【国家标准(GB)】 信息技术 信息技术安全管理指南 第2部分：管理和规划信息技术安全

ICS 35. 040
中华人民和国国家标准
GB/T 19715.2—2005/ISO/IEC TR13335-2:1997信息技术
信息技术安全管理指南
第2部分：管理和规划信息技术安全Information technodogy-Guidelines for the management of IT security-Part 2:Managing and planning IT security(1SO/IFC: TR 13335 2:1997.1DT)2005-04-19发布
中华人民共和国国家质量监督检验检疫总局中国国家慈准化管理禾员公
W2005-10-01实施
GB/T 19715.2-2005/ISO/IEC TR 13335-2:1997前言
GB/T1971信息技术猎息技术安全管理指隔分为五个部分：一一第「部分;信息技术安全概念和模型；第2部分：管现和规划信息技术安全：第3部分：信息技术安全管理技术：第4部分：防护措随的选择；
第5部分：外部连接的防护措施，本部分等同采用国际标准IS0/1ECTR133352：1997倍息技术，信息技术安全管理指南第2部分：管理利规划信息技术安全》！本部分中的指南提出IT安全管理的·些基本专题以及这些专题之闰的关系。这些指南对标识和管理IT安全各个方面是有用的。本部分出中华人民共和国信总产业部提出本部分由全国信息安全标准化技术委员会归！1本部分出中国电子技术标准化研究所（CESI）、中国电子科技集团第十五研究所、中国电子科技集团第三「研究所，上海三零卫土信息安全有限公司负责起草。本部分主要起草人:安金海、林中、林望重、魏忠、罗锋窥、陈星，GB/T19715.2—-2005/ISO/IECTK13335-2:1997引言
GB/T 19715的目的是提供关丁IT安全管理方面的指南，而不是解决方案。那紫在组织内负责IT安全的个人应该可以采用本标推中的资料来满处他们特定的需求。本标准的主要目标是：a）定义和描述与IT安全管理相关的概念；h）标识IT安全管理和一般的IT 管连之间的关系；r）提出了几个可用来解释IT安全的模型；d）提供了关于 Ir 安全營理的--般的指南。本标谁由多个部分组成。第1部分提供了描述1T安全管理用的基本概念和模型的概述。本部分适用于负责IT安全的管理者及那些负贵组织的总体安全大纲的管理者。本部分描违了管理和规划方面。它和负责组织的IT系统的管理者相关。他们前以是：a）负责监督I系统的设计实跪、测试,采购或运行的IT管理者；b）负责制定IT系统的实际使用活动的管理者；c）当然还有负贡IT 安全的管理者。第3部分描述了在个项其的生存固期（此如规划、设计、实施，测试，来办或运行）所涉及的管班花动中适于使用的安全技术，
第4部分提供了选择防护措施的指南，以及通过基线模型和控制的使用如何受到支持。它也描述了它如何补充了第3部分中摧述的安全技术，如何使用附加的评估方法来选择防护措施，第5部分为组织提供广将它的IT系统连接到外部网络的指南。该指南包含了提供连接安全的防护捐施的选择、使用，挪些连接所支持的服务，以及进行连接的II系统的附加防护措施。1范围
CB/T19715.2---2005/ISO/IECTR13335-2:1997信意技术信息技本安全管理指南第2部分：管理和规划信急技术安全GB/T19715的本部分提出IT安全管理的·些基本专题以及这些专题之间的关系。这些部分对标识和管理安全各个面是有用的，熟悉1部分斯介绍的概念和模型对全面理解本舒分尼重要的。2规范性引用文件
下列文件中的条款通过GB/T19715的本部分的引用而成为本部分的条款。凡是注口期的引用文件，其随后所有的收单（不包括期误的内容）或修订版均不适用于本部分·然而，鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注口期的引用文件，其最新版本适用于本部分：
GB/T19715.1一2005信息技术信息技术安全管理指南第1部分：信息技术安金概念和模型(ISO/IFC TR 13336-1:1996,IDT)3术语和定义
GB/T19715.？---2005 确立的术语和定义适脂丁本部分，使用其下列术语：可核查性、资产、真实性、可用性，基线控制，保密性、数据完整性，影响、完整性，IT安全，IT安全策略，可靠性，残阐风险风险、风险分析、风险管理、防护措施、系统完整性、威胁、脆弱性4结构
本部分有17章，第5章和第6章提供有关本文件目的和背最方面的信意。第7章提供成功的1IT安全管理中所涉及的各种活动的概述。第8章到第16章详述这些活动。第17章握供小结，5目的
本部分的目的是要提出与I安全管理和规划有关的种动，以及纽织中有关的角色和职贡。这一般与负责IT系统采购、设计,实现或运行的IT 管理人员有关。除了IT安全管理人员外，还与负责使IT系统具体使用活动的管理人员有关。总之,本部分对与组织1T 系统有关的负哲理责任的任何人是有用的。
为进行业务活动，政府和商业组织极其依赖信息的使用。信息和服务的保密性、完整性，可用性、可核查性、真实性和可靠性的损失会给组织带米负面影响。因此，存组织中对保护信息和管理信息技术(IT)的安全有着重要的需求。在现今环境中,保护信息的这一要求尤为重要.因为许多组织通过 T 系统的网进行内部和外部的连接，IT安全臂理尽用来实现维护保密性、宽整性、可用性、可核奔性、真实性和可靠性相应等级过程的，I安全管理功能包括：
a）确定组织I安全凹标战璐和策略：GB/T 19715.22005/IS0/IEC TR 13335-2, 1997确定纽织I1安全要求；
标识和分析对组织内IT资产的安全殿胁和I资产的脆弱性；标识利分析安全风险；
规定合适的防护措施；
监替防护措施的实现和运作，使费用花在有效保护组织内的信息和服务所必需的防护措施上：制订利实安全意识人纲；
h）对事故的检测和反应。
为了履行I系统的这些管理职责·安全必须是组织的整个管现规划不可分的组成部分并被集成到纽织所有的职能过程中。因此，本部分所提出的若干安全专题其有广泛的管理内涵。本部分将不关注广泛的管理问题，而是这些专题的安全方面以及它们与管理的义系如何。7IT安全管理
7. 1规划和管理过程概述
IT安全规划和管理是制订和继扩组织内IT 安全大纲的全面过程。图 1示出此过程中的主要活动。由于管理风格、组织规模和结构不同，应对此过程予以剪裁，以适应使用此过程的环境。重要的是要根组织的风格、规模和结构及其进行业务的方式采用图1所标识的各种活动和功能，这意味着进行管理评审是所有这些活动和功能的一部分。起点是要制订组织IT安全月标的清晰视图。这些周标是根据更高层尽标（例如，业务月标）得到的,然后依次产生组织的 IT 安全战略和总体IT 安全策略，详见第8章。由此部分总体 IT 安全策略创建合适的组织结构，保证能够实现所规定的目标。总体IT安全筑略（第8章）
汀家全的组织古面（第旁
风险管观（72)
总体风险分析战略方面（第10章）选项选择
基践方法
正规方法
举细的
风股分析
17安全建议（第11章）
[T系统安全埭略（第12章）
IT安全规划（第13帝）
实现（7.3）
防护措离（第11章）
安争识《第15章）
后续活动（第16）
图1[T 安全规划和管理概述
凯合方法
7. 2风险管理概述
风险管理包括四种不同的活动：GB/T 19715.2--2005/IS0/1EC TR 13335-2:1997a）在总体IT安全策略上下文内确定适合丁组织的全风险管理战略：b）作为风险分析活动的结果或按照基线控制，选用适用于各个1T系统的防护措施；c）搬据安全建设形成IT系统安全策略，以及在必要时更新总体IT安全策略（和合适时更新部门IT安全策略）：
d）根据批推的IT系统安全策略,制订IT安全计划以实现随护措施。7.3实现概述
虚接要全计划实现每个紧统所必须的防护施，全面改香1T安全意识（然常被慈规），对防护措施的有效性而言，是个重要方面。图【清楚地表明两项三作，即防护措施实现和安全意识大纲，游并行运作，这是因为用户行为不可能很快收变，需要在一个较长的时期内不断提高安全意识。7.4后续活动概述
第16章中提出的“后续”活动包括：a）维护防护措施，以保证其连续而有效地运行；b）检意，以保证防护措施符合已批准的策略和计划：c）监督资产,威胁、脆弱非和防护措施的变异以捡测可能影响风险的变化：d）事故处理以保证对不希望事件的合适反应。后续活动是项持续的工作，它应包括早期决定的重新评估。7. 5 结合 TT 安全
如果在组织内全面开展11安全活动并且从系统生存周期开始，那么这些活动就能发挥最大效用。IT安全过程本身就是一个主要的活动用期并应与系统生存周期的各个阶段结合。虽然在新系统一开始就结合，安全才会最有效，但是传统系统和业务活动也会因为在任何阶段及时结合安全面受益IT系统生存周期可划分为三个基本阶段。每个阶段通过以下途径与IT安全联系：a）计划：在做出活计划和决定期间应处理T安全要求；获得：IT安全要求应与系统设计、并发，采购，升级或另行构建的过程相结合安金要求与这些活动相结合保证在合适的时间将城本有效安全特性加人系统而不滞居；c）运行：IT安全应与运行环境相结合。当用IT系统执行其预期任务时，一股要经历一系列升级，包括来购新的硬件或修改或增加软件，除此之外，运行环境经常改变。环境的这紫变化产生新的系统脆弱性，对此应予以分析和评估，要么想法减轻，要么接受，同等重要的是系统的安全姓置或重新指派。
IT安金成是在IT系统生存周期阶段内和之间的具有许多反馈的持续过程，在图1中仅示出了,总的反馈通路。在大部分情况中，反馈还会出现作IT安全过程备士要活动内和之间。这提供有关系统跪弱性、威胁利防护措施，贵穿IT系统准存周期一个阶段的持续信息流。还慎得注意的是每个组织务范围可以标识独特的我金要求。这些范围应相巧变持并通过分享能用来支持管理决策形成过程的安全方面的信息支持整个IT安全过程。8总体IT安金策略
8.1目标
可以为组织的每个层次和每个业务单位或部门定义口标（要实现什么）战略（何实现这些目标）和策略（实现这些目标的规则）。为了实现有效的IT安全，调整每个维织层次和业务单位的各个且标，战略和策璐是必要的。虽然椎应文件受不同点影响·但是相应文拌之问的一致性是重要的，因为许威胁（例如系统被黑客攻击，文件删综和火灾)是共同的业务问题，GB/T19715.2—2005/IS0/1ECTR13335-2:19978.2管理承诺
高层管理对IT安全的承诺是重要的，并应产生正我协议，并记录总体IT安全策略。总体IT安全策略成根据总体安全策略派生出来。8.3策略关系
若合适，总体IT安全策略可以包含在总体技术和管理的范围内，共同形成总体IT安全战略报的基础，此报告应对安全重要性，特别安金对符合战略是否必要，作出有说服力的表述。图2示出了各种策略之间的关系。没有考虑纵使用的文件和组织结构，重要的是提供所述策略的不同消息(message）利维护一致性。
另外，特定系统和服务，或一组IT系统和服务要求更详细的IT安全策略。这紫通常称之为IT系统安全策略。它是重要的管理方面，其范围和界限是清晰地定义并以业务和技术理由为基础的。报拥目标和战略而派生的业务策略总体市场策略
8. 4 总体 IT 安全策略要素
总体安全策略
总IT安全策站路
门IT安全策
系统R
系统A
[7安全策略
图2策略关系
总体IT安全策略至少应包括下列专题：总体IT策路
aIT安全要求，例如，在保密性、完整性可用性、真实性、可核查性和可靠性方面，特是与资产拥有者意图有关方面！
组织基础设施和职责的分配
安全与系统并发和采购的结合；e
指令和规程；
e）信息分类的级别定义；
风险管理战略；
应急计划；
人员问题（对要求信赖的岗位上的人员应了予以特别注意，例如，维护人员租系统管理人员）意识和培训；
法律和规章责任：
外包管理；
事故处理。
9IT安全的组织方面
9.1角色和职责
GB/T19715.2-2005/IS0/IECTR13335-2:1997IF安全是-项跨学科的课题并与纠织内的IT项目、系统和所有IT用户有关。职贵的合理分配和划分版保证完成所有重要工作任务和有效的方法履行这些职资虽然可根据组织的规模和结构，通过不同的组织方案达到此日的，但在每个纽织小需要包含下列角包：
a）IT安全管理协调小纽，它一般解决跨学科问题并审批指令和标准：b）高层IT安全官员，他起到组织内所有IT安全方面的聚集点的作用。1T安全管理协调小组和高层1T安全官资应具有明确规定的职责并是足够资深的人以保证对总体[T安全策略的承诺。组织应为高层IT安全宫员提供清晰的通信线路、角色和职权，责仟应由IT安全管理协调小组审批。可通过使用外部顾问补充完成这些责任。图3示出了个典型的高层IT安全官员，IT安全管理协调小组和代表之间关系的例子。其中代表来自组织其他万面，例如：其他的安金职能、用户委员会和I竹人员。这些关系可以是分层管理或功能管理的。图3所述的IT安全组织的例子使用三个组织层，分层管理是便于纽织采纳的，它可以根据自己的需求增加删除层次。对丁小的媒体组织可以选择只有一名高层IT安全官负承担所有安全角色的职责。当将这些功能组合在起时，重要的是要保证维护合适的检查和平衡以避免没有施加影响或控制的可能，面将太大的权力集中在个人手中。总体管理
商层安全宝员
T代表
IT安会
管埋协调小组
1T用户代表
图示符号：
组织的
IT安全定员
总体IT全
策略和指令
总体缓
*部门
IT安全员
IT项目
或系统安全官员
仅当部门为有充足规模
*部门级
*部门TT安全
策略和指令
系统/项日级
TT项目设系统安亲策略
图 3 IT 安全组织的例子
9,1.1 IT安全管理协调小组此内容来自标准下载网
这个管理协调小组应由具有标识要求、制订策略、起营安全人纲、评审成果以及指导高层汀安全官员必要技能的人员组成。可以用已经有的合适管理协调小组或独立的IT安全管理协调小组。这种營理协调小组或委员会的任务是：）向T指导委员会提供有美战略性安全计划的建议；b）制订总休IT安全策略以支持IT战略并获得IT指导委员会的批准：GB/T19715.2-2005/1SO/IECTR13335-2:1997将总体IT安个策略转化为I竹安全大纲；d）监臀Il 安全大纲的实施；
e）评审总体IT安全策略的有效性；f）提高对1T安全问题的意识；
名）提出关于支持计划过程和IT安全大纲实现所需资源方面（人力、财力、知识等）的建议。为了有效起见，此管理协调小纽应包括具有IT系统安全和技术背景的员·以及IT案统提供者和用户的代表。筛要这些领域的知识和技能制订实用的总体IT安全策略，9. 1. 2高层T安全宫员
因为共同承担IT安全责任，结果会发生没有一个人感到有责任的风险。为了避免这和风险，应指定专人负资，高层IT安全官员应起到组织内所有IT安全方面的聚焦点作用。可能已经有一个合适的人能担任附加职责，但是仍建议设立专门的岗位。优光选用具有安全和IT背景的人作为高层IT安全官员。主要职责是：
a）监视竹安全大纲的实施；
b）与1T安全管理协调小组和高层安金官员联络并向他们报告；c
维护总体安全策略和指令；
d）协助事故调查：
e）餐理全组织安全意识大纲：
f）确定IT项目和系统安官员(以及相关部门IT安全官员)职责范围条款。9..3IT项目安全官员和II 系统安全官员各个项目和系统应有人负责安全，通常称作IT安全官员，在基些蜻况下，可以不是全职角色。对这些人的功能管理将是层IT安全官员的责任（或合适时，是部门IT安全官员的责任），此安全官员起到项目，系统或一组系统所有安全方面的聚焦点作用。此岗莅的主要职责是：a）与离层IT安全官员（或若合适，部门IT安全官员)联络并向他报告；h）颁发和维护IT项目或系统安全策略：r）制订和实施安全计划；
d)对IT防护措施的实施和使用进行日常监督：e）启动和协助事敌调查，
9.2承诺
对有效的IT安全极其重要的是各个层次的管要支持每个人所作的努力。业务对1T安全日的的全面承诺包括：
a）理解组织的全局需求，
b）理解组织对IT安全的需求！
c）表明对IT安全的承诺
）愿意解决IT安全需求的意愿：愿意将资源配绘IT安全：
意识到，在最高层，IT安全意味着什么，或由什么组成（范围，程度），）
9.3-致的方法
与IT安全~~致的方法应用于各种开发、维护和运行活动。在信息和IT系统整个生存周期，以计划到处置，应保证受到保护。
组织结构（如图3所示）能够在整个组织内支持与IT安全相协调的方法。这需要通过承诺到标准予以支持。标准可以包括国际、国家、区域、工业部门和组织标准或规则，选用和应用应视组织的IT安全需求。技术标准需由与其实现、使用和管理有关的规测和指南加以补充，使用标准的好处有：
a）综合安全；
b）万探作性；
C）-致性：
d）可移植性：
e）规模经济性：
f)组织间.通(interworking)
10总体风险分析战略选项
GB/T19715.2---2005/IS0/IECTR13335-2:1997希望加独安全的任-一个组织应以适当方法提出合适其环境并包含用有效的方式避免风险的手段的风险管理战略。所要求的战略能在需要安全的地方集中安全力单并房用一种成本和时间有效的方法。无论是对所有系统进行洋细评审还是不找出严重风险都不能有效利用资源或时间。在这两种极端之问提供平衡的方法包括进行高层评审以确定对系统的II安全禽求，同时研究这些需求的深层一致性。组织的安全求将取决手其规模、进行的业务类型及其环境和文化，要选用的总体风险分析战略选项压与这些因素直接有关：
在某些情况巾，组织可以决定付衣也不做或推退实现防护措施。这种管理决定只应在组织高层完成评审之后作出。然而.如果作这种决定，管理部门应全面了解风险和为此易受到的负面影确，以及发生不希翌事故的可能性。没有这些知认，组织可能无意中违萨法律或规章并间能使其业务受到潜在的损失，只有对这些和其他川能的有害影响作出严肃的考虑之后才应采纳什么出不做或推迟实现防护措施的决定和判断。
根据高层评市结果，可使雨下面叙述的叫个选顶之一选用减缓风险的防护捐施，下列各条提供每种选择的优缺点说明。
10.1基线方法
第种选项是要为所有系统选择一组防护措施，使系统保护达到基线水平。要在基线文件和实用规则中建议各利标准防护措施，在检验这些基本需求之斥，它可从其他组织，例如，国际和国家标准组织、工业部门标准或建议或具有合适相似性（例如，业务日标、规模、II系统和应用）的其他公司吸纳这些防护搭施，
这种方法有若十优点，例如：
a）详细风险分析不需要资源，并减少花在防措施选择1的时间和精力。通常，标识基线防护措施不需要显著的资源：
b）不必化费巨大精力，诈多系统可以采用相同或类似的基线防护措施。如果大量的组织系统运行一个通用的环境并月业务需求也相近.则基线防护措施可以提供经济有效的解决方案。这种选项的缺点足：
E）如果基线水平设置得太高则对某些系统可能楚过于品贵或过干严格限制的安全，如果基线水平过低，则对某些系统可能是没有足够的安全；b）在管理与安全有关的变化方面可能会有困难。例如，系统升级，则可能难以评估原先基线防护摧施是否仍然足够。
10.2非正规方法
第二种选项是对所有系统进行非正规的.注重实效的风险分析。非正规方法不是以结构法为基础、面是利用个人的知认和经验。如果在内部没有可用的安全专家，请外部顾问进行分析。这种选项的优靠妇下
a）进行非正规分析光须学习另外的技能.并且比详纠风险分析要快。冈此这种方法川能经济有效并适合小型组织。
存在的若f缺点如下：
GB/T 19715.2--2005/IS0/IEC TR 13335-2 :1997）没使用结构化方法：遗漏某些风险和关注范的可能性增加；1）由于这种方法的不正规性，其结果可能受到评审者主观看法和偏见的影响，“）对所选用的防护措施几乎没有什么正当理由，因此用于防护措施的费用难以判定；d）随着时间的流逝，没有再评审，可能惟以管理与安全相关的变化，10.3细的风险分析
第二种选项是对所有系统进行详细的风险分析，详细的风险分析包括资产的标识和估价，对这些资产威胁程度和这些资产的脆弱性的评估。使用这些作为输人以评估风险。通过这些工作，风险分析支持标识，选择和采用根据所标识的资产风险认为正确的防护措施并支持将这些风险降低到由管理部门定义的可接受程度。详细的风险分析可能虑一个非常耗费资源的过程，因此，需要认其建立进界，也需要管理土的经常关注。
这种选项的优点是：
a）为每个系统的安全需要定义合适的安全级别；b）管理与安全有关的变化会从详细的风险分析所获得的附加信息中获益。这种选项的主要缺点是：
a）为获得可行的结果要用大量的时间，精力和专家，10.4组合方法
第四种选项使翔高层风险分析方法首先标识商风险或对业务运行重要的那些系统：根据这些结果，将系统分类：为达到合适的保护哪些系统需要详细的风险分析；哪些系统基线保护足够了。这种选项是10.1基线方法和10.3详细风险分析方法所述选项最佳要点的组合。因此，它在使标识防护错施方面使花费的时间和精力最小和同时仍保证所有系统受到合适保护之闻提供了良好的平衡。
这种选项的优点是：
a）在花费大盘资源之前，使用简单的高层方法收集必要的信息更可能得到可接受的风险管理大纲，
b）绘制组织安全大纲直接战略图成为可能，这种图可用作规划的良好辅助手段，心）使资源和钱用在最值得的地方，以及处于高风险的系统得到更早的处理。这种选项的缺点是：
a）如果高层风险分析导致不准确的结果.则有些需要详细风险分析的系统则可能未被处理，如果合适地检查高层风险分析的结果则多半不会发生此事，而且无论如何这些系统们都会受到基线防护措施的保护。
在大多数情况，这种选提供便花费最有效的方法，并向多数组织强力推荐这种风险分析选项。11IT安全建议
第10章中的任一方法应提供使安全风险降到可接受水平的若干建议。这些建议应由管理部门批准，并应包猪：
a）确定被考患系统可接受风险水平的准则；b）选择使风险降抵到可接受水平的防护措施c）关手实现这些防护措施的好处以及这些保护所能达到的风险降低：d）所有这些防护措施已被实现时仍存在的可接受的残留风睑11.1防护措施的选择
有若干防护措施类型：防止，减少、监督、检测或排除不希塑事故和从不希望事故中恢复等类型。防正可以包括阻止提高安全意识的不希望行动和活动，适用防护措施的士要范畴和每种范畴的一些例子有：
α）硬件（备份钥匙）：
b）软件（电子签名、记录、抗病毒工其）;通信（防火墙、数据加密）；
d）物理环境（闹墙、标记)；
e）人员（工作人员意识，解除员工的规程）；）管理（授权、硬件处置、特许控制)。GB/T 19715.2--2005/IS0/1EC TR 13335-2:1997防护措施不是彼此独立的，并且经常是以纽合方法工作。选择过程必须考虑防护措施相万依赖关系。在防护措施选择期间，必须检查是香仍留有缺I.E。这种缺LI使避开现有的防护措施成为可能并能使偶然的威胁造成摄坏，
对新系统，或对现有系统作出重大改变时，防护施可以包括--种安全体系结构，安全体系结构播述如何满足1T系统的安全要求并是整个系统体系缔构的…部分。它解决技术防护措施，筒时考虑非技术方面，
所有防护措施需要管理以保证有效地运行.许多防护措施将要求对维护过程的管理支持。这些因索应在防护措施选择过程期子以考虑，有效地实施防护措施并Ⅱ不引起用户或管理的过分负担是重要的。如果防护措施引起重要的变化,那么其实现应与安全意训大纲.变更管理和配置弯理相结合。11. 2风险接受
在实现所选择的防护膜施之后，感是会有线留风的，这是因为不可能瘦系统绝刘安全，以效因为某些资产可能有意末加以保护（例如，于设定抵风险或相对被保护资产的评估价值而言建议的防护措施费扭冠高。
风险接受过程的第·是要审查所选的防护措施，标识并评估所有的残留风险。下一步是对残留风险分类，对组织而言，哪些被认为“可接受的”和哪些是*不可接受的”。显然不能容许不可接受的风险，函此，应考虑限制这些风险影响或后果的阴加防护措施。不管哪种情况，必须作出业务决定。风险被判定为“可接受的”或将风险降到可接受水平的附加防扩措施的费用必须予以审批。
12IT系统安全策略
系统的安全策略应根据总体和部门的安全策略制订。这些系统的安会策略由组保护系统和服务的源测利规则组成。必须领通过对系统和服务适合的防护措施的应用实施这些策略以保证达到足够的保护水平，
IT系统安全策略必须由上级管理部门批准作为强制的1组原则和规则以保证调拨财务利人力资源用于其府用和执行。
在决定每个IT系统安全策略时要考虑的美键问题：）确定所考虑T系统及其达界：
为）确定此系统要达到的业务自标·因为这些且标可能对此系统的安全策略以及防护措施的选择和实现有影响：
c）潜在有害的业务影响来白：
1）服务资产，包括信息的不可利用性，拒绝或破坏：2）信息或软件的未授权修改：
3）信息木授权的泄露：
具有定量的影响，例如，查接或问接地损失钱财，以及定性的影响，例妇，失去信誉，失去生命或生命危险.慢犯个人隐秘私：
d）在IT方面的投资水平；
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。