《金融服务 信息安全指南》标准解读.ppt

GB/T 27910—2011金融服务信息安全指南
Financial services--Information security guidelines
金融信息化研究所赵义斌
2018-3
主要内容
前言
主流标准
信息安全体系目标
本标准内容
前言
本标准是2008年全国金融标准化技术委员会的7项金融国际标准采标项目之一,采标“ISO/TR 13569:2005”。
本标准给不同规模和类型的金融机构提供了审慎且成本合理的业务信息安全管理方案,同时它也为金融机构服务提供商提供了指南,对于面向金融业的培训机构和出版商,本标准也可作为原始文档。
主流标准简介
国际标准:27000系列
国内标准:等级保护系列
27000系列标准
ISO/IEC27001的前身为英国的BS7799标准
2005年,BS 7799-2:2002被ISO组织所采纳,推出ISO/IEC 27001:2005.
ISO27000—27036,涉及术语、体系、实践规范、实施指南、指标与测量、风险管理……等,最核心标准是27001,
ISO/IEC 27001被采为国家标准GB/T 22080-2008/ISO/IEC 27001:2005
提出了完整的信息安全管理体系(ISMS),11个主题,39个控制目标,133个控制措施。
11各主题包括安全政策、信息安全组织、资产管理、人力资源安全、实体与环境安全、通信和操作管理、访问控制、信息系统获取开发与维护、信息安全事故管理、业务连续性管理及符合性。
将机构作为标准实施的一个主体
等级保护
安全技术
物理、网络、主机、系统、应用、数据等
安全管理
制度、机构、人员、建设、运维
针对具体的信息系统提出从技术到管理的安全要求
信息安全目标
信息安全体系确保信息资产的机密性、完整性、可用性(真实性、可靠性、不可抵赖性等),达成这些目标是一项跨专业部门的工作。
本标准内容
公司信息安全策略
信息安全管理—信息安全方案
信息安全机构
风险分析和评估
安全控制实施和选择
IT系统控制
实施特定控制措施
辅助项
信息安全策略—信息分类
按照信息资产价值、重要性进行信息分类
不同类别的信息实施不同要求的信息安全防护策略
体现适度安全的理念
信息安全策略—文档层次
安全文档分为以下三个层次:
策略文档
一般由上层管理者发布的安全要求。
实践文档
支持和分解一般安全原则,该原则提供清楚的方法以达到安全策略要求。
规程文档
在一定技术水平上的对实践的归纳,提供实施所要求规程的指南。
规程
策略
实践