CNS 14929-1-2005 Information technology - Guidelines for the management of IT security - Part 1 Concepts and models for IT security《信息技术-信息技术安全管理指导纲要-第1部:信息技术安全概念与模型》.pdf
《CNS 14929-1-2005 Information technology - Guidelines for the management of IT security - Part 1 Concepts and models for IT security《信息技术-信息技术安全管理指导纲要-第1部:信息技术安全概念与模型》.pdf》由会员分享,可在线阅读,更多相关《CNS 14929-1-2005 Information technology - Guidelines for the management of IT security - Part 1 Concepts and models for IT security《信息技术-信息技术安全管理指导纲要-第1部:信息技术安全概念与模型》.pdf(20页珍藏版)》请在麦多课文档分享上搜索。
1、 1 印行年月 94 年 10 月 本標準非經本局同意不得翻印 中華民國國家標準 CNS 總號 類號 ICS 35.040.00 14929-1X6046-1經濟部標準檢驗局印行 公布日期 修訂公布日期 94 年 5 月 13 日 年月日 (共 20 頁 )資訊技術資訊技術安全管理指導綱要第 1 部:資訊技術安全概念與模型 Information technology Guidelines for the management of IT security Part 1: Concepts and models for IT security 目錄 節次 頁次 導論 3 1. 適用範圍 . 4
2、 2. 參考文件 . 4 3. 用語釋義 . 4 4. 結構 5 5. 目標 5 6. 背景 5 7. IT 安全管理的概念 6 7.1 方法 . 6 7.2 目標、策略和政策 6 8. 安全元件 . 8 8.1 資產 . 8 8.2 威脅 . 8 8.3 脆弱性 9 8.4 衝擊 . 10 8.5 風險 . 10 8.6 保護措施 10 8.7 殘餘風險 11 8.8 限制條件 11 9. IT 安全管理的過程 12 9.1 組態管理 12 9.2 變更管理 13 9.3 風險管理 13 9.4 風險分析 13 9.5 可歸責性 14 9.6 安全認知 14 9.7 監視 . 14 2 CN
3、S 14929-1, X 6046-1 9.8 應變計畫和災難的復原 15 10. 模型 15 11. 彙總 19 英中名詞對照表 . 20 3 CNS 14929-1, X 6046-1 導論 本標準之目的為提供資訊技術 (Information Technology; IT)安全管理方面的指引,並非提供解決的方法。組織內負責 IT 安全的相關人員,可採用本標準的內容以符合其特定的需求。本標準的主要目標是: 定義及描述與 IT 安全管理有關的概念。 識別 IT 安全管理與一般 IT 管理之間的關係。 呈現一些可以被使用於解釋 IT 安全的模型。 提供 IT 安全管理的一般指引。 本系列標準分
4、為 5 部。第 1 部提供基本概念之概觀與使用於描述 IT 安全管理的模型。這部的內容適合負責 IT 安全之管理者與負責組織整個安全程式的人員。 第 2 部描述管理與規劃方面。這部是與負責關於組織之 IT 系統的管理者有關。包含: 負責監督 IT 系統的設計、實作、測試、採購、或操作的 IT 管理者。 負責 IT 系統之實際使用活動的管理者。 第 3 部描述牽涉專案生命週期中之管理活動 的安全技術,例如:規劃、設計、實作、測試、獲取或操作。 第 4 部提供保護措施之選擇的指引,且如何藉由基準版本模型與控制的使用以支援這些指引。它也描述如何補充在第 3 部所描述的安全技術,與如何使用額外評鑑之方
5、法於保護措施的選擇。 第 5 部針對負責管理 IT 安全的人員,提供關於網路與通訊的指引。本指引支援建立網路安全需求時,必須考量的通訊相關要素的識別與分析。它也包含一個可能的保護措施領域之簡短的導論。 4 CNS 14929-1, X 6046-1 1. 適用範圍 本系列標準包含資訊技術 (Information Technology, IT)安全管理的指引。本標準介紹 IT 安全管理本質的基本管理概念和模型。這些概念和模型將於以後各部進一步討論和發展 (develop)以提供更詳細的指引。這幾部可集合起來用以協助識別和管理IT 安全的各方面。要完全了解本系列標準,第 1 部不可或缺。 2.
6、參考文件 CNS 13204-2 資訊處理系統開放系統互連基本參考模型第 2 部:安全架構 3. 用語釋義 下列用語釋義適用於本系列標準第 1 部至第 3 部。 3.1 可歸責性 (accountability):保證個體 (entity)的動作可被唯一地追溯到 此個體的性質 (CNS 13204-2)。 3.2 資產 (asset):對組織有價值的任何事物。 3.3 鑑別性 (authenticity):本性質確保物件或資源之識別如所聲稱者。鑑 別性會應用至個體,諸如:使用者、過程 (process)、系統及資訊。 3.4 可用性 (availability):經授權個體因應需求之可存取及可
7、使 用的性質 (CNS 13204-2)。 3.5 基準控制措施 (baseline controls):為系統或組織建立之保護措施的最小集合。 3.6 機密性 (confidentiality):使資訊 不可用或不揭露給未經授權之個人、個體或過程的性質 (CNS 13204-2)。 3.7 資料完整性 (data integrity):尚未以未經授權方式來改變或銷毀資料的性質(CNS 13204-2)。 3.8 衝擊 (impact):不想要的意外事故的結果。 3.9 完整性 (integrity):參見資料完整性和系統完整性。 3.10 資訊技術安全 (IT security):關於定 義
8、、完成以及維持機密性、完整性、可用性、可歸責性、鑑別性和可靠性的所有方面。 3.11 IT 安全政策:用以統理在組織及其 IT 系統內,資產 (包括敏感資訊 )如何管理、保護與分發的規則、指令 (directives)及實務 (practices)。 3.12 可靠性 (reliability):與預期行為和結果一致的性質。 3.13 殘餘風險 (residual risk):在實作保護措施之後剩餘的風險。 3.14 風險 (risk):已知威脅利用單一或一群資產的脆弱性造成資產損失 或損壞的潛在可能性。 3.15 風險分析 (risk analysis):識別安全風險、決定它們的程度,以及識
9、別需要保護措施區域的過程。 3.16 風險管理 (risk management):識別、控制以及排除或最小化可能影響 IT 系統資源的不確定事件的全部過程。 3.17 保護措施 (safeguard):降低風險的實務、程序或機制。 3.18 系統完整性 (system integrity):系統在免於故意或意外未授權系統操作之未損害的情況下,執行其預定功能的性質。 5 CNS 14929-1, X 6046-1 3.19 威脅 (treat):因不需要的事故而可能造成系統或組織傷害的潛在可能性。 3.20 脆弱性 (vulnerability) :包含會受到威脅利用的單一或一群資 產的弱點(
10、weakness)。 4. 結構 本標準結構如下:第 5 節點出本標準的目標 (aim)。第 6 節提供 IT 安全管理所需求的背景資訊。第 7 節指出 IT 安全概念和模型的一般概觀。第 8 節細數 IT 安全的基本元件。第 9 節討論 IT 安全管理使用的過程。第 10 節提出數個對於了解本標準所要表現的概念相當有用的模型和一般性的討論。最後,本標準彙總於第 11 節。 5. 目標 (aim) 本系列標準係為各式各樣的讀者所寫。本標準旨在描述 IT 安全管理範圍內多樣的主題,並提供基本的 IT 安全概念和模型的簡要介紹。為了提供高階管理概觀,所以內容維持簡潔,應可適合組織內負責安全的資深管
11、理者以及對本系列標準其他部有興趣的人員給予 IT 安全簡介。第 2 和 3 部是以第 1 部所提出的概念和模型為基準,提供更廣泛的資訊和內容,適合於直接負責執行和監視 IT 安全的個別人員。 本系列標準無意建議 IT 安全的特定管理方法。相反地,本系列標準以有用的概念和模型的一般性討論為起點,而以討論 IT 安全管理可使用的特定技術和工具做為結束。本題材屬一般性且適用於許多不同風格的管理和組織環境。本系列標準的組織方式,允許修改題材,以符合組織的需要及其特定管理風格。 6. 背景 政府和商業組織大量依賴利用資訊來進行營運活動。失去資訊和服務的機密性、完整性、可用性、可歸責性、鑑別性和可靠性將會
12、對組織有不利的衝擊。因此,保護資訊以及管理組織內資訊技術 (IT)系統安全是急迫需要。在今天的環境下保護資訊的需求特別重要,因為許多組織利用資訊系統的網路做內部和外界的連接。 IT 安全管理是一個用來達到並維持適當等級的機密性 、完整性、可用性、可歸責性、鑑別性和可靠性的過程。 IT 安全管理功能包括: 判定 (determining)組織 IT 安全的目標 (objective)、策略和政策。 判定組織 IT 安全的需求。 識別並分析組織內 IT 資產安全上的威脅。 識別並分析風險。 規定適當的保護措施。 監視所需要之保護措施的 實作和操作,以便於合乎成本效益地保護組織內資訊和服務。 發展並
13、實作安全認知 (awareness)計畫。 事故的偵測和反應。 為了滿足 IT 系統的這些管理責任,安全必須是組織整體管理計畫不可缺少的一部分。結果,述明於本標準的幾個安全主題具有較廣的管理意涵。本標準並沒有著重在寬廣管理議題上的意圖,而是寧可著重在安全方面的主題以及它們與一般管理的關係。 6 CNS 14929-1, X 6046-1 7. IT 安全管理的概念 採取依據考量組織經營文化和環境需求的觀念,對於整體安全有重大的影響,以及會衝擊到那些負責保護組織特定部分的事物。並且在一些情況下,政府應該要負責而且要加強法令和法律的實施。而其他的情況下,認定要負責資訊安全的是擁有者或管理者。這個議
14、題對於採用的觀念會有相當的影響。 7.1 方法 在組織內對 IT 安全需求的識別需要系統化的方法,對於 IT 安全的實作以及其進行中的管理也是如此。此過程被稱為 IT 安全管理並包括以下的活動: IT 安全政策的發展。 識別組織內的角色和責任。 涉及識別和評鑑 (assessment)下列各項的風險管理: 被保護資產。 威脅。 脆弱性。 衝擊。 風險。 保護措施。 殘餘風險。 限制條件。 組態管理。 變更管理。 應變規劃和災難復原規劃。 保護措施的選擇和實作。 安全認知。 後續作為,包括: 維護。 安全稽核。 監視。 審查。 事故處理。 7.2 目標 (objective)、策略和政策 組織的
15、安全目標、策略和政策 (參照圖 1)需整合以作為組織內 IT 安全的基礎。其支援組織的營運,並一起確保所有保護措施之間的一致性。目標識別出應該達成什麼、策略識別出如何達成這些目標,而政策則識別出需要完成什麼。 7 CNS 14929-1, X 6046-1 圖 1 目標、策略和政策之階層圖 、企業的目標 策略和政策、企業安全的目標 策略和政策、企業IT安全的目標 策略和政策IT系統安全 (1) 、的目標 策略和政策、企業財務的目標 策略和政策、企業人員安全的目標 策略和政策IT系統安全 (n) 、的目標 策略和政策目標、策略和政策可能要從企業至組織的營運層級上階層式的發展。其宜反映組織上的需求
16、及計入任何組織上的限制條件,同時,其宜確保每個層級至所有層級都維持一致性。安全是組織內所有的管理層級的責任,並且在系統生命週期的所有階段發生。目標、策略和政策宜以定期的安全審查 (例如:風險分析、安全稽核 )的結果及企業目標之更迭為基準,予以維護並且更新。 企業的安全政策,本質上為了組織整體是由安全原則及指令所組成。企業的安全政策必須反映廣泛的企業政策,包含指出個人權利、法律要求和標準。 企業的 IT 安全政策必須反映本質上的的安全原則及指令,以適用於組織內之企業安全政策及 IT 系統的一般用途。 IT 系統安全政策必須反映包含於企業 IT 安全政策中的安全原則及指令。其亦宜包含需實作之特別安
17、全需求以及保護措施的細節,和如何正確地使用其以確保適足的安全。不管在任何情況下,對於組織營運所需要有關的有效執行是重要的。 IT 系統安全的目標、策略和政策代表何者是 IT 系統安全項目所期待的。通常其以自然語言表達,不過可能有需要利用到一些較正式的數學語言型式表達。其宜強調 IT 安全的考量,例如: 機密性。 完整性。 可用性。 8 CNS 14929-1, X 6046-1 可歸責性。 鑑別性。 可靠性。 目標、策略和政策將對組織建立安全等級、對風險接受度之臨限以及組織應變需求。 8. 安全元件 以下各節大體描述涉及安全管理過程的主要元件。每一元件皆會予以簡介並識別其主要功能因素。此元件更
18、詳細的描述和討論及其關連參照本系列標準其他各部。 8.1 資產 適當的資產管理對於組織的成功是相當 重要,而且是所有管理層級的主要責任。組織的資產包括: 實體資產 (例如:電腦硬體、通訊設施、建築物等 )。 資訊 /資料 (例如:文件、資料庫等 )。 軟體。 生產產品或提供服務的能力。 人員。 無形的資產 (例如:商譽、形象 )。 這些資產大部分或全部可被視為是有價值的,足以保證某種程度的保護。如果這些資產不加以保護,則需要可接受的風險評鑑。 從安全的觀點而言,如果沒有識別組織的資產,不可能實作和維護成功的安全計畫。在許多的情況下,能夠在非常高的層級下完成識別資產的過程並鑑定其值,而且,不需要
19、耗錢、詳細及耗時的分析亦能達成。分析之詳細程度必須依據時間和費用對該資產價值來衡量。在任何情況下,詳細的程度宜以安全目標為基礎而做判定。在許多情況下,其有助於集團資產。 要考量的資產屬性包括其價值及 /或敏感度以及任何固有的保護措施。保護資產的需求會受到其在特定威脅存在下的脆弱性而左右。如果資產擁有者明白這些面向,宜於此階段掌握住它們。組織的經營環境和文化可能會影響資產及其屬性。例如:一些企業文化會認為個人資訊的保護非常重要,但其他企業則不認為重要時。這些環境和文化的差異對於國際組織及其跨國 IT 系統的使用深具意義。 8.2 威脅 資產很容易受到許多種類的威脅。威脅有可能發生不想要的事故而對
20、系統或組織及其資產造成傷害。此傷害出現係由於 IT 系統或服務正在處理的資訊受到直接或間接的攻擊所導致,例如未經授權的破壞、揭露、修改、毁壞和不可用或損失。威脅需要利用資產存在的脆弱性,以便成功地造成資產的傷害。威脅可能是天然或人為因素,而且可能是意外或故意的。意外與故意兩種威脅都應該要加以識別,並評鑑它們的等級以及可能性。 威脅之範例: 9 CNS 14929-1, X 6046-1 人為 環境 故意 意外 竊聽 資訊修改 系統侵入 惡意的程式 竊盜 錯誤和疏忽 檔案刪除 不正確的選路 (routing) 實體的意外 地震 閃電 水災 火災 可以使用關係到許多環境威脅型式的統計資料,組織宜於
21、威脅評鑑過程中取得並使用此資料。威脅可能衝擊到組織的特定部分,例如:個人電腦的分解。某些威脅可能對系統或組織存在的特定位 置的周圍環境造成一般性的衝擊,例如:颶風或閃電對建築物的傷害。威脅可能來自於組織內發生,例如:員工罷工,或者來自於外界,例如:惡意的侵入或企業的間諜活動。不想要的意外所造成的傷害可能是暫時性本質或是如同資產毀滅情況下的永久性傷害。 每次威脅發生所造成傷害的程度會變化多端,例如: 軟體病毒依照它的動作可能造成不同程度的傷害。 於特定地點地震,每次可能有不同強度。 此類威脅常有與其相關之嚴重性量測,例如: 可能用破壞性或非破壞性描述病毒。 地震強度可能用芮氏地震儀的強度描述。
22、一些威脅可能影響到一個以上的資產,在這種情況下,它們可能依據被影響的資產而有不同的衝擊。例如:電腦病毒在單一個人電腦可能是有限或局部的衝擊,不過,相同的電腦病毒在網路為基礎的檔案伺服器可能有蔓延的衝擊。其他的威脅或者相同的威脅在不同的位置所造成的傷害程度可能一樣。如果威脅造成一致的傷害,將要用同屬的方法。不過,如果是廣泛而且多種的傷害,威脅的發生則需更特定的防治方法。 威脅具提供關於威脅本身有用資訊的特性,此資訊範例包括: 來源,例如內部人員或外部人員。 動機,例如:財務利益、競爭利益。 發生頻率。 威脅嚴重性。 組織所在的環境和文化對於組織如何處理威脅有重大關係和影響。極端的例子是,有些威脅
- 1.请仔细阅读文档,确保文档完整性,对于不预览、不比对内容而直接下载带来的问题本站不予受理。
- 2.下载的文档,不会出现我们的网址水印。
- 3、该文档所得收入(下载+内容+预览)归上传者、原创作者;如果您是本文档原作者,请点此认领!既往收益都归您。
下载文档到电脑,查找使用更方便
10000 积分 0人已下载
下载 | 加入VIP,交流精品资源 |
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CNS1492912005INFORMATIONTECHNOLOGYGUIDELINESFORTHEMANAGEMENTOFITSECURITYPART1CONCEPTSANDMODELSFORITSECURITY

链接地址:http://www.mydoc123.com/p-634744.html