附 录 A

（资料性附录）

安全管理要素及其强度与安全管理分等级要求的对应关系


根据第5章和第6章的规定，信息系统安全管理要素及其强度与信息系统安全管理分等级要求的对应关系见表A.1。在该表中将安全管理要素的结构分为三个层次，为便于说明将第一层称为类，第二层称为族，第三层为具体的安全管理要素。






附 录 B （资料性附录）

信息系统安全管理概念说明


B.1 主要安全因素
信息系统的主要安全因素和各因素之间的关系如图B.1所示。



B.1.1 资产
主要包括：
——支持设施（例如，建筑、供电、供水、空调等）；
——硬件资产（例如，计算机设备如：处理器、监视器、膝上型电脑、调制解调器，通信设施如：路由器、交换机、传真机、应答机，存储媒体如磁盘、光盘等）；
——信息资产（例如，数据库和数据文档，系统文件，用户手册，培训资料，操作和支持程序，持续性计划，备用系统安排，访问信息等）；
——软件资产（例如，应用软件，系统软件，开发工具和实用程序等）；
——生产能力或服务能力；
——人员；
——无形资产（例如，信誉，形象等）；
——等。


B.1.2 威胁

主要包括自然威胁和人为威胁。


自然威胁有地震、雷击、洪水、火灾、静电、鼠害和电力故障等。
人为威胁分为：

——盗窃类型的威胁，如偷窃设备、窃取数据、盗用计算资源等；
——破坏类型的威胁，如破坏设备、破坏数据文件、引入恶意代码等；
——处理类型的威胁，如插入假的输入、隐瞒某个输出、电子欺骗、非授权改变文件、修改程序和更改设备配置等；
——操作错误和疏忽类型的威胁，如数据文件的误删除、误存和误改、磁盘误操作等；
——管理类型威胁，如安全意识淡薄、安全制度不健全、岗位职责混乱、审计不力、设备选型不当、人事管理漏洞等；
——等。


B.1.3 脆弱性

与资产相关的脆弱性包括物理布局、组织、规程、人事、管理、行政、硬件、软件或信息等的弱点；与系统相关的脆弱性如分布式系统易受伤害的特征等。

B.1.4 意外事件影响

影响资产安全的事件，无论是有意或是突发，其后果可能毁坏资产，破坏信息系统，影响保密性、完整性、可用性和可控性等。可能的间接后果包括危及国家安全，社会稳定，造成经济损失，破坏组织或机构的社会形象等。

B.1.5 风险

风险是某种威胁利用暴露系统脆弱性对组织或机构的资产造成损失的潜在可能性。风险由意外事件发生的概率及发生后可能产生的影响两种指标来评估。
由于保护措施的局限性，信息系统总会面临或多或少的残留风险，组织或机构应考虑对残留风险的接受程度。

B.1.6 保护措施

保护措施是对付威胁，减少脆弱性，限制意外事件影响，检测意外事件并促进灾难恢复而实施的各种实践、规程和机制的总称。应考虑采用保护措施实现下述一种或多种功能：预防、延缓、阻止、检测、限制、修正、恢复、监控以及意识性提示或强化。保护措施作用的区域可以包括物理环境、技术环境（如硬件、软件和通信）、人事和行政。保护措施可为：访问控制机制、抗病毒软件、加密、数字签名、防火墙、监控和分析工具、备用电源以及信息备份等。
选择保护措施时要考虑由组织或机构运行环境决定的影响安全的因素，例如，组织的、业务的、财务的、环境的、人事的、时间的、法律的、技术的边界条件以及文化的或社会的因素等。

B.2 安全管理的过程

B.2.1 安全管理过程模型

安全管理是一个不断发展、不断修正的过程，贯穿于信息系统生存周期，涉及到信息系统管理层面、物理层面、网络层面、操作系统层面、应用系统层面的安全风险、安全措施、安全运行、安全配置等管理。对信息系统上述几个层面的安全管理是保证信息系统安全技术、安全工程、安全运行正确、安全、有效的基础。
在安全管理过程模型中，每个阶段的管理工作重点不同，要求不同。
安全管理过程模型如图B.2所示。



B.2.2 安全目标

防止涉密信息的失密、泄密和窃密，以及敏感或涉及国家秘密信息的丢失和泄露，防止数据的非授权修改、丢失和破坏，防止系统能力的丧失、降低，防止欺骗，保证信息及系统的可信度和资产的安全。

B.2.3 安全保护等级的确定

信息系统的使用单位主管应根据国家有关法律法规、信息系统所处理信息的安全要求和运行安全要求确定信息系统的保护需求，并确定保证等级，并按照GB/T 20271-2006(信息系统技术要求)和本标准的管理要求实施不同阶段、不同等级的安全保护。


B.2.4 安全风险分析与评估

1）目的
识别需要控制和可接受的风险，并形成风险分析评估报告。
2）原则
安全风险分析时应依据有关的信息系统安全标准和规定，采用多层面、多角度的系统分析方法，制定详细的分析计划和分析步骤，避免遗漏，以保证结果的可靠和科学，并形成文档，做到有据可查。
3）内容与范围
信息系统安全组织、制度和人员情况，信息系统的体系结构，策略与技术运用，安全设施布控及外包服务状况，动态安全运行状况等。
4）分析过程，包括：

——资产识别和分析：包括信息及信息系统的分类、识别要保护的资产及价值、分析信息资产之间的相互依赖性等
——威胁识别和分析：分析系统存在的威胁
——脆弱性识别和分析：分析系统存在的脆弱性
——风险分析和评估分析：包括可能的入侵者和入侵活动的影响、编制安全风险分析报告等


B.2.5 制定安全策略

1）目的
为保证信息系统的安全提供框架，提供安全管理的方法，规定各部门要遵守的规范及应负的责任，为信息系统的安全具体实施提供依据和基础。以调动、协调和组织各方面的资源共同保障信息系统的安全。


2）原则
安全策略应由信息系统使用单位的相关部门负责制定，该部门由使用单位的主管成员和专业安全技术人员以及来自该单位不同部门的相关成员组成。有条件的部门，可聘请安全专家。安全策略在制定时应兼顾结构上的系统性、内容上的可理解性、技术上的可实现性、管理上的可执行性。安全策略应与时俱进，定期加以调整和更新。
3）内容，包括：

——信息系统中要保护的所有资产以及每件资产的重要性，对信息系统中的要素或资产进行分类，分类应体现各类资产的重要程度，所面临的主要威胁，并规定它们的受保护等级；
——明确每个人在信息安全保护中的责任和义务，以便有效地组织全员协同工作；
——确定保护信息系统中各类资产的具体方法，如对于实体可以采用隔离、防辐射、防自然灾害的措施，对于数据信息可以采用授权访问控制技术，对于网络传输可以采用安全隧道技术等；
——为了确保任务的落实，提高安全意识和警惕性，应规定相关的奖惩条款，并建立监管机制，以保证各项条款的严格执行。


B.2.6 安全需求分析

1）目的
提高信息系统安全服务和安全机制等安全保障措施的有效性和针对性，并形成安全需求分析报告。
2）原则，包括：

——结合实际：针对信息系统的实际环境和安全目标提出安全要求；
——依据标准：为了保证质量，做到有据可查，安全需求分析应符合有关标准；
——分层分析：从涉及的策略、体系结构、技术、管理等各个层次逐次进行分析；
——动态反馈：安全需求分析是一个不断发展的过程，随着系统更新换代或功能扩展、内部环境和外部环境的变化，安全需求随之发生变化。安全需求分析应保持结果的有效性、适应性，保证分析方法的科学性和系统性，安全需求分析过程应与系统发展过程同步。
3） 内容，包括：
——管理层面：根据组织和机构的实际情况，确定管理机构或部门的形态和规模，并明确其目标、原则、任务、功能和人员配置等；
——物理层面：根据组织或机构的实际情况，确定各类实体财产的安全级别，以及需要保护的程度和方法；
——系统层面：明确操作平台应具备的安全级别，以及为达到所要求的级别，应选用的操作系统等；
——网络层面：根据信息系统的业务方向，分析系统的网络，特别是网络边界的安全需求，确定应采用的防护体系；
——应用层面：基于网络的应用以及应用供应商的多样性和复杂性，相应的安全防护体系和技术措施不尽相同，需要根据实际情况来确定、选择其安全需求。


B.2.7 安全措施的实施

1）目的
实现安全防护体系，保证达到工程要求。
2）原则，包括：

——遵从保质、经济、高效的原则，正确选择实施单位，依据一份详细、准确、完备的文档化实施计划或方案，对实施过程进行严格控制；
——对方案要详细说明安全过程各个阶段的建设目标、工作内容、施工人员、任务分工、进度安排、产品选型、产品采购、资金投入等情况，并给出每一项的依据和理由，分析每项工作的作用、意义和局限性，明确实施各方的工作关系、责权和协调协同机制；
——对实施方案进行评审时既要兼顾整体，又要注意细节，严格对照组织或机构的安全策略、安全需求和实际情况进行检验，并对所有的备选方案进行认真的分析比较，确保选中的方案达到设想的要求和标准；
——在安全措施实施过程中，所采用的技术与产品应经过严格的测试选型，符合国家信息安全方面的法律法规，特别是涉及密码技术的产品，应严格按照国家和主管部门的有关规定选型和采购；
——实施应按照有关工程要求进行；
——如本单位没有实施条件，应选择具备相应资质和合适、可靠的实施单位来实施信息系统安全措施。


B.2.8 安全实施过程的监理

1）目的
在安全实施过程中建立安全监理制度，检验施工单位的质量水平和责任心，保证工程各阶段的质量。
2）原则，包括：

——从实施的规范、流程、进度等方面进行监督与检查，确保各环节的质量；
——安全监理单位或个人应是经过有关部门批准的第三方中立机构或具有相应资质的个人，保证安全措施实施按照合理的流程与技术标准进行，保证实施过程的有效性；
——实施前的监理：对所选安全产品的真实性、质量、到货时间进行检查；对工程实施人员进行身份及资质审查；对实施单位的具体实施步骤及每个步骤中的具体实施计划文档进行审查；对实施单位开始实施工程的时间和完工的时间进行事前记录；
——实施中的监理：对工程实施进度进行计划和督促，防止延误工期；对工程实施过程的真实性和与方案的符合性进行监督；对工程实施人员的身份在实施过程中进行再检查;对软硬件产品在工程实施中的完好性和真实性进行检查；对工程实施中已完成的部分进行局部验收，发现问题
令其及时纠正；对实施人员的能力和态度进行审查；对于敏感性、关键性信息系统，应由该组织或机构委派专人在现场实施全过程监控，负责零事故的安全保障；
——实施后的监理：对是否达到相应的安全级别进行严格验收；对产品配置的合理性、有效性进行验收；对安全配置是否影响系统的性能进行验收；对实施的进度进行验收；对信息系统的安全现状进行测试与评估；聘请安全专家或有关安全部门对信息系统的安全现状进行评估；
——安全措施实施过程检查的结果应由实施和检查单位法人代表和检查人员签字，以便有关部门和使用单位检查。


B.2.9 信息系统的安全审计

1）目的
检验、监督安全工作的落实情况，确保信息系统达到GB17859-1999要求的相应安全等级。
2）原则，包括：

——根据国家有关部门的具体规定实施信息系统的安全检查工作，实施独立审计；
——信息系统的各应用单位有关人员或组织除实施自查外，应积极配合国家有关部门对所用系统实施安全检查；
——对技术上的安全措施要通过其使用、配置情况，检查它们是否达到了有关的要求。检查的方法有多种，例如，通过查看系统的日志，分析出系统在运行过程中遇到的意外情况以及使用情况；或者对安全措施进行测试，查看它们能否达到规定的安全水平等；
——对安全管理的检查，可以通过审阅有关机构或人员的工作记录，规定他们定期进行总结汇报，并对检查的结果进行核实，还可以发动单位内的所有人员对管理机构的运作进行监督；
——对人员安全意识的检查可以通过问卷、座谈等方式进行，并建立定期考核制度；
——建立不定期的抽查制度，避免作弊行为或虚假的检查结果。


3）内容，包括：

——安全策略的检查：检查结构上的系统性、内容上的可理解性、技术上的可实现性、管理上的可执行性；
——技术措施的检查：根据有关的技术标准，结合实际情况，分析安全措施的保护能力及能够满足需求的程度，并进一步研究该项措施在当前环境和将来环境中的作用以及可行性；涉及多个技
术领域时，检查过程中需要聘请相关专业专家共同参与，并将检查结果形成详细准确的报告，再由小组进行论证评审，以确定该措施当前的有效性；涉及密码技术时，检查密码体制、密码产品和密钥管理体系的使用和管理是否符合国家有关部门的规定；
——管理措施的检查：主要是检查安全管理机构是否健全，管理职能和管理职责是否明确，有关的政策、法规、制度、规定是否完善，人员的安全意识如何，相关的安全教育和培训工作开展的怎样，效果如何。


B.2.10 生存周期管理

1）目的
对信息系统实施生存周期全程管理。
2）原则

——计划阶段：通过风险分析明确安全需求，确定安全目标，制定安全策略，拟定安全要求的性能指标；
——实施阶段：依据安全要求选择相应的安全措施，采购或设计安全系统，根据工程要求实施和部署，并对安全措施进行验证、验收；
——运行维护阶段：通过检查、检测、审计和对风险变更的监视和评估保证运行安全；
——生存周期结束阶段：对信息系统的信息进行安全处置。



参考文献
[1] GB/T 19715.1-2005 信息技术 信息技术安全管理指南 第1部分：信息技术安全概念和模型(ISO/IEC 13335-1:1996，IDT)
[2] GB/T 19715.2-2005 信息技术 信息技术安全管理指南 第2部分：管理和规划信息技术安全(ISO/IEC 13335-2:1997，IDT)
[3] GB/T 19716-2005 信息技术 信息安全管理实用规则(ISO/IEC 17799:2000，MOD)