GB T 19715.2-2005 信息技术 信息技术安全管理指南 第2部分;管理和规划信息技术安全.pdf
《GB T 19715.2-2005 信息技术 信息技术安全管理指南 第2部分;管理和规划信息技术安全.pdf》由会员分享,可在线阅读,更多相关《GB T 19715.2-2005 信息技术 信息技术安全管理指南 第2部分;管理和规划信息技术安全.pdf(18页珍藏版)》请在麦多课文档分享上搜索。
1、ICS 35.040 L 80 华共王G/T 19715.2 2005/ISO/IEC TR 13335-2: 1997 言息2 部全LH目II.匕曰全Information technology Guidelines for the management of IT security一Part 2: Managing and planning IT security (lSO/IEC TR 13335-2: 1997 , IDT) 2005-04-19发布中华人民共和国国家质量监督检验检痊总局中国国家标准化管理委员会2005-10-01实施发布1997 . . . . . . . . . .
2、 . . . . ., . . . . . . . . . . . E 13335-2 : 19715.2-2005/ISO/IEC TR GB/T 次目前言N . .,. ., . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 引言1 -. . . . . . . 0. . . . . . . . . . . . . . . 范围l I . . . . ., . . . . . . . . . . . . . . . . . . . . . . . ,. . . . . . . 规范性引用文
3、件2 l . ., . . . . . . . . . . . . . . . . . . . . . . . . . . . 术语和定义3 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 结构4 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 目的5 1 . . . . . . . . . . . . . . . . . . . . . . . . ., . . . . 背景6 2 . . . . .
4、. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ., . . . IT安全管理7 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ., . . 总体IT安全策略8 5 E -. . . . . . . . . . . IT安全的组织方面9 7 总体风险分析战略选项. . . . . . . . . . 10 8 . . . . . . . .
5、 . . . . . . . . . ., . . . . . . . . . ., IT安全建议11 9 . . . . . . . . . . IT系统安全策略12 10 . . . . . . . . . . . . . . . . . . . IT安全计划13 10 . . . . .,. . . 实施防护措施14 11 . . . . . . . ., . 安全意识15 11 . . . . . . . . . . . . . . . . . . . . . . . 后续活动16 13 I . . . . . . . . . . . 小结17 一前GB/T 19715(信息技术信息技
6、术安全管理指南分为五个部分z第1部分:信息技术安全概念和模型$第2部分管理和规划信息技术安全5-一一第3部分信息技术安全管理技术;一一第4部分防护措施的选择;-一一第5部分s外部连接的防护措施。本部分等同采用国际标准IS0/IECTR 133352, 1997(信息技术部分z管理和规划信息技术安全。本部分中的指南提出IT安全管理的一些基本专题以及这些专题之间的关系。这些指南对标识和管理IT安全各个方面是有用的。本部分由中华人民共和国信息产业部提出。本部分由全国信息安全标准化技术委员会归口。本部分由中国电子技术标准化研究所CCESJ)、中国电子科技集团第十五研究所、中国电子科技集团第三十研究所、
7、上海兰零卫士信息安全有限公司负责起草。本部分主要起草人s安金海、林中、林望重、魏忠、罗锋盈、陈星。第2皿G/T 19715.2-2005/ISO/IEC TR 133352, 1997 信息技术安全管理指南言T GB/T 19715.2-2005/ISO/IEC TR 13335-2: 1997 sl GB/T 19715的目的是提供关于IT安全管理方面的指南,而不是解决方案。那些在组织内负责IT安全的个人应该可以采用本标准中的资料来满足他们特定的需求。本标准的主要目标是:a) 定义和描述与IT安全管理相关的概念;bl 标识IT安全管理和一般的lT管理之间的关系;cl 提出了几个可用来解释IT
8、安全的模型;dl 提供了关于IT安全管理的一般的指南。本标准由多个部分组成。第1部分提供了描述IT安全管理用的基本概念和模型的概述。本部分适用于负责lT安全的管理者及那些负责组织的总体安全大纲的管理者。本部分描述了管理和规划方面。它和负责组织的IT系统的管理者相关。他们可以是zal 负责监督IT系统的设计、实施、测试、采购或运行的lT管理者;bl 负责制定lT系统的实际使用活动的管理者;。当然还有负责lT安全的管理者。第3部分描述了在一个项目的生存周期(比如规划、设计、实施、测试、采办或运行)所涉及的管理活动中适于使用的安全技术。第4部分提供了选择防护措施的指南,以及通过基线模型和控制的使用如
9、何受到支持。它也描述了它如何补充了第3部分中描述的安全技术,如何使用附加的评估方法来选择防护措施。第5部分为组织提供了将它的lT系统连接到外部网络的指南。该指南包含了提供连接安全的防护措施的选择、使用,那些连接所支持的服务,以,及进行连接的IT系统的附加防护措施。凹范围信息技术2部分:GB/T 19715.2-25/ISO/IEC TR 13335-2 ,1997 息技术安全管理指南理和规划信息技术安全GB/T 19715的本部分提出IT安全管理的一些基本专题以及这些专题之间的关系。这些部分对标识和管理IT安全各个方面是有用的。熟悉第1部分所介绍的概念和模型对全面理解本部分是重要的。2 规范性
10、引用文件下列文件中的条款通过GB/T19715的本部分的引用而成为本部分的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分,然而,鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本部分。GB/T 19715.1 2005 信息技术(IS0/IEC TR 13335-1 ,1996 ,IDT) 3 术语和定义信息技术安全管理指南第1部分z信息技术安全概念和模型GB/T 19715.1-2005确立的术语和定义适用于本部分,使用其下列术语z可核查性、资产、真实性、可用性、基线控制、保密性、数据完整性、影
11、响、完整性、1T安全、1T安全策略、可靠性、残留风险、风险、风险分析、风险管理、防护措施、系统完整性、威胁、脆弱性。4 结构本部分有17章。第5章和第6章提供有关本文件目的和背景方面的信息。第7章提供成功的IT安全管理中所涉及的各种活动的概述。第8章到第16章详述这些活动。第17章提供小结。5 目的本部分的目的是要提出与IT安全管理和规划有关的各种活动,以及组织中有关的角色和职责。这般与负责IT系统采购、设计、实现或运行的IT管理人员有关。除了IT安全管理人员外,还与负责使IT系统具体使用活动的管理人员有关。总之,本部分对与组织IT系统有关的负管理责任的任何人是有用的。6 背景为进行业务活动,
12、政府和商业组织极其依赖信息的使用。信息和服务的保密性、完整性、可用性、可核查性、真实性和可靠性的损失会给组织带来负面影响。因此,在组织中对保护信息和管理信息技术(IT)的安全有着重要的需求。在现今环境中,保护信息的这一要求尤为重要,因为许多组织通过IT系统的网络进行内部和外部的连接。IT安全管理是用来实现和维护保密性、完整性、可用性、可核查性、真实性和可靠性相应等级过程的。IT安全管理功能包括2a) 确定组织IT安全目标、战略和策略,GB/T 19715.2-25/ISO/lEC TR 13335-2 ,1997 b) c) d) e) f) 确定组织IT安全要求;标识和分析对组织内IT资产的
13、安全威胁和IT资产的脆弱性;标识和分析安全风险;规定合适的防护措施;监督防护措施的实现和运作,使费用花在有效保护组织内的信息和服务所必需的防护措施上;g) 制订和实施安全意识大纲;h) 对事故的检测和反应。为了履行IT系统的这些管理职责,安全必须是组织的整个管理规划不可分的组成部分并被集成到组织所有的职能过程中。因此,本部分所提出的若干安全专题具有广泛的管理内涵。本部分将不关注广泛的管理问题,而是这些专题的安全方面以及它们与管理的关系如何。7 IT安全管理7. 1 规划和管理过程概述IT安全规划和管理是制订和维护组织内IT安全大纲的全面过程。图l示出此过程中的主要活动。由于管理风格、组织规模和
14、结构不同,应对此过程予以剪裁,以适应使用此过程的环境。重要的是要根据组织的风格、规模和结构及其进行业务的方式采用图1所标识的各种活动和功能。这意味着进行管理评审是所有这些活动和功能的一部分。起点是要制订组织IT安全目标的清晰视图。这些目标是根据更高层日标(例如,业务目标)得到的,然后依次产生组织的IT安全战略和总体IT安全策略.详见第8章。由此,部分总体IT安全策略创建合适的组织结构,保证能够实现所规定的目标。且体IT圭圭置略第8章口圭圭的组织方面第9章风陆管理(7.2)品体风险卦析战略方面【第10章】选项选捍r 基线方法非正规万法详细的组合方法风险分析.J L .J L L 口圭圭建诅(第1
15、1章 IT罩统去全置略第12章) IT圭圭规划第13章-_- -实现(7.3)|防护脚第14章查全意识第15章、 后续活动第16章图1IT安全规划和管理概述2 GB/T 19715.2-2005/ISO/IEC TR 13335-2 ,1997 7.2 凤险管理概述风险管理包括四种不同的活动:a) 在总体IT安全策略上下文内确定适合于组织的全面风险管理战略;b) 作为风险分析活动的结果或按照基线控制,选用适用于各个IT系统的防护措施;c) 根据安全建议形成IT系统安全策略,以及在必要时更新总体IT安全策略(和合适时更新部门IT安全策略), d) 根据批准的IT系统安全策略,制订IT安全计划以实
16、现防护措施。7.3 实现概述应按IT安全计划实现每个IT系统所必须的防护措施。全面改善IT安全意识(虽然常被忽视), 对防护措施的有效性而言,是个重要方面。图1清楚地表明两项工作,即防护措施实现和安全意识大纲,应并行运作,这是因为用户行为不可能很快改变,需要在一个较长的时期内不断提高安全意识。7.4 后续活动概述第16章中提出的后续活动包括:a) 维护防护措施,以保证其连续而有效地运行;b) 检查,以保证防护措施符合已批准的策略和计划;c) 监督资产、威胁、脆弱性和防护措施的变异以检测可能影响风险的变化;d) 事故处理以保证对不希望事件的合适反应。后续活动是项持续的工作,它应包括早期决定的重新
17、评估。7.5 结合IT安全如果在组织内全面开展IT安全活动并且从系统生存周期开始,那么这些活动就能发挥最大效用。IT安全过程本身就是-个主要的活动周期并应与系统生存周期的各个阶段相结合。虽然在新系统一开始就结合,安全才会最有效,但是传统系统和业务活动也会因为在任何阶段及时结合安全而受益。IT系统生存周期可划分为三个基本阶段。每个阶段通过以下途径与IT安全联系a) 计划:在做出活动计划和决定期间应处理IT安全要求;b) 获得,IT安全要求应与系统设计、开发、采购、升级或另行构建的过程相结合。安全要求与这些活动相结合保证在合适的时间将成本有效安全特性加入系统而不滞后;c) 运行zIT安全应与运行环
18、境相结合。当用IT系统执行其预期任务时,一般要经历一系列升级,包括采购新的硬件或修改或增加软件。除此之外,运行环境经常改变。环境的这些变化可能产生新的系统脆弱性,对此应予以分析和评估,要么想法减轻,要么接受。同等重要的是系统的安全处置或重新指派。IT安全应是在IT系统生存周期阶段内和之间的具有许多反馈的持续过程。在图1中仅示出了总的反馈通路。在大部分情况中,反馈还会出现在IT安全过程各主要活动内和之间。这提供有关IT系统脆弱性、威胁和防护措施,贯穿IT系统生存周期三个阶段的持续信息流。还值得注意的是每个组织业务范围可以标识独特的IT安全要求。这些范围应相互支持并通过分享能用来支持管理决策形成过
19、程的安全方面的信息支持整个IT安全过程。8 总体IT安全策略8. 1 目标可以为组织的每个层次和每个业务单位或部门定义目标(要实现什么)、战略(如何实现这些目标)和策略(实现这些目标的规则)。为了实现有效的IT安全,调整每个组织层次和业务单位的各个目标、战略和策略是必要的。虽然相应文件受不同观点影响,但是相应文件之间的一致性是重要的,因为许多威胁(例如系统被黑客攻击,文件删除和火灾)是共同的业务问题。3 GB/T 19715.2-2005/ISO/IEC TR 13335-2 ,1997 8.2 管理承诺高层管理对IT安全的承诺是重要的,并应产生正式协议,并记录总体IT安全策略。总体IT安全策
20、略应根据总体安全策略派生出来。8.3 策略关系若合适,总体IT安全策略可以包含在总体技术和管理的范围内,共同形成总体IT安全战略报告的基础。此报告应对安全重要性,特别是安全对符合战略是否必要,作出有说服力的表述。图2示出了各种策略之间的关系。没有考虑组织使用的文件和组织结构,重要的是提供所述策略的不同消息(message)和维护一致性。另外,特定系统和服务,或一组IT系统和服务要求更详细的IT安全策略。这些通常称之为IT系统安全策略。它是重要的管理方面,其范围和界限是清晰地定义并且以业务和技术理由为基础的。根据目标和战略而派生的业务盟略且体安全置略且体市场策略且你IT置晤且体IT主圭置晤t-m
21、 -略E置-Lb et -TE-IE -mm-r系统B革镜AIT去全置晤策略关系图2) -hu )lf) cdeEEhoku 8.4 总体IT安全策略要素总体IT安全策略至少应包括下列专题:a) IT安全要求,例如,在保密性、完整性、可用性、真实性、可核查性和可靠性方面,特别是与资产拥有者意图有关方面;组织基础设施和职责的分配;安全与系统开发和采购的结合;指令和规程;信息分类的级别定义;风险管理战略;应急计划;人员问题(对要求信赖的岗位上的人员应予以特别注意,例如,维护人员和系统管理人员); 意识和培训11; 法律和规章责任z外包管理;事故处理。4 , G/T 19715.2-2005/ISO
22、/IEC TR 13335-2: 1997 9 IT安全的组织方面9. 1 角色和职责IT安全是一项跨学科的课题并与组织内的IT项目、系统和所有lT用户有关。职责的合理分配和划分应保证完成所有重要工作任务和有效的方法履行这些职责。虽然可根据组织的规模和结构,通过不同的组织方案达到此目的,但在每个组织中需要包含下列角色ga) IT安全管理协调小组,它一般解决跨学科问题并审批指令和标准;b) 高层IT安全官员,他起到组织内所有lT安全方面的聚集点的作用。IT安全管理协调小组和高层IT安全官员应具有明确规定的职责并是足够资深的人以保证对总体IT安全策略的承诺。组织应为高层IT安全官员提供清晰的通信线
23、路、角色和职权,责任应由IT安全管理协调小组审批。可通过使用外部顾问补充完成这些责任。图3示出了一个典型的高层IT安全官员,IT安全管理协调小组和代表之间关系的例子。其中代表来自组织其他方面,例如g其他的安全职能、用户委员会和lT人员。这些关系可以是分层管理或功能管理的。图3所述的IT安全组织的例子使用二个组织层。分层管理是便于组织采纳的,它可以根据自己的需求增加或删除层次。对于小的媒体组织可以选择只有名高层IT安全官员承担所有安全角色的职责。当将这些功能组合在一起时,重要的是要保证维护合适的检查和平衡以避免没有施加影响或控制的可能,而将太大的权力集中在个人手中。图示符号g作用组织的* 仅当部
- 1.请仔细阅读文档,确保文档完整性,对于不预览、不比对内容而直接下载带来的问题本站不予受理。
- 2.下载的文档,不会出现我们的网址水印。
- 3、该文档所得收入(下载+内容+预览)归上传者、原创作者;如果您是本文档原作者,请点此认领!既往收益都归您。
下载文档到电脑,查找使用更方便
5000 积分 0人已下载
下载 | 加入VIP,交流精品资源 |
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GB 19715.2 2005 信息技术 安全管理 指南 部分 管理 规划 安全

链接地址:http://www.mydoc123.com/p-175106.html