《安全服务项目参考标准国际、国内.docVIP

项目参考标准 盖特佳公司将依据对安全风险具有良好定义的ISO15408/BS7799/SSE_CMM等国际标准来XXX单位进行安全服务。这些标准是帮助XXX单位计算机信息网络系统构建信息安全管理框架的国际标准。该标准要求各组织建立并运行一套经过验证的信息安全管理体系，用于解决如下问题：资产的保管、组织的风险管理、管理标准和管理办法、要求达到的安全程度等。 1）国际安全标准ISO 15408 ISO国际标准化组织于1999年正式发布了ISO/IEC 15408。ISO/IEC JTC 1和Common Criteria Project Organisations共同制订了此标准，此标准等同于Common Criteria V2.1。 ISO/IEC 15408有一个通用的标题——信息技术—安全技术—IT安全评估准则。此标准包含三个部分： 第一部分 介绍和一般模型 第二部分 安全功能需求 第三部分 安全认证需求 ISO/IEC 15408第二部分简介 ISO/IEC15408第二部分 安全功能需求，主要归结信息安全的功能需求： 审计——安全审计自动响应、安全审计数据产生、安全审计分析、安全审计评估、安全审计事件选择、安全审计事件存储 通信——源不可否认、接受不可否认 密码支持——密码密钥管理、密码操作 用户数据保护——访问控制策略、访问控制功能、数据鉴别、出口控制、信息流控制策略、信息流控制功能、入口控制、内部安全传输、剩余信息保护、反转、存储数据的完整性、内部用户数据保密传输保护、内部用户数据完整传输保护 鉴别和认证——认证失败安全、用户属性定义、安全说明、用户认证、用户鉴别、用户主体装订 安全管理——安全功能的管理、安全属性管理、安全功能数据管理、撤回、安全属性终止、安全管理角色 隐私——匿名、使用假名、可解脱性、可随意性 安全功能保护——底层抽象及其测试、失败安全、输出数据的可用性、输出数据的保密性、输出数据的完整性、内部数据传输安全、物理保护、可信恢复、重放检测、参考仲裁、领域分割、状态同步协议、时间戳、内部数据的一致性、内部数据复制的一致性、安全自检。 资源利用——容错、服务优先权、资源分配 访问——可选属性范围限制、多并发限制、锁、访问标志、访问历史、session建立 可信通道/信道——内部可信通道、可信通道 ISO/IEC 15408第三部分简介 ISO/IEC15408第三部分 安全认证需求，主要归结信息安全的认证需求： 配置管理 分发和操作 开发 指导文档 生命周期支持 测试 漏洞评估 2）国际安全标准BS7799 BS 7799——信息安全标准是英国的工业、政府和商业共同需求而发展的一个标准，它确保公司发展，实施和估量有效的安全管理时间并为公司贸易内部提供信心。目前此标准是领导英国和国际商业最好的信息安全惯例并受到国际一致好评。因为标准适用于各种类型的组织，公共的或私人的部门和任何商业环境，它的第一部分包含最好的信息安全管理应用并且是国际适用的。关于BS7799成为国际（ISO）标准的评审正在进行。 BS7799的最原始的版本是1995年出版：为了确保它的不过时，所有的标准需要定期地评定。BS 7799：1999是1995版本的一个修订版本和扩展版本：它包含了所有的原始的控制和一套在原有的基础上扩展的新的控制。例如，新版本包括关于电子商务，移动计算机，远程工作和外部采办等领域的控制。 BS 7799分两部分出版：1、BS 7799-1：1999信息安全管理应用程序和2、BS 7799-2：1999信息安全管理系统的规范。它是用于组织实施信息安全管理的一项体制。有10个以文献形式体现各种控制主题，其范围从来自第三方合同的风险识别，报告各种可能的安全事故到密码管理系统和用户培训。这十个章节和它们的客观目标在BS 7799中第二部分中有详细描述，大致可总结为： ????? 信息安全方针——为信息安全提供管理方向和保障； ????? 组织安全——建立组织内的管理体系以便安全管理； ????? 资产归类和控制——维护组织资产的适当保护系统； ????? 人员安全——减少人为造成的风险； ????? 实物和环境安全——防止对关于IT服务的未经许可的介入，损伤和干扰服务； ????? 通讯和操作管理——保证通讯和操作设备的正确和安全维护； ????? 访问控制——控制对商业信息的访问； ????? 系统开发和维护——保证安全建造进入安全系统； ????? 商业连续性管理——防止商业活动中断及保护关键商业过程不受重大失误或灾难事故的影响； ????? 遵守——避免任何违反法令、法规、合同约定及其他安全要求的行为。 3）系统安全工程能力成熟模型(SSE-CMM) 系统安全工程 信息系统安全工作覆