ISO13335标准介绍.pdf

ISO13335标准简介 安氏中国 首席技术官 潘柱廷 概述概述 概述概述 ISO/IEC TR 13335 information technology Guidelines for the management of IT Security 信息安全管理指南信息安全管理指南 GMITS 信息安全管理指南信息安全管理指南 ISO13335 是一个信息安全管理指南 这个标准的主要目的就是要给出如何有效地实施 安全管理的建议和指南 该标准目前分为 个部分 IT 5 第一部分 IT 安全的概念和模型 Concepts and models for IT Security 发布于1996 年 月 日 该部分包括了对 安全和安全管理的一些基本概念和模型的介绍 12 15 IT 第二部分 IT 安全的管理和计划 Managing and planning IT Security 发布于1997 年 月 日 这个部分建议性地描述了 安全管理和计划的方式和要点 包括 12 15 IT 决定 安全目标 战略和策略 - IT 决定组织 安全需求 - IT 管理 安全风险 - IT 计划适当 安全防护措施的实施 - IT - 开发安全教育计划 - 策划跟进的程序 如监控 复查和维护安全服务 - 开发事件处理计划 第三部分 IT 安全的技术管理 Techniques for the management of IT Security 发布于 年 月 日 这个部分覆盖了风险管理技术 IT 安全计划的开发以及实施和测试 还 1998 6 15 包括一些后续的制度审查 事件分析 IT 安全教育程序等 第四部分 防护的选择 发布于 年 月 日 这个部分 Selection of safeguards 2000 3 1 是最新发布的一个部分 主要探讨如何针对一个组织的特定环境和安全需求来选择防护措 施 这些措施不仅仅包括技术措施 第五部分 外部联接的防护 Safeguards for external connections 目前这个部分尚未发 布 截止于 年 月 日 2001 1 2 提出不同的信息安全概念提出不同的信息安全概念 提出不同的信息安全概念提出不同的信息安全概念 再我们常见的很多信息安全文献中 定义 安全 主要包括三个方面 机密性 完整性 可用性 而在 中就给 安全的 个方面的含义 ISO13335-1 IT 6 - Confidentiality 保密性 确保信息不被非授权的个人 实体或者过程获得和访 问 - Integrity 完整性 包含数据完整性的内涵 即保证数据不被非法地改动和销 毁 同样还包含系统完整性的内涵 即保证系统以无害的方式按照预定的功能运行 不受有意的或者意外的非法操作所破坏 - Availability 可用性 保证授权实体在需要时可以正常地访问和使用系统 - Accountability 负责性 确保一个实体的访问动作可以被唯一的区别 跟踪和 记录 - Authenticity 确实性 确认和识别一个主体或资源就是其所声称的 被认证的 可以是用户 进程 系统和信息等 - Reliability 可靠性 保证预期的行为和结果的一致性 可以看出 中对安全