主要內容如下:
BS7799系列(ISO/IEC 27000系列)
ISO/IEC TR 13335系列
SSE-CMM
ITIL和BS15000
CC
CoBIT
NIST SP800系列
1、ISO/IEC TR 13335
ISO/IEC TR 13335,早前被稱作“IT 安全管理指南”(Guidelines for the Management of IT Security,GMITS),新版稱作“信息和通信技術安全管理”(Management of Information and Communications Technology Security,MICTS),是ISO/IEC JTC1 制定的技術報告,是一個信息安全管理方面的指導性標準,其目的是為有效實施IT安全管理提供建議和支持。
ISO/IEC TR 13335系列標準(舊版)- GMITS,由5部分標準組成:
ISO/IEC13335-1:1996《IT安全的概念與模型》
ISO/IEC13335-2:1997《IT安全管理與策劃》
ISO/IEC13335-3:1998《IT安全管理技術》
ISO/IEC13335-4:2000《防護措施的選擇》
ISO/IEC13335-5:2001《網絡安全管理指南》
目前,ISO/IEC 13335-1:1996 已經被新的ISO/IEC 13335-1:2004(MICTS 第1部分:信息和通信技術安全管理的概念和模型)所取代,ISO/IEC 13335-2:1997也將被正在開發的ISO/IEC 13335-2(MICTS 第2 部分:信息安全風險管理)取代。
ISO/IEC TR 13335 只是一個技術報告和指導性文件,并不是可依據的認證標準,信息安全體系建設參考BS 7799,具體實踐參考ISO TR 13335。
2、SSE-CMM
SSE-CMM (System Security Engineering Capability Maturity Model)模型是CMM在系統安全工程這個具體領域應用而產生的一個分支,是美國國家安全局(NSA)領導開發的,是專門用于系統安全工程的能力成熟度模型。
SSE-CMM第一版于1996年10月出版,1999年4月,SSE-CMM模型和相應評估方法2.0版發布。
系統安全工程過程一共有三個相關組織過程:
工程過程
風險過程
保證過程
共分5個能力級別,11個過程區域:
基本執行級
計劃跟蹤級
充分定義級
量化控制級
持續改進級
2002年被國際標準化組織采納成為國際標準即ISO/IEC 21827:2002《信息技術系統安全工程-成熟度模型》。
SSE-CMM 和BS 7799 都提出了一系列最佳慣例,但BS 7799 是一個認證標準(第二部分),提出了一個可供認證的ISMS 體系,組織應該將其作為目標,通過選擇適當的控制措施(第一部分)去實現。而SSE-CMM 則是一個評估標準, 適合作為評估工程實施組織能力與資質的標準
3、通用標準(CC)
我們通常所稱的通用標準或通用準則(Common Criteria,簡稱CC)是指ISO/IEC15408:1999標準。目前CC標準的最新版本是2.2;CC2.1版在1999年成為國際標準ISO/IEC15408:1999;我國在2001年等同采用為國家標準GB/T 18336-2001。
CC標準由三個部分組成:
GB/T 18336.1-2001 idt ISO/IEC15408-1:1999 信息技術安全技術信息技術安全性評估準則第1部分:簡介和一般模型
GB/T 18336.2-2001 idt ISO/IEC15408-2:1999 信息技術安全技術信息技術安全性評估準則第2部分:安全功能要求
GB/T 18336.3-2001 idt ISO/IEC15408-3:1999 信息技術安全技術信息技術安全性評估準則第3部分:安全保證要求
與BS7799 標準相比,CC 的側重點放在系統和產品的技術指標評價上,BS7799 在闡述信息安全管理要求時,并沒有強調技術細節。因此,組織在依照BS7799 標準來實施ISMS 時,一些牽涉系統和產品安全的技術要求,可以借鑒CC 標準。
4、ITIL和BS15000
ITIL的全稱是信息技術基礎設施庫(Information Technology Infrastructure Library)。ITIL針對一些重要的IT實踐,詳細描述了可適用于任何組織的全面的Checklists、Tasks、Procedures、Responsibilities等。
IT服務管理中最主要的內容就是服務交付(Service Delivery)和服務支持(Service Support)
服務交付(Service Delivery):
Service Level Management
Financial Management for IT Service
Capacity Management
IT Service Continuity Management
Availability Management
服務支持(Service Support):
Service Desk
Incident Management
Problem Management
Configuration Management
Change Management
Release Management
有關ITIL,我之前也有一篇文章進行過簡單介紹。
2001年,英國標準協會在國際IT 服務管理論壇(itSMF)上正式發布了以ITIL為核心的英國國家標準BS15000。這成為IT 服務管理領域具有歷史意義的重大事件。
BS15000 有兩個部分,目前都已經轉化成國際標準了。
ISO/IEC 20000-1:2005 信息技術服務管理-服務管理規范(Information technology service management. Specification for Service Management)
ISO/IEC 20000-2:2005 信息技術服務管理- 服務管理最佳實踐( Information technology service management. Code of Practice for Service Management)
與BS7799 相比,ITIL 關注面更為廣泛(信息技術),而且更側重于具體的實施流程。ISMS實施者可以將BS7799 作為ITIL 在信息安全方面的補充,同時引入ITIL 流程的方法,以此加強信息安全管理的實施能力。
5、CoBIT
CoBIT的全稱是信息和相關技術的控制目標(Control Objectives for Information and related Technology),是ITGI提出的IT治理模型(IT Governance),是一個IT控制和IT治理的框架(Framework)。CobiT是一個在更高的層面上指導管理層進行技術標準和信息系統管理的IT治理模型。
CoBIT的八個控制過程:
計劃和組織(Planning & Organisation)
采購和實施(Acquisition & Implementation)
交付和支持(Delivery & Support)
監視和評估(Monitoring & Evaluation)
CoBIT的七個控制目標:
機密性(Confidentiality)
完整性(Integrity)
可用性(Availability)
有效性(Effectiveness)
高效性(Efficiency)
可靠性(Reliability)
符合性(Compliance)
目前基本上存在著兩類控制模型,一類是類似COSO這樣的商業控制模式(business control model),另一類則是像BS7799這樣的更關注IT的控制模型(more focused on IT control model),而CoBIT的目標是在兩者之間架起一座橋梁。
6、NIST SP800系列
美國國家標準技術協會(National Institute of Standards and Technology,NIST)發布的Special Publication 800 文檔是一系列針對信息安全技術和管理領域的實踐參考指南,其中有多篇是有關信息安全管理的,包括:
SP 800-12:計算機安全介紹(An Introduction to Computer Security: The NIST Handbook)
SP 800-30 : IT 系統風險管理指南(Risk Management Guide for Information Technology Systems)
SP 800-34:IT 系統應急計劃指南(Contingency Planning Guide for Information Technology Systems)
SP 800-26 : IT 系統安全自我評估指南( Security Self-Assessment Guide for Information Technology Systems)
這些文件可以作為實施ISMS 過程中一些關鍵任務的指導和參照(例如風險評估、應急計劃等),是對BS7799 標準很好的補充和細化。
7、BS7799系列(ISO/IEC 27000系列)
BS7799 Part 1:
BSBS7799 Part 1的全稱是Code of Practice for Information Security,也即為信息安全的實施細則。2000年被采納為ISO/IEC 17799,目前其最新版本為2005版,也就是ISO 17799: 2005。
ISO/IEC 17799:2005 通過層次結構化形式提供安全策略、信息安全的組織結構、資產管理、人力資源安全等11個安全管理要素,還有39個主要執行目標和133個具體控制措施(最佳實踐),供負責信息安全系統應用和開發的人員作為參考使用,以規范化組織機構信息安全管理建設的內容。
ISO/IEC 17799:2005的內容如下圖:(見附件)
BS7799 Part 2:
BS7799 Part 2的全稱是Information Security Management Specification,也即為信息安全管理體系規范,其最新修訂版在05年10月正式成為ISO/IEC 27001:2005,ISO/IEC 27001是建立信息安全管理體系(ISMS)的一套規范,其中詳細說明了建立、實施和維護信息安全管理體系的要求,可用來指導相關人員去應用ISO/IEC 17799,其最終目的,在于建立適合企業需要的信息安全管理體系(ISMS)。
Copyright 2016 上海信傲科技咨詢有限公司
地址:上海市靜安區共和新路3615號501-503
認證咨詢:13901914577 電話:021-56405778
網址:www.15thstreetgrill.com
郵箱:31647134@qq.com
傳真:021-66075263