标准解读
GB/T 20274.3-2008是中国关于信息安全技术领域的一个重要标准,专注于信息系统安全保障评估框架中的管理保障部分。该标准为组织和机构提供了在设计、实施、监控及改进信息安全管理体系(ISMS)时应遵循的指导原则和要求,确保信息系统的安全性和可靠性。
标准核心内容
-
范围与适用性:本部分标准明确了管理保障的范畴,适用于各类组织的信息系统,特别是那些需要确保信息资产保护、维持业务连续性和符合法律法规要求的组织。它强调了高级管理层的参与和责任,以及信息安全政策与业务战略的一致性。
-
管理保障概念:解释了管理保障作为信息安全保障四大支柱(技术、操作、管理、法律)之一的重要性。管理保障关注于建立一个有效的安全管理环境,包括策略、规划、组织结构、责任分配、培训与意识提升等方面。
-
管理要求:详细列出了实现有效管理保障所需的关键要素,如:
- 信息安全策略:制定全面的信息安全策略,明确安全目标、原则和要求。
- 信息安全组织:建立或指定负责信息安全管理的组织结构和角色,包括信息安全官的角色和职责。
- 风险管理:实施风险评估和管理流程,识别、分析信息安全风险,并采取措施来处理这些风险。
- 合规性管理:确保信息安全管理活动符合内外部的法律法规、行业标准和最佳实践。
- 人员安全:通过培训、意识提升和适当的访问控制来管理人力资源相关的安全风险。
- 第三方管理:对供应商和服务提供商进行安全管理和监督,确保它们满足组织的安全要求。
-
实施指南:提供了将上述管理要求转化为具体行动的指南,包括如何制定策略、如何构建风险管理机制、如何执行安全审计和持续改进等。
-
评估方法:介绍了如何根据标准要求对组织的信息系统管理保障能力进行自我评估或第三方评估,包括评估的准备、实施、报告和后续改进过程。
实施意义
遵循此标准,组织能够系统地识别和解决管理层面的信息安全问题,不仅增强了信息资产的保护,还提升了整体业务的稳定性和竞争力。它促进了信息安全从被动应对向主动管理的转变,确保信息安全策略与组织的战略目标相协调,同时提高了对外部威胁和内部弱点的应对能力。
如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。
....
查看全部
- 现行
- 正在执行有效
- 2008-07-18 颁布
- 2008-12-01 实施
文档简介
犐犆犛35.040
犔80
中华人民共和国国家标准
犌犅/犜20274.3—2008
信息安全技术
信息系统安全保障评估框架
第3部分:管理保障
犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—
犈狏犪犾狌犪狋犻狅狀犳狉犪犿犲狑狅狉犽犳狅狉犻狀犳狅狉犿犪狋犻狅狀狊狔狊狋犲犿狊狊犲犮狌狉犻狋狔犪狊狊狌狉犪狀犮犲—
犘犪狉狋3:犕犪狀犪犵犲犿犲狀狋犪狊狊狌狉犪狀犮犲
20080718发布20081201实施
中华人民共和国国家质量监督检验检疫总局
发布
中国国家标准化管理委员会
书
犌犅/犜20274.3—2008
目次
前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ
1范围!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
2规范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
3术语和定义!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
4本部分的结构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
5信息安全管理保障框架!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2
5.1信息管理保障概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2
5.2信息安全管理保障控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2
5.3信息安全保障管理能力级!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3
6信息安全管理保障控制类结构!!!!!!!!!!!!!!!!!!!!!!!!!!!!4
6.1概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4
6.2管理保障控制类结构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4
6.3管理保障控制子类结构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4
6.4管理保障控制组件结构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5
6.5允许的操作!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6
7MRM管理保障控制类:风险管理!!!!!!!!!!!!!!!!!!!!!!!!!!!6
7.1对象确立(MRM_TEM)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6
7.2风险评估(MRM_RAM)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8
7.3风险控制(MRM_RCT)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8
7.4沟通与监控(MRM_CAM)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9
8MSP管理保障控制类:信息安全策略!!!!!!!!!!!!!!!!!!!!!!!!!10
8.1信息安全策略(MSP_SPL)!!!!!!!!!!!!!!!!!!!!!!!!!!!!10
9MSO管理保障控制类:信息安全组织机构!!!!!!!!!!!!!!!!!!!!!!!12
9.1信息安全的管理支持(MSO_SOM)!!!!!!!!!!!!!!!!!!!!!!!!!12
9.2信息安全组织架构(MSO_ORG)!!!!!!!!!!!!!!!!!!!!!!!!!!13
9.3信息安全职责(MSO_RES)!!!!!!!!!!!!!!!!!!!!!!!!!!!!13
9.4沟通协作(MSO_CAC)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14
10MPS管理保障控制类:人员安全!!!!!!!!!!!!!!!!!!!!!!!!!!15
10.1人员审查(MPS_PEC)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15
10.2安全意识和培训(MPS_SAT)!!!!!!!!!!!!!!!!!!!!!!!!!!17
10.3考核和奖惩(MPS_CRP)!!!!!!!!!!!!!!!!!!!!!!!!!!!!17
10.4人事变更(MPS_PCM)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18
11MAM管理保障控制类:资产管理!!!!!!!!!!!!!!!!!!!!!!!!!!18
11.1资产登记管理(MAM_ARM)!!!!!!!!!!!!!!!!!!!!!!!!!!!19
11.2资产管理职责(MAM_AMR)!!!!!!!!!!!!!!!!!!!!!!!!!!!19
11.3资产分类管理(MAM_ACM)!!!!!!!!!!!!!!!!!!!!!!!!!!!20
12MPE管理保障控制类:物理和环境安全!!!!!!!!!!!!!!!!!!!!!!!20
12.1物理安全区域管理(MPE_PSA)!!!!!!!!!!!!!!!!!!!!!!!!!21
Ⅰ
书
犌犅/犜20274.3—2008
12.2支撑基础设施安全(MPE_SIS)!!!!!!!!!!!!!!!!!!!!!!!!!!23
12.3设备安全(MPE_EMS)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24
13MCM管理保障控制类:符合性管理!!!!!!!!!!!!!!!!!!!!!!!!!25
14MSP管理保障控制类:信息安全规划管理!!!!!!!!!!!!!!!!!!!!!!28
15MSD管理保障控制类:系统开发管理!!!!!!!!!!!!!!!!!!!!!!!!30
16MOP管理保障控制类:运行管理!!!!!!!!!!!!!!!!!!!!!!!!!!33
17MBD管理保障控制类:业务持续性和灾难恢复管理!!!!!!!!!!!!!!!!!!44
17.1业务持续性管理(MBD_BCM)!!!!!!!!!!!!!!!!!!!!!!!!!!44
18MER管理保障控制类:应急响应管理!!!!!!!!!!!!!!!!!!!!!!!!47
18.1汇报安全事件和安全漏洞(MER_REW)!!!!!!!!!!!!!!!!!!!!!!47
18.2应急响应管理(MER_IMI)!!!!!!!!!!!!!!!!!!!!!!!!!!!!48
19安全管理能力级说明!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!50
19.1概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!50
19.2安全管理能力级别说明!!!!!!!!!!!!!!!!!!!!!!!!!!!!!50
19.3信息系统安全保障管理能力级别应用!!!!!!!!!!!!!!!!!!!!!!!52
参考文献!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!54
图1信息系统安全管理保障控制类!!!!!!!!!!!!!!!!!!!!!!!!!!!3
图2管理保障控制类结构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4
图3管理保障控制子类结构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5
图4管理保障控制组件结构!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5
图5风险管理(MRM)管理保障控制类分解!!!!!!!!!!!!!!!!!!!!!!!7
图6信息安全策略(MSP)管理保障控制类分解!!!!!!!!!!!!!!!!!!!!!10
图7信息安全组织机构(MSO)管理保障控制类分解!!!!!!!!!!!!!!!!!!!12
图8人员安全(MPS)管理保障控制类分解!!!!!!!!!!!!!!!!!!!!!!!15
图9资产管理(MAM)管理保障控制类分解!!!!!!!!!!!!!!!!!!!!!!!18
图10物理和环境安全(MPE)管理保障控制类分解!!!!!!!!!!!!!!!!!!!!21
图11符合性管理(MCM)管理保障控制类分解!!!!!!!!!!!!!!!!!!!!!25
图12信息安全规划管理(MSP)管理保障控制类分解!!!!!!!!!!!!!!!!!!!29
图13系统开发管理(MSD)管理保障控制类分解!!!!!!!!!!!!!!!!!!!!!31
图14运行管理(MOP)管理保障控制类分解!!!!!!!!!!!!!!!!!!!!!!33
图15业务持续性和灾难恢复管理(MBD)管理保障控制类分解!!!!!!!!!!!!!!!44
图16应急响应管理(MER)管理保障控制类分解!!!!!!!!!!!!!!!!!!!!47
图17信息系统安全保障管理能力要求级别示例图!!!!!!!!!!!!!!!!!!!!53
Ⅱ
犌犅/犜20274.3—2008
前言
GB/T20274《信息系统安全保障评估框架》分为以下四个部分:
———第1部分:简介和一般模型;
———第2部分:技术保障;
———第3部分:管理保障;
———第4部分:工程保障。
本部分是GB/T20274的第3部分。
本部分由全国信息安全标准化技术委员会提出并归口。
本部分起草单位:中国信息安全产品测评认证中心。
本部分主要起草人:吴世忠、王海生、陈晓桦、王贵驷、李守鹏、江常青、彭勇、张利、姚轶崭、班晓芳、
李静、王庆、邹琪、钱伟明、江典盛、陆丽、孙成昊、门雪松、杜宇鸽、杨再山。
Ⅲ
犌犅/犜20274.3—2008
信息安全技术
信息系统安全保障评估框架
第3部分:管理保障
1范围
温馨提示
- 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
- 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
- 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。
评论
0/150
提交评论