GB/T30271-2013
信息安全技术信息安全服务能力评估准则
Informationsecuritytechnology—Assessmentcriteriaforinformationsecurityservicecapability
- 中国标准分类号(CCS)L80
- 国际标准分类号(ICS)35.040
- 实施日期2014-07-15
- 文件格式PDF
- 文本页数68页
- 文件大小963.42KB
以图片形式预览信息安全技术信息安全服务能力评估准则
信息安全技术信息安全服务能力评估准则
国家标准 GB/T30271一2013 信息安全技术 信息安全服务能力评估准则 nformationsecuritytechnology一Assessmenteriteriaforinformationm seeurityservicecapability 2013-12-31发布 2014-07-15实施 国家质量监督检验检疫总局 发布 国家标准化管理委员会国家标准
GB/T30271一2013 目 次 前言 引言 范围 规范性引用文件 术语,定义和缩略语 3.1术语和定义 3.2缩略语 概述 信息安全服务过程概述 4.1 4.2 能力评定原则 信息安全服务过程 D01组织战略 5.1 5.2D02规划设计 15 5.3D03实施交付 31 5.4D04监视支持 39 5.5D05检查改进 52 信息安全服务能力级别 57 概述 57 6.1 6.2能力级别1基本执行 57 6.3能力级别2计划跟踪 57 6.4能力级别3充分定义 58 6.5能力级别4量化控制 59 6.6能力级别5连续改进 59 信息安全服务能力评定 60 参考文献 62
GB/T30271一2013 前 言 本标准按照GB/T1.1一2009给出的规则起草
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口
本标准主要起草单位;信息安全测评中心,北京江南博仁科技有限公司、北京中天安信息技术 服务有限公司
本标准主要起草人;张利、佟鑫、李斌,班晓芳,王琐,刘作康、任育波,吴慎夕
GB/T30271一2013 引 言 本标准是对提供信息安全服务的组织进行能力评估,在编制过程中考虑到国内环境与信息安全行 业的实际情况,同时结合GB/T20261一2006,ISO/IEC200002011、COBIT4.1,NISTSP800系列等 国际或区域标准制定而成
GB/T30271一2013 信息安全技术 信息安全服务能力评估准则 范围 本标准规定了服务过程模型和信息安全服务商的服务能力的评估准则
本标准适用于对信息安全服务提供商的能力进行评估,也适用于服务提供商对于自身能力的改善 提供指导
规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注日期的引用文件,仅注日期的版本适用于本文 件
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T20984一2007信息安全风险评估规范 GB/T25069一2010信息安全技术术语 (GB/T30283信息安全技术信息安全服务分类 术语,定义和缩略语 3.1 术语和定义 GB/T250692010界定的以及下列术语和定义适用于本文件
3.1.1 能力等级abilitylevel 流程领域内流程改善达到的程度
注:能力等级由流程领域内适当的特定及一般执行方法所定义
3.1.2 基本实践basepractices 系统工程过程中应存在的性质,只有当所有这些性质完全实现后,才可说满足了这个过程域的 要求
注;一个过程域由基本实践(BP)组成 3.1.3 能力成熟度模型eapabilitymaturitymodel 有关组织的服务或开发过程中各个发展阶段的定义,实现、质量控制和改善的模型化描述
注;模型专注于改善组织的流程,包含一个或多个有效流程的必要元素,并且描述由特定的,不成熟的流程到有组 织的,成熟的流程的品质改善与效率的成熟模型
3.1.4 信息安全服务informationseeurityservice 面向组织或个人的各类信息安全保障需求,由服务提供方按照服务协议所执行的一个信息安全过 程或任务
注;通常是基于信息安全技术、产品或管理体系的,通过外包的形式,由专业信息安全人员所提供的支持和帮助
GB/T30271一2013 3.1.5 信息安全服务提供方informatioseeurityservieeprov ider 按照服务协议,通过专业的信息安全人员提供信息安全服务的各类组织机构
信息安全服务提供方在每项具体的服务中,其服务角色和服务职责应是明确的
如果服务内容仅 涉及供需双方的,则服务提供方为乙方角色;在上述服务的基础上,就所涉及的问题,独立于有关各方提 供评估、证明等服务并承担相关社会责任的,则服务提供方为第三方角色
服务角色与服务提供方的组 织机构类型无关
3.1.6 信息安全服务能力informationsaftetyservieeability 信息安全服务提供方能够满足需求方规定和潜在需求的特征和特性的程度
3.1.7 信息安全服务需求方informationseeurityservieedemander 有偿采购(或免费使用外部所提供的信息安全服务,以满足信息系统安全保障需求,实现自身业务 目标的组织(或个人用户)
3.1.8 信息安全服务能力级别inmatin.saleyserieIeel 提供信息安全服务的组织在完成工程,服务项目时,执行组织已定义过程的能力成熟程度
3.1.9 过程process 为了一个给定目的而执行的一系列活动
注;过程包括活动定义、每个活动的输人输出定义以及控制活动执行的机制
3.1.10 过程域proessarea -组相关系统工程过程的性质,当这些性质全部实施后即能够达到过程域定义的目的
3.1.11 过程能力 processeapability 遵循一个过程可达到的可量化范围
注:一个组织的过程能力可帮助预见项目目标的能力
低能力级别组织的项目在达到预定的成本,进度,功能和质 量目标上会有很大的变化
3.1.12 过程管理proeessmanagement -系列用于预见、评价和控制过程执行的活动和基础设施
注:过程管理意味着过程已定义好
注重过程管理含义是项目或组织需在计划、执行、评价、监控和校正活动中既 要考虑产品相关因素,也要考虑过程相关因素
3.1.13 工作产品workproduets 在执行任何过程中产生出的所有文档、报告,文件、数据等
注:本标准按特定的基本实践列出其“典型的工作产品”,其目的在于对所需的基本实践范围可做进一步定义
列 举的工作产品只是说明性的,目的在于反映组织机构和产品的范围,不是“强制”的产品
3.2缩略语 下列缩略语适用于本文件
BP;基本实践(BasePractices)
GB/T30271一2013 CF:公共特征(CommonFunetion enericPractices GP;通用实践(Ge PA;过程域(ProcessArea) 概述 4.1信息安全服务过程概述 4.1.1信息安全服务过程模型 从组织信息安全治理角度,描述信息安全服务过程模型如图1所示
检 改进 规划 没计 组织 战略 监视 实施 支持 交有 图1信息安全服务过程模型 组织战略是信息安全活动的基础,各信息安全活动涵盖在信息系统规划设计、实施交付、监视支持 生命周期的各阶段,并通过有效的检查和改进机制,提升组织信息安全管理能力 4.1.2组织战略 组织战略作为信息安全服务过程模型的中心环节,是本模型的重要组成并处于主导地位
信息安 全服务提供者建立有效的、全面的安全制度和管理规定,全面覆盖规划设计、实施交付、监视支持、检查 改进等各个环节,确保其符合本标准的相关要求
4.1.3规划设计 从客户战略出发,以客户需求为中心,参考组织战略对其进行全面系统的规划设计,并建立业务战 略、,IT战略和安全服务之间清晰的匹配和连接关系
规划设计阶段需要根据业务战略,运营模式及业 务流程的特点确定所需要的业务服务组件,为安全服务的部署实施做好准备,以确保为最终客户提供满 足其需求的服务
4.1.4实施交付 在规划设计的基础上,建立管理体系,部署专用工具及服务解决方案
实施完成后根据其结果,依 据本标准要求,实现服务与业务的有机结合
重点包括业务运营和IT运营,主要采用过程方法,对基
GB/T30271一2013 础设施、服务流程,人员和业务连续性进行全面管理
4.1.5监视支持 在交付过程中,应根据本标准要求,对业务运营和IT运营等交付措施过程进行记录
并确保交付 记录的实时性,可追溯性、完整性以及可用性
还应根据客户的需求采用外包、供应商等形式在可控的 情况下完善信息安全服务的交付过程 4.1.6检查改进 检查与改进过程伴随着整个信息安全服务生命周期的始终
检查改进过程伴随着组织管理、规划 设计,实施交付、监视支持的方方面面
通过对监视支持产生的记录进行详细的分析,并结合本标准的 内容,对现有规章制度、规划设计,交付过程和支持手段进行改进和完善,且应采用可控制,可记录的手 段来完成这一过程
4.2能力评定原则 4.2.1综合考虑原则 信息安全服务能力级别的划分应对组织的综合能力进行考察,它主要与组织的技术实力,信息安全 服务能力等级以及其他要求有关
4.2.2可裁剪原则 安全服务有多种类型,对不同类型的安全服务可进行适当的裁剪,同时可灵活定义新的服务类型 参见GB/T30283
4.2.3符合性原则 应遵从国家有关主管部门颁布的相关法律,法规、规章,制度、与相关网络与信息安全标准相一致
4.2.4可操作性原则 应考虑国内安全服务商以及安全服务市场的实际情况,保证标准客观、实际、可操作性
信息安全服务过程 5.1D01组织战略 5.1.1D01PA01制定信息安全章程 5.1.1.1概述 信息安全章程是信息安全管理的方针,制定信息安全章程,需要明确安全管理目标、宗旨,确定并定 义安全管理范围,符合相关法律法规要求,并建立适用性声明
信息安全章程应定期评审其合理性和适 用性
5.1.1.2 目标 建立清晰的安全方针指导,并在整个组织中颁布实施,从而支持组织信息安全活动
1 编号说明:D表示过程;PA表示过程域;BP表示基本实践,分别按照相应的标号顺序依次编号
GB/T30271一2013 5.1.1.3过程域注解 无 5.1.1.4基本实践清单 基本实践清单包括 aBPo10101明确安全管理目的、宗旨; b BPo1o102定义安全边界和范围 BPo10103遵从法规、合约与安全要求; c d)BPo1o104建立适用性声明; BPo10105管理层评审
5.1.1.5BP010101明确安全管理目的、宗旨 5.1.1.5.1描述 安全管理的宗旨、权力和职责应在章程中进行定义并获取认可
章程应 a)确定安全管理活动在组织中的地位; b) 授权人员接触与开展工作相关的记录、人员和实物财产 规定安全管理活动的范围; D 证据以书面形式存在并批准; 定期评价章程中所规定的宗旨,权力和职责是否足以使安全管理活动实现其目标
这种定期 评价的结果应通报高级管理层
5.1.1.5.2工作产品 信息安全管理章程
5.1.1.6BP10102定义安全管理范围 5.1.1.6.1描述 应根据组织目标与安全需求,结合业务特点、组织结构、位置、资产和技术,确定安全管理的边界与 范围 5.1.1.6.2工作产品 信息安全管理范围
5.1.1.7BPO10103遵从法规、合约与安全要求 5.1.1.7.1描述 安全管理首先要求考虑区域法律、行业规章、机构规定、合同等方面的要求,并综合考虑系统的安全 需求
5.1.1.7.2工作产品 信息安全符合性规范
GB/T30271一2013 5.1.1.8BO10104建立适用性声明 5.1.1.8.1描述 应建立安全管理相关适用性声明
适用性声明应包括: a)选择的过程域目标和措施,以及选择的理由 b)当前实施的过程域目标和措施
5.1.1.8.2工作产品 适用性声明
5.1.1.9BPo10105管理层评审 5.1.1.9.1描述 信息安全管理层机构应负责定期组织相关部门和相关人员对信息安全章程的合理性和适用性进行 审定
对存在不足或需要改进的内容进行修订
5.1.1.9.2工作产品 管理评审记录 5.1.2D01PA02建立信息安全组织 5.1.2.1概述 信息安全组织机构是信息安全管理的基础,需要得到组织机构最高管理层的承诺和支持,建立完善 的信息安全组织结构
建立相应的岗位,职责和职权,建立完善的内部和外部沟通协作组织和机制,同 组织机构内部和外部信息安全保障的所有相关方进行充分沟通、学习、交流和合作等
进一步将信息安 全融至组织机构的整个环境和文化中,使信息安全真正满足安全策略和风险管理的要求,实现保障组织 机构资产和使命的最终目的
5.1.2.2目标 由安全组织执行安全管理程序,管理组织范围内的信息安全,并为组织业务目标提供合理保证
5.1.2.3过程域注释 无 5.1.2.4基本实践清单 基本实践清单包括: a BPo10201信息安全管理支持 bBPo10202岗位及人员设置 e)BP010203定义工作描述、角色资质、技能要求、人员培训要求; d)BP010204制定人员选择、少更和终止程序
5.1.2.5BP010201信息安全管理支持 5.1.2.5.1描述 组织高级管理层通过清晰的指导、明确信息安全职责的分配和反馈,提供对安全的主动支持
GB/T30271一2013 5.1.2.5.2工作产品 信息安全愿景
5.1.2.6BP010202岗位及人员设置 5.1.2.6.1描述 应成立指导和管理信息安全工作的委员会和领导小组,并设立信息安全管理工作的职能部门,应设 立系统管理员、网络管理员,安全管理员等岗位,定义各个岗位的职责,并给出岗位要求
例如,采用关 键岗位配备多人共同管理,配备专职的安全管理员、不可兼任等机制 5.1.2.6.2工作产品 信息安全岗位设置原则
5.1.2.7 wo003定义工作描述,角色资质,技能要求.人员墙训要求 5.1.2.7.1描述 安全管理组织应考虑工作描述、角色资质、技能要求、人员培训要求等事项
5.1.2.7.2工作产品 工作产品包括 a)信息安全职责描述; b) 人员技能需求; e)信息安全培训准则
5.1.2.8BPo10204制定人员选择、变更和终止程序 5.1.2.8.1描述 安全管理负责人应在人员选择,变更和终止程序、保密协议等方面提供指导
5.1.2.8.2工作产品 工作产品包括: a)保密协议 b 聘用流程; e)解雇流程
5.1.3D01PA03制定信息安全策略 5.1.3.1概述 制定安全策略目的在于通过考察业务目标与安全需求,考虑组织的策略、程序、制度、指南等多层次 的管理流程与规范,保证业务目标的实现
5.1.3.2目标 通过完善的安全策略管理体系,提供管理指导,保证信息安全,促进业务目标与安全需求的有效 实现
GB/T30271一2013 5.1.3.3过程域注解 无 5.1.3.4基本实践清单 基本实践清单包括 a)BPO10301制定安全策略 b BPo10302制定安全制度,规范与指南; BPo10303策略与程序文件维护,评估与更新
c 5.1.3.5BP010301制定安全策略 5.1.3.5.1描述 管理层应制定一个明确的安全策略方向,并通过在整个组织中发布和维护信息安全策略,表明自己 对信息安全的支持和保护责任
策略文档应由管理层批准,根据情况向所有员工公布传达
文档应说明管理人员承担的义务和责 任,并制定组织的管理信息安全的步骤 5.1.3.5.2工作产品 信息安全方针
5.1.3.6BPO10302制定安全制度、规范与指南 5.1.3.6.1描述 依据组织的高层安全策略和系统安全策略,制定运营、操作管理程序框架,指导安全管理工作
安全管理程序框架包括强制性制度、技术规范、实施指南等程序文件
5.1.3.6.2工作产品 工作产品包括: a)信息安全策略 信息安全规范; b 信息安全指南 c 5.1.3.7BO10303策略与程序文件维护评估与更新 5.1.3.7.1描述 应定期或在重大变更时对信息安全路线与实施(策略、控制目标、控制、过程、程序)进行独立审查、 评估与更新
应确保在发生影响最初风险评估的基础的变化(如发生重大安全事故、出现新的漏洞以及组织或技 术基础结构发生变更)时,对策略进行相应的审查
还应进行以下预定的、阶段性的审查 a)检查策略的有效性,通过所记录的安全事故的性质、数量以及影响反映出来 控制措施的成本及其业务效率的影响 b 技术变化带来的影响
c
GB/T30271一2013 5.1.3.7.2工作产品 评审与修订方法
5.1.4D01PA04制定安全管理程序 5.1.4.1概述 为了落实信息安全策略体系,维护系统的可用性与保护信息的机密性,完整性,组织需要建立和维 护包括IT安全角色和责任、策略、标准和程序的安全管理程序包括进行安全监控,定期测试,纠正明 确的安全脆弱性与事故
5.1.4.2目标 落实信息安全策略,进行有效安全管理,通过最小化安全脆弱性和安全事件对业务影响,以保护IT 资产 5.1.4.3过程域注解 无
5.1.4.4基本实践清单 制定安全管理程序的基本实践清单包括 a)BPo1o401管理IT安全; b)BPo10402制定IT安全计划; BPo10403身份管理; BPo10404用户账户管理 D BPO010405安全性测试和监控; PO010407数据分类; BPo10408访问权限集中管理; g BPO10410事件处理; BPo10412可信任的路径; BPo10413安全功能的保护; BPo10414密钥管理; BPo10415恶意软件的预防、检测和纠正 BP010416网络安全; m n)BP010417敏感数据交换 5.1.4.5BP010401管理I安全 5.1.4.5.1描述 应确保最高的适当的组织机构来管理IT安全,并保证安全管理行为和业务需求一致性
5.1.4.5.2工作产品 信息安全战略
GB/T30271一2013 5.1.4.6BO10402制定I安全计划 5.1.4.6.1描述 将业务信息需求、IT配置、信息风险行动计划、信息安全文化转换为一个整体的1T安全计划
通 过将安全策略、程序以及在服务,人事、软件,硬件方面的投资,以使计划得以实施 5.1.4.6.2工作产品 信息安全计划
5.1.4.7BP010403身份管理 5.1.4.7.1描述 -标识所有用户及在IT系统中的行为,用户访问系统和数据的权限应符合已定义的,正式规 应唯一 定的业务需求和工作要求
用户的权限由用户的管理者申请,系统的所有者批准,安全责任人员实施
通过使用有效的技术和 程序来用于建立用户身份、完成身份认证,实施访问权限 5.1.4.7.2工作产品 身份管理规范
5.1.4.8BP010404用户账户管理 5.1.4.8.1描述 保证用户账户管理者处理用户账户的申请、建立,发布、修改和关闭以及相关的用户特权
应建立 一个描述数据和系统的所有者授予访问权限的批准程序,适用于管理员,内部用户,外部用户的正常、紧 急情形
所有账户和相关权限应实施定期的管理评审 5.1.4.8.2工作产品 账户管理规范
5.1.4.9BP010405安全性测试、监控和报告 5.1.4.9.1描述 应保证主动地测试和监控IT安全实施
IT安全性应定期检查,保证已批准的IT安全水平得到维 护,日志和监控功能应能够发现需要说明的例外和异常行为
根据业务需求,确定日志信息的访问权 限
对计算机资源责任信息的逻辑访问(安全和其他日志文件)应基于最小特权或者“需要才能知道”的 原则来准予
IT安全管理员应确保侵犯和安全活动被记人日志,任何即将来临的安全侵犯的迹象要立即报告给 所有相关内部、外部人员,并及时采取行动
报告,评价有规律地适时逐步升级,以便确认和解决有关未 授权活动
5.1.4.9.2工作产品 工作产品包括: 安全测试规范; a 10o
GB/T30271一2013 b 日志管理规范; 安全事件报告管理规范
c 5.1.4.10BP010407数据分类 5.1.4.10.1描述 应执行一个程序,确保所有的数据,按照数据分类的计划安排,由数据的所有者通过正式和明确的 决策,根据敏感性进行分类
即使数据“不需要保护”,也需要一个正式决策以指明这样设计的理由
所 有者应决定数据的布置与共享,也就是是否,何时进行程序和文件的维护,存档或制除
所有者批准和 数据布置的证据应被维护
政策应被定义,以基于变化的敏感性,支持信息的重新分类
分类方案应包 括管理机构之间信息交换的规范,要注意安全以及对有关法律的遵从性
5.1.4.10.2工作产品 数据分类规范
5.1.4.11BPO10408访问权限管理 5.1.4.11.1描述 应设置一个控制,确保用户身份识别和访问权限以及系统的身份和数据的拥有权以唯一和中心管 理的方式被建立和管理,以此来获得全局访问控制的一致性和有效性 机构的政策应确保在合适的地方执行控制,以提供操作的授权,并建立用户自己对系统声称的身份 校验
这要求使用密码技术进行签名和校验操作 5.1.4.11.2工作产品 工作产品包括: a授权管理流程 b 权限定义规范; 操作安全规范
c 5.1.4.12BP010410事件处理 5.1.4.12.1描述 应建立计算机安全事件处理规范,通过提供足够的专家意见和装备,迅速而安全的通讯设施的集中 化平台,来处理安全事件
应建立事件管理的责任和程序,确保对安全事件适当、有效和及时的响应
工作产品 5.1.4.12.2 工作产品包括 a)应急响应预案; b安全事件处置规范 5.1.4.13BP010412可信任的路径 5.1.4.13.1描述 机构政策应确保敏感交易数据只能通过可信任的路径来交换
敏感信息包括;安全管理信息,敏感 交易数据、口令和密钥
为了实现这些,可信任的通道需要使用用户之间、用户和系统之间、系统和系统 之间的加密来建立
1l
GB/T30271一2013 5.1.4.13.2工作产品 敏感信息管理规范 5.1.4.14BPO10413安全功能的保护 5.1.4.14.1描述 应防止所有涉及硬件和软件安全的损害,以维持它们的完整性,并要防止密钥的泄露
另外,机构 应对他们的安全设计保持一种低调的形象,但是安全不能基于对设计的保密
5.1.4.14.2工作产品 完整性保护规范
5.1.4.15BPO10414密钥管理 5.1.4.15.1描述 管理层应定义并执行程序和协议,用于密钥的生成、更改,撤消、毁坏,分发、认证、存储、输人、使用 和存档,确保密钥不被更改和未经授权的泄露
如果一个密钥危及安全,管理层应确保这个信息,通过 认证撤消列表或其他类似的机制,传播到所有利益相关方
5.1.4.15.2工作产品 密钥管理规范
5.1.4.16BPO10415恶意软件的预防、检测和纠正 5.1.4.16.1描述 应建立一个适当的预防、检测和纠正控制措施以及出现时的响应和报告的框架
业务和IT管理 层应确保建立一个跨越全机构的程序,避免信息系统和技术遭受计算机病毒的侵害
程序应结合病毒 预防、检测,发生时的响应和报告
5.1.4.16.2工作产品 恶意代码管理规范
5.1.4.17BPO10416网络安全 5.1.4.17.1描述 确保采用了安全技术和相关管理程序(如防火墙、网络分段、人侵检测)用于授权访问和控制进出网 络的信息流
5.1.4.17.2工作产品 网络管理规范
5.1.4.18BP010417敏感数据交换 5.1.4.18.1描述 为了提供内容的真实性、提交验证、接收验证和数据源地抗抵赖性,应保证敏感数据仅通过可信路 12
GB/T30271一2013 径或介质交换
5.1.4.18.2工作产品 敏感数据保护规范 5.1.501PA05协调信息安全 5.1.5.1概述 协调安全的目的在于保证所有部门都有一种参与安全工程的意识
由于安全工程不能独立地取得 成功所以这种参与工作是至关重要的
这种协调性涉及保持安全组织,其他工程组织和外部组织之间 的开放交流
多种机制可以用于在这些部门之间协调和沟通安全工程的决定和建议,包括备忘录、文 档电子邮件、会议和工作组
5.1.5.2目标 项目组的所有成员都要具有并参与安全工程工作的意识,才能充分发挥他们的作用
有关安全的决定和建议是相互沟通和协调一致的 5.1.5.3过程域注解 本过程域保证安全是整个工程项目的一个完整部分
安全工程师应是所有主要设计队伍和工作组 的一部分
在作出关键设计决定后的工程生命期早期就建立起安全工程与其他工程队伍间的联系是特 别重要的
本过程域能够同等地用于开发和运行机构
5.1.5.4基本实践清单 基本实践清单包括 a)BP010501定义安全工作协调目标和相互关系, BPo10502识别出安全工程的机制 b BPO10503促进安全工程的一致性; c BPO10504用识别出的机制去协调有关安全的决定和建议
d 5.1.5.5BPO10501定义协调目标 5.1.5.5.1描述 许多其他的组织也需要有一种参与安全工程的意识
与这些组织共享信息的目标是通过检查项目 结构、信息需求和项目要求来决定的
建立与其他组织之间的联系和义务关系,成功的联系可有许多形 式,但应被全体参与的部门所接受
5.1.5.5.2工作产品 工作产品包括 信息共享协议:措述组织间共享信息的过程,标识参与部门、介质、格式、期望值和频率, a 工作组的成员关系和日程表;描述本组织的工作组,包括他们的隶属关系,成员的作用、目的、 b 议程和后勤, 组织标准:描述各工作组之间及用户之间沟通安全相关信息的过程和程序
13
GB/T30271一2013 5.1.5.6BO10502识别协调机制 5.1.5.6.1描述 有许多方法可以与其他组织共享安全工程的决定和建议
本活动识别在项目中协调安全的不同 方法
在同样一个项目上有多个安全组是常见的
这些情况下,所有的工作组都应为了一个共同的目标 而工作,接口标识,安全机制选择、培训及开发工作都需要以某种方式进行,以保证每个安全组件放置在 运行系统中时都能如愿工作
另外,安全工程的作用应得到所有其他工程组和工程机构的理解,以便使 安全能完好地集成到系统中去
顾客也应认识有关安全的事情和工作,以便保证恰当地识别和提出 要求
5.1.5.6.2工作产品 工作产品包括 a)沟通计划;包括用于工作组成员之间以及与其他团体之间需要共享的信息,会议日期、过程和 程序; 通信基础设施的要求;标识工作组成员之间以及与其他团体之间共享信息需要的基础设施和 b 标准; 会议报告,-报义.备忘录的模板;描述各种文档的格式,保证标准化和有效的工作
5.1.5.7BP010503促进协调 5.1.5.7.1描述 成功的关系依赖于完善的促进
在具有不同优先级的不同组织之间进行沟通有可能会发生一些冲 突
本基本实践确保争端以合适的富有成果的方式得到解决
5.1.5.7.2工作产品 工作产品包括: a)冲突解决的程序;识别出有效解决组织中实体之间和实体内部冲突的方法 b 会议议程、目标、行动条目;描述会议中讨论的议题、强调需要阐述的目标和行动条目; c)行动条目的跟踪;识别工作和项目分解的计划,包括职责,时间表和优先级
5.1.5.8BP010504协调安全决定和建议 5.1.5.8.1描述 本基本实践的目的在于在各种安全工程组织,其他工程组织、外部实体及其他合适的部门中沟通安 全决定和建议
5.1.5.8.2工作产品 工作产品包括 决定;通过会议报告、备忘录、工作组会议纪要,电子邮件、安全指南或公告牌将有关安全的决 a 定告诉有关工作组; b)建议:通过会议报告、备忘录、工作组会议纪要、电子邮件、安全指南或公告牌将有关安全的建 议通报给有关工作组
14
GB/T30271一2013 5.2D02规划设计 5.2.1D02PA01指定安全需求 5.2.1.1概述 指定安全需求的目的在于,明确地为系统识别出与安全相关的需求
指定安全需求涉及定义系统 安全的基本原则,以此满足有关安全的所有法律,策略、组织要求
这些需求按照系统的目标运行安全 的前后联系、组织的当前安全和系统环境,以及一系列被识别的安全目标来进行裁剪
与安全相关的需 求集合被定义为系统安全的基线
5.2.1.2 目标 在所有部门包括用户之间达成对安全需求的共同认识 5.2.1.3过程域注解 本过程域包括定义整个信息系统中所有安全方面《例如物理的,功能的、程序的)的活动
本基本实 践提出了安全需求如何被识别,并被提炼为与安全要求相关的、连贯的基线,以用于系统设计、开发、检 验、运行和维护
在大多数的情况下,有必要考虑现有环境和与安全需求相关的因素
通过这一过程域 所获得和产生的信息在整个项目中被收集、提炼,使用和更新,详见“提供安全输人”(D02PA06),以此 提出顾客需求
5.2.1.4基本实践清单 基本实践清单包括 a)BP0201o1获得对顾客安全需求的理解; BP020102识别出管理该系统的法律、策略、标准、外部影响和约束 b) c) BP020103识别出系统的用途,以此来决定安全上下文关系 d)BP020104收集系统运行的一个高层的面向安全的思想; eBP20105收集定义系统安全的高层目标 O BP020106定义一套确定在系统中实施保护措施的一致性陈述; g)BP020107达成特定的安全协议以满足顾客要求
5.2.1.5BP020101获得对用户安全需求的理解 5.2.1.5.1描述 本基本实践的目的在于,收集所有用于全面理解用户安全需求所需的信息
这些需求受到安全风 险对用户重要性的影响
系统预期操作的目标环境也会影响用户与安全相关的需求
5.2.1.5.2工作产品 用户安全需求的叙述:对用户所要求的安全的高层描述
5.2.1.6BP020102识别可用的法律,策略和约束 5.2.1.6.1描述 本基本实践的目的在于,收集所有对系统安全产生影响的外部影响
一个具有可适用性的决定应 识别出支配系统目标环境的法律,规则策略和商务标准
应执行全局和局部间优先权的决定
由系统 15
GB/T30271一2013 用户对系统提出的安全需求应被标识并提出安全含意 5.2.1.6.2工作产品 工作产品包括: a)安全约束;影响系统安全的法律、策略、规则和其他约束条件; b) 安全轮廓;安全环境(威胁、组织策略)、安全目标(例如需对抗的威胁)、安全功能和保证需求; 开发出满足目标需求的系统合理性
5.2.1.7BP020103识别系统安全关联性 5.2.1.7.1描述 本基本实践的目的在于识别出系统间的关系是如何影响安全的
它涉及了对系统(例如,情报,金 融、医疗)用途的理解
任务的处理和运行概要作为安全因素加以评估
对系统遭受到的,或可能的威 胁,在这一阶段有深人理解
评估性能和功能需求对安全可能产生的影响
就安全含意而言,运行的约 束条件也要受到检查
定义的系统安全边界,环境可能也包括与其他组织或系统的接口
接口部件被确定为位于安全边 界的内侧或外侧
组织的许多外部因素也影响组织安全需求的变化程度
这些因素包括策略上的倾向性和策略重点 的改变、技术开发、经济影响、全局性事件以及信息战
由于这些因素没有一个是静态的,它们需要监视 和定期地评估这些变化潜在的影响, 5.2.1.7.2工作产品 识别系统安全关联性的工作产品包括 预期的威胁环境;对系统资产的已知或假定的威胁,包括威胁作用力(专门技术、可用资源,动 a 机,攻击(方法,可开发的脆弱性,机会),资产 b评估目标;描述被评估的系统或产品的安全特性(类型、预期的应用,通用特性、使用限制)
5.2.1.8BP020104收集系统运行的安全思想 5.2.1.8.1描述 本基本实践的目的在于开发一个高层的,面向安全的规划思想,包括任务、职责信息流、资产、,资源、 人员保护以及物理保护
这一描述应包括对规划如何都能在系统要求约束条件内实施的讨论
系统的 这一思想在运行安全概念中典型地被提了出来,而且应包括一个有关体系结构,过程和环境的高层的安 全思想
与系统开发环境有关的要求也要在这一阶段进行收集
5.2.1.8.2工作产品 收集系统运行的安全思想的工作产品包括 运行安全概念系统高层的,面向安全的思想(任务,职责,资产,信息流、过程) a b)概念性安全体系结构
5.2.1.9BP020105收集安全的高层目标 5.2.1.9.1描述 本基本实践的目的在于,识别出在运行环境中怎样提供足够的安全才能为该系统满足其安全目标
16
GB/T30271一2013 5.2.1.9.2工作产品 收集安全的高层目标的工作产品包括: 运行/环境的安全策略;支配资产怎样在一个组织的内部和外部进行管理,保护和发布的规则 指令和实施 系统安全策略;支配资产怎样被系统或产品进行管理,保护和发布的规则,指令和实施
b 5.2.1.10BP020106定义安全相关需求 5.2.1.10.1描述 本基本实践的目的在于定义与系统的安全相关的需求
这一实施应确保每个需求与可适用的策 略、法律、标准,安全需求以及系统的约束条件协调一致
这些需求应完全地定义出系统的安全需求,包 括那些通过非技术手段提供的需求
通常有必要定义或确定目标的逻辑或物理边界,以确保所有的方 面都被提到
这些需求应与系统目标建立映射关系或发生关联
与安全相关的需求应被清楚地、简明 地陈述,而且彼此不应发生矛盾
无论何时,安全都应将对系统功能和性能的任何影响降到最小
与安 全相关的需求应为在目标环境中对系统安全的评价提供一个基础
5.2.1.10.2工作产品 定义安全相关需求的工作产品包括 a)与安全相关的需求;直接影响系统的安全运行,或强迫与某一特殊安全策略的一致性需求; b)可跟踪模型;将安全需求映射成为必需条件,解决方法例如,体系结构,设计,实现),测试和 测试结果
5.2.1.11BP020107达成安全协议 5.2.1.11.1描述 本基本实践的目的在于,在系统的安全需求中所有适用部分与特定安全之间达成协议
在未被识 别的特殊用户,而不是一个通用用户组的情况下,特定安全要满足目标设置
特定的安全应是完整地、 -致地反映对策略,法律和用户需求的管理
问题应被识别并修改直到达成协议
5.2.1.11.2工作产品 达成安全协议的工作产品包括: 被审定的安全目标;陈述需对抗的已识别的威胁,和/或遵从已识别的安全策略(已被顾客认 可)的计划; b)与安全相关的需求基线:在特定的重要阶段,被所有的适用部分(特别是顾客)认可的,与安全 相关的最低要求
5.2.2D02PA02评估影响 5.2.2.1概述 评估影响的目的在于识别对该系统有关系的影响,并对发生影响的可能性进行评估
影响可能是 有形的,例如税收或财政罚款的丢失,或可能是无形的,例如声誉和信誉的损失
5.2.2.2目标 对该系统风险的安全影响进行标识和特征化 17
GB/T30271一2013 5.2.2.3过程域注解 影响是意外事件的后果,对系统资产产生影响,可由故意行为或偶然原因引起
这一后果可能毁灭 某些资产,危及该IT系统以及丧失机密性、完整性、可用性、可记录性、可鉴别性或可靠性
间接后果 可以包括财政损失、市场份额或公司形象的损失
对影响是被允许在意外事件的结果与防止这些意外 事件所需安全措施费用之间达成平衡
应对发生意外事件的频率予以考虑
特别重要的是,即使每一 次影响新引起的损失并不大,但长期积累的众多意外事件的影响总和则可造成严重损失
影响的评估 是评估风险和选择安全措施的要素
本过程域所产生的影响信息在本过程域中,与来自D02PA03的威胁信息和来自D02PA04的脆弱 性信息一起使用
当涉及与收集威胁、脆弱性和影响信息有关的活动被综合成单个PA后它们是相互 依存的
目的在于寻找认为是有足够风险的威胁、脆弱性和影响的组合,以证明新采取的措施是合理 的
因此,对影响的搜索应通过现有相应的威胁和脆弱性进行一定延伸
由于影响要经历变化,应定期进行监视,以保证由本过程域产生的理解始终得到维持
5.2.2.4基本实践清单 评估影响的基本实践清单主要包括 对系统中起关键作用的运行、商务或任务的影响进行识别、分析和优先级排列; a)BP020201 b) BP020202对支持系统的关键性运行能力或安全目标的系统资产进行识别和特征化; BPo20203选择用于评估的影响度量标准; c) d 对选择的用于评估的度量标准及其转换因子(如有要求)之间的关系进行标识; BP020204 e)BP020205标识和特征化影响; BP020206监视所有影响中的不断变化
f 5.2.2.5BP020201对影响进行优先级排列 5.2.2.5.1描述 对运行、商务或任务指令进行识别、分析和优先级排列
商务战略的影响也应予以考虑
它们可能 影响和缓解该组织可能遭受的影响
其次,它们可能影响在其他基本实践和过程域中对风险的顺序
因此重要的是当其测试潜在影响时要对这些影响因素进行分解
基本实践与D02PA01“指定安全需 求”的工作有关
5.2.2.5.2工作产品 对影响进行优先级排列的工作产品主要包括 a)系统优先级清单和影响修改者 b)系统能力轮廓;描述系统能力及其对系统目标的重要性
5.2.2.6BP020202识别系统资产 5.2.2.6.1描述 对支持系统的安全目标或关键性能力(运行,商务或任务功能)所必需的系统资源和数据进行识别
通过对给定环境中提供这种支持的每项资产的意义进行评估,来对每项资产进行定义
5.2.2.6.2工作产品 工作产品包括 18
GB/T30271一2013 产品资产分析:包含产品资产及系统运行意义的识别; a 系统资产分析;包含系统资产及系统运行意义的识别
b 5.2.2.7BP020203选择影响的度量标准 5.2.2.7.1描述 许多度量标准可用来测量事件的影响
预先确定哪种度量标准适合用于考虑中的特殊系统是有好 处的
5.2.2.7.2工作产品 选择影响的度量标准
5.2.2.8BP020204表示度量标准关系 5.2.2.8.1描述 某些影响可能需要使用不同度量标准进行评估
不同度量标准之间的关系应建立起来以保证在整 个影响评估中对所有暴露均保持一致性方法
在某些情况下,将需要把各种度量标准方法组合起来,以 使能够产生出单一的统一结果
因此需要建立起一种可以产生统一结果的方法
这种方法通常将随系 统而变化
当使用量化的度量标准时,也需要建立起规则用来在合并阶段指导量化因子的组合
5.2.2.8.2工作产品 工作产品包括: 影响度量标准关系清单描述度量标准之间的关系 a b影响度量标准组合规则:描述组合影响度量标准的规则
5.2.2.9BP020205识别和特征化影响 5.2.2.9.1描述 利用多重度量标准或统一度量标准的合适方法对意外事件的意外影响进行识别和特征化
5.2.2.9.2工作产品 暴露影响清单;潜在影响及其相关度量的清单
5.2.2.10BP020206监视影响 5.2.2.10.1描述 适用于任何位置和状态的影响都是动态的
新的影响可以变得与此相关
因此重要的是监视现有 影响并有规律地检查潜在的新影响
本基本实践与D04PA02中的通用性监视活动紧密相连
5.2.2.10.2工作产品 工作产品包括: a)影响监视报告描述监视影响的结果; b 影响变化报告:描述影响的变化情况
19
GB/T30271一2013 5.2.3D02PA03评估威胁 5.2.3.1概述 评估威胁过程域的目的在于识别安全威胁及其性质和特征
5.2.3.2 目标 对系统安全的威胁进行标识和特征化
5.2.3.3过程域注解 许多方法和方法论可用于进行威胁评估
确定使用哪一种方法论的重要考虑因素是该方法论如何 与被选定的风险评估过程中其他部分所便用的方法论进行衔接和工作 本过程域产生的威胁信息被安排在本过程域中,与来自D02PA04的脆弱性信息和来自D02PA02 的影响信息一起使用
当这些涉及收集威胁、脆弱性和影响信息的工作已组合成单独的PA时,它们是 相互依存的
其目的在于寻找被认为是足够危险的威胁,脆弱性和影响的组合,从而证明相应行动的合 理性
因此,搜索威胁就根据现有的相应脆弱性和影响进行某些延伸
由于威胁可能发生变化,因此应定期地对其进行监视,以保证由本过程域所产生的安全理解始终得 到维持
5.2.3.4基本实践清单 基本实践清单包括 BP020301 识别由自然因素所引起的适当威胁; BP020302识别由人为因素所引起的适当威胁,偶然的或故意的; D BP020303识别在一特定环境中合适的测量块和适用范围 c) 评估由人为因素引起的贼胁影响的能力和动机 dBP020304 BP020305评估威胁事件出现的可能性; e BP020306监视威胁频谐的变化以及威胁特征的变化
5.2.3.5BP020301识别自然威胁 5.2.3.5.1描述 由自然原因引起的威胁,包括地震、海啸和台风
不过,并非有威胁的所有自然灾害都会在所有地 方发生
例如,在大量内陆中心地带就不可能出现台风
因此,重要的是识别出在一特定地方到底会发 生哪一种具有威胁的自然灾害
5.2.3.5.2工作产品 合适的自然威胁表:保存自然威胁特征和可能性的表格
5.2.3.6BP020302识别人为威胁 5.2.3.6.1描述 人为原因引起的威胁基本上有两种类型:一是由偶然原因引起的威胁;二是由故意行为引起的威 胁
某些人为威胁在目标环境中并不适用,这些应在分析中通过进一步的思考后予以取消
20
GB/T30271一2013 5.2.3.6.2工作产品 工作产品包括: 威胁概要描述:对威胁如何工作的描述 a b)威胁严重性测定;对威胁可能影响程度的度量
5.2.3.7BP020303识别威胁的测量块 5.2.3.7.1描述 大量的自然和人为威胁都有其与之相关的测量块
关于地震的Richter换算法就是一例
在大多 数情况下,测量块的整体范围并不适用于特定位置
因此,对可能在特定位置中出现预期的事件,应根 据具体情况建立最大和最小测量块范围
5.2.3.7.2工作产品 工作产品是与测量块和位置范围有关的威胁表
5.2.3.8BP020304评估影响威胁的效力 5.2.3.8.1描述 本过程域集中确定对系统进行成功攻击的潜在的人类敌对势力的能力和效力
能力指的是攻击者 的敌对知识(例如,他们拥有知识,经过训练)
效力则是一个有能力的敌手能够进行攻击的可能性(例 如,他们拥有攻击的手段)
5.2.3.8.2工作产品 工作产品是威胁影响的效力评估和描述 5.2.3.9BP020305评估威胁的可能性 5.2.3.9.1描述 对威胁事件如何发生的可能性进行评估
在对从自然事件发生概率到个别的故障行为或偶然事件 进行评估中需要考虑多种因素
考虑诸多因素并对其进行计算或测量,度量标准应是需要的、一致的
5.2.3.9.2工作产品 威胁事件可能性评估报告
5.2.3.10BP020306监视威胁及其特征 5.2.3.10.1描述 适合于任何位置和状态的威胁频谱都是动态的
新的威胁可能变得相关,而现有威胁的特征也可 能发生变化
因此重要的是有规律地对现有威胁及其特征进行监视,并检查新的威胁
本基本实践与 D04PA02监视威胁、脆弱性、影响和环境变化的一般化监视活动紧密相连 5.2.3.10.2工作产品 工作产品包括 威胁监视报告:描述威胁监视活动结果的文档 a 21
GB/T30271一2013 b 威胁变化报告;描述威胁分布情况变化的文档
5.2.4D02PA04评估脆弱性 5.2.4.1概述 评估安全脆弱性的目的在于识别和特征化系统的安全脆弱性
本过程域包括分析系统资产将定义 特殊的脆弱性以及提供对整个系统脆弱性的评估
与安全风险和脆弱性评估有关的术语,在许多不同上下文环境中用起来是不同的
就用途而言, “脆弱性”指的是可被开发利用而不是那些原本就有安全漏洞和程序缺陷的易被威胁所攻击)的系统的 个方面
这些脆弱性与任何特殊的威胁或攻击形成并不相干
评估话动在系统生命期内任何时间都 可进行,以支持在已知环境中对开发、维护和运行系统做出决策 5.2.4.2目标 获得对一确定环境中系统安全脆弱性的理解
5.2.4.3过程域注解 与本过程原有关的分析和实施通常是“书面研究“
通过常用工具和技术发现系统脆弱性是另一种 补充方法,但不能代替其他脆弱性分析技术
这些常用技术可看作是一种特殊的脆弱性分析形式
这 种分析方法,在重要的系统升级后试图证实安全脆弱性,或在两个系统互联后对其安全脆弱性进行识别 时可能是有用的
在某些情况下,为了证实系统安全态势并增加对现在安全脆弱性的理解和体会,需要 进行主动的脆弱性分析
有时称之为渗透测试的主动脆弱性分析是一个过程,安全工程师在这一过程 中尝试推翻该系统的安全特性
安全工程师是以与用户具有相同约束条件下开展工作的,但假定他们 可以使用全部的设计和实现文档
攻击安全的这一过程并非无止境地进行下去,而必然受到时间和费 用的制约
由本过程域产生的脆弱性信息打算在本过程域中,与来自D02PA03的威胁信息和来自D02PA02 的影响信息一起使用
当与收集威胁、脆弱性和影响信息有关的活动,综合成单独的PA时,这些PA 是互相依存的
其目的在于寻找认为是足够危险的威胁、,脆弱性和影响的组合方式,以证明所采取措施 的合理性
因此,搜索脆弱性的工作应根据现有相应威胁和影响情况进行某些延伸
由于脆弱性要经 历变化.它们应定期受到监视以保证由本过程域产生的理解始终得到维持
5.2.4.4基本实践清单 基本实践清单包括: a)BP020401选择对一给定环境中的系统脆弱性进行识别和特征化的方法、技术和标准; BP020402识别系统安全脆弱性; b eBP020403收集与脆弱性性质有关的数据; BPO20404评估系统脆弱性并将特定脆弱性及各种特定脆弱性的组合结果进行综合 d) BP020405监视可用的脆弱性的变化及其特征的变化
e 5.2.4.5BP020401选择脆弱性分析方法 5.2.4.5.1描述 本基本实践包括定义对系统建立安全脆弱性的方法,这种方法允许对安全脆弱性进行识别和特征 化
这些可以包括一个对基于威胁及其可能性、运行功能、安全需求或提供的其他相关领域的脆弱性进 行分类和优先级排列的方案
识别这些分析的深度和广度,允许安全工程师和用户确定目标系统是否 22
GB/T30271一2013 为本方案的一部分
所有分析应在预先安排和指定时间内,在一个已知的并记录有配置的框架内进行
该种分析的方法论应包括预期结果
分析的特定目标应陈述清楚
5.2.4.5.2工作产品 工作产品包括: a)脆弱性分析方法;标识寻找和提出系统安全脆弱性的方法,包括分析、报告和跟踪过程 b) 脆弱性分析格式;描述脆弱性分析结果的格式,保证方法的特征化 攻击方法论和工作原理;包括执行攻击测试的目标和方法; 攻击过程;执行攻击测试的详细步骤; 攻击规划;包括资源,时间安排和攻击方法论的描述 渗透研究:以识别未知脆弱性为目标的攻击概要分析和方案; 攻击概要;描述将要进行的特定攻击
g 5.2.4.6BP020402识别脆弱性 5.2.4.6.1描述 系统脆弱性可以在系统的安全和非安全的相关部分被发现
许多情况下,支持与安全机制相关的 安全功能和工作的非安全机制,被发现具有可利用的脆弱性
BP020401中研究过的攻击概要方法论应 延伸到对脆弱性的证实
所有发现的系统脆弱性应予以记录 5.2.4.6.2工作产品 工作产品包括: a)描述系统经受各种攻击的脆弱性清单; b包括攻击测试结果(例如脆弱性)的渗透轮廓
5.2.4.7BP020403收集脆弱性数据 5.2.4.7.1描述 脆弱性具有自身的性质
本基本实践打算将与这些性质相关的数据收集起来
在某种情况下,脆 弱性的测量单位可能与BPo20303“识别攻击的测量单位”中有关威胁的测量单位相同
由于脆弱性易 于被利用,因此脆弱性存在的可能性应予识别,其数据应被收集
5.2.4.7.2工作产品 脆弱性性质表;保存产品或系统脆弱性特征的表格
5.2.4.8BP020404合成系统脆弱性 5.2.4.8.1描述 分析那些脆弱性或脆弱性的总和会对系统造成问题
所有分析应识别出该脆弱性的特征,例如脆 弱性被开发的可能性以及成功开发脆弱性的概率
提出合成脆弱性的建议也可以包括在分析结果 之中
5.2.4.8.2工作产品 工作产品包括 23
GB/T30271一2013 脆弱性评估报告;包括对系统造成问题的脆弱性的定性或定量的描述,这些问题是攻击的可能 性,攻击成功的可能性及攻击产生的影响; b 攻击报告;对已发现的脆弱性,被开发的潜在可能性和推荐的处置方法的分析过程和结果进 行书面总结
5.2.4.9BP020405监视脆弱性及其特征 5.2.4.9.1描述 适合于任何位置和状态的脆弱性频谱都是动态的
新的脆弱性变得与之相关,而现有脆弱性的特 征可能发生变化
因此,重要的是有规律地监视现有脆弱性及其特征并检查新的脆弱性
本基本实践 与D04PA02监视威胁、脆弱性、影响、风险和环境变化的一般性监视活动紧密相连
5.2.4.9.2工作产品 工作产品包括 a)脆弱性监视报告描述脆弱性监视活动结果的文档 脆弱性变化报告;描述新的或已变化的脆弱性文档 b 5.2.5D02PA05评估安全风险 5.2.5.1概述 评估安全风险的目的在于识别出一给定环境中涉及对某一系统有依赖关系的安全风险
这一过程 域着重于确定一些风险,这些风险是基于对运行能力和可用资源在抗威胁方面脆弱程度的已有理解上 的
这一工作特别涉及对出现暴露的可能性进行识别和评估
“暴露”一词指的是可能对系统造成重大 伤害的威胁、脆弱性和影响的组合
在系统生命期的任何时候都可进行这一系列活动,以便支持在一已 知环境中开发、维护和运行该系统有关的决策
5.2.5.2目标 获得对在一给定环境中运行该系统相关的安全风险的理解
5.2.5.3过程域注解 安全风险多为将会出现不希望事件的影响的可能性
当其论及与费用和进度有关的项目风险时. 安全风险特别涉及对某一系统的资产和能力的影响
风险总是包括一种依赖于某一特定情况而变化的不确定因素
这就意味着安全风险只能在某一限 度内被预测
此外,对某一特定风险进行的评估也会具有相关的不确定性,例如,不希望事件并不一定 出现
因此,很多因素都具有不确定性,例如对与风险有关的预测的准确性就不确定
在许多情况下 这些不确定性可以很大
这就使得安全的规划和调整非常困难
可以降低与特定情况相关的不确定性的任何措施都具有相当重要性
有鉴于此,保证是重要的
因为它间接地降低了该系统的风险 由本过程域产生的风险信息,取决于来自D02PA03的威胁信息,来自D02PA04的脆弱性信息和 来自D02PA02的影响信息
当涉及收集威胁,脆弱性和影响信息的活动分别组合成单独的PA时,它 们是互相依存的
其目标在于寻找认为是足够危险的威胁、脆弱性和影响的组合,从而证明相应行动的 合理性
这一信息形成了在D02PA01中定义安全需要的基础以及由D02PA06提供的安全输人
由于风险环境要经历变化,因此应对其进行定期监视,以保证由本过程域生成的风险理解始终得到 以维持
24
GB/T30271一2013 5.2.5.4实施清单 实施清单包括 选择用于分析、评估和比较给定环境中系统安全风险所依据的方达、技术和准则 BP020501 a BP020502识别威胁/脆弱性/影响三组合(暴露); b) e)BP020503评估与出现暴露相关的风险; BPO20504评估与该暴露风险相关的总体不确定性; d) BP020505排列风险的优先顺序; e 监视风险频谱及其特征的不断变化 f BP020506 5.2.5.5BP020501选择风险分析方法 5.2.5.5.1描述 选择用于分析、评估和比较给定环境中系统安全风险所依据的方法、技术和准则
本基本实践包括定义用于识别给定环境中系统安全风险的方法,这种方法允许对安全风险进行分 析,评估和比较
它应包括一个对风险进行分类和分级的方案,其依据是威胁,运行作用,已建立的系统 脆弱性、潜在损失、安全需求等相关问题
5.2.5.5.2工作产品 工作产品包括: 风险评估方法:描述对风险进行识别和特征化的方法; a 风险评估格式;描述风险归档和跟踪的格式,包括风险的描述,重要性和相关性
b 5.2.5.6BP020502识别暴露 5.2.5.6.1描述 识别威胁/脆弱性/影响三组合(暴露)
识别该暴露的目的在于认识这些威胁和脆弱性的利害关 系,进而识别出现威胁和脆弱性造成的影响
这些暴露将是在选择系统保护措施中应予以考虑的 工作产品 5.2.5.6.2 系统暴露清单;描述该系统的所有暴露
5.2.5.7BP020503识别暴露的风险 5.2.5.7.1描述 识别出现一个暴露出现的可能性
评估与每个暴露有关的风险
5.2.5.7.2工作产品 工作产品包括: 暴露风险清单 a) 暴露优先级表
b 5.2.5.8BP020504评估总体不确定性 5.2.5.8.1描述 每种风险都有与之相关的不确定性
总体风险不确定性是在D04PA02中已被标识的威胁,脆弱 25
GB/T30271一2013 性和影响及其特征不确性的积累
D02PA03“评估出现威胁事件的可能性”;D02PA04收集与脆弱性性 质有关的数据;以及D02PA02评估出现暴露的影响
本基本实践与“D03PA03建立保证论据”密切相 关,因为保证能用于修改,从而在某种输人下降低不确定性 5.2.5.8.2工作产品 暴露与不确定性有关的风险
5.2.5.9BP020505风险优先级排列 5.2.5.9.1描述 已经被识别的风险应以组织优先权,风险出现的可能性,与这些因素相关的不确定性和可用财力为 依据进行排序
风险可以被减轻,避免、转移或接受,也可以使用这些措施的组合
“减轻”这一措施能 够对付威胁、脆弱性、影响或风险本身
安全措施的选择要适当考虑到D02PA01“指定安全需求”中的 要求,商务优先级和整个系统体系结构
5.2.5.9.2 工作产品 工作产品包括 风险优先级清单; a b 安全措施需求清单; 优先顺序的关系
c 5.2.5.10BP020506监视风险及其特征 5.2.5.10.1描述 监视风险频谱变化和风险特征的变化
应用于任何位置和状态的风险频谱都是动态的
新的风险可能关联进来,而现有风险也可能发生 变化
因此,监视现有风险及其特征,有规律地检查新的风险是十分重要的
本基本实践与04PA02 “监视威胁、脆弱性,影响、风险和环境变化”中一般性监视活动紧密相联
5.2.5.10.2工作产品 工作产品包括: a)风险监视报告 风险变化报告;描述系统的运行能力以及对该系统目标的重要性
b 5.2.6D02PA06提供安全输入 5.2.6.1概述 提供安全输人的目的在于为系统的规划者,设计者、实施者或用户提供他们所需的安全信息
这些 信息包括安全体系结构,设计或实施选择以及安全指南
输人是被开发、分析并加以提供的
同时与基 于D02PA01“指定安全需求”中定义的安全需求中的适当组织机构成员协调一致 5.2.6.2目标 所有具有安全意义的系统间题都应受到检查,并按照安全目标的要求予以解决 所有项目组成员都要理解安全问题,以使他们各司其职 26
GB/T30271-2013信息安全服务能力评估准则
在企业信息系统中,为了保障信息的安全性,需要采用各种信息安全技术和信息安全服务。而对于提供信息安全服务的企业来说,其自身的信息安全服务能力评估也是非常重要的。
GB/T30271-2013是指导信息安全服务能力评估的标准,该标准分为三个部分:
- 第一部分:概述 包括标准的目的、适用范围、引用标准和术语和定义等方面。
- 第二部分:信息安全服务能力评估模型 包括信息安全服务能力评估的参考模型、评估对象、评估方法、评估结果等多个方面。
- 第三部分:信息安全服务能力评估实施指南 包括信息安全服务能力评估的准备工作、评估流程、评估方法与技巧、评估报告等多个方面。
GB/T30271-2013的出台,为企业提供了参考标准和实施指南,帮助企业全方位地评估自身信息安全服务的能力,并进行进一步的提高和改进。
在信息安全服务能力评估中,主要考察以下几个方面:
- 制定与管理安全策略和计划的能力 评估企业是否具有制定并执行安全策略和计划的能力。
- 实施安全技术和措施的能力 评估企业是否具有选择和实施相应的安全技术和措施来保障信息安全的能力。
- 提供安全服务的能力 评估企业是否具有提供各种信息安全服务的能力,如安全咨询、安全培训、安全测试、漏洞修复等。
- 安全事件管理和应急响应的能力 评估企业在面对安全事件时是否具有相应的应急响应措施。
- 安全管理与维护的能力 评估企业在安全管理和维护方面的工作是否得当。
总之,信息安全技术和信息安全服务是保障企业信息安全的两个基本方面。而GB/T30271-2013则是指导信息安全服务能力评估的重要标准,为企业提供了科学可靠的方法和指南,帮助企业更好地评估和提升自身的信息安全服务能力。
