返回
GBT19716-2005 信息技术信息安全管理实用规则.pdf

GBT19716-2005 信息技术信息安全管理实用规则.pdf

ID:404577

大小:4.08 MB

页数:49页

时间:2017-07-30

GBT19716-2005 信息技术信息安全管理实用规则.pdf_第1页
GBT19716-2005 信息技术信息安全管理实用规则.pdf_第2页
GBT19716-2005 信息技术信息安全管理实用规则.pdf_第3页
GBT19716-2005 信息技术信息安全管理实用规则.pdf_第4页
GBT19716-2005 信息技术信息安全管理实用规则.pdf_第5页
资源描述:

《GBT19716-2005 信息技术信息安全管理实用规则.pdf》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、ICS35.040__L80伪黔中华人民共和国国家标准GB/T19716-2005信息技术信息安全管理实用规则Informationtechnology-Codeofpracticeforinformationsecuritymanagement(ISO/1EC17799:2000,MOD)2005-04-19发布2005-10-01实施中华人民共和国国家质量监督检验检疫总局.*小-r19ive-19a'."NTr辈秘埔瞥’趟臀豁荟发布标准分享网www.bzfxw.com免费下载GB/T19716-20

2、05前言本标准修改采用ISO/IEC17799,2000((信息技术信息安全管理实用规则》(英文版)。本标准适当做了一些修改:在12.1.6中增加了“a)使用国家主管部门审批的密码算法和密码产品”,作为修改内容。本标准由中华人民共和国信息产业部提出。本标准由全国信息安全标准化技术委员会归口。本标准由中国电子技术标准化研究所、中国电子科技集团第三十研究所、上海三零卫士信息安全有限公司、中国电子科技集团第15研究所、北京思乐信息技术有限公司负责起草。本标准主要起草人:黄家英、林望重、魏忠、林中、王新杰、罗锋

3、盈、陈星。GB/T19716-2005引言什么是信息安全?像其他重要业务资产一样,信息也是一种资产。它对一个组织具有价值,因此需要加以合适地保护。信息安全防止信息受到的各种威胁,以确保业务连续性,使业务损害减至最小,使投资回报和业务机会最大。信息可能以各种形式存在。它可以打印或写在纸上、以电子方式存储、用邮寄或电子手段发送、呈现在胶片上或用言语表达。无论信息采用什么形式或者用什么方法存储或共享,都应对它进行适当地保护。信息安全在此表现为保持下列特征:a)保密性:确保信息仅被已授权访问的人访问;b)完整性

4、:保护信息及处理方法的准确性和完备性;c)可用性:确保已授权用户在需要时可以访问信息和相关资产。信息安全是通过实现一组合适控制获得的。控制可以是策略、惯例、规程、组织结构和软件功能。需要建立这些控制,以确保满足该组织的特定安全目标。为什么需要信息安全?信息和支持过程,系统和网络都是重要的业务资产。信息的保密性、完整性和可用性对维持竞争优势、现金流转、赢利、守法和商业形象可能是必不可少的。各组织及其信息系统和网络日益面临来自各个方面的安全威胁。这些方面包括计算机辅助欺诈、间谍活动、恶意破坏、毁坏行为、火灾

5、或水灾。诸如计算机病毒、计算机黑客捣乱和拒绝服务攻击,已经变得更普遍、更有野心和日益高科技。对信息系统和服务的依赖意味着组织对安全威胁更为脆弱。公共网络和专用网络的互连和信息资源的共享增加了实现访问控制的难度。分布式计算的趋势已削弱集中式控制的有效性。许多信息系统已不再单纯追求设计成安全的,因为通过技术手段可获得的安全性是有限的。应该用合适的管理和规程给予支持。标识哪些控制要到位需要仔细规划并注意细节。信息安全管理至少需要该组织内的所有员工参与,还可能要求供应商、消费者或股票持有人的参与。外界组织的专家

6、建议可能也是需要的。如果在制定要求规范和设计阶段把信息安全控制结合进去,那么,该信息安全控制就会更加经济和更加有效。如何建立安全要求最重要的是组织标识出它的安全要求。有二个主要来源。第一个来源是由评估该组织的风险所获得的。通过风险评估,标识出对资产的威胁,评价易受威胁的脆弱性和威胁出现的可能性和预测威胁潜在的影响。第二个来源是组织、贸易伙伴、合同方和服务提供者必须满足的法律、法规、规章和合同的要求。第三个来源是组织开发支持其运行的信息处理的特定原则、目标和要求的特定集合。评估安全风险安全要求是通过安全风

7、险的系统性评估予以标识。用于控制的经费需要针对可能由安全故障导致标准分享网www.bzfxw.com免费下载GB/T19716-2005的业务损害加以平衡。风险评估技术可适用于整个组织,或仅适用于组织的某些部门,若这样做切实可行、现实和有帮助,该技术也适用于各个信息系统、特定系统部件或服务。风险评估要系统地考虑以下内容:a)可能由安全故障导致的业务损害,要考虑到信息或其他资产的保密性、完整性或可用性丧失的潜在后果;b)从最常见的威胁和脆弱性以及当前所实现的控制来看,有出现这样一种故障的现实可能性。评估的

8、结果将帮助指导和确定合适的管理行动,以及管理信息安全风险和实现所选择控制的优先级,以防范这些风险。评估风险和选择控制的过程可能需要进行许多次,以便涵盖组织的不同部门或各个信息系统。重要的是对安全风险和已实现的控制进行周期性评审,以便:a)考虑业务要求和优先级的变更;b)考虑新的威胁和脆弱性;c)证实控制仍然维持有效和合适。根据先前评估的结果评审宜在不同深度级别进行,以及在管理层准备接受的更改风险级别进行。作为高风险区域优化资源的一种手段,风

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。