中国银行业监督管理委员会培训PPT.ppt
- 文档编号:1398265
- 上传时间:2022-10-22
- 格式:PPT
- 页数:59
- 大小:942KB
中国银行业监督管理委员会培训PPT.ppt
《中国银行业监督管理委员会培训PPT.ppt》由会员分享,可在线阅读,更多相关《中国银行业监督管理委员会培训PPT.ppt(59页珍藏版)》请在冰豆网上搜索。
中国银行业监督管理委员会培训,信息安全标准2009年10月3日季瑞华合伙人系统和流程管理,2,提纲,信息安全标准概述国际标准ISO/IEC系列信息安全标准国际标准COBIT国内标准等级保护安全标准的总结问题与回答,3,提纲,信息安全标准概述国际标准ISO/IEC系列信息安全标准国际标准COBIT国内标准等级保护安全标准的总结问题与回答,4,信息安全标准概述,信息安全的重要性得到广泛的关注。
与此同时,国际和国内的各种官方和科研机构都发布了大量的安全标准。
这些标准都是为实现安全目标而服务,并从不同的角度对如何保障组织的信息安全提供了指导。
5,信息安全标准的演进,6,主要的信息安全标准国际标准,7,主要的信息安全标准国际标准(续),除了上述标准,世界各国的官方机构和行业监管机构还有许多信息安全方面的标准、指引和建议的操作实践。
8,主要的信息安全标准国内标准,9,在下面的课程中,我们会主要介绍以下标准:
ISO系列安全标准,包括ISO17799/ISO27001/ISO27002ISO/IEC15408ISO/IEC13335ISO/TR13569ISACA的COBIT4.1全国信息安全标准化技术委员会的等级保护系列标准,10,提纲,信息安全标准概述国际标准ISO/IEC系列信息安全标准国际标准COBIT国内标准等级保护安全标准的比较问题与回答,11,国际标准化组织简介,国际标准化组织(InternationalOrganizationforStandardization)是由多国联合组成的非政府性国际标准化机构。
到目前为止,ISO有正式成员国120多个,中国是其中之一。
国际标准化组织1946年成立于瑞士日内瓦,负责制定在世界范围内通用的国际标准;ISO技术工作是高度分散的,分别由2700多个技术委员会(TC)、分技术委员会(SC)和工作组(WG)承担。
ISO技术工作的成果是正式出版的国际标准,即ISO标准。
ISO在信息安全方面的标准主要包括:
ISO17799/ISO27001/ISO27002ISO/IEC15408ISO/IEC13335ISO/TR13569,12,关于ISO/IEC17799/27001/27002,ISO/IEC17799是由国际标准化组织(ISO)与IEC(国际电工委员会)共同成立的联合技术委员会ISO/IECJTC1,以英国标准BS7799为蓝本而制定的一套全面和复杂的信息安全管理标准。
ISO/IEC17799于2000年正式颁布。
ISO/IEC17799标准由两部分构成:
第一部分是信息安全管理体系的实施指南,相当于BS7799-1;第二部分是信息安全管理体系规范,相当于BS7799-2。
ISO/IEC17799标准的内容涉及10个领域,36个管理目标和127个控制措施。
2005年ISO17799更名为ISO27001和ISO27002,分别为:
ISO/IEC27001:
2005Informationtechnology-Securitytechniques-InformationsecuritymanagementsystemsRequirementsISO/IEC27002:
2005Informationtechnology-Securitytechniques-Codeofpracticeforinformationsecuritymanagement2007年ISO又颁布了Informationtechnology-Securitytechniques-Requirementsforbodiesprovidingauditandcertificationofinformationsecuritymanagementsystems.,13,ISO/IEC17799模型,ISO/IEC17799标准的内容涉及10个领域,36个控制目标和127个控制措施。
14,ISO17799模型,SecurityPolicy,AssetClassificationAndControl,SecurityOrganization,纪录和沟通信息系统政策和法规的审核,分配职责和分工,第3方授权,风险/控制的外包,资产的保存,对于敏感/商业风险的区分,15,ISO17799模型,PersonalSecurity,Comm/OpsManagement,PhysicalandEnvironmentSecurity,员工聘请,知识培训,事故报告等,物理安全参数,设备保护,桌面及电脑的重要文件的保护,事故流程,职责分离,系统规划,电子邮件控制,16,ISO17799模型,AccessControl,BusinessContinuityPlanning,SystemDevelopmentandMaintenance,权限管理:
包括应用系统,操作系统,网络,变更控制,环境划分,安全设备,商业可持续性计划及其框架,测试计划以及计划的维护和更新,Compliance,版权控制,记录和信息的保存,数据保护,公司制度的服从,17,ISO/IEC27001/27002:
2005的內容,总共分成11个领域、39个控制目标、133个控制措施。
11个领域包括A.1SecurityPolicyA.2organizationofinformationsecurityA.3AssetmanagementA.4HumanresourcessecurityA.5PhysicalandenvironmentalsecurityA.6CommunicationsandoperationsmanagementA.7AccesscontrolA.8Informationsystemsacquisition,developmentandmaintenanceA.8InformationsecurityincidentmanagementA.10BusinesscontinuitymanagementA.11Compliance,18,关于ISO/IEC15408,90年代开始,由于Internet的日益普及,信息安全领域呼吁修改桔皮书,以解决商用信息系统安全问题。
1991年欧盟(EuropeanCommission)颁布了ITSEC(InformationTechnologySecurityEvaluationCriteria,信息技术安全评估准则)。
在此基础上,美国、加拿大、英国、法国等7国组织联合研制了“信息技术评估安全公共准则”(CC:
CommonCriteria)。
1999年6月ISO通过了ISO/IEC15408安全评估准则(ISO/IEC15408:
1999SecurityTechniquesEvaluationCriteriaforITSecurity)。
目前的最新版本于2005年发布。
ISO/IEC15408是基于多个标准而产生的,它的演进过程如下图所示:
19,ISO/IEC15408的内容,ISO/IEC15408由以下三部分组成:
第一部分:
介绍和一般模型第二部分:
安全功能需求第三部分:
安全认证需求ISO/IEC15408准则比以往的其他信息技术安全评估标准更加规范,采用以下方式定义:
类别(CLASS);认证族(ASSURANCEFAMILY);认证部件(ASSURANCECOMPONENT);认证元素(ASSURANCEELEMENT)。
其中类别中有若干族,族中有若干部件,部件中有若干元素。
20,ISO/IEC15408的特点,ISO/IEC15408信息技术安全评估准则中讨论的是TOE(targetofevaluation),即评估对象。
该准则关注于评估对象的安全功能,安全功能执行的是安全策略。
ISO/IEC15408定义了安全属性,包括用户属性、客体属性、主体属性、和信息属性。
ISO/IEC15408加强了完整性和可用性的防护措施,强调了抗抵赖性的安全要求。
ISO/IEC15408还定义了加密的要求,强调对用户的隐私保护。
ISO/IEC15408还讨论了某些故障、错误和异常的安全保护问题。
21,ISO/IEC15408的类别,ISO/IEC15408中,类别(class)代表最概括的分类和定义方式。
包括:
安全功能类别,共11个,分别为安全审计、通信、加密支持、用户数据防护、标识与鉴别、安全管理、隐私、安全功能的防护、资源利用、对评估对象的访问、可信通路/通道。
安全认知类别,共8个,分别为配置管理、递交和操作、开发、指南文档、生存期支持、测试、脆弱性评估、认证维护。
评估认证级别类别,共7个,分别为评估功能测试、结构测试、方法测试和检查、半形式设计和测试、半形式验证设计和测试、形式验证设计和测试。
评估类别,共3个,包括2个预评估类别和TOE评估(即评估对象的评估)。
其中预评估类别分别为:
防护框架评估(ProtectionProfileevaluation,简称PP评估):
评估的一般是某类安全产品,如防火墙等,提出测评的常为是行业组织;安全目标评估(SecurityTargetevaluation,简称ST评估):
评估的一般是某一类的特定产品,如某品牌的防火墙,提出测评的常为厂商。
22,ISO/IEC15408的评估方法,对于信息系统和产品进行安全认证ISO/IEC15408通常采用如下方法进行评估:
分析和检查进程与过程检查进程和过程被应用的情况分析TOE设计表示一致性分析TOE设计表示与需求的满足性验证分析指南文档分析功能测试和测试结果独立功能测试分析脆弱性(包括漏洞假说)侵入测试等(TOE是评估对象(TargetofEvaluation)的缩写),23,关于ISO/IEC13335,ISO/IEC13335InformationTechnologyGuidelinesfortheManagementofITSecurity是一套关于信息安全管理的技术文件,共由五个部分组成,这五个组成部分分别在1996至2001年间发布。
第一部分:
安全概念和模型(Part1ConceptsandModelsforITSecurity),发布于1996年12月15日。
第二部分:
安全管理和规划(Part2ManagingandPlanningITSecurity),发布于1997年12月15日。
第三部分:
安全管理技术(Part3TechniquesfortheManagementofITSecurity),发布于1998年6月15日。
第四部分:
保护的选择(Part4SelectionofSafeguards),发布于2000年3月1日。
第五部分:
外部联接的防护(Part5ManagementGuidanceonNetworkSecurity),发布于2001年1月2日。
其中第一部分分别于1997年和2004年发布了更新版本。
24,关于ISO13569,ISO13569的全称为ISO/TR13569:
2005Financialservices-Informationsecurityguidelines。
它提供了对于金融服务行业机构的信息安全程序开发的指导方针。
它包括了对制度,组织结构和法律法规等内容的讨论。
该标准对组织选择和实施安全控制,和金融机构用于管理信息安全风险的要素进行了阐述。
ISO13569于1997年首次发布,分别于2003年和2005年更新,目前的最新版本为2005年的版本。
25,ISO/IEC13569的主要内容,ISO/IEC13569是针对金融行业的信息安全标准,包括以下主要内容:
组织的IT安全政策IT安全管理风险分析和评估安全保护的实施和选择IT系统保护金融服务行业专题,包括如银行卡、电子资金传输(Elect
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 中国银行业 监督管理 委员会 培训 PPT