- 1、本文档共116页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
保密安全与密码技术;安全评估;信息技术安全评估准则发展过程 ;信息技术安全评估准则发展过程;信息技术安全评估准则发展过程;信息技术安全评估准则发展过程;;安全评估;TCSEC可信计算机系统评估准则;TCSEC;TCSEC;TCSEC;TCSEC;TCSEC;TCSEC;TCSEC;TCSEC;TCSEC;TCSEC;TCSEC;TCSEC;安全评估;CC的适用范围;CC的关键概念;CC的关键概念;CC的关键概念;CC的关键概念;CC的先进性 ;CC内容;CC内容;CC内容之间的关系;保护轮廓与安全目标的关系;CC:第一部分 介绍和通用模型;;;CC框架下的评估类型 ;三种评估的关系;CC 第二部分:安全功能要求;;;;;安全功能需求层次关系;CC的11个安全功能类;CC:第三部分 评估方法;;;;;;7个安全保证类; 安全保证要求部分提出了七个评估保证级别(Evaluation Assurance Levels:EALs)分别是:
;7个评估保证级别;7个评估保证级别;CC的EAL与其他标准等级的比较;;;CC优缺点;CC优缺点;CC优缺点;安全评估;信息安全保证技术框架(IATF);信息安全保证技术框架(IATF);信息安全保证技术框架(IATF);信息安全保证技术框架(IATF);信息安全保证技术框架(IATF);信息安全保证技术框架(IATF);信息安全保证技术框架(IATF);信息安全保证技术框架(IATF);信息安全保证技术框架(IATF);信息安全保证技术框架(IATF);信息安全保证技术框架(IATF);信息安全保证技术框架(IATF);信息安全保证技术框架(IATF);信息安全保证技术框架(IATF);安全评估;BS7799;BS7799;BS7799内容:总则;BS7799部分;BS 7799-2:2002十大管理要项 ;BS7799与其他标准的比较;制订信息安全方针; 第一步 制订信息安全方针
组织应定义信息安全方针。
信息安全是指保证信息的保密性、完整性和可用性不受破坏。建立信息安全管理体系的目标是对公司的信息安全进行全面管理。
信息安全方针是由组织的最高管理者正式制订和发布的该组织的信息安全的目标和方向,用于指导信息安全管理体系的建立和实施过程。
要经最高管理者批准和发布
体现了最高管理者对信息安全的承诺与支持
要传达给组织内所有的员工
要定期和适时进行评审
目的和意义
为组织提供了关注的焦点,指明了方向,确定了目标;
确保信息安全管理体系被充分理解和贯彻实施;
统领整个信息安全管理体系。; 第一步 制订信???安全方针
信息安全方针的内容
包括但不限于:
组织对信息安全的定义
信息安全总体目标和范围
最高管理者对信息安全的承诺与支持的声明
符合相关标准、法律法规、和其它要求的声明
对信息安全管理的总体责任和具体责任的定义
相关支持文件
注意事项
相关支持文件
简单明了
易于理解
可实施
避免太具体; 第二步 确定ISMS范围
BS7799-2对ISMS的要求:
组织应定义信息安全管理体系的范围,范围的边界应依据组织的结构特征、地域特征、资产和技术特点来确定。
可以根据组织的实际情况,将组织的一部分定义为信息安全管理范围,也可以将组织整体定义为信息安全管理范围;
信息安全管理范围必须用正式的文件加以记录。
ISMS范围文件
文件是否明白地描述了信息安全管理体系的范围
范围的边界和接口是否已清楚定义
; 第三步 风险评估
BS7799-2对ISMS的要求:
组织应进行适当的风险评估,风险评估应识别资产所面对的威胁、脆弱性、以及对组织的潜在影响,并确定风险的等级。
是否执行了正式的和文件化的风险评估?
是否经过一定数量的员工验证其正确性?
风险评估是否识别了资产的威胁、脆弱性和对组织的潜在影响?
风险评估是否定期和适时进行?;第四步 风险管理
BS7799-2对ISMS的要求:
组织应依据信息安全方针和组织要求的安全保证程度来确定需要管理的信息安全风险。
根据风险评估的结果,选择风险控制方法,将组织面临的风险控制在可以接受的范围之内。
是否定义了组织的风险管理方法?
是否定义了所需的信息安全保证程度?
是否给出了可选择的控制措施供管理层做决定?;第五步 选择控制目标和控制措施
BS7799-2对ISMS的要求:
组织应选择适当的控制措施和控制目标来满足风险管理的要求,并证明选择结果的正确性。
选择的控制措施是否建立在风险评估的结果之上?
是否能从风险评估中清楚地看出哪一些是基本控制措施,哪一些是必须的,哪一些是可以考虑选择的控制措施?
选择的控制措施是否反应了组织的风险管理战略?
针对每一种风险,控制措施都不是唯一的,要根据实际情况进行选择;第五步 选择控制目标和控制措施
BS7799-2对ISMS的要
您可能关注的文档
- 体质管理知识与疾病医疗管理知识分析.pptx
- 体验营销培训课件.pptx
- 余世维有效沟通.pptx
- 佛山市企业基本建设投资项目核准系统操作手册.pptx
- 佛山时代地产里水项目营销策划报告.pptx
- 佛山市海利制衣厂精灵谷童装设计策划.pptx
- 作业场所职业健康监督管理暂行规定.pptx
- 作业基础成本制度.pptx
- 作业成本法介绍.pptx
- 作业测定时间研究课件.pptx
- 英语人教PEP版八年级(上册)Unit4+writing+写作.pptx
- 人美版美术四年级(上册)8 笔的世界 课件 (1).pptx
- 人美版美术七年级(上册)龙的制作.pptx
- 英语人教PEP版六年级(上册)Unit 2 第一课时.pptx
- 数学苏教版三年级(上册)3.3 长方形和正方形周长的计算 苏教版(共12张PPT).pptx
- 音乐人教版八年级(上册)青春舞曲 课件2.pptx
- 音乐人教版四年级(上册) 第一单元 音乐知识 附点四分音符|人教版.pptx
- 英语人教PEP版四年级(上册)Unit 6 Part B let's learn 1.pptx
- 道德与法治人教版二年级(上册)课件-3.11大家排好队部编版(共18张PPT).pptx
- 人美版美术七年级(上册)《黄山天下奇》课件1.pptx
文档评论(0)