某银行业监督管理委员会培训课件.ppt

Date * Date * Date * Date * Date * Date * Date * Date * Date * Date * Date * Date * Date * Date * Date * Date * * 第 * 页 COBIT的组件 实施概要 管理层指引 具体控制目标 构架 伴随高级控制目标 关键职能和目标说明 关键的成功因素 成熟的模板 审计指引 实施工具 第 * 页 COBIT框架的原理 控制领域 (Domains) 流程 (Processes) 活动 (Activities/Tasks) 人 力 资 源 应 用 系 统 基 础 架 构 信 息 信息技术资源 可信赖性需求 质 量 需 求 信 息 处 理 要 求 信息技术流程 安 全 性 需 求 第 * 页 COBIT框架的原理 有效性 应以及时、正确、一致及可用的方式与业务流程有关的信息 效率 通过优化（生产率最高且经济合理）资源使用来交付信息 保密性 保护敏感信息免受未授权访问 完整性 信息的正确和完整，并根据业务价值和期望进行严正 可用性 若业务流程现在或将来产生需要，信息是可用的，关注于保护所需的资源及相应的能力 合规性 外部合规性和内部合规性，满足业务流程必须遵循的法律、法规及合同要求 可靠性 为管理者提供适当信息，以检验管理者的履职程度和职责 可信性需求 安全需求 质量需求 信息处理要求 IT 资源 IT流程 第 * 页 COBIT框架的原理 IT流程管理各种IT资源，以产生、传递并存储可满足业务需求的各种信息。 CobiT中定义的IT资源包括如下方面： 应用系统：处理信息的自动化信息系统及相应手册程序 信息：信息系统输入、处理和输出的所有形式的数据，可以被业务以任何形式使用 基础架构：保障应用系统处理信息所需的技术和设施（硬件、操作系统、数据库管理系统、网络、多媒体，以及放置上述设施所需的环境） 人员：策划、组织、采购、实施、交付、支持、监控和评价信息系统和服务所需的人员，可以是内部的也可以是外部的 应用系统 信息 基础架构 人员 IT 资源 信息处理要求 IT 流程 第 * 页 提纲 信息安全标准概述 国际标准 – ISO/IEC 系列信息安全标准 国际标准 – COBIT 国内标准 －等级保护 安全标准的总结 问题与回答 第 * 页 全国信息安全标准化技术委员会简介 中国从1984年开始就组建了数据加密技术委员会，并在1997年8月，将该委员会改组为全国信息技术标准化分技术委员会，主要负责制定信息安全的国家标准。 2001年，国家标准化管理委员会批准成立全国信息安全标准化技术委员会，简称“全国安标委”。标准委员会的标号是TC260。 全国信息安全标准化技术委员会包括四个工作组： 信息安全标准体系与协调工作组 PKI和PMI工作组 信息安全评估工作组 信息安全管理工作组 截至2007年底，全国信息安全标准化技术委员会已经完成了国家标准59项，还有56项国家标准在研制中。 第 * 页 等级保护是什么？ 等级保护基本概念：信息系统安全等级保护是指对信息安全实行等级化保护和等级化管理 根据信息系统应用业务重要程度及其实际安全需求，实行分级、分类、分阶段实施保护，保障信息安全和系统安全正常运行，维护国家利益、公共利益和社会稳定。 等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点，保障重要信息资源和重要信息系统的安全。 第 * 页 等级保护法律和政策依据 《中华人民共和国计算机信息系统安全保护条例》第二章安全保护制度部分规定： “计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。” 《计算机信息系统安全保护等级划分准则》GB17859-1999（技术法规）规定： “国家对信息系统实行五级保护。” 《国家信息化领导小组关于加强信息安全保障工作的意见》重点强调： “实行信息安全等级保护制度，重点保护基础信息网络和重要信息系统。” 第 * 页 等级保护的分级 等级保护分为5级管理制度： 第一级，自主保护级：信息系统受到破坏后，会对公民，法人和其他组织的合法权益造成损害，但不损害国家安全，社会秩序和公共利益。 第二级，指导保护级：信息系统受到破坏后，会对公民，法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，监督保护级：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，强制保护级：信息系统受到破坏后，会对社会秩序和公共