{安全生产管理}安全测评实践讲义.pdfVIP

课程内容

11

知识域：信息系统安全保障工作基本内容

知识子域：信息安全测评

了解信息安全测评的重要性

了解国内外信息安全测评概况

理解信息安全产品测评方法和流程

理解信息系统安全测评方法和流程

了解服务商资质测评方法和流程

了解信息安全人员资质测评方法和流程

22

信息系统安全保障评估

信息系统安全保障评估——在信息系统所处的运

行环境中对信息系统安全保障的具体工作和活动

进行客观的评估，通过信息系统安全保障评估所

搜集的客观证据，向信息系统的所有相关方提供

信息系统的安全保障工作能够实现其安全保障策

略，能够将其所面临的风险降低到其可接受的程

度的主观信心。

33

信息系统安全保障评估的作用

44

信息安全保障评估

评估是信息系统安全保障的一个重要概念，系统

所有者可以根据评估所得到的客观评估结果建立

其主观的信心。

评估对象是信息系统，不仅包含了信息技术系统，

还包括同信息系统所处的运行环境相关的人和管

理等领域。

评估是一种动态持续的评估过程。

55

国内外信息安全保障测评

美国

欧洲

亚太

国际组织

中国

66

美国—风险评估领头羊

国防部:

1997年《IT安全认证认可过程》（DITSCAP）

2007年《信息保障认证和认可过程》（DIACAP）

国土安全部:

关键信息基础设施保护规划RAMCAP(RiskAnalysisand

ManagementforCriticalAssetProtection)

商务部/NIST：

《IT系统安全自评估指南》（SP800-26）

《IT系统风险管理指南》（SP800-30）（SP800-53a）

审计署/OMB：FISMA

科研机构：CMUOCTAVE,SANDIARAM-*

2020/9/28

政策明,技术实用

77

欧洲-积极探索创新

欧盟：CORAS安全关键系统的风险分析平台

英国：COBRA，CRAMM，用例推理

德国：德国联邦IT基线防护手册（ITBPM）

法国:EBIOS,MEHARI

瑞典:ATAM(安全架构评估),XMASS

挪威:安全策略评估