某咨询信息安全标准培训.pptVIP

COBIT来源 1992年：ISACF (Information System Audit and Control Foundation)发起，参阅全球不同国家、政府、标准组织的26份文件后，基于其中之18份文件，研擬COBIT，同时筹组COBIT指导委员会(Steering Committee)。 1996年：COBIT指导委员会公布COBIT第一版。 1998年：COBIT指导委员会公布COBIT第二版，將第一版之32個高级控制目标(High Level Control Objectives)扩充成34个。 2000年：COBIT指导委员会公布COBIT第三版。 2005年： COBIT指导委员会公布COBIT第四版。 2007年：发布COBIT 4.1版，为目前最新版本。 * 第二十八页，共六十页。 COBIT涉及领域 商业目标及IT治理目标 效率 应用系统 信息 基础架构 人力 交付与支持 监控与评估 获得与实施 信息 IT资源 CobiT框架 效果 保密性 完整性 可用性 合规性 DS1 定义和管理服务水平 DS2 管理第三方服务 DS3 性能管理和容量管理 DS4 确保服务的连续性 DS5 确保系统安全 DS6 确定并分配成本 DS7 教育和培训用户 DS8 服务台和紧急事件管理 DS9 配置管理 DS10 问题管理 DS11 数据管理 DS12 物理环境管理 DS13 运营管理 ME1 监控和评价IT绩效 ME2 监控和评价内部控制 ME3 确保与法律的符合性 ME4 提供IT治理 P01 定义IT战略计划 P02 定义IT信息架构 P03 确定技术导向 P04 定义IT过程/组织和关系 P05 IT投资管理 P06 传递管理目标和方向 P07 IT人力资源管理 P08 质量管理 P09 IT风险评估及管理 P10 项目管理 AI1 识别自动化解决方案 AI2 获取并维护应用软件 AI3 获取并维护技术基础设施 AI4 保障运营和使用 AI5 获取IT资源 AI6 变革管理 AI7 安装/授权解决方案和变更 计划与组织 可靠性 * 第二十九页，共六十页。 COBIT的组件 实施概要 管理层指引 具体控制目标 构架 伴随高级控制目标 关键职能和目标说明 关键的成功因素 成熟的模板 审计指引 实施工具 * 第三十页，共六十页。 COBIT框架的原理 控制领域 (Domains) 流程 (Processes) 活动 (Activities/Tasks) 人 力 资 源 应 用 系 统 基 础 架 构 信 息 信息技术资源 可信赖性需求 质 量 需 求 信 息 处 理 要 求 信息技术流程 安 全 性 需 求 * 第三十一页，共六十页。 COBIT框架的原理 有效性 应以及时、正确、一致及可用的方式与业务流程有关的信息 效率 通过优化（生产率最高且经济合理）资源使用来交付信息 保密性 保护敏感信息免受未授权访问 完整性 信息的正确和完整，并根据业务价值和期望进行严正 可用性 若业务流程现在或将来产生需要，信息是可用的，关注于保护所需的资源及相应的能力 合规性 外部合规性和内部合规性，满足业务流程必须遵循的法律、法规及合同要求 可靠性 为管理者提供适当信息，以检验管理者的履职程度和职责 可信性需求 安全需求 质量需求 信息处理要求 IT 资源 IT流程 * 第三十二页，共六十页。 COBIT框架的原理 IT流程管理各种IT资源，以产生、传递并存储可满足业务需求的各种信息。 CobiT中定义的IT资源包括如下方面： 应用系统：处理信息的自动化信息系统及相应手册程序 信息：信息系统输入、处理和输出的所有形式的数据，可以被业务以任何形式使用 基础架构：保障应用系统处理信息所需的技术和设施（硬件、操作系统、数据库管理系统、网络、多媒体，以及放置上述设施所需的环境） 人员：策划、组织、采购、实施、交付、支持、监控和评价信息系统和服务所需的人员，可以是内部的也可以是外部的 应用系统 信息 基础架构 人员 IT 资源 信息处理要求 IT 流程 * 第三十三页，共六十页。 提纲 信息安全标准概述 国际标准 – ISO/IEC 系列信息安全标准 国际标准 – COBIT 国内标准 －等级保护 安全标准的总结 问题与回答 * 第三十四页，共六十页。 全国信息安全标准化技术委员会简介 中国从1984年开始就组建了数据加密技术委员会，并在1997年8月，将该委员会改组为全国信息技术标准化分技术委员会，主要负责制定信息安全的国家标准。 2001年，国家标准化管理委员会批准成立全国信息安全标准化技术委员会，简称“全国安标委”。标准委员会的标号是TC260。 全国