Due Care, Due Diligence

2、SSE-CMM

      SSE-CMM (System Security Engineering Capability Maturity Model)模型是CMM在系统安全工程这个具体领域应用而产生的一个分支，是美国国家安全局(NSA)领导开发的，是专门用于系统安全工程的能力成熟度模型。

      SSE-CMM第一版于1996年10月出版，1999年4月，SSE-CMM模型和相应评估方法2.0版发布。

      系统安全工程过程一共有三个相关组织过程：

• 工程过程
• 风险过程
• 保证过程

      共分5个能力级别，11个过程区域：

• 基本执行级
• 计划跟踪级
• 充分定义级
• 量化控制级
• 持续改进级

      2002年被国际标准化组织采纳成为国际标准即ISO/IEC 21827:2002《信息技术系统安全工程－成熟度模型》。

      SSE-CMM 和BS 7799 都提出了一系列最佳惯例，但BS 7799 是一个认证标准（第二部分），提出了一个可供认证的ISMS 体系，组织应该将其作为目标，通过选择适当的控制措施（第一部分）去实现。而SSE-CMM 则是一个评估标准， 适合作为评估工程实施组织能力与资质的标准

3、通用标准（CC）

      我们通常所称的通用标准或通用准则（Common Criteria，简称CC）是指ISO/IEC15408:1999标准。目前CC标准的最新版本是2.2；CC2.1版在1999年成为国际标准ISO/IEC15408:1999；我国在2001年等同采用为国家标准GB/T 18336－2001。

      CC标准由三个部分组成：

• GB/T 18336.1－2001 idt ISO/IEC15408-1:1999 信息技术安全技术信息技术安全性评估准则第1部分：简介和一般模型
• GB/T 18336.2－2001 idt ISO/IEC15408-2:1999 信息技术安全技术信息技术安全性评估准则第2部分：安全功能要求
• GB/T 18336.3－2001 idt ISO/IEC15408-3:1999 信息技术安全技术信息技术安全性评估准则第3部分：安全保证要求

      与BS7799 标准相比，CC 的侧重点放在系统和产品的技术指标评价上，BS7799 在阐述信息安全管理要求时，并没有强调技术细节。因此，组织在依照BS7799 标准来实施ISMS 时，一些牵涉系统和产品安全的技术要求，可以借鉴CC 标准。

4、ITIL和BS15000

      ITIL的全称是信息技术基础设施库（Information Technology Infrastructure Library）。ITIL针对一些重要的IT实践，详细描述了可适用于任何组织的全面的Checklists、Tasks、Procedures、Responsibilities等。

IT服务管理中最主要的内容就是服务交付（Service Delivery）和服务支持（Service Support）

• 服务交付（Service Delivery）： 
  • Service Level Management
  • Financial Management for IT Service
  • Capacity Management
  • IT Service Continuity Management
  • Availability Management
• 服务支持（Service Support）：
  • Service Desk
  • Incident Management
  • Problem Management
  • Configuration Management
  • Change Management
  • Release Management

      有关ITIL，我之前也有一篇文章进行过简单介绍。

      2001 年，英国标准协会在国际IT 服务管理论坛（itSMF）上正式发布了以ITIL为核心的英国国家标准BS15000。这成为IT 服务管理领域具有历史意义的重大事件。

      BS15000 有两个部分，目前都已经转化成国际标准了。

• ISO/IEC 20000-1:2005 信息技术服务管理-服务管理规范（Information technology service management. Specification for Service Management）
• ISO/IEC 20000-2:2005 信息技术服务管理- 服务管理最佳实践（ Information technology service management. Code of Practice for Service Management）

      与BS7799 相比，ITIL 关注面更为广泛（信息技术），而且更侧重于具体的实施流程。ISMS实施者可以将BS7799 作为ITIL 在信息安全方面的补充，同时引入ITIL 流程的方法，以此加强信息安全管理的实施能力。

5、CoBIT

      CoBIT的全称是信息和相关技术的控制目标（Control Objectives for Information and related Technology），是ITGI提出的IT治理模型（IT Governance)，是一个IT控制和IT治理的框架（Framework）。CobiT是一个在更高的层面上指导管理层进行技术标准和信息系统管理的IT治理模型。

      CoBIT的八个控制过程：

• 计划和组织（Planning & Organisation）
• 采购和实施（Acquisition & Implementation）
• 交付和支持（Delivery & Support）
• 监视和评估（Monitoring & Evaluation）

      CoBIT的七个控制目标：

• 机密性（Confidentiality）
• 完整性（Integrity）
• 可用性（Availability）
• 有效性（Effectiveness）
• 高效性（Efficiency）
• 可靠性（Reliability）
• 符合性（Compliance）

      目前基本上存在着两类控制模型，一类是类似COSO这样的商业控制模式（business control model），另一类则是像BS7799这样的更关注IT的控制模型（more focused  on IT control model），而CoBIT的目标是在两者之间架起一座桥梁。

6、NIST SP800系列 

      美国国家标准技术协会（National Institute of Standards and Technology，NIST）发布的Special Publication 800 文档是一系列针对信息安全技术和管理领域的实践参考指南，其中有多篇是有关信息安全管理的，包括：

• SP 800-12：计算机安全介绍（An Introduction to Computer Security: The NIST Handbook）
• SP 800-30 ： IT 系统风险管理指南（Risk Management Guide for Information Technology Systems）
• SP 800-34：IT 系统应急计划指南（Contingency Planning Guide for Information Technology Systems）
• SP 800-26 ： IT 系统安全自我评估指南（ Security Self-Assessment Guide for Information Technology Systems）

      这些文件可以作为实施ISMS 过程中一些关键任务的指导和参照（例如风险评估、应急计划等），是对BS7799 标准很好的补充和细化。

7、BS7799系列（ISO/IEC 27000系列）

• BS7799 Part 1:

      BSBS7799 Part 1的全称是Code of Practice for Information Security，也即为信息安全的实施细则。2000年被采纳为ISO/IEC 17799，目前其最新版本为2005版，也就是ISO 17799: 2005。

      ISO/IEC 17799:2005 通过层次结构化形式提供安全策略、信息安全的组织结构、资产管理、人力资源安全等11个安全管理要素，还有39个主要执行目标和133个具体控制措施（最佳实践），供负责信息安全系统应用和开发的人员作为参考使用，以规范化组织机构信息安全管理建设的内容。

      ISO/IEC 17799:2005的内容如下图：

• BS7799 Part 2:

      BS7799 Part 2的全称是Information Security Management Specification，也即为信息安全管理体系规范，其最新修订版在05年10月正式成为ISO/IEC 27001:2005，ISO/IEC 27001是建立信息安全管理体系（ISMS）的一套规范，其中详细说明了建立、实施和维护信息安全管理体系的要求，可用来指导相关人员去应用ISO/IEC 17799，其最终目的，在于建立适合企业需要的信息安全管理体系（ISMS）。