时间:2022-10-15 02:30:01 | 来源:信息时代
时间:2022-10-15 02:30:01 来源:信息时代
信息和通信技术安全管理标准(ISO/IEC TR 13335) : 1996—2001年国际标准化组织(International Organization for Standardization,ISO)和国际电工委员会(International Electrotechnical Commission,IEC)联合发布的关于信息和通信技术安全管理的一系列国际标准。
信息和通信技术安全管理标准共包括五个部分:第一部分有关信息技术安全管理的基本概念和模型,属于宏观性介绍信息技术安全管理。第二部分是从组织规划与管理、风险管理、项目实施、后续维护和监控流程,以及项目集成工作等方面介绍信息技术安全管理,目的是建立一套维护信息技术安全的工作程序。第三部分描述和推荐了相关的管理技巧。主要包括:①安全策略、需求和公司信息技术安全措施的发展分析。②公司风险分析策略的选择识别和评估风险。③安全防范意识和安全培训在内的安全措施实施。④检测安全策略的符合性,监控措施,变更管理的实施和故障处理流程。第四部分是安全措施的选择,分两个层次分析。一是从系统类型的识别、物理环境、对现有和规划的安全措施的评估等考虑安全措施的选择。其次,将安全措施分为组织/物理的安全措施和针对特定系统的安全措施。组织与物理安全措施主要考虑信息技术安全管理和策略、安全符合性测试、故障处理流程、人员构成、操作规范、业务持续性计划和物理安全。第五部分是网络安全处理,主要包括:①安全服务管理。②身份识别和认证。③审计记录。④入侵检测。⑤恶意代码保护。⑥网络安全管理。⑦安全网关。⑧网络上数据的加密。⑨网络上数据的完整性。⑩数据校验等。