载-CISP-03-信息安全保障综述.ppt

自我介绍 崔宗军 中国信息安全测评中心 高级咨询顾问 联系方式邮箱:cui_zongjun@ 地址：北京市海淀区上地东路1号华控大厦3层 邮编：100085 * * * * * * * * * * * * * * * * * * * * * * * * * * * * 《信息系统安全保障评估保障（第一部分）》提供了描述信息系统安全保障具体需求规范化的格式 * * 《信息系统安全保障评估保障（第二/三/四部分）》选择信息系统安全保障技术/管理/过程的具体组件 * * 《信息系统安全保障评估保障（第一部分）》提供了描述信息系统安全保障要求规范化的格式 * * 所编制的“信息系统安全保障目标（ISST）”《信息系统安全保障评估保障（第二/三/四部分）》选择信息系统安全保障技术/管理/过程的具体组件 * * * * 对组织机构来说，应建立一个完整的信息安全人才体系，信息安全人才体系应包括： -所有员工：需要进行信息安全保障意识教育，具体可以使用各种海报、组织机构网站上发布相关信息等以增强所有员工的安全意识； -对于涉及信息系统的岗位和职责的员工而言，需要进行相应的信息安全保障培训；注册信息安全员（CISM）为这些员工提供了全面的信息安全保障基础知识； -对于信息安全专业人员而言，应建立更全面专业的信息安全保障知识和经验；注册信息安全专业人员（CISP）为这些人员提供了信息安全专业知识能力的证明； -信息安全保障专家。 * * * * * 版本信息： V1.0：完成课件设计。 * * 步骤三：编制具体的安全保障解决方案任务4：编制信息系统安全保障目标（ISST） 信息系统安全保障目标（ISST） 描述用户信息系统安全保障方案 第二部分 技术保障 安全技术控制组件 技术架构能力级 第三部分 管理保障 安全管理控制组件 管理能力级 第四部分 工程保障 安全工程控制组件 工程能力级 信息系统安全保障要求（ISPP） 步骤三：编制具体的安全保障解决方案任务4：编制信息系统安全保障目标（ISST） 信息安全保障实施 覆盖信息系统全生命周期 以风险和策略为核心 风险评估贯穿系统全生命周期 建立完整的策略体系 涉及技术、管理、工程、人 技术：分层多点的深度防御系统 管理：建立能力成熟的信息安全管理体系 工程：选择有能力的信息安全集成商和服务商 人：建立完善的人才体系，增强安全意识和文化 信息安全保障实施——管理体系建设 策略体系 风险管理 系统测评/风险评估 生命周期安全管理 对手，动机 和攻击 国家/业务/机构 策略，规范，标准 使命要求 组织体系建设 业务持续性管理 应急响应管理 意识培训和教育 策略 标准 流程，指导方针实践 相关方 信息安全需求期待 设计和实施ISMS 改进ISMS Plan计划 Do实施 Act改进 Check检查 开发、维护改进循环 相关方 管理的信息安全 管理体系建设方法PDCA模型应用于ISMS过程 Plan计划（建立ISMS环境） 根据组织机构的整体策略和目标，建立同控制风险和改进信息安全相关的安全策略、目的、目标、过程和流程以交付结果。 Do做（设计实施） 实施和操作策略（过程和流程） Check检查（监控审核） 通过策略、目的和实践经验测量和评估过程执行，并将结果汇报给决策人。 Act行动（改进） 建立纠正和预防行动以进一步改进过程的执行 建立ISMS环境风险评估 监控审核ISMS 技术保障分层多点安全体系技术架构 信息安全外部环境 （政策、法律法规和标准） 数据 应用 系统 网络 物理 边界 信息安全管理和工程 数据 应用 系统 网络 物理 边界 信息安全管理和工程 网络基础设施 端到端 数据流安全 检测和响应基础设施 公钥基础设施 信息系统安全工程保障—实施通用模型 参见：中国信息安全产品测评认证中心的“国家信息安全测评认证”，2004年第2期，P6-P14 信息安全人才体系战略组织机构信息安全人才体系战略 步骤四：对信息系统安全保障进行评估 步骤五：根据评估结果持续改进 用户根据信息系统安全保障评估的结果进行改进，形成满足其信息系统安全保障需求的可持续改进的信息系统安全保障能力。 信息系统安全保障需要覆盖信息系统的整个生命周期，形成持续改进的信息系统安全保障能力（技术/管理/工程能力） * * 下面将介绍信息安全保障（IA）发展的简史：从通信安全（COMSEC）-〉计算机安全（COMPUSEC）-〉信息系统安全（INFOSEC）-〉信息安全保障（IA）。 * * * * * * * * * * * * * * * * * * 介绍完信息安全保障发展的简史后，我们将介绍一些基础的定义和概念，在本课程中，信息安全保障主要涉及和讨论信息系统，因此在课程中信息安全保障同信