CISP-1-信息安全保障體系和測評(píng)認(rèn)證_第1頁
CISP-1-信息安全保障體系和測評(píng)認(rèn)證_第2頁
CISP-1-信息安全保障體系和測評(píng)認(rèn)證_第3頁
CISP-1-信息安全保障體系和測評(píng)認(rèn)證_第4頁
CISP-1-信息安全保障體系和測評(píng)認(rèn)證_第5頁
已閱讀5頁,還剩34頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

信息平安理論

信息平安保障體系和測評(píng)認(rèn)證中國信息平安產(chǎn)品測評(píng)認(rèn)證中心〔CNITSEC〕CISP-1-信息平安保障體系和測評(píng)認(rèn)證〔培訓(xùn)樣稿〕目錄信息系統(tǒng)平安保障測評(píng)認(rèn)證歷史和成績信息系統(tǒng)平安保障通用評(píng)估準(zhǔn)那么介紹信息系統(tǒng)平安保障測評(píng)認(rèn)證方法和實(shí)踐中國信息平安產(chǎn)品測評(píng)認(rèn)證中心

信息系統(tǒng)平安測評(píng)認(rèn)證介紹第一局部信息系統(tǒng)平安保障測評(píng)認(rèn)證歷史和成績我國國家領(lǐng)導(dǎo)高度重視信息平安胡錦濤總書記在一份報(bào)告上批示:信息平安事關(guān)國家平安,必須予以高度重視李嵐清同志在中辦的一份信息通報(bào)上批示:信息平安是危及國家平安的大事國家高度重視信息平安測評(píng)認(rèn)證工作胡錦濤總書記在一份報(bào)告上批示:信息平安事關(guān)國家平安,必須予以高度重視。在2000年3月29日的信息網(wǎng)絡(luò)平安協(xié)調(diào)會(huì)議上又強(qiáng)調(diào)“要建設(shè)好信息平安測評(píng)認(rèn)證中心〞吳邦國同志在一份報(bào)告上批示:信息平安認(rèn)證中心的工作很重要,是確保國家信息平安,促進(jìn)互聯(lián)網(wǎng)健康開展的重大舉措,又是當(dāng)前急需解決的緊迫問題1997年初,國務(wù)院信息化工作領(lǐng)導(dǎo)小組委托籌建“中國互聯(lián)網(wǎng)絡(luò)平安產(chǎn)品測評(píng)認(rèn)證中心〞1998年7月,該中心掛牌運(yùn)行1998年10月,國家質(zhì)量技術(shù)監(jiān)督局授權(quán)成立“中國國家信息平安測評(píng)認(rèn)證中心〞1999年2月9日,該中心掛牌運(yùn)行2001年5月,中編辦根據(jù)黨中央、國務(wù)院有關(guān)領(lǐng)導(dǎo)的指示精神,正式批準(zhǔn)成立“中國信息平安產(chǎn)品測評(píng)認(rèn)證中心〞,英文簡稱為CNITSEC,為獨(dú)立的副局級(jí)事業(yè)單位測評(píng)認(rèn)證中心的建設(shè)過程國家信息平安測評(píng)認(rèn)證管理委員會(huì)中國信息平安產(chǎn)品測評(píng)認(rèn)證中心及其分支機(jī)構(gòu)授權(quán)測試實(shí)驗(yàn)室國家實(shí)驗(yàn)室認(rèn)可程序ISO65、25認(rèn)證申請(qǐng)者授權(quán)質(zhì)管測試報(bào)告申報(bào)測試報(bào)告評(píng)估報(bào)告認(rèn)證證書監(jiān)管機(jī)構(gòu)國家認(rèn)證實(shí)體授權(quán)測評(píng)機(jī)構(gòu)國家信息平安測評(píng)認(rèn)證體系組織結(jié)構(gòu)認(rèn)證中心的性質(zhì)中國信息平安產(chǎn)品測評(píng)認(rèn)證中心是經(jīng)中央批準(zhǔn)成立的、代表國家實(shí)施信息平安測評(píng)認(rèn)證的職能機(jī)構(gòu),依據(jù)國家有關(guān)產(chǎn)品質(zhì)量認(rèn)證和信息平安管理的法律法規(guī),管理和運(yùn)行國家信息平安測評(píng)認(rèn)證體系認(rèn)證中心的主要職能任務(wù)1、對(duì)國內(nèi)外信息平安設(shè)備和信息技術(shù)實(shí)施平安性檢驗(yàn)、測試與認(rèn)證2、對(duì)國內(nèi)信息系統(tǒng)和工程進(jìn)行平安性評(píng)估與認(rèn)證3、對(duì)提供信息平安效勞的單位、人員的資質(zhì)進(jìn)行評(píng)估與認(rèn)證4、承擔(dān)國家信息平安技術(shù)標(biāo)準(zhǔn)的研究、制訂和信息平安培訓(xùn)5、與各國相應(yīng)的測評(píng)認(rèn)證機(jī)構(gòu)進(jìn)行國際交流與合作中心標(biāo)志中國信息安全產(chǎn)品測評(píng)認(rèn)證中心CHINAINFORMATIONTECHNOLOGYSECURITYCERTIFICATIONCENTERCNITSEC中華人民共和國國家信息安全認(rèn)證認(rèn)證標(biāo)志CNITSEC1、包過濾防火墻平安技術(shù)要求2、應(yīng)用級(jí)防火墻平安技術(shù)要求3、信息技術(shù)平安性評(píng)估準(zhǔn)那么4、信息系統(tǒng)平安工程能力成熟模型5、信息平安效勞評(píng)價(jià)準(zhǔn)那么6、信息平安工程質(zhì)量管理要求7、電信智能卡平安技術(shù)要求8、商用密碼產(chǎn)品平安技術(shù)要求9、網(wǎng)上證券委托系統(tǒng)平安技術(shù)要求10、信息技術(shù)平安性評(píng)估方法等共20多項(xiàng)國家標(biāo)準(zhǔn)的制定情況參與國際合作的情況代表我國參加第一屆〔美國〕、第二屆〔英國〕、第四屆〔〕信息平安測評(píng)認(rèn)證標(biāo)準(zhǔn)與互認(rèn)國際會(huì)議與美國、俄羅斯、英國、法國、新加坡、日本等國家開展信息平安測試、評(píng)估技術(shù)的交流2002年起,按WTO的原那么,積極參與和推動(dòng)信息平安領(lǐng)域的國際互認(rèn)中國信息平安產(chǎn)品測評(píng)認(rèn)證中心

信息系統(tǒng)平安測評(píng)認(rèn)證介紹第二局部信息系統(tǒng)平安保障通用評(píng)估準(zhǔn)那么介紹概述為推動(dòng)信息系統(tǒng)平安測評(píng)認(rèn)證工作開展,2002年1月,中國信息平安產(chǎn)品測評(píng)認(rèn)證中心內(nèi)部立項(xiàng),開始進(jìn)行有關(guān)部門信息系統(tǒng)平安測評(píng)認(rèn)證的標(biāo)準(zhǔn),程序,方法和工具的研究工作。?信息系統(tǒng)平安通用評(píng)估準(zhǔn)那么?作為其中十分重要的工作之一開始展開。經(jīng)過兩年的工作和實(shí)踐,目前完成了:?信息系統(tǒng)平安保障通用評(píng)估準(zhǔn)那么?〔征求意見稿〕?電子政務(wù)信息系統(tǒng)平安保障評(píng)估準(zhǔn)那么?〔征求意見稿〕信息系統(tǒng)使命信息系統(tǒng)建模,。。。GB18336idtISO/IEC15408信息技術(shù)安全性評(píng)估準(zhǔn)則IATF信息保障技術(shù)框架ISSE信息系統(tǒng)安全工程SSE-CMM系統(tǒng)安全工程能力成熟度模型BS7799,ISO/IEC17799信息安全管理實(shí)踐準(zhǔn)則其他相關(guān)標(biāo)準(zhǔn)、準(zhǔn)則例如:ISO/IEC15443,COBIT。。。系統(tǒng)認(rèn)證和認(rèn)可標(biāo)準(zhǔn)和實(shí)踐例如:美國DITSCAP,…中國信息安全產(chǎn)品測評(píng)認(rèn)證中心相關(guān)文檔和系統(tǒng)測評(píng)認(rèn)證實(shí)踐技術(shù)準(zhǔn)則(信息技術(shù)系統(tǒng)評(píng)估準(zhǔn)則)管理準(zhǔn)則(信息系統(tǒng)管理評(píng)估準(zhǔn)則)過程準(zhǔn)則(信息系統(tǒng)安全工程評(píng)估準(zhǔn)則)信息系統(tǒng)安全性評(píng)估準(zhǔn)則信息安全管理和管理能力成熟度模型將GB18336從產(chǎn)品和產(chǎn)品系統(tǒng)擴(kuò)展到信息技術(shù)系統(tǒng)安全性評(píng)估安全工程過程和能力成熟度模型傳統(tǒng)C&A信息系統(tǒng)認(rèn)證認(rèn)可和實(shí)踐信息系統(tǒng)相關(guān)基礎(chǔ)知識(shí)信息系統(tǒng)平安保障通用評(píng)估準(zhǔn)那么

內(nèi)容組成信息系統(tǒng)平安保障模型技術(shù)過程管理人員保證對(duì)象生命周期信息特征計(jì)劃組織開發(fā)采購實(shí)施交付運(yùn)行維護(hù)廢棄機(jī)密性完整性可用性信息系統(tǒng)分類和平安保障分級(jí)信息系統(tǒng)使命類信息系統(tǒng)威脅分級(jí)信息系統(tǒng)平安保障級(jí)ISAL+價(jià)值信息特征機(jī)密性完整行可用性產(chǎn)品EAL級(jí)別要求EAL管理能力成熟度級(jí)別ISAM-CML過程能力成熟度級(jí)別ISAE-CML信息系統(tǒng)平安分類平安要求基線信息系統(tǒng)使命類分類信息系統(tǒng)使命類信息特征信息和信息系統(tǒng)價(jià)值機(jī)密性完整性可用性IBBB對(duì)信息保障策略的違犯造成的負(fù)面影響和結(jié)果可以忽略。IIBMM對(duì)信息保障策略的違犯會(huì)對(duì)安全、保險(xiǎn)、金融狀況、組織機(jī)構(gòu)的基礎(chǔ)設(shè)施造成不良影響和/或小的破壞。IIIBMH對(duì)信息保障策略的違犯會(huì)產(chǎn)生一定破壞IVBHH對(duì)信息保障策略的違犯會(huì)嚴(yán)重的破壞安全、保險(xiǎn)、金融狀況、組織機(jī)構(gòu)的基礎(chǔ)設(shè)施VMHH對(duì)信息保障策略的違犯會(huì)造成異常嚴(yán)重的破壞信息系統(tǒng)威脅分類威脅級(jí)別威脅說明T1無意的或意外的事件T2被動(dòng)的、無意識(shí)的占有很少資源并且愿意冒少量風(fēng)險(xiǎn)的對(duì)手T3占有少量資源但是愿意冒很大風(fēng)險(xiǎn)的對(duì)手T4占有中等程度資源的熟練的對(duì)手,愿意冒少量風(fēng)險(xiǎn)T5占有中等程度資源的熟練的對(duì)手,愿意冒較大風(fēng)險(xiǎn)T6占有豐富程度資源的特別熟練的對(duì)手,愿意冒少量風(fēng)險(xiǎn)T7占有豐富程度資源的特別熟練的對(duì)手,愿意冒較大風(fēng)險(xiǎn)信息系統(tǒng)平安保障級(jí)信息系統(tǒng)安全保障級(jí)技術(shù)(主要安全產(chǎn)品EAL級(jí))安全保障管理能力成熟度級(jí)別安全保障過程能力成熟度級(jí)別EGISAL1EAL1EGISAM-CML1EGISAE-CML1EGISAL2EAL2EGISAM-CML1EGISAE-CML1EGISAL3EAL3EGISAM-CML2EGISAE-CML2EGISAL4EAL4EGISAM-CML3EGISAE-CML3EGISAL5EAL5EGISAM-CML3EGISAE-CML3信息系統(tǒng)平安保障

平安管理能力成熟度級(jí)別信息系統(tǒng)平安保障

平安過程能力成熟度級(jí)別中國信息平安產(chǎn)品測評(píng)認(rèn)證中心

信息系統(tǒng)平安測評(píng)認(rèn)證介紹第三局部信息系統(tǒng)平安保障測評(píng)認(rèn)證方法和實(shí)踐信息系統(tǒng)平安認(rèn)證定義:“對(duì)信息系統(tǒng)在其運(yùn)行環(huán)境中的技術(shù)和非技術(shù)環(huán)節(jié)進(jìn)行全面的分析,從而確定與其所聲稱的平安目標(biāo)和需求的符合性…〞(PP/ST)通過在系統(tǒng)生命周期過程中實(shí)施一整套結(jié)構(gòu)化的活動(dòng)來實(shí)現(xiàn)識(shí)別并降低系統(tǒng)非授權(quán)訪問、修改信息和資源拒絕效勞的風(fēng)險(xiǎn)系統(tǒng)認(rèn)可定義:“某個(gè)指定機(jī)構(gòu)根據(jù)認(rèn)證過程的結(jié)果和其他相關(guān)的考慮對(duì)信息系統(tǒng)的運(yùn)行所作出的管理決定〞在實(shí)施恰當(dāng)?shù)钠桨泊胧┖?,平衡業(yè)務(wù)需求和信息系統(tǒng)的剩余風(fēng)險(xiǎn)將信息系統(tǒng)或網(wǎng)絡(luò)平安和可靠運(yùn)行的責(zé)任指派給了某個(gè)指定的機(jī)構(gòu)信息系統(tǒng)測評(píng)認(rèn)證流程申請(qǐng)及文檔審查階段工程啟動(dòng)階段現(xiàn)場核查平安性測試綜合評(píng)估階段

現(xiàn)場檢測階段平安認(rèn)證階段

信息系統(tǒng)安全策略信息系統(tǒng)安全技術(shù)方案信息系統(tǒng)安全管理機(jī)構(gòu)及制度信息系統(tǒng)安全工程過程信息系統(tǒng)安全審計(jì)與評(píng)估提交的五類文檔:用戶申請(qǐng)書問題?系統(tǒng)平安保障方案〔ISST〕管理制度描述組織機(jī)構(gòu)描述管理制度及流程描述系統(tǒng)資產(chǎn)描述工程實(shí)施過程文檔工程實(shí)施方案平安產(chǎn)品及應(yīng)用系統(tǒng)功能及系統(tǒng)測試紀(jì)錄,選型依據(jù)實(shí)施過程的重大改進(jìn)或意外事件紀(jì)錄系統(tǒng)聯(lián)調(diào)及測試報(bào)告系統(tǒng)驗(yàn)收?qǐng)?bào)告系統(tǒng)自我風(fēng)險(xiǎn)評(píng)估文檔信息系統(tǒng)威脅分析;信息系統(tǒng)脆弱性分析;信息系統(tǒng)威脅所產(chǎn)生的后果分析;風(fēng)險(xiǎn)分析;風(fēng)險(xiǎn)處理;現(xiàn)場核查管理核查運(yùn)行核查審計(jì)核查網(wǎng)絡(luò)結(jié)構(gòu)探測;Router,Firewall,IDSOS平安測試;脆弱性掃描;口令猜解;日志檢查;滲透性測試平安性測試認(rèn)證與認(rèn)可階段提交認(rèn)證與認(rèn)可批準(zhǔn)包:申請(qǐng)方系統(tǒng)平安方案;測評(píng)認(rèn)證方

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論