收藏
下载资源 加入VIP免费专享

信息安全体系整理.docx

上传人:小飞机 文档编号:5012472 上传时间:2023-05-29 格式:DOCX 页数:24 大小:207.34KB
返回 下载 相关 举报
信息安全体系整理.docx_第1页
第1页 / 共24页
信息安全体系整理.docx_第2页
第2页 / 共24页
信息安全体系整理.docx_第3页
第3页 / 共24页
信息安全体系整理.docx_第4页
第4页 / 共24页
信息安全体系整理.docx_第5页
第5页 / 共24页
亲,该文档总共24页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《信息安全体系整理.docx》由会员分享,可在线阅读,更多相关《信息安全体系整理.docx(24页珍藏版)》请在三一办公上搜索。

1、一、总论1.什么是信息安全管理,为什么需要信息安全管理?信息安全管理是组织为实现信息安全目标而进行的管理活动,是组织完整的管理体系中 的一个重要组成部分,是为保护信息资产安全,指导和控制组织的关于信息安全风险的相 互协调的活动。信息安全管理是通过维护信息的机密性、完整性和可用性等,来管理和保 护组织所有信息资产的一系列活动。信息、信息处理过程及对信息起支持作用的信息系统和信息网络都是重要的商务资产。信 息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象 都是至关重要的。由于信息具有易传输、易扩散、易破损的特点,信息资产比传统资产更 加脆弱,更易受到损害,信息及信息系

2、统需要严格管理和妥善保护。2, 系统列举常用的信息安全技术?密码技术、访问控制和鉴权;物理安全技术:环境安全、设备安全、人员安全;网络安全 技术:防火墙、VPN、入侵检测/入侵防御、安全网关;容灾与数据备份3. 信息安全管理的主要内容有哪些?信息安全需求是信息安全的出发点,它包括机密性需求、完整性需求、可用性需求、抗抵 赖性、真实性需求、可控性需求和可靠性需求等。信息安全管理范围是由信息系统安全需 求决定的具体信息安全控制点,对这些实施适当的控制措施可确保组织相应环节的信息安 全,从而确保组织整体的信息安全水平。信息安全控制措施是指为改善具体信息安全问题 而设置技术或管理手段,信息安全控制措施

3、是信息安全管理的基础。4. 什么是信息安全保障体系,它包含哪些内容?(见一、3图)5. 信息安全法规对信息安全管理工作意义如何?法律法规是组织从事各种政务、商务活动所处社会环境的重要组成部分,它能为信息安全提供制度保障。信息安全法律法规的保障作用至少包含以下三方面:1. 为人们从事在信息安全方面从事各种活动提供规范性指导2. 能够预防信息安全事件的发生3. 保障信息安全活动参与各方的合法权益,为人们追求合法权益提供了依据和手段二信息安全风险评估1. 什么是信息安全风险评估?它由哪些基本步骤组成?信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输 和存储的信息的机密性

4、、完整性和可用性等安全属性进行评价的过程。风险评估可分为四个阶段,第一阶段为风险评估准备;第二阶段为风险识别,第三阶段为风险评价,第四阶段为风险处理。2. 信息资产可以分为哪几类?请分别举出一两个例子说明。根据ISO/IEC 13335-1,资产是指任何对组织有价值的东西,资产包括:物理资产、信息/数据、软件、提供产品和服务的能力(注:供应能力)、人员、无形资产(商标等)。3. 威胁源有哪些?其常见表现形式分别是什么?1威胁源1常见表现形式自然威胁地震、飓风、火山、洪水、海啸、泥石流、暴风雪、雪崩、.省电、其他灭关、战争童天度枯、慈幅主叉、供电故障、供水教匿、其环境威胁他公共设施中断、危险物质

5、泄漏、重大事故(如交通工旦碰撞 等)、污染、温度或湿度、其他系统威胁网璧故障、硬件故障、软件故障、恶意代码、存储介质的老化、1网络窃听、拒鲍服务攻击、用户身份仿冒、系统入侵、盗窃、物理外部人员破坏、信息篡改、泄密、抵赖、其他-未经授权信息发布、未经授枚的信息读写、抵赖、电子攻击r如利内部人员用系统漏洞提升权限)、物理破坏系统或存储介质损坏)、盗窃、越权或滥担、误操作4. 请解释以下名词:(1) 资产;资产是指任何对组织有价值的东西(二、2 )(2 )威胁;威胁是可能对资产或组织造成损害的潜在原因。(3) 脆弱点;脆弱点是一个或一组资产所具有的,可能被威胁利用对资产造成损害的薄弱环节。(4) 风

6、险;信息安全风险是指威胁利用利用一个或一组资产的脆弱点导致组织受损的潜在,并以威胁利用脆弱点造成的一系列不期望发生的事件(或称为安全事件)来体现(5) 影响。影响是威胁利用资产的脆弱点导致不期望发生事件的后果。这些后果可能表现为直接形式5. 风险评估方法分为哪几种?其优缺点分别是什么?常见的风险评估方法有三种:基线风险评估方法详细风险评估方法综合风险评估方法基线评估的优点是:(1) 风险分析和每个防护措施的实施管理只需要最少数量的资源,并且在选择防护措施时花费更少的时间和努力;(2) 如果组织的大量系统都在普通环境下运行并且如果安全需要类似,那么很多系统都可 以采用相同或相似的基线防护措施而不

7、需要太多的努力。基线评估的的缺点是:基线水平难以设置(2)风险评估不全面、不透彻,且不易处理变 更。详细评估的优点是:(1)有可能为所有系统识别出适当的安全措施;(2)详细分析的结果可用于安全变更管 理。 详细评估的缺点:需要更多的时间、努力和专业知识。综合评估方法将基线和详细风险评估的优势结合起来,既节省了评估所耗费的资源,又能 确保获得一个全面系统的评估结果,而且,组织的资源和资金能够应用到最能发挥作用的 地方,具有高风险的信息系统能够被预先关注。综合评估也有缺点:如果初步的高级风险 分析不够准确,某些本来需要详细评估的系统也许会被忽略,最终导致某些严重的风险未 被发现。6. 请写出风险计

8、算公式,并解释其中各项所代表的含义。风险可形式化的表示为R=(A,T,V),其中R表示风险、A表示资产、T表示威胁、V表示脆弱 点。相应的风险值由A、T、V的取值决定,是它们的函数,可以表示为:VR=R(A,T,V) = R(L(A,T,V), F(A,T,V)其中,L(A,T,V)、F(A,T,V)分别表示对应安全事件发生的可能性及影响,它们也都是资产、威胁、脆弱点的函数,但其表达式很难给出。而风险则可表示为可能性L和影响F的函 数,简单的处理就是将安全事件发生的可能性L与安全事件的影响F相乘得到风险值,实际 就是平均损失,即VR=L(A,T,V)xF(A,T,V)7. 风险评估文件由哪些主

9、要文档组成?风险评估文件包括在整个风险评估过程中产生的评估过程文档和评估结果文档,这些文档包括:风险评估计划(2)风险评估程序 (3)资产识别清单(4)重要资产清单(5)威胁列表(6)脆弱点列表(7)已有安全措施确认表(8)风险评估报告(9)风险处理计划(10)风险评估记录8. 常用的综合评价方法有哪些,试进行比较。常用的综合评价方法有综合指数法、功效评分法、TOPSIS法、层次分析法、主成份分析 法、聚类分析法等。(1) 综合指数法是多指标系统的一种评价方法。综合指数法通过计算各评价对象对每个指标 折算指数值来实现不同指标值的无量纲化,并通过加权平均方法计算综合指数值,(2) 功效评分法通过

10、功效系数来实现不同指标的无量纲化,然后在利用其他方法来确定功 效权值,如均权法、层次分析法、离差权法等。(3) TOPSIS法是通过检测评价对象与最优解、最劣解的距离来进行排序,若评价对象最靠 近最优解同时又最远离最劣解,则为最好;否则不为最优。(4) 层次分析法是将决策问题的有关元素分解成目标、准则、方案等层次,在此基础上进行定量和定性分析的一种决策方法。层次分析法的决策过程如下:a) 分析各影响因素间的关系,建立层次模型b) 构建两两比较判断矩阵c) 计算单个判断矩阵对应的权重向量d) 计算各层元素对目标层的合成权重向量(5) 主成分分析是一种多元统计分析方法,对于多指标的复杂评价系统,由

11、于指标多,数 据处理相当复杂,由于指标之间存在一定的关系,可以适当简化。主成分分析的思想是通 过一定的变换,用较少的指标来代替原先较多的指标,从而达到简化问题的处理与分析的 目的。(6) 聚类分析法是解决物以类聚,解决事务分类的一种数学方法。它是在没有或不用样 品所述类别信息的情况下,依据对样品采集的数据的内在结构以及相互间的关系,在样品 间相似性度量的基础上,对样品进行分类的一种方法。9. 常用的定性与定量的风险分析方法有哪些?各有什么特点?定量方法试图用具体的货币表示形式的损失值来分析和度量风险,定量方法主要有基于期 望损失的风险评估方法与基于期望损失效用的风险评估方法等基于期望损失的风险

12、评估方法以期望损失作为风险大小的度量标准基于期望损失效用的风险评估方法好处就是能够更好的区分高损失、低可能性”及低损 失、高可能性”两种不同安全事件的风险.定性方法不是给出具体的货币形式的损失,而是用诸如极为严重、严重、一般、可忽略” 等定性方法来度量风险。定性方法一般基于一定的定量方法,在定量方法的基础上进行裁 剪和简化。典型的定性风险分析与评价方法有风险矩阵测量、威胁分级法、风险综合评价 等。1 .风险矩阵测量这种方法的特点是事先建立资产价值、威胁等级和脆弱点等级的一个对应矩阵,预先将风 险等级进行了确定。然后根据不同资产的赋值从矩阵中确定不同的风险。2. 威胁分级法这种方法是直接考虑威胁

13、、威胁导致的安全事件对资产产生的影响以及威胁导致安全事件 发生的可能性来确定风险。3. 风险综合评价这种方法中风险由威胁导致的安全事件发生的可能性、对资产的影响程度以及已经存在的 控制措施三个方面来确定。与风险矩阵法和威胁分级法不同,本方法将控制措施的采用引 入风险的评价之中。三、网络无习题四、物理安全1. 为了保证信息系统安全,应当从哪些方面来保证环境条件应当从机房安全,安全区域来保证环境条件防盗、防毁、防电磁泄漏、加强设备的安全管理和规范存储媒介的使用是设备安全防护的 基本要求;为防止未经授权的访问,预防对信息系统基础设施(设备)和业务信息的破坏 与干扰,应当对信息系统所处的环境进行区域划

14、分,并把关键的和敏感的业务信息处理设 施放置在安全区域,同时要对放置信息系统的空间进行细致周密的规划,并从温度和湿 度、空气含尘度、噪声、电磁干扰、供电等方面来保证环境条件。2. 移动存储介质的安全隐患有哪些?如体积小、易丢失;摆渡”技术的威胁;信息失效;公私混用;病毒危害;管理困难等3. 电磁泄漏的技术途径有哪些?计算机电磁泄漏信息泄露主要有两种途径:一是被处理的信息会通过计算机内部产生的电 磁波向空中发射,称为辐射发射(见图4-1 );二是这种含有信息的电磁波也可以通过计 算机内部产生的电磁波向空中发射,称为传导发射抑制计算机中信息泄露的技术途径有两种:一是电子隐蔽技术,二是物理抑制技术4

15、. 信息系统的记录按其重要性和机密程度可以分为哪几类?一类记录关键性记录这类记录对设备的功能来说是最重要的、不可替换的,是火灾或其它灾害后立即需要,但 又不能再复制的那些记录。二类记录重要记录这类记录对设备的功能来说很重要,可以在不影响系统最主要功能的情况下进行复制。但 比较困难和昂贵。三类记录有用记录这类记录的丢失可能引起极大的不便,但可以很快复制。四类记录不重要记录5. 简述计算机机房安全等级的划分。A类:对计算机机房的安全有严格的要求,有完善的计算机机房安全措施。该类机房放置 需要最高安全性和可靠性的系统和设备。B类:对计算机机房的安全有较严格的要求,有较完善的计算机机房安全措施。它的安

16、全 性介于A类和C类之间。C类:对计算机机房的安全有基本的要求,有基本的计算机机房安全措施。该类机房存放 只需要最低限度的安全性和可靠性的一般性系统。6. 信息安全人员的审查应当从哪几个方面进行?审查范围:人员安全意识、法律意识和安全技能等。人员审查标准:1、人员审查必须根据信息系统所规定的安全等级确定审查标准2、 信息系统的关键岗位人选,如安全负责人、安全管理员、系统管理员和保密员等,必须 经过严格的政审并要考核其业务能力。3、 因岗挑选人,制定选人方案。遵循先测评、后上岗;先试用、后聘用”原则。4、所有人员都应遵循最小特权”原则,并承担保密义务和相关责任。7. 人员安全管理的基本原则是什么

17、?人员管理的三个基本原则为:1.多人负责原则;2.任期有限原则;3、职责分离原则。8. 职员授权管理的主要内容有哪些?职员授权管理主要涉及职员定岗、用户管理及承包人或公众访问系统时需要考虑的特殊因 素五、信息系统安全审计1. 什么是信息安全审计,它主要有哪些方面的功能?安全审计是对信息系统的各种事件及行为实行监测、信息采集、分析并针对特定事件及行 为采取相应响应动作。网络安全审计是指对与网络安全有关的活动的相关信息进行识别、 记录、存储和分析,并检查网络上发生了哪些与安全有关的活动以及谁对这个活动负责。信息安全审计的有多方面的作用与功能,包括取证、威慑、发现系统漏洞、发现系统运行 异常等。(1

18、) 取证:利用审计工具,监视和记录系统的活动情况。(2) 威慑:通过审计跟踪,并配合相应的责任追究机制,对外部的入侵者以及内部人员的恶 意行为具有威慑和警告作用。(3) 发现系统漏洞:安全审计为系统管理员提供有价值的系统使用日志,从而帮助系统管理 员及时发现系统入侵行为或潜在的系统漏洞。(4) 发现系统运行异常:通过安全审计,为系统管理员提供系统运行的统计日志,管理员可根据日志数据库记录的 日志数据,分析网络或系统的安全性,输出安全性分析报告,因而能够及时发现系统的异 常行为,并采取相应的处理措施。2. CC在安全审计方面有哪些要求?我国国标GB17859又有什么要求?CC是美国、加拿大、英国

19、、法国、德国、荷兰等国家联合提出的信息安全评价标准,在 1999年通过国际标准化组织认可,成为信息安全评价国际标准。CC标准基于安全功能与 安全保证措施相独立的观念,在组织上分为基本概念、安全功能需求和安全保证需求三大 部分。CC中,安全需求都以类、族、组件的层次结构形式进行定义.我国的信息安全国家标准GB 17859-1999计算机信息系统安全保护等级划分准则定义了 五个安全等级,从第二级系统审计保护级”开始有了对审计的要求,它规定计算机信息系 统可信计算基(TCB )可以记录以下事件:使用身份鉴别机制;将客体引入用户地址空间 (例如:打开文件、程序初始化);删除客体;由操作员、系统管理员或

20、(和)系统安全 管理员实施的动作,以及其它与系统安全相关的事件。第三级安全标记保护级”在第二级 的基础上,要求对于客体的增加和删除这类事件要在审计记录中增加对客体安全标记的记 录。另外,TCB也要审计对可读输出记号(如输出文件的安全标记)的更改这类事件。第 四级结构化保护级”的审计功能要求与第三级相比,增加了对可能利用存储型隐蔽通道的 事件进行审计的要求。第五级访问验证保护级”在第四级的基础上,要求TCB能够监控可 审计安全事件的发生与积累,当(这类事件的发生或积累)超过预定阈值时,TCB能够立 即向安全管理员发出警报。并且,如果这些事件继续发生,系统应以最小的代价终止它 们。3. 试比较集中

21、式安全审计与分布式安全审计两种结构。按照审计的工作方式,安全审计可分为集中式安全审计和分布式安全审计。集中式体系结构采用集中的方法,收集并分析数据源,所有的数据都要交给中央处理机进 行审计处理。中央处理机承担数据管理引擎及安全审计引擎的工作,而部署在各受监视系 统上的外围设备只是简单的数据采集设备,承担事件检测及数据采集引擎的作用。随着分布式网络技术的广泛应用,集中式的审计体系结构越来越显示出其缺陷,主要表现 在:(1) 由于事件信息的分析全部由中央处理机承担,势必造成CPU、I/O以及网络通信的负 担,而且中心计算机往往容易发生单点故障(如针对中心分析系统的攻击)。另外,对现 有的系统进行用

22、户的增容(如网络的扩展,通信数据量的加大)是很困难的。(2) 由于数据的集中存储,在大规模的分布式网络中,有可能因为单个点的失败造成整个审 计数据的不可用。(3) 集中式的体系结构,自适应能力差,不能根据环境变化自动更改配置。通常,配置的改 变和增加是通过编辑配置文件来实现的,往往需要重新启动系统以使配置生效。因此,集中式的体系结构已不能适应高度分布的网络环境。分布式安全审计系统实际上包含两层涵义:一是对分布式网络的安全审计,其二是采用分 布式计算的方法,对数据源进行安全审计。它由三部分组成:(1 )主机代理模块。主机代理模块是部署在受监视主机上,并作为后台进程运行的审计信 息收集模块。2)局

23、域网监视器代理模块。局域网监视器代理模块是部署在受监视的局域网上,用以收集 并对局域网上的行为进行审计的模块,主要分析局域网网上的的通信信息,并根据需要将 结果报告给中央管理者。(3) 中央管理者模块接收包括来自局域网监视器和主机代理的数据和报告,控制整个系统的 通信信息,对接收到的数据进行分析。相对于集中式结构,它有以下优点:扩展能力强;(2)容错能力强(3)兼容性强(4)适应性强。4. 常用的安全审计分析方法有哪些?基于规则库的安全审计方法、基于数理统计的安全审计方法、基于日志数据挖掘的安全审计方法、其它安全审计方法5. 安全审计有哪些可用的数据源?安全审计的数据源,可以分为三类:基于主机

24、、基于网络和其他途径。基于主机的数据源(1)操作系统的审计记录(2)系统日志(3)应用程序日志信息基于网络的安全审计系统所采用的输入数据即网络中传输的数据。其它数据源(1)来自其它安全产品的数据源(2)来自网络设备的数据源(3)带外数据源6. 什么是计算机取证,有哪些相关技术?计算机取证是对计算机入侵、破坏、欺诈、攻击等犯罪行为,利用计算机软硬件技术,按照符合法律规范的方式,进行识别、保存、分析和提交数字证据的过程。计算机取证相关技术(1 )电子证据监测技术(2 )物理证据获取技术(3 )电子证据收集技术(4 )电子证据保全技术。(5)电子证据处理及鉴定技术7. 简述计算机取证的步骤计算机取证

25、的一般步骤应由以下几个部分组成。保护目标计算机系统电子证据的确定电子证据的收集电子证据的保护电子证据的分析归档在处理电子证据的过程中,为保证数据的可信度,必须确保证据链”的完整性即证据保全,对各个步骤的情况进行归档,包括收集证据的地点、日期、时间和人员、方法及理由 等,以使证据经得起法庭的质询。六、灾难恢复与业务连续性1. 什么是BCM (业务连续性管理)? BCM的目标是什么?业务连续性是指组织为了维持其生存,一旦发生突发事件或灾难后,在其所规定的时间内 必须恢复关键业务功能的强制性要求。减少信息系统灾难对社会的危害和人民财产带来的损失保证信息系统所支持的关键业务 能在灾害发生后及时恢复并继

26、续运作,是灾难恢复与业务连续性管理的主要目标。2. 请解释BCP、DRP?阐述它们的区别业务连续性计划(Business Continuity Planning,BCP )是一套事先被定义和文档化的计划,明确定义了恢复业务所需要的关键人员、资源、行动、任务和数据。灾难恢复计划(Disaster Recovery Planning DRP )灾难恢复计划是对于紧急事件的应对过程,它包括在事前,事中,和灾难对信息系统资源造成重大损失后所采取的行动。Bcp过程包含:计划和范围的初始化、业务影响分析、业务可持续计划开发DRP过程包含:灾难恢复计划步骤、测试灾难恢复计划、灾难恢复计划程序两者的主要区别:

27、bcp强调使关键业务经得起不同的意外事件的影响DRP强调对于灾难的预防措施,以及在灾难发生时和灾难发生之后所采取的行为和措施3. 什么是应急响应?其目的是什么?应急响应:指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生初期所采取的措施。目的:避免、降低危害和损失,以及从危害和损失中恢复。4. 应急响应预案制定的原则有哪些?基本原则:集中管理、统一指挥、规范运行、标准操作、反应迅速和响应高效。七、信息安全标准Ling ren fa zhi1.简述信息安全的标准体系。2. 描述TCSEC各级关键点,GB/T17859中的各级与之有什么对应关系?(注:TCSEC将计算机操作系统的安全从高

28、到底分为四级(A、B、C、D),级下再细分为七小级(A1、B3、B2、B1、C2、C1、D )TCSECGB 178591999D:低级保护C1 :自主安全保护1 :用户自主保护级C2 :受控访问保护2:系统审计保护级B1 :标记安全保护3:安全标记保护级B2 :结构化保护4 :结构化保护级B3 :安全区域5:访问验证保护级A1 :验证设计3.阐述信息安全等级保护基本要求GB/T 22239-2008分别对技术和管理要求划分了哪些层 面?一级基本要求在安全技术方面要求:身份鉴别、自主访问控制、恶意代码防范、数据的 完整性保护、通信完整性保护、软件容错和备份与恢复等控制点。管理方面提出了安全管

29、理制度、安全管理机构、人员管理、系统建设管理、系统运行维护管理的相关要求。二级基本要求 在一级基本要求的基础上,在技术方面,二级要求在控制点上增加了安全 审计、边界完整性检查、入侵防范、资源控制以及通信保密性等控制点身份鉴别则要求在系统的整个生命周期,每一个用户具有唯一标识,具有可查性。同时, 要求访问控制具有更细的访问控制粒度等。在管理方面,增加了审核和检查、管理制度的 评审和修订、人员考核、密码管理、变更管理和应急预案管理等控制点。三级基本要求 在二级基本要求的基础上,在技术方面,在控制点上增加了网络恶意代码 防范、剩余信息保护、抗抵赖等。同时,对身份鉴别、访问控制、安全审计、数据完整 性

30、、数据保密性等均提出更高要求,在管理方面,在安全管理制度制定和发布、评审和修订等某些管理要求上要求项增加,强 度增强。四级基本要求 在三级基本要求的基础上,在技术方面,在控制点上增加了安全标记、可 信路径,同时,对身份鉴别、访问控制、安全审计、数据完整性、数据保密性等均有更进 一步的要求,在管理方面,增加了系统备案、等级测评、监控管理和安全管理中心等控制点,同时要求 设置必要的安全管理职能部门,加强了安全管理制度的评审以及人员安全的管理,对系统 建设过程加强了质量管理。4. 列举计算机信息系统安全保护等级划分准则”(GB 178591999 )的五个保护等级,以及各个等级的特点。(1) 第一级

31、用户自主保护级(2) 第二级系统审计保护级(3 )第三级安全标记保护级(4 )第四级结构化保护级(5 )第五级访问验证保护级5. 阐述CC刻画信息系统安全性的基本方法,CC是从安全功能和安全保证两方面对IT安全技术的要求进行描述CC标准分为三个部分:(1 )第一部分一一简介和一般模型,正文介绍了 CC中的有关术语、基本概念和一般模型以及与评估有关 的一些框架,附录部分主要介绍保护轮廓(PP )和安全目标(ST)的基本内容。(2 )第二部分一一安全功能要求,按类一族一组件”的方式提出安全功能要求,作为表达产品或系统安 全功能要求的标准方法。每一个类除正文以外,还有对应的提示性附录做进一步解释。在

32、此部分中共列出 11个类,66个子类和135个功能组件。(3) 第三部分一一安全保证要求,提出了一系列保证组件、族和类,作为表达产品和系统安全保证要求 的标准方法。在此部分列出7个保证类和1个保证维护类、还定义了 PP评估类和ST评估类。除此之外, 还定义了评价产品或系统保证能力水平的一组尺度一一评估保证级。6. 阐述ISO/IEC27000系列标准及其关键标准发展史。(no zuo no die)下图备用图7-10 27000系列标准组成ISO/IEC 27001:2005信息技术安全技术信息安全管理体系要求是建立信息 安全管理系统(ISMS )的一套需求规范,其中详细说明了建立、实施和维护

33、信息安全管理 体系的要求,指出实施机构应该遵循的风险评估标准。ISO/IEC 27002信息安全管理实用规则对组织实施信息安全管理提供建议,供一个组织 中负责信息安全工作的人员使用。该标准适用于任何类型、任何规模的组织,对于标准中 提出的任何一项具体的信息安全控制措施,组织应考虑我国的法律法规以及组织的实际情 况来选择使用。ISO 27000 (信息安全管理体系基础和术语),属于A类标准。ISO/IEC 27000提供了 ISMS标准族中所涉及的通用术语及基本原则。ISO/IEC 27003 (信息安全管理体系实施指南),属于C类标准。ISO/IEC 27003为建 立、实施、监视、评审、保持

34、和改进符合ISO/IEC 27001的ISMS提供了实施指南和进一步 的信息。ISO/IEC 27004 (信息安全管理测量),属于C类标准。该标准主要为组织测量信息安全 控制措施和ISMS过程的有效性提供指南。ISO/IEC 27005 (信息安全风险管理),属于C类标准。该标准给出了信息安全风险管理 的指南,其中所描述的技术遵循ISO/IEC 27001中的通用概念、模型和过程.ISO/IEC 27006 (信息安全管理体系认证机构的认可要求),属于D类标准。该标准的 主要内容是对从事ISMS认证的机构提出了要求和规范,或者说它规定了一个机构具备怎 样的条件就可以从事ISMS认证业务”。信

35、息安全管理要求ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会 (BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标 准。2000年12月,BS 7799-1: 1999信息安全管理实施细则通过了国际标准化组织ISO 的认可,正式成为国际标准-ISO/IEC17799 : 2000信息技术-信息安全管理实施细 则。2002年9月5日,BS 7799-2:2002草案经过广泛的讨论之后,终于发布成为正式标 准,同时BS 7799-2:1999被废止。2004年9月5日,BS 7799-2:2002正式发布。2005年,BS 77

36、99-2:2002终于被ISO组织所采纳,于同年10月推出ISO/IEC 27001:2005.2005 年 6 月,ISO/IEC 17799:2000 经过改版,形成了新的 ISO/IEC 17799:2005 ,新版本较老版本无论是组织编排还是内容完整性上都有了很大增强和提升 ISO/IEC 17799:2005己更新并在2007年7月1日正式发布为ISO/IEC 27002:2005 ,这次 更新只是在标准上的号码,内容并没有改变。7.简要描述ISMS从建立(Plan)到实施和操作(Do )、监视和复查(Check)以及维护 并改进(Act)的过程中所涉及的关键要求。4. 信息安脩理4

37、.1 一般要求在组织全面的业务活动和风险环境中开发实施、体系维持并持续改进一个文档化 S4.2建立并管理4.2.1建立SMSCPlai)ISMS 定义SMS的范围 定义ISMS策略 定义系统的风险评估途径 识别风险 评估风险 识别并评估风险处理措施 选择用于风险处理的控制目标和控制准备适用性声明 取得管理层对残留风险的承并授权实施和操 作ISMS4.2.2实施和操俺MS (Do) 制定风险处理计划 实施风险处理计划实施所选的控制措施以满足控制目标 实施培训和意识程序 管理操作 管理资源(参5照)实施能够激发安全事件检测和响应的程序和 控制4.2.3监视和复查SMS (Check 执行监视程序和

38、控制 对ISMS的效力进行定期复审 复审残留风险和可接受风险的水平 按照预定计划进行内SMs审计 定期对SMS进行管理复审 记录活动和事件可能酿$的效力或执行力度造成影响4.2.4维护并改进SMS(Act) 对ISMS实施可识别的改进 采取恰当的纠正和预防措施与所有利益伙伴沟通 确保改进成果满足其预期目标4.3文件要求5.管理层责任5.1管理层责任4.3.1概要说明SMS应该包含的文件4.3.2对文件的控制-ISMS所要求的文件应该妥善保护和控制4.3.3对记录的控制一-应该建立并维护记录 说明管理层在SMS建设过程中应该承担的责任5.2对资源的管理5.2.1资源提供一一组织应该确定并提SMS

39、相关所有活动必要的资源5.2.2培训、意识和能力一一通过培训,组织应该确保 所有也SMS中承担责任的人能够胜任其职6. ISMSft部审计组织应该通过定期的内容审计来确SMS的控制目 标、控制、过程和程序满足相关要求。8. 在国际上,信息安全标准化组织有几个,分别关注于哪些领域的标准化工作?国际标准化组织(International Organization for Standardization)简称 ISO ,涉及包括电工标准在内的各个技术领域的标准化活动。IEC国际电工委员会,IEC的任务覆盖了包括电子、电磁、电工、电气、电信、能源生产和分配等所有电工技术的标准化。ITU国际电信联盟。I

40、ETF , Internet工程任务组,主要任务是负责互联网相关技术规范的研发和制定。ECMA欧洲计算机制造商协会,负责信息技术设备的安全标准,主要制定商用和政用信息 技术产品和系统安全评估标准框架,以及在开放系统环境下逻辑安全设备的框架。9. 我国有哪些重要的信息安全标准,并说明与国际对应标准之间的关系?(自行把握吧)1.计算机信息系统安全保护等级划分准则(GB 17859-1999 )2. 信息安全技术信息安全风险评估规范(GB/T 20984-2007 )3. 信息安全技术信息系统安全等级保护基本要求(GB/T 22239-2008 )4. 信息安全技术信息系统通用安全技术要求(GB/T

41、 20271-2010 )5. 信息安全技术信息系统安全管理要求(GB/T 20269-2006 )6. 信息安全技术信息安全事件管理指南(GB/Z 20985-2007 )7. 信息安全技术信息安全事件分类分级指南(GB/Z 20986-2007 )8. 信息安全技术信息系统灾难恢复规范(GB/T 20988-2007 )9. 信息安全技术信息系统安全等级保护实施指南(GB/T 25058-2010 )10. 信息安全技术信息系统安全等级保护定级指南(GB/T 22240-2008 )11. 信息安全技术信息系统等级保护安全设计技术要求(GB/T 25070-2010 )12. 信息安全技术

42、信息系统物理安全技术要求(GB/T 21052-2007凡有国际标准的应当以其为基础制定我国标准;凡无国际标准或不能适应需要的,应当积 极采用国外先进标准。对国际标准中的安全标准应当先行采用。八、信息安全法律法规1.我国信息安全法律法规有哪些不同层次?我国现有的信息安全法律法规体系可分为三个层次,一是法律层次,从国家宪法和其他部 门法的高度对个人、法人和其他组织的涉及国家安全的信息活动的权利和义务进行规范, 如1997年新刑法首次界定了计算机犯罪。二是行政法规层次,三是部门规章层次,二 者直接约束计算机安全和互联网安全。此外,我国很多地方也出台了直接针对信息安全的 地方性法规和地方政府规章,丰

43、富了我国信息安全法律法规体系的内容。2. 简述我国法律的立法程序。我国法律的制度程序主要有以下四个步骤:(1 )法律方案的提出(2)法律草案的审议(3 )法律草案的表决和通过(4 )法律的公布3. 什么是计算机犯罪?计算机犯罪是指行为人通过计算机操作所实施的危害计算机信息系统(包括内存数据及程 序)安全以及其他严重危害社会的并应当处以刑罚的行为。4. 知识产权包括哪些类别?知识产权的两大类保护对象,即创造性智力成果权和工商业标记权5. 简述我国电子签名法的意义?电子签名法赋予电子签章与数据电文以法律效力,将在很大程度上消除网络信用危机。从一定意义上说,电子签名法拉开了信息数字化时代的立法序幕而且也将大大促进和规 范我国电子交易的发展。为电子认证服务业、电子商务安全认证体系和网络信任体系的建 立奠定了基础。6. 分析信息安全法律法规在构建信息安全保障体系中的作用。(注:自行)信息安全保障体系的建设中的必要环节。(见一、5)7. 分析我国计算机犯罪立法的缺陷。(注:主要为刑法)其主要体现在以下几个方面。(1 )犯罪化的范围偏窄(2 )犯罪构成中犯罪主体设计不合理(3 )罪名欠缺(4 )行为人 刑事责任年龄制度的不足(5)刑罚设置不科学(6 )刑事诉讼法等相关法律不健全

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号