1、ICS 35040L 80 蝠固中华人民共和国国家标准GBT 2027432008信息安全技术信息系统安全保障评估框架第3部分:管理保障Information security technology-Evaluation framework for information systems security assurance-Part 3:Management assurance2008071 8发布 200812-0 1实施车瞀鹳鬻魏訾糌瞥篓发布中国国家标准化管理委员会“前言一1 范围- 2规范性引用文件3术语和定义-4本部分的结构-5信息安全管理保障框架51信息管理保障概述-52信息安全管
2、理保障控制53信息安全保障管理能力级6信息安全管理保障控制类结构6i概述62管理保障控制类结构63管理保障控制子类结构-64管理保障控制组件结构-65允许的操作7 MRM管理保障控制类:风险管理71对象确立(MRMTEM)72风险评估(MRMRAM)-73风险控制(MRMRCI)-74沟通与监控(MRMCAM)8 MSP管理保障控制类:信息安全策略81信息安全策略(MSPSPI,)9 Ms(J管理保障控制类:信息安全组织机构91 信息安全的管理支持(Ms0一SOM)92信息安全组织架构(MSO一()RG)93信息安全职责(Ms()一RES)94 沟通协作(Ms()CAC)_10 MPS管理保障
3、控制类:人员安全 -101人员审查(MPS PEC)-102安全意识和培训(MPS SAq、)1 03考核和奖惩(MPS_CRP)-t04人事变更(MPS-PCM) -11 MAM管理保障控制类:资产管理111 资产登记管理(MAMARM)II2资产管理职责(MAMAMR)-113资产分类管理(MAMACM)-12 MPE管理保障控制类:物理和环境安全1 21 物理安全区域管理(MPE PSA)目 次GBT 2027432008,000000000000080加m眩他嵋他HM博鸺均均趵加引GBT 20274320081 22支撑基础设施安全(MPE_SIS)123设备安全(MPEEMS)-13
4、 MCM管理保障控制类:符合性管理-14 MSP管理保障控制类:信息安全规划管理15 MSD管理保障控制类:系统开发管理16 MOP管理保障控制类:运行管理1 7 MBD管理保障控制类:业务持续性和灾难恢复管理1 71业务持续性管理(MBD_BCM)18 MER管理保障控制类:应急响应管理181汇报安全事件和安全漏洞(MERREW)182应急响应管理(MERIMI)-19安全管理能力级说明1 91 概述 1 92安全管理能力级别说明193信息系统安全保障管理能力级别应用 参考文献图l信息系统安全管理保障控制类-图2管理保障控制类结构图3管理保障控制子类结构图4管理保障控制组件结构图5风险管理(
5、MRM)管理保障控制类分解图6信息安全策略(MSP)管理保障控制类分解图7信息安全组织机构(MSO)管理保障控制类分解图8人员安全(MPS)管理保障控制类分解图9资产管理(MAM)管理保障控制类分解-图10物理和环境安全(MPE)管理保障控制类分解图11 符合性管理(MCM)管理保障控制类分解图12信息安全规划管理(MSP)管理保障控制类分解图1 3系统开发管理(MSD)管理保障控制类分解图1 4运行管理(MOP)管理保障控制类分解-图1 5业务持续性和灾难恢复管理(MBD)管理保障控制类分解图1 6应急响应管理(MER)管理保障控制类分解图1 7信息系统安全保障管理能力要求级别示例图-船孔弱
6、必鲳舭“盯盯蚰如铊弧000,加坦坫侣驵筋舭粥“盯前 言GBT 2027432008GBT 20274信息系统安全保障评估框架分为以下四个部分:第1部分:简介和一般模型;第2部分:技术保障;第3部分:管理保障;第4部分:工程保障。本部分是GBT 20274的第3部分。本部分由全国信息安全标准化技术委员会提出并归口。本部分起草单位:中国信息安全产品测评认证中心。本部分主要起草人:吴世忠、王海生、陈晓桦、王贵驷、李守鹏、江常青、彭勇、张利、姚轶崭、班晓芳、李静、王庆、邹琪、钱伟明、江典盛、陆丽、孙成吴、门雪松、杜宇鸽、杨再山。1范围信息安全技术信息系统安全保障评估框架第3部分:管理保障GBT 202
7、7432008GBT 20274的本部分建立了信息系统安全管理保障的框架确立了组织机构内启动、实施、维护、评估和改进信息安全管理的指南和通用原则。本部分定义和说明了信息系统安全管理保障中反映组织机构信息安全管理保障能力的安全管理能力级,以及提供组织机构信息安全管理保障内容的管理保障控制类要求。本部分适用于涉及信息系统安全管理工作的组织机构的所有用户、开发者和评估者。2规范性引用文件下列文件中的条款通过GBT 20274的本部分的引用而成为本部分的条款。凡是注日期的引用文件其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分,然而,鼓励根据本部分达成协议的各方研究是否可使用这些文件的最
8、新版本。凡是不注日期的引用文件,其最新版本适用于本部分。GBT 202741 信息安全技术信息系统安全保障评估框架第1部分:简介和一般模型3术语和定义GBT 202741确立的以及以下术语和定义适用于GBT 20274的本部分。31控制管理风险的方法,包括策略、流程、指南、实践或组织机构结构,控制可以是管理的、技术的或工程的。注1:控制也是控制措施、保护措施的同义语。注2:本部分中主要讨论管理风险的管理方面的控制,即管理控制。32信息处理设施信息处理设施是所有服务或基础设施,或放置它们的物理场所。4本部分的结构GBT 20274的本部分的组织结构如下:a) 第1章介绍了GBT 20274的本部
9、分的范围;l,)第2章介绍了GBT 20274的本部分所规范引用的标准;c)第3章描述了适用于GBT 20274的本部分的术语和定义;d) 第4章描述了GBT 20274的本部分的组织结构;e) 第5章描述了信息系统安全管理保障框架,并进一步概述了管理保障控制类和管理能力级;D第6章描述了信息安全管理保障控制类的规范描述结构和要求#1GBT 2027432008g) 第7章到第1 8章详述了提供信息安全管理保障内容的12个信息安全管理保障控制类的详细要求;h) 第19章详述了反应组织机构信息安全管理保障能力的安全管理能力级;i) 参考文献给出GBT 20274的本部分的参考文献。5信息安全管理
10、保障框架51 信息管理保障概述本标准第1部分中提出了信息安全保障模型(参见本标准第1部分图3)在模型中,描述了信息系统安全中保障要素(技术、工程、管理和人员)、信息特征和生命周期三者的关系。信息安全管理保障框架是信息系统安全保障框架的一个重要组成部分,它充分反映了以风险和策略为核心、覆盖信息系统整个生命周期的信息安全保障框架的核心思想,同时也结合了信息安全管理保障的特殊内容和要求建立了信息安全管理保障的能力成熟度模型。信息安全管理保障能力成熟度模型包含了两个相互依赖的维度即“安全管理保障控制维”和“安全管理保障能力成熟度级维”,它反映了信息安全管理保障要求的信息安全管理保障控制要求和信息安全管
11、理能力成熟度要求这两个方面的要求。a) “安全管理保障控制维”由信息安全管理保障控制组成,它建立了组织机构信息安全管理保障框架的内容和工作范围。信息安全管理保障控制使用类子类一组件的层次化结构,每个信息安全管理保障控制类反映了信息安全管理保障特定领域工作的范围和内容,是信息安全管理保障特定领域工作最佳实践的总结。在本部分中,共包含了1 2个信息安全管理保障控制类,它们解决了信息安全管理保障中“做什么”这个关于内容和范围的答复。b) “安全管理保障能力成熟度级维”由六级能力成熟度级别组成,它代表了组织机构实施信息安全管理保障控制的能力。安全管理保障能力成熟度级同特定的安全管理保障控制类相结合,解
12、决了信息安全管理保障中“做得如何好”这个关于能力的答复,同时能力成熟度的持续改进机制也为组织机构提供了可以持续改进的长效机制。通过设置这两个相互依赖的维,信息安全管理保障框架在各个能力级别E覆盖了整个安全活动范围。重要的是,信息安全管理保障框架并不意味着在一个组织在其信息系统生命周期的安全管理实践中必须执行这个模型中所描述的所有过程也不意味着执行通用实践的要求。一个组织机构一般町依据其自身特点选择合适的方式和次序来计划、跟踪、定义、控制和改进它们的过程。然而,由于一些较高级别的通用实践依赖于较低级别的通用实践,因此组织机构应在试图达到较高级别之前,应首先实现较低级别通用实践。52信息安全管理保
13、障控制信息安全管理保障控制建立了组织机构信息安全管理保障框架的内容和工作范围。在信息系统安全保障评估框架第一部分简介和一般模型中,给出了信息系统安全的三维结构图,即描述了信息系统安全中保障要素(技术、工程、管理和人员)、信息特征和生命周期三者的关系。信息系统安全管理保障作为保障要素的一个组成部分。不仅同同处于一个平面的其他保障要素有关联,信息系统安全管理保障更通过深入至信息系统生命周期的每一个阶段从而保证信息的保密性、完整性和可用性来实现信息系统的安全。因此,为了完整地对信息系统管理进行评估,就需要将安全管理本身作为评估对象TOE以风险和策略为核心,并基于信息系统的生命周期分别针对其每一个阶段
14、的重点建立各种信息安全管理控制,以确保在信息系统生命周期的整体安全,从而保证了信息系统的安全性。图1描述了信息系统安全管理保障控制框架。2GBT 2027432008图1 信息系统安全管理保障控制类从图1可见信息系统安全管理保障控制框架包括三个部分:a)信息系统安全管理保障应以风险和策略为核心。这也是信息系统安全保障的核心,因此信息安全策略(MSP)和风险管理(MRM)安全保障控制类作为独立的安全管理保障控制类并作为所有其他安全管理保障控制类的核心充分反映了这一基础概念。b) 信息安全管理保障应覆盖信息系统整个生命周期。信息系统典型的生命周期模型分为规划组织、开发采购、实施交付、运行维护、废弃
15、五个阶段应用于系统产生的闭合循环周期结构。因此,与之对应并结合了组织机构信息系统的特殊要求,提供了信,自,安全规划管理(MIP)、系统开发管理(MSD)、运行管理(MOP)、应急响应管理(MER)以及、世务持续和灾难恢复管理(MBD)信息安全管理保障控制类。c) 信息系统安全保障管理基础为所有信息系统安全保障管理提供基础的支持。从信息系统安全保障管理的角度来看,组织机构的信息安全组织机构(Ms()、人员安全(MPS)、资产管理(MAM)、物理和环境安全(MPE)以及符合性管理(MCM)是所有信息系统安全管理保障活动所必须依赖的基础。通过上述信息系统安全保障管理框架模型的建立,即信息系统安全保障
16、管理评估对象TOE的建立,就可以分别对这些具体的信息系统安全保障管理的工作产品或管理过程能力进行评估以达到对信息系统安全性评估管理评估的具体操作实践和目的。53信息安全保障管理能力级在管理保障控制组件中,给出r信息安全管理所涉及的管理保障控制类,它是信息安全管理过程中提炼出来的最佳的实践反映。管理能力是遵循一个管理过程可达到的可量化范围,通过对组织机构执行安全管理每个管理保障控制类能力反映了组织机构在执行信息安全管理达到预定的成本、功能和质量目标上的度量。3GBT 2027432008在管理保障中,信息安全管理能力级模型将列出并描述安全管理的各个能力级别这样通过对安全管理保障控制类的执行范围和
17、每个相应安全管理保障控制类的执行能力的综合,就可以更完善地对组织机构信息安全管理进行科学、公正、可度量分级的评估。在本部分的信息安全管理能力成熟度级中,共分为以下六个级别:a)能力级别0:未实施;b)能力级别l:基本执行;C)能力级别2:计划和跟踪;d)能力级别3:充分定义;e)能力级别4:量化控制;f)能力级别5:持续改进。关于信息安全管理能力成熟度级的详细描述,参见本部分的第1 9章。6信息安全管理保障控制类结构61概述本章定义了本部分所使用的信息安全管理保障类的结构。信息安全管理保障类以管理保障控制类、管理保障控制子类、管理保障控制组件以及可选的管理增强元素来表达。62管理保障控制类结构
18、每个管理保障控制类包括一个管理保障控制类名、管理保障控制类介绍以及一个或多个管理保障控制子类。图2描述了本部分中所使用的管理保障控制类的结构。图2管理保障控制类结构管理保障控制类结构的详细描述如下:a)管理保障控制类名:管理保障控制类名提供了标识和划分管理保障控制类所必需的信息,每个管理保障控制类都有个唯一的名称。管理保障控制类的分类信息由三个英文字符的简名组成,此简名将用于该管理保障控制类的子类的简名规范中;b)管理保障控制类介绍:管理保障控制类介绍部分提供F该管理保障控制类定义、要求和目的等的整体描述。管理保障控制类介绍中用图来具体描述此控制类中的子类、组件组成结构;c) 管理保障控制子类
19、:管理保障控制子类部分对该管理保障控制类所包含的子类进行了详细描述。一个管理保障控制类包含了一个或多个管理保障控制子类。63管理保障控制子类结构每个管理保障控制子类包含一个管理保障控制子类名、一个安全保障管理目的和一个或多个实现此安全管理保障目的的管理保障控制组件控制措施组成。图3描述了管理保障控制子类的描述结构。GBT 2027432008图3管理保障控制子类结构管理保障控制子类结构的详细描述如下:a) 管理保障控制子类名:管理保障控制子类名部分提供了标识和划分管理保障控制子类所必需的分类和描述信息,每个管理保障控制子类有一个唯一的名称。管理保障控制子类的分类信息由七个英文字符的简名组成前三
20、个英文字符与其所属的管理保障控制类名相同,第四个字符是下划线用于连接管理保障控制类名和管理保障控制子类名,最后三个英文字符是管理保障控制子类名,例如XXXYYY。唯一的简名管理保障控制子类名为管理保障控制组件提供了引用名;b)安全保障管理目的:安全管理保障目的描述了此管理保障控制子类所要达到的目的;c) 管理保障控制组件:一个管理保障控制子类包含了一个或多个管理保障控制组件。管理保障控制组件是实现安全管理保障目的的信息安全保障管理控制措施。64管理保障控制组件结构管理保障控制组件是实现安全管理保障目的的信息安全保障管理控制措施。每个管理保障控制组件包括一个管理保障控制组件名、一个管理保障控制组
21、件控制、个可选的管理保障控制组件注解和一个或多个可选的管理增强元素组成。图4描述了管理保障控制组件的描述结构。图4管理保障控制组件结构GBT 2027432008管理保障控制组件结构的详细描述如下:a) 管理保障控制组件名:管理保障控制组件名用于标识管理保障控制组件。管理保障控制组件的简名是由管理保障控制子类名,后面使用句点作为连接符,在句点连接符后用阿拉伯数字按顺序标明不同的组件;b) 管理保障控制组件控制:管理保障控制组件控制部分定义了满足其管理保障控制子类安全管理保障目的特定的控制措施;c)管理保障控制组件注解:可选的管理保障控制组件注解部分为该管理保障控制组件提供了进一步描述性的解释说
22、明以及实施该控制措施的最佳实践的建议等。管理保障控制组件注解中所提供的最佳实践等内容可能不一定适合所有的情况,本部分的使用者可以根据其自身信息安全管理保障的特殊需求和要求使用其他更合适的实施方法;d) 管理增强元素:可选的管理增强元素为管理保障控制组件提供了控制强度的措施。管理增强元素主要用于两种情况:1) 为管理保障控制组件提供附加但相关的控制;和或2)增加管理保障控制组件的强度。当组织机构基于风险评估的结果,考虑损失的潜在影响而需要更强大的保护或者需求对管理保障控制组件进行加强时可以选择管理增强元素以增加管理保障控制组件的强度。管理增强元素的简名是由管理保障控制组件名,后面用句点作为连接符
23、,在句点连接符后用阿拉伯数字按顺序标明不同的元素。65允许的操作本部分安全管理保障控制组件可以像在本部分中定义的那样使用或者通过使用安全保障控制组件允许的操作,对安全保障管理控制组件进行裁剪,以满足特定的安全策略或对付特定的威胁。安全管理保障控制组件标识并定义r组件是否允许“赋值”、“选择”和“细化”等操作,在哪些情况下可对组件使用这些操作,以及使用这些操作的后果。这两种允许的操作如下所述:a) 赋值:当组件被应用时,允许规定所填入的参数;b) 选择:允许从组件表中选定若干项;C) 反复:允许一个组件与不同的操作一起多次使用;d)细化:允许增加细节。一些需要的操作可以在ISPP内完成(整体或部
24、分地),或者留在ISST内完成,不过所有操作必须在SST内完成。7 MRM管理保障控制类:风险管理信息安全管理保障是以风险和策略为核心。本类的目的是建立一套风险管理体系,通过对象确立、风险评估、风险控制三个基本步骤并将沟通与监控贯穿于这三个步骤中,进行信息安全风险管理与防范将系统风险降低到可接受的水平。图5描述了风险管理管理保障控制类的组成结构。71对象确立(MRMJEM)711安全保障管理目的根据要保护系统的业务目标和特性确定风险管理对象。识别信息系统资产,并评价资产价值。根据信息系统安全需求,确定风险评价准则。6GBT 2027432008图5风险管理(MRM)管理保障控制类分解712 M
25、RMJEM1确定风险管理对象7121 管理保障控制组件控制确定信息安全风险管理的范围和对象,以及对象的特性和安全要求。7122管理保障控制组件注解确定风险管理对象时应综合考虑组织机构的使命、业务、组织结构、管理制度和技术平台,以及国家、地区或行业的相关政策、法律、法规和标准等。风险管理对象确定后应进行进一步的对象调查,主要包括:a)信,自,系统调查:调查风险管理对象的业务目标、业务特性、管理特性、技术特性;b) 信息系统分析:分析信息系统的体系结构和关键要素;c) 信息安全分析:分析信息系统的安全环境和安全要求。713 MRM TEM2识别和评价资产7131 管理保障控制组件控制识别与风险管理
26、对象相关的系统资产,并根据资产安全价值进行估值。7132管理保障控制组件注解对资产估价的过程也就是对资产保密性、完整性和可用性影响分析的过程。应从敏感性、关键性和7GBT 2027432008昂贵性等方面制定一个资产价值尺度(资产评估标准)以明确如何对资产进行赋值。714 MRM_TEM3制定安全基线7141 管理保障控制组件控制组织机构应在风险评估前制定系统安全基线。7142管理保障控制组件注解所谓安全基线是指满足信息系统的基本安全要求,使系统达到一定安全水平的一组安全控制措施。制定系统安全基线是有效实施风险评估的前提制定系统安全基线时应考虑系统使命、系统安全环境、国家法律法规和系统所属行业
27、的安全要求。72风险评估(MRM_RAM)721安全保障管理目的识别、分析和评价信息系统所面临的风险。722 MRMRAM1识别风险7221 管理保障控制组件控制组织机构应识别信息系统面临的威胁和存在的脆弱性。7222管理保障控制组件注解组织机构应参照威胁库,识别系统资产所面临的威胁;参照漏洞库,识别系统资产存在的脆弱性。723 MRM_RAM2分析风险7231 管理保障控制组件控制组织机构应分析威胁源动机、威胁行为的能力、脆弱点被利用的可能陛以及脆弱点被利用后对系统造成的影响。7232管理保障控制组件注解组织机构应根据信息系统调查结果和可能面临的威胁,从利益、复仇、好奇和自负等驱使因素分析威
28、胁源动机的强弱;从攻击的强度、广度、速度和深度等方面,分析威胁行为能力的高低;按威胁脆弱性对分析脆弱性被威胁利用的难易程度;从资产损失、使命妨碍和人员伤亡等方面,分析影响程度的深浅。724 MRM_RAM3评价风险7241 管理保障控制组件控制组织机构应评价威胁源动机的等级、威胁行为能力的等级、脆弱性被利用的等级、资产价值等级和影响程度等级,并综合评价风险等级。7242管理保障控制组件注解组织机构应汇总前期调查结果和等级列表,从风险评估算法库中选择合适的风险评估算法,综合评价风险的等级。风险评估算法库是各种风险评估算法的汇集包括公认算法和自创算法。评价等级级数可以根据评价对象的特性和实际评估的
29、需要而定,如(高、中、低)三级,(很高、较高、中等、较低、很低)五级等。73风险控制(MRM RCT)731安全保障管理目的依据风险评估结果,选择并实施恰当的安全措施,将风险控制在可接受的范围内。732 MRM_RCT1确立控制目标7321 管理保障控制组件控制组织机构应确定可接受风险等级,判断现存风险是否可接受。确立风险控制目标。7322 管理保障控制组件注解组织机构应依据系统安全基线,确定可接受风险的等级。即把风险评估得出的风险等级划分为可接受和不可接受两种。依据风险接受等级判断现存风险是否可接受。不可接受风险就是风险控制目标。8GBT 2027432008733 MRM_RCT2选择控制
30、措施7331 管理保障控制组件控制组织机构应选择风险控制方式和风险控制措施。7332管理保障控制组件注解组织机构应依据系统安全基线和风险控制目标,选择合适的风险控制方式(包括规避方式、转移方式和降低方式),并说明选择的理由以及被选控制方式的使用方法和注意事项等。并进一步选择风险控制措施,并说明选择的理由以及被选控制措施的成本、使用方法和注意事项等。73_4 MRMRCT3实施控制措施7341 管理保障控制组件控制制定风险控制实施计划,实施风险控制措施。7342管理保障控制组件注解组织机构应依据系统安全基线、风险控制目标、风险控制方式,制定风险控制实施计划。风险控制实施计划包括风险控制的范围、对
31、象、目标、实施方法、成本预算和进度安排等,在实施风险控制措施时应记录实施的过程和结果。735 MRMRCT4验证控制措施7351 管理保障控制组件控制验证风险控制的结果是否满足信息系统的安全要求。7,352管理保障控制组件注解验证可采取审查、测试、评审等手段,既可以由机构内部完成,也可以委托外部专业机构来完成这主要取决于信息系统的性质和机构自身的专业能力。验证风险控制措施时,应结合所采取控制措施对业务的重要性以及业务遭受损失后所带来的影响。审核通过的依据有两个:a) 信息系统的残余风险是可接受的;b) 安全措施(包括风险评估和风险控制)满足信息系统当前业务的安全需求。74沟通与监控(MRMAM
32、)741安全保障管理目的为对象确立、风险评估、风险控制的实施提供人员沟通机制和过程控制。742 MSP_CAM1沟通7421 管理保障控制组件控制涉及风险管理的相关人员应注重风险管理过程中的沟通。7422管理保障控制组件注懈应为直接参与风险管理人员提供交流途径。以保持他们之间的协调一致,共同实现安全目标;为所有相关人员提供学习途径,以提高他们的风险意识、知识和技能,配合实现安全目标。743 MSP_CAM2监控7431 管理保障控制组件控制组织机构应跟踪风险管理对象自身或所处环境的变化,采取适当的措施进行控制和纠正,以保证风险控制措施的有效性。7432管理保障控制组件注解在贯穿对象确立、风险评
33、估、风险控制的监控过程中组织机构应关注:a)过程质量管理。应监视和控制风险管理过程,以保证过程的有效性;b) 成本效益管理。应分析和平衡成本效益以保证成本的有效性;c)结果的有效性。应监控信息系统自身或环境的变化使得现有控制措施是否失效。0GBT 20274320088 MSP管理保障控制类:信息安全策略信息安全管理保障是以风险和策略为核心。信息安全保障策略体系规范和指导了整个组织机构的信息安全保障工作。信息安全策略管理保障控制类提供了信息安全策略在制定和维护方面的管理,为信息安全提供符合业务要求和相关法律法规的管理指导和支持。图6描述了信息安全策略管理保障控制类的组成结构。图6信息安全策略(
34、MSP)管理保障控制类分解81信息安全策略(MSP_SPL)811安全保障管理目的通过定义一套规则来规范信息安全体系的建设、运行和管理,为信息安全建设指明方向,使信息安全工作符合业务要求和相关的法律法规要求。管理层应建立清晰的安全策略,安全策略应符合组织机构的业务目标。通过在整个组织机构中发布和维护信息安全策略可以表明管理层对信息安全的支持力度和信息安全承诺。812 MSP_SPL1制定安全策略8121 管理保障控制组件控制组织机构应制定安全策略文件。8122管理保障控制组件注解制定信息安全策略时,应考虑如下几点:a) 确定应用范围。在制订安全策略之前一个必要的步骤是确认该策略所应用的范围例如
35、是在整个组织还是在某个部门。如果没有明确范围就制订策略无异于无的放矢;b) 获得管理支持。获得管理层的支持,不仅可以从管理层获得足够的承诺,可以为后面的工作铺平道路。还可以了解组织总体上对安全策略的重视程度而且与管理层的沟通也是将安全工作进一步导向更理想状态的一个契机;c)进行安全分析。在安全分析中应确定需要保护的信息资产,信息资产的价值、需要方法的威胁源、受到攻击的可能性,在攻击发生时可能造成的损失,能够采取什么防范措施,防范措施的成本和效果评估等等;d) 关键人员参与。在制定信息安全策略时至少应有技术部门和业务部门的人员参与,应共同探讨安全分析结果,在这些会议上应该向这些人员灌输在分析阶段
36、所得出的结论并争取这些人员的认同。如果有其他属于安全策略应用范围内的业务单位,也应该让其加人到这项工作;e) 信息安全策略文件应符合国家、信息安全主管单位、行业、上级主管机关的法律法规要求;信息1 nGBT 2027432008安全策略文件应符合组织机构的业务要求和风险管理的要求,参考相关的信息安全标准和相似组织的安全管理经验;f)信息安全策略的内容应有别于技术方案,信息安全策略只是描述一个组织保证信息安全途径的指导性文件。它不涉及具体技术实现细节只需要指出要完成的目标。813 MSP_SPL2审核批准安全策略8131 管理保障控制组件控制安全策略文件应由组织机构决策层审核批准。8132管理保
37、障控制组件注解负责审批的管理者应与IT部门、业务部门人员进行充分沟通。必要时还可以聘请专家进行咨询,以便对安全策略的正确性、有效性做出正确的决策。814 MSPSPL3发布与落实安全策略8141 管理保障控制组件控制安全策略文件应向组织机构全体员工发布,各级员工应以安全策略为指导进行日常工作。8142管理保障控制组件注解信息安全策略文件应通过组织机构的主要信息发布渠道进行广泛发布例如组织的内部信息系统、例会、培训活动等等。信息安全策略文件只是描述保证组织机构信息安全的指导性文件,应在其指导下建立各项安全规章制度和操作流程,婕安全策略能够在组织机构中成功执行。815 MSPPL4维护更新安全策略
38、8151 管理保障控制组件控制应定期或当系统发生重大变更时审核安全策略以保持策略的适用性、充分性和有效性。8152管理保障控制组件注解组织机构中应设置一名管理人员负责对安全策略适用性、充分性和有效性进行审核和评价。当组织机构的组织体系、业务环境、技术环境发生变化时对安全的需求也会发生变化,组织的安全策略需要进行相应地调整。为了在发生变化时,安全策略和控制措施能够及时反映这种变化,应组织定期和非定期的安全审核。安全审核主要依据:a) 来自IT部门和业务部门等相关方的反馈意见;b) 所采取预防和改进措施的效果;c) 以前的安全审核结论;d) 信息安全策略的符合性;e) 影响组织机构信息安全管理方法
39、发生变化的因素,包括组织机构物理环境、业务环境、资源可用性、技术环境以及合同或法律法规方面的因素;f) 威胁和脆弱性的变化趋势;g) 曾经发生的信息安全事件;h)有关权威机构的建议。安全审核的结果应包括:a)组织机构信息安全管理方法的改进;b)控制目标和控制措施的改进;c) 资源和职责分配方面的改进。应维护安全审核的记录。改进的策略应得到管理层的批准。11GBT 20274320089 MSO管理保障控制类:信息安全组织机构信息安全组织机构是信息安全管理的基础,需要得到组织机构最高管理层的承诺和支持,建立完善的信息安全组织结构。建立相应的岗位、职责和职权,建立完善的内部和外部沟通协作组织和机制
40、,同组织机构内部和外部信息安全保障的所有相关方进行充分沟通、学习、交流和合作等。进一步将信息安全融至组织机构的整个环境和文化中,使信息安全真正满足安全策略和风险管理的要求,实现保障组织机构资产和使命的最终目的。图7描述了信息安全组织机构管理保障控制类的组成结构。MSO:信息安全组织机构MSOSOM:信息安全的管理支持MSOORG:信息安全组织架构MSORES:信息安全职责MSOCAC:沟通协作L管理层的支持组织架构的建立和维护1信息安全职责分配2职责分离要求3独立审核要求1信息安全活动的内部沟通2维护与外部机构的协作图7信息安全组织机构(MSO)管理保障控制类分解91 信息安全的管理支持(MS
41、O_SoM)911安全保障管理目的管理层应提供保障和支持,提供清晰的指导,明确安全职责,协调和审核组织机构内安全。91|2 MSO一10A1管理层的支持9121 管理保障控制组件控制管理层在组织机构内通过清晰的指导、明确信息安全职责的分配和确认。提供对安全的主动支持。9122管理保障控制组件注解管理层应:a)确保标识了信息安全目标,且安全目标满足组织机构要求并落实至相关的过程中;b) 规划、审核和批准信息安全策略;c) 审核信息安全策略实施的有效性;d) 为安全提供清晰地方向以及可见的管理支持;e) 提供信息安全所需的资源;f) 在组织机构内批准信息安全的特定角色和职责;g) 确保信息安全控制
42、的实施在整个组织机构中的协调。管理层应对获取的信息安全的建议和需求进行论证并在整个组织机构内审核和协调建议的结果。根据组织机构规模的不同,此职责可以由专门的管理机构来处理或者由现有的管理机构来处理例1 2GBT 2027432008如由董事会负责。92信息安全组织架构(MSO_ORG)921安全保障管理目的组织机构应建立完善的信息安全组织体系以启动和控制组织机构内的信息安全。922 MSO_ORG1组织架构的建立和维护9221 管理保障控制组件控制形成架构清晰的信息安全保障组织机构,保持整体组织结构的稳定性。9222管理保障控制组件注解安全保障组织机构应:1)结合行政组织结构,建立由决策层、管
43、理层、执行层组成的信息安全保障组织;2) 高级行政管理层有责任组织建设信,自,安全保障组织;3) 聘用或启用较稳定的人员从事信,自,安全保障有关工作,以维持组织整体结构稳定性;4) 信息系统骨干工作人员在较长时期内保持工作稳定;5) 信息系统骨干工作人员基于适当的培训长期保持具有能够胜任工作的技术水平;6) 应有正式的合同文本以及人事相关规定;7) 确保提供信息安全需要的基础资源和投资;8) 信息系统工作人员具备安全意识并能得到适度的行为监控。93信息安全职责(MSO_RES)931安全保障管理目的组织机构应有清晰的和恰当的安全职责划分和职责到人,保证信息安全措施的落实。932 MSO_RES
44、1信息安全职责分配9321 管理保障控制组件控制应清晰地定义组织机构的所有的信息安全职责,并保证各项职责明确到人。9322管理保障控制组件注解信息安全职责的分配应根据信息安全策略来完成。应清晰地标识保护个人资产和执行特定安全活动的职责。如果必要,此职责应使用更详细的指南来补充以用于特定地点和信息处理设施。应清晰地定义保护资产和执行特定安全过程的本地职责,例如业务持续性规划。分配具有安全职责的个人可以将安全任务委托给其他人。但他们仍旧保留职责并且应确定所有委托的任务得以正确地执行。应清晰地描述个人所负责的内容,特别是包括下列内容:a) 应标识并清晰地定义每个特定的与系统相关的资产和安全活动;b)
45、 应为每个资产或安全活动指定责任人,并且给出书面证明;c) 应清晰地定义和文档化授权级别。933 MSO_RES2职责分离要求9331 管理保障控制组件控制组织机构应分离某些任务的管理、执行和职责范围,加强监督力度,以降低非法修改或误用职权带来的风险。9332管理保障控制组件注解考虑职责分离应注意以下内容:a) 不允许独自人在没有经过授权或未经过检查的情况下访问、修改或使用资产;b) 应把事件的授权与执行分开,如对关键数据的修改的审批与执行必须分开;j 3GBT 2027432008c) 组织机构一定要保持安全审计独立;d) 在无法实现职责分离的情况下组织机构应当考虑其他控制措施,例如监控、审
46、计跟踪和监督管理。934 MSORES3独立审计要求9341 管理保障控制组件控制应在计划的时间间隔或在对安全实施有重要变更时,对组织机构信息系统安全及其控制策略(如,信息安全的控制目标、策略、过程、流程等)进行独立审核。9342管理保障控制组件注解管理层应发起独立审核。这种独立审核对确保组织机构管理信息安全策略的持续合适性、充分性和有效性是必要的。这种审核应包括对改进机会的评估,以及对安全方案变更需求的评估,包括策略和控制目标。这种审核应由独立于被审核部门的人员来执行,例如内部审计部门、独立的管理人员或专门从事此类审核的第三方机构。执行这些审核的人员应拥有相应的技能和经验。应记录独立审核的结果并将其汇报至发起审核的管理层。如果独立审核标识了组织机构管理信息安全的方案和实施是不充分的、或者不符合信息安全策略文件中所描述的信息安全方向时,管理层应考虑对其进行纠正。94沟通协作(MSO_CAC)941安全保障管理目的组织机构应该根据业务持续性和风险评估的需要,建立和维护内部与外部组织机构的有效沟通和协作机制。942 MSO_CAC
