版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、1,信息安全標(biāo)準(zhǔn),,信息安全(模塊3-信息安全法律法規(guī)與標(biāo)準(zhǔn)),2,內(nèi)容提要,1、標(biāo)準(zhǔn)的定義2、標(biāo)準(zhǔn)的分級(jí)3、標(biāo)準(zhǔn)的分類4、與計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)相關(guān)的標(biāo)準(zhǔn)5、信息安全國(guó)際標(biāo)準(zhǔn),3,1 標(biāo)準(zhǔn)的定義,國(guó)際標(biāo)準(zhǔn)化組織定義:由有關(guān)各方根據(jù)科學(xué)技術(shù)成就與先進(jìn)經(jīng)驗(yàn),共同合作起草,一致或基本上同意的技術(shù)規(guī)范或其他公開文件,其目的在于促進(jìn)最佳的公共利益,并由標(biāo)準(zhǔn)化團(tuán)體批準(zhǔn)我國(guó)定義:標(biāo)準(zhǔn)是對(duì)重復(fù)性事物和概念所做的統(tǒng)一規(guī)定。它以科學(xué)、技術(shù)
2、和實(shí)踐經(jīng)驗(yàn)的綜合成果為基礎(chǔ),經(jīng)有關(guān)方面協(xié)調(diào)一致,由主管機(jī)構(gòu)批準(zhǔn),以特定形式發(fā)布,作為共同遵守的準(zhǔn)則和依據(jù),4,2 標(biāo)準(zhǔn)的分級(jí),我國(guó)標(biāo)準(zhǔn)分為四級(jí)國(guó)家標(biāo)準(zhǔn):由國(guó)務(wù)院標(biāo)準(zhǔn)化行政主管部門負(fù)責(zé)組織制定和審批行業(yè)標(biāo)準(zhǔn):由國(guó)務(wù)院有關(guān)行政主管部門負(fù)責(zé)制定和審批,并報(bào)國(guó)務(wù)院標(biāo)準(zhǔn)化行政主管部門備案地方標(biāo)準(zhǔn):由省級(jí)政府標(biāo)準(zhǔn)化行政主管部門負(fù)責(zé)制定和審批,并報(bào)國(guó)務(wù)院標(biāo)準(zhǔn)化行政主管部門和國(guó)務(wù)院有關(guān)行政主管部門備案企業(yè)標(biāo)準(zhǔn):由企業(yè)法人代表或法人代表授權(quán)的主管
3、領(lǐng)導(dǎo)批準(zhǔn)、發(fā)布,由企業(yè)法人代表授權(quán)的部門統(tǒng)一管理,企業(yè)產(chǎn)品標(biāo)準(zhǔn)應(yīng)向當(dāng)?shù)貥?biāo)準(zhǔn)化行政主管部門和有關(guān)行政主管部門備案,5,3 標(biāo)準(zhǔn)的分類,按標(biāo)準(zhǔn)發(fā)生作用的范圍和審批標(biāo)準(zhǔn)級(jí)別來(lái)分國(guó)家標(biāo)準(zhǔn)行業(yè)標(biāo)準(zhǔn)地方標(biāo)準(zhǔn)企業(yè)標(biāo)準(zhǔn)按標(biāo)準(zhǔn)的約束性來(lái)分按標(biāo)準(zhǔn)在標(biāo)準(zhǔn)系統(tǒng)中的地位和作用來(lái)分按標(biāo)準(zhǔn)化對(duì)象在生產(chǎn)過程中的作用來(lái)分按標(biāo)準(zhǔn)的性質(zhì)來(lái)分,6,3 標(biāo)準(zhǔn)的分類,按標(biāo)準(zhǔn)發(fā)生作用的范圍和審批標(biāo)準(zhǔn)級(jí)別來(lái)分按標(biāo)準(zhǔn)的約束性來(lái)分強(qiáng)制性標(biāo)準(zhǔn):保障人體健康、人身、財(cái)產(chǎn)安
4、全的國(guó)家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)和法律及行政法規(guī)規(guī)定強(qiáng)制執(zhí)行的標(biāo)準(zhǔn)。必須執(zhí)行,不符合的產(chǎn)品禁止生產(chǎn)、銷售和進(jìn)口推薦性標(biāo)準(zhǔn):相對(duì)于強(qiáng)制性標(biāo)準(zhǔn)的其他標(biāo)準(zhǔn)。鼓勵(lì)企業(yè)自行采用按標(biāo)準(zhǔn)在標(biāo)準(zhǔn)系統(tǒng)中的地位和作用來(lái)分按標(biāo)準(zhǔn)化對(duì)象在生產(chǎn)過程中的作用來(lái)分按標(biāo)準(zhǔn)的性質(zhì)來(lái)分,7,3 標(biāo)準(zhǔn)的分類,按標(biāo)準(zhǔn)發(fā)生作用的范圍和審批標(biāo)準(zhǔn)級(jí)別來(lái)分按標(biāo)準(zhǔn)的約束性來(lái)分按標(biāo)準(zhǔn)在標(biāo)準(zhǔn)系統(tǒng)中的地位和作用來(lái)分基礎(chǔ)標(biāo)準(zhǔn):一定范圍內(nèi)作為其他標(biāo)準(zhǔn)的基礎(chǔ)并普遍使用的標(biāo)準(zhǔn),具有廣泛的指導(dǎo)意義
5、例如,GB17859:1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》一般標(biāo)準(zhǔn):相對(duì)于基礎(chǔ)標(biāo)準(zhǔn)的其他標(biāo)準(zhǔn)按標(biāo)準(zhǔn)化對(duì)象在生產(chǎn)過程中的作用來(lái)分按標(biāo)準(zhǔn)的性質(zhì)來(lái)分,8,3 標(biāo)準(zhǔn)的分類,按標(biāo)準(zhǔn)發(fā)生作用的范圍和審批標(biāo)準(zhǔn)級(jí)別來(lái)分按標(biāo)準(zhǔn)的約束性來(lái)分按標(biāo)準(zhǔn)在標(biāo)準(zhǔn)系統(tǒng)中的地位和作用來(lái)分按標(biāo)準(zhǔn)化對(duì)象在生產(chǎn)過程中的作用來(lái)分產(chǎn)品標(biāo)準(zhǔn);原材料標(biāo)準(zhǔn);零部件標(biāo)準(zhǔn);工藝和工藝裝備標(biāo)準(zhǔn);設(shè)備維修標(biāo)準(zhǔn);檢驗(yàn)和試驗(yàn)方法標(biāo)準(zhǔn);檢驗(yàn)、測(cè)量和試驗(yàn)設(shè)備標(biāo)準(zhǔn);搬運(yùn)、貯存、
6、包裝、標(biāo)識(shí)標(biāo)準(zhǔn)等按標(biāo)準(zhǔn)的性質(zhì)來(lái)分,9,3 標(biāo)準(zhǔn)的分類,按標(biāo)準(zhǔn)發(fā)生作用的范圍和審批標(biāo)準(zhǔn)級(jí)別來(lái)分按標(biāo)準(zhǔn)的約束性來(lái)分按標(biāo)準(zhǔn)在標(biāo)準(zhǔn)系統(tǒng)中的地位和作用來(lái)分按標(biāo)準(zhǔn)化對(duì)象在生產(chǎn)過程中的作用來(lái)分按標(biāo)準(zhǔn)的性質(zhì)來(lái)分技術(shù)標(biāo)準(zhǔn):對(duì)標(biāo)準(zhǔn)化領(lǐng)域中需要協(xié)調(diào)統(tǒng)一的技術(shù)事項(xiàng)所制定的標(biāo)準(zhǔn)管理標(biāo)準(zhǔn):對(duì)標(biāo)準(zhǔn)化領(lǐng)域中需要協(xié)調(diào)統(tǒng)一的管理事項(xiàng)所制定的標(biāo)準(zhǔn)工作標(biāo)準(zhǔn):對(duì)工作的責(zé)任、權(quán)利、范圍、質(zhì)量要求、程序、效果、檢查方法、考核辦法所制定的標(biāo)準(zhǔn),10,信息安全標(biāo)準(zhǔn),我國(guó)
7、的信息安全從保密技術(shù)、難度、標(biāo)準(zhǔn)的特點(diǎn)出發(fā),將信息安全保密標(biāo)準(zhǔn)分為三級(jí)第一級(jí)國(guó)家標(biāo)準(zhǔn)第二級(jí)國(guó)家軍隊(duì)標(biāo)準(zhǔn)第三級(jí)國(guó)家保密標(biāo)準(zhǔn)三級(jí)標(biāo)準(zhǔn)中,國(guó)家保密標(biāo)準(zhǔn)最高其他標(biāo)準(zhǔn)還包括:公共安全行業(yè)標(biāo)準(zhǔn)(GA),11,,我國(guó)信息安全標(biāo)準(zhǔn)委員會(huì)在制定我國(guó)信息安全標(biāo)準(zhǔn)方面做了大量的工作目前已出臺(tái)的信息安全保護(hù)方面的標(biāo)準(zhǔn)主要包括在國(guó)家標(biāo)準(zhǔn)和公共安全行業(yè)標(biāo)準(zhǔn)中,當(dāng)然在國(guó)家軍隊(duì)標(biāo)準(zhǔn)、國(guó)家保密標(biāo)準(zhǔn)中也有所涉及,12,4 與計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)相關(guān)的標(biāo)準(zhǔn)
8、,GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》GA/T387-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)網(wǎng)絡(luò)技術(shù)要求》GA/T388-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)操作系統(tǒng)技術(shù)要求》GA/T389-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)數(shù)據(jù)庫(kù)管理系統(tǒng)技術(shù)要求》GA/T390-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求》GA/T391-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求》GB9361-88S《計(jì)
9、算站場(chǎng)地安全要求》GA163-1997《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品分類原則》,13,GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》,是建立計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)制度,實(shí)施安全等級(jí)管理的重要基礎(chǔ)性標(biāo)準(zhǔn)將計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力劃分為五個(gè)等級(jí):用戶自主保護(hù)級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)安全標(biāo)記保護(hù)級(jí)結(jié)構(gòu)化保護(hù)級(jí)訪問驗(yàn)證保護(hù)級(jí),14,GA/T390-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求》,是計(jì)算機(jī)信息系統(tǒng)安全
10、等級(jí)保護(hù)技術(shù)要求系列標(biāo)準(zhǔn)的基礎(chǔ)性標(biāo)準(zhǔn),用以指導(dǎo)設(shè)計(jì)者如何設(shè)計(jì)和實(shí)現(xiàn)具有所需要的安全等級(jí)的計(jì)算機(jī)信息系統(tǒng)主要說明了為實(shí)現(xiàn)GB17859-1999中每一個(gè)保護(hù)等級(jí)的安全要求應(yīng)采取的通用的安全技術(shù),和為確保這些安全技術(shù)所實(shí)現(xiàn)的安全功能達(dá)到其應(yīng)具有的安全性而采取的通用的保證措施,15,GA/T391-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求》,明確提出了管理層、物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層和運(yùn)行層的安全管理要求,并將管理要求落實(shí)到GB1
11、7859-1999的五個(gè)等級(jí)上更有利于對(duì)安全管理的繼承、理解、分工實(shí)施,更有利于對(duì)安全管理的評(píng)估和檢查,16,GA/T387-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)網(wǎng)絡(luò)技術(shù)要求》,用以指導(dǎo)設(shè)計(jì)者如何設(shè)計(jì)和實(shí)現(xiàn)具有所需要的安全等級(jí)的網(wǎng)絡(luò)系統(tǒng)主要從對(duì)網(wǎng)絡(luò)的安全保護(hù)等級(jí)進(jìn)行劃分的角度來(lái)說明其技術(shù)要求,即主要說明了為實(shí)現(xiàn)GB17859-1999中每一個(gè)保護(hù)等級(jí)的安全要求對(duì)網(wǎng)絡(luò)系統(tǒng)應(yīng)采取的安全技術(shù)措施,以及各安全技術(shù)要求在不同安全級(jí)中具體實(shí)現(xiàn)上
12、的差異,17,GA/T388-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)操作系統(tǒng)技術(shù)要求》,用以指導(dǎo)設(shè)計(jì)者如何設(shè)計(jì)和實(shí)現(xiàn)具有所需要的安全等級(jí)的操作系統(tǒng),主要從對(duì)操作系統(tǒng)的安全保護(hù)等級(jí)進(jìn)行劃分的角度來(lái)說明其技術(shù)要求,18,GA/T389-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)數(shù)據(jù)庫(kù)管理系統(tǒng)技術(shù)要求》,用以指導(dǎo)設(shè)計(jì)者如何設(shè)計(jì)和實(shí)現(xiàn)具有所需要的安全等級(jí)的數(shù)據(jù)庫(kù)管理系統(tǒng),主要從對(duì)數(shù)據(jù)庫(kù)管理系統(tǒng)的安全保護(hù)等級(jí)進(jìn)行劃分的角度來(lái)說明其技術(shù)要求,19,GB17
13、859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》,五個(gè)等級(jí):第一級(jí):用戶自主保護(hù)級(jí)第二級(jí):系統(tǒng)審計(jì)保護(hù)級(jí)第三級(jí):安全標(biāo)記保護(hù)級(jí)第四級(jí):結(jié)構(gòu)化保護(hù)級(jí)第五級(jí):訪問驗(yàn)證保護(hù)級(jí)安全保護(hù)能力隨著安全保護(hù)等級(jí)的提高,逐漸增強(qiáng),20,五個(gè)等級(jí)保護(hù)能力比較,21,GA/T391-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求》,信息系統(tǒng)安全管理,是對(duì)一個(gè)組織或機(jī)構(gòu)中信息系統(tǒng)的生命周期全過程實(shí)施符合安全等級(jí)責(zé)任要求的科學(xué)管理落實(shí)安全組織
14、及安全管理人員,明確角色與職責(zé),制定安全規(guī)劃開發(fā)安全策略實(shí)施風(fēng)險(xiǎn)管理制定業(yè)務(wù)持續(xù)性計(jì)劃和災(zāi)難恢復(fù)計(jì)劃選擇與實(shí)施安全措施保證配置、變更的正確與安全進(jìn)行安全審計(jì)保證維護(hù)支持進(jìn)行監(jiān)控、檢查,處理安全事件安全意識(shí)與安全教育人員安全管理等,22,主要安全要素,23,,信息系統(tǒng)安全管理的基本原則總原則主要領(lǐng)導(dǎo)人負(fù)責(zé)原則規(guī)范定級(jí)原則依法行政原則以人為本原則適度安全原則全面防范、突出重點(diǎn)原則系統(tǒng)、動(dòng)態(tài)原則控制社會(huì)影
15、響原則主要安全管理策略,24,,信息系統(tǒng)安全管理的基本原則總原則主要安全管理策略分權(quán)制衡最小特權(quán)選用成熟技術(shù)普遍參與,25,5 信息安全國(guó)際標(biāo)準(zhǔn),國(guó)際上比較有影響的信息安全標(biāo)準(zhǔn)體系主要有:ISO/IEC的國(guó)際標(biāo)準(zhǔn)13335、17799、27001系列美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)委員會(huì)(NIST)的特別出版物系列英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(BSI)的7799系列,26,,國(guó)際標(biāo)準(zhǔn)ISO/IEC是國(guó)際上最權(quán)威的由國(guó)際標(biāo)準(zhǔn)化組織( ISO)和國(guó)際
16、電工委員會(huì)(IEC)所制定的國(guó)際標(biāo)準(zhǔn)ISO和IEC是世界范圍的標(biāo)準(zhǔn)化組織,它由各個(gè)國(guó)家和地區(qū)的成員組成,各國(guó)的相關(guān)標(biāo)準(zhǔn)化組織都是其成員,他們通過各技術(shù)委員會(huì),參與相關(guān)標(biāo)準(zhǔn)的制定,27,,ISO/IEC聯(lián)合技術(shù)委員會(huì)JTC1子委員會(huì)27(ISO/IEC JTC1 SC27)是信息安全領(lǐng)域最權(quán)威和國(guó)際認(rèn)可的標(biāo)準(zhǔn)化組織ISO/IEC JTC1 SC27發(fā)布的目前最主要的標(biāo)準(zhǔn)是ISO/IEC 13335ISO/IEC 17799:200
17、5ISO/IEC 27001:2005,28,,BS 7799受到廣泛認(rèn)可它的第一部分已成為國(guó)際標(biāo)準(zhǔn) ISO/IEC 17799:2005它的第二部分成為國(guó)際標(biāo)準(zhǔn) ISO/IEC 27001:2005,29,BS 7799《信息安全管理標(biāo)準(zhǔn)》,BS 7799是英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)針對(duì)信息安全管理而制定的標(biāo)準(zhǔn)第一部分:是信息安全管理實(shí)踐規(guī)范Code of P
18、ractice for Information Security Management主要供負(fù)責(zé)信息安全系統(tǒng)開發(fā)的人員作為參考使用第二部分:是建立信息安全管理體系的規(guī)范Specification for Information Security Management Systems可用來(lái)指導(dǎo)相關(guān)人員應(yīng)用第一部分,最終目的是建立適合企業(yè)需要的信息安全管理體系,30,國(guó)際標(biāo)準(zhǔn)ISO/IEC 17799:2005,國(guó)際標(biāo)準(zhǔn)ISO/IE
19、C 17799:2005《信息技術(shù)-安全技術(shù)-信息安全管理實(shí)踐規(guī)范》描述了信息安全管理領(lǐng)域的最佳慣例,由11個(gè)獨(dú)立的部分組成安全方針信息安全組織資產(chǎn)管理人力資源安全物理與環(huán)境安全通信和運(yùn)作管理訪問控制信息系統(tǒng)的獲取、開發(fā)及維護(hù)信息安全事故管理業(yè)務(wù)連續(xù)性管理符合性,31,,上述11個(gè)方面,除了三個(gè)與技術(shù)密切相關(guān)之外,其他方面更側(cè)重于組織整體的管理和運(yùn)營(yíng)操作體現(xiàn)了信息安全“三分技術(shù),七分管理”、“管理與技術(shù)并重”的
溫馨提示
- 1. 本站所有資源如無(wú)特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 國(guó)內(nèi)外信息安全標(biāo)準(zhǔn)與信息安全模型
- 信息安全測(cè)評(píng)認(rèn)證的標(biāo)準(zhǔn)體系
- 信息安全師國(guó)家職業(yè)標(biāo)準(zhǔn)
- 信息安全
- 信息技術(shù)與信息安全最新標(biāo)準(zhǔn)答案
- 《信息安全》
- 信息技術(shù)與信息安全最新標(biāo)準(zhǔn)答案
- 信息道德和信息安全
- 信息道德與與信息安全
- 信息安全課程論文-信息安全技術(shù)體系研究
- 網(wǎng)絡(luò)信息安全論文醫(yī)院網(wǎng)絡(luò)信息安全需求
- 信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查評(píng)價(jià)指引-全國(guó)信息安全
- 信息安全技術(shù) 網(wǎng)絡(luò)安全服務(wù)成本度量指南-標(biāo)準(zhǔn)文本
- 信息安全手冊(cè)
- 信息安全論文
- 信息安全協(xié)議
- 信息安全試題
- 信息安全概述
- 信息安全講稿
- 信息安全論文電子商務(wù)信息安全
評(píng)論
0/150
提交評(píng)論