第六章 信息管理标准与法律法规.ppt

介绍 网络攻击防御与安全管理技术高级培训 信息产业部信息化专家、督导 王宝会 Will@ncie.gov.cn 信息管理标准与法律法规 信息安全标准ISO17799 信息安全标准BS7799 信息安全工程评测标准以及方法 国际相关法律法规现状与特点 我国信息系统安全保护法律规范的体系 部分相关法律法规简介 信息安全标准ISO17799 ISO17799于2000年12月出版，它是适用于所有的组织，建议成为强制性的安全标准,由十个独立的部分组成 。 它是基于BS7799之上的，B2月首版，最后一次修订和改进是在1999年5月。 ISO17799组成部分(1) 由十个独立的部分组成 商业持续规划 :防止商业活动的中断；防止关键商业过程免受重大失误或灾难的影响。 系统访问控制 :控制访问信息；阻止非法访问信息系统；确保网络服务得到保护；阻止非法访问计算机；检测非法行为；保证在使用移动计算机和远程网络设备时信息的安全 系统开发和维护 :确保信息安全保护深入到操作系统中；阻止应用系统中的用户数据的丢失，修改或误用；确保信息的保密性，可靠性和完整性；确保IT项目工程及其支持活动是在安全的方式下进行的；维护应用程序软件和数据的安全。 ISO17799组成部分(2) 物理和环境安全 :阻止对业务机密和信息非法的访问，损坏干扰；阻止资产的丢失，损坏或遭受危险，使业务活动免受干扰；阻止信息和信息处理设备的免受损坏或盗窃。 符合性 :避免违背刑法、民法、条例或契约责任、以及各种安全要求；确保组织系统符合安全方针和标准；使系统审查过程的绩效最大化，并将干扰因素降到最小。 人员安全 :减少错误，偷窃，欺骗或资源误用等人为风险；确保使用者了解信息安全的威胁和，在他们的正常的工作中有相应的训练，以便利于信息安全政策的贯彻和实施；通过从以前事件和故障中汲取教训，最大限度降低安全的损失。 ISO17799组成部分(3) 安全组织:在公司内部管理信息安全 ；保持组织的信息采集设施和可被第三方利用的信息资产的安全性；当信息处理的责任需借助于外力是时，维持信息的安全。 计算机与网络管理 :确保信息处理设备的正确和安全的操作；降低系统失效的风险到最小；保护软件和信息的完整性；维护信息处理和通讯的完整性和可用性；确保网络信息的安全措施和支持基础结构的保护；防止资产被损坏和业务活动被干扰中断；防止组织间的交易信息遭受损坏，修改或误用。 资产分类和控制:对于共同的资产给予适当的保护并且确保那些信息资产得到适当水平的保护。 安全政策 :为信息安全提供管理方向和支持。 信息安全标准BS7799 由英国标准协会（BSI）制定，是目前英国最畅销的标准。 BS 7799BS 7799-1于1995年首次出版。主要提供了有效地实施IT安全管理的建议，介绍了安全管理的方法和程序 。 2000年12月，BS 7799-1通过国际化标准组织认可，正式成为国际标准ISO 17799 BS7799的十大管理要项 BS 7799内容列表 建立信息安全管理体系的步骤 信息安全管理体系的实施 了解BS7799管理体系及其要求 管理层支持 选择性的支持服务和书籍 员工对信息安全管理体系的培训和掌握 申请信息安全管理体系的认证 选择合适的认证机构 推广和维护既有的信息安全管理体系 信息安全工程评测标准以及方法 国内安全标准、政策制定和实施: 国内主要是等同采用国际标准 2001年1月1日,公安部主持、国家技术标准局发布,GB17895-1999《计算机信息系统安全保护等级划分准则》 该准则将信息系统安全分为5个等级，分别是：自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。主要的安全考核指标有身份认证、自主访问控制、数据完整性、审计、隐蔽信道分析、客体重用、强制访问控制、安全标记、可信路径和可信恢复等，这些指标涵盖了不同级别的安全要求。 国际相关法律法规现状与特点 从２０世纪６０年代后期起，西方３０多个国家先后根据各自的实际情况，制定了相应的计算机和网络法规 : 瑞典１９７３年就颁布了数据法 ,是世界上第一部保护计算机数据的法律。 １９７８年，美国弗罗里达州通过了《弗罗里达计算机犯罪法》；随后，美国５０个州中的４７个相继颁布了计算机犯罪法。 １９９１年，欧共体１２个成员国批准了软件版权法。 迄今为止，已有３０多个国家先后从不同侧面制定了有关计算机及网络犯罪的法律和法规 各国法律法规的特点及现状 对国际互联网进行必要的管制已成为当今的一种世界性趋势，具体管制方式各国有所不同。 有的国家采取控制计算机网络国际联网出入口信道的方式 有的国家通过制定专门调整计算机互联网