中华人民共和国国家标准代替信息技术安全技术信息安全控制实践指南发布中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会实施发布目次前言引言背景和环境信息安全要求控制的选择编制组织自己的指南生命周期的考虑相关标准范围规范性引用文件术语和定义标准结构章节控制类别信息安全策略信息安全管理指导信息安全组织内部组织移动设备和远程工作人力资源安全任用前任用中任用的终止和变更资产管理有关资产的责任信息分级介质处理访问控制访问控制的业务要求用户访问管理用户责任系统和应用访问控制密码密码控制物理和环境安全安全区域设备运行安全运行规程和责任恶意软件防范备份日志和监视运行软件控制技术方面的脆弱性管理信息系统审计的考虑通信安全网络安全管理信息传输系统获取开发和维护信息系统的安全要求开发和支持过程中的安全测试数据供应商关系供应商关系中的信息安全供应商服务交付管理信息安全事件管理信息安全事件的管理和改进业务连续性管理的信息安全方面信息安全的连续性冗余符合性符合法律和合同要求信息安全评审附录资料性附录与对比附录资料性附录与主要关键词变化参考文献前言本标准按照给出的规则起草本标准代替信息技术安全技术本标准与相比主要技术变化如下结构变化见附录信息安全管理实用规则术语变化见附录本标准使用翻译法等同采用信息技术南及其相应的技术勘误安全技术信息安全控制实践指与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下信息技术本标准做了下列编辑性修改安全技术信息安全管理体系概述和词汇增加了资料性附录增加了资料性附录请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任本标准由全国信息安全标准化技术委员会提出并归口本标准起草单位中国电子技术标准化研究院中电长城网际系统应用有限公司中国信息安全认证中心山东省标准化研究院广州赛宝认证中心服务有限公司北京江南天安科技有限公司上海三零卫士信息安全有限公司中国合格评定国家认可中心北京时代新威信息技术有限公司黑龙江电子信息产品监督检验院浙江远望电子有限公司杭州在信科技有限公司本标准主要起草人许玉娜上官晓丽闵京华尤其公伟卢列文倪文静王连强陈冠直于惊涛付志高赵英庆卢普明王曙光虞仲华韩硕祥魏军程瑜琦孔祥林邬敏华李华李阳本标准所代替标准的历次版本发布情况为引言背景和环境本标准可作为组织基于实现信息安全管理体系过程中选择控制时的参考或作为组织在实现通用信息安全控制时的指南在考虑具体信息安全风险环境后本标准也可用于制定特定行业和特定组织的信息安全管理指南所有类型和规模的组织包括公共和私营部门商业组织非盈利性组织都会收集处理存储和传输包括电子物理和语音如会谈和演讲等多种形式的信息信息的价值超越文字数字和图像的本身例如知识概念观点和品牌都是无形信息在互联世界中对于组织业务而言信息和相关过程系统网络及其操作处理与保护活动中所涉及的人员都是资产与其他重要的业务资产一样对组织的业务至关重要因此值得或需要保护以防范各种危害资产易遭受故意和意外的威胁且相关的过程系统网络和人员均有其固有脆弱性业务过程和系统的变更或其他外部变更如新的法律法规可能产生新的信息安全风险因此考虑到威胁利用脆弱性损害组织的途径多种多样信息安全风险始终存在有效的信息安全通过防范威胁和脆弱性使组织得到保护来减少风险从而降低对其资产的影响信息安全可通过实现一组合适的控制来达到包括策略过程规程组织结构和软硬件功能必要时需要建立实现监视评审和改进这些控制以确保其满足组织特定的安全和业务目标规定的采用整体的协调的观点看待组织的信息安全风险以便在一致的管理体系总体框架下实现一套全面的信息安全控制从和本标准来看许多信息系统的设计未达到是安全的通过技术手段可获得的安全是有限的宜通过适当的管理和规程给予支持确定哪些控制应该存在这需要仔细规划并注意细节一个成功的信息安全管理体系需要得到组织内的所有员工的支持股东供应商或其他外部各方的参与也需要外部各方的专家建议在更一般的意义上有效的信息安全也向管理者及其他相关方保证组织资产处于合理的安全并受到保护不被损害因此其角色等同于业务推动者信息安全要求组织识别其安全要求是必要的安全要求的个主要来源是考虑组织的整体业务战略与目标对组织风险的评估通过风险评估识别资产受到的威胁评价易受威胁利用的脆弱性和威胁发生的可能性估计潜在的影响组织及其贸易伙伴合同方和服务提供商必须满足的法律法规规章制度和合同要求以及他们的社会文化环境组织为支持其运行针对信息的操作处理存储通信和归档而建立的原则目标和业务要求实现控制所使用的资源必须权衡缺少这些控制而导致的安全问题以及可能导致的业务危害风险评估的结果将有助于指导和确定合适的管理措施信息安全风险管理的优先级以及为防范这些风险所选择控制实现的优先级提供了信息安全风险管理指南包括风险评估风险处置风险接受风险沟通风险监视和风险评审各方面的建议控制的选择控制可以选自本标准或其他控制集或适当时针对特定的需求设计新的控制控制的选择取决于组织决策该决策基于风险接受准则风险处置选项组织采用的通用风险管理方法控制的选择也必须遵守所有相关的国家法律法规同时控制的选择也取决于控制交互方式以提供纵深防御本标准中的某些控制可被当作信息安全管理的指导原则并且可用于大多数组织在每个控制之下详细地给出了其实现指南有关选择控制的更详细信息以及其他的风险的处置选项可参见编制组织自己的指南本标准可作为组织制定其特定指南的起点对一个组织来说本标准中的控制和指南并非全部适用另外可能还需要增加一些不包含在本标准中的控制和指南当制定包含一些增加的控制和指南的组织文件时给出一些对本标准可用条款的交叉应用这可能是有用的以支持审核员和和业务伙伴的符合性检查生命周期的考虑信息有其固有的生命周期即从其创建和产生经过存储处理使用和传输到其最终销毁或消失在其生命周期中信息资产的价值和所面临的风险可能会变化如在公司账目正式公布后对它的窃取和未授权泄露所产生的危害将极大的降低但在所有阶段信息安全仍存在一定程度的重要性信息系统的生命周期包括构思规约设计开发测试实现使用维护并最终退役和销毁在每一阶段均应考虑到信息安全在每一阶段上均应考虑信息安全开发新的系统或对现有系统的改变为组织升级和改进安全控制提供了机会同时应考虑实际的安全事件以及当前和预测的信息安全风险相关标准本标准就一个广泛的可通用于不同组织的信息安全控制集提供了相应的指南而信息安全管理体系标准族中的其他标准就信息安全管理全过程的其他方面提供了补充建议或要求信息安全管理体系标准的总体介绍参见中提供的词汇表确定了信息安全管理体系标准中使用的绝大部分术语并描述了每个标准的范围和目标信息技术安全技术信息安全控制实践指南范围本标准为组织的信息安全标准和信息安全管理实践提供了指南包括考虑了组织信息安全风险环境的控制的选择实现和管理本标准被设计用于组织选择控制即基于在实现一个信息安全管理体系的过程中选择控制实现通用的可接受的信息安全控制制定组织自己的信息安全管理指南规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件信息技术安全技术信息安全管理体系概述和词汇术语和定义界定的术语和定义适用于本文件标准结构本标准包括个安全控制的章节共含有个主要安全类别以及项控制章节定义安全控制的每个章节包含一个或多个主要安全类别本标准中各章节的顺序不表示其重要性根据不同的环境任何或所有章节中的安全控制都可能是重要的因此应用本标准的每一个组织宜识别可应用的控制这些控制多么重要以及它们如何应用到各个业务过程另外本标准的列表没有优先顺序控制类别每一个主要安全控制类别包括一个控制目标声明要实现什么一个或多个控制可被用于实现该控制目标控制的描述结构如下控制为满足控制目标给出定义特定控制的陈述实现指南为支持该控制的实现并满足控制目标提供更详细的信息该指南可能不能完全适用或不足以在所有情况下适用也可能不能满足组织的特定控制要求其他信息提供需要考虑的进一步的信息例如法律方面的考虑和对其他标准的参考如无其他信息本项将不给出信息安全策略信息安全管理指导目标依据业务要求和相关法律法规为信息安全提供管理指导和支持信息安全策略控制信息安全策略集宜被定义由管理者批准并发布传达给所有员工和外部相关方实现指南在最高层上组织宜定义一个信息安全方针该方针宜获得管理层批准并建立组织管理其信息安全目标的方法信息安全方针宜关注下列方面产生的要求业务战略法律法规和合同当前和预期的信息安全威胁环境该信息安全方针宜包括涉及以下内容的陈述信息安全目标和原则的定义以指导所有信息安全有关的活动把信息安全管理方面的一般和特定责任的分配给已定义的角色处理偏差和意外的过程在较低层面该信息安全策略宜由特定主题的策略予以支持这些策略进一步强制性地规定了信息安全控制的实现并通常是结构化的以强调组织内某些目标群体需求或涵盖某些主题例如这样的策略主题包括访问控制见第章信息分级和处理见物理和环境安全见第章面向终端用户的策略如资产的可接受使用见桌面和屏幕的清理见信息传输见移动设备和远程工作见软件安装及其使用限制见备份见信息传输见恶意软件防范见技术脆弱性管理见密码控制见第章通信安全见第章隐私及其个人可识别信息的保护见供应商关系见第章这些策略宜采用预期读者适合的可访问和可理解的形式传达给员工和外部相关方例如在信息安全意识教育和培训见环境下其他信息内部信息安全策略的需求因组织而异内部策略对于大型和复杂的组织而言尤其有用当这些组织中确定和批准控制预期水平的人员与实现控制的人员是分离的或者当内部策略应用在组织不同的人员或职能时也是非常有用的信息安全策略可以以单一信息安全策略文件的形式发布或作为各不相同但相互关联的一套文件的形式发布如果信息安全策略在组织外进行分发宜注意不要泄露保密信息一些组织使用其他术语用于这些策略文件例如标准导则或规则信息安全策略的评审控制宜按计划的时间间隔或当重大变化发生时进行信息安全策略评审以确保其持续的适宜性充分性和有效性实现指南每个策略宜有专人负责他对策略的制定评审和评价具有被批准的管理责任评审宜包括评估组织策略和信息安全管理方法的改进机会以适应组织环境业务状况法律法规或技术环境发生的变化信息安全策略评审宜考虑管理评审的结果宜获得管理层对修订的策略的批准信息安全组织内部组织目标建立一个管理框架以启动和控制组织内信息安全的实现和运行信息安全的角色和责任控制所有的信息安全责任宜予以定义和分配实现指南信息安全责任的分配宜与信息安全策略见相一致各个资产的保护责任和执行特定安全过程的责任宜被清晰地标识宜定义信息安全风险管理活动的责任特别是接受残余风险的责任必要时宜针对特定的地点和信息处理设施的责任补充更详细的指南宜定义本地资产保护和执行特定安全过程的责任被分配了信息安全责任的个体可以将安全任务委托给其他人员尽管如此他们

pdf文档 GB-T 22081-2016 信息技术 安全技术 信息安全控制实践指南

文档预览
中文文档 76 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共76页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
GB-T 22081-2016 信息技术 安全技术 信息安全控制实践指南 第 1 页 GB-T 22081-2016 信息技术 安全技术 信息安全控制实践指南 第 2 页 GB-T 22081-2016 信息技术 安全技术 信息安全控制实践指南 第 3 页
下载文档到电脑,方便使用
本文档由 路人甲 于 2022-05-24 14:25:54上传分享
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。