2015版-CISP0101信息安全保障_v3.0预案.ppt

信息安全测评 信息安全测评 依据相关标准，从安全技术、功能、机制等角度对信息技术产品、信息系统、服务提供商以及人员进行测试和评估 测评对象 信息产品安全测评 信息系统安全测评 服务商资质测评 信息安全人员资质测评 * * 测评机构对产品的安全性做出的独立评价 目的 为产品认证提供证据，增强用户对已评估产品安全的信任，向消费者提供信息技术安全产品的采购依据，推动信息技术安全产业的发展、提高信息技术安全科研和生产水平。 信息产品安全测评依据的标准是：CC 信息安全产品测评 * * 在信息系统的生命周期内，根据组织机构的要求在信息系统的安全技术、安全管理和安全工程领域内对信息系统的安全技术控制措施和技术架构能力、安全管理控制和管理能力以及安全工程实施控制措施和工程实施能力进行评估综合 最终得出信息系统在其运行环境中安全保障措施满足其安全保障要求的符合性，以及信息系统安全保障能力的评估 信息系统安全保障评估的内容 * 信息系统安全测评标准 信息系统安全测评标准是GB/T20274 《信息系统安全保障评估框架》，它为信息系统安全测评提供了思路框架和操作规范 * 保障要素 生命周期 信息特征 信息系统的安全保障能力成熟度级 管理能力成熟度等级（MCML）： MCML1、MCML2、MCML3、MCML4和 MCML5 工程能力成熟度等级（PCML）： PCML1、PCML2、PCML3、PCML4和 PCML5 技术体系架构成熟度级别（TCML） ： TCML1、TCML2、TCML3、TCML4、 TCML5 * * 信息安全服务资质评估 信息安全服务资质测评是对信息安全服务商的技术、资源、管理等方面的能力和稳定性、可靠性进行评估 目前中国信息安全测评中心开展的信息安全服务资质评估包括3个类别 信息安全工程类 信息安全开发类 信息系统灾难恢复类 * 信息安全服务资质评估主要内容 基本资格 独立实体——本身合法 遵守国家有关法规——行为合法 基本能力 组织机构 外部协作 人员素质 资产规模 设施环境 业绩 * 信息安全服务资质评估主要内容 安全工程过程能力级别是评定信息系统安全服务组织资质的主要依据，标志着服务组织提供给客户的安全服务专业水平和质量保证程度 信息系统工程的过程能力级别按成熟性排序，表示依次增加的组织能力。《信息系统安全服务资质评估准则》将信息系统安全服务组织的工程能力分为五个级别： 一级：基本执行级 二级：计划跟踪级 三级：充分定义级 四级：量化控制级 五级：连续改进级 * 信息安全服务资质评估主要内容 项目和组织过程能力包括： 1、质量保证； 2、管理配置； 3、管理项目风险； 4、监控技术活动； 5、规划技术活动； 6、管理系统工程支持环境； 7、提供不断发展的技能和知识； 8、与供应商协调。 * 信息安全人才知识体系战略 * CISP的知识体系架构 * * 知识域：信息安全保障工作方法 * 知识子域：信息安全监控与维护 了解在系统生命周期中持续提高信息系统安全保障能力的意义 了解信息系统安全监测与维护的主要原则 系统安全监控维护的意义 风险是动态变化的，信息系统安全保障需要覆盖信息系统的整个生命周期，形成持续改进的信息系统安全保障能力（技术/管理/工程能力） * 持续的风险评估是 信息安全保障的一 项基础性工作 持续的风险评估为新 的安全决策和需求提供 重要依据 风险评估 信息系统安全监控与保持的工作内容 以风险管理为基础做好以下工作 安全漏洞隐患的消控 建立有效事件管理与应急响应机制 建立强大的信息系统灾难恢复能力 * 谢谢，请提问题！ * * * * 　　 * * * * 美国CNCI：网络“曼哈顿计划” 2008年1月2日发布的国家安全总统令54/国土安全总统令23，建立了国家网络安全综合计划(CNCI)。 三道防线 建立第一线防御：减少当前漏洞和隐患，预防入侵； 全面应对各类威胁：增强反间能力，加强供应链安全来抵御各种威胁； 强化未来安全环境：增强研究、开发和教育以及投资先进的技术来构建将来的环境。 十二项提议 可信互联网连接（TIC）、网络入侵检测系统、网络入侵防护系统、科技研发、态势感知、网络反间、增强涉密安全、加强网络教育、“超越未来（Leap Ahead）”技术研发、网络威慑战略、全球供应链风险管理机制、公私协作 * 美国信息安全保障的重点对象 关键基础设施 2001年美国出台《美国爱国者法案》，定义“关键基础实施”的含义； 2003年12月发布《国土安全总统令/HSPD-7》确定了17个关键基础设施； 2008年3月国土安全部将关键制造业类为第18项关键基础设施； 目前美国关键基础设施和主要资源部门 （1）