ISO133351信息安全管理指南.docx

1、ISO133351信息安全管理指南内容前言介绍1范围2参考3定义4结构5目标6背景7IT安全管理的概念 7.1方法 7.2目标、策略和原则8安全原理 8.1特性 8.2威胁 8.3脆弱性 8.4影响 8.5危险 8.6安全保障 8.7存留下的危险 8.8约束9IT安全管理进程 9.1配置管理 9.2管理 9.3危险管理 9.4危险分析 9.5责任 9.6安全警告 9.7监控 9.8偶发事件处理计划和灾难性恢复10模式11总结前言ISO（国际标准组织）和IEC（国际电子技术委员会）形成了世界指定标准系统ISO或IEC的成员，各个组织通过加入发展国际组织而建立的技术委员会处理科技活动的特殊领域。I

2、SO和IEC技术委员会在共同感兴趣的领域合作。其它的国际组织与ISO和IEC合作，也加入了这项工作，无论是政府还是非政府性。在信息科技领域，ISO和IEC己建立了一个联合委员会，ISO/IEC JTCI技术委员会，主要的任务就是准备国际标准，但在特殊情况下，技术委员会可能建议公开以下类型的技术报道：类型1，当公开的一个国际标准不能得到必要的支持时，无论这个标准花费了多少精力。类型2，当研究对象滞后于技术发展或由于任何其它原因，它有发展前途但在短时期内不可能与国际标准取得一致时。类型3，当技术委员会收到一些不同类型的符合国际标准的数据时。类型1和类型2的技术报告是否被转化为国际标准取决于将其公开

3、3年后的反馈汇报。类型3的技术报告只有当提供的资料被认为不再合法或有用才有必要再复查。ISO/IEC TR13335，属于第3种技术类型，由联合技术委员会准备。ISO/IEC JTCI，信息技术，subcommittee2T，IT安全技术。ISO/IEC TR13335包含以下几部分：第一部分：IT安全性的概念和模式第二部分：IT安全的管理和计划第三部分：IT安全性的管理技术 附加部分以后将加在技术报告中介绍技术报告的目标为IT安全管理方面提供保障，而不是解决方法，为IT安全负责的组织中的那些单独的个体应该能在报告中不断调整内容以满足特定的需要，技术报告的主要目的是：定义和描述与IT安全管理相

4、关的概念辨别IT安全管理与IT一般管理的关系提供几个能解释IT安全的模型提供IT安全管理的一般向导ISO/IEC TR 13335有几个组成部分。第一部分是基本概念概述和用于描述IT安全管理的几个模型。这些内容适用于那些对IT安全负责的管理者和那些对一个机构的整个安全程序负责的管理者第二部分是描述管理和计划，这一部分与那些负责管理一个机构的IT系统的管理者有关。这些管理者可以是：负责总览设计，实现，测试，获得或操纵IT系统的管理者负责大大利用IT系统的管理者第三部分对那些在一个工程生命周期过程中从事管理工作的安全技术做了描述，比如：计划、设计、实现、测试、获得操作另外的部分根据需要加入指定的地

5、方信息技术IT安全管理向导第一部分：IT安全概念的模型1范围：ISO/IEC TR 13335包含IT安全管理向导，ISO/IEC TR 13335的第1部分，陈述了基本管理概念和模型，这些概念和模型对引入IT安全管理非常重要。这些概念和模型在其它部分作了进一步地讨论和开发，并提供了更详细的向导。这些部分可用来辨别和管理IT安全的所有方面。第1部分对完整理解ISO/IEC 13335的以下部分是很重要的。2参考ISO 74982:1989；Jnform systemsopen systems InterannectornBasic Referenle Modelpart2:Security A

6、rchitecture3定义以下定义用于ISO/IEC TR 13335的三个部分。 3.1责任： 3.2资源： 3.3 3.4 3.5 3.6保密性：所有非有效信息和未对非授权个人、实体、工程公布的信息（ISO 7498-2:1989） 3.7数据完整：数据没有被一种非正规的方式变更或破坏。（ISO 7498-2:1989） 3.8冲突：非期待事件的发现。 3.9完整性：见数据完整和系统完整。 3.10 IT安全：所有与定义、完成、保持信心、完整性、有效性、可数性、可靠性、可倍度有关的东西。 3.11 IT安全政策：控制资源（含敏感信息）在一个组织或IT系统动作、保护、分配的法规、命令和策略

7、。 3.12可靠性：预期的行为和结论的可靠性。 3.13剩余风险：（系统）维护正常进行时仍存在的风险。 3.14风险：一个规定威胁将利用一个或一组系统资源的弱点导致其损失或破坏的可能性。 3.15风险分析：认证安全风险，决定其重要性，认证需维护区域的过程。 3.16风险管理：认证、控制、消灭或最小化不确定因素对系统资源的影响的过程。 3.17维护：减少风险的策略、程序和技巧。 3.18系统完整：系统完全按照规定的方式动作，而不会受到有计划的或突出的不规范操作的影响。 3.19威胁：导致对系统或组织有害的，未预料的事件发生的可能性。 3.20弱点：一个或一组资源中，能被威胁利用的弱点之处。4结构

8、这份ISO/IEC TR 13335报告是这样组织的：条款5提出报告的目标；条款6介绍IT安全的动作需要的背景知识；条款8介绍一些IT安全的组成；条款9讨论IT安全组织所需过程；条款10一般性的讨论几个对理解本报告有益的几个模型；条款11是对这部分的小结。5目标ISO/IEC TR 13335面向多量读者，第一部分的目标是描绘在IT安全管理方面的各种话题，同时对IT安全的基础概念和模型作简要的介绍。为了提供一高水平的管理概要，所有材料都简明扼要。这样它将适合在一些组织里面负责安全的高级管理人员，同时为对报告其余部分的人介绍IT安全知识。第二部分和第三部分为那些直接对IT安全的执行和检测负责的个

9、人提供广泛的信息和材料，这些以第一部分介绍的概念和模型为基础。这个报告不是为了介绍一个独特的IT安全的管理方法。相反，它先总体介绍一些有用的概念和模型，最后具体讨论对IT安全管理有效和技术和工具。这些素材广泛适用于不同类型下的管理和组织环境。这个报告的组织方式允许对材料进行整理以满足其组织和具体管理方式的需要。6背景政府和商业机构依赖于信息应用来管理他们的商业活动。缺乏信息和服务的可信度，完整性，有关性，责任性，真实性和可靠性会对组织产生不利影响。结果，在组织内部急切需要信息保护和信息安全技术管理，在当前环境里面，这种保护信息的需要尤其重要，因为许多组织靠IT系统的网络连接在一起。IT安全管理

10、用来获得和保持可信度，完整性，有效性，责任性，真实性和可靠性。IT安全管理功能如下：决定有组织性的IT安全目标、策略和政策；决定有组织的IT安全的需要；认证和分析对组织内的IT资源的安全威胁；认证和分析风险；具体化合适的维护；检测维护的执行和动作，这些维护对于保护组织内的信息和服务很有必要；发展和执行安全意识项目；对事情进行检测和反应为了达到IT安全管理的要求，安全性必须是组织的整个管理计划的一部分。事实上，这个报告提到的一些话题有更泛的内涵。这个报告不以广泛管理问题为核心，而是聚焦于话题的安全性方面及它们在整体上是如何联系等问题。7IT安全管理的概念按下来采用的概念要考虑到组织动作的环境和文

11、化，因为他们可能对安全的整体处理有重要影响。而且，他们对组织的具体部门的保护起作用。在某些情况下，政府利用立法和执法来履行职能。但在其它情况下，政府则是负责任的管理者的主人。这个问题对采用的提议有不可忽视的作用。7.1提议一个系统的提议对组织IT安全性的认证需求是十分必要的。这对于IT安全的执行同样必要。这个过程可以参考IT安全管理并且包括以下活动。IT安全政策的发展；组织内的角色和责任的认证；风险管理，包括认证和评估以下：资源保护 威胁 弱点 影响风险 维护 剩余风险约束构造管理；变化管理；意外的计划及灾难恢复计划；维护的选择和执行；安全意识；其它，包括维修 安全检查 检测 复查事件处理7.

12、2目标、策略和政策公司的安全目标、策略和政策（见图1）对组织内IT安全有效性形成一个基础。他们支持组织的活动并且保证维护间的一致性。目标确证该达到什么；策略确认怎样达到这些目标；而政策确认该做什么。目标，管理和政策按公司层到管理层阶级地发展。他们应该反映组织需要并且考虑各种组织约束，且保证在各层次获得一致性。安全性在组织内对各管理层负责，而且出现在整个使用期循环中。它们应该基于定期安全检查（如风险分析，安全检查）和事件目标的变化上进行维护和更新。集体安全政策主要由安全理论和指令组成。集体安全策略必须反映更广泛集体策略，包括那些个人权利，合法要求及标准。集体安全策略必须反映必要的安全原理和指令及

13、组织内IT系统的广泛应用。一个IT系统安全策略必须反映包含在集体IT安全策略之中的安全原理和指令。它还应该包含使用中安全需要和维护的具体细节以及如何正确适用才能确保足够安全。在所有情况中，采取和组织活动需要相关的方法是很重要的。IT系统安全目标、策略和政策就安全方面表述了对IT系统的要求。它们通常用一种自然的语言来表达，但应该用数理的正式的语言来描述。包括以下：可信度 完整性 有效性 责任性真实性 可靠性目标、策略和政策的建立组织的安全层次，风险容纳的入口以及组织的偶然性需求。8安全组成接下来的条款介绍与安全管理过程相关的主要成份。逐一介绍各成份和认证各要素。有关这些要素的具体描述和讨论以及他

14、们之间的关系放在本报告的其它部分。8.1资源资源的合理管理对组织的成功很重要，并且对各管理层负主要责任。一个组织的资源包括：物理资源（如：电脑硬件、通信设备、建筑）；信息/数据（如：文档、数据库）；软件；生产某种产品或提供某种服务的能力；人；非实体（心情、评价）大多数或所有的资源对于保证对其保护程度都是有价值的。如果资源没有得到保护，那么对可接受风险的评估就很必要了。以安全展望来看，如果组织的资源没有论证，就不可能执行和保持一个成功的安全项目。在许多情况下，论证资源和指定价值的过程可以高水平的完成而不需要一个昂贵的、详细的、花时间的分析。这种分析的详细程度必须由所需时间与钱财与资源的价值的比来

15、测定。在任何情况下，详细程度应该由基本安全目标决定在许多情况下，这么做对资源组情况有用。资源属性包括它们的价值或敏感性，以及所有继承的维护。资源保护的需要受它们对某些威胁时呈现的弱点影响。如果这些方面对资源所有者来说十分明显，它们就应该在这个程度上被控制。组织的运行环境和文化可能影响资源和它们的属性。例如，在一些文化氛围里认为个人隐私的保护十分重要而另一些则对这一点不重视。环境和文化的变动对国际组织以及IT系统在国际范围的应用十分重要。8.2威胁资源要面对施工威胁。威胁有导致意想不到的事故并对系统和组织以及其资源产生危害的可能。这些伤害将对IT系统和服务正在处理的信息产生定向或不定的攻击，如它

16、的非正常破坏、泄露、修改、讹误、无法得到、损失。威胁需要利用资源的弱点去成功攻击资源。威胁可以是自然的、人为的、突发的或积累的。突发的和积累的威胁都要被论证和作可能性评估。 威胁的例子如下： 统计的数据与各种环境威胁是有效的。它应该在威胁评估过程中获得和使用的。这些威胁可能会冲击某一组织的具体部分，如对个人机的破坏。有些威胁对于存在于某一系统或组织的周边环境有普遍影响，如飓风或闪电对建筑物的毁坏。组织内可能会产生某种威胁，如雇员或外部的蓄意破坏，如恶意乱砍或工业间谍活动。资源破坏中的有害事件引起的破坏可能是暂时的，也可能是永久的。由威胁和引起的伤害程度不尽相同原因如下：软件病毒会因其活动产生相

17、应程度破坏某一区域的地震会对某地产生不同力度以下威胁常带有一定的严重性，例如：被描述为破坏性或非破坏性的病毒地震的强度为描述为Richter规模 一些威胁影响多种资源。依据资源不同，它们会产生不同影响。例如，软件病毒对某一个人机的影响是有限的；但是，同样的软件病毒对基于文件服务器的网络将有广泛的破坏。其它威胁或不同区域的同一病毒可能在他们引起的破坏性方面是一致的。如果其破坏性是一致的，那么可采用普通的处理。但如果其破坏性变化多端，则需对每一威胁性进行更具体处理。威胁关于其自身有能提供有用信息的特点。信息如下：来源，如内部和外部动机，如财政获得，竞争优势出现频率，和威胁严重性组织所处的环境和文化

18、对威胁的运行有重要意义。在某些文化下，某些威胁不认为有害，当确认威胁时，必须考虑到环境和文化的方方面面。8.3弱点和资源相关的弱点位于包括物理布局、组织、过程、人员、管理、经营、硬件、软件及信息等处。他们可能会被对IT系统或活动目标有害的威胁所利用。弱点本身并无危害，它只是在某种情况容许威胁影响资源。除非资源本身有所改变使弱点无处藏身，弱点才不复存在。含系统不足的弱点可能被开发并导致不良影响。它们是允许威胁起危害的机会。例如，缺乏登录控制装置将可能发生侵入并导致资源丢失。在某一具体系统或组织内，不是所有弱点都可被威胁接受。弱点与相关的威胁有直接关系。然而，由于环境变化，所有弱点都应受检测以确认

19、那些暴于危险中的新旧威胁。弱点分析是可能被己认证威胁的弱点检查。这种分析必须考虑到环境和己存的维护。某一系统或资源的弱点对威胁而言都很容易对系统带来伤害。8.4影响影响就是由人为或突发性引起的不利事件对资源的破坏。这种影响可能是某种资源的破坏，IT系统的毁坏，以及失去可信度，完整性，有效性，责任性，真实性和可靠性。可能还有间接影响包括财政流失，市场份额丧失或公司形象。衡量影响可以在不利事故的后果与维护所耗费用之间进行权衡。不利事故发生的频率也应考虑在内。因为某一事件引起危害较低，但多件时却很有害。在风险评估和维护选择上，对影响评估很重要。数量上和质量上对影响衡量方式很多，例如：建立财政支出分配

20、严重性的观察范围，如110，及从预先定义目录选用如低、中、高8.5风险风险是潜在可能性，即威胁，将会对资源产生丢失或破坏，因此直接或间接影响到组织。单一或多个威胁将产生单一或多个弱点。风险说明书描述了某一威胁或一组威胁可能对某一弱点或一组弱点产生危害。风险由两大因素来定性：发生不利事件的可能性及其影响。任何资源，威胁，弱点及维护上的变化均对风险有重要后果。早期检测及获得环境或系统内变化的知识将更有利于采取合适措施来减轻风险。8.6维护维护是能防止威胁、降低弱点、缩小不利事件影响，检测意外事故和设施恢复。有效安全通常需要各种维护以提供资源的多层安全。例如，登录控制装置应用于电脑应该受到检查控制，

21、人员程序、练习和物理安全的支持。一些维护己存在于环境部份中，或作为资源的固有方面，或可能己在系统或组织内占一席之地。维护承担以下一种或多种功能：检测阻碍、防止、限制、纠正、恢复、监控和监察。对一正常运行的安全程序而言，选择一种合适的维护显得很重要。许多维护可实现多种功能。选择能满足多功能的维护是行之有效的。以下例子举出维护的可用区域，包括：物理环境科技环境（硬盘、软盘和通信）人员，及经营安全意识是一种与个人领域相关的维护。但基于其重要性，将在9.6节讨论这一话题。组织运作的环境和文化对所选的维护和组织的安全意识有重要影响。某些维护还会就组织对安全的态度发送强而清晰的信息。因此，选择一种对组织运

22、行的文化和（或）社会无攻击的维护很重要。维护例子如下网络防火墙壁 网络检测与分析可信度过 数码杀毒软件包 保留能源供给，及信息备份 登录控制装置8.7剩余风险维护仅仅只能部份组合风险。部份的组合可能达到，但达到得越多，耗费得也越多。这就是剩余风险。它接受部份判断是否安全适合组织的需要。这个过程是风险容纳。管理应该就事情发生的影响和可能性认知所有的剩余风险。如果剩余风险层还未被接受，那么那些能够接受意外事故影响及能主管维护的执行的人应作出接受剩余风险的决定。8.8约束约束受到组织运行中环境的影响。例子如下：组织 财政 环境 人员 时间 法律工业，及 文化/社会在选择的执行维护时所有这些因素都应考

23、虑到。存在的及新的约束应定期检查并认识到些许变化。还应提到约束会随时间、地理、社会进化及组织文化的变化而变化。组织运行下的环境和文化会对某些安全要素产生影响，特别是威胁，风险和维护。9.IT安全管理过程IT安全管理是由其它许多过程组成。某些过程，如结构管理和变化管理更多适用于纪律，而非安全。己试验的过程表明在IT安全管理中风险管理和其从属过程的风险分析。图2显示了IT安全管理的多个方面，包括风险管理、风险分析、变化管理和结构管理。9.1结构管理结构管理就是保持系统变化轨迹的过程，可以正式或非正式地进行。其目的是为了保证整个组织的安全性以及系统变化不会降低维护的有效性。结构管理的目标是弄清发生了

24、什么变化，而不是将安全作为阻止IT系统变化的手段。在某些情况下，会有理由产生变化以减低安全。这种安全性的减低应得到评估并且以各相关因素为基础作出管理决定。换句话说，系统的变化应充分反映安全相关物。结构管理的另一目标是保证系统内的变化能在其它文档中有所反应，如事故恢复和偶然性计划。如果这一变化是主要的，那么有必要重新分析某些或整个系统维护。9.2变化管理变化管理是当IT系统发生变化时用来帮助认证新的安全需求的过程。IT系统及其运作的环境是不断变化的。这些变化是新IT特性和服务可利率的结果或新威胁和弱点的发现。IT系统的变化包括：新过程 硬件修正新特征 新用户，包括外部组成或用名组，及软件更新 附

25、加网络和互相联络当IT系统发生变化时，有必要弄清这些变化带给安全系统怎样的影响。如果系统有一参构控制板或其它组织结构来管理系统变化，那么IT安全管理员应有权决定这些变化是否及如何影响其安全性。对于涉及购买新硬盘、软盘及服务的主要变化，则需要分析以决定新的安全要求。另一方面，许多系统产生少量的变化更自然的并不需要太多的分析，而主要变化则需要此类分析。对这两种变化而言，应该做一个能认识其获利与支出的风险评估。对于次要变化而言，在集会时己评估过，但其结果和管理意见还需存档。9.3风险管理风险管理在整个系统循环中是最有效的活动。这种风险管理过程其自身就是一主要循环活动。当整个循环开始时，在整个系统循环

26、内的任一点都可启动。这一策略说明对系统的检查可在预定时间或系统循环中的任一点进行。这也将有紧跟上次检查后采取的行动，其目的是检测维护的执行情况。在系统的设计和发展过程中，需要进行风险管理，以确保安全性是从最有效时间内设计和执行的。当系统发生重大变化时，风险管理应该运作起来。第10节，图4，表时风险管理中涉及元素。无论运用何种风险管理方法或技巧，在确保整个系统得到合理保护的情况下，权衡时间和用来认证执行维护的资源显得很重要。风险管理是比较维护的获利与支出的评估风险，和产生与整个IT安全政策和目标一致的执行策略和系统安全政策的过程。不同类型的维护应用不同的获利支出分析。应选择与风险及潜在影响相关的

27、维护。同时应考虑可接受的剩余风险水平。还应注意维护本身还可能包含弱点，因此导致新风险。所以在选择合适维护时要考虑既要降低风险，同时又不产生新风险。以下部份将提供有关风险管理过程的细节。9.4风险分析风险分析是为认证那些需要控制的接受的风险。IT安全的内容中，风险分析包含对资源价值、威胁和弱点的分析。风险是基于由可信度、完整性、有效性、可靠性、真实性及负责性所引起的潜在影响来评估。风险分析的结果类似于资源风险的评估。风险分析是风险管理的一部份，并且对整个系统简要分析情况下没有必要时间及资源上的投资就可以完成。这将决定那个系统能很好受到一系列实践和控制及那些受益于一具体风险分析检测的保护。一系列实

28、践由一组导航及底线控制组成，底线控制被用来满足底线保护的需要。9.5可靠性有效的安全性要求可靠性及对安全责任的分工和理论。责任性和可靠性应该成为资源的主人、提供者和使用者。结果，对有效的安全性很重要的是资源所有者，及其相关的资源责任，提供者和IT系统的使用者。安全意识是有效安全的重要元素。缺乏安全意识和安全实践的不足都将降低维护的有效性。组织内的个人一向被认为是安全链上最弱的一环。为了确保组织内存在足够水平的安全意识，有必要建立和维护一有效的安全意识项目。安全意识项目的目标是为了向雇员、伙伴和客户解释：安全目标，策略和政策，及对安全的需要，及与之相关的角色和责任此外，项目还需激发雇员、伙伴和客

29、户，从确保他接受安全的责任。在日常活动之中，安全意识项目应在组织内面向全合体来执行。同时有必要对组织内有不同角色和责任，处于不同地位的人分发不同的意识材料。需进行广泛的重要的安全意识项目。再一项进行基于前一课之础，以安全概念开始，并贯穿安全执行与检测的责任性与始终。组织内的安全意识项目包含很多活动。其一是安全意识材料的产生和分发（海报、公告、传单、简报），材料的目的是为了加强雇员和合同工的意识观念。另一活动是一些培训雇员的课程，以提高其安全实践能力。最后，在一些具体安全话题方面应提供专业的教育。在某些情况下，在其它培训项目中输以安全信息很有效，这种方法与安全意识项目相比是可选的。为了建立一满足

30、文化和行政需求的安全意识项目，以下方面需考虑到：需求分析项目发送检测意识项目内容9.7检测维护应受到检测是为了确保他们功能正常，并且环境内的变化不会使其无效。自动检查和分析对于帮助既定节目很有效。这些工具可用来检测突发事件，且它们会有一些阻碍作用。安全维护的有效性应定期确认。这可以通过检测来确认维护正起作用。许多维护能生产对安全性有意义检测有用的输出如：测速器、警报记录等，一般的系统审查功能能提供安全方面有用的信息，并投入使用之中。9.9意外计划和灾难恢复意外计划包括当支持运行时如何运转事业的信息以及IT系统是否有效。这些计划应提及以下诸条：障碍物的不同长度不同类型设备的丢失进入场所的物理入口

31、的安全丢失；及需要返回到如果破坏设发生就会存在的状态。灾难恢复计划描述如何运行受到意外事件影响的IT系统，IT恢复计划包括：形成灾难的标准激活恢复计划的责任不同恢复活动的责任，以及恢复活动的描述10.模型IT系统管理中存在很多模型。然而，ISO/IEC TR 13335部份提供的模型对于理解IT安全管理有重要概念。以下描述：安全要素关系风险管理关系IT安全过程的管理这些概念提前介绍了组织的目标，以及形成组织内IT安全的计划，策略和政策。其目的是为确保一组织有能力进行其活动，并将风险控制在可接受水平。安全不会是百分百有效，所以别定意外恢复计划及减低毁坏程度为最小范围。IT系统安全是多元化问题可以多方面来考虑。因此，为了决定和认证全球一致的IT安全策略和政策，组织应考虑所有方面。图3显示资源如何潜在地屈