风险评估的国际动态( 50)(1).pptVIP

下载本文档

1
0
约9.33千字
约 50页
2019-07-12 发布于河南
举报
版权申诉

风险评估的国际动态( 50)(1).ppt

1、本文档共50页，可阅读全部内容。
2、原创力文档（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。
3、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。
5、该文档为VIP文档，如果想要下载，成为VIP会员后，下载免费。
6、成为VIP后，下载本文档将扣除1次下载权益。下载后，不支持退款、换文档。如有疑问请联系我们。
7、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
8、VIP文档为合作方或网友上传，每下载1次，网站将根据用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

风险评估的国际动态汇报要点信息安全管理成为信息安全保障的热点泰德带来的启示风险评估和等级保护的关系信息安全管理成为信息安全保障的热点 IT IS $！信息就是财富,安全才有价值。 CI: Critical Infrastructure CIP: Critical Infrastructure Protection CII: Critical Information Infrastructure. CIIP: Critical Information Infrastructure Protection 技术提供安全保障功能，但不是安全保障的全部提高人的安全意识，技术、管理两手抓成为国际共识。标准化组织和行业团体抓紧制定管理标准 ISO 13335 正在重组修改正在修订17799 BS 7799-2 成为国际标准正在讨论 NIST 在联邦IT系统认证认可的名义下提出大量规范 SP 800-18 《IT系统安全计划开发指南》（1998年12月） SP 800-26 《IT系统安全自评估指南》（2001年11月） SP 800-30 《IT系统风险管理指南》（2002年1月发布，2004年1月21日修订） SP 800-37 《联邦IT系统认证认可指南》（2002年9月，2003年7月，2004年5月最后文本） FIPS 199《联邦信息和信息系统的安全分类标准》（草案第一版）（2003年12月） SP 800-53《联邦信息系统安全控制》（2003年8月31日发布草案） SP 800-53A《联邦信息系统安全控制有效性检验技术和流程》（计划2003至2004年出版） SP 800-60 《信息和信息类型与安全目标及风险级别对应指南》（2004年3月草案2.0版) Managing Enterprise Risk and Achieving More Secure Information Systems involves— Categorizing (enterprise information and information systems) Selecting (appropriate security controls) Refining (security controls through a risk assessment) Documenting (security controls in a system security plan) Implementing (security controls in new and legacy systems) Assessing (the effectiveness of security controls) Determining (enterprise-level risk and risk acceptability) Authorizing (information systems for processing) Monitoring (security controls on an ongoing basis) 国际信息系统审计与控制协会 (ISACA) 提出： 1. IS Risk Assessment, effective 1 July 2002 2. Digital Signatures, effective 1 July 2002 3. Intrusion Detection, effective 1 August 2003 4. Viruses and other Malicious Logic, effective 1 August 2003 5. Control Risk Self-assessment, effective 1 August 2003 6. Firewalls, effective 1 August 2003 7. Irregularities and Illegal Acts Effective 1 November 2003 8. Secuurity Assessment—Penetration Testing and Vulnerability Analysis, effective 1 September 2004 提出《信息和相关技术的控制目标》(CoBIT) CoBIT开发和推广了第三版， CoBIT起源于组织为达到业务目标所需的信息这个前提 CoBIT鼓励以业务流程为中心，实行业务流程负责制 CoBIT还考虑到组织对信用、质量和安全的需要它提供了组织用于定义其对IT业务要求的几条信息准则：效率、效果、可用性、完整性、保密性、可靠性