標(biāo)準(zhǔn)解讀

《GA/T 713-2007 信息安全技術(shù) 信息系統(tǒng)安全管理測(cè)評(píng)》是中國(guó)公安部發(fā)布的一項(xiàng)行業(yè)標(biāo)準(zhǔn),旨在為信息系統(tǒng)的安全管理提供一個(gè)統(tǒng)一的測(cè)評(píng)框架和方法論。該標(biāo)準(zhǔn)詳細(xì)規(guī)定了如何對(duì)信息系統(tǒng)的安全管理進(jìn)行科學(xué)、系統(tǒng)地評(píng)估,以確保信息資產(chǎn)的安全性、完整性和可用性。下面是該標(biāo)準(zhǔn)主要內(nèi)容的剖析:

目標(biāo)與范圍

標(biāo)準(zhǔn)明確了其主要目標(biāo)是為組織機(jī)構(gòu)的信息系統(tǒng)安全管理提供評(píng)估準(zhǔn)則,幫助識(shí)別安全控制措施的有效性及潛在的安全漏洞。它適用于各類組織的信息系統(tǒng),包括政府、企業(yè)、教育機(jī)構(gòu)等,用以指導(dǎo)信息安全管理體系的建設(shè)和改進(jìn)工作。

測(cè)評(píng)原則

  • 系統(tǒng)性:測(cè)評(píng)應(yīng)覆蓋信息系統(tǒng)的全生命周期,從規(guī)劃、設(shè)計(jì)到運(yùn)行維護(hù)的每一個(gè)階段。
  • 客觀性:測(cè)評(píng)過(guò)程應(yīng)基于事實(shí)和數(shù)據(jù),避免主觀臆斷。
  • 規(guī)范性:依據(jù)國(guó)家法律法規(guī)、行業(yè)標(biāo)準(zhǔn)及組織內(nèi)部政策進(jìn)行測(cè)評(píng)。
  • 動(dòng)態(tài)性:考慮到信息安全威脅的不斷演變,測(cè)評(píng)需定期進(jìn)行,適應(yīng)新威脅和風(fēng)險(xiǎn)。

測(cè)評(píng)內(nèi)容

標(biāo)準(zhǔn)將測(cè)評(píng)內(nèi)容分為多個(gè)維度,主要包括:

  1. 安全策略與組織管理:檢查組織是否建立了完善的信息安全策略、管理制度及組織結(jié)構(gòu),確保有明確的責(zé)任分配和高效的管理機(jī)制。
  2. 資產(chǎn)管理:評(píng)估組織對(duì)信息資產(chǎn)的識(shí)別、分類、保護(hù)措施是否到位。
  3. 人員安全管理:考察員工安全意識(shí)培訓(xùn)、訪問(wèn)權(quán)限管理及離職人員處理流程等。
  4. 物理與環(huán)境安全:檢驗(yàn)物理設(shè)施的安全防護(hù)措施,如機(jī)房安全、防火防災(zāi)等。
  5. 通信與操作管理:審查網(wǎng)絡(luò)通信安全、操作系統(tǒng)及應(yīng)用軟件的安全管理措施。
  6. 訪問(wèn)控制:評(píng)估對(duì)信息資源訪問(wèn)的控制機(jī)制,包括身份認(rèn)證、授權(quán)管理等。
  7. 信息系統(tǒng)開(kāi)發(fā)與維護(hù):涉及軟件開(kāi)發(fā)生命周期中的安全管理,確保代碼質(zhì)量和安全性。
  8. 信息安全事故管理:檢查應(yīng)急預(yù)案、事件響應(yīng)及恢復(fù)機(jī)制的有效性。
  9. 業(yè)務(wù)連續(xù)性管理:確保在面對(duì)災(zāi)害或重大事故時(shí),關(guān)鍵業(yè)務(wù)能持續(xù)運(yùn)作。
  10. 合規(guī)性與法律遵從:確認(rèn)組織遵循的相關(guān)法律法規(guī)及行業(yè)標(biāo)準(zhǔn)要求。

測(cè)評(píng)方法

標(biāo)準(zhǔn)提倡采用文檔審核、現(xiàn)場(chǎng)觀察、訪談、技術(shù)檢測(cè)等多種方法相結(jié)合的方式,以全面準(zhǔn)確地評(píng)估信息安全管理水平。

結(jié)果處理

測(cè)評(píng)結(jié)束后,應(yīng)形成詳細(xì)的測(cè)評(píng)報(bào)告,明確指出發(fā)現(xiàn)的問(wèn)題、風(fēng)險(xiǎn)等級(jí)及改進(jìn)建議,為組織提供改進(jìn)方向。同時(shí),鼓勵(lì)建立持續(xù)改進(jìn)機(jī)制,根據(jù)測(cè)評(píng)結(jié)果調(diào)整和優(yōu)化安全管理措施。


如需獲取更多詳盡信息,請(qǐng)直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 廢止
  • 已被廢除、停止使用,并不再更新
  • 2007-08-13 頒布
  • 2007-10-01 實(shí)施
?正版授權(quán)
GA/T 713-2007信息安全技術(shù)信息系統(tǒng)安全管理測(cè)評(píng)_第1頁(yè)
GA/T 713-2007信息安全技術(shù)信息系統(tǒng)安全管理測(cè)評(píng)_第2頁(yè)
GA/T 713-2007信息安全技術(shù)信息系統(tǒng)安全管理測(cè)評(píng)_第3頁(yè)
GA/T 713-2007信息安全技術(shù)信息系統(tǒng)安全管理測(cè)評(píng)_第4頁(yè)
GA/T 713-2007信息安全技術(shù)信息系統(tǒng)安全管理測(cè)評(píng)_第5頁(yè)
已閱讀5頁(yè),還剩27頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

GA/T 713-2007信息安全技術(shù)信息系統(tǒng)安全管理測(cè)評(píng)-免費(fèi)下載試讀頁(yè)

文檔簡(jiǎn)介

犐犆犛35.020

犔09

中華人民共和國(guó)公共安全行業(yè)標(biāo)準(zhǔn)

犌犃/犜713—2007

信息安全技術(shù)

信息系統(tǒng)安全管理測(cè)評(píng)

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—

犐狀犳狅狉犿犪狋犻狅狀狊狔狊狋犲犿狊犲犮狌狉犻狋狔犿犪狀犪犵犲犿犲狀狋狋犲狊狋犻狀犵犪狀犱犲狏犪犾狌犪狋犻狅狀

20070813發(fā)布20071001實(shí)施

中華人民共和國(guó)公安部發(fā)布

書(shū)

中華人民共和國(guó)公共安全

行業(yè)標(biāo)準(zhǔn)

信息安全技術(shù)

信息系統(tǒng)安全管理測(cè)評(píng)

GA/T713—2007

中國(guó)標(biāo)準(zhǔn)出版社出版發(fā)行

北京復(fù)興門(mén)外三里河北街16號(hào)

郵政編碼:100045

網(wǎng)址www.spc.net.cn

電話:6852394668517548

中國(guó)標(biāo)準(zhǔn)出版社秦皇島印刷廠印刷

各地新華書(shū)店經(jīng)銷

開(kāi)本880×12301/16印張2字?jǐn)?shù)52千字

2007年11月第一版2007年11月第一次印刷

書(shū)號(hào):155066·218283

如有印裝差錯(cuò)由本社發(fā)行中心調(diào)換

版權(quán)專有侵權(quán)必究

舉報(bào)電話:(010)68533533

書(shū)

犌犃/犜713—2007

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅴ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅵ

1范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2規(guī)范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3術(shù)語(yǔ)和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4管理評(píng)估的基本原則!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

5評(píng)估方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.1調(diào)查性訪談!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.1.1調(diào)查性訪談主要對(duì)象!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.1.2調(diào)查性訪談準(zhǔn)備!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.1.3調(diào)查性訪談階段劃分!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.1.4調(diào)查性訪談質(zhì)量控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

5.2符合性檢查!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

5.2.1符合性檢查主要對(duì)象!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

5.2.2符合性檢查方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

5.2.3符合性檢查質(zhì)量控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5.3有效性驗(yàn)證!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5.3.1有效性驗(yàn)證主要對(duì)象!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5.3.2有效性驗(yàn)證方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5.3.3有效性驗(yàn)證質(zhì)量控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.4監(jiān)測(cè)驗(yàn)證!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.4.1監(jiān)測(cè)驗(yàn)證的主要依據(jù)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.4.2監(jiān)測(cè)驗(yàn)證方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.4.3監(jiān)測(cè)驗(yàn)證質(zhì)量控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

6評(píng)估實(shí)施!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

6.1確定評(píng)估目標(biāo)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

6.2控制評(píng)估過(guò)程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

6.3處理評(píng)估結(jié)果!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

6.4建立保障證據(jù)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

7分等級(jí)評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

7.1第一級(jí):用戶自主保護(hù)級(jí)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

7.1.1管理目標(biāo)和范圍評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

7.1.2策略和制度評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

7.1.3機(jī)構(gòu)和人員管理評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

7.1.4風(fēng)險(xiǎn)管理評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

7.1.5環(huán)境和資源管理評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

7.1.6運(yùn)行和維護(hù)管理評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

7.1.7業(yè)務(wù)連續(xù)性管理評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

書(shū)

犌犃/犜713—2007

7.1.8監(jiān)督和檢查管理評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

7.1.9生存周期管理評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

7.1.10實(shí)施原則及方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

7.2第二級(jí):系統(tǒng)審計(jì)保護(hù)級(jí)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

7.2.1管理目標(biāo)和范圍評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

7.2.2策略和制度評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

7.2.3機(jī)構(gòu)和人員管理評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

7.2.4風(fēng)險(xiǎn)管理評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

7.2.5環(huán)境和資源管理評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

7.2.6運(yùn)行和維護(hù)管理評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

7.2.7業(yè)務(wù)連續(xù)性管理評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

7.2.8監(jiān)督和檢查管理評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

7.2.9生存周期管理評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

7.2.10實(shí)施原則及方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

7.3第三級(jí):安全標(biāo)記保護(hù)級(jí)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

7.3.1管理目標(biāo)和范圍評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

7.3.2策略和制度評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

7.3.3機(jī)構(gòu)和人員管理評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

7.3.4風(fēng)險(xiǎn)管理評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

7.3.5環(huán)境和資源管理評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

7.3.6運(yùn)行和維護(hù)管理評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

7.3.7業(yè)務(wù)連續(xù)性管理評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

7.3.8監(jiān)督和檢查管理評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

7.3.9生存周期管理評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

7.3.10實(shí)施原則及方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

7.4第四級(jí):結(jié)構(gòu)化保護(hù)級(jí)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

7.4.1管理目標(biāo)和范圍評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

7.4.2策略和制度評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

7.4.3機(jī)構(gòu)和人員管理評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

7.4.4風(fēng)險(xiǎn)管理評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

7.4.5環(huán)境和資源管理評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

7.4.6運(yùn)行和維護(hù)管理評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

7.4.7業(yè)務(wù)連續(xù)性管理評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

7.4.8監(jiān)督和檢查管理評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

7.4.9生存周期管理評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

7.4.10實(shí)施原則及方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

7.5第五級(jí):訪問(wèn)驗(yàn)證保護(hù)級(jí)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

7.5.1管理目標(biāo)和范圍評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

7.5.2策略和制度評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

7.5.3機(jī)構(gòu)和人員管理評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

7.5.4風(fēng)險(xiǎn)管理評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

7.5.5環(huán)境和資源管理評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

7.5.6運(yùn)行和維護(hù)管理評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

犌犃/犜713—2007

7.5.7業(yè)務(wù)連續(xù)性管理評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!19

7.5.8監(jiān)督和檢查管理評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!19

7.5.9生存周期管理評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!19

7.5.10實(shí)施原則及方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!19

附錄A(資料性附錄)安全管理評(píng)估內(nèi)容!!!!!!!!!!!!!!!!!!!!!!!!20

參考文獻(xiàn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

犌犃/犜713—2007

前言

本標(biāo)準(zhǔn)的附錄A為資料性附錄。

本標(biāo)準(zhǔn)由公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口。

本標(biāo)準(zhǔn)起草單位:北京江南天安科技有限公司,北京思源新創(chuàng)信息安全資訊有限公司。

本標(biāo)準(zhǔn)主要起草人:陳冠直、王志強(qiáng)、吉增瑞、景乾元、宋建平。

犌犃/犜713—2007

引言

本標(biāo)準(zhǔn)用于在實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)時(shí),根據(jù)GB/T20269—2006《信息安全技術(shù)信息系統(tǒng)

安全管理要求》對(duì)安全管理體系各等級(jí)安全管理要求的落實(shí)情況進(jìn)行評(píng)估,規(guī)定了評(píng)估的主要內(nèi)容和原

則,明確了評(píng)估過(guò)程和方法。對(duì)于涉及國(guó)家秘密的信息和信息系統(tǒng)的保密管理,應(yīng)按照國(guó)家有關(guān)保密管

理規(guī)定和相關(guān)測(cè)評(píng)標(biāo)準(zhǔn)執(zhí)行。

信息系統(tǒng)安全管理評(píng)估的主體包括信息系統(tǒng)的主管領(lǐng)導(dǎo)部門(mén)、信息安全監(jiān)管機(jī)構(gòu)、第三方評(píng)估機(jī)

構(gòu)、信息系統(tǒng)的管理者等,對(duì)應(yīng)的評(píng)估可以是檢查評(píng)估、第三方評(píng)估或自評(píng)估,本標(biāo)準(zhǔn)中統(tǒng)稱評(píng)估。

本標(biāo)準(zhǔn)第4章(管理評(píng)估

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁(yè),非文檔質(zhì)量問(wèn)題。

最新文檔

評(píng)論

0/150

提交評(píng)論