GBT19716-2005 信息技術(shù)信息安全管理實用規(guī)則.pdf

ID:404577

大?。?.08 MB

頁數(shù):49頁

時間:2017-07-30

GBT19716-2005 信息技術(shù)信息安全管理實用規(guī)則.pdf_第1頁
GBT19716-2005 信息技術(shù)信息安全管理實用規(guī)則.pdf_第2頁
GBT19716-2005 信息技術(shù)信息安全管理實用規(guī)則.pdf_第3頁
GBT19716-2005 信息技術(shù)信息安全管理實用規(guī)則.pdf_第4頁
GBT19716-2005 信息技術(shù)信息安全管理實用規(guī)則.pdf_第5頁
資源描述:

《GBT19716-2005 信息技術(shù)信息安全管理實用規(guī)則.pdf》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫。

1、ICS35.040__L80偽黔中華人民共和國國家標準GB/T19716-2005信息技術(shù)信息安全管理實用規(guī)則Informationtechnology-Codeofpracticeforinformationsecuritymanagement(ISO/1EC17799:2000,MOD)2005-04-19發(fā)布2005-10-01實施中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局.*小-r19ive-19a'."NTr輩秘埔瞥’趟臀豁薈發(fā)布標準分享網(wǎng)www.bzfxw.com免費下載GB/T19716-20

2、05前言本標準修改采用ISO/IEC17799,2000((信息技術(shù)信息安全管理實用規(guī)則》(英文版)。本標準適當做了一些修改:在12.1.6中增加了“a)使用國家主管部門審批的密碼算法和密碼產(chǎn)品”,作為修改內(nèi)容。本標準由中華人民共和國信息產(chǎn)業(yè)部提出。本標準由全國信息安全標準化技術(shù)委員會歸口。本標準由中國電子技術(shù)標準化研究所、中國電子科技集團第三十研究所、上海三零衛(wèi)士信息安全有限公司、中國電子科技集團第15研究所、北京思樂信息技術(shù)有限公司負責起草。本標準主要起草人:黃家英、林望重、魏忠、林中、王新杰、羅鋒

3、盈、陳星。GB/T19716-2005引言什么是信息安全?像其他重要業(yè)務(wù)資產(chǎn)一樣,信息也是一種資產(chǎn)。它對一個組織具有價值,因此需要加以合適地保護。信息安全防止信息受到的各種威脅,以確保業(yè)務(wù)連續(xù)性,使業(yè)務(wù)損害減至最小,使投資回報和業(yè)務(wù)機會最大。信息可能以各種形式存在。它可以打印或?qū)懺诩埳?、以電子方式存儲、用郵寄或電子手段發(fā)送、呈現(xiàn)在膠片上或用言語表達。無論信息采用什么形式或者用什么方法存儲或共享,都應(yīng)對它進行適當?shù)乇Wo。信息安全在此表現(xiàn)為保持下列特征:a)保密性:確保信息僅被已授權(quán)訪問的人訪問;b)完整性

4、:保護信息及處理方法的準確性和完備性;c)可用性:確保已授權(quán)用戶在需要時可以訪問信息和相關(guān)資產(chǎn)。信息安全是通過實現(xiàn)一組合適控制獲得的??刂瓶梢允遣呗浴T例、規(guī)程、組織結(jié)構(gòu)和軟件功能。需要建立這些控制,以確保滿足該組織的特定安全目標。為什么需要信息安全?信息和支持過程,系統(tǒng)和網(wǎng)絡(luò)都是重要的業(yè)務(wù)資產(chǎn)。信息的保密性、完整性和可用性對維持競爭優(yōu)勢、現(xiàn)金流轉(zhuǎn)、贏利、守法和商業(yè)形象可能是必不可少的。各組織及其信息系統(tǒng)和網(wǎng)絡(luò)日益面臨來自各個方面的安全威脅。這些方面包括計算機輔助欺詐、間諜活動、惡意破壞、毀壞行為、火災

5、或水災。諸如計算機病毒、計算機黑客搗亂和拒絕服務(wù)攻擊,已經(jīng)變得更普遍、更有野心和日益高科技。對信息系統(tǒng)和服務(wù)的依賴意味著組織對安全威脅更為脆弱。公共網(wǎng)絡(luò)和專用網(wǎng)絡(luò)的互連和信息資源的共享增加了實現(xiàn)訪問控制的難度。分布式計算的趨勢已削弱集中式控制的有效性。許多信息系統(tǒng)已不再單純追求設(shè)計成安全的,因為通過技術(shù)手段可獲得的安全性是有限的。應(yīng)該用合適的管理和規(guī)程給予支持。標識哪些控制要到位需要仔細規(guī)劃并注意細節(jié)。信息安全管理至少需要該組織內(nèi)的所有員工參與,還可能要求供應(yīng)商、消費者或股票持有人的參與。外界組織的專家

6、建議可能也是需要的。如果在制定要求規(guī)范和設(shè)計階段把信息安全控制結(jié)合進去,那么,該信息安全控制就會更加經(jīng)濟和更加有效。如何建立安全要求最重要的是組織標識出它的安全要求。有二個主要來源。第一個來源是由評估該組織的風險所獲得的。通過風險評估,標識出對資產(chǎn)的威脅,評價易受威脅的脆弱性和威脅出現(xiàn)的可能性和預測威脅潛在的影響。第二個來源是組織、貿(mào)易伙伴、合同方和服務(wù)提供者必須滿足的法律、法規(guī)、規(guī)章和合同的要求。第三個來源是組織開發(fā)支持其運行的信息處理的特定原則、目標和要求的特定集合。評估安全風險安全要求是通過安全風

7、險的系統(tǒng)性評估予以標識。用于控制的經(jīng)費需要針對可能由安全故障導致標準分享網(wǎng)www.bzfxw.com免費下載GB/T19716-2005的業(yè)務(wù)損害加以平衡。風險評估技術(shù)可適用于整個組織,或僅適用于組織的某些部門,若這樣做切實可行、現(xiàn)實和有幫助,該技術(shù)也適用于各個信息系統(tǒng)、特定系統(tǒng)部件或服務(wù)。風險評估要系統(tǒng)地考慮以下內(nèi)容:a)可能由安全故障導致的業(yè)務(wù)損害,要考慮到信息或其他資產(chǎn)的保密性、完整性或可用性喪失的潛在后果;b)從最常見的威脅和脆弱性以及當前所實現(xiàn)的控制來看,有出現(xiàn)這樣一種故障的現(xiàn)實可能性。評估的

8、結(jié)果將幫助指導和確定合適的管理行動,以及管理信息安全風險和實現(xiàn)所選擇控制的優(yōu)先級,以防范這些風險。評估風險和選擇控制的過程可能需要進行許多次,以便涵蓋組織的不同部門或各個信息系統(tǒng)。重要的是對安全風險和已實現(xiàn)的控制進行周期性評審,以便:a)考慮業(yè)務(wù)要求和優(yōu)先級的變更;b)考慮新的威脅和脆弱性;c)證實控制仍然維持有效和合適。根據(jù)先前評估的結(jié)果評審宜在不同深度級別進行,以及在管理層準備接受的更改風險級別進行。作為高風險區(qū)域優(yōu)化資源的一種手段,風

當前文檔最多預覽五頁,下載文檔查看全文

此文檔下載收益歸作者所有

當前文檔最多預覽五頁,下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學公式或PPT動畫的文件,查看預覽時可能會顯示錯亂或異常,文件下載后無此問題,請放心下載。
2. 本文檔由用戶上傳,版權(quán)歸屬用戶,天天文庫負責整理代發(fā)布。如果您對本文檔版權(quán)有爭議請及時聯(lián)系客服。
3. 下載前請仔細閱讀文檔內(nèi)容,確認文檔內(nèi)容符合您的需求后進行下載,若出現(xiàn)內(nèi)容與標題不符可向本站投訴處理。
4. 下載文檔時可能由于網(wǎng)絡(luò)波動等原因無法下載或下載錯誤,付費完成后未能成功下載的用戶請聯(lián)系客服處理。
关闭