GB/T 19716-2005

Abolished

Information technology-Code of practice for information security management

信息技术 信息安全管理实用规则

Standard Type
GBT
ICS
35.040
CCS
L80
Status
废止
Issue Date
2005-04-19
Implementation
2005-10-01
Responsible Dept
国家标准委
Drafting Unit
国家标准委

📋 Scope / 适用范围 ai_extracted

本标准对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用。本标准为开 发组织的安全标准和有效的安全管理做法提供公共基础,并提供组织间交往的信任。本标准的推荐内 容应按照适用的我国法律和法规加以选择和使用。

📝 Foreword / 前言 ai_extracted

本标准修改采用ISO/IEC 17799,2000(信息技术信息安全管理实用规则》(英文版)。 本标准适当做了一些修改:在12. 1. 6中增加了“a)使用国家主管部门审批的密码算法和密码产 品”,作为修改内容。 本标准由中华人民共和国信息产业部提出。 本标准由全国信息安全标准化技术委员会归口。 本标准由中国电子技术标准化研究所、中国电子科技集团第三十研究所、上海三零卫士信息安全有 限公司、中国电子科技集团第15研究所、北京思乐信息技术有限公司负责起草。 本标准主要起草人:黄家英、林望重、魏忠、林中、王新杰、罗锋盈、陈星。 GB/T 19716-2005 引 言 什么是信息安全? 像其他重要业务资产一样,信息也是一种资产。它对一个组织具有价值,因此需要加以合适地保 护。信息安全防止信息受到的各种威胁,以确保业务连续性,使业务损害减至最小,使投资回报和业务 机会最大。 信息可能以各种形式存在。它可以打印或写在纸上、以电子方式存储、用邮寄或电子手段发送、呈 现在胶片上或用言语表达。无论信息采用什么形式或者用什么方法存储或共享,都应对它进行适当地 保护。 信息安全在此表现为保持下列特征: a) 保密性:确保信息仅被已授权访问的人访问; b) 完整性:保护信息及处理方法的准确性和完备性; c)可用性:确保已授权用户在需要时可以访问信息和相关资产。 信息安全是通过实现一组合适控制获得的。控制可以是策略、惯例、规程、组织结构和软件功能。 需要建立这些控制,以确保满足该组织的特定安全目标。 为什么需要信息安全? 信息和支持过程,系统和网络都是重要的业务资产。信息的保密性、完整性和可用性对维持竞争优 势、现金流转、赢利、守法和商业形象可能是必不可少的。 各组织及其信息系统和网络日益面临来自各个方面的安全威胁。这些方面包括计算机辅助欺诈、 间谍活动、恶意破坏、毁坏行为、火灾或水灾。诸如计算机病毒、计算机黑客捣乱和拒绝服务攻击,已经 变得更普遍、更有野心和日益高科技。 对信息系统和服务的依赖意味着组织对安全威胁更为脆弱。公共网络和专用网络的互连和信息资 源的共享增加了实现访问控制的难度。分布式计算的趋势已削弱集中式控制的有效性。 许多信息系统已不再单纯追求设计成安全的,因为通过技术手段可获得的安全性是有限的。应该 用合适的管理和规程给予支持。标识哪些控制要到位需要仔细规划并注意细节。信息安全管理至少需 要该组织内的所有员工参与,还可能要求供应商、消费者或股票持有人的参与。外界组织的专家建议可 能也是需要的。 如果在制定要求规范和设计阶段把信息安全控制结合进去,那么,该信息安全控制就会更加经济和 更加有效。 如何建立安全要求 最重要的是组织标识出它的安全要求。有二个主要来源。 第一个来源是由评估该组织的风险所获得的。通过风险评估,标识出对资产的威胁,评价易受威胁 的脆弱性和威胁出现的可能性和预测威胁潜在的影响。 第二个来源是组织、贸易伙伴、合同方和服务提供者必须满足的法律、法规、规章和合同的要求。 第三个来源是组织开发支持其运行的信息处理的特定原则、目标和要求的特定集合。 评估安全风险 安全要求是通过安全风险的系统性评估予以标识。用于控制的经费需要针对可能由安全故障导致 GB/T 19716-2005 的业务损害加以平衡。风险评估技术可适用于整个组织,或仅适用于组织的某些部门,若这样做切实可 行、现实和有帮助,该技术也适用于各个信息系统、特定系统部件或服务。 风险评估要系统地考虑以下内容: a) 可能由安全故障导致的业务损害,要考虑到信息或其他资产的保密性、完整性或可用性丧失的 潜在后果; b) 从最常见的威胁和脆弱性以及当前所实现的控制来看,有出现这样一种故障的现实可能性。 评估的结果将帮助指导和确定合适的管理行动,以及管理信息安全风险和实现所选择控制的优先 级,以防范这些风险。评估风险和选择控制的过程可能需要进行许多次,以便涵盖组织的不同部门或各 个信息系统。 重要的是对安全风险和已实现的控制进行周期性评审,以便: a) 考虑业务要求和优先级的变更; b) 考虑新的威胁和脆弱性; c)证实控制仍然维持有效和合适。 根据先前评估的结果评审宜在不同深度级别进行,以及在管理层准备接受的更改风险级别进行。 作为高风险区域优化

Content extracted by AI. Not officially verified.