標準解讀

GB/T 19716-2005《信息技術(shù) 信息安全管理實用規(guī)則》是中國針對信息技術(shù)領(lǐng)域信息安全管理工作制定的一項國家標準。該標準旨在為組織機構(gòu)提供一套實用的指導原則和實施框架,以確保信息資產(chǎn)的安全性、完整性和可用性。以下是標準內(nèi)容的幾個核心要點:

  1. 范圍與適用性:標準明確了其適用于各種規(guī)模和性質(zhì)的組織,包括政府機構(gòu)、企業(yè)、非營利組織等,用以建立、實施、維護和持續(xù)改進信息安全管理體系(ISMS)。

  2. 信息安全策略:強調(diào)了制定清晰的信息安全政策的重要性,該政策應(yīng)體現(xiàn)組織的總體安全目標和管理承諾,為所有信息安全活動提供基礎(chǔ)和方向。

  3. 風險管理:詳細介紹了識別、分析和評估信息安全風險的過程,以及如何根據(jù)風險評估的結(jié)果來選擇適當?shù)目刂拼胧?,確保風險被降低到可接受的程度。

  4. 組織結(jié)構(gòu)與責任:要求組織明確信息安全角色和職責,包括設(shè)立信息安全管理部門或指定負責人,確保信息安全活動得到有效管理和執(zhí)行。

  5. 人力資源安全:涉及人員招聘、培訓、意識提升、離職管理等方面,確保員工理解并遵守信息安全政策和程序,減少人為因素導致的安全威脅。

  6. 物理與環(huán)境安全:涵蓋了對物理設(shè)施、設(shè)備及支持性基礎(chǔ)設(shè)施的安全保護措施,如訪問控制、防火防盜、環(huán)境保護等,以防止物理損害或未經(jīng)授權(quán)的訪問。

  7. 通信與操作管理:涉及信息處理設(shè)施的操作與維護、系統(tǒng)變更管理、備份與恢復(fù)、網(wǎng)絡(luò)安全控制等方面,確保信息處理服務(wù)的連續(xù)性和安全性。

  8. 訪問控制:闡述了對信息資源訪問的管理和限制原則,包括身份認證、授權(quán)、權(quán)限分配和審查機制,以保護信息免遭未授權(quán)訪問或泄露。

  9. 信息系統(tǒng)獲取、開發(fā)與維護:強調(diào)在信息系統(tǒng)生命周期的各個階段(包括采購、開發(fā)、測試、部署和退役)都應(yīng)考慮信息安全要求,確保系統(tǒng)的安全性。

  10. 合規(guī)性:要求組織需遵循相關(guān)的法律法規(guī)、合同協(xié)議以及行業(yè)標準,定期進行合規(guī)性檢查,并采取必要的糾正措施。

  11. 業(yè)務(wù)連續(xù)性管理與災(zāi)難恢復(fù)計劃:指導組織建立和維護業(yè)務(wù)連續(xù)性計劃和災(zāi)難恢復(fù)策略,以應(yīng)對可能影響業(yè)務(wù)運行的嚴重事件,確保關(guān)鍵業(yè)務(wù)功能的快速恢復(fù)。

  12. 監(jiān)督、審核與持續(xù)改進:提倡建立內(nèi)部審計和監(jiān)控機制,定期評審ISMS的有效性,并基于評審結(jié)果不斷調(diào)整和優(yōu)化信息安全實踐,實現(xiàn)持續(xù)改進。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標準文檔。

....

查看全部

  • 被代替
  • 已被新標準代替,建議下載現(xiàn)行標準GB/T 22081-2008
  • 2005-04-19 頒布
  • 2005-10-01 實施
?正版授權(quán)
GB/T 19716-2005信息技術(shù)信息安全管理實用規(guī)則_第1頁
GB/T 19716-2005信息技術(shù)信息安全管理實用規(guī)則_第2頁
GB/T 19716-2005信息技術(shù)信息安全管理實用規(guī)則_第3頁
GB/T 19716-2005信息技術(shù)信息安全管理實用規(guī)則_第4頁
GB/T 19716-2005信息技術(shù)信息安全管理實用規(guī)則_第5頁
已閱讀5頁,還剩47頁未讀, 繼續(xù)免費閱讀

下載本文檔

GB/T 19716-2005信息技術(shù)信息安全管理實用規(guī)則-免費下載試讀頁

文檔簡介

犐犆犛35.040

犔80

中華人民共和國國家標準

犌犅/犜19716—2005

信息技術(shù)信息安全管理實用規(guī)則

犐狀犳狅狉犿犪狋犻狅狀狋犲犮犺狀狅犾狅犵狔—犆狅犱犲狅犳狆狉犪犮狋犻犮犲犳狅狉

犻狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔犿犪狀犪犵犲犿犲狀狋

(ISO/IEC17799:2000,MOD)

20050419發(fā)布20051001實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局

發(fā)布

中國國家標準化管理委員會

中華人民共和國

國家標準

信息技術(shù)信息安全管理實用規(guī)則

GB/T19716—2005

中國標準出版社出版發(fā)行

北京西城區(qū)復(fù)興門外三里河北街16號

郵政編碼:100045

http://www.spc.net.cn

電話:63787337、63787447

2005年8月第一版2005年8月電子版制作

書號:155066·123058

版權(quán)專有侵權(quán)必究

舉報電話:(010)68533533

犌犅/犜19716—2005

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅳ

1范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2術(shù)語和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2.1信息安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2.2風險評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2.3風險管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3安全策略!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3.1信息安全策略!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4組織的安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

4.1信息安全基礎(chǔ)設(shè)施!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

4.2第三方訪問的安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

4.3外包!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5資產(chǎn)分類和控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

5.1資產(chǎn)的可核查性!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

5.2信息分類!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

6人員安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

6.1崗位設(shè)定和人力資源的安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

6.2用戶培訓!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

6.3對安全事故和故障的響應(yīng)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

7物理和環(huán)境的安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

7.1安全區(qū)域!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

7.2設(shè)備安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

7.3一般控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

8通信和操作管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

8.1操作規(guī)程和職責!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

8.2系統(tǒng)規(guī)劃和驗收!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

8.3防范惡意軟件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

8.4內(nèi)務(wù)處理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

8.5網(wǎng)絡(luò)管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

8.6媒體處置和安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

8.7信息和軟件的交換!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!19

9訪問控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22

9.1訪問控制的業(yè)務(wù)要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22

9.2用戶訪問管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!23

9.3用戶職責!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

9.4網(wǎng)絡(luò)訪問控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!25

9.5操作系統(tǒng)訪問控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

犌犅/犜19716—2005

9.6應(yīng)用訪問控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!29

9.7對系統(tǒng)訪問和使用的監(jiān)督!!!!!!!!!!!!!!!!!!!!!!!!!!!!!30

9.8移動計算和遠程工作!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!31

10系統(tǒng)開發(fā)和維護!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!32

10.1系統(tǒng)的安全要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!32

10.2應(yīng)用系統(tǒng)的安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!33

10.3密碼控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!34

10.4系統(tǒng)文件的安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!36

10.5開發(fā)和支持過程的安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!37

11業(yè)務(wù)連續(xù)性管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!38

11.1業(yè)務(wù)連續(xù)性管理的各方面!!!!!!!!!!!!!!!!!!!!!!!!!!!!38

12符合性!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!40

12.1符合法律要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!40

12.2安全策略和技術(shù)符合性的評審!!!!!!!!!!!!!!!!!!!!!!!!!!43

12.3系統(tǒng)審核考慮!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!43

犌犅/犜19716—2005

前言

本標準修改采用ISO/IEC17799:2000《信息技術(shù)信息安全管理實用規(guī)則》(英文版)。

本標準適當做了一些修改:在12.1.6中增加了“a)使用國家主管部門審批的密碼算法和密碼產(chǎn)

品”,作為修改內(nèi)容。

本標準由中華人民共和國信息產(chǎn)業(yè)部提出。

本標準由全國信息安全標準化技術(shù)委員會歸口。

本標準由中國電子技術(shù)標準化研究所、中國電子科技集團第三十研究所、上海三零衛(wèi)士信息安全有

限公司、中國電子科技集團第15研究所、北京思樂信息技術(shù)有限公司負責起草。

本標準主要起草人:黃家英、林望重、魏忠、林中、王新杰、羅鋒盈、陳星。

犌犅/犜19716—2005

引言

什么是信息安全?

像其他重要業(yè)務(wù)資產(chǎn)一樣,信息也是一種資產(chǎn)。它對一個組織具有價值,因此需要加以合適地保

護。信息安全防止信息受到的各種威脅,以確保業(yè)務(wù)連續(xù)性,使業(yè)務(wù)損害減至最小,使投資回報和業(yè)務(wù)

機會最大。

信息可能以各種形式存在。它可以打印或?qū)懺诩埳稀⒁噪娮臃绞酱鎯?、用郵寄或電子手段發(fā)送、呈

現(xiàn)在膠片上或用言語表達。無論信息采用什么形式或者用什么方法存儲或共享,都應(yīng)對它進行適當?shù)?/p>

保護。

信息安全在此表現(xiàn)為保持下列特征:

a)保密性:確保信息僅被已授權(quán)訪問的人訪問;

b)完整性:保護信息及處理方法的準確性和完備性;

c)可用性:確保已授權(quán)用戶在需要時可以訪問信息和相關(guān)資產(chǎn)。

信息安全是通過實現(xiàn)一組合適控制獲得的??刂瓶梢允遣呗浴T例、規(guī)程、組織結(jié)構(gòu)和軟件功能。

需要建立這些控制,以確保滿足該組織的特定安全目標。

為什么需要信息安全?

信息和支持過程,系統(tǒng)和網(wǎng)絡(luò)都是重要的業(yè)務(wù)資產(chǎn)。信息的保密性、完整性和可用性對維持競爭優(yōu)

勢、現(xiàn)金流轉(zhuǎn)、贏利、守法和商業(yè)形象可能是必不可少的。

各組織及其信息系統(tǒng)和網(wǎng)絡(luò)日益面臨來自各個方面的安全威脅。這些方面包括計算機輔助欺詐、

間諜活動、惡意破壞、毀壞行為、火災(zāi)或水災(zāi)。諸如計算機病毒、計算機黑客搗亂和拒絕服務(wù)攻擊,已經(jīng)

變得更普遍、更有野心和日益高科技。

對信息系統(tǒng)和服務(wù)的依賴意味著組織對安全威脅更為脆弱。公共網(wǎng)絡(luò)和專用網(wǎng)絡(luò)的互連和信息資

源的共享增加了實現(xiàn)訪問控制的難度。分布式計算的趨勢已削弱集中式控制的有效性。

許多信息系統(tǒng)已不再單純追求設(shè)計成安全的,因為通過技術(shù)手段可獲得的安全性是有限的。應(yīng)該

用合適的管理和規(guī)程給予支持。標識哪些控制要到位需要仔細規(guī)劃并注意細節(jié)。信息安全管理至少需

要該組織內(nèi)的所有員工參與,還可能要求供應(yīng)商、消費者或股票持有人的參與。外界組織的專家建議可

能也是需要的。

如果在制定要求規(guī)范和設(shè)計階段把信息安全控制結(jié)合進去,那么,該信息安全控制就會更加經(jīng)濟和

更加有效。

如何建立安全要求

最重要的是組織標識出它的安全要求。有三個主要來源。

第一個來源是由評估該組織的風險所獲得的。通過風險評估,標識出對資產(chǎn)的威脅,評價易受威脅

的脆弱性和威脅出現(xiàn)的可能性和預(yù)測威脅潛在的影響。

第二個來源是組織、貿(mào)易伙伴、合同方和服務(wù)提供者必須滿足的法律、法規(guī)、規(guī)章和合同的要求。

第三個來源是組織開發(fā)支持其運行的信息處理的特定原則、目標和要求的特定集合。

評估安全風險

安全要求是通過安全風險的系統(tǒng)性評估予以標識。用于控制的經(jīng)費需要針對可能由安全故障導致

犌犅/犜19716—2005

的業(yè)務(wù)損害加以平衡。風險評估技術(shù)可適用于整個組織,或僅適用于組織的某些部門,若這樣做切實可

行、現(xiàn)實和有幫助,該技術(shù)也適用于各個信息系統(tǒng)、特定系統(tǒng)部件或服務(wù)。

風險評估要系統(tǒng)地考慮以下內(nèi)容:

a)可能由安全故障導致的業(yè)務(wù)損害,要考慮到信息或其他資產(chǎn)的保密性、完整性或可用性喪失的

潛在后果;

b)從最常見的威脅和脆弱性以及當前所實現(xiàn)的控制來看,有出現(xiàn)這樣一種故障的現(xiàn)實可能性。

評估的結(jié)果將幫助指導和確定合適的管理行動,以及管理信息安全風險和實現(xiàn)所選擇控制的優(yōu)先

級,以防范這些風險。評估風險和選擇控制的過程可能需要進行許多次,以便涵蓋組織的不同部門或各

個信息系統(tǒng)。

重要的是對安全風險和已實現(xiàn)的控制進行周期性評審,以便:

a)考慮業(yè)務(wù)要求和優(yōu)先級的變更;

b)考慮新的威脅和脆弱性;

c)證實控制仍然維持有效和合適。

根據(jù)先前評估的結(jié)果評審宜在不同深度級別進行,以及在管理層準備接受的更改風險級別進行。

作為高風險區(qū)域優(yōu)化資源的一種手段,風險評估通常首先在高級別進行,然后在更細的級別進行,以提

出具體的風險。

選擇控制

一旦安全要求已被標識,則應(yīng)選擇并實現(xiàn)控制,以確保風險減少到可接受的程度??刂瓶梢詮谋緲?/p>

準或其他控制集合中選擇,或者當合適時設(shè)計新的控制以滿足特定需求。有許多不同的管理風險的方

法,本標準提供常用方法的若干例子。然而,需要認識到有些控制不適用于每種信息系統(tǒng)或環(huán)境,并且

不是對所有組織都可行。作為一個例子,8.1.4描述如何分割責任,以防止欺詐或出錯。在較小的組織

中分割所有責任是不太可能的,獲得相同控制目標的其他方法可能是必要的。作為另一個例子,9.7和

12.1描述如何監(jiān)督系統(tǒng)使用及如何收集證據(jù)。所描述的控制,例如事件記錄可能與適用的法律相沖

突,諸如消費者或在工作場地內(nèi)的隱私保護。

控制應(yīng)根據(jù)與風險減少相關(guān)的實現(xiàn)成本和潛在損失(如果安全違規(guī)出現(xiàn))予以選擇。也應(yīng)考慮諸如

喪失信譽等非金錢因素。

本標準中的某些控制可認為是信息安全管理的指導原則,并且可用于大多數(shù)組織。下面在題為“信

息安全起點”中更詳細解釋這些控制。

信息安全起點

許多控制可認為是為實現(xiàn)信息安全提供良好起點的指導原則。它們或者是基于重要的法律性要

求,或者被認為是信息安全常用的最佳慣例。

從法律的觀點看,對某個組織重要的控制包括:

a)個人信息的數(shù)據(jù)保護和隱私(見12.1.4);

b)保護組織的記錄(見12.1.3);

c)知識產(chǎn)權(quán)(見12.1.2)。

認為是信息安全常用最佳慣例的控制包括:

a)信息安全策略文檔(見3.1);

b)信息安全職責的分配(見4.1.3);

c)信息安全教育和培訓(見6.2.1);

d)報告安全事故(見6.3.1);

e)業(yè)務(wù)連續(xù)性管理(見11.1)。

犌犅/犜19716—2005

這些控制適用于大多數(shù)組織和環(huán)境。應(yīng)注意,雖然本標準中的所有控制都是重要的,但是從某個組

織正面臨的特定風險來看,應(yīng)確定任一控制的貼切性。因此,雖然上述方法被認為是一種良好的起點,

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經(jīng)授權(quán),嚴禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論