某咨詢(xún)-信息安全標(biāo)準(zhǔn)培訓(xùn)

中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)培訓(xùn)信息安全標(biāo)準(zhǔn)2008年4月3日季瑞華合伙人系統(tǒng)和流程管理提綱信息安全標(biāo)準(zhǔn)概述國(guó)際標(biāo)準(zhǔn)–ISO/IEC系列信息安全標(biāo)準(zhǔn)國(guó)際標(biāo)準(zhǔn)–COBIT國(guó)內(nèi)標(biāo)準(zhǔn)－等級(jí)保護(hù)安全標(biāo)準(zhǔn)的總結(jié)問(wèn)題與回答2提綱信息安全標(biāo)準(zhǔn)概述國(guó)際標(biāo)準(zhǔn)–ISO/IEC系列信息安全標(biāo)準(zhǔn)國(guó)際標(biāo)準(zhǔn)–COBIT國(guó)內(nèi)標(biāo)準(zhǔn)－等級(jí)保護(hù)安全標(biāo)準(zhǔn)的總結(jié)問(wèn)題與回答3信息安全標(biāo)準(zhǔn)概述信息安全的重要性得到廣泛的關(guān)注。與此同時(shí)，國(guó)際和國(guó)內(nèi)的各種官方和科研機(jī)構(gòu)都發(fā)布了大量的安全標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)都是為實(shí)現(xiàn)安全目標(biāo)而服務(wù)，并從不同的角度對(duì)如何保障組織的信息安全提供了指導(dǎo)。4信息安全標(biāo)準(zhǔn)的演進(jìn)5主要的信息安全標(biāo)準(zhǔn)－國(guó)際標(biāo)準(zhǔn)發(fā)布的機(jī)構(gòu)安全標(biāo)準(zhǔn)1ISO（國(guó)際標(biāo)準(zhǔn)組織）ISO17799/ISO27001/ISO27002ISO/IEC15408ISO/IEC13335ISO/TR135692ISACA（信息系統(tǒng)審計(jì)與控制學(xué)會(huì)）COBIT4.13ISSEA（國(guó)際系統(tǒng)安全工程協(xié)會(huì)）SSE-CMMSystemsSecurityEngineering-CapabilityMaturityModel3.04ISSA（信息系統(tǒng)安全協(xié)會(huì)）GAISPVersion3.05ISF(信息安全論壇）TheStandardofGoodPracticeforInformationSecurity6IETF（互聯(lián)網(wǎng)工程任務(wù)小組）各種RFC（RequestforComments）6主要的信息安全標(biāo)準(zhǔn)－國(guó)際標(biāo)準(zhǔn)(續(xù)）發(fā)布的機(jī)構(gòu)安全標(biāo)準(zhǔn)7NIST（國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所）NIST800系列8DOD(美國(guó)國(guó)防部)TCSEC（可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)標(biāo)準(zhǔn)）－彩虹系列9CarnegieMellonSoftwareEngineeringInstitute(SEI)

OperationallyCriticalThreat,Asset,andVulnerabilityEvaluation(OCTAVE)CriteriaVersion2.010OECD（經(jīng)濟(jì)與貿(mào)易發(fā)展組織）GuidelinesfortheSecurityofInformationSystemsandNetworksandAssociatedImplementationPlan11TheOpenGroupManager’sGuidetoInformationSecurity12ITILSecuritymanagement除了上述標(biāo)準(zhǔn)，世界各國(guó)的官方機(jī)構(gòu)和行業(yè)監(jiān)管機(jī)構(gòu)還有許多信息安全方面的標(biāo)準(zhǔn)、指引和建議的操作實(shí)踐。7主要的信息安全標(biāo)準(zhǔn)－國(guó)內(nèi)標(biāo)準(zhǔn)發(fā)布的機(jī)構(gòu)安全標(biāo)準(zhǔn)1全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)等級(jí)保護(hù)系列標(biāo)準(zhǔn)信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南其他信息安全標(biāo)準(zhǔn)－截至2007年底，共完成了國(guó)家標(biāo)準(zhǔn)59項(xiàng)，還有56項(xiàng)國(guó)家標(biāo)準(zhǔn)在研制中。2公安部、安全部、國(guó)家保密局、國(guó)家密碼管理委員會(huì)等部門(mén)一系列的信息安全方面的政策法規(guī)如：計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法互聯(lián)網(wǎng)信息服務(wù)管理辦法計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定計(jì)算機(jī)軟件保護(hù)條例商用密碼管理?xiàng)l例，等。8在下面的課程中，我們會(huì)主要介紹以下標(biāo)準(zhǔn)：ISO系列安全標(biāo)準(zhǔn)，包括ISO17799/ISO27001/ISO27002ISO/IEC15408ISO/IEC13335ISO/TR13569ISACA的COBIT4.1全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)的等級(jí)保護(hù)系列標(biāo)準(zhǔn)9提綱信息安全標(biāo)準(zhǔn)概述國(guó)際標(biāo)準(zhǔn)–ISO/IEC系列信息安全標(biāo)準(zhǔn)國(guó)際標(biāo)準(zhǔn)–COBIT國(guó)內(nèi)標(biāo)準(zhǔn)－等級(jí)保護(hù)安全標(biāo)準(zhǔn)的比較問(wèn)題與回答10國(guó)際際標(biāo)標(biāo)準(zhǔn)準(zhǔn)化化組組織織簡(jiǎn)簡(jiǎn)介介國(guó)際際標(biāo)標(biāo)準(zhǔn)準(zhǔn)化化組組織織(InternationalOrganizationforStandardization)是是由由多多國(guó)國(guó)聯(lián)聯(lián)合合組組成成的的非非政政府府性性國(guó)國(guó)際際標(biāo)標(biāo)準(zhǔn)準(zhǔn)化化機(jī)機(jī)構(gòu)構(gòu)。。到到目目前前為為止止，，ISO有有正正式式成成員員國(guó)國(guó)120多多個(gè)個(gè)，，中國(guó)國(guó)是是其其中中之之一一。。國(guó)際際標(biāo)標(biāo)準(zhǔn)準(zhǔn)化化組組織織1946年年成成立立于于瑞瑞士士日日內(nèi)內(nèi)瓦瓦，，負(fù)負(fù)責(zé)責(zé)制制定定在在世世界界范范圍圍內(nèi)內(nèi)通通用用的的國(guó)國(guó)際際標(biāo)標(biāo)準(zhǔn)準(zhǔn)；；ISO技技術(shù)術(shù)工工作作是是高高度度分分散散的的，，分分別別由由2700多多個(gè)個(gè)技技術(shù)術(shù)委委員員會(huì)會(huì)(TC)、、分分技技術(shù)術(shù)委委員員會(huì)會(huì)(SC)和和工工作作組組(WG)承承擔(dān)擔(dān)。。ISO技技術(shù)術(shù)工工作作的的成成果果是是正正式式出出版版的的國(guó)國(guó)際際標(biāo)標(biāo)準(zhǔn)準(zhǔn)，，即即ISO標(biāo)標(biāo)準(zhǔn)準(zhǔn)。。ISO在信息安全方方面的標(biāo)準(zhǔn)主主要包括：ISO17799/ISO27001/ISO27002ISO/IEC15408ISO/IEC13335ISO/TR1356911關(guān)于ISO/IEC17799/27001/27002ISO/IEC17799是由國(guó)際際標(biāo)準(zhǔn)化組織織（ISO））與IEC（國(guó)際電工委委員會(huì)）共同同成立的聯(lián)合合技術(shù)委員會(huì)會(huì)ISO/IECJTC1，以英國(guó)標(biāo)準(zhǔn)準(zhǔn)BS7799為藍(lán)本而制定定的一套全面面和復(fù)雜的信信息安全管理理標(biāo)準(zhǔn)。ISO/IEC17799于2000年正式頒布。。ISO/IEC17799標(biāo)準(zhǔn)由兩部分分構(gòu)成:第一部分是信信息安全管理理體系的實(shí)施施指南，相當(dāng)當(dāng)于BS7799-1;第二部分是信信息安全管理理體系規(guī)范，，相當(dāng)于BS7799-2。ISO/IEC17799標(biāo)準(zhǔn)的內(nèi)容涉涉及10個(gè)領(lǐng)域，36個(gè)管理目標(biāo)和和127個(gè)控制措施。。2005年ISO17799更名為ISO27001和ISO27002，分別為：ISO/IEC27001:2005Informationtechnology--Securitytechniques--Informationsecuritymanagementsystems–RequirementsISO/IEC27002:2005Informationtechnology--Securitytechniques--Codeofpracticeforinformationsecuritymanagement2007年ISO又頒布了Informationtechnology--Securitytechniques--Requirementsforbodiesprovidingauditandcertificationofinformationsecuritymanagementsystems.12ISO/IEC17799模型ISO/IEC17799標(biāo)準(zhǔn)的的內(nèi)容涉及10個(gè)領(lǐng)域，，36個(gè)控制目標(biāo)和和127個(gè)控控制措施。13ISO17799模型SecurityPolicyAssetClassificationAndControlSecurityOrganization紀(jì)錄和溝通信信息系統(tǒng)政策策和法規(guī)的審審核分配職責(zé)和分分工，第3方授權(quán)，風(fēng)險(xiǎn)險(xiǎn)/控制的外包資產(chǎn)的保存，，對(duì)于敏感/商業(yè)風(fēng)險(xiǎn)的區(qū)區(qū)分14ISO17799模型PersonalSecurityComm/OpsManagementPhysicalandEnvironmentSecurity員工聘請(qǐng)，知知識(shí)培訓(xùn)，事事故報(bào)告等物理安全參數(shù)數(shù)，設(shè)備保護(hù)護(hù)，桌面及電電腦的重要文文件的保護(hù)事故流程，職職責(zé)分離，系系統(tǒng)規(guī)劃，電電子郵件控制制15ISO17799模型AccessControlBusinessContinuityPlanningSystemDevelopmentandMaintenance權(quán)限管理：包包括應(yīng)用系統(tǒng)統(tǒng)，操作系統(tǒng)統(tǒng)，網(wǎng)絡(luò)變更控制，環(huán)環(huán)境劃分，安安全設(shè)備商業(yè)可持續(xù)性性計(jì)劃及其框框架，測(cè)試計(jì)計(jì)劃以及計(jì)劃劃的維護(hù)和更更新Compliance版權(quán)控制，記記錄和信息的的保存，數(shù)據(jù)據(jù)保護(hù)，公司司制度的服從從16ISO/IEC27001/27002:2005的內(nèi)容總共分成11個(gè)領(lǐng)域、39個(gè)控制目標(biāo)、133個(gè)控制措施。11個(gè)領(lǐng)域包括A.1

Security

PolicyA.2

organization

ofinformation

securityA.3Assetmanagement

A.4Human

resources

securityA.5Physical

and

environmental

securityA.6Communicationsand

operationsmanagementA.7Access

controlA.8

Informationsystems

acquisition,

development

and

maintenanceA.8

Informationsecurityincident

managementA.10Business

continuitymanagementA.11Compliance17關(guān)于ISO/IEC1540890年代開(kāi)始，由由于Internet的日益普及，，信息安全領(lǐng)領(lǐng)域呼吁修改改桔皮書(shū)，以以解決商用信信息系統(tǒng)安全全問(wèn)題。1991年歐盟(EuropeanCommission)頒布了ITSEC(InformationTechnologySecurityEvaluationCriteria,信息技術(shù)安全全評(píng)估準(zhǔn)則)。在此基礎(chǔ)上，，美國(guó)、加拿拿大、英國(guó)、、法國(guó)等7國(guó)組織聯(lián)合研研制了“信息息技術(shù)評(píng)估安安全公共準(zhǔn)則則”（CC：CommonCriteria）。1999年6月ISO通過(guò)了ISO/IEC15408安全評(píng)估準(zhǔn)則則（ISO/IEC15408:1999SecurityTechniques—EvaluationCriteriaforITSecurity）。目前的最最新版本于2005年發(fā)布。ISO/IEC15408是基于多個(gè)標(biāo)標(biāo)準(zhǔn)而產(chǎn)生的的，它的演進(jìn)進(jìn)過(guò)程如下圖圖所示：18ISO/IEC15408的內(nèi)容容ISO/IEC15408由以下三部分分組成：第一部分：介介紹和一般模模型第二部分：安安全功能需求求第三部分：安安全認(rèn)證需求求ISO/IEC15408準(zhǔn)則比以往的的其他信息技技術(shù)安全評(píng)估估標(biāo)準(zhǔn)更加規(guī)規(guī)范，采用以以下方式定義義：類(lèi)別（CLASS）；認(rèn)證族（ASSURANCEFAMILY）；認(rèn)證部件（ASSURANCECOMPONENT）；認(rèn)證元素（ASSURANCEELEMENT）。其中類(lèi)別中有有若干族，族族中有若干部部件，部件中中有若干元素素。19ISO/IEC15408的特點(diǎn)點(diǎn)ISO/IEC15408信息技術(shù)安全全評(píng)估準(zhǔn)則中中討論的是TOE（targetofevaluation),即評(píng)估對(duì)象。。該準(zhǔn)則關(guān)注注于評(píng)估對(duì)象象的安全功能能，安全功能能執(zhí)行的是安安全策略。ISO/IEC15408定義了安全屬屬性，包括用用戶屬性、客客體屬性、主主體屬性、和和信息屬性。。ISO/IEC15408加強(qiáng)了完整性性和可用性的的防護(hù)措施，，強(qiáng)調(diào)了抗抵抵賴(lài)性的安全全要求。ISO/IEC15408還定義了加密密的要求，強(qiáng)強(qiáng)調(diào)對(duì)用戶的的隱私保護(hù)。。ISO/IEC15408還討論了某些些故障、錯(cuò)誤誤和異常的安安全保護(hù)問(wèn)題題。20ISO/IEC15408的類(lèi)別ISO/IEC15408中，類(lèi)別（class)代表最概括的的分類(lèi)和定義義方式。包括括:安全功能類(lèi)別別，共11個(gè)，分別為為安全審計(jì)、、通信、加密密支持、用戶戶數(shù)據(jù)防護(hù)、、標(biāo)識(shí)與鑒別別、安全管理理、隱私、安安全功能的防防護(hù)、資源利利用、對(duì)評(píng)估估對(duì)象的訪問(wèn)問(wèn)、可信通路路/通道。安全認(rèn)知類(lèi)別別，共8個(gè)，分別為配配置管理、遞遞交和操作、、開(kāi)發(fā)、指南南文檔、生存存期支持、測(cè)測(cè)試、脆弱性性評(píng)估、認(rèn)證證維護(hù)。評(píng)估認(rèn)證級(jí)別別類(lèi)別，共7個(gè)，分別為評(píng)評(píng)估功能測(cè)試試、結(jié)構(gòu)測(cè)試試、方法測(cè)試試和檢查、半半形式設(shè)計(jì)和和測(cè)試、半形形式驗(yàn)證設(shè)計(jì)計(jì)和測(cè)試、形形式驗(yàn)證設(shè)計(jì)計(jì)和測(cè)試。評(píng)估類(lèi)別，共3個(gè)，包括2個(gè)預(yù)評(píng)估類(lèi)別別和TOE評(píng)估（即評(píng)估估對(duì)象的評(píng)估估）。其中預(yù)預(yù)評(píng)估類(lèi)別分分別為：防護(hù)框架評(píng)估估（ProtectionProfileevaluation,簡(jiǎn)稱(chēng)PP評(píng)估）:評(píng)估的一般是是某類(lèi)安全產(chǎn)產(chǎn)品，如防火火墻等，提出出測(cè)評(píng)的常為為是行業(yè)組織織；安全目標(biāo)評(píng)估估（SecurityTargetevaluation,簡(jiǎn)稱(chēng)ST評(píng)估）：評(píng)估估的一般是某某一類(lèi)的特定定產(chǎn)品，如某某品牌的防火火墻，提出測(cè)測(cè)評(píng)的常為廠廠商。21ISO/IEC15408的評(píng)估方法對(duì)于信息系統(tǒng)統(tǒng)和產(chǎn)品進(jìn)行行安全認(rèn)證ISO/IEC15408通常采用如下下方法進(jìn)行評(píng)評(píng)估：分析和檢查進(jìn)進(jìn)程與過(guò)程檢查進(jìn)程和過(guò)過(guò)程被應(yīng)用的的情況分析TOE設(shè)計(jì)表示一致致性分析TOE設(shè)計(jì)表示與需需求的滿足性性驗(yàn)證分析指南文檔檔分析功能測(cè)試試和測(cè)試結(jié)果果獨(dú)立功能測(cè)試試分析脆弱性（（包括漏洞假假說(shuō)）侵入測(cè)試等（TOE是評(píng)估對(duì)象（（TargetofEvaluation）的縮寫(xiě)）22關(guān)于ISO/IEC13335ISO/IEC13335InformationTechnology—GuidelinesfortheManagementofITSecurity是一套關(guān)于信信息安全管理理的技術(shù)文件件，共由五個(gè)個(gè)部分組成，，這五個(gè)組成成部分分別在在1996至2001年間發(fā)布布。第一部分分：安全全概念和和模型（（Part1—ConceptsandModelsforITSecurity），發(fā)布布于1996年12月15日。第二部分分：安全全管理和和規(guī)劃（（Part2—ManagingandPlanningITSecurity）），發(fā)布布于1997年12月15日。第三部部分：：安全全管理理技術(shù)術(shù)（Part3——TechniquesfortheManagementofITSecurity），發(fā)發(fā)布于于1998年6月15日。第四部部分：：保護(hù)護(hù)的選選擇（（Part4——SelectionofSafeguards）），發(fā)發(fā)布于于2000年3月1日。第五部部分：：外部部聯(lián)接接的防防護(hù)（（Part5—ManagementGuidanceonNetworkSecurity），發(fā)發(fā)布于于2001年1月2日。其中第第一部部分分分別于于1997年和2004年發(fā)布布了更更新版版本。。23關(guān)于ISO13569ISO13569的全稱(chēng)稱(chēng)為ISO/TR13569:2005Financialservices--Informationsecurityguidelines。它它提供了了對(duì)于于金融融服務(wù)務(wù)行業(yè)業(yè)機(jī)構(gòu)構(gòu)的信信息安安全程程序開(kāi)開(kāi)發(fā)的的指導(dǎo)導(dǎo)方針針。它它包括括了對(duì)對(duì)制度度，組組織結(jié)結(jié)構(gòu)和和法律律法規(guī)規(guī)等內(nèi)內(nèi)容的的討論論。該標(biāo)準(zhǔn)準(zhǔn)對(duì)組組織選選擇和和實(shí)施施安全全控制制，和和金融融機(jī)構(gòu)構(gòu)用于于管理理信息息安全全風(fēng)險(xiǎn)險(xiǎn)的要要素進(jìn)進(jìn)行了了闡述述。ISO13569于1997年首次次發(fā)布布，分分別于于2003年和2005年更新新，目目前的的最新新版本本為2005年的版版本。。24ISO/IEC13569的主主要內(nèi)內(nèi)容ISO/IEC13569是針對(duì)對(duì)金融融行業(yè)業(yè)的信信息安安全標(biāo)標(biāo)準(zhǔn)，，包括括以下下主要要內(nèi)容容：組織的的IT安全政政策IT安全管管理風(fēng)險(xiǎn)分分析和和評(píng)估估安全保保護(hù)的的實(shí)施施和選選擇IT系統(tǒng)保保護(hù)金融服服務(wù)行行業(yè)專(zhuān)專(zhuān)題，，包括括如銀銀行卡卡、電電子資資金傳傳輸(ElectronicFundTransfer)、支票票、電電子商商務(wù)等等內(nèi)容容；另外，，還包包括如如加密密、審審計(jì)、、事件件管理理等專(zhuān)專(zhuān)項(xiàng)討討論。。25提綱信息安安全標(biāo)標(biāo)準(zhǔn)概概述國(guó)際標(biāo)標(biāo)準(zhǔn)–ISO/IEC系列信信息安安全標(biāo)標(biāo)準(zhǔn)國(guó)際標(biāo)標(biāo)準(zhǔn)–COBIT國(guó)內(nèi)標(biāo)標(biāo)準(zhǔn)－－等等級(jí)保保護(hù)安全標(biāo)標(biāo)準(zhǔn)的的比較較問(wèn)題與與回答答26COBIT簡(jiǎn)介介COBIT（ControlObjectivesforInformationandrelatedTechnology）是由由信息息系統(tǒng)統(tǒng)審計(jì)計(jì)與控控制學(xué)學(xué)會(huì)ISACA（InformationSystemsAuditandControlAssociation）在1996年所公公布的的控制制框架架；目前已已經(jīng)更更新至至第4.1版;COBIT的主要要目的的是研研究、、發(fā)展展、宣宣傳權(quán)權(quán)威的的、最最新的的國(guó)際際化的的公認(rèn)認(rèn)信息息技術(shù)術(shù)控制制目標(biāo)標(biāo)以供供企業(yè)業(yè)經(jīng)理理、IT專(zhuān)業(yè)人人員和和審計(jì)計(jì)專(zhuān)業(yè)業(yè)人員員日常常使用用。COBIT框架共共有34個(gè)IT的流程程，分分成四四個(gè)領(lǐng)領(lǐng)域：：PO（計(jì)劃與與組織織）、AI（獲取與與實(shí)施施）、DS（交付與與支持持）、和和ME（監(jiān)控與與評(píng)估估）。27COBIT來(lái)源源1992年：ISACF(InformationSystemAuditandControlFoundation)發(fā)起，參閱全全球不不同國(guó)國(guó)家、政府府、標(biāo)準(zhǔn)組組織的的26份文件件后，基于其中之之18份文件件，研研擬COBIT，同時(shí)籌籌組COBIT指導(dǎo)委委員會(huì)會(huì)(SteeringCommittee)。1996年：COBIT指導(dǎo)委委員會(huì)會(huì)公布布COBIT第一版版。1998年：COBIT指導(dǎo)委委員會(huì)會(huì)公布布COBIT第二版版，將將第一一版之之32個(gè)高級(jí)控控制目目標(biāo)(HighLevelControlObjectives)擴(kuò)充成成34個(gè)。2000年：COBIT指導(dǎo)委委員會(huì)會(huì)公布布COBIT第三版版。2005年：COBIT指導(dǎo)委委員會(huì)會(huì)公布布COBIT第四版。2007年：發(fā)發(fā)布COBIT4.1版，為為目前前最新新版本本。28COBIT涉及及領(lǐng)域域商業(yè)目標(biāo)及IT治理目標(biāo)效率應(yīng)用系統(tǒng)信息基礎(chǔ)架構(gòu)人力交付與支持監(jiān)控與評(píng)估獲得與實(shí)施信息IT資源CobiT框架效果保密性完整性可用性合規(guī)性DS1定義和管理服務(wù)水平DS2管理第三方服務(wù)DS3性能管理和容量管理DS4確保服務(wù)的連續(xù)性DS5確保系統(tǒng)安全DS6確定并分配成本DS7教育和培訓(xùn)用戶DS8服務(wù)臺(tái)和緊急事件管理DS9配置管理DS10問(wèn)題管理DS11數(shù)據(jù)管理DS12物理環(huán)境管理DS13運(yùn)營(yíng)管理ME1監(jiān)控和評(píng)價(jià)IT績(jī)效ME2監(jiān)控和評(píng)價(jià)內(nèi)部控制ME3確保與法律的符合性ME4提供IT治理P01定義IT戰(zhàn)略計(jì)劃P02定義IT信息架構(gòu)P03確定技術(shù)導(dǎo)向P04定義IT過(guò)程/組織和關(guān)系P05IT投資管理P06傳遞管理目標(biāo)和方向P07IT人力資源管理P08質(zhì)量管理P09IT風(fēng)險(xiǎn)評(píng)估及管理P10項(xiàng)目管理AI1識(shí)別自動(dòng)化解決方案AI2獲取并維護(hù)應(yīng)用軟件AI3獲取并維護(hù)技術(shù)基礎(chǔ)設(shè)施AI4保障運(yùn)營(yíng)和使用AI5獲取IT資源AI6變革管理AI7安裝/授權(quán)解決方案和變更計(jì)劃與組織可靠性29COBIT的組組件實(shí)施概概要管理層層指引引具體控控制目目標(biāo)構(gòu)架伴隨高高級(jí)控控制目目標(biāo)關(guān)鍵職職能和和目標(biāo)標(biāo)說(shuō)明明關(guān)鍵的的成功功因素素成熟的的模板板審計(jì)指指引實(shí)施工工具30COBIT框架架的原原理控制領(lǐng)領(lǐng)域(Domains)流程(Processes)活動(dòng)(Activities/Tasks)人力資資源源應(yīng)用系系統(tǒng)統(tǒng)基礎(chǔ)架架構(gòu)構(gòu)信息息信息技術(shù)資資源可信賴(lài)性需需求質(zhì)量需需求求信息處處理理要要求求信息技術(shù)流流程安全性性需求31COBIT框架的原原理有效性應(yīng)以及時(shí)、正確、一致及可用的方式與業(yè)務(wù)流程有關(guān)的信息效率通過(guò)優(yōu)化（生產(chǎn)率最高且經(jīng)濟(jì)合理）資源使用來(lái)交付信息保密性保護(hù)敏感信息免受未授權(quán)訪問(wèn)完整性信息的正確和完整，并根據(jù)業(yè)務(wù)價(jià)值和期望進(jìn)行嚴(yán)正可用性若業(yè)務(wù)流程現(xiàn)在或?qū)?lái)產(chǎn)生需要，信息是可用的，關(guān)注于保護(hù)所需的資源及相應(yīng)的能力合規(guī)性外部合規(guī)性和內(nèi)部合規(guī)性，滿足業(yè)務(wù)流程必須遵循的法律、法規(guī)及合同要求可靠性為管理者提供適當(dāng)信息，以檢驗(yàn)管理者的履職程度和職責(zé)可信性需求安全需求質(zhì)量需求信息處理要求IT資源IT流程32COBIT框架的原原理IT流程管理各各種IT資源，以產(chǎn)產(chǎn)生、傳遞遞并存儲(chǔ)可可滿足業(yè)務(wù)務(wù)需求的各各種信息。。CobiT中定義的IT資源包括如如下方面：：應(yīng)用系統(tǒng)：：處理信息息的自動(dòng)化化信息系統(tǒng)統(tǒng)及相應(yīng)手手冊(cè)程序信息：信息息系統(tǒng)輸入入、處理和和輸出的所所有形式的的數(shù)據(jù)，可可以被業(yè)務(wù)務(wù)以任何形形式使用基礎(chǔ)架構(gòu)：：保障應(yīng)用用系統(tǒng)處理理信息所需需的技術(shù)和和設(shè)施（硬硬件、操作作系統(tǒng)、數(shù)數(shù)據(jù)庫(kù)管理理系統(tǒng)、網(wǎng)網(wǎng)絡(luò)、多媒媒體，以及及放置上述述設(shè)施所需需的環(huán)境））人員：策劃劃、組織、、采購(gòu)、實(shí)實(shí)施、交付付、支持、、監(jiān)控和評(píng)評(píng)價(jià)信息系系統(tǒng)和服務(wù)務(wù)所需的人人員，可以以是內(nèi)部的的也可以是是外部的應(yīng)用系統(tǒng)信息基礎(chǔ)架構(gòu)人員IT資源信息處理要求IT流程33提綱信息安全標(biāo)標(biāo)準(zhǔn)概述國(guó)際標(biāo)準(zhǔn)–ISO/IEC系列信息安安全標(biāo)準(zhǔn)國(guó)際標(biāo)準(zhǔn)–COBIT國(guó)內(nèi)標(biāo)準(zhǔn)－－等級(jí)保保護(hù)安全標(biāo)準(zhǔn)的的總結(jié)問(wèn)題與回答答34全國(guó)信息安安全標(biāo)準(zhǔn)化化技術(shù)委員員會(huì)簡(jiǎn)介中國(guó)從1984年開(kāi)開(kāi)始就組建建了數(shù)據(jù)加加密技術(shù)委委員會(huì)，并并在1997年8月月，將該委委員會(huì)改組組為全國(guó)信信息技術(shù)標(biāo)標(biāo)準(zhǔn)化分技技術(shù)委員會(huì)會(huì)，主要負(fù)負(fù)責(zé)制定信信息安全的的國(guó)家標(biāo)準(zhǔn)準(zhǔn)。2001年，國(guó)家標(biāo)標(biāo)準(zhǔn)化管理理委員會(huì)批批準(zhǔn)成立全全國(guó)信息安安全標(biāo)準(zhǔn)化化技術(shù)委員員會(huì)，簡(jiǎn)稱(chēng)稱(chēng)“全國(guó)安安標(biāo)委”。。標(biāo)準(zhǔn)委員員會(huì)的標(biāo)號(hào)號(hào)是TC260。全國(guó)信息安安全標(biāo)準(zhǔn)化化技術(shù)委員員會(huì)包括四四個(gè)工作組組：信息安全標(biāo)標(biāo)準(zhǔn)體系與與協(xié)調(diào)工作作組PKI和PMI工作作組信息安全評(píng)評(píng)估工作組組信息安全管管理工作組組截至2007年底，全國(guó)國(guó)信息安全全標(biāo)準(zhǔn)化技技術(shù)委員會(huì)會(huì)已經(jīng)完成成了國(guó)家標(biāo)標(biāo)準(zhǔn)59項(xiàng)，還有56項(xiàng)國(guó)家標(biāo)準(zhǔn)準(zhǔn)在研制中中。35等級(jí)保護(hù)是是什么？等級(jí)保護(hù)基基本概念：：信息系統(tǒng)統(tǒng)安全等級(jí)級(jí)保護(hù)是指指對(duì)信息安安全實(shí)行等等級(jí)化保護(hù)護(hù)和等級(jí)化化管理根據(jù)信息系系統(tǒng)應(yīng)用業(yè)業(yè)務(wù)重要程程度及其實(shí)實(shí)際安全需需求，實(shí)行行分級(jí)、分分類(lèi)、分階階段實(shí)施保保護(hù)，保障障信息安全全和系統(tǒng)安安全正常運(yùn)運(yùn)行，維護(hù)護(hù)國(guó)家利益益、公共利利益和社會(huì)會(huì)穩(wěn)定。等級(jí)保護(hù)的的核心是對(duì)對(duì)信息系統(tǒng)統(tǒng)特別是對(duì)對(duì)業(yè)務(wù)應(yīng)用用系統(tǒng)安全全分等級(jí)、、按標(biāo)準(zhǔn)進(jìn)進(jìn)行建設(shè)、、管理和監(jiān)監(jiān)督。國(guó)家家對(duì)信息安安全等級(jí)保保護(hù)工作運(yùn)運(yùn)用法律和和技術(shù)規(guī)范范逐級(jí)加強(qiáng)強(qiáng)監(jiān)管力度度。突出重重點(diǎn)，保障障重要信息息資源和重重要信息系系統(tǒng)的安全全。36等級(jí)保護(hù)法法律和政策策依據(jù)《中華人民民共和國(guó)計(jì)計(jì)算機(jī)信息息系統(tǒng)安全全保護(hù)條例例》第二章章安全保護(hù)護(hù)制度部分分規(guī)定：“計(jì)算機(jī)信信息系統(tǒng)實(shí)實(shí)行安全等等級(jí)保護(hù)。。安全等級(jí)級(jí)的劃分標(biāo)標(biāo)準(zhǔn)和安全全等級(jí)保護(hù)護(hù)的具體辦辦法，由公公安部會(huì)同同有關(guān)部門(mén)門(mén)制定?！薄薄队?jì)算機(jī)信信息系統(tǒng)安安全保護(hù)等等級(jí)劃分準(zhǔn)準(zhǔn)則》GB17859-1999（（技術(shù)法規(guī)））規(guī)定：“國(guó)家對(duì)信息息系統(tǒng)實(shí)行行五級(jí)保護(hù)護(hù)。”《國(guó)家信息息化領(lǐng)導(dǎo)小小組關(guān)于加加強(qiáng)信息安安全保障工工作的意見(jiàn)見(jiàn)》重點(diǎn)強(qiáng)強(qiáng)調(diào)：“實(shí)行信息安安全等級(jí)保保護(hù)制度，，重點(diǎn)保護(hù)護(hù)基礎(chǔ)信息息網(wǎng)絡(luò)和重重要信息系系統(tǒng)?！?7等級(jí)保護(hù)的的分級(jí)等級(jí)保護(hù)分分為5級(jí)管理制度度：第一級(jí)，自自主保護(hù)級(jí)級(jí)：信息系統(tǒng)統(tǒng)受到破壞壞后，會(huì)對(duì)對(duì)公民，法法人和其他他組織的合合法權(quán)益造造成損害，，但不損害害國(guó)家安全全，社會(huì)秩秩序和公共共利益。第二級(jí)，指指導(dǎo)保護(hù)級(jí)級(jí)：信息系統(tǒng)統(tǒng)受到破壞壞后，會(huì)對(duì)對(duì)公民，法法人和其他他組織的合合法權(quán)益造造成嚴(yán)重?fù)p損害，或者者對(duì)社會(huì)秩秩序和公共共利益造成成損害，但但不損害國(guó)國(guó)家安全。。第三級(jí)，監(jiān)監(jiān)督保護(hù)級(jí)級(jí)：信息系統(tǒng)統(tǒng)受到破壞壞后，會(huì)對(duì)對(duì)社會(huì)秩序序和公共利利益造成嚴(yán)嚴(yán)重?fù)p害，，或者對(duì)國(guó)國(guó)家安全造造成損害。。第四級(jí)，強(qiáng)強(qiáng)制保護(hù)級(jí)級(jí)：信息系統(tǒng)統(tǒng)受到破壞壞后，會(huì)對(duì)對(duì)社會(huì)秩序序和公共利利益造成嚴(yán)嚴(yán)重?fù)p害，，或者對(duì)國(guó)國(guó)家安全造造成嚴(yán)重?fù)p損害。第五級(jí)，專(zhuān)專(zhuān)控保護(hù)級(jí)級(jí)：信息系統(tǒng)統(tǒng)受到破壞壞后，會(huì)對(duì)對(duì)國(guó)家安全全造成特別別嚴(yán)重?fù)p害害。38等級(jí)保護(hù)定定級(jí)要素受侵害的客客體公民，法人人和其他組組織的合法法權(quán)益社會(huì)秩序，，公共利益益國(guó)家安全對(duì)客體的侵侵害程度造成一般損損害造成嚴(yán)重?fù)p損害造成特別嚴(yán)嚴(yán)重?fù)p害39安全保護(hù)要要素與等級(jí)級(jí)關(guān)系業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體對(duì)相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)40等級(jí)保護(hù)監(jiān)監(jiān)管級(jí)別與與等級(jí)對(duì)應(yīng)應(yīng)情況等級(jí)對(duì)象侵害客體侵害程度監(jiān)管強(qiáng)度第一級(jí)一般系統(tǒng)合法權(quán)益損害自主保護(hù)第二級(jí)合法權(quán)益嚴(yán)重?fù)p害指導(dǎo)社會(huì)秩序和公共利益損害第三級(jí)重要系統(tǒng)社會(huì)秩序和公共利益嚴(yán)重?fù)p害監(jiān)督檢查國(guó)家安全損害第四級(jí)社會(huì)秩序和公共利益特別嚴(yán)重?fù)p害強(qiáng)制監(jiān)督檢查國(guó)家安全嚴(yán)重?fù)p害第五級(jí)極端重要系統(tǒng)國(guó)家安全特別嚴(yán)重?fù)p害專(zhuān)門(mén)監(jiān)督檢查41等級(jí)保護(hù)定定級(jí)流程信息系統(tǒng)安安全包括業(yè)業(yè)務(wù)信息安安全和系統(tǒng)統(tǒng)服務(wù)安全全，與之相相關(guān)的受侵侵害客體和和對(duì)客體得得侵害程度度可能不同同，因此信信息系統(tǒng)定定級(jí)也應(yīng)由由業(yè)務(wù)信息息安全和系系統(tǒng)服務(wù)安安全兩方面面確定。具具體流程為為：確定業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體綜合評(píng)定對(duì)客體的侵害程度確定定級(jí)對(duì)象業(yè)務(wù)信息安全等級(jí)定級(jí)對(duì)象的安全保護(hù)等級(jí)確定系統(tǒng)服務(wù)安全受到破壞時(shí)所侵害的客體綜合評(píng)定對(duì)客體的侵害程度系統(tǒng)服務(wù)安全等級(jí)42等級(jí)保護(hù)定定級(jí)對(duì)象確確定作為定級(jí)對(duì)對(duì)象的信息息系統(tǒng)應(yīng)具具有如下基基本特征：：具有唯一確確定的安全全責(zé)任單位位作為定級(jí)對(duì)對(duì)象的信息息系統(tǒng)應(yīng)能能夠唯一地地確定其安安全責(zé)任單單位，這個(gè)個(gè)安全責(zé)任任單位就是是負(fù)責(zé)等級(jí)級(jí)保護(hù)工作作部署、實(shí)實(shí)施的單位位，也是完完成等級(jí)保保護(hù)備案和和接受監(jiān)督督檢查的直直接責(zé)任單單位。具有信息系系統(tǒng)的基本本要素作為定級(jí)對(duì)對(duì)象的信息息系統(tǒng)應(yīng)該該是由相關(guān)關(guān)的和配套套的設(shè)備、、設(shè)施按照照一定的應(yīng)應(yīng)用目標(biāo)和和規(guī)則組合合而成的有有形實(shí)體。。應(yīng)避免將將某個(gè)單一一的系統(tǒng)組組件，如單單臺(tái)的服務(wù)務(wù)器、終端端或網(wǎng)絡(luò)設(shè)設(shè)備等作為為定級(jí)對(duì)象象。承載單一或或相對(duì)獨(dú)立立的業(yè)務(wù)應(yīng)應(yīng)用定級(jí)對(duì)象承承載“相對(duì)對(duì)獨(dú)立”的的業(yè)務(wù)應(yīng)用用是指其中中的一個(gè)或或多個(gè)業(yè)務(wù)務(wù)應(yīng)用的主主要業(yè)務(wù)流流程、部分分業(yè)務(wù)功能能獨(dú)立，同同時(shí)與其他他信息系統(tǒng)統(tǒng)的業(yè)務(wù)應(yīng)應(yīng)用有少量量的數(shù)據(jù)交交換，定級(jí)級(jí)對(duì)象可能能會(huì)與其他他業(yè)務(wù)應(yīng)用用共享一些些設(shè)備，尤尤其是網(wǎng)絡(luò)絡(luò)傳輸設(shè)備備。“相對(duì)對(duì)獨(dú)立”的的業(yè)務(wù)應(yīng)用用并不意味味著整個(gè)業(yè)業(yè)務(wù)流程，，可以使完完整的業(yè)務(wù)務(wù)流程的一一部分。43等級(jí)保護(hù)的的基本要求求信息系統(tǒng)安安全等級(jí)保保護(hù)應(yīng)依據(jù)據(jù)信息系統(tǒng)統(tǒng)的安全保保護(hù)等級(jí)情情況保證它它們具有相相應(yīng)等級(jí)的的基本安全全保護(hù)能力力，不同安全保保護(hù)等級(jí)的的信息系統(tǒng)統(tǒng)要求具有有不同的安安全保護(hù)能能力?；景踩蠓譃榛炯夹g(shù)要要求和基本管理要要求兩大類(lèi)。二二者都是確確保信息系系統(tǒng)安全不不可分割的的兩個(gè)部分分。信息系統(tǒng)具具有的整體體安全保護(hù)護(hù)能力通過(guò)過(guò)不同組件件實(shí)現(xiàn)基本本安全要求求來(lái)保證。。除了保證系系統(tǒng)的每個(gè)個(gè)組件滿足足基本安全全要求外，，還要考慮慮組件之間間的相互關(guān)關(guān)系，來(lái)保保證信息系系統(tǒng)的整體體安全保護(hù)護(hù)能力。44等級(jí)保護(hù)的的基本要求求（續(xù)））基本技術(shù)要求基本管理要求與信息系統(tǒng)提供的技術(shù)安全機(jī)制有關(guān)；主要通過(guò)在信息系統(tǒng)中部署軟硬件并正確的配置其安全功能來(lái)實(shí)現(xiàn)。與信息系統(tǒng)中各種角色參與的活動(dòng)有關(guān)；主要通過(guò)控制各種角色的活動(dòng)，從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來(lái)實(shí)現(xiàn)。基本技術(shù)要求從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全幾個(gè)層面提出。從安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理幾個(gè)方面提出。45基本技術(shù)要要求的類(lèi)型型基本技術(shù)要要求分為三三種類(lèi)型：：保護(hù)數(shù)據(jù)在在存儲(chǔ)、傳傳輸、處理理過(guò)程中不不被泄漏、、破壞和免免受未授權(quán)權(quán)的修改的的信息安全全類(lèi)要求（（簡(jiǎn)記為S）；保護(hù)系統(tǒng)連連續(xù)正常的的運(yùn)行，免免受對(duì)系統(tǒng)統(tǒng)的未授權(quán)權(quán)修改、破破壞而導(dǎo)致致系統(tǒng)不可可用的服務(wù)務(wù)保證類(lèi)要要求（簡(jiǎn)記記為A）；通用安全保保護(hù)類(lèi)要求求（簡(jiǎn)記為為G）。46等級(jí)保護(hù)-實(shí)施指南南基本原則：：等級(jí)保護(hù)護(hù)的核心是是對(duì)信息系系統(tǒng)分等級(jí)級(jí)、按標(biāo)準(zhǔn)準(zhǔn)進(jìn)行建設(shè)設(shè)、管理和和監(jiān)督。等等級(jí)保護(hù)在在實(shí)施過(guò)程程中應(yīng)遵循循以下基本本原則：自主保護(hù)原原則：由各各主管部門(mén)門(mén)和運(yùn)營(yíng)使使用單位按按照國(guó)家相相關(guān)法規(guī)和和標(biāo)準(zhǔn)，自自主確定信信息系統(tǒng)的的安全等級(jí)級(jí)自行組織織實(shí)施安全全保同步建設(shè)原則則：信息系統(tǒng)統(tǒng)在新建、改改建、擴(kuò)建時(shí)時(shí)應(yīng)當(dāng)同步規(guī)規(guī)劃和設(shè)計(jì)安安全方案，投投入一定比例例的資金建設(shè)設(shè)信息安全設(shè)設(shè)施，保障信信息安全與信信息化建設(shè)相相適應(yīng)。重點(diǎn)保護(hù)護(hù)原則：：根據(jù)據(jù)信息系系統(tǒng)的重重要程度度、業(yè)務(wù)務(wù)特點(diǎn)，，通過(guò)劃劃分不同同安全等等級(jí)的信信息系統(tǒng)統(tǒng)，實(shí)現(xiàn)現(xiàn)不同強(qiáng)強(qiáng)度的安安全保護(hù)護(hù)，集中中資源優(yōu)優(yōu)先保護(hù)護(hù)涉及核核心業(yè)務(wù)務(wù)或關(guān)鍵鍵信息資資產(chǎn)的信信息系統(tǒng)統(tǒng)。適當(dāng)調(diào)整整原則：：要跟蹤蹤信息系系統(tǒng)的變變化情況況，調(diào)整整安全保保護(hù)措施施。因?yàn)闉樾畔⑾迪到y(tǒng)的應(yīng)應(yīng)用類(lèi)型型、范圍圍等條件件的變化化及其他他原因，，安全等等級(jí)需要要變更的的，應(yīng)當(dāng)當(dāng)根據(jù)等等級(jí)保護(hù)護(hù)的管理理規(guī)范和和技術(shù)標(biāo)標(biāo)準(zhǔn)的要要求，重重新確定定信息系系統(tǒng)的安安全等級(jí)級(jí)，根據(jù)據(jù)信息系系統(tǒng)安全全等級(jí)的的調(diào)整情情況，重重新實(shí)施施安全保保護(hù)。47等級(jí)保護(hù)護(hù)-實(shí)施施指南角色和職職責(zé)：對(duì)一個(gè)信信息系統(tǒng)統(tǒng)實(shí)施等等級(jí)保護(hù)護(hù)的過(guò)程程中涉及及到各類(lèi)類(lèi)組織和和人員，，他們將將會(huì)參與與不同的的或相同同的活動(dòng)動(dòng)，等級(jí)保護(hù)護(hù)標(biāo)準(zhǔn)將將參與等等級(jí)保護(hù)護(hù)過(guò)程的的各類(lèi)組組織和人人員劃分分為主要要角色和和次要角角色。其其中：主要角色色將參與與等級(jí)保保護(hù)實(shí)施施過(guò)程的的所有活活動(dòng)，次要角色色將參與與等級(jí)保保護(hù)實(shí)施施過(guò)程的的某一個(gè)個(gè)或多個(gè)個(gè)活動(dòng)。。主要角色色是指信信息系統(tǒng)統(tǒng)主管部部門(mén)和信信息系統(tǒng)統(tǒng)運(yùn)營(yíng)、、使用單單位；次要角色色是指信信息系統(tǒng)統(tǒng)安全服服務(wù)商、、信息安安全監(jiān)管管機(jī)構(gòu)、、安全測(cè)測(cè)評(píng)機(jī)構(gòu)構(gòu)和安全全產(chǎn)品提提供商。48等級(jí)保護(hù)護(hù)-實(shí)施施的基本本過(guò)程系統(tǒng)定級(jí)級(jí)安全規(guī)劃劃設(shè)計(jì)安全實(shí)施施安全運(yùn)維維系統(tǒng)終止止重大變更更局部調(diào)整整49等級(jí)保護(hù)護(hù)實(shí)施過(guò)過(guò)程的主主要活動(dòng)動(dòng)50等級(jí)保護(hù)護(hù)過(guò)程與與信息系系統(tǒng)生命命周期對(duì)對(duì)應(yīng)關(guān)系系51提綱信息安全全標(biāo)準(zhǔn)概概述國(guó)際標(biāo)準(zhǔn)準(zhǔn)–ISO/IEC系列信息息安全標(biāo)標(biāo)準(zhǔn)國(guó)際標(biāo)準(zhǔn)準(zhǔn)–COBIT國(guó)內(nèi)標(biāo)準(zhǔn)準(zhǔn)－等等級(jí)保護(hù)護(hù)安全標(biāo)準(zhǔn)準(zhǔn)的總結(jié)結(jié)問(wèn)題與回回答52信息安全全標(biāo)準(zhǔn)總總結(jié)世界各國(guó)國(guó)近幾年年來(lái)發(fā)布布了各種種各樣的的信息安安全標(biāo)準(zhǔn)準(zhǔn)。各種標(biāo)準(zhǔn)準(zhǔn)的對(duì)象象、目的的和范圍圍都有所所不同。。各個(gè)標(biāo)準(zhǔn)準(zhǔn)之間盡盡管側(cè)重重點(diǎn)不同同，但原原則上也也有很多多共同之之處：基于風(fēng)險(xiǎn)險(xiǎn)，即以以信息安安全風(fēng)險(xiǎn)險(xiǎn)為主要要的探討討對(duì)象，，為組織織如何管管理信息息安全風(fēng)風(fēng)險(xiǎn)提供供指導(dǎo)；；提供有關(guān)關(guān)安全控控制的操操作實(shí)踐踐；各個(gè)標(biāo)準(zhǔn)準(zhǔn)建議的的操作實(shí)實(shí)踐本身身基本沒(méi)沒(méi)有沖突突。53關(guān)注的安安全領(lǐng)域域安全標(biāo)準(zhǔn)關(guān)注的安全領(lǐng)域安全管理組件安全原則概括性的安全控制詳細(xì)的控制活動(dòng)安全模型或方法論ISO/IEC

17799√ISO/IEC

13335√√√√ISO/TR13569√√ISO/IEC15408√√COBIT√√√等級(jí)保護(hù)√√√54關(guān)注的信信息技術(shù)術(shù)資源安全標(biāo)準(zhǔn)關(guān)注的信息技術(shù)資源人員People應(yīng)用程序Applications技術(shù)Technology設(shè)施Facilities數(shù)據(jù)DataISO/IEC

17799＋＋＋＋OISO/IEC

13335＋＋＋＋＋I(xiàn)SO/TR13569＋＋＋＋OISO/IEC15408＋＋＋O＋COBIT＋＋＋＋＋等級(jí)保護(hù)O＋＋＋O注釋?zhuān)海狠^多多描述O:中等詳細(xì)細(xì)程度－－：：較少描描述55認(rèn)證安全標(biāo)準(zhǔn)認(rèn)證信息ISO/IEC

17799本身不提供認(rèn)證，但可以作為BS7799的認(rèn)證參考指引。ISO/IEC

13335不提供認(rèn)證。ISO/TR13569不提供認(rèn)證。ISO/IEC15408為安全產(chǎn)品和系統(tǒng)提供認(rèn)證標(biāo)準(zhǔn)。COBIT不提供認(rèn)證。等級(jí)保護(hù)不適用。56提綱信息安全全標(biāo)準(zhǔn)概概述國(guó)際標(biāo)準(zhǔn)準(zhǔn)–ISO/IEC系列信息息安全標(biāo)標(biāo)準(zhǔn)國(guó)際標(biāo)準(zhǔn)準(zhǔn)–COBIT國(guó)內(nèi)標(biāo)準(zhǔn)準(zhǔn)－等等級(jí)保護(hù)護(hù)安全標(biāo)準(zhǔn)準(zhǔn)的總結(jié)結(jié)問(wèn)題與回回答57?2008普華永道道版權(quán)所所有?！浮钙杖A永永道」乃乃指PricewaterhouseCoopers旗下之中中國(guó)內(nèi)地地機(jī)構(gòu)，，或視乎乎上文下下理之含含義，泛泛指PricewaterhouseCoopersInternationalLimited之成員機(jī)機(jī)構(gòu)網(wǎng)絡(luò)絡(luò)，而其其中每個(gè)個(gè)成員均均為個(gè)別別及獨(dú)立立之法律律實(shí)體。。*connectedthinking為PricewaterhouseCoopers之商標(biāo)標(biāo)。謝謝大大家！！信息安安全標(biāo)標(biāo)準(zhǔn)2008年4月3日季瑞華華合伙人人系系統(tǒng)和和流程程管理理william.gee@中國(guó)銀銀行業(yè)業(yè)監(jiān)督督管理理委員員會(huì)培培訓(xùn)9、靜夜四無(wú)無(wú)鄰，荒居居舊業(yè)貧。。。12月-2212月-22Tuesday,December13,202210、雨中黃黃葉樹(shù)，，燈下白白頭人。。。22:18:3322:18:3322:1812/13/202210:18:33PM11、以我我獨(dú)沈沈久，，愧君君相見(jiàn)見(jiàn)頻。。。12月月-2222:18:3322:18Dec-2213-Dec-2212、故人人江海海別，，幾度度隔山山川。。。22:18:3322:18:3322:18Tuesday,December13,202213、乍見(jiàn)翻疑夢(mèng)夢(mèng)，相悲各問(wèn)問(wèn)年。。12月-2212月-2222:18:3322:18:33December13,202214、他鄉(xiāng)生白白發(fā)，舊國(guó)國(guó)見(jiàn)青山。。。13十二二月202210:18:33下下午22:18:3312月-2215、比不不了得得就不不比，，得不