標(biāo)準(zhǔn)解讀

GB/T 20274.3-2008是中國關(guān)于信息安全技術(shù)領(lǐng)域的一個(gè)重要標(biāo)準(zhǔn),專注于信息系統(tǒng)安全保障評(píng)估框架中的管理保障部分。該標(biāo)準(zhǔn)為組織和機(jī)構(gòu)提供了在設(shè)計(jì)、實(shí)施、監(jiān)控及改進(jìn)信息安全管理體系(ISMS)時(shí)應(yīng)遵循的指導(dǎo)原則和要求,確保信息系統(tǒng)的安全性和可靠性。

標(biāo)準(zhǔn)核心內(nèi)容

  1. 范圍與適用性:本部分標(biāo)準(zhǔn)明確了管理保障的范疇,適用于各類組織的信息系統(tǒng),特別是那些需要確保信息資產(chǎn)保護(hù)、維持業(yè)務(wù)連續(xù)性和符合法律法規(guī)要求的組織。它強(qiáng)調(diào)了高級(jí)管理層的參與和責(zé)任,以及信息安全政策與業(yè)務(wù)戰(zhàn)略的一致性。

  2. 管理保障概念:解釋了管理保障作為信息安全保障四大支柱(技術(shù)、操作、管理、法律)之一的重要性。管理保障關(guān)注于建立一個(gè)有效的安全管理環(huán)境,包括策略、規(guī)劃、組織結(jié)構(gòu)、責(zé)任分配、培訓(xùn)與意識(shí)提升等方面。

  3. 管理要求:詳細(xì)列出了實(shí)現(xiàn)有效管理保障所需的關(guān)鍵要素,如:

    • 信息安全策略:制定全面的信息安全策略,明確安全目標(biāo)、原則和要求。
    • 信息安全組織:建立或指定負(fù)責(zé)信息安全管理的組織結(jié)構(gòu)和角色,包括信息安全官的角色和職責(zé)。
    • 風(fēng)險(xiǎn)管理:實(shí)施風(fēng)險(xiǎn)評(píng)估和管理流程,識(shí)別、分析信息安全風(fēng)險(xiǎn),并采取措施來處理這些風(fēng)險(xiǎn)。
    • 合規(guī)性管理:確保信息安全管理活動(dòng)符合內(nèi)外部的法律法規(guī)、行業(yè)標(biāo)準(zhǔn)和最佳實(shí)踐。
    • 人員安全:通過培訓(xùn)、意識(shí)提升和適當(dāng)?shù)脑L問控制來管理人力資源相關(guān)的安全風(fēng)險(xiǎn)。
    • 第三方管理:對(duì)供應(yīng)商和服務(wù)提供商進(jìn)行安全管理和監(jiān)督,確保它們滿足組織的安全要求。

  4. 實(shí)施指南:提供了將上述管理要求轉(zhuǎn)化為具體行動(dòng)的指南,包括如何制定策略、如何構(gòu)建風(fēng)險(xiǎn)管理機(jī)制、如何執(zhí)行安全審計(jì)和持續(xù)改進(jìn)等。

  5. 評(píng)估方法:介紹了如何根據(jù)標(biāo)準(zhǔn)要求對(duì)組織的信息系統(tǒng)管理保障能力進(jìn)行自我評(píng)估或第三方評(píng)估,包括評(píng)估的準(zhǔn)備、實(shí)施、報(bào)告和后續(xù)改進(jìn)過程。

實(shí)施意義

遵循此標(biāo)準(zhǔn),組織能夠系統(tǒng)地識(shí)別和解決管理層面的信息安全問題,不僅增強(qiáng)了信息資產(chǎn)的保護(hù),還提升了整體業(yè)務(wù)的穩(wěn)定性和競(jìng)爭(zhēng)力。它促進(jìn)了信息安全從被動(dòng)應(yīng)對(duì)向主動(dòng)管理的轉(zhuǎn)變,確保信息安全策略與組織的戰(zhàn)略目標(biāo)相協(xié)調(diào),同時(shí)提高了對(duì)外部威脅和內(nèi)部弱點(diǎn)的應(yīng)對(duì)能力。


如需獲取更多詳盡信息,請(qǐng)直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2008-07-18 頒布
  • 2008-12-01 實(shí)施
?正版授權(quán)
GB/T 20274.3-2008信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第3部分:管理保障_第1頁
GB/T 20274.3-2008信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第3部分:管理保障_第2頁
GB/T 20274.3-2008信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第3部分:管理保障_第3頁
GB/T 20274.3-2008信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第3部分:管理保障_第4頁
GB/T 20274.3-2008信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第3部分:管理保障_第5頁
免費(fèi)預(yù)覽已結(jié)束,剩余59頁可下載查看

下載本文檔

文檔簡介

犐犆犛35.040

犔80

中華人民共和國國家標(biāo)準(zhǔn)

犌犅/犜20274.3—2008

信息安全技術(shù)

信息系統(tǒng)安全保障評(píng)估框架

第3部分:管理保障

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—

犈狏犪犾狌犪狋犻狅狀犳狉犪犿犲狑狅狉犽犳狅狉犻狀犳狅狉犿犪狋犻狅狀狊狔狊狋犲犿狊狊犲犮狌狉犻狋狔犪狊狊狌狉犪狀犮犲—

犘犪狉狋3:犕犪狀犪犵犲犿犲狀狋犪狊狊狌狉犪狀犮犲

20080718發(fā)布20081201實(shí)施

中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局

發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會(huì)

犌犅/犜20274.3—2008

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ

1范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2規(guī)范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3術(shù)語和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4本部分的結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

5信息安全管理保障框架!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.1信息管理保障概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.2信息安全管理保障控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.3信息安全保障管理能力級(jí)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

6信息安全管理保障控制類結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

6.1概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

6.2管理保障控制類結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

6.3管理保障控制子類結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

6.4管理保障控制組件結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

6.5允許的操作!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

7MRM管理保障控制類:風(fēng)險(xiǎn)管理!!!!!!!!!!!!!!!!!!!!!!!!!!!6

7.1對(duì)象確立(MRM_TEM)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

7.2風(fēng)險(xiǎn)評(píng)估(MRM_RAM)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

7.3風(fēng)險(xiǎn)控制(MRM_RCT)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

7.4溝通與監(jiān)控(MRM_CAM)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

8MSP管理保障控制類:信息安全策略!!!!!!!!!!!!!!!!!!!!!!!!!10

8.1信息安全策略(MSP_SPL)!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

9MSO管理保障控制類:信息安全組織機(jī)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!12

9.1信息安全的管理支持(MSO_SOM)!!!!!!!!!!!!!!!!!!!!!!!!!12

9.2信息安全組織架構(gòu)(MSO_ORG)!!!!!!!!!!!!!!!!!!!!!!!!!!13

9.3信息安全職責(zé)(MSO_RES)!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

9.4溝通協(xié)作(MSO_CAC)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

10MPS管理保障控制類:人員安全!!!!!!!!!!!!!!!!!!!!!!!!!!15

10.1人員審查(MPS_PEC)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

10.2安全意識(shí)和培訓(xùn)(MPS_SAT)!!!!!!!!!!!!!!!!!!!!!!!!!!17

10.3考核和獎(jiǎng)懲(MPS_CRP)!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

10.4人事變更(MPS_PCM)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

11MAM管理保障控制類:資產(chǎn)管理!!!!!!!!!!!!!!!!!!!!!!!!!!18

11.1資產(chǎn)登記管理(MAM_ARM)!!!!!!!!!!!!!!!!!!!!!!!!!!!19

11.2資產(chǎn)管理職責(zé)(MAM_AMR)!!!!!!!!!!!!!!!!!!!!!!!!!!!19

11.3資產(chǎn)分類管理(MAM_ACM)!!!!!!!!!!!!!!!!!!!!!!!!!!!20

12MPE管理保障控制類:物理和環(huán)境安全!!!!!!!!!!!!!!!!!!!!!!!20

12.1物理安全區(qū)域管理(MPE_PSA)!!!!!!!!!!!!!!!!!!!!!!!!!21

犌犅/犜20274.3—2008

12.2支撐基礎(chǔ)設(shè)施安全(MPE_SIS)!!!!!!!!!!!!!!!!!!!!!!!!!!23

12.3設(shè)備安全(MPE_EMS)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

13MCM管理保障控制類:符合性管理!!!!!!!!!!!!!!!!!!!!!!!!!25

14MSP管理保障控制類:信息安全規(guī)劃管理!!!!!!!!!!!!!!!!!!!!!!28

15MSD管理保障控制類:系統(tǒng)開發(fā)管理!!!!!!!!!!!!!!!!!!!!!!!!30

16MOP管理保障控制類:運(yùn)行管理!!!!!!!!!!!!!!!!!!!!!!!!!!33

17MBD管理保障控制類:業(yè)務(wù)持續(xù)性和災(zāi)難恢復(fù)管理!!!!!!!!!!!!!!!!!!44

17.1業(yè)務(wù)持續(xù)性管理(MBD_BCM)!!!!!!!!!!!!!!!!!!!!!!!!!!44

18MER管理保障控制類:應(yīng)急響應(yīng)管理!!!!!!!!!!!!!!!!!!!!!!!!47

18.1匯報(bào)安全事件和安全漏洞(MER_REW)!!!!!!!!!!!!!!!!!!!!!!47

18.2應(yīng)急響應(yīng)管理(MER_IMI)!!!!!!!!!!!!!!!!!!!!!!!!!!!!48

19安全管理能力級(jí)說明!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!50

19.1概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!50

19.2安全管理能力級(jí)別說明!!!!!!!!!!!!!!!!!!!!!!!!!!!!!50

19.3信息系統(tǒng)安全保障管理能力級(jí)別應(yīng)用!!!!!!!!!!!!!!!!!!!!!!!52

參考文獻(xiàn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!54

圖1信息系統(tǒng)安全管理保障控制類!!!!!!!!!!!!!!!!!!!!!!!!!!!3

圖2管理保障控制類結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

圖3管理保障控制子類結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

圖4管理保障控制組件結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

圖5風(fēng)險(xiǎn)管理(MRM)管理保障控制類分解!!!!!!!!!!!!!!!!!!!!!!!7

圖6信息安全策略(MSP)管理保障控制類分解!!!!!!!!!!!!!!!!!!!!!10

圖7信息安全組織機(jī)構(gòu)(MSO)管理保障控制類分解!!!!!!!!!!!!!!!!!!!12

圖8人員安全(MPS)管理保障控制類分解!!!!!!!!!!!!!!!!!!!!!!!15

圖9資產(chǎn)管理(MAM)管理保障控制類分解!!!!!!!!!!!!!!!!!!!!!!!18

圖10物理和環(huán)境安全(MPE)管理保障控制類分解!!!!!!!!!!!!!!!!!!!!21

圖11符合性管理(MCM)管理保障控制類分解!!!!!!!!!!!!!!!!!!!!!25

圖12信息安全規(guī)劃管理(MSP)管理保障控制類分解!!!!!!!!!!!!!!!!!!!29

圖13系統(tǒng)開發(fā)管理(MSD)管理保障控制類分解!!!!!!!!!!!!!!!!!!!!!31

圖14運(yùn)行管理(MOP)管理保障控制類分解!!!!!!!!!!!!!!!!!!!!!!33

圖15業(yè)務(wù)持續(xù)性和災(zāi)難恢復(fù)管理(MBD)管理保障控制類分解!!!!!!!!!!!!!!!44

圖16應(yīng)急響應(yīng)管理(MER)管理保障控制類分解!!!!!!!!!!!!!!!!!!!!47

圖17信息系統(tǒng)安全保障管理能力要求級(jí)別示例圖!!!!!!!!!!!!!!!!!!!!53

犌犅/犜20274.3—2008

前言

GB/T20274《信息系統(tǒng)安全保障評(píng)估框架》分為以下四個(gè)部分:

———第1部分:簡介和一般模型;

———第2部分:技術(shù)保障;

———第3部分:管理保障;

———第4部分:工程保障。

本部分是GB/T20274的第3部分。

本部分由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口。

本部分起草單位:中國信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心。

本部分主要起草人:吳世忠、王海生、陳曉樺、王貴駟、李守鵬、江常青、彭勇、張利、姚軼嶄、班曉芳、

李靜、王慶、鄒琪、錢偉明、江典盛、陸麗、孫成昊、門雪松、杜宇鴿、楊再山。

犌犅/犜20274.3—2008

信息安全技術(shù)

信息系統(tǒng)安全保障評(píng)估框架

第3部分:管理保障

1范圍

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。驍?shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評(píng)論

0/150

提交評(píng)論