲譽和通過國際認可的ISO27001:2005認證增強了所有公司的可信度。它清楚地說明了您的信息的有效性和一個真正對信息平安支持的承諾ISMS的建立和認證也可以改變您公司內外的文化，使您贏得具與有平安意識的客戶開拓新業務的時機，以及提升員工的道德觀念和他們對整個工作場所信息平安的思想觀念。而且，它使您可以增強信息平安，減少可能產生欺騙、信息喪失和泄漏的風險獲得BS7799認證的組織將要換證為ISO27001:2005。根據2006年1月UKAS換證聲明，通過BS7799-2:2002認證的公司可以在2007年7月前完成換證。ISO27001實施與認證過程ISO27001一般認證過程ISO27001證書獲取過程PeriodicalAuditsFollowUp

CertificateISMSInitialAuditPre-

AssessmentPre-Study/Implementation顧問/咨詢機構Auditor(s)ConfidentialityAgreementAwarenesscreationISO27001認證費用認證機構的報價根據其投入的時間和人員來確定，決定因素包括：ThesizeofthecompanyScopeIT-environmentThereadinessforcertificationwithinthecompanyPriorcertification~￡10,000foracompanywith100employeesprovidedthatthecompanyalreadyiswellonitswaywiththeimplementation.ISMSProjectRoadmap確定范圍資產調研管理層策略風險評估適用性聲明PLAN文檔準備實施ISMS教育培訓證據持續改進復查、監控檢查、審計DOCHECKACTISMS實施過程0.獲得管理層支持說起來容易做起來難提高管理層意識當前的風險與最正確實踐的差距分析1.定義ISMS范圍BusinessesBusinessunitsDepartmentsSystems2.準備適用性聲明(SOA)哪些控制目標適用(applicable)哪些控制目標不相關(irrelevant)、不適用(notappropriate)、不需要(notrequired)ISMS實施過程〔續〕3.資產調研informationsystems,networks,databases,dataitems,documentsetc.4.風險評估標準中并沒有指定風險評估方法Mehari/CRAMM/OCTAVE/CiticusOne/ISOTR13335/AS/NZS4360:2004:/HB436:2004/NISTSP800-30…DIY5.準備風險處置方案(RTP)哪些控制用來應對已識別的風險6.制定ISMS實施方案需要的資源專家的支持InternalAudit,Risk,Compliance,HR,Finance的支持ISMS實施過程〔續〕7.ISMS實施工程管理方案、預算、進度8.ISMS運行是一項持續的活動9.收集ISMS運行證據securitylogs,logreviewreports,firewallconfigurationfiles,riskassessmentreportsetc.10.審查合規性A.15內部需求：策略外部要求：法律、法規11.實施糾正措施Plan-Do-Check-ActISMS實施過程〔續〕12.認證前自評估ISMS穩定、有效檢查SOA、RTP有沒有遺漏地方13.認證審核SOA、RTP、證據關鍵成功因素a)informationsecuritypolicy,objectives,andactivitiesthatreflectbusinessobjectives;

信息平安策略、目標和行為應與業務目標保持一致；

b)anapproachandframeworktoimplementing,maintaining,monitoring,andimprovinginformationsecuritythatisconsistentwiththeorganizationalculture;

信息平安實施、維護、監控、改進的方法應該符合組織的文化；

c)visiblesupportandcommitmentfromalllevelsofmanagement;

來自所有管理層可見的支持和承諾；

d)agoodunderstandingoftheinformationsecurityrequirements,riskassessment,andriskmanagement;

對信息平安需求、風險評估、風險管理應有很好的理解；

e)effectivemarketingofinformationsecuritytoallmanagers,employees,andotherpartiestoachieveawareness;

應對所有經理、員工和第三方進行信息平安的有效宣傳；

f)distributionofguidanceoninformationsecuritypolicyandstandardstoallmanagers,employeesandotherparties;

對所有經理、員工和第三方發布信息平安策略和標準的指南；

g)provisiontofundinformationsecuritymanagementactivities;

為信息平安活動提供資金；

h)providingappropriateawareness,training,andeducation;

提供適當的教育和培訓；

i)establishinganeffectiveinformationsecurityincidentmanagementprocess;

建立有效的信息平安事件管理流程；

j)implementationofameasurement1systemthatisusedtoevaluateperformanceininformationsecuritymanagementandfeedbacksuggestionsforimprovement.

建立一套用來評估信息平安管理的性能和有關改進平安管理的反響建議的測量系統。平安態勢分析信息平安標準概述等級保護標準聯想網御信息平安

ISO27000系列標準

ITIL與ISO20000

企業內控相關標準ITIL的產生80年代中期，英國政府計算機和電信局〔CCTA〕，也就是現在的政府商務辦公室〔OGC〕，啟動一個IT效勞質量調查的工程，從IT供給商、咨詢參謀及用戶收集信息，由IT專家及咨詢參謀開發出一套有效的、可進行財務計量的IT資源管理方法。該工程的最終結果是一套公開出版的IT效勞管理指南，及ITIL，收集、整理、文檔化和維護效勞管理最正確實踐并將其組織成一個合理和有一定邏輯性的知識庫。ITIL是什么?ITIL不是:硬件軟件可供參考使用的最正確實踐ProjectrequestbyCCTAITILfirstGuideBookissued1985itSMF1989ITIL1.019911993PD00051995199820002002200320042005PD0005BIP0005-AManagerGuidePD0005/BS15000-2BecometoISO20000PD0015/BS15000-1PD0015/BS15000-1/ITIL2.01999ITServiceCMMVrijeUniv.國際ITSM的開展2007BecometoITILV3ISO20000家族InternalProcessesandProceduresITILBIP0005ISO20000Part2ISO20000Part1PD0015Workbook內部流程和業界解決方案流程定義管理概覽實踐指南標準ISO20000標準6.效勞交付流程效勞級別管理效勞報告能力管理效勞持續和可用性管理信息平安管理IT效勞預算和財務管理9.控制流程配置管理變更管理10.發布流程發布管理8.解