標準解讀

《GA/T 713-2007 信息安全技術 信息系統(tǒng)安全管理測評》是中國公安部發(fā)布的一項行業(yè)標準,旨在為信息系統(tǒng)的安全管理提供一個統(tǒng)一的測評框架和方法論。該標準詳細規(guī)定了如何對信息系統(tǒng)的安全管理進行科學、系統(tǒng)地評估,以確保信息資產(chǎn)的安全性、完整性和可用性。下面是該標準主要內(nèi)容的剖析:

目標與范圍

標準明確了其主要目標是為組織機構(gòu)的信息系統(tǒng)安全管理提供評估準則,幫助識別安全控制措施的有效性及潛在的安全漏洞。它適用于各類組織的信息系統(tǒng),包括政府、企業(yè)、教育機構(gòu)等,用以指導信息安全管理體系的建設和改進工作。

測評原則

  • 系統(tǒng)性:測評應覆蓋信息系統(tǒng)的全生命周期,從規(guī)劃、設計到運行維護的每一個階段。
  • 客觀性:測評過程應基于事實和數(shù)據(jù),避免主觀臆斷。
  • 規(guī)范性:依據(jù)國家法律法規(guī)、行業(yè)標準及組織內(nèi)部政策進行測評。
  • 動態(tài)性:考慮到信息安全威脅的不斷演變,測評需定期進行,適應新威脅和風險。

測評內(nèi)容

標準將測評內(nèi)容分為多個維度,主要包括:

  1. 安全策略與組織管理:檢查組織是否建立了完善的信息安全策略、管理制度及組織結(jié)構(gòu),確保有明確的責任分配和高效的管理機制。
  2. 資產(chǎn)管理:評估組織對信息資產(chǎn)的識別、分類、保護措施是否到位。
  3. 人員安全管理:考察員工安全意識培訓、訪問權限管理及離職人員處理流程等。
  4. 物理與環(huán)境安全:檢驗物理設施的安全防護措施,如機房安全、防火防災等。
  5. 通信與操作管理:審查網(wǎng)絡通信安全、操作系統(tǒng)及應用軟件的安全管理措施。
  6. 訪問控制:評估對信息資源訪問的控制機制,包括身份認證、授權管理等。
  7. 信息系統(tǒng)開發(fā)與維護:涉及軟件開發(fā)生命周期中的安全管理,確保代碼質(zhì)量和安全性。
  8. 信息安全事故管理:檢查應急預案、事件響應及恢復機制的有效性。
  9. 業(yè)務連續(xù)性管理:確保在面對災害或重大事故時,關鍵業(yè)務能持續(xù)運作。
  10. 合規(guī)性與法律遵從:確認組織遵循的相關法律法規(guī)及行業(yè)標準要求。

測評方法

標準提倡采用文檔審核、現(xiàn)場觀察、訪談、技術檢測等多種方法相結(jié)合的方式,以全面準確地評估信息安全管理水平。

結(jié)果處理

測評結(jié)束后,應形成詳細的測評報告,明確指出發(fā)現(xiàn)的問題、風險等級及改進建議,為組織提供改進方向。同時,鼓勵建立持續(xù)改進機制,根據(jù)測評結(jié)果調(diào)整和優(yōu)化安全管理措施。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權發(fā)布的權威標準文檔。

....

查看全部

  • 廢止
  • 已被廢除、停止使用,并不再更新
  • 2007-08-13 頒布
  • 2007-10-01 實施
?正版授權
GA/T 713-2007信息安全技術信息系統(tǒng)安全管理測評_第1頁
GA/T 713-2007信息安全技術信息系統(tǒng)安全管理測評_第2頁
GA/T 713-2007信息安全技術信息系統(tǒng)安全管理測評_第3頁
GA/T 713-2007信息安全技術信息系統(tǒng)安全管理測評_第4頁
GA/T 713-2007信息安全技術信息系統(tǒng)安全管理測評_第5頁
已閱讀5頁,還剩27頁未讀 繼續(xù)免費閱讀

下載本文檔

GA/T 713-2007信息安全技術信息系統(tǒng)安全管理測評-免費下載試讀頁

文檔簡介

犐犆犛35.020

犔09

中華人民共和國公共安全行業(yè)標準

犌犃/犜713—2007

信息安全技術

信息系統(tǒng)安全管理測評

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—

犐狀犳狅狉犿犪狋犻狅狀狊狔狊狋犲犿狊犲犮狌狉犻狋狔犿犪狀犪犵犲犿犲狀狋狋犲狊狋犻狀犵犪狀犱犲狏犪犾狌犪狋犻狅狀

20070813發(fā)布20071001實施

中華人民共和國公安部發(fā)布

中華人民共和國公共安全

行業(yè)標準

信息安全技術

信息系統(tǒng)安全管理測評

GA/T713—2007

中國標準出版社出版發(fā)行

北京復興門外三里河北街16號

郵政編碼:100045

網(wǎng)址www.spc.net.cn

電話:6852394668517548

中國標準出版社秦皇島印刷廠印刷

各地新華書店經(jīng)銷

開本880×12301/16印張2字數(shù)52千字

2007年11月第一版2007年11月第一次印刷

書號:155066·218283

如有印裝差錯由本社發(fā)行中心調(diào)換

版權專有侵權必究

舉報電話:(010)68533533

犌犃/犜713—2007

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅴ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅵ

1范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2規(guī)范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3術語和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4管理評估的基本原則!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

5評估方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.1調(diào)查性訪談!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.1.1調(diào)查性訪談主要對象!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.1.2調(diào)查性訪談準備!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.1.3調(diào)查性訪談階段劃分!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.1.4調(diào)查性訪談質(zhì)量控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

5.2符合性檢查!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

5.2.1符合性檢查主要對象!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

5.2.2符合性檢查方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

5.2.3符合性檢查質(zhì)量控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5.3有效性驗證!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5.3.1有效性驗證主要對象!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5.3.2有效性驗證方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5.3.3有效性驗證質(zhì)量控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.4監(jiān)測驗證!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.4.1監(jiān)測驗證的主要依據(jù)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.4.2監(jiān)測驗證方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.4.3監(jiān)測驗證質(zhì)量控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

6評估實施!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

6.1確定評估目標!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

6.2控制評估過程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

6.3處理評估結(jié)果!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

6.4建立保障證據(jù)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

7分等級評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

7.1第一級:用戶自主保護級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

7.1.1管理目標和范圍評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

7.1.2策略和制度評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

7.1.3機構(gòu)和人員管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

7.1.4風險管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

7.1.5環(huán)境和資源管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

7.1.6運行和維護管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

7.1.7業(yè)務連續(xù)性管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

犌犃/犜713—2007

7.1.8監(jiān)督和檢查管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

7.1.9生存周期管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

7.1.10實施原則及方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

7.2第二級:系統(tǒng)審計保護級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

7.2.1管理目標和范圍評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

7.2.2策略和制度評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

7.2.3機構(gòu)和人員管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

7.2.4風險管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

7.2.5環(huán)境和資源管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

7.2.6運行和維護管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

7.2.7業(yè)務連續(xù)性管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

7.2.8監(jiān)督和檢查管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

7.2.9生存周期管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

7.2.10實施原則及方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

7.3第三級:安全標記保護級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

7.3.1管理目標和范圍評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

7.3.2策略和制度評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

7.3.3機構(gòu)和人員管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

7.3.4風險管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

7.3.5環(huán)境和資源管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

7.3.6運行和維護管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

7.3.7業(yè)務連續(xù)性管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

7.3.8監(jiān)督和檢查管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

7.3.9生存周期管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

7.3.10實施原則及方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

7.4第四級:結(jié)構(gòu)化保護級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

7.4.1管理目標和范圍評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

7.4.2策略和制度評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

7.4.3機構(gòu)和人員管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

7.4.4風險管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

7.4.5環(huán)境和資源管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

7.4.6運行和維護管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

7.4.7業(yè)務連續(xù)性管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

7.4.8監(jiān)督和檢查管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

7.4.9生存周期管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

7.4.10實施原則及方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

7.5第五級:訪問驗證保護級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

7.5.1管理目標和范圍評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

7.5.2策略和制度評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

7.5.3機構(gòu)和人員管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

7.5.4風險管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

7.5.5環(huán)境和資源管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

7.5.6運行和維護管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

犌犃/犜713—2007

7.5.7業(yè)務連續(xù)性管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!19

7.5.8監(jiān)督和檢查管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!19

7.5.9生存周期管理評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!19

7.5.10實施原則及方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!19

附錄A(資料性附錄)安全管理評估內(nèi)容!!!!!!!!!!!!!!!!!!!!!!!!20

參考文獻!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

犌犃/犜713—2007

前言

本標準的附錄A為資料性附錄。

本標準由公安部信息系統(tǒng)安全標準化技術委員會提出并歸口。

本標準起草單位:北京江南天安科技有限公司,北京思源新創(chuàng)信息安全資訊有限公司。

本標準主要起草人:陳冠直、王志強、吉增瑞、景乾元、宋建平。

犌犃/犜713—2007

引言

本標準用于在實施信息系統(tǒng)安全等級保護時,根據(jù)GB/T20269—2006《信息安全技術信息系統(tǒng)

安全管理要求》對安全管理體系各等級安全管理要求的落實情況進行評估,規(guī)定了評估的主要內(nèi)容和原

則,明確了評估過程和方法。對于涉及國家秘密的信息和信息系統(tǒng)的保密管理,應按照國家有關保密管

理規(guī)定和相關測評標準執(zhí)行。

信息系統(tǒng)安全管理評估的主體包括信息系統(tǒng)的主管領導部門、信息安全監(jiān)管機構(gòu)、第三方評估機

構(gòu)、信息系統(tǒng)的管理者等,對應的評估可以是檢查評估、第三方評估或自評估,本標準中統(tǒng)稱評估。

本標準第4章(管理評估

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經(jīng)授權,嚴禁復制、發(fā)行、匯編、翻譯或網(wǎng)絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。驍?shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論