13
安全要素

Assets（资产） Threats（威胁） Vulnerabilities（脆弱性） Impact（影响） Risk（风险） Safeguards（防护措施） Residual Risk（残余风险） Constraints（限制条件）
14
风险管理关系模型
公司安全 目标—战略—策略
公司财务 目标—战略—策略
公司IT安全 目标—战略—策略
公司人员安全 目标—战略—策略
IT系统安全-1 目标—战略—策略
……
IT系统安全-N 目标—战略—策略
12
信息安全主题

ISO/IEC TR 13335-1给出了IT安全6个方面 的含义：

Confidentiality（保密性） Integrity（完整性） Availability（可用性） Accountability（可记账性） Authenticity（确实性） Reliability（可靠性）
8
ISO/IEC TR 13335
ISO/IEC13351:1996
IT安全概 念和模型
ISO/IEC13355:2001 ISO/IEC13352:1997
网络安全 管理指南ISO/IEC13335系列
IT安全管 理和规划
ISO/IEC13354:2000
ISO/IEC13353:1998
选择安全 措施
9
9
IT安全管 理技术
ISO/IEC TR 13335




第一部分：IT安全概念和模型 （Part 1—Concepts and Models for IT Security ），发布于1996年12月15日 第二部分：IT安全管理和规划 （Part 2—Managing and Planning IT Security），发布于1997年12月15日 第三部分：IT安全管理技术（Part 3—Techniques for the Management of IT Security），发布于1998年6月15日 第四部分：选择控制措施 （Part 4—Selection of Safeguards）， 发布于2000年3月1日 第五部分：网络安全管理指南（Part 5—Management Guidance on Network Security），发布于2001年1月2日 其中第一部分分别于1997年和2004年发布了更新版本
BS 7799-1:1999 BS 7799-2:1999
ISO/IEC
2000.12 2002 2005
ISO 17799
BS7799 Part 2 version C
ISO 17799-2005
ISO 27001-2005
2007
23
ISO 27002-2007
ISO 27000标准族的体系
概述和词汇
(指导如何进行安全管理实践)
– ISO27001:2005 （BS7799-2:2002）
Information security management systems –Requirements 信息安全管理体系要求
(建立的信息安全管理体系必须符合的要求)
25
ISO 27001/ISO 27002
27000：ISMS基础和词汇


主要以ISO/IEC 13335-1:2004《信息和 通信技术安全管理第1部分：信息和通 信技术安全管理的概念和模型》为基础 进行研究 将规定27000系列标准所共用的基本原 则、概念和词汇
27
27001：信息安全管理体系要求




2005年10月15日发布 规定了一个组织建立、实施、运行、监视、评 审、保持、改进信息安全管理体系的要求 基于风险管理的思想，旨在通过持续改进的过 程（PDCA模型）使组织达到有效的信息安全 使用了和ISO 9001、ISO 14001相同的管理体 系过程模型 是一个用于认证和审核的标准
ISO 7498-2
X.800 1997
ISO 15408 2000 1999
ISO 13335-1:2004
ISO 17799:2005
1989
1991
2004 ISO 17799:2000
2005
ISO TR 13335-2:1997 定义获取和维护保 密性、完整性、可 用性、可核查性、 真实性和可靠性。

适合所有负责IT安全的管理和/或实施人员
19
ISO/IEC TR 13335-4

为选择防护措施提供指南

如何形成组织范围基线安全手册

适用于为IT系统选择防护措施时
20
ISO/IEC TR 13335-5


指导如何识别和分析建立网络安全要求时 要考虑的通讯相关要素 为潜在的防护措施领域提供指导
29
ISO/IEC 27001 内容框架
引言
总则 过程方法 与其他管理体系的兼容性
5
管理职责
5.1 管理承诺 5.2 资源管理 5.2.1 资源提供 5.2.2 培训、意识和能力
1
范围
1.1 总则 1.2 应用 Nhomakorabea6 7
ISMS内部审核 ISMS的管理评审
7.1 总则 7.2 评审输入 7.3 评审输出
信息安全管理标准
ISO/IEC 27001:2005 GB/T 22080-2008 信息安全管理体系要求
ISO/IEC 27002：2007 GB/T 22081-2008 信息安全管理实施细则

管理体系构架 明确控制要求 用于体系认证
26
各类安全控制手段实施指南 包括管理制度要求 建立管理体系的参考 不用于认证
国际重要信息安全标准
大纲要求

考察是否了解ISO/IEC TR 13335、ISO/IEC 17799、ISO/IEC 27001等指导风险评估工 作的国际标准
2
信息安全与安全标准
目录
ISO/IEC TR 13335 ISO/IEC 27000系列 国际其他重要信息安全标准
3
“安全”与标准
“安全” 是指将 资产或资源的脆弱 性降到最低限度。 当对信息进行正确的控制以确保它能 防止冒险,诸如不必要的或无保证的传 播、更改或遗失,IT产品和系统应执行 它们的功能. “IT安全”用于概括防御 和缓解这些及类似的冒险。 信息安全－保证信息的保 密性，完整性，可用性； 另外也可包括诸如真实性， 可核查性，不可否认性和 可靠性等特性.
威胁
利用
脆弱性
抗击
增加
增加
暴露
防护措施
减小
风险
增加
增加
资产
具有
满足
提出
安全要求
价值影响
15
IT安全管理
风险管理 业务连续性计划 变更管理 配置管理 监 视 安全意识 防护措施的选择 风险分析
16
如何使用13335

ISO/IEC TR 13335-1：


描述在IT安全管理领域内的各种主题，并提供 一个对基本IT安全概念和模型的简单介绍 适合最组织信息安全负有责任的高层管理者 基于第1部分中阐述的概念和模型 提供更为丰富的信息和资料 适合直接负责实施和监视IT安全的人员
IS治理框 27005 架
ISMS审核指南
27014
E-GOV服务ISM 指南
应用
27011
24
27015
ISO 27001/ISO 27002
– ISO27002:2007（BS7799-1:1999）
Code of Practice for Information Security Management 信息安全管理实用规则


“IT 安全管理指南”（Guidelines for theManagement of IT Security，GMITS） 新版称作“信息和通信技术安全管理” （ Management of Information and Communications Technology Security，MICTS）
Cobit
COSO
ITIL
5
企业合规与遵循框架
27号文 147号令 等级保护 SOX法案 …… COSO-ERM COBIT ISO 27000系列 框架标准 ISO 13335系列 等级保护标准 信息安全国标 …… 组织人员 业务应用 主机和系统 网络区域 IT基础设施 物理环境 企业IT相关资源或元素 自身现状及特点
6
政策法规 ITIL 策略制度 实践指南 ISO 27002 风险评估规范 风险管理指南
信息安全与安全标准
目录
ISO/IEC TR 13335 ISO/IEC 27000系列 国际其他重要信息安全标准
7
ISO/IEC TR 13335

ISO/IEC TR 13335是由ISO/IEC JTC1制定的 技术报告，是一个信息安全管理方面的指 导性标准，其目的是为有效实施IT安全管理 提供建议和支持
17

第2、3、4、5部分：

ISO/IEC TR 13335-2


介绍与IT安全管理和规划相关的各种活动， 以及组织内的相关角色和职责 适合负责IT系统的获得、设计、实施或运行 的管理人员
18
ISO/IEC TR 13335-3

介绍并推荐用于成功实施IT安全管理的技术

用于评估安全要求和风险 有助于建立并保持适宜的安全防护措施
词汇 要求
ISMS要求 ISMS实用 规则 ISMS控制 审核指南
27000