《金融服务 信息安全指南》标准解读.ppt

GB／T 27910—2011金融服务 信息安全指南 Financial services--Information security guidelines 金融信息化研究所 赵义斌 2018-3 主要内容 前言 主流标准 信息安全体系目标 本标准内容 前言 本标准是2008年全国金融标准化技术委员会的7项金融国际标准采标项目之一，采标“ISO/TR 13569:2005”。 本标准给不同规模和类型的金融机构提供了审慎且成本合理的业务信息安全管理方案，同时它也为金融机构服务提供商提供了指南,对于面向金融业的培训机构和出版商，本标准也可作为原始文档。 主流标准简介 国际标准：27000系列 国内标准：等级保护系列 27000系列标准 ISO/IEC27001的前身为英国的BS7799标准 2005年，BS 7799-2:2002被ISO组织所采纳，推出ISO/IEC 27001:2005. ISO27000—27036，涉及术语、体系、实践规范、实施指南、指标与测量、风险管理……等，最核心标准是27001， ISO/IEC 27001被采为国家标准GB/T 22080-2008/ISO/IEC 27001:2005 提出了完整的信息安全管理体系（ISMS），11个主题，39个控制目标，133个控制措施。 11各主题包括安全政策、信息安全组织、资产管理、人力资源安全、实体与环境安全、通信和操作管理、访问控制、信息系统获取开发与维护、信息安全事故管理、业务连续性管理及符合性。 将机构作为标准实施的一个主体 等级保护 安全技术 物理、网络、主机、系统、应用、数据等 安全管理 制度、机构、人员、建设、运维 针对具体的信息系统提出从技术到管理的安全要求 信息安全目标 信息安全体系确保信息资产的机密性、完整性、可用性（真实性、可靠性、不可抵赖性等），达成这些目标是一项跨专业部门 的工作。 本标准内容 公司信息安全策略 信息安全管理—信息安全方案 信息安全机构 风险分析和评估 安全控制实施和选择 IT系统控制 实施特定控制措施 辅助项 信息安全策略—信息分类 按照信息资产价值、重要性进行信息分类 不同类别的信息实施不同要求的信息安全防护策略 体现适度安全的理念 信息安全策略—文档层次 安全文档分为以下三个层次： 策略文档 一般由上层管理者发布的安全要求。 实践文档 支持和分解一般安全原则，该原则提供清楚的方法以达到安全策略要求。 规程文档 在一定技术水平上的对实践的归纳，提供实施所要求规程的指南。 规程 策略 实践 信息安全策略—策略文档特点 信息安全策略应成为机构管理体系的有机组成部分。 内容简明扼要、明确保护的信息资产、通用范式。 全机构范围发布、对信息资产的全覆盖等。 由上层管理者发布的安全要求，例如首席执行官(CEO)和首席信息官(CIO)签署、授权，才能生效。 公开发布 内容是稳定的 广泛的代表性 安全实践文档特点 衍生于策略文档，满足实践需求，比策略文档更具有可变性。 范围上比策略文档狭窄，适用于具体的业务、部门，有明确的使用范围和边界，有严格限制的读者对象，文档大小是变化的和依赖主题的，所以实践文档是不公开的。 技术上中立，根据保护信息类别确定使用的技术方法。 实践文档的数量应保持最少。 示例： “对公司信息资产的访问应以与资产敏感性相对应的方式鉴别。双因素鉴别(基于生物特征识别和 基于口令)是可接受的最低鉴别级别。在访问被资产所有者分类为“机密”的资产时仅应采用三因素” 鉴别。双因素鉴别(基于生物特征识别和基于口令)的访问控制系统应遵守如下规则⋯⋯” 安全规程文档特点 衍生于一个或多个安全实践文档, 长度随规程的主题和复杂性而不同，具有可操作性。 在三个层次的文档中范围最狭窄。 制定文档时应保证文档是完整的、准确的和恰当的，并且不能与其他实践或策略冲突，并应对法规限制、外部生产标准和其他规程文档予以考虑。 规程文档应包括：先前的包含任何残余风险标识的安全风险分析和管理审查结果、随后行动的结果 (诸如控制措施执行的安全符合性检查的结果)、日常信息安全行动监控和审查列表以及安全相关事故 的报告。 它们是策略如何实施的专业技术性描述。如 “使用‘pwadmin’命令确保用户口令满足公司访问控制和鉴别实践文档中建立的标准。接下来的 命令是⋯⋯” 信息安全管理——信息安全方案 体系的建立 安全意识 审查 事故管理 监控 符合性 维护 灾难恢复 信息安全管理体系 信息安全体系的建立 实施信息安全策略需要建立信息安全体系，信息安全体系的建立、维护、改进和监控需要机构内多个专业部门的协同参与，全