信息安全审计培训讲义.完整版PPT.ppt

1、RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line信息平安审计培训讲义信息平安审计培训讲义RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line信息安全与审计的概念、目标、范围信息安全与审计的概念、目标、范围 信息安全审计信息安全审计/IT/IT审计审计/ /信息系统安全审计信息系统安全审计 审计审计应该是应该是独立的。审计与信息安全的目独立的。审计与信息安全的目标是一致的，而不是标是一致的，而不是对立对立的。的。信息安全与信息安全与ITIT审计的关系审计的关系 信息安全其中一项必不可少

2、的内容是信息安全其中一项必不可少的内容是ITIT审计审计 ITIT审计主要针对的是信息安全，也包含其他内容审计主要针对的是信息安全，也包含其他内容 信息安全与信息安全与ITIT审计有很大的重合点审计有很大的重合点1.1.不懂信息安全如何不懂信息安全如何进行进行ITIT审计审计2.2.要做好要做好ITIT审计必须审计必须了解信息安全了解信息安全RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line 1.1 信息平安内容概述信息平安内容概述 1.2 美国标准美国标准TCSEC 1.3 欧洲标准欧洲标准ITSEC 1.4 CC标准标准 1.5 CC

3、、TCSEC、ITSEC对应关系对应关系 1.6 CISSP介绍介绍 1.7 SSE-CMM 1.8 BS7799/ISO7799/ISO27001 1.9 ITILRUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line 1.10 ISO15408 1.11 ISO13335 1.12 GB18336 等级保护等级保护 ?商业银行信息科技风险管理指引商业银行信息科技风险管理指引?RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line 信息平安内容概述信息平安内容概述 计算机平安计算机平安 信

4、息平安三要素信息平安三要素 Confidentiality Integrity AvailabilityRUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line TCSEC 美国国防部美国国防部(Trusted Computer Systems Evaluation Criteria) 平安等级平安等级 A 验证保护验证保护 B 强制保护强制保护 C 自主保护自主保护 D 无保护无保护 FC 美联邦标准美联邦标准(Federal Criteria) CTCPEC 加拿大标准加拿大标准(Canadian Trusted Computer Prod

5、uct Evaluation Criteria)RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line ITSEC Information Technology Security Evaluation Criteria 英法德荷四国制定英法德荷四国制定 ITSEC是欧洲多国平安评价方法的综合产物，应用领域为军是欧洲多国平安评价方法的综合产物，应用领域为军队、政府和商业。该标准将平安概念分为功能与评估两局部队、政府和商业。该标准将平安概念分为功能与评估两局部。功能准那么从。功能准那么从F1F10共分共分10级。级。 15级对应于级对应于TCSE

6、C的的D到到A。F6至至F10级分别对应数据和程序的完整性、系统级分别对应数据和程序的完整性、系统的可用性、数据通信的完整性、数据通信的保密性以及机密的可用性、数据通信的完整性、数据通信的保密性以及机密性和完整性。性和完整性。 与与TCSEC不同不同,它并不把保密措施直接与计算机功能相联系它并不把保密措施直接与计算机功能相联系,而是只表达技术平安的要求而是只表达技术平安的要求,把保密作为平安增强功能。另把保密作为平安增强功能。另外外,TCSEC把保密作为平安的重点把保密作为平安的重点,而而ITSEC那么把完整性、那么把完整性、可用性与保密性作为同等重要的因素。可用性与保密性作为同等重要的因素。

7、ITSEC定义了从定义了从E0级级(不满足品质不满足品质)到到E6级级(形式化验证形式化验证)的的7个平安等级个平安等级,对于每对于每个系统个系统,平安功能可分别定义。平安功能可分别定义。RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line CC (Common Criteria) 美英法德荷加六国制定的共同标准美英法德荷加六国制定的共同标准 包含的类包含的类 FAU平安审计平安审计 FCO通信通信 FCS密码支持密码支持 FDP用户数据保护用户数据保护 FIA 标识与鉴别标识与鉴别 FMT平安管理平安管理 FPR隐私隐私 FPTTSF保护

8、保护(固件保护，固件保护，TOE Security Functions, TOE Security Policy，(Target Of Evaluation) FRU资源利用资源利用 FTATOE访问访问 FTP可信信道可信信道/路径路径RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line CC、TCSEC、ITSEC对应关系对应关系CCTCSECITSEC-DE0EAL1-EAL2C1E1EAL3C2E2EAL4B1E3EAL5B2E4EAL6B3E5EAL7A1E6RUNNING HEADER, 14 PT., ALL CAPS, Li

9、ne Spacing=1 line CC分为三个局部：分为三个局部： 第第1局部局部简介和一般模型简介和一般模型，正文介绍了，正文介绍了CC中的有关术语、中的有关术语、根本概念和一般模型以及与评估有关的一些框架，附录局部根本概念和一般模型以及与评估有关的一些框架，附录局部主要介绍保护轮廓主要介绍保护轮廓PP和平安目标和平安目标ST的根本内容。的根本内容。 第第2局部局部平安功能要求平安功能要求，按，按类类-子类子类-组件组件的方式提出平的方式提出平安功能要求，每一个类除正文以外，还有对应的提示性附录安功能要求，每一个类除正文以外，还有对应的提示性附录作进一步解释。作进一步解释。 第第3局部局部

10、“平安保证要求，定义了评估保证级别，介绍了平安保证要求，定义了评估保证级别，介绍了PP和和ST的评估，并按的评估，并按“类类-子类子类-组件的方式提出平安保组件的方式提出平安保证要求证要求RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line CC的三个局部相互依存，缺一不可。的三个局部相互依存，缺一不可。 第第1局部是介绍局部是介绍CC的根本概念和根本原理的根本概念和根本原理 第第2局部提出了技术要求局部提出了技术要求 第第3局部提出了非技术要求和对开发过程、工程过程的要求局部提出了非技术要求和对开发过程、工程过程的要求。 这三局部的有机结

11、合具体表达在这三局部的有机结合具体表达在PP和和ST 中，中，PP和和ST的概的概念和原理由第念和原理由第1局部介绍，局部介绍，PP和和ST中的平安功能要求和平中的平安功能要求和平安保证要求在第安保证要求在第2、3局部选取，这些平安要求的完备性和局部选取，这些平安要求的完备性和一致性，由第一致性，由第2、3两局部来保证。两局部来保证。 CC 作为评估信息技术产品和系统平安性的世界性通用准那作为评估信息技术产品和系统平安性的世界性通用准那么，是信息技术平安性评估结果国际互认的根底。么，是信息技术平安性评估结果国际互认的根底。RUNNING HEADER, 14 PT., ALL CAPS, Li

12、ne Spacing=1 lineRUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line SSE-CMM (System Security Engineering Capability Maturity Model)模型模型 是是CMM在系统平安工程这个具体领域应用而产生的一个分在系统平安工程这个具体领域应用而产生的一个分支，是美国国家平安局支，是美国国家平安局(NSA)领导开发的，是专门用于系统领导开发的，是专门用于系统平安工程的能力成熟度模型。平安工程的能力成熟度模型。 SSE-CMM第一版于第一版于1996年年10月出版，月出版，199

13、9年年4月，月，SSE-CMM模型和相应评估方法模型和相应评估方法2.0版发布。版发布。 系统平安工程过程一共有三个相关组织过程：系统平安工程过程一共有三个相关组织过程： 工程过程工程过程 风险过程风险过程 保证过程保证过程RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line SSE-CMM 共分共分5个能力级别，个能力级别，11个过程区域：个过程区域： 根本执行级、方案跟踪级、充分定义级、量化控制级、持续根本执行级、方案跟踪级、充分定义级、量化控制级、持续改进级改进级 2002年年SSE-CMM被国际标准化组织采纳成为国际标准即被国际标准

14、化组织采纳成为国际标准即ISO/IEC 21827:2002?信息技术系统平安工程成熟度模型信息技术系统平安工程成熟度模型?。 SSE-CMM 和和BS 7799 都提出了一系列最正确惯例，但都提出了一系列最正确惯例，但BS 7799 是一个认证标准第二局部，提出了一个可供认证是一个认证标准第二局部，提出了一个可供认证的的ISMS 体系，组织应该将其作为目标，通过选择适当的控体系，组织应该将其作为目标，通过选择适当的控制措施第一局部去实现。而制措施第一局部去实现。而SSE-CMM 那么是一个评估那么是一个评估标准，标准， 适合作为评估工程实施组织能力与资质的标准适合作为评估工程实施组织能力与资

15、质的标准.RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line BS7799 BS 7799是英国标准协会制定的信息平安管理体系标准，已是英国标准协会制定的信息平安管理体系标准，已得到了一些国家的采纳，是国际上具有代表性的信息平安管得到了一些国家的采纳，是国际上具有代表性的信息平安管理体系标准。理体系标准。 BS7799以下以下10个局部：个局部： 信息平安政策信息平安政策 平安组织平安组织 资产分类及控制资产分类及控制 人员平安人员平安 物理及环境平安物理及环境平安 计算机及系统管理计算机及系统管理 系统访问控制系统访问控制 系统开发与维

16、护系统开发与维护 业务连续性规划业务连续性规划 符合性符合性RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line ISO17799 BS7799 Part 1的全称是的全称是Code of Practice for Information Security，也即为信息平安的实施细那么。，也即为信息平安的实施细那么。2000年被采纳年被采纳为为ISO/IEC 17799，目前其最新版本为，目前其最新版本为2005版，也就是版，也就是ISO 17799: 2005。 ISO/IEC 17799:2005 通过层次构造化形式提供平安策略、通过层次

17、构造化形式提供平安策略、信息平安的组织构造、资产管理、人力资源平安等信息平安的组织构造、资产管理、人力资源平安等11个平个平安管理要素，还有安管理要素，还有39个主要执行目标和个主要执行目标和133个具体控制措施个具体控制措施最正确实践，供负责信息平安系统应用和开发的人员作最正确实践，供负责信息平安系统应用和开发的人员作为参考使用，以标准化组织机构信息平安管理建立的内容。为参考使用，以标准化组织机构信息平安管理建立的内容。RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line ISO27001 BS7799 Part 2的全称是的全称是Inf

18、ormation Security Management Specification，也即为信息平安管理体系标，也即为信息平安管理体系标准，其最新修订版在准，其最新修订版在05年年10月正式成为月正式成为ISO/IEC 27001:2005，ISO/IEC 27001是建立信息平安管理体系是建立信息平安管理体系ISMS的一套标准，其中详细说明了建立、实施和维护信的一套标准，其中详细说明了建立、实施和维护信息平安管理体系的要求，可用来指导相关人员去应用息平安管理体系的要求，可用来指导相关人员去应用ISO/IEC 17799，其最终目的，在于建立适合企业需要的信，其最终目的，在于建立适合企业需要的

19、信息平安管理体系息平安管理体系ISMS。 CC、SSE-CMM、BS 7799比照比照 信息技术平安性评估准那么信息技术平安性评估准那么(CC)和美国国防部可信计算机和美国国防部可信计算机评估准那么评估准那么(TCSEC)等更侧重于对系统和产品的技术指标等更侧重于对系统和产品的技术指标的评估的评估 系统平安工程能力成熟模型系统平安工程能力成熟模型(SSE-CMM)更侧重于对平安产更侧重于对平安产品开发、平安系统集成等平安工程过程的管理。品开发、平安系统集成等平安工程过程的管理。 在对信息系统日常平安管理方面，在对信息系统日常平安管理方面，BS 7799的地位是其他标的地位是其他标准无法取代的。

20、准无法取代的。RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line BS7799 BS7799涵盖了平安管理所应涉及的方方面面，全面而不失涵盖了平安管理所应涉及的方方面面，全面而不失可操作性，提供了一个可持续提高的信息平安管理环境。推可操作性，提供了一个可持续提高的信息平安管理环境。推广信息平安管理标准的关键在重视程度和制度落实方面。广信息平安管理标准的关键在重视程度和制度落实方面。 标准存在一定缺乏标准存在一定缺乏 对查看敏感信息等保密性缺少控制。对查看敏感信息等保密性缺少控制。 标准中对评审控制和审计没有区分标准中对评审控制和审计没有区

21、分 标准中只在开发和维护中简单涉及密码技术标准中只在开发和维护中简单涉及密码技术 某些方面可能不全面，但是它仍是目前可以用来到达一定预某些方面可能不全面，但是它仍是目前可以用来到达一定预防标准的最好的指导标准。防标准的最好的指导标准。RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line ITIL ITIL的全称是信息技术根底设施库的全称是信息技术根底设施库Information Technology Infrastructure Library。ITIL针对一些重要针对一些重要的的IT实践，详细描述了可适用于任何组织的全面的实践，详细描述了

22、可适用于任何组织的全面的Checklists、Tasks、Procedures、Responsibilities等等 IT效劳管理中最主要的内容就是效劳交付效劳管理中最主要的内容就是效劳交付Service Delivery和效劳支持和效劳支持Service Support 效劳交付效劳交付Service Delivery： Service Level Management Financial Management for IT Service Capacity Management IT Service Continuity Management Availability Management

23、RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineITILV3版本图RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line 效劳支持效劳支持Service Support： Service Desk Incident Management Problem Management Configuration Management Change Management Release Management BS15000 2001 年，英国标准协会在国际年，英国标准协会在国际IT 效劳管理论坛效

24、劳管理论坛itSMF上正式发布了以上正式发布了以ITIL为核心的英国国家标准为核心的英国国家标准BS15000。这成。这成为为IT 效劳管理领域具有历史意义的重大事件。效劳管理领域具有历史意义的重大事件。RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line BS15000 有两个局部，目前都已经转化成国际标准了。有两个局部，目前都已经转化成国际标准了。 ISO/IEC 20000-1:2005 信息技术效劳管理信息技术效劳管理-效劳管理标准效劳管理标准Information technology service management. Sp

25、ecification for Service Management ISO/IEC 20000-2:2005 信息技术效劳管理信息技术效劳管理- 效劳管理最正效劳管理最正确实践确实践 Information technology service management. Code of Practice for Service Management 与与BS7799 相比相比 ITIL 关注面更为广泛信息技术，而且更侧重于具体的实关注面更为广泛信息技术，而且更侧重于具体的实施流程。施流程。ISMS实施者可以将实施者可以将BS7799 作为作为ITIL 在信息平安在信息平安方面的补充，同时引入方

26、面的补充，同时引入ITIL 流程的方法，以此加强信息平安流程的方法，以此加强信息平安管理的实施能力。管理的实施能力。RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line ISO15408 ISO国际标准化组织于国际标准化组织于1999年正式发布了年正式发布了ISO/IEC 15408。ISO/IEC JTC 1和和Common Criteria Project Organisations共同制订了此标准，此标准等同于共同制订了此标准，此标准等同于Common Criteria V2.1。 ISO/IEC 15408有一个通用的标题有一个通用

27、的标题 信息技术信息技术平安技术平安技术IT平安评估准那么。此标准包含三个平安评估准那么。此标准包含三个局部：局部： 第一局部第一局部 介绍和一般模型介绍和一般模型 第二局部第二局部 平安功能需求平安功能需求 第三局部第三局部 平安认证需求平安认证需求 平安功能需求平安功能需求 1 审计审计平安审计自动响应、平安审计数据产生、平安审平安审计自动响应、平安审计数据产生、平安审计分析、平安审计评估、平安审计事件选择、平安审计事件计分析、平安审计评估、平安审计事件选择、平安审计事件存储存储RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line 平安

28、功能需求平安功能需求 2 通信通信源不可否认、承受不可否认源不可否认、承受不可否认 3 密码支持密码支持密码密钥管理、密码操作密码密钥管理、密码操作 4 用户数据保护用户数据保护访问控制策略、访问控制功能、数据鉴访问控制策略、访问控制功能、数据鉴别、出口控制、信息流控制策略、信息流控制功能、入口控别、出口控制、信息流控制策略、信息流控制功能、入口控制、内部平安传输、剩余信息保护、反转、存储数据的完整制、内部平安传输、剩余信息保护、反转、存储数据的完整性、内部用户数据保密传输保护、内部用户数据完整传输保性、内部用户数据保密传输保护、内部用户数据完整传输保护护 5 鉴别和认证鉴别和认证认证失败平安

29、、用户属性定义、平安说明认证失败平安、用户属性定义、平安说明、用户认证、用户鉴别、用户主体装订、用户认证、用户鉴别、用户主体装订 6 平安管理平安管理平安功能的管理、平安属性管理、平安功能平安功能的管理、平安属性管理、平安功能数据管理、撤回、平安属性终止、平安管理角色数据管理、撤回、平安属性终止、平安管理角色 7 隐私隐私匿名、使用假名、可解脱性、可随意性匿名、使用假名、可解脱性、可随意性RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line 平安功能需求平安功能需求 8 平安功能保护平安功能保护底层抽象及其测试、失败平安、输出数底层抽象及其

30、测试、失败平安、输出数据的可用性、输出数据的保密性、输出数据的完整性、内部据的可用性、输出数据的保密性、输出数据的完整性、内部数据传输平安、物理保护、可信恢复、重放检测、参考仲裁数据传输平安、物理保护、可信恢复、重放检测、参考仲裁、领域分割、状态同步协议、时间戳、内部数据的一致性、领域分割、状态同步协议、时间戳、内部数据的一致性、内部数据复制的一致性、平安自检。内部数据复制的一致性、平安自检。 9 资源利用资源利用容错、效劳优先权、资源分配容错、效劳优先权、资源分配 10 访问访问可选属性范围限制、多并发限制、锁、访问标可选属性范围限制、多并发限制、锁、访问标志、访问历史、志、访问历史、ses

31、sion建立建立 11 可信通道可信通道/信道信道内部可信通道、可信通道内部可信通道、可信通道RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line 平安认证需求平安认证需求 1 配置管理配置管理 2 分发和操作分发和操作 3 开发开发 4 指导文档指导文档 5 生命周期支持生命周期支持 6 测试测试 7 漏洞评估漏洞评估RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line ISO13335 (CIA + Accountability, Authenticity, Reliability)

32、 ISO13335是一个信息平安管理指南，这个标准的主要目的是一个信息平安管理指南，这个标准的主要目的就是要给出如何有效地实施就是要给出如何有效地实施IT平安管理的建议和指南。该标平安管理的建议和指南。该标准目前分为准目前分为5个局部。个局部。 第一局部：第一局部：IT平安的概念和模型平安的概念和模型Concepts and models for IT Security 第二局部：第二局部：IT平安的管理和方案平安的管理和方案Managing and planning IT Security 第三局部：第三局部：IT平安的技术管理平安的技术管理Techniques for the manage

33、ment of IT Security 第四局部：防护的选择第四局部：防护的选择Selection of safeguards 第五局部：网络平安管理指南第五局部：网络平安管理指南Management guidance on network securityRUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line ISO13335 第一局部：第一局部：IT平安的概念和模型平安的概念和模型 发布于发布于1996年年12月月15日。该局部包括了对日。该局部包括了对IT平安和平安管平安和平安管理的一些根本概念和模型的介绍理的一些根本概念和模型的介绍

34、第二局部：第二局部：IT平安的管理和方案平安的管理和方案 发布于发布于1997年年12月月15日。这个局部建议性地描述了日。这个局部建议性地描述了IT平安平安管理和方案的方式和要点，包括管理和方案的方式和要点，包括 决定决定IT平安目标、战略和策略平安目标、战略和策略 决定组织决定组织IT平安需求平安需求 管理管理IT平安风险平安风险 方案适当方案适当IT平安防护措施的实施平安防护措施的实施 开发平安教育方案开发平安教育方案 筹划跟进的程序，如监控、复查和维护平安效劳筹划跟进的程序，如监控、复查和维护平安效劳 开发事件处理方案开发事件处理方案RUNNING HEADER, 14 PT., AL

35、L CAPS, Line Spacing=1 line ISO13335 第三局部：第三局部：IT平安的技术管理平安的技术管理 发布于发布于1998年年6月月15日。这个局部覆盖了风险管理技术、日。这个局部覆盖了风险管理技术、IT平安方案的开发以及实施和测试，还包括一些后续的制度审平安方案的开发以及实施和测试，还包括一些后续的制度审查、事件分析、查、事件分析、IT平安教育程序等。平安教育程序等。 第四局部：防护的选择第四局部：防护的选择 发布于发布于2000年年3月月1日。这个局部主要探讨如何针对一个组日。这个局部主要探讨如何针对一个组织的特定环境和平安需求来选择防护措施。这些措施不仅仅织的特

36、定环境和平安需求来选择防护措施。这些措施不仅仅包括技术措施。包括技术措施。 第五局部：网络平安管理指南第五局部：网络平安管理指南 这个局部是基于这个局部是基于ISO/IEC TR 13335第四局部建立的，介绍第四局部建立的，介绍了如何确定与网络连接相关的保护域。了如何确定与网络连接相关的保护域。RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineRUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line GB18336 GB/T 18336：2001?信息技术信息技术 平安技术平安技术 信息

37、技术平安性评信息技术平安性评估准那么估准那么?等同于等同于ISO/IEC15408-1999通常也简称通通常也简称通用准那么用准那么-CC已于已于2001年年3月正式公布，该标准是评估信月正式公布，该标准是评估信息技术产品和系统平安性的根底准那么。息技术产品和系统平安性的根底准那么。ISO/IEC15408-1999是国际标准化组织统一现有多种评估准那么努力的结是国际标准化组织统一现有多种评估准那么努力的结果，是在美国、加拿大、欧洲等国家和地区分别自行推出测果，是在美国、加拿大、欧洲等国家和地区分别自行推出测评准那么并具体实践的根底上，通过相互间的总结和互补开评准那么并具体实践的根底上，通过相

38、互间的总结和互补开展起来的。展起来的。RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line 等级保护等级保护 信息系统的平安保护等级分为以下五级：信息系统的平安保护等级分为以下五级： 第一级，信息系统受到破坏后，会对公民、法人和其他组织第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家平安、社会秩序和公共的合法权益造成损害，但不损害国家平安、社会秩序和公共利益。利益。 第二级，信息系统受到破坏后，会对公民、法人和其他组织第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩

39、序和公共利益造成的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家平安。损害，但不损害国家平安。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家平安造成损害。成严重损害，或者对国家平安造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家平安造成严重损害。成特别严重损害，或者对国家平安造成严重损害。 第五级，信息系统受到破坏后，会对国家平安造成特别严重第五级，信息系统受到破坏后，会对国家平安造成特别严重损害。

40、损害。RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line 等级保护等级保护 第一级信息系统运营、使用单位应当依据国家有关管理标准第一级信息系统运营、使用单位应当依据国家有关管理标准和技术标准进展保护。和技术标准进展保护。 第二级信息系统运营、使用单位应当依据国家有关管理标准第二级信息系统运营、使用单位应当依据国家有关管理标准和技术标准进展保护。国家信息平安监管部门对该级信息系和技术标准进展保护。国家信息平安监管部门对该级信息系统信息平安等级保护工作进展指导。统信息平安等级保护工作进展指导。 第三级信息系统运营、使用单位应当依据国家有关管理

41、标准第三级信息系统运营、使用单位应当依据国家有关管理标准和技术标准进展保护。国家信息平安监管部门对该级信息系和技术标准进展保护。国家信息平安监管部门对该级信息系统信息平安等级保护工作进展监视、检查。统信息平安等级保护工作进展监视、检查。 第四级信息系统运营、使用单位应当依据国家有关管理标准第四级信息系统运营、使用单位应当依据国家有关管理标准、技术标准和业务专门需求进展保护。国家信息平安监管部、技术标准和业务专门需求进展保护。国家信息平安监管部门对该级信息系统信息平安等级保护工作进展强制监视、检门对该级信息系统信息平安等级保护工作进展强制监视、检查。查。 第五级信息系统运营、使用单位应当依据国家

42、管理标准、技第五级信息系统运营、使用单位应当依据国家管理标准、技术标准和业务特殊平安需求进展保护。国家指定专门部门对术标准和业务特殊平安需求进展保护。国家指定专门部门对该级信息系统信息平安等级保护工作进展专门监视、检查。该级信息系统信息平安等级保护工作进展专门监视、检查。RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line究竟什么是信息安全审计究竟什么是信息安全审计 PDCA PDCA （监督与保障）（监督与保障） Syslog Syslog （日志）（日志） Audit Trail Audit Trail （审计留痕）（审计留痕）RUNN

43、ING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineRUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line信息安全审计目的是什么信息安全审计目的是什么 让别人难堪？让别人难堪？ 显示我们的聪明与他们的错误？显示我们的聪明与他们的错误？ 展示审计的权力？展示审计的权力？ 内审与外审内审与外审 1,为了保证提供独立的审计委员会（和高级管理）的内部控制措施，在公司内有效地运作 2,为了改善公司的内部控制，促进和帮助该公司确定的控制弱点，和制定解决这些弱点成本效益的解决方案，内部控制的状态。RUNNING

44、 HEADER, 14 PT., ALL CAPS, Line Spacing=1 line怎样做好信息安全审计工作怎样做好信息安全审计工作 领导的推动与支持领导的推动与支持 审计的方式不是挑毛病，而是交朋友审计的方式不是挑毛病，而是交朋友 积累专业知识积累专业知识RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line如果开始信息安全审计工作如果开始信息安全审计工作 采用一个标准采用一个标准 建立一套系统建立一套系统 充实与完善细则内容充实与完善细则内容 执行与监督执行与监督ISO27001ISMSNet/OS/DBACTS1234RUNNI

45、NG HEADER, 14 PT., ALL CAPS, Line Spacing=1 line资质与认证资质与认证 BSIBSI DNVDNV 指定评测或认证机构指定评测或认证机构 CISSPCISSP CISACISA LALARUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line CISSP介绍介绍 平安管理平安管理Security Management Practices 平安架构与模型平安架构与模型Security Architecture and Models 访问控制访问控制Access Control 应用与系统开发应用与系统

46、开发Applications and Systems Development 操作平安操作平安Operations Security 物理平安物理平安Physical Security 加密加密Cryptography 通信与网络通信与网络Telecommunications and Networking 业务连续性业务连续性/灾难恢复灾难恢复Business Continuity Planning/DRP 法律，事后取证法律，事后取证Law, Investigation, and EthicsRUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 l

47、ine CISA介绍介绍( isaca.org ) CISA考试每年举行两次，分别为每年的六月和十二月的第考试每年举行两次，分别为每年的六月和十二月的第二周星期六，六月和十二月考试中国学员均可以选择中文和二周星期六，六月和十二月考试中国学员均可以选择中文和英文考试，在中国考试从上午九点开场，共四个小时英文考试，在中国考试从上午九点开场，共四个小时13点点完毕完毕 包括六局部内容，各自所占比例如下：包括六局部内容，各自所占比例如下： 信息系统审计过程占信息系统审计过程占10% IT治理占治理占15% 系统和生命周期管理占系统和生命周期管理占16% IT效劳的交付与支持占效劳的交付与支持占14%

48、信息资产保护占信息资产保护占31% 业务连续性与灾难恢复方案占业务连续性与灾难恢复方案占14%RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line 适用范围：本指引适用于在中华人民共和国境内依法设立的法人商业银行。 参照范围： 政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构。RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line商业银行法定代表人是本机构信息科技风险管理

49、的第一责任人，负责组织本指引的贯商业银行法定代表人是本机构信息科技风险管理的第一责任人，负责组织本指引的贯彻落实。彻落实。董事会：遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国董事会：遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国银行业监视管理委员会以下简称银监会相关监管要求。银行业监视管理委员会以下简称银监会相关监管要求。 首席信息官：确保信息科技战略，尤其是信息系统开发战略，符合本银行的总体业务首席信息官：确保信息科技战略，尤其是信息系统开发战略，符合本银行的总体业务战略和信息科技风险管理策略。负责建立一个切实有效的信息科技部门，承担本银行战略和信息

50、科技风险管理策略。负责建立一个切实有效的信息科技部门，承担本银行的信息科技职责。确保其履行：信息科技预算和支出、信息科技策略、标准和流程、的信息科技职责。确保其履行：信息科技预算和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技工程发起和管理、信息系统和信息科技根信息科技内部控制、专业化研发、信息科技工程发起和管理、信息系统和信息科技根底设施的运行、维护和升级、信息平安管理、灾难恢复方案、信息科技外包和信息系底设施的运行、维护和升级、信息平安管理、灾难恢复方案、信息科技外包和信息系统退出等职责。统退出等职责。 特定部门负责信息科技风险管理工作特定部门负责信息科技风险管理工