NIST 80055 信息技术系统的安全指南 2003－7.docVIP

PAGE PAGE 1 NIST Special Publication 800-55 信息技术系统的安全指南 2003 7 目录 TOC \o 1-3 \h \z \u HYPERLINK \l _Toc130782050 1. 引言 PAGEREF _Toc130782050 \h 1 HYPERLINK \l _Toc130782051 2.任务和责任 PAGEREF _Toc130782051 \h 5 HYPERLINK \l _Toc130782052 3.信息安全度量背景 PAGEREF _Toc130782052 \h 9 HYPERLINK \l _Toc130782053 4. 度量发展和执行过程 PAGEREF _Toc130782053 \h 15 HYPERLINK \l _Toc130782054 附录A: 安全度量的实例 PAGEREF _Toc130782054 \h 29 引言 测量信息技术安全性能的要求是由调整的、金融的以及组织的要求提出的。许多现存的法律、规则、章程都通常引用IT的性能度量，尤其是作为一种要求的信息技术安全性能测量。这些法规包括Clinger-Cohen Act, Government Performance，Results Act (GPRA), Government Paperwork Elimination Act(GPEA),和Federal Information Security Management Act (FISMA)。 本文件是信息技术系统级别度量的发展、选择和执行的一个向导，该度量用于测量信息安全控制和技术的性能1。信息技术度量通过收集、分析和报告相关的性能数据，从而推动制定决策、改进性能和责任。本文件阐述了一个组织如何通过使用度量来鉴别一个安全控制、政策和程序是否合适。它提供了一种方法帮助决策将额外的安全保护资源投放到何处以及评价和鉴别非生产的控制。它揭示了度量的发展和执行的程序，以及怎样用于充分地评价安全控制的投入。有效的信息技术安全度量提供有用的数据来指导信息安全资源的配置，也可以简化相关性能报告的准备。该项目的成功执行可以帮助代理满足Office of Management and Budget (OMB)每年报告信息安全项目现况的要求。 历史 度量信息安全控制和技术的方法已经很多年显影不足了。本文基于以往的努力，提出了一种将National Institute ofStandards and Technology (NIST) Special Publication (SP) 800-26, Security Self-AssessmentGuide for Information Technology Systems中的安全控制目标和技术结合进来的方法。 关于系统和项目的安全控制目标和技术每年都会向OMB回顾和报告，以保持和包含了FISMA的Electronic Government Act of 2002的一致性。该法案要求部门和代理保证满足可应用的安全要求，以及根据每年的项目回顾证明其真实的性能水平。 2002年5月21日，NIST Federal Computer Security Program Managers’ Forum发 1.“系统”一次是一个汇集性的术语，可以表示(OMB) Circular A-130, Appendix III.中定义的Major Applications (MA) 和General Support Systems (GSS)。 起两个信息安全度量以帮助联邦职员起草OMB财政年度2002GovernmentInformation Security Reform Act (GISRA)的报告。GISRA,是Public Law 106 398, Floyd D. Spence National Defense Authorization Act for Fiscal Year 2001的一部分，被FISMA 在 2002年12月所替代。大约75个联邦政府职员参加了该项目，在这里他们研究如何发展基于NIST SP 800-26的信息安全度量。该文件，NIST SP 800-55,包含了该项目的进程，包括由突破小组提出的最初度量；扩展了该项目小组提出的主题；并且提出了度量的示例以及使用度量的执行指导。 1.2 安全项目综述 一个组织的安全度量应该包括4个相互关联的因素（见图1-1）。 一个强壮的高水准的管理支持的基础是急需的，不仅仅为了安全项目的成功，同时也