1. 資訊保安標準的意義:
標準是規範性檔案之一。其定義是為了在一定的範圍內獲得最佳秩序,經協商一致制定並由公認機構批准,共同使用和重複使用的一種規範性檔案。
2.資訊保安標準組織
iso ———— 國際標準化組織
iec ———— 國際電工委員會
cits ———— 資訊科技安全標準化技術委員會(國內)
ccsa ———— 網路與資訊保安技術工作委員會(國內)
itu ———— 國際電信聯盟
ietf ———— 工程任務組
3. 常見資訊保安標準與規範
國家等級保護制度(gb)
iso27001
美國標準 tcsec
歐洲聯盟標準 itsec
1. 資訊保安管理體系 (information security management system)isms
資訊保安管理體系源於英國標準協會制定的bs7799標準,伴隨著其作為國際標準的發布和普及而被廣泛地接受。
2. 戴明環(pdca)
3. iso27000資訊保安管理體系家族
4. iso27001演變歷程
(1)iso/iec 27001 —— 籠統的管理體系要求,是乙個總的指導思想。由bs 7799-2演變過來。
iso27001認證過程中主要的檢查點有:
檔案審核(風險評估報告、安全方針、soa、其他isms文件)
正式審核(記錄檢查、資訊資產識別、終端安全檢查、物理環境勘察)
(2)iso/iec 27002 —— 具體的實施步驟和細緻條款,由bs 7799-1演變而來,iso/i ec 27002從14個方面提出35個控制目標和113個控制措施。iso27002中的14個控制域為:
目前正在適用iso/iec 27001及iso/iec 27002均為2013發布的版本
2023年只有11個控制域(沒有
六、十一、**合為乙個)
1.資訊保安等級保護定義:
資訊保安等級保護指對資訊和資訊載體按照重要性等級分別進行保護的一種工作。
2.資訊保安等級保護意義:
1、提高整體保障水平,優化安全資源分配
2、使等級保護更合法、合規
3. 資訊等級保護的發展歷程:
1994~2003 起步階段:國家呼籲加強資訊保安建設,提出對資訊系統進行劃分等級來保護。
2007~至今 推廣階段:開始2.0版本,開始定級、整改、測評、檢查,各行各業單位開始全面定級、整改建設。
4. 等級保護範圍:
在1.0版本時只包含資訊系統、基礎資訊網路
2.0版本時加入了大資料,在資訊系統中分支出工業控制系統、物聯網、雲計算平台、使用移動網際網路技術資訊系統
5. 等級保護系統定級:
定級依據:根據系統被破壞後,對公民、社會、國家造成的損害程度定級。
一般中小型企業以等保**標準為例。
6. 等級保護中的基本技術要求:
每乙個保護級別,都有對應的技術要求
在**標準中,包含5個方面:物理安全、應用安全、資料安全、主機安全、網路安全
其中網路安全包含了7個控制點,33個要求項:
7. 等級保護流程:
定級(首要環節)——>備案(必要流程)——>測評(評價方法)—>整改(關鍵)——>監督(外在動力)
通用公司資訊保安規範
第1條 當員工離開自己所使用的計算機時,必須立即鎖定螢幕或退出系統 所使用的計算機應設定成10分鐘自動啟用有口令的螢幕保護。員工離開自己的座位時,必須清空桌面上的檔案及可移動儲存介質。第2條 員工所使用的系統口令,必須是字母 數字和符號組合,且不少於6位。必須具複雜性以免被猜測 不得是自己的 號碼 ...
DVB常用標準與規範列表
iso iec 11172 mpeg 1運 象及其伴音訊號的通用編碼 iso iec 13818 1 2 3 4 mpeg 2運 象及其伴音訊號的通用編碼 en 300 421 1 12ghz 衛星業務中幀結構 通道編碼和調製 dvb s en 300 429 dvb系統中的幀結構 通道編碼和調製 ...
標準WebAPI基本維度保障安全開發規範總結
乙個標準的api介面開發需要從以下幾個維度考慮保障其安全性 在剛接觸介面開發時,可能腦子裡壓根就沒有這個介面呼叫安全性的原則,但常識性的經驗告訴我們,每乙個請求都應該有原則地保障安全性。舉乙個簡單例子 例如這個介面 這個獲取使用者列表資訊的請求總不能在位址列一輸入就直接顯示資訊 雖然有點誇張,不至於...