信息安全测评与风险评估-全套PPT课件.pptx

2024/3/13Chapter1

信息安全测评思想信息安全测评与风险评估

2024/3/13信息安全测评与风险评估HotTip什么状况最危险？不清楚危险的状况最危险！

2024/3/13信息安全测评与风险评估主要内容信息安全测评的科学精神信息安全标准化组织信息安全测评的科学方法信息安全测评的贯标思想

2024/3/13信息安全测评与风险评估信息安全测评的科学精神信息安全测评是探索真理、发现真相的科学。测评工作的前提和基础：掌握信息安全测评的理论、方法和技术，明确一名安全测评工程师应该具备的科学精神和素养！科学精神： 怀疑、批判、创新、求实、协作

2024/3/13信息安全测评与风险评估主要内容信息安全测评的科学精神信息安全标准化组织信息安全测评的科学方法信息安全测评的贯标思想

2024/3/13信息安全测评与风险评估信息安全测评的科学方法系统科学/系统工程方法是测评工作最主要的方法。“系统科学”的含义：从事测评的不是一个人，而是一个团队。对测评团队的组织和管理要有系统科学的方法，从而保证测评质量；测评的对象往往不是一个单一的软件或硬件，而是一个复杂、庞大并且不断变化的信息系统，本身具有“自组织、自演化”的系统科学特征；测评过程中要贯彻“人机合一”的系统科学思想。

2024/3/13信息安全测评与风险评估信息安全测评的科学方法人类科学发展观与系统科学的关系原始系统论系统还原论复杂系统理论“龙卷风”模型示意图

2024/3/13信息安全测评与风险评估主要内容信息安全测评的科学精神信息安全标准化组织信息安全测评的科学方法信息安全测评的贯标思想

2024/3/13信息安全测评与风险评估信息安全测评的贯标思想贯标(ExecutionofStandards)：指测评人员在测评活动中自觉遵循相关标准的行为。为了体现测评结果的客观性、科学性和公正性，所有测评工作都必须严格遵守国家有关标准规范并遵循严格的测评流程，即“贯标”流程。

2024/3/13信息安全测评与风险评估信息安全测评“三严”要求严肃的科学精神指普适性的科学思想，这是任何科技工作者都应具备的；严谨的工作作风指系统科学方法，这是从事信息科学研究的人们应当具备的；严格的测评流程指“贯标流程”，这是从事信息安全测评工作所要遵循的。

2024/3/13信息安全测评与风险评估信息安全测评“蘑菇”模型示意图

2024/3/13信息安全测评与风险评估主要内容信息安全测评的科学精神信息安全标准化组织信息安全测评的科学方法信息安全测评的贯标思想

2024/3/13信息安全测评与风险评估信息安全标准化组织标准化组织:制定标准规范的权威机构。国际标准化组织ISO(InternationalOrganizationForStandardization)成立于1947年2月23日，是世界最大的非政府性国际标准化组织。主要工作是制定国际标准，协调世界范围内的标准化工作，组织各成员国和技术委员会进行信息交流，以及与其他国际性组织进行合作，共同研究标准化问题。

2024/3/13信息安全测评与风险评估信息安全标准化组织国际标准化组织IEC(XXX)：国际电工委员会在信息安全标准化方面，IEC成立了涉及电信、电子系统、信息技术和电磁兼容等方面的技术委员会，并制定相关国际标准。ITU(XXX)：国际电信联盟主要负责研究通信系统安全标准。IETF(XXX)：Internet工程任务组主要任务是负责互联网相关技术规范的研发和制定。

2024/3/13信息安全测评与风险评估信息安全标准化组织国外标准化组织美国、英国、德国、加拿大等国家。NIST(XXX)：美国国家标准和技术委员会成立于1901年，该组织在信息安全方面负责为美国政府和商业机构提供信息安全管理相关的标准规范。主要标准：NISTSP800

2024/3/13信息安全测评与风险评估信息安全标准化组织国外标准化组织BSI(BritishStandardInstitute)：英国标准化协会成立于1901年，是英国最主要的标准制定组织。主要标准：BS7799BS7799-1:1999：是组织建立并实施信息安全管理体系的一个指导性的准则；BS7799-2:2002：以BS7799-1:1999为指南，详细说明按照PDCA模型(Plan,Do,Check,Action，俗称“戴明环”)，建立、实施及文件化信息安全管理体系(ISMS)的要求。

2024/3/13信息安全测评与风险评估信息安全标准化组织标准化组织：制定标准规范的权威机构。国内标准化组织CITS(XXX)：全国信息技术安全标准化技术委员会其工作范围是负责信息和通信安全的通用框架、方法、技术和机制的标准化，归口国内外对应的标准化工作。其技术安全包括：开放