Ｉ ＣＳ　 ３ ５ ． ０ ４ ０ 一 Ｌ Ｓ 。 一 （ ＧＨ 中 华 人 民 共 和 国 国 家 标 准 ＧＢ／Ｔ　 　　　　　　　　　　　　　　　　　　　　　　　　　　 １ ９７１ ５． １ －２００ ５／Ｉ Ｓ Ｏ／Ｉ ＥＣ　 ＴＲ　 １ ３３３５－ １： １ ９９ ６ 　　 信息技术 信息技术安全管理指南 第 １部分 ： 　　 信息技术安全概念和模型 Ｉ 　　　　 ｎｆ ｏｒ ｍａ ｔ ｉ ｏ ｎ　 ｔ ｅ ｃ ｈｎｏｌ ｏｇ ｙ －Ｇｕｉ ｄｅ ｌ ｉ ｎｅ ｓ　 ｆ ｏｒ　 ｔ ｈｅ　 ｍａｎａｇ ｅ ｍｅ ｎｔ　 ｏｆ　 Ｉ Ｔ　 ｓ ｅ ｃ ｕｒ ｉ ｔ ｙ － Ｐａｒ 　　　　　　　　　　　　　　　　　　 ｔ　 １： Ｃｏ ｎｃ ｅ ｐｔ ｓ　 ａｎｄ　 ｍｏ ｄｅ ｌ ｓ　 ｏｆ　 Ｉ Ｔ　 ｓ ｅ ｃ ｕｒ ｉ ｔ ｙ （ 　　　　　　　　　　　　　　　　　　　　　　 Ｉ ＳＯ／Ｉ ＥＣ　 ＴＲ　 １ ３３３５ 一 １： １ ９９６， Ｉ ＤＴ） ２００５－ ０４－ １ ９发布 ２００５ －１ ０－ ０１实施 率 　　　　 督留瞥臀瓣 臀蓬 臀臀暴发“ 标准分享网 www.bzfxw.com 免费下载 ＧＢ／Ｔ　 　　　　　　　　　　　　　　　　　　　　　　　　　　 １ ９７１ ５． １ －２００５／Ｉ ＳＯ／Ｉ ＥＣ　 ＴＲ　 １３３３５－１：１ ９９６ 月Ｕ 　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 青 ＧＢ／ 　　　　 Ｔ　 １ ９７ １ ５ 《 信息技术 信息技术安全管理指南》 分为五个部分： — 第 １部分： 　　　　 信息技术安全概念和模型 ； 　　　　 — 第 ２部分： 管理和规划信息技术安全 ； — 第 ３部分： 　　　　 信息技术安全管理技术； — 第 ４部分 ： 　　　　 防护措施的选择； — 第 ５部分 ： 　　　　 外部连接的防护措施 。 本部分等同采用国际标准 Ｉ 　　　　 ＳＯ／Ｉ ＥＣ　 ＴＲ　 １３３３５－ １；１９９６《信息技术 信息技术安全管理指南 第１ 部分： 信息技术安全概念和模型》 。 　　　　 本部分提出基本的管理概念和模型 ， 将这些概念和模型引入信息技术安全管理是必要的。 本部分 由中华人民共和国信息产业部提出。 　　　　 本部分 由全国信息安全标准化技术委员会归口。 　　　　 本部分由中国电子技术标准化研究所（ＣＥＳＩ　 　　　　 ＞、中国电子科技集团第十五研究所 、中国电子科技集 团第三十研究所、 上海三零卫士信息安全有限公司负责起草。 本部分主要起草人： 　　　　 安金海、 林中、 林望重、 魏忠、 罗锋盈、陈星。 ＧＢ／Ｔ　 １９７１ ５． １ －２００５八ＳＯ八ＥＣ　 ＴＲ　 １ ３３３５－１： １ ９９６ ．． 　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 ， ． － ‘种 〕 二 　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 勺 ＧＢ／ 　　　　 Ｔ　 １ ９７ １ ５的目的是提供关于 Ｉ Ｔ安全管理方面的指南， 而不是解决方案。那些在组织内负责 Ｉ Ｔ 安全的个人应该可以采用本标准中的资料来满足他们特定的需求。本标准的主要 目标是： ａ） 定义和描述与 Ｉ 　　　　 Ｔ安全管理相关的概念； ｂ 　　　　 ） 标识 Ｉ Ｔ安全管理和一般的Ｉ Ｔ管理之间的关系； ｃ） 提出了几个可用来解释 Ｉ 　　　　 Ｔ安全的模型； ｄ） 提供 了关于 Ｉ 　　　　 Ｔ安全管理的一般的指南 。 ＧＢ／ 　　　　 Ｔ　 １ ９ ７ １ ５由多个部分组成。本部分为第 １部分， 提供了描述 Ｉ Ｔ安全管理用的基本概念和模型 的概述。本部分适用于负责 Ｉ Ｔ安全的管理者 ， 及那些负责组织的总体安全大纲的管理者。 第 ２部分描述了管理和规划方面。它和负责组织的 Ｉ 　　　　 Ｔ系统的管理者相关 。他们可以是 ： ａ） 负责监督 Ｉ 　　　　 Ｔ系统的设计、实施 、 测试 、 采购或运行的 Ｉ Ｔ管理者； ｂ） 负责制定 Ｉ 　　　　 Ｔ系统的实际使用活动的管理者。 第 ３部分描述了在一个项 目的生存周期（比如规划、 　　　　 设计 、 实施 、 测试、 采办或运行）所涉及的管理活 动中适于使用 的安全技术 。 第４部分提供了选择防护措施的指南， 　　　　 以及通过基线模型和控制的使用如何受到支持。它也描述 了它如何补充 了第 ３部分中描述的安全技术 ， 如何使用附加的评估方法来选择防护措施。 第 ５部分为组织提供了将它的 Ｉ 　　　　 Ｔ系统连接到外部网络的指南。该指南包含了提供连接安全的防 护措施的选择、 使用， 那些连接所支持的服务， 以及进行连接的Ｉ Ｔ系统的附加防护措施。 标准分享网 www.bzfxw.com 免费下载 ＧＢ／Ｔ　 　　　　　　　　　　　　　　　　　　　　　　　　　 １ ９７１ ５．１ －２００５／Ｉ ＳＯ八ＥＣ　 ＴＲ　 １ ３３３５－１： １ ９９６ 信息技术 信息技术安全管理指南 　　　　　　　　　　　　　　　　 吞找． ， 立 Ｒ Ｕ　　 ［ 　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 ＝ Ｌ －　 ｇｍ　 ４士 ， 洛‘ ｒ － ； － ，２、 翻 ｓ ２卜 ２ｎ　 ４ｆ　ＥＬＩ　 Ｉ ， 　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 洲， Ｉ 只 Ｉ ＋　 ＩＪ ； Ｉ 口 ２Ｌ ＩＡ 」户‘ 了Ｉ－ ． Ｊ人 二口 ＩＰ Ａ　１Ｕ ．　 １１ ＇ 目 ：，吮 石 目匕 １ 范围 ＧＢ／ 　　　　 Ｔ　 １ ９ ７１ ５包含 Ｉ Ｔ安全管理的指南。本部分提出了基本的管理概念和模型， 将这些概念和模型 引人 Ｉ Ｔ安全管理是必要的。在指南的其余部分还将进一步讨论和开发这些概念和模型以提供更详细 的指南。为有助于标识和管理 Ｉ Ｔ安全的各个方面可 以同时使用本标准的各部分。本部分对全面理解 本标准的后续各部分是必需的。 ２ 规范性引用文件 下列文件中的条款通过 ＧＢ／Ｔ　 　　　　 １９７１５的本部分的引用而成为本部分的条款 。凡是注 日期的引用文 件， 其随后所有的修改单（ 不包括勘误的内容） 或修订版均不适用于本部分 ， 然而， 鼓励根据本部分达成 协议的各方研究是否可使用这些文件的最新版本。凡是不注 日期 的引用文件，其最新 版本适用于本 部分。 ＧＢ／ 　　　　 Ｔ　 ９ ３ ８７ ．　 ２ －１ ９ ９ ５ 信息处理系统 开放系统互连 基本参考模型 第 ２部分： 安全体系结构 （ｉ ｄｔ　 Ｉ ＳＯ　 ７４９８－ ２： １９８９） ３ 术语和定义 下列术语和定义适用于 ＧＢ／Ｔ　 　　　　 １９７１ ５的各个部分。 ３．　 １ 可核查性 　　　　 ａｃ ｃｏｕ ｎｔ ａｂｉ ｌ ｉ ｔ ｙ 确保可将一个实体的行动唯一地追踪到此实体的特性「 　　　　 ＧＢ／ Ｔ　 ９ ３ ８ ７ ．　 ２ －１ ９９ ５ １ａ ３．２ 资产 ａ 　　　　 ｓ ｓ ｅ ｔ 对组织具有价值的任何东西。 　　　　 ３．３ 真实性 ａ 　　　　 ｕ ｔ ｈ ｅ ｎ ｔ ｉ ｃ ｉ ｔ ｙ 确保主体或资源的身份是所声称身份的特性。真实性适用于诸如用户、过程 、系统和信息这样的 　　　　 实体。 ３．４ 可用性 ａｖａｉ 　　　　 ｌ ａ ｂｉ ｌ ｉ ｔ ｙ 已授权实体一旦需要就可访问和使用的特性仁 　　　　 ＧＢ／Ｔ　 ９３８７．２－ －１ ９９５１０ ３．５ 基线控制 ｂ 　　　　 ａ ｓ ｅ ｌ ｉ ｎ ｅ　 ｃ ｏ ｎ ｔ ｒ ｏ ｌ ｓ 为一个系统或组织建立的防护措施的最小集合 。 　　　　 ３．６ 保密性 ｃｏ 　　　　 ｎｆ ｉ ｄｅ ｎｔ ｉ ａｌ ｉ ｔ ｙ 使信息不泄露给未授权的个人、 　　　　 实体、 过程或不使信息为其利用 的特性。 ＧＢ／Ｔ　 １ ９７１ ５． １ －２００５／Ｉ ＳＯ／Ｉ ＥＣ　 ＴＲ　 １ ３３３５ －１：１ ９９６ ３．７ 　　　　 数据完整性 ｄ ａ ｔ ａ　 ｉ ｎｔ ｅ ｇ ｒ ｉ ｔ ｙ 数据未经未授权方式修改或破坏的特性「 　　　　 ＧＢ／Ｔ　 ９３ ８ ７ ．　 ２ －１ ９ ９ ５１０ ３．８ 影响 ｉ 　　　　 ｍｐａ ｃ ｔ 不希望事故的后果。 　　　　 ３．９ 完整性 ｉ 　　　　 ｎ ｔ ｅ ｇ ｒ ｉ ｔ ｙ 见数据完整性和系统完整性。 　　　　 ３．１０ 　　　　 Ｉ Ｔ安全 Ｉ Ｔ　 ｓ ｅｃ ｕｒｉ ｔ ｙ 与定义、获得和维护保密性 、 　　　　 完整性 、 可用性 、 可核查性、真实性和可靠性有关的各个方面。 ３．　 １１ Ｉ 　　　　 Ｔ安全策略 Ｉ Ｔ　 ｓ ｅ ｃ ｕ ｒ ｉ ｔ ｙ　 ｐ ｏ ｌ ｉ ｃ ｙ 支持如何在一个组织或其 Ｉ 　　　　 Ｔ 系统中管理 、 保护 和分布资产 （包括敏感信息）的规则、指令和 习惯 做法 。 ３．　 １２ 可靠性 ｒ 　　　　 ｅ ｌ ｉ ａｂｉ ｌ ｉ ｔ ｙ 与预期行为和结果相一致的特性。 　　　　 ３．　 １３ 残留风险 ｒ 　　　　 ｅ ｓ ｉ ｄｕ ａ ｌ　 ｒ ｉ ｓ ｋ 在已实现防护措施之后仍然存在的风险。 　　　　 ３．　 １４ 风险 ｒｉ 　　　　 ｓ ｋ 某种威胁会利用资产或若干资产的脆弱性使这些资产损失或破坏的可能性。 　　　　 ３．　 １５ 风险分析 ｒ 　　　　 ｉ ｓ ｋ　 ａ ｎ ａ ｌ ｙ ｓ ｉ ｓ 标识安全风险 、 　　　　 确定其大小和标识需要防护措施的区域的过程。 ３．　 １６ 风险管理 ｒ 　　　　 ｉ ｓ ｋ　 ｍａ ｎ ａ ｇ ｅ ｍｅ ｎｔ 标识 、 　　　　 控制和消除可能影响 Ｉ Ｔ系统资源的不确定事件或使这些事件降至最少的全部过程。 ３．　 １７ 防护措施 ｓ 　　　　 ａ ｆ ｅ ｇ ｕ ａ ｒ ｄ 降低风险的习惯做法 、 　　　　 规程或机制。 ３．　 １８ 系统完整性 ｓ 　　　　 ｙ ｓ ｔ ｅ ｍ　 ｉ ｎ ｔ ｅ ｇ ｒ ｉ ｔ ｙ 系统以不受损害的方式执行其预定功能 ， 　　　　 避免对系统故意的或意外的未授权操纵的特性 。 ３．　 １９ 威胁 ｔ 　　　　 ｈ ｒ ｅ ａ ｔ 可能导致对系统或组织危害的不希望事故潜在起因。 　　　　 ３．２０ 脆弱性 ｖ 　　　　 ｕｌ ｎｅ ｒ ａ ｂｉ ｌ ｉ ｔ ｙ 包括可能会被威胁所利用的资产或若干资产的弱点。