安全测评实践教程.pptVIP

安全测评实践;课程内容;知识域：信息系统安全保障工作基本内容;信息系统安全保障评估;信息系统安全保障评估的作用;信息安全保障评估;美国 欧洲 亚太 国际组织 中国 ;*;*;*;*;*;我国信息安全测评认证标准 ;国家信息安全测评主要对象;信息安全产品测评;信息产品安全评估是测评机构对产品的安全性做出的独立评价，目的是为产品认证提供证据，增强用户对已评估产品安全的信任，向消费者提供信息技术安全产品的采购依据，从而推动信息技术安全产业的发展、提高信息技术安全科研和生产水平。;产品认证的基本要求; 根据国家标准GB/T 18336－2001，信息产品安全的测评由低到高划分为7级别，即CC的EAL1-7级。 目前中国信息安全测评中心开展了1~4级四个级别的测评工作。5~ 7级三个级别的测评将视具体情况与委托方研究协商后确定 ;准备阶段;信息系统安全测评;信息系统安全保障的评估，是从信息系统安全保障的概念出发，在信息系统的生命周期内，根据组织机构的要求在信息系统的安全技术、安全管理和安全工程领域内对信息系统的安全技术控制措施和技术架构能力、安全管理控制和管理能力以及安全工程实施控制措施和工程实施能力进行评估综合，从而最终得出信息系统在其运行环境中安全保障措施满足其安全保障要求的符合性以及信息系统安全保障能力的评估。;信息系统安全测评标准;信息安全等级保护法律政策体系;信息安全等级保护相关标准;信息安全保障评估总体思路; 评估信息系统安全保障目标（ISST）对信息系统安全保障要求（ISPP）的符合性，即具体的信息系统安全保障措施信息系统在其运行环境下是否满足信息系统安全保障的需求 对信息系统安全保障的执行能力进行评估，评估信息系统安全保障级（包括技术架构能力级、工程能力级和管理能力级的评定） ;;信息系统的安全保障能力成熟度级;评估对象;信息系统安全保障等级评估规范的建立;;信息安全服务资质测评;服务资质测评的作用;服务资质测评的程序;基本资格 独立实体——本身合法 遵守国家有关法规——行为合法 基本能力 组织机构 外部协作 人员素质 资产规模 设施环境 业绩 ;安全工程???程能力级别是评定信息系统安全服务组织资质的主要依据，标志着服务组织提供给客户的安全服务专业水平和质量保证程度。 信息系统工程的过程能力级别按成熟性排序，表示依次增加的组织能力。《信息系统安全服务资质评估准则》将信息系统安全服务组织的工程能力分为五个级别： 一级：基本执行级 二级：计划跟踪级 三级：充分定义级 四级：量化控制级 五级：连续改进级 ;项目和组织过程能力包括： 1、质量保证； 2、管理配置； 3、管理项目风险； 4、监控技术活动； 5、规划技术活动； 6、管理系统工程支持环境； 7、提供不短发展的技能和知识； 8、与供应商协调。 ;CISE;概述;CISP;信息安全人才知识体系战略;CISP的知识体系架构;CISP资质认证流程;知识域：信息系统安全保障工作基本内容;为什么投入钱、投入人，信息安全问题还是层出不穷？ 因为风险是动态变化的，信息系统安全保障需要覆盖信息系统的整个生命周期，形成持续改进的信息系统安全保障能力（技术/管理/工程能力）;信息系统安全监控与保持 ;持续的风险评估是 信息安全保障的一 项基础性工作;以风险管理为基础做好以下工作 安全漏洞隐患的消控 建立有效事件管理与应急响应机制 建立强大的信息系统灾难恢复能力 ;谢谢，请提问题！