標(biāo)準(zhǔn)解讀

GB/T 19715.1-2005是一項(xiàng)由中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)頒布的信息技術(shù)安全領(lǐng)域的國(guó)家標(biāo)準(zhǔn),其全稱為《信息技術(shù) 安全技術(shù) 信息技術(shù)安全管理指南 第1部分:信息技術(shù)安全概念和模型》。這份標(biāo)準(zhǔn)主要針對(duì)信息技術(shù)安全管理領(lǐng)域,旨在為組織機(jī)構(gòu)提供一個(gè)清晰的框架,幫助它們理解和實(shí)施有效信息安全管理體系的基礎(chǔ)概念與模型。

標(biāo)準(zhǔn)內(nèi)容概覽

  1. 信息技術(shù)安全概念:標(biāo)準(zhǔn)首先界定了信息技術(shù)安全的基本概念,包括信息安全的目的、重要性以及面臨的威脅和風(fēng)險(xiǎn)。它強(qiáng)調(diào)了信息安全不僅僅是技術(shù)問(wèn)題,還涉及到人員管理、流程控制和法律法規(guī)遵守等多個(gè)層面。

  2. 安全模型:詳細(xì)闡述了信息安全模型,包括分層防御模型、PDR模型(防護(hù)-檢測(cè)-響應(yīng))、CIA三元組(保密性、完整性和可用性)等,這些模型為企業(yè)構(gòu)建信息安全體系提供了理論基礎(chǔ)和實(shí)踐指導(dǎo)。

  3. 風(fēng)險(xiǎn)管理:介紹了風(fēng)險(xiǎn)管理的重要性及其在信息安全中的應(yīng)用,包括風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理和風(fēng)險(xiǎn)監(jiān)控的過(guò)程。標(biāo)準(zhǔn)指出,有效的風(fēng)險(xiǎn)管理是實(shí)現(xiàn)信息安全目標(biāo)的關(guān)鍵。

  4. 政策、策略與程序:強(qiáng)調(diào)了制定和執(zhí)行信息安全政策、策略和程序的必要性,這些文檔化的方法有助于確保所有員工都明確了解并遵循安全規(guī)定。

  5. 安全組織與職責(zé):討論了建立信息安全組織結(jié)構(gòu)的重要性,明確了不同角色和部門(mén)在信息安全管理工作中的職責(zé)分工,以確保安全措施的有效執(zhí)行和維護(hù)。

  6. 安全教育、培訓(xùn)與意識(shí):指出了提升員工信息安全意識(shí)和技能的必要性,通過(guò)定期的培訓(xùn)和教育活動(dòng),增強(qiáng)組織整體的安全防護(hù)能力。

  7. 審計(jì)與合規(guī)性檢查:說(shuō)明了內(nèi)部和外部審計(jì)的作用,以及如何通過(guò)審計(jì)來(lái)驗(yàn)證安全控制措施的有效性,并確保組織遵守相關(guān)的法律法規(guī)和行業(yè)標(biāo)準(zhǔn)。

實(shí)踐意義

該標(biāo)準(zhǔn)為各類組織提供了一套全面的信息安全管理框架,不僅適用于政府機(jī)構(gòu),也對(duì)企事業(yè)單位、教育機(jī)構(gòu)等具有重要的指導(dǎo)意義。通過(guò)遵循此標(biāo)準(zhǔn),組織能夠系統(tǒng)地識(shí)別信息安全需求,合理規(guī)劃并實(shí)施安全控制措施,有效應(yīng)對(duì)不斷變化的信息安全威脅環(huán)境,保護(hù)信息資產(chǎn),維護(hù)業(yè)務(wù)連續(xù)性和競(jìng)爭(zhēng)力。

結(jié)構(gòu)性解讀

  • 第一章 引言:概述標(biāo)準(zhǔn)目的、適用范圍和引用的標(biāo)準(zhǔn)文獻(xiàn)。
  • 第二章 術(shù)語(yǔ)和定義:明確關(guān)鍵術(shù)語(yǔ)的含義,確保理解的一致性。
  • 第三章 信息技術(shù)安全概述:介紹信息安全的基本原則和重要性。
  • 第四章 安全模型與框架:深入解析安全模型及其在實(shí)踐中的應(yīng)用。
  • 第五章至第八章:分別聚焦風(fēng)險(xiǎn)管理、政策策略、組織結(jié)構(gòu)與人員、以及教育與培訓(xùn)等方面,提供具體指導(dǎo)。
  • 后續(xù)章節(jié):可能進(jìn)一步探討審計(jì)、合規(guī)性、以及標(biāo)準(zhǔn)的持續(xù)改進(jìn)等方面。


如需獲取更多詳盡信息,請(qǐng)直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 廢止
  • 已被廢除、停止使用,并不再更新
  • 2005-04-19 頒布
  • 2005-10-01 實(shí)施
?正版授權(quán)
GB/T 19715.1-2005信息技術(shù)信息技術(shù)安全管理指南第1部分:信息技術(shù)安全概念和模型_第1頁(yè)
GB/T 19715.1-2005信息技術(shù)信息技術(shù)安全管理指南第1部分:信息技術(shù)安全概念和模型_第2頁(yè)
GB/T 19715.1-2005信息技術(shù)信息技術(shù)安全管理指南第1部分:信息技術(shù)安全概念和模型_第3頁(yè)
GB/T 19715.1-2005信息技術(shù)信息技術(shù)安全管理指南第1部分:信息技術(shù)安全概念和模型_第4頁(yè)
GB/T 19715.1-2005信息技術(shù)信息技術(shù)安全管理指南第1部分:信息技術(shù)安全概念和模型_第5頁(yè)
免費(fèi)預(yù)覽已結(jié)束,剩余15頁(yè)可下載查看

下載本文檔

文檔簡(jiǎn)介

犐犆犛35.040

犔80

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

犌犅/犜19715.1—2005/犐犛犗/犐犈犆犜犚133351:1996

信息技術(shù)信息技術(shù)安全管理指南

第1部分:信息技術(shù)安全概念和模型

犐狀犳狅狉犿犪狋犻狅狀狋犲犮犺狀狅犾狅犵狔—犌狌犻犱犲犾犻狀犲狊犳狅狉狋犺犲犿犪狀犪犵犲犿犲狀狋狅犳犐犜狊犲犮狌狉犻狋狔—

犘犪狉狋1:犆狅狀犮犲狆狋狊犪狀犱犿狅犱犲犾狊狅犳犐犜狊犲犮狌狉犻狋狔

(ISO/IECTR133351:1996,IDT)

20050419發(fā)布20051001實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局

發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

書(shū)

犌犅/犜19715.1—2005/犐犛犗/犐犈犆犜犚133351:1996

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅰ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅱ

1范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2規(guī)范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3術(shù)語(yǔ)和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

5目的!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

6背景!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

7IT安全管理概念!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

8安全要素!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

9IT安全管理過(guò)程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

10模型!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

11小結(jié)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

書(shū)

犌犅/犜19715.1—2005/犐犛犗/犐犈犆犜犚133351:1996

前言

GB/T19715《信息技術(shù)信息技術(shù)安全管理指南》分為五個(gè)部分:

———第1部分:信息技術(shù)安全概念和模型;

———第2部分:管理和規(guī)劃信息技術(shù)安全;

———第3部分:信息技術(shù)安全管理技術(shù);

———第4部分:防護(hù)措施的選擇;

———第5部分:外部連接的防護(hù)措施。

本部分等同采用國(guó)際標(biāo)準(zhǔn)ISO/IECTR133351:1996《信息技術(shù)信息技術(shù)安全管理指南第1

部分:信息技術(shù)安全概念和模型》。

本部分提出基本的管理概念和模型,將這些概念和模型引入信息技術(shù)安全管理是必要的。

本部分由中華人民共和國(guó)信息產(chǎn)業(yè)部提出。

本部分由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口。

本部分由中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究所(CESI)、中國(guó)電子科技集團(tuán)第十五研究所、中國(guó)電子科技集

團(tuán)第三十研究所、上海三零衛(wèi)士信息安全有限公司負(fù)責(zé)起草。

本部分主要起草人:安金海、林中、林望重、魏忠、羅鋒盈、陳星。

犌犅/犜19715.1—2005/犐犛犗/犐犈犆犜犚133351:1996

引言

GB/T19715的目的是提供關(guān)于IT安全管理方面的指南,而不是解決方案。那些在組織內(nèi)負(fù)責(zé)IT

安全的個(gè)人應(yīng)該可以采用本標(biāo)準(zhǔn)中的資料來(lái)滿足他們特定的需求。本標(biāo)準(zhǔn)的主要目標(biāo)是:

a)定義和描述與IT安全管理相關(guān)的概念;

b)標(biāo)識(shí)IT安全管理和一般的IT管理之間的關(guān)系;

c)提出了幾個(gè)可用來(lái)解釋IT安全的模型;

d)提供了關(guān)于IT安全管理的一般的指南。

GB/T19715由多個(gè)部分組成。本部分為第1部分,提供了描述IT安全管理用的基本概念和模型

的概述。本部分適用于負(fù)責(zé)IT安全的管理者,及那些負(fù)責(zé)組織的總體安全大綱的管理者。

第2部分描述了管理和規(guī)劃方面。它和負(fù)責(zé)組織的IT系統(tǒng)的管理者相關(guān)。他們可以是:

a)負(fù)責(zé)監(jiān)督IT系統(tǒng)的設(shè)計(jì)、實(shí)施、測(cè)試、采購(gòu)或運(yùn)行的IT管理者;

b)負(fù)責(zé)制定IT系統(tǒng)的實(shí)際使用活動(dòng)的管理者。

第3部分描述了在一個(gè)項(xiàng)目的生存周期(比如規(guī)劃、設(shè)計(jì)、實(shí)施、測(cè)試、采辦或運(yùn)行)所涉及的管理活

動(dòng)中適于使用的安全技術(shù)。

第4部分提供了選擇防護(hù)措施的指南,以及通過(guò)基線模型和控制的使用如何受到支持。它也描述

了它如何補(bǔ)充了第3部分中描述的安全技術(shù),如何使用附加的評(píng)估方法來(lái)選擇防護(hù)措施。

第5部分為組織提供了將它的IT系統(tǒng)連接到外部網(wǎng)絡(luò)的指南。該指南包含了提供連接安全的防

護(hù)措施的選擇、使用,那些連接所支持的服務(wù),以及進(jìn)行連接的IT系統(tǒng)的附加防護(hù)措施。

犌犅/犜19715.1—2005/犐犛犗/犐犈犆犜犚133351:1996

信息技術(shù)信息技術(shù)安全管理指南

第1部分:信息技術(shù)安全概念和模型

1范圍

GB/T19715包含IT安全管理的指南。本部分提出了基本的管理概念和模型,將這些概念和模型

引入IT安全管理是必要的。在指南的其余部分還將進(jìn)一步討論和開(kāi)發(fā)這些概念和模型以提供更詳細(xì)

的指南。為有助于標(biāo)識(shí)和管理IT安全的各個(gè)方面可以同時(shí)使用本標(biāo)準(zhǔn)的各部分。本部分對(duì)全面理解

本標(biāo)準(zhǔn)的后續(xù)各部分是必需的。

2規(guī)范性引用文件

下列文件中的條款通過(guò)GB/T19715的本部分的引用而成為本部分的條款。凡是注日期的引用文

件,其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本部分,然而,鼓勵(lì)根據(jù)本部分達(dá)成

協(xié)議的各方研究是否可使用這些文件的

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。驍?shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁(yè),非文檔質(zhì)量問(wèn)題。

評(píng)論

0/150

提交評(píng)論