返回
1128信息安全风险管理规范(征求意见稿)

1128信息安全风险管理规范(征求意见稿)

ID:17873592

大小:3.88 MB

页数:60页

时间:2018-09-07

1128信息安全风险管理规范(征求意见稿)_第1页
1128信息安全风险管理规范(征求意见稿)_第2页
1128信息安全风险管理规范(征求意见稿)_第3页
1128信息安全风险管理规范(征求意见稿)_第4页
1128信息安全风险管理规范(征求意见稿)_第5页
资源描述:

《1128信息安全风险管理规范(征求意见稿)》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、GA/T××××—2001GB国家质量监督检验检疫总局发布××××-××-××实施××××-××-××发布信息安全风险管理规范InformationSecurityRiskManagementSpecification(征求意见稿)GB/T××××—××××中华人民共和国国家标准ICS.1GB/T××××—××××目 次目 次I前言V引 言I信息安全风险管理规范11范围12规范性引用文件13信息安全风险管理概述13.1信息安全风险管理的范围和对象13.2信息安全风险管理的内容和过程13.3信息安全风险管理与信息系统生命周期和

2、信息安全目标的关系33.3.1信息系统生命周期33.3.2信息安全目标33.3.3三者关系43.4信息安全风险管理的角色和责任54信息安全风险管理的对象确立64.1对象确立概述64.1.1对象确立的概念64.1.2对象确立的目的64.1.3对象确立的依据64.2对象确立过程64.2.1风险管理准备74.2.2信息系统调查74.2.3信息系统分析84.2.4信息安全分析94.3对象确立文档95信息安全风险管理的风险评估105.1风险评估概述105.1.1风险评估的概念105.1.2风险评估的地位和意义105.1.3风险评估的作

3、用范围105.2风险评估过程105.2.1风险评估准备115.2.2风险因素识别125.2.3风险程度分析135.2.4风险等级评价145.3风险评估文档166信息安全风险管理的风险处理176.1风险处理概述176.1.1风险处理的概念176.1.2风险处理的目的176.1.3风险处理的方式176.2风险处理过程186.2.1现存风险判断18VGB/T××××—××××6.2.2处理目标确立196.2.3处理措施选择206.2.4处理措施实施216.3风险处理文档217信息安全风险管理的审核批准227.1审核批准概述227.

4、1.1审核批准的概念227.1.2审核批准的原则237.2审核批准过程237.2.1审核申请237.2.2审核处理247.2.3批准申请267.2.4批准处理267.2.5持续监督277.3审核批准文档288信息安全风险管理的监控与审查298.1监控与审查概述298.1.1监控与审查的概念298.1.2监控与审查的意义298.1.3监控与审查的内容308.2监控与审查过程308.2.1贯穿对象确立308.2.2贯穿风险评估318.2.3贯穿风险处理328.2.4贯穿审核批准328.3监控与审查文档339信息安全风险管理的沟通

5、与咨询339.1沟通与咨询概述349.1.1沟通与咨询的概念349.1.2沟通与咨询的意义349.1.3沟通与咨询的目标349.1.4沟通与咨询的方式349.2沟通与咨询过程359.2.1贯穿对象确立369.2.2贯穿风险评估379.2.3贯穿风险处理389.2.4贯穿审核批准389.3沟通与咨询文档3910规划阶段的信息安全风险管理4010.1安全需求和目标4010.2风险管理的过程与活动4010.2.1风险管理过程概述4010.2.2明确安全总体方针4110.2.3安全需求分析42VGB/T××××—××××10.2.4

6、风险评价准则达成一致4211设计阶段的信息安全风险管理4311.1安全需求和目标4311.2风险管理的过程和活动4311.2.1风险管理过程概述4311.2.2安全技术选择4311.2.3安全产品选型4411.2.4软件设计风险处理4412实施阶段的信息安全风险管理4412.1安全需求和目标4412.2风险管理的过程与活动4512.2.1风险管理过程概述4512.2.2检查与配置4512.2.3安全测试4612.2.4人员培训4612.2.5授权系统运行4613运维阶段的信息安全风险管理4713.1安全需求和目标4713.2

7、风险管理的过程和活动4713.2.1风险管理过程概述4713.2.2安全运行和管理4813.2.3变更管理4813.2.4风险再评估4913.2.5定期重新审批4914废弃阶段的信息安全风险管理4914.1安全需求和目标4914.2风险管理的过程和活动4914.2.1风险管理过程概述4914.2.2确定废弃对象5014.2.3废弃对象的风险评估5014.2.4废弃过程的风险处理5014.2.5废弃后的评审50附录A(资料性附录)风险处理模型及需求措施51A.1风险处理的模型51A.2风险处理的需求和措施52VGB/T××××

8、—××××前言本标准附录A是资料性附录本标准由全国信息安全标准化技术委员会提出并归口。本标准起草单位:本标准起草人:VGB/T××××—××××引 言一个机构要利用其拥有的资产来完成其使命。在信息时代,信息成为第一战略资源,更是起着至关重要的作用。因此,信息资产的安全是关系到该机构能否完成

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。