首页
购物车
询价
www.GB-GBT.com
[PDF] GB/T 20274.3-2008 - 自动发货. 英文版
标准搜索结果: 'GB/T 20274.3-2008'
标准号码
内文
价格美元
第2步(购买)
交付天数
标准名称
状态
GB/T 20274.3-2008
英文版
145
GB/T 20274.3-2008
3分钟内自动发货[PDF]
信息安全技术 信息系统安全保障评估框架 第3部分:管理保障
有效
基本信息
标准编号
GB/T 20274.3-2008 (GB/T20274.3-2008)
中文名称
信息安全技术 信息系统安全保障评估框架 第3部分:管理保障
英文名称
Information security technology - Evaluation framework for information systems security assurance - Part 3: Management assurance
行业
国家标准 (推荐)
中标分类
L80
国际标准分类
35.040
字数估计
110,156
发布日期
2008-07-18
实施日期
2008-12-01
起草单位
中国信息安全产品测评认证中心
归口单位
全国信息安全标准化技术委员会
标准依据
国家标准批准发布公告2008年第14号(总第127号)
提出机构
全国信息安全标准化技术委员会
发布机构
中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会
范围
GB/T 20274的本部分建立了信息系统安全管理保障的框架, 确立了组织机构内启动、实施、维护、评估和改进信息安全管理的指南和通用原则。本部分定义和说明了信息系统安全管理保障中反映组织机构信息安全管理保障能力的安全管理能力级, 以及提供组织机构信息安全管理保障内容的管理保障控制类要求。本部分适用于涉及信息系统安全管理工作的组织机构的所有用户、开发者和评估者。
GB/T 20274.3-2008: 信息安全技术 信息系统安全保障评估框架 第3部分:管理保障 GB/T 20274.3-2008 英文名称: Information security technology -- Evaluation framework for information systems security assurance -- Part 3: Management assurance ICS 35.040 L80 中华人民共和国国家标准 1 范围 GB/T 20274的本部分建立了信息系统安全管理保障的框架,确立了组织机构内启动、实施、维护、 评估和改进信息安全管理的指南和通用原则。本部分定义和说明了信息系统安全管理保障中反映组织 机构信息安全管理保障能力的安全管理能力级,以及提供组织机构信息安全管理保障内容的管理保障控制类要求。 本部分适用于涉及信息系统安全管理工作的组织机构的所有用户、开发者和评估者。 5 信息安全管理保障框架 5.1 信息管理保障概述 本标准第1部分中提出了信息安全保障模型(参见本标准第1部分图3),在模型中,描述了信息系 统安全中保障要素(技术、工程、管理和人员)、信息特征和生命周期三者的关系。 信息安全管理保障框架是信息系统安全保障框架的一个重要组成部分,它充分反映了以风险和策 略为核心、覆盖信息系统整个生命周期的信息安全保障框架的核心思想,同时也结合了信息安全管理保 障的特殊内容和要求,建立了信息安全管理保障的能力成熟度模型。 信息安全管理保障能力成熟度模型包含了两个相互依赖的维度,即“安全管理保障控制维”和“安全 管理保障能力成熟度级维”,它反映了信息安全管理保障要求的信息安全管理保障控制要求和信息安全 管理能力成熟度要求这两个方面的要求。 a) “安全管理保障控制维”由信息安全管理保障控制组成,它建立了组织机构信息安全管理保障 框架的内容和工作范围。信息安全管理保障控制使用类-子类-组件的层次化结构,每个信 息安全管理保障控制类反映了信息安全管理保障特定领域工作的范围和内容,是信息安全管 理保障特定领域工作最佳实践的总结。在本部分中,共包含了12个信息安全管理保障控制 类,它们解决了信息安全管理保障中“做什么”这个关于内容和范围的答复。 b) “安全管理保障能力成熟度级维”由六级能力成熟度级别组成,它代表了组织机构实施信息安 全管理保障控制的能力。安全管理保障能力成熟度级同特定的安全管理保障控制类相结合, 解决了信息安全管理保障中“做得如何好”这个关于能力的答复,同时能力成熟度的持续改进 机制也为组织机构提供了可以持续改进的长效机制。 通过设置这两个相互依赖的维,信息安全管理保障框架在各个能力级别上覆盖了整个安全活动范围。 重要的是,信息安全管理保障框架并不意味着在一个组织在其信息系统生命周期的安全管理实践 中必须执行这个模型中所描述的所有过程,也不意味着执行通用实践的要求。一个组织机构一般可依 据其自身特点选择合适的方式和次序来计划、跟踪、定义、控制和改进它们的过程。然而,由于一些较高 级别的通用实践依赖于较低级别的通用实践,因此组织机构应在试图达到较高级别之前,应首先实现较低级别通用实践。 5.2 信息安全管理保障控制 信息安全管理保障控制建立了组织机构信息安全管理保障框架的内容和工作范围。在信息系统安 全保障评估框架第一部分简介和一般模型中,给出了信息系统安全的三维结构图,即描述了信息系统安 全中保障要素(技术、工程、管理和人员)、信息特征和生命周期三者的关系。信息系统安全管理保障作 为保障要素的一个组成部分,不仅同同处于一个平面的其他保障要素有关联,信息系统安全管理保障更 通过深入至信息系统生命周期的每一个阶段从而保证信息的保密性、完整性和可用性来实现信息系统 的安全。因此,为了完整地对信息系统管理进行评估,就需要将安全管理本身作为评估对象TOE,以风 险和策略为核心,并基于信息系统的生命周期分别针对其每一个阶段的重点建立各种信息安全管理控 制,以确保在信息系统生命周期的整体安全,从而保证了信息系统的安全性。图1描述了信息系统安全 管理保障控制框架。 从图1可见,信息系统安全管理保障控制框架包括三个部分: a) 信息系统安全管理保障应以风险和策略为核心。这也是信息系统安全保障的核心,因此信息 安全策略(MSP)和风险管理(MRM)安全保障控制类作为独立的安全管理保障控制类并作为 所有其他安全管理保障控制类的核心,充分反映了这一基础概念。 b) 信息安全管理保障应覆盖信息系统整个生命周期。信息系统典型的生命周期模型分为规划 组织、开发采购、实施交付、运行维护、废弃五个阶段应用于系统产生的闭合循环周期结构。因 此,与之对应并结合了组织机构信息系统的特殊要求,提供了信息安全规划管理(MIP)、系统 开发管理(MSD)、运行管理(MOP)、应急响应管理(MER)以及业务持续和灾难恢复管理 (MBD)信息安全管理保障控制类。 c) 信息系统安全保障管理基础为所有信息系统安全保障管理提供基础的支持。从信息系统安全 保障管理的角度来看,组织机构的信息安全组织机构(MSO)、人员安全(MPS)、资产管理 (MAM)、物理和环境安全(MPE)以及符合性管理(MCM)是所有信息系统安全管理保障活动所必须依赖的基础。 通过上述信息系统安全保障管理框架模型的建立,即信息系统安全保障管理评估对象TOE的建 立,就可以分别对这些具体的信息系统安全保障管理的工作产品或管理过程能力进行评估以达到对信 息系统安全性评估管理评估的具体操作实践和目的。 5.3 信息安全保障管理能力级 在管理保障控制组件中,给出了信息安全管理所涉及的管理保障控制类,它是信息安全管理过程中 提炼出来的最佳的实践反映。管理能力是遵循一个管理过程可达到的可量化范围,通过对组织机构执 行安全管理每个管理保障控制类能力反映了组织机构在执行信息安全管理达到预定的成本、功能和质量目标上的度量。 在管理保障中,信息安全管理能力级模型将列出并描述安全管理的各个能力级别,这样通过对安全 管理保障控制类的执行范围和每个相应安全管理保障控制类的执行能力的综合,就可以更完善地对组 织机构信息安全管理进行科学、公正、可度量分级的评估。 在本部分的信息安全管理能力成熟度级中,共分为以下六个级别: a) 能力级别0:未实施;b) 能力级别1:基本执行; c) 能力级别2:计划和跟踪;d) 能力级别3:充分定义; e) 能力级别4:量化控制;f) 能力级别5:持续改进。 关于信息安全管理能力成熟度级的详细描述,参见本部分的第19章。 6 信息安全管理保障控制类结构 6.1 概述 本章定义了本部分所使用的信息安全管理保障类的结构。信息安全管理保障类以管理保障控制 类、管理保障控制子类、管理保障控制组件以及可选的管理增强元素来表达。 6.2 管理保障控制类结构 每个管理保障控制类包括一个管理保障控制类名、管理保障控制类介绍以及一个或多个管理保障 控制子类。图2描述了本部分中所使用的管理保障控制类的结构。 管理保障控制类结构的详细描述如下: a) 管理保障控制类名:管理保障控制类名提供了标识和划分管理保障控制类所必需的信息,每个 管理保障控制类都有一个唯一的名称。管理保障控制类的分类信息由三个英文字符的简名组 成,此简名将用于该管理保障控制类的子类的简名规范中; b) 管理保障控制类介绍:管理保障控制类介绍部分提供了该管理保障控制类定义、要求和目的 等的整体描述。管理保障控制类介绍中用图来具体描述此控制类中的子类、组件组成结构; c) 管理保障控制子类:管理保障控制子类部分对该管理保障控制类所包含的子类进行了详细描 述。一个管理保障控制类包含了一个或多个管理保障控制子类。 6.3 管理保障控制子类结构 每个管理保障控制子类包含一个管理保障控制子类名、一个安全保障管理目的和一个或多个 实现此安全管理保障目的的管理保障控制组件控制措施组成。图3描述了管理保障控制子类的描述结构。 管理保障控制子类结构的详细描述如下: a) 管理保障控制子类名:管理保障控制子类名部分提供了标识和划分管理保障控制子类所必需 的分类和描述信息,每个管理保障控制子类有一个唯一的名称。管理保障控制子类的分类信 息由七个英文字符的简名组成,前三个英文字符与其所属的管理保障控制类名相同,第四个字 符是下划线用于连接管理保障控制类名和管理保障控制子类名,最后三个英文字符是管理保 障控制子类名,例如XXX_YYY。唯一的简名管理保障控制子类名为管理保障控制组件提供了引用名; b) 安全保障管理目的:安全管理保障目的描述了此管理保障控制子类所要达到的目的; c) 管理保障控制组件:一个管理保障控制子类包含了一个或多个管理保障控制组件。管理保障 控制组件是实现安全管理保障目的的信息安全保障管理控制措施。 6.4 管理保障控制组件结构 管理保障控制组件是实现安全管理保障目的的信息安全保障管理控制措施。每个管理保障控制组 件包括一个管理保障控制组件名、一个管理保障控制组件控制、一个可选的管理保障控制组件注解和一 个或多个可选的管理增强元素组成。图4描述了管理保障控制组件的描述结构。 管理保障控制组件结构的详细描述如下: a) 管理保障控制组件名:管理保障控制组件名用于标识管理保障控制组件。管理保障控制组件 的简名是由管理保障控制子类名,后面使用句点作为连接符,在句点连接符后用阿拉伯数字按 顺序标明不同的组件; b) 管理保障控制组件控制:管理保障控制组件控制部分定义了满足其管理保障控制子类安全管 理保障目的特定的控制措施; c) 管理保障控制组件注解:可选的管理保障控制组件注解部分为该管理保障控制组件提供了进 一步描述性的解释说明以及实施该控制措施的最佳实践的建议等。管理保障控制组件注解中 所提供的最佳实践等内容可能不一定适合所有的情况,本部分的使用者可以根据其自身信息 安全管理保障的特殊需求和要求使用其他更合适的实施方法; d) 管理增强元素:可选的管理增强元素为管理保障控制组件提供了控制强度的措施。管理增强 元素主要用于两种情况: 1) 为管理保障控制组件提供附加但相关的控制;和/或 2) 增加管理保障控制组件的强度。 当组织机构基于风险评估的结果,考虑损失的潜在影响而需要更强大的保护或者需求对 管理保障控制组件进行加强时,可以选择管理增强元素以增加管理保障控制组件的强 度。管理增强元素的简名是由管理保障控制组件名,后面用句点作为连接符,在句点连 接符后用阿拉伯数字按顺序标明不同的元素。 6.5 允许的操作 本部分安全管理保障控制组件可以像在本部分中定义的那样使用,或者通过使用安全保障控制组 件允许的操作,对安全保障管理控制组件进行裁剪,以满足特定的安全策略或对付特定的威胁。安全管 理保障控制组件标识并定义了组件是否允许“赋值”、“选择”和“细化”等操作,在哪些情况下可对组件使 用这些操作,以及使用这些操作的后果。这两种允许的操作如下所述: a) 赋值:当组件被应用时,允许规定所填入的参数; b) 选择:允许从组件表中选定若干项; c) 反复:允许一个组件与不同的操作一起多次使用; d) 细化:允许增加细节。 一些需要的操作可以在ISPP内完成(整体或部分地),或者留在ISST内完成,不过所有操作必须在ISST内完成。 7 MRM管理保障控制类:风险管理 信息安全管理保障是以风险和策略为核心。本类的目的是建立一套风险管理体系,通过对象确立、 风险评估、风险控制三个基本步骤,并将沟通与监控贯穿于这三个步骤中,进行信息安全风险管理与防 范,将系统风险降低到可接受的水平。 7.1 对象确立(MRM_TEM) 7.1.1 安全保障管理目的 根据要保护系统的业务目标和特性,确定风险管理对象。 识别信息系统资产,并评价资产价值。 根据信息系统安全需求,确定风险评价准则。 7.1.2 MRM_TEM.1确定风险管理对象 7.1.2.1 管理保障控制组件控制 确定信息安全风险管理的范围和对象,以及对象的特性和安全要求。 7.1.2.2 管理保障控制组件注解 确定风险管理对象时应综合考虑组织机构的使命、业务、组织结构、管理制度和技术平台,以及国 家、地区或行业的相关政策、法律、法规和标准等。 风险管理对象确定后,应进行进一步的对象调查,主要包括: a) 信息系统调查:调查风险管理对象的业务目标、业务特性、管理特性、技术特性; b) 信息系统分析:分析信息系统的体系结构和关键要素; c) 信息安全分析:分析信息系统的安全环境和安全要求。 7.1.3 MRM_TEM.2识别和评价资产 7.1.3.1 管理保障控制组件控制 识别与风险管理对象相关的系统资产,并根据资产安全价值进行估值。 7.1.3.2 管理保障控制组件注解 对资产估价的过程也就是对资产保密性、完整性和可用性影响分析的过程。应从敏感性、关键性和 昂贵性等方面制定一个资产价值尺度(资产评估标准),以明确如何对资产进行赋值。 7.1.4 MRM_TEM.3制定安全基线 7.1.4.1 管理保障控制组件控制 组织机构应在风险评估前制定系统安全基线。 7.1.4.2 管理保障控制组件注解 所谓安全基线是指满足信息系统的基本安全要求,使系统达到一定安全水平的一组安全控制措施。 制定系统安全基线是有效实施风险评估的前提,制定系统安全基线时应考虑系统使命、系统安全环 境、国家法律法规和系统所属行业的安全要求。 7.2 风险评估(MRM_RAM) 7.2.1 安全保障管理目的 识别、分析和评价信息系统所面临的风险。 7.2.2 MRM_RAM.1识别风险 7.2.2.1 管理保障控制组件控制 组织机构应识别信息系统面临的威胁和存在的脆弱性。 7.2.2.2 管理保障控制组件注解 组织机构应参照威胁库,识别系统资产所面临的威胁;参照漏洞库,识别系统资产存在的脆弱性。 7.2.3 MRM_RAM.2分析风险 7.2.3.1 管理保障控制组件控制 组织机构应分析威胁源动机、威胁行为的能力、脆弱点被利用的可能性以及脆弱点被利用后对系统造成的影响。 7.2.3.2 管理保障控制组件注解 组织机构应根据信息系统调查结果和可能面临的威胁,从利益、复仇、好奇和自负等驱使因素,分析 威胁源动机的强弱;从攻击的强度、广度、速度和深度等方面,分析威胁行为能力的高低;按威胁/脆......
英文版:
GB/T 20274.3-2008
相关标准:
GB/T 20274.1-2023
GB/T 20274.2-2008
GB/T 20274.4-2008
GB/T 20278-2022
GB/T 20275-2021
GB/T 20261-2020
英文版PDF现货:
GB/T 20274.3-2008
GB/T 20274.3-2008