信息系统安全管理理论及应用 作者 李建华信息系统安全管理理论及应用 1-4 第3章信息安全管理相关标准及法律法规.pptVIP

信息安全管理相关标准及法律法规 主要内容 信息安全管理标准及发展 信息安全标准与法律法规 存在的问题 第三章 信息安全管理标准及发展 信息安全标准与法律法规 存在的问题 标准组织 国际组织 ISO和IEC成立联合技术委员会，即ISO/IEC JTC1，负责信息技术领域的标准化工作。其中的子委员会27(ISO/IEC JTC1 SC27)专门负责IT安全技术领域的标准化工作，主要负责通用信息技术安全标准 ISO/TC 68，主要负责研究行业应用信息安全标准 国际电信联盟（ITU）所属的SG17组，主要负责研究通信系统安全标准。 Internet工程任务组，其主要任务是负责互联网相关技术规范的研发和制定。 …… 标准组织(续) 国家组织 美国国家标准和技术委员会(NIST) ，负责为美国政府和商业机构提供信息安全管理相关的标准规范，NIST的一系列FIPS标准和NIST 特别出版物800系列(NIST SP 800系列)成为了指导美国信息安全管理建设的主要标准 英国标准协会(BSI) ，英国负责信息安全管理标准的机构 全国信息技术安全标准化技术委员会（CITS），在国家标准化管理委员会和信息产业部的共同领导下负责全国信息技术领域以及与ISO/IEC JTC1相对应的标准化工作 公安部、国家安全部、国家保密局、国家密码管理委员会，研究与信息安全的行业标准 …… 信息安全管理相关标准 ISO 13335 ISO 27000系列 NIST SP 800系列 ISO 13335之历史 ISO/IEC TR 13335，被称作“IT安全管理指南” （Guidelines for the Management of IT Security，GMITS） ，是由ISO/IEC JTC1制定的技术报告，由5个部分组成。 ISO/IEC TR 13335-1:1996 IT 安全的概念和模型 ISO/IEC TR 13335-2:1997 管理和规划IT 安全 ISO/IEC TR 13335-3:1998 IT 安全管理技术 ISO/IEC TR 13335-4:2000 防护措施的选择 ISO/IEC TR 13335-5:2001 网络安全管理指南 ISO/IEC TR 13335组成部分 ISO 13335之现状 改版后，被称作“信息和通信技术安全管理” （Management of Information and Communications Technology Security，MICTS） ，包括2个部分 ISO/IEC 13335-1: 2004，《信息技术 安全技术 信息和通信技术安全管理 (MICTS) 第1 部分：信息和通信技术安全管理的概念和模型》，已发布，取代原来的ISO/IEC TR 13335-1和2部分。 ISO/IEC 13335-2 《信息技术 安全技术 信息和通信技术安全管理 第2 部分：信息安全风险管理》，已发布，但编号变更为ISO/IEC 27005:2008发布，取代原来的ISO/IEC TR 13335-3和4部分 ISO 27000系列 发展历史 标准现状 标准介绍 ISO27001/ISO27002 发展历史 ISO 27000系列标准介绍 (1) ISO 27000——Information security management systems -- Overview and vocabulary（信息安全管理概述与术语），主要用于阐述ISMS的基本原理和词汇，目前是FCD (final committee draft)版本，预计2009年发布。 (2) ISO 27001——Information security management systems-Requirements（信息安全管理体系要求），主要提出ISMS的基本要求，于2005年10月15日正式发布。 (3) ISO 27002——Code of practice for information security management（信息安全管理实施细则），主要阐述ISMS的实施细则，于2005年6月15日正式发布。 (4) ISO 27003——Information security management systems implementation guidance（信息安全管理系统实施指南），目前还在开发中。 (5) ISO 27004——Information security management measurements（信息安全管理度量），阐述信息安全管理的过程度量和控制度量，目前是FCD (final committee draft)版本。 (6) ISO 27005——I