国家标准信息安全管理实用规则
sa3标准
sa3标准
SA3标准是指《信息技术安全技术信息安全管理实用规则》(GB/T 20984-2007)中的一项标准。
该标准规定了信息安全管理的基本原则、目标和要求,以及实施信息安全管理的具体步骤和方法。
根据SA3标准,信息安全管理应包括以下内容:
1. 制定信息安全政策:组织应制定明确的信息安全政策,明确组织的信息安全目标、原则和要求,为信息安全管理提供指导。
2. 建立信息安全组织结构:组织应设立专门的信息安全管理部门或人员,负责组织内部信息安全管理工作。
3. 进行信息安全风险评估:组织应定期对信息系统的安全风险进行评估,识别潜在的安全威胁和漏洞,并采取相应的控制措施。
4. 制定信息安全管理计划:组织应根据风险评估结果,制定详细的信息安全管理计划,包括安全目标、控制措施、责任分工等内容。
5. 实施信息安全控制措施:组织应按照信息安全管理计划,采取各种技术和管理手段,确保信息系统的安全性。
6. 进行信息安全培训和宣传:组织应对员工进行信息安全培训,提高员工的安全意识和技能,同时加强信息安全的宣传工作。
7. 建立信息安全审计机制:组织应定期对信息安全管理工作进行审计,检查安全控制措施的有效性,发现问题并及时整改。
8. 建立应急响应机制:组织应建立完善的应急响应机制,对突发的安全事件进行快速、有效的处置,减少损失。
9. 持续改进信息安全管理:组织应不断总结经验教训,改进信息安全管理工作,提高信息系统的安全性能。
信息安全国家标准目录(2007年10月29日更新)
信息安全技术公钥基础设施特定权限管理中心技术规范
GB/T20519-2006
52.
信息安全技术公钥基础设施时间戳规范
GB/T20520-2006
53.
信息安全技术信息安全风险评估规范
GB/T20984-2007
54.
信息安全技术虹膜识别系统技术要求
GB/T20979-2007
55.
信息安全技术网上银行系统信息安全保障评估准则
信息安全技术数据库管理系统安全技术要求
GB/T20273-2006
40.
信息安全技术信息系统安全保障评估框架第一部分:简介和一般模型
GB/T20274.1-2006
41.
信息安全技术入侵检测系统技术要求和测试评价方法
GB/T20275-2006
42.
信息安全技术智能卡嵌入式软件安全技术要求(EAL4增强级)
信息安全国家标准目录(2007年10月29日更新)
序号
项目名称
标准号
备注
1.
信息技术安全技术实体鉴别第1部分:概述
GB/T15843.1-1999
2.
信息技术安全技术实体鉴别第2部分:采用对称加密算法的机制
GB15843.2-1997
3.
信息技术安全技术实体鉴别第3部分:用非对称签名技术的机制
GB/T15843.3-1998
GB/T17902.2-2005
27.
信息技术安全技术带附录的数字签名第3部分:基于证书的机制
GB/T17902.3-2005
28.
基于多用途互联网邮件扩展(MIME)的安全报文交换
GB/Z19717-2005
29.
信息技术开放系统互连目录第8部分:公钥和属性证书框架
20.信息安全管理体系GBT22080 要求(27001)
信息技术安全技术信息安全管理体系要求Information technology-Security techniques- Information security management systems-Requirements(ISO/IEC 27001:2005)目次引言 (II)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 信息安全管理体系(ISMS) (3)5 管理职责 (8)6 内部ISMS审核 (9)7 ISMS的管理评审 (9)8 ISMS改进 (10)附录 A (规范性附录)控制目标和控制措施 (12)附录 B (资料性附录)OECD原则和本标准 (27)附录 C (资料性附录)ISO 9001:2000, ISO 14001:2004 和本标准之间的对照 (29)引言0.1总则本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系(Information Security Management System,简称ISMS)提供模型。
采用ISMS应当是一个组织的一项战略性决策。
一个组织的ISMS的设计和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响,上述因素及其支持系统会不断发生变化。
按照组织的需要实施ISMS,是本标准所期望的,例如,简单的情况可采用简单的ISMS解决方案。
本标准可被内部和外部相关方用于一致性评估。
0.2过程方法本标准采用一种过程方法来建立、实施、运行、监视、评审、保持和改进一个组织的ISMS。
一个组织必须识别和管理众多活动使之有效运作。
通过使用资源和管理,将输入转化为输出的任意活动,可以视为一个过程。
通常,一个过程的输出可直接构成下一过程的输入。
一个组织内诸过程的系统的运用,连同这些过程的识别和相互作用及其管理,可称之为“过程方法”。
本标准中提出的用于信息安全管理的过程方法鼓励其用户强调以下方面的重要性:a)理解组织的信息安全要求和建立信息安全方针与目标的需要;b)从组织整体业务风险的角度,实施和运行控制措施,以管理组织的信息安全风险;c)监视和评审ISMS的执行情况和有效性;d)基于客观测量的持续改进。
《信息技术安全技术信息安全管理
ISO/IEC 17799:2000 开始修订 2005
ISO/IEC 17799 更改编号为 ISO/IEC 27002
2007
2008年12月1日
二、国家标准GB/T 22081:2008研究及编制背景 简介
2008年12月1日
9
研究背景信息
2002年,在全国信安标委WG7工作组的组织下,启动了 ISO/IEC 17799:2000的转标工作。2005年,作为国家标 准发布,即GB/T 19716:2005《信息技术 信息安全管理 实用规则》。 随着国际ISO/IEC 27000标准族研究的全面推进,以及 它所带来的对国内外企业市场竞争的影响,为了能与国 际信息安全管理体系认证形势相衔接,并给国内企业和 机构的信息安全管理工作提供参考,在长期跟踪研究国 际信息安全管理体系标准族发展动态的同时,2006年, 正式启动对GB/T 19716:2005的修订工作。2008年, GB/T 22081:2008《信息技术 安全技术 信息安全管理 实用规则》发布。
2008年12月1日 11
GB/T 22081:2008的编制过程
2005年,跟踪国际标准17799的发展动态,组织专家等同转化, 多次研讨; 2006年,作为原国信办组织的“信息安全管理标准应用试点”的基 础标准之一,在税务、证券等重要信息系统和北京市、上海市、 武汉钢铁集团公司等单位进行试用; 2007年2月-3月,就标准的编制原则、标准的编制进度安排以及 标准编写组成员单位组成等问题组织专家进行讨论和研究,修改 完善文本,形成标准征求意见稿; 2007年3月30日,邀请重要应用信息系统部门相关领导以及全国 信安标委的部分专家在北京召开征求意见会; 2007年3月至8月,对反馈意见进行汇总和处理,进一步修改完善 标准文本,形成标准送审稿; 2007年9月6日,信安标委秘书处在北京召开送审稿专家审定会, 与会专家就送审稿提出了修改意见和建议,希望编制组根据专家 意见进行修改后尽快形成报批稿。
信息安全管理实用规则(27002)
信息技术安全技术信息安全管理实用规则Information technology-Security techniques-Code of practice for information security management(ISO/IEC 17799:2005)目次引言 (III)0.1 什么是信息安全? (III)0.2 为什么需要信息安全? (III)0.3 如何建立安全要求 (III)0.4 评估安全风险 (IV)0.5 选择控制措施 (IV)0.6 信息安全起点 (IV)0.7 关键的成功因素 (V)0.8 开发你自己的指南 (V)1 范围 (1)2 术语和定义 (1)3 本标准的结构 (2)3.1 章节 (2)3.2 主要安全类别 (3)4 风险评估和处理 (3)4.1 评估安全风险 (3)4.2 处理安全风险 (4)5 安全方针 (4)5.1 信息安全方针 (4)6 信息安全组织 (6)6.1 内部组织 (6)6.2 外部各方 (10)7 资产管理 (15)7.1 对资产负责 (15)7.2 信息分类 (16)8 人力资源安全 (18)8.1 任用之前 (18)8.2 任用中 (20)8.3 任用的终止或变化 (21)9 物理和环境安全 (23)9.1 安全区域 (23)9.2 设备安全 (26)10 通信和操作管理 (29)10.1 操作程序和职责 (29)10.2 第三方服务交付管理 (32)10.3 系统规划和验收 (33)10.4 防范恶意和移动代码 (34)10.5 备份 (36)10.6 网络安全管理 (37)10.7 介质处置 (38)10.8 信息的交换 (40)10.9 电子商务服务 (44)10.10 监视 (46)11 访问控制 (50)11.1 访问控制的业务要求 (50)11.2 用户访问管理 (51)11.3 用户职责 (53)11.4 网络访问控制 (55)11.5 操作系统访问控制 (58)11.6 应用和信息访问控制 (62)11.7 移动计算和远程工作 (63)12 信息系统获取、开发和维护 (65)12.1 信息系统的安全要求 (65)12.2 应用中的正确处理 (66)12.3 密码控制 (68)12.4 系统文件的安全 (70)12.5 开发和支持过程中的安全 (72)12.6 技术脆弱性管理 (75)13 信息安全事件管理 (76)13.1 报告信息安全事态和弱点 (76)13.2 信息安全事件和改进的管理 (78)14 业务连续性管理 (80)14.1 业务连续性管理的信息安全方面 (80)15 符合性 (84)15.1 符合法律要求 (84)15.2 符合安全策略和标准以及技术符合性 (87)15.3 信息系统审核考虑 (88)引言0.1什么是信息安全?象其他重要业务资产一样,信息也是对组织业务至关重要的一种资产,因此需要加以适当地保护。
《信息安全概论》课后习题及答案
信息安全概论课后习题及答案第一章:1、请说出平时在使用计算机的时候遇到的各种安全问题,以及当时的解决方案。
答:略。
2、什么是信息安全?答:信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。
信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多门学科的综合性学科。
3、什么是P2DR2动态安全模型?答:P2DR2动态安全模型研究的是基于企业网对象、依时间及策略特征的(Policy,Protection,Detection,Response,Restore) 动态安全模型结构,由策略、防护、检测、响应和恢复等要素构成,是一种基于闭环控制、主动防御的动态安全模型,通过区域网络的路由及安全策略分析与制定,在网络内部及边界建立实时检测、监测和审计机制,采取实时、快速动态响应安全手段,应用多样性系统灾难备份恢复、关键系统冗余设计等方法,构造多层次、全方位和立体的区域网络安全环境。
4、信息系统的安全威胁有哪些?答:信息系统的安全威胁有物理层安全威胁,网络层安全威胁,操作系统层安全威胁,应用层安全威胁,管理层安全威胁等。
5、信息安全实现需要什么样的策略?答:信息安全的实现需要有一定的信息安全策略,它是指为保证提供一定级别的安全保护所必须遵守的规则。
实现信息安全,不但靠先进的技术,也得靠严格的安全管理、法律约束和安全教育。
6、信息安全的发展可以分为哪几个阶段?答:信息安全在其发展过程中经历了三个阶段:第一阶段: 早在20 世纪初期,通信技术还不发达,面对电话、电报、传真等信息交换过程中存在的安全问题;第二阶段: 20 世纪60 年代后,半导体和集成电路技术的飞速发展推动了计算机软硬件的发展,计算机和网络技术的应用进入了实用化和规模化阶段;第三阶段: 20 世纪80 年代开始,由于互联网技术的飞速发展,信息无论是对内还是对外都得到极大开放,由此产生的信息安全问题跨越了时间和空间。
信息技术 安全技术 信息安全管理实用规则
I
10.9 电子商务服务......................................................... 44 10.10 监视................................................................ 46 11 访问控制................................................................. 50 11.1 访问控制的业务要求................................................... 50 11.2 用户访问管理......................................................... 51 11.3 用户职责............................................................. 53 11.4 网络访问控制......................................................... 55 11.5 操作系统访问控制..................................................... 58 11.6 应用和信息访问控制................................................... 62 11.7 移动计算和远程工作................................................... 63 12 信息系统获取、开发和维护................................................. 65 12.1 信息系统的安全要求................................................... 65 12.2 应用中的正确处理..................................................... 66 12.3 密码控制............................................................. 68 12.4 系统文件的安全....................................................... 70 12.5 开发和支持过程中的安全............................................... 72 12.6 技术脆弱性管理....................................................... 75 13 信息安全事件管理......................................................... 76 13.1 报告信息安全事态和弱点............................................... 76 13.2 信息安全事件和改进的管理............................................. 78 14 业务连续性管理........................................................... 80 14.1 业务连续性管理的信息安全方面......................................... 80 15 符合性................................................................... 84 15.1 符合法律要求......................................................... 84 15.2 符合安全策略和标准以及技术符合性 ..................................... 87 15.3 信息系统审核考虑..................................................... 88
信息安全管理实用规则
11、访问控制
38
章节号 11.5
章节名称 操作系统访问控制
控制目标 防止对操作系统的未授权访 问。
控制措施 安全登录程序 用户标识和鉴 口令管理系统 系统实用工具的使用
会话超时
联机时间的限定 11.6 11.7 应用和信息访问控制 移动计算和远程工作 防止对应用系统中信息的未 授权访问。 确保使用移动计算和远程工 作设施时的信息安全。 信息访问限制 敏感系统隔离 移动计算和通信
7.2 信息分类 目标:确保信息受到适当级别 的保护。 2个控制措施: 7.2.1分类指南 7.2.2信息的标记和处理
2011年11月3日
8、人力资源安全
25
2011年11月3日
9、物理和环境安全
26
9.1 安全区域 目标:防止对组织场所和信息 的未授权物理访问、损坏和干 扰。 6个控制措施: 物理安全边界 物理入口控制 办公室、房间和设施的安全保 护 外部和环境威胁的安全防护 在安全区域工作 公共访问、交接区安全
4、风险评估和处理
21
2011年11月3日
5、安全方针
22
2011年11月3日
6、信息安全组织
23
6.1 内部组织 目标:在组织内管理信息安全。 8个控制措施: 信息安全的管理承诺 信息安全协调 信息安全职责的分配 信息处理设施的授权过程 保密性协议 与政府部门的联系 与特定利益集团的联系 信息安全的独立评审
远程工作
2011年11月3日
12、信息系统获取、开发和维护
39
章节号 12.1
章节名称 信息系统的安全要求
控制目标 确保安全是信息系统的一个 有机组成部分。
控制措施 安全要求分析和说明
信息技术安全技术信息安全管理实用规则
信息技术安全技术信息安全管理实用规则信息技术安全技术是指利用各种技术手段来确保信息系统在保密、完整性、可用性、可审查性和可控性等方面的安全性。
信息安全管理实用规则是一套操作性很强的管理方法和规程,可以帮助组织制定和执行信息安全管理策略,有效地保护组织的信息资产和信息系统。
下面将根据信息安全管理实用规则的内容进行详细介绍。
1.制定明确的安全策略和政策首先,组织需要制定明确的信息安全策略和政策,明确信息安全的目标、原则和要求,为信息安全工作提供明确的指导。
安全策略和政策应当包括信息系统的安全目标、安全组织与负责制、安全培训和教育、安全审计等内容。
2.实施风险评估和管理组织应当对自身信息系统的风险进行全面评估,并采取相应的管理措施来降低风险。
风险评估应当包括对信息系统的漏洞、威胁和影响进行评估,并采取相应的控制措施和风险处理策略,确保信息系统的安全性。
3.建立合理的权限管理机制权限管理是信息安全管理的重要组成部分。
组织应当根据业务需求和风险评估结果,建立合理的权限管理机制。
通过用户身份认证、访问控制和权限控制等手段,确保只有合法的用户可以访问和操作信息系统,并限制用户的权限,防止信息泄露、篡改和滥用。
4.加强网络防护和安全监控组织应当加强网络防护和安全监控,确保信息系统在网络层面的安全。
包括建立防火墙、入侵检测系统、安全网关等网络安全设施,对网络流量进行监控和分析,及时发现和应对网络攻击和威胁。
5.建立安全意识和培训机制安全意识和培训是提高信息安全管理水平的关键环节。
组织应当建立安全意识和培训机制,通过定期的安全培训和教育,提高员工对信息安全的认识和重视程度,增强员工的安全防范意识和应对能力。
6.做好安全审计和事件响应组织应当及时进行安全审计,对信息系统进行定期的安全检查和评估,发现和修复安全漏洞和风险。
同时,建立健全的事件响应机制,对信息安全事件进行及时、有效的处置和响应。
总之,信息安全管理实用规则是组织进行信息安全管理的重要参考。
信息安全管理办法
银行信息安全管理办法第一章总则第一条为加强 *** (下称“本行”)信息安全管理,防范信息技术风险,保障本行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等,特制定本办法。
第二条本办法所称信息安全管理,是指在本行信息化项目立项、建设、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列管理活动。
第三条本行信息安全工作实行统一领导和分级管理,由分管领导负责。
按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实部门与个人信息安全责任。
第四条本办法适用于本行。
所有使用本行网络或信息资源的其他外部机构和个人均应遵守本办法。
第二章组织保障第五条常设由本行领导、各部室负责人及信息安全员组成的信息安全领导小组,负责本行信息安全管理工作,决策信息安全重大事宜。
第六条各部室、各分支机构应指定至少一名信息安全员,配合信息安全领导小组开展信息安全管理工作,具体负责信息安全领导小组颁布的相关管理制度及要求在本部室的落实。
第七条本行应建立与信息安全监管机构的联系,及时报告各类信息安全事件并获取专业支持。
第八条本行应建立与外部信息安全专业机构、专家的联系,及时跟踪行业趋势,学习各类先进的标准和评估方法。
第三章人员管理第九条本行所有工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。
第一节信息安全管理人员第十条本办法所指信息安全管理人员包括本行信息安全领导小组和信息安全工作小组成员。
第十一条应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。
凡是因违反国家法律法规和本行有关规定受到过处罚或处分的人员,不得从事此项工作。
第十二条信息安全管理人员定期参加信息安全相关培训。
第十三条安全工作小组在如下职责范围内开展信息安全管理工作:(一)组织落实上级信息安全管理规定,制定信息安全管理制度,协调信息安全领导小组成员工作,监督检查信息安全管理工作。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
国家标准《信息安全技术安全漏洞分类规范》
(征求意见稿)编制说明
一、工作简况
1.1任务来源
《信息安全技术安全漏洞分类规范》是国家标准化管理委员会2010年下达的信息安全国家标准制定项目,国标计划号为:20100385-T-469。
由国家信息技术安全研究中心主要负责进行规范的起草,中国信息安全测评中心、中国科学院研究生院国家计算机网络入侵防范中心、国家计算机网络应急技术处理协调中心等单位参与起草。
1.2主要工作过程
1、2010年6月,组织参与本规范编写的相关单位召开项目启动会,成立规范编制小组,确立各自分工,进行初步设计,并听取各协作单位的相关意见。
2、2010年7月,根据任务书的要求,规范编制小组开展考察调研和资料搜集工作,按照需求分析整理出安全漏洞分类规范的框架结构。
3、2011年4月,按照制定的框架结构,确定分类的原则和方法,形成《安全漏洞分类规范》草稿V1.0。
4、2011年7月,课题组在专家指导下,积极采纳国外相关漏洞分类的原则,形成《安全漏洞分类规范》草稿V1.1。
5、2011年8月26日,规范编制小组在积极采纳专家意见的基础上,对规范内容进行修改,形成《安全漏洞分类规范》草稿V1.2。
6、2013年8月28日,安标委秘书处组织了该标准的专家评审,编制小组听取了专家意见,对标准文本的内容进行修订、简化,形成《安全漏洞分类规范》草稿V1.3。
7、2014年11月,安标委WG5工作组对《安全漏洞分类规范》标准草案稿进行了投票表决,通过了本标准。
投票表决中相关单位和专家提出了一些修改建议和意见,标准编制组对意见进行了逐条分析和理解,对标准文本进行了完善,形成了《安全漏洞分类规范》征求意见稿及相关文件。
二、编制原则和主要内容
2.1 编制原则
本标准的研究与编制工作遵循以下原则:
(1)通用性原则
立足于当前信息化技术水平,对国内外知名安全漏洞库的分类方法进行总结、归纳、简化,同时参考吸纳国外相关领域的先进成果并融入标准。
(2)可操作性和实用性原则
标准规范是对实际工作成果的总结与提升,最终还需要用于实践中,并经得起实践的检验,做到可操作、可用与实用。
(3)简化原则
根据规范化对象的结构、形式、规则等筛选提炼,经过剔除、替换,保持整体结构合理且维持原意和功能不变。
本标准的编制的内容制定遵循以下原则:
(A) 唯一性原则:安全漏洞仅在某一类别中,其所属类别不依赖人为因素。
(B) 互斥性原则:类别没有重叠,安全漏洞必属于某一分类。
(C) 扩展性原则:允许根据实际情况扩展安全漏洞的类别。
2.2 主要内容
本标准主要内容如下:
三、主要试验(或验证)的分析、综述报告,技术经济论证,预期的经济效果
《信息安全技术安全漏洞分类规范》旨在对安全漏洞的特征属性进行研究,通过统计国内外主要漏洞库的分类依据信息,并结合国内信息安全行业应用情况,提出科学的、合理的安全漏洞分类意见,用以支持计算机信息系统风险管理、安全漏洞管理等方面的工作,为国家计算机信息安全行业发展提供重要的技术参考与标准规范。
四、采用国际标准和国外先进标准的程度,以及与国际、国外同类标准水平的
对比情况,或与测试的国外样品、样机的有关数据对比情况
本标准在编写时参考了NIST SP800-82和SP800-53等相关标准。
五、与有关的现行法律、法规和强制性国家标准的关系
本规范的编制,要配合《GB/T 28458-2012 信息安全技术安全漏洞标识与描述规范》的使用。
GB/T 28458-2012中对安全漏洞标识与描述规范的要求,包括:标识号、名称、发布时间、发布单位、类别、等级、影响系统等必须的描述项(实线框描述项),并可根据需要扩充(但不限于)相关编号、利用方法、解决方案建议、其他描述等描述项(虚线框描述项)。
结合GB/T 28458-2012使用:“名称”描述项是安全漏洞标题,概括性描述安全漏洞信息的短语,例如Internet Explorer 8.0缓冲区溢出漏洞,已经涵盖了漏洞宿主(包括:厂商、产品、版本)的信息,因此在分类规范中不适合引入该角度。
用于安全漏洞分类的漏洞等级与GB/T 28458-2012使用的“等级”描述项重复,因此在分类规范中不适合引入该角度。
安全漏洞形成原因和安全漏洞被利用后的威胁影响说明与GB/T 28458-2012使用的描述项无重复重合,因此可适合于引入该角度。
六、重大分歧意见的处理经过和依据
详见标准意见汇总处理表。
七、国家标准作为强制性国家标准或推荐性国家标准的建议
建议本标准作为推荐性国家标准发布实施。
八、贯彻国家标准的要求和措施建议(包括组织措施、技术措施、过渡办法等
内容)
本标准主要用于解决漏洞分类问题,配合《GB/T 28458-2012 信息安全技术安全漏洞标识与描述规范》使用。
九、其他事项说明
本标准不涉及专利。
标准编制组
2015年2月。