智囊团分享:信息安全常用标准和认证
智囊团分享人:老郭,北森云安全负责人
常用安全标准
1、ISO 27000家族
- 两万七起源于英国BS 7799,标准比较多
- ISO/IEC 27000 信息安全管理体系概论及术语
- ISO/IEC 27001 信息安全管理体系要求
- ISO/IEC 27002 信息安全管理体系行为规范
- ISO/IEC 27003 信息安全管理体系实施指南
再加两个云安全相关的
- ISO/IEC27017 云计算服务信息安全管理指南
- ISO/IEC27018 云隐私保护(PII)
27000比较靠前的标准都相对成熟,017和018这两个标准比较新,
但是云计算圈儿的朋友建议多关注一下
今天重点说一下27001,27001是组织内部构建信息安全管理体系ISMS的一套规范,经历了2005版和2013版两个版本,目前采用的是2013版。2005版对应国家标准GB/T 22080:2008,2013版对应的国家标准还未正式发布。2013版共涉及14个控制域,113项控制措施,14个控制域如下:
具体控制项不在这里列举了,大家可以去下载27001的标准文档。
2、等保
等保涉及两个比较重要的标准:
- 信息系统安全保护等级定级指南 (GB/T 22240-2008) (应用类定级标准)
- 信息系统安全等级保护基本要求 (GB/T 22239-2008) (应用类建设标准)
信息系统的安全保护等级分为以下五级:
- 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
- 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
- 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
- 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
- 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。[1
五个等级对应五个保护级别:
- 第一级:自主保护;
- 第二级:指导保护;
- 第三级:监督保护;
- 第四级:强制保护;
- 第五级:专控保护
关于等保的定级可以参照下表
等保和ISO27001的侧重点不太一样:
前者更看重社会公共利益和国家利益,,后者仅仅是针对企业的信息系统本身,之前的等保标准对于云计算这一块儿没有界定,因此给云做等保的时候有些尴尬,找不到可以匹配的标准。不过现在出了一个等保的云分支,不知道有没有正式实行。
3、CSA 云安全指南3.01,全称《云计算关键领域安全指南》, 分三个部分,14个域
第一部分 云体系架构
D1: 云计算体系架构
第二部分 云的治理
D2: 治理与企业风险管理
D3: 法律问题:合同与电子发现
D4: 合规与审核
D5: 信息管理与数据安全
D6: 互操作性与可移植性
第三部分 云的运行
D7: 传统安全、业务连续性和灾难恢复
D8: 数据中心运行
D9: 事故响应
D10: 应用安全
D11: 加密与密钥管理
D12: 身份,授权和访问管理
D13: 虚拟化
D14: 安全即服务SecaaS
安全认证:
企业
1、ISO27001认证
大致流程:
ISMS体系建立→体系运行至少三个月→提交认证公司审核认证
2、等级保护
大致流程:
等级保护定级备案→等级保护差距分析→等级保护整改建议方案→等级保护整改实施→等级保护测评→等级保护检查
3、CSA云安全联盟 C-Star认证
C-Star认证依据CSA-CCM云控控制矩阵进行评分定级
大部分内容与ISO27001是重叠的,可与ISO27001同时认证。
这个认证据说通过以后还得交一笔不菲的注册费,新改的政策, 人数越多,注册费越贵,所以在做这个认证的时候尽量只报与云安全切实相关的人员的数量,这样会省一笔费用
4、可信云认证
数据中心联盟组织的认证,国内一些大厂有做这个,至于是哪些厂,大家可以上数据中心联盟网站上查看,每年都会过一批,在官网上都有公示,内容很详细
5、SOC上市公司
6、PCI-DSS 支付行业
7、HIPAA 医疗和保险
………………….
个人
1、CISSP CISP
CISSP是国外的,全称注册信息系统安全专家
CISP是双SP的国内版本,内容相对更偏重操作
前者考试难度较大,不过现在出了中文版,好一点儿了
CISP一般只要经过五天培训,一般都能拿到证
认可度上外企比较认可双SP,国内大公司看CISP
2、CCSK
云计算安全知识认证
考的基本都是云安全指南的内容
对于CSA的企业会员,直接登陆CSA官网考试就行
非会员得交钱培训才能考试
3、ISO27001内/外审员
4、C-Star内/外审员
内审员证书一般的培训机构都可以签发
外审员需要经过统一的考试
5、secruity+
这个认证也是刚传到国内的
不过比较务实,重操作重实践
比较适合一线安全人员考
6、CCIE security
安全CCIE,这个认证成本是出了名的高
而且中国人太能考试了,导致中国的CCIE在国际上的认可度有些下降
7、CISA
审计人员需要考这个
8、owasp web安全认证CWASP
这个是专注web安全的或者说应用安全的
比较适合一线安全人员
标准和认证相关的我就说这些。
最后,我要说一下,对于认证需要正确看待,
认证更多的是出于合规和企业形象方面的目的而做的
和你企业实际的安全能力并没有直接关系
我了解的几个做安全的公司,本身并没有做什么认证
但是他们的产品做的也挺好,也不定就不安全
但是对于云服务商来讲,做一些认证,可以减少用户选择服务商时的成本。
还有一些大公司在选服务商时要求提供安全资质,在这种情况下,有认证肯定比没有好。
我今天的分享就到这里
谢谢大家的捧场!!
文章来源公众号【云头条】
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
随时掌握互联网精彩
- 1 澳门是伟大祖国的一方宝地 7976126
- 2 女子遭老板性侵后被公司开除 7933147
- 3 日本火山喷发灰柱高达3400米 7802577
- 4 2024 向上的中国 7780079
- 5 肖战新片射雕英雄传郭靖造型曝光 7661572
- 6 男子钓上一条自带“赎金”的鱼 7557332
- 7 大三女生练咏春一起手眼神骤变 7467139
- 8 赵丽颖带儿子探班 7397359
- 9 80岁顶级富豪再婚娶33岁华裔妻子 7297114
- 10 美国女子在地铁上被男子点燃身亡 7175791