信息安全管理 普通高等教育“十一五”国家级规划教材 作者 张红旗 王新昌 杨英杰 唐慧林2 第2次课-信息安全管理体系1.pptVIP

信 息 安 全 管 理 Information security management 上节回顾 上节回顾 本节内容 第二章 信息安全管理体系1 第二章 信息安全管理体系1 第二章 信息安全管理体系1 第二章 信息安全管理体系1 第二章 信息安全管理体系1 第二章 信息安全管理体系1 第二章 信息安全管理体系1 第二章 信息安全管理体系1 第二章 信息安全管理体系1 第二章 信息安全管理体系1 第二章 信息安全管理体系1 第二章 信息安全管理体系1 第二章 信息安全管理体系1 第二章 信息安全管理体系1 第二章 信息安全管理体系1 第二章 信息安全管理体系1 第二章 信息安全管理体系1 第二章 信息安全管理体系1 第二章 信息安全管理体系1 第二章 信息安全管理体系1 第二章 信息安全管理体系1 第二章 信息安全管理体系1 第二章 信息安全管理体系1 第二章 信息安全管理体系1 第二章 信息安全管理体系1 第二章 信息安全管理体系1 第二章 信息安全管理体系1 第二章 信息安全管理体系1 第二章 信息安全管理体系1 第二章 信息安全管理体系1 第二章 信息安全管理体系1 第二章 信息安全管理体系1 第二章 信息安全管理体系1 第二章 信息安全管理体系1 第二章 信息安全管理体系1 第二章 信息安全管理体系1 第二章 信息安全管理体系1 第二章 信息安全管理体系1 第二章 信息安全管理体系1 第二章 信息安全管理体系1 第二章 信息安全管理体系1 第二章 信息安全管理体系1 信息安全管理体系的概念,建立步骤,特点; PDCA模型； BS7799信息安全管理体系； 基于SSE-CMM的信息安全管理。 第二章 信息安全管理体系1 什么是信息安全管理体系ISMS？建立ISMS有什么作用？ 叙述BS7799的主要内容？可以采用哪些模式引入BS7799？ 叙述SSE-CMM的主要思想 。 第二章 信息安全管理体系1 在建立和实施信息安全管理体系的过程中，如何采用PDCA模型及其思想？ tanghuilin81@ 2、BS7799信息安全管理体系 BS7799的内容 BS7799-2:《信息安全管理体系规范 》 BS7799-2的新版本ISO/IEC27001:2005 截至2005.11，全球共签发了1882张认证证书， 如：Siemens,NEC,CANON、EPON、IBM等。 3、基于SSE-CMM的信息安全管理体系 系统安全工程能力成熟度模型（System Security Engineering-Capability Maturity Model，SSE-CMM） 的提出是为了改善安全系统、产品和服务的性能、价格 及可用性。 3、基于SSE-CMM的信息安全管理体系 SSE-CMM概述 *1993年4月，美国国家安全局（NSA）对当时各类能力 成熟度模型（CMM）工作状况进行研究； *1996年10月出版了SSE-CMM的第一个版本； *1999年4月SSE-CMM模型和相应评估方法2.0版发布； *2002年，国际标准化组织正式公布了系统安全工程能 力成熟度模型的标准，即ISO/IEC21827:2002。 3、基于SSE-CMM的信息安全管理体系 SSE-CMM的作用 工程组织包括系统集成商、应用开发者、产品厂商和服 务供应商。对于这些组织，SSE-CMM的作用包括： 通过可重复和可预测的过程及实施来减少返工； 获得真正工程执行能力的认可，特别是在资源选择方面； 侧重于组织的资格（成熟度）度量和改进。 3、基于SSE-CMM的信息安全管理体系 SSE-CMM的作用 获取组织包括从内部/外部获取系统、产品和服务的 组织以及最终用户。对于这些组织，SSE-CMM的作用： 可重用的（Request for Proposal，RFP）标准语言和评 定方法； 减少选择不合格投标者的风险（性能、成本和工期风 险）； 进行基于工业标准的统一评估，减少争议； 在产品生产和提供服务过程中建立可预测和可重复级的 可信度。 3、基于SSE-CMM的信息安全管理体系 SSE-CMM的作用 评估机构包括系统认证机构、系统授权机构和产品 评估机构。对于这些机构，SSE-CMM的作用包括： 可重用的过程评定结果，并与系统或产品变化无关； 在安全工程中以及安全工程与其他工程集成中的信任度； 基于能力的显见可信度，减少安全评估工作量。 3、基于SSE-CMM的信息安全管理体系 SSE-CMM的基本概念 *组织被定义为公司内部的单位、整个公司或其