1、ICS35.40L80中华人民共和国国家标准GB/T XXXXX20XX信息安全服务能力评估准则Assessment criteria for information security service capability点击此处添加与国际标准一致性程度的标识(本稿完成日期:)20XX - XX - XX发布20XX - XX - XX实施GB/T XXXXX20XX64目次前言IV引言I1范围12规范性引用文件13术语、定义和缩略语14概述44.1信息安全服务过程模型44.1.1组织战略54.1.2规划设计54.1.3实施交付54.1.4监视支持54.1.5检查改进64.2能力评定原则64.
2、2.1综合考虑原则64.2.2可裁剪原则64.2.3符合性原则64.2.4可操作性原则65信息安全服务过程65.1D01组织战略65.1.1D01PA01制定信息安全章程65.1.2D01PA02建立信息安全组织85.1.3D01PA03制定信息安全策略95.1.4D01PA04制定安全管理程序105.1.5D01PA05协调信息安全145.2D02规划与设计165.2.1D02PA01指定安全需求165.2.2D02PA02评估影响195.2.3D02PA03评估威胁215.2.4D02PA04评估脆弱性235.2.5D02PA05评估安全风险255.2.6D02PA06提供安全输入275.
3、2.7D02PA07识别资产305.3D03实施与交付315.3.1DO3PA01获取资源315.3.2D03PA02管理实施过程335.3.3D03PA03建立保证论据345.3.4D03PA04验证和证实安全365.3.5D03PA05确保交付385.4D04监视与支持395.4.1D04PA01定义服务水平395.4.2D04PA02监视安全态势405.4.3D04PA03管理服务台435.4.4D04PA04管理问题445.4.5D04PA05管理物理环境455.4.6D04PA06管理数据465.4.7D04PA07管理操作475.4.8D04PA08管理性能与容量495.4.9D0
4、4PA09管理配置495.4.10D04PA10确保业务连续性515.5D05检查与改进525.5.1D05PA01执行安全检查525.5.2D05PA02实施与跟踪改进535.5.3D05PA03实施培训536信息安全服务能力级别566.1能力级别1基本执行566.1.1摘要描述566.1.2公共特征列表566.2能力级别2计划跟踪576.2.1摘要描述576.2.2公共特征列表576.3能力级别3充分定义576.3.1摘要描述576.3.2公共特征列表576.4能力级别4量化控制586.4.1摘要描述586.4.2公共特征列表586.5能力级别5连续改进586.5.1摘要描述586.5.2
5、公共特征列表597信息安全服务能力评定59附录A(资料性附录)信息安全服务类型62参考文献64前言本部分按照GB/T 1.1-2009给出的规则起草,并考虑到国内环境与信息安全行业的实际情况,同时结合GB/T 20261-2006、ISO/IEC 20000-2011、COBIT 4.1、NIST SP800系列等国际或区域标准制定而成。本标准按照GB/T 1.1-2009给出的规则起草。请注意本标准的某些内容可能涉及到专利,本标准的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC 260)提出并归口。本标准主要起草单位:中国信息安全测评中心。本标准主要起草
6、人:张利、佟鑫、姚轶崭、班晓芳、王琰、刘作康、陆丽、任育波、吴慎夕等。引言本标准的目的是对提供信息安全服务的组织进行能力评估,为国家有关主管部门评估信息安全服务能力提供技术依据。本标准的评估对象是提供信息安全服务的组织,包括信息安全工程的设计、施工及其相关的咨询和培训组织。本标准分为以下几个章节:第章,介绍标准的范围,说明本标准的编制目的、目标读者和适用范围等内容。第2和3章,分别说明本标准的规范性引用文件、术语和定义。第4章,文档结构,信息安全服务过程模型和能力评定原则第5章,信息安全服务过程,将信息安全服务分为组织与战略、规划与设计、实施与交付、监视与支持、检查与改进5个过程域。第6章,信
7、息安全服务能力级别,将信息安全服务能力级分为基本执行级、计划跟踪级、充分定义级、量化控制级、连续改进级5个服务能力级别,并针对每个服务能力级定义相应的公共特征(CF)。附录A,资料性附录,介绍信息安全服务类型的种类和定义。信息安全服务能力评估准则1 范围本标准制定了信息安全服务行业对于服务提供能力的评估标准,并对标准内容和具体实践提供了明确的定义和指导意见。既可用于对信息安全服务提供商的能力进行评估,也可为服务提供商对于自身能力的改善提供指导。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有
8、的修改单)适用于本文件。GB/T 20984-2007 信息安全风险评估规范3 术语、定义和缩略语GB/T 5271.8确立的下列术语和定义适用于此标准。3.1过程域 Process area 一个过程域(PA)是一组相关系统工程过程的性质,当这些性质全部实施后则能够达到过程域定义的目的。3.2基本实践 Base pratices 一个过程域由基本实践(BP)组成。这些基本实践是系统工程过程中必须存在的性质,只有当所有这些性质完全实现后,才可说满足了这个过程域的要求。3.3能力等级(Ability level)流程领域内流程改善达到的程度,能力等级由流程领域内适当的特定及一般执行方法所定义。3
9、.4基准 (Benchmark)经正式审查及同意的一组规格或工作产品,据以用作未来发展的基础,而且仅能由变更管制程序变更。3.5能力成熟度模型(Capability maturity model)模型包含一个或多个专业领域的有效流程的基本元件。它也描述渐进的改善途径,从不成熟的流程到具有改善品质及有效性的有纪律的成熟模型。3.6纠正措施(Corrective measures)修复某种状态、除去错误或调整状态的行动或行为。3.7资料(Information)无论记录的形式和方法的记录资讯,包括技术资料、电脑软件、财务咨询、管理资讯、事实、任何能够沟通、存储与处理的数量或数据3.8信息安全服务(
10、Information security service) 面向组织或个人的各类信息安全保障需求,由服务提供方按照服务协议所执行的一个信息安全过程或任务。通常是基于信息安全技术、产品或管理体系的,通过外包的形式,由专业信息安全人员所提供的支持和帮助。3.9信息安全服务提供方(Information security service provider) 按照服务协议,通过专业的信息安全人员提供信息安全服务的各类组织机构。信息安全服务提供方在每项具体的服务中,其服务角色和服务职责应该是明确的。如果服务内容仅涉及供需双方的,则服务提供方为乙方角色;在上述服务的基础上,就所涉及的问题,独立于有关各方提
11、供评估、证明等服务并承担相关社会责任的,则服务提供方为第三方角色。服务角色与服务提供方的组织机构类型无关。3.10信息安全服务需求方 (Information security service demander)有偿采购(或免费使用)外部所提供的信息安全服务,以满足信息系统安全保障需求,实现自身业务目标的组织(或个人用户)。3.11信息安全服务能力(Information safety service ability)是指信息安全服务提供方能够满足需求方规定和潜在需求的特征和特性的程度。3.12信息安全服务能力级别(Information safety service level) 信息安全服
12、务能力级别是指提供信息安全服务的组织在完成工程、服务项目时,执行组织已定义过程的能力成熟程度。3.13变更管理(Managerment of change )谨慎使用各种方法,已达成产品或服务的变更或建议的变更。3.14项目(Project)项目是各种实施活动和资源的总和,这些实施活动和资源用于开发或维护一个特定的产品或提供一种服务。产品可能包括硬件、软件及其它部件。一个项目往往有自己的资金,成本帐目和交付时间表。为了生产产品或提供服务,一个项目可以组成自己专门的组织,或是由组织建立成一个项目组、特别工作组或其它实体。3.15过程(Process)一个过程是指为了一个给定目的而执行的一系列活动
13、。这些活动可以重复、递归和并发地执行。有的活动将输入工作产品转换为输出工作产品提供给其它活动。输入工作产品和资源的可用性以及管理控制制约着允许的活动执行顺序。一个充分定义的过程包括活动定义、每个活动的输入输出定义以及控制活动执行的机制。3.16过程能力(Process capability)过程能力是遵循一个过程可达到的可量化范围。一个组织的过程能力可帮助预见项目目标的能力。低能力级别组织的项目在达到预定的成本、进度、功能和质量目标上会有很大的变化。3.17过程管理(Process management)过程管理是一系列用于预见、评价和控制过程执行的活动和基础设施。过程管理意味着过程已定义好。
14、注重过程管理含义是项目或组织需在计划、执行、评价、监控和校正活动中既要考虑产品相关因素,也要考虑过程相关因素。3.18系统(System)在本标准中,系统是指事物或部件的汇集形成了一个复杂或单一整体(即一个用来完成一个特定或一组功能组件的集合)。一个系统可以是一个硬件产品、硬软件组合产品、软件产品或是一种服务。当说某个产品是一个系统时意味着必须以规范化和系统化的方式对待产品的所有组成元素及接口,以便满足商务实体开发产品的成本、进度及性能(包括安全)的整体目标。3.19安全工程(Safety engineering)安全工程是一个不断发展的领域,是一组与安全相关的工程过程的集合,它应满足一组安全
15、要求,并应用到系统和应用的开发、集成、操作、管理、维护和改进以及产品的开发、交付和升级中。安全工程能够在一个系统、一个产品或一个服务的安全考虑中得到体现。3.20服务水平协议(Services level agreement)一种由服务提供商与用户签署的法律文件,其中承诺只要用户向服务供应商支付相应费用,就应享受到服务供应商提供的相应服务质量。3.21安全工程生命期(Safety engineering life cycle)是指在一个项目或系统中,安全工程从启动到终止的完整过程。在整个安全工程生命期中执行的安全工程活动包括:a) 前期概念b) 概念开发和定义c) 证明与证实d) 工程实施、开
16、发和制造e) 生产和部署f) 运行和支持g) 终止3.22工作产品(Work products)工作产品是指在执行任何过程中产生出的所有文档、报告、文件、数据等。本标准按特定的基本实践列出其“典型的工作产品”,其目的在于对所需的基本实践范围可做进一步定义。列举的工作产品只是说明性的,目的在于反映组织机构和产品的范围。这些典型的工作产品不是“强制”的产品。3.23 缩略语PA过程域Process AreaBP基本实践Base PracticesGP通用实践Generic PracticesCF公共特征Common Function4 概述4.1 信息安全服务过程模型从组织信息安全治理角度,描述信
17、息安全服务过程模型如下:图1 信息安全服务过程模型组织战略是信息安全活动的基础,各信息安全活动涵盖在信息系统规划设计、实施交付、监视支持生命周期的各阶段,并通过有效的检查和改进机制,提升组织信息安全管理能力。4.1.1 组织战略组织战略作为信息安全服务过程模型的中心环节,是本模型的重要组成并处于主导地位。信息安全服务提供者通过对本标准的学习和认识,建立有效的、全面的安全制度和管理规定,全面覆盖规划设计、实施交付、监视支持、检查改进等各个环节,确保其符合本标准的相关要求。4.1.2 规划设计从客户战略出发,以客户需求为中心,参考组织管理与本标准中对信息安全的规定,对其进行全面系统的规划设计,并建
18、立业务战略、IT战略和安全服务之间清晰的匹配和连接关系。规划设计阶段需要根据业务战略、运营模式及业务流程的特点确定所需要的业务服务组件,为安全服务的部署实施做好准备,以确保为最终客户提供满足其需求的服务。4.1.3 实施交付在规划设计的基础上,依据本标准建立管理体系、部署专用工具及服务解决方案。实施完成后根据其结果,依据本标准要求,实现服务与业务的有机结合。重点包括业务运营和IT运营,主要采用过程方法,对基础设施、服务流程、人员和业务连续性进行全面管理。4.1.4 监视支持在交付过程中,应根据本标准要求,对业务运营和IT运营等交付措施过程进行记录。并确保交付记录的实时性、可追溯性、完整性以及可
19、用性。还应根据客户的需求采用外包、供应商等形式在可控的情况下完善信息安全服务的交付过程。4.1.5 检查改进检查与改进过程伴随着整个信息安全服务生命周期的始终。依据本标准中的规定,检查改进过程伴随着组织管理、规划设计、实施交付、监视支持的方方面面。通过对监视支持产生的记录进行详细的分析,并结合本标准的内容,对现有规章制度、规划设计、交付过程和支持手段进行改进和完善,且应采用可控制、可记录的手段来完成这一过程。4.2 能力评定原则4.2.1 综合考虑原则信息安全服务能力级别的划分必须对组织的综合能力进行考察,它主要与组织的技术实力、信息安全服务能力等级以及其他要求有关。4.2.2 可裁剪原则安全
20、服务有多种类型,对不同类型的安全服务可进行适当的裁剪,同时可灵活定义新的服务类型。4.2.3 符合性原则必须遵从国家有关主管部门颁布的相关法律、法规、规章、制度、与相关网络与信息安全标准相一致。4.2.4 可操作性原则应考虑国内安全服务商以及安全服务市场的实际情况,保证标准客观、实际、可操作性。5 信息安全服务过程5.1 D01组织战略5.1.1 D01PA01制定信息安全章程5.1.1.1 概述信息安全章程是信息安全管理的方针,制定信息安全章程,需要明确安全管理目标、宗旨,确定并定义安全管理范围,符合相关法律法规要求,并建立适用性声明。信息安全章程应定期评审其合理性和适用性。5.1.1.2
21、目标建立清晰的安全方针指导,并在整个组织中颁布实施,从而支持组织信息安全活动。5.1.1.3 过程域注解无。5.1.1.4 基本实践清单a) BP010101 明确安全管理目的、宗旨b) BP010102 定义安全边界和范围c) BP010103遵从法规、合约与安全要求d) BP010104 建立适用性声明e) BP010105管理层评审5.1.1.5 BP010101 明确安全管理目的、宗旨5.1.1.5.1 描述安全管理的宗旨、权力和职责应在章程中进行定义并获取认可。章程应:a) 确定安全管理活动在组织中的地位;b) 授权人员接触与开展工作相关的记录、人员和实物财产;c) 规定安全管理活动
22、的范围;d) 证据以书面形式存在并批准;e) 定期评价章程中所规定的宗旨、权力和职责是否足以使安全管理活动实现其目标。这种定期评价的结果必须通报高级管理层。5.1.1.5.2 工作产品a) 信息安全管理章程。5.1.1.6 BP010102 定义安全管理范围5.1.1.6.1 描述应根据组织目标与安全需求,结合业务特点、组织结构、位置、资产和技术,确定安全管理的边界与范围。5.1.1.6.2 工作产品a) 信息安全管理范围。5.1.1.7 BP010103遵从法规、合约与安全要求5.1.1.7.1 描述安全管理首先要求考虑区域法律、行业规章、机构规定、合同等方面的要求,并综合考虑系统的安全需求
23、。5.1.1.7.2 工作产品a) 信息安全符合性规范。5.1.1.8 BP010104 建立适用性声明5.1.1.8.1 描述应建立安全管理相关适用性声明。适用性声明应包括:(1)选择的过程域目标和措施,以及选择的理由;(2)当前实施的过程域目标和措施。5.1.1.8.2 工作产品a) 适用性声明。5.1.1.9 BP010105 管理层评审5.1.1.9.1 描述信息安全管理层机构应负责定期组织相关部门和相关人员对信息安全章程的合理性和适用性进行审定。对存在不足或需要改进的内容进行修订。5.1.1.9.2 工作产品a) 管理评审记录。5.1.2 D01PA02建立信息安全组织5.1.2.1
24、 概述信息安全组织机构是信息安全管理的基础,需要得到组织机构最高管理层的承诺和支持,建立完善的信息安全组织结构。建立相应的岗位、职责和职权,建立完善的内部和外部沟通协作组织和机制,同组织机构内部和外部信息安全保障的所有相关方进行充分沟通、学习、交流和合作等。进一步将信息安全融至组织机构的整个环境和文化中,使信息安全真正满足安全策略和风险管理的要求,实现保障组织机构资产和使命的最终目的。5.1.2.2 目标由安全组织执行安全管理程序,管理组织范围内的信息安全,并为组织业务目标提供合理保证。5.1.2.3 过程域注释无。5.1.2.4 基本实践清单a) BP010201信息安全管理支持; b) B
25、P010202岗位及人员设置;c) BP010203 定义工作描述、角色资质、技能要求、人员培训要求;d) BP010204 制定人员选择、变更和终止程序。5.1.2.5 BP010201信息安全管理支持5.1.2.5.1 描述组织高级管理层通过清晰的指导、明确信息安全职责的分配和反馈,提供对安全的主动支持。5.1.2.5.2 工作产品a) 信息安全愿景5.1.2.6 BP010202岗位及人员设置5.1.2.6.1 描述应成立指导和管理信息安全工作的委员会和领导小组,并设立信息安全管理工作的职能部门,应设立系统管理员、网络管理员、安全管理员等岗位,定义各个岗位的职责,并给出岗位要求。例如,采
26、用关键岗位配备多人共同管理,配备专职的安全管理员、不可兼任等机制。5.1.2.6.2 工作产品a) 信息安全岗位设置原则。5.1.2.7 BP010203定义工作描述、角色资质、技能要求、人员培训要求5.1.2.7.1 描述安全管理组织应考虑工作描述、角色资质、技能要求、人员培训要求等事项。5.1.2.7.2 工作产品a) 信息安全职责描述;b) 人员技能需求;c) 信息安全培训准则。5.1.2.8 BP010204制定人员选择、变更和终止程序5.1.2.8.1 描述安全管理负责人应在人员选择、变更和终止程序、保密协议等方面提供指导。5.1.2.8.2 工作产品a) 保密协议;b) 聘用流程;
27、c) 解雇流程。5.1.3 D01PA03制定信息安全策略5.1.3.1 概述制定安全策略目的在于通过考察业务目标与安全需求,考虑组织的策略、程序、制度、指南等多层次的管理流程与规范,保证业务目标的实现。5.1.3.2 目标通过完善的安全策略管理体系,提供管理指导,保证信息安全,促进业务目标与安全需求的有效实现。5.1.3.3 过程域注解无。5.1.3.4 基本实践清单a) BP010301制定安全策略;b) BP010302制定安全制度、规范与指南;c) BP010303策略与程序文件维护、评估与更新。5.1.3.5 BP010301制定安全策略5.1.3.5.1 描述管理层应制定一个明确的
28、安全策略方向,并通过在整个组织中发布和维护信息安全策略,表明自己对信息安全的支持和保护责任。策略文档应该由管理层批准,根据情况向所有员工公布传达。文档应说明管理人员承担的义务和责任,并制定组织的管理信息安全的步骤。5.1.3.5.2 工作产品a) 信息安全方针。5.1.3.6 BP010302制定安全制度、规范与指南5.1.3.6.1 描述依据组织的高层安全策略和系统安全策略,制定运营、操作管理程序框架,指导安全管理工作。安全管理程序框架包括强制性制度、技术规范、实施指南等程序文件。5.1.3.6.2 工作产品a) 信息安全策略;b) 信息安全规范;c) 信息安全指南。5.1.3.7 BP01
29、0303策略与程序文件维护、评估与更新5.1.3.7.1 描述应定期或在重大变更时对信息安全路线与实施(策略、控制目标、控制、过程、程序)进行独立审查、评估与更新。应确保在发生影响最初风险评估的基础的变化(如发生重大安全事故、出现新的漏洞以及组织或技术基础结构发生变更)时,对策略进行相应的审查。还应该进行以下预定的、阶段性的审查:a) 检查策略的有效性,通过所记录的安全事故的性质、数量以及影响反映出来;b) 控制措施的成本及其业务效率的影响;c) 技术变化带来的影响。5.1.3.7.2 工作产品a) 评审与修订方法。5.1.4 D01PA04制定安全管理程序5.1.4.1 概述为了落实信息安全
30、策略体系,维护系统的可用性与保护信息的机密性、完整性,组织需要建立和维护包括IT安全角色和责任、策略、标准和程序的安全管理程序,包括进行安全监控、定期测试,纠正明确的安全脆弱性与事故。5.1.4.2 目标落实信息安全策略,进行有效安全管理,通过最小化安全脆弱性和安全事件对业务影响,以保护IT资产。5.1.4.3 过程域注解无。5.1.4.4 基本实践清单a) BP010401管理IT安全;b) BP010402制定IT安全计划;c) BP010403身份管理;d) BP010404用户账户管理;e) BP010405安全性测试和监控;f) BP010407数据分类;g) BP010408访问权
31、限集中管理;h) BP010410事件处理;i) BP010412可信任的路径;j) BP010413安全功能的保护;k) BP010414密钥管理;l) BP010415恶意软件的预防、检测和纠正;m) BP010416网络安全;n) BP010417敏感数据交换。5.1.4.5 BP010401管理IT安全5.1.4.5.1 描述应确保最高的适当的组织机构来管理IT安全,并保证安全管理行为和业务需求一致性。5.1.4.5.2 工作产品a) 信息安全战略。5.1.4.6 BP010402制定IT安全计划5.1.4.6.1 描述将业务信息需求、IT配置、信息风险行动计划、信息安全文化转换为一个
32、整体的IT安全计划。通过将安全策略、程序以及在服务、人事、软件、硬件方面的投资,以使计划得以实施。5.1.4.6.2 工作产品a) 信息安全计划。5.1.4.7 BP010403身份管理5.1.4.7.1 描述应唯一标识所有用户及在IT系统中的行为,用户访问系统和数据的权限应符合已定义的、正式规定的业务需求和工作要求。用户的权限由用户的管理者申请,系统的所有者批准,安全责任人员实施。通过使用有效的技术和程序来用于建立用户身份、完成身份认证、实施访问权限。5.1.4.7.2 工作产品a) 身份管理规范。5.1.4.8 BP010404用户账户管理5.1.4.8.1 描述保证用户账户管理者处理用户
33、账户的申请、建立、发布、修改和关闭以及相关的用户特权。应建立一个描述数据和系统的所有者授予访问权限的批准程序,适用于管理员、内部用户、外部用户的正常、紧急情形。所有账户和相关权限应实施定期的管理评审。5.1.4.8.2 工作产品a) 账户管理规范。5.1.4.9 BP010405安全性测试、监控和报告5.1.4.9.1 描述应保证主动地测试和监控IT安全实施。IT安全性应定期检查,保证已批准的IT安全水平得到维护,日志和监控功能应能够发现需要说明的例外和异常行为。根据业务需求,确定日志信息的访问权限。对计算机资源责任信息的逻辑访问(安全和其它日志文件)应基于最小特权或者“需要才能知道”的原则来
34、准予IT安全管理员应确保侵犯和安全活动被记入日志,任何即将来临的安全侵犯的迹象要立即报告给所有相关内部、外部人员,并及时采取行动。报告、评价有规律地适时逐步升级,以便确认和解决有关未授权活动。5.1.4.9.2 工作产品a) 安全测试规范;b) 日志管理规范;c) 安全事件报告管理规范。5.1.4.10 BP010407数据分类5.1.4.10.1 描述应执行一个程序,确保所有的数据,按照数据分类的计划安排,由数据的所有者通过正式和明确的决策,根据敏感性进行分类。即使数据“不需要保护”,也需要一个正式决策以指明这样设计的理由。所有者应决定数据的布置与共享,也就是是否、何时进行程序和文件的维护、
35、存档或删除。所有者批准和数据布置的证据应被维护。政策应被定义,以基于变化的敏感性,支持信息的重新分类。分类方案应包括管理机构之间信息交换的规范,要注意安全以及对有关法律的遵从性。5.1.4.10.2 工作产品a) 数据分类规范。5.1.4.11 BP010408访问权限管理5.1.4.11.1 描述应设置一个控制,确保用户身份识别和访问权限以及系统的身份和数据的拥有权以唯一和中心管理的方式被建立和管理,以此来获得全局访问控制的一致性和有效性。机构的政策应确保在合适的地方执行控制,以提供操作的授权,并建立用户自己对系统声称的身份校验。这要求使用密码技术进行签名和校验操作。5.1.4.11.2 工
36、作产品a) 授权管理流程;b) 权限定义规范;c) 操作安全规范。5.1.4.12 BP010410事件处理5.1.4.12.1 描述应建立计算机安全事件处理规范,通过提供足够的专家意见和装备、迅速而安全的通讯设施的集中化平台,来处理安全事件。应建立事件管理的责任和程序,确保对安全事件适当、有效和及时的响应。5.1.4.12.2 工作产品a) 应急响应预案;b) 安全事件处置规范。5.1.4.13 BP010412可信任的路径5.1.4.13.1 描述机构政策应确保敏感交易数据只能通过可信任的路径来交换。敏感信息包括:安全管理信息、敏感交易数据、口令和密钥。为了实现这些,可信任的通道需要使用用
37、户之间、用户和系统之间、系统和系统之间的加密来建立。5.1.4.13.2 工作产品a) 敏感信息管理规范。5.1.4.14 BP010413安全功能的保护5.1.4.14.1 描述应防止所有涉及硬件和软件安全的损害,以维持它们的完整性,并要防止密钥的泄露。另外,机构应对他们的安全设计保持一种低调的形象,但是安全不能基于对设计的保密。5.1.4.14.2 工作产品a) 完整性保护规范。5.1.4.15 BP010414密钥管理5.1.4.15.1 描述管理层应定义并执行程序和协议,用于密钥的生成、更改、撤消、毁坏、分发、认证、存储、输入、使用和存档,确保密钥不被更改和未经授权的泄露。如果一个密钥
38、危及安全,管理层应确保这个信息,通过认证撤消列表或其它类似的机制,传播到所有利益相关方。5.1.4.15.2 工作产品a) 密钥管理规范。5.1.4.16 BP010415恶意软件的预防、检测和纠正5.1.4.16.1 描述应建立一个适当的预防、检测和纠正控制措施以及出现时的响应和报告的框架。业务和IT管理层应确保建立一个跨越全机构的程序,避免信息系统和技术遭受计算机病毒的侵害。程序应结合病毒预防、检测、发生时的响应和报告。5.1.4.16.2 工作产品a) 恶意代码管理规范。5.1.4.17 BP010416网络安全5.1.4.17.1 描述确保采用了安全技术和相关管理程序(如:防火墙、网络
39、分段、入侵检测)用于授权访问和控制进出网络的信息流。5.1.4.17.2 工作产品a) 网络管理规范。5.1.4.18 BP010417敏感数据交换5.1.4.18.1 描述为了提供内容的真实性、提交验证、接收验证和数据源地抗抵赖性,必须保证敏感数据仅通过可信路径或介质交换。5.1.4.18.2 工作产品a) 敏感数据保护规范。5.1.5 D01PA05协调信息安全5.1.5.1 概述协调安全的目的在于保证所有部门都有一种参与安全工程的意识。由于安全工程不能独立地取得成功,所以这种参与工作是至关重要的。这种协调性涉及到保持安全组织、其他工程组织和外部组织之间的开放交流。多种机制可以用于在这些部
40、门之间协调和沟通安全工程的决定和建议,包括备忘录、文档、电子邮件、会议和工作组。5.1.5.2 目标项目组的所有成员都要具有并参与安全工程工作的意识,才能充分发挥他们的作用。有关安全的决定和建议是相互沟通和协调一致的。5.1.5.3 过程域注解本过程域保证安全是整个工程项目的一个完整部分。安全工程师应该是所有主要设计队伍和工作组的一部分。在作出关键设计决定后的工程生命期早期就建立起安全工程与其他工程队伍间的联系是特别重要的。本过程域能够同等地用于开发和运行机构。5.1.5.4 基本实践清单a) BP010501 定义安全工作协调目标和相互关系;b) BP010502 识别出安全工程的机制;c)
41、 BP010503 促进安全工程的一致性;d) BP010504 用识别出的机制去协调有关安全的决定和建议。5.1.5.5 BP010501 定义协调目标5.1.5.5.1 描述许多其他的组织也需要有一种参与安全工程的意识。与这些组织共享信息的目标是通过检查项目结构、信息需求和项目要求来决定的。建立与其他组织之间的联系和义务关系,成功的联系可有许多形式,但必须被全体参与的部门所接受。5.1.5.5.2 工作产品a) 信息共享协议描述组织间共享信息的过程,标识参与部门、介质、格式、期望值和频率;b) 工作组的成员关系和日程表描述本组织的工作组,包括他们的隶属关系、成员的作用、目的、议程和后勤;c
42、) 组织标准描述各工作组之间及用户之间沟通安全相关信息的过程和程序。5.1.5.6 BP010502 识别协调机制5.1.5.6.1 描述有许多方法可以与其他组织共享安全工程的决定和建议。本活动识别在项目中协调安全的不同方法。在同样一个项目上有多个安全组是常见的。这些情况下,所有的工作组都应该为了一个共同的目标而工作,接口标识、安全机制选择、培训及开发工作都需要以某种方式进行,以保证每个安全组件放置在运行系统中时都能如愿工作。另外,安全工程的作用必须得到所有其他工程组和工程机构的理解,以便使安全能完好地集成到系统中去。顾客也必须认识有关安全的事情和工作,以便保证恰当地识别和提出要求。5.1.5
43、.6.2 工作产品a) 沟通计划包括用于工作组成员之间以及与其它团体之间需要共享的信息、会议日期、过程和程序;b) 通信基础设施的要求标识工作组成员之间以及与其它团体之间共享信息需要的基础设施和标准;c) 会议报告、报文、备忘录的模板描述各种文档的格式,保证标准化和有效的工作。5.1.5.7 BP010503 促进协调5.1.5.7.1 描述成功的关系依赖于完善的促进。在具有不同优先级的不同组织之间进行沟通有可能会发生一些冲突。本基本实践确保争端以合适的富有成果的方式得到解决。5.1.5.7.2 工作产品a) 冲突解决的程序识别出有效解决组织中实体之间和实体内部冲突的方法;b) 会议议程、目标
44、、行动条目描述会议中讨论的议题、强调需要阐述的目标和行动条目;c) 行动条目的跟踪识别工作和项目分解的计划,包括职责、时间表和优先级。5.1.5.8 BP010504 协调安全决定和建议5.1.5.8.1 描述本基本实践的目的在于在各种安全工程组织、其他工程组织、外部实体及其他合适的部门中沟通安全决定和建议。5.1.5.8.2 工作产品a) 决定通过会议报告、备忘录、工作组会议纪要、电子邮件、安全指南或公告牌将有关安全的决定告诉有关工作组;b) 建议通过会议报告、备忘录、工作组会议纪要、电子邮件、安全指南或公告牌将有关安全的建议通报给有关工作组。5.2 D02规划设计5.2.1 D02PA01
45、指定安全需求5.2.1.1 概述指定安全需求的目的在于,明确地为系统识别出与安全相关的需求。指定安全需求涉及定义系统安全的基本原则,以此满足有关安全的所有法律、策略、组织要求。这些需求按照系统的目标运行安全的前后联系、组织的当前安全和系统环境,以及一系列被识别的安全目标来进行裁剪。与安全相关的需求集合被定义为系统安全的基线。5.2.1.2 目标在所有部门,包括用户之间达成对安全需求的共同认识。5.2.1.3 过程域注解本过程域包括定义整个信息系统中所有安全方面(例如,物理的、功能的、程序的)的活动。本基本实践提出了安全需求如何被识别,并被提炼为与安全要求相关的、连贯的基线,以用于系统设计、开发、检验、运行和维护。在大多数的情况下,有必要考虑现有环境和与安全需求相关的因素。通过这一过程域所获得和产生的信息在整个项目中被收集、提炼、使用和更新(详见“提供安全输入”(D02PA06),以此提出顾客需求。5.2.1.4 基本实践清单a) BP020101 获得对顾客安全需求的理解;b) BP020102 识别
