信息安全管理与风险评估
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人
上一章目录下一章

2.2 我国的信息安全管理标准

2.2.1 我国的信息安全管理标准概述

信息安全标准是我国信息安全保障体系的重要组成部分,是政府进行宏观管理的重要依据。虽然国际上有很多标准化组织在信息安全方面制定了许多的标准,但是信息安全标准事关国家安全利益,任何国家都不会轻易相信和过分依赖别人,总要通过自己国家的组织和专家制定出自己可以信任的标准来保护民族的利益。因此,各个国家在充分借鉴国际标准的前提下,制订和扩展自己国家对信息安全的管理领域,这样,就出现许多国家建立了自己的信息安全标准化组织和制定本国的信息安全标准。

我国信息安全标准化工作,虽然起步较晚,但是近年来发展较快,入世后标准化工作在公开性、透明度等方面更加取得实质性进展。我国从20世纪80年代开始,本着积极采用国际标准的原则,转化了一批国际信息安全基础技术标准,制定了一批符合中国国情的信息安全标准,同时一些重点行业还颁布了一批信息安全的行业标准,为我国信息安全技术的发展做出了很大的贡献。

我国对安全技术的标准化工作一直非常重视,于1984年6月,由全国计算机与信息处理标准化技术委员会组建了“数据加密”直属工作组(后来转为分技术委员会)。于1992年改为“全国信息技术”标准化技术委员会的“信息技术安全”分技术委员会。于2002年单独成立“全国信息安全”标准化技术委员会。到目前为止,该标准化技术委员会已制定了(已发布)信息技术方面的我国国家标准共计53个。其中,安全管理方面的国家标准主要如下:

GB/T 19715.1-2005《信息技术 信息技术安全管理指南 第1部分:信息技术安全概念和模型》(ISO/IEC 13335-1:1996,IDT)

GB/T 19715.2-2005《信息技术 信息技术安全管理指南 第2部分:管理和规划信息技术安全》(ISO/IEC 13335-2:1997,IDT)

GB/T 19716-2005《信息技术 信息安全管理实用规则》(ISO/IEC 17799:2000,MOD)

对于这些国家标准,名称后面括号中的内容是采用的国际标准号及其采用程度。其中ISO/IEC 13335-1:1996和ISO/IEC 17799:2000已有新版本;同时,ISO/IEC 13335-2:1997也并入ISO/IEC13335-1:2004。

2.2.2 GB/T 19715标准

GB/T 19715标准在正文前设立了“前言”和“引言”。“前言”介绍了GB/T 19715《信息技术 信息技术安全管理指南》分为五部分。

第1部分:信息技术安全概念模型;

第2部分:管理规划信息技术安全;

第3部分:信息技术安全管理技术;

第4部分:保护措施的选择;

第5部分:网络安全管理指南。

“引言”部分指出,GB/T 19715标准的目的是提供关于IT安全管理方面的指南,而不是解决方案。标准的主要目标是:

(1)定义和描述与IT安全管理相关的概念。

(2)标志IT安全管理和一般的IT管理之间的关系。

(3)提出了几个可用来解释IT安全的模型。

(4)提供了关于IT安全管理的一般的指南。

标准的第1部分,提供了描述IT安全管理用的基本概念和模型的概述,适用于负责IT安全的管理者,及那些负责组织的总体安全大纲的管理者。

第2部分描述了管理和规划方面。它和负责组织的IT系统的管理者相关。它们可以是:

(1)负责监督IT系统的设计、实施、测试、采购或运行的IT管理者。

(2)负责制定IT系统的实际使用活动的管理者。

第3部分描述了在一个项目的生存周期(比如规划、设计、实施、测试、采办或运行)所涉及的管理活动中适于使用的安全技术。

第4部分提供了选择防护措施的指南,以及通过基线模型和控制的使用如何受到支持。它也描述了它如何补充了第3部分中描述的安全技术,如何利用附加的评估方法选择防护措施。

第5部分为组织提供了将它的IT系统连接到外部网络的指南。该指南包含了提供连接安全的防护措施的选择、使用,那些连接所支持的服务,以及进行连接的IT系统的附加防护措施。

GB/T 19715.1-2005标准等同采用国际标准ISO/IEC 13335-1:1996《信息技术 信息技术安全管理指南 第1部分:信息技术安全概念和模型》。

GB/T 19715.2-2005标准等同采用国际标准ISO/IEC 13335-2:1997《信息技术 信息技术安全管理指南 第2部分:管理和计划信息技术安全》。

2.2.3 GB/T 19716—2005

GB/T 19716-2005 《信息技术 信息安全管理实用规则》修改采用了 ISO/IEC 17799:2000《信息技术 信息安全管理实用规则》。

GB/T 19716-2005对ISO/IEC 17799:2000的修改在第十大管理要项“符合性”上。这是标准的第12章。符合性包含3个执行目标,分别是:符合法律要求、安全策略和技术符合性的评审、系统审核考虑。对应执行目标“符合法律要求”,有7项控制措施,分别是:可用法律的标志、知识产权、保护组织的记录、个人信息的数据保护和隐私、防止滥用信息处理设施、遵循密码控制的规章、证据的收集。其中“遵循密码控制的规章”指出,应注意实施协议、法律、规章或其他指令,以控制对密码控制的访问或使用。这种控制应包括:

① 使用国家主管部门审批的密码算法和密码产品;

② 执行密码功能的计算机硬件和软件的进口和/或出口;

③ 设计成使之能增加密码功能的计算机硬件和软件的进口和/或出口;

④ 利用国家的强制或任意的访问方法访问由硬件或软件所加密的信息,以提供内容的保密性。其中①为新增加的内容,为修改内容,其他没有变动。

上一章目录下一章