《信息安全管理与风险评估》_第3章 信息风险相关技术标准和工具.pptxVIP

3.1信息风险相关技术标准;随着信息技术的快速发展，信息技术的应用日益渗透到政府、企业、团体、军队、家庭、个人等社会和经济的各个角落，并日益深刻地改变着人们传统的工作模式、商业模式、管理模式和生活模式。伴随着信息技术的快速发展和全面应用，信息安全的重要性也日益凸显出来。IT产品和系统拥有的信息资产是能使组织完成其任务的关键资源。因此，人们要求IT产品和系统具备充分的安全性来保护IT产品和系统内信息资产的保密性、完整性和可用性。

随着技术的飞速发展、社会分工的进一步细化，加剧了组织与顾客之间的信息不对称。许多IT用户缺乏判断其IT产品和系统的安全性是否恰当的知识、经验和资源，他们并不希望仅仅依赖开发者的声明。用户可借助对IT产品和系统的安全分析（即安全评估）来增加他们对其安全措施的信心。由此产生了对于IT产品和系统的安全性评估准则的需求。以下对常见的几种风险评估标准进行介绍。;3.1.1BS7799/ISO17799/ISO27002

BS7799标准是由英国标准协会（BIS）制定的信息安全管理标准，全名是BS7799CodeofPracticeforInformationSecurity，是目前国际上具有代表性的信息安全管理体系标准，其发展过程及简要内容如图3-1和图3-2所示。标准包括两部分:BS7799-1:1999《信息安全管理实施细则》和BS7799-2:1999《信息安全管理体系规范》。

2000年12月1日，国际标准化组织（ISO）将BS7799-1:1999修改为国际标准，编号为ISO/IEC17799-1《信息安全管理实施细则》。该标准被信息界喻为“滴水不漏的信息安全管理标准”。2005年6月，ISO/IEC17799-1《信息安全管理实施细则》再次修改，成为新的国际标准，即ISO17799:2005——信息技术——安全技术——信息安全管理体系实施细则。

2007年时被重新编号为ISO/IEC27002以便与其他ISO/IEC27000系列一致。ISO/IEC27002提供了一种最佳实践方式用来初始化、实施以及管理的一套信息安全系统。最新版本为ISO27002:2013信息技术——安全技术——信息安全控制实用规则。不论ISO/IEC27001还是ISO/IEC27002目前都正在更新为ISO/IECJTC1/SC27。

ISO/IEC27001:2013是一个详细的安全标准。从原本的11个控制域调整为14个，新增了??码学和供应关系两个控制域，并将原本的通信及操作管理拆分为操作安全和通信安全两个控制域。;3.1.2ISO/IECTR13335

ISO/IECTR13335是一个信息安全管理指南，其风险管理模型如图3-3所示。

第一部分：IT安全的概念和模型（ConceptsandmodelsforITSecurity），发布于1996年12月15日。该部分包括了对IT安全和安全管理的一些基本概念和模型的介绍。其主要内容包括IT安全管理概念；资产、威胁、脆弱点、影响、风险、防护措施、残余风险、限制条件、安全要素之间的关系、风险管理的关系等安全要素；此外还包括风险管理、风险分析、可审计性、监视、安全意识、配置管理、变更管理、业务连续性计划、IT安全要素、IT安全管理过程等信息技术安全管理的过程。

;第二部分：IT安全的管理和计划（ManagingandplanningITSecurity），发布于1997年12月15日。这一部分建议性地描述了IT安全管理和计划的方式和要点，决定IT安全目标战略和策略。其主要内容包括决定组织IT安全需求；管理IT安全风险；计划适当IT安全防护措施的实施；开发安全教育计划；策划跟进的程序，如监控复查和维护安全服务；开发事件处理计划。

第三部分：IT安全的技术管理（TechniquesforthemanagementofITSecurity），发布于1998年6月15日。这一部分覆盖了风险管理技术IT安全计划的开发以及实施和测试，还包括一些后续的制度审查、事件分析、IT安全教育程序等。其中提出了IT安全目标、战略和公司IT安全策略；提供了基线方法、非正式方法、详细风险分析和综合方法来进行公司风险分析。在综合方法里详细阐述了风险分析的步骤，即建立评审边界、识别资产、资产赋值和建立资产之间的依赖关系，进行威胁评估、脆弱点评估，识别已经存在的/计划的防护措施、风险评估等步骤。在安全计划的实施方面阐述了防护措施的实施、安全意识、安全培训、IT系统的批准等内容。

第四部分：防护的选择（Selectionofsafeguards），发布于2000年3月1日。这