信息技术安全技术信息安全管理实用规则.PDFVIP

ICS 35.040 L80 中华人民共和国国家标准 GB/T ××××—×××× 代替 GB/T 19716—2005 信息技术 安全技术 信息安全管理实用规则 Information technology-Security techniques -Code of practice for information security management （IDT ISO/IEC 17799 ：2005 ） （征求意见稿） 2007- ××- ××发布 2007- ××- ××实施 国家质量监督检验检疫总局 发布 目 次 前 言 III 引 言 IV 0.1 什么是信息安全？ IV 0.2 为什么需要信息安全？ IV 0.3 如何建立安全要求 IV 0.4 评估安全风险 V 0.5 选择控制措施 V 0.6 信息安全起点 V 0.7 关键的成功因素 VI 0.8 开发你自己的指南 VI 1 范围 1 2 术语和定义 1 3 本标准的结构 3 3.1 章节 3 3.2 主要安全类别 3 4 风险评估和处理 4 4.1 评估安全风险 4 4.2 处理安全风险 4 5 安全方针 5 5.1 信息安全方针 5 6 信息安全组织 6 6.1 内部组织 6 6.2 外部各方 11 7 资产管理 15 7.1 对资产负责 15 7.2 信息分类 17 8 人力资源安全 18 8.1 任用之前 18 8.2 任用中 21 8.3 任用的终止或变化 22 9 物理和环境安全 24 9.1 安全区域 24 9.2 设备安全 27 10 通信和操作管理 30 10.1 操作程序和职责 30 10.2 第三方服务交付管理 33 10.3 系统规划和验收 34 10.4 防范恶意和移动代码 35 10.5 备份 37 10.6 网络安全管理 38 10.7 介质处置 39 10.8 信息的交换 41 10.9 电子商务服务 45 10.10 监视 47 11 访问控制 51 11.1 访问控制的业务要求 51 11.2 用户访问管理 52 11.3 用户职责 54 11.4 网络访问控制 56 11.5 操作系统访问控制 60 11.6 应用和信息访问控制 63 11.7 移动计算和远程工作 64 12 信息系统获取、开发和维护 66 12.1 信息系统的安全要求 66 12.2 应用中的正确处理 67 12.3 密码控制 70 12.4 系统文件的安全 72 12.5 开发和支持过程中的安全 74 12.6 技术脆弱性管理 76 13 信息安全事件管理 78 13.1 报告信息安全事态和弱点 78 13.2 信息安全事件和改进的管理 79 14 业务连续性管理 82 14.1 业务连续性管理的信息安全方面 82 15 符合性 86 15.1 符合法律要求 86 15.2 符合安全策略和标准以及技术符合性 89 15.3 信息系统审核考虑 90 II 前 言