智囊团分享:信息安全常用标准和认证

安全 作者:邮箱投递 2015-11-06 03:23:38

智囊团分享人:老郭,北森云安全负责人

北森云1

常用安全标准

1、ISO 27000家族

  • 两万七起源于英国BS 7799,标准比较多
  • ISO/IEC 27000    信息安全管理体系概论及术语        
  • ISO/IEC 27001    信息安全管理体系要求
  • ISO/IEC 27002    信息安全管理体系行为规范
  • ISO/IEC 27003    信息安全管理体系实施指南

再加两个云安全相关的

  • ISO/IEC27017    云计算服务信息安全管理指南
  • ISO/IEC27018    云隐私保护(PII)

27000比较靠前的标准都相对成熟,017和018这两个标准比较新,

但是云计算圈儿的朋友建议多关注一下

今天重点说一下27001,27001是组织内部构建信息安全管理体系ISMS的一套规范,经历了2005版和2013版两个版本,目前采用的是2013版。2005版对应国家标准GB/T 22080:2008,2013版对应的国家标准还未正式发布。2013版共涉及14个控制域,113项控制措施,14个控制域如下:

信息安全2

具体控制项不在这里列举了,大家可以去下载27001的标准文档。

2、等保

等保涉及两个比较重要的标准:

  • 信息系统安全保护等级定级指南 (GB/T 22240-2008) (应用类定级标准)
  • 信息系统安全等级保护基本要求 (GB/T 22239-2008) (应用类建设标准)

信息系统的安全保护等级分为以下五级:

  • 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
  • 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
  • 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
  • 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
  • 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。[1

五个等级对应五个保护级别:

  • 第一级:自主保护;
  • 第二级:指导保护;
  • 第三级:监督保护;
  • 第四级:强制保护;
  • 第五级:专控保护

关于等保的定级可以参照下表

信息安全3

等保和ISO27001的侧重点不太一样:

前者更看重社会公共利益和国家利益,,后者仅仅是针对企业的信息系统本身,之前的等保标准对于云计算这一块儿没有界定,因此给云做等保的时候有些尴尬,找不到可以匹配的标准。不过现在出了一个等保的云分支,不知道有没有正式实行。

信息安全4

3、CSA 云安全指南3.01,全称《云计算关键领域安全指南》, 分三个部分,14个域

第一部分 云体系架构

D1: 云计算体系架构

第二部分 云的治理

D2: 治理与企业风险管理

D3: 法律问题:合同与电子发现

D4: 合规与审核

D5: 信息管理与数据安全

D6: 互操作性与可移植性

第三部分 云的运行

D7: 传统安全、业务连续性和灾难恢复

D8: 数据中心运行

D9: 事故响应

D10: 应用安全

D11: 加密与密钥管理

D12: 身份,授权和访问管理

D13: 虚拟化

D14: 安全即服务SecaaS

安全认证:

企业

1、ISO27001认证

大致流程:

ISMS体系建立→体系运行至少三个月→提交认证公司审核认证

2、等级保护

大致流程:

等级保护定级备案→等级保护差距分析→等级保护整改建议方案→等级保护整改实施→等级保护测评→等级保护检查

3、CSA云安全联盟 C-Star认证

C-Star认证依据CSA-CCM云控控制矩阵进行评分定级

大部分内容与ISO27001是重叠的,可与ISO27001同时认证。

这个认证据说通过以后还得交一笔不菲的注册费,新改的政策, 人数越多,注册费越贵,所以在做这个认证的时候尽量只报与云安全切实相关的人员的数量,这样会省一笔费用

4、可信云认证

数据中心联盟组织的认证,国内一些大厂有做这个,至于是哪些厂,大家可以上数据中心联盟网站上查看,每年都会过一批,在官网上都有公示,内容很详细

5、SOC上市公司

6、PCI-DSS 支付行业

7、HIPAA 医疗和保险

………………….

个人

1、CISSP   CISP

CISSP是国外的,全称注册信息系统安全专家

CISP是双SP的国内版本,内容相对更偏重操作

前者考试难度较大,不过现在出了中文版,好一点儿了

CISP一般只要经过五天培训,一般都能拿到证

认可度上外企比较认可双SP,国内大公司看CISP

2、CCSK

云计算安全知识认证

考的基本都是云安全指南的内容

对于CSA的企业会员,直接登陆CSA官网考试就行

非会员得交钱培训才能考试

3、ISO27001内/外审员

4、C-Star内/外审员

内审员证书一般的培训机构都可以签发

外审员需要经过统一的考试

5、secruity+

这个认证也是刚传到国内的

不过比较务实,重操作重实践

比较适合一线安全人员考

6、CCIE security

安全CCIE,这个认证成本是出了名的高

而且中国人太能考试了,导致中国的CCIE在国际上的认可度有些下降

7、CISA

审计人员需要考这个

8、owasp web安全认证CWASP

这个是专注web安全的或者说应用安全的

比较适合一线安全人员

标准和认证相关的我就说这些。

最后,我要说一下,对于认证需要正确看待,

认证更多的是出于合规和企业形象方面的目的而做的

和你企业实际的安全能力并没有直接关系

我了解的几个做安全的公司,本身并没有做什么认证

但是他们的产品做的也挺好,也不定就不安全

但是对于云服务商来讲,做一些认证,可以减少用户选择服务商时的成本。

还有一些大公司在选服务商时要求提供安全资质,在这种情况下,有认证肯定比没有好。

我今天的分享就到这里

谢谢大家的捧场!!

文章来源公众号【云头条】

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接