信息安全保障框架 - 信息系统安全保障评估框架 - 《CISP笔记》

一、信息系统安全保障评估框架——基本概念
二、概念和关系
三、评估的描述
四、评估模型
五、基于信息系统生命周期的信息安全保障
六、信息安全保障要素
七、信息安全保障解决方案

本章需掌握知识点：

信息系统安全保障评估框架
- 理解信息系统保障相关概念及信息安全保障的核心目标
- 了解信息系统保障评估的相关概念金额关系
- 理解信息系统安全保障评估模型主要特点，生命周期、保障要素等概念。

一、信息系统安全保障评估框架——基本概念

PS：
信息系统安全保障的工作基础和前提是风险管理。
信息系统安全保障评估，就是在信息系统所处运行环境中对信息系统安全保障的具体工作和活动进行客观的评估

信息系统的概念：
1. 用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、机构人员、组件的总和。
信息系统安全风险
1. 是具体的风险，产生风险的因素主要有信息系统自身存在的漏洞和来自系统外部的威胁。信息系统运行环境存在特定威胁动机的威胁源。
信息系统安全保障
1. 在信息系统的整个生命周期中，通过对信息系统的风险分析，制定并执行相应的安全保障策略，从技术、管理、工程、人员等方面提出信息安全保障要求，确保信息系统的保密性、完整性、可用性，把安全风险降低到可接受的程度，从而保障系统能够顺利实现组织机构的使命。
  二、概念和关系
  
  如果看的有点懵，可以看我的描述：（不用背，能保证看懂这张图就行）
通过信息系统安全保障模型给出保障要求，信息系统安全保障评估则给出有力的证据证明保障是可靠的，由此产生一个可靠的保障模型。
可靠的保障模型给信息系统的所有者提供提供信息，而所有者也需要对安全保障的信心
所有者信任安全保障后，进行信息系统安全保障控制的要求，人员的要求的一个实施，贯彻到整个信息系统的生命周期中，同时用能力成熟度级要求进行评测，在测评中达到我们信息系统安全保障的要求。
达到信息系统安全保障的要求后，把我们的风险最小化，风险最小化后保护了我们的资产安全，因为资产的安全所以组织的业务顺利开展，完成了我们组织的目标或者使命。

三、评估的描述
首选需要理解以下概念：
信息系统保护轮廓（ISPP）
1. 根据组织机构使命和所处的运行环境，从组织机构的策略和风险的实际情况出发，对具体信息系统安全保障需求和能力进行具体描述。
2. 表达一类产品或系统的安全目的和要求
3. ISPP是从信息系统的所有者（用户）的角度规范化、结构化的描述信息系统安全保障需求。
信息系统安全目标（ISST）
1. 根据信息系统保护轮廓（ISPP）编制的信息系统安全保障方案
2. 某一特定产品或系统的安全需求
3. ISST从信息系统安全保障的建设方（厂商）的角度制定的信息系统安全保障方案。
信息系统安全保障评估的描述，如下图

四、评估模型

模型特点
1. 将风险和策略作为信息系统安全保障的基础和核心
2. 强调安全贯彻信息系统生命周期
3. 强调综合保障的观念
4. 评估模型如下：
  1. 以风险和策略为基础，在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素。通过信息系统安全保障实现信息安全的安全特征：信息的保密性、完整性和可用性特征，从而达到保障组织机构执行其使命的根本目的

五、基于信息系统生命周期的信息安全保障

基于信息系统生命周期的层面和保障要素层面不是相互孤立的，而是相互关联、密不可分的。
在信息系统生命周期中的任何时间点上，都需要综合信息安全保障的技术、管理、工程、人员保障要素

六、信息安全保障要素

信息技术
1. 密码技术
2. 访问控制技术
3. 审计和监控技术
4. 网络安全技术
5. 操作系统技术
6. 数据库安全技术
7. 安全漏洞与恶意代码
8. 软件安全开发
信息安全管理
1. 信息安全管理体系
2. 风险管理
信息安全工程
1. 信息安全工程涉及系统和应用的开发、集成、操作、管理、维护、进化，以及产品的开发、交付、升级
信息安全人才
1. 信息安全保障诸要素中，人是最关键、也是最活跃的要素。网络攻防对抗，最终较量的是攻防两端的人，而不是设备。
  七、信息安全保障解决方案
信息安全保障解决方案
1. 以风险评估和法规要求得出安全需求为依据
  1. 考虑系统的业务功能和价值
  2. 考虑系统风险哪些是必须处置的，哪些是可接受的
2. 贴合实际具有可实施性
  1. 可接受的风险
  2. 合理的进度
  3. 技术可实现性
  4. 组织管理和文化的可接受性