標準解讀

GB/T 20274.3-2008是中國關于信息安全技術領域的一個重要標準,專注于信息系統安全保障評估框架中的管理保障部分。該標準為組織和機構提供了在設計、實施、監控及改進信息安全管理體系(ISMS)時應遵循的指導原則和要求,確保信息系統的安全性和可靠性。

標準核心內容

  1. 范圍與適用性:本部分標準明確了管理保障的范疇,適用于各類組織的信息系統,特別是那些需要確保信息資產保護、維持業務連續性和符合法律法規要求的組織。它強調了高級管理層的參與和責任,以及信息安全政策與業務戰略的一致性。

  2. 管理保障概念:解釋了管理保障作為信息安全保障四大支柱(技術、操作、管理、法律)之一的重要性。管理保障關注于建立一個有效的安全管理環境,包括策略、規劃、組織結構、責任分配、培訓與意識提升等方面。

  3. 管理要求:詳細列出了實現有效管理保障所需的關鍵要素,如:

    • 信息安全策略:制定全面的信息安全策略,明確安全目標、原則和要求。
    • 信息安全組織:建立或指定負責信息安全管理的組織結構和角色,包括信息安全官的角色和職責。
    • 風險管理:實施風險評估和管理流程,識別、分析信息安全風險,并采取措施來處理這些風險。
    • 合規性管理:確保信息安全管理活動符合內外部的法律法規、行業標準和最佳實踐。
    • 人員安全:通過培訓、意識提升和適當的訪問控制來管理人力資源相關的安全風險。
    • 第三方管理:對供應商和服務提供商進行安全管理和監督,確保它們滿足組織的安全要求。

  4. 實施指南:提供了將上述管理要求轉化為具體行動的指南,包括如何制定策略、如何構建風險管理機制、如何執行安全審計和持續改進等。

  5. 評估方法:介紹了如何根據標準要求對組織的信息系統管理保障能力進行自我評估或第三方評估,包括評估的準備、實施、報告和后續改進過程。

實施意義

遵循此標準,組織能夠系統地識別和解決管理層面的信息安全問題,不僅增強了信息資產的保護,還提升了整體業務的穩定性和競爭力。它促進了信息安全從被動應對向主動管理的轉變,確保信息安全策略與組織的戰略目標相協調,同時提高了對外部威脅和內部弱點的應對能力。


如需獲取更多詳盡信息,請直接參考下方經官方授權發布的權威標準文檔。

....

查看全部

  • 現行
  • 正在執行有效
  • 2008-07-18 頒布
  • 2008-12-01 實施
?正版授權
GB/T 20274.3-2008信息安全技術信息系統安全保障評估框架第3部分:管理保障_第1頁
GB/T 20274.3-2008信息安全技術信息系統安全保障評估框架第3部分:管理保障_第2頁
GB/T 20274.3-2008信息安全技術信息系統安全保障評估框架第3部分:管理保障_第3頁
GB/T 20274.3-2008信息安全技術信息系統安全保障評估框架第3部分:管理保障_第4頁
GB/T 20274.3-2008信息安全技術信息系統安全保障評估框架第3部分:管理保障_第5頁
免費預覽已結束,剩余59頁可下載查看

下載本文檔

GB/T 20274.3-2008信息安全技術信息系統安全保障評估框架第3部分:管理保障-免費下載試讀頁

文檔簡介

犐犆犛35.040

犔80

中華人民共和國國家標準

犌犅/犜20274.3—2008

信息安全技術

信息系統安全保障評估框架

第3部分:管理保障

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—

犈狏犪犾狌犪狋犻狅狀犳狉犪犿犲狑狅狉犽犳狅狉犻狀犳狅狉犿犪狋犻狅狀狊狔狊狋犲犿狊狊犲犮狌狉犻狋狔犪狊狊狌狉犪狀犮犲—

犘犪狉狋3:犕犪狀犪犵犲犿犲狀狋犪狊狊狌狉犪狀犮犲

20080718發布20081201實施

中華人民共和國國家質量監督檢驗檢疫總局

發布

中國國家標準化管理委員會

犌犅/犜20274.3—2008

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ

1范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2規范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3術語和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4本部分的結構!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

5信息安全管理保障框架!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.1信息管理保障概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.2信息安全管理保障控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.3信息安全保障管理能力級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

6信息安全管理保障控制類結構!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

6.1概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

6.2管理保障控制類結構!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

6.3管理保障控制子類結構!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

6.4管理保障控制組件結構!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

6.5允許的操作!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

7MRM管理保障控制類:風險管理!!!!!!!!!!!!!!!!!!!!!!!!!!!6

7.1對象確立(MRM_TEM)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

7.2風險評估(MRM_RAM)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

7.3風險控制(MRM_RCT)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

7.4溝通與監控(MRM_CAM)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

8MSP管理保障控制類:信息安全策略!!!!!!!!!!!!!!!!!!!!!!!!!10

8.1信息安全策略(MSP_SPL)!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

9MSO管理保障控制類:信息安全組織機構!!!!!!!!!!!!!!!!!!!!!!!12

9.1信息安全的管理支持(MSO_SOM)!!!!!!!!!!!!!!!!!!!!!!!!!12

9.2信息安全組織架構(MSO_ORG)!!!!!!!!!!!!!!!!!!!!!!!!!!13

9.3信息安全職責(MSO_RES)!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

9.4溝通協作(MSO_CAC)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

10MPS管理保障控制類:人員安全!!!!!!!!!!!!!!!!!!!!!!!!!!15

10.1人員審查(MPS_PEC)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

10.2安全意識和培訓(MPS_SAT)!!!!!!!!!!!!!!!!!!!!!!!!!!17

10.3考核和獎懲(MPS_CRP)!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

10.4人事變更(MPS_PCM)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

11MAM管理保障控制類:資產管理!!!!!!!!!!!!!!!!!!!!!!!!!!18

11.1資產登記管理(MAM_ARM)!!!!!!!!!!!!!!!!!!!!!!!!!!!19

11.2資產管理職責(MAM_AMR)!!!!!!!!!!!!!!!!!!!!!!!!!!!19

11.3資產分類管理(MAM_ACM)!!!!!!!!!!!!!!!!!!!!!!!!!!!20

12MPE管理保障控制類:物理和環境安全!!!!!!!!!!!!!!!!!!!!!!!20

12.1物理安全區域管理(MPE_PSA)!!!!!!!!!!!!!!!!!!!!!!!!!21

犌犅/犜20274.3—2008

12.2支撐基礎設施安全(MPE_SIS)!!!!!!!!!!!!!!!!!!!!!!!!!!23

12.3設備安全(MPE_EMS)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

13MCM管理保障控制類:符合性管理!!!!!!!!!!!!!!!!!!!!!!!!!25

14MSP管理保障控制類:信息安全規劃管理!!!!!!!!!!!!!!!!!!!!!!28

15MSD管理保障控制類:系統開發管理!!!!!!!!!!!!!!!!!!!!!!!!30

16MOP管理保障控制類:運行管理!!!!!!!!!!!!!!!!!!!!!!!!!!33

17MBD管理保障控制類:業務持續性和災難恢復管理!!!!!!!!!!!!!!!!!!44

17.1業務持續性管理(MBD_BCM)!!!!!!!!!!!!!!!!!!!!!!!!!!44

18MER管理保障控制類:應急響應管理!!!!!!!!!!!!!!!!!!!!!!!!47

18.1匯報安全事件和安全漏洞(MER_REW)!!!!!!!!!!!!!!!!!!!!!!47

18.2應急響應管理(MER_IMI)!!!!!!!!!!!!!!!!!!!!!!!!!!!!48

19安全管理能力級說明!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!50

19.1概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!50

19.2安全管理能力級別說明!!!!!!!!!!!!!!!!!!!!!!!!!!!!!50

19.3信息系統安全保障管理能力級別應用!!!!!!!!!!!!!!!!!!!!!!!52

參考文獻!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!54

圖1信息系統安全管理保障控制類!!!!!!!!!!!!!!!!!!!!!!!!!!!3

圖2管理保障控制類結構!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

圖3管理保障控制子類結構!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

圖4管理保障控制組件結構!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

圖5風險管理(MRM)管理保障控制類分解!!!!!!!!!!!!!!!!!!!!!!!7

圖6信息安全策略(MSP)管理保障控制類分解!!!!!!!!!!!!!!!!!!!!!10

圖7信息安全組織機構(MSO)管理保障控制類分解!!!!!!!!!!!!!!!!!!!12

圖8人員安全(MPS)管理保障控制類分解!!!!!!!!!!!!!!!!!!!!!!!15

圖9資產管理(MAM)管理保障控制類分解!!!!!!!!!!!!!!!!!!!!!!!18

圖10物理和環境安全(MPE)管理保障控制類分解!!!!!!!!!!!!!!!!!!!!21

圖11符合性管理(MCM)管理保障控制類分解!!!!!!!!!!!!!!!!!!!!!25

圖12信息安全規劃管理(MSP)管理保障控制類分解!!!!!!!!!!!!!!!!!!!29

圖13系統開發管理(MSD)管理保障控制類分解!!!!!!!!!!!!!!!!!!!!!31

圖14運行管理(MOP)管理保障控制類分解!!!!!!!!!!!!!!!!!!!!!!33

圖15業務持續性和災難恢復管理(MBD)管理保障控制類分解!!!!!!!!!!!!!!!44

圖16應急響應管理(MER)管理保障控制類分解!!!!!!!!!!!!!!!!!!!!47

圖17信息系統安全保障管理能力要求級別示例圖!!!!!!!!!!!!!!!!!!!!53

犌犅/犜20274.3—2008

前言

GB/T20274《信息系統安全保障評估框架》分為以下四個部分:

———第1部分:簡介和一般模型;

———第2部分:技術保障;

———第3部分:管理保障;

———第4部分:工程保障。

本部分是GB/T20274的第3部分。

本部分由全國信息安全標準化技術委員會提出并歸口。

本部分起草單位:中國信息安全產品測評認證中心。

本部分主要起草人:吳世忠、王海生、陳曉樺、王貴駟、李守鵬、江常青、彭勇、張利、姚軼嶄、班曉芳、

李靜、王慶、鄒琪、錢偉明、江典盛、陸麗、孫成昊、門雪松、杜宇鴿、楊再山。

犌犅/犜20274.3—2008

信息安全技術

信息系統安全保障評估框架

第3部分:管理保障

1范圍

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經授權,嚴禁復制、發行、匯編、翻譯或網絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打印),因數字商品的特殊性,一經售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質量問題。

評論

0/150

提交評論