附 錄 A

（資料性附錄）

安全管理要素及其強度與安全管理分等級要求的對應(yīng)關(guān)系


根據(jù)第5章和第6章的規(guī)定，信息系統(tǒng)安全管理要素及其強度與信息系統(tǒng)安全管理分等級要求的對應(yīng)關(guān)系見表A.1。在該表中將安全管理要素的結(jié)構(gòu)分為三個層次，為便于說明將第一層稱為類，第二層稱為族，第三層為具體的安全管理要素。






附 錄 B （資料性附錄）

信息系統(tǒng)安全管理概念說明


B.1 主要安全因素
信息系統(tǒng)的主要安全因素和各因素之間的關(guān)系如圖B.1所示。



B.1.1 資產(chǎn)
主要包括：
——支持設(shè)施（例如，建筑、供電、供水、空調(diào)等）；
——硬件資產(chǎn)（例如，計算機設(shè)備如：處理器、監(jiān)視器、膝上型電腦、調(diào)制解調(diào)器，通信設(shè)施如：路由器、交換機、傳真機、應(yīng)答機，存儲媒體如磁盤、光盤等）；
——信息資產(chǎn)（例如，數(shù)據(jù)庫和數(shù)據(jù)文檔，系統(tǒng)文件，用戶手冊，培訓資料，操作和支持程序，持續(xù)性計劃，備用系統(tǒng)安排，訪問信息等）；
——軟件資產(chǎn)（例如，應(yīng)用軟件，系統(tǒng)軟件，開發(fā)工具和實用程序等）；
——生產(chǎn)能力或服務(wù)能力；
——人員；
——無形資產(chǎn)（例如，信譽，形象等）；
——等。


B.1.2 威脅

主要包括自然威脅和人為威脅。


自然威脅有地震、雷擊、洪水、火災(zāi)、靜電、鼠害和電力故障等。
人為威脅分為：

——盜竊類型的威脅，如偷竊設(shè)備、竊取數(shù)據(jù)、盜用計算資源等；
——破壞類型的威脅，如破壞設(shè)備、破壞數(shù)據(jù)文件、引入惡意代碼等；
——處理類型的威脅，如插入假的輸入、隱瞞某個輸出、電子欺騙、非授權(quán)改變文件、修改程序和更改設(shè)備配置等；
——操作錯誤和疏忽類型的威脅，如數(shù)據(jù)文件的誤刪除、誤存和誤改、磁盤誤操作等；
——管理類型威脅，如安全意識淡薄、安全制度不健全、崗位職責混亂、審計不力、設(shè)備選型不當、人事管理漏洞等；
——等。


B.1.3 脆弱性

與資產(chǎn)相關(guān)的脆弱性包括物理布局、組織、規(guī)程、人事、管理、行政、硬件、軟件或信息等的弱點；與系統(tǒng)相關(guān)的脆弱性如分布式系統(tǒng)易受傷害的特征等。

B.1.4 意外事件影響

影響資產(chǎn)安全的事件，無論是有意或是突發(fā)，其后果可能毀壞資產(chǎn)，破壞信息系統(tǒng)，影響保密性、完整性、可用性和可控性等。可能的間接后果包括危及國家安全，社會穩(wěn)定，造成經(jīng)濟損失，破壞組織或機構(gòu)的社會形象等。

B.1.5 風險

風險是某種威脅利用暴露系統(tǒng)脆弱性對組織或機構(gòu)的資產(chǎn)造成損失的潛在可能性。風險由意外事件發(fā)生的概率及發(fā)生后可能產(chǎn)生的影響兩種指標來評估。
由于保護措施的局限性，信息系統(tǒng)總會面臨或多或少的殘留風險，組織或機構(gòu)應(yīng)考慮對殘留風險的接受程度。

B.1.6 保護措施

保護措施是對付威脅，減少脆弱性，限制意外事件影響，檢測意外事件并促進災(zāi)難恢復(fù)而實施的各種實踐、規(guī)程和機制的總稱。應(yīng)考慮采用保護措施實現(xiàn)下述一種或多種功能：預(yù)防、延緩、阻止、檢測、限制、修正、恢復(fù)、監(jiān)控以及意識性提示或強化。保護措施作用的區(qū)域可以包括物理環(huán)境、技術(shù)環(huán)境（如硬件、軟件和通信）、人事和行政。保護措施可為：訪問控制機制、抗病毒軟件、加密、數(shù)字簽名、防火墻、監(jiān)控和分析工具、備用電源以及信息備份等。
選擇保護措施時要考慮由組織或機構(gòu)運行環(huán)境決定的影響安全的因素，例如，組織的、業(yè)務(wù)的、財務(wù)的、環(huán)境的、人事的、時間的、法律的、技術(shù)的邊界條件以及文化的或社會的因素等。

B.2 安全管理的過程

B.2.1 安全管理過程模型

安全管理是一個不斷發(fā)展、不斷修正的過程，貫穿于信息系統(tǒng)生存周期，涉及到信息系統(tǒng)管理層面、物理層面、網(wǎng)絡(luò)層面、操作系統(tǒng)層面、應(yīng)用系統(tǒng)層面的安全風險、安全措施、安全運行、安全配置等管理。對信息系統(tǒng)上述幾個層面的安全管理是保證信息系統(tǒng)安全技術(shù)、安全工程、安全運行正確、安全、有效的基礎(chǔ)。
在安全管理過程模型中，每個階段的管理工作重點不同，要求不同。
安全管理過程模型如圖B.2所示。



B.2.2 安全目標

防止涉密信息的失密、泄密和竊密，以及敏感或涉及國家秘密信息的丟失和泄露，防止數(shù)據(jù)的非授權(quán)修改、丟失和破壞，防止系統(tǒng)能力的喪失、降低，防止欺騙，保證信息及系統(tǒng)的可信度和資產(chǎn)的安全。

B.2.3 安全保護等級的確定

信息系統(tǒng)的使用單位主管應(yīng)根據(jù)國家有關(guān)法律法規(guī)、信息系統(tǒng)所處理信息的安全要求和運行安全要求確定信息系統(tǒng)的保護需求，并確定保證等級，并按照GB/T 20271-2006(信息系統(tǒng)技術(shù)要求)和本標準的管理要求實施不同階段、不同等級的安全保護。


B.2.4 安全風險分析與評估

1）目的
識別需要控制和可接受的風險，并形成風險分析評估報告。
2）原則
安全風險分析時應(yīng)依據(jù)有關(guān)的信息系統(tǒng)安全標準和規(guī)定，采用多層面、多角度的系統(tǒng)分析方法，制定詳細的分析計劃和分析步驟，避免遺漏，以保證結(jié)果的可靠和科學，并形成文檔，做到有據(jù)可查。
3）內(nèi)容與范圍
信息系統(tǒng)安全組織、制度和人員情況，信息系統(tǒng)的體系結(jié)構(gòu)，策略與技術(shù)運用，安全設(shè)施布控及外包服務(wù)狀況，動態(tài)安全運行狀況等。
4）分析過程，包括：

——資產(chǎn)識別和分析：包括信息及信息系統(tǒng)的分類、識別要保護的資產(chǎn)及價值、分析信息資產(chǎn)之間的相互依賴性等
——威脅識別和分析：分析系統(tǒng)存在的威脅
——脆弱性識別和分析：分析系統(tǒng)存在的脆弱性
——風險分析和評估分析：包括可能的入侵者和入侵活動的影響、編制安全風險分析報告等


B.2.5 制定安全策略

1）目的
為保證信息系統(tǒng)的安全提供框架，提供安全管理的方法，規(guī)定各部門要遵守的規(guī)范及應(yīng)負的責任，為信息系統(tǒng)的安全具體實施提供依據(jù)和基礎(chǔ)。以調(diào)動、協(xié)調(diào)和組織各方面的資源共同保障信息系統(tǒng)的安全。


2）原則
安全策略應(yīng)由信息系統(tǒng)使用單位的相關(guān)部門負責制定，該部門由使用單位的主管成員和專業(yè)安全技術(shù)人員以及來自該單位不同部門的相關(guān)成員組成。有條件的部門，可聘請安全專家。安全策略在制定時應(yīng)兼顧結(jié)構(gòu)上的系統(tǒng)性、內(nèi)容上的可理解性、技術(shù)上的可實現(xiàn)性、管理上的可執(zhí)行性。安全策略應(yīng)與時俱進，定期加以調(diào)整和更新。
3）內(nèi)容，包括：

——信息系統(tǒng)中要保護的所有資產(chǎn)以及每件資產(chǎn)的重要性，對信息系統(tǒng)中的要素或資產(chǎn)進行分類，分類應(yīng)體現(xiàn)各類資產(chǎn)的重要程度，所面臨的主要威脅，并規(guī)定它們的受保護等級；
——明確每個人在信息安全保護中的責任和義務(wù)，以便有效地組織全員協(xié)同工作；
——確定保護信息系統(tǒng)中各類資產(chǎn)的具體方法，如對于實體可以采用隔離、防輻射、防自然災(zāi)害的措施，對于數(shù)據(jù)信息可以采用授權(quán)訪問控制技術(shù)，對于網(wǎng)絡(luò)傳輸可以采用安全隧道技術(shù)等；
——為了確保任務(wù)的落實，提高安全意識和警惕性，應(yīng)規(guī)定相關(guān)的獎懲條款，并建立監(jiān)管機制，以保證各項條款的嚴格執(zhí)行。


B.2.6 安全需求分析

1）目的
提高信息系統(tǒng)安全服務(wù)和安全機制等安全保障措施的有效性和針對性，并形成安全需求分析報告。
2）原則，包括：

——結(jié)合實際：針對信息系統(tǒng)的實際環(huán)境和安全目標提出安全要求；
——依據(jù)標準：為了保證質(zhì)量，做到有據(jù)可查，安全需求分析應(yīng)符合有關(guān)標準；
——分層分析：從涉及的策略、體系結(jié)構(gòu)、技術(shù)、管理等各個層次逐次進行分析；
——動態(tài)反饋：安全需求分析是一個不斷發(fā)展的過程，隨著系統(tǒng)更新?lián)Q代或功能擴展、內(nèi)部環(huán)境和外部環(huán)境的變化，安全需求隨之發(fā)生變化。安全需求分析應(yīng)保持結(jié)果的有效性、適應(yīng)性，保證分析方法的科學性和系統(tǒng)性，安全需求分析過程應(yīng)與系統(tǒng)發(fā)展過程同步。
3） 內(nèi)容，包括：
——管理層面：根據(jù)組織和機構(gòu)的實際情況，確定管理機構(gòu)或部門的形態(tài)和規(guī)模，并明確其目標、原則、任務(wù)、功能和人員配置等；
——物理層面：根據(jù)組織或機構(gòu)的實際情況，確定各類實體財產(chǎn)的安全級別，以及需要保護的程度和方法；
——系統(tǒng)層面：明確操作平臺應(yīng)具備的安全級別，以及為達到所要求的級別，應(yīng)選用的操作系統(tǒng)等；
——網(wǎng)絡(luò)層面：根據(jù)信息系統(tǒng)的業(yè)務(wù)方向，分析系統(tǒng)的網(wǎng)絡(luò)，特別是網(wǎng)絡(luò)邊界的安全需求，確定應(yīng)采用的防護體系；
——應(yīng)用層面：基于網(wǎng)絡(luò)的應(yīng)用以及應(yīng)用供應(yīng)商的多樣性和復(fù)雜性，相應(yīng)的安全防護體系和技術(shù)措施不盡相同，需要根據(jù)實際情況來確定、選擇其安全需求。


B.2.7 安全措施的實施

1）目的
實現(xiàn)安全防護體系，保證達到工程要求。
2）原則，包括：

——遵從保質(zhì)、經(jīng)濟、高效的原則，正確選擇實施單位，依據(jù)一份詳細、準確、完備的文檔化實施計劃或方案，對實施過程進行嚴格控制；
——對方案要詳細說明安全過程各個階段的建設(shè)目標、工作內(nèi)容、施工人員、任務(wù)分工、進度安排、產(chǎn)品選型、產(chǎn)品采購、資金投入等情況，并給出每一項的依據(jù)和理由，分析每項工作的作用、意義和局限性，明確實施各方的工作關(guān)系、責權(quán)和協(xié)調(diào)協(xié)同機制；
——對實施方案進行評審時既要兼顧整體，又要注意細節(jié)，嚴格對照組織或機構(gòu)的安全策略、安全需求和實際情況進行檢驗，并對所有的備選方案進行認真的分析比較，確保選中的方案達到設(shè)想的要求和標準；
——在安全措施實施過程中，所采用的技術(shù)與產(chǎn)品應(yīng)經(jīng)過嚴格的測試選型，符合國家信息安全方面的法律法規(guī)，特別是涉及密碼技術(shù)的產(chǎn)品，應(yīng)嚴格按照國家和主管部門的有關(guān)規(guī)定選型和采購；
——實施應(yīng)按照有關(guān)工程要求進行；
——如本單位沒有實施條件，應(yīng)選擇具備相應(yīng)資質(zhì)和合適、可靠的實施單位來實施信息系統(tǒng)安全措施。


B.2.8 安全實施過程的監(jiān)理

1）目的
在安全實施過程中建立安全監(jiān)理制度，檢驗施工單位的質(zhì)量水平和責任心，保證工程各階段的質(zhì)量。
2）原則，包括：

——從實施的規(guī)范、流程、進度等方面進行監(jiān)督與檢查，確保各環(huán)節(jié)的質(zhì)量；
——安全監(jiān)理單位或個人應(yīng)是經(jīng)過有關(guān)部門批準的第三方中立機構(gòu)或具有相應(yīng)資質(zhì)的個人，保證安全措施實施按照合理的流程與技術(shù)標準進行，保證實施過程的有效性；
——實施前的監(jiān)理：對所選安全產(chǎn)品的真實性、質(zhì)量、到貨時間進行檢查；對工程實施人員進行身份及資質(zhì)審查；對實施單位的具體實施步驟及每個步驟中的具體實施計劃文檔進行審查；對實施單位開始實施工程的時間和完工的時間進行事前記錄；
——實施中的監(jiān)理：對工程實施進度進行計劃和督促，防止延誤工期；對工程實施過程的真實性和與方案的符合性進行監(jiān)督；對工程實施人員的身份在實施過程中進行再檢查;對軟硬件產(chǎn)品在工程實施中的完好性和真實性進行檢查；對工程實施中已完成的部分進行局部驗收，發(fā)現(xiàn)問題
令其及時糾正；對實施人員的能力和態(tài)度進行審查；對于敏感性、關(guān)鍵性信息系統(tǒng)，應(yīng)由該組織或機構(gòu)委派專人在現(xiàn)場實施全過程監(jiān)控，負責零事故的安全保障；
——實施后的監(jiān)理：對是否達到相應(yīng)的安全級別進行嚴格驗收；對產(chǎn)品配置的合理性、有效性進行驗收；對安全配置是否影響系統(tǒng)的性能進行驗收；對實施的進度進行驗收；對信息系統(tǒng)的安全現(xiàn)狀進行測試與評估；聘請安全專家或有關(guān)安全部門對信息系統(tǒng)的安全現(xiàn)狀進行評估；
——安全措施實施過程檢查的結(jié)果應(yīng)由實施和檢查單位法人代表和檢查人員簽字，以便有關(guān)部門和使用單位檢查。


B.2.9 信息系統(tǒng)的安全審計

1）目的
檢驗、監(jiān)督安全工作的落實情況，確保信息系統(tǒng)達到GB17859-1999要求的相應(yīng)安全等級。
2）原則，包括：

——根據(jù)國家有關(guān)部門的具體規(guī)定實施信息系統(tǒng)的安全檢查工作，實施獨立審計；
——信息系統(tǒng)的各應(yīng)用單位有關(guān)人員或組織除實施自查外，應(yīng)積極配合國家有關(guān)部門對所用系統(tǒng)實施安全檢查；
——對技術(shù)上的安全措施要通過其使用、配置情況，檢查它們是否達到了有關(guān)的要求。檢查的方法有多種，例如，通過查看系統(tǒng)的日志，分析出系統(tǒng)在運行過程中遇到的意外情況以及使用情況；或者對安全措施進行測試，查看它們能否達到規(guī)定的安全水平等；
——對安全管理的檢查，可以通過審閱有關(guān)機構(gòu)或人員的工作記錄，規(guī)定他們定期進行總結(jié)匯報，并對檢查的結(jié)果進行核實，還可以發(fā)動單位內(nèi)的所有人員對管理機構(gòu)的運作進行監(jiān)督；
——對人員安全意識的檢查可以通過問卷、座談等方式進行，并建立定期考核制度；
——建立不定期的抽查制度，避免作弊行為或虛假的檢查結(jié)果。


3）內(nèi)容，包括：

——安全策略的檢查：檢查結(jié)構(gòu)上的系統(tǒng)性、內(nèi)容上的可理解性、技術(shù)上的可實現(xiàn)性、管理上的可執(zhí)行性；
——技術(shù)措施的檢查：根據(jù)有關(guān)的技術(shù)標準，結(jié)合實際情況，分析安全措施的保護能力及能夠滿足需求的程度，并進一步研究該項措施在當前環(huán)境和將來環(huán)境中的作用以及可行性；涉及多個技
術(shù)領(lǐng)域時，檢查過程中需要聘請相關(guān)專業(yè)專家共同參與，并將檢查結(jié)果形成詳細準確的報告，再由小組進行論證評審，以確定該措施當前的有效性；涉及密碼技術(shù)時，檢查密碼體制、密碼產(chǎn)品和密鑰管理體系的使用和管理是否符合國家有關(guān)部門的規(guī)定；
——管理措施的檢查：主要是檢查安全管理機構(gòu)是否健全，管理職能和管理職責是否明確，有關(guān)的政策、法規(guī)、制度、規(guī)定是否完善，人員的安全意識如何，相關(guān)的安全教育和培訓工作開展的怎樣，效果如何。


B.2.10 生存周期管理

1）目的
對信息系統(tǒng)實施生存周期全程管理。
2）原則

——計劃階段：通過風險分析明確安全需求，確定安全目標，制定安全策略，擬定安全要求的性能指標；
——實施階段：依據(jù)安全要求選擇相應(yīng)的安全措施，采購或設(shè)計安全系統(tǒng)，根據(jù)工程要求實施和部署，并對安全措施進行驗證、驗收；
——運行維護階段：通過檢查、檢測、審計和對風險變更的監(jiān)視和評估保證運行安全；
——生存周期結(jié)束階段：對信息系統(tǒng)的信息進行安全處置。



參考文獻
[1] GB/T 19715.1-2005 信息技術(shù) 信息技術(shù)安全管理指南 第1部分：信息技術(shù)安全概念和模型(ISO/IEC 13335-1:1996，IDT)
[2] GB/T 19715.2-2005 信息技術(shù) 信息技術(shù)安全管理指南 第2部分：管理和規(guī)劃信息技術(shù)安全(ISO/IEC 13335-2:1997，IDT)
[3] GB/T 19716-2005 信息技術(shù) 信息安全管理實用規(guī)則(ISO/IEC 17799:2000，MOD)