GB-T 20274.3-2008 信息安全技术 信息系统安全保障评估框架 第3部分：管理保障.pdf

《GB-T 20274.3-2008 信息安全技术 信息系统安全保障评估框架 第3部分：管理保障.pdf》由会员分享，可在线阅读，更多相关《GB-T 20274.3-2008 信息安全技术 信息系统安全保障评估框架 第3部分：管理保障.pdf（64页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、书书书犐 犆 犛 犔 中 华 人 民 共 和 国 国 家 标 准犌 犅犜 信息安全技术信息系统安全保障评估框架第部分：管理保障犐 狀 犳 狅 狉 犿 犪 狋 犻 狅 狀狊 犲 犮 狌 狉 犻 狋 狔 狋 犲 犮 犺 狀 狅 犾 狅 犵 狔犈 狏 犪 犾 狌 犪 狋 犻 狅 狀犳 狉 犪 犿 犲 狑 狅 狉 犽犳 狅 狉 犻 狀 犳 狅 狉 犿 犪 狋 犻 狅 狀狊 狔 狊 狋 犲 犿 狊 狊 犲 犮 狌 狉 犻 狋 狔犪 狊 狊 狌 狉 犪 狀 犮 犲犘 犪 狉 狋：犕 犪 狀 犪 犵 犲 犿 犲 狀 狋 犪 狊 狊 狌 狉 犪 狀 犮 犲 发布 实施中华人民共和国国家质量监督检验检疫总局中

2、国 国 家 标 准 化 管 理 委 员 会发 布书书书目次前言?范围?规范性引用文件?术语和定义?本部分的结构?信息安全管理保障框架?信息管理保障概述?信息安全管理保障控制?信息安全保障管理能力级?信息安全管理保障控制类结构?概述?管理保障控制类结构?管理保障控制子类结构?管理保障控制组件结构?允许的操作?管理保障控制类：风险管理?对象确立（）?风险评估（）?风险控制（）?沟通与监控（）?管理保障控制类：信息安全策略?信息安全策略（）?管理保障控制类：信息安全组织机构?信息安全的管理支持（）?信息安全组织架构（）?信息安全职责（）?沟通协作（）?管理保障控制类：人员安全?人员审查（）?安全意识

3、和培训（）?考核和奖惩（）?人事变更（）?管理保障控制类：资产管理?资产登记管理（）?资产管理职责（）?资产分类管理（）?管理保障控制类：物理和环境安全?物理安全区域管理（）?犌 犅犜 支撑基础设施安全（）?设备安全（）?管理保障控制类：符合性管理?管理保障控制类：信息安全规划管理?管理保障控制类：系统开发管理?管理保障控制类：运行管理?管理保障控制类：业务持续性和灾难恢复管理?业务持续性管理（）?管理保障控制类：应急响应管理?汇报安全事件和安全漏洞（）?应急响应管理（）?安全管理能力级说明?概述?安全管理能力级别说明?信息系统安全保障管理能力级别应用?参考文献?图信息系统安全管理保障控制类?

4、图管理保障控制类结构?图管理保障控制子类结构?图管理保障控制组件结构?图风险管理（）管理保障控制类分解?图信息安全策略（）管理保障控制类分解?图信息安全组织机构（）管理保障控制类分解?图人员安全（）管理保障控制类分解?图资产管理（）管理保障控制类分解?图 物理和环境安全（）管理保障控制类分解?图 符合性管理（）管理保障控制类分解?图 信息安全规划管理（）管理保障控制类分解?图 系统开发管理（）管理保障控制类分解?图 运行管理（）管理保障控制类分解?图 业务持续性和灾难恢复管理（）管理保障控制类分解?图 应急响应管理（）管理保障控制类分解?图 信息系统安全保障管理能力要求级别示例图?犌 犅犜 前

5、言 信息系统安全保障评估框架 分为以下四个部分：第部分：简介和一般模型；第部分：技术保障；第部分：管理保障；第部分：工程保障。本部分是 的第部分。本部分由全国信息安全标准化技术委员会提出并归口。本部分起草单位：中国信息安全产品测评认证中心。本部分主要起草人：吴世忠、王海生、陈晓桦、王贵驷、李守鹏、江常青、彭勇、张利、姚轶崭、班晓芳、李静、王庆、邹琪、钱伟明、江典盛、陆丽、孙成昊、门雪松、杜宇鸽、杨再山。犌 犅犜 信息安全技术信息系统安全保障评估框架第部分：管理保障范围 的本部分建立了信息系统安全管理保障的框架，确立了组织机构内启动、实施、维护、评估和改进信息安全管理的指南和通用原则。本部分定义

6、和说明了信息系统安全管理保障中反映组织机构信息安全管理保障能力的安全管理能力级，以及提供组织机构信息安全管理保障内容的管理保障控制类要求。本部分适用于涉及信息系统安全管理工作的组织机构的所有用户、开发者和评估者。规范性引用文件下列文件中的条款通过 的本部分的引用而成为本部分的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本部分，然而，鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本部分。信息安全技术信息系统安全保障评估框架第部分：简介和一般模型术语和定义 确立的以及以下术语和定义适用于 的本部分。控制

7、管理风险的方法，包括策略、流程、指南、实践或组织机构结构，控制可以是管理的、技术的或工程的。注：控制也是控制措施、保护措施的同义语。注：本部分中，主要讨论管理风险的管理方面的控制，即管理控制。信息处理设施信息处理设施是所有服务或基础设施，或放置它们的物理场所。本部分的结构 的本部分的组织结构如下：）第章介绍了 的本部分的范围；）第章介绍了 的本部分所规范引用的标准；）第章描述了适用于 的本部分的术语和定义；）第章描述了 的本部分的组织结构；）第章描述了信息系统安全管理保障框架，并进一步概述了管理保障控制类和管理能力级；）第章描述了信息安全管理保障控制类的规范描述结构和要求；犌 犅犜 ）第章到第

8、 章详述了提供信息安全管理保障内容的 个信息安全管理保障控制类的详细要求；）第 章详述了反应组织机构信息安全管理保障能力的安全管理能力级；）参考文献给出了 的本部分的参考文献。信息安全管理保障框架 信息管理保障概述本标准第部分中提出了信息安全保障模型（参见本标准第部分图），在模型中，描述了信息系统安全中保障要素（技术、工程、管理和人员）、信息特征和生命周期三者的关系。信息安全管理保障框架是信息系统安全保障框架的一个重要组成部分，它充分反映了以风险和策略为核心、覆盖信息系统整个生命周期的信息安全保障框架的核心思想，同时也结合了信息安全管理保障的特殊内容和要求，建立了信息安全管理保障的能力成熟度模

9、型。信息安全管理保障能力成熟度模型包含了两个相互依赖的维度，即“安全管理保障控制维”和“安全管理保障能力成熟度级维”，它反映了信息安全管理保障要求的信息安全管理保障控制要求和信息安全管理能力成熟度要求这两个方面的要求。）“安全管理保障控制维”由信息安全管理保障控制组成，它建立了组织机构信息安全管理保障框架的内容和工作范围。信息安全管理保障控制使用类子类组件的层次化结构，每个信息安全管理保障控制类反映了信息安全管理保障特定领域工作的范围和内容，是信息安全管理保障特定领域工作最佳实践的总结。在本部分中，共包含了 个信息安全管理保障控制类，它们解决了信息安全管理保障中“做什么”这个关于内容和范围的答

10、复。）“安全管理保障能力成熟度级维”由六级能力成熟度级别组成，它代表了组织机构实施信息安全管理保障控制的能力。安全管理保障能力成熟度级同特定的安全管理保障控制类相结合，解决了信息安全管理保障中“做得如何好”这个关于能力的答复，同时能力成熟度的持续改进机制也为组织机构提供了可以持续改进的长效机制。通过设置这两个相互依赖的维，信息安全管理保障框架在各个能力级别上覆盖了整个安全活动范围。重要的是，信息安全管理保障框架并不意味着在一个组织在其信息系统生命周期的安全管理实践中必须执行这个模型中所描述的所有过程，也不意味着执行通用实践的要求。一个组织机构一般可依据其自身特点选择合适的方式和次序来计划、跟踪

11、、定义、控制和改进它们的过程。然而，由于一些较高级别的通用实践依赖于较低级别的通用实践，因此组织机构应在试图达到较高级别之前，应首先实现较低级别通用实践。信息安全管理保障控制信息安全管理保障控制建立了组织机构信息安全管理保障框架的内容和工作范围。在信息系统安全保障评估框架第一部分简介和一般模型中，给出了信息系统安全的三维结构图，即描述了信息系统安全中保障要素（技术、工程、管理和人员）、信息特征和生命周期三者的关系。信息系统安全管理保障作为保障要素的一个组成部分，不仅同同处于一个平面的其他保障要素有关联，信息系统安全管理保障更通过深入至信息系统生命周期的每一个阶段从而保证信息的保密性、完整性和可

12、用性来实现信息系统的安全。因此，为了完整地对信息系统管理进行评估，就需要将安全管理本身作为评估对象 ，以风险和策略为核心，并基于信息系统的生命周期分别针对其每一个阶段的重点建立各种信息安全管理控制，以确保在信息系统生命周期的整体安全，从而保证了信息系统的安全性。图描述了信息系统安全管理保障控制框架。犌 犅犜 图信息系统安全管理保障控制类从图可见，信息系统安全管理保障控制框架包括三个部分：）信息系统安全管理保障应以风险和策略为核心。这也是信息系统安全保障的核心，因此信息安全策略（）和风险管理（）安全保障控制类作为独立的安全管理保障控制类并作为所有其他安全管理保障控制类的核心，充分反映了这一基础概

13、念。）信息安全管理保障应覆盖信息系统整个生命周期。信息系统典型的生命周期模型分为规划组织、开发采购、实施交付、运行维护、废弃五个阶段应用于系统产生的闭合循环周期结构。因此，与之对应并结合了组织机构信息系统的特殊要求，提供了信息安全规划管理（）、系统开发管理（）、运行管理（）、应急响应管理（）以及业务持续和灾难恢复管理（）信息安全管理保障控制类。）信息系统安全保障管理基础为所有信息系统安全保障管理提供基础的支持。从信息系统安全保障管理的角度来看，组织机构的信息安全组织机构（）、人员安全（）、资产管理（）、物理和环境安全（）以及符合性管理（）是所有信息系统安全管理保障活动所必须依赖的基础。通过上述

14、信息系统安全保障管理框架模型的建立，即信息系统安全保障管理评估对象 的建立，就可以分别对这些具体的信息系统安全保障管理的工作产品或管理过程能力进行评估以达到对信息系统安全性评估管理评估的具体操作实践和目的。信息安全保障管理能力级在管理保障控制组件中，给出了信息安全管理所涉及的管理保障控制类，它是信息安全管理过程中提炼出来的最佳的实践反映。管理能力是遵循一个管理过程可达到的可量化范围，通过对组织机构执行安全管理每个管理保障控制类能力反映了组织机构在执行信息安全管理达到预定的成本、功能和质量目标上的度量。犌 犅犜 在管理保障中，信息安全管理能力级模型将列出并描述安全管理的各个能力级别，这样通过对安

15、全管理保障控制类的执行范围和每个相应安全管理保障控制类的执行能力的综合，就可以更完善地对组织机构信息安全管理进行科学、公正、可度量分级的评估。在本部分的信息安全管理能力成熟度级中，共分为以下六个级别：）能力级别：未实施；）能力级别：基本执行；）能力级别：计划和跟踪；）能力级别：充分定义；）能力级别：量化控制；）能力级别：持续改进。关于信息安全管理能力成熟度级的详细描述，参见本部分的第 章。信息安全管理保障控制类结构 概述本章定义了本部分所使用的信息安全管理保障类的结构。信息安全管理保障类以管理保障控制类、管理保障控制子类、管理保障控制组件以及可选的管理增强元素来表达。管理保障控制类结构每个管理

16、保障控制类包括一个管理保障控制类名、管理保障控制类介绍以及一个或多个管理保障控制子类。图描述了本部分中所使用的管理保障控制类的结构。图管理保障控制类结构管理保障控制类结构的详细描述如下：）管理保障控制类名：管理保障控制类名提供了标识和划分管理保障控制类所必需的信息，每个管理保障控制类都有一个唯一的名称。管理保障控制类的分类信息由三个英文字符的简名组成，此简名将用于该管理保障控制类的子类的简名规范中；）管理保障控制类介绍：管理保障控制类介绍部分提供了该管理保障控制类定义、要求和目的等的整体描述。管理保障控制类介绍中用图来具体描述此控制类中的子类、组件组成结构；）管理保障控制子类：管理保障控制子类

17、部分对该管理保障控制类所包含的子类进行了详细描述。一个管理保障控制类包含了一个或多个管理保障控制子类。管理保障控制子类结构每个管理保障控制子类包含一个管理保障控制子类名、一个安全保障管理目的和一个或多个实现此安全管理保障目的的管理保障控制组件控制措施组成。图描述了管理保障控制子类的描述结构。犌 犅犜 图管理保障控制子类结构管理保障控制子类结构的详细描述如下：）管理保障控制子类名：管理保障控制子类名部分提供了标识和划分管理保障控制子类所必需的分类和描述信息，每个管理保障控制子类有一个唯一的名称。管理保障控制子类的分类信息由七个英文字符的简名组成，前三个英文字符与其所属的管理保障控制类名相同，第四

18、个字符是下划线用于连接管理保障控制类名和管理保障控制子类名，最后三个英文字符是管理保障控制子类名，例如 。唯一的简名管理保障控制子类名为管理保障控制组件提供了引用名；）安全保障管理目的：安全管理保障目的描述了此管理保障控制子类所要达到的目的；）管理保障控制组件：一个管理保障控制子类包含了一个或多个管理保障控制组件。管理保障控制组件是实现安全管理保障目的的信息安全保障管理控制措施。管理保障控制组件结构管理保障控制组件是实现安全管理保障目的的信息安全保障管理控制措施。每个管理保障控制组件包括一个管理保障控制组件名、一个管理保障控制组件控制、一个可选的管理保障控制组件注解和一个或多个可选的管理增强元

19、素组成。图描述了管理保障控制组件的描述结构。图管理保障控制组件结构犌 犅犜 管理保障控制组件结构的详细描述如下：）管理保障控制组件名：管理保障控制组件名用于标识管理保障控制组件。管理保障控制组件的简名是由管理保障控制子类名，后面使用句点作为连接符，在句点连接符后用阿拉伯数字按顺序标明不同的组件；）管理保障控制组件控制：管理保障控制组件控制部分定义了满足其管理保障控制子类安全管理保障目的特定的控制措施；）管理保障控制组件注解：可选的管理保障控制组件注解部分为该管理保障控制组件提供了进一步描述性的解释说明以及实施该控制措施的最佳实践的建议等。管理保障控制组件注解中所提供的最佳实践等内容可能不一定适

20、合所有的情况，本部分的使用者可以根据其自身信息安全管理保障的特殊需求和要求使用其他更合适的实施方法；）管理增强元素：可选的管理增强元素为管理保障控制组件提供了控制强度的措施。管理增强元素主要用于两种情况：）为管理保障控制组件提供附加但相关的控制；和或）增加管理保障控制组件的强度。当组织机构基于风险评估的结果，考虑损失的潜在影响而需要更强大的保护或者需求对管理保障控制组件进行加强时，可以选择管理增强元素 以增 加管 理保 障控 制 组件的强度。管理增强元素的简名是由管理保障控制组件名，后面用句点作为连接符，在句点连接符后用阿拉伯数字按顺序标明不同的元素。允许的操作本部分安全管理保障控制组件可以像

21、在本部分中定义的那样使用，或者通过使用安全保障控制组件允许的操作，对安全保障管理控制组件进行裁剪，以满足特定的安全策略或对付特定的威胁。安全管理保障控制组件标识并定义了组件是否允许“赋值”、“选择”和“细化”等操作，在哪些情况下可对组件使用这些操作，以及使用这些操作的后果。这两种允许的操作如下所述：）赋值：当组件被应用时，允许规定所填入的参数；）选择：允许从组件表中选定若干项；）反复：允许一个组件与不同的操作一起多次使用；）细化：允许增加细节。一些需要的操作可以在 内完成（整体或部分地），或者留在 内完成，不过所有操作必须在 内完成。犕犚犕管理保障控制类：风险管理信息安全管理保障是以风险和策略

22、为核心。本类的目的是建立一套风险管理体系，通过对象确立、风险评估、风险控制三个基本步骤，并将沟通与监控贯穿于这三个步骤中，进行信息安全风险管理与防范，将系统风险降低到可接受的水平。图描述了风险管理管理保障控制类的组成结构。对象确立（犕犚犕犜 犈犕）安全保障管理目的根据要保护系统的业务目标和特性，确定风险管理对象。识别信息系统资产，并评价资产价值。根据信息系统安全需求，确定风险评价准则。犌 犅犜 图风险管理（犕犚犕）管理保障控制类分解 犕犚犕犜 犈犕 确定风险管理对象 管理保障控制组件控制确定信息安全风险管理的范围和对象，以及对象的特性和安全要求。管理保障控制组件注解确定风险管理对象时应综合考虑

23、组织机构的使命、业务、组织结构、管理制度和技术平台，以及国家、地区或行业的相关政策、法律、法规和标准等。风险管理对象确定后，应进行进一步的对象调查，主要包括：）信息系统调查：调查风险管理对象的业务目标、业务特性、管理特性、技术特性；）信息系统分析：分析信息系统的体系结构和关键要素；）信息安全分析：分析信息系统的安全环境和安全要求。犕犚犕犜 犈犕 识别和评价资产 管理保障控制组件控制识别与风险管理对象相关的系统资产，并根据资产安全价值进行估值。管理保障控制组件注解对资产估价的过程也就是对资产保密性、完整性和可用性影响分析的过程。应从敏感性、关键性和犌 犅犜 昂贵性等方面制定一个资产价值尺度（资产

24、评估标准），以明确如何对资产进行赋值。犕犚犕犜 犈犕 制定安全基线 管理保障控制组件控制组织机构应在风险评估前制定系统安全基线。管理保障控制组件注解所谓安全基线是指满足信息系统的基本安全要求，使系统达到一定安全水平的一组安全控制措施。制定系统安全基线是有效实施风险评估的前提，制定系统安全基线时应考虑系统使命、系统安全环境、国家法律法规和系统所属行业的安全要求。风险评估（犕犚犕犚 犃犕）安全保障管理目的识别、分析和评价信息系统所面临的风险。犕犚犕犚 犃犕 识别风险 管理保障控制组件控制组织机构应识别信息系统面临的威胁和存在的脆弱性。管理保障控制组件注解组织机构应参照威胁库，识别系统资产所面临的威

25、胁；参照漏洞库，识别系统资产存在的脆弱性。犕犚犕犚 犃犕 分析风险 管理保障控制组件控制组织机构应分析威胁源动机、威胁行为的能力、脆弱点被利用的可能性以及脆弱点被利用后对系统造成的影响。管理保障控制组件注解组织机构应根据信息系统调查结果和可能面临的威胁，从利益、复仇、好奇和自负等驱使因素，分析威胁源动机的强弱；从攻击的强度、广度、速度和深度等方面，分析威胁行为能力的高低；按威胁脆弱性对，分析脆弱性被威胁利用的难易程度；从资产损失、使命妨碍和人员伤亡等方面，分析影响程度的深浅。犕犚犕犚 犃犕 评价风险 管理保障控制组件控制组织机构应评价威胁源动机的等级、威胁行为能力的等级、脆弱性被利用的等级、资

26、产价值等级和影响程度等级，并综合评价风险等级。管理保障控制组件注解组织机构应汇总前期调查结果和等级列表，从风险评估算法库中选择合适的风险评估算法，综合评价风险的等级。风险评估算法库是各种风险评估算法的汇集，包括公认算法和自创算法。评价等级级数可以根据评价对象的特性和实际评估的需要而定，如 高、中、低 三级，很高、较高、中等、较低、很低 五级等。风险控制（犕犚犕犚 犆 犜）安全保障管理目的依据风险评估结果，选择并实施恰当的安全措施，将风险控制在可接受的范围内。犕犚犕犚 犆 犜 确立控制目标 管理保障控制组件控制组织机构应确定可接受风险等级，判断现存风险是否可接受，确立风险控制目标。管理保障控制组

27、件注解组织机构应依据系统安全基线，确定可接受风险的等级，即把风险评估得出的风险等级划分为可接受和不可接受两种。依据风险接受等级，判断现存风险是否可接受。不可接受风险就是风险控制目标。犌 犅犜 犕犚犕犚 犆 犜 选择控制措施 管理保障控制组件控制组织机构应选择风险控制方式和风险控制措施。管理保障控制组件注解组织机构应依据系统安全基线和风险控制目标，选择合适的风险控制方式（包括规避方式、转移方式和降低方式），并说明选择的理由以及被选控制方式的使用方法和注意事项等。并进一步选择风险控制措施，并说明选择的理由以及被选控制措施的成本、使用方法和注意事项等。犕犚犕犚 犆 犜 实施控制措施 管理保障控制组件

28、控制制定风险控制实施计划，实施风险控制措施。管理保障控制组件注解组织机构应依据系统安全基线、风险控制目标、风险控制方式，制定风险控制实施计划。风险控制实施计划包括风险控制的范围、对象、目标、实施方法、成本预算和进度安排等，在实施风险控制措施时应记录实施的过程和结果。犕犚犕犚 犆 犜 验证控制措施 管理保障控制组件控制验证风险控制的结果是否满足信息系统的安全要求。管理保障控制组件注解验证可采取审查、测试、评审等手段，既可以由机构内部完成，也可以委托外部专业机构来完成，这主要取决于信息系统的性质和机构自身的专业能力。验证风险控制措施时，应结合所采取控制措施对业务的重要性以及业务遭受损失后所带来的影

29、响。审核通过的依据有两个：）信息系统的残余风险是可接受的；）安全措施（包括风险评估和风险控制）满足信息系统当前业务的安全需求。沟通与监控（犕犚犕犆 犃犕）安全保障管理目的为对象确立、风险评估、风险控制的实施提供人员沟通机制和过程控制。犕 犛 犘犆 犃犕 沟通 管理保障控制组件控制涉及风险管理的相关人员应注重风险管理过程中的沟通。管理保障控制组件注解应为直接参与风险管理人员提供交流途径，以保持他们之间的协调一致，共同实现安全目标；为所有相关人员提供学习途径，以提高他们的风险意识、知识和技能，配合实现安全目标。犕 犛 犘犆 犃犕 监控 管理保障控制组件控制组织机构应跟踪风险管理对象自身或所处环境的

30、变化，采取适当的措施进行控制和纠正，以保证风险控制措施的有效性。管理保障控制组件注解在贯穿对象确立、风险评估、风险控制的监控过程中，组织机构应关注：）过程质量管理。应监视和控制风险管理过程，以保证过程的有效性；）成本效益管理。应分析和平衡成本效益，以保证成本的有效性；）结果的有效性。应监控信息系统自身或环境的变化使得现有控制措施是否失效。犌 犅犜 犕 犛 犘管理保障控制类：信息安全策略信息安全管理保障是以风险和策略为核心。信息安全保障策略体系规范和指导了整个组织机构的信息安全保障工作。信息安全策略管理保障控制类提供了信息安全策略在制定和维护方面的管理，为信息安全提供符合业务要求和相关法律法规的

31、管理指导和支持。图描述了信息安全策略管理保障控制类的组成结构。图信息安全策略（犕 犛 犘）管理保障控制类分解 信息安全策略（犕 犛 犘犛 犘 犔）安全保障管理目的通过定义一套规则来规范信息安全体系的建设、运行和管理，为信息安全建设指明方向，使信息安全工作符合业务要求和相关的法律法规要求。管理层应建立清晰的安全策略，安全策略应符合组织机构的业务目标。通过在整个组织机构中发布和维护信息安全策略可以表明管理层对信息安全的支持力度和信息安全承诺。犕 犛 犘犛 犘 犔 制定安全策略 管理保障控制组件控制组织机构应制定安全策略文件。管理保障控制组件注解制定信息安全策略时，应考虑如下几点：）确定应用范围。在

32、制订安全策略之前一个必要的步骤是确认该策略所应用的范围，例如是在整个组织还是在某个部门。如果没有明确范围就制订策略无异于无的放矢；）获得管理支持。获得管理层的支持，不仅可以从管理层获得足够的承诺，可以为后面的工作铺平道路，还可以了解组织总体上对安全策略的重视程度，而且与管理层的沟通也是将安全工作进一步导向更理想状态的一个契机；）进行安全分析。在安全分析中应确定需要保护的信息资产，信息资产的价值、需要方法的威胁源、受到攻击的可能性，在攻击发生时可能造成的损失，能够采取什么防范措施，防范措施的成本和效果评估等等；）关键人员参与。在制定信息安全策略时至少应有技术部门和业务部门的人员参与，应共同探讨安

33、全分析结果，在这些会议上应该向这些人员灌输在分析阶段所得出的结论并争取这些人员的认同。如果有其他属于安全策略应用范围内的业务单位，也应该让其加入到这项工作；）信息安全策略文件应符合国家、信息安全主管单位、行业、上级主管机关的法律法规要求；信息犌 犅犜 安全策略文件应符合组织机构的业务要求和风险管理的要求，参考相关的信息安全标准和相似组织的安全管理经验；）信息安全策略的内容应有别于技术方案，信息安全策略只是描述一个组织保证信息安全途径的指导性文件，它不涉及具体技术实现细节，只需要指出要完成的目标。犕 犛 犘犛 犘 犔 审核批准安全策略 管理保障控制组件控制安全策略文件应由组织机构决策层审核批准。

34、管理保障控制组件注解负责审批的管理者应与 部门、业务部门人员进行充分沟通，必要时还可以聘请专家进行咨询，以便对安全策略的正确性、有效性做出正确的决策。犕 犛 犘犛 犘 犔 发布与落实安全策略 管理保障控制组件控制安全策略文件应向组织机构全体员工发布，各级员工应以安全策略为指导进行日常工作。管理保障控制组件注解信息安全策略文件应通过组织机构的主要信息发布渠道进行广泛发布，例如组织的内部信息系统、例会、培训活动等等。信息安全策略文件只是描述保证组织机构信息安全的指导性文件，应在其指导下建立各项安全规章制度和操作流程，使安全策略能够在组织机构中成功执行。犕 犛 犘犛 犘 犔 维护更新安全策略 管理保

35、障控制组件控制应定期或当系统发生重大变更时审核安全策略以保持策略的适用性、充分性和有效性。管理保障控制组件注解组织机构中应设置一名管理人员负责对安全策略适用性、充分性和有效性进行审核和评价。当组织机构的组织体系、业务环境、技术环境发生变化时，对安全的需求也会发生变化，组织的安全策略需要进行相应地调整。为了在发生变化时，安全策略和控制措施能够及时反映这种变化，应组织定期和非定期的安全审核。安全审核主要依据：）来自 部门和业务部门等相关方的反馈意见；）所采取预防和改进措施的效果；）以前的安全审核结论；）信息安全策略的符合性；）影响组织机构信息安全管理方法发生变化的因素，包括组织机构物理环境、业务环

36、境、资源可用性、技术环境以及合同或法律法规方面的因素；）威胁和脆弱性的变化趋势；）曾经发生的信息安全事件；）有关权威机构的建议。安全审核的结果应包括：）组织机构信息安全管理方法的改进；）控制目标和控制措施的改进；）资源和职责分配方面的改进。应维护安全审核的记录。改进的策略应得到管理层的批准。犌 犅犜 犕 犛 犗管理保障控制类：信息安全组织机构信息安全组织机构是信息安全管理的基础，需要得到组织机构最高管理层的承诺和支持，建立完善的信息安全组织结构。建立相应的岗位、职责和职权，建立完善的内部和外部沟通协作组织和机制，同组织机构内部和外部信息安全保障的所有相关方进行充分沟通、学习、交流和合作等。进一

37、步将信息安全融至组织机构的整个环境和文化中，使信息安全真正满足安全策略和风险管理的要求，实现保障组织机构资产和使命的最终目的。图描述了信息安全组织机构管理保障控制类的组成结构。图信息安全组织机构（犕 犛 犗）管理保障控制类分解 信息安全的管理支持（犕 犛 犗犛 犗犕）安全保障管理目的管理层应提供保障和支持，提供清晰的指导，明确安全职责，协调和审核组织机构内安全。犕 犛 犗犐 犗 犃 管理层的支持 管理保障控制组件控制管理层在组织机构内通过清晰的指导、明确信息安全职责的分配和确认，提供对安全的主动支持。管理保障控制组件注解管理层应：）确保标识了信息安全目标，且安全目标满足组织机构要求并落实至相关

38、的过程中；）规划、审核和批准信息安全策略；）审核信息安全策略实施的有效性；）为安全提供清晰地方向以及可见的管理支持；）提供信息安全所需的资源；）在组织机构内批准信息安全的特定角色和职责；）确保信息安全控制的实施在整个组织机构中的协调。管理层应对获取的信息安全的建议和需求进行论证，并在整个组织机构内审核和协调建议的结果。根据组织机构规模的不同，此职责可以由专门的管理机构来处理或者由现有的管理机构来处理，例犌 犅犜 如由董事会负责。信息安全组织架构（犕 犛 犗犗 犚 犌）安全保障管理目的组织机构应建立完善的信息安全组织体系，以启动和控制组织机构内的信息安全。犕 犛 犗犗 犚 犌 组织架构的建立和维

39、护 管理保障控制组件控制形成架构清晰的信息安全保障组织机构，保持整体组织结构的稳定性。管理保障控制组件注解安全保障组织机构应：）结合行政组织结构，建立由决策层、管理层、执行层组成的信息安全保障组织；）高级行政管理层有责任组织建设信息安全保障组织；）聘用或启用较稳定的人员从事信息安全保障有关工作，以维持组织整体结构稳定性；）信息系统骨干工作人员在较长时期内保持工作稳定；）信息系统骨干工作人员基于适当的培训长期保持具有能够胜任工作的技术水平；）应有正式的合同文本以及人事相关规定；）确保提供信息安全需要的基础资源和投资；）信息系统工作人员具备安全意识并能得到适度的行为监控。信息安全职责（犕 犛 犗犚

40、 犈 犛）安全保障管理目的组织机构应有清晰的和恰当的安全职责划分和职责到人，保证信息安全措施的落实。犕 犛 犗犚 犈 犛 信息安全职责分配 管理保障控制组件控制应清晰地定义组织机构的所有的信息安全职责，并保证各项职责明确到人。管理保障控制组件注解信息安全职责的分配应根据信息安全策略来完成。应清晰地标识保护个人资产和执行特定安全活动的职责。如果必要，此职责应使用更详细的指南来补充以用于特定地点和信息处理设施。应清晰地定义保护资产和执行特定安全过程的本地职责，例如业务持续性规划。分配具有安全职责的个人可以将安全任务委托给其他人。但他们仍旧保留职责并且应确定所有委托的任务得以正确地执行。应清晰地描述

41、个人所负责的内容，特别是包括下列内容：）应标识并清晰地定义每个特定的与系统相关的资产和安全活动；）应为每个资产或安全活动指定责任人，并且给出书面证明；）应清晰地定义和文档化授权级别。犕 犛 犗犚 犈 犛 职责分离要求 管理保障控制组件控制组织机构应分离某些任务的管理、执行和职责范围，加强监督力度，以降低非法修改或误用职权带来的风险。管理保障控制组件注解考虑职责分离应注意以下内容：）不允许独自一人在没有经过授权或未经过检查的情况下访问、修改或使用资产；）应把事件的授权与执行分开，如对关键数据的修改的审批与执行必须分开；犌 犅犜 ）组织机构一定要保持安全审计独立；）在无法实现职责分离的情况下，组织

42、机构应当考虑其他控制措施，例如监控、审计跟踪和监督管理。犕 犛 犗犚 犈 犛 独立审计要求 管理保障控制组件控制应在计划的时间间隔或在对安全实施有重要变更时，对组织机构信息系统安全及其控制策略（如，信息安全的控制目标、策略、过程、流程等）进行独立审核。管理保障控制组件注解管理层应发起独立审核。这种独立审核对确保组织机构管理信息安全策略的持续合适性、充分性和有效性是必要的。这种审核应包括对改进机会的评估，以及对安全方案变更需求的评估，包括策略和控制目标。这种审核应由独立于被审核部门的人员来执行，例如，内部审计部门、独立的管理人员或专门从事此类审核的第三方机构。执行这些审核的人员应拥有相应的技能和

43、经验。应记录独立审核的结果并将其汇报至发起审核的管理层。如果独立审核标识了组织机构管理信息安全的方案和实施是不充分的、或者不符合信息安全策略文件中所描述的信息安全方向时，管理层应考虑对其进行纠正。沟通协作（犕 犛 犗犆 犃 犆）安全保障管理目的组织机构应该根据业务持续性和风险评估的需要，建立和维护内部与外部组织机构的有效沟通和协作机制。犕 犛 犗犆 犃 犆 信息安全活动的内部协调 管理保障控制组件控制在组织机构内，应建立一个内部协调机制以保证信息安全活动的有效沟通和实施。管理保障控制组件注解通常，信息安全协调应包括经理、用户、管理员、应用设计者、审计人员和安全人员，以及在保险、法律问题、人力资

44、源、或风险管理等领域的人员和专家的协调和协作。这种活动包括：）确保安全活动的执行符合信息安全策略；）标识如何处理不符合项；）批准信息安全的方法和流程，例如风险评估、信息分类；）标识重要的威胁变化以及信息和信息处理设施对威胁的暴露；）评估信息安全控制的充分性并协调其实施；）有效地在整个组织机构内推动信息安全教育、培训和意识；）评价从监控中收到的信息，审核信息安全事故，推荐响应所标识的信息安全事故所采取的合适的行动。如果组织机构没有使用一个单独的跨职能部门的团队，例如由于组织机构规模的原因，则上面所描述的活动应由其他合适的管理机构或个人承担。犕 犛 犗犆 犃 犆 维护与外部机构的协作 管理保障控制

45、组件控制应建立同组织机构系统和业务相关的各有关职能机构、运营商、服务方等的沟通和协作，维护与外部机构协作的及时性和有效性。管理保障控制组件注解保持与信息安全有关执法机构、管理机关（如，执法、消防、监管机构等），在信息安全法律法规方面犌 犅犜 服从其管理和指导。保持与相关服务方（如，因特网服务提供商（）的支持、电信运营商、产品提供商等）的有效沟通和协作，保证当异常事件发生时的及时沟通和问题解决。应建立有效的信息获取和更新渠道，以跟上信息安全的最新发展。确保对信息安全环境的理解是最新和完整的；接收告警的早期预警、同攻击和脆弱性相关的建议和补丁；共享和交换有关新技术、产品、威胁或脆弱性的信息等。沟通

46、活动包含以下内容：）指派具有联络能力的人员负责联系工作；）建立外部联络清单以及联络方式，并定期核实有效性；）制定与外部组织间的有关协调通信和恢复活动的计划；）保存与外部联系以及协作的沟通记录。犕犘 犛管理保障控制类：人员安全人员安全是信息安全管理的基础。应建立规范的人员安全管理，对组织机构的聘用人员进行严格的审查，明确人员的安全职责和保密要求。加强人员的安全意识培训和教育，并建立考核和奖惩机制，使信息安全融至组织机构的整个环境和文化中，减少有意、无意的内、外部威胁，确保组织机构顺利完成系统使命。图描述了人员安全管理保障控制类的组成结构。图人员安全（犕犘 犛）管理保障控制类分解 人员审查（犕犘

47、犛犘 犈 犆）安全保障管理目的确保聘用的员工、合约方和用户能够符合聘用要求，并能理解其安全责任，以降低偷窃、欺骗或误用对系统造成的风险。犌 犅犜 犕犘 犛犘 犈 犆 人员审查 管理保障控制组件控制应根据相关的法律、法规和道德以及业务的需求、要访问信息的类别以及所认识到的风险，来对所有应聘人员进行背景验证检查。管理保障控制组件注解审查应包含下列内容：）要有满意的推荐人，例如，一个业务上行为的推荐，一个关于个人品德的推荐；）检查应聘人员的简历（是否完整和准确）；）确认有没有考取所称述的学历及职业资格；）独立的身份检查（护照或其他文件）；）更多的细节检查，例如诚信问题和犯罪记录。对接触信息处理设备，

48、特别是要处理敏感信息（例如财务信息或特别机要信息）设备的人员的审查要更加严格，应考虑更多的细节。应为确认检查的流程定义标准和限制（谁可以合法检查并于何时何因如何进行验证检查）。应对承包人和用户执行审查过程。如果承包人是通过中介机构介绍的，在与中介机构的合同中应明确定义中介机构的审查职责，当没有进行审查或是审查结果给出了令人质疑理由时应定义中介机构需遵循的通告流程。同样的，同第三方的协议应明确定义各自的职责和通告审查的流程。当组织机构考虑内部岗位的候选人时，在搜集和处理人员信息时应符合法律规定的权限。在执行审查活动之前，应通知候选人。犕犘 犛犘 犈 犆 人员聘用条款中的安全责任 管理保障控制组件

49、控制聘用条款中应说明员工信息安全的责任，并确保同应聘者进行清晰地沟通。如适当，这些责任应在聘用期满后持续一段时间，还应包括员工如果不领会安全要求所要采取的培训等措施。管理保障控制组件注解聘用条款应反映组织机构的安全策略并说明以下情况：）所有员工、合约方和用户在对信息处理设施的敏感信息进行存取时，应事先标识信息的保密性或签署保密协议；）员工、合约方和任何其他用户的合法责任和权力，例如，关于版权保护和数据保护立法；）信息责任的分配和组织机构资产的管理关系到信息系统和员工、承包人和用户的服务；）员工、合约方或用户在接收其他公司或外部信息时的处理的职责；）组织机构在处理个人信息时的职责，包括组织机构雇

50、佣过程中或最终的信息；）应定义在组织外面办公的前提和职责，以及正常的外部工作时间，例如在家工作；）若员工、合约方或用户忽略了组织机构的安全要求后应采取的措施。组织机构应确保员工、合约方和用户对合约中关于访问权限的信息安全条款达成一致意见，这些访问权限是他们访问组织机构中与信息系统和信息服务相关的资产所需的访问权限。在可能的情况下，聘用条款中还应包含预先定义的聘用之后的职责。犕犘 犛犘 犈 犆 保密协议 管理保障控制组件控制所有和信息系统安全相关人员均应当签署保密协议。保密协议的要求应反应组织机构对信息的保护。管理保障控制组件注解保密协议的要求应考虑下列内容：犌 犅犜 ）所要保护的信息的定义（例