标准解读

《GA/T 713-2007 信息安全技术 信息系统安全管理测评》是中国公安部发布的一项行业标准,旨在为信息系统的安全管理提供一个统一的测评框架和方法论。该标准详细规定了如何对信息系统的安全管理进行科学、系统地评估,以确保信息资产的安全性、完整性和可用性。下面是该标准主要内容的剖析:

目标与范围

标准明确了其主要目标是为组织机构的信息系统安全管理提供评估准则,帮助识别安全控制措施的有效性及潜在的安全漏洞。它适用于各类组织的信息系统,包括政府、企业、教育机构等,用以指导信息安全管理体系的建设和改进工作。

测评原则

  • 系统性:测评应覆盖信息系统的全生命周期,从规划、设计到运行维护的每一个阶段。
  • 客观性:测评过程应基于事实和数据,避免主观臆断。
  • 规范性:依据国家法律法规、行业标准及组织内部政策进行测评。
  • 动态性:考虑到信息安全威胁的不断演变,测评需定期进行,适应新威胁和风险。

测评内容

标准将测评内容分为多个维度,主要包括:

  1. 安全策略与组织管理:检查组织是否建立了完善的信息安全策略、管理制度及组织结构,确保有明确的责任分配和高效的管理机制。
  2. 资产管理:评估组织对信息资产的识别、分类、保护措施是否到位。
  3. 人员安全管理:考察员工安全意识培训、访问权限管理及离职人员处理流程等。
  4. 物理与环境安全:检验物理设施的安全防护措施,如机房安全、防火防灾等。
  5. 通信与操作管理:审查网络通信安全、操作系统及应用软件的安全管理措施。
  6. 访问控制:评估对信息资源访问的控制机制,包括身份认证、授权管理等。
  7. 信息系统开发与维护:涉及软件开发生命周期中的安全管理,确保代码质量和安全性。
  8. 信息安全事故管理:检查应急预案、事件响应及恢复机制的有效性。
  9. 业务连续性管理:确保在面对灾害或重大事故时,关键业务能持续运作。
  10. 合规性与法律遵从:确认组织遵循的相关法律法规及行业标准要求。

测评方法

标准提倡采用文档审核、现场观察、访谈、技术检测等多种方法相结合的方式,以全面准确地评估信息安全管理水平。

结果处理

测评结束后,应形成详细的测评报告,明确指出发现的问题、风险等级及改进建议,为组织提供改进方向。同时,鼓励建立持续改进机制,根据测评结果调整和优化安全管理措施。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 废止
  • 已被废除、停止使用,并不再更新
  • 2007-08-13 颁布
  • 2007-10-01 实施
©正版授权
GA/T 713-2007信息安全技术信息系统安全管理测评_第1页
GA/T 713-2007信息安全技术信息系统安全管理测评_第2页
GA/T 713-2007信息安全技术信息系统安全管理测评_第3页
GA/T 713-2007信息安全技术信息系统安全管理测评_第4页
GA/T 713-2007信息安全技术信息系统安全管理测评_第5页
已阅读5页,还剩27页未读 继续免费阅读

下载本文档

GA/T 713-2007信息安全技术信息系统安全管理测评-免费下载试读页

文档简介

犐犆犛35.020

犔09

中华人民共和国公共安全行业标准

犌犃/犜713—2007

信息安全技术

信息系统安全管理测评

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—

犐狀犳狅狉犿犪狋犻狅狀狊狔狊狋犲犿狊犲犮狌狉犻狋狔犿犪狀犪犵犲犿犲狀狋狋犲狊狋犻狀犵犪狀犱犲狏犪犾狌犪狋犻狅狀

20070813发布20071001实施

中华人民共和国公安部发布

中华人民共和国公共安全

行业标准

信息安全技术

信息系统安全管理测评

GA/T713—2007

中国标准出版社出版发行

北京复兴门外三里河北街16号

邮政编码:100045

网址www.spc.net.cn

电话:6852394668517548

中国标准出版社秦皇岛印刷厂印刷

各地新华书店经销

开本880×12301/16印张2字数52千字

2007年11月第一版2007年11月第一次印刷

书号:155066·218283

如有印装差错由本社发行中心调换

版权专有侵权必究

举报电话:(010)68533533

犌犃/犜713—2007

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅴ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅵ

1范围!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2规范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3术语和定义!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4管理评估的基本原则!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

5评估方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.1调查性访谈!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.1.1调查性访谈主要对象!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.1.2调查性访谈准备!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.1.3调查性访谈阶段划分!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.1.4调查性访谈质量控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

5.2符合性检查!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

5.2.1符合性检查主要对象!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

5.2.2符合性检查方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

5.2.3符合性检查质量控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5.3有效性验证!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5.3.1有效性验证主要对象!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5.3.2有效性验证方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5.3.3有效性验证质量控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.4监测验证!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.4.1监测验证的主要依据!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.4.2监测验证方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.4.3监测验证质量控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

6评估实施!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

6.1确定评估目标!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

6.2控制评估过程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

6.3处理评估结果!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

6.4建立保障证据!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

7分等级评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

7.1第一级:用户自主保护级!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

7.1.1管理目标和范围评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

7.1.2策略和制度评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

7.1.3机构和人员管理评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

7.1.4风险管理评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

7.1.5环境和资源管理评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

7.1.6运行和维护管理评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

7.1.7业务连续性管理评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

犌犃/犜713—2007

7.1.8监督和检查管理评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

7.1.9生存周期管理评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

7.1.10实施原则及方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

7.2第二级:系统审计保护级!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

7.2.1管理目标和范围评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

7.2.2策略和制度评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

7.2.3机构和人员管理评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

7.2.4风险管理评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

7.2.5环境和资源管理评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

7.2.6运行和维护管理评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

7.2.7业务连续性管理评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

7.2.8监督和检查管理评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

7.2.9生存周期管理评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

7.2.10实施原则及方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

7.3第三级:安全标记保护级!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

7.3.1管理目标和范围评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

7.3.2策略和制度评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

7.3.3机构和人员管理评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

7.3.4风险管理评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

7.3.5环境和资源管理评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

7.3.6运行和维护管理评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

7.3.7业务连续性管理评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

7.3.8监督和检查管理评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

7.3.9生存周期管理评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

7.3.10实施原则及方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

7.4第四级:结构化保护级!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

7.4.1管理目标和范围评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

7.4.2策略和制度评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

7.4.3机构和人员管理评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

7.4.4风险管理评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

7.4.5环境和资源管理评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

7.4.6运行和维护管理评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

7.4.7业务连续性管理评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

7.4.8监督和检查管理评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

7.4.9生存周期管理评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

7.4.10实施原则及方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

7.5第五级:访问验证保护级!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

7.5.1管理目标和范围评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

7.5.2策略和制度评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

7.5.3机构和人员管理评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

7.5.4风险管理评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

7.5.5环境和资源管理评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

7.5.6运行和维护管理评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

犌犃/犜713—2007

7.5.7业务连续性管理评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!19

7.5.8监督和检查管理评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!19

7.5.9生存周期管理评估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!19

7.5.10实施原则及方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!19

附录A(资料性附录)安全管理评估内容!!!!!!!!!!!!!!!!!!!!!!!!20

参考文献!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

犌犃/犜713—2007

前言

本标准的附录A为资料性附录。

本标准由公安部信息系统安全标准化技术委员会提出并归口。

本标准起草单位:北京江南天安科技有限公司,北京思源新创信息安全资讯有限公司。

本标准主要起草人:陈冠直、王志强、吉增瑞、景乾元、宋建平。

犌犃/犜713—2007

引言

本标准用于在实施信息系统安全等级保护时,根据GB/T20269—2006《信息安全技术信息系统

安全管理要求》对安全管理体系各等级安全管理要求的落实情况进行评估,规定了评估的主要内容和原

则,明确了评估过程和方法。对于涉及国家秘密的信息和信息系统的保密管理,应按照国家有关保密管

理规定和相关测评标准执行。

信息系统安全管理评估的主体包括信息系统的主管领导部门、信息安全监管机构、第三方评估机

构、信息系统的管理者等,对应的评估可以是检查评估、第三方评估或自评估,本标准中统称评估。

本标准第4章(管理评估

人人文库> 全部分类> 行业资料 > 各类标准

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

最新文档

评论

0/150

提交评论