路径: 主页 > MISC > 第104页 > GA/T 713-2007
| 标准号码 | 内文 | 价格美元 | 第2步(购买) | 交付天数 | 标准名称 | 状态 |
|
GA/T 713-2007
|
英文版
|
RFQ
|
询价
|
[PDF]天数 >=6
|
信息安全技术 信息系统安全管理测评
|
作废
|
| 标准编号 | GA/T 713-2007 (GA/T713-2007) | | 中文名称 | 信息安全技术 信息系统安全管理测评 | | 英文名称 | Information security technology--Information system security anagement testing and evaluation | | 行业 | 公安行业标准 (推荐) | | 中标分类 | L09 | | 国际标准分类 | 35.020 | | 字数估计 | 31,330 | | 发布日期 | 2007-08-13 | | 实施日期 | 2007-10-01 | | 引用标准 | GB 17859-1999; GB/T 20269-2006 | | 发布机构 | 公安部 | | 范围 | 本标准规定了按照GB 17859-1999等级划分的要求对信息系统实施安全管理评估的原则和方法。本标准适用于相关组织机构(部门)对信息系统实施安全等级保护所进行的安全管理评估与自评估。 | GA/T 713-2007
Information security technology--Information system security anagement testing and evaluation
ICS 35.020
L09
中华人民共和国公共安全行业标准
GA/T713-2007
信息安全技术
信息系统安全管理测评
2007-08-13发布
2007-10-01实施
中华人民共和国公安部 发 布
目次
前言 Ⅴ
引言 Ⅵ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 管理评估的基本原则 1
5 评估方法 2
5.1 调查性访谈 2
5.1.1 调查性访谈主要对象 2
5.1.2 调查性访谈准备 2
5.1.3 调查性访谈阶段划分 2
5.1.4 调查性访谈质量控制 3
5.2 符合性检查 3
5.2.1 符合性检查主要对象 3
5.2.2 符合性检查方法 3
5.2.3 符合性检查质量控制 4
5.3 有效性验证 4
5.3.1 有效性验证主要对象 4
5.3.2 有效性验证方法 4
5.3.3 有效性验证质量控制 5
5.4 监测验证 5
5.4.1 监测验证的主要依据 5
5.4.2 监测验证方法 5
5.4.3 监测验证质量控制 6
6 评估实施 7
6.1 确定评估目标 7
6.2 控制评估过程 7
6.3 处理评估结果 8
6.4 建立保障证据 8
7 分等级评估 9
7.1 第一级:用户自主保护级 9
7.1.1 管理目标和范围评估 9
7.1.2 策略和制度评估 9
7.1.3 机构和人员管理评估 9
7.1.4 风险管理评估 9
7.1.5 环境和资源管理评估 9
7.1.6 运行和维护管理评估 10
7.1.7 业务连续性管理评估 10
GA/T713-2007
7.1.8 监督和检查管理评估 10
7.1.9 生存周期管理评估 10
7.1.10 实施原则及方法 10
7.2 第二级:系统审计保护级 11
7.2.1 管理目标和范围评估 11
7.2.2 策略和制度评估 11
7.2.3 机构和人员管理评估 11
7.2.4 风险管理评估 11
7.2.5 环境和资源管理评估 11
7.2.6 运行和维护管理评估 12
7.2.7 业务连续性管理评估 12
7.2.8 监督和检查管理评估 12
7.2.9 生存周期管理评估 13
7.2.10 实施原则及方法 13
7.3 第三级:安全标记保护级 13
7.3.1 管理目标和范围评估 13
7.3.2 策略和制度评估 13
7.3.3 机构和人员管理评估 13
7.3.4 风险管理评估 13
7.3.5 环境和资源管理评估 14
7.3.6 运行和维护管理评估 14
7.3.7 业务连续性管理评估 14
7.3.8 监督和检查管理评估 15
7.3.9 生存周期管理评估 15
7.3.10 实施原则及方法 15
7.4 第四级:结构化保护级 15
7.4.1 管理目标和范围评估 15
7.4.2 策略和制度评估 15
7.4.3 机构和人员管理评估 16
7.4.4 风险管理评估 16
7.4.5 环境和资源管理评估 16
7.4.6 运行和维护管理评估 16
7.4.7 业务连续性管理评估 17
7.4.8 监督和检查管理评估 17
7.4.9 生存周期管理评估 17
7.4.10 实施原则及方法 17
7.5 第五级:访问验证保护级 17
7.5.1 管理目标和范围评估 17
7.5.2 策略和制度评估 18
7.5.3 机构和人员管理评估 18
7.5.4 风险管理评估 18
7.5.5 环境和资源管理评估 18
7.5.6 运行和维护管理评估 18
GA/T713-2007
7.5.7 业务连续性管理评估 19
7.5.8 监督和检查管理评估 19
7.5.9 生存周期管理评估 19
7.5.10 实施原则及方法 19
附录A(资料性附录) 安全管理评估内容 20
参考文献 24
GA/T713-2007
前言
本标准的附录A为资料性附录。
本标准由公安部信息系统安全标准化技术委员会提出并归口。
本标准起草单位:北京江南天安科技有限公司,北京思源新创信息安全资讯有限公司。
本标准主要起草人:陈冠直、王志强、吉增瑞、景乾元、宋建平。
GA/T713-2007
引 言
本标准用于在实施信息系统安全等级保护时,根据GB/T 20269-2006《信息安全技术 信息系统
安全管理要求》对安全管理体系各等级安全管理要求的落实情况进行评估,规定了评估的主要内容和原
则,明确了评估过程和方法。对于涉及国家秘密的信息和信息系统的保密管理,应按照国家有关保密管
理规定和相关测评标准执行。
信息系统安全管理评估的主体包括信息系统的主管领导部门、信息安全监管机构、第三方评估机
构、信息系统的管理者等,对应的评估可以是检查评估、第三方评估或自评估,本标准中统称评估。
本标准第4章(管理评估的基本原则)、第5章(评估方法)、第6章(评估实施)给出了每一安全保护
等级的评估需要执行的统一要求和评估方法,在第7章分等级描述了GB/T 20269-2006规定的评估
要求。本标准中有关信息系统安全管理评估项见附录A。
GA/T713-2007
信息安全技术
信息系统安全管理测评
1 范围
本标准规定了按照 GB 17859-1999等级划分的要求对信息系统实施安全管理评估的原则和
方法。
本标准适用于相关组织机构(部门)对信息系统实施安全等级保护所进行的安全管理评估与自
评估。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有
的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究
是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB 17859-1999 计算机信息系统 安全保护等级划分准则
GB/T 20269-2006 信息安全技术 信息系统安全管理要求
3 术语和定义
GB 17859-1999、GB/T 20269-2006确立的以及下列术语和定义适用于本标准。
3.1
对信息系统记录与活动的独立的审查和检查,以测试系统控制的充分程度,确保符合已建立的安全
策略和操作过程,检测出安全违规,并对在控制、安全策略和过程中指示的变化提出建议。
3.2
风险识别、分析、估值的全过程,其目标是确定和估算风险值。
3.3
一个组织为其运转而规定的一个或多个安全规则、规程、惯例和指南。
3.4
通过对与安全管理有关的监测信息(包括审计信息以及各种监测、监控机制收集的信息)的分析,对
安全管理实施的有效性进行验证的过程。
4 管理评估的基本原则
对信息系统安全管理的评估应坚持科学性、有效性、......
|