关于项目风险管理方法论在企业信息安全管理体系中的应用-项目管理专业论文.docxVIP

上海交通大学工程硕士学位论文第一章绪论 上海交通大学工程硕士学位论文 第一章 绪论 第 第 PAGE 10 页 一定程度上保证了评估结果的客观性和准确性。 1.3 论文主要内容 本文阐述了在集装箱运输行业由于业务特点而日益依赖于信息系统提供可持续 服务的状况下，某集装箱运输企业建设信息安全管理体系的必要性，并在分析了集装 箱运输企业的信息化特点后结合项目风险管理的思想设计了一套适合企业内部、简单 易行的信息安全管理指南和标准，然后详细描述了管理指南中的设计思想和流程阶 段，并完成了指南的最终设计。之后通过该企业的实例数据介绍了管理指南的具体实 现过程。 论文组织结构如下：全文共分六章。第一章为绪论，介绍课题研究背景，包括信 息安全、项目管理、课题的提出及研究的目的与意义，以及本文主要内容；第二章介 绍了信息安全体系建设和风险管理主要依据的标准和方法论的历史、现状以及在我国 的发展情况；第三章结合行业特点对集装箱运输企业的信息安全管理体系进行了研究 分析，提出以项目风险管理的思想来设计企业的安全管理指南；第四章则对设计完成 的某集装箱运输企业安全管理指南和风险评估标准进行了详细描述；第五章将该管理 指南在某集装箱运输企业进行了应用实践，通过实例数据说明了该管理指南的合理 性、有效性和可操作性；第六章总结本文工作及今后的研究方向。 1.4 本章小结 本章介绍了项目、项目管理、信息安全和风险评估等相关概念和历史发展概况， 之后对某集装箱运输公司的信息安全管理体系的建设做了简单描述，从而提出从项目 风险管理的思想出发设计一套简单易行的信息安全风险评估方法，并阐述了该课题的 重要意义。 上海交通大学工程硕士学位论文第二章相关标准及理论的研究 上海交通大学工程硕士学位论文 第二章 相关标准及理论的研究 第二章 相关标准及理论的研究 2.1 国内外常用标准 2.1.1 国外标准的历史发展 TCSEC 世界各国对信息安全标准的研究可以追溯到 20 世纪 60 年代后期，1967 年美国 国防部(DoD)发布了“Defense Science Board Report”，对当时计算机环境中的安全策 略进行了分析；70 年代后期，DoD 开始对当时流行的操作系统进行安全方面的研究。 80 年代中期，DoD 发布了具有较大影响的“可信计算机系统评估准则（TCSEC）”（即 桔皮书）[5]。TCSEC 是计算机系统安全评估的第一个正式标准，具有划时代的意义。 它是在 20 世纪 70 年代的基础理论研究成果 Bell La Padula 模型基础上提出的，其 初衷是针对操作系统的安全性进行评估，后来 DoD 又发布了可信数据库解释（TDI） [6]、可信网络解释（TNI）[7]等一系列相关的说明和指南，由于这些文档发行时封面 均为不同的颜色，因此常被称为“彩虹系列”[8]。TCSEC 将安全分为 4 个方面（安 全政策、可说明性、安全保障和文档）和 7 个安全级别（从低到高依次为 D、C1、 C2、B1、B2、B3 和 A 级，如表 2-1 所示）。 表 2-1：TCSEC 的等级划分 等级分类 保护等级 D 类：最低保护等级 D 级：无保护级 C 类：自主保护级 C1 级：自主安全保护级 C2 级：控制访问保护级 B 类：强制保护级 B1 级：标记安全保护级 B2 级：机构化保护级 B3 级：安全区域保护级 A 类：验证保护级 A1 级：验证设计级 超 A1 级 ITSEC 1991 年由英国、德国、法国、荷兰等欧洲国家组成的欧洲委员会共同统一制定 了《信息技术安全评估标准》ITSEC（The Information Technology Security Evaluation Criteria）[9]。并在第二年，补充制定了《信息技术安全评估手册》ITSEM（Information Technology Security Manual）[10]。 ITSEC 标准指出信息技术安全意味着机密、完整和有效。标准主要涉及在硬件、 软件和固件上面实现的技术安全措施，而不包括硬件安全的物理方面例如电磁辐射的 控制。 标准主要从安全的功能、安全的保证和安全的效果几个方面进行了定义，旨在证 明 TOE( Target of evaluation) 和 ST（Security Target）的一致性。在安全的功能中，标 准定义了 TOE、ST 和预定义类等重要概念。安全的保证是 ITSEC 的重点，从效力的 保证和正确性保证两方面分别加以评估。而且，对评估的每个细节方面都从内容和描 述的需求、证明的需求和评估者行为三个方面进行评估。授予一个 TOE 的等级是评 估的效果。标准中指出，TOE 的等级包括：TOE 安全目标的参考，作为评估的基线； 评估