《信息安全技術(shù) 信息安全服務(wù)能力評(píng)估準(zhǔn)則》

ICS35.40

L80

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/TXXXXX—20XX

信息安全服務(wù)能力評(píng)估準(zhǔn)則

Assessmentcriteriaforinformationsecurityservicecapability

點(diǎn)擊此處添加與國(guó)際標(biāo)準(zhǔn)一致性程度的標(biāo)識(shí)

（報(bào)批稿）

（本稿完成日期：）

20XX-XX-XX發(fā)布20XX-XX-XX實(shí)施

GB/TXXXXX—20XX

I

GB/TXXXXX—20XX

目次

前言.................................................................................IV

引言..................................................................................I

1范圍...............................................................................1

2規(guī)范性引用文件.....................................................................1

3術(shù)語、定義和縮略語.................................................................1

4概述...............................................................................4

4.1信息安全服務(wù)過程模型...........................................................4

4.1.1組織戰(zhàn)略...................................................................5

4.1.2規(guī)劃設(shè)計(jì)...................................................................5

4.1.3實(shí)施交付...................................................................5

4.1.4監(jiān)視支持...................................................................5

4.1.5檢查改進(jìn)...................................................................6

4.2能力評(píng)定原則...................................................................6

4.2.1綜合考慮原則...............................................................6

4.2.2可裁剪原則.................................................................6

4.2.3符合性原則.................................................................6

4.2.4可操作性原則...............................................................6

5信息安全服務(wù)過程...................................................................6

5.1D01組織戰(zhàn)略....................................................................6

5.1.1D01PA01制定信息安全章程....................................................6

5.1.2D01PA02建立信息安全組織....................................................8

5.1.3D01PA03制定信息安全策略....................................................9

5.1.4D01PA04制定安全管理程序...................................................10

5.1.5D01PA05協(xié)調(diào)信息安全.......................................................14

5.2D02規(guī)劃與設(shè)計(jì).................................................................16

5.2.1D02PA01指定安全需求.......................................................16

5.2.2D02PA02評(píng)估影響...........................................................19

5.2.3D02PA03評(píng)估威脅...........................................................21

5.2.4D02PA04評(píng)估脆弱性.........................................................23

5.2.5D02PA05評(píng)估安全風(fēng)險(xiǎn).......................................................25

5.2.6D02PA06提供安全輸入.......................................................27

5.2.7D02PA07識(shí)別資產(chǎn)...........................................................30

5.3D03實(shí)施與交付.................................................................31

5.3.1DO3PA01獲取資源...........................................................31

5.3.2D03PA02管理實(shí)施過程.......................................................33

5.3.3D03PA03建立保證論據(jù).......................................................34

5.3.4D03PA04驗(yàn)證和證實(shí)安全.....................................................36

I

GB/TXXXXX—20XX

5.3.5D03PA05確保交付...........................................................38

5.4D04監(jiān)視與支持.................................................................39

5.4.1D04PA01定義服務(wù)水平.......................................................39

5.4.2D04PA02監(jiān)視安全態(tài)勢(shì).......................................................40

5.4.3D04PA03管理服務(wù)臺(tái).........................................................43

5.4.4D04PA04管理問題...........................................................44

5.4.5D04PA05管理物理環(huán)境.......................................................45

5.4.6D04PA06管理數(shù)據(jù)...........................................................46

5.4.7D04PA07管理操作...........................................................47

5.4.8D04PA08管理性能與容量.....................................................49

5.4.9D04PA09管理配置...........................................................49

5.4.10D04PA10確保業(yè)務(wù)連續(xù)性....................................................51

5.5D05檢查與改進(jìn).................................................................52

5.5.1D05PA01執(zhí)行安全檢查.......................................................52

5.5.2D05PA02實(shí)施與跟蹤改進(jìn).....................................................53

5.5.3D05PA03實(shí)施培訓(xùn)...........................................................53

6信息安全服務(wù)能力級(jí)別..............................................................56

6.1能力級(jí)別1基本執(zhí)行...........................................................56

6.1.1摘要描述..................................................................56

6.1.2公共特征列表..............................................................56

6.2能力級(jí)別2計(jì)劃跟蹤...........................................................57

6.2.1摘要描述..................................................................57

6.2.2公共特征列表..............................................................57

6.3能力級(jí)別3充分定義...........................................................57

6.3.1摘要描述..................................................................57

6.3.2公共特征列表..............................................................57

6.4能力級(jí)別4量化控制...........................................................58

6.4.1摘要描述..................................................................58

6.4.2公共特征列表..............................................................58

6.5能力級(jí)別5連續(xù)改進(jìn)...........................................................58

6.5.1摘要描述..................................................................58

6.5.2公共特征列表..............................................................59

7信息安全服務(wù)能力評(píng)定..............................................................59

附錄A（資料性附錄）信息安全服務(wù)類型................................................62

參考文獻(xiàn).............................................................................64

II

GB/TXXXXX—20XX

信息安全服務(wù)能力評(píng)估準(zhǔn)則

1范圍

本標(biāo)準(zhǔn)制定了信息安全服務(wù)行業(yè)對(duì)于服務(wù)提供能力的評(píng)估標(biāo)準(zhǔn)，并對(duì)標(biāo)準(zhǔn)內(nèi)容和具體實(shí)踐提供了明

確的定義和指導(dǎo)意見。既可用于對(duì)信息安全服務(wù)提供商的能力進(jìn)行評(píng)估，也可為服務(wù)提供商對(duì)于自身能

力的改善提供指導(dǎo)。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T20984-2007信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范

3術(shù)語、定義和縮略語

GB/T5271.8確立的下列術(shù)語和定義適用于此標(biāo)準(zhǔn)。

3.1

過程域Processarea

一個(gè)過程域（PA）是一組相關(guān)系統(tǒng)工程過程的性質(zhì)，當(dāng)這些性質(zhì)全部實(shí)施后則能夠達(dá)到過程域定義

的目的。

3.2

基本實(shí)踐Basepratices

一個(gè)過程域由基本實(shí)踐(BP)組成。這些基本實(shí)踐是系統(tǒng)工程過程中必須存在的性質(zhì)，只有當(dāng)所有這

些性質(zhì)完全實(shí)現(xiàn)后，才可說滿足了這個(gè)過程域的要求。

3.3

能力等級(jí)(Abilitylevel)

流程領(lǐng)域內(nèi)流程改善達(dá)到的程度，能力等級(jí)由流程領(lǐng)域內(nèi)適當(dāng)?shù)奶囟耙话銏?zhí)行方法所定義。

3.4

基準(zhǔn)(Benchmark)

經(jīng)正式審查及同意的一組規(guī)格或工作產(chǎn)品，據(jù)以用作未來發(fā)展的基礎(chǔ)，而且僅能由變更管制程序變

更。

3.5

1

GB/TXXXXX—20XX

能力成熟度模型(Capabilitymaturitymodel)

模型包含一個(gè)或多個(gè)專業(yè)領(lǐng)域的有效流程的基本元件。它也描述漸進(jìn)的改善途徑，從不成熟的流程

到具有改善品質(zhì)及有效性的有紀(jì)律的成熟模型。

3.6

糾正措施(Correctivemeasures)

修復(fù)某種狀態(tài)、除去錯(cuò)誤或調(diào)整狀態(tài)的行動(dòng)或行為。

3.7

資料(Information)

無論記錄的形式和方法的記錄資訊，包括技術(shù)資料、電腦軟件、財(cái)務(wù)咨詢、管理資訊、事實(shí)、任何

能夠溝通、存儲(chǔ)與處理的數(shù)量或數(shù)據(jù)

3.8

信息安全服務(wù)(Informationsecurityservice)

面向組織或個(gè)人的各類信息安全保障需求，由服務(wù)提供方按照服務(wù)協(xié)議所執(zhí)行的一個(gè)信息安全過程

或任務(wù)。

通常是基于信息安全技術(shù)、產(chǎn)品或管理體系的，通過外包的形式，由專業(yè)信息安全人員所提供的支

持和幫助。

3.9

信息安全服務(wù)提供方(Informationsecurityserviceprovider)

按照服務(wù)協(xié)議，通過專業(yè)的信息安全人員提供信息安全服務(wù)的各類組織機(jī)構(gòu)。信息安全服務(wù)提供方

在每項(xiàng)具體的服務(wù)中，其服務(wù)角色和服務(wù)職責(zé)應(yīng)該是明確的。如果服務(wù)內(nèi)容僅涉及供需雙方的，則服務(wù)

提供方為乙方角色；在上述服務(wù)的基礎(chǔ)上，就所涉及的問題，獨(dú)立于有關(guān)各方提供評(píng)估、證明等服務(wù)并

承擔(dān)相關(guān)社會(huì)責(zé)任的，則服務(wù)提供方為第三方角色。服務(wù)角色與服務(wù)提供方的組織機(jī)構(gòu)類型無關(guān)。

3.10

信息安全服務(wù)需求方(Informationsecurityservicedemander)

有償采購（或免費(fèi)使用）外部所提供的信息安全服務(wù)，以滿足信息系統(tǒng)安全保障需求，實(shí)現(xiàn)自身業(yè)

務(wù)目標(biāo)的組織（或個(gè)人用戶）。

3.11

信息安全服務(wù)能力(Informationsafetyserviceability)

是指信息安全服務(wù)提供方能夠滿足需求方規(guī)定和潛在需求的特征和特性的程度。

3.12

信息安全服務(wù)能力級(jí)別(Informationsafetyservicelevel)

2

GB/TXXXXX—20XX

信息安全服務(wù)能力級(jí)別是指提供信息安全服務(wù)的組織在完成工程、服務(wù)項(xiàng)目時(shí)，執(zhí)行組織已定義過

程的能力成熟程度。

3.13

變更管理（Managermentofchange）

謹(jǐn)慎使用各種方法，已達(dá)成產(chǎn)品或服務(wù)的變更或建議的變更。

3.14

項(xiàng)目(Project)

項(xiàng)目是各種實(shí)施活動(dòng)和資源的總和，這些實(shí)施活動(dòng)和資源用于開發(fā)或維護(hù)一個(gè)特定的產(chǎn)品或提供一

種服務(wù)。產(chǎn)品可能包括硬件、軟件及其它部件。一個(gè)項(xiàng)目往往有自己的資金，成本帳目和交付時(shí)間表。

為了生產(chǎn)產(chǎn)品或提供服務(wù)，一個(gè)項(xiàng)目可以組成自己專門的組織，或是由組織建立成一個(gè)項(xiàng)目組、特別工

作組或其它實(shí)體。

3.15

過程(Process)

一個(gè)過程是指為了一個(gè)給定目的而執(zhí)行的一系列活動(dòng)。這些活動(dòng)可以重復(fù)、遞歸和并發(fā)地執(zhí)行。有

的活動(dòng)將輸入工作產(chǎn)品轉(zhuǎn)換為輸出工作產(chǎn)品提供給其它活動(dòng)。輸入工作產(chǎn)品和資源的可用性以及管理控

制制約著允許的活動(dòng)執(zhí)行順序。一個(gè)充分定義的過程包括活動(dòng)定義、每個(gè)活動(dòng)的輸入輸出定義以及控制

活動(dòng)執(zhí)行的機(jī)制。

3.16

過程能力(Processcapability)

過程能力是遵循一個(gè)過程可達(dá)到的可量化范圍。一個(gè)組織的過程能力可幫助預(yù)見項(xiàng)目目標(biāo)的能力。

低能力級(jí)別組織的項(xiàng)目在達(dá)到預(yù)定的成本、進(jìn)度、功能和質(zhì)量目標(biāo)上會(huì)有很大的變化。

3.17

過程管理(Processmanagement)

過程管理是一系列用于預(yù)見、評(píng)價(jià)和控制過程執(zhí)行的活動(dòng)和基礎(chǔ)設(shè)施。過程管理意味著過程已定義

好。注重過程管理含義是項(xiàng)目或組織需在計(jì)劃、執(zhí)行、評(píng)價(jià)、監(jiān)控和校正活動(dòng)中既要考慮產(chǎn)品相關(guān)因素，

也要考慮過程相關(guān)因素。

3.18

系統(tǒng)(System)

在本標(biāo)準(zhǔn)中，系統(tǒng)是指事物或部件的匯集形成了一個(gè)復(fù)雜或單一整體（即一個(gè)用來完成一個(gè)特定或

一組功能組件的集合）。

一個(gè)系統(tǒng)可以是一個(gè)硬件產(chǎn)品、硬軟件組合產(chǎn)品、軟件產(chǎn)品或是一種服務(wù)。當(dāng)說某個(gè)產(chǎn)品是一個(gè)系

統(tǒng)時(shí)意味著必須以規(guī)范化和系統(tǒng)化的方式對(duì)待產(chǎn)品的所有組成元素及接口，以便滿足商務(wù)實(shí)體開發(fā)產(chǎn)品

的成本、進(jìn)度及性能（包括安全）的整體目標(biāo)。

3

GB/TXXXXX—20XX

3.19

安全工程(Safetyengineering)

安全工程是一個(gè)不斷發(fā)展的領(lǐng)域，是一組與安全相關(guān)的工程過程的集合，它應(yīng)滿足一組安全要求，

并應(yīng)用到系統(tǒng)和應(yīng)用的開發(fā)、集成、操作、管理、維護(hù)和改進(jìn)以及產(chǎn)品的開發(fā)、交付和升級(jí)中。安全工

程能夠在一個(gè)系統(tǒng)、一個(gè)產(chǎn)品或一個(gè)服務(wù)的安全考慮中得到體現(xiàn)。

3.20

服務(wù)水平協(xié)議（Serviceslevelagreement）

一種由服務(wù)提供商與用戶簽署的法律文件，其中承諾只要用戶向服務(wù)供應(yīng)商支付相應(yīng)費(fèi)用，就應(yīng)享

受到服務(wù)供應(yīng)商提供的相應(yīng)服務(wù)質(zhì)量。

3.21

安全工程生命期(Safetyengineeringlifecycle)

是指在一個(gè)項(xiàng)目或系統(tǒng)中，安全工程從啟動(dòng)到終止的完整過程。在整個(gè)安全工程生命期中執(zhí)行的安

全工程活動(dòng)包括：

a)前期概念

b)概念開發(fā)和定義

c)證明與證實(shí)

d)工程實(shí)施、開發(fā)和制造

e)生產(chǎn)和部署

f)運(yùn)行和支持

g)終止

3.22

工作產(chǎn)品(Workproducts)

工作產(chǎn)品是指在執(zhí)行任何過程中產(chǎn)生出的所有文檔、報(bào)告、文件、數(shù)據(jù)等。本標(biāo)準(zhǔn)按特定的基本實(shí)

踐列出其“典型的工作產(chǎn)品”，其目的在于對(duì)所需的基本實(shí)踐范圍可做進(jìn)一步定義。列舉的工作產(chǎn)品只

是說明性的，目的在于反映組織機(jī)構(gòu)和產(chǎn)品的范圍。這些典型的工作產(chǎn)品不是“強(qiáng)制”的產(chǎn)品。

3.23縮略語

PA過程域ProcessArea

BP基本實(shí)踐BasePractices

GP通用實(shí)踐GenericPractices

CF公共特征CommonFunction

4概述

4.1信息安全服務(wù)過程模型

從組織信息安全治理角度，描述信息安全服務(wù)過程模型如下：

4

GB/TXXXXX—20XX

圖1信息安全服務(wù)過程模型

組織戰(zhàn)略是信息安全活動(dòng)的基礎(chǔ)，各信息安全活動(dòng)涵蓋在信息系統(tǒng)規(guī)劃設(shè)計(jì)、實(shí)施交付、監(jiān)視支持

生命周期的各階段，并通過有效的檢查和改進(jìn)機(jī)制，提升組織信息安全管理能力。

4.1.1組織戰(zhàn)略

組織戰(zhàn)略作為信息安全服務(wù)過程模型的中心環(huán)節(jié)，是本模型的重要組成并處于主導(dǎo)地位。信息安全

服務(wù)提供者通過對(duì)本標(biāo)準(zhǔn)的學(xué)習(xí)和認(rèn)識(shí)，建立有效的、全面的安全制度和管理規(guī)定，全面覆蓋規(guī)劃設(shè)計(jì)、

實(shí)施交付、監(jiān)視支持、檢查改進(jìn)等各個(gè)環(huán)節(jié)，確保其符合本標(biāo)準(zhǔn)的相關(guān)要求。

4.1.2規(guī)劃設(shè)計(jì)

從客戶戰(zhàn)略出發(fā)，以客戶需求為中心，參考組織管理與本標(biāo)準(zhǔn)中對(duì)信息安全的規(guī)定，對(duì)其進(jìn)行全面

系統(tǒng)的規(guī)劃設(shè)計(jì)，并建立業(yè)務(wù)戰(zhàn)略、IT戰(zhàn)略和安全服務(wù)之間清晰的匹配和連接關(guān)系。規(guī)劃設(shè)計(jì)階段需要

根據(jù)業(yè)務(wù)戰(zhàn)略、運(yùn)營(yíng)模式及業(yè)務(wù)流程的特點(diǎn)確定所需要的業(yè)務(wù)服務(wù)組件，為安全服務(wù)的部署實(shí)施做好準(zhǔn)

備，以確保為最終客戶提供滿足其需求的服務(wù)。

4.1.3實(shí)施交付

在規(guī)劃設(shè)計(jì)的基礎(chǔ)上，依據(jù)本標(biāo)準(zhǔn)建立管理體系、部署專用工具及服務(wù)解決方案。實(shí)施完成后根據(jù)

其結(jié)果，依據(jù)本標(biāo)準(zhǔn)要求，實(shí)現(xiàn)服務(wù)與業(yè)務(wù)的有機(jī)結(jié)合。重點(diǎn)包括業(yè)務(wù)運(yùn)營(yíng)和IT運(yùn)營(yíng)，主要采用過程方

法，對(duì)基礎(chǔ)設(shè)施、服務(wù)流程、人員和業(yè)務(wù)連續(xù)性進(jìn)行全面管理。

4.1.4監(jiān)視支持

5

GB/TXXXXX—20XX

在交付過程中，應(yīng)根據(jù)本標(biāo)準(zhǔn)要求，對(duì)業(yè)務(wù)運(yùn)營(yíng)和IT運(yùn)營(yíng)等交付措施過程進(jìn)行記錄。并確保交付記

錄的實(shí)時(shí)性、可追溯性、完整性以及可用性。還應(yīng)根據(jù)客戶的需求采用外包、供應(yīng)商等形式在可控的情

況下完善信息安全服務(wù)的交付過程。

4.1.5檢查改進(jìn)

檢查與改進(jìn)過程伴隨著整個(gè)信息安全服務(wù)生命周期的始終。依據(jù)本標(biāo)準(zhǔn)中的規(guī)定，檢查改進(jìn)過程伴

隨著組織管理、規(guī)劃設(shè)計(jì)、實(shí)施交付、監(jiān)視支持的方方面面。通過對(duì)監(jiān)視支持產(chǎn)生的記錄進(jìn)行詳細(xì)的分

析，并結(jié)合本標(biāo)準(zhǔn)的內(nèi)容，對(duì)現(xiàn)有規(guī)章制度、規(guī)劃設(shè)計(jì)、交付過程和支持手段進(jìn)行改進(jìn)和完善，且應(yīng)采

用可控制、可記錄的手段來完成這一過程。

4.2能力評(píng)定原則

4.2.1綜合考慮原則

信息安全服務(wù)能力級(jí)別的劃分必須對(duì)組織的綜合能力進(jìn)行考察，它主要與組織的技術(shù)實(shí)力、信息安

全服務(wù)能力等級(jí)以及其他要求有關(guān)。

4.2.2可裁剪原則

安全服務(wù)有多種類型，對(duì)不同類型的安全服務(wù)可進(jìn)行適當(dāng)?shù)牟眉?，同時(shí)可靈活定義新的服務(wù)類型。

4.2.3符合性原則

必須遵從國(guó)家有關(guān)主管部門頒布的相關(guān)法律、法規(guī)、規(guī)章、制度、與相關(guān)網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)相一

致。

4.2.4可操作性原則

應(yīng)考慮國(guó)內(nèi)安全服務(wù)商以及安全服務(wù)市場(chǎng)的實(shí)際情況，保證標(biāo)準(zhǔn)客觀、實(shí)際、可操作性。

5信息安全服務(wù)過程

5.1D01組織戰(zhàn)略

5.1.1D01PA01制定信息安全章程

5.1.1.1概述

信息安全章程是信息安全管理的方針，制定信息安全章程，需要明確安全管理目標(biāo)、宗旨，確定并

定義安全管理范圍，符合相關(guān)法律法規(guī)要求，并建立適用性聲明。信息安全章程應(yīng)定期評(píng)審其合理性和

適用性。

5.1.1.2目標(biāo)

建立清晰的安全方針指導(dǎo)，并在整個(gè)組織中頒布實(shí)施，從而支持組織信息安全活動(dòng)。

5.1.1.3過程域注解

無。

5.1.1.4基本實(shí)踐清單

6

GB/TXXXXX—20XX

a)BP010101明確安全管理目的、宗旨

b)BP010102定義安全邊界和范圍

c)BP010103遵從法規(guī)、合約與安全要求

d)BP010104建立適用性聲明

e)BP010105管理層評(píng)審

5.1.1.5BP010101明確安全管理目的、宗旨

5.1.1.5.1描述

安全管理的宗旨、權(quán)力和職責(zé)應(yīng)在章程中進(jìn)行定義并獲取認(rèn)可。章程應(yīng)：

a)確定安全管理活動(dòng)在組織中的地位；

b)授權(quán)人員接觸與開展工作相關(guān)的記錄、人員和實(shí)物財(cái)產(chǎn)；

c)規(guī)定安全管理活動(dòng)的范圍；

d)證據(jù)以書面形式存在并批準(zhǔn)；

e)定期評(píng)價(jià)章程中所規(guī)定的宗旨、權(quán)力和職責(zé)是否足以使安全管理活動(dòng)實(shí)現(xiàn)其目標(biāo)。這種定期評(píng)

價(jià)的結(jié)果必須通報(bào)高級(jí)管理層。

5.1.1.5.2工作產(chǎn)品

a)信息安全管理章程。

5.1.1.6BP010102定義安全管理范圍

5.1.1.6.1描述

應(yīng)根據(jù)組織目標(biāo)與安全需求，結(jié)合業(yè)務(wù)特點(diǎn)、組織結(jié)構(gòu)、位置、資產(chǎn)和技術(shù)，確定安全管理的邊界

與范圍。

5.1.1.6.2工作產(chǎn)品

a)信息安全管理范圍。

5.1.1.7BP010103遵從法規(guī)、合約與安全要求

5.1.1.7.1描述

安全管理首先要求考慮區(qū)域法律、行業(yè)規(guī)章、機(jī)構(gòu)規(guī)定、合同等方面的要求，并綜合考慮系統(tǒng)的安

全需求。

5.1.1.7.2工作產(chǎn)品

a)信息安全符合性規(guī)范。

5.1.1.8BP010104建立適用性聲明

5.1.1.8.1描述

應(yīng)建立安全管理相關(guān)適用性聲明。適用性聲明應(yīng)包括：(1)選擇的過程域目標(biāo)和措施，以及選擇的

理由；(2)當(dāng)前實(shí)施的過程域目標(biāo)和措施。

5.1.1.8.2工作產(chǎn)品

7

GB/TXXXXX—20XX

a)適用性聲明。

5.1.1.9BP010105管理層評(píng)審

5.1.1.9.1描述

信息安全管理層機(jī)構(gòu)應(yīng)負(fù)責(zé)定期組織相關(guān)部門和相關(guān)人員對(duì)信息安全章程的合理性和適用性進(jìn)行

審定。對(duì)存在不足或需要改進(jìn)的內(nèi)容進(jìn)行修訂。

5.1.1.9.2工作產(chǎn)品

a)管理評(píng)審記錄。

5.1.2D01PA02建立信息安全組織

5.1.2.1概述

信息安全組織機(jī)構(gòu)是信息安全管理的基礎(chǔ)，需要得到組織機(jī)構(gòu)最高管理層的承諾和支持，建立完善

的信息安全組織結(jié)構(gòu)。建立相應(yīng)的崗位、職責(zé)和職權(quán)，建立完善的內(nèi)部和外部溝通協(xié)作組織和機(jī)制，同

組織機(jī)構(gòu)內(nèi)部和外部信息安全保障的所有相關(guān)方進(jìn)行充分溝通、學(xué)習(xí)、交流和合作等。進(jìn)一步將信息安

全融至組織機(jī)構(gòu)的整個(gè)環(huán)境和文化中，使信息安全真正滿足安全策略和風(fēng)險(xiǎn)管理的要求，實(shí)現(xiàn)保障組織

機(jī)構(gòu)資產(chǎn)和使命的最終目的。

5.1.2.2目標(biāo)

由安全組織執(zhí)行安全管理程序，管理組織范圍內(nèi)的信息安全，并為組織業(yè)務(wù)目標(biāo)提供合理保證。

5.1.2.3過程域注釋

無。

5.1.2.4基本實(shí)踐清單

a)BP010201信息安全管理支持；

b)BP010202崗位及人員設(shè)置；

c)BP010203定義工作描述、角色資質(zhì)、技能要求、人員培訓(xùn)要求；

d)BP010204制定人員選擇、變更和終止程序。

5.1.2.5BP010201信息安全管理支持

5.1.2.5.1描述

組織高級(jí)管理層通過清晰的指導(dǎo)、明確信息安全職責(zé)的分配和反饋，提供對(duì)安全的主動(dòng)支持。

5.1.2.5.2工作產(chǎn)品

a)信息安全愿景

5.1.2.6BP010202崗位及人員設(shè)置

5.1.2.6.1描述

8

GB/TXXXXX—20XX

應(yīng)成立指導(dǎo)和管理信息安全工作的委員會(huì)和領(lǐng)導(dǎo)小組，并設(shè)立信息安全管理工作的職能部門，應(yīng)設(shè)

立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，定義各個(gè)崗位的職責(zé)，并給出崗位要求。例如，采用

關(guān)鍵崗位配備多人共同管理，配備專職的安全管理員、不可兼任等機(jī)制。

5.1.2.6.2工作產(chǎn)品

a)信息安全崗位設(shè)置原則。

5.1.2.7BP010203定義工作描述、角色資質(zhì)、技能要求、人員培訓(xùn)要求

5.1.2.7.1描述

安全管理組織應(yīng)考慮工作描述、角色資質(zhì)、技能要求、人員培訓(xùn)要求等事項(xiàng)。

5.1.2.7.2工作產(chǎn)品

a)信息安全職責(zé)描述；

b)人員技能需求；

c)信息安全培訓(xùn)準(zhǔn)則。

5.1.2.8BP010204制定人員選擇、變更和終止程序

5.1.2.8.1描述

安全管理負(fù)責(zé)人應(yīng)在人員選擇、變更和終止程序、保密協(xié)議等方面提供指導(dǎo)。

5.1.2.8.2工作產(chǎn)品

a)保密協(xié)議；

b)聘用流程；

c)解雇流程。

5.1.3D01PA03制定信息安全策略

5.1.3.1概述

制定安全策略目的在于通過考察業(yè)務(wù)目標(biāo)與安全需求，考慮組織的策略、程序、制度、指南等多層

次的管理流程與規(guī)范，保證業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)。

5.1.3.2目標(biāo)

通過完善的安全策略管理體系，提供管理指導(dǎo)，保證信息安全，促進(jìn)業(yè)務(wù)目標(biāo)與安全需求的有效實(shí)

現(xiàn)。

5.1.3.3過程域注解

無。

5.1.3.4基本實(shí)踐清單

a)BP010301制定安全策略；

b)BP010302制定安全制度、規(guī)范與指南；

c)BP010303策略與程序文件維護(hù)、評(píng)估與更新。

9

GB/TXXXXX—20XX

5.1.3.5BP010301制定安全策略

5.1.3.5.1描述

管理層應(yīng)制定一個(gè)明確的安全策略方向，并通過在整個(gè)組織中發(fā)布和維護(hù)信息安全策略，表明自己

對(duì)信息安全的支持和保護(hù)責(zé)任。

策略文檔應(yīng)該由管理層批準(zhǔn)，根據(jù)情況向所有員工公布傳達(dá)。文檔應(yīng)說明管理人員承擔(dān)的義務(wù)和責(zé)

任，并制定組織的管理信息安全的步驟。

5.1.3.5.2工作產(chǎn)品

a)信息安全方針。

5.1.3.6BP010302制定安全制度、規(guī)范與指南

5.1.3.6.1描述

依據(jù)組織的高層安全策略和系統(tǒng)安全策略,制定運(yùn)營(yíng)、操作管理程序框架，指導(dǎo)安全管理工作。

安全管理程序框架包括強(qiáng)制性制度、技術(shù)規(guī)范、實(shí)施指南等程序文件。

5.1.3.6.2工作產(chǎn)品

a)信息安全策略；

b)信息安全規(guī)范；

c)信息安全指南。

5.1.3.7BP010303策略與程序文件維護(hù)、評(píng)估與更新

5.1.3.7.1描述

應(yīng)定期或在重大變更時(shí)對(duì)信息安全路線與實(shí)施（策略、控制目標(biāo)、控制、過程、程序）進(jìn)行獨(dú)立審

查、評(píng)估與更新。

應(yīng)確保在發(fā)生影響最初風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)的變化（如發(fā)生重大安全事故、出現(xiàn)新的漏洞以及組織或技

術(shù)基礎(chǔ)結(jié)構(gòu)發(fā)生變更）時(shí)，對(duì)策略進(jìn)行相應(yīng)的審查。還應(yīng)該進(jìn)行以下預(yù)定的、階段性的審查：

a)檢查策略的有效性，通過所記錄的安全事故的性質(zhì)、數(shù)量以及影響反映出來；

b)控制措施的成本及其業(yè)務(wù)效率的影響；

c)技術(shù)變化帶來的影響。

5.1.3.7.2工作產(chǎn)品

a)評(píng)審與修訂方法。

5.1.4D01PA04制定安全管理程序

5.1.4.1概述

為了落實(shí)信息安全策略體系，維護(hù)系統(tǒng)的可用性與保護(hù)信息的機(jī)密性、完整性，組織需要建立和維

護(hù)包括IT安全角色和責(zé)任、策略、標(biāo)準(zhǔn)和程序的安全管理程序，包括進(jìn)行安全監(jiān)控、定期測(cè)試，糾正明

確的安全脆弱性與事故。

5.1.4.2目標(biāo)

10

GB/TXXXXX—20XX

落實(shí)信息安全策略，進(jìn)行有效安全管理，通過最小化安全脆弱性和安全事件對(duì)業(yè)務(wù)影響，以保護(hù)IT

資產(chǎn)。

5.1.4.3過程域注解

無。

5.1.4.4基本實(shí)踐清單

a)BP010401管理IT安全；

b)BP010402制定IT安全計(jì)劃；

c)BP010403身份管理；

d)BP010404用戶賬戶管理；

e)BP010405安全性測(cè)試和監(jiān)控；

f)BP010407數(shù)據(jù)分類；

g)BP010408訪問權(quán)限集中管理；

h)BP010410事件處理；

i)BP010412可信任的路徑；

j)BP010413安全功能的保護(hù)；

k)BP010414密鑰管理；

l)BP010415惡意軟件的預(yù)防、檢測(cè)和糾正；

m)BP010416網(wǎng)絡(luò)安全；

n)BP010417敏感數(shù)據(jù)交換。

5.1.4.5BP010401管理IT安全

5.1.4.5.1描述

應(yīng)確保最高的適當(dāng)?shù)慕M織機(jī)構(gòu)來管理IT安全，并保證安全管理行為和業(yè)務(wù)需求一致性。

5.1.4.5.2工作產(chǎn)品

a)信息安全戰(zhàn)略。

5.1.4.6BP010402制定IT安全計(jì)劃

5.1.4.6.1描述

將業(yè)務(wù)信息需求、IT配置、信息風(fēng)險(xiǎn)行動(dòng)計(jì)劃、信息安全文化轉(zhuǎn)換為一個(gè)整體的IT安全計(jì)劃。通過

將安全策略、程序以及在服務(wù)、人事、軟件、硬件方面的投資，以使計(jì)劃得以實(shí)施。

5.1.4.6.2工作產(chǎn)品

a)信息安全計(jì)劃。

5.1.4.7BP010403身份管理

5.1.4.7.1描述

應(yīng)唯一標(biāo)識(shí)所有用戶及在IT系統(tǒng)中的行為，用戶訪問系統(tǒng)和數(shù)據(jù)的權(quán)限應(yīng)符合已定義的、正式規(guī)定

的業(yè)務(wù)需求和工作要求。

11

GB/TXXXXX—20XX

用戶的權(quán)限由用戶的管理者申請(qǐng)，系統(tǒng)的所有者批準(zhǔn)，安全責(zé)任人員實(shí)施。通過使用有效的技術(shù)和

程序來用于建立用戶身份、完成身份認(rèn)證、實(shí)施訪問權(quán)限。

5.1.4.7.2工作產(chǎn)品

a)身份管理規(guī)范。

5.1.4.8BP010404用戶賬戶管理

5.1.4.8.1描述

保證用戶賬戶管理者處理用戶賬戶的申請(qǐng)、建立、發(fā)布、修改和關(guān)閉以及相關(guān)的用戶特權(quán)。應(yīng)建立

一個(gè)描述數(shù)據(jù)和系統(tǒng)的所有者授予訪問權(quán)限的批準(zhǔn)程序，適用于管理員、內(nèi)部用戶、外部用戶的正常、

緊急情形。所有賬戶和相關(guān)權(quán)限應(yīng)實(shí)施定期的管理評(píng)審。

5.1.4.8.2工作產(chǎn)品

a)賬戶管理規(guī)范。

5.1.4.9BP010405安全性測(cè)試、監(jiān)控和報(bào)告

5.1.4.9.1描述

應(yīng)保證主動(dòng)地測(cè)試和監(jiān)控IT安全實(shí)施。IT安全性應(yīng)定期檢查，保證已批準(zhǔn)的IT安全水平得到維護(hù)，

日志和監(jiān)控功能應(yīng)能夠發(fā)現(xiàn)需要說明的例外和異常行為。根據(jù)業(yè)務(wù)需求，確定日志信息的訪問權(quán)限。對(duì)

計(jì)算機(jī)資源責(zé)任信息的邏輯訪問（安全和其它日志文件）應(yīng)基于最小特權(quán)或者“需要才能知道”的原則

來準(zhǔn)予

IT安全管理員應(yīng)確保侵犯和安全活動(dòng)被記入日志，任何即將來臨的安全侵犯的跡象要立即報(bào)告給所

有相關(guān)內(nèi)部、外部人員，并及時(shí)采取行動(dòng)。報(bào)告、評(píng)價(jià)有規(guī)律地適時(shí)逐步升級(jí)，以便確認(rèn)和解決有關(guān)未

授權(quán)活動(dòng)。

5.1.4.9.2工作產(chǎn)品

a)安全測(cè)試規(guī)范；

b)日志管理規(guī)范；

c)安全事件報(bào)告管理規(guī)范。

5.1.4.10BP010407數(shù)據(jù)分類

5.1.4.10.1描述

應(yīng)執(zhí)行一個(gè)程序，確保所有的數(shù)據(jù)，按照數(shù)據(jù)分類的計(jì)劃安排，由數(shù)據(jù)的所有者通過正式和明確的

決策，根據(jù)敏感性進(jìn)行分類。即使數(shù)據(jù)“不需要保護(hù)”，也需要一個(gè)正式?jīng)Q策以指明這樣設(shè)計(jì)的理由。

所有者應(yīng)決定數(shù)據(jù)的布置與共享，也就是是否、何時(shí)進(jìn)行程序和文件的維護(hù)、存檔或刪除。所有者批準(zhǔn)

和數(shù)據(jù)布置的證據(jù)應(yīng)被維護(hù)。政策應(yīng)被定義，以基于變化的敏感性，支持信息的重新分類。分類方案應(yīng)

包括管理機(jī)構(gòu)之間信息交換的規(guī)范，要注意安全以及對(duì)有關(guān)法律的遵從性。

5.1.4.10.2工作產(chǎn)品

a)數(shù)據(jù)分類規(guī)范。

5.1.4.11BP010408訪問權(quán)限管理

12

GB/TXXXXX—20XX

5.1.4.11.1描述

應(yīng)設(shè)置一個(gè)控制，確保用戶身份識(shí)別和訪問權(quán)限以及系統(tǒng)的身份和數(shù)據(jù)的擁有權(quán)以唯一和中心管理

的方式被建立和管理，以此來獲得全局訪問控制的一致性和有效性。

機(jī)構(gòu)的政策應(yīng)確保在合適的地方執(zhí)行控制，以提供操作的授權(quán)，并建立用戶自己對(duì)系統(tǒng)聲稱的身份

校驗(yàn)。這要求使用密碼技術(shù)進(jìn)行簽名和校驗(yàn)操作。

5.1.4.11.2工作產(chǎn)品

a)授權(quán)管理流程；

b)權(quán)限定義規(guī)范；

c)操作安全規(guī)范。

5.1.4.12BP010410事件處理

5.1.4.12.1描述

應(yīng)建立計(jì)算機(jī)安全事件處理規(guī)范，通過提供足夠的專家意見和裝備、迅速而安全的通訊設(shè)施的集中

化平臺(tái)，來處理安全事件。應(yīng)建立事件管理的責(zé)任和程序，確保對(duì)安全事件適當(dāng)、有效和及時(shí)的響應(yīng)。

5.1.4.12.2工作產(chǎn)品

a)應(yīng)急響應(yīng)預(yù)案；

b)安全事件處置規(guī)范。

5.1.4.13BP010412可信任的路徑

5.1.4.13.1描述

機(jī)構(gòu)政策應(yīng)確保敏感交易數(shù)據(jù)只能通過可信任的路徑來交換。敏感信息包括：安全管理信息、敏感

交易數(shù)據(jù)、口令和密鑰。為了實(shí)現(xiàn)這些，可信任的通道需要使用用戶之間、用戶和系統(tǒng)之間、系統(tǒng)和系

統(tǒng)之間的加密來建立。

5.1.4.13.2工作產(chǎn)品

a)敏感信息管理規(guī)范。

5.1.4.14BP010413安全功能的保護(hù)

5.1.4.14.1描述

應(yīng)防止所有涉及硬件和軟件安全的損害，以維持它們的完整性，并要防止密鑰的泄露。另外，機(jī)構(gòu)

應(yīng)對(duì)他們的安全設(shè)計(jì)保持一種低調(diào)的形象，但是安全不能基于對(duì)設(shè)計(jì)的保密。

5.1.4.14.2工作產(chǎn)品

a)完整性保護(hù)規(guī)范。

5.1.4.15BP010414密鑰管理

5.1.4.15.1描述

13

GB/TXXXXX—20XX

管理層應(yīng)定義并執(zhí)行程序和協(xié)議，用于密鑰的生成、更改、撤消、毀壞、分發(fā)、認(rèn)證、存儲(chǔ)、輸入、

使用和存檔，確保密鑰不被更改和未經(jīng)授權(quán)的泄露。如果一個(gè)密鑰危及安全，管理層應(yīng)確保這個(gè)信息，

通過認(rèn)證撤消列表或其它類似的機(jī)制，傳播到所有利益相關(guān)方。

5.1.4.15.2工作產(chǎn)品

a)密鑰管理規(guī)范。

5.1.4.16BP010415惡意軟件的預(yù)防、檢測(cè)和糾正

5.1.4.16.1描述

應(yīng)建立一個(gè)適當(dāng)?shù)念A(yù)防、檢測(cè)和糾正控制措施以及出現(xiàn)時(shí)的響應(yīng)和報(bào)告的框架。業(yè)務(wù)和IT管理層應(yīng)

確保建立一個(gè)跨越全機(jī)構(gòu)的程序，避免信息系統(tǒng)和技術(shù)遭受計(jì)算機(jī)病毒的侵害。程序應(yīng)結(jié)合病毒預(yù)防、

檢測(cè)、發(fā)生時(shí)的響應(yīng)和報(bào)告。

5.1.4.16.2工作產(chǎn)品

a)惡意代碼管理規(guī)范。

5.1.4.17BP010416網(wǎng)絡(luò)安全

5.1.4.17.1描述

確保采用了安全技術(shù)和相關(guān)管理程序（如：防火墻、網(wǎng)絡(luò)分段、入侵檢測(cè)）用于授權(quán)訪問和控制進(jìn)

出網(wǎng)絡(luò)的信息流。

5.1.4.17.2工作產(chǎn)品

a)網(wǎng)絡(luò)管理規(guī)范。

5.1.4.18BP010417敏感數(shù)據(jù)交換

5.1.4.18.1描述

為了提供內(nèi)容的真實(shí)性、提交驗(yàn)證、接收驗(yàn)證和數(shù)據(jù)源地抗抵賴性，必須保證敏感數(shù)據(jù)僅通過可信

路徑或介質(zhì)交換。

5.1.4.18.2工作產(chǎn)品

a)敏感數(shù)據(jù)保護(hù)規(guī)范。

5.1.5D01PA05協(xié)調(diào)信息安全

5.1.5.1概述

協(xié)調(diào)安全的目的在于保證所有部門都有一種參與安全工程的意識(shí)。由于安全工程不能獨(dú)立地取得成

功，所以這種參與工作是至關(guān)重要的。這種協(xié)調(diào)性涉及到保持安全組織、其他工程組織和外部組織之間

的開放交流。多種機(jī)制可以用于在這些部門之間協(xié)調(diào)和溝通安全工程的決定和建議，包括備忘錄、文檔、

電子郵件、會(huì)議和工作組。

5.1.5.2目標(biāo)

項(xiàng)目組的所有成員都要具有并參與安全工程工作的意識(shí)，才能充分發(fā)揮他們的作用。

14

GB/TXXXXX—20XX

有關(guān)安全的決定和建議是相互溝通和協(xié)調(diào)一致的。

5.1.5.3過程域注解

本過程域保證安全是整個(gè)工程項(xiàng)目的一個(gè)完整部分。安全工程師應(yīng)該是所有主要設(shè)計(jì)隊(duì)伍和工作組

的一部分。在作出關(guān)鍵設(shè)計(jì)決定后的工程生命期早期就建立起安全工程與其他工程隊(duì)伍間的聯(lián)系是特別

重要的。本過程域能夠同等地用于開發(fā)和運(yùn)行機(jī)構(gòu)。

5.1.5.4基本實(shí)踐清單

a)BP010501定義安全工作協(xié)調(diào)目標(biāo)和相互關(guān)系；

b)BP010502識(shí)別出安全工程的機(jī)制；

c)BP010503促進(jìn)安全工程的一致性；

d)BP010504用識(shí)別出的機(jī)制去協(xié)調(diào)有關(guān)安全的決定和建議。

5.1.5.5BP010501定義協(xié)調(diào)目標(biāo)

5.1.5.5.1描述

許多其他的組織也需要有一種參與安全工程的意識(shí)。與這些組織共享信息的目標(biāo)是通過檢查項(xiàng)目結(jié)

構(gòu)、信息需求和項(xiàng)目要求來決定的。建立與其他組織之間的聯(lián)系和義務(wù)關(guān)系，成功的聯(lián)系可有許多形式，

但必須被全體參與的部門所接受。

5.1.5.5.2工作產(chǎn)品

a)信息共享協(xié)議――描述組織間共享信息的過程，標(biāo)識(shí)參與部門、介質(zhì)、格式、期望值和頻率；

b)工作組的成員關(guān)系和日程表――描述本組織的工作組，包括他們的隸屬關(guān)系、成員的作用、目

的、議程和后勤；

c)組織標(biāo)準(zhǔn)――描述各工作組之間及用戶之間溝通安全相關(guān)信息的過程和程序。

5.1.5.6BP010502識(shí)別協(xié)調(diào)機(jī)制

5.1.5.6.1描述

有許多方法可以與其他組織共享安全工程的決定和建議。本活動(dòng)識(shí)別在項(xiàng)目中協(xié)調(diào)安全的不同方

法。

在同樣一個(gè)項(xiàng)目上有多個(gè)安全組是常見的。這些情況下，所有的工作組都應(yīng)該為了一個(gè)共同的目標(biāo)

而工作，接口標(biāo)識(shí)、安全機(jī)制選擇、培訓(xùn)及開發(fā)工作都需要以某種方式進(jìn)行，以保證每個(gè)安全組件放置

在運(yùn)行系統(tǒng)中時(shí)都能如愿工作。另外，安全工程的作用必須得到所有其他工程組和工程機(jī)構(gòu)的理解，以

便使安全能完好地集成到系統(tǒng)中去。顧客也必須認(rèn)識(shí)有關(guān)安全的事情和工作，以便保證恰當(dāng)?shù)刈R(shí)別和提

出要求。

5.1.5.6.2工作產(chǎn)品

a)溝通計(jì)劃――包括用于工作組成員之間以及與其它團(tuán)體之間需要共享的信息、會(huì)議日期、過程

和程序；

b)通信基礎(chǔ)設(shè)施的要求――標(biāo)識(shí)工作組成員之間以及與其它團(tuán)體之間共享信息需要的基礎(chǔ)設(shè)施

和標(biāo)準(zhǔn)；

c)會(huì)議報(bào)告、報(bào)文、備忘錄的模板――描述各種文檔的格式，保證標(biāo)準(zhǔn)化和有效的工作。

15

GB/TXXXXX—20XX

5.1.5.7BP010503促進(jìn)協(xié)調(diào)

5.1.5.7.1描述

成功的關(guān)系依賴于完善的促進(jìn)。在具有不同優(yōu)先級(jí)的不同組織之間進(jìn)行溝通有可能會(huì)發(fā)生一些沖

突。本基本實(shí)踐確保爭(zhēng)端以合適的富有成果的方式得到解決。

5.1.5.7.2工作產(chǎn)品

a)沖突解決的程序――識(shí)別出有效解決組織中實(shí)體之間和實(shí)體內(nèi)部沖突的方法；

b)會(huì)議議程、目標(biāo)、行動(dòng)條目――描述會(huì)議中討論的議題、強(qiáng)調(diào)需要闡述的目標(biāo)和行動(dòng)條目；

c)行動(dòng)條目的跟蹤――識(shí)別工作和項(xiàng)目分解的計(jì)劃，包括職責(zé)、時(shí)間表和優(yōu)先級(jí)。

5.1.5.8BP010504協(xié)調(diào)安全決定和建議

5.1.5.8.1描述

本基本實(shí)踐的目的在于在各種安全工程組織、其他工程組織、外部實(shí)體及其他合適的部門中溝通安

全決定和建議。

5.1.5.8.2工作產(chǎn)品

a)決定――通過會(huì)議報(bào)告、備忘錄、工作組會(huì)議紀(jì)要、電子郵件、安全指南或公告牌將有關(guān)安全

的決定告訴有關(guān)工作組；

b)建議――通過會(huì)議報(bào)告、備忘錄、工作組會(huì)議紀(jì)要、電子郵件、安全指南或公告牌將有關(guān)安全

的建議通報(bào)給有關(guān)工作組。

5.2D02規(guī)劃設(shè)計(jì)

5.2.1D02PA01指定安全需求

5.2.1.1概述

指定安全需求的目的在于，明確地為系統(tǒng)識(shí)別出與安全相關(guān)的需求。指定安全需求涉及定義系統(tǒng)安

全的基本原則，以此滿足有關(guān)安全的所有法律、策略、組織要求。這些需求按照系統(tǒng)的目標(biāo)運(yùn)行安全的

前后聯(lián)系、組織的當(dāng)前安全和系統(tǒng)環(huán)境，以及一系列被識(shí)別的安全目標(biāo)來進(jìn)行裁剪。與安全相關(guān)的需求

集合被定義為系統(tǒng)安全的基線。

5.2.1.2目標(biāo)

在所有部門，包括用戶之間達(dá)成對(duì)安全需求的共同認(rèn)識(shí)。

5.2.1.3過程域注解

本過程域包括定義整個(gè)信息系統(tǒng)中所有安全方面（例如，物理的、功能的、程序的）的活動(dòng)。本基

本實(shí)踐提出了安全需求如何被識(shí)別，并被提煉為與安全要求相關(guān)的、連貫的基線，以用于系統(tǒng)設(shè)計(jì)、開

發(fā)、檢驗(yàn)、運(yùn)行和維護(hù)。在大多數(shù)的情況下，有必要考慮現(xiàn)有環(huán)境和與安全需求相關(guān)的因素。通過這一

過程域所獲得和產(chǎn)生的信息在整個(gè)項(xiàng)目中被收集、提煉、使用和更新（詳見“提供安全輸入”（D02PA06）），

以此提出顧客需求。

5.2.1.4基本實(shí)踐清單

16

GB/TXXXXX—20XX

a)BP020101獲得對(duì)顧客安全需求的理解；

b)BP020102識(shí)別出管理該系統(tǒng)的法律、策略、標(biāo)準(zhǔn)、外部影響和約束；

c)BP020103識(shí)別出系統(tǒng)的用途，以此來決定安全上下文關(guān)系；

d)BP020104收集系統(tǒng)運(yùn)行的一個(gè)高層的面向安全的思想；

e)BP020105收集定義系統(tǒng)安全的高層目標(biāo)；

f)BP020106定義一套確定在系統(tǒng)中實(shí)施保護(hù)措施的一致性陳述；

g)BP020107達(dá)成特定的安全協(xié)議以滿足顧客要求。

5.2.1.5BP020101獲得對(duì)用戶安全需求的理解

5.2.1.5.1描述

本基本實(shí)踐的目的在于，收集所有用于全面理解用戶安全需求所需的信息。這些需求受到安全風(fēng)險(xiǎn)

對(duì)用戶重要性的影響。系統(tǒng)預(yù)期操作的目標(biāo)環(huán)境也會(huì)影響用戶與安全相關(guān)的需求。

5.2.1.5.2工作產(chǎn)品

a)用戶安全需求的敘述――對(duì)用戶所要求的安全的高層描述。

5.2.1.6BP020102識(shí)別可用的法律、策略和約束

5.2.1.6.1描述

本基本實(shí)踐的目的在于，收集所有對(duì)系統(tǒng)安全產(chǎn)生影響的外部影響。一個(gè)具有可適用性的決定應(yīng)識(shí)

別出支配系統(tǒng)目標(biāo)環(huán)境的法律、規(guī)則、策略和商務(wù)標(biāo)準(zhǔn)。應(yīng)執(zhí)行全局和局部間優(yōu)先權(quán)的決定。由系統(tǒng)用

戶對(duì)系統(tǒng)提出的安全需求必須被標(biāo)識(shí)并提出安全含意。

5.2.1.6.2工作產(chǎn)品

a)安全約束――影響系統(tǒng)安全的法律、策略、規(guī)則和其它約束條件；

b)安全輪廓――安全環(huán)境（威脅、組織策略）、安全目標(biāo)（例如，需對(duì)抗的威脅）、安全功能和

保證需求；開發(fā)出滿足目標(biāo)需求的系統(tǒng)合理性。

5.2.1.7BP020103識(shí)別系統(tǒng)安全關(guān)聯(lián)性

5.2.1.7.1描述

本基本實(shí)踐的目的在于識(shí)別出系統(tǒng)間的關(guān)系是如何影響安全的。它涉及了對(duì)系統(tǒng)（例如，情報(bào)、金

融、醫(yī)療）用途的理解。任務(wù)的處理和運(yùn)行概要作為安全因素加以評(píng)估。對(duì)系統(tǒng)遭受到的，或可能的威

脅，在這一階段有深入理解。評(píng)估性能和功能需求對(duì)安全可能產(chǎn)生的影響。就安全含意而言，運(yùn)行的約

束條件也要受到檢查。

定義的系統(tǒng)安全邊界，環(huán)境可能也包括與其它組織或系統(tǒng)的接口。接口部件被確定為位于安全邊界

的內(nèi)側(cè)或外側(cè)。

組織的許多外部因素也影響組織安全需求的變化程度。這些因素包括策略上的傾向性和策略重點(diǎn)的

改變、技術(shù)開發(fā)、經(jīng)濟(jì)影響、全局性事件以及信息戰(zhàn)。由于這些因素沒有一個(gè)是靜態(tài)的，它們需要監(jiān)視

和定期地評(píng)估這些變化潛在的影響。

5.2.1.7.2工作產(chǎn)品

17

GB/TXXXXX—20XX

a)預(yù)期的威脅環(huán)境――對(duì)系統(tǒng)資產(chǎn)的已知或假定的威脅；包括威脅作用力（專門技術(shù)、可用資源、

動(dòng)機(jī)）、攻擊（方法、可開發(fā)的脆弱性、機(jī)會(huì)）、資產(chǎn)；

b)評(píng)估目標(biāo)――描述被評(píng)估的系統(tǒng)或產(chǎn)品的安全特性（類型、預(yù)期的應(yīng)用、通用特性、使用限制）。

5.2.1.8BP020104收集系統(tǒng)運(yùn)行的安全思想

5.2.1.8.1描述

本基本實(shí)踐的目的在于開發(fā)一個(gè)高層的、面向安全的規(guī)劃思想，包括任務(wù)、職責(zé)信息流、資產(chǎn)、資

源、人員保護(hù)以及物理保護(hù)。這一描述應(yīng)該包括對(duì)規(guī)劃如何都能在系統(tǒng)要求約束條件內(nèi)實(shí)施的討論。系

統(tǒng)的這一思想在運(yùn)行安全概念中典型地被提了出來，而且應(yīng)該包括一個(gè)有關(guān)體系結(jié)構(gòu)、過程和環(huán)境的高

層的安全思想。與系統(tǒng)開發(fā)環(huán)境有關(guān)的要求也要在這一階段進(jìn)行收集。

5.2.1.8.2工作產(chǎn)品

a)運(yùn)行安全概念――系統(tǒng)高層的、面向安全的思想（任務(wù)、職責(zé)、資產(chǎn)、信息流、過程）；

b)概念性安全體系結(jié)構(gòu)。

5.2.1.9BP020105收集安全的高層目標(biāo)

5.2.1.9.1描述

本基本實(shí)踐的目的在于，識(shí)別出在運(yùn)行環(huán)境中怎樣提供足夠的安全才能為該系統(tǒng)滿足其安全目標(biāo)。

5.2.1.9.2工作產(chǎn)品

a)運(yùn)行/環(huán)境的安全策略――支配資產(chǎn)怎樣在一個(gè)組織的內(nèi)部和外部進(jìn)行管理、保護(hù)和發(fā)布的規(guī)

則、指令和實(shí)施；

b)系統(tǒng)安全策略――支配資產(chǎn)怎樣被系統(tǒng)或產(chǎn)品進(jìn)行管理、保護(hù)和發(fā)布的規(guī)則、指令和實(shí)施。

5.2.1.10BP020106定義安全相關(guān)需求

5.2.1.10.1描述

本基本實(shí)踐的目的在于定義與系統(tǒng)的安全相關(guān)的需求。這一實(shí)施應(yīng)確保每個(gè)需求與可適用的策略、

法律、標(biāo)準(zhǔn)、安全需求以及系統(tǒng)的約束條件協(xié)調(diào)一致。這些需求應(yīng)完全地定義出系統(tǒng)的安全需求，包括

那些通過非技術(shù)手段提供的需求。通常有必要定義或確定目標(biāo)的邏輯或物理邊界，以確保所有的方面都

被提到。這些需求應(yīng)與系統(tǒng)目標(biāo)建立映射關(guān)系或發(fā)生關(guān)聯(lián)。與安全相關(guān)的需求應(yīng)被清楚地、簡(jiǎn)明地陳述，

而且彼此不應(yīng)發(fā)生矛盾。無論何時(shí)，安全都應(yīng)將對(duì)系統(tǒng)功能和性能的任何影響降到最小。與安全相關(guān)的

需求應(yīng)為在目標(biāo)環(huán)境中對(duì)系統(tǒng)安全的評(píng)價(jià)提供一個(gè)基礎(chǔ)。

5.2.1.10.2工作產(chǎn)品

a)與安全相關(guān)的需求――直接影響系統(tǒng)的安全運(yùn)行，或強(qiáng)迫與某一特殊安全策略的一致性需求；

b)可跟蹤模型――將安全需求映射成為必需條件、解決方法（例如，體系結(jié)構(gòu)、設(shè)計(jì)、實(shí)現(xiàn)）、

測(cè)試和測(cè)試結(jié)果。

5.2.1.11BP020107達(dá)成安全協(xié)議

5.2.1.11.1描述

18

GB/TXXXXX—20XX

本基本實(shí)踐的目的在于，在系統(tǒng)的安全需求中所有適用部分與特定安全之間達(dá)成協(xié)議。在未被識(shí)別

的特殊用戶，而不是一個(gè)通用用戶組的情況下，特定安全要滿足目標(biāo)設(shè)置。特定的安全應(yīng)該是完整地、

一致地反映對(duì)策略、法律和用戶需求的管理。問題應(yīng)被識(shí)別并修改直到達(dá)成協(xié)議。

5.2.1.11.2工作產(chǎn)品

a)被審定的安全目標(biāo)――陳述需對(duì)抗的已識(shí)別的威脅，和/或遵從已識(shí)別的安全策略（已被顧客

認(rèn)可）的計(jì)劃；

b)與安全相關(guān)的需求基線――在特定的重要階段，被所有的適用部分（特別是顧客）認(rèn)可的，與

安全相關(guān)的最低要求。

5.2.2D02PA02評(píng)估影響

5.2.2.1概述

評(píng)估影響的目的在于識(shí)別對(duì)該系統(tǒng)有關(guān)系的影響，并對(duì)發(fā)生影響的可能性進(jìn)行評(píng)估。影響可能是有

形的，例如稅收或財(cái)政罰款的丟失，或可能是無形的，例如聲譽(yù)和信譽(yù)的損失。

5.2.2.2目標(biāo)

對(duì)該系統(tǒng)風(fēng)險(xiǎn)的安全影響進(jìn)行標(biāo)識(shí)和特征化。

5.2.2.3過程域注解

影響是意外事件的后果，對(duì)系統(tǒng)資產(chǎn)產(chǎn)生影響，可由故意行為或偶然原因引起。這一后果可能毀滅

某些資產(chǎn)，危及該IT系統(tǒng)以及喪失機(jī)密性、完整性、可用性、可記錄性、可鑒別性或可靠性。間接后果

可以包括財(cái)政損失、市場(chǎng)份額或公司形象的損失。對(duì)影響是被允許在意外事件的結(jié)果與防止這些意外事

件所需安全措施費(fèi)用之間達(dá)成平衡。必須對(duì)發(fā)生意外事件的頻率予以考慮。特別重要的是，即使每一次

影響新引起的損失并不大，但長(zhǎng)期積累的眾多意外事件的影響總和則可造成嚴(yán)重?fù)p失。影響的評(píng)估是評(píng)

估風(fēng)險(xiǎn)和選擇安全措施的要素。

本過程域所產(chǎn)生的影響信息在本過程域中，與來自D02PA03的威脅信息和來自D02PA04的脆弱性信息

一起使用。當(dāng)涉及與收集威脅、脆弱性和影響信息有關(guān)的活動(dòng)被綜合成單個(gè)PA后，它們是相互依存的。

目的在于尋找認(rèn)為是有足夠風(fēng)險(xiǎn)的威脅、脆弱性和影響的組合，以證明新采取的措施是合理的。因此，

對(duì)影響的搜索應(yīng)通過現(xiàn)有相應(yīng)的威脅和脆弱性進(jìn)行一定延伸。

由于影響要經(jīng)歷變化，必須定期進(jìn)行監(jiān)視，以保證由本過程域產(chǎn)生的理解始終得到維持。

5.2.2.4基本實(shí)踐清單