【国家标准(GB)】 信息技术 信息安全管理实用规则

rc.s 35. 040
山华人民共和国国家标
GB/T19716—2005
信息技术
信息安全管理实用规则
Information technology-Code of practice furinformation security managemtnt[ISO/IEC 17799.2000.MOD
2005-04-19 发布
中华人民其和国国家质量监督捡验检疫总局中国国家标淮花管理委员会
2005-10-01实施
术语和定义
信息安全
风龄评
2.3险管理
3安全策珞
行点安个策路
实的案全
后息安全法础改施
荒方访问的安全
，产分炎和格制
资产的川核查性
5.2后点分类
S人员安会
岗位设定和人力资源的安企
州广培训
对安会书故新故降的响成
物理利环境书安全
资心区
设备安企
一般控制
通信和换作管具
操作规利帜灭
系统据划杆验
防范恶意饮件
内务处姚.
网路管理：
操达处骨和安全·
信息和款件的交赖
争证问控制·..
追尚控制书业务要求.
.访间等理·
用产职克...
阿络纺间控制
操作系统访可控划
GH/T 19716—2005
CE/T19716—2C05
应用访向控制
对系统访司和快的临督
移动算和选程工华…
系统升发和维炉
系安全世求
底用系统的安全
0.3密码控制
二0.4系统文件的安全
0，5开发和支持过限的安会
.业务连绒性管理....
11.1业务近继性管单的各力面
12符合性
12.1符合法冲要求
13.8安全策略利技术符合性的评审12.3统审核考退
GH/T19716—2005
年标非偿改采用15)/1EC17799，2300%信息装术信息安全肾理实用规瞬3（英文版木标准适当微了些悠改：车12，1，5增划了）使卫国家十管部门山批的密码算法杆整码产已”，作为您改内容。
术标准由中作人共和国信总产业部提出。本标维由全国信总安全标化技术法员会归口，本标准出十国电子残术松准化研究新，中区中了科技共利第三十研究所，工普三卫士估息安全有公司，中国电子科技策团第15研充所、北京志源情息技术有限公司负页冠草。木标准土要起人：本家英、杯望蛋魏志，林中，王新态，罗释盈、陈呈。CB/I19716—2005
作么是倍息安会？
像其他重要业务产一样，答息也是一种资产。它对一个组织具有阶值，尺此需要加以台适地保护，信息安全欧正信息的各种减惊，以碳保业务连续性，仅业务损书减率应小，查投资可报和业务会最大。
信息可能以务护形式存在，它可以打印或写在纸工，以电子方式存储用邮寿或电于手段发送、呈现在胶片上或用言语表达：无论信息采用什么形式成者用什么方达学储成共享，部应对它进行适当地保护，
信息安全在此表职为保传下列特行：a）保密性：确保带息仅践已权访间的人访间：）完整性：保护痘息及处理方法的准确性和完备件：c）可月性，确保已投权用户在需要时可以访问信息和拍其资产。信息安全足通过实现组合适控制缺得的。持制可以策降、惕阅、规老、组！结均和款件功能需要难立法些控制，以确保满炬该组料的持定去争日标.为什么需典信息安全？
信点和支持过程·系统和网络形尼互再闪收务资产。危忘的架空性、究路性和可书性对持竞予优势，现金流转、巅利许法和的业形象可能是必不可少的。各线织及其性层系统和网络H益面临求自个方面的安全疏服。这化方画包括计算机辅助效诈，间课活动、恶查破，激坏行，火灾或水火。诸计算机病李、计算机黑咨格孔和矩绝服务攻击，已经变得史苷遍，更有心和益产群技对倍息系统和服务的依赖意殊若组织对安全效胁史为胞响。公其网终专用落的百违和信息资源的共享增则了实现访间控制的难展，分布式计势的势势二削身中式控制的有效性，许象信是系统已不再单纯追求设计成安拿的，内火通过术于没可长得的安全生是有限的。成用合范的管理和规科路予支持，标识明其整控制到位需要行细规划并江查维。信息安全理举少需要孩组织内的所有员1参与，还可能要求共虚前、消必者或股票持有人的多，外齐生织的专家建段能必是需要的。
划果在制完要求规范和设计阶段把信息安全控制结合代去·那公·该信息安全竞制就会更加经济和变加有效。
好低理立安全获求
展重要的归组织标识山它的全要求：有个主费来源，第·个采山半站该组划的风险所获很的，通过风险评估，标认白对资产的成政，还价易受或剧的所妈片和感办出的可能性和预通成胁造在的账响。第二个关源正纠织、贸易伙件、合司方和服务提供者必须满足的法律、法韧，规单和合问必要求、第二个案源无组织开发支持其运行的信总处理的特定京则、月你和要求的特定单合，深安企风险
安全整求足通过安全风的系统性评否下以标识：用于控制的经费需要针对可能安全放障守效GB/T19716—2005
能业多损告加饮平衡。风验评粘提术可范用干整个组变反查用干组象的些部门：召这作做研领可行，现实和有帮，该孜术均还用一齐个良系统、特定系统部件或压多，风险评古要系统地与度以下内容：川能日安全故障学致的收务折.要考恶到后总或其他签产的保密、完整性或可用变大的潜在后集：
1）从级常见的成晓杆哗累性以及当前所实统的控气来若，有出这样-种或改障现实可前性评估的结果将智助楚导和说定合追网管行或，以及管理信息安全风险迎实现所造择整制芯优先绒，以阳范这些风险：证忙风险和逐择举制的让芒可罪书要进行许多次，以更滴益组织的不同部门变各个信息系统。
重安的足方安全风依和二实课的凉制进行用期性评审，以使，E！旁业务账求和就步级的变史：1）考点新的效胁和绳小性：
c）证烹控制仍然维持有效和合适根据光前评估的结果评中它在不同深度级别进行：以及在些理尽准各技变的更收可龄级别选行作为高测险区球步化资源的一种手段：风险评估通常凸先在高级别述行，然后在更细的圾别进行，以据出只达的风曾
选控制
三安全要求三被标识融应连挥作实现控制，改愉保风验减少别寸波受的程准：整制可以以木标注必其他控制费合迎择，成者当合适对段计新的控制以满足情实背求。有诈要本回的管理义金的法：本标准提供常用方决的花十例了。龄血，需安认识到有些至制不谨用于每种信息系统或环亮并不足对听有继织都行，作为个例二，「，描述如分声们以随正欺作或日错在轻小的织中分制所有贞任是不太可能的：得成择当日标的其方法可能后必要的。性为另一个例子，5，？和“2.1捆述如付临登系统使用及如何收案证抵。所括述的控制，例如事件记乎可能与适月的法相签：诸加消费者变产工华池内的隐粒保扩控制应根规与风险减少相关的实现成本和港在损失（如果安全注规出现于以选托。也应卡宽陷如变先变非金钱因常。
平标准十的其此控制可认为是信息安全营理的消专原则，并月可用下大然数实组，下面在题为“会息安企定点中史洋细新辉这当控制：信资全间点
详多控削认为是为现信总交个其良好起点的老导原则。它们或者卡兼丁年要的法弹性费求，或者核认为足信息安全带用的最什慎例以法律的说点石：对某个纠织平要的垫制包款a）个人倍息的效据保护和陷私（见12.1.4：5）保护组织的记（12.1：
产技12
认为是信息安全带币最件惯侧的挖制包而：）信息安全费略挡见R.1！
1）信息安全顺责的分配（见1.，3）信息安全教户用培训<出6.2.1
根告安全事政（吨6.3.11；
业务连续性管理（见11.1)，
GR/T 19716—2005
这此控划适用可大求激妇织和环说。应注意，虽然本弥陆中的所有控制部层重要的·但是从其个组织正面临美特定※险来否，应确定控制的贴切性。因此，重然上迷为法认为显-种良好的起点，创它严不取代选择基十风险环估的控制。关谜的成功因素
经龄山经表明下列因末证对某个州织曾否成史实现信息安全是关记的：反映业务日协安全英略、日的以及括动：a:
符合组织文化的实现安企的方法：b)
来自誉理层的可泌支待和承谛：ei
正销理解安全要求，风险评估和区险管埋：向所有管圳名和员，传达·方效的安全需求，所有负1和合同前分发处：信总安企策和标确的指导：gy
步供会延的培圳和教育：
有一个综合和又衡的耳系统：宝可用来告偿意专企管理的热情以以及泛地改进建议并发你白己的指内
本实用规则可以认为无发组具沐税导药起点本实用规则中的指邓控制不全都民以用的：而且，可以要求本标准中卡包活的对如惊制，当安生这况时，供求交义引迅能足有用的，该交更引用决于审该员和业务有进行等合性检验，1范曲
信息技术信息安全管理实用规则GB/T1971E—2005
本标推对信息安全管理沿山建以·供负丧在尽组织序动实施或组护安全的人员伙用：本标准为关发组织的安全标准和有效心安全管理做达使供公兵基础，并提供纠织闻交在的信但。本标准的推荐内容应按照适用的我国法拌和法以选弹利使用.2术语和定文
下到语利定适用工本标准。
信息安全Tnfirmaliongecurlty
保持信息的保确性、定转性和可用性、信性
确保信息仪被已投权访问的人访向。完整性
保护信总及处力法约准确性和完备性。可用性
确保刊控权用户在需要时可以访回息利相关资产2. 2
风险评估RIskBssessment
信总和信总处理垃施的或脐影响信息和信息处划！读施白身的瞻需性以及它们出现的可能性的评。
风险管理Riskmanagemenl
科对可接受的费用而产，标识、控制和尽量减少（感消除)可能些响信需统的安全风险的过医。3安金肇略
3.1信息全策略
日的，提以管理方向和支持信息安会，资到层应判定消晰的策陷方向，抗通过准整个组此中候发和经护信息安企策珞文志明对信息安全的支拉承诺，
3.1.1信患安全策略文档
策略文件要山管理层批确，当合造时，将共发布诊传递绘所有员1，策略交当应说明管事诺：卡提山组织的管理信息案全的速释举少，度包站下列指自：a）信息安全定义，其总口标和范用以及在信息共享无许机制下安全的再要件（引吉）：b）首理尽意图的说明以义持信息安全的民标和床则；）对组特别五要的安全策咚，险则、标推和符合毕要求的简要说明，划如：Gll/r19716—2305
服从法待和合网要求！
2）安企教育要求；
3）方范和检测满声和其他恶意较件：=）业务连续性管理！
5）支全策略反的后其
d）安会信息咨刊（包活报省安拿出故>的总职责和持定职责内定义e：引月可以支孙策培的文挡，到如，特定信总系就第计判的安全策降利规群，或刃户应进守的表全熟则。
应以的期药该考道合的，可施问的祈可解的形将策略递给整个组烈的用户。3.1.2评中和评价
该宽略应有专人贷贵，位接照所定义的评审过种心变共确护和评中：该过程底确保：依据影响察风险让估些的们句变史例如，否大的安全车故，新的范弱性和随生十成技术上内考账设施第变史让行扫成的评审，还要安排下刻周期件评审：）通过所记录安全事数的性压、数月利影均证明策喀的方微：b）控制对业务微率和成本的影询：心技术变更的影响。
4组织的共全
4.1信惠安全基础按施
日的：节理组织范中内的信息安全.虚实文管抑抵架，以启动和些制组须范生内的信息安全的实感应边立有管理实导人员意加内树应的智理协制小组，以接准整个组数内的信应资全策略，器录安全角色以处协调安全的实趣，芋需典，在纠义节丑内中守专家价点公全建议综始资料·并在组织内可利出该降料。费发展与外部安全专家的买系，公便限1行业造势，跟障听准和评估力法，单且与游及安会出改时，提供相适应的联终点点。应效励信息安全的多学科途径，证，感质诸划保险和风险竺理等领域内的管理者，用户行收骨问者、应改素，中核质安会限、以及专业技术然续工人的台作和协性。
管理情惠安全办调小组
信息支全是百理同队所有成员所其司座小的业务川卖因此，认为管理协调小组能确保安全举招有停晰的方尚和行得更的智理层支持：该动用小要通过合适的承诺和足够的源来促进组范书均安夺。该协間小组心以是现有世年团体的部分，一股，这种为词小差报下刻李所：计申和核推信总安企英略和总该帜支！）监管尽评十三费或助下的信息资产年大变史）评律和监督停息安产放：
山！批汇培要信总安全的量人单措。H一名售理考质市与索全树关所为新动。4.1.2信息安全协调
车大型组织中，有必要成立一个止务相关部「的管\！北表组的跨部门的协心纽，以调信息安全举制拱放的实，敏说·这群的协调小组次行议下方范工作：8：商定整个组费中信总发企的待定角免付志：b商定信点安的特定占达和过,例如，实险评·安全分类休系：新亲和支持纠纠范用的信息安企举措：例如·安全总训教孕计）确架安全尼信忌现到过医的一部分：GB/T19716—2C05
*）评新系缔或股务的特定信息安个控制考无分程度，并协谢实施这些控制）评审信良安全放：
5）促进整个组织信息安全的业务支持的可现。4.1.3信患安全职表的分配
保护各种资产以&进行特定安全处理的帜志成于以清晰地定义。信息安全策略！以第多空应刘到内的安年色们职大的分前提供全面半导。需要：成用称求场地，系统或眼务用的更详指导子以补允，各个物理改信息资产利安全过程（范如业务连续性规划)的部配责典下以清渐能定文，在许多组纠中，将任命一倍长安全管承者全而您责交全的开发和实施，并支提产制的标证。签而提供产制资想并实范这些控制的职变适带归十各个管圳者。种通带的做达是对年烂息资产指定名为任人，四此，对谈倍点资产的日常安会负变，估息资产的员任人可以将他们的安全职资委州龄各人管者或瞬务提供者，尽管如此，该大任人仍展终克该资严的安全，许且也应能随定任何要托的职丧是零已被正确地股行。再要的走每个管理者负或的额域要予以清渐的机定：特别是·位进行下列工，1）与再个独立系统相关的各种资产计安全在程序于以标识并清晰地定义：b）应商定每一资产或安全过程的普燕占职责，并且应形就泌职方的活节文档）投权级别监断均子以定文，准影最文档，1.1.4信总处理设施的接投逻书
险建文新信息处圳设施的理受效过理.理成卡密下列控到：
以1新设施更有相虚用户管理层的批地，以授权设范的月途快用。还要获得负责维护本地系统点全升境的管理者出津，以砸保所相关变全策略和营求得足：h！芳需要.硬抗和数件应走行检验，以拥保它价与其他系统部件兼容：注：对其些注楼以要求型或栏。）对处理整务信息利所必些控制所建用的个人宿退处理没地进授权！1使用工场地内的个人信总处重这施可能羽起新闪胎将也：以此，要进行评件和授权。这此径制在已组快例络的环宽中等别重要：4.1. 5要家的信息安全难议
专家的安全建能是许安组织需药在概念].，一个有经验的内带管息安全顾间要提供这种坐议：不无所组划都养望聘用专家照间，在这样的请况下，注议确定专门人如协词内部证识和经验，以确保致性，净且在作出安企划定时起供费勤：务个组织出应防间适台的外部顾向.领回们券供踏H各组！自身轻验的专家议
应对估总安全顾问或工这和应人员分旅供供迎没的任务，即使用他们自已的或外前的建议来是供美于信息安全齐为面内多议，位们评定页全啦的示量利关」控的建位将确定该组织的片良安全的有效性。为如高有效性和量如效果，要元许他门百满访问整人组！中的性理层。齐怀动发生安全中放或达姚之心的以叫能价版，要咨询信息安全顾问或合向中剂应的指定人以提供专：指导或词责资源的原始资剂，鱼然大多数内部安全调食将通案在管理制下进行·似可以运求信息安全顾问对调去证供建议，引导或进行这种调查。1.1.6组织之闻的合牛
要保持与达求行机构，制法现机构，信自服务录供者扣电借泛售商的相应账系，以确保力出现安全步故时可以快逗来取适业行或并井非得理议。同接，要卡忠安全团体礼行证协调小距的成页，安全信息的交资恶受到限制，以说保不把该组纠的保案信息传递给.不授权的个人。(GB\T1971E—2055bZxz.net
4.1,7信息安全的独立评中
信息安全策略义挡（见，1握出信良安企策略和费，其实施要独守地予以许宣，以提供保证，即保证组织的变感正确地之映「策珞，并厂保证多策陷是可行的和在败的克12.2），法样的还凸可以通过内部中核联，独立的答理者或专”缴这种评审的费三力组期来进行·备件片这些低选者有业的技能和管效，4.2第三方坊问的安全
门的，维护被第一方所防问的纠组的信总处理改施和信良资产的安企：被第三方谢间的期组求信总处理设施应于以控制：凸有一种业务需要这和第二方认问间·就要讲行风险评括，以将定安全短酒和整制要求。在与第一方受引的同中要商定定义制，第三方问还可能包其他勺看。龄了第一方国的会间要包括指是其他合格象与者及共访问的系件的许可限离，
个标准以以用价这和合同的基灿以及老思外有估息处理时的然世：4.2.1标识第三方访问的网险
4.2.1.1坊问类型
陷予第兰的将间整双对则宣要：到如，适过网络进接能访问网验由下物再访导敏的风险不同。应了议增的访间类型有：
a）物理网，例红访问办公室，计算礼机房：栏案牢；）逻访间，例虾，访问组织的数握库，信息系统，4.2.1.2访向的原因
有许多限因叫以控·第一方访品，例如，向料源段供股务判不在现场的第一方，可以接手物到和逻期券间校：谐如：
：：使件和教支持人所他们声层访系统敬或低缴别的应用功能度，b）宽品伙作或美合投资者，们可以交换件息，访问信息系统或共享数据库。士不免分拍岁全贷理请况下了第三方谢问，可能把信总置于以险中。齐有业将声要造按到觉为地划，那入盘达行文险评出，以标认出特定控制的作何要求：要考成所要求的疗问类型、倍点的价估、第“方所刻用的控制以及这许司连到逐组东的佰负资全。4.2.1.3现场合同方
车方合司中新定义件·股时间内告千我场的第一方可能导致安全弱点：现场第二方的创子包括：
硬件和软件维护与文持人员
1）尚汇、龄养、发全军卫和其征外他支持限务：）实少学生或共他期临时工作人员：d瞬间。
更要的是要理解再要牛么丫所炸制来普第一方对信息处圳设施的访回。数术说，1第·方访同导效的所有安全安求就者内控制流在第三方合瓦反决出来（也见4.？，2，例划，知集对于信息的误密上有是拍书至，可以使市不泄露没（见1.。只有在实池了适当的控制措年签定！满首连接和访向染款的个同之，第一方小可以访问信息和信息理设施
4.2.2第兰方合同中的安全要求
泌及第三方易问统织信总处埋改施的协议要以他含或引用既有互要要求的上式合同为基础，以确保符合组款的安全策略和析准，该合同宏谢民车该妇织和第三为之而不存在误料，至干其供应商的贮4
禁问题，务比织应白行解泌，个中虚考虑下列条款：a）件息安企的通用策略：
资产保护，包款：
！保护组求资产包据信息折较件的规让；确定资产足文量到他许（例上失数据或修政数铅）的现程2
GB/T19716—2305
确保么合同载山时或合同热行期血双占同意的案·时段对信总和资严的还或销设的3
控制：
完匠王件：
5）对携可相消露信息内限制：
要投供每项报务闪描运！
能级级
孝产调，人员转职出规定：
协议致方范拓关义务
关干法计乎小例如，数期保扩法净）的责在。如果该合同涉及与其他国家的组织的合作，持要考出到为后拍国家法依系（也见1：谢识产校(IPR和版权转让(见12..2)以及可坏作生下作的保扩（6.1.3)访问控制办设，包括：
许范访间方法，唯一际识符（谐如用户山可口令的整制和使月，用访问和待权的投投过望！
维忙被授权使出正在落供的服务拍个人注半的要求以及低们与这种用相关的权利和特3
校卵此：
可证的性能要求的定义，监肾据！k
监恒和搬销书广耐司的权利：
市核合同职本的权利或把策一方进行这些中核的权利tt:
进立逐级解决问愿的过程生适合书情况下，也应考语意外乎收孕排，关干地许和软科安装和维护的典变；种渐的报告结构和商定的报告格式；-种法晰规定的变安管理过泽：
恒票安的物理保扩按制制机制.以确保造守应些控制：亚户行管圳者在法，规程和安全的培训：确保防范恶意软片的控制指施（见%，3」报生、通知机设查安全乐收和安全注质的安排；你指式有转他商的第二方。
4.3外包
百的：信息处理的职这录在外包给共他组识时继护信息安季外包家非应在双方的合同中拖出带息系统、网络可/或完面环境的险、安全控划和见程。4.3.1外包合同中的安全要求
组纠.的估息系统，网络和/或末面环境关仓部或某收部分的管理和整制还行外空时，要在双方行实的个同自指出专全系求。
司中指
E，如何满是法什要疗.例如，数据保护法试！）有计承表折可谢保外包所涉皮等务（包据转包商道其案全账：
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。