风险评估的国际动态.ppt

风险评估的国际动态汇报要点信息安全管理成为信息安全保障的热点泰德带来的启示风险评估和等级保护的关系信息安全管理成为

信息安全保障的热点ITIS$！信息就是财富,安全才有价值。CI:CriticalInfrastructureCIP:CriticalInfrastructureProtectionCII:CriticalInformationInfrastructure.CIIP:CriticalInformationInfrastructureProtection技术提供安全保障功能，但不是安全保障的全部提高人的安全意识，技术、管理两手抓成为国际共识。标准化组织和行业团体抓紧制定管理标准ISO13335正在重组修改正在修订17799BS7799-2成为国际标准正在讨论NIST在联邦IT系统认证认可的名义下提出大量规范SP800-18《IT系统安全计划开发指南》（1998年12月）SP800-26《IT系统安全自评估指南》（2001年11月）SP800-30《IT系统风险管理指南》（2002年1月发布，2004年1月21日修订）SP800-37《联邦IT系统认证认可指南》（2002年9月，2003年7月，2004年5月最后文本）FIPS199《联邦信息和信息系统的安全分类标准》（草案第一版）（2003年12月）SP800-53《联邦信息系统安全控制》（2003年8月31日发布草案）SP800-53A《联邦信息系统安全控制有效性检验技术和流程》（计划2003至2004年出版）SP800-60《信息和信息类型与安全目标及风险级别对应指南》（2004年3月草案2.0版)ManagingEnterpriseRiskandAchievingMoreSecureInformationSystemsinvolves—Categorizing(enterpriseinformationandinformationsystems)Selecting(appropriatesecuritycontrols)Refining(securitycontrolsthroughariskassessment)Documenting(securitycontrolsinasystemsecurityplan)Implementing(securitycontrolsinnewandlegacysystems)Assessing(theeffectivenessofsecuritycontrols)Determining(enterprise-levelriskandriskacceptability)Authorizing(informationsystemsforprocessing)Monitoring(securitycontrolsonanongoingbasis)

国际信息系统审计与控制协会(ISACA)提出：1.ISRiskAssessment,effective1July20022.DigitalSignatures,effective1July20023.IntrusionDetection,effective1August20034.VirusesandotherMaliciousLogic,effective1August20035.ControlRiskSelf-assessment,effective1August20036.Firewalls,effective1August20037.IrregularitiesandIllegalActsEffective1November20038.SecuurityAssessment—PenetrationTestingandVulnerabilityAnalysis,effective1September2004提出《信息和相关技术的控制目标》(CoBIT)CoBIT开发和推广了第三版，CoBIT起源于组织为达到业务目标所需的信息这个前提CoBIT鼓励以业务流程为中心，实行业务流程负责制CoBIT还考虑到组织对信用、质量和安全的需要它提供了组织用于定义其对IT业务要求的几条信息准则：效率、效果、可用性、完整性、必威体育官网网址性、可靠性