ISO信息安全管理指南.docVIP

内容 前言 介绍 1．范围 2．参考 3．定义 4．结构 5．目标 6．背景 7．IT安全管理的概念 7.1方法 7.2目标、策略和原则 8．安全原理 8.1特性 8.2威胁 8.3脆弱性 8.4影响 8.5危险 8.6安全保障 8.7存留下的危险 8.8约束 9．IT安全管理进程 9.1配置管理 9.2管理 9.3危险管理 9.4危险分析 9.5责任 9.6安全警告 9.7监控 9.8偶发事件处理计划和灾难性恢复 10．模式 11．总结 前言 ISO（国际标准组织）和IEC（国际电子技术委员会）形成了世界指定标准系统ISO或IEC的成员，各个组织通过加入发展国际组织而建立的技术委员会处理科技活动的特殊领域。ISO和IEC技术委员会在共同感兴趣的领域合作。其它的国际组织与ISO和IEC合作，也加入了这项工作，无论是政府还是非政府性。 在信息科技领域，ISO和IEC己建立了一个联合委员会，ISO/IEC JTCI技术委员会，主要的任务就是准备国际标准，但在特殊情况下，技术委员会可能建议公开以下类型的技术报道： ——类型1，当公开的一个国际标准不能得到必要的支持时，无论这个标准花费了多少精力。 ——类型2，当研究对象滞后于技术发展或由于任何其它原因，它有发展前途但在短时期内不可能与国际标准取得一致时。 ——类型3，当技术委员会收到一些不同类型的符合国际标准的数据时。 类型1和类型2的技术报告是否被转化为国际标准取决于将其公开3年后的反馈汇报。 类型3的技术报告只有当提供的资料被认为不再合法或有用才有必要再复查。 ISO/IEC TR13335，属于第3种技术类型，由联合技术委员会准备。 ISO/IEC JTCI，信息技术，subcommittee2T，IT安全技术。 ISO/IEC TR13335包含以下几部分： ——第一部分：IT安全性的概念和模式 ——第二部分：IT安全的管理和计划 ——第三部分：IT安全性的管理技术 附加部分以后将加在技术报告中 介绍 技术报告的目标为IT安全管理方面提供保障，而不是解决方法，为IT安全负责的组织中的那些单独的个体应该能在报告中不断调整内容以满足特定的需要，技术报告的主要目的是： 定义和描述与IT安全管理相关的概念 辨别IT安全管理与IT一般管理的关系 提供几个能解释IT安全的模型 提供IT安全管理的一般向导 ISO/IEC TR 13335有几个组成部分。第一部分是基本概念概述和用于描述IT安全管理的几个模型。这些内容适用于那些对IT安全负责的管理者和那些对一个机构的整个安全程序负责的管理者 第二部分是描述管理和计划，这一部分与那些负责管理一个机构的IT系统的管理者有关。这些管理者可以是： 负责总览设计，实现，测试，获得或操纵IT系统的管理者 负责大大利用IT系统的管理者 第三部分对那些在一个工程生命周期过程中从事管理工作的安全技术做了描述，比如：计划、设计、实现、测试、获得操作 另外的部分根据需要加入指定的地方 信息技术——IT安全管理向导 第一部分：IT安全概念的模型 1．范围： ISO/IEC TR 13335包含IT安全管理向导，ISO/IEC TR 13335的第1部分，陈述了基本管理概念和模型，这些概念和模型对引入IT安全管理非常重要。这些概念和模型在其它部分作了进一步地讨论和开发，并提供了更详细的向导。这些部分可用来辨别和管理IT安全的所有方面。第1部分对完整理解ISO/IEC 13335的以下部分是很重要的。 2．参考 ISO 7498—2:1989；Jnform systems—open systems Interannectorn—Basic Referenle Model—part2:Security Architecture 3．定义 以下定义用于ISO/IEC TR 13335的三个部分。 3.1责任： 3.2资源： 3.3 3.4 3.5 3.6保密性：所有非有效信息和未对非授权个人、实体、工程公布的信息（ISO 7498-2:1989） 3.7数据完整：数据没有被一种非正规的方式变更或破坏。（ISO 7498-2:1989） 3.8冲突：非期待事件的发现。 3.9完整性：见数据完整和系统完整。 3.10 IT安全：所有与定义、完成、保持信心、完整性、有效性、可数性、可靠性、可倍度有关的东西。 3.11 IT安全政策：控制资源（含敏感信息）在一个组织或IT系统动作、保护、分配的法规、