金融服务信息安全指南标准解读.pptx

GB／T27910—

金融服务信息安全指南Financialservices--Informationsecurityguidelines金融信息化研究所赵义斌-3

重要内容序言主流原则信息安全体系目的本原则内容

序言本原则是全国金融原则化技术委员会的7项金融国际原则采标项目之一，采标“ISO/TR13569:”。本原则给不一样规模和类型的金融机构提供了审慎且成本合理的业务信息安全管理方案，同步它也为金融机构服务提供商提供了指南,对于面向金融业的培训机构和出版商，本原则也可作为原始文档。

主流原则简介国际原则：27000系列国内原则：等级保护系列

27000系列原则ISO/IEC27001的前身为英国的BS7799原则，BS7799-2:被ISO组织所采纳，推出ISO/IEC27001:.ISO27000—27036，波及术语、体系、实践规范、实行指南、指标与测量、风险管理……等，最关键原则是27001，ISO/IEC27001被采为国标GB/T22080-/ISO/IEC27001:提出了完整的信息安全管理体系（ISMS），11个主题，39个控制目的，133个控制措施。11各主题包括安全政策、信息安全组织、资产管理、人力资源安全、实体与环境安全、通信和操作管理、访问控制、信息系统获取开发与维护、信息安全事故管理、业务持续性管理及符合性。将机构作为原则实行的一种主体

等级保护安全技术物理、网络、主机、系统、应用、数据等安全管理制度、机构、人员、建设、运维针对详细的信息系统提出从技术到管理的安全规定

信息安全目的信息安全体系保证信息资产的机密性、完整性、可用性（真实性、可靠性、不可抵赖性等），到达这些目的是一项跨专业部门的工作。

本原则内容企业信息安全方略信息安全管理—信息安全方案信息安全机构风险分析和评估安全控制实行和选择IT系统控制实行特定控制措施辅助项

信息安全方略—信息分类按照信息资产价值、重要性进行信息分类不一样类别的信息实行不一样规定的信息安全防护方略体现适度安全的理念

信息安全方略—文档层次安全文档分为如下三个层次：方略文档一般由上层管理者公布的安全规定。实践文档支持和分解一般安全原则，该原则提供清晰的措施以到达安全方略规定。规程文档在一定技术水平上的对实践的归纳，提供实行所规定规程的指南。规程方略实践

信息安全方略—方略文档特点信息安全方略应成为机构管理体系的有机构成部分。内容简要扼要、明保证护的信息资产、通用范式。全机构范围公布、对信息资产的全覆盖等。由上层管理者公布的安全规定，例如首席执行官(CEO)和首席信息官(CIO)签订、授权，才能生效。公开公布内容是稳定的广泛的代表性

安全实践文档特点衍生于方略文档，满足实践需求，比方略文档更具有可变性。范围上比方略文档狭窄，合用于详细的业务、部门，有明确的使用范围和边界，有严格限制的读者对象，文档大小是变化的和依赖主题的，因此实践文档是不公开的。技术上中立，根据保护信息类别确定使用的技术措施。实践文档的数量应保持至少。示例：“对企业信息资产的访问应以与资产敏感性相对应的方式鉴别。双原因鉴别(基于生物特性识别和基于口令)是可接受的最低鉴别级别。在访问被资产所有者分类为“机密”的资产时仅应采用三原因”鉴别。双原因鉴别(基于生物特性识别和基于口令)的访问控制系统应遵守如下规则??”

安全规程文档特点衍生于一种或多种安全实践文档,长度随规程的主题和复杂性而不一样，具有可操作性。在三个层次的文档中范围最狭窄。制定文档时应保证文档是完整的、精确的和恰当的，并且不能与其他实践或方略冲突，并应对法规限制、外部生产原则和其他规程文档予以考虑。规程文档应包括：先前的包括任何残存风险标识的安全风险分析和管理审查成果、随即行动的成果(诸如控制措施执行的安全符合性检查的成果)、平常信息安全行动监控和审查列表以及安全有关事故的汇报。它们是方略怎样实行的专业技术性描述。如“使用‘pwadmin’命令保证顾客口令满足企业访问控制和鉴别实践文档中建立的原则。接下来的命令是??”

信息安全管理——信息安全方案体系的建立安全意识审查事故管理监控符合性维护劫难恢复信息安全管理体系

信息安全体系的建立实行信息安全方略需要建立信息安全体系，信息安全体系的建立、维护、改善和监控需要机构内多种专业部门的协同参与，全员支持信息安全体系的建立和实行。本原则最重要的提议是机构应建立一种信息安全管理体系。在企业管理的最高层次上，体系应遵照机构建立的方略，形成覆盖整个机构的建立和维护机制。制定一种详细的信息安全过程和规程也许规定机构内