CISP0101信息安全保障_v30.ppt

为什么要提取信息安全需求 信息安全需求是安全方案设计和安全措施实施的依据 准确地提取安全需求 一方面可以保证安全措施可以全面覆盖信息系统面临的风险，是安全防护能力达到业务目标和法规政策的要求的基础 另一方面可以提高安全措施的针对性，避免不必要的安全投入，防止浪费 * * “信息系统安全保障需求描述” 风险评估 确定信息系统安全保障具体需求 如何制定信息安全保障需求 * 法规符合性 业务需求 安全需求的制定流程 * $ VISIO CORPORATION 目标映射至要求 安全 策略 系统现状 安全目标 抵抗 支持 客户审阅 安全 威胁 系统 环境风险，策略,假设 技术要求 管理要求 工程要求 符合性声明 系统安全保障级别 系统 描述 标准化的安全保障需求文档-ISPP 信息系统安全保障的具体需求由信息系统保护轮廓(ISPP)确定 信息系统保护轮廓（ISPP）是根据组织机构使命和所处的运行环境，从组织机构的策略和风险的实际情况出发，对具体信息系统安全保障需求和能力进行具体描述。 表达一类产品或系统的安全目的和要求。 ISPP是从信息系统的所有者（用户）的角度规范化、结构化的描述信息系统安全保障需求。 * ISPP 规范化保障需求 ISPP引言 信息系统描述 信息系统安全环境 安全保障目的 安全保障要求 ISPP应用注解 符合性声明 * 规范化、结构化信息系统安全保障具体需求 知识域：信息安全保障工作方法 知识子域：设计并实施信息安全方案 了解信息安全方案的作用和主要内容 了解制定信息安全方案的主要原则 了解信息安全方案实施的主要原则 * 信息安全保障解决方案制定的原则 以风险评估和法规要求得出的安全需求为依据 考虑系统的业务功能和价值 考虑系统风险哪些是必须处置的，哪些是可接受的 贴合实际具有可实施性 可接受的成本 合理的进度 技术可实现性 组织管理和文化的可接受性 * * 信息系统安全目标（ISST）是根据信息系统保护轮廓（ISPP）编制的信息系统安全保障方案。 某一特定产品或系统的安全需求。 ISST从信息系统安全保障的建设方（厂商）的角度制定的信息系统安全保障方案。 信息系统安全目标（ISST） 规范化、结构化信息系统安全保障方案 * * ISST的结构和内容 ISST引言 信息系统描述 信息系统安全环境 安全保障目的 安全保障要求 信息系统概要规范 ISPP声明 符合性声明 * * * 知识域：信息安全保障工作方法 * 知识子域：信息安全测评 了解信息安全测评的重要性 了解国内外信息安全测评概况 了解信息产品安全测评方法 了解信息系统安全测评方法 了解服务商资质测评方法 了解信息安全人员资质测评方法 信息安全测评 信息安全测评 依据相关标准，从安全技术、功能、机制等角度对信息技术产品、信息系统、服务提供商以及人员进行测试和评估 测评对象 信息产品安全测评 信息系统安全测评 服务商资质测评 信息安全人员资质测评 * * 测评机构对产品的安全性做出的独立评价 目的 为产品认证提供证据，增强用户对已评估产品安全的信任，向消费者提供信息技术安全产品的采购依据，推动信息技术安全产业的发展、提高信息技术安全科研和生产水平。 信息产品安全测评依据的标准是：CC 信息安全产品测评 * * 在信息系统的生命周期内，根据组织机构的要求在信息系统的安全技术、安全管理和安全工程领域内对信息系统的安全技术控制措施和技术架构能力、安全管理控制和管理能力以及安全工程实施控制措施和工程实施能力进行评估综合 最终得出信息系统在其运行环境中安全保障措施满足其安全保障要求的符合性，以及信息系统安全保障能力的评估 信息系统安全保障评估的内容 * * 信息系统安全测评标准 信息系统安全测评标准是GB/T20274 《信息系统安全保障评估框架》，它为信息系统安全测评提供了思路框架和操作规范 * 保障要素 生命周期 信息特征 信息系统的安全保障能力成熟度级 管理能力成熟度等级（MCML）： MCML1、MCML2、MCML3、MCML4和 MCML5 工程能力成熟度等级（PCML）： PCML1、PCML2、PCML3、PCML4和 PCML5 技术体系架构成熟度级别（TCML） ： TCML1、TCML2、TCML3、TCML4、 TCML5 * * 信息安全服务资质评估 信息安全服务资质测评是对信息安全服务商的技术、资源、管理等方面的能力和稳定性、可靠性进行评估 目前中国信息安全测评中心开展的信息安全服务资质评估包括3个类别 信息安全工程类 信息安全开发类 信息系统灾难恢复类 * * 信息安全服务资质评估主要内容 基本资格 独立实体——本身合法 遵守国家有关法规—