GBZ24364-2009 相关标准英文版PDF, 自动发货

搜索结果: GBZ24364-2009

标准号码	内文	价格美元	第2步(购买)	交付天数	标准名称	详情	状态
GB/Z 24364-2009	英文版	350	GB/Z 24364-2009	3分钟内自动发货[PDF]	信息安全技术信息安全风险管理指南	GB/Z 24364-2009	作废

基本信息
标准编号	GB/Z 24364-2009 (GB/Z24364-2009)
中文名称	信息安全技术信息安全风险管理指南
英文名称	Information security technology -- Guidelines for information security risk management
行业	国家标准
中标分类	L80
国际标准分类	35.040
字数估计	45,454
发布日期	2009-09-30
实施日期	2009-12-01
引用标准	GB 17859-1999; GB/T 18336.2-2008; GB/T 20984-2007; GB/T 22081-2008
标准依据	国家标准批准发布公告2009年第10号(总第150号)
发布机构	中华人民共和国卫生部
范围	本指导性技术文件规定了信息安全风险管理的内容和过程, 为信息系统生命周期不同阶段的信息安全风险管理提供指导。本指导性技术文件适用于指导组织进行信息安全风险管理工作。

GB/Z 24364-2009 ICS ３５．０４０ L８０中华人民共和国国家标准化指导性技术文件 GB ／Z２４３６４-２００９信息安全技术信息安全风险管理指南２００９-０９-３０发布２００９-１２-０１实施中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会发布目次前言 Ⅲ 引言 Ⅳ １　范围１２　规范性引用文件１３　术语和定义１４　信息安全风险管理概述２４．１　信息安全风险管理的范围和对象２４．２　信息安全风险管理的内容和过程２４．３　信息安全风险管理与信息系统生命周期和信息安全目标的关系３４．４　信息安全风险管理相关人员的角色和责任４５　背景建立５５．１　背景建立概述５５．２　背景建立过程５５．３　背景建立文档８６　风险评估８６．１　风险评估概述８６．２　风险评估过程９６．３　风险评估文档１２７　风险处理１３７．１　风险处理概述１３７．２　风险处理过程１４７．３　风险处理文档１７８　批准监督１７８．１　批准监督概述１７８．２　批准监督过程１７８．３　批准监督文档２０９　监控审查２０９．１　监控审查概述２０９．２　监控审查过程２０９．３　监控审查文档２３１０　沟通咨询２３１０．１　沟通咨询概述２３１０．２　沟通咨询过程２４１０．３　沟通咨询文档２７１１　信息系统规划阶段的信息安全风险管理２７１１．１　安全目标和安全需求２７１１．２　风险管理的过程与活动２７１２　信息系统设计阶段的信息安全风险管理２９ GB ／Z２４３６４-２００９１２．１　安全目标和安全需求２９１２．２　风险管理的过程与活动２９１３　信息系统实施阶段的信息安全风险管理３１１３．１　安全目标和安全需求３１１３．２　风险管理的过程与活动３１１４　信息系统运行维护阶段的信息安全风险管理３２１４．１　安全目标和安全需求３２１４．２　风险管理的过程与活动３３１５　信息系统废弃阶段的信息安全风险管理３４１５．１　安全目标和安全需求３４１５．２　风险管理的过程与活动３４附录Ａ（资料性附录）　风险处理参考模型及其需求和措施３６Ａ．１　风险处理参考模型３６Ａ．２　风险处理的需求和措施３６参考文献３９ GB ／Z２４３６４-２００９前言本指导性技术文件的附录Ａ为资料性附录。本指导性技术文件由全国信息安全标准化技术委员会提出并归口。本指导性技术文件起草单位：国家信息中心信息安全研究与服务中心、中国电信股份有限公司北京研究院。本指导性技术文件主要起草人：吴亚非、张鉴、范红、刘蓓、赵阳。 GB ／Z２４３６４-２００９引言一个机构要利用其拥有的资源来完成其使命。在信息时代，信息成为第一战略资源，更是起着至关重要的作用。因此，信息资产的安全是关系到该机构能否完成其使命的大事。资产与风险是天生的一对矛盾，资产价值越高，面临的风险就越大。信息资产有着与传统资产不同的特性，面临着新型风险。信息安全风险管理的目的就是要缓解并平衡这一对矛盾，将风险控制到可接受的程度，保护信息及其相关资产，最终保证机构能够完成其使命。信息安全风险管理是信息安全保障工作中的一项基础性工作，主要表现在以下几方面：信息安全风险管理的思想和措施应体现在信息安全保障体系的技术、组织和管理等全方位。由于在信息安全保障体系的技术、组织和管理等方面都存在着相关风险，因此，在信息安全保障体系中，技术、组织、管理中均应引入风险管理的思想，准确地评估风险并合理地处理风险，共同实现信息安全保障的目标。信息安全风险管理的思想和措施应贯穿于信息系统生命周期的全部过程。信息系统生命周期包括规划、设计、实施、运维和废弃五个阶段。每个阶段都存在着相关风险，同样需要采用信息安全风险管理的思想加以应对，采用风险管理的措施加以控制。信息安全风险管理的思想和措施是贯彻信息安全等级保护制度的有力支撑。信息安全风险管理依据信息安全等级保护的思想和原则，区分主次，平衡成本与效益，合理部署和利用信息安全的保护机制、信任体系、监控体系和应急处理等重要的基础设施，选择并确定合适的安全控制措施，从而保证机构具有完成其使命所需要的信息安全保障能力。为落实国家加强信息安全保障工作的要求，为实施信息安全等级保护制度的需要，制定本指导性技术文件。本指导性技术文件可与GB/T ２０９８４结合使用，并可作为机构建立信息安全管理体系（ＩＳＭＳ）的参考。本指导性技术文件参考了ISO ／IEC ２７００５等国际信息安全风险管理的相关标准，并经过国家有关行业和地区的试点验证。标准针对信息安全风险管理所涉及的背景建立、风险评估、风险处理、批准监督、监控审查、沟通咨询等不同过程进行了综合性描述，对信息安全风险管理在信息系统生命周期各阶段的应用作了系统阐述。本指导性技术文件条款中所指的“风险管理”，其含义均为“信息安全风险管理”。本指导性技术文件中列出的带书名号的文档是示范性的，其格式和详细内容未作规范。 GB ／Z２４３６４-２００９信息安全技术信息安全风险管理指南１　范围本指导性技术文件规定了信息安全风险管理的内容和过程，为信息系统生命周期不同阶段的信息安全风险管理提供指导。本指导性技术文件适用于指导组织进行信息安全风险管理工作。２　规范性引用文件下列文件中的条款通过本指导性技术文件的引用而成为本指导性技术文件的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本指导性技术文件，然而，鼓励根据本指导性技术文件达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本指导性技术文件。 GB １７８５９-１９９９　计算机信息系统安全保护等级划分准则 GB/T １８３３６．２-２００８　信息技术　安全技术　信息技术安全性评估准则　第２部分：安全功能要求（ISO ／IEC １５４０８-２：２００５，ＩＤＴ） GB/T ２０９８４-２００７　信息安全技术　信息安全风险评估规范 GB/T ２２０８１-２００８　信息技术　安全技术　信息安全管理实用规则（ISO ／IEC ２７００２：２００５，ＩＤＴ）３　术语和定义下列术语和定义适用于本指导性技术文件。３．１数据或资源的特性，被授权实体按要求能访问和使用数据或资源。［GB/T ２０９８４］３．２数据所具有的特性，即表示数据所达到的未提供或未泄露给非授权的个人、过程或其他实体的程度。［GB/T ２０９８４］３．３人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。［GB/T ２０９８４］３．４保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。［GB/T ２０９８４］ GB ／Z２４３６４-２００９３．５事态的概率及其结果的组合。［GB/T ２２０８１］３．６识别、控制、消除或最小化可能影响系统资源的不确定因素的过程。３．７选择并且执行措施来更改风险的过程。［GB/T ２２０８１］４　信息安全风险管理概述４．１　信息安全风险管理的范围和对象信息安全的概念涵盖了信息、信息载体和信息环境３个方面的安全。信息指信息系统中采集、处理、存储的数据和文件等内容；信息载体指承载信息的媒介，即用于记录、传输、积累和保存信息的实体；信息环境指信息及信息载体所处的环境，包括物理平台、系统平台、网络平台和应用平台等硬环境和软环境。信息安全风险管理是基于风险的信息安全管理，也就是，始终以风险为主线进行信息安全的管理。从概念上讲，信息安全风险管理应该涉及信息安全上述３个方面（信息、信息载体和信息环境）中包含的所有相关对象。然而对于一个具体的信息系统，信息安全风险管理可能主要涉及该信息系统的关键和敏感部分。因此，根据实际信息系统的不同，信息安全风险管理的侧重点，即风险管理选择的范围和对象重点应有所不同。４．２　信息安全风险管理的内容和过程信息安全风险管理包括背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询６个方面的内容。背景建立、风险评估、风险处理和批准监督是信息安全风险管理的４个基本步骤，监控审查和沟通咨询则贯穿于这４个基本步骤中，如图１所示。图１　信息安全风险管理的内容和过程第一步骤是背景建立，确定风险管理的对象和范围，确立实施风险管理的准备，进行相关信息的调 GB ／Z２４３６４-２００９查和分析。第二步骤是风险评估，针对确立的风险管理对象所面临的风险进行识别、分析和评价。第三步骤是风险处理，依据风险评估的结果，选择和实施合适的安全措施。第四步骤是批准监督，机构的决策层依据风险评估和风险处理的结果是否满足信息系统的安全要求，做出是否认可风险管理活动的决定。当受保护系统的业务目标和特性发生变化或面临新的风险时，需要再次进入上述４个步骤，形成新的一次循环。监控审查对上述４个步骤进行监控和审查。监控是监视和控制上述４个步骤的过程有效性和成本有效性；审查是跟踪受保护系统自身或所处环境的变化，以保证上述４个步骤的结果有效性和符合性。沟通咨询为上述４个步骤的相关人员提供沟通和咨询。沟通是为上述过程参与人员提供交流途径，以保持相关人员之间的协调一致，共同实现安全目标。咨询是为上述过程所有相关人员提供学习途径，以提高人员的风险意识和知识，配合实现安全目标。背景建立、风险评估、风险处理、批准监督、监控审查、沟通咨询构成了一个螺旋式上升的循环，使得受保护系统在自身和环境的变化中能够不断应对新的安全需求和风险。在本指导性技术文件的第５章到第１０章，对信息安全风险管理实施过程上述６个步骤的概念、过程、工作内容、输出文档等进行了阐述。４．３　信息安全风险管理与信息系统生命周期和信息安全目标的关系４．３．１　信息系统生命周期信息系统生命周期是某一信息系统从无到有，再到扬弃的整个过程，包括规划、设计、实施、运行维护和废弃５个基本阶段。在规划阶段，确定信息系统的目的、范围和需求，分析和论证可行性，提出总体方案。在设计阶段，依据总体方案，设计信息系统的实现结构（包括功能划分、接口协议和性能指标等）和实施方案（包括实现技术、设备选型和系统集成等）。在实施阶段，按照实施方案，购买和检测设备，开发定制功能，集成、部署、配置和测试系统，培训人员等。在运行维护阶段，运行和维护系统保证信息系统在自身和所处环境的变化中始终能够正常工作和不断升级。在废弃阶段，对信息系统的整体或信息系统过时或无用部分进行报废处理。当信息系统的业务目标和需求发生变化时，或技术和管理环境发生变化时，需要再次进入上述５个阶段，形成新的一次循环。因此，规划、设计、实施、运行维护和废弃构成了一个螺旋式上升的循环，使得信息系统不断适应自身和环境的变化。４．３．２　信息安全目标信息安全目标就是要实现信息系统的基本安全特性（即信息安全基本属性），并达到所需的保障级别。信息安全基本属性包括保密性、完整性、可用性、真实性和抗抵赖性等，每一属性都有相应的保障级别作为其强度的度量，如图２所示。图２　信息安全基本属性及其保障级别保密性指信息与信息系统不被非授权者所获取或利用的特性，包括数据保密和访问控制等方面。完整性指信息与信息系统真实、准确和完备，不被冒充、伪造和篡改的特性，包括身份真实、数据完整和系统完整等方面。可用性指信息与信息系统可被授权者在需要的时候访问和使用的特性。真实性指确保主体或资源的身份正是所声称的特性。抗抵赖性指一个实体不能够否认其行为的特性，可以支持责 GB ／Z２４３６４-２００９任追究、威慑作用和法律行动等。保障级别指保密性、完整性、可用性、真实性和抗抵赖性在具体实现中达到的级别或强度，可以作为安全信任度的尺度。信息系统的安全保障级别主要是通过对信息系统进行安全测评和认证来确定的。４．３．３　三者关系信息安全风险管理与信息系统生命周期和信息安全目标之间的关系可简要表述为，信息系统生命周期的每个阶段，为了达到其信息安全目标，都需要相应的信息安全风险管理手段作为支持。信息系统生命周期各阶段的特性及其信息安全目标的保障级别随行业特点和系统特性的不同而不同，也就是说，不同行业下的不同系统在信息系统生命周期的不同阶段，对信息安全基本属性（即保密性、完整性、可用性、真实性和抗抵赖性）的要求和侧重不同。因此，可在本指导性技术文件指导下开发行业的信息安全风险管理规范。对于信息安全目标的保障级别应遵循国家信息安全等级保护制度的要求，具体可参照GB １７８５９-１９９９。在本指导性技术文件的第１１章到第１５章，对信息系统生命周期各个阶段的安全需求和目标，以及相应的信息安全风险管理主要过程和活动进行了阐述。４．４　信息安全风险管理相关人员的角色和责任信息安全风险管理是基于风险的信息系统安全管理。因此，信息安全风险管理涉及人员，既包括信息安全风险管理的直接参与人员，也包括信息系统的相关人员。表１对信息安全风险管理相关人员的角色和责任进行了归纳和分类。表１　信息安全风险管理相关人员的角色和责任层面信息系统信息安全风险管理角色内外部责任角色内外部责任决策层决策人员内负责信息系统的重大决策和总体规范决策人员内负责信息安全风险管理的重大决策、总体规划和批准监督管理层管理人员内负责信息系统各方面的管理、组织和协调管理人员内负责信息安全风险管理各过程中的管理、组织和协调执行层规划设计人员内或外负责信息系统的规划和设计建设人员内或外负责信息系统的建设和实施运行人员内负责信息系统的日常运行和操作维护人员内或外负责信息系统的日常维护，包括维修和升级执行人员内或外负责信息安全风险管理的具体规划、设计和实施监控人员内负责信息系统的监视和控制监控人员内负责信息安全风险管理过程、成本和结果的监视和控制支持层支持人员外为信息系统提供专业技术支持，包括咨询、培训、测评和工具定制等服务支持人员外为信息安全风险管理提供专业技术支持，包括咨询、培训、测评和工具定制等服务用户层使用人员内或外利用信息系统完成自身的任务使用人员内或外遵循信息安全风险管理的原则和过程使用信息系统，并反馈信息安全风险管理的效果 GB ／Z２４３６４-２００９５　背景建立５．１　背景建立概述５．１．１　背景建立的概念背景建立是信息安全风险管理的第一步骤，确定风险管理的对象和范围，确立实施风险管理的准备，进行相关信息的调查和分析。５．１．２　背景建立的目的背景建立是为了明确信息安全风险管理的范围和对象，以及对象的特性和安全要求，对信息安全风险管理项目进行规划和准备，保障后续的风险管理活动顺利进行。５．１．３　背景建立的依据国家、地区或行业的相关政策、法律、法规和标准以及信息系统的业务目标和特性都是背景建立的必要依据。５．２　背景建立过程背景建立的过程包括风险管理准备、信息系统调查、信息系统分析和信息安全分析４个阶段。在信息安全风险管理过程中，背景建立过程是一次信息安全风险管理主循环的起始，为风险评估提供输入，监控审查和沟通咨询贯穿其４个阶段，如图３所示。图３　背景建立过程及其在信息安全风险管理中的位置５．２．１　风险管理准备如图４所示，风险管理准备阶段的工作过程和内容如下：ａ）　确定风险管理对象。依据机构的使命，并遵循国家、地区或行业的相关政策、法律、法规和标准的规定，确定将要实施风险管理的对象。 GB ／Z２４３６４-２００９ｂ）　组建风险管理团队。组建风险管理团队，确定团队成员、组织结构、角色、责任等内容。ｃ）　制定风险管理计划。制定风险管理的实施计划，包括风险管理的目的、意义、范围、目标、组织结构、实施方案、经费预算和进度安排等，形成风险管理计划书。ｄ）　获得支持。上述所有内容确定后，风险管理计划书应得到组织最高管理者的支持和批准；由决策层对管理层和执行层进行传达，在组织范围就风险管理相关内容进行培训，以明确有关人员在风险管理中的任务。图４　风险管理准备阶段的过程及其输入输出５．２．２　信息系统调查如图５所示，信息系统调查阶段的工作过程和内容如下：ａ）　调查信息系统的业务目标。了解机构的使命，包括战略背景和战略目标等，从中明确支持机构完成其使命的信息系统的业务目标。ｂ）　调查信息系统的业务特性。了解机构的业务，包括业务内容和业务流程等，从中明确支持机构业务运营的信息系统的业务特性。ｃ）　调查信息系统的管理特性。了解机构的组织结构和管理制度，包括岗位设置、责任分配、规章制度、操作规程和人事管理等，从中明确支持机构业务运营的信息系统的管理特性。ｄ）　调查信息系统的技术特性。了解信息系统的技术平台，包括物理平台、系统平台、通信平台、网络平台和应用平台，从中明确支持业务运营的信息系统的技术特性。ｅ）　汇总上述调查结果，形成信息系统的描述报告，其中包含信息系统的业务目标、业务特性、管理特性和技术特性等方面的内容。信息系统的调查方式包括问卷回答、人员访谈、现场考察、辅助工具等多种形式，可以根据实际情况灵活采用和结合使用。 GB ／Z２４３６４-２００９图５　信息系统调查阶段的过程及其输入输出５．２．３　信息系统分析如图６所示，信息系统分析阶段的工作过程和内容如下：ａ）　分析信息系统的体系结构。依据信息系统的描述报告，对信息系统的功能体系、数据体系、网络体系、运营体系和管理体系等方面进行分析，明确它们的内部结构和外部关系。ｂ）　分析信息系统的关键要素。依据信息系统的描述报告和上述体系结构的分析结果，找出信息系统中对机构使命具有关键和重要作用的部分，列出清单。ｃ）　汇总上述分析结果，形成信息系统的分析报告，其中包含信息系统的体系结构和关键要素等方面的内容。图６　信息系统分析阶段的过程及其输入输出５．２．４　信息安全分析如图７所示，信息安全分析阶段的工作过程和内容如下：ａ）　分析信息系统的安全环境。依据国家、地区或行业的相关政策、法律、法规和标准，考虑合作伙伴的合同要求，对信息系统的安全保障环境进行分析，明确环境因素对信息系统安全方面的影响和要求。ｂ）　分析信息系统的安全要求。依据信息系统的描述报告和信息系统的分析报告，结合上述安全 GB ／Z２４３６４-２００９环境的分析结果，分析和提出对信息系统的安全要求，包括保护范围和保护等级等。ｃ）　汇总上述分析结果，形成信息系统的安全要求报告，其中包含信息系统的安全环境和安全要求等方面的内容。图７　信息安全分析阶段的过程及其输入输出５．３　背景建立文档表２列出了背景建立过程的输出文档及其内容。输出文档的数量、名称和主要内容可以根据机构具体情况进行增加、删减或修改，......

英文网页English: GBZ24364-2009

相关标准: GB/T 25068.1 | GB/T 19713 | GB/T 37027 | GB/T 24364 | GBZ24364-2009 | GBZ24364 |