当前位置:文档之家 › 银监会信息安全标准培训

银监会信息安全标准培训

  • 格式:ppt
  • 大小:1.51 MB
  • 文档页数:55

下载文档原格式

  / 55

合集下载

信息安全法规与合规管理培训课件(精)

信息安全法规与合规管理培训课件(精)

信息安全法规与合规管 理培训课件
汇报人: 2024-01-01
目 录
• 信息安全法规概述 • 合规管理基础 • 信息安全风险评估与应对 • 数据保护与隐私合规 • 网络安全法规与合规实践 • 跨境数据传输与合规挑战 • 总结与展望
信息安全法规概述
01
国家信息安全法规体系
国家信息安全法律
国家信息安全部门规章
合规文化推广措施
为推广合规文化,企业应制定并执行全面的员工培训计划,提高员工的合规意识和能力 ;建立激励机制,鼓励员工积极参与合规管理工作;加强内部沟通和宣传,营造浓厚的 合规文化氛围。同时,企业还应积极履行社会责任,加强与监管机构、行业协会等外部
利益相关方的沟通和合作,共同推动行业的合规发展。
信息安全风险评估

合规检查实施
通过访谈、问卷调查、资料审 查等方式收集信息,评估合规
情况。
合规检查结果分析
对收集的信息进行整理和分析 ,识别存在的合规问题和风险

合规检查报告编制
编制合规检查报告,明确存在 的问题、风险和建议的改进措
施。
网络安全事件报告和处置
事件报告流程
发现网络安全事件后,应 及时向有关部门报告,并 配合开展调查和处理工作 。
电信行业信息安全法规
电信行业监管部门发布的有关信息安全的法规,如《电信和互联网 用户个人信息保护规定》等。
其他行业信息安全法规
其他行业监管部门发布的有关信息安全的法规,如《卫生行业信息 安全技术指南》等。
企业信息安全法规遵守
1 2
企业内部信息安全管理制度
企业制定的内部信息安全管理制度,如《信息安 全管理制度》、《网络安全管理制度》等。
合规管理重要性
银行业信息安全培训试题 (2)

银行业信息安全培训试题 (2)

银行业信息安全培训试题 (2)信息安全培训试题一、单选1、信息科技风险指在商业银行运用过程中,由于自然因素、(B)、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

A 制度落实B 技术标准C 人为因素D 不可抗力2、信息科技风险管理的第一责任人是(A)。

A 银行的法定代表人B 信息技术部负责人C CIOD 其他3、信息科技指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行(A),建立完整的管理组织架构,制订完善的管理制度和流程。

A 信息科技治理B 信息安全管理C系统持续性管理D 突发事件管理4、所有科技风险事件都可以归于信息系统连续性或(D)出问题的事件。

A 保密性B 完整性C 可用性D 安全性5、设立或指派一个特定部门负责信息科技(D)管理工作,该部门为信息科技突发事件应急响应小组的成员之一。

A 安全B 审计C 合规D 风险6、内部审计部门设立专门的信息科技风险审计岗位,负责(A)进行审计。

A 信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等B制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等C 信息科技审计制度和流程的实施,对信息科技整个生命周期和重大事件等D 信息科技审计制度和流程的实施,制订和执行信息科技审计计划等7、信息科技风险管理策略,包括但不限于下述领域(C)。

A信息分级与保护;信息系统开发、测试和维护;信息科技运行和维护;访问控制;物理安全;人员安全B信息分级与保护;信息系统开发、测试和维护;访问控制;物理安全;人员安全;业务连续性计划与应急处置C信息分级与保护;信息系统开发、测试和维护;信息科技运行和维护;访问控制;物理安全;人员安全;业务连续性计划与应急处置D 信息分级与保护;信息科技运行和维护;访问控制;物理安全;人员安全;业务连续性计划与应急处置8、依据信息科技风险管理策略和风险评估结果,实施全面的风险防范措施。

银监会计算机知识点总结

银监会计算机知识点总结

银监会计算机知识点总结随着科技的飞速发展,计算机在各行各业中的应用也日益重要。

银监会作为银行监管机构,对于计算机知识点的掌握显得尤为重要。

本文将对银监会计算机知识点进行总结,旨在帮助相关人员更好地理解和运用这些知识点。

1. 计算机基础知识在银监会工作中,对于计算机的基础知识应当有一定的了解。

首先,了解计算机的组成结构,包括硬件和软件两个部分。

硬件部分包括中央处理器(CPU)、内存、硬盘等;软件部分包括操作系统、编程语言等。

其次,了解计算机网络的概念和基本原理,包括局域网、广域网等网络类型,以及TCP/IP协议等。

2. 数据库管理系统作为银监会的工作人员,对于数据库管理系统的掌握非常关键。

数据库是存储和管理数据的一种系统,它可以对数据进行高效、可靠的读写操作。

在银行业务中,数据库起到了承载和管理大量客户数据、交易记录等重要信息的作用。

因此,了解数据库的基本概念、常用的数据库管理系统(如Oracle、MySQL等)以及数据库的设计原则和规范是至关重要的。

3. 信息安全与保密作为银行监管机构,信息安全和保密是银监会工作中极其重要的一个方面。

因此,对于信息安全和保密的相关知识点也需要有一定的了解。

首先,了解常见的信息安全威胁,如病毒攻击、网络钓鱼等,并熟悉相应的防范措施。

其次,了解密码学的基本概念和原理,包括对称加密和非对称加密等。

此外,了解信息安全管理的基本方法和标准,如ISO 27001信息安全管理标准等。

4. 人工智能与大数据分析在当前的金融领域中,人工智能和大数据分析已经成为了热门的话题。

银监会作为银行监管机构,也需要具备相关的知识点。

首先,了解人工智能的基本概念和应用领域,包括机器学习、深度学习、自然语言处理等。

其次,了解大数据分析的基本原理和方法,包括数据清洗、数据挖掘、数据可视化等。

通过人工智能和大数据分析,银监会可以更好地进行风险管理、预测分析等方面的工作。

5. 云计算与边缘计算云计算和边缘计算是当前计算机领域的两大热门技术。

银行新员工入行培训:员工信息安全培训(“使用”文档)共97张

银行新员工入行培训:员工信息安全培训(“使用”文档)共97张


个人计算机安全(1)
病毒 计算机病毒是一个程序,一段可执行码。像生物病毒一样,计算机
病毒有其独特的复制能力,可以很快地蔓延,又常常难以根除,它们能把 自身附着在各种类型的文件上,当文件被复制或从一个用户传送到另一个 用户时,它们就随同文件一起蔓延开来。现在,随着计算机网络的发展, 计算机病毒和计算机网络技术相结合,蔓延的速度更加迅速。
1.1 什么是信息安全
信息安全是指信息系统的硬件、软件及其 系统中的数据受到保护,不受偶然的或者恶意 的原因而遭到破坏、更改、泄露,系统连续可 靠正常地运行,信息服务不中断。
1.2 信息安全的重要性 (1)
破坏银行计算机信息安全的任何事件都将直接影响到银行的正常经营, 其后果是无法想象的,甚至是灾难性的。此类事件往往具有不可预见性、隐 蔽性、作案时间短而发作突然、以及破坏巨大等特点,我们必须就此类潜在 的计算机信息安全风险做到严防严控。
– 针对信息和网络系统的攻击手段和工具越来越高超,计算机病毒和黑客攻击针对金融 信息系统的目的性越来越强,危害性也越来越大。
培训内容
1.什么是信息安全
2.常见的信息安全威胁
3.建行信息安全技术保障体系 4.建行的信息安全制度和员工行为要求
8
2.常见的信息安全威胁
个人资产安全
来自外部的威胁
个人计算机安全
2007年
ARP蠕虫病毒
网速变慢、打开所有网页都会弹出恶意广告、重 定向程序下载地址为病毒下载地址等,会造成整 个局域网全部瘫痪。
个人计算机安全(3)
僵尸网络
僵尸程序
僵尸程序
僵尸程序
通过命令控制
攻击者
跳板主机
僵尸程序
僵尸程序
僵尸程序
个人计算机安全(4)
银行保险行业信息安全培训课件

银行保险行业信息安全培训课件

路电? 两路电是否一定是两个输电站? 有没有UPS? UPS能维持多久? 有没有备用发电机组?
备用发电机是否有充足的油料储备?
另一个与物理安全相关的案例
25
安全事件(1)
26
安全事件(2)
27
安全事件(3)
28
安全事件(4)
29
安全事件(5)
30
安全事件(6)
用户电脑中毒后可能会出现蓝屏、频繁重 启以及系统硬盘中数据文件被破坏等现象。同 时,该病毒可以通过局域网进行传播,进而感 染局域网内所有计算机系统,最终导致企业局 域网瘫痪,无法正常使用,它能感染系统中 exe,com,pif,src,html,asp等文件,它 还能中止大量的反病毒软件进程并且会删除扩 展名为gho的文件,该文件是一系统备份工具 GHOST的备份文件,使用户的系统备份文件 丢失。被感染的用户系统中所有.exe可执行文 件全部被改成熊猫举着三根香的模样。
物理环境中需要 信息安全
ATM诈骗三部曲
在自助银行入口刷卡器下方粘上一个黑 色小方块,叫“读卡器”,罩上一个加 长的“壳”,把银行的刷卡器和读卡器 一起藏在里面,一般人很难发现。取款 人在刷卡进门时,银行卡上的全部信息 就一下被刷进了犯罪分子的读卡器上。
在取款机窗口内侧顶部,粘上一个贴 着“ATM”字样的“发光灯”。这个 “发光灯”是经过特殊改造的,里面 用一块手机电池做电源,连接两个灯 泡,核心部分则是一个MP4。取款人 取款时的全过程被犯罪分子装的“针 孔摄像机”进行了“实况录像”。
24
信息安全令人担忧
内地企业44%信息安全事件是数据失窃
普华永道最新发布的2008年度全球信息安全调查报告显示, 中国内地企业在信息安全管理方面存在滞后,信息安全与隐私保 障方面已被印度赶超。数据显示,内地企业44%的信息安全事件与 数据失窃有关,而全球的平均水平只有16%。 普华永道的调查显示,中国内地企业在改善信息安全机制上 仍有待努力,从近年安全事件结果看,中国每年大约98万美元的 财务损失,而亚洲国家平均约为75万美元,印度大约为30.8万美 元。此外,42%的中国内地受访企业经历了应用软件、系统和网 络的安全事件。
银行业信息安全培训试题(2)

银行业信息安全培训试题(2)

信息安全培训试题一、单选1、信息科技风险指在商业银行运用过程中,由于自然因素、(B)、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

A 制度落实B 技术标准C 人为因素D 不可抗力2、信息科技风险管理的第一责任人是(A)。

A 银行的法定代表人B 信息技术部负责人C CIOD 其他3、信息科技指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行(A),建立完整的管理组织架构,制订完善的管理制度和流程。

A 信息科技治理B 信息安全管理C系统持续性管理D 突发事件管理4、所有科技风险事件都可以归于信息系统连续性或(D)出问题的事件。

A 保密性B 完整性C 可用性D 安全性5、设立或指派一个特定部门负责信息科技(D)管理工作,该部门为信息科技突发事件应急响应小组的成员之一。

A 安全B 审计C 合规D 风险6、内部审计部门设立专门的信息科技风险审计岗位,负责(A)进行审计。

A 信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等B制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等C 信息科技审计制度和流程的实施,对信息科技整个生命周期和重大事件等D 信息科技审计制度和流程的实施,制订和执行信息科技审计计划等7、信息科技风险管理策略,包括但不限于下述领域(C)。

A信息分级与保护;信息系统开发、测试和维护;信息科技运行和维护;访问控制;物理安全;人员安全B信息分级与保护;信息系统开发、测试和维护;访问控制;物理安全;人员安全;业务连续性计划与应急处置C信息分级与保护;信息系统开发、测试和维护;信息科技运行和维护;访问控制;物理安全;人员安全;业务连续性计划与应急处置D 信息分级与保护;信息科技运行和维护;访问控制;物理安全;人员安全;业务连续性计划与应急处置8、依据信息科技风险管理策略和风险评估结果,实施全面的风险防范措施。

27001 信息安全体系培训内容

27001 信息安全体系培训内容

信息安全在当今社会中变得愈发重要,每个组织都应当重视信息安全问题,并且采取相应的措施来保护信息资产。

而信息安全体系培训就成为了组织内部的一项重要工作。

通过信息安全体系培训,可以提高员工对信息安全的认知和风险意识,提升组织的整体信息安全水平。

本文将对信息安全体系培训的内容进行详细探讨。

1. 信息安全概念的介绍在信息安全体系培训的内容中,需要对信息安全的概念进行详细的介绍。

包括信息安全的定义、重要性、影响因素、现状分析等,让员工全面了解信息安全的重要性和现实情况。

2. 法律法规和政策制度信息安全体系培训还应当包括相关的国家法律法规和组织内部的政策制度。

员工需要清楚了解信息安全相关的法律法规要求和企业内部的信息安全政策,避免因为不了解相关法规而犯错。

3. 信息安全风险管理信息安全体系培训内容中,还需要对信息安全风险管理进行专门的介绍。

员工需要了解信息安全风险管理的基本概念、流程、方法和工具,以及在实际工作中如何应对和处理信息安全风险。

4. 安全意识培训培训内容还应包括安全意识培训,通过案例分析、互动讨论等方式,增强员工的安全意识,让员工养成保护信息安全的习惯和自觉。

5. 信息安全技术培训由于信息安全技术是保护信息安全的重要手段之一,因此信息安全体系培训必须包括信息安全技术的培训内容。

通过技术知识的传授和操作实践,使员工能够掌握一定的信息安全技术知识,能够运用相关技术工具进行信息安全保护。

6. 应急响应培训在日常工作中,可能会发生信息安全事件,因此信息安全体系培训还应包括应急响应培训。

员工需要知道如何在信息安全事件发生时,迅速做出反应,并采取相应的措施进行处理和处置。

7. 信息安全文化建设信息安全体系培训的内容还应包括信息安全文化建设。

组织需要倡导信息安全文化,通过培训,使员工认同信息安全文化,将其内化为行为习惯。

信息安全体系培训的内容是多方面的,涵盖了管理、技术、人员、制度等各个方面。

通过全面系统的培训,可以提高组织整体的信息安全水平,减少信息安全事件的发生,保护信息资产的安全。

银行信息安全管理体系参考标准和规范

银行信息安全管理体系参考标准和规范

银行信息安全管理体系参考标准和规范一、银行业信息科技风险管理指引2006年9月,为有效防范银行业金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进我国银行业安全、持续、稳健运行,银监会印发了银监发[2006]第63号文,即《银行业金融机构信息系统风险管理指引》。

2009年6月,为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》《中华人民共和国商业银行法》《中华人民共和国外资银行管理条例》及国家信息安全相关要求和有关法律法规,银监会印发了银监发[2009]第19号文,即《商业银行信息科技风险管理指引》,以替代旧的《银行业金融机构信息系统风险管理指引》。

新《指引》针对银行业信息科技风险特点,提出了“三道防线”的思路。

“三道防线”是按照目前普遍的一种安全模式进行的设计:第一道防线——事先监控,即银行信息科技部门的自我管理;第二道防线——事中管理,即风险管理部门如何督促科技部门进行管理,风险管理部门会提供一些管理工具、思路和框架;第三道防线——事后审计,审计部门独立于上述两个部门之外,对两部门执行情况进行评价。

因此三道防线其实是将信息科技管理、信息科技风险管理、信息科技风险审计统一纳入风险管控。

通过这样的思想,可以很好地解决银行重建设、轻管理、重开发、轻运维的不足。

二、等级保护1.等级保护概述信息安全等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法,是促进信息化健康发展,维护国家安全、社会秩序和公共利益的根本保障。

国务院法规和中央文件明确规定,要实行信息安全等级保护,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度。

信息安全等级保护是当今发达国家保护关键信息基础设施、保障信息安全的通行做法,也是我国多年来信息安全工作经验的总结。

开展信息安全等级保护工作不仅是保障重要信息系统安全的重大措施,也是一项事关国家安全、社会稳定、国家利益的重要任务。

信息安全新版标准培训PPT

信息安全新版标准培训PPT


4
5
4
5
6
3
3
4
5
4
5
6
5
6
7
4
4
5
6
5
6
7
6
7
8
2021/5/20
25
风 险
风险 沟通
风险评估 风险分析
语境建立 风险识别
管 理
2021/5/20
风险估算
风险评价
风险决策点1
评估是否满意
否 是
风险处置
风险决策点2
处置是否满意
否 是
风险接受 第一次或后续迭代的终点
风险 监视 与评 审
26
风 险 管 理
• 点评:本案中,浙江慧达驿站公司为酒店提供技术系统服 务,因此该公司对消费者信息有安全保障义务,如泄露也 要承担侵权责任。
2021/5/20
30
控制举例: A . 7人力资源安全
人力资源安全领域强调如何降
低人员交互作用对组织造成的 内在风险,包括任用前的考察 ,任用中的管理和培训以及任 用终止或变化的处置。
对电压变化的敏感性
电力供应失去
对温度变化的敏感性
气候现象
未保护的存储器
介质或文件偷窃
废物谨慎处置的缺乏
介质或文件偷窃
未控制的复制
介质或文件偷窃
2021/5/20
24
风 险 值 计 算
威胁发生的可能性



脆弱性利用的容易度



低中高低中高
0
0
1
2
1
2
3
2
3
4
1
资产价值
商业银行信息安全培训课件

商业银行信息安全培训课件


•业务网计算机装机必备:办公软件,一体化终端
管理系统,书生阅读器,PDF阅读器,输入法 •互联网计算机装机必备:360杀毒软件,360安
全卫士,防火墙,输入法,办公软件等。 •原则:与工作无关的软件一律不许私自安装。
12

工作中必备的安全知识
[2] 个人使用应注意事项
常用功能 用机保护
存储 数据交换
23

4、以下需要经过金融科技管
理平台审批的事项有()。
(ABCD)ห้องสมุดไป่ตู้
A、耗材领用
B、客户端维护
C、重要参数变更
D、网络维护
24

5、的内部网络有哪些()。
(BC)
A、互联网
B、业务网
C、办公网
D、政务专网
25
THANK YOU
26
定期检查业务用机一体化终端运行情况,并在科技部门的协助下可以安装一些必备工 具。
负责互联网计算机的维护、定期更新杀毒软件、卸载无关软件,定期检查互联网登记 簿登记情况。
严禁科室成员在互联网用机上安装360免费WIFI等软件,严禁通过互联网用机共享无 线网络。
严禁科室成员在工作场所使用翻墙软件等。
做好本部门电子设备系统台账和登记簿的记录,及时更新设备变化情况。
新。
16
工作中必备的安全知识


[6] 安全审计
17
工作中必备的安全知识


[6] 安全审计
18

工作中必备的安全知识
1、告知科技科调试 时间、会议时间、 参会范围
3、主办部门会前准备 查看会场(环境、桌 签)、准备茶水、打 扫卫生
5、会议结束后 通知科技科关闭 设备、并协助科 技科清理会场
银行保密法规与合规要求培训

银行保密法规与合规要求培训

合规风险评估
银行应对潜在合规风险进行评估,及时采取措施 防范和化解风险。
合规问题整改
对于发现的合规问题,银行应立即进行整改,并 追究相关责任人的责任。
04
保密意识培养与行为规范
增强保密意识
保密教育
01
定期开展保密教育,使员工充分认识到保密工作的重要性,增
强保密意识。
保密宣传
02
通过内部宣传、案例分析等方式,普及保密知识,提高员工对
安全策略与配置
提供防火墙和入侵检测系统的配置建议,以确保银行网络 安全。
数据备份与恢复策略
数据备份重要性
强调定期备份数据的重 要性,以防止数据丢失 或损坏。
备份方法与策略
介绍不同的数据备份方 法,如完全备份、增量 备份和差异备份,并提 供适合银行的备份策略 建议。
数据恢复流程
阐述在数据丢失或损坏 情况下进行数据恢复的 步骤和注意事项。
全。
层级分明
从国家层面到地方层面,再到各银 行内部规定,形成严密的法规体系 。
与业务紧密结合
保密法规贯穿银行业务全流程,涉 及信贷、支付、清算等各个环节。
违反保密法规的后果
法律责任
违反国家保密法规可能面 临刑事责任,如泄露国家 秘密罪等。
行政处罚
银行业监管机构可对违反 保密规定的银行进行罚款 、吊销业务许可证等行政 处罚。
银行业务涉及大量客户信息和资金交易,必须严 格遵守保密法规和合规要求,确保业务合规。
3
应对监管要求
银行作为金融机构,受到严格的监管要求,包括 保密法规和合规要求等,通过培训使员工了解并 遵守相关要求。
保密法规与合规要求的重要性
保护客户隐私
银行作为客户信息的主要保管 者,必须确保客户隐私不被泄
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

技术委员会(SC)和工作组(WG)承担。
ISO技术工作的成果是正式出版的国际标准,即ISO标准。 ISO在信息安全方面的标准主要包括:
– ISO17799/ISO27001/ISO27002 – ISO/IEC 15408 – ISO/IEC 13335 – ISO/TR 13569
ISO/IEC17799是由国际标准化组织(ISO)与
主要的信息安全标准-国内标准
1
发布的机构 全国信息安全标准 化技术委员会 安全标准 等级保护系列标准
– 信息安全技术 信息系统安全等级保护基本要求 – 信息安全技术 信息系统安全等级保护定级指南 – 信息安全技术 信息系统安全等级保护实施指南
2
公安部、安全部、 国家保密局、国 家密码管理委员 会等部门
2
3
4
5
主要的信息安全标准-国际标准 (续)
发布的机构 安全标准 7 NIST(国家标 NIST 800系列 准和技术研 究所) 8 DOD (美国国 TCSEC(可信计算机系统评测标 防部) 准)- 彩虹系列 Operationally Critical Threat, Asset, 9 Carnegie Mellon and Vulnerability Evaluation Software (OCTAVE) Criteria Version 2.0 Engineering Institute (SEI) 除了上述标准,世界各国的官方机构和行业监管机构还有许多信息 1 OECD(经济 Guidelines for the Security of 安全方面的标准、指引和建议的操作实践。 Information 0 与贸易发展 组织) Systems and Networks and
1.
ISO系列安全标准,包括
ISO17799/ISO27001/ISO27002 ISO/IEC 15408 ISO/IEC 13335 ISO/TR 13569
2. 3.
ISACA的COBIT 4.1 全国信息安全标准化技术委员会的等级保 护系列标准
提纲
1. 2. 3.
4.
5.
6.
信息安全标准概述 国际标准 – ISO/IEC 系列信息安全标准 国际标准 – COBIT 国内标准 -等级保护 安全标准的比较 问题与回答
Today
1996 1995
1997
1998
1999
2000
2001Βιβλιοθήκη 200220032004
2005
2006
2007
2008 2008
1995 1996 BS7799 ISO13569 &ISO13335第1部分
1998 1999 2000 2001 NIST1.8 ISO15408 ISO17799 ISO13335 第5部分
银监会信息安全标准培训
提纲
1. 2. 3. 4. 5.
6.
信息安全标准概述 国际标准 – ISO/IEC 系列信息安全标准 国际标准 – COBIT 国内标准 -等级保护 安全标准的总结 问题与回答
提纲
1. 2. 3.
4.
5.
6.
信息安全标准概述 国际标准 – ISO/IEC 系列信息安全标准 国际标准 – COBIT 国内标准 -等级保护 安全标准的总结 问题与回答
其他信息安全标准 - 截至2007年底,共完成 了国家标准59项,还有56项国家标准在研 制中。 一系列的信息安全方面的政策法规如:
– – – – –
计算机信息网络国际联网安全保护管理办法 互联网信息服务管理办法 计算机信息系统保密管理暂行规定 计算机软件保护条例 商用密码管理条例,等。
在下面的课程中,我们会主要介 绍以下标准:
信息安全标准概述
信息安全的重要性得到广泛的关注。 与此同时,国际和国内的各种官方和科研 机构都发布了大量的安全标准。 这些标准都是为实现安全目标而服务,并 从不同的角度对如何保障组织的信息安全 提供了指导。

Monday, March 31, 2008
信息安全国际国内准则重要里程碑
信息安全标准的演进
2003 2004 GAISP3.0 ISO15408更新
2006 ISO13335第 1&2部分更新
2007 信息安全 等级管理办法
2005 NIST800-53
N
W
E Page 1
主要的信息安全标准-国际标准
1 发布的机构 安全标准 ISO(国际标准组织)ISO17799/ISO27001/ISO27 002 ISO/IEC 15408 ISO/IEC 13335 ISO/TR 13569 ISACA(信息系统审 COBIT 4.1 计与控制学会) ISSEA(国际系统安 SSE-CMM Systems Security Engineering 全工程协会) Capability Maturity Model 3.0 ISSA(信息系统安全 GAISP Version 3.0 协会) ISF (信息安全论坛) The Standard of Good
2007 COBIT4.1
2003 1999 2002 Standard of Good Practice SSE-CMM1.0&ITIL Security Mangement SSE-CMM3.0 for Information Security V3 1998 1996 2003 2005 2005 2000 COBIT第2版 COBIT第1版 关于信息安全等级 COBIT4.0& ISO27001 &ISO13569更新 COBIT第3版 保护工作实施意见 ISO17799更新 /002 1995 2001 NIST800-12 Criteria Version2.0 1996 NIST800-14
国际标准化组织简介
国际标准化组织
(International Organization for Standardization) 是由多国联合组成的非政府性国际标准化机构。到目前为止,ISO 有正式成员国120多个,中国是其中之一。 内通用的国际标准;
国际标准化组织1946年成立于瑞士日内瓦,负责制定在世界范围 ISO技术工作是高度分散的,分别由2700多个技术委员会(TC)、分