国家标准信息安全管理实用规则
信息技术 安全技术 信息安全管理实用规则
信息技术安全技术信息安全管理实用规则信息技术安全技术信息安全管理实用规则
1、引言
1.1 目的
1.2 范围
1.3 定义
2、信息安全策略
2.1 安全目标
2.2 安全框架
2.3 风险评估和管理
3、组织和管理安全
3.1 安全组织
3.1.1 安全团队
3.1.2 安全角色和职责
3.2 安全培训和教育
3.2.1 安全意识培训
3.2.2 技术培训
3.3 安全运营和维护
3.3.1 安全事件响应 3.3.2 安全漏洞管理 3.4 安全合规
3.4.1 相关法律法规
3.4.2 合规要求
4、资产管理
4.1 资产分类和标识
4.2 资产分配和授权
4.3 资产维护和更新
4.4 资产处置
5、访问控制
5.1 用户管理
5.1.1 用户注册和注销 5.1.2 用户权限管理 5.2 身份认证
5.2.1 密码策略
5.2.2 双因素认证
5.3 授权和访问控制
5.3.1 最小权限原则
5.3.2 访问控制列表
5.4 审计和监控
5.4.1 审计日志
5.4.2 安全事件监控
6、通信和网络安全
6.1 网络架构和拓扑
6.2 网络设备安全
6.3 数据传输安全
6.3.1 加密传输
6.3.2 防止数据泄露
6.4 防火墙和入侵检测系统 6.4.1 防火墙规则
6.4.2 入侵检测报警
7、应用系统安全
7.1 安全开发准则
7.1.1 安全编码实践 7.1.2 安全测试要求 7.2 应用程序安全
7.2.1 输入验证
7.2.2 访问控制
7.2.3 错误处理
7.3 数据安全
7.3.1 数据备份和恢复 7.3.2 数据加密
7.4 第三方应用安全评估附件:
1、相关安全政策和流程
信息安全标准一览表
86.
GB/T 16264.8-2005
信息技术 开放系统互连 目录 第8部分:公钥和属性证书框架
87.
GB/T 17902.2-2005
信息技术 安全技术 带附录的数字签名 第2部分:基于身份的机制
88.
GB/T 17902.3-2005
11.
GB/T 15278-1994
信息处理 数据加密 物理层互操作性要求
12.
GB/T 19022.1-1994
测量设备的质量保证要求 第1部分:测量设备的计量确认体系
13.
GB/T 19004.2-1994
质量管理和质量体系要素 第2部分:服务指南
14.
GB/T 19004.3-1994
质量管理和质量体系要素 第三部分:流程性材料指南
15.
GB/T 19004.4-1994
质量管理和质量体系要素 第四部分:质量改进指南
16.
GB/T 19000.4-1995
质量管理和质量保证标准 第4部分:可信性大纲管理指南
17.
GB 15852-1995
信息技术 安全技术 用块密码算法作密码校验函数的数据完整性机制
18.
GB 15851-1995
74.
GB/T 18233-2000
sa3标准
sa3标准
SA3标准是指《信息技术安全技术信息安全管理实用规则》(GB/T 20984-2007)中的一项标准。该标准规定了信息安全管理的基本原则、目标和要求,以及实施信息安全管理的具体步骤和方法。
根据SA3标准,信息安全管理应包括以下内容:
1. 制定信息安全政策:组织应制定明确的信息安全政策,明确组织的信息安全目标、原则和要求,为信息安全管理提供指导。
2. 建立信息安全组织结构:组织应设立专门的信息安全管理部门或人员,负责组织内部信息安全管理工作。
3. 进行信息安全风险评估:组织应定期对信息系统的安全风险进行评估,识别潜在的安全威胁和漏洞,并采取相应的控制措施。
4. 制定信息安全管理计划:组织应根据风险评估结果,制定详细的信息安全管理计划,包括安全目标、控制措施、责任分工等内容。
5. 实施信息安全控制措施:组织应按照信息安全管理计划,采取各种技术和管理手段,确保信息系统的安全性。
6. 进行信息安全培训和宣传:组织应对员工进行信息安全培训,提高员工的安全意识和技能,同时加强信息安全的宣传工作。
7. 建立信息安全审计机制:组织应定期对信息安全管理工作进行审计,检查安全控制措施的有效性,发现问题并及时整改。
8. 建立应急响应机制:组织应建立完善的应急响应机制,对突发的安全事件进行快速、有效的处置,减少损失。
9. 持续改进信息安全管理:组织应不断总结经验教训,改进信息安全管理工作,提高信息系统的安全性能。
信息安全管理实用规则
ICS 35.040
中华人民共和国国家标准
GB/T ××××—××××
信息技术信息安全管理实用规则
Information technology-Code of practice
for information security management
(ISO/IEC 17799:2000,MOD)
(报批稿)
××××-××-××发布××××-××-××实施国家质量监督检验检疫总局发布
目次
前言................................................................................ III 引言................................................................................. IV
1 范围 (1)
2 术语和定义 (1)
2.1信息安全 (1)
2.2风险评估 (1)
2.3风险管理 (1)
3 安全策略 (1)
3.1信息安全策略 (1)
4 组织的安全 (2)
4.1信息安全基础设施 (2)
4.2第三方访问的安全 (4)
4.3外包 (6)
5 资产分类和控制 (7)
5.1资产的可核查性 (7)
5.2信息分类 (7)
6 人员安全 (8)
6.1岗位设定和人力资源的安全 (8)
6.2用户培训 (10)
6.3对安全事故和故障的响应 (10)
7 物理和环境的安全 (11)
7.1安全区域 (11)
7.2设备安全 (13)
7.3一般控制 (15)
8 通信和操作管理 (16)
《信息技术安全技术信息安全管理
ISO/IEC 17799:2000 开始修订 2005
ISO/IEC 17799 更改编号为 ISO/IEC 27002
2007
2008年12月1日
二、国家标准GB/T 22081:2008研究及编制背景 简介
2Biblioteka Baidu08年12月1日
9
研究背景信息
2002年,在全国信安标委WG7工作组的组织下,启动了 ISO/IEC 17799:2000的转标工作。2005年,作为国家标 准发布,即GB/T 19716:2005《信息技术 信息安全管理 实用规则》。 随着国际ISO/IEC 27000标准族研究的全面推进,以及 它所带来的对国内外企业市场竞争的影响,为了能与国 际信息安全管理体系认证形势相衔接,并给国内企业和 机构的信息安全管理工作提供参考,在长期跟踪研究国 际信息安全管理体系标准族发展动态的同时,2006年, 正式启动对GB/T 19716:2005的修订工作。2008年, GB/T 22081:2008《信息技术 安全技术 信息安全管理 实用规则》发布。
2008年12月1日 10
GB/T 22081:2008的编制原则
在参考国际标准ISO/IEC 17799:2000 《信息技术 信 息安全管理实用规则》制定GB/T19716:2005时,。在 其中12.1.6中增加了“a)使用国家主管部门审批的密码 算法和密码产品” 内容。修改采用了ISO/IEC 17799: 2000。 而ISO/IEC 27002:2005(原标准号为ISO/IEC 17799: 2005)相比ISO/IEC 17799:2000而言,其内容和结构 均发生了较大变化,因此在本次修订工作中,考虑到信 息安全管理体系标准的完整性、科学性和严谨性,经与 国家密码管理局、国家保密局等相关职能部门及工作组 成员单位的积极沟通,达成一致,等同采用了ISO/IEC 27002:2005。
信息安全管理体系标准
信息安全管理体系标准
信息安全管理体系标准是指为了保护信息系统和信息资产而建立的一套完整的管理体系。随着信息技术的飞速发展,信息安全问题日益突出,各种网络攻击、数据泄露事件层出不穷,因此建立和实施信息安全管理体系标准显得尤为重要。
首先,信息安全管理体系标准应当建立在国家法律法规和政策的基础上,充分考虑国家和行业的特点,确保信息安全管理体系的合规性和有效性。其次,信息安全管理体系标准应当包括信息安全政策、组织结构、人员安全、物理安全、通讯安全、应用系统安全、数据安全、供应商管理、风险管理、应急响应等内容,全面覆盖信息系统和信息资产的安全保护。
在信息安全管理体系标准中,信息安全政策是首要的一环。信息安全政策应当由高层管理者制定,明确规定信息安全的目标、原则、责任和义务,为信息安全管理体系的建立和实施提供指导和保障。组织结构和人员安全是信息安全管理体系的重要组成部分,应当明确组织的信息安全管理机构和人员的安全责任,确保信息安全管理体系的有效运行。
物理安全和通讯安全是信息安全管理体系的重点内容,包括机房、设备、网络等的安全保护,防止未经授权的人员和设备进入和访问信息系统,保障信息系统和信息资产的完整性和可靠性。应用系统安全和数据安全是信息安全管理体系的核心内容,包括应用系统的安全设计、开发、测试和运行,以及数据的安全存储、传输和处理,确保信息系统和信息资产不受恶意攻击和非法访问。
供应商管理、风险管理和应急响应是信息安全管理体系的补充内容,包括供应商的信息安全要求、风险的识别、评估和控制,以及信息安全事件的应急预案和演练,确保信息系统和信息资产在面临各种内外部威胁和风险时能够及时有效地做出应对和处置。
信息安全管理实用规则(27002)
信息技术安全技术
信息安全管理实用规则
Information technology-Security techniques
-Code of practice for information security management
(ISO/IEC 17799:2005)
目次
引言................................................................... III 0.1 什么是信息安全?..................................................... III 0.2 为什么需要信息安全?................................................. III 0.3 如何建立安全要求..................................................... III 0.4 评估安全风险.......................................................... IV 0.5 选择控制措施.......................................................... IV 0.6 信息安全起点.......................................................... IV 0.7 关键的成功因素......................................................... V
信息安全管理制度与规范
一、信息安全管理制度与规范
(一)信息安全管理制度
1、计算机设备管理制度
●计算机的使用部门要保持清洁、安全、良好的计算机设备工作环
境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等
有害计算机设备安全的物品。
●非本单位技术人员对我单位的设备、系统等进行维修、维护时,必
须由本单位相关技术人员现场全程监督。计算机设备送外维修,须
经有关部门负责人批准。
●严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使
用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现
故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位
技术人员进行维修及操作。
2、mima与权限管理制度
✧mima设置应具有安全性、保密性,不能使用简单的代码和标记。
mima是保护系统和数据安全的控制代码,也是保护用户自身权益
的控制代码。mima分设为用户mima和操作mima,用户mima是登
陆系统时所设的mima,操作mima是进入各应用系统的操作员
mima。mima设置不应是名字、生日,重复、顺序、规律数字等容
易猜测的数字和字符串;
✧mima应定期修改,间隔时间不得超过一个月,如发现或怀疑mima
遗失或泄漏应立即修改,并在相应登记簿记录用户名、修改时间、
修改人等内容。
✧服务器、路由器等重要设备的超级用户mima由运行机构负责人指
定专人设置和管理,并由mima设置人员将mima装入mima信封,
在骑缝处加盖个人名章或签字后交给mima管理人员存档并登记。
如遇特殊情况需要启用封存的mima,必须经过相关部门负责人同
信息安全管理体系介绍
组织实施信息安全管理体系认证,就是根据BS7799标准, 建立完整的信息安全管理体系,达到动态的、系统的、全员 参与的、制度化的、以预防为主的信息安全管理方式,用最 低的成本,达到可接受的信息安全水平,从根本上保证业务 的持续性。
· 减少可能潜在的风险隐患,减 少信息系统故障、人员流失带 来的经济损失;
建立信息安全管理体系的 必要性
· 维护公司的声誉、品牌和客户 信任,保持竞争优势;
·保证公司商业安全,给投资方带 来企业持续发展的信心;
·使组织的生意伙伴和客户对组织 充满信心
·满足客户和法律法规要求。
信息安全管理体系认证情况
的信息。 c)共享信息 – 组织需要与其他贸易
合作伙伴分享的信息。
信息安全管理体系 发展历程:
1995年英国标准协会颁布了指南性标准 BS7799-1:1995《信息安全管理实施细则》
1999年,BS7799-1:1995修订后再次由英国标准 协会颁布,BS7799-2信息安全管理体系规范也在 同年颁布。
信息安全应具备以下几个方 面的特征:
a) 保密性 - 确保信息仅允许授权人员访问。 b) 完整性 - 信息及其处理方法的准确和全面。 c) 可用性 - 确保在需要时,授权用户能访问
国家信息安全标准体系
密 信 息 消
射
技
要
除
防
术
求
和
护
要
和
介
和
求
测
质
其 它 技 术 标 准
检 测
和 测
试 方
销 毁
管理标准
涉
电
密
子
信
文
息
件
系
管
统
理
管
实 验 室 要 求
理
三、体系框架
标准体系表示例-框架标准
四、已颁布的国家标准
> 截止2008年11月,国家共发布信息安全国 家标准69项。不包括密码与保密标准(约 有30多项未公开发布)。
在总结各工作 组对本领域标 准体系研究成 果的基础上形 成的
对我国现有信息安全标准进 行归类和整理,在分析国际 信息安全标准的发展动态和 国内信息安全标准需求的基 础上,提出标准体系框架和 标准体系表
一种通用标准系统的体系结构
国际标准
区域标准 专业(部) 标准
地方标准 企业标准
级 别 维 基方工 产 础法作 品 标标标 标 准 准 准 准 对象维
简介和一般模型
四、已颁布的国家标准
信息安全测评32项
GB/T 20275-2006信息安全技术 入侵检测系统技术要求和测试评价 方法
GB/T 20276-2006信息安全技术 智能卡嵌入式软件安全技术要求 (EAL4增强级)
ISO27002-2013中文版
信息技术-安全技术-信息安全控制实用 规则
Information technology-Security techniques -Code of practice for information security controls
目次
前言 .................................................................................. I 引言 ................................................................................. II 0 简介 ............................................................................... II 0.1 背景和环境 ....................................................................... II 0.2 信息安全要求 ..................................................................... II 0.3 选择控制措施 .................................................................... III 0.4 编制组织的指南 .................................................................. III 0.5 生命周期的考虑 .................................................................. III 0.6 相关标准 ........................................................................ III 1 范围 ................................................................................ 1 2 规范性引用文件 ...................................................................... 1 3 术语和定义 .......................................................................... 1 4 本标准的结构 ........................................................................ 1 4.1 章节 .............................................................................. 1 4.2 控制类别 .......................................................................... 1 5 信息安全策略 ........................................................................ 2 5.1 信息安全的管理方向 ................................................................ 2 6 信息安全组织 ........................................................................ 4 6.1 内部组织 .......................................................................... 4 6.2 移动设备和远程工作 ................................................................ 6 7 人力资源安全 ........................................................................ 9 7.1 任用之前 .......................................................................... 9 7.2 任用中 ........................................................................... 10 7.3 任用的终止或变更 ................................................................. 13 8 资产管理 ........................................................................... 13 8.1 对资产负责 ....................................................................... 13 8.2 信息分类 ......................................................................... 15 8.3 介质处置 ......................................................................... 17 9 访问控制 ........................................................................... 19 9.1 访问控制的业务要求 ............................................................... 19 9.2 用户访问管理 ..................................................................... 21 9.3 用户职责 ......................................................................... 24 9.4 系统和应用访问控制 ............................................................... 25 10 密码学 ............................................................................ 28 10.1 密码控制 ........................................................................ 28 11 物理和环境安全 .................................................................... 30 11.1 安全区域 ........................................................................ 30 11.2 设备 ............................................................................ 33 12 操作安全 .......................................................................... 38 12.1 操作规程和职责 .................................................................. 38 12.2 恶意软件防护 .................................................................... 41 12.3 备份 ............................................................................ 42
信息安全管理规范和保密制度(4篇)
信息安全管理规范和保密制度
第一条河源市教育信息网是利用先进实用的计算机技术和网络通讯技术,实现全市学校联网,为保证我校计算机网络系统的安全运行,更好地为教学科研和管理服务,根据《中华人民共和国计算机信息系统国际联网保密管理工作暂行规定》,制定本办法。
第二条本市联入的所有教育单位和个人用户以及拥有电子邮件信箱的单位和个人,都必须执行本办法和国家的有关法律法规,严格执行安全保密制度,并对所提供信息负责。严禁利用国际联网进行危害国家安全、泄露国家秘密、损害集体利益和他人利益的活动及其它一些违法犯罪活动。
第三条建立河源市教育系统计算机信息系统国际联网保密工作管理领导小组,统一领导全市教育系统计算机国际联网的安全保密管理工作,其主要任务是:组织贯彻落实上级有关计算机信息及互联网的保密法律、规章、组织宣传教育、制订保密制度及防范措施、依法进行保密检查,查处有关计算机信息系统的泄密问题。
第四条下列内容不得进行国际联网传输或存储。党和国家以及地方党委、政府的秘密文件、资料,中央和地方党政领导人未公开发表的讲话,各种内部的文件、资料及相关的信息;国家委托的攻关科研秘密信息;获省、部级以上奖的科学技术秘密信息;特殊渠道掌握的科技资料及相关信息;与境外合作中经审查、批准合法向对方提供的秘密信息或内部信息,双方共同约定不对第三方公开的信息;不宜公开或可能损害学校集体利益的信息;非本单位产生的秘密及其他不宜公开的内部信息。
第五条本局资源进行国际联网的保密审查实行分口把关,各单位对上网的信息应事先根据业务归口进行保密审查(私人邮件除外),经同意后方可上网。
ISO27001简介
果,找出问题;
成功的经验加以肯定并适当推广、标准化;失败的教 训加以总结,以免重现,未解决的问题放到下一个 PDCA循环。
PDCA特点
大环套小环,小环保大环,推动大循环
PDCA循环作为质量管理的基本方法,不仅适用于整个工程项目,也适应于整个企业和 企业内的科室、工段、班组以至个人。各级部门根据企业的方针目标,都有自己的
用以提供在线交易的网络服务 顾客接入 与其它银行的连接和接口 (内部和外部) 便利在线服务的技术 桌面计算机和其它ICT设备 电话
第五章 领导力
5.1 领导和承诺
诺:
a)确保建立信息安全方针和信息安全目标,并与组织的战略方向保持一致;
b)确保将信息安全管理体系要求整合到组织的业务过程中; c)确保信息安全管理体系所需资源可用; d)传达信息安全管理有效实施、符合信息安全管理体系要求的重要性; e)确保信息安全管理体系实现其预期结果; f)指挥并支持人员为信息安全管理体系的有效实施作出贡献; g)促进持续改进;
PDCA循环,层层循环,形成大环套小环,小环里面又套更小的环。大环是小环的母体
和依据,小环是大环的分解和保证。各级部门的小环都围绕着企业的总目标朝着同一方 向转动。通过循环把企业上下或工程项目的各项工作有机地联系起来,彼此协同,互相 促进。以上特点。
第六章 规划
信息技术 安全技术 信息安全控制实用规则
信息技术安全技术信息安全控制实用规则
信息技术安全技术是指通过各种技术手段和管理措施来保护信息系统
的完整性、可用性和保密性,确保信息系统及其数据不受到非法访问、破坏、篡改和泄露等威胁。信息安全控制实用规则是指在实际应用中
制定的一系列规则和标准,以确保信息系统的安全性。
一、信息安全控制实用规则的分类
1.物理安全控制:物理安全控制是指通过物理手段来保护信息系统,包括对机房、服务器、网络设备等进行防盗防火防水等措施。
2.逻辑访问控制:逻辑访问控制是指通过软件技术来限制用户对系统资源的访问权限,包括密码策略、账号管理、权限分配等。
3.网络安全控制:网络安全控制是指通过网络设备和协议来保护网络通信过程中数据的机密性、完整性和可用性,包括防火墙、入侵检测系
统等。
4.应用程序安全:应用程序安全是指通过编码规范和代码审计等方式来确保应用程序不受到攻击,包括输入验证、错误处理等方面。
5.数据安全控制:数据安全控制是指通过加密技术和备份策略来保护数据的机密性、完整性和可用性,包括数据备份、加密存储等。
二、信息安全控制实用规则的具体内容
1.密码策略:密码策略是指对用户密码的要求和管理规定。包括密码长度、复杂度、过期时间等方面。
2.账号管理:账号管理是指对用户账号的创建、修改、删除等方面进行规范管理,包括账号权限分配、审计等方面。
3.访问控制:访问控制是指对系统资源的访问进行限制和监控,包括用户身份验证、权限分配等方面。
4.入侵检测与防范:入侵检测与防范是指通过技术手段来发现并防止未经授权的访问和攻击,包括入侵检测系统、防火墙等。
信息技术安全技术信息安全管理实用规则
信息技术安全技术信息安全管理实用规则信息技术安全技术是指利用各种技术手段来确保信息系统在保密、完整性、可用性、可审查性和可控性等方面的安全性。信息安全管理实用规则是一套操作性很强的管理方法和规程,可以帮助组织制定和执行信息安全管理策略,有效地保护组织的信息资产和信息系统。下面将根据信息安全管理实用规则的内容进行详细介绍。
1.制定明确的安全策略和政策
首先,组织需要制定明确的信息安全策略和政策,明确信息安全的目标、原则和要求,为信息安全工作提供明确的指导。安全策略和政策应当包括信息系统的安全目标、安全组织与负责制、安全培训和教育、安全审计等内容。
2.实施风险评估和管理
组织应当对自身信息系统的风险进行全面评估,并采取相应的管理措施来降低风险。风险评估应当包括对信息系统的漏洞、威胁和影响进行评估,并采取相应的控制措施和风险处理策略,确保信息系统的安全性。
3.建立合理的权限管理机制
权限管理是信息安全管理的重要组成部分。组织应当根据业务需求和风险评估结果,建立合理的权限管理机制。通过用户身份认证、访问控制和权限控制等手段,确保只有合法的用户可以访问和操作信息系统,并限制用户的权限,防止信息泄露、篡改和滥用。
4.加强网络防护和安全监控
组织应当加强网络防护和安全监控,确保信息系统在网络层面的安全。包括建立防火墙、入侵检测系统、安全网关等网络安全设施,对网络流量
进行监控和分析,及时发现和应对网络攻击和威胁。
5.建立安全意识和培训机制
安全意识和培训是提高信息安全管理水平的关键环节。组织应当建立
安全意识和培训机制,通过定期的安全培训和教育,提高员工对信息安全
信息安全管理手册
信息安全管理手册
(一)发布说明
为了落实国家与广州市网络信息安全与等级保护的相关政策,贯彻信息安全管理体系标准,提高广东省质量技术监督局信息安全管理水平,维护广东省质量技术监督局业务信息系统安全稳定可控,实现业务信息和系统服务的安全保护等级,按照ISO/IEC 27001:2005《信息安全管理体系要求》、ISO/IEC 17799:2005《信息安全管理实用规则》,以及GB/T 22239-2008《信息系统安全等级保护基本要求》,编制完成了广东省质量技术监督局信息安全管理体系文件,现予以批准颁布实施。
信息安全管理手册是纲领性文件,是指导广东省质量技术监督局等各级政府部门建立并实施信息安全管理体系的行动准则,全体人员必须遵照执行。
信息安全管理手册于发布之日起正式实施。
_________________
年月日
(二)授权书
为了贯彻执行ISO/IEC 27001:2005《信息安全管理体系要求》、ISO/IEC 17799:2005《信息安全管理实用规则》,以及GB/T 22239-2008《信息系统安全等级保护基本要求》,加强对信息安全管理体系运作的管理和控制,特授权广东省质量技术监督局管理广州市政务信息安全工作,并保证信息安全管理职责的独立性,履行以下职责:
✓负责建立、修改、完善、持续改进和实施广州市政务信息安全管理体系;
✓负责向广东省质量技术监督局办公室主任报告信息安全管理体系的实施情况,提出信息安全管理体系改进建议,作为管理评审和信息安全管
理体系改进的基础;
✓负责向广东省质量技术监督局各级政府部门全体人员宣传信息安全的重要性,负责信息安全教育、培训,不断提高全体人员的信息安全意识;
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
国家标准《信息安全技术安全漏洞分类规范》
(征求意见稿)编制说明
一、工作简况
1.1任务来源
《信息安全技术安全漏洞分类规范》是国家标准化管理委员会2010年下达的信息安全国家标准制定项目,国标计划号为:20100385-T-469。由国家信息技术安全研究中心主要负责进行规范的起草,中国信息安全测评中心、中国科学院研究生院国家计算机网络入侵防范中心、国家计算机网络应急技术处理协调中心等单位参与起草。
1.2主要工作过程
1、2010年6月,组织参与本规范编写的相关单位召开项目启动会,成立规范编制小组,确立各自分工,进行初步设计,并听取各协作单位的相关意见。
2、2010年7月,根据任务书的要求,规范编制小组开展考察调研和资料搜集工作,按照需求分析整理出安全漏洞分类规范的框架结构。
3、2011年4月,按照制定的框架结构,确定分类的原则和方法,形成《安全漏洞分类规范》草稿V1.0。
4、2011年7月,课题组在专家指导下,积极采纳国外相关漏洞分类的原则,形成《安全漏洞分类规范》草稿V1.1。
5、2011年8月26日,规范编制小组在积极采纳专家意见的基础上,对规范内容进行修改,形成《安全漏洞分类规范》草稿V1.2。
6、2013年8月28日,安标委秘书处组织了该标准的专家评审,编制小组听取了专家意见,对标准文本的内容进行修订、简化,形成《安全漏洞分类规范》草稿V1.3。
7、2014年11月,安标委WG5工作组对《安全漏洞分类规范》标准草案稿进行了投票表决,通过了本标准。投票表决中相关单位和专家提出了一些修改建议和意见,标准编制组对意见进行了逐条分析和理解,对标准文本进行了完善,形成了《安全漏洞分类规范》征求意见稿及相关文件。
二、编制原则和主要内容
2.1 编制原则
本标准的研究与编制工作遵循以下原则:
(1)通用性原则
立足于当前信息化技术水平,对国内外知名安全漏洞库的分类方法进行总结、归纳、简化,同时参考吸纳国外相关领域的先进成果并融入标准。
(2)可操作性和实用性原则
标准规范是对实际工作成果的总结与提升,最终还需要用于实践中,并经得起实践的检验,做到可操作、可用与实用。
(3)简化原则
根据规范化对象的结构、形式、规则等筛选提炼,经过剔除、替换,保持整体结构合理且维持原意和功能不变。
本标准的编制的内容制定遵循以下原则:
(A) 唯一性原则:安全漏洞仅在某一类别中,其所属类别不依赖人为因素。
(B) 互斥性原则:类别没有重叠,安全漏洞必属于某一分类。
(C) 扩展性原则:允许根据实际情况扩展安全漏洞的类别。
2.2 主要内容
本标准主要内容如下:
三、主要试验(或验证)的分析、综述报告,技术经济论证,预期的经济效果
《信息安全技术安全漏洞分类规范》旨在对安全漏洞的特征属性进行研究,通过统计国内外主要漏洞库的分类依据信息,并结合国内信息安全行业应用情况,提出科学的、合理的安全漏洞分类意见,用以支持计算机信息系统风险管理、安全漏洞管理等方面的工作,为国家计算机信息安全行业发展提供重要的技术参考与标准规范。
四、采用国际标准和国外先进标准的程度,以及与国际、国外同类标准水平的
对比情况,或与测试的国外样品、样机的有关数据对比情况
本标准在编写时参考了NIST SP800-82和SP800-53等相关标准。
五、与有关的现行法律、法规和强制性国家标准的关系
本规范的编制,要配合《GB/T 28458-2012 信息安全技术安全漏洞标识与描述规范》的使用。GB/T 28458-2012中对安全漏洞标识与描述规范的要求,包括:标识号、名称、发布时间、发布单位、类别、等级、影响系统等必须的描述项(实线框描述项),并可根据需要扩充(但不限于)相关编号、利用方法、解决方案建议、其他描述等描述项(虚线框描述项)。
结合GB/T 28458-2012使用:“名称”描述项是安全漏洞标题,概括性描述安全漏洞信息的短语,例如Internet Explorer 8.0缓冲区溢出漏洞,已经涵盖了漏洞宿主(包括:厂商、产品、版本)的信息,因此在分类规范中不适合引入该角度。
用于安全漏洞分类的漏洞等级与GB/T 28458-2012使用的“等级”描述项重复,因此在分类规范中不适合引入该角度。
安全漏洞形成原因和安全漏洞被利用后的威胁影响说明与GB/T 28458-2012使用的描述项无重复重合,因此可适合于引入该角度。
六、重大分歧意见的处理经过和依据
详见标准意见汇总处理表。
七、国家标准作为强制性国家标准或推荐性国家标准的建议
建议本标准作为推荐性国家标准发布实施。
八、贯彻国家标准的要求和措施建议(包括组织措施、技术措施、过渡办法等
内容)
本标准主要用于解决漏洞分类问题,配合《GB/T 28458-2012 信息安全技术安全漏洞标识与描述规范》使用。
九、其他事项说明
本标准不涉及专利。
标准编制组
2015年2月