一一巧日中华人民共和国国家标准信息技术信息技术安全管理指南第部分管理和规划信息技术安全一发布实施牢瞥臀橇啃臀缝瞥臀发前言信息技术信息技术安全管理指南分为五个部分第部分信息技术安全概念和模型第部分管理和规划信息技术安全第部分信息技术安全管理技术第部分防护措施的选择第部分外部连接的防护措施本部分等同采用国际标准信息技术信息技术安全管理指南第部分管理和规划信息技术安全本部分中的指南提出安全管理的一些基本专题以及这些专题之间的关系这些指南对标识和管理安全各个方面是有用的本部分由中华人民共和国信息产业部提出本部分由全国信息安全标准化技术委员会归口本部分由中国电子技术标准化研究所中国电子科技集团第十五研究所中国电子科技集团第三十研究所上海三零卫士信息安全有限公司负责起草本部分主要起草人安金海林中林望重魏忠罗锋盈陈星引言的目的是提供关于安全管理方面的指南而不是解决方案那些在组织内负责安全的个人应该可以采用本标准中的资料来满足他们特定的需求本标准的主要目标是定义和描述与安全管理相关的概念标识安全管理和一般的管理之间的关系提出了几个可用来解释安全的模型提供了关于安全管理的一般的指南本标准由多个部分组成第部分提供了描述安全管理用的基本概念和模型的概述本部分适用于负责安全的管理者及那些负责组织的总体安全大纲的管理者本部分描述了管理和规划方面它和负责组织的系统的管理者相关他们可以是负责监督系统的设计实施测试采购或运行的管理者负责制定系统的实际使用活动的管理者当然还有负责安全的管理者第部分描述了在一个项目的生存周期比如规划设计实施测试采办或运行所涉及的管理活动中适于使用的安全技术第部分提供了选择防护措施的指南以及通过基线模型和控制的使用如何受到支持它也描述了它如何补充了第部分中描述的安全技术如何使用附加的评估方法来选择防护措施第部分为组织提供了将它的系统连接到外部网络的指南该指南包含了提供连接安全的防护措施的选择使用那些连接所支持的服务以及进行连接的系统的附加防护措施八信息技术信息技术安全管理指南第部分管理和规划信息技术安全范围的本部分提出安全管理的一些基本专题以及这些专题之间的关系这些部分对标识和管理安全各个方面是有用的熟悉第部分所介绍的概念和模型对全面理解本部分是重要的规范性引用文件下列文件中的条款通过的本部分的引用而成为本部分的条款凡是注日期的引用文件其随后所有的修改单不包括勘误的内容或修订版均不适用于本部分然而鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本凡是不注日期的引用文件其最新版本适用于本部分信息技术信息技术安全管理指南第部分信息技术安全概念和模型术语和定义确立的术语和定义适用于本部分使用其下列术语可核查性资产真实性可用性基线控制保密性数据完整性影响完整性安全安全策略可靠性残留风险风险风险分析风险管理防护措施系统完整性威胁脆弱性结构本部分有章第章和第章提供有关本文件目的和背景方面的信息第章提供成功的安全管理中所涉及的各种活动的概述第章到第章详述这些活动第章提供小结目的本部分的目的是要提出与安全管理和规划有关的各种活动以及组织中有关的角色和职责这一般与负责系统采购设计实现或运行的管理人员有关除了安全管理人员外还与负责使系统具体使用活动的管理人员有关总之本部分对与组织系统有关的负管理责任的任何人是有用的背景为进行业务活动政府和商业组织极其依赖信息的使用信息和服务的保密性完整性可用性可核查性真实性和可靠性的损失会给组织带来负面影响因此在组织中对保护信息和管理信息技术的安全有着重要的需求在现今环境中保护信息的这一要求尤为重要因为许多组织通过系统的网络进行内部和外部的连接安全管理是用来实现和维护保密性完整性可用性可核查性真实性和可靠性相应等级过程的安全管理功能包括确定组织安全目标战略和策略八确定组织安全要求标识和分析对组织内资产的安全威胁和资产的脆弱性标识和分析安全风险规定合适的防护措施监督防护措施的实现和运作使费用花在有效保护组织内的信息和服务所必需的防护措施上制订和实施安全意识大纲对事故的检测和反应为了履行系统的这些管理职责安全必须是组织的整个管理规划不可分的组成部分并被集成到组织所有的职能过程中因此本部分所提出的若干安全专题具有广泛的管理内涵本部分将不关注广泛的管理问题而是这些专题的安全方面以及它们与管理的关系如何安全管理规划和管理过程概述安全规划和管理是制订和维护组织内安全大纲的全面过程图示出此过程中的主要活动由于管理风格组织规模和结构不同应对此过程予以剪裁以适应使用此过程的环境重要的是要根据组织的风格规模和结构及其进行业务的方式采用图所标识的各种活动和功能这意味着进行管理评审是所有这些活动和功能的一部分起点是要制订组织安全目标的清晰视图这些目标是根据更高层目标例如业务目标得到的然后依次产生组织的安全战略和总体安全策略详见第章由此部分总体安全策略创建合适的组织结构保证能够实现所规定的目标图安全规划和管理概述八风险管理概述风险管理包括四种不同的活动在总体安全策略上下文内确定适合于组织的全面风险管理战略作为风险分析活动的结果或按照基线控制选用适用于各个系统的防护措施根据安全建议形成系统安全策略以及在必要时更新总体安全策略和合适时更新部门安全策略根据批准的系统安全策略制订安全计划以实现防护措施实现概述应按安全计划实现每个系统所必须的防护措施全面改善安全意识虽然常被忽视对防护措施的有效性而言是个重要方面图清楚地表明两项工作即防护措施实现和安全意识大纲应并行运作这是因为用户行为不可能很快改变需要在一个较长的时期内不断提高安全意识后续活动概述第章中提出的后续活动包括维护防护措施以保证其连续而有效地运行检查以保证防护措施符合已批准的策略和计划监督资产威胁脆弱性和防护措施的变异以检测可能影响风险的变化事故处理以保证对不希望事件的合适反应后续活动是项持续的工作它应包括早期决定的重新评估结合安全如果在组织内全面开展安全活动并且从系统生存周期开始那么这些活动就能发挥最大效用安全过程本身就是一个主要的活动周期并应与系统生存周期的各个阶段相结合虽然在新系统一开始就结合安全才会最有效但是传统系统和业务活动也会因为在任何阶段及时结合安全而受益系统生存周期可划分为三个基本阶段每个阶段通过以下途径与安全联系计划在做出活动计划和决定期间应处理安全要求获得安全要求应与系统设计开发采购升级或另行构建的过程相结合安全要求与这些活动相结合保证在合适的时间将成本有效安全特性加人系统而不滞后运行安全应与运行环境相结合当用系统执行其预期任务时一般要经历一系列升级包括采购新的硬件或修改或增加软件除此之外运行环境经常改变环境的这些变化可能产生新的系统脆弱性对此应予以分析和评估要么想法减轻要么接受同等重要的是系统的安全处置或重新指派安全应是在系统生存周期阶段内和之间的具有许多反馈的持续过程在图中仅示出了总的反馈通路在大部分情况中反馈还会出现在安全过程各主要活动内和之间这提供有关系统脆弱性威胁和防护措施贯穿系统生存周期三个阶段的持续信息流还值得注意的是每个组织业务范围可以标识独特的安全要求这些范围应相互支持并通过分享能用来支持管理决策形成过程的安全方面的信息支持整个安全过程总体安全策略目标可以为组织的每个层次和每个业务单位或部门定义目标要实现什么战略如何实现这些目标和策略实现这些目标的规则为了实现有效的安全调整每个组织层次和业务单位的各个目标战略和策略是必要的虽然相应文件受不同观点影响但是相应文件之间的一致性是重要的因为许多威胁例如系统被黑客攻击文件删除和火灾是共同的业务问题管理承诺高层管理对安全的承诺是重要的并应产生正式协议并记录总体安全策略总体安全策略应根据总体安全策略派生出来策略关系若合适总体安全策略可以包含在总体技术和管理的范围内共同形成总体安全战略报告的基础此报告应对安全重要性特别是安全对符合战略是否必要作出有说服力的表述图示出了各种策略之间的关系没有考虑组织使用的文件和组织结构重要的是提供所述策略的不同消息和维护一致性另外特定系统和服务或一组系统和服务要求更详细的安全策略这些通常称之为系统安全策略它是重要的管理方面其范围和界限是清晰地定义并且以业务和技术理由为基础的茸卜部门安全策略图策略关系总体安全策略要素总体安全策略至少应包括下列专题安全要求例如在保密性完整性可用性真实性可核查性和可靠性方面特别是与资产拥有者意图有关方面组织基础设施和职责的分配安全与系统开发和采购的结合指令和规程信息分类的级别定义风险管理战略应急计划人员问题对要求信赖的岗位上的人员应予以特别注意例如维护人员和系统管理人员意识和培训法律和规章责任外包管理事故处理八安全的组织方面角色和职责安全是一项跨学科的课题并与组织内的项目系统和所有用户有关职责的合理分配和划分应保证完成所有重要工作任务和有效的方法履行这些职责虽然可根据组织的规模和结构通过不同的组织方案达到此目的但在每个组织中需要包含下列角色安全管理协调小组它一般解决跨学科问题并审批指令和标准高层安全官员他起到组织内所有安全方面的聚集点的作用安全管理协调小组和高层安全官员应具有明确规定的职责并是足够资深的人以保证对总体安全策略的承诺组织应为高层安全官员提供清晰的通信线路角色和职权责任应由安全管理协调小组审批可通过使用外部顾问补充完成这些责任图示出了一个典型的高层安全官员安全管理协调小组和代表之间关系的例子其中代表来自组织其他方面例如其他的安全职能用户委员会和人员这些关系可以是分层管理或功能管理的图所述的安全组织的例子使用三个组织层分层管理是便于组织采纳的它可以根据自己的需求增加或删除层次对于小的媒体组织可以选择只有一名高层安全官员承担所有安全角色的职责当将这些功能组合在一起时重要的是要保证维护合适的检查和平衡以避免没有施加影响或控制的可能而将太大的权力集中在一个人手中一管理协调小组尸策略和指令一部门安全二竺竺卫兰竺一策略和指令图示符号系统项目级作用升一卜声二一组织的匕仅当部门为有充足规模项目或系统安全策略图安全组织的例子安全管理协调小组这个管理协调小组应由具有标识要求制订策略起草安全大纲评审成果以及指导高层安全官员必要技能的人员组成可以用已经有的合适管理协调小组或独立的安全管理协调小组这种管理协调小组或委员会的任务是向指导委员会提供有关战略性安全计划的建议制订总体安全策略以支持战略并获得指导委员会的批准将总体安全策略转化为安全大纲监督安全大纲的实施评审总体安全策略的有效性提高对安全问题的意识提出关于支持计划过程和安全大纲实现所需资源方面人力财力知识等的建议为了有效起见此管理协调小组应包括具有系统安全和技术背景的成员以及系统提供者和用户的代表需要这些领域的知识和技能制订实用的总体安全策略高层安全官员因为共同承担安全责任结果会发生没有一个人感到有责任的风险为了避免这种风险应指定专人负责高层安全官员应起到组织内所有安全方面的聚焦点作用可能已经有一个合适的人能担任