GB/T 19715.1-2005 信息技术 信息技术安全管理指南第1部分:信息技术安全概念和模型
GB/T 19715.1-2005 Information technology—Guidelines for the management of IT security—Part 1:Concepts and models of IT security
基本信息
发布历史
-
2005年04月
研制信息
- 起草单位:
- 中国电子技术标准化研究所(CESI)、中国电子科技集团第十五研究所、中国电子科技集团第三十研究所、上海三零卫士信息安全有限公司
- 起草人:
- 安金海、林中、林望重、魏忠、罗锋盈、陈星
- 出版信息:
- 页数:18页 | 字数:30 千字 | 开本: 大16开
内容描述
犐犆犛35.040
犔80
中华人民共和国国家标准
/—//:
犌犅犜19715.12005犐犛犗犐犈犆犜犚1333511996
信息技术信息技术安全管理指南
第部分:信息技术安全概念和模型
1
国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页
——
犐狀犳狅狉犿犪狋犻狅狀狋犲犮犺狀狅犾狅犌狌犻犱犲犾犻狀犲狊犳狅狉狋犺犲犿犪狀犪犲犿犲狀狋狅犳犐犜狊犲犮狌狉犻狋
犵狔犵狔
:
犘犪狉狋1犆狅狀犮犲狋狊犪狀犱犿狅犱犲犾狊狅犳犐犜狊犲犮狌狉犻狋
狆狔
(/:,)
ISOIECTR1333511996IDT
20050419发布20051001实施
中华人民共和国国家质量监督检验检疫总局
发布
中国国家标准化管理委员会
/—//:
犌犅犜19715.12005犐犛犗犐犈犆犜犚1333511996
目次
前言Ⅰ
引言Ⅱ
1范围1
2规范性引用文件1
3术语和定义1
4结构3
5目的3
6背景3
7IT安全管理概念3
8安全要素5
9IT安全管理过程8
10模型11
11小结14
国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页
/—//:
犌犅犜19715.12005犐犛犗犐犈犆犜犚1333511996
前言
/《信息技术信息技术安全管理指南》分为五个部分:
GBT19715
———第1部分:信息技术安全概念和模型;
———第2部分:管理和规划信息技术安全;
———第3部分:信息技术安全管理技术;
———第4部分:防护措施的选择;
———第5部分:外部连接的防护措施。
本部分等同采用国际标准/:《信息技术信息技术安全管理指南第
ISOIECTR13335119961
部分:信息技术安全概念和模型》。
本部分提出基本的管理概念和模型,将这些概念和模型引入信息技术安全管理是必要的。
国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页
Ⅰ
/—//:
犌犅犜19715.12005犐犛犗犐犈犆犜犚1333511996
引言
/的目的是提供关于安全管理方面的指南,而不是解决方案。那些在组织内负责
GBT19715ITIT
安全的个人应该可以采用本标准中的资料来满足他们特定的需求。本标准的主要目标是:
)定义和描述与安全管理相关的概念;
aIT
)标识安全管理和一般的管理之间的关系;
bITIT
)提出了几个可用来解释安全的模型;
cIT
)提供了关于安全管理的一般的指南。
dIT
/由多个部分组成。本部分为第部分,提供了描述安全管理用的基本概念和模型
GBT197151IT
的概述。本部分适用于负责IT安全的管理者,及那些负责组织的总体安全大纲的管理者。
第部分描述了管理和规划方面。它和负责组织的系统的管理者相关。他们可以是:
2IT
)负责监督系统的设计、实施、测试、采购或运行的管理者;
aITIT
)负责制定系统的实际使用活动的管理者。
bIT
第3部分描述了在一个项目的生存周期(比如规划、设计、实施、测试、采办或运行)所涉及的管理活
动中适于使用的安全技术。
第4部分提供了选择防护措施的指南,以及通过基线模型和控制的使用如何受到支持。它也描述
了它如何补充了第3部分中描述的安全技术,如何使用附加的评估方法来选择防护措施。
第部分为组织提供了将它的系统连接到外部网络的指南。该指南包含了提供连接安全的防
5IT
国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页
护措施的选择、使用,那些连接所支持的服务,以及进行连接的系统的附加防护措施。
IT
Ⅱ
/—//:
犌犅犜19715.12005犐犛犗犐犈犆犜犚1333511996
信息技术信息技术安全管理指南
第部分:信息技术安全概念和模型
1
1范围
/包含安全管理的指南。本部分提出了基本的管理概念和模型,将这些概念和模型
GBT19715IT
引入安全管理是必要的。在指南的其余部分还将进一步讨论和开发这些概念和模型以提供更详细
IT
的指南。为有助于标识和管理安全的各个方面可以同时使用本标准的各部分。本部分对全面理解
IT
本标准的后续各部分是必需的。
2规范性引用文件
下列文件中的条款通过/的本部分的引用而成为本部分的条款。凡是注日期的引用文
GBT19715
件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分,然而,鼓励根据本部分达成
协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本
部分。
/—信息处理系统开放系统互连基本参考模型第2部分:安全体系结构
GBT9387.21995
(idtISO749821989:)
3术语和定义国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页
下列术语和定义适用于/的各个部分。
GBT19715
3.1
可核查性犪犮犮狅狌狀狋犪犫犻犾犻狋
狔
确保可将一个实体的行动唯一地追踪到此实体的特性[/—]。
GBT9387.21995
3.2
资产犪狊狊犲狋
对组织具有价值的任何东西。
3.3
真实性犪狌狋犺犲狀狋犻犮犻狋
狔
确保主体或资源的身份是所声称身份的特性。真实性适用于诸如用户、过程、系统和信息这样的
实体。
3.4
可用性犪狏犪犻犾犪犫犻犾犻狋
狔
已授权实体一旦需要就可访问和使用的特性[/—]。
GBT9387.21995
3.5
基线控制犫犪狊犲犾犻狀犲犮狅狀狋狉狅犾狊
为一个系统或组织建立的防护措施的最小集合。
3.6
保密性犮狅狀犳犻犱犲狀狋犻犪犾犻狋
狔
使信息不泄露给未授权的个人、实体、过程或不使信息为其利用的特性。
1
/—//:
犌犅犜19715.12005犐犛犗犐犈犆犜犚1333511996
3.7
数据完整性犱犪狋犪犻狀狋犲狉犻狋
犵狔
数据未经未授权方式修改或破坏的特性[/—]。
GBT9387.21995
3.8
影响犻犿犪犮狋
狆
不希望事故的后果。
3.9
完整性犻狀狋犲狉犻狋
犵狔
见数据完整性和系统完整性。
3.10
犐犜安全犐犜狊犲犮狌狉犻狋
狔
与定义、获得和维护保密性、完整性、可用性、可核查性、真实性和可靠性有关的各个方面。
3.11
犐犜安全策略犐犜狊犲犮狌狉犻狋狅犾犻犮
狔狆狔
支持如何在一个组织或其系统中管理、保护和分布资产(包括敏感信息)的规则、指令和习惯
IT
做法。
3.12
可靠性狉犲犾犻犪犫犻犾犻狋
狔
与预期行为和结果相一致的特性。
3.13
残留风险狉犲狊犻犱狌犪犾狉犻狊犽
国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页
在已实现防护措施之后仍然存在的风险。
3.14
风险狉犻狊犽
某种威胁会利用资产或若干资产的脆弱性使这些资产损失或破坏的可能性。
3.15
风险分析狉犻狊犽犪狀犪犾狊犻狊
狔
标识安全风险、确定其大小和标识需要防护措施的区域的过程。
3.16
风险管理狉犻狊犽犿犪狀犪犲犿犲狀狋
犵
标识、控制和消除可能影响系统资源的不确定事件或使这些事件降至最少的全部过程。
IT
3.17
防护措施狊犪犳犲狌犪狉犱
犵
降低风险的习惯做法、规程或机制。
3.18
系统完整性狊狊狋犲犿犻狀狋犲狉犻狋
狔犵狔
系统以不受损害的方式执行其预定功能,避免对系统故意的或意外的未授权操纵的特性。
3.19
威胁狋犺狉犲犪狋
可能导致对系统或组织危害的不希望事故潜在起因。
3.20
脆弱性狏狌犾狀犲狉犪犫犻犾犻狋
狔
包括可能会被威胁所利用的资产或若干资产的弱点。
2
/—//:
犌犅犜19715.12005犐犛犗犐犈犆犜犚1333511996
4结构
本部分结构如下:第章概述本部分的目的;第章提供安全管理要求的背景信息;第
推荐标准
- GB/T 32065.6-2015 海洋仪器环境试验方法 第6部分:恒定湿热试验 2015-10-09
- GB/T 32067-2015 海洋要素图式图例及符号 2015-10-09
- GB/T 32068.1-2015 铅酸蓄电池环保设施运行技术规范 第1部分: 铅尘、铅烟处理系统 2015-10-09
- GB/T 32066-2015 煤基费托合成 液体蜡 2015-10-09
- GB/T 32072-2015 带传动 抗静电同步带的导电性 要求和试验方法 2015-10-09
- GB/T 32065.7-2015 海洋仪器环境试验方法 第7部分:交变湿热试验 2015-10-09
- GB/T 32071-2015 胶质硝化甘油炸药 2015-10-09
- GB/T 32068.2-2015 铅酸蓄电池环保设施运行技术规范 第2部分:酸雾处理系统 2015-10-09
- GB/T 32069-2015 土方机械 轮胎式装载机附属装置的连接装置 2015-10-09
- GB/T 32068.3-2015 铅酸蓄电池环保设施运行技术规范 第3部分:废水处理系统 2015-10-09