- 1、本文档共6页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
中国信息安全测评中心王军谈安全服务资质管理
中国信息安全测评中心王军谈安全服务资质管理
2008-05-15 10:10:43 来源: 网易科技报道 网友评论 0 条进入论坛
网易科技讯 5月15日消息,由计算机世界传媒集团主办,《CSO信息安全》月刊承办的第六届中国CSO俱乐部大会暨2008中国信息安全年会在北京召开,网易(企业库论坛)科技频道做为独家门户直播网站在现场做了直播报道。
以下为中国信息安全测评中心总工程师王军做主题为“关于安全服务资质管理的思考”的主题演讲。
主持人:感谢郭启全处长的致词,同时他的呼吁也引起了大家的一个共鸣。
再强调一下,在下午的分论坛,有关等级保护工作的开展以及后续的一些进展情况,郭启全处长会在上面做一个具体的发言,希望大家关注。
衷心感谢公安部公共信息网络安全监察局对于本次大会的指导和支持。
下面,会议将进入主题发言时间。
近年来,随着信息安全产业走向成熟和规范,信息安全产品、技术推陈出新,用户的意识普遍提高,而安全产业发展到成熟阶段的时候,一定是一个综合实力的体现,一个以服务为盈利点的产业,为什么如此定义?而且是一个技术含量很高的行业,各行各业不断地组建自己的专业队伍,那样非常庞大。所以,为次我们邀请到了中国信息安全测评中心总工程师王军老师为我们大会做主题发言,他发言的内容围绕“关于安全服务资质管理的思考”,有请王军。
王军:各位来宾早上好!
本次大会主题是“坚持技术创新,推进安全服务”,那么中国信息安全测评中心正好在关于信息安全服务资质管理方面做了一些研究,受大会主办方的委托,我把我们最近在这个方面研究的一些体会给大家做一个汇报。
我要介绍4个方面的内容,一个是信息安全服务资质管理的必要性,再有一个就是国外信息安全服务资质管理的情况,还有就是我们国内信息安全服务资质管理的现状,再有就是对于加强我们国家信息安全服务资质管理的有关对策和建议。
我先介绍第一个问题,就是信息安全服务资质管理的必要性。
我将先介绍一下信息安全服务的概念和信息安全服务的类别,还有信息安全服务资质的概念,最后谈一下对于信息安全服务进行资质管理的必要性。
信息安全服务,实际上目前应该说在业界并没有形成一个统一的概念。那么在ISO/IEC TR 15443-1,2005年的技术报告中,有一个非常简短的定义,就是信息安全服务是由供应商、组织机构或人员所执行的一个安全过程或者任务。这是非常学术化的定义,那么在美国的国家标准研究所特别出版物,就把信息安全分为了管理、运行、技术三个方面。这是他报告当中的13个方面,从管理、运行、技术进行了分类。那么,我们觉得目前国际上这样的一些分别,特别是信息安全服务到正在蓬勃发展的今天,有一些分别不太适合,所以我们根据我们国家的情况,做了一个简单的分类,主要是10类。从安全系统的集成到安全咨询服务,我会逐一地介绍一下我们基本的定义。
第一个信息安全服务主要是系安全集成,主要是满足信息系统安全需求的一组工程过程的集合。
第二个是安全运维服务,主要是通过专业化的服务来解决网络和信息系统中日常运行的问题,这包括了系统安全加固、日常安全监控、定期安全审计、安全通告、补丁更新以及安全技术支持等等。大家可以看到在别的分类方法中,把一些个别的项目,比如说安全审计等等单独提出来分类,这可能是仁者见仁智者见智的方法。
第三个是指安全监理服务,这是指从技术和管理的角度对信息系统安全恭城的实施过程进行控制和管理,以确保信息安全质量和数量有效地实施。
第四个是安全管理服务,是指一国际国内信息安全管理体系ISMS,围绕着这样的工作,为用户建立一个系统化、程序化和文档化的管理系统。这项工作实际上有比较强的专业性,通常是需要专业队伍的帮助。
第五个是风险评估服务,这是指从风险管理的角度,运用科学的方法和手段,系统地分析应用系统中的脆弱性,同时要找到这种脆弱性被利用的可能性,以及造成的负面的影响,并对它的危害程度进行评估,同时来对这些防护措施有效地进行评价,以求防范或者是化解风险,或者把风险至少降到可控制的程度,这样的服务称为风险评估。
再有一个就是安全测评服务,是指依据有关信息技术安全标准和规范,对信息安全技术和系统进行综合评估。
第七个是应急响应,这是事先制定提供切实有效的恢复,来消减系统风险和服务的不可用性的应急计划,我们可以看到我们国家发布了应急预案,在这样的过程中,我们的应急响应工作可以得到体现。
第八个是灾难恢复工作,它是指把信息系统从灾难瘫痪的故障下,恢复到可运行的状态。
第九个是安全培训,指的是信息安全的专业人员向普通用户来传授安全意识和信息安全的知识。实际上,培训工作看起来有的时候不被太重视,但是实际上真正的信息安全没有用户意识的提高是做不到的,所以这项工作是非常重要的工作。
那么,最后一个信息安全服务是安全咨询服务。那么,这个指的是帮助用户解决信息
文档评论(0)