<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    GB/T 20274.3—2008信息安全技術 信息系統安全保障評估框架 第3部分:管理保障
    展開或關閉
    前 言
    前言
    1 范圍
    范圍
    2 規范性引用文件
    規范性引用文件
    3 術語和定義
    術語和定義
    4 本標準的結構
    本標準的結構
    5 信息安全管理保障框架
    5.1 信息管理保障概述 5.2 信息安全管理保障控制 5.3 信息安全保障管理能力級
    6 信息安全管理保障控制類結構
    6.1 概述 6.2 管理保障控制類結構 6.3 管理保障控制子類結構 6.4 管理保障控制組件結構 6.5 允許的操作
    7 MOA管理保障控制類:信息安全組織體系
    7.1 內部組織結構(MOA_IOA) 7.2 外部組織結構(MOA_OOA)
    8 MSP管理保障控制類:信息安全策略體系
    8.1 信息安全策略體系(MSP_SPL)
    9 MPS管理保障控制類:人員安全
    9.1 人員安全策略和流程(MPS_PPP) 9.2 人員聘用前的管理(MPS_PEM) 9.3 人員聘用時的管理(MPS_DEM) 9.4 人員聘用終止和人事變更時的管理(MPS_TEM) 9.5 安全意識、培訓和教育(MPS_ATE)
    10 MPH管理保障控制類:物理和環境安全
    10.1 物理和環境安全策略和流程(MPH_PPP) 10.2 物理安全區域管理(MPH_PSA) 10.3 物理設施安全(MPH_PFS)
    11 MCP管理保障控制類:符合性管理
    11.1 符合性管理策略和流程(MCP_PPP) 11.2 法律符合性(MCP_LCP) 11.3 安全策略、標準和技術符合性(MCP_PSP)
    12 MAS管理保障控制類:資產管理
    12.1 資產管理策略和流程(MAS_PPP) 12.2 資產管理的職責(MAS_AMR) 12.3 信息和資產的分類(MAS_IAC)
    13 MSR管理保障控制類:風險管理
    13.1 風險管理策略和流程(MSR_PPP) 13.2 風險管理過程(MSR_RMP)
    14 MBP管理保障控制類:業務持續性和災難恢復管理
    14.1 業務持續性和災難恢復管理策略和流程(MBP_PPP) 14.2 業務持續性和災難恢復管理的信息安全考慮(MBP_BIS)
    15 MIR管理保障控制類:事故響應管理
    15.1 事故響應管理策略和流程(MIR_PPP) 15.2 事故響應管理(MIR_IRM)
    16 MIP管理保障控制類:信息安全規劃管理
    16.1 信息安全規劃管理策略和流程(MIP_PPP) 16.2 信息技術規劃(MIP_ITP) 16.3 信息系統安全保障計劃(MIP_ISP)
    17 MIB管理保障控制類:投資和預算管理
    17.1 投資和預算管理策略和流程(MIB_PPP) 17.2 投資和預算管理(MIB_IBM)
    18 MAD管理保障控制類:系統開發與維護管理
    18.1 系統開發與維護管理策略和流程(MAD_PPP) 18.2 信息系統的安全要求(MAD_SRQ) 18.3 系統的開發和支持過程管理(MAD_DSS) 18.4 應用處理的管理(MAD_APM) 18.5 密碼控制(MAD_CRY) 18.6 系統文件管理(MAD_ADM) 18.7 系統維護管理(MAD_SMM) 18.8 技術漏洞管理(MAD_TVM)
    19 MCO管理保障控制類:信息和通信技術運行管理
    19.1 信息和通信技術運行管理策略和流程(MCO_PPP) 19.2 運行流程和職責管理(MCO_PRM) 19.3 第三方服務提供管理(MCO_TSM) 19.4 邏輯訪問控制管理(MCO_LAC) 19.5 審計和監控管理(MCO_AMM) 19.6 惡意和移動代碼的防護(MCO_MMC) 19.7 備份(MCO_BUP) 19.8 網絡安全管理(MCO_NSM) 19.9 介質管理(MCO_MEM) 19.10 信息交換(MCO_IEX)
    20 MCC管理保障控制類:安全評估、認證和認可
    20.1 安全評估、認證和認可策略和流程(MCC_PPP) 20.2 安全評估、認證和認可(MCC_ECC)
    21 安全管理能力級說明
    21.1 概述 21.2 安全管理能力級別說明 21.3 信息系統安全保障管理能力級別應用
    參考文獻
    參考文獻

    16.2 信息技術規劃(MIP_ITP)

    GB/T 20274.3—2008信息安全技術 信息系統安全保障評估框架 第3部分:管理保障 /

    16.2.1 安全保障管理目的

    組織機構應管理信息技術的規劃,以確保所使用的信息技術能充分支持組織機構的使命與業務發展戰略。
    信息技術戰略規劃是組織機構謀求信息技術機遇和IT業務需求的最佳平衡所制定的針對信息技術的長期計劃。
    信息體系架構是對組織機構信息系統的整體標準化、結構化的理解和描述,它規范化地描述了組織機構信息系統的整體結構。

    16.2.2 MIP_ITP.1信息技術戰略計劃管理

    16.2.2.1 管理保障控制組件控制

    組織機構的高層管理應基于組織機構的業務發展戰略和信息技術的發展,將信息技術作為組織機構長期和短期計劃的一個綜合有機組成部分,并負責管理組織機構信息計劃的戰略規劃和規劃的實施。
    組織機構的信息技術戰略計劃包括長期計劃和短期計劃,組織機構應定期執行信息技術戰略規劃的編制,要逐漸形成長期的計劃,并應定期將長期計劃地轉化成清晰并具體到短期目的的可操作計劃。

    16.2.2.2 管理保障控制組件注解

    組織機構的高層管理層對開發和履行組織機構的長期和短期任務目標的計劃負責。高層管理層應確保能對信息技術相關事件和事件發生的可能性進行充分的評估,并且組織機構的長期和短期計劃能正確反映這種評估結果。應該制定信息技術的長期和短期計劃以確保所使用的信息技術能同組織機構的使命和業務發展戰略相結合。
    組織機構在管理其信息技術戰略計劃時,應考慮:
    a) 組織機構的業務發展戰略;
    b) IT如何支持業務目標的明確定義;
    c) 技術解決方案和當前基礎設施的詳細清單;
    d) 追蹤技術發展;
    e) 適時的可行性研究和現實性檢查;
    f) 現有系統的評估;
    g) 在風險、進入市場的時機、質量等方面組織機構的定位;
    h) 需要高層管理層給與經費等資源和檢查。
    IT管理層和業務過程的所有者應負責定期開發用于實現組織機構總體使命和目標的IT長期計劃。計劃編制時應考慮向那些受IT戰略計劃影響的內外相關者搜集資料。因此管理應該實施一個長期的規劃過程,采用一種結構化的方法,建立一個標準的計劃結構。
    在編制長期計劃時,IT管理層和業務過程的所有者應建立并采用一種結構化的方法,以制定出高質量的計劃,計劃中應包括什么、誰、怎樣、什么時間和為什么等基本的問題。
    IT計劃的編制過程應考慮風險評估的結果,包括業務、環境、技術和人力資源的風險。在計劃編制過程中,需要考慮:組織機構的模式及其變化、地理的分布、技術改進、成本、法律法規的要求、第三方或市場的要求、規劃遠景、重建業務過程、人員、自行開發或者外包服務、數據、應用系統和技術體系結構。應清楚識別所做的選擇會帶來哪些好處。IT長期和短期計劃應將績效指標和組織機構的目標相結合。計劃本身還應參考其它的計劃,比如組織機構的質量計劃和信息風險管理計劃。
    IT管理層和業務過程所有者應確保及時、準確地修改IT長期計劃的過程,以適應組織機構長期計劃的變化和IT環境的變化。管理層應建立一個開發和維護IT長期和短期計劃所需要的策略。
    IT管理層和業務過程的所有者應確保IT長期計劃定期被轉換成IT短期計劃。這種短期計劃應確保在與IT長期計劃基本符合的情況下為短期計劃分配了適當的IT功能資源。對短期計劃應定期地進行再評估,當業務功能和IT環境變更時進行改進。應及時地進行可行性研究,以確保完全開始執行短期計劃。。
    管理層應確保IT長期和短期計劃被充分傳達給業務過程所有者以及跨越組織機構的其他相關部門人員。
    管理層應建立一個反饋流程,用來搜集和報告來自業務過程所有者和用戶關于長期和短期計劃的質量及有效性的反饋。采購的反饋應予以評估,并在將來的IT計劃編制中加以考慮。
    在開發或變更戰略規劃或長期IT計劃之前,IT管理層應按照業務自動化的程度、功能性、穩定性、復雜性、成本、優勢和劣勢,評估現有信息系統,以確定現有系統支持組織機構業務需求的程度。

    16.2.3 MIP_ITP.2 信息系統體系結構管理

    16.2.3.1 管理保障控制組件控制

    組織機構應建立和維護信息系統體系結構以支持業務要求和風險管理的要求。
    組織機構應綜合考慮業務、風險要求以及信息技術、信息安全技術的發展,使用規范化的流程對組織機構的信息系統體系進行調整。

    16.2.3.2 管理保障控制組件注解

    信息技術體系結構是對信息系統的整體高層的規范和描述。
    組織機構應首先建立或采用一個科學的信息系統技術參考模型,信息系統技術參考模型建立了一個描述和理解信息技術系統的公共詞匯表,并定義了信息技術系統通用的服務和接口集合。通過公共詞匯表和服務、接口集合的定義,幫助用戶以通用、標準化和提高互操作的方式建設、分析和描述信息技術系統。
    在完成信息系統技術參考模型后,組織機構應根據所建立的信息系統技術參考模型對其信息技術系統進行規范化、標準化的描述。
    組織機構應綜合考慮業務、風險要求以及信息技術、信息安全技術的發展,使用規范化的流程對組織機構的信息系統體系進行調整。
    在編制組織機構的信息技術體系結構文件時,應考慮和綜合下列內容:
    a) 信息技術體系結構應基于科學、規范的信息系統技術參考模型;
    b) 信息技術體系結構應以業務和信息流為基礎,從信息技術的角度闡述其對業務應用、業務管理流程的支持;
    c) 信息技術體系結構在技術上需要考慮:
    1) 企業數據字典和數據語法規則。應確保包含組織機構數據語法規則的企業數據字典的建立以及持續的更新。
    2) 應用和數據的分類和安全等級。組織機構應從法律政策等以及業務的要求出發,確定應用和數據的保護分類和安全等級。這些安全等級應描述適當的(最小的)一套安全和控制尺度,應定期進行再評估并做相應的修改。
    3) 表述業務的信息模型。組織結構的信息技術體系結構應以業務為核心來組織,信息技術體系結構應根據業務來對技術進行組織。

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    安全俠
    Reserved 1.2k 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类