GB/T 28453-2012
基本信息
标准号: GB/T 28453-2012
中文名称:信息安全技术 信息系统安全管理评估要求
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.rar .pdf
下载大小:20365KB
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB/T 28453-2012 信息安全技术 信息系统安全管理评估要求
GB/T28453-2012
标准压缩包解压密码:www.bzxz.net
标准图片预览
标准内容
ICS35.040
中华人民共和国国家标准
GB/T28453--2012
信息安全技术
信息系统安全管理评估要求
Information securitytechnology-Information system security management assessment requirements2012-06-29发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2012-10-01实施
规范性引用文件
术语和定义
评估原则和模式
管理评估的原则
管理评估的工作模式
5评估组织和活动
5.1评估组织
5.1.1评估实施团队
5.1.2评估管理机构
5.1.3被评估方相关人员
5.2评估目标范围和依据
评估目标
评估范围
评估依据
5.3评估活动内容
评估准备及启动
5.3.2确定信息系统资产及安全需求确定信息系统安全管理现状
确定信息系统安全管理评估结论5.3.5评估结束及后续安排
安全管理评估的方法、工具和实施6.1评估方法
6.1.1访谈调查
6.1.2符合性检查
6.1.3有效性验证
6.1.4技术检测.
6.2评估工具
6.2.1调查表
6.2.2访谈间卷
6.2.3检查表
6.3评估的实施
评估实施控制
评估结论判
GB/T28453—2012
GB/T28453-—2012
分等级管理评估
7.1规划立项管理评估要求
7.1.1本阶段评估范围
7.1.2第一级信息系统…
7.1.3第二级信息系统·
7.1.4第三级信息系统
7.1.5第四级信息系统
7.1.6第五级信息系统,
7.2设计实施管理评估要求
本阶段评估范围
第一级信息系统
第二级信息系统·
第三级信息系统
第四级信息系统
第五级信息系统
7.3运行维护管理评估要求
本阶段评估范围
第一级信息系统
7.3.3第二级信息系统
第三级信息系统
第四级信息系统
第五级信息系统·
7.4终止处置管理评估要求
本阶段评估范
第一级信息系统
第二级信息系统
第三级信息系统
第四级信息系统
7.4.6第五级信息系统
附录A(资料性附录)信息系统安全管理评估参照表参考文献
本标准按照GB/T1.1-2009给出的规则起草。GB/T28453-2012
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会SAC/TC260)提出并归口。本标准起草单位:北京江南天安科技有限公司。本标准主要起草人:陈冠直、吉增瑞、陈硕、景乾元、王志强。-iikacaQiaikAca
GB/T28453—2012
本标准依据国家有关信息安全等级保护的政策法规,提出了用于规范信息系统安全管理评估的要求。主要包括信息系统安全管理评估的原则和模式、组织和活动、方法工具和实施等要求,以及在信息系统生存周期各个阶段,针对第一级到第五级信息系统安全管理评估的要求。信息系统安全管理评估的主体包括信息系统的主管领导部门、信息安全监管机构、信息系统的管理者、第三方评估机构等,对应的评估可以是检查评估,自评估或第三方评估。本标准中对三种评估模式提出共同要求时统称评估。信息系统安全管理评估以信息安全管理体系为主线进行评估,必要时采集信息安全技术测评结果进行综合分析。信息系统安全管理评估可以是独立的评估,也可以与信息安全技术测评联合进行综合评估。信息系统安全管理评估贯穿于信息系统的整个生存周期,各阶段管理评估的原则和方法是一致的,各阶段安全管理的内容,对象,安全需求存在一定不同,使得安全管理评估的目的、要求等各方面也有所不同。信息系统安全管理评估针对信息安全保护各个等级的信息系统,安全管理评估的要求随着保护等级的提高而增强。本标准第4章阐述管理评估的原则和模式,第5章阐述管理评估的组织、评估目标范围和依据、管理活动的内容,第6章阐述管理评估方法、管理评估工具、管理评估实施,给出了各个安全保护等级的安全管理评估需要执行的共同要求和评估方法:第7章分等级评估,以GB/T20269-2006规定的信息系统安全管理要求为基本依据,从信息系统生存周期的规划立项阶段、设计实施阶段、运行维护阶段、终止处置阶段,对五个安全保护等级的安全管理评估要求分别进行描述。附录A中提供的信息系统安全管理评估参照表,描述了本标准中有关各等级信息系统安全管理评估要求的具体评估内容要点。本标准仍沿用GB/T20269一2006中的称谓,对于信息系统的所有者可包括国家机关、事业单位、厂矿企业、公司、集团等各种类型和不同规模的组织机构,统称为“组织机构”。V
1范围
信息安全技术
信息系统安全管理评估要求
GB/T28453--2012
本标准依据GB/T20269—2006规定的信息系统分等级安全管理要求,从信息系统生存周期的不同阶段,规定了对信息系统进行安全管理评估的原则和模式,组织和活动,方法和实施,提出了信息安全等级保护第一级到第五级的信息系统安全管理评估的要求。本标准适用于相关组织机构(部门)对信息系统实施安全等级保护所进行的安全管理评估与自评估,以及评估者和被评估者对评估的管理。2规范性引用文件
下列文件对于本文件的应用是必不可少的,凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB17859—1999计算机信息系统安全保护等级划分准则GB/T20269-2006信息安全技术:信息系统安全管理要求GB/T20282-2006
信息安全技术信息系统安全工程管理要求GB/T25070—2010信息安全技术信息系统等级保护安全设计技术要求3术语和定义
GB17859—1999.GB/T20269—2006中界定的以及下列术语和定义适用于本文件。3.1
security assessment
安全评估
依照国家有关法规与标准,对信息系统的安全保障程度进行评估的活动,包括安全技术评估和安全管理评估。本标准所述评估是指信息系统安全管理评估。3.2
自评估self-assessment
由信息系统所有者自身发起,组成组织机构内部的评估机构,依据国家有关法规与标准,对信息系统安全管理进行的评估活动。
检查评估inspectionassessment由被评估信息系统所有者的上级主管部门、业务主管部门或国家相关监管部门发起的,依据国家有关法规与标准,对信息系统安全管理进行的评估活动。3.4
第三方评估thirdpartyassessment由信息系统所有者委托商业评估机构或其他评估机构,依据国家有关法规与标准,对信息系统安全管理进行的评估活动。
HikacaQiaiKAca
GB/T28453-—2012
安全审计securityaudit
对信息系统的各种安全相关事件的行为,按规定进行信息收集,记录和分析,并采取相应动作的过程。
验证verification
通过客观证据,对事务是否达到规定要求进行认定的过程,包括真实性验证和有效性验证,客观证据是指支持事务的真实性、有效性的数据,可通过观察、测量、试验或其他手段获得。3.7
有效性effectiveness
完成策划的活动并得到相应结果的程度的表征。3.8
质量控制qualityassurance
质量管理的一部分,致力于满足质量要求。本标准中的质量控制是指对信息安全管理过程的各种行为质量的控制。
4评估原则和模式
4.1管理评估的原则Www.bzxZ.net
对信息系统安全管理的评估应坚持以下原则:a)科学性原则:按照科学的评估方法和过程,以严谨的科学态度,全面、准确、客观地开展评估工作,做出科学的评估结论;
公正性原则:评估机构是中立权贼的,自评估团队是相对独立的,检查评估机构是符合法规和b)
组织原则的,同时要防止被评估对象的影响,并排除外界因素的干扰,从而确保评估结果是客观公正的;
针对性原则:针对性地选用评估方法和评估工具:针对被评估信息系统安全管理的实际情况和特征,收集有关资料对系统进行全面地分析:针对主要管理环节及主要部位进行重点评估:d)实用性原则:系统分析和评价方法要适合被评估信息系统的实际情况,操作简单,结论明确成效显著。
4.2管理评估的工作模式
从评估主体的角度,信息系统安全管理评估可分为检查评估,自评估和第三方评估等工作模式,其适用范围包:
a)检查评估:
是指由被评估信息系统所有者的上级主管部门业务主管部门或国家相关监管部门发起的,依据国家有关法规与标准,对信息系统安全管理进行的评估活动:适用于上级主管机关,业务主管部门或国家相关监管部门,对其下属或监管范围内组织机构信息系统安全管理进行的检查性的评估活动;b)自评估:
一是指由信息系统所有者自身发起,组成组织机构内部的评估机构,依据国家有关法规与标准,对信息系统安全管理进行的评估活动:一适用于组织机构对自身所拥有、运营或使用的信息系统安全管理进行的评估活动:c)第三方评估:
GB/T28453—2012
一一是指由信息系统所有者委托商业评估机构或其他评估机构,依据国家有关法规与标准,对信息系统安全管理进行的评估活动一适用于组织机构委托商业评估机构或其他评估机构,对自身所拥有,运营或使用的信息系统安全管理进行的评估活动。
5评估组织和活动
5.1评估组织
5.1.1评估实施团队
检查评估实施团队
检查评估实施团队组成的要求如下:检查评估实施团队由信息系统上级管理部门或国家有关职能部门委派;a)
派出机构有关领导和相关部门负责人作为检查评估实施团队的领导:b)
派出机构相关部门的信息技术,信息安全以及相关业务有经验的技术和管理人员参加:必要时,检查评估实施团队可聘请相关专业的技术专家和技术骨干组成专家小组。d
5.1.1.2自评估实施团队
组织机构对自身所拥有、运营或使用的信息系统安全管理进行的评估,自评估实施团队组成的要求如下:
组织机构信息安全主管领导或信息安全领导小组应指派信息部门或业务部门负责人任自评估a)
实施团队负责人
b)自评估实施团队负责人根据参与评估的范围确定评估组成员的数量,为自评估团队选择成员,并报请主管领导批准:
自评估实施团队应由管理层、相关业务骨干,信息技术和信息安全人员、信息安全人员等组成,主要来自信息部门和业务部门·核心成员为35人:d)在评估过程中,自评估实施团队与被评估方应是相对独立地进行评估工作,被评估方不应干涉或干扰评估结论
e)必要时,可聘请相关专业的技术专家和技术骨干组成专家小组。5.1.1.3第三方评估实施团队
第三方评估实施团队组成的要求如下:)第三方评估实施团队由受委托的安全评估服务技术支持方委派;b)受委托的安全评估服务技术支持方相关部门或项目主管任评估实施团队负责人;第三方评估实施团队由熟悉信息技术,信息安全技术、信息安全管理,熟悉委托方业务,具有相关资质的人员组成;
对信息安全等级第三级及以上的信息系统进行评估的第三方评估实施团队,应符合国家职能d)
部门有关评估机构选择的规定,可参见附录A的A,4.3。5.1.2评估管理机构
应针对不同模式的信息安全管理评估组建评估管理机构:a)评估工作组:检查评估时、接受检查的组织机构应组建由主管领导和相关部门负责人参加的评估工作组,配合检查评估团队的工作:3
HiiKacaOhaiKAca
GB/T28453—2012
自评估工作领导小组:组织机构信息安全主管领导或信息安全领导小组主管自评估工作,应b
组建由主管领导和相关部门负责人参加的自评估工作领导小组,指导和监督自评估团队的工作:
评估工作领导小组:第三方评估时,应组建由评估方、被评估方领导及相关部门负责人参加的安全评估工作领导小组,指导和控制第三方评估团队的工作:安全评估工作领导小组中被评估方领导应负责监督或指派有关部门负责人监督第三方评估团队的工作。5.1.3被评估方相关人员
被评估方相关人员应包括:
高级管理层:组织机构的领导、信息化主管领导、信息安全主管领导等:a
执行管理层:信息部门负责人、信息安全部门负责人,业务部门负责人,人事部门负责人等;b
信息技术和信息安全相关人员,包括:一系统建设主管及系统设计、软件开发、系统集成人员:一运行维护主管及网络系统、操作系统、数据库系统、应用系统、硬件设备等系统管理及运维人员;
一一信息安全主管及安全管理、审计管理人员、文档介质管理人员:物理安全主管及资产管理、机房值守、机房维护人员:一外包服务方主管及外包方运行、维护人员:d):业务应用人员,包括业务部门主管、业务应用系统管理人员、业务应用系统开发人员和操作人员。
5.2评估目标范围和依据
5.2.1评估目标
5.2.1.1具体评估目标
信息系统安全管理评估的一般目标是,识别信息系统安全管理存在的信息安全风险,并确定其大小,为制定信息安全方针,选择适当的控制目标与控制方式提供决策依据。每一次评估的具体目标可能会存在一定差异,应明确每一次评估的具体目标,可以是:a)针对规划立项阶段的安全管理评估,主要从策略和制度管理、机构和人员管理、风险管理、监督和检查管理、规划和立项管理等方面,评价信息系统的系统分析和安全定级、信息系统安全需求分析、信息系统总体安全规划、信息系统安全项目立项等关键环节的安全管理状况;针对信息系统设计实施阶段的安全管理评估,主要从策略和制度管理、机构和人员管理、风险b)
管理、环境和资源管理、安全机制保障管理、业务连续性管理.监督和检查管理、建设过程管理等方面,评价信息系统的系统安全设计、系统采购控制、系统开发控制、管理措施制定、集成及配置管理、测试及验收管理等关键环节的安全管理状况:针对信息系统运行维护阶段的安全管理评估,主要从策略和制度管理、机构和人员管理、风险管理、环境和资源管理、日常运维管理、业务连续性管理、监督和检查管理等方面,评价信息系统的运行操作、系统维护、安全监控、业务连续性、变更控制、外包、安全检查、持续改进等关键环节的安全管理状况;
d):针对信息系统终止处置阶段的安全管理评估,主要从策略和制度管理、机构和人员管理、风险1)应用系统管理人员主要负责应用系统用户账户、权限管理,以及应用系统其他日常运行维护,与一般信息技术人员不间,应用系统管理人员应熟悉应用系统所支持的业务流程和业务管理。4
GB/T28453—2012
管理、环境和资源管理、监督和检查管理、终止处置过程管理等方面,评价信息系统的系统终止审批、信息转移及清除、设备迁移或废弃、存储介质清除或销毁等关键环节的安全管理状况、也可以是针对系统故障或安全事件的评估、针对组织机构变动或系统变更的评估,或定期进行的信息系统安全管理评估。
5.2.1.2具体评估目标的提出
不同评估工作模式的具体评估目标的提出,要求如下a)检查评估的具体评估目标,由被评估信息系统所有者的上级主管部门、业务主管部门或国家相关监管部门(评估发起部门)提出:b)
自评估的具体评估目标,由信息系统所属组织机构领导提出,可听取自评估实施团队的意见:)第三方评估的具体评估目标,由信息系统所属单位(委托方)领导提出,受委托的第三方评估机构的实施团队应充分理解委托方提出的评估目标,必要时可提出建议。5.2.2评估范围
信息系统安全管理评估的一般评估范围,可以是与全部业务处理相关的信息系统,也可以是某个特定业务处理的信息系统。针对某一次评估,应根据具体评估目标,确定评估的具体范围,并形成相关文档。不同评估工作模式的具体评估范围的确定,要求如下a)检查评估的具体评估范围,由被评估信息系统所有者的上级主管部门、业务主管部门或国家相关监管部门(评估发起单位)确定:自评估的具体评估范围,由信息系统所属组织机构的领导确定,可听取自评估实施团队的b)
意见,
第三方评估的具体评估范围,由信息系统所属组织机构(委托方)的领导确定,受委托的第三方C
评估机构的实施闭队应充分理解委托方确定的评估范围,确认具体评估范围能够满足评估目标的要求,如不能满足应及时提出并与被评估方协商解决。对于涉及国家秘密的信息和信息系统安全管理的评估,应按照国家有关保密管理、密码管理规定和相关测评标准执行。
5.2.3评估依据
信息系统安全管理评估以GB/T20269--2006的安全管理要求为主要依据,并参考业务应用对信息系统安全运行的需求,确定相关的判断依据,如a)行业主管部门对信息系统的业务和安全要求;b)信息系统互联单位的业务和安全要求:信息系统本身的实时性或性能要求。e)
5.3评估活动内容
5.3.1评估准备及启动
5.3.1.1评估准备
评估方应通过与被评估方评估管理机构沟通从以下方面开展评估准备工作:确定评估实施团队的成员及职责等;a)
b)对评估实施团队的成员进行培训:获得被评估方高级管理层对评估的支持:e
d)确定评估的系统范围和管理界限:HiKacaQiaiKAca
GB/T28453—2012
确定评估的具体判断依据(见5.2.3);协商选择被评估方的参与人员;g)
协调解决评估所需的后勤保障工作;协商确定评估工作计划和时间进度安排;i)取得以下阶段性成果及文档:被评估方高级管理层对评估工作支持的决议、批示或表态:评估实施团队成员名单,
对评估实施团队的成员进行信息安全评估方法的培谢;实施信息安全评估的工作范围;被评估方参与人员名单,包括涉及的高级管理层,执行管理层,信息技术和信息安全人员、业务应用人员等;
一评估的详细计划,包括工作内容,工作形式,工作成果等内容,以及实施的时间进度安排;参与人员应了解在评估工作中的岗位责任。5.3.1.2评估工作需获得的支持
通过评估准备应从以下方面获得对评估工作的支持:评估工作应得到被评估方最高管理者的批准同意:a)
评估实施团队应将评估的过程、存在的风险、花费的时间和人员的使用情况等告知被评估方主管评估的领导:
C)从以下方面得到被评估方主管评估的领导的明确支持:对评估工作持续支持的明确表示:明确激励员工参与的措施;
完成所有评估工作需要的职责和授权;承诺提供评估所需的资源;
一参加评估结果和改进建议的审核。5.3.1.3评估启动
在评估准备工作完成的基础上,召开评估启动会,向与会被评估方领导及所有参与者进行工作简介,并宣布评估工作启动。
5.3.2确定信息系统资产及安全需求5.3.2.1对高级管理层的访谈调查对高级管理层有关信息系统资产及安全需求的访谈调查,要求做到:确定高级管理层识别的信息系统基本情况,信息系统资产及其优先顺序,记录在资产调查表a)
(见6.2.1.1)
确定高级管理层认识到信息系统面临的威胁,对信息系统安全的关注范围,记录在关注范围调查表(见6.2.1.2);
确定高级管理层认为最关键资产及其管理的安全需求,记录在安全需求调查表(见6.2.1.3):c
应取得以下阶段性成果及文档:按优先级排列的高级管理层识别的资产;一高级管理层关注的范围;
一高级管理层认为最关键资产及其管理的安全需求;6
高级管理层的访谈记录。
5.3.2.2对执行管理层的访谈调查对执行管理层有关信息系统资产及安全需求的访谈调查,要求做到:GB/T28453—2012
)确定执行管理层识别的信息系统基本情况,信息系统资产及其优先顺序,记录在资产调查表;b)确定执行管理层认识到信息系统面临的威胁,对信息系统安全的关注范围,记录在关注范围调查表;
)确定执行管理层认为最关键资产及其管理的安全需求,记录在安全需求调查表:d)应取得以下阶段性成果及文档:按优先级排列的执行管理层识别的资产:执行管理层关注的范围:
一执行管理层认为最关键资产及其管理的安全需求;执行管理层的访谈记录。
5.3.2.3对信息技术和信息安全人员的访谈调查对信息技术和信息安全人员有关信息系统资产及安全需求的访谈调查,要求做到:a)
确定信息技术和信息安全人员识别的信息系统基本情况,信息系统资产及其优先顺序,记录在资产调查表;
b)确定信息技术和信息安全人员认识到信息系统面临的威胁,对信息系统安全的关注范围,记录在关注范围调查表:
确定信息技术和信息安全人员认为最关键资产及其管理的安全需求,记录在安全需求调查表;应取得以下阶段性成果及文档:d)
按优先级排列的信息技术和信息安全人员识别的资产:一信息技术和信息安全人员关注的范围:一信息技术和信息安全人员认为最关键资产及其管理的安全需求;一信息技术和信息安全人员的访谈记录。5.3.2.4对业务应用人员的访谈调查对业务应用人员有关信息系统资产及安全需求的访谈调查,要求做到:a)确定业务应用人员识别的信息系统基本情况,信息系统资产及其优先顺序,记录在资产调查表:
确定业务应用人员认识到信息系统面临的威胁,对信息系统安全的关注范围,记录在关注范围调查表:
确定业务应用人员认为最关键资产及其管理的安全需求,记录在安全需求调查表:d)应取得以下阶段性成果及文档:一按优先级排列的业务应用人员识别的资产:业务应用人员关注的范围:
业务应用人员认为最关键资产及其管理的安全需求;一业务应用人员的访谈记录。
5.3.2.5对信息系统资产及安全需求的确定对信息系统资产及安全需求的确定,要求做到:a汇总归纳访谈调查得到的信息系统的基本描述、资产调查表、关注范围调查表和安全需求调7
iKacaCiai KAca=
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T28453--2012
信息安全技术
信息系统安全管理评估要求
Information securitytechnology-Information system security management assessment requirements2012-06-29发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2012-10-01实施
规范性引用文件
术语和定义
评估原则和模式
管理评估的原则
管理评估的工作模式
5评估组织和活动
5.1评估组织
5.1.1评估实施团队
5.1.2评估管理机构
5.1.3被评估方相关人员
5.2评估目标范围和依据
评估目标
评估范围
评估依据
5.3评估活动内容
评估准备及启动
5.3.2确定信息系统资产及安全需求确定信息系统安全管理现状
确定信息系统安全管理评估结论5.3.5评估结束及后续安排
安全管理评估的方法、工具和实施6.1评估方法
6.1.1访谈调查
6.1.2符合性检查
6.1.3有效性验证
6.1.4技术检测.
6.2评估工具
6.2.1调查表
6.2.2访谈间卷
6.2.3检查表
6.3评估的实施
评估实施控制
评估结论判
GB/T28453—2012
GB/T28453-—2012
分等级管理评估
7.1规划立项管理评估要求
7.1.1本阶段评估范围
7.1.2第一级信息系统…
7.1.3第二级信息系统·
7.1.4第三级信息系统
7.1.5第四级信息系统
7.1.6第五级信息系统,
7.2设计实施管理评估要求
本阶段评估范围
第一级信息系统
第二级信息系统·
第三级信息系统
第四级信息系统
第五级信息系统
7.3运行维护管理评估要求
本阶段评估范围
第一级信息系统
7.3.3第二级信息系统
第三级信息系统
第四级信息系统
第五级信息系统·
7.4终止处置管理评估要求
本阶段评估范
第一级信息系统
第二级信息系统
第三级信息系统
第四级信息系统
7.4.6第五级信息系统
附录A(资料性附录)信息系统安全管理评估参照表参考文献
本标准按照GB/T1.1-2009给出的规则起草。GB/T28453-2012
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会SAC/TC260)提出并归口。本标准起草单位:北京江南天安科技有限公司。本标准主要起草人:陈冠直、吉增瑞、陈硕、景乾元、王志强。-iikacaQiaikAca
GB/T28453—2012
本标准依据国家有关信息安全等级保护的政策法规,提出了用于规范信息系统安全管理评估的要求。主要包括信息系统安全管理评估的原则和模式、组织和活动、方法工具和实施等要求,以及在信息系统生存周期各个阶段,针对第一级到第五级信息系统安全管理评估的要求。信息系统安全管理评估的主体包括信息系统的主管领导部门、信息安全监管机构、信息系统的管理者、第三方评估机构等,对应的评估可以是检查评估,自评估或第三方评估。本标准中对三种评估模式提出共同要求时统称评估。信息系统安全管理评估以信息安全管理体系为主线进行评估,必要时采集信息安全技术测评结果进行综合分析。信息系统安全管理评估可以是独立的评估,也可以与信息安全技术测评联合进行综合评估。信息系统安全管理评估贯穿于信息系统的整个生存周期,各阶段管理评估的原则和方法是一致的,各阶段安全管理的内容,对象,安全需求存在一定不同,使得安全管理评估的目的、要求等各方面也有所不同。信息系统安全管理评估针对信息安全保护各个等级的信息系统,安全管理评估的要求随着保护等级的提高而增强。本标准第4章阐述管理评估的原则和模式,第5章阐述管理评估的组织、评估目标范围和依据、管理活动的内容,第6章阐述管理评估方法、管理评估工具、管理评估实施,给出了各个安全保护等级的安全管理评估需要执行的共同要求和评估方法:第7章分等级评估,以GB/T20269-2006规定的信息系统安全管理要求为基本依据,从信息系统生存周期的规划立项阶段、设计实施阶段、运行维护阶段、终止处置阶段,对五个安全保护等级的安全管理评估要求分别进行描述。附录A中提供的信息系统安全管理评估参照表,描述了本标准中有关各等级信息系统安全管理评估要求的具体评估内容要点。本标准仍沿用GB/T20269一2006中的称谓,对于信息系统的所有者可包括国家机关、事业单位、厂矿企业、公司、集团等各种类型和不同规模的组织机构,统称为“组织机构”。V
1范围
信息安全技术
信息系统安全管理评估要求
GB/T28453--2012
本标准依据GB/T20269—2006规定的信息系统分等级安全管理要求,从信息系统生存周期的不同阶段,规定了对信息系统进行安全管理评估的原则和模式,组织和活动,方法和实施,提出了信息安全等级保护第一级到第五级的信息系统安全管理评估的要求。本标准适用于相关组织机构(部门)对信息系统实施安全等级保护所进行的安全管理评估与自评估,以及评估者和被评估者对评估的管理。2规范性引用文件
下列文件对于本文件的应用是必不可少的,凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB17859—1999计算机信息系统安全保护等级划分准则GB/T20269-2006信息安全技术:信息系统安全管理要求GB/T20282-2006
信息安全技术信息系统安全工程管理要求GB/T25070—2010信息安全技术信息系统等级保护安全设计技术要求3术语和定义
GB17859—1999.GB/T20269—2006中界定的以及下列术语和定义适用于本文件。3.1
security assessment
安全评估
依照国家有关法规与标准,对信息系统的安全保障程度进行评估的活动,包括安全技术评估和安全管理评估。本标准所述评估是指信息系统安全管理评估。3.2
自评估self-assessment
由信息系统所有者自身发起,组成组织机构内部的评估机构,依据国家有关法规与标准,对信息系统安全管理进行的评估活动。
检查评估inspectionassessment由被评估信息系统所有者的上级主管部门、业务主管部门或国家相关监管部门发起的,依据国家有关法规与标准,对信息系统安全管理进行的评估活动。3.4
第三方评估thirdpartyassessment由信息系统所有者委托商业评估机构或其他评估机构,依据国家有关法规与标准,对信息系统安全管理进行的评估活动。
HikacaQiaiKAca
GB/T28453-—2012
安全审计securityaudit
对信息系统的各种安全相关事件的行为,按规定进行信息收集,记录和分析,并采取相应动作的过程。
验证verification
通过客观证据,对事务是否达到规定要求进行认定的过程,包括真实性验证和有效性验证,客观证据是指支持事务的真实性、有效性的数据,可通过观察、测量、试验或其他手段获得。3.7
有效性effectiveness
完成策划的活动并得到相应结果的程度的表征。3.8
质量控制qualityassurance
质量管理的一部分,致力于满足质量要求。本标准中的质量控制是指对信息安全管理过程的各种行为质量的控制。
4评估原则和模式
4.1管理评估的原则Www.bzxZ.net
对信息系统安全管理的评估应坚持以下原则:a)科学性原则:按照科学的评估方法和过程,以严谨的科学态度,全面、准确、客观地开展评估工作,做出科学的评估结论;
公正性原则:评估机构是中立权贼的,自评估团队是相对独立的,检查评估机构是符合法规和b)
组织原则的,同时要防止被评估对象的影响,并排除外界因素的干扰,从而确保评估结果是客观公正的;
针对性原则:针对性地选用评估方法和评估工具:针对被评估信息系统安全管理的实际情况和特征,收集有关资料对系统进行全面地分析:针对主要管理环节及主要部位进行重点评估:d)实用性原则:系统分析和评价方法要适合被评估信息系统的实际情况,操作简单,结论明确成效显著。
4.2管理评估的工作模式
从评估主体的角度,信息系统安全管理评估可分为检查评估,自评估和第三方评估等工作模式,其适用范围包:
a)检查评估:
是指由被评估信息系统所有者的上级主管部门业务主管部门或国家相关监管部门发起的,依据国家有关法规与标准,对信息系统安全管理进行的评估活动:适用于上级主管机关,业务主管部门或国家相关监管部门,对其下属或监管范围内组织机构信息系统安全管理进行的检查性的评估活动;b)自评估:
一是指由信息系统所有者自身发起,组成组织机构内部的评估机构,依据国家有关法规与标准,对信息系统安全管理进行的评估活动:一适用于组织机构对自身所拥有、运营或使用的信息系统安全管理进行的评估活动:c)第三方评估:
GB/T28453—2012
一一是指由信息系统所有者委托商业评估机构或其他评估机构,依据国家有关法规与标准,对信息系统安全管理进行的评估活动一适用于组织机构委托商业评估机构或其他评估机构,对自身所拥有,运营或使用的信息系统安全管理进行的评估活动。
5评估组织和活动
5.1评估组织
5.1.1评估实施团队
检查评估实施团队
检查评估实施团队组成的要求如下:检查评估实施团队由信息系统上级管理部门或国家有关职能部门委派;a)
派出机构有关领导和相关部门负责人作为检查评估实施团队的领导:b)
派出机构相关部门的信息技术,信息安全以及相关业务有经验的技术和管理人员参加:必要时,检查评估实施团队可聘请相关专业的技术专家和技术骨干组成专家小组。d
5.1.1.2自评估实施团队
组织机构对自身所拥有、运营或使用的信息系统安全管理进行的评估,自评估实施团队组成的要求如下:
组织机构信息安全主管领导或信息安全领导小组应指派信息部门或业务部门负责人任自评估a)
实施团队负责人
b)自评估实施团队负责人根据参与评估的范围确定评估组成员的数量,为自评估团队选择成员,并报请主管领导批准:
自评估实施团队应由管理层、相关业务骨干,信息技术和信息安全人员、信息安全人员等组成,主要来自信息部门和业务部门·核心成员为35人:d)在评估过程中,自评估实施团队与被评估方应是相对独立地进行评估工作,被评估方不应干涉或干扰评估结论
e)必要时,可聘请相关专业的技术专家和技术骨干组成专家小组。5.1.1.3第三方评估实施团队
第三方评估实施团队组成的要求如下:)第三方评估实施团队由受委托的安全评估服务技术支持方委派;b)受委托的安全评估服务技术支持方相关部门或项目主管任评估实施团队负责人;第三方评估实施团队由熟悉信息技术,信息安全技术、信息安全管理,熟悉委托方业务,具有相关资质的人员组成;
对信息安全等级第三级及以上的信息系统进行评估的第三方评估实施团队,应符合国家职能d)
部门有关评估机构选择的规定,可参见附录A的A,4.3。5.1.2评估管理机构
应针对不同模式的信息安全管理评估组建评估管理机构:a)评估工作组:检查评估时、接受检查的组织机构应组建由主管领导和相关部门负责人参加的评估工作组,配合检查评估团队的工作:3
HiiKacaOhaiKAca
GB/T28453—2012
自评估工作领导小组:组织机构信息安全主管领导或信息安全领导小组主管自评估工作,应b
组建由主管领导和相关部门负责人参加的自评估工作领导小组,指导和监督自评估团队的工作:
评估工作领导小组:第三方评估时,应组建由评估方、被评估方领导及相关部门负责人参加的安全评估工作领导小组,指导和控制第三方评估团队的工作:安全评估工作领导小组中被评估方领导应负责监督或指派有关部门负责人监督第三方评估团队的工作。5.1.3被评估方相关人员
被评估方相关人员应包括:
高级管理层:组织机构的领导、信息化主管领导、信息安全主管领导等:a
执行管理层:信息部门负责人、信息安全部门负责人,业务部门负责人,人事部门负责人等;b
信息技术和信息安全相关人员,包括:一系统建设主管及系统设计、软件开发、系统集成人员:一运行维护主管及网络系统、操作系统、数据库系统、应用系统、硬件设备等系统管理及运维人员;
一一信息安全主管及安全管理、审计管理人员、文档介质管理人员:物理安全主管及资产管理、机房值守、机房维护人员:一外包服务方主管及外包方运行、维护人员:d):业务应用人员,包括业务部门主管、业务应用系统管理人员、业务应用系统开发人员和操作人员。
5.2评估目标范围和依据
5.2.1评估目标
5.2.1.1具体评估目标
信息系统安全管理评估的一般目标是,识别信息系统安全管理存在的信息安全风险,并确定其大小,为制定信息安全方针,选择适当的控制目标与控制方式提供决策依据。每一次评估的具体目标可能会存在一定差异,应明确每一次评估的具体目标,可以是:a)针对规划立项阶段的安全管理评估,主要从策略和制度管理、机构和人员管理、风险管理、监督和检查管理、规划和立项管理等方面,评价信息系统的系统分析和安全定级、信息系统安全需求分析、信息系统总体安全规划、信息系统安全项目立项等关键环节的安全管理状况;针对信息系统设计实施阶段的安全管理评估,主要从策略和制度管理、机构和人员管理、风险b)
管理、环境和资源管理、安全机制保障管理、业务连续性管理.监督和检查管理、建设过程管理等方面,评价信息系统的系统安全设计、系统采购控制、系统开发控制、管理措施制定、集成及配置管理、测试及验收管理等关键环节的安全管理状况:针对信息系统运行维护阶段的安全管理评估,主要从策略和制度管理、机构和人员管理、风险管理、环境和资源管理、日常运维管理、业务连续性管理、监督和检查管理等方面,评价信息系统的运行操作、系统维护、安全监控、业务连续性、变更控制、外包、安全检查、持续改进等关键环节的安全管理状况;
d):针对信息系统终止处置阶段的安全管理评估,主要从策略和制度管理、机构和人员管理、风险1)应用系统管理人员主要负责应用系统用户账户、权限管理,以及应用系统其他日常运行维护,与一般信息技术人员不间,应用系统管理人员应熟悉应用系统所支持的业务流程和业务管理。4
GB/T28453—2012
管理、环境和资源管理、监督和检查管理、终止处置过程管理等方面,评价信息系统的系统终止审批、信息转移及清除、设备迁移或废弃、存储介质清除或销毁等关键环节的安全管理状况、也可以是针对系统故障或安全事件的评估、针对组织机构变动或系统变更的评估,或定期进行的信息系统安全管理评估。
5.2.1.2具体评估目标的提出
不同评估工作模式的具体评估目标的提出,要求如下a)检查评估的具体评估目标,由被评估信息系统所有者的上级主管部门、业务主管部门或国家相关监管部门(评估发起部门)提出:b)
自评估的具体评估目标,由信息系统所属组织机构领导提出,可听取自评估实施团队的意见:)第三方评估的具体评估目标,由信息系统所属单位(委托方)领导提出,受委托的第三方评估机构的实施团队应充分理解委托方提出的评估目标,必要时可提出建议。5.2.2评估范围
信息系统安全管理评估的一般评估范围,可以是与全部业务处理相关的信息系统,也可以是某个特定业务处理的信息系统。针对某一次评估,应根据具体评估目标,确定评估的具体范围,并形成相关文档。不同评估工作模式的具体评估范围的确定,要求如下a)检查评估的具体评估范围,由被评估信息系统所有者的上级主管部门、业务主管部门或国家相关监管部门(评估发起单位)确定:自评估的具体评估范围,由信息系统所属组织机构的领导确定,可听取自评估实施团队的b)
意见,
第三方评估的具体评估范围,由信息系统所属组织机构(委托方)的领导确定,受委托的第三方C
评估机构的实施闭队应充分理解委托方确定的评估范围,确认具体评估范围能够满足评估目标的要求,如不能满足应及时提出并与被评估方协商解决。对于涉及国家秘密的信息和信息系统安全管理的评估,应按照国家有关保密管理、密码管理规定和相关测评标准执行。
5.2.3评估依据
信息系统安全管理评估以GB/T20269--2006的安全管理要求为主要依据,并参考业务应用对信息系统安全运行的需求,确定相关的判断依据,如a)行业主管部门对信息系统的业务和安全要求;b)信息系统互联单位的业务和安全要求:信息系统本身的实时性或性能要求。e)
5.3评估活动内容
5.3.1评估准备及启动
5.3.1.1评估准备
评估方应通过与被评估方评估管理机构沟通从以下方面开展评估准备工作:确定评估实施团队的成员及职责等;a)
b)对评估实施团队的成员进行培训:获得被评估方高级管理层对评估的支持:e
d)确定评估的系统范围和管理界限:HiKacaQiaiKAca
GB/T28453—2012
确定评估的具体判断依据(见5.2.3);协商选择被评估方的参与人员;g)
协调解决评估所需的后勤保障工作;协商确定评估工作计划和时间进度安排;i)取得以下阶段性成果及文档:被评估方高级管理层对评估工作支持的决议、批示或表态:评估实施团队成员名单,
对评估实施团队的成员进行信息安全评估方法的培谢;实施信息安全评估的工作范围;被评估方参与人员名单,包括涉及的高级管理层,执行管理层,信息技术和信息安全人员、业务应用人员等;
一评估的详细计划,包括工作内容,工作形式,工作成果等内容,以及实施的时间进度安排;参与人员应了解在评估工作中的岗位责任。5.3.1.2评估工作需获得的支持
通过评估准备应从以下方面获得对评估工作的支持:评估工作应得到被评估方最高管理者的批准同意:a)
评估实施团队应将评估的过程、存在的风险、花费的时间和人员的使用情况等告知被评估方主管评估的领导:
C)从以下方面得到被评估方主管评估的领导的明确支持:对评估工作持续支持的明确表示:明确激励员工参与的措施;
完成所有评估工作需要的职责和授权;承诺提供评估所需的资源;
一参加评估结果和改进建议的审核。5.3.1.3评估启动
在评估准备工作完成的基础上,召开评估启动会,向与会被评估方领导及所有参与者进行工作简介,并宣布评估工作启动。
5.3.2确定信息系统资产及安全需求5.3.2.1对高级管理层的访谈调查对高级管理层有关信息系统资产及安全需求的访谈调查,要求做到:确定高级管理层识别的信息系统基本情况,信息系统资产及其优先顺序,记录在资产调查表a)
(见6.2.1.1)
确定高级管理层认识到信息系统面临的威胁,对信息系统安全的关注范围,记录在关注范围调查表(见6.2.1.2);
确定高级管理层认为最关键资产及其管理的安全需求,记录在安全需求调查表(见6.2.1.3):c
应取得以下阶段性成果及文档:按优先级排列的高级管理层识别的资产;一高级管理层关注的范围;
一高级管理层认为最关键资产及其管理的安全需求;6
高级管理层的访谈记录。
5.3.2.2对执行管理层的访谈调查对执行管理层有关信息系统资产及安全需求的访谈调查,要求做到:GB/T28453—2012
)确定执行管理层识别的信息系统基本情况,信息系统资产及其优先顺序,记录在资产调查表;b)确定执行管理层认识到信息系统面临的威胁,对信息系统安全的关注范围,记录在关注范围调查表;
)确定执行管理层认为最关键资产及其管理的安全需求,记录在安全需求调查表:d)应取得以下阶段性成果及文档:按优先级排列的执行管理层识别的资产:执行管理层关注的范围:
一执行管理层认为最关键资产及其管理的安全需求;执行管理层的访谈记录。
5.3.2.3对信息技术和信息安全人员的访谈调查对信息技术和信息安全人员有关信息系统资产及安全需求的访谈调查,要求做到:a)
确定信息技术和信息安全人员识别的信息系统基本情况,信息系统资产及其优先顺序,记录在资产调查表;
b)确定信息技术和信息安全人员认识到信息系统面临的威胁,对信息系统安全的关注范围,记录在关注范围调查表:
确定信息技术和信息安全人员认为最关键资产及其管理的安全需求,记录在安全需求调查表;应取得以下阶段性成果及文档:d)
按优先级排列的信息技术和信息安全人员识别的资产:一信息技术和信息安全人员关注的范围:一信息技术和信息安全人员认为最关键资产及其管理的安全需求;一信息技术和信息安全人员的访谈记录。5.3.2.4对业务应用人员的访谈调查对业务应用人员有关信息系统资产及安全需求的访谈调查,要求做到:a)确定业务应用人员识别的信息系统基本情况,信息系统资产及其优先顺序,记录在资产调查表:
确定业务应用人员认识到信息系统面临的威胁,对信息系统安全的关注范围,记录在关注范围调查表:
确定业务应用人员认为最关键资产及其管理的安全需求,记录在安全需求调查表:d)应取得以下阶段性成果及文档:一按优先级排列的业务应用人员识别的资产:业务应用人员关注的范围:
业务应用人员认为最关键资产及其管理的安全需求;一业务应用人员的访谈记录。
5.3.2.5对信息系统资产及安全需求的确定对信息系统资产及安全需求的确定,要求做到:a汇总归纳访谈调查得到的信息系统的基本描述、资产调查表、关注范围调查表和安全需求调7
iKacaCiai KAca=
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。