1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 计算机
  5. 网络信息安全

QFYSY 003—2024信息技术安全概念和模型.pdf (.docxVIP

QFYSY 003—2024信息技术安全概念和模型.pdf (.docx

    1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    Q/FYSY

    风雅颂扬文化传播集团(杭州)有限公司

    企业标准

    Q/FYSY003-2024

    信息技术安全概念和模型

    2024-06-21发布

    2024-06-28实施

    风雅颂扬文化传播集团(杭州)有限公司企业发布

    前言

    本标准2024年6月28日起开始实施。

    本标准由风雅颂扬文化传播集团(杭州)有限公司制定。

    本标准主要起草人:毛金金。

    本标准首次发布。

    Q/FYSY003-2024

    Q/FYSY003-2024

    数据完整性

    dataintegrity

    数据未经未授权方式修改或破坏的特性[GB/丁9387.2-1995]。

    3.8

    影躏

    impact

    不希理事故的后果。

    3.9

    完整性

    integrity

    见数据宪辑性和系统究藉性。

    3.10

    IT安全

    ITsecurity

    与定义、获得和维护保密性、完整性、可用性、可核蔚性、真实性和可靠性有关的各个方面。

    3.11

    IT安全策略

    支持如何在一个组织或其IT系统中管理、保护和分布资产(包括敏感信息)的规则、指令和习惯

    做法。

    3.12

    3.13

    3.14

    3.15

    可靠性

    reliability

    与预期行为和结果相一致的特性。

    残留凤险

    residualrisk

    在巳实现防护措施之后钙然存在的风险。

    风险

    risk

    某种威胁会和用资产或若干资产的跪弱性使这些资产损失或破坏的可能性。

    风险分析

    riskanalysis

    标识安全风险、确定其大小和标识需要防护措拖的区域的过程。

    3.16

    风险管理

    riskmanagement

    标识、控制和消除可能影响IT系统资掘的不确定事件或使这些事件降至最少的全部过程。

    3.17

    3.18

    3.19

    3.20

    防护措施

    safeguard

    降俄风险的习惯做法、规程或机制。

    系统完整性

    systemintegrity

    系统以不受摸害的方式执行其预定功能,避免对系统故意的或意外的未授权操纵的特性。

    威胁

    threat

    可能导致对系统或组织危害的不希塑事故潜在起因。

    脆弱性

    vulnerability

    包括可能会被威胁所利用的资产或若干资产的辅点。

    Q/FYSY003-2024

    Q/FYSY003-2024

    7.1

    方法

    系统方法对标识组织中IT安全要求是必需的。这也是实现IT安全及其业务管理部门的实际情

    况。此过程称之为IT安全管理并包括如下活动:

    a)

    b)

    c)

    制订IT安全策略;

    标识在组织中的角色和职责;

    风险管理,包括下列内容的标识和评估:

    1)

    2)

    3)

    4)

    5)

    6)

    7)

    8)

    受保护的资产;

    威胁;

    脆弱性;

    影响;

    风险;

    防护措施;

    残留风险;

    约束。

    d)

    e)

    f)

    配置管理;

    变更管理;

    应急计戈y和灾难恢复计划;

    防护措施的选择和实施;

    g)

    h)

    i)

    安全意识;

    直至,包括:

    l)

    维护;

    2)

    3)

    5)

    安全审核;

    监督;

    评审;

    事故处理。

    7.2

    目标、战略和策略

    需形成总体安全目标、战略和策略(见图l)以作为组织有效IT安全的基础。它们支持组织的业务

    并保证各种防护措施之间的相容性。目标标识出应实现什么,战略标识出如何实现这些目标,而策略标

    识出需要做什么。

    Γ

    灬灬

    -

    总体财务

    总体安全

    一一

    吕标战略策略

    :目标一战略一策略

    一一

    总体人员

    总体IT安全

    拜标一战略

    只标

    战略

    策略

    一一一

    [[系统安全(1)

    一一

    目标战略策略

    IT系统安全(n)

    目标战略策略

    一一

    图1

    目标,战略和策略层次结构

    Q/FYSY003-2024

    Q/FYSY003-2024

    8.2

    威胁

    资产可能经受多种威胁。威胁可能引起不希望事故,导致系统或组织及其资产的损害。这种损害

    可能由对IT系统处理的倍息或服务的直接或间接攻击产生,倒如,倍息未经批准的销毁、地露、修改、

    损坏和不可用或丢弃。威胁要利用资产存在的脆弱性才能成功地使资产受到损害。威胁可能源于自然

    或人为因素,可能是意外的或故意的。要标识意外和故意的威胁,要评估其程度和可能性。

    威胁的例子有:

    故意的

    窃听

    信息修改

    系统被黑客攻击

    恶意代码

    盗窃

    可以利用有关多种环境威秘的统计数据。在威胁评估过程期间,组织应获得并使用这些数据。威

    胁可以影响…个组织的特殊部分,例如,破坏个人计算机。有些或胁对系统或组织所处的特定位置的周

    围环境造成普遍的影响,例如,题风或雷电对建筑物的破坏。威胁可能来岳组织内部

    您可能关注的文档

    最近下载

    文档评论(0)

    WZR1 + 关注
    实名认证
    文档贡献者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >