犐犆犛３５．０４０

犔８０

中華人民共和國國家標準

犌犅／犜１９７１６—２００５

信息技術信息安全管理實用規則

犐狀犳狅狉犿犪狋犻狅狀狋犲犮犺狀狅犾狅犵狔—犆狅犱犲狅犳狆狉犪犮狋犻犮犲犳狅狉

犻狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔犿犪狀犪犵犲犿犲狀狋

（ＩＳＯ／ＩＥＣ１７７９９：２０００，ＭＯＤ）

２００５０４１９發布２００５１００１實施

中華人民共和國國家質量監督檢驗檢疫總局

發布

中國國家標準化管理委員會

書

中華人民共和國

國家標準

信息技術信息安全管理實用規則

ＧＢ／Ｔ１９７１６—２００５

中國標準出版社出版發行

北京西城區復興門外三里河北街１６號

郵政編碼：１０００４５

ｈｔｔｐ：／／ｗｗｗ．ｓｐｃ．ｎｅｔ．ｃｎ

電話：６３７８７３３７、６３７８７４４７

２００５年８月第一版２００５年８月電子版制作

書號：１５５０６６·１２３０５８

版權專有侵權必究

舉報電話：（０１０）６８５３３５３３

書

犌犅／犜１９７１６—２００５

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅳ

１范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

２術語和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

２．１信息安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

２．２風險評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

２．３風險管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

３安全策略!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

３．１信息安全策略!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

４組織的安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２

４．１信息安全基礎設施!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２

４．２第三方訪問的安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４

４．３外包!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５

５資產分類和控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６

５．１資產的可核查性!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６

５．２信息分類!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６

６人員安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７

６．１崗位設定和人力資源的安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!７

６．２用戶培訓!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!８

６．３對安全事故和故障的響應!!!!!!!!!!!!!!!!!!!!!!!!!!!!!８

７物理和環境的安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!９

７．１安全區域!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!９

７．２設備安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１１

７．３一般控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１３

８通信和操作管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１３

８．１操作規程和職責!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１３

８．２系統規劃和驗收!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１６

８．３防范惡意軟件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１６

８．４內務處理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１７

８．５網絡管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１８

８．６媒體處置和安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１８

８．７信息和軟件的交換!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１９

９訪問控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２２

９．１訪問控制的業務要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２２

９．２用戶訪問管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２３

９．３用戶職責!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２４

９．４網絡訪問控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２５

９．５操作系統訪問控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２７

Ⅰ

書

犌犅／犜１９７１６—２００５

９．６應用訪問控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２９

９．７對系統訪問和使用的監督!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３０

９．８移動計算和遠程工作!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３１

１０系統開發和維護!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３２

１０．１系統的安全要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３２

１０．２應用系統的安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３３

１０．３密碼控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３４

１０．４系統文件的安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３６

１０．５開發和支持過程的安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３７

１１業務連續性管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３８

１１．１業務連續性管理的各方面!!!!!!!!!!!!!!!!!!!!!!!!!!!!３８

１２符合性!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４０

１２．１符合法律要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４０

１２．２安全策略和技術符合性的評審!!!!!!!!!!!!!!!!!!!!!!!!!!４３

１２．３系統審核考慮!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４３

Ⅱ

犌犅／犜１９７１６—２００５

前言

本標準修改采用ＩＳＯ／ＩＥＣ１７７９９：２０００《信息技術信息安全管理實用規則》（英文版）。

本標準適當做了一些修改：在１２．１．６中增加了“ａ）使用國家主管部門審批的密碼算法和密碼產

品”，作為修改內容。

本標準由中華人民共和國信息產業部提出。

本標準由全國信息安全標準化技術委員會歸口。

本標準由中國電子技術標準化研究所、中國電子科技集團第三十研究所、上海三零衛士信息安全有

限公司、中國電子科技集團第１５研究所、北京思樂信息技術有限公司負責起草。

本標準主要起草人：黃家英、林望重、魏忠、林中、王新杰、羅鋒盈、陳星。

Ⅲ

犌犅／犜１９７１６—２００５

引言

什么是信息安全？

像其他重要業務資產一樣，信息也是一種資產。它對一個組織具有價值，因此需要加以合適地保

護。信息安全防止信息受到的各種威脅，以確保業務連續性，使業務損害減至最小，使投資回報和業務

機會最大。

信息可能以各種形式存在。它可以打印或寫在紙上、以電子方式存儲、用郵寄或電子手段發送、呈

現在膠片上或用言語表達。無論信息采用什么形式或者用什么方法存儲或共享，都應對它進行適當地

保護。

信息安全在此表現為保持下列特征：

ａ）保密性：確保信息僅被已授權訪問的人訪問；

ｂ）完整性：保護信息及處理方法的準確性和完備性；

ｃ）可用性：確保已授權用戶在需要時可以訪問信息和相關資產。

信息安全是通過實現一組合適控制獲得的。控制可以是策略、慣例、規程、組織結構和軟件功能。

需要建立這些控制，以確保滿足該組織的特定安全目標。

為什么需要信息安全？

信息和支持過程，系統和網絡都是重要的業務資產。信息的保密性、完整性和可用性對維持競爭優

勢、現金流轉、贏利、守法和商業形象可能是必不可少的。

各組織及其信息系統和網絡日益面臨來自各個方面的安全威脅。這些方面包括計算機輔助欺詐、

間諜活動、惡意破壞、毀壞行為、火災或水災。諸如計算機病毒、計算機黑客搗亂和拒絕服務攻擊，已經

變得更普遍、更有野心和日益高科技。

對信息系統和服務的依賴意味著組織對安全威脅更為脆弱。公共網絡和專用網絡的互連和信息資

源的共享增加了實現訪問控制的難度。分布式計算的趨勢已削弱集中式控制的有效性。

許多信息系統已不再單純追求設計成安全的，因為通過技術手段可獲得的安全性是有限的。應該

用合適的管理和規程給予支持。標識哪些控制要到位需要仔細規劃并注意細節。信息安全管理至少需

要該組織內的所有員工參與，還可能要求供應商、消費者或股票持有人的參與。外界組織的專家建議可

能也是需要的。

如果在制定要求規范和設計階段把信息安全控制結合進去，那么，該信息安全控制就會更加經濟和

更加有效。

如何建立安全要求

最重要的是組織標識出它的安全要求。有三個主要來源。

第一個來源是由評估該組織的風險所獲得的。通過風險評估，標識出對資產的威脅，評價易受威脅

的脆弱性和威脅出現的可能性和預測威脅潛在的影響。

第二個來源是組織、貿易伙伴、合同方和服務提供者必須滿足的法律、法規、規章和合同的要求。

第三個來源是組織開發支持其運行的信息處理的特定原則、目標和要求的特定集合。

評估安全風險

安全要求是通過安全風險的系統性評估予以標識。用于控制的經費需要針對可能由安全故障導致

Ⅳ

犌犅／犜１９７１６—２００５

的業務損害加以平衡。風險評估技術可適用于整個組織，或僅適用于組織的某些部門，若這樣做切實可

行、現實和有幫助，該技術也適用于各個信息系統、特定系統部件或服務。

風險評估要系統地考慮以下內容：

ａ）可能由安全故障導致的業務損害，要考慮到信息或其他資產的保密性、完整性或可用性喪失的

潛在后果；

ｂ）從最常見的威脅和脆弱性以及當前所實現的控制來看，有出現這樣一種故障的現實可能性。

評估的結果將幫助指導和確定合適的管理行動，以及管理信息安全風險和實現所選擇控制的優先

級，以防范這些風險。評估風險和選擇控制的過程可能需要進行許多次，以便涵蓋組織的不同部門或各

個信息系統。

重要的是對安全風險和已實現的控制進行周期性評審，以便：

ａ）考慮業務要求和優先級的變更；

ｂ）考慮新的威脅和脆弱性；

ｃ）證實控制仍然維持有效和合適。

根據先前評估的結果評審宜在不同深度級別進行，以及在管理層準備接受的更改風險級別進行。

作為高風險區域優化資源的一種手段，風險評估通常首先在高級別進行，然后在更細的級別進行，以提

出具體的風險。

選擇控制

一旦安全要求已被標識，則應選擇并實現控制，以確保風險減少到可接受的程度。控制可以從本標

準或其他控制集合中選擇，或者當合適時設計新的控制以滿足特定需求。有許多不同的管理風險的方

法，本標準提供常用方法的若干例子。然而，需要認識到有些控制不適用于每種信息系統或環境，并且

不是對所有組織都可行。作為一個例子，８．１．４描述如何分割責任，以防止欺詐或出錯。在較小的組織

中分割所有責任是不太可能的，獲得相同控制目標的其他方法可能是必要的。作為另一個例子，９．７和

１２．１描述如何監督系統使用及如何收集證據。所描述的控制，例如事件記錄可能與適用的法律相沖

突，諸如消費者或在工作場地內的隱私保護。

控制應根據與風險減少相關的實現成本和潛在損失（如果安全違規出現）予以選擇。也應考慮諸如

喪失信譽等非金錢因素。

本標準中的某些控制可認為是信息安全管理的指導原則，并且可用于大多數組織。下面在題為“信

息安全起點”中更詳細解釋這些控制。

信息安全起點

許多控制可認為是為實現信息安全提供良好起點的指導原則。它們或者是基于重要的法律性要

求，或者被認為是信息安全常用的最佳慣例。

從法律的觀點看，對某個組織重要的控制包括：

ａ）個人信息的數據保護和隱私（見１２．１．４）；

ｂ）保護組織的記錄（見１２．１．３）；

ｃ）知識產權（見１２．１．２）。

認為是信息安全常用最佳慣例的控制包括：

ａ）信息安全策略文檔（見３．１）；

ｂ）信息安全職責的分配（見４．１．３）；

ｃ）信息安全教育和培訓（見６．２．１）；

ｄ）報告安全事故（見６．３．１）；

ｅ）業務連續性管理（見１１．１）。

Ⅴ

犌犅／犜１９７１６—２００５

這些控制適用于大多數組織和環境。應注意，雖然本標準中的所有控制都是重要的，但是從某個組

織正面臨的特定風險來看，應確定任一控制的貼切性。因此，雖然上述方法被認為是一種良好的起點，