GB-T 19715.1-2005 信息技术信息技术安全管理指南第1部分:信息技术安全概念和模型.pdf
《GB-T 19715.1-2005 信息技术信息技术安全管理指南第1部分:信息技术安全概念和模型.pdf》由会员分享,可在线阅读,更多相关《GB-T 19715.1-2005 信息技术信息技术安全管理指南第1部分:信息技术安全概念和模型.pdf(17页珍藏版)》请在三一文库上搜索。
1、I C S 3 5 . 0 4 0一一 L S。(GH 中 华 人 民 共 和 国 国 家 标 准 G B / T 1 9 7 1 5 . 1 -2 0 0 5 / I S O / I E C T R 1 3 3 3 5 - 1 : 1 9 9 6 信息技术信息技术安全管理指南 第 1 部分: 信息技术安全概念和模型 I n f o r ma t i o n t e c h n o l o g y -G u i d e l i n e s f o r t h e ma n a g e me n t o f I T s e c u r i t y - P a r t 1 : C o n c e
2、p t s a n d mo d e l s o f I T s e c u r i t y ( I S O / I E C T R 1 3 3 3 5 一 1 : 1 9 9 6 , I D T ) 2 0 0 5 - 0 4 - 1 9 发布2 0 0 5 - 1 0 - 0 1 实施 率 督留 瞥 臀 瓣 臀蓬 臀臀暴 发 “ G B / T 1 9 7 1 5 . 1 -2 0 0 5 / I S O / I E C T R 1 3 3 3 5 - 1 : 1 9 9 6 月 U青 G B / T 1 9 7 1 5 信息技术信息技术安全管理指南 分为五个部分: 第 1 部分: 信息技
3、术安全概念和模型 ; 第 2 部分: 管理和规划信息技术安全 ; 第 3 部分: 信息技术安全管理技术; 第 4 部分 : 防护措施的选择; 第 5 部分 : 外部连接的防护措施 。 本部分等同采用国际标准 I S O / I E C T R 1 3 3 3 5 - 1 ; 1 9 9 6 信息技术信息技术安全管理指南第 1 部分: 信息技术安全概念和模型 。 本部分提出基本的管理概念和模型 , 将这些概念和模型引入信息技术安全管理是必要的。 本部分 由中华人民共和国信息产业部提出。 本部分 由全国信息安全标准化技术委员会归口。 本部分由中国电子技术标准化研究所( C E S I 、 中国电子
4、科技集团第十五研究所 、 中国电子科技集 团第三十研究所、 上海三零卫士信息安全有限公司负责起草。 本部分主要起草人: 安金海、 林中、 林望重、 魏忠、 罗锋盈、 陈星。 标准下载网() G B / T 1 9 7 1 5 . 1 -2 0 0 5 八S O 八E C T R 1 3 3 3 5 - 1 : 1 9 9 6 , 种 二勺 G B / T 1 9 7 1 5 的目的是提供关于I T安全管理方面的指南, 而不是解决方案。那些在组织内负责I T 安全的个人应该可以采用本标准中的资料来满足他们特定的需求。本标准的主要 目 标是: a ) 定义和描述与 I T安全管理相关的概念; b
5、) 标识I T安全管理和一般的I T管理之间的关系; c ) 提出了几个可用来解释 I T安全的模型; d ) 提供 了关于 I T安全管理的一般的指南 。 G B / T 1 9 7 1 5由多个部分组成。本部分为第1 部分, 提供了描述I T安全管理用的基本概念和模型 的概述。本部分适用于负责 I T安全的管理者 , 及那些负责组织的总体安全大纲的管理者。 第 2 部分描述了管理和规划方面。它和负责组织的 I T系统的管理者相关 。他们可以是 : a ) 负责监督 I T系统的设计、 实施 、 测试 、 采购或运行的 I T管理者; b ) 负责制定I T系统的实际使用活动的管理者。 第
6、3 部分描述了在一个项 目的生存周期( 比如规划、 设计 、 实施 、 测试、 采办或运行) 所涉及的管理活 动中适于使用 的安全技术 。 第4 部分提供了选择防护措施的指南, 以及通过基线模型和控制的使用如何受到支持。它也描述 了它如何补充 了第 3 部分中描述的安全技术 , 如何使用附加的评估方法来选择防护措施。 第 5 部分为组织提供了将它的 I T系统连接到外部网络的指南。该指南包含了提供连接安全的防 护措施的选择、 使用, 那些连接所支持的服务, 以及进行连接的I T系统的附加防护措施。 标准下载网() G B / T 1 9 7 1 5 . 1 -2 0 0 5 / I S O 八
7、E C T R 1 3 3 3 5 - 1 : 1 9 9 6 信息技术信息技术安全管理指南 吞 找 , 立RU = L - g m 4 士 ,洛r -; - ,2、 翻s2卜 2n 4 f E L I I ,洲,I 只I + IJ; I 口2 L I A 户 了I -. J人 二口 I P A 1 U . 1 1 目 : ,吮石 目匕 1 范 围 G B / T 1 9 7 1 5 包含I T安全管理的指南。本部分提出了基本的管理概念和模型, 将这些概念和模型 引人 I T安全管理是必要的。在指南的其余部分还将进一步讨论和开发这些概念和模型以提供更详细 的指南。为有助于标识和管理 I T安全
8、的各个方面可 以同时使用本标准的各部分。本部分对全面理解 本标准的后续各部分是必需的。 2 规范性引用文件 下列文件中的条款通过 G B / T 1 9 7 1 5 的本部分的引用而成为本部分的条款 。凡是注 日期的引用文 件 , 其随后所有的修改单( 不包括勘误的内容) 或修订版均不适用于本部分 , 然而, 鼓励根据本部分达成 协议的各方研究是否可使用这些文件的最新版本。凡是不注 日期 的引用文件, 其最新 版本适用于本 部分。 G B / T 9 3 8 7 . 2 -1 9 9 5 信息处理系统开放系统互连基本参考模型第2部分: 安全体系结构 ( i d t I S O 7 4 9 8
9、- 2 : 1 9 8 9 ) 3 术语和定义 下列术语和定义适用于 G B / T 1 9 7 1 5的各个部分。 3 . 1 可核查性a c c o u n t a b i l i t y 确保可将一个实体的行动唯一地追踪到此实体的特性 G B / T 9 3 8 7 . 2 -1 9 9 5 1 a 3 . 2 资产 a s s e t 对组织具有价值的任何东西。 3 . 3 真实性a u t h e n t ic i t y 确保主体或资源的身份是所声称身份的特性。真实性适用于诸如用户、 过程 、 系统和信息这样的 实体。 3 . 4 可用性a v a i l a b i l i t
10、y 已授权实体一旦需要就可访问和使用的特性仁 G B / T 9 3 8 7 . 2 - - 1 9 9 5 1 0 3 . 5 基线控制 b a s e l i n e c o n t r o l s 为一个系统或组织建立的防护措施的最小集合 。 3 . 6 保密性c o n f id e n t i a l i t y 使信息不泄露给未授权的个人、 实体、 过程或不使信息为其利用 的特性。 标准下载网() G B / T 1 9 7 1 5 . 1 -2 0 0 5 / I S O / I E C T R 1 3 3 3 5 - 1 : 1 9 9 6 3 . 7 数据完整性d a t a
11、 i n t e g r i t y 数据未经未授权方式修改或破坏的特性 G B / T 9 3 8 7 . 2 -1 9 9 5 1 0 3 . 8 影响i m p a c t 不希望事故的后果。 3 . 9 完整性i n t e g r i t y 见数据完整性和系统完整性。 3 . 1 0 I T安全I T s e c u r it y 与定义、 获得和维护保密性 、 完整性 、 可用性 、 可核查性、 真实性和可靠性有关的各个方面。 3 . 1 1 I T安全策略I T s e c u r i t y p o l ic y 支持如何在一个组织或其 I T 系统中管理 、 保护 和分布资
12、产 ( 包括敏感信息) 的规则、 指令和 习惯 做法 。 3 . 1 2 可靠性r e l i a b i l i t y 与预期行为和结果相一致的特性。 3 . 1 3 残留风险r e s i d u a l r is k 在已实现防护措施之后仍然存在的风险。 3 . 1 4 风险r is k 某种威胁会利用资产或若干资产的脆弱性使这些资产损失或破坏的可能性。 3 . 1 5 风险分析r i s k a n a l y s i s 标识安全风险 、 确定其大小和标识需要防护措施的区域的过程。 3 . 1 6 风险管理 r i s k m a n a g e m e n t 标识 、 控制和消
13、除可能影响 I T系统资源的不确定事件或使这些事件降至最少的全部过程。 3 . 1 7 防护措施 s a f e g u a r d 降低风险的习惯做法 、 规程或机制。 3 . 1 8 系统完整性s y s t e m i n t e g r i t y 系统以不受损害的方式执行其预定功能 , 避免对系统故意的或意外的未授权操纵的特性 。 3 . 1 9 威胁 t h r e a t 可能导致对系统或组织危害的不希望事故潜在起因。 3 . 2 0 脆弱性v u ln e r a b i l i t y 包括可能会被威胁所利用的资产或若干资产的弱点。 标准下载网() G B / T 1 9 7
14、 1 5 . 1 -2 0 0 5 / I S O / I E C T R 1 3 3 3 5 - 1 : 1 9 9 6 4 结构 本部分结构如下: 第 5 章概述本部分的目的 ; 第 6 章提供 I T安全管理要求的背景信息 ; 第 7 章提出 I T安全概念和模型的综述; 第 8章研究 I T安全的要素; 第 9 章讨论 I T安全管理所使用的过程; 第 1 0 章提供出对若干模型的一般讨论, 这些模型对理解本部分提出的概念是有用的; 最后, 在第1 1 章中对整 个第 1 部分予 以小结 。 5目的 G B / T 1 9 7 1 5 是为各种读者编写的。本部分的目的是要描述 I T安
15、全管理范围内的各种专题 , 并简 略介绍基本I T安全概念模型。为提供高层管理综述, 本资料力求简洁。本部分适用于组织内负责安 全的资深管理者, 且为对G B / T 1 9 7 1 5 其余部分感兴趣的人员提供I T安全简介。第2 部分和第3 部分 为直接负责 I T安全实现和监督的个人提供适宜的更为广泛的信息和资料。这是以本部分 中提出的概 念和模型为基础的。 G B / T 1 9 7 1 5 并不打算建议一种具体的I T安全管理方法。而是, 本部分首先对有用的概念和模型 进行一般讨论, 最后讨论 I T安全管理有效的专门技术和工具 。本资料是通用的并适用于许多不同管 理风格的管理和组织
16、环境 。本部分以允许剪裁本资料的方式编排, 以满足一个组织及其特定的管理风 格的需要。 6 背景 为进行业务活动, 政府和商业组织极其依赖信息的使用。信息和服务的保密性、 完整性 、 可用性、 可 核查性 、 真实性和可靠性的损失会给组织带来负面影响。因此 , 在组织 中对保护信息和管理信息技术 ( I T ) 的安全有着重要的需求 。在现今环境 中, 保护信息 的这一要求尤为重要 , 因为许多组织通过 I T系 统的网络进行 内部和外部的连接 。 I T安全管理是用来实现和维护保密性、 完整性、 可用性 、 可核查性 、 真实性和可靠性相应等级的过 程。I T安全管理功能包括: a ) 确定
17、组织 I T安全 目 标 、 战略和策略 ; b ) 确定组织 I T安全要求 ; c ) 标识和分析对组织内 I T资产的安全威胁; d ) 标识和分析风险; e ) 规定合适的防护措施 ; f ) 监督防护措施的实现和运作 , 使费用花在有效保护组织内的信息和服务所必需的防护措施上 ; g ) 制订和实施安全意识大纲 ; h ) 对事故的检测和反应。 为了履行 I T系统的这些管理职责, 安全必须是组织的整个管理计划不可分的组成部分。因此 , 本 部分所提出的若干安全专题有广泛的管理内涵。本部分将不关注广泛的管理问题, 而是这些专题的安 全方面以及它们与管理的关系如何。 7 I T安全管理
18、概念 采用下列概念需要考虑到组织运行的文化和环境, 因为这些因素对实现安全的整个方法会有重要 的影响。此外, 它们对负责保护组织 中特定部分 的部门或人会有影响。在某些情况下 , 认为 由政府负 责, 并通过颁布和执行法律履行此职责。在另一些情况下, 而是认为由拥有者或管理者负责。这些问题 对所采用的方法有相当大的影响。 GB / T 1 9 7 1 5 . 1 -2 4 0 5 / I S O/ I E C T R 1 3 3 3 5 - 1 : 1 9 9 6 7 . 1 方法 系统方法对标识组织中 I T安全要求是必需的。这也是实现 I T安全及其业务管理部 门的实际情 况。此过程称之为
19、 I T安全管理并包括如下活动 : a ) 制订 I T安全策略; b ) 标识在组织 中的角色和职责; c ) 风险管理 , 包括下列内容的标识和评估 : 1 )受保护的资产; 2 )威胁; 3 ) 脆弱性; 4 )影响; 5 )风险; 6 )防护措施 ; 7 )残 留风险; 8 )约束。 d ) 配置管理 ; e ) 变更管理; f ) 应急计划和灾难恢复计划; 9 ) 防护措施的选择和实施; h ) 安全意识; i 直至 , 包括 : 1 )维护 ; 2 )安全审核 ; 3 )监督 ; 4 )评审 ; 5 )事故处理。 7 . 2 目标、 战略和策略 需形成总体安全 目标 、 战略和策略
20、( 见图 1 ) 以作为组织有效 I T安全的基础。它们支持组织 的业务 并保证各种防护措施之间的相容性 。目 标标识出应实现什么 , 战略标识 出如何实现这些 目标, 而策略标 识出需要做什么。 介 图 1 目标, 战略和策略层次结构 G B / T 1 9 7 1 5 . 1 -2 0 0 5 / I S O / I E C T R 1 3 3 3 5 - 1 : 1 9 9 6 可从组织的最高层到运行层分层制订 目标 、 战略和策略。它们要反映组织的要求并考虑组织的任 何约束 , 它们要保证在每一层 , 直至所有层保持相容性。安全是组织中各管理层的职责并在系统生存周 期各个阶段予以重视。
21、应根据定期安全评审( 例如, 风险分析、 安全审核) 的结果维护和更新 目 标 、 战略 和策略, 并对业务目标进行更改。 总体安全策略基本上由看作整体的组织安全原则和指令组成。总体安全策略必须反映更广的共同 策略, 包括致力个人权利 、 法律要求和标准的策略。 总体 I T安全策略必须反映适用于总体安全策略和组织 中普遍使用 的 I T系统的基本安全原则和 方 针 。 I T系统安全策略必须反映总体I T安全策略中所包含的安全原则和指令。它还应包含详细的具体 安全要求 、 要实现的防护措施以及如何正确使用它们以保证充分的安全 。在各种情况 中, 重要的是所采 用的方法对组织的业务需求而言必须
22、是有效的。 I T系统安全目标、 战略和策略 , 就安全而言, 是对 I T系统的要求。通常使用 自然语言表示它们, 但 有可能要求使用某种机器语言的更为正式的方法表示它们。它们应给出 I T安全事项 , 例如 : a ) 保密性 ; b ) 完整性 ; c ) 可用性 ; d ) 可核查性 ; e ) 真实性 ; f ) 可靠性 。 目标 、 战略和策略要规定组织 的安全等级 、 接受风险的限值和组织的应急要求。 8 安全要素 下列各条从高层描述 了在安全管理过程中所涉及的重要要素。将介绍每个要素和所标识的重要影 响因素。这些要素的更详细描述和讨论以及它们的关系包含在本标准的其他部分。 8
23、. 1 资产 妥善管理资产是组织成功不可或缺的因素, 也是所有管理层的重要职责。组织的资产包括: a ) 物理资产( 例如, 计算机硬件, 通信设施, 建筑物) ; b ) 信息 数据( 例如, 文档, 数据库) ; c ) 软件; d ) 生产某种产品或提供服务的能力; e ) 人员 ; f ) 无形资产( 例如, 信誉 、 形象) 。 对大部分或全部资产保证有某种程度的保护是值得的。即使这些资产未受保护, 对要被接受的风 险进行评估亦是必要的。 从安全观点来看, 如果组织的资产未予以标识, 则不可能实现和维护成功的安全大纲。在许多情况 中, 标识资产和确定价值的过程可在最高层完成并可以不要
24、求费用高、 详细和费时的分析。这种分析的 详细程度必须根据时间和成本与资产价值加以衡量 。不管在什么情况下, 详细规程要根据安全 目 标加 以确定。在许多情况, 将资产分组是有帮助的。 待考虑的资产特性包括其价值和 或敏感度 , 以及特有的防护措施。资产的保护要求受到存在特定 威胁时其脆弱性影响。如果资产的拥有者明白这些方面 , 则应在此 阶段予以专门的关注。组织运行的 环境和文化影响资产及其特性。例如 , 某些文化认为保护个人信息是非常重要的, 而另一些文化则不太 注意这个问题。这些环境和文化差异对国际组织和垮境使用 I T系统可能要特别重视。 G B / T 1 9 7 1 5 . 1 -
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GB-T 19715.1-2005 信息技术信息技术安全管理指南第1部分:信息技术安全概念和模型 GB 19715.1 2005 信息技术 安全管理 指南 部分 安全 概念 模型
链接地址:https://www.31doc.com/p-3758895.html