首页 理论教育终端安全风险管理及信息安全标准

终端安全风险管理及信息安全标准

2023-11-23 理论教育 版权反馈
【摘要】:GB/T20984-2007《信息安全技术—信息安全风险评估规范》标准提出了计算机风险评估的基本概念、要素关系、分析原理、实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。本标准适用于规范组织开展的风险评估工作。

(1)ISO/IEC27005《信息技术—安全技术—信息安全风险管理》

该标准给出了信息安全风险管理的指南,包括风险管理的原则,风险评估方法,风险处理和风险接受,风险的监视和评审等,以及给出了如何满足ISMS要求的更进一步的信息。明确了终端风险的管理原则等。

(2)ISO/IEC27001《信息安全管理体系—规范与使用指南》

该标准为建立、实施、运行、监视、评审、保持和改进信息安全管理体系(Information Security Management System,简称ISMS)提供模型。

(3)ISO/IEC13335-2004《信息技术—安全技术—信息和通信技术安全的管理》

该标准是一个信息安全管理指南,这个标准的主要目的是给出如何有效地实施IT安全管理的建议和指南。

该标准目前分为5个部分。第1部分:IT安全的概念和模型,这部分包括了对IT安全和安全管理的一些基本概念和模型的介绍;第2部分:IT安全的管理和计划(Managing and Planning IT Security),建议性地描述了IT安全管理和计划的方式和要点;第3部分:IT安全的技术管理(Techniques for the Management of IT Security),覆盖了风险管理技术、IT安全计划的开发以及实施和测试,还包括一些后续的制度审查、事件分析、IT安全教育程序等;第4部分:防护的选择(Selectionof Safeguards),主要探讨如何针对一个组织的特定环境和安全需求来选择防护措施。这些措施不仅仅包括技术措施;第5部分:外部联接的防护(Safeguards for External Connections)。

(4)GB/T20984-2007《信息安全技术—信息安全风险评估规范》

标准提出了计算机风险评估的基本概念、要素关系、分析原理、实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。本标准适用于规范组织开展的风险评估工作。

(5)GB/T22239-2008《信息安全技术—信息系统安全等级保护基本要求》(www.chuimin.cn)

本标准规定了不同安全保护等级信息系统的基本保护要求,包括基本技术要求和基本管理要求,适用于指导分等级的信息系统的安全建设和监督管理。

(6)《信息安全等级保护实施指南》

该标准详细介绍了计算机终端在进行分级保护时的实施流程,介绍了计算机运行维护、状态监控、安全检查等详细技术模型。

(7)GB/T20270-2006《信息安全网络基础安全技术要求》

本标准用以指导设计者如何设计和实现所有以终端为基础的具有所需要求的安全等级的网络系统。实现了对等级保护技术要求中各个安全要求项目,网络系统应采取的安全技术措施,以及各级技术要求在不同安全等级保护中的具体差异。

(8)GB20272-2006《信息安全技术操作系统安全技术要求》

本标准用于指导设计者如何设计和实现具有所需要求的安全保护等级的操作系统。主要说明技术要求中安全保护等级要求,操作系统应采取的安全技术措施,操作系统在不同安全保护等级中的具体差异。

(9)GB/T20279-2006《信息安全技术网络和终端设备隔离部件安全技术要求》

本标准用于指导设计者如何设计和实现具有所需的安全等级的隔离部件,主要从对隔离部件的安全保护等级进行划分的角度来说明其技术要求。

有关终端安全风险管理的文章

  • 终端安全风险管理-终端安全风险管理 终端安全风险管理-终端安全风险管理

    终端作为网络行为的发起者和执行者,终端安全问题是信息安全领域的重要组成部分。终端安全已经成为制约信息安全的瓶颈,尽管在安全技术和培训中已经投入了大量人力和资金,但终端安全问题仍频频发生。终端所发生的安全问题可简单归结为3类。......

    2023-11-23

    详细阅读
  • 终端安全管理揭秘-终端安全风险管理 终端安全管理揭秘-终端安全风险管理

    一系列安全事件后,在美国政府的资助下,卡内基·梅隆大学成立了全球第一个计算机应急安全响应组。因此,终端安全管理的实质就是识别终端安全风险,构建终端风险体系并对终端风险进行安全管理,从而避免终端安全风险事件的发生。......

    2023-11-23

    详细阅读
  • 终端安全风险管理及电信行业化标准 终端安全风险管理及电信行业化标准

    2)相对以往缺乏控制措施的现实,非授权终端网络接入控制的问题。《电信行业安全规范——用户管理分册》本规范作为中国电信安全规范的重要组成部分,为中国电信进行用户管理统一建设提供依据。本规范的编制是在《CTG-MBOSS安全分总规范》的总体框架体系指导下,参考了中国电信的现有的成果与经验,充分考虑了中国电信企业战略目标而形成的。......

    2023-11-23

    详细阅读
  • 终端安全风险管理:揭示3.5终端安全管理未来 终端安全风险管理:揭示3.5终端安全管理未来

    有相应硬件支持,将很大程度上解决纯软件终端安全产品存在的问题。综合趋势终端安全产品要和网关及其他安全设施密切配合,分工协作,才有可能构架全面完整的安全防护保障体系。终端安全的重要组成部分是设置管理或针对安全规范符合程度的检查、隔离和矫正。综上所述,终端安全管理体系的构建实施过程需要依赖完善的方法论,对体系建设过程提供内部审核、管理评审、外部审核等管理活动支持,保障体系的有效实施。......

    2023-11-23

    详细阅读
  • 终端安全风险管理:组织结构与信息安全领导小组 终端安全风险管理:组织结构与信息安全领导小组

    组织结构按照统一领导和分级组织的原则,安全组织必须设立专门的组织机构,配备相应的安全组织人员,并实行“一把手”责任制,明确主管领导,落实部门责任,各尽其职。图7-3是对应终端安全管理体系的组织架构图。图7-3 对应终端安全管理体系的组织架构图信息安全领导小组信息安全是组织/企业工作人员必须共用承担的责任,因此,应建立信息安全领导小组。......

    2023-11-23

    详细阅读
  • 终端安全风险管理:终端安全应重视 终端安全风险管理:终端安全应重视

    基于风险评估得出的终端所面临多类实际信息安全风险,其风险个数很大。由于不同类别的信息安全风险所采取管控措施的优先级,通常也有很大的差别,如何针对数量庞大的风险及管控措施进行合理的规划,是一个很大的难题,因此对于规模比较庞大的组织,如何对风险评估后的管控措施进行统一、合理的规划至关重要。......

    2023-11-23

    详细阅读
  • 终端安全风险管理方法及重要风险监控 终端安全风险管理方法及重要风险监控

    信息安全风险管理的主要目的是及时发现安全风险,评估安全风险,响应安全风险,以期降低或规避风险,并基于风险管理工作实践改进安全防护系统。管理员可以通过评估检查确认该风险的真实性。日常运维中需要关注的重要风险主要包括信息安全类风险、引起大面积终端无法正常使用的风险。表10-1 重要风险列表(续)(续)(续)(续)......

    2023-11-23

    详细阅读
  • 终端安全风险管理:基于风险来源 终端安全风险管理:基于风险来源

    针对不同的威胁来源的终端安全风险图谱见图6-7。其中终端安全技术平台自身的风险,暂不列在内。与基础安全风险相比,终端安全运行风险更具动态性,随着时间和相关环境条件的变化。3)信息安全风险指终端信息安全风险为终端中存储的信息,以及信息在传递过程中所面临的风险。......

    2023-11-23

    详细阅读