普华永道-信息安全标准培训.ppt

Title Date 提纲 信息安全标准概述 国际标准 – ISO/IEC 系列信息安全标准 国际标准 – COBIT 国内标准 －等级保护 安全标准的总结 问题与回答 提纲 信息安全标准概述 国际标准 – ISO/IEC 系列信息安全标准 国际标准 – COBIT 国内标准 －等级保护 安全标准的总结 问题与回答 信息安全标准概述 信息安全的重要性得到广泛的关注。 与此同时，国际和国内的各种官方和科研机构都发布了大量的安全标准。 这些标准都是为实现安全目标而服务，并从不同的角度对如何保障组织的信息安全提供了指导。 信息安全标准的演进 主要的信息安全标准－国际标准 主要的信息安全标准－国际标准(续） 除了上述标准，世界各国的官方机构和行业监管机构还有许多信息安全方面的标准、指引和建议的操作实践。 主要的信息安全标准－国内标准 在下面的课程中，我们会主要介绍以下标准： ISO系列安全标准，包括 ISO17799/ISO27001/ISO27002 ISO/IEC 15408 ISO/IEC 13335 ISO/TR 13569 ISACA的COBIT 4.1 全国信息安全标准化技术委员会的等级保护系列标准 提纲 信息安全标准概述 国际标准 – ISO/IEC 系列信息安全标准 国际标准 – COBIT 国内标准 －等级保护 安全标准的比较 问题与回答 国际标准化组织简介 国际标准化组织 (International Organization for Standardization)是由多国联合组成的非政府性国际标准化机构。到目前为止，ISO有正式成员国120多个，中国是其中之一。 国际标准化组织1946年成立于瑞士日内瓦，负责制定在世界范围内通用的国际标准； ISO技术工作是高度分散的，分别由2700多个技术委员会(TC)、分技术委员会(SC)和工作组(WG)承担。 ISO技术工作的成果是正式出版的国际标准，即ISO标准。 ISO在信息安全方面的标准主要包括： ISO17799/ISO27001/ISO27002 ISO/IEC 15408 ISO/IEC 13335 ISO/TR 13569 关于ISO/IEC 17799/27001/27002 ISO/IEC17799是由国际标准化组织（ISO）与 IEC （国际电工委员会）共同成立的联合技术委员会 ISO/IEC JTC 1，以英国标准 BS7799为蓝本而制定的一套全面和复杂的信息安全管理标准。 ISO/IEC17799于2000年正式颁布。ISO/IEC 17799标准由两部分构成: 第一部分是信息安全管理体系的实施指南，相当于BS7799-1; 第二部分是信息安全管理体系规范，相当于BS7799-2。 ISO/IEC 17799标准的内容涉及10个领域，36个管理目标和127个控制措施。 2005年 ISO17799更名为ISO27001和ISO27002，分别为： ISO/IEC 27001:2005 Information technology -- Security techniques -- Information security management systems – Requirements ISO/IEC 27002:2005 Information technology -- Security techniques -- Code of practice for information security management 2007年 ISO又颁布了Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems. ISO/IEC17799模型 ISO17799模型 ISO17799模型 ISO17799模型 ISO/IEC 27001/27002:2005?的內容 总共分成?11个领域、?39个控制目标、?133个控制措施。?11个领域包括A.1?Security?PolicyA.2?organization?of?information?securityA.3?Asset?managementA.4?Human?resources?securityA.5?Physical?and?environmental?securityA.6?Communications?and?operations?managementA.7?Access?controlA.8?Information?sys