犐犆犛３５．０４０

犔８０

中華人民共和國國家標準

犌犅／犜２２０８１—２００８／犐犛犗／犐犈犆２７００２：２００５

代替ＧＢ／Ｔ１９７１６—２００５

信息技術安全技術

信息安全管理實用規則

犐狀犳狅狉犿犪狋犻狅狀狋犲犮犺狀狅犾狅犵狔—犛犲犮狌狉犻狋狔狋犲犮犺狀犻狇狌犲狊—

犆狅犱犲狅犳狆狉犪犮狋犻犮犲犳狅狉犻狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔犿犪狀犪犵犲犿犲狀狋

（ＩＳＯ／ＩＥＣ２７００２：２００５，ＩＤＴ）

２００８０６１９發布２００８１１０１實施

中華人民共和國國家質量監督檢驗檢疫總局

發布

中國國家標準化管理委員會

書

犌犅／犜２２０８１—２００８／犐犛犗／犐犈犆２７００２：２００５

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅳ

１范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

２術語和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

３本標準的結構!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２

３．１章節!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２

３．２主要安全類別!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３

４風險評估和處理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３

４．１評估安全風險!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３

４．２處置安全風險!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３

５安全方針!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４

５．１信息安全方針!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４

６信息安全組織!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５

６．１內部組織!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５

６．２外部各方!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!８

７資產管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１２

７．１對資產負責!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１２

７．２信息分類!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１３

８人力資源安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１４

８．１任用之前!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１４

８．２任用中!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１６

８．３任用的終止或變更!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１７

９物理和環境安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１８

９．１安全區域!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１８

９．２設備安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２０

１０通信和操作管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２３

１０．１操作規程和職責!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２３

１０．２第三方服務交付管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２５

１０．３系統規劃和驗收!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２６

１０．４防范惡意和移動代碼!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２７

１０．５備份!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２８

１０．６網絡安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２９

１０．７介質處置!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３０

１０．８信息的交換!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３１

１０．９電子商務服務!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３４

１０．１０監視!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３６

１１訪問控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３９

１１．１訪問控制的業務要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３９

Ⅰ

書

犌犅／犜２２０８１—２００８／犐犛犗／犐犈犆２７００２：２００５

１１．２用戶訪問管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３９

１１．３用戶職責!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４１

１１．４網絡訪問控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４３

１１．５操作系統訪問控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４６

１１．６應用和信息訪問控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４８

１１．７移動計算和遠程工作!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４９

１２信息系統獲取、開發和維護!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５１

１２．１信息系統的安全要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５１

１２．２應用中的正確處理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５１

１２．３密碼控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５３

１２．４系統文件的安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５５

１２．５開發和支持過程中的安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!５６

１２．６技術脆弱性管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５８

１３信息安全事件管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５９

１３．１報告信息安全事態和弱點!!!!!!!!!!!!!!!!!!!!!!!!!!!!５９

１３．２信息安全事件和改進的管理!!!!!!!!!!!!!!!!!!!!!!!!!!!６１

１４業務連續性管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６３

１４．１業務連續性管理的信息安全方面!!!!!!!!!!!!!!!!!!!!!!!!!６３

１５符合性!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６６

１５．１符合法律要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６６

１５．２符合安全策略和標準以及技術符合性!!!!!!!!!!!!!!!!!!!!!!!６８

１５．３信息系統審計考慮!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６９

參考文獻!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７１

Ⅱ

犌犅／犜２２０８１—２００８／犐犛犗／犐犈犆２７００２：２００５

前言

本標準等同采用ＩＳＯ／ＩＥＣ２７００２：２００５《信息技術安全技術信息安全管理實用規則》。僅有編

輯性修改。

本標準是對ＧＢ／Ｔ１９７１６—２００５的修訂。修訂中依據ＩＳＯ／ＩＥＣ２７００２：２００５增刪了一些技術內容。

本標準代替ＧＢ／Ｔ１９７１６—２００５。

本標準由中華人民共和國信息產業部提出。

本標準由全國信息安全標準化技術委員會歸口。

本標準由中國電子技術標準化研究所、北京知識安全工程中心、上海三零衛士有限公司、北京市信

息安全測評中心、北京數字認證中心負責起草。

本標準主要起草人：上官曉麗、許玉娜、胡嘯、王新杰、趙戰生、王連強、孔一童、曾波、劉海峰、

湯永利、尚小鵬、閔京華。

本標準所代替標準的歷次版本發布情況為：

———ＧＢ／Ｔ１９７１６—２００５。

Ⅲ

犌犅／犜２２０８１—２００８／犐犛犗／犐犈犆２７００２：２００５

引言

０．１什么是信息安全

像其他重要業務資產一樣，信息也是對組織業務至關重要的一種資產，因此需要加以適當地保護。

在業務環境互連日益增加的情況下這一點顯得尤為重要。這種互連性的增加導致信息暴露于日益增多

的、范圍越來越廣的威脅和脆弱性當中（也可參考關于信息系統和網絡的安全的ＯＥＣＤ指南）。

信息可以以多種形式存在。它可以打印或寫在紙上、以電子方式存儲、用郵寄或電子手段傳送、呈

現在膠片上或用語言表達。無論信息以什么形式存在，用哪種方法存儲或共享，都宜對它進行適當地

保護。

信息安全是保護信息免受各種威脅的損害，以確保業務連續性，業務風險最小化，投資回報和商業

機遇最大化。

信息安全是通過實施一組合適的控制措施而達到的，包括策略、過程、規程、組織結構以及軟件和硬

件功能。在必要時需建立、實施、監視、評審和改進這些控制措施，以確保滿足該組織的特定安全和業務

目標。這個過程宜與其他業務管理過程聯合進行。

０．２為什么需要信息安全

信息及其支持過程、系統和網絡都是重要的業務資產。定義、實現、保持和改進信息安全對保持競

爭優勢、現金周轉、贏利、守法和商業形象可能是至關重要的。

各組織及其信息系統和網絡面臨來自各個方面的安全威脅，包括計算機輔助欺詐、間諜活動、惡意

破壞、毀壞行為、火災或洪水。例如惡意代碼、計算機黑客搗亂和拒絕服務攻擊等導致破壞的安全威脅，

已經變得更加普遍、更有野心和日益復雜。

信息安全對于公共和專用兩部分的業務以及保護關鍵基礎設施是非常重要的。在這兩部分中信息

安全都將作為一個使能者，例如實現電子政務或電子商務，避免或減少相關風險。公共網絡和專用網絡

的互連、信息資源的共享都增加了實現訪問控制的難度。分布式計算的趨勢也削弱了集中的、專門控制

的有效性。

許多信息系統并沒有被設計成是安全的。通過技術手段可獲得的安全性是有限的，宜通過適當的

管理和規程給予支持。確定哪些控制措施宜實施到位需要仔細規劃并注意細節。信息安全管理至少需

要該組織內的所有員工參與，還可能要求利益相關者、供應商、第三方、顧客或其他外部方的參與。外部

組織的專家建議可能也是需要的。

０．３如何建立安全要求

組織識別出其安全要求是非常重要的，安全要求有三個主要來源：

ａ）一個來源是通過對組織進行風險的評估獲得，并考慮到組織的整體業務策略與目標。通過風

險評估，識別資產受到的威脅，評價易受威脅利用的脆弱性和威脅發生的可能性，估計潛在的

影響；

ｂ）另一個來源是組織、貿易伙伴、承包方和服務提供者必須滿足的法律、法規、規章和合同要求，

以及他們的社會文化環境；

ｃ）進一步的來源是組織開發的支持其運行的信息處理的原則、目標和業務要求的特定集合。

０．４評估安全風險

安全要求是通過對安全風險的系統評估予以識別的。用于控制措施的支出需要針對可能由安全失

效導致的業務損害加以平衡。

Ⅳ

犌犅／犜２２０８１—２００８／犐犛犗／犐犈犆２７００２：２００５

風險評估的結果將幫助指導和決定適當的管理行動、管理信息安全風險的優先級以及實現所選擇

的用以防范這些風險的控制措施。

風險評估宜定期進行，以應對可能影響風險評估結果的任何變化。

更多的關于安全風險評估的信息見４．１的“評估安全風險”。

０．５選擇控制措施

一旦安全要求和風險已被識別并已作出風險處置決定，則宜選擇并實現合適的控制措施，以確保風

險降低到可接受的級別。控制措施可以從本標準或其他控制措施集合中選擇，或者當合適時設計新的

控制措施以滿足特定需求。安全控制措施的選擇依賴于組織所作出的決定，該決定是基于組織所應用

的風險接受準則、風險處置選項和通用的風險管理方法，同時還宜遵守我國的法律法規。

本標準中的某些控制措施可被當作信息安全管理的指導原則，并且可用于大多數組織。下面在題

為“信息安全起點”中將更詳細的解釋這些控制措施。

更多的關于選擇控制措施和其他風險處置選項的信息見４．２的“處置安全風險”。

０．６信息安全起點

許多控制措施被認為是實現信息安全的良好起點。它們或者是基于重要的法律要求，或者被認為

是信息安全的常用慣例。

從法律的觀點看，對某個組織重要的控制措施包括，根據適用的法律：

ａ）數據保護和個人信息的隱私（見１５．１．４）；

ｂ）保護組織的記錄（見１５．１．３）；

ｃ）知識產權（見１５．１．２）。

被認為是信息安全的常用慣例的控制措施包括：

ａ）信息安全方針文件（見５．１．１）；

ｂ）信息安全職責的分配（見６．１．３）；

ｃ）信息安全意識、教育和培訓（見８．２．２）；

ｄ）應用中的正確處理（見１２．２）；

ｅ）技術脆弱性管理（見１２．６）；

ｆ）業務連續性管理（見１４）；

ｇ）信息安全事件和改進管理（見１３．２）。

這些控制措施適用于大多數組織和環境。

宜注意，雖然本標準中的所有控制措施都是重要的并且是應被考慮的，但是宜根據某個組織所面臨

的特定風險來確定任何一種控制措施是否是合適的。因此，雖然上述方法被認為是一種良好的起點，但

它并不能取代基于風險評估而選擇的控制措施。

０．７關鍵的成功因素

經驗表明，下列因素通常對一個組織成功地實施信息安全來說，十分關鍵：

ａ）反映業務目標的信息安全方針、目標以及活動；

ｂ）與組織文化保持一致的實現、保持、監視和改進信息安全的方法和框架；

ｃ）來自所有級別管理者可見的支持和承諾；

ｄ）正確理解信息安全要求、風險評估和風險管理；

ｅ）向所有管理人員、員工和其他方傳達有效的信息安全知識以使他們具備安全意識；

ｆ）向所有管理人員、員工和其他方分發關于信息安全方針和標準的指導意見；

ｇ）提供資金以支持信息安全管理活動；

ｈ）提供適當的意識、培訓和教育；

Ⅴ

犌犅／犜２２０８１—２００８／犐犛犗／犐犈犆２７００２：２００５

ｉ）建立一個有效的信息安全事件管理過程；

ｊ）實施一個測量１）系統，