信息安全合规性比较.docVIP

目前，信息安全的标准体系很多，主要分为管理类、技术类和工程类。在一个体系中，经常综合放映了三个方面的要求。为了便于使用，本文以信息安全各个内容为主线，梳理各个体系的要求并作出对比。 总体说明 0.1 比较范围 由于信息安全的本质是为了确保业务价值，面向的对象是信息资产。所以围绕信息资产的信息要求来组织各个体系的内容。比较的体系包括以下4个： 信息系统安全等级保护测评要求 信息系统安全等级保护基本要求 GB/T22239-2008第四级 信息安全管理体系要求 GB/T22080-2008 idt ISO27001:2005 服务管理 GB/T22405.1-2009 idt ISO20000-1：2005 商业银行信息科技风险管理指引 网上银行系统信息安全通用规范 由于等保的测评要求和直接把等保的基本要求作为指标，所以综合为等保要求。标准编号会特别说明。 把ISO20000纳入体系，主要是在IT系统的运维阶段，安全和域内密不可分。 以后还会逐步把NIST800中有关标准纳入比较。 0.2 比较的条目结构 本文以信息系统安全内容为主线来进行比较。比较的主要条目有： 第一部分：基础部分 目的与动机 基本方法和模型 适用范围 第二部分：管理部分 文件化要求 信息安全方针和安全策略 信息安全组织 人员资源安全 安全制度和流程 安全事件管理 问题管理 系统的获取 系统的运维 对信息安全体系本身的管理 第三部分 技术部分 物理安全 网络安全 主机安全 应用安全 数据和备份恢复 第四部分 专题部分 业务连续性 业务恢复 目的和动机的比较 目的和动机一般在标准的引言中说明。也有标准在其他部分说明。 等保要求的目的和动机 在《信息系统安全等级保护测评要求》的引言中说明目的和动机： 指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。 在《GB/T 22239—2008信息安全技术 信息系统安全等级保护基本要求》的引言中说明的目的和动机： 指导不同安全保护等级信息系统的安全建设和监督管理。 信息安全管理体系的目的和动机 在《GB/T 22080—2008 信息技术 安全技术 信息安全管理体系要求》的引言中说明了目的和动机 为建立、实施、运行、监视、评审、保持和改进信息安全管理体系提供模型。 用于一致性评估 服务管理的目的和动机 在《GB/T24405.1-2009T信息技术_服务管理_第1部分_规范.》的引言中说明的目的与动机： 鼓励采用整合的过程方法，有效地交付受管理的服务，满足业务和顾客要求 商业银行信息科技风险管理指引的目的和动机 在第一章总则的第五条中说明了目的和动机： 通过建立有效机制，实现对商业银行信息科技风险的识别、计量、检测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争能力和可持续发展能力。 网上银行系统信息安全通用规范的目的和动机 在前言中说明了目的和动机： 有效增强现有网上银行系统的安全防范能力，促进网上银行规范、健康发展。作为网上银行系统建设和改造升级的安全性依据，也可以作为个单位开展安全检查和内部审计的依据。 基本方法和模型的比较 一般在引言、或者总则中说明基本方法和模型。 等保的基本方法和模型 在《信息系统安全等级保护测评要求》的引言说明基本方法和模型为： 针对信息系统中的单项安全措施和多个安全措施的综合防范，对应地提出单元测评和整体测评的技术要求，用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。 单元测评对安全技术和安全管理上各个层面的安全控制提出不同安全等级的测试评估要求，其测评内容主要针对《信息安全技术 信息系统安全等级保护基本要求》规定的各单项安全控制措施在信息系统中的落实情况。 整体测评根据安全控制间、层面间和区域间相互关联关系以及信息系统整体结构对信息系统整体安全保护能力的影响提出测试评估要求。 在《信息系统安全等级保护测评要求》的第四章总则中说明了测评原则、测评内容、测评强度、结果重用和测评方法 在《GB/T 22080—2008 信息技术 安全技术 信息安全管理体系要求》 ： 基本安全要求包括基本技术要求和基本管理要求 信息安全管理体系的基本方法和模型 PDCA的过程方法 服务管理的基本方法和模型 通过整合过程和对不同人员和组织的协调来不断改进。 商业银行信息科技风险管理指引的基本方法和模型 管法人：从坚持法人监管出发，指出商业银行法定代表人是本机构信息科技风险管理的第一责任人 管风险：从坚持风险监管出发，要求商业银行建立有效的机制，实现对信息科技风险的识别、计量、监测和控制，提高信息技术使用水平。 管内控：从内控监管要求出发，要求商业银行建立完整的管理组织架构，制订完善的管理制度和流程，以相互制约的管理机制对信息科