保密安全与密码技术讲义四.pptVIP

保密安全与密码技术 ;安全评估;信息技术安全评估准则发展过程 ;信息技术安全评估准则发展过程;信息技术安全评估准则发展过程;信息技术安全评估准则发展过程;;安全评估;TCSEC可信计算机系统评估准则;TCSEC;TCSEC;TCSEC;TCSEC;TCSEC;TCSEC;TCSEC;TCSEC;TCSEC;TCSEC;TCSEC;TCSEC;安全评估;CC的适用范围;CC的关键概念;CC的关键概念;CC的关键概念;CC的关键概念;CC的先进性 ;CC内容;CC内容;CC内容之间的关系;保护轮廓与安全目标的关系;CC：第一部分 介绍和通用模型;;;CC框架下的评估类型 ;三种评估的关系;CC 第二部分??安全功能要求;;;;;安全功能需求层次关系;CC的11个安全功能类;CC：第三部分 评估方法;;;;;;7个安全保证类; 安全保证要求部分提出了七个评估保证级别（Evaluation Assurance Levels：EALs）分别是： ;7个评估保证级别;7个评估保证级别;CC的EAL与其他标准等级的比较;;;CC优缺点;CC优缺点;CC优缺点;安全评估;信息安全保证技术框架(IATF);信息安全保证技术框架(IATF);信息安全保证技术框架(IATF);信息安全保证技术框架(IATF);信息安全保证技术框架(IATF);信息安全保证技术框架(IATF);信息安全保证技术框架(IATF);信息安全保证技术框架(IATF);信息安全保证技术框架(IATF);信息安全保证技术框架(IATF);信息安全保证技术框架(IATF);信息安全保证技术框架(IATF);信息安全保证技术框架(IATF);信息安全保证技术框架(IATF);安全评估;BS7799;BS7799;BS7799内容：总则;BS7799部分;BS 7799-2:2002十大管理要项 ;BS7799与其他标准的比较;; 第一步 制订信息安全方针 组织应定义信息安全方针。 信息安全是指保证信息的保密性、完整性和可用性不受破坏。建立信息安全管理体系的目标是对公司的信息安全进行全面管理。 信息安全方针是由组织的最高管理者正式制订和发布的该组织的信息安全的目标和方向，用于指导信息安全管理体系的建立和实施过程。 要经最高管理者批准和发布 体现了最高管理者对信息安全的承诺与支持 要传达给组织内所有的员工 要定期和适时进行评审 目的和意义 为组织提供了关注的焦点，指明了方向，确定了目标； 确保信息安全管理体系被充分理解和贯彻实施； 统领整个信息安全管理体系。; 第一步 制订信息安全方针 信息安全方针的内容 包括但不限于： 组织对信息安全的定义 信息安全总体目标和范围 最高管理者对信息安全的承诺与支持的声明 符合相关标准、法律法规、和其它要求的声明 对信息安全管理的总体责任和具体责任的定义 相关支持文件 注意事项 相关支持文件 简单明了 易于理解 可实施 避免太具体; 第二步 确定ISMS范围 BS7799-2对ISMS的要求： 组织应定义信息安全管理体系的范围，范围的边界应依据组织的结构特征、地域特征、资产和技术特点来确定。 可以根据组织的实际情况，将组织的一部分定义为信息安全管理范围，也可以将组织整体定义为信息安全管理范围； 信息安全管理范围必须用正式的文件加以记录。 ISMS范围文件 文件是否明白地描述了信息安全管理体系的范围 范围的边界和接口是否已清楚定义 ; 第三步 风险评估 BS7799-2对ISMS的要求： 组织应进行适当的风险评估，风险评估应识别资产所面对的威胁、脆弱性、以及对组织的潜在影响，并确定风险的等级。 是否执行了正式的和文件化的风险评估？ 是否经过一定数量的员工验证其正确性？ 风险评估是否识别了资产的威胁、脆弱性和对组织的潜在影响？ 风险评估是否定期和适时进行？;第四步 风险管理 BS7799-2对ISMS的要求： 组织应依据信息安全方针和组织要求的安全保证程度来确定需要管理的信息安全风险。 根据风险评估的结果，选择风险控制方法，将组织面临的风险控制在可以接受的范围之内。 是否定义了组织的风险管理方法？ 是否定义了所需的信息安全保证程度？ 是否给出了可选择的控制措施供管理层做决定？;第五步 选择控制目标和控制措施 BS7799-2对ISMS的要求： 组织应选择适当的控制措施和控制目标来满足风险管理的要求，并证明选择结果的正确性。 选择的控制措施是否建立在风险评估的结果之上？ 是否能从风险评估中清楚地看出哪一些是基本控制措施，哪一些是必须的，哪一些是可以考虑选择的控制措施？ 选择的控制措施是否反应了组织的风险管理战略？ 针对每一种风险，控制措施都不是唯一的，要根据实际情况进行选择;第五步 选择控制目标和控制措施 BS7799-2对ISMS的要求： 未选择某项