logo资料库

GBT 19716-2005 信息技术信息安全管理实用规则.pdf

发布时间:2022-06-08 发布人:admin 分类:说明书 资料大小:4.06M 资料格式:pdf 举报 版权申诉
第1页 / 共49页
第2页 / 共49页
第3页 / 共49页
第4页 / 共49页
第5页 / 共49页
第6页 / 共49页
第7页 / 共49页
第8页 / 共49页
资料共49页,剩余部分请下载后查看
    ICS 35.040 L 80 _ _ 伪黔 中 华 人 民 共 和 国 国 家 标 准 GB/T 19716-2005 信息技术 信息安全管理实用规则 Information technology-Code of practice for information security management (ISO/1EC 17799:2000,MOD) 2005-04-19发布 2005-10-01实施 中华人民共和国国家质量监督检验检疫总局 . * 小-rive-a'.."N Tr1919 辈 秘埔瞥 ’趟臀 豁 荟 发布
    GB/T 19716-2005 信息技术 信息安全管理实用规则 1 范围 本标准对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用。本标准为开 发组织的安全标准和有效的安全管理做法提供公共基础,并提供组织间交往的信任。本标准的推荐内 容应按照适用的我国法律和法规加以选择和使用。 2 术语和定义 下列术语和定义适用于本标准。 2.1 信息安全 Information security 保持信息的保密性 、完整性和可用性。 — 保密性 确保信息仅被已授权访问的人访问。 — 完整性 保护信息及处理方法的准确性和完备性。 — 可 用 性 确保 已授权用户在需要时可以访问信息和相关资产。 2.2 风险评估 Risk assessment 对信息和信息处理设施的威胁、影响及信息和信息处理设施自身的脆弱性以及它们出现的可能性 的评估。 2.3 风险管理 Risk management 相对可接受的费用而言,标识、控制和尽量减少(或消除)可能影响信息系统的安全风险的过程。 3 安 全 策 略 3.1 信息安全策略 } {目的:提供管理方向和支持信息安全。 ! 管理层应制定清晰的策略方向,并通过在整个组织中颁发和维护信息安全策略来表明对信息安 } } !全的支持和承诺· 3.1.1 信息安全策略文档 策略文件要由管理层批准 ,当合适时,将其发布并传递给所有员工。策略文档应说明管理承诺 ,并 提出组织的管理信息安全的途径。至少,应包括下列指南 : a) 信息安全定义、其总 目标和范围以及在信息共享允许机制下安全的重要性(见引言); b) 管理层意图的说明,以支持信息安全的目标和原则; c) 对组织特别重要的安全策略、原则 、标准和符合性要求的简要说明,例如 :
    cB/T 19716- 2005 1) 服从法律和合同要求; 2) 安全教育要求; 3) 防范和检测病毒和其他恶意软件; 4) 业务连续性管理; S) 安全策略违反的后果; d) 安全信息管理(包括报告安全事故)的总职责和特定职责的定义 ; e) 引用可以支持策略的文档 ,例如,特定信息系统的更详细的安全策略和规程 ,或用户应遵守的 安全规则。 应以预期的读者适合的、可访问的和可理解的形式将策略传递给整个组织的用户。 3.1.2 评审和评价 该策略应有专人负责,他按照所定义的评审过程负责其维护和评审。该过程应确保:根据影响原始 风险评估基础的任何变更(例如,重大的安全事故 、新的脆弱性和随组织上或技术上的基础设施的变更) 进行相应的评审。还要安排下列周期性评审 : a) 通过所记录安全事故的性质、数 目和影响证明策略的有效性 ; b) 控制对业务效率和成本的影响; c) 技术变更的影响。 4 组织的安全 4. 1 信息安全基础设施 一 目的:管理组织范围内的信息安全。 } 应建立管理框架,以启动和控制组织范围内的信息安全的实施 。 一 } } 应建立有管理领导人员参加的相应的管理协调小组 ,以核准整个组织 内的信息安全策略、指派 } }安全角色以及协调安全的实施。若需要 ,要在组织范围内建立专家信息安全建议原始资料 ,并在组 } }织内可利用该资料。要发展与外部安全专家的联系,以便跟上行业趋势、跟踪标准和评估方法,并且 } }当涉及安全事故时,提供相适应的联络地点 。应鼓励信息安全的多学科途径 ,例如,涉及诸如保险和 } }风险管理等领域内的管理者、用户、行政管理者、应用设计者、审核员和安全职员以及专业技术熟练 } 一工人的合作和协作。 一 4.1.1 管理信息安全协调小组 信息安全是管理团队所有成员所共同遵守的业务职责。因此 ,认为管理协调小组能确保安全举措 有清晰的方向和看得见的管理层支持。该协调小组要通过合适的承诺和足够的资源来促进组织范围内 的安全。该协调小组可以是现有管理团体的一部分。一般 ,这种协调小组承担下列事项 : a) 评审和核准信息安全策略和总体职责; b) 监督暴露于主要威胁下的信息资产重大变更; c) 评审和监督信息安全事故 ; d) 批准增强信息安全的重大举措。 由一名管理者负责与安全相关的所有活动。 4. 1.2 信息安全协调 在大型组织中,有必要成立一个由各相关部门的管理代表组成的跨部门的协调小组 ,以协调信息安 全控制措施的实施。一般地说 ,这样的协调小组执行以下方面的工作: a) 商定整个组织中信息安全的特定角色和职责; b) 商定信息安全的特定方法和过程,例如,风险评估,安全分类体系; c) 商定和支持组织范围的信息安全举措 ,例如 ,安全意识教育计划 ;
    GB/T 19716- 2005 d) 确保安全是信息规划过程的一部分; e) 评估新系统或服务的特定信息安全控制的充分程度,并协调实施这些控制; f) 评审信息安全事故; 9) 促进整个组织信息安全的业务支持的可视性。 4.1.3 信息安全职责的分配 保护各种资产以及进行特定安全处理的职责应予 以清晰地定义。 信息安全策略(见第 3章)应对组织 内的安全角色和职责的分配提供全面指导。若需要,应用特定 场地、系统或服务用的更详细的指导予以补充。各个物理及信息资产和安全过程(诸如业务连续性规 划)的局部职责应予以清晰的定义。 在许多组织 中,将任命一名信息安全管理者全面负责安全的开发和实施 ,并支持控制的标识。 然而 ,提供控制资源并实施这些控制的职责通常归于各个管理者。一种通常的做法是对每一信息 资产指定一名责任人,因此,他对该信息资产的日常安全负责。 信息资产的责任人可以将他们的安全职责委托给各个管理者或服务提供者。尽管如此,该责任人 仍然最终负责该资产的安全,并且他应能确定任何被委托的职责是否 已被正确地履行。 重要的是每个管理者负责的领域要予以清晰的规定;特别是,应进行下列工作。 a) 与每个独立系统相关的各种资产和安全过程应予以标识并清晰地定义; b) 应商定每一资产或安全过程的管理者职责,并且应形成该职责的细节文档 ; c) 授权级别应清晰地予以定义 ,并形成文档。 4. 1.4 信息处理设施的授权过程 应建立新信息处理设施的管理授权过程。 理应考虑下列控制 : a) 新设施要有相应用户管理层的批准 ,以授权设施的用途和使用 。还要获得负责维护本地系统 安全环境的管理者批准 ,以确保所有相关安全策略和要求得到满足; b) 若需要,硬件和软件应进行检验,以确保它们与其他系统部件兼容 ; 注:对某些连接可以要求型式批准。 c) 应对处理业务信息和所有必要控制所使用的个人信息处理设施进行授权 ; d) 使用工作场地内的个人信息处理设施可能引起新的脆弱性 ,因此,要进行评估和授权。 这些控制在已组成网络的环境中特别重要。 4. 1.5 专家的信息安全建议 专家的安全建议可能是许多组织需要的。在概念_L,一个有经验的内部信息安全顾问要提供这种 建议。不是所有组织都希望聘用专家顾问。在这样的情况下 ,建议确定专门人员协调内部知识和经验, 以确保一致性 ,并且在作出安全判定时提供帮助 。各个组织也应访问适合的外部顾问,顾问们可提供超 出各组织 自身经验的专家建议。 应对信息安全顾问或上述相应人员分派提供建议的任务,即使用他们 自己的或外部的建议来提供 关于信息安全各方面的建议。他们评定安全威胁 的质量和关于控制的建议将确定该组织的信息安全的 有效性。为了最高有效性和最好效果 ,要允许他们直接访问整个组织中的管理层。 在怀疑发生安全事故或违规之后的最早可能阶段 ,要咨询信息安全顾问或合同中相应的指定人,以 提供专门指导或调查资源的原始资料。虽然大多数内部安全调查将通常在管理控制下进行,但可以要 求信息安全顾问对调查提供建议 、引导或进行这种调查。 4. 1.6 组织之间的合作 要保持与法律执行机构、制订法规的机构 、信息服务提供者和电信运营商 的相应联系,以确保万一 出现安全事故时可以快速采取适 当行动并获得建议。同样 ,要考虑安全团体和行业协调小组的成员。 安全信息的交换要受到限制,以确保不把该组织的保密信息传递给未授权的个人。
    GB/T 19716- 2005 4.1.7 信息安全的独立评审 信息安全策略文档(见 3. 1)提出信息安全策略和职责。其实施要独立地予以评审,以提供保证,即 保证组织的实践正确地反映了策略 ,并且保证该策略是可行的和有效的(见 12.2), 这样的评审可以通过内部审核职能 、独立的管理者或专门做这种评审的第三方组织来进行 ,条件是 这些候选者具有相应的技能和经验。 4.2 第三方访问的安全 嘴份片州 4.2. 1 标识第三方访问的风险 4.2. 1.1 访问类型 给予第三方的访问类型特别重要。例如,通过网络连接的访问风险与由于物理访问导致的风险不 同。应予 以考虑的访问类型有: a) 物理访问,例如,访问办公室,计算机机房,档案室; b) 逻辑访问,例如,访问组织的数据库,信息系统。 4.2. 1.2 访问的原因 有许多原因可以授予第三方访问。例如 ,向组织提供服务却不在现场 的第三方,可以授予物理和逻 辑访问权 ,诸如 : a) 硬件和软件支持人员 ,他们需要访问系统级或低级别的应用功能度 ; b) 贸易伙伴或联合投资者,他们可以交换信息,访问信息系统或共享数据库。 在不充分的安全管理情况下,由于第三方访问,可能把信息置于风险中。若有业务需要连接到第三 方地址 ,那么应进行风险评估 ,以标识出特定控制的任何要求。要考虑到所要求的访问类型、信息的价 值、第三方所利用的控制以及这种访问牵连到该组织的信息安全。 4.2. 1.3 现场合同方 在其合同中所定义的一段时间内位 于现场 的第三方也可能导致安全弱点。现场第三方 的例子 包 括 : a) 硬件和软件维护与支持人员; b) 清洁 、给养、安全保卫和其他外包支持服务; c) 实习学生或其他短期临时工作人员; d) 顾问。 重要的是要理解需要什么样的控制来管理第三方对信息处理设施的访问。一般来说,由第三方访 问导致的所有安全要求或者内部控制应在第三方合同反映出来(也见4. 2. 2 )。例如,如果对于信息的 保密性有特定的需要 ,可以使用不泄露协议(见 6.1.3)0 只有在实施了适 当的控制措施并签定一r涵盖连接和访问条款的合同之后 ,第三方才可以访问信息 和信息处理设施。 4.2.2 第三方合同中的安全要求 涉及第三方访问组织信息处理设施的协议要以包含或引用所有重要要求的正式合 同为基础,以确 保符合组织的安全策略和标准。该合同要确保在该组织和第三方之间不存在误解。至于其供应商的赔
    GB/T 19716- 2005 偿问题 ,各组织应 自行解决。合同中应考虑下列条款: a) 信息安全的通用策略; b) 资产保护 ,包括 : 1) 保护组织资产(包括信息和软件)的规程; 2) 确定资产是否受到损害(例如丢失数据或修改数据)的规程; 3) 确保在合同截止时或在合同执行期间双方同意的某一时段对信息和资产的归还或销毁的 控制; 4) 完整性和可用性 ; 5) 对拷贝和泄露信息的限制; c) 要提供每项服务的描述; d) 服务的目标级别和不可接受 的服务级别 ; e) 若合适,人员转职的规定 ; f) 协议双方的相关义务; g) 关于法律事件(例如,数据保护法律)的责任。如果该合同涉及与其他国家的组织的合作,特 别要考虑到不同的国家法律体系(也见12.1); h) 知识产权(IPRs)和版权转让(见 12. 1. 2)以及任何协作性工作的保护(见 6.1.3); i) 访问控制协议,包括: 1) 允许的访问方法 ,唯一标识符(诸如用户 ID和口令)的控制和使用。 2) 用户访问和特权的授权过程 ; 3) 维护被授权使用正在提供的服务的个人清单的要求以及他们与这种使用相关的权利和特 权是哪些 ; l) 可验证的性能要求的定义、监督和报告; k) 监督和撤销用户活动的权利; 1) 审核合同职责的权利或拥有 由第三方进行这些审核的权利; m) 建立逐级解决问题的过程 ;在适合的情况下,也应考虑意外事故安排 ; ,、、 k于硬件和软件安装和维护的职责; 种清晰的报告结构和商定的报告格式 ; 卜 一种清晰规定的变更管理过程 ; q) 任何要求的物理保护控制和机制 ,以确保遵守这些控制 ; r) 对用户和管理者在方法 、规程和安全方面的培训 ; s) 确保防范恶意软件的控制措施(见8. 3) ; t) 报告、通知和调查安全事故和安全违规的安排; u) 包括具有转包商的第三方 。 4.3 外包 一 目的:信息处理的职责是在夕卜包给其他组织时维护信息安全。 } { ’卜包安排应在双方A} anlp}f信息系统、网络和域桌面环境的风险、安全控制和规程。 一 4.3. 1 外包合同中的安全要求 组织的信息系统、网络和/或桌面环境的全部或某些部分的管理和控制进行外包时,要在双方所商 定的合同中指出安全要求 。 例如,合同中要指出: a) 如何满足法律要求 ,例如,数据保护法律; b) 有什么样的安排 ,可确保外包所涉及的各方(包括转包商)知道其安全职责;
    GB/T 19716- 2005 c) 如何维护和测试该组织的业务资产的完整性和保密性; d) 将使用什么样的物理和逻辑控制来限制和限定已授权用户访问该组织的敏感 的业务信息; e) 万一有 自然灾害,如何维护服务的可用性 ; f) 对外包设备要提供什么等级的物理安全 ; g) 审核的权利。 4.2. 2的清单中所给出的条款也应考虑作为该合同的一部分。该合同要允许在双方待商定的安全 管理计划 中扩充安全要求和规程。 虽然外包合同可能提出某些复杂的安全问题 ,但在本实用规则 中所包括 的控制可以用作商定安全 管理计划的结构和内容的起点 。 5 资产分类和控制 5.1 资产的可核查性 一目的:维持对组织资产的相应保护。 } 所有主要信息资产应是可核查的,并且有指定的责任人 。 一 } I 资产的可核查性有助于确保维持相应的保护。对于所有主要资产要标识出责任人 ,并且要赋予 I 卜维护相应控制的职责尸以授予实施控制的职责。可核查些于资产的指定责If A。 一 5.1.1 资产清单 资产清单有助于确保进行有效的资产保护,并且对于其他业务目的,诸如健康与安全、保险或财务 (资产管理)的原因,也需要资产清单。编制资产清单的过程是风险管理的重要部分。一个组织需要能 标识出资产和这些资产的相关价值和重要性。然后,根据该信息,一个组织可以提供与资产的价值和重 要性相称的保护等级。每个信息系统相关的重要资产都应编制清单并加以维持。每一资产应清楚地标 识,应商定其所有权和安全分类(见 5. 2 )以及其当前位置(尝试从丢失或损坏 中恢复时是重要的)并形 成文档。与信息系统相关的资产举例 : a) 信息资产:数据库和数据文件,系统文档,用户手册,培训材料,操作或支持规程,连续性计划, 后备运行安排,归档的信息 ; b) 软件资产:应用软件 ,系统软件,开发工具和实用程序 ; c) 物理资产:计算机设备 (处理器、监 视器 、便携式 计算机、调制解调器 ),通信 设备 (路 由器、 PABX、传真机、应答机),磁媒体(磁带和磁盘),其他技术设备(电源、空调装置),家具,用具 ; d) 服务:计算和通信服务,一般公用事业 ,例如,供暖,照明,能源,空调。 5.2 信息分类 一目的:确保信息资产受到相应等级的保护。 - 信 息 要 分 类 ,以 指 出保 护 的需 求 、优 先 级 和 程 度 。 } 一{ } I 信息具有可变的敏感性和重要性。某些项可以要求附加等级的保护或特别 的处理。信息分类 I 一体制用来定义一组合适的保P级和传递特别处理措施的需求。 一 5.2. 1 分类指南 信息的分类及相关保护控制要考虑到共享或限制信息的业务需求以及与这种需求相关的业务影 响,例如,对信息的未授权访问或损坏。一般说,给予信息的分类是确定该信息如何予 以处理和保护的 简便方法。 信息和处理分类数据的系统的输出要根据它对组织的价值和敏感性予以标记。根据它对组织的重 要程度对信息进行标记也可能是合适的,例如根据它的完整性和可用性 。在某一段时间之后 ,信息通常
    GB/T 19716-2005 不再是敏感的或重要的 ,例如,当该信息已经公开时。过多的分类可能导致不必要的附加业务费用,上 述各方面应予以考虑。分类指南要预先考虑并允许任何给定的信息项的分类在全部时间内不必固定, 并且根据预先确定的策略加以变更(见 9. 1) o 对于分类种类的数 目和从其使用中获得的好处要予以考虑。过度复杂的方案可能对使用不方便和 不经济,或许是不实际的。在解释其他组织文档上的分类标记应小 心,因为其他组织可能对于相同或类 似命名的标记有不同的定义 。 定义信息项(例如,对文档,数据记录,数据文件或软件)的分类以及周期性评审该分类 的职责仍然 属于信息的始发者或指定的拥有者。 5.2.2 信 息 标 记 和 处 理 重要的是 ,按照组织所采纳的分类方案对信息标记和处理定义一组合适 的规程。这些规程需要涵 盖物理和电子格式的信息资产 。对每种分类,要定义处理规程 ,以涵盖下列信息处理活动类型: a) 拷贝; b) 存储 ; c) 邮政 、传真和电子邮件的传输 ; d) 话音传输,包括移动电话、话音邮件、应答机 ; e) 销毁(数据结构); 系统的输出含有了分类为敏感的或重要的信息应在该输出中携带合适的分类标记。该标记要根据 5.2. 1中所建立的规则反映出分类。待考虑的项 目包括 打印报告、屏幕显示 、记录媒体 (磁带 、磁盘 、 CD、盒式磁带)、电子报文和文件传送。 物理标记一般是最合适的标记形式。然而 ,某些信息资产(诸如电子形式的文档等)在物理上不能 做标记,而需要使用电子标记手段 。 6 人员安全 6.1 岗位设定和人力资源的安全 一 目的:减少人为差错、盗窃、欺诈或滥用设施的风险。 { 在招聘阶段要指出安全职责,要包含在合同中并在个人聘用期间予 以监督。 } } { 要对可能的新成员进行充分的筛选 ,特别对敏感性岗位的成员(见 6.1.2)。所有雇员和信息处 } 一理设施的第三方用户要签署保密(不泄密)协议· 6.1.1 在岗位职责中要包含的安全 } 在合适情况下,在组织的信息安全策略中所列出的安全角色和职责(见 3. 1),要形成文档。它们要 包括实施或维护安全策略的总职责以及保护特定资产或执行特定安全过程或活动的任何特定职责。 6.1.2 人员筛选和策略 固定职员的鉴定核查要在职务申请时进行。这包括下列控制: a) 获得令人满意的参考资料; b) 申请人履历的核查(针对完整性和准确性); c) 声称的学术 、专业资格的证实; d) 独立的身份核查(身份证或护照)。 当一个职务(原先任命的或提升的)涉及到对信息处理设施进行访问的人时,特别是,如果这些设施 正在处理敏感信息,例如 ,财务信息或高度保密的信息 ,那么,该组织还要进行信用核查。对于占据重要 职权位置的职员而言,要周期性地重复这种核查。 对于合同商和临时职员要进行类似的筛选过程。若这些职员是通过代理提供的,那么,与代理的合 同要清晰地规定代理对筛选 的职责,以及如果未完成筛选或结果引起怀疑或关注时,这些代理需要遵守
    分享到:
    收藏

    相关推荐

    资料库

    课程资源

    共收录17145份资料,累计13个分类,关注成员有19位,主要包括:PHP,网络管理,网页制作,Java,.Net,数据库,3G/移动开发,C/C++,游戏开发,嵌入式,讲义,软件测试,专业指导

    热门标签

    PHP 网络管理 网页制作 Java .Net 数据库 3G/移动开发 C/C++ 游戏开发 嵌入式 讲义 软件测试 专业指导

    最新资料