《金融服务-信息安全指南》标准解读.pptxVIP

GB／T 27910—2011金融服务 信息安全指南Financial services--Information security guidelines金融信息化研究所 赵义斌2018-3主要内容前言主流标准信息安全体系目标本标准内容前言本标准是2008年全国金融标准化技术委员会的7项金融国际标准采标项目之一，采标“ISO/TR 13569:2005”。本标准给不同规模和类型的金融机构提供了审慎且成本合理的业务信息安全管理方案，同时它也为金融机构服务提供商提供了指南,对于面向金融业的培训机构和出版商，本标准也可作为原始文档。主流标准简介国际标准：27000系列国内标准：等级保护系列27000系列标准ISO/IEC27001的前身为英国的BS7799标准2005年，BS 7799-2:2002被ISO组织所采纳，推出ISO/IEC 27001:2005.ISO27000—27036，涉及术语、体系、实践规范、实施指南、指标与测量、风险管理……等，最核心标准是27001，ISO/IEC 27001被采为国家标准GB/T 22080-2008/ISO/IEC 27001:2005提出了完整的信息安全管理体系（ISMS），11个主题，39个控制目标，133个控制措施。11各主题包括安全政策、信息安全组织、资产管理、人力资源安全、实体与环境安全、通信和操作管理、访问控制、信息系统获取开发与维护、信息安全事故管理、业务连续性管理及符合性。将机构作为标准实施的一个主体等级保护安全技术物理、网络、主机、系统、应用、数据等安全管理制度、机构、人员、建设、运维针对具体的信息系统提出从技术到管理的安全要求信息安全目标信息安全体系确保信息资产的机密性、完整性、可用性（真实性、可靠性、不可抵赖性等），达成这些目标是一项跨专业部门 的工作。本标准内容公司信息安全策略信息安全管理—信息安全方案信息安全机构风险分析和评估安全控制实施和选择IT系统控制实施特定控制措施辅助项信息安全策略—信息分类按照信息资产价值、重要性进行信息分类不同类别的信息实施不同要求的信息安全防护策略 体现适度安全的理念信息安全策略—文档层次安全文档分为以下三个层次：策略文档一般由上层管理者发布的安全要求。实践文档支持和分解一般安全原则，该原则提供清楚的方法以达到安全策略要求。规程文档在一定技术水平上的对实践的归纳，提供实施所要求规程的指南。策略实践规程信息安全策略—策略文档特点信息安全策略应成为机构管理体系的有机组成部分。内容简明扼要、明确保护的信息资产、通用范式。全机构范围发布、对信息资产的全覆盖等。由上层管理者发布的安全要求，例如首席执行官(CEO)和首席信息官(CIO)签署、授权，才能生效。公开发布内容是稳定的广泛的代表性安全实践文档特点衍生于策略文档，满足实践需求，比策略文档更具有可变性。范围上比策略文档狭窄，适用于具体的业务、部门，有明确的使用范围和边界，有严格限制的读者对象，文档大小是变化的和依赖主题的，所以实践文档是不公开的。技术上中立，根据保护信息类别确定使用的技术方法。实践文档的数量应保持最少。示例： “对公司信息资产的访问应以与资产敏感性相对应的方式鉴别。双因素鉴别(基于生物特征识别和 基于口令)是可接受的最低鉴别级别。在访问被资产所有者分类为“机密”的资产时仅应采用三因素” 鉴别。双因素鉴别(基于生物特征识别和基于口令)的访问控制系统应遵守如下规则??” 安全规程文档特点衍生于一个或多个安全实践文档, 长度随规程的主题和复杂性而不同，具有可操作性。在三个层次的文档中范围最狭窄。制定文档时应保证文档是完整的、准确的和恰当的，并且不能与其他实践或策略冲突，并应对法规限制、外部生产标准和其他规程文档予以考虑。规程文档应包括：先前的包含任何残余风险标识的安全风险分析和管理审查结果、随后行动的结果 (诸如控制措施执行的安全符合性检查的结果)、日常信息安全行动监控和审查列表以及安全相关事故 的报告。它们是策略如何实施的专业技术性描述。如 “使用‘pwadmin’命令确保用户口令满足公司访问控制和鉴别实践文档中建立的标准。接下来的 命令是??” 信息安全管理——信息安全方案信息安全管理体系体系的建立安全意识审查事故管理监控符合性维护灾难恢复信息安全体系的建立实施信息安全策略需要建立信息安全体系，信息安全体系的建立、维护、改进和监控需要机构内多个专业部门的协同参与，全员支持信息安全体系的建立和实施。本标准最重要的建议是机构应建立一个信息安全管理体系。在公司管理的最高层次上，体系应遵循机构建立的策略，形成覆盖整个机构的建立和维护机制。 制定一个详细的信息安全过程和规程可能要求机构内不同业务职能角色的合作，包括审计、风险、 符合性、保险、负责法律法规符合性