信息安全管理基础.ppt

1、信息安全管理基础,中国信息安全测评中心,课程内容,2,信息安全管理基础,知识体,信息安全管理基本概念,信息安全管理方法,信息安全管理的定义,信息安全管理成果关键因素,风险管理的概念和作用,信息安全管理体系的作用,ISMS体系各阶段主要工作内容,知识域,知识子域,信息安全管理的侧重点,信息安全技管并重原则,信息安全等级保护的管理机制,知识体：信息安全管理基础和方法,知识域： 信息安全管理基本概念 理解信息安全及管理的含义； 理解信息安全管理的侧重点； 理解信息安全“技管并重”原则的意义； 理解成功实施信息安全管理工作的关键因素。,3,信息安全管理相关概念,基本概念 信息 与 信息安全 管理 与

2、信息安全管理,4,信息与信息安全,5,信息：有意义的数据。（-ISO 9000:2005 质量管理体系 基础和术语） “象其他重要业务资产一样，信息也是对组织业务至关重要的一种资产”； 信息已成为企业赖以生存和发展的最有价值的资产之一； 需要加以适当的保护。 信息的范例专利 标准 专有技术 商业档案文件 图样 统计数据 专有技术 配方 报价 规章制度 财务数据工艺 计划 资源配置 管理体系,NOT ONLY IT !,6,哪些信息需要“安全”,国家秘密 国家规定需要保护的信息 商业秘密 专利、技术 业务数据 个人隐私 家庭住址 电话 身份证号等 ,信息、信息安全,7,信息安全：信息的保密性、完

3、整性和可用性的保持。（另外，也可包括真实性、可稽核性、不可否认性和可靠性等属性)（-ISO/IEC 27000:2009 信息技术 安全技术 信息安全管理体系 概述和术语）即指通过采用计算机软硬件技术、网络技术、密钥技术等安全技术和各种组织管理措施，来保护信息在其生命周期内的产生、传输、交换、处理和存储的各个环节中，信息的保密性、完整性和可用性不被破坏。,管理、信息安全管理,8,管理与信息安全管理,管理指挥和控制组织的协调的活动。（- ISO9000:2005 质量管理体系 基础和术语） 管理者为了达到特定目的而对管理对象进行的计划、组织、指挥、协调和控制的一系列活动。 信息安全管理 组织中为

4、了完成信息安全目标，遵循安全策略，按照规定的程序，运用恰当的方法，而进行的规划、组织、指导、协调和控制等活动,9,组织,10,信息安全管理,现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的，理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标来说尤其重要。 信息安全管理（Information Security Management）作为组织完整的管理体系中一个重要的环节，它构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产。,信息安全管理,11,信息安全管理的对象：包括人员在内

5、的各类信息相关资产。,目标,组织,知识体：信息安全管理基础和方法,知识域： 信息安全管理基本概念 理解信息安全及管理的含义； 理解信息安全管理的侧重点； 理解信息安全“技管并重”原则的意义； 理解成功实施信息安全管理工作的关键因素。,12,13,如何理解信息安全管理侧重点,管（责任与权利） 组织架构 职责 任务 考核 理（方式） 策略 目标 制度 流程,信息安全管理,14,信息安全管理中的“管理”侧重于：,信息安全管理,15,区分两种不同的“信息安全管理”,知识体：信息安全管理基础和方法,知识域： 信息安全管理基本概念 理解信息安全及管理的含义； 理解信息安全管理的侧重点； 理解信息安全“技管

6、并重”原则的意义； 理解成功实施信息安全管理工作的关键因素。,16,信息安全管理的需求,17,如果你把钥匙落在锁眼上会怎样？技术措施需要配合正确的使用才能发挥作用,保险柜就一定安全吗？,18,WO!3G,精心设计的网络防御体系，因违规外连形同虚设,防火墙能解决这样的问题吗？,信息安全管理的需求,19,信息系统是人机交互系统,设备的有效利用是人为的管理过程,信息安全管理的需求,应对风险需要人为的管理过程,20,信息安全管理的2/8原则,80%的问题20%的风险20%的损失,安全产品,21,20%的问题80%的风险80%的损失,安全管理,三分技术,七分管理？,信息安全管理的2/8原则,22,信息安

7、全“技管并重”的原则,信息安全的成败取决于两个因素：技术和管理。 安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂。对于信息安全，到底是技术更重要，还是管理更重要？技管并重。,“坚持管理与技术并重”是我国加强信息安全保障工作的主要原则,23,技术和产品是基础，管理才是关键产品和技术，要通过管理的组织职能才能发挥最佳作用技术不高但管理良好的系统远比技术高超但管理混乱的系统安全先进、易于理解、方便操作的安全策略对信息安全至关重要建立一个管理框架，让好的安全策略在这个框架内可重复实施，并不断得到修正，就会拥有持续安全根本上说，信息安全是个管理过程，而不是技术过程,信息安全管理的作用,知识

8、体：信息安全管理基础和方法,知识域： 信息安全管理基本概念 理解信息安全及管理的含义； 理解信息安全管理的侧重点； 理解信息安全“技管并重”原则的意义； 理解成功实施信息安全管理工作的关键因素。,24,实施信息安全管理的关键成功因素(CSF),安全策略、目标和活动应该反映业务目标有一种与组织文化保持一致的实施、维护、监督和改进信息安全的途径来自高级管理层的明确的支持和承诺深刻理解安全需求、风险评估和风险管理向所有管理者和员工有效地推广安全意识向所有管理者、员工及其他伙伴方分发信息安全策略、指南和标准为信息安全管理活动提供资金支持提供适当的培训和教育建立有效的信息安全事件管理流程建立测量体系，用

9、来评估信息安全管理体系的表现，提供反馈建议供改进,25,实施信息安全管理的关键成功因素,理解组织文化 得到高层承诺 做好风险评估 整合管理体系 积极有效宣贯 纳入奖惩机制 持续改进体系,26,知识体：信息安全管理基础和方法,知识域： 信息安全管理方法 理解信息安全风险的概念：资产价值、威胁、脆弱性、防护措施、影响、可能性。 理解风险管理是信息安全管理的基础和核心； 理解信息安全管理体系的方法机制； 理解信息安全等级保护的管理机制； 了解NIST SP 800中的安全管理机制。,27,安全风险要素,资产价值,威胁,脆弱性,控制措施,29,安全风险的基本概念,资产 资产是任何对组织有价值的东西 信

10、息也是一种资产，对组织具有价值 资产的分类 电子信息资产 纸介资产 软件资产 物理资产 人员 服务性资产 公司形象和名誉 ,30,安全风险的基本概念,威胁 资威胁是可能导致信息安全事故和组织信息资产损失的环境或事件 威胁是利用脆弱性来造成后果 威胁举例 黑客入侵和攻击 病毒和其他恶意程序 软硬件故障 人为误操作 盗窃 网络监听 供电故障 设置后门 未授权访问 自然灾害如：地震、火灾,31,安全风险的基本概念,脆弱性 是与信息资产有关的弱点或安全隐患。 脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁加以利用来对信息资产造成危害。 脆弱性举例 系统漏洞 程序Bug 专业人员

11、缺乏 不良习惯 缺少审计 缺乏安全意识 系统后门 物理环境访问控制措施不当,安全风险的基本概念,32,控制措施 管理风险的方法。为达成组织目标提供合理保证，并能预防、检查和纠正风险。 它们可以是行政、技术、管理、法律等方面的措施。,33,安全风险要素之间的相互关系,知识体：信息安全管理基础和方法,知识域： 信息安全管理方法 理解信息安全风险的概念：资产价值、威胁、脆弱性、防护措施、影响、可能性。 理解风险管理是信息安全管理的基础和核心； 理解信息安全管理体系的方法机制； 理解信息安全等级保护的管理机制； 了解NIST SP 800中的安全管理机制。,34,什么是风险管理,GB/Z 24364信

12、息安全风险管理规范定义： 信息安全风险管理是识别、控制、消除或最小化可能影响系统资源的不确定因素的过程。,了解风险+控制风险=管理风险,36,通用风险管理定义,定义 是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。 风险管理包括对风险的量度、评估和应变策略。 理想的风险管理，是一连串排好优先次序的过程，使引致最大损失及最可能发生的事情优先处理、而相对风险较低的事情则押后处理。,37,为什么要做风险管理,成本与效益平衡 好的风险管理过程可以让机构以最具有成本效益的方式运行，并且使已知的风险维持在可接受的水平 工作条理化 好的风险管理过程使组织可以用一种一致的、条理清晰的方式来组织有限的

13、资源并确定优先级，更好地管理风险。而不是将保贵的资源用于解决所有可能的风险 PDCA过程的要求 风险管理是一个持续的PDCA管理过程,风险管理是信息安全保障工作有效工作方式,风险评估是信息安全管理的基础,风险评估主要对ISMS范围内的信息资产进行鉴定和估价，然后对信息资产面对的各种威胁和脆弱性进行评估，同时对已存在的或规划的安全控制措施进行界定。信息安全管理机制的建立需要确定信息安全需求 信息安全需求获取的主要手段就是安全风险评估 信息安全风险评估是信息安全管理机制建立的基础，没有风险评估，信息安全管理机制的建立就没有依据。,38,风险处置是信息安全管理的核心,应对风险评估的结果进行相应的风险

14、处置。本质上，风险处置的最佳集合就是信息安全管理体系的控制措施集合。 控制目标、控制手段、实施指南的逻辑梳理出这些风险控制措施集合的过程也就是信息安全建立体系的建立过程。 信息安全管理体系的核心就是这些最佳控制措施的集合。,39,风险管理是信息安全管理的根本方法,40,周期性的风险评估与风险处置活动即形成对风险的动态管理。 动态的风险管理是进行信息安全管理、实现信息安全目标、维持信息安全水平的根本方法。,有关风险管理的详细内容参见CISP0302信息安全风险管理。,知识体：信息安全管理基础和方法,知识域： 信息安全管理方法 理解信息安全风险的概念：资产价值、威胁、脆弱性、防护措施、影响、可能性

15、。 理解风险管理是信息安全管理的基础和核心； 理解信息安全管理体系的方法机制； 理解信息安全等级保护的管理机制； 了解NIST SP 800中的安全管理机制。,41,管理体系相关概念,42,体系 相互关联和相互作用的一组要素。 （- ISO9000:2005 质量管理体系 基础和术语） 管理体系： 建立方针和目标并达到目标的体系。（- ISO9000:2005 质量管理体系 基础和术语） 为达到组织目标的策略、程序、指南和相关资源的框架。 （- ISO/IEC 27000:2009 信息技术 安全技术 信息安全管理体系 概述和术语）,管理体系,43,ISO9000 质量管理体系,ISO1400

16、0 环境管理体系,OHSAS 职业健康安全管理体系,ISO/IEC27000 信息安全管理体系,ISO/IEC20000 服务管理体系,ISO22000食品安全管理体系,管理体系 Management System,管理体系,44,管理体系方法图解,信息安全管理体系,45,什么是信息安全管理体系,信息安全管理体系,46,什么是信息安全管理体系,数据安全网络安全系统安全设备安全物理安全人员安全应急响应。,管理体系方法管理体系要求认证机构和认证 审核和审核员国际互认。,Information Security Management System-ISMS 信息安全管理体系;基于ISO/IEC270

17、00系列国际标准族;是综合信息安全管理和技术手段，保障组织信息安全的一种方法；ISMS是管理体系（MS）家族的一个成员。,信息安全管理体系,47,什么是信息安全管理体系基于国际标准ISO/IEC27001：信息安全管理体系要求是综合信息安全管理和技术手段，保障组织信息安全的一种方法，是管理体系（MS）家族的一个成员,BS7799、ISO17799、ISO27001、ISO27002、GB/T22080、GB/T22081的历史沿革,1990年代初 英国贸工部（DTI）成立工作组，立项开发一套可供开发、实施和测量有效安全管理惯例并提供贸易伙伴间信任的通用框架。1993年9月 颁布信息安全管理实施

18、细则，形成BS 7799的基础。1995年2月 首次出版BS 7799-1:1995信息安全管理实用规则。1998年2月 英国公布BS 7799-2:信息安全管理体系要求。1999年4月 BS 7799-1与BS 7799-2修订后重新发布。2000年12月 国际标准组织 ISO/IEC JTC 1/SC27工作组认可通过BS 7799-1，颁布ISO/IEC 17799:2000信息安全管理实用规则。 2002年9月 BSI对BS 7799-2进行了改版，用来替代原标准（BS 7799-2:1999）使用。2005年6月 ISO 17799:2000改版，成为ISO 17799:2005。2

19、005年10月 ISO正式采用BS 7799-2:2002，命名为ISO 27001:2005。2007年7月 ISO 17799:2005归入ISO 27000系列，命名为ISO 27002:2005。2008年6月- 中国政府等同采用ISO 27001:2005, 命名为GB/T 22080-2008；中国政府等同采用ISO 27002:2005, 命名为GB/T 22081-2008.,ISO/IEC 27000标准族介绍,48,49,ISO/IEC 27000系列,2700027003,2700427008,27000 信息安全管理体系 概述和术语27001 信息安全管理体系要求270

20、02 信息安全管理实用规则27003 信息安全管理体系 实施指南,27004 信息安全管理测量27005 信息安全风险管理27006 提供信息安全管理体系 审核和认证机构的要求27007 信息安全管理体系 审核指南27008 信息安全管理体系 控制措施审核员指南,信息安全管理体系基本原理和词汇,ISO/IEC 27000标准族介绍,50,ISO27001标准是认证机构进行审核时的审核准则，是ISO27000标准族中最重要最核心的一份标准。目前，ISO27000标准族已经日益完善，已经开发和正在开发的标准共28项。其中正式发布的标准有13项；部分发布的标准有2项；由于移动互联网、物联网、云计算等

21、新概念新技术的出现，且基于ISO的标准修订周期规则，ISO27001、ISO27002标准已经在修订当中，有望在2013年发布新版本。,ISO/IEC 27000标准族介绍,信息安全管理体系的特点,51,信息安全管理体系要求组织通过确定信息安全管理体系范围，制定信息安全方针，明确管理职责，以风险评估为基础选择控制目标和措施等一系列活动来建立信息安全管理体系；体系的建立基于系统、全面、科学的安全风险评估，体现以预防控制为主的思想，强调遵守国家有关信息安全的法律、法规及其他合同方面的要求；强调全过程和动态控制，本着控制费用与风险平衡的原则合理选择安全控制方式；强调保护组织所拥有的关键性信息资产，而

22、不是全部信息资产，确保信息的保密性、完整性和可用性，保持组织的竞争优势和业务的持续性。,A,规划,实施,检查,处置,P,D,C,PDCA循环,52,PDCA循环,53,PDCA也称“戴明环”，由美国质量管理专家戴明提出。P（Plan）：计划，确定方针和目标，确定活动计划； D（Do）：实施，实际去做，实现计划中的内容； C（Check）：检查，总结执行计划的结果，注意效果，找出问题； A（Action）：行动，对总结检查的结果进行处理，成功地经验加以肯定并适当推广、标准化；失败的教训加以总结，以免重现；未解决的问题放到下一个PDCA循环。,54,PDCA特点一：按顺序进行，它靠组织的力量来推动

23、，像车轮一样向前进，周而复始，不断循环。,PDCA特点二： 组织中的每个部分，甚至个人，均可以PDCA循环，大环套小环，一层一层地解决问题。,PDCA特点三：每通过一次PDCA 循环，都要进行总结，提出新目标，再进行第二次PDCA 循环。,PDCA循环的特征与作用,PDCA循环，能够提供一种优秀的过程方法，以实现持续改进。遵循PDCA循环，能使任何一项活动都有效地进行。,PDCA循环的作用,55,ISMS的核心内容可以概括为4句话 规定你应该做什么并形成文件 ：P 做文件已规定的事情 ：D 评审你所做的事情的符合性 ：C 采取纠正和预防措施，持续改进 ：A,用PDCA来理解什么是信息安全管理体

24、系,56,信息安全管理过程方法的作用,57,为组织根据业务风险建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系规定了要求。按照PDCA循环理念运行的信息安全管理体系是从过程上严格保证了信息安全管理体系的有效性，在过程上的这些要求是不可或缺的，也就是说不是可选的，是必须执行的。,58,GB/T22081：2008 信息安全管理实用规则,实施GB/T22080:2008的支撑标准，给出了组织建立信息安全管理体系（ISMS）时可以选择实施的控制目标和控制措施集合 一个信息安全管理最佳实践的汇总 包括11个主要安全类别，汇集了39个控制目标，133个安全控制措施,59,GB/T2208

25、1：2008 信息安全管理实用规则,每个主要安全类别包括： 一个控制目标，声明要实现什么 一个或多个控制措施，可被用于实现该控制目标 每个控制措施都有对应的实施指南，为支持控制措施的实施和满足控制目标，提供更为详细的信息。,60,控制措施分类,预防性控制措施：在问题发生前潜在问题，并作出纠正 仅雇佣胜任的人员 职责分工 使用访问控制软件，只允许授权用户访问敏感文件 检查性控制：检查控制发生的错误、疏漏或蓄意行为 生产作业中设置检查点 网络通信过程中的Echo控制 内部审计 纠正性控制：减少危害影响，修复检查性控制发现的问题 意外处理计划 备份流程 恢复运营流程,资产管理-what,信息安全管理

26、工作的根本目的是保护系统中的资产 资产包括： 信息：业务数据、合同协议、科研材料、操作手册、系统配置、审计记录、制度流程等 软件：应用软件、系统软件、开发工具 物理资产：计算机设备、通信设备、存储介质等 安全防护设备 服务：通信服务、供暖、照明、能源等 人员 无形资产，如品牌、声誉和形象,61,资产管理控制目标（一）对资产负责,目标： 实现和保持对组织资产的适当保护 所有资产是可核查的，并且有制定的责任人 对于所有资产宜制定责任人，并且赋予保持相应控制措施的职责。特定控制措施的实施可以由责任人适当地委派别人承担，但责任人仍有对资产提供适当保护的责任。,62,63,对资产负责的控制措施,资产清单

27、 宜清晰地识别所有资产，编制并维护所有重要资产的清单 资产责任人 与信息处理实施有关的所有信息和资产宜由组织的指定部门或人员承担责任 资产的可接受使用 与信息处理实施有关的信息和资产可接受使用规则宜被确定，形成文件并加以实施,64,资产管理控制目标（二）信息分类,目标： 确保信息受到适当级别的保护 信息宜分类，以在处理信息时指明保护的需求、优先级和期望程度 信息具有各种程度的敏感性和关键性，某些项可能要求附加等级的保护或特殊处理。信息分类机制用来定义一组合适的保护等级并传达对特殊处理措施的需求,65,信息分类的控制措施,分类指南 信息宜按照它对组织的价值、法律要求、敏感性和关键性予以分类 信息

28、的标记和处理 宜按照组织所采纳的分类机制建立和实施一组合适的信息标记和处理规程,知识体：信息安全管理基础和方法,知识域： 信息安全管理方法 理解信息安全风险的概念：资产价值、威胁、脆弱性、防护措施、影响、可能性。 理解风险管理是信息安全管理的基础和核心； 理解信息安全管理体系的方法机制； 理解信息安全等级保护的管理机制； 了解NIST SP 800中的安全管理机制。,66,67,信息安全等级保护法规政策体系,信息安全等级保护,68,中华人民共和国计算机信息系统安全保护条例（1994年国务院147号令） 第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部

29、会同有关部门制定。 GB 17859-1999计算机信息系统安全保护等级划分准则 第一级:用户自主保护级； 第二级:系统审计保护级； 第三级:安全标记保护级； 第四级:结构化保护级； 第五级:访问验证保护级；,69,等级保护标准族的五级划分依据,第一级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。 第二级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级：信息系统受到破

30、坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 第五级：信息系统受到破坏后，会对国家安全造成特别严重损害。,信息安全等级保护标准,70,计算机信息系统安全保护等级划分准则 信息系统安全等级保护定级指南 信息系统安全等级保护基本要求 信息系统安全等级保护实施指南 信息系统等级保护安全设计技术要求 信息系统安全管理要求 信息系统安全工程管理要求 信息系统安全等级保护测评要求 信息系统安全等级保护测评指南 信息安全风险评估规范 信息安全等级保护测评机构能力规范等,等级保护标准,技术要求,等保实施,等保测评,管理要求,GB/T22019-2008 信息安全技术 信息系统安全

31、等级保护基本要求,GB/T 22020-2008 信息安全技术 信息系统安全保护等级定级指南信息安全等级保护实施指南 （已发布）,GB/T 20269-2006 信息安全技术 信息系统安全管理要求 GB/T 20282-2006 信息安全技术 信息系统安全工程管理要求,信息安全等级保护 信息系统测评准则 （报批稿） 信息安全技术 信息系统安全等级保护测评指南 （报批稿）,71,信息安全等级保护,72,等级保护主要流程 一：定级 二：备案 三：建设、整改 四：等级测评 五：定期开展监督检查,73,等级保护基本要求,技术要求,物理安全,网络安全,主机安全,应用安全,数据安全,管理要求,系统运维管理

32、,系统建设管理,人员安全管理,安全管理制度,安全管理机构,74,控制点,基本要求GB/T 22239-2008,75,等级保护技术要求,物理安全：物理位置选择、物理访问控制、防盗和防破坏、防雷击、防火、防水、防潮湿、防静电、电力保障、电磁防护 网络安全：结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护 主机系统安全：身份鉴别、自主访问控制、强制访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制 应用安全：身份鉴别、访问控制、安全审计、剩余信息保护、通信保密性、通信完整性、抗抵赖、软件容错、资源控制 数据安全：数据完整性、数据保密性、数据备份与恢

33、复,76,等级保护管理要求,安全管理机构 岗位设置、人员配置、授权与审批、沟通与合作、审核与检查 安全管理制度 管理制度、制定与发布、评审与修订 人员安全管理 人员录用、人员离岗、人员考核、安全意识教育与培训、第三方人员管理 系统建设管理 系统定级、系统备案、安全方案设计、产品采购、自行软件研发、外包软件开发、工程实施、工程验收 系统运维管理 环境管理、资产管理、介质管理、设备管理、监控管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件管理、应急预案管理,知识体：信息安全管理基础和方法,知识域： 信息安全管理方法 理解信息安全风险的概念：资产价值、

34、威胁、脆弱性、防护措施、影响、可能性。 理解风险管理是信息安全管理的基础和核心； 理解信息安全管理体系的方法机制； 理解信息安全等级保护的管理机制； 了解NIST SP 800中的安全管理机制。,77,NIST SP 800中的安全管理机制,78,美国联邦下信息安全管理法（FISMA）的实施 NIST SP 800系列出版物是美国NIST（National Institute of Standards and Technology）发布的一系列关于计算机安全的指南文档（SP是Special Publications的缩写）SP 800系列建立于1990年，目的是独立发布与信息技术安全相关的出版

35、物，报告NIST信息技术实验室在计算机安全方面的研究、指南和成果以及与行业、政府以及学术组织的协作活动。,NIST SP 800中的安全管理机制,79,与FIPS（联邦信息处理标准）不同，NIST SP不是强制性的，FISMA要求联邦机构采纳并符合FIPS NIST SP作为推荐和指南文档，并不要求联邦机构强制实施 除国家安全系统外，联邦机构应遵循FIPS中要求的NIST SP，例如FIPS 200要求使用SP 800-53 除国家安全系统国外，美国行政管理和预算局（OMB）要求联邦机构必须遵循某些特定的NIST SP,NIST SP 800中的安全管理机制,80,按照OMB策略要求，联邦机构

36、在遵循特定的NIST SP时，有一定的灵活性 联邦机构应根据其使命、业务职能和操作环境采用NIST SP中的安全概念和原则 因此，同一NIST SP的应用可能导致不同的安全解决方案，这是可接受，并符合指南以及OMB要求的,NIST SP 800中的安全管理机制,81,在NIST的标准系列文件中，虽然NIST SP并不作为正式法定标准，但在实际工作中，已经成为美国和国际安全界得到广泛认可的事实标准和权威指南。NIST SP800系列成为了指导美国信息安全管理建设的主要标准和参考资料,82,目前，NIST SP 800系列已经出版了近150多本正式文件，形成了从计划、风险管理、安全意识培训和教育以

37、及安全控制措施的一整套信息安全管理体系。主要包括：SP 800-12：计算机安全介绍（An Introduction to Computer Security: The NIST Handbook）SP 800-18：IT系统安全计划开发指南（Guide for Developing Security Plans for Information Technology Systems）SP 800-26：IT系统安全自我评估指南（Security Self-Assessment Guide for Information Technology Systems）SP 800-30：IT系统风险管理

38、指南（Risk Management Guide for Information Technology Systems）,NIST SP 800中的安全管理机制,83,SP 800-34：IT系统应急计划指南（Contingency Planning Guide for Information Technology Systems） SP 800-37：联邦信息系统安全认证认可指南（Guide for the Security Certification and Accreditation of Federal Information Systems）SP 800-53：联邦信息系统和组织安全

39、控制措施建议（Recommended Security Controls for Federal Information Systems and Organizations） SP 800-53A：联邦信息系统和组织安全控制措施评估指南（Guide for Assessing the Security Controls in Federal Information Systems and Organizations ）SP 800-59：识别一个信息系统作为一个国家安全系统的指南（Guideline for Identifying an Information System as a Nati

40、onal Security System ）SP 800-60：信息和信息系统安全类别对应指南 （Guide for Mapping Types of Information and Information Systems to Security Categories）,NIST SP 800中的安全管理机制,84,SP 800-53安全管理过程 管理风险 Managing risk 将信息系统分类 Categorizing the information system 选择安全控制措施 Selecting security controls 监控安全控制措施 Monitoring secur

41、ity controls,NIST SP 800中的安全管理机制,85,风险管理框架,NIST SP 800中的安全管理机制,85,三者的区别与联系,86,ISMS 应用范围：全球各个国家 应用对象：各种类型的组织（有体系建立需求） 应用特点：完全以市场化需求为主，不具备强制性。基于自身安全需求、客户要求以及其他目的的组织，可依据27000相关标准建设ISMS。如果实施体系认证，必须完全满足27001标准要求。,三者的区别与联系,87,等级保护 应用范围：中国 应用对象：国家基础网络和重要信息系统 应用特点：作为我国的一项基础制度加以推行，主要目标是有效地提高我国信息和信息系统安全建设的整体水

42、平，重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全。,三者的区别与联系,88,NIST SP 800中的安全管理 应用范围：美国 应用对象：联邦机构或非政府组织 应用特点：与FIPS不同，是非强制性的。但联邦机构应采纳FIPS中要求使用的NIST SP以及OMB要求的特定NIST SP。应用时有一定的灵活性，可根据自身特点加以运用。,三者的区别与联系,89,ISMS、等级保护、NIST SP 800安全管理都是保障信息安全的方法，即相对独立，又相互联系，可以联合实施，也可选择其一 ISMS、 NIST SP 800安全管理均需要风险评估和处理过程，并且不是强制性的，等级保护属于国家基本制度，具备强制性,90,90,谢谢，请提问题！,