一、信息安全標準與規範
信息安全標準的意義:標準是規範性文件之一。其定義是為了在一定的範圍內獲得最佳秩序,經協商一致制定並由公認機構批准,共同使用的和重複使用的一種規範性文件。
信息安全標準組織
在國際上,與信息安全標準化有關的組織主要有以下2個:
![乾貨 | 信息安全標準、規範、管理體系與等級保護體系](http://p2.ttnews.xyz/loading.gif)
1、International Organization for Standardization(ISO)國際標準化組織,International Electrotechnical Commission(IEC)國際電工委員會
2、國內的安全標準組織主要有:
信息技術安全標準化技術委員會(CITS),中國通信標準化協會(CCSA)下轄的網絡與信息安全技術工作委員會
3、其它一些制定標準的組織:
International Telecommunication Union(ITU)國際電信聯盟,The Internet Engineering Task Force(IETF)Internet工程任務組
二、ISO27001信息安全管理體系
信息安全管理體系(Information Security Management System,簡稱ISMS)的概念最初來源於英國標準學會制定的BS7799標準,並伴隨著其作為國際標準的發佈和普及而被廣泛地接受。
![乾貨 | 信息安全標準、規範、管理體系與等級保護體系](http://p2.ttnews.xyz/loading.gif)
Plan:信息安全管理體系的策劃與準備。根據組織的整體方針和目標,建立安全策略、目標以及與管理風險和改進信息安全相關的過程和程序,以獲得結果。
Do:信息安全管理體系文件的編制。實施和運行安全策略、控制、過程和程序。
Check:信息安全管理體系運行。適用時,根據安全策略、目標和慣有經驗評估和測量過程業績,向管理層報告結果,進行評審。
Action:信息安全管理體系審核、評審和持續改進。根據內部ISMS審核和管理評審或其他信息,採取糾正和預防措施,以實現ISMS的持續改進。
1)ISO信息安全管理體系家族
2) ISO27001演變歷程
目前正在適用的ISO/IEC27001及ISO/IEC27002均為2013發佈的版本。以下是九腦匯學院所整理IMSI與ISO/IEC 27000的區別,如下:
ISMS是信息安全管理體系,任何公司都可以實施這個體系,但是怎麼實施呢?要達到哪些要求呢?ISO27000就給出了詳細的要求或標準。組織可以依據ISO27001的詳細標準或要求去建立ISMS體系。
ISO27001的理念是基於風險評估的信息安全風險管理,採用PDCA過程方法,全面、系統、持續地改進組織的信息安全管理。可用於組織的信息安全管理體系建立和實施,保障組織的信息安全。
ISO27001是一個總的指導思想,依據是“PDCA"(PLAN、DO、CHECK、ACTION)的“戴明環”管理思想,是一個整體的信息安全管理框架,強調的是建立一個持續循環的長效管理機制;而ISO27002就是具體的信息安全管理流程,是在ISO27001整體框架指導下具體的信息安全細節。只有ISOIEC27001是可以被認證的,其餘的標準都是為這個認證所服務的具體條款和操作指導。
3) 構建信息安全管理體系的具體內容
ISO27002中的14個控制行為:
ISO27001認證過程中主要的檢查點有:
文件審核:
風險評估報告、安全方針、SOA、其他ISMS文檔;
正式審核:
*記錄檢查:如帳號和權限授權記錄、培訓記錄、業務連續性演練記錄、訪問控制記錄、介質使用記錄
*信息資產識別、資產標識和處理及風險評估處理表檢查
*終端安全檢查:屏保、鎖屏、防病毒軟件安裝及升級狀況等
*物理環境勘查:機房、辦公環境的現場觀察及詢問
4)ISO 27001 項目實施方法及步驟
三、信息安全等級保護體系
1)等級保護定義:
信息安全等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應、處置。
2)等級保護的意義:
3)等保保護背景發展歷程:
4)等級保護範圍:
5)等級保護系統定級:
第一級:信息系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級:信息系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級:信息系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級:信息系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級:信息系統受到破壞後,會對國家安全造成特別嚴重損害。
6)等級保護的基本技術要求
7)等級保護流程
THE END
免責聲明:本號致力於“好文”推送,並對文中觀點保持中立,所發內容僅供學習、交流之目的。版權歸原作者或機構所有,若涉及版權問題,請聯繫刪除。
閱讀更多 九腦匯學院 的文章