CISP信息安全保障概要.ppt

* * * * * * * * * * * * * * * 　　 * * * * * * * * * * * * * * * * * * * * * * 具 * * * * * * * * * * * * * * 信息安全保障解决方案制定的原则 以风险评估和法规要求得出的安全需求为依据 考虑系统的业务功能和价值 考虑系统风险哪些是必须处置的，哪些是可接受的 贴合实际具有可实施性 可接受的成本 合理的进度 技术可实现性 组织管理和文化的可接受性 * * 信息系统安全目标（ISST）是根据信息系统保护轮廓（ISPP）编制的信息系统安全保障方案。 某一特定产品或系统的安全需求。 ISST从信息系统安全保障的建设方（厂商）的角度制定的信息系统安全保障方案。 信息系统安全目标（ISST） 规范化、结构化信息系统安全保障方案 * * ISST的结构和内容 ISST引言 信息系统描述 信息系统安全环境 安全保障目的 安全保障要求 信息系统概要规范 ISPP声明 符合性声明 * * 编制信息系统安全保障目标（ISST） 信息系统安全保障方案 * * 信息系统安全保障目标（ISST） 描述用户信息系统安全保障方案 第二部分 技术保障 安全技术控制组件 技术架构能力级 第三部分 管理保障 安全管理控制组件 管理能力级 第四部分 工程保障 安全工程控制组件 工程能力级 信息系统安全保护轮廓（ISPP） 信息系统安全保障方案 * * 以信息安全保障方案为依据 覆盖方案提出的建设目标和建设内容 规范的实施过程 实施的质量、进度和成本必须受控 实施过程中出现的变更必须受控 充分考虑实施风险，如资源不足、组织文化的抵触情绪、对业务正常运行造成的影响、信息泄露或破坏等 信息安全保障实施的原则 * * 覆盖信息系统全生命周期 以风险和策略为核心 风险评估贯穿系统全生命周期 建立完整的策略体系 涉及技术、管理、工程、人 技术：分层多点的深度防御系统 管理：建立能力成熟的信息安全管理体系 工程：选择有能力的信息安全集成商和服务商 人：建立完善的人才体系，增强安全意识和文化 信息安全保障实施的内容 * * 知识域：信息系统安全保障工作基本内容 * 知识子域：信息安全测评 了解信息安全测评的重要性 了解国内外信息安全测评概况 理解信息安全产品测评方法和流程 理解信息系统安全测评方法和流程 了解服务商资质测评方法和流程 了解信息安全人员资质测评方法和流程 * 信息系统安全保障评估——在信息系统所处的运行环境中对信息系统安全保障的具体工作和活动进行客观的评估，通过信息系统安全保障评估所搜集的客观证据，向信息系统的所有相关方提供信息系统的安全保障工作能够实现其安全保障策略，能够将其所面临的风险降低到其可接受的程度的主观信心。 * 信息系统安全保障评估 * 信息安全保障评估 评估是信息系统安全保障的一个重要概念，系统所有者可以根据评估所得到的客观评估结果建立其主观的信心。 评估对象是信息系统，不仅包含了信息技术系统，还包括同信息系统所处的运行环境相关的人和管理等领域。 评估是一种动态持续的评估过程。 * * 我国信息安全测评认证标准 我国信息安全测评认证所使用的标准主要有三个来源：采用国 家标准、在没有国家标准的情况下采用国际标准、采用认证中 心管委会批准的技术要求和保护轮廓。 * 国家信息安全测评主要对象 信息产品安全测评 信息系统安全测评 服务商资质测评 信息安全人员资质测评 * * 信息产品安全评估是测评机构对产品的安全性做出的独立评价，目的是为产品认证提供证据，增强用户对已评估产品安全的信任，向消费者提供信息技术安全产品的采购依据，从而推动信息技术安全产业的发展、提高信息技术安全科研和生产水平。 信息产品安全测评依据的标准是：CC、CEM和CNITSEC的要求 信息安全产品测评 * * 信息系统安全保障的评估，是从信息系统安全保障的概念出发，在信息系统的生命周期内，根据组织机构的要求在信息系统的安全技术、安全管理和安全工程领域内对信息系统的安全技术控制措施和技术架构能力、安全管理控制和管理能力以及安全工程实施控制措施和工程实施能力进行评估综合，从而最终得出信息系统在其运行环境中安全保障措施满足其安全保障要求的符合性以及信息系统安全保障能力的评估。 信息系统安全保障评估的内容 * * 信息系统安全测评标准 信息系统安全测评标准是GB/T20274 《信息系统安全保障评估框架》，它为信息系统安全测评提供了思路框架和操作规范 保障要素 生命周期 信息特征 * * 信息系统的安全保障能力成熟度级 管理能力成熟度等级（MCML）： MCML1、MCML2、MCML3、MCML4和 MCML5 工程能力成熟度等级（PCML）：