欢迎来到天天文库
浏览记录
ID:30533404
大小:227.48 KB
页数:19页
时间:2018-12-31
《安全技术信息技术安全管理指南》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、信息技术安全技术信息技术安全管理指南第1部分:IT安全的概念和模型ISO/IECTR13335-1注:本文件为个人自行翻译,因译者水平有限,其中错误再所难免,希望大家能够多扔板砖,西红柿亦可以考虑,臭鸡蛋的不要,鲜花尤佳,孔方兄最棒,美女那是我的最爱^_^。本文件仅为网上共享学习之用,未经书面授权,不得用于任何商业用途。偶,刘青,ID易水寒江雪,半路出家搞安全管理,希望和大家能够多多交流,也希望各位大虾多多指正。Email:liuq1217@163.com;MSN:liuq1217@msn.com。Transla
2、tor:freesoulPage2of2ISO/IECTR13335-1目录前言执行总结简介1范围2引用标准3定义4结构5目的6背景7IT安全管理概念7.1方法7.2目标、战略和策略8安全要素8.1资产8.2威胁8.3脆弱点8.4影响8.5风险8.6防护措施8.7残余风险8.8限制条件8.9模型8.10安全要素之间的关系8.11风险管理的关系9信息技术安全管理的过程9.1风险管理9.2风险分析9.3可审计性9.4监视9.5安全意识9.6配置管理9.7变更管理9.8业务连续性计划9.9IT安全要素9.10IT安全管
3、理过程10总结Translator:freesoulPage3of3ISO/IECTR13335-11范围ISO/IECTR13335包含了关于IT安全管理的指南。ISO/IECTR13335的第1部分介绍了基础性的管理概念和模型,这些管理概念和模型对于了解IT安全至关重要的。这些概念和模型将在剩余部分予以进一步的讨论和发展,以提供更多详细的指导。这些部分可以一起使用,以助于识别和管理IT安全的所有方面。第1部分的内容对于全面理解ISO/IECTR13335的后续内容是非常必要的。2引用标准信息技术-安全技术-I
4、T安全术语第6号标准文档:1998ISO7498-2:1998信息处理系统-开发系统互联-基本参考模型-第2部分:安全架构ISO/IECTR13335-2:IT安全管理指南第2部分:IT安全管理和策划ISO/IECTR13335-3:IT安全管理指南第3部分:IT安全管理技术ISO/IECTR13335-4:IT安全管理指南第4部分:防护措施的选择ISO/IECTR13335-5:IT安全管理指南第3部分:网络安全管理指南ISO/IEC13888-1:1997信息技术-安全技术-抗抵赖性-第1部分:通则ISO/I
5、EC15408-1:1998信息技术-安全技术-IT安全评估准则-第1部分:简介和一般模型ISO/IECSC27N2582入侵检测框架ISO/IECSC27N2578TTP服务使用和管理指南3定义下列定义将在ISO/IECTR13335的5个部分中使用:3.1可审计性确保一个实体的行为可以北唯一地追溯到该实体的特性3.2资产任何对组织有价值的东西3.3鉴权确保一个主体或资源的身份就是其所声称的。鉴权应用于类似用户、进程、系统和信息的实体。3.4可用性一旦授权用户需要,就可以访问和使用的特性3.5基线控制为组织或系
6、统建立的一系列最少的防护措施3.6保密性确保信息不可用或不暴露给未经授权的个人、实体或过程的特性3.7数据完整确保数据不被未经授权的方式替换或破坏的特性3.8影响不期望事件的结果3.9完整性保证数据和系统的完整3.10IT安全与定义、达到和保持保密性、完整性、可用性、抗抵赖性、可审计性、鉴权和可靠性相关的Translator:freesoulPage4of4ISO/IECTR13335-1所有方面3.11IT安全策略(方针)在组织及其IT系统内指导如何管理、保护和分发包括敏感信息在内的资产的规则、指南和惯例3.1
7、2抗抵赖性证明一个已经发生的活动或事件在后来不能被抵赖的能力3.13可靠性持续的预期行为和结果的特性3.14残余风险事实防护措施后仍残留的风险3.15风险假定的威胁利用一个或一组资产的脆弱点导致组织受损的潜在3.16风险分析识别安全风险、确定其程度并识别需要保护的范围的过程3.17风险管理识别、控制和消除或缩减可能影响IT系统资源的不希望事件的全部过程3.18防护措施削减风险的惯例、程序或机制3.19系统完整系统以一种无损的方式实现其预期的功能,免受蓄意的或无意的未经授权的系统操作的影响。3.20威胁可能导致不期
8、望事件的潜在原因,该不期望事件可能导致系统或组织受损3.21脆弱点一个或一组资产所具有的、可能被一个或多个威胁所利用的弱点。4结构ISO/IECTR13335第1部分结构如下:第5条款介绍了本报告的目的,第6条款介绍了关于IT安全管理要求背景的知识。第7条款概述了IT安全管理的概念。第8条款通过概念性和模型的方式检查了IT安全的要素及其相互关系。第9条款讨论了用于管理IT
此文档下载收益归作者所有