中华人民共和国国家标准
GB/T 20274.3-2008
Information security technology-Evaluation framework for information systems security assurance-Part 3:Management assurance
中国国家标准化管理委员会 中华人民共和国国家质量监督检验检疫总局 发布
目 次
1范围 前言2规范性引用文件3术语和定义4本部分的结构.5信息安全管理保障框架5.1信息管理保障概述 5.2信息安全管理保障控制5.3信息安全保障管理能力级6信息安全管理保障控制类结构6.1概述6.2管理保障控制类结构 6.3 管理保障控制子类结构6.4 管理保障控制组件结构6.5允许的操作7MRM管理保障控制类:风险管理 7.1对象确立(MRM_TEM)7.2风险评估(MRM_RAM). 87.3风险控制(MRM_RCT)7.4沟通与监控(MRM_CAM)8.1信息安全策略(MSP_SPL) 8MSP管理保障控制类:信息安全策略 10 109MSO管理保障控制类:信息安全组织机构 129.1信息安全的管理支持(MSO_SOM) 129.2信息安全组织架构(MSO_ORG) 139.3信息安全职责(MSO_RES) 9.4沟通协作(MSO_CAC) 13 1410MPS管理保障控制类:人员安全 1510.1人员审查(MPS_PEC) 1510.2安全意识和培训(MPS_SAT) 1710.3考核和奖惩(MPS_CRP) 10.4人事变更(MPS_PCM) 17 1811MAM管理保障控制类:资产管理 1811.1资产登记管理(MAM_ARM) 1911.2资产管理职责(MAM_AMR) 11.3资产分类管理(MAM_ACM) 1912MPE管理保障控制类:物理和环境安全 20 2012.1物理安全区域管理(MPE_PSA) 21
12.2支撑基础设施安全(MPE_SIS)12.3设备安全(MPE_EMS)14MSP管理保障控制类:信息安全规划管理 13MCM管理保障控制类:符合性管理, 2515MSD管理保障控制类:系统开发管理16MOP管理保障控制类:运行管理17MBD管理保障控制类:业务持续性和灾难恢复管理 4417.1业务持续性管理(MBD_BCM) 18MER管理保障控制类:应急响应管理 47 4418.1汇报安全事件和安全漏润(MER_REW) 4718.2应急响应管理(MER_IMI) 4819.1概述 19安全管理能力级说明19.2安全管理能力级别说明 5019.3信息系统安全保障管理能力级别应用 52参考文献 54图1信息系统安全管理保障控制类图2 管理保障控制类结构图3 管理保障控制子类结构图4 管理保障控制组件结构图 5 图6 信息安全策略(MSP)管理保障控制类分解 风险管理(MRM)管理保障控制类分解图7 信息安全组织机构(MSO)管理保障控制类分解 12图 8 人员安全(MPS)管理保障控制类分解 15图9资产管理(MAM)管理保障控制类分解 物理和环境安全(MPE)管理保障控制类分解. 18图10 图11 符合性管理(MCM)管理保障控制类分解图 12 信息安全规划管理(MSP)管理保障控制类分解 29图 13 系统开发管理(MSD)管理保障控制类分解 31图14运行管理(MOP)管理保障控制类分解 图15业务持续性和灾难恢复管理(MBD)管理保障控制类分解图16应急响应管理(MER)管理保障控制类分解图17信息系统安全保障管理能力要求级别示例图
前言
GB/T20274《信息系统安全保障评估框架》分为以下四个部分:
-第2部分:技术保障: 一第1部分:简介和一般模型;一第3部分:管理保障;第4部分:工程保障.
本部分是GB/T20274的第3部分.
本部分由全国信息安全标准化技术委员会提出并归口.
本部分起草单位:中国信息安全产品测评认证中心.
本部分主要起草人:吴世忠、王海生、陈晓桦、王贵驷、李守鹏、江常青、彭勇、张利、姚轶瑞、班晓芳、李静、王庆、邹琪、钱伟明、江典盛、陆丽、孙成昊、门雪松、杜宇鸽、杨再山.
