GB_T 19715.2-2005《信息技术信息技术安全管理指南第2部分：管理和规划信息技术安全》

ＩＣＳ　３５．０４０一Ｌ　８０一巧日中华人民共和国国家标准ＧＢ／Ｔ　　　　　　　　　　　　　　　　　　　　　　　　　　　１９７１５．２－２００５／ＩＳＯ／ＩＥＣ　ＴＲ１３３３５－２：１９９７　　信息技术信息技术安全管理指南第２部分：　　管理和规划信息技术安全Ｉ　　　　ｎｆｏｒｍａｔｉｏｎ　ｔｅｃｈｎｏｌｏｇｙ－Ｇｕｉｄｅｌｉｎｅｓ　ｆｏｒ　ｔｈｅ　ｍａｎａｇｅｍｅｎｔ　ｏｆ　ＩＴ　ｓｅｃｕｒｉｔｙ－Ｐａｒ　　　　　　　　　　　　　　　　　　ｔ　２：Ｍａｎａｇｉｎｇ　ａｎｄ　ｐｌａｎｎｉｎｇ　ＩＴ　ｓｅｃｕｒｉｔｙ（Ｉ　　　　　　　　　　　　　　　　　　　　　　　　ＳＯ／ＩＥＣ；　ＴＲ　１３３３５一２：１９９７，ＩＤＴ）２００５－０４－１９发布２００５－１０－０１实施牢　　　　　　　　ａ　ａ瞥臀橇啃臀缝瞥臀１４１２，　ｚ发“ ＧＢ／Ｔ　　　　　　　　　　　　　　　　　　　　　　　　　　　１９７１５．２－２００５／ＩＳＯ／ＩＥＣ　ＴＲ　１３３３５－２：１９９７前　　　　　　　　　　　　　　　　　　　　　　言　　　　ＧＩ３／Ｔ　１９７１５《信息技术信息技术安全管理指南》分为五个部分： — 第１部分：　　　　信息技术安全概念和模型； — 第２部分：　　　　管理和规划信息技术安全； — 第３部分：　　　　信息技术安全管理技术； — 第４部分：防护措施的选择；　　　　　　　　 — 第５部分：外部连接的防护措施。本部分等同采用国际标准Ｉ　　　　ＳＯ／ＩＥＣ　ＴＲ　１３３３５－２：１９９７《信息技术信息技术安全管理指南第２部分：管理和规划信息技术安全》。本部分中的指南提出Ｉ　　　　Ｔ安全管理的一些基本专题以及这些专题之间的关系。这些指南对标识和管理ＩＴ安全各个方面是有用的。本部分由中华人民共和国信息产业部提出。　　　　　　　　本部分由全国信息安全标准化技术委员会归口。本部分由中国电子技术标准化研究所（ＣＥＳＩ　　　　　）、中国电子科技集团第十五研究所、中国电子科技集团第三十研究所、上海三零卫士信息安全有限公司负责起草。本部分主要起草人：　　　　安金海、林中、林望重、魏忠、罗锋盈、陈星。ＧＢ／Ｔ　１９７１５．２－２００５／ＩＳＯ／ＩＥＣ　ＴＲ　１３３３５－２：１９９７引　　　　　　　　　　　　　　　　　　　　　言　　　　ＧＢ／Ｔ　１９７１５的目的是提供关于ＩＴ安全管理方面的指南，而不是解决方案。那些在组织内负责ＩＴ安全的个人应该可以采用本标准中的资料来满足他们特定的需求。本标准的主要目标是：　　　　ａ）定义和描述与ＩＴ安全管理相关的概念；ｂ）标识Ｉ　　　　Ｔ安全管理和一般的ＩＴ管理之间的关系；ｃ）提出了几个可用来解释Ｉ　　　　Ｔ安全的模型；　　　　ｄ）提供了关于ＩＴ安全管理的一般的指南。本标准由多个部分组成。第１部分提供了描述Ｉ　　　　Ｔ安全管理用的基本概念和模型的概述。本部分适用于负责ＩＴ安全的管理者及那些负责组织的总体安全大纲的管理者。本部分描述了管理和规划方面。它和负责组织的Ｉ　　　　Ｔ系统的管理者相关。他们可以是：ａ）负责监督Ｉ　　　　Ｔ系统的设计、实施、测试、采购或运行的ＩＴ管理者；　　　　ｂ）负责制定ＩＴ系统的实际使用活动的管理者；ｃ）当然还有负责Ｉ　　　　Ｔ安全的管理者。　　　　第３部分描述了在一个项目的生存周期（比如规划、设计、实施、测试、采办或运行）所涉及的管理活动中适于使用的安全技术。第４部分提供了选择防护措施的指南，以及通过基线模型和控制的使用如何受到支持。它也描述　　　　了它如何补充了第３部分中描述的安全技术，如何使用附加的评估方法来选择防护措施。第５部分为组织提供了将它的Ｉ　　　　Ｔ系统连接到外部网络的指南。该指南包含了提供连接安全的防护措施的选择、使用，那些连接所支持的服务，以及进行连接的ＩＴ系统的附加防护措施。ＧＢ／Ｔ　　　　　　　　　　　　　　　　　　　　　　　　　　１９７１５．２－２００５八ＳＯ／ＩＥＣ　ＴＲ　１３３３５－２：１９９７　　　　　　　　　　　　　　　　信息技术信息技术安全管理指南第２部分：　　　　　　　　　　　　　　　　管理和规划信息技术安全１范围ＧＢ／　　　　Ｔ　１９７１５的本部分提出ＩＴ安全管理的一些基本专题以及这些专题之间的关系。这些部分对标识和管理ＩＴ安全各个方面是有用的。熟悉第１部分所介绍的概念和模型对全面理解本部分是重要的。　　　　２规范性引用文件下列文件中的条款通过ＧＢ／Ｔ　　　　　１９７１５的本部分的引用而成为本部分的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本部分，然而，鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本部分。ＧＢ／　　　　Ｔ　１９７１５．　１－２００５信息技术信息技术安全管理指南第１部分：信息技术安全概念和模型（ＩＳＯ／ＩＥＣ　ＴＲ　１３３３５－１：１９９６，ＩＤＴ）３术语和定义ＧＢ／　　　　Ｔ　１９７１５．　１－２００５确立的术语和定义适用于本部分，使用其下列术语：可核查性、资产、真实性、可用性、基线控制、保密性、数据完整性、影响、完整性、ＩＴ安全、ＩＴ安全策略、可靠性、残留风险、风险、风险分析、风险管理、防护措施、系统完整性、威胁、脆弱性。４结构　　　　１本部分有７章。第５章和第６章提供有关本文件目的和背景方面的信息。第７章提供成功的ＩＴ安全管理中所涉及的各种活动的概述。第ａ章到第１６章详述这些活动。第１７章提供小结。５目的本部分的目的是要提出与Ｉ　　　　Ｔ安全管理和规划有关的各种活动，以及组织中有关的角色和职责。这一般与负责ＩＴ系统采购、设计、实现或运行的ＩＴ管理人员有关。除了ＩＴ安全管理人员外，还与负责使ＩＴ系统具体使用活动的管理人员有关。总之，本部分对与组织ＩＴ系统有关的负管理责任的任何人是有用的。６背景为进行业务活动，　　　　政府和商业组织极其依赖信息的使用。信息和服务的保密性、完整性、可用性、可核查性、真实性和可靠性的损失会给组织带来负面影响。因此，在组织中对保护信息和管理信息技术（ＩＴ）的安全有着重要的需求。在现今环境中，保护信息的这一要求尤为重要，因为许多组织通过ＩＴ系统的网络进行内部和外部的连接。Ｉ　　　　Ｔ安全管理是用来实现和维护保密性、完整性、可用性、可核查性、真实性和可靠性相应等级过程的。ＩＴ安全管理功能包括：ａ）确定组织Ｉ　　　　Ｔ安全目标、战略和策略；ＧＢ／Ｔ　１９７１５．２－２００５／ＩＳＯ八ＥＣ　ＴＲ　１３３３５－２：１９９７　　　　ｂ）确定组织ＩＴ安全要求；ｃ）标识和分析对组织内Ｉ　　　　Ｔ资产的安全威胁和ＩＴ资产的脆弱性；　　　　ｄ）标识和分析安全风险；ｅ　　　　）规定合适的防护措施；ｆ　　　　）监督防护措施的实现和运作，使费用花在有效保护组织内的信息和服务所必需的防护措施上；　　　　ｇ）制订和实施安全意识大纲；ｈ）对事故的检测和反应。　　　　为了履行Ｉ　　　　Ｔ系统的这些管理职责，安全必须是组织的整个管理规划不可分的组成部分并被集成到组织所有的职能过程中。因此，本部分所提出的若干安全专题具有广泛的管理内涵。本部分将不关注广泛的管理问题，而是这些专题的安全方面以及它们与管理的关系如何。７　　ＩＴ安全管理７．１规划和管理过程概述Ｉ　　　　Ｔ安全规划和管理是制订和维护组织内ＩＴ安全大纲的全面过程。图１示出此过程中的主要活动。由于管理风格、组织规模和结构不同，应对此过程予以剪裁，以适应使用此过程的环境。重要的是要根据组织的风格、规模和结构及其进行业务的方式采用图１所标识的各种活动和功能。这意味着进行管理评审是所有这些活动和功能的一部分。起点是要制订组织Ｉ　　　　Ｔ安全目标的清晰视图。这些目标是根据更高层目标（例如，业务目标）得到的，然后依次产生组织的ＩＴ安全战略和总体ＩＴ安全策略，详见第８章。由此，部分总体ＩＴ安全策略创建合适的组织结构，保证能够实现所规定的目标。－Ｉ－｝１ａＸ－＇＃．（７ＩｋＴ３｝）ＦＡｆ１－４Ｍ５￥＂ｒｉｔ＇Ｗ　Ｒｋ？Ｘ！ｌ（ｆ＊｝－％１ｓＭ３９）Ｕ２０（＊｝１Ａ－５ｌＥ＇Ｏ）ＭＨ（７－．２Ｉ－Ｔ图１　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　ＩＴ安全规划和管理概述ＧＢ／Ｔ　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　１９７１５．２－２００５八ＳＯ／ＩＥＣ　ＴＲ　１３３３５－２：１９９７７．２风险管理概述风险管理包括四种不同的活动：　　　　　　　　ａ）在总体ＩＴ安全策略上下文内确定适合于组织的全面风险管理战略；ｂ）作为风险分析活动的结果或按照基线控制，　　　　选用适用于各个ＩＴ系统的防护措施；ｃ）根据安全建议形成Ｉ　　　　Ｔ系统安全策略，以及在必要时更新总体ＩＴ安全策略（和合适时更新部门Ｉ　　　　　　　　Ｔ安全策略）；ｄ）根据批准的Ｉ　　　　Ｔ系统安全策略，制订ＩＴ安全计划以实