【经典】13335-3 ISOIEC TR 13335标准.doc

ISO/IEC TR133353信息技术IT安全管理指导第三部分：IT安全管理技术内容：1范围2参考3定义4结构5目标6IT安全管理技术7IT安全目标，策略和方针 7.1安全目标和策略 7.2企业公司IT安全方针8公司企业风险分析策略选择 8.1基准方法 8.2非正式方法 8.3详尽风险分析 8.4联合方法9联合方法 9.1高水平风险分析 9.2基准方法 9.3详尽风险分析 9.3.1复查界限的建立9.3.2资产鉴定9.3.3资产估价和资产间相关性的建立9.3.4威胁评估9.3.5脆弱性评估9.3.6现存的/计划中的安全设施安全措施的鉴定9.3.7风险评估 9.4安全设施安全措施选择9.4.1安全设施安全措施鉴定9.4.2IT安全建筑9.4.3对限制的鉴定/复查 9.5险情接受 9.6IT系统安全方针 9.7IT安全计划10IT安全计划的实现 10.1安全设施安全措施的实现 10.2安全识别10.2.1需求分析10.2.2程序传送10.2.3安全识别程序的监督 10.3安全训练 10.4IT系统的批准11后续 11.1维护 11.2安全顺性检查 11.3变化管理 11.4监督 11.5事故处理12摘要附录A 一个包含公司IT安全方针目录的例子附录B 资产的估价附录C 可能出现的威胁类型目录附录D 一般脆弱性的例子附录E 风险分析方法的类型前言ISO（国际标准化组织）和IEC（国际电子技术委员会）组成了专门负责世界范围标准的专门系统。ISO或IEC的成员通过处理各自专门领域技术活动的组织建立的技术委员会来参与国际标准的开发。其他与ISO和IEC有联系的官方和非官方组织，也参与这项工作。在信息技术领域，ISO和IEC已经建立了一个联合技术委员会，ISO/IEC JTC 1。这个技术委员会的主要任务是准备国际标准，但是在特别的环境中技术委员会会建立议出版以下类型之一的技术报告的出版：类型1，当出版一个国际标准所需的动物支持不能获得，尽管经过了不断努力；类型2，当这个学科仍处于发展阶段或者在因为其他原因将来可能，但目前不能就国际标准生在取得一致的地方；类型3，当技术委员会收集到与作为国际标准正常发表的不同的数据。（例如艺术情况）第一类和第二类的技术报告受出版后三年内的复查，这种复查决定了它们是否能成为国际标准。第三类技术报告不需要复查，直到它们所提供的数据被认为不再有效或有用。作为第三类技术报告，ISO/IEC TR 133353，由联合技术委员会ISO/IEC JTC 1准备，信息技术，与子委员会SC27，IT安全技术。ISO/IEC TR 13335，在一个概括性的题目：信息，技术IT安全管理指导方针下，包括以下部分：第一部分：IT安全的概念和模型第二部分：管理和设计IT安全第三部分：IT安全管理技术第四部分：安全措施设施选择第五部分：外部连接的安全设施保护介绍ISO/IEC 13335的目的是给IT安全管理方面提供一个指导方针，而不是解决方法。组织里负责IT安全的人应该能够使ISO/IEC TR 13335的材料适应满足他们专门的需要。ISO/IEC TR 13335的专门需要主要目的是：定义和描述与IT安全管理有关的概念；鉴定IT安全管理和IT一般管理的关系；提供可用于解释IT安全的多种模型；ISO/IEC TR 13335被分为五部分，ISO/IEC TR 133351提供了对用于描述IT安全管理的基本概念和模型的总的看法概述。这个材料适合负责IT安全的经理和那些对组织的全部安全程序负责的人。ISO/IEC TR 133352描述了管理和设计方面。它与负有有关组织IT系统责任的管理人员有关，负责监督安全系统的设计，实现，测试，获取或操作的管理人员；负责充分利用IT系统的管理人员；ISO/IEC TR 13335的这部分描述了与在一个项目生命周期的管理活动有关的安全技术，例如这些活动例如：计划，设计，实现，测试，获得和操作。ISO/IEC TR 133354提供了安全设施措施选择和如何利用基准模型和控制来支持它们的指导方针。它也描述了如何对ISO/IEC TR 133353中描述的安全技术进行补充，如何在选择安全设施措施时利用附加的评估方法。ISO/IEC TR 133355提供指导方针给把它的IT系统连接到外部网络的组织。这些指导方针包括，为外部连接提供安全的安全设施措施的选择和使用，这些连接所支持的设备服务，以及因为连接IT系统所需的额外安全设施安全措施。信息技术IT安全管理指导方针第三部分：IT安全管理技术1范围ISO/IEC TR 13335的这部分提供了IT安全管理技术。这些技术基于ISO/IEC TR 133351和ISO/IEC TR 133352所列出的一般指导方针。这些指导方针是为帮助IT安全的实施而设计的。熟悉ISO/IEC TR 133351中介绍的概念和模型，以及ISO/IEC TR 133352中关于IT安全的管理和设计的材料，对完整的理解ISO/IEC TR 133353是重要的。2参考ISO/IEC TR 133351：1996，IT安全管理指导方针 第一部分：IT安全的概念和模型。ISO/IEC TR 133352：1997，IT安全管理指导方针第二部分：IT安全的管理和设计。3定义对于为了ISO/IEC TR 13335这部分的目的，ISO/IEC TR 13335-1给出了以下定义：应负责任可核查性，资产，真实性，有效可用性，基准控制，保密性，数据完整性，影响，完整性，IT安全，IT安全方针，可靠性，剩余险情风险，险情风险，险情风险分析，险情处理风险管理，安全设施安全措施，系统完整性，威胁和脆弱性。4结构ISO/IEC TR 13335的这部分被分成12个条款。条款与提供关于ISO/IEC TR 13335这部分目标的信息。条款6对IT安全管理过程给出了个总的看法。条款7讨论了公司IT安全方针的重要性和它应包括的东西。条款8就一个组织可能使用的用于鉴定安全需要的四种方法给出了个总的看法概述。条款9详尽描述了推荐的方法。条款10继条款9之后，描述了安全设施安全措施的实现。这一条中还包括了，对安全识别意识程序和批准过程的详细讨论。条款11包含对很多继续追踪活动后续活动的描述，这些活动对确定安全设施安全措施的正常有效工作是必要的。最后，条款12对ISO/IEC TR 13335的这部分给了个简短的摘要总结。5目标ISO/IEC TR 13335这部分的目标是为成功的IT安全管理描述和推荐技术。这些技术可以用来评估安全需要的险情需求和风险，并且帮助建立和维护合适的安全设施安全措施，也就是也就是适当正确的IT安全水平标准。用这种方法获得的结果可能需要实际组织和环境所指定的附加的安全设施安全措施来增加加强。ISO/IEC TR 13335的这部分与组织里负责IT安全管理和/或实现的每个人有关。6IT安全管理技术IT安全管理的处理基于ISO/IEC TR 133351和ISO/IEC TR 133352列出的原则。除了被选定的部分，它还可以应用适用于整个组织，图1显示了这个处理的主要阶段，和这个处理的结果是如何反馈到它的各个部分的。反馈环应在任何需要的时候建立，在一个阶段的内部，或者在一个或多个阶段完成之后。图1（下面的）是ISO/IEC TR 133352中的图1的修订，它强调了ISO/IEC TR 13335的这部分所关注的题目。IT安全管理包括安全需求分析，满足这些需求的设计的建立，设计的实现，和己实现的安全的维护和管理。这个过程开始于组织IT安全目标和策略的建立和公司IT安全方针的开发。图在最后IT安全管理过程的一个重要部分是风险评估和它们如何被降到可接受的水平。有在必要考虑商业目标，组织和环境方面，和每个IT系统的特定需要和风险。对IT系统和服务的安全需求进行评估后，选择一个公司风险分析策略是明智的。主要的策略选项在下面的条款8中详细讨论。推荐选项包括对所有IT系统做高水平风险分析来鉴定那些高风险的系统。那么这些系统通过详尽风险分析来检查，然而剩下的系统要用基准方法。对于高风险系统，对资产，威胁和脆弱性的详尽考虑会导致详尽风险分析，这种分析使与评估的风险相称的有效的安全设施安全措施选择更加容易。通过使用这些选项，风险管理过程可以被集中到高风险和极需要的地方，整个程序可以变得更加有效地利用费用和时间。伴随着风险评估，为了把风险降低到可接受的水平，每个IT系统都确认了合适的安全设施安全措施。这些安全设施安全措施像在IT安全计划中简述的那样实现。这个实现应该被对安全设施安全措施的有效性很重要的识别和训练程序支持。更进一步，IT安全管理包括处理各种后续活动的现行任务，这些后继活动可以导致以前的结果和决定的变化。后续活动包括：维护，安全顺遵守性检查，变化检查变更管理，监督和事故处理。7IT安全目标，策略和方针建立了组织的IT安全目标之后，应开发一个IT安全策略，为公司的IT安全方针的开发构成基础。公司IT安全方针的开发对确保风险管理过程的结果是合适和有效的是必要的。为了方针的开发和有效地实现，全组织的管理支持是需要的。公司IT安全方针把公司的目标和组织的特定方面考虑在内是很必要的。它必须与公司安全方针和公司商业方针保持一致。有了这个一致性，公司安全方针会帮助获得资源的最有效的利用，并且能确保在经历各种不同的系统环境时有不断地接近安全一致的安全措施。我们可能有必要为每个或一些IT系统开发独立的和专门的安全方针。这个方针应基于风险分析和基准结果，并且与公司的IT安全方针一致，因而考虑到与之相联系的系统的安全推荐。7.1IT安全目标和策略作为IT安全管理过程的第一步，我们应考虑“多宽的风险范围水平对这个组织是可能接受的？”正确的可接受风险的水平，和因而合适的安全水平，是成功安全管理的关键。需要的安全宽度水平是由组织需要面对 的IT安全目标决定的。为了评估这些安全目标，应该考虑资产和对于这个组织它们有多大价值。这主要由支持组织的商业运作的IT的重要性来决定；IT自己的费用只是它价值的一小部分。评估一个组织的商业在多大程度上依赖IT可能出现的问题为：哪些是没有IT的支持就不能展开的商业的重要/很重要的部分。哪些是只能在IT帮助下完成的任务。哪些必要的决定依赖于经过IT处理的信息的精准确性，完整性或可行用性，或者依赖于这个信息有多新。哪些处理的机密信息需要保护。不希望发生的事故对组织的暗示影响是什么。回答这些问题可以帮助评估一个组织的安全目标。例如，如果一个商业的一些重要或很重要的部分依赖于精确的或最新的信息，那么这个组织的一个安全目标可能要确保信息在系统中处理时的完整性和时线基准时间。而且，在评估安全目标的时候要考虑重要的安全目标和它们与安全的关系。依赖于这些安全目标，认可应该对可实现这些目标的策略意见一致。选择的策略应该适合要保护资产的价值。例如，如果一个或更多以上问题的答案是Yes，那么这个组织很可能有高安全性需求，并且建议选择一个包括充分努力去满足这些需求的策略。一个IT安全策略用一般术语简述一个组织如何实现它的IT安全目标。这样一个策略提出的题目主题确定将依赖于这些目标的数目，类型和重要性，并且理所当然地是那些组织认为在整个组织内均一地提出是很重要的题目，这些题目在本质上会很具体，或很宽。像作为以前的一个例子，一个组织应该有一个基本的IT安全目标，因为商业的性质，它的所有的系统都应维持一个高水平的可行性。若是这样的话，一个策略题目能够在通过全组织范围安装杀毒软件来，把肆虐的病毒大批出现减小到最低程度中，能够通过全组织范围安装杀毒软件来得到监督和指导。，或者为了说明后者，一个组织可以在一个更宽的水平有一个IT安全目标，因为它的业务是出售服务，所以应对某潜在的顾客证明其系统的安全性。若是这样，一个策略题目主题就可以是所有的系统都要被获得承认的第三方来证实确实是安全的。由于具体的目标或联合的目标，关于IT安全策略的其他题目可能包括：在全组织范围内的风险分析策略和方法。每个系统时IT系统安全方针的需要。每个系统对安全操作程序的需要。全组织范围的信息灵敏敏感度分类方案。在其他组织被连接前，连接的安全条件被面满足对和检查的需要。能被普遍应用的事故处理方案。一旦确定，在公司安全方针中，应该围绕安全策略和它的组成题目。7.2公司IT安全方针一个公司的IT安全方针应基于承认的公司IT安全目标和策略而产生。有必要建立和维护一个与公司业务，安全，IT方针，和与安全有关的法律和规则一致的公司IT安全方针。像在7.1中反映的那样，影响公司IT安全方针的一个重要事实是一个组织在多大程度上依赖于它使用的IT。IT的用处越大，一个组织就越依赖它的IT，就需要越多的安全来保证商业目标的实现。在写公司IT安全方针的时候，应记住文化的。环境的和组织的特点，因为它们会影响安全的接近实现，例如特别是一些很容易在一种环境下被接受但在另一环境中完全不被接受的安全设施安全措施。公司IT安全方针中描述的与安全相关的活动可以基于组织目标和策略，以前的安全风险分析和管理复查的结果，后续活动如己实现的安全设施安全措施的安全顺性检查，日复一日使用中IT安全的监督和复查，和与安全相关的事故报告的结果。在公司IT安全方针描述这个组织处理这些安全问题的所有方法的过程中，任何在这些活动中查明的严重的威胁和脆弱性都需要声明。详尽的行动被描述在各种IT系统安全方针中，或者在其他支持文件中，例如，安全操作程序。在开发公司IT安全方针时，以下职能部门的代表应该参加：审计财务信息系统（技术人员和用户）公共事业/基本设施（也就是负责建筑，住宿，供电和空调的人员）职员安全高级商业管理根据安全目标和一个组织为实现这些目标而采取的策略，适当详细的公司IT安全方针的合适水平的详尽程度被选择。公司IT安全方针至少要描述：它的范围和目的。考虑到法律、和规则责任和商业目标的安全目标和商业目标。IT安全需要，按照信息的保密性，完整性，可行性，可负责任性，真实性和可靠性。覆盖组织和个人责任和权威的信息安全管理。组织所采取的风险管理方法。安全宽度水平和管理人员所寻找的剩余危险风险。访问入口控制的一般准则（对建筑，房间，系统，信息的逻辑访问控制和物理控制访问控制）。组织内的安全识别意识和训练培训方法。一般员工安全出口问题。把方针传达到所有有关人员的方法。方针被复查所处的环境。控制方针变化的方法。在需要更详尽的公司IT安全方针的地方，以下事件应被考虑：组织范围内的安全模型和程序。标准的使用。安全设施安全措施实现步骤。朝后续活动的接近，如安全顺性检查。安全设施安全措施的监督。与安全有关的事故的处理。对IT系统的使用所做的监督。扉雇用外来安全顾问的环境。附录A给出了包含公司安全管理方针实例内容列表目录的一个例子。正如在这个条款中较早的讨论一样，以前的风险分析，管理复查，安全顺性检查和安全事故的结果可能会影响公司的IT安全方针。转而，以前定义的策略和方针需要复查和改善。为了保证与安全有关的方法能获得充分支持，公司IT安全方针应被高层管理部门批准。基于公司的IT安全方针，应该写制定一个对所有管理人员和员工有约束力的指令。这可能需要每个员工在文件上签名，这个签名承认他/她在组织内的安全责任。而且，应该开发和实现一个安全识别意识和训练培训的程序来传达这些方面。应指派一个人来负责公司的IT安全方针，并保证这个方针反映了公司的需求和实际状况。这个人通常是公司的IT安全官，他在其他事情中应负责后续活动。这包括安全顺性检查回顾，事故和安全弱点的处理，以及根据这些活动的结果可能需要的对公司IT安全方针的任何变化。8公司风险分析策略选择注意：为了保证ISO/IED TR 13335这部分的完整一致，并能不依赖ISO/IEC TR 133352而阅读，条款处理同ISO/IEC TR 133352中的条款10一样的题目问题。在开始任何风险分析活动前，一个组织应该为这个分析在适当的位置有一个策略，并且应该在公司IT安全方针中用文件证明它的组成文档化它的重要部分（方法，技术，等等）。对这个组织，风险分析方法的选择方法和标准原则应被组织承认。风险分析策略应保证选择的方法适合环境，并且把安全努力集中到真正需要的地方。下面给出的选择描述了四种不同的分析方法。各种选择间的基本区别是风险分析的深度。因为对所有的IT系统做详尽风险分析花销太大，并且只对严重风险给予外部注意没有效果，所以需要在各选择间进行平衡。除了什么都不做和接受会暴露出给一些未知重要性和严重性的风险可能性之外，一个公司风险分析策略有四种基本选择：对所有的系统使用同样的基准方法，不考虑系统面临的风险，并和接受并不总是合适的安全标准水平并不总是合适。使用非正式方法进行风险分析并且把注意力集中到那些被察觉到暴露于高风险的IT系统。对所有IT系统使用正式方法进行详尽风险分析。展开初始的高水平风险分析来鉴定那些暴露到高风险和对商业有决定性作用的IT系统，继而对这些系统进行详尽风险分析，并对其他所有系统采用基准安全。这些分析称呼安全风险的不同的可能性情况在下面被讨论，然后对提出的方法做出了个推荐，作为首选方法。如果一个组织决定在安全方面什么都不做，或者延迟安全设施安全措施的实现，管理部门应该清楚这个决定可能造成的后果的暗示。虽然这不需要时间，金钱，员工和其他资源，但是有很多优缺点。除非一个组织确信他的IT系统不是必重要的，否则它可能把自己陷入放到严重的后果中。一个组织可能会不顺从法律和规则，如果它受制于造成安全中的破坏，它的名声可能遭受损失，。并说明没有采取预防行动。如果一个组织很少关注IT安全，或没有任何商业危急系统，那么这可能是个可实行的策略。然而，这个组织就被置于不知道形势究竟是多好或多坏的地步情况下，对大多数组织来说这不像是个好的解决方法。8.1基准方法就第一个选择而论，一个组织可以通过选择标准安全设施标准安全措施而让基准安全适用所有IT系统。在基准文件和操作规程中建议了各种标准安全设施安全措施。我们也可以在9.2中找到对这种方法更详尽的解释。这种方法有一些优点，如：对每个安全设施安全措施的实现的风险分析和管理都只需要最小数量的资源，并且在选择安全设施安全措施时花费更少的时间和努力。基准安全设施安全措施可提供费用效率比高有成效比的解决方法，同样或类似，如果组织的大量系统都在普通环境下操作和如果安全需要类似，很多系统都可以不费很多努力地采用基准方法。这种选择的缺点是：如果基准水平设置的太高，在一些IT系统中可能会有极端的安全水平。如果这个水平设置的太低，在一些IT系统中会缺少安全，导致更高水平的暴露。在管理与安全相关的变化时，可能会有困难。例如，如果一个系统升级了，就很难评估初始的基准安全设施安全措施是否足够。如果一个组织的IT系统只有低水平的安全需求，那么这可能是最具费用效率比的策略。若是这样，应选择基准来反映大多数IT系统需要的保护程度。多数组织会总是需要面对一些最低标准来保护敏感数据和顺从法律和规则，特别是例如，数据保护法。然而，当一个组织的各系统在商业敏感度，大小和复杂性不同时，把一个普通的标准用到所有系统既不合逻辑，也没有成效比。8.2非正式方法这个选择是用来做非正式的讲究实际的风险分析的，非正式方法不是基于结构化方法，而是利用个人的知识和经验。这种选择的优点是：一般不需要大量的资源或时间。进行这种非正式分析不需要学习额外的技巧，而且要比详尽的风险分析完成的迅速。然而，有一些缺点：没有几种正式的方法或广泛的清单全面的检查表，丢失重要数据的可能性增加。要证明对抗针对用这种方法评估出的风险的安全设施安全措施的执行情况实现的合理性很困难。以前一些方法以前己被脆弱性驱动，也就是，安全设施安全措施基于己被鉴定的脆弱性实现，而没有考虑是否有会利用这些脆弱性的威胁，即，是不是真正需要安全设施安全措施。会加入一定程度的主观性；复查者特有的偏见会影响结果。如果进行非正式风险分析的人离开组织，会出现问题。基于以上的缺点，这个选择对很多组织的风险分析并不是一个有效的方法。8.3详尽风险分析第三种选择是对组织内的所有IT系统做详尽风险分析复查。详尽风险分析包括资产的深度鉴定和估价，对这些资产的威胁评估和脆弱性评估。这些活动的结果然后被用于评估风险和鉴定己被证明是合理的安全设施安全措施。9.3中详细描述了这种方法。这种方法的优点是：有希望对所有的系统鉴定出合适的安全设施安全措施。详尽分析的结果可用于安全变化的管理。这种方法的缺点是：为了获得结果，它需要相当大数量的时间和努力和专门知识。有可能起决定性作用的系统的安全需求被提出的太晚，因为所有IT系统都会被同样详细的考虑，并且完成这个分析需要大量的时间。因此，对所有的IT系统都使用详尽风险分析是不明智的。如果选择了这种方法，就有一些可能的实现：使用标准方法，来满足在这个TR中反映的标准。用适合这个组织的不同的方式来使用这个标准方法；使用风险模型技术在（9.3中描述）可能会对一些组织有好处。8.4联合方法第四种选择是先对所有的IT系统做最初的高水平风险分析，每种情况下都集中于IT系统的商业价值和它所暴露的严重威胁。对被证明对组织的商业很重要和/或暴露于高风险中的IT系统，应该优先进行详尽风险分析。对所有的其他系统，应选择基准方法。这种从某种意义上来说是8.1和8.3所描述的选择中最好部分的结合的选择，在使鉴定安全设施安全措施时花费的时间和努力最小和仍然保证高风险系统被适当地保护之间提供了一种平衡。这种方法额外其他的优点是：最初的快速而简单的方法的合并有希望被安全分析程序接受。快速建立组织的安全程序的策略图成为可能，即它会担任一个好的计划帮助。资源和钱可以用到最有益的地方，有希望最需要保护的系统会被先提出，并且后续的行动会更成功。唯一潜在的缺点是：因为最初的风险分析处于高水平，并且潜在地不够精确，一些系统可能不会被鉴定为需要详尽风险分析。然而，这些系统还是被基准安全覆盖。而且这些系统在任何需要检查是否需要不止一个方法的时候能被再访问。高水平风险分析方法的采用，结合基准方法和合适地方的详尽风险分析，给大多数组织提供了最有效的向前的实施之路。条款9推荐了这种方法，并且会详尽地检查分析它。9联合方法这部分提供了实现上面推荐的联合风险分析策略的指导方针。9.1高水平风险分析首先有必要进行最初高水平风险分析来确认哪种方法（基准或详尽风险分析）对每个IT系统合适。这种高水平风险分析从组织的商业角度来考虑，IT系统和处理的信息和风险的商业价值。关于哪种方法适合哪个IT系统的决定的输入，可以从以下考虑中获得：使用IT系统要实现的商业目标。组织的商业依赖IT系统的程度，也就是组织认为对它的生存和有效的商业运作很必要的功能是不是依赖这个系统，或者依赖于这个系统所处理信息的保密性，完整性，可行性，可负责任性，真实性和可靠性。关于按照开发，维护或替换这个系统，对IT系统的投资水平。组织IT系统资产直接分配。组织直接为其分配价值的IT系统的资产。当这些东西被评估后，做决定一般很简单，如果一个系统的目标对组织的商业运作重要，如果置换费用高，或者如果资产的价值处于高风险，那么这个系统就需要一个详尽风险分析。这些情况中的任何一个都足以证明进行详尽风险分析是合理的。一个普遍适用的规则是：如果IT系统安全的缺乏能导致对一个组织，它的商业过程或它的资产产生重大危害或破坏，那么一个详尽风险分析（9.3）对鉴定潜在风险是必不可少的。其他所有情况，应用基准方法（9.2）可提供适当的保护。9.2基准方法基准保护的目标是建立一套最低级别的一级别数目最少的安全设施安全措施来保护一个组织的所有或一些IT系统。使用这种方法，有可能在组织范围内采用基准保护，并且像上面反映的那样，附加地使用详尽风险分析复查来做护保护处于高风险的IT系统，或者对商业至关重要的系统。基准方法的使用减少了组织在风险分析复查（8.1）的执行中所需的投资。合适的基准保护可以通过使用安全设施安全措施目录来获得，这个目录建议了一组保护IT系统抵抗最常见威胁的安全设施安全措施。可以调整基准安全的水平来适应组织的需要。不必对所有威胁，脆弱性和风险进行的详尽评估不是必不可少的。应用基准保护所有所需做的就是选择安全设施安全措施目录中与你考虑的IT系统有关的那些部分。在确认安全设施安全措施已经在适当的地方后，要与基准目录中列出的那些安全设施安全措施作一个比较。那些还没有在适当位置并且适用的，应该被实行。基准目录会详细说明要用的安全设施安全措施，或者会建议一组安全需求来匹配任何尚在忙于考虑所有对系统是否合适的安全设施安全措施的安全需要。两种方法都有优点。在ISO/IEC TR 133354的附录中可以找到两种类型的目录。基准方法的一个目标就是两种方法都可获得的全贯穿组织的安全设施安全措施的一致性。（缺11、12页）9.3.2资产鉴定资产是一个总的系统的部件或部分，一个组织直接为此系统分配价值并且因而需要对它进行保护。对资产的鉴定，我们要记住IT系统不光是由硬件和软件组成的。例如，资产类型可以是以下任何一种：信息/数据（例如，包含支付细节的文件，产品信息）。硬件（例如计算机，打印机）。软件，包括应用软件（例如文字处理程序，为特定目的开发的程序）。通信设备（例如电话，铜电缆，纤维光纤）。固件（例如软盘，只读存储器光盘，可编程只读存储器）。文件（如合同）。基金（例如自动播音机器人）。批量制造的货物。服务（例如信息服务，计算资源）。服务中的信心和信任（如支付服务）。环境设备。员工。组织形象复查界限内建立的（见9.3.1）所有资产都要被鉴定。相反地，任何要被一个复查界限排除的资产，不管什么原因，都要被分到另一个复查中以保证他们没有被忘记或忽视。9.3.3资产估价和资产间依赖关系的建立通过列出受复查的IT系统的所有资产来履行资产鉴定的目的后，这些资产应被分配价值。这些价值代表了对一个组织的事务来说资产的重要性。这可以按照安全事务来表示，例如由信息的泄露，悠2修改，不可行性和/或破坏和其他IT系统资产而造成的负面的商业影响，和其他IT系统资产。因而基于组织的商业需要的资产的鉴定和估价是风险决定中的主要因素。资产的所有者和使用者应提供资产估价的输入。开展风险分析的人员会列出资产，他们应该从那些参与商业计划，财务，信息系统和其他相关活动的人媾中寻找帮助来为这些资产的每一个鉴定价值。被分配的价值应与获得和维护这些资产的费用有关，还应与由于保密性，完整性，可行性，可负核查责性，真实性和可靠性的丧失而造成的潜在的负面商业影响有关。每个被鉴定的资产都应对组织有价值。然而我们不会没有一个直接或简单的方法对所有的资产都建立经济上的价值。也有必要对组织用非经济的术语，即质量上的术语例如定性的方法，来建立价值或重要程度。否则，鉴定确定保护水平和组织为保护资产所投入的资源是困难的，这样一个估价尺度的例子可以是低，中间和高的差别，或者，更具体一点：可忽略的低中间高很高在附录B中，通过考虑可能的损害给出了用于分配价值给资产的更详细的可能的尺度。不考虑论使用哪种尺度，在这个估价中要考虑的事件可以是以下情况所导致的可能的损害：违反法律和/或规则。商业运行的损失。信誉损失/名声上的负面影响。（缺第14页）威胁评估的输入应该从以下获得：资产的所有者和使用者，员工部门的全体人员，方便设计设备规划，IT专家和负责组织保护的人。其他组织如法人和国家政府权威可以提供帮助，例如通过提供威胁统计资料。一个一般地通常可能的威胁的目录对实行威胁评估2是有帮助的。附录C中给出了个例子。然而参考其它威胁目录（对你的组织或事务可能会具体）是值得的，因为没有目录是可以无遗漏的。一些最普通的威胁的显明是：错误和省略。欺诈和偷窃。员工蓄意破坏。物理和基础设施支持的损失。恶意剽窃，例如通过伪装。恶意代码。工业间谍活动。在使用威胁目录或早期的威胁分析的结果时，应该意识到威胁是在不断变化的，特别是当事务环境或IT变化时。例如90年代的病毒比80年代的复杂的多。此外还要注意到一个很有趣的现象，那就是安全设施安全措施的实现，如病毒检查软件，总是看上去象导致了能抵抗现有安全措施的新病毒的发展。在确认了威胁源（谁和什么导致了威胁）和威胁目标（系统的什么元素会受威胁的影响）后，有必要评估威胁的可能性。这应该考虑到：威胁出现的频率（根据经验，统计资料等等，多长时间会出现一次），如果统计资料等等可以运用的话。动机，察觉到的和必要的能力，可能的攻击者可利用的资源，和可能的攻击者对IT系统资产的吸引力和脆弱性的察觉，就单慎预先准备的威胁源而论。地理性因素和，像靠近化学或右石油工厂，极端天气条件的可能性和能影响人类人工错误和设备故障的因素，就意外的威胁源而论。依赖于对精度的需要，可能有必要把资产分裂划分到它们的部件中，并且把威胁联系到部件中。例如，一个物理资产可能刚开始会被看作中央数据服务器，但当这些服务器被确认处于不同的地理位置时，它会被分裂分为中央数据服务吕器1和中央数据服务器2，因为一些威胁不会不一样，其他的有些处于不同水平。相似地，一个软件资产刚开始可能会被看作是应用软件，但是后来垮掉分割成为两个或更多的应用软件的例子。一个关于数据资产的例子，可以是在开始时它被决定方为犯罪记录，但是后来分裂成犯罪记录文本和犯罪记录图像。威胁评估完成时，会有一个关于被确认的威胁，它们将影响的资产或资产组，和威胁在某种尺度上，比如，高，中，或低，出现的可能性的度量的列表。9.3.5脆弱性评估评估包括确认物理环境，组织，程序，员工，管理部门，决策部门，硬件，软件或通信设备中的弱点，这些弱点会被威胁源利用，而导致对资产和他们所支持的事务的危害。脆弱性的存在本质上并不会导致危害，像一定有要有利用它的威胁那样产生危害出现。没有相关威胁的脆弱性不需要执行保护，但是由于为了变化需要被承认和监督。应该注意，一个未被正确实现或有故障的安全设施安全措施，或未被正确使用的安全设施安全措施，自身就可能是一个脆弱性。在购买或制造资产时，脆弱性可能会与能在某种程度上使用，或者为某种目的使用的资产特性或者性质有关，不同于计划中的使用的资产的特性或性质有关。例如，一个EEPROM（电可擦除可编程只读存储器）的特性之一就是上面存储的信息可以被擦除和替换。这是一个EEPROM的设计标准之一。然而，这个特性也意味着对存储在EEPROM上的信息的未被授权的破坏是可能的。这会成为一个脆弱性。这个评估确认了会被威胁利用的脆弱性，并评估了他们弱点的可能水平，也就是被利用的轻松容易度。例如，一些资产会被轻松地去除筛，轻松地隐藏或运送所有这些特性都会与脆弱性有关。脆弱性评估的输入应该从资产的所有者和使用者，设备专家和硬件和软件方面的专家处获得。脆弱性的例子有是：未被保护的连接（例如因特网）。未被训练的用户。口令的错误选和使用。不适当的入口控制（逻辑的和/或物理的）。没有信息或软件的备份。位于易遭受洪水的地方。在附录D中可以找到关于脆弱性的更多的例子。评估脆弱性有多严重，换句话说它们会多容易地被利用，是很重要的。关于会在特定情况下利用它的每个威胁，脆弱性都会被评估。例如，一个系统会有对冒用用户身份和滥用资源的威胁的脆弱性。因为缺少用户确认，冒用用户身份的脆弱性会很高。另一方面，滥用资源的脆弱性会低，因为即使缺少用户确认。资源被滥用的方式是有限的。这一步的结果应该是脆弱性和利用的轻松容易性度的评估的目录，例如在有一个尺度：高，中和低。9.3.6存在的/计划中的安全设施安全措施的鉴定根据风险分析复查，被确认跟随风险分析复查的安全设施安全措施对任何存在的和计划的安全设施安全措施都是额外的补充。这种存在的和计划的安全设施安全措施人微言轻作为这个过程的一部分被鉴定来避免不必要的工作和费用是很重要的，例如在成倍的安全设施安全措施中。也可能存在的和计划的安全设施安全措施被鉴定为不合适。若是这样，应该检查是否这个安全设施安全措施应该被去掉，用另一个更合适的安全设施安全措施替换，或者是否应该呆在原地（例如，因为费用的原因）。另外，应该做一个检查来决定选择，跟随针对风险分析复查的安全设施安全措施是否与存在的和计划的安全设施安全措施相容，也就是，选择的安全设施安全措施和存在的安全设施安全措施不能相互妨碍。在鉴定存在的安全设施安全措施时，应做一个检查来确定这个安全设施安全措施在正确地工作。依赖于正确地工作，但在商业过程中不起作用的安全设施安全措施是一个可能的脆弱性的来源。这一步的结果是所有存在的和计划的安全设施安全措施的目录，和他们的实现及使用状况。9.3.7风险评估这一步的目的是确认和评估IT系统和它的资产被暴露到的风险，来确认，选择和调整安全设施安全措施。风险是处于危险中的资产的价值的功能作用，导致潜在负面商业影响的威胁出现的可能性，脆弱性，被己确认的威胁利用的轻松度，和任何存在的或计划中的可以降低风险的安全设施安全措施。有不同的方法来联系这些因素；例如，分配资产的价值，脆弱性和威胁被联合来获取测量风险的价值。关于不同类型的风险分析方法的详尽考虑基于为资产被评估的价值，脆弱性和威胁，在附录E中可以找到这种方法。不管采用什么方式去评估风险测量，这一步的结果应该是针对考虑的IT系统的泄露影响，修改，不可行性和破坏中的每种影响，建立的每一个的已测量风险的目录，更进一步，风险测量帮助在选择安全设施安全措施时确认哪些风险要首先被处理。使用的方法应该可重复和可追溯。像以前反映的，各种自动软件工具可以被用来支持风险分析过程的全部或部分。如果一个组织决定使用工具，应该小心，使用的方法应与组织的IT安全策略和方针一致。而且，应该做出努力来获得精确输入，因为一个工具只能工作的像它的输入一样允许的那样精确。9.4安全设施安全措施的选择应确认和选择合适的和被证明是正当的安全设施安全措施，来把被评估的风险降到可接受的水平。存在的和计划中的安全设施安全措施，IT安全建筑和各种类型的限制应被考虑来允许适当的选择（见9.3.6、9.4.2和9.4.3）。关于安全设施安全措施选择的额外的建议，可以在ISO/IEC TR 133354中找到。9.4.1安全设施安全措施的鉴定以前步骤中决定的风险测量方法在鉴定需要适当保护的所有安全设施安全措施时应做为基础使用。为了选择有效地抵抗评估的风险的安全设施安全措施，应考虑风险分析的结果。对关联威胁的脆弱性，应显示出哪里需要额外的保护，应该采取什么样的形式。这里可以有根据所考虑的安全设施安全措施的费用来决定的另外一种选择。安全设施安全措施适用的地方包括：物理环境。员工。管理。硬件/软件。通信存在的和计划的安全设施安全措施应该按照费用对比，包括维护，而被再检查，如果它们不足够有效，要有除去（或不实现）或改善它们的观点意识。这里要注意的是，除去一个不合适的安全设施安全措施有时比把它放在适当的地方和或许增加另一安全设施安全措施还要昂贵。同样有可能的是，一个安全设施安全措施在现在复查范围之外给资产提供保护。对安全设施安全措施的鉴定来说，考虑要保护的脆弱性和拥有可能会利用这些脆弱性的关联的威胁是有用的。一般来说，有一些可减少风险的可能性：避免风险。转移风险。减少风威胁险。减少脆弱性。减少可能的影响。查出不希望的事件，对之作出瓜反应，并从中恢复。这些可能性的哪一中种（或它们的联合）最合适依赖于现有环境。安全设施安全措施目录也可能有帮助。然而在以一个目录中选择安全设施安全措施时，使之适应组织的特定需要也很重要。安全设施安全措施选择的另外一个重要方面是费用因素。推荐那些实现和维护起来比它们设计的要保护的资产的价值还昂贵的安全设施安全措施是不合适的。推荐比组织分配给安全的预算还昂贵的安全设施安全措施也是不合适的。然而要非常注意预算是否减少了要实现的安全设施安全措施的数目或质量，因为这可以能导致对潜在接受了比计划的更大的风险危险的暗含的接受。对安全设施安全措施建立的预算，只能作为一个有要相当注意的限制因素。在选择基准方法来保护IT系统的地方，安全设施安全措施的选择相对简单。安全设施安全措施目录建议了一套保护IT系统抵抗最觉见常见威胁的安全设施安全措施，这些推荐的安全设施安全措施同存在的或计划的，和那些不是已不经在适当位置或计划的作比较，来形成一个要被实现以获得基准保护的安全设施安全措施的目录。安全设施安全措施选择应该总是包括操作性（非技术性）和技术性安全设施安全措施的平衡。操作性安全设施安全措施包括那些提供物理，人员和管理安全的安全设施安全措施。物理安全设施安全措施包括内部建筑墙体的强度，密码门锁，灭火系统和警卫。人员安全包括人员招收检查（特别是在信任位置的人），员工监督和安全意识识别程序。程序性安全包括安全操作程序证书，应用开发和接受程序和事故处理程序。与这个种类有关，一个适合的商业连续，包括意外事故计划/灾难恢复，策略和计划被开发对每个系统是很重要的。这个计划应包括恢复的重要功能和优先权的细节，处理需要，和如果灾难或服务中断出现时跟随的组织性程序。这些计划必须包括保护被处理的，然而依就允许组织进行商业运作的，敏感信息所需的步骤。除通信安全之外，技术安全还包含硬件和软件安全。这些安全设施安全措施根据风险来选择，以提供安全功能和保护。这个功能包括，例如，鉴定和证明，逻辑入口访问控制需求，牢记审计追踪/安全记录需要，拨号安全，信息证明，加密，等等。保证需求用文件证明记录安全功能中需要的信任水平和必要的来保证这个水平的检查，安全测试等等的数量和类型。在决定操作性和技术性安全设施安全措施的好的结合时受赞美的混合物量，会有不同的选择来实现技术安全需要。应对每个选择定义一个技术性安全建筑架构来帮助确认安全可如需要的那样提供，并且根据可利用的技术是易于实现的。一个组织可能选择利用己评估的产品和系统作为最终系统解决方法的一部分。被评估的产品是那些己被第三方检查的。这个第三方可以是同一组织的另一部分或者是专门从事产品和系统评估的独立组织。评估可以逆着专门为系统创造的一套预定标准执行，或则它可以是可以在各情况下使用的一般化的一套标准。评估标准可以具体指定功能需要和/或保证需要。一些评估计划是存在的，它们中的很多是由政府和国际标准组织发起的。一个组织要可参它需要想念确信被实现的一套功能是它所需要的，而且时机恰当，可时候和在它需要想念那种保证功能的实现的正确性和完整性的时候，来决定利用己被评估的产品和系统。替换地，或者，集中的实践实现实事实是的安全测试可以在所提供的安全中提供信心保证。当为实现选择实施的安全设施安全措施时，一些应被考虑的因素包括：使用安全设施安全措施的轻松便利性。对用户的透明度。提供给用户的实现其功能的帮助。安全设施安全措施的相关强度。执行的功能的类型预防，阻碍，探测，恢复，校正，监督和认识别。一般地，一个安全设施安全措施会履行不止一个这些功能履行的越多越好。在检查整体的安全性或要使用的一套安全设施安全措施时，如果全然可能的话，应在各种类型的功能间保持平衡。这帮助整体安全更有效和更有效率。同交替使用交易分析（一种使用考虑到特定情况而加重相对重要性的一套标准来比较竞争的可选事物的方法）和成本效益分析都是必需的。一样，可能需要成本效益分析。9.4.2 IT安全构造一个IT安全构造描述了作为整个系统构造的一部分，IT系统的安全需求是如何被满足的。因此，在安全设施安全措施选择过程中考虑IT安全构造是重要的。IT安全构造可用于新系统的开发中和对现存系统作较大变化时，基于风险分析或基准方法的结果，它抓住了安全需要，并把它们改善成为一套为系统满足这些需要的系统技术安全设施安全措施。某些情况，特别是对现存系统做出改变时，一些需要可以以要用的具体的安全设施安全措施的形式出现。一个IT安全构造集中注意于干技术安全设施安全措施和它们如何实现安全目标。做这个时，要考虑相关的非技术性安全设施安全措施。即使这个构造可以用一些不同的角度和方法来建造，一个基本原则也要被考虑。一个独特的安全领域（有相同或相似的需求和安全设施安全措施的地方）的安全问题，一定不允许对另一独特安全领域的安全有负面的影响，另一独特安全领域的安全。一个IT安全构造自然通常包括一个或更多安全领域。安全领域应该紧密跟随结合组织正在使用和已经建立的商业领域。这些商业领域可能跟随根据特别的商业功能分配，如工资表，批量生产，客户服务，或它们可能根据跟随商业服务分配，如电子邮件服务，或办公室服务。安全领域因一个或更多的以下性质而不同：领域内可获得的信息的水平，种类或类型。适用这个领域的操作。领域内有联系的利益团体（COI）。与其他领域和环境的关系。功能的类型或COI在领域内需要的信息入口访问。在建设IT安全构造时，应追求确定的事件包括：独特安全领域间的相互关系和相互依赖。削弱安全设施安全服务的相互关系和相互依赖的影响或暗示。校正，控制或反击弱点，所需的额外的设施或预防。IT安全构造不是孤立的，而