標準解讀
GB/T 19716-2005《信息技術(shù) 信息安全管理實用規(guī)則》是中國針對信息技術(shù)領(lǐng)域信息安全管理工作制定的一項國家標準。該標準旨在為組織機構(gòu)提供一套實用的指導原則和實施框架,以確保信息資產(chǎn)的安全性、完整性和可用性。以下是標準內(nèi)容的幾個核心要點:
-
范圍與適用性:標準明確了其適用于各種規(guī)模和性質(zhì)的組織,包括政府機構(gòu)、企業(yè)、非營利組織等,用以建立、實施、維護和持續(xù)改進信息安全管理體系(ISMS)。
-
信息安全策略:強調(diào)了制定清晰的信息安全政策的重要性,該政策應(yīng)體現(xiàn)組織的總體安全目標和管理承諾,為所有信息安全活動提供基礎(chǔ)和方向。
-
風險管理:詳細介紹了識別、分析和評估信息安全風險的過程,以及如何根據(jù)風險評估的結(jié)果來選擇適當?shù)目刂拼胧?,確保風險被降低到可接受的程度。
-
組織結(jié)構(gòu)與責任:要求組織明確信息安全角色和職責,包括設(shè)立信息安全管理部門或指定負責人,確保信息安全活動得到有效管理和執(zhí)行。
-
人力資源安全:涉及人員招聘、培訓、意識提升、離職管理等方面,確保員工理解并遵守信息安全政策和程序,減少人為因素導致的安全威脅。
-
物理與環(huán)境安全:涵蓋了對物理設(shè)施、設(shè)備及支持性基礎(chǔ)設(shè)施的安全保護措施,如訪問控制、防火防盜、環(huán)境保護等,以防止物理損害或未經(jīng)授權(quán)的訪問。
-
通信與操作管理:涉及信息處理設(shè)施的操作與維護、系統(tǒng)變更管理、備份與恢復(fù)、網(wǎng)絡(luò)安全控制等方面,確保信息處理服務(wù)的連續(xù)性和安全性。
-
訪問控制:闡述了對信息資源訪問的管理和限制原則,包括身份認證、授權(quán)、權(quán)限分配和審查機制,以保護信息免遭未授權(quán)訪問或泄露。
-
信息系統(tǒng)獲取、開發(fā)與維護:強調(diào)在信息系統(tǒng)生命周期的各個階段(包括采購、開發(fā)、測試、部署和退役)都應(yīng)考慮信息安全要求,確保系統(tǒng)的安全性。
-
合規(guī)性:要求組織需遵循相關(guān)的法律法規(guī)、合同協(xié)議以及行業(yè)標準,定期進行合規(guī)性檢查,并采取必要的糾正措施。
-
業(yè)務(wù)連續(xù)性管理與災(zāi)難恢復(fù)計劃:指導組織建立和維護業(yè)務(wù)連續(xù)性計劃和災(zāi)難恢復(fù)策略,以應(yīng)對可能影響業(yè)務(wù)運行的嚴重事件,確保關(guān)鍵業(yè)務(wù)功能的快速恢復(fù)。
-
監(jiān)督、審核與持續(xù)改進:提倡建立內(nèi)部審計和監(jiān)控機制,定期評審ISMS的有效性,并基于評審結(jié)果不斷調(diào)整和優(yōu)化信息安全實踐,實現(xiàn)持續(xù)改進。
如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標準文檔。
....
查看全部
文檔簡介
犐犆犛35.040
犔80
中華人民共和國國家標準
犌犅/犜19716—2005
信息技術(shù)信息安全管理實用規(guī)則
犐狀犳狅狉犿犪狋犻狅狀狋犲犮犺狀狅犾狅犵狔—犆狅犱犲狅犳狆狉犪犮狋犻犮犲犳狅狉
犻狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔犿犪狀犪犵犲犿犲狀狋
(ISO/IEC17799:2000,MOD)
20050419發(fā)布20051001實施
中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局
發(fā)布
中國國家標準化管理委員會
書
中華人民共和國
國家標準
信息技術(shù)信息安全管理實用規(guī)則
GB/T19716—2005
中國標準出版社出版發(fā)行
北京西城區(qū)復(fù)興門外三里河北街16號
郵政編碼:100045
http://www.spc.net.cn
電話:63787337、63787447
2005年8月第一版2005年8月電子版制作
書號:155066·123058
版權(quán)專有侵權(quán)必究
舉報電話:(010)68533533
書
犌犅/犜19716—2005
目次
前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ
引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅳ
1范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
2術(shù)語和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
2.1信息安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
2.2風險評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
2.3風險管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
3安全策略!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
3.1信息安全策略!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
4組織的安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2
4.1信息安全基礎(chǔ)設(shè)施!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2
4.2第三方訪問的安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4
4.3外包!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5
5資產(chǎn)分類和控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6
5.1資產(chǎn)的可核查性!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6
5.2信息分類!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6
6人員安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7
6.1崗位設(shè)定和人力資源的安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!7
6.2用戶培訓!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8
6.3對安全事故和故障的響應(yīng)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8
7物理和環(huán)境的安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9
7.1安全區(qū)域!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9
7.2設(shè)備安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11
7.3一般控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13
8通信和操作管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13
8.1操作規(guī)程和職責!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13
8.2系統(tǒng)規(guī)劃和驗收!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16
8.3防范惡意軟件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16
8.4內(nèi)務(wù)處理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17
8.5網(wǎng)絡(luò)管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18
8.6媒體處置和安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18
8.7信息和軟件的交換!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!19
9訪問控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22
9.1訪問控制的業(yè)務(wù)要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22
9.2用戶訪問管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!23
9.3用戶職責!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24
9.4網(wǎng)絡(luò)訪問控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!25
9.5操作系統(tǒng)訪問控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27
Ⅰ
書
犌犅/犜19716—2005
9.6應(yīng)用訪問控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!29
9.7對系統(tǒng)訪問和使用的監(jiān)督!!!!!!!!!!!!!!!!!!!!!!!!!!!!!30
9.8移動計算和遠程工作!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!31
10系統(tǒng)開發(fā)和維護!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!32
10.1系統(tǒng)的安全要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!32
10.2應(yīng)用系統(tǒng)的安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!33
10.3密碼控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!34
10.4系統(tǒng)文件的安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!36
10.5開發(fā)和支持過程的安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!37
11業(yè)務(wù)連續(xù)性管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!38
11.1業(yè)務(wù)連續(xù)性管理的各方面!!!!!!!!!!!!!!!!!!!!!!!!!!!!38
12符合性!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!40
12.1符合法律要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!40
12.2安全策略和技術(shù)符合性的評審!!!!!!!!!!!!!!!!!!!!!!!!!!43
12.3系統(tǒng)審核考慮!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!43
Ⅱ
犌犅/犜19716—2005
前言
本標準修改采用ISO/IEC17799:2000《信息技術(shù)信息安全管理實用規(guī)則》(英文版)。
本標準適當做了一些修改:在12.1.6中增加了“a)使用國家主管部門審批的密碼算法和密碼產(chǎn)
品”,作為修改內(nèi)容。
本標準由中華人民共和國信息產(chǎn)業(yè)部提出。
本標準由全國信息安全標準化技術(shù)委員會歸口。
本標準由中國電子技術(shù)標準化研究所、中國電子科技集團第三十研究所、上海三零衛(wèi)士信息安全有
限公司、中國電子科技集團第15研究所、北京思樂信息技術(shù)有限公司負責起草。
本標準主要起草人:黃家英、林望重、魏忠、林中、王新杰、羅鋒盈、陳星。
Ⅲ
犌犅/犜19716—2005
引言
什么是信息安全?
像其他重要業(yè)務(wù)資產(chǎn)一樣,信息也是一種資產(chǎn)。它對一個組織具有價值,因此需要加以合適地保
護。信息安全防止信息受到的各種威脅,以確保業(yè)務(wù)連續(xù)性,使業(yè)務(wù)損害減至最小,使投資回報和業(yè)務(wù)
機會最大。
信息可能以各種形式存在。它可以打印或?qū)懺诩埳稀⒁噪娮臃绞酱鎯?、用郵寄或電子手段發(fā)送、呈
現(xiàn)在膠片上或用言語表達。無論信息采用什么形式或者用什么方法存儲或共享,都應(yīng)對它進行適當?shù)?/p>
保護。
信息安全在此表現(xiàn)為保持下列特征:
a)保密性:確保信息僅被已授權(quán)訪問的人訪問;
b)完整性:保護信息及處理方法的準確性和完備性;
c)可用性:確保已授權(quán)用戶在需要時可以訪問信息和相關(guān)資產(chǎn)。
信息安全是通過實現(xiàn)一組合適控制獲得的??刂瓶梢允遣呗浴T例、規(guī)程、組織結(jié)構(gòu)和軟件功能。
需要建立這些控制,以確保滿足該組織的特定安全目標。
為什么需要信息安全?
信息和支持過程,系統(tǒng)和網(wǎng)絡(luò)都是重要的業(yè)務(wù)資產(chǎn)。信息的保密性、完整性和可用性對維持競爭優(yōu)
勢、現(xiàn)金流轉(zhuǎn)、贏利、守法和商業(yè)形象可能是必不可少的。
各組織及其信息系統(tǒng)和網(wǎng)絡(luò)日益面臨來自各個方面的安全威脅。這些方面包括計算機輔助欺詐、
間諜活動、惡意破壞、毀壞行為、火災(zāi)或水災(zāi)。諸如計算機病毒、計算機黑客搗亂和拒絕服務(wù)攻擊,已經(jīng)
變得更普遍、更有野心和日益高科技。
對信息系統(tǒng)和服務(wù)的依賴意味著組織對安全威脅更為脆弱。公共網(wǎng)絡(luò)和專用網(wǎng)絡(luò)的互連和信息資
源的共享增加了實現(xiàn)訪問控制的難度。分布式計算的趨勢已削弱集中式控制的有效性。
許多信息系統(tǒng)已不再單純追求設(shè)計成安全的,因為通過技術(shù)手段可獲得的安全性是有限的。應(yīng)該
用合適的管理和規(guī)程給予支持。標識哪些控制要到位需要仔細規(guī)劃并注意細節(jié)。信息安全管理至少需
要該組織內(nèi)的所有員工參與,還可能要求供應(yīng)商、消費者或股票持有人的參與。外界組織的專家建議可
能也是需要的。
如果在制定要求規(guī)范和設(shè)計階段把信息安全控制結(jié)合進去,那么,該信息安全控制就會更加經(jīng)濟和
更加有效。
如何建立安全要求
最重要的是組織標識出它的安全要求。有三個主要來源。
第一個來源是由評估該組織的風險所獲得的。通過風險評估,標識出對資產(chǎn)的威脅,評價易受威脅
的脆弱性和威脅出現(xiàn)的可能性和預(yù)測威脅潛在的影響。
第二個來源是組織、貿(mào)易伙伴、合同方和服務(wù)提供者必須滿足的法律、法規(guī)、規(guī)章和合同的要求。
第三個來源是組織開發(fā)支持其運行的信息處理的特定原則、目標和要求的特定集合。
評估安全風險
安全要求是通過安全風險的系統(tǒng)性評估予以標識。用于控制的經(jīng)費需要針對可能由安全故障導致
Ⅳ
犌犅/犜19716—2005
的業(yè)務(wù)損害加以平衡。風險評估技術(shù)可適用于整個組織,或僅適用于組織的某些部門,若這樣做切實可
行、現(xiàn)實和有幫助,該技術(shù)也適用于各個信息系統(tǒng)、特定系統(tǒng)部件或服務(wù)。
風險評估要系統(tǒng)地考慮以下內(nèi)容:
a)可能由安全故障導致的業(yè)務(wù)損害,要考慮到信息或其他資產(chǎn)的保密性、完整性或可用性喪失的
潛在后果;
b)從最常見的威脅和脆弱性以及當前所實現(xiàn)的控制來看,有出現(xiàn)這樣一種故障的現(xiàn)實可能性。
評估的結(jié)果將幫助指導和確定合適的管理行動,以及管理信息安全風險和實現(xiàn)所選擇控制的優(yōu)先
級,以防范這些風險。評估風險和選擇控制的過程可能需要進行許多次,以便涵蓋組織的不同部門或各
個信息系統(tǒng)。
重要的是對安全風險和已實現(xiàn)的控制進行周期性評審,以便:
a)考慮業(yè)務(wù)要求和優(yōu)先級的變更;
b)考慮新的威脅和脆弱性;
c)證實控制仍然維持有效和合適。
根據(jù)先前評估的結(jié)果評審宜在不同深度級別進行,以及在管理層準備接受的更改風險級別進行。
作為高風險區(qū)域優(yōu)化資源的一種手段,風險評估通常首先在高級別進行,然后在更細的級別進行,以提
出具體的風險。
選擇控制
一旦安全要求已被標識,則應(yīng)選擇并實現(xiàn)控制,以確保風險減少到可接受的程度??刂瓶梢詮谋緲?/p>
準或其他控制集合中選擇,或者當合適時設(shè)計新的控制以滿足特定需求。有許多不同的管理風險的方
法,本標準提供常用方法的若干例子。然而,需要認識到有些控制不適用于每種信息系統(tǒng)或環(huán)境,并且
不是對所有組織都可行。作為一個例子,8.1.4描述如何分割責任,以防止欺詐或出錯。在較小的組織
中分割所有責任是不太可能的,獲得相同控制目標的其他方法可能是必要的。作為另一個例子,9.7和
12.1描述如何監(jiān)督系統(tǒng)使用及如何收集證據(jù)。所描述的控制,例如事件記錄可能與適用的法律相沖
突,諸如消費者或在工作場地內(nèi)的隱私保護。
控制應(yīng)根據(jù)與風險減少相關(guān)的實現(xiàn)成本和潛在損失(如果安全違規(guī)出現(xiàn))予以選擇。也應(yīng)考慮諸如
喪失信譽等非金錢因素。
本標準中的某些控制可認為是信息安全管理的指導原則,并且可用于大多數(shù)組織。下面在題為“信
息安全起點”中更詳細解釋這些控制。
信息安全起點
許多控制可認為是為實現(xiàn)信息安全提供良好起點的指導原則。它們或者是基于重要的法律性要
求,或者被認為是信息安全常用的最佳慣例。
從法律的觀點看,對某個組織重要的控制包括:
a)個人信息的數(shù)據(jù)保護和隱私(見12.1.4);
b)保護組織的記錄(見12.1.3);
c)知識產(chǎn)權(quán)(見12.1.2)。
認為是信息安全常用最佳慣例的控制包括:
a)信息安全策略文檔(見3.1);
b)信息安全職責的分配(見4.1.3);
c)信息安全教育和培訓(見6.2.1);
d)報告安全事故(見6.3.1);
e)業(yè)務(wù)連續(xù)性管理(見11.1)。
Ⅴ
犌犅/犜19716—2005
這些控制適用于大多數(shù)組織和環(huán)境。應(yīng)注意,雖然本標準中的所有控制都是重要的,但是從某個組
織正面臨的特定風險來看,應(yīng)確定任一控制的貼切性。因此,雖然上述方法被認為是一種良好的起點,
溫馨提示
- 1. 本站所提供的標準文本僅供個人學習、研究之用,未經(jīng)授權(quán),嚴禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
- 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
- 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。
最新文檔
- 東莞職工公寓租賃合同范例
- 買房定金合同范例
- 酒店公司轉(zhuǎn)讓合同范例
- 茶葉承包營銷合同范例
- 注塑機租用合同范例
- 中式食堂合同范例
- 造價咨詢跟蹤審計合同范例
- 轉(zhuǎn)房定金合同范例
- 電纜簡易購銷合同范例
- 請示合同范例
- 文化認同與中華民族共同體建設(shè)
- 香港大學邀請函
- 成為一名精神科醫(yī)生的職業(yè)規(guī)劃
- 醫(yī)院設(shè)計投標文件
- 《兒童性教育》課件
- 【甲硝唑注射液工藝設(shè)計10000字】
- 中醫(yī)思維在臨床中的應(yīng)用護理課件
- 年會拜年祝福視頻腳本
- 上海交通大學2003年481物理化學考研真題
- 2024年內(nèi)蒙古包頭能源公司招聘筆試參考題庫含答案解析
- 2024年內(nèi)蒙古包鋼集團公司招聘筆試參考題庫含答案解析
評論
0/150
提交評論