GB/T 19716-2005信息技術(shù)信息安全管理實(shí)用規(guī)則

犐犆犛３５．０４０

犔８０

中華人民共和國國家標(biāo)準(zhǔn)

犌犅／犜１９７１６—２００５

信息技術(shù)信息安全管理實(shí)用規(guī)則

犐狀犳狅狉犿犪狋犻狅狀狋犲犮犺狀狅犾狅犵狔—犆狅犱犲狅犳狆狉犪犮狋犻犮犲犳狅狉

犻狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔犿犪狀犪犵犲犿犲狀狋

（ＩＳＯ／ＩＥＣ１７７９９：２０００，ＭＯＤ）

２００５０４１９發(fā)布２００５１００１實(shí)施

中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局

發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會(huì)

書

中華人民共和國

國家標(biāo)準(zhǔn)

信息技術(shù)信息安全管理實(shí)用規(guī)則

ＧＢ／Ｔ１９７１６—２００５

中國標(biāo)準(zhǔn)出版社出版發(fā)行

北京西城區(qū)復(fù)興門外三里河北街１６號(hào)

郵政編碼：１０００４５

ｈｔｔｐ：／／ｗｗｗ．ｓｐｃ．ｎｅｔ．ｃｎ

電話：６３７８７３３７、６３７８７４４７

２００５年８月第一版２００５年８月電子版制作

書號(hào)：１５５０６６·１２３０５８

版權(quán)專有侵權(quán)必究

舉報(bào)電話：（０１０）６８５３３５３３

書

犌犅／犜１９７１６—２００５

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅳ

１范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

２術(shù)語和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

２．１信息安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

２．２風(fēng)險(xiǎn)評(píng)估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

２．３風(fēng)險(xiǎn)管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

３安全策略!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

３．１信息安全策略!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

４組織的安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２

４．１信息安全基礎(chǔ)設(shè)施!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２

４．２第三方訪問的安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４

４．３外包!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５

５資產(chǎn)分類和控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６

５．１資產(chǎn)的可核查性!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６

５．２信息分類!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６

６人員安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７

６．１崗位設(shè)定和人力資源的安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!７

６．２用戶培訓(xùn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!８

６．３對(duì)安全事故和故障的響應(yīng)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!８

７物理和環(huán)境的安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!９

７．１安全區(qū)域!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!９

７．２設(shè)備安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１１

７．３一般控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１３

８通信和操作管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１３

８．１操作規(guī)程和職責(zé)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１３

８．２系統(tǒng)規(guī)劃和驗(yàn)收!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１６

８．３防范惡意軟件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１６

８．４內(nèi)務(wù)處理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１７

８．５網(wǎng)絡(luò)管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１８

８．６媒體處置和安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１８

８．７信息和軟件的交換!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１９

９訪問控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２２

９．１訪問控制的業(yè)務(wù)要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２２

９．２用戶訪問管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２３

９．３用戶職責(zé)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２４

９．４網(wǎng)絡(luò)訪問控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２５

９．５操作系統(tǒng)訪問控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２７

Ⅰ

書

犌犅／犜１９７１６—２００５

９．６應(yīng)用訪問控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２９

９．７對(duì)系統(tǒng)訪問和使用的監(jiān)督!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３０

９．８移動(dòng)計(jì)算和遠(yuǎn)程工作!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３１

１０系統(tǒng)開發(fā)和維護(hù)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３２

１０．１系統(tǒng)的安全要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３２

１０．２應(yīng)用系統(tǒng)的安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３３

１０．３密碼控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３４

１０．４系統(tǒng)文件的安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３６

１０．５開發(fā)和支持過程的安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３７

１１業(yè)務(wù)連續(xù)性管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３８

１１．１業(yè)務(wù)連續(xù)性管理的各方面!!!!!!!!!!!!!!!!!!!!!!!!!!!!３８

１２符合性!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４０

１２．１符合法律要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４０

１２．２安全策略和技術(shù)符合性的評(píng)審!!!!!!!!!!!!!!!!!!!!!!!!!!４３

１２．３系統(tǒng)審核考慮!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４３

Ⅱ

犌犅／犜１９７１６—２００５

前言

本標(biāo)準(zhǔn)修改采用ＩＳＯ／ＩＥＣ１７７９９：２０００《信息技術(shù)信息安全管理實(shí)用規(guī)則》（英文版）。

本標(biāo)準(zhǔn)適當(dāng)做了一些修改：在１２．１．６中增加了“ａ）使用國家主管部門審批的密碼算法和密碼產(chǎn)

品”，作為修改內(nèi)容。

本標(biāo)準(zhǔn)由中華人民共和國信息產(chǎn)業(yè)部提出。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口。

本標(biāo)準(zhǔn)由中國電子技術(shù)標(biāo)準(zhǔn)化研究所、中國電子科技集團(tuán)第三十研究所、上海三零衛(wèi)士信息安全有

限公司、中國電子科技集團(tuán)第１５研究所、北京思樂信息技術(shù)有限公司負(fù)責(zé)起草。

本標(biāo)準(zhǔn)主要起草人：黃家英、林望重、魏忠、林中、王新杰、羅鋒盈、陳星。

Ⅲ

犌犅／犜１９７１６—２００５

引言

什么是信息安全？

像其他重要業(yè)務(wù)資產(chǎn)一樣，信息也是一種資產(chǎn)。它對(duì)一個(gè)組織具有價(jià)值，因此需要加以合適地保

護(hù)。信息安全防止信息受到的各種威脅，以確保業(yè)務(wù)連續(xù)性，使業(yè)務(wù)損害減至最小，使投資回報(bào)和業(yè)務(wù)

機(jī)會(huì)最大。

信息可能以各種形式存在。它可以打印或?qū)懺诩埳?、以電子方式存?chǔ)、用郵寄或電子手段發(fā)送、呈

現(xiàn)在膠片上或用言語表達(dá)。無論信息采用什么形式或者用什么方法存儲(chǔ)或共享，都應(yīng)對(duì)它進(jìn)行適當(dāng)?shù)?/p>

保護(hù)。

信息安全在此表現(xiàn)為保持下列特征：

ａ）保密性：確保信息僅被已授權(quán)訪問的人訪問；

ｂ）完整性：保護(hù)信息及處理方法的準(zhǔn)確性和完備性；

ｃ）可用性：確保已授權(quán)用戶在需要時(shí)可以訪問信息和相關(guān)資產(chǎn)。

信息安全是通過實(shí)現(xiàn)一組合適控制獲得的?？刂瓶梢允遣呗浴T例、規(guī)程、組織結(jié)構(gòu)和軟件功能。

需要建立這些控制，以確保滿足該組織的特定安全目標(biāo)。

為什么需要信息安全？

信息和支持過程，系統(tǒng)和網(wǎng)絡(luò)都是重要的業(yè)務(wù)資產(chǎn)。信息的保密性、完整性和可用性對(duì)維持競爭優(yōu)

勢、現(xiàn)金流轉(zhuǎn)、贏利、守法和商業(yè)形象可能是必不可少的。

各組織及其信息系統(tǒng)和網(wǎng)絡(luò)日益面臨來自各個(gè)方面的安全威脅。這些方面包括計(jì)算機(jī)輔助欺詐、

間諜活動(dòng)、惡意破壞、毀壞行為、火災(zāi)或水災(zāi)。諸如計(jì)算機(jī)病毒、計(jì)算機(jī)黑客搗亂和拒絕服務(wù)攻擊，已經(jīng)

變得更普遍、更有野心和日益高科技。

對(duì)信息系統(tǒng)和服務(wù)的依賴意味著組織對(duì)安全威脅更為脆弱。公共網(wǎng)絡(luò)和專用網(wǎng)絡(luò)的互連和信息資

源的共享增加了實(shí)現(xiàn)訪問控制的難度。分布式計(jì)算的趨勢已削弱集中式控制的有效性。

許多信息系統(tǒng)已不再單純追求設(shè)計(jì)成安全的，因?yàn)橥ㄟ^技術(shù)手段可獲得的安全性是有限的。應(yīng)該

用合適的管理和規(guī)程給予支持。標(biāo)識(shí)哪些控制要到位需要仔細(xì)規(guī)劃并注意細(xì)節(jié)。信息安全管理至少需

要該組織內(nèi)的所有員工參與，還可能要求供應(yīng)商、消費(fèi)者或股票持有人的參與。外界組織的專家建議可

能也是需要的。

如果在制定要求規(guī)范和設(shè)計(jì)階段把信息安全控制結(jié)合進(jìn)去，那么，該信息安全控制就會(huì)更加經(jīng)濟(jì)和

更加有效。

如何建立安全要求

最重要的是組織標(biāo)識(shí)出它的安全要求。有三個(gè)主要來源。

第一個(gè)來源是由評(píng)估該組織的風(fēng)險(xiǎn)所獲得的。通過風(fēng)險(xiǎn)評(píng)估，標(biāo)識(shí)出對(duì)資產(chǎn)的威脅，評(píng)價(jià)易受威脅

的脆弱性和威脅出現(xiàn)的可能性和預(yù)測威脅潛在的影響。

第二個(gè)來源是組織、貿(mào)易伙伴、合同方和服務(wù)提供者必須滿足的法律、法規(guī)、規(guī)章和合同的要求。

第三個(gè)來源是組織開發(fā)支持其運(yùn)行的信息處理的特定原則、目標(biāo)和要求的特定集合。

評(píng)估安全風(fēng)險(xiǎn)

安全要求是通過安全風(fēng)險(xiǎn)的系統(tǒng)性評(píng)估予以標(biāo)識(shí)。用于控制的經(jīng)費(fèi)需要針對(duì)可能由安全故障導(dǎo)致

Ⅳ

犌犅／犜１９７１６—２００５

的業(yè)務(wù)損害加以平衡。風(fēng)險(xiǎn)評(píng)估技術(shù)可適用于整個(gè)組織，或僅適用于組織的某些部門，若這樣做切實(shí)可

行、現(xiàn)實(shí)和有幫助，該技術(shù)也適用于各個(gè)信息系統(tǒng)、特定系統(tǒng)部件或服務(wù)。

風(fēng)險(xiǎn)評(píng)估要系統(tǒng)地考慮以下內(nèi)容：

ａ）可能由安全故障導(dǎo)致的業(yè)務(wù)損害，要考慮到信息或其他資產(chǎn)的保密性、完整性或可用性喪失的

潛在后果；

ｂ）從最常見的威脅和脆弱性以及當(dāng)前所實(shí)現(xiàn)的控制來看，有出現(xiàn)這樣一種故障的現(xiàn)實(shí)可能性。

評(píng)估的結(jié)果將幫助指導(dǎo)和確定合適的管理行動(dòng)，以及管理信息安全風(fēng)險(xiǎn)和實(shí)現(xiàn)所選擇控制的優(yōu)先

級(jí)，以防范這些風(fēng)險(xiǎn)。評(píng)估風(fēng)險(xiǎn)和選擇控制的過程可能需要進(jìn)行許多次，以便涵蓋組織的不同部門或各

個(gè)信息系統(tǒng)。

重要的是對(duì)安全風(fēng)險(xiǎn)和已實(shí)現(xiàn)的控制進(jìn)行周期性評(píng)審，以便：

ａ）考慮業(yè)務(wù)要求和優(yōu)先級(jí)的變更；

ｂ）考慮新的威脅和脆弱性；

ｃ）證實(shí)控制仍然維持有效和合適。

根據(jù)先前評(píng)估的結(jié)果評(píng)審宜在不同深度級(jí)別進(jìn)行，以及在管理層準(zhǔn)備接受的更改風(fēng)險(xiǎn)級(jí)別進(jìn)行。

作為高風(fēng)險(xiǎn)區(qū)域優(yōu)化資源的一種手段，風(fēng)險(xiǎn)評(píng)估通常首先在高級(jí)別進(jìn)行，然后在更細(xì)的級(jí)別進(jìn)行，以提

出具體的風(fēng)險(xiǎn)。

選擇控制

一旦安全要求已被標(biāo)識(shí)，則應(yīng)選擇并實(shí)現(xiàn)控制，以確保風(fēng)險(xiǎn)減少到可接受的程度。控制可以從本標(biāo)

準(zhǔn)或其他控制集合中選擇，或者當(dāng)合適時(shí)設(shè)計(jì)新的控制以滿足特定需求。有許多不同的管理風(fēng)險(xiǎn)的方

法，本標(biāo)準(zhǔn)提供常用方法的若干例子。然而，需要認(rèn)識(shí)到有些控制不適用于每種信息系統(tǒng)或環(huán)境，并且

不是對(duì)所有組織都可行。作為一個(gè)例子，８．１．４描述如何分割責(zé)任，以防止欺詐或出錯(cuò)。在較小的組織

中分割所有責(zé)任是不太可能的，獲得相同控制目標(biāo)的其他方法可能是必要的。作為另一個(gè)例子，９．７和

１２．１描述如何監(jiān)督系統(tǒng)使用及如何收集證據(jù)。所描述的控制，例如事件記錄可能與適用的法律相沖

突，諸如消費(fèi)者或在工作場地內(nèi)的隱私保護(hù)。

控制應(yīng)根據(jù)與風(fēng)險(xiǎn)減少相關(guān)的實(shí)現(xiàn)成本和潛在損失（如果安全違規(guī)出現(xiàn)）予以選擇。也應(yīng)考慮諸如

喪失信譽(yù)等非金錢因素。

本標(biāo)準(zhǔn)中的某些控制可認(rèn)為是信息安全管理的指導(dǎo)原則，并且可用于大多數(shù)組織。下面在題為“信

息安全起點(diǎn)”中更詳細(xì)解釋這些控制。

信息安全起點(diǎn)

許多控制可認(rèn)為是為實(shí)現(xiàn)信息安全提供良好起點(diǎn)的指導(dǎo)原則。它們或者是基于重要的法律性要

求，或者被認(rèn)為是信息安全常用的最佳慣例。

從法律的觀點(diǎn)看，對(duì)某個(gè)組織重要的控制包括：

ａ）個(gè)人信息的數(shù)據(jù)保護(hù)和隱私（見１２．１．４）；

ｂ）保護(hù)組織的記錄（見１２．１．３）；

ｃ）知識(shí)產(chǎn)權(quán)（見１２．１．２）。

認(rèn)為是信息安全常用最佳慣例的控制包括：

ａ）信息安全策略文檔（見３．１）；

ｂ）信息安全職責(zé)的分配（見４．１．３）；

ｃ）信息安全教育和培訓(xùn)（見６．２．１）；

ｄ）報(bào)告安全事故（見６．３．１）；

ｅ）業(yè)務(wù)連續(xù)性管理（見１１．１）。

Ⅴ

犌犅／犜１９７１６—２００５

這些控制適用于大多數(shù)組織和環(huán)境。應(yīng)注意，雖然本標(biāo)準(zhǔn)中的所有控制都是重要的，但是從某個(gè)組

織正面臨的特定風(fēng)險(xiǎn)來看，應(yīng)確定任一控制的貼切性。因此，雖然上述方法被認(rèn)為是一種良好的起點(diǎn)，