信息安全國際標(biāo)準(zhǔn)PPT課件.ppt

信息安全國際標(biāo)準(zhǔn) 提綱 信息安全標(biāo)準(zhǔn)概述安全標(biāo)準(zhǔn)組織安全標(biāo)準(zhǔn)分類安全管理標(biāo)準(zhǔn) ISO17799 安全技術(shù)標(biāo)準(zhǔn)安全產(chǎn)品標(biāo)準(zhǔn) CC 安全工程標(biāo)準(zhǔn) SSE CMM 安全方法論安全資格認(rèn)證 CISSP CISA 什么是信息安全 保密性完整性可用性 CONFIDENTIALATYINTEGRITYAVAILABILITY 什么是標(biāo)準(zhǔn) 標(biāo)準(zhǔn) 標(biāo)準(zhǔn)是對重復(fù)性事物和概念所做的統(tǒng)一規(guī)定 它以科學(xué) 技術(shù)和實踐的綜合成果為基礎(chǔ) 經(jīng)有關(guān)方面協(xié)商一致 由主管部門批準(zhǔn) 以特定的方式發(fā)布 作為共同遵守的準(zhǔn)則和依據(jù) 強(qiáng)制性標(biāo)準(zhǔn) 保障人體健康 人身 財產(chǎn)安全的標(biāo)準(zhǔn)和法律 行政法規(guī)規(guī)定強(qiáng)制執(zhí)行的標(biāo)準(zhǔn) 其它標(biāo)準(zhǔn)是推薦性標(biāo)準(zhǔn) 無規(guī)矩不成方圓 無規(guī)矩不成方圓 提綱 信息安全標(biāo)準(zhǔn)概述安全標(biāo)準(zhǔn)組織安全標(biāo)準(zhǔn)分類安全管理標(biāo)準(zhǔn) ISO17799 安全技術(shù)標(biāo)準(zhǔn)安全產(chǎn)品標(biāo)準(zhǔn) CC 安全工程標(biāo)準(zhǔn) SSE CMM 安全方法論安全資格認(rèn)證 CISSP CISA 標(biāo)準(zhǔn)的來源 政府組織NIST NationalInstituteofStandardsandTechnologyNSA NationalSecurityAgencyGAO GeneralAccountingOfficeBSI BritishStandardInstitution標(biāo)準(zhǔn)化組織ISO IECJTC1SC27ANSI AmericanNationalStandardsInstitute專業(yè)組織 行業(yè)聯(lián)盟IEEEIETFW3CISSA InformationSystemsSecurityAssociationITAA InformationTechnologyAssociationOfAmerica 大學(xué) ISO 國際標(biāo)準(zhǔn)化組織 ISO是InternationalOrganizationforStandardization的簡稱國際最大的標(biāo)準(zhǔn)化組織機(jī)構(gòu)與IEC聯(lián)合成立的JTC1 SC27負(fù)責(zé)通用信息技術(shù)安全標(biāo)準(zhǔn)的制定ISO TC68負(fù)責(zé)銀行和金融服務(wù)業(yè)務(wù)應(yīng)用范圍內(nèi)信息安全標(biāo)準(zhǔn)的制定已發(fā)布的其他行業(yè)的重要標(biāo)準(zhǔn)ISO9001ISO14001 IEC 國際電工委員會 IEC是InternationalElectrotechnicalCommission的簡稱世界上最早的國際性電工標(biāo)準(zhǔn)化機(jī)構(gòu)負(fù)責(zé)有關(guān)電工 電子領(lǐng)域的國際標(biāo)準(zhǔn)化工作在信息安全技術(shù)標(biāo)準(zhǔn)化方面 同ISO聯(lián)合成立JTC1在電磁兼容EMC等方面成立技術(shù)委員會 制定相關(guān)國際標(biāo)準(zhǔn) ISO IECJTC1 SC27 JTC1 JointTechnicalCommittee1 是ISO及IEC的聯(lián)合技術(shù)委員會 SC27小組專門負(fù)責(zé)安全技術(shù)標(biāo)準(zhǔn)的制定 審核 已發(fā)布的部分標(biāo)準(zhǔn)ISO IEC18033加密機(jī)制ISO IEC9796 14888 15964數(shù)字簽名ISO IECTR13335GMITSISO IEC15408EvaluationcriteriaforITSecurityISO IEC17799CodeofPracticeforInformationSecurityManagementISO IEC21287SSE CMM NIST 國家標(biāo)準(zhǔn)技術(shù)協(xié)會 NIST是美國NationalInstituteofStandardsandTechnology的簡稱已發(fā)布的部分文獻(xiàn)FIPS FederalInformationProcessingStandardsPublications FIPSPUB140 2SecurityRequirementsforCryptographicModulesFIPSPUB180 1SecureHashStandardFIPSPUB197AdvancedEncryptionStandardSP SpecialPublications800series是關(guān)于計算機(jī)安全的文獻(xiàn) SP800 12ComputerSecurityHandbookSP800 30RiskManagementGuideforITSystemsSP800 44GuidelinesonSecuringPublicWebServers 其他組織 ANSI 美國國家標(biāo)準(zhǔn)協(xié)會80年代初開始數(shù)據(jù)加密標(biāo)準(zhǔn)化工作制定了三個通用的國家標(biāo)準(zhǔn)ANSIX 9系列財務(wù)服務(wù)安全標(biāo)準(zhǔn)ITU T 國際電訊聯(lián)盟前身是CCITT 單獨或于ISO合作開發(fā)諸如消息處理系統(tǒng) 目錄系統(tǒng) X 400系列 X 500系列 和安全框架 安全模型等標(biāo)準(zhǔn)ITU TX 509TheDirectory AuthenticationFramework 其他組織 IEEE 電氣電子工程師協(xié)會在信息安全方面主要是提出了LAN WAN安全方面的標(biāo)準(zhǔn)和公鑰密碼標(biāo)準(zhǔn)IETF Internet工程任務(wù)組主要提出Internet標(biāo)準(zhǔn)草案和成為RFC的協(xié)議文稿 內(nèi)容廣泛 也包括安全方面的建議稿 經(jīng)過網(wǎng)上討論修改 被大家廣泛接受就成了的事實上的標(biāo)準(zhǔn)標(biāo)準(zhǔn) 提綱 概述安全標(biāo)準(zhǔn)組織安全標(biāo)準(zhǔn)分類安全管理標(biāo)準(zhǔn) ISO17799 安全技術(shù)標(biāo)準(zhǔn)安全產(chǎn)品標(biāo)準(zhǔn) CC 安全工程標(biāo)準(zhǔn) SSE CMM 安全方法論安全資格認(rèn)證 CISSP CISA 安全標(biāo)準(zhǔn)的類型 提綱 概述安全標(biāo)準(zhǔn)組織安全標(biāo)準(zhǔn)分類安全管理標(biāo)準(zhǔn) ISO17799 安全技術(shù)標(biāo)準(zhǔn)安全產(chǎn)品標(biāo)準(zhǔn) CC 安全工程標(biāo)準(zhǔn) SSE CMM 安全方法論安全資格認(rèn)證 CISSP CISA 安全管理框架 OSI ISO7498 2 10181開放系統(tǒng)互連第二部分安全體系結(jié)構(gòu) 10181是7498 2的后續(xù)標(biāo)準(zhǔn) 分部分描述5類安全服務(wù)的實現(xiàn)GMITS GuidelinesfortheManagementofITSecurityISO IEC13335GuidelinesfortheManagementofITSecurity提供IT安全管理的指導(dǎo)BS7799AS NZS4444ISO IEC17799信息安全管理的即成標(biāo)準(zhǔn)提供企業(yè)開發(fā) 實施 評估有效安全建設(shè)的框架ISFSOGPInformationSecurityForum ISF 信息安全優(yōu)秀實踐標(biāo)準(zhǔn) StandardofGoodPracticeforInformationSecurity 1998 BS7799介紹 BS7799AS NZS4444ISO IEC17799信息安全管理的即成標(biāo)準(zhǔn)提供企業(yè)開發(fā) 實施 評估有效安全建設(shè)的框架BS7799包括兩部分第一部分 提供安全管理的最佳實踐 等同于ISO IEC17799 2000提供10個領(lǐng)域的127項安全措施整套的基于業(yè)界經(jīng)驗的安全性最佳實踐的指導(dǎo)第二部分ISMS規(guī)范SpecificationforISMS InformationSecurityManagementSystems 提供依據(jù)第一部分進(jìn)行內(nèi)部審計 外部認(rèn)證的流程體系 什么是ISO17799 BS7799 關(guān)注于安全管理的框架和指導(dǎo)提供了10個方面36個安全目標(biāo) 127項安全控制措施 建立了BestPractice指引 廣泛應(yīng)用于在政府 企業(yè) 金融 電信等行業(yè) 應(yīng)用最廣泛的安全標(biāo)準(zhǔn) 17799的十個方面 ISO17799的文檔結(jié)構(gòu) 分為10個領(lǐng)域的安全實踐建議分為36個子項 共127項安全控制措施安全方針 1 組織安全 3 資產(chǎn)分類與控制 2 人員安全 3 物理與環(huán)境安全 3 通信與操作安全 7 訪問控制 8 系統(tǒng)開發(fā)與維護(hù) 5 業(yè)務(wù)持續(xù)計劃 1 依從 3 安全策略 控制目標(biāo) 信息安全策略為信息安全提供管理指導(dǎo)和支持控制措施 信息安全策略文件復(fù)查和審查 組織安全 控制目標(biāo)一 信息安全基礎(chǔ)設(shè)施管理組織內(nèi)部的信息安全控制目標(biāo)二 第三方訪問安全維護(hù)被第三方訪問的基礎(chǔ)設(shè)施和信息資產(chǎn)的安全控制目標(biāo)三 外包當(dāng)IT外包給其他組織負(fù)責(zé)時 維護(hù)信息的安全 資產(chǎn)分類與控制 控制目標(biāo)一 資產(chǎn)責(zé)任保證對組織資產(chǎn)做適當(dāng)?shù)谋Ｗo(hù)控制目標(biāo)二 信息分類確保信息資產(chǎn)得到適當(dāng)級別的保護(hù) 人員安全 控制目標(biāo)一 崗位安全責(zé)任和人員錄用要求控制目標(biāo)二 用戶培訓(xùn)控制目標(biāo)三 對安全事件和故障的響應(yīng) 物理與環(huán)境安全 控制目標(biāo)一 安全區(qū)域防止非授權(quán)訪問控制目標(biāo)二 設(shè)備安全防止資產(chǎn)的丟失 破壞和損壞 防止業(yè)務(wù)活動被中斷控制目標(biāo)三 一般性控制防止危害或竊取信息及設(shè)施 通信和操作安全 控制目標(biāo)一 操作流程和責(zé)任控制目標(biāo)二 系統(tǒng)規(guī)劃和驗收控制目標(biāo)三 防范惡意軟件控制目標(biāo)四 內(nèi)務(wù)管理 備份 日志 控制目標(biāo)五 網(wǎng)絡(luò)管理控制目標(biāo)六 介質(zhì)處理及安全控制目標(biāo)七 信息和軟件的交換 訪問控制 控制目標(biāo)一 訪問控制的業(yè)務(wù)需求控制目標(biāo)二 用戶訪問管理控制目標(biāo)三 用戶責(zé)任控制目標(biāo)四 網(wǎng)絡(luò)訪問控制控制目標(biāo)五 操作系統(tǒng)訪問控制控制目標(biāo)六 應(yīng)用系統(tǒng)訪問控制控制目標(biāo)七 監(jiān)視系統(tǒng)訪問和使用控制目標(biāo)八 移動計算和通信 系統(tǒng)開發(fā)和維護(hù) 控制目標(biāo)一 系統(tǒng)的安全需求控制目標(biāo)二 應(yīng)用系統(tǒng)的安全控制目標(biāo)三 密碼控制控制目標(biāo)四 系統(tǒng)文件的安全控制目標(biāo)五 開發(fā)和支持過程的安全 業(yè)務(wù)連續(xù)性管理 控制目標(biāo) 業(yè)務(wù)連續(xù)性管理的各個方面控制措施業(yè)務(wù)連續(xù)性管理過程業(yè)務(wù)連續(xù)性和影響分析編寫并實施連續(xù)性計劃業(yè)務(wù)連續(xù)性計劃框架測試 維護(hù)和復(fù)審業(yè)務(wù)連續(xù)性計劃 符合性 控制目標(biāo)一 符合法律要求控制目標(biāo)二 對安全策略和技術(shù)的評審控制目標(biāo)三 系統(tǒng)審核的考慮 BS7799第2部分 BS7799PART2是一個規(guī)范 使用該規(guī)范對組織的信息安全管理體系進(jìn)行審核與認(rèn)證 通過使用該規(guī)范能使組織建立信息安全管理體系 ISMS 該規(guī)范提供以下內(nèi)容建立信息安全管理體系 ISMS 指導(dǎo)成功實施信息安全的關(guān)鍵因素PDCA Plan do check act 模型持續(xù)性改進(jìn)改進(jìn)安全管理評估業(yè)務(wù)變化 新技術(shù) 新威脅對安全管理流程的影響 PlanISMS的確立 DoISMS的運用 CheckISMS的監(jiān)控 ActISMS的改善 PDCA模型 什么是ISO 7498 2 信息處理系統(tǒng)開放系統(tǒng)互連基本參考模型第2部分 安全體系結(jié)構(gòu)Informationprocessingsystem OpenSystemsInterconnection BasicReferenceModel Part2 Securityarchitecture提供安全服務(wù)與有關(guān)機(jī)制的一般描述 這些服務(wù)與機(jī)制可以為GB9387 88 ISO7498 1參考模型所配備 確定在參考模型內(nèi)部可以提供這些服務(wù)與機(jī)制的位置已被接受為國標(biāo)GB T9387 2 1995 五種安全服務(wù) 認(rèn)證對等實體認(rèn)證數(shù)據(jù)原發(fā)認(rèn)證訪問控制數(shù)據(jù)機(jī)密性連接機(jī)密性無連接機(jī)密性選擇字段機(jī)密性通信業(yè)務(wù)流機(jī)密性數(shù)據(jù)完整性帶恢復(fù)的連接完整性不帶恢復(fù)的連接完整性選擇字段的連接完整性無連接完整性選擇字段無連接完整性抗抵賴有數(shù)據(jù)原發(fā)證明的抗抵賴有交付證明的抗抵賴 八種安全機(jī)制 特定的安全機(jī)制用來實現(xiàn)以上安全服務(wù)加密數(shù)字簽名機(jī)制訪問控制機(jī)制數(shù)據(jù)完整性機(jī)制認(rèn)證交換機(jī)制通信業(yè)務(wù)填充機(jī)制提供各種不同級別的保護(hù) 抵抗通信業(yè)務(wù)分析路由選擇控制機(jī)制公證機(jī)制 服務(wù)與機(jī)制的關(guān)系 服務(wù)應(yīng)用與OSI層的關(guān)系 安全管理 安全管理信息庫 SMIB 是一個概念上的集存地 存儲開放系統(tǒng)所需的與安全有關(guān)的全部信息 這一概念對信息的存儲形式與實施方式不提出要求 SMIB能有多種實現(xiàn)辦法 例如 a 數(shù)據(jù)表 b 文卷 c 嵌入實開放系統(tǒng)軟件或硬件中的數(shù)據(jù)或規(guī)則 OSI安全管理的分類 系統(tǒng)安全管理 涉及總的OSI環(huán)境安全方面的管理 例 總體安全策略的管理 與別的OSI管理功能的相互作用 與安全服務(wù)管理和安全機(jī)制管理的交互作用 事件處理管理 安全審計管理 安全恢復(fù)管理安全服務(wù)管理 涉及特定安全服務(wù)的管理 例 指定特定服務(wù)的保護(hù)目標(biāo) 指定與維護(hù)特定的安全機(jī)制 安全機(jī)制協(xié)商 本地的與遠(yuǎn)程的 調(diào)用特定的安全機(jī)制 與別的安全服務(wù)和安全機(jī)制的交互作用安全機(jī)制管理 涉及的是特定安全機(jī)制的管理 例 密鑰管理 加密管理 數(shù)字簽名管理 訪問控制管理等等OSI管理本身的安全 所有OSI管理功能和信息自身的安全 這一類安全管理將借助OSI安全服務(wù)與機(jī)制以確保OSI管理協(xié)議與信息獲得足夠的保護(hù) 作為ISO7498 2的后續(xù)標(biāo)準(zhǔn) 1988年開始建立ISO IEC10181ISO IEC10181 Securityframeworksforopensystems 有七個部分第2 6部分對應(yīng)ISO7498 2定義的5種服務(wù)Part1 概述Part2 認(rèn)證服務(wù)架構(gòu)Part3 訪問控制服務(wù)架構(gòu)Part4 防抵賴服務(wù)架構(gòu)Part5 數(shù)據(jù)保密服務(wù)架構(gòu)Part6 數(shù)據(jù)完整服務(wù)架構(gòu)Part7 安全審計 報警架構(gòu) ISO IEC10181 什么是ISO13335 ISO IEC13335 即IT安全管理指南 GuidelinesfortheManagementofITSecurity GMITS 是由ISO IECJTC制定的技術(shù)報告ISO IEC13335是一個信息安全管理方面的指導(dǎo)性標(biāo)準(zhǔn)其目的是為有效實施IT安全管理提供建議 ISO13335 GMITS 的內(nèi)容 13335 1 IT安全概念和模型包含了對IT安全和安全管理中一些基本概念和模型的解釋13335 2 IT安全計劃和管理建議性地介紹了IT安全管理和計劃的方式和要點13335 3 IT安全管理技術(shù)描述了風(fēng)險管理技術(shù) IT安全計劃的開發(fā) 實施和測試還包括策略審查 事件分析 IT安全教育等后續(xù)內(nèi)容 13335 4 安全措施的選擇描述了針對一個組織特定環(huán)境和安全需求可以選擇的安全措施 不僅僅是技術(shù)性措施13335 5 網(wǎng)絡(luò)安全的管理指導(dǎo)提供了關(guān)于網(wǎng)絡(luò)和通信安全管理的指導(dǎo)性內(nèi)容 該指南為識別和分析建立網(wǎng)絡(luò)安全需求時需要考慮的通信相關(guān)因素提供支持 也包括對可能的安全措施方面的簡要介紹 ISO13335vs BS7799 與BS7799相比 ISO IEC13335只是一個技術(shù)報告和指導(dǎo)性文件 并不是可依據(jù)的認(rèn)證標(biāo)準(zhǔn)也不像BS7799那樣給出一個全面而完整的信息安全管理框架但13335在信息安全尤其是IT安全的某些具體環(huán)節(jié)切入較深 對實際的工作具有較好的指導(dǎo)價值 從可實施性上來說要比BS7799好些另外13335對安全計劃 安全策略 控制措施選擇的內(nèi)容的闡述要比BS7799具體很多總之 作為一個框架 總體要求和目標(biāo)選擇 BS7799是我們信息安全管理體系建設(shè)過程中要貫徹的指導(dǎo)方針 而這期間的一些具體的活動則可以參考13335 比如風(fēng)險評估 提綱 概述安全標(biāo)準(zhǔn)組織安全標(biāo)準(zhǔn)分類安全管理標(biāo)準(zhǔn) ISO17799 安全技術(shù)標(biāo)準(zhǔn)安全產(chǎn)品標(biāo)準(zhǔn) CC 安全工程標(biāo)準(zhǔn) SSE CMM 安全方法論安全資格認(rèn)證 CISSP CISA 安全技術(shù)標(biāo)準(zhǔn) ApplicationProtocols SSL S HTTP NetworkProtocols IPSec Cryptography RSA DSA ECC DES AES SHA 1 PKCSVulnerabilityCVE Authentication Kerberos RADIUS SAML Messaging S MIME OpenPGP PEM XMLDSIG XMLENC ApplicationSecurity CORBASecurity WS Security 提綱 概述安全標(biāo)準(zhǔn)組織安全標(biāo)準(zhǔn)分類安全管理標(biāo)準(zhǔn) ISO17799 安全技術(shù)標(biāo)準(zhǔn)安全產(chǎn)品標(biāo)準(zhǔn) CC 安全工程標(biāo)準(zhǔn) SSE CMM 安全方法論安全資格認(rèn)證 CISSP CISA 產(chǎn)品安全性保證標(biāo)準(zhǔn) CommonCriteria CC ISO IEC15408EvaluationcriteriaforITSecurity 針對產(chǎn)品或組件的保證標(biāo)準(zhǔn)e g Firewalls IDS OS 定義了7個EvaluationAssuranceLevels EAL 一級最低 七級最高1996年國際上的六個國家 美 加 英 法 德 荷 聯(lián)合提出了信息技術(shù)安全評價的通用準(zhǔn)則 CC CC的基礎(chǔ)是歐州的ITSEC 美國的包括TCSEC在內(nèi)的新的聯(lián)邦評價標(biāo)準(zhǔn) 加拿大的CTCPEC 以及國際標(biāo)準(zhǔn)化組織ISO SC27WG3的安全評價標(biāo)準(zhǔn) TrustedComputerSystemEvaluationCriteria TCSEC TheOrangeBook分為D C1 C2 B1 B2 B3 A1七個等級C2 部分OS有 VMS IBMOS 400 WindowsNT NovellNetWare4 11 Oracle7 DGAOS VSII B1 部分OS有 HP UXBLS CrayResearchTrustedUnicos8 0 DigitalSEVMS HarrisCS SX SGITrustedIRIX B2 部分OS有 HoneywellMultics CryptekVSLAN TrustedXENIXB3 僅有的OS Getronics WangFederalXTS 300A1 BoeingMLSLAN GeminiTrustedNetworkProcessor HoneywellSCOMP FIPSPUB140 2 Cryptographic模塊的安全要求標(biāo)準(zhǔn) 定義了4個等級 美國TCSEC 1970年由美國國防部提出 1985年公布 主要為軍用標(biāo)準(zhǔn) 延用至民用 安全級別從高到低分為A B C D四級 級下再分小級 彩虹系列桔皮書 可信計算機(jī)系統(tǒng)評估準(zhǔn)則黃皮書 桔皮書的應(yīng)用指南紅皮書 可信網(wǎng)絡(luò)解釋紫皮書 可信數(shù)據(jù)庫解釋 美國TCSEC CC標(biāo)準(zhǔn)的發(fā)展歷程 CC驅(qū)動因素 CC要實現(xiàn)的目標(biāo) 成為統(tǒng)一的國際 通用 IT產(chǎn)品和系統(tǒng)安全標(biāo)準(zhǔn)目前 CC已經(jīng)成為ISO國際標(biāo)準(zhǔn) 15408 在不同國家間達(dá)成協(xié)議 相互承認(rèn)產(chǎn)品評估為開發(fā)者拓展國際舞臺改善IT安全產(chǎn)品在全世界的可用性 CC的目標(biāo)讀者 消費者 具有IT安全功能的產(chǎn)品購買指南 產(chǎn)品開發(fā)者和集成商 具有IT安全功能的產(chǎn)品的開發(fā)基礎(chǔ) 評估員 IT安全產(chǎn)品的評估基礎(chǔ) 審核員 認(rèn)證人員 授權(quán)人員 對他們的特定應(yīng)用給予支持 CC的內(nèi)容組織 CC定義了兩類安全需求 CC的關(guān)鍵概念 評估目標(biāo) TOE IT產(chǎn)品或系統(tǒng)及其相關(guān)的管理指南和用戶指南等文檔 是評估的對象保護(hù)輪廓 ProtectProfilePP 滿足特定消費者需求的 獨立于實現(xiàn)的 關(guān)于某一類TOE的一組安全要求 用戶提出要求 安全目標(biāo) SecurityTargetST 依賴于實現(xiàn)的一組安全要求和說明 作為指定TOE的評估基礎(chǔ) 開發(fā)者給出 用戶借助PP定義需求 廠商使用ST對用戶需求做出響應(yīng) PP ST和TOE之間的關(guān)系 評估保證等級 CC總體結(jié)構(gòu) 安全產(chǎn)品評估框架模型 CCvs BS7799 都是認(rèn)證標(biāo)準(zhǔn) 但是對象不同 CC評估的對象是系統(tǒng)和產(chǎn)品 而7799關(guān)注的信息安全管理在依照BS7799標(biāo)準(zhǔn)來實施ISMS時 一些涉及系統(tǒng)和產(chǎn)品安全的技術(shù)要求 可以參考CC 提綱 概述安全標(biāo)準(zhǔn)組織安全標(biāo)準(zhǔn)分類安全管理標(biāo)準(zhǔn) ISO17799 安全技術(shù)標(biāo)準(zhǔn)安全產(chǎn)品標(biāo)準(zhǔn) CC 安全工程標(biāo)準(zhǔn) SSE CMM 安全方法論安全資格認(rèn)證 CISSP CISA 什么是SSE CMM SSE CMM是系統(tǒng)安全工程能力成熟模型 SystemsSecurityEngineeringCapabilityMaturityModel 的縮寫 它描述了一個組織的安全工程過程必須包含的本質(zhì)特征 這些特征是完善的安全工程保證 為安全工程的應(yīng)用提供了一個衡量和改進(jìn)的途徑現(xiàn)代統(tǒng)計過程控制理論表明通過強(qiáng)調(diào)生產(chǎn)過程的高質(zhì)量和在過程中組織實施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品SSE CMM項目的目標(biāo)是促進(jìn)安全工程成為一個確定的 成熟的和可度量的科目SSE CMM項目進(jìn)展來自于安全工程業(yè)界 美國國防部和加拿大通訊安全機(jī)構(gòu)積極參與和共同的投入 1995成立項目組 1996SSE CMMv1正式發(fā)布 1997SSE CMM評定方法發(fā)布 1999SSE CMMv2發(fā)布 2002ISO IEC21827 2003SSE CMMv3發(fā)布 SSE CMM模型結(jié)構(gòu) 二維結(jié)構(gòu) Domain CapabilityDomain包含安全工程中的實踐領(lǐng)域 分為3個主要的Process類 22個PA 130多項BPCapability表示過程管理 衡量及制度化的能力 共分為5級 下面細(xì)分為12個CommonFeatures 以及近30個GenericPractices 5級成熟能力 系統(tǒng)安全工程過程 風(fēng)險過程 工程過程 保證過程 SSE CMM與ISO17799的內(nèi)容比較 提綱 概述安全標(biāo)準(zhǔn)組織安全標(biāo)準(zhǔn)分類安全管理標(biāo)準(zhǔn) ISO17799 安全技術(shù)標(biāo)準(zhǔn)安全產(chǎn)品標(biāo)準(zhǔn) CC 安全工程標(biāo)準(zhǔn) SSE CMM 安全方法論安全資格認(rèn)證 CISSP CISA 安全方法論 AS NZS4360澳洲 新西蘭風(fēng)險管理標(biāo)準(zhǔn)提供建立 實施風(fēng)險管理過程的指導(dǎo)NISTSP800 30RiskManagementGuideforITSystems建立 實施風(fēng)險管理過程的指導(dǎo)OCTAVEOperationallyCriticalThreat Asset andVulnerabilityEvaluation由CMU SEI CarnegieMellonUniversity SoftwareEngineeringInstitute 建立的風(fēng)險評估方法論 提綱 概述安全標(biāo)準(zhǔn)組織安全標(biāo)準(zhǔn)分類安全管理標(biāo)準(zhǔn) ISO17799 安全技術(shù)標(biāo)準(zhǔn)安全產(chǎn)品標(biāo)準(zhǔn) CC 安全工程標(biāo)準(zhǔn) SSE CMM 安全方法論安全資格認(rèn)證 CISSP CISA 安全資格認(rèn)證標(biāo)準(zhǔn) CISSP CertifiedInformationSystemsSecurityProfessional CISSP 由美國 ISC 2進(jìn)行認(rèn)證管理 十個CommonBodyofKnowledge CBK 訪問控制AccessControlSystems Methodology 應(yīng)用開發(fā)Applications SystemsDevelopment 業(yè)務(wù)持續(xù)性BusinessContinuityPlanning 加密Cryptography 法律 道德 調(diào)查Law Investigation Ethics 操作安全OperationsSecurity 物理安全PhysicalSecurity 安全架構(gòu)及模型SecurityArchitecture Models 安全管理實踐SecurityManagementPractices 網(wǎng)絡(luò)安全Telecommunications Network InternetSecurity ISC 2 InternationalInformationSystemsSecurityCertificationsConsortium 安全資格認(rèn)證標(biāo)準(zhǔn) CISA CertifiedInformationSystemsAuditor CISA 由ISACA管理認(rèn)證依據(jù)ControlObjectivesforInformationandrelatedTechnologies CobiT 考試包括7個內(nèi)容 IS計劃 管理和組織Management Planning OrganizationofIS 技術(shù)結(jié)構(gòu)及操作實踐TechnicalInfrastructure OperationalPractices 信息資產(chǎn)保護(hù)ProtectionofInformationAssets 災(zāi)難恢復(fù)及業(yè)務(wù)持續(xù)DisasterRecovery BusinessContinuity 系統(tǒng)開發(fā) 實施 管理BusinessApplicationSystemDevelopment Acquisition Implementation Maintenance 商業(yè)過程評估及風(fēng)險管理BusinessProcessEvaluation RiskManagement IS審計ISAuditProcess ISACA InformationSystemsAuditandControlAssociation 安全資格認(rèn)證標(biāo)準(zhǔn) CISM CertifiedInformationSecurityManager CISM 由ISACA管理認(rèn)證 面向安全管理人員 比CISSP CISA更早的認(rèn)證 包含5項內(nèi)容信息安全管轄InformationSecurityGovernance風(fēng)險管理RiskManagement 信息安全程序管理InformationSecurityProgrammeManagement 信息安全管理InformationSecurityManagement 安全響應(yīng)管理ResponseManagement ISACA InformationSystemsAuditandControlAssociation