信息技术安全管理指南 第3部分：IT安全管理技术.pdf

信息技术 安全技术 信息技术安全管理指南 第3 部分：IT 安全管理技术 ISO/IEC TR 13335-3 偶，刘青，ID 易水寒江雪，半路出家搞安全管理，希望和大家能够多多交流，也希望各位 大虾多多指正。 Translator ：freesoul Page 2 of 2 ISO/IEC TR 13335-3 目录 1 范围 2 引用标准 3 定义 4 结构 5 目的 6 背景 7 IT 安全目标、战略和策略 7.1 IT 安全目标和战略 7.2 公司IT 安全策略 8 公司风险分析战略选项 8.1 基线方法 8.2 非正式方法 8.3 详细风险分析 8.4 综合方法 9 综合方法 9.1 高等级风险分析 9.2 基线方法 9.3 详细风险分析 9.3.1 建立评审边界 9.3.2 识别资产 9.3.3 资产赋值和建立资产之间的依赖关系 9.3.4 威胁评估 9.3.5 脆弱点评估 9.3.6 识别已经存在的/计划的防护措施 9.3.7 风险评估 9.4 防护措施的选择 9.4.1 防护措施的识别 9.4.2 IT 安全框架 9.4.3 限制条件的识别/评审 Translator ：freesoul Page 3 of 3 ISO/IEC TR 13335-3 9.5 风险接受 9.6 IT 系统安全策略 9.7 IT 系统计划 10 IT 安全计划的实施 10.1 防护措施的实施 10.2 安全意识 10.2.1 需求分析 10.2.2 方案实施 10.2.3 安全意识方案的监视 10.3 安全培训 10.4 IT 系统的批准 11 后续活动 11.1 保持 11.2 安全符合性检查 11.3 变更管理 11.4 监视 11.5 事故处置 12 总结 附件A: 公司IT 安全策略内容目录范例 附件B: 资产赋值 附件C: 可能的威胁类型目录 附件D: 常见脆弱点举例 附件E: 风险分析方法的类型 Translator ：freesoul Page 4 of 4 ISO/IEC TR 13335-3 1 范围 ISO/IEC TR 13335 第3 部分介绍了IT 安全管理的技术。这些技术都基于ISO/IEC TR 13335 第2 和3 部分中介绍的通用性指南。这些指南被设计用来帮助IT 安全的实施。对第1 部分 介绍的概念和模型以及第2 部分介绍的关于IT 安全管理和策略的资料的深入掌握对于充分 理解第3 部分的内容至关重要。 2 引用标准 ISO/IEC TR 13335-1：1996 IT 安全管理指南－IT 安全概念和模型 ISO/IEC TR 13335-2：1997 IT 安全管理指南－IT 安全策划和管理 3 定义 ISO/IEC TR 13335 第1 部分的定义适用于第3 部分。第3 部分使用下列术语：可审计性、 资产、鉴权、可用性、基线控制方法、保密性、数据完整、影响、完整性、IT 安全、IT 安 全策略、可靠性、残余风险、风险、风险分析、风险管理、防护措施、系统完整性、威胁和 脆弱点。 4 结构 第3 部分共包括 12 个条款。第5 条款介绍了有关本文档目的方面的信息。第6 条款概述 了IT 安全管理过程。第7 条款讨论了公司IT 安全的重要性以及它应