GB/T 20274.3-2008 信息安全技术 信息系统安全保障评估框架 第3部分：管理保障

　　ICS 35 . 040 L 80

　　中 华 人 民 共 和 国 国 家 标 准

　　GB/T 20274 . 3—2008

　　信息安全技术

　　信息系统安全保障评估框架

　　第 3 部分：管理保障

　　Information securitytechnology—

　　Evaluation framework forinformation systemssecurity assurance—

　　part3：Managementassurance

　　2008-07-18 发布 2008-12-01 实施

　　中华人民共和国国家质量监督检验检疫总局中 国 国 家 标 准 化 管 理 委 员 会

　　

　　发

　　

　　布

　　GB/T 20274 . 3—2008

　　目 次

　　前言 Ⅲ

　　1 范围 1

　　2 规范性引用文件 1

　　3 术语和定义 1

　　4 本部分的结构 1

　　5 信息安全管理保障框架 2

　　.. 信息安全管理保障(信息管理保障概述)控 制… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… ……

　　4

　　. 3 信 息安全管理保障控制类结(信息安全保障管理能力级)构 3

　　.. 管理(概述)保 障…控…制…类…结…构… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… ……

　　.. 管理保障控制组件结构(管理保障控制子类结构)

　　6

　　. 5 M 管(的)理(操)保(作)障 ：风…险…管…理… … … … … … … … … … … … … … … … … … … … … … … … … … … … 6

　　.. 风险评估(对象确立)(( _))

　　.. 沟通与监(风险控制)控(M( _CCTA)M ) …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… ……

　　8 MSP 管理保障控制类：信息安全策略 10

　　8 . 1 信息安全策略( MSP_SPL) 10

　　9 MSO 管理保障控制类：信息安全组织机构 12

　　9 . 1 信息安全的管理支持( MSO_SOM) 12

　　1 3

　　.. 信息安全职责(信息安全组织)架(O(MRG) 13

　　0. 4 MPS管理(沟通协作)保(障控制类(MSO_CA)C: 人())

　　.. 安全意识(人员审查)和(培训(MPS_)_ ST…) … …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… ……

　　.. 人事变更(考核和奖)惩(M(P )P )

　　11 MAM 管理保障控制类：资产管理 18

　　.. 资产管理职责(资产登记管理)(( _))

　　. 3 M PE管理保障控(资产分类管理)( M:物理和(_ACM)环)

　　12 . 1 物理安全区域管理( MPE_PSA) 21

　　Ⅰ

　　GB/T 20274 . 3—2008

　　12 . 2 支撑基础设施安全( MPE_SIS) 23

　　12 . 3 设备安全 ( MPE_EMS) 24

　　13 MCM 管理保障控制类：符合性管理 25

　　14 MSP 管理保障控制类：信息安全规划管理 28

　　15 MSD管理保障控制类：系统开发管理 30

　　16 MOP 管理保障控制类：运行管理 33

　　17 MBD管理保障控制类：业务持续性和灾难恢复管理 44

　　17 . 1 业务持续性管理( MBD_BCM) 44

　　18 MER 管理保障控制类：应急响应管理 47

　　18 . 1 汇报安全事件和安全漏洞( MER_REW) 47

　　18 . 2 应急响应管理( MER_IMI) 48

　　19 安全管理能力级说明 50

　　19 . 1 概述 50

　　.. 信息系统安全保障管理(安全管理能力级别说明)能 力…级…别…应…用… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… …… ……

　　参考文献 54

　　图 1 信息系统安全管理保障控制类 3

　　图 2 管理保障控制类结构 4

　　图 3 管理保障控制子类结构 5

　　图 4 管理保障控制组件结构 5

　　图 5 风险管理( MRM)管理保障控制类分解 7

　　图 6 信息安全策略( MSP)管理保障控制类分解 10

　　图 7 信息安全组织机构( MSO)管理保障控制类分解 12

　　图 8 人员安全( MPS)管理保障控制类分解 15

　　图 9 资产管理( MAM)管理保障控制类分解 18

　　图 10 物理和环境安全( MPE)管理保障控制类分解 21

　　图 11 符合性管理( MCM)管理保障控制类分解 25

　　图 12 信息安全规划管理( MSP)管理保障控制类分解 29

　　图 13 系统开发管理( MSD)管理保障控制类分解 31

　　图 14 运行管理( MOP)管理保障控制类分解 33

　　图 15 业务持续性和灾难恢复管理( MBD)管理保障控制类分解 44

　　图 16 应急响应管理( MER)管理保障控制类分解 47

　　图 17 信息系统安全保障管理能力要求级别示例图 53

　　Ⅱ

　　GB/T 20274 . 3—2008

　　前 言

　　GB/T 20274《信息系统安全保障评估框架》分为以下四个部分：

　　— 第 1 部分：简介和一般模型;

　　— 第 2 部分：技术保障;

　　— 第 3 部分：管理保障;

　　— 第 4 部分：工程保障 。

　　本部分是 GB/T 20274 的第 3 部分 。

　　本部分由全国信息安全标准化技术委员会提出并归 口 。

　　本部分起草单位：中国信息安全产品测评认证中心 。

　　本部分主要起草人：吴世忠 、王海生 、陈晓桦 、王贵驷 、李守鹏 、江常青 、彭勇 、张利 、姚轶崭 、班晓芳 、李静 、王庆 、邹琪 、钱伟明 、江典盛 、陆丽 、孙成昊 、门雪松 、杜宇鸽 、杨再山 。

　　Ⅲ

　　GB/T 20274 . 3—2008

　　信息安全技术

　　信息系统安全保障评估框架

　　第 3 部分：管理保障

　　1 范围

　　GB/T 20274 的本部分建立了信息系统安全管理保障的框架，确立了组织机构内启动 、实施 、维护 、评估和改进信息安全管理的指南和通用原则 。本部分定义和说明了信息系统安全管理保障中反映组织机构信息安全管理保障能力的安全管理能力级，以及提供组织机构信息安全管理保障内容的管理保障控制类要求 。

　　本部分适用于涉及信息系统安全管理工作的组织机构的所有用户 、开发者和评估者 。

　　2 规范性引用文件

　　下列文件中的条款通过 GB/T 20274 的本部分的引用而成为本部分的条款 。凡是注 日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分，然而，鼓励根据本部分达成协议的各方研究是否 可 使 用 这 些 文 件 的 最 新 版 本 。 凡 是 不 注 日 期 的 引 用 文 件，其 最 新 版 本 适 用 于 本部分 。

　　GB/T 20274 . 1 信息安全技术 信息系统安全保障评估框架 第 1 部分：简介和一般模型

　　3 术语和定义

　　GB/T 20274 . 1 确立的以及以下术语和定义适用于 GB/T 20274 的本部分 。

　　3 . 1

　　控制

　　管理风 险 的 方 法，包 括 策 略 、流 程 、指 南 、实 践 或 组 织 机 构 结 构，控 制 可 以 是 管 理 的 、技 术 的 或 工程的 。

　　注 1 ：控制也是控制措施 、保护措施的同义语 。

　　注 2：本部分中，主要讨论管理风险的管理方面的控制，即管理控制 。

　　3 . 2

　　信息处理设施

　　信息处理设施是所有服务或基础设施，或放置它们的物理场所 。

　　4 本部分的结构

　　GB/T 20274 的本部分的组织结构如下：

　　a) 第 1 章介绍了 GB/T 20274 的本部分的范围;

　　b) 第 2 章介绍了 GB/T 20274 的本部分所规范引用的标准;

　　c) 第 3 章描述了适用于 GB/T 20274 的本部分的术语和定义;

　　d) 第 4 章描述了 GB/T 20274 的本部分的组织结构;

　　e) 第 5 章描述了信息系统安全管理保障框架，并进一步概述了管理保障控制类和管理能力级;

　　f) 第 6 章描述了信息安全管理保障控制类的规范描述结构和要求;

　　1

　　GB/T 20274 . 3—2008

　　g) 第 7 章到第 18 章详述了提供信息安全管理保障内容的 12 个信息安全管理保障控制类的详细要求;

　　h) 第 19 章详述了反应组织机构信息安全管理保障能力的安全管理能力级;

　　i) 参考文献给出了 GB/T 20274 的本部分的参考文献 。

　　5 信息安全管理保障框架

　　5 . 1 信息管理保障概述

　　本标准第 1 部分中提出了信息安全保障模型(参见本标准第 1 部分图 3) ,在模型中，描述了信息系统安全中保障要素(技术 、工程 、管理和人员)、信息特征和生命周期三者的关系 。

　　信息安全管理保障框架是信息系统安全保障框架的一个重要组成部分，它充分反映了以风险和策略为核心 、覆盖信息系统整个生命周期的信息安全保障框架的核心思想，同时也结合了信息安全管理保障的特殊内容和要求，建立了信息安全管理保障的能力成熟度模型 。

　　信息安全管理保障能力成熟度模型包含了两个相互依赖的维度，即 “安全管理保障控制维 ”和 “安全管理保障能力成熟度级维 ”，它反映了信息安全管理保障要求的信息安全管理保障控制要求和信息安全管理能力成熟度要求这两个方面的要求 。

　　a) “安全管理保障控制维 ”由信息安全管理保障控制组成，它建立了组织机构信息安全管理保障框架的内容和工作范围 。信息安全管理保障控制使用类—子类—组件的层次化结构，每个信息安全管理保障控制类反映了信息安全管理保障特定领域工作的范围和内容，是信息安全管理保障特定领域工作最佳实践的总结 。在本部分中，共包含了 12 个信息安全管 理 保 障 控 制类，它们解决了信息安全管理保障中 “做什么 ”这个关于内容和范围的答复 。

　　b) “安全管理保障能力成熟度级维 ”由六级能力成熟度级别组成，它代表了组织机构实施信息安全管理保障控制的能力 。安全管理保障能力成熟度级同特定的安全管理保障控制类相结合，解决了信息安全管理保障中 “做得如何好 ”这个关于能力的答复，同时能力成熟度的持续改进机制也为组织机构提供了可以持续改进的长效机制 。

　　通过设置这两个相互 依 赖 的 维，信 息 安 全 管 理 保 障 框 架 在 各 个 能 力 级 别 上 覆 盖 了 整 个 安 全 活 动范围 。

　　重要的是，信息安全管理保障框架并不意味着在一个组织在其信息系统生命周期的安全管理实践中必须执行这个模型中所描述的所有过程，也不意味着执行通用实践的要求 。一个组织机构一般可依据其自身特点选择合适的方式和次序来计划 、跟踪 、定义 、控制和改进它们的过程 。然而，由于一些较高级别的通用实践依赖于较低级别的通用实践，因此组织机构应在试图达到较高级别之前，应首先实现较低级别通用实践 。

　　5 . 2 信息安全管理保障控制

　　信息安全管理保障控制建立了组织机构信息安全管理保障框架的内容和工作范围 。在信息系统安全保障评估框架第一部分简介和一般模型中，给出了信息系统安全的三维结构图，即描述了信息系统安全中保障要素(技术 、工程 、管理和人员)、信息特征和生命周期三者的关系 。信息系统安全管理保障作为保障要素的一个组成部分，不仅同同处于一个平面的其他保障要素有关联，信息系统安全管理保障更通过深入至信息系统生命周期的每一个阶段从而保证信息的保密性 、完整性和可用性来实现信息系统的安全 。 因此，为了完整地对信息系统管理进行评估，就需要将安全管理本身作为评估对象 TOE,以风险和策略为核心，并基于信息系统的生命周期分别针对其每一个阶段的重点建立各种信息安全管理控制，以确保在信息系统生命周期的整体安全，从而保证了信息系统的安全性 。 图 1 描述了信息系统安全管理保障控制框架 。

　　2

　　GB/T 20274 . 3—2008

　　图 1 信息系统安全管理保障控制类

　　从图 1 可见，信息系统安全管理保障控制框架包括三个部分：

　　a) 信息系统安全管理保障应以风险和策略为核心 。这也是信息系统安全保障的核心，因此信息安全策略( MSP)和风险管理( MRM)安全保障控制类作为独立的安全管理保障控制类并作为所有其他安全管理保障控制类的核心，充分反映了这一基础概念 。

　　b) 信息安全管理保障应覆盖信息系统整个生命周期 。信息系统典型的生命周期模型分为规划组织 、开发采购 、实施交付 、运行维护 、废弃五个阶段应用于系统产生的闭合循环周期结构 。 因此，与之对应并结合了组织机构信息系统的特殊要求，提供了信息安全规划管理( MIP) 、系统开发管理( MSD) 、运 行 管 理 ( MOP) 、应 急 响 应 管 理 ( MER) 以 及 业 务 持 续 和 灾 难 恢 复 管 理( MBD)信息安全管理保障控制类 。

　　c) 信息系统安全保障管理基础为所有信息系统安全保障管理提供基础的支持 。从信息系统安全保障管理的角度 来 看，组 织 机 构 的 信 息 安 全 组 织 机 构( MSO) 、人 员 安 全 ( MPS) 、资 产 管 理( MAM) 、物理和环境安全( MPE)以及符合性管理( MCM) 是所有信息系统安全管理保障活动所必须依赖的基础 。

　　通过上述信息系统安全保障管理框架模型的建立，即信息系统安全保障管理评估对象 TOE 的建立，就可以分别对这些具体的信息系统安全保障管理的工作产品或管理过程能力进行评估以达到对信息系统安全性评估管理评估的具体操作实践和 目 的 。

　　5 . 3 信息安全保障管理能力级

　　在管理保障控制组件中，给出了信息安全管理所涉及的管理保障控制类，它是信息安全管理过程中提炼出来的最佳的实践反映 。管理能力是遵循一个管理过程可达到的可量化范围，通过对组织机构执行安全管理每个管理保障控制类能力反映了组织机构在执行信息安全管理达到预定的成本 、功能和质量目标上的度量 。

　　3

　　GB/T 20274 . 3—2008

　　在管理保障中，信息安全管理能力级模型将列出并描述安全管理的各个能力级别，这样通过对安全管理保障控制类的执行范围和每个相应安全管理保障控制类的执行能力的综合，就可以更完善地对组织机构信息安全管理进行科学 、公正 、可度量分级的评估 。

　　在本部分的信息安全管理能力成熟度级中，共分为以下六个级别：

　　a) 能力级别 0：未实施;

　　b) 能力级别 1：基本执行;

　　c) 能力级别 2：计划和跟踪;

　　d) 能力级别 3：充分定义;

　　e) 能力级别 4：量化控制;

　　f) 能力级别 5：持续改进 。

　　关于信息安全管理能力成熟度级的详细描述，参见本部分的第 19 章 。

　　6 信息安全管理保障控制类结构

　　6 . 1 概述

　　本章定义了本部分所使用的信息安全管理保障类的结构 。信息安全管理保障类以管理保障控制类 、管理保障控制子类 、管理保障控制组件以及可选的管理增强元素来表达 。

　　6 . 2 管理保障控制类结构

　　每个管理保障控制类包括一个管理保障控制类名 、管理保障控制类介绍以及一个或多个管理保障控制子类 。 图 2 描述了本部分中所使用的管理保障控制类的结构 。

　　图 2 管理保障控制类结构

　　管理保障控制类结构的详细描述如下：

　　a) 管理保障控制类名：管理保障控制类名提供了标识和划分管理保障控制类所必需的信息，每个管理保障控制类都有一个唯一的名称 。管理保障控制类的分类信息由三个英文字符的简名组成，此简名将用于该管理保障控制类的子类的简名规范中;

　　b) 管理保障控制类介绍：管理保障控制类介绍部分提供了该管理保障控制类定义 、要求和 目 的等的整体描述 。管理保障控制类介绍中用图来具体描述此控制类中的子类 、组件组成结构;

　　c) 管理保障控制子类：管理保障控制子类部分对该管理保障控制类所包含的子类进行了详细描述 。一个管理保障控制类包含了一个或多个管理保障控制子类 。

　　6 . 3 管理保障控制子类结构

　　每 个 管 理 保 障 控 制 子 类 包 含 一 个 管 理 保 障 控 制 子 类 名 、一 个 安 全 保 障 管 理 目 的 和 一 个 或 多 个实 现 此 安 全 管 理 保 障 目 的 的 管 理 保 障 控 制 组 件 控 制 措 施 组 成 。 图 3 描 述 了 管 理 保 障 控 制 子 类 的描述结构 。

　　4

　　GB/T 20274 . 3—2008

　　图 3 管理保障控制子类结构

　　管理保障控制子类结构的详细描述如下：

　　a) 管理保障控制子类名：管理保障控制子类名部分提供了标识和划分管理保障控制子类所必需的分类和描述信息，每个管理保障控制子类有一个唯一的名称 。 管理保障控制子类的分类信息由七个英文字符的简名组成，前三个英文字符与其所属的管理保障控制类名相同，第四个字符是下划线用于连接管理保障控制类名和管理保障控制子类名，最后三个英文字符是管理保障控制子类名，例如 XXX_YYY 。 唯一的简名管理保障控制子类名为管理保障控制组件提供了引用名;

　　b) 安全保障管理目的：安全管理保障目的描述了此管理保障控制子类所要达到的 目 的;

　　c) 管理保障控制组件：一个管理保障控制子类包含了一个或多个管理保障控制组件 。 管理保障控制组件是实现安全管理保障目的的信息安全保障管理控制措施 。

　　6 . 4 管理保障控制组件结构

　　管理保障控制组件是实现安全管理保障目的的信息安全保障管理控制措施 。每个管理保障控制组件包括一个管理保障控制组件名 、一个管理保障控制组件控制 、一个可选的管理保障控制组件注解和一个或多个可选的管理增强元素组成 。 图 4 描述了管理保障控制组件的描述结构 。

　　图 4 管理保障控制组件结构

　　5

　　GB/T 20274 . 3—2008

　　管理保障控制组件结构的详细描述如下：

　　a) 管理保障控制组件名：管理保障控制组件名用于标识管理保障控制组件 。 管理保障控制组件的简名是由管理保障控制子类名，后面使用句点作为连接符，在句点连接符后用阿拉伯数字按顺序标明不同的组件;

　　b) 管理保障控制组件控制：管理保障控制组件控制部分定义了满足其管理保障控制子类安全管理保障目的特定的控制措施;

　　c) 管理保障控制组件注解：可选的管理保障控制组件注解部分为该管理保障控制组件提供了进一步描述性的解释说明以及实施该控制措施的最佳实践的建议等 。管理保障控制组件注解中所提供的最佳实践等内容可能不一定适合所有的情况，本部分的使用者可以根据其自身信息安全管理保障的特殊需求和要求使用其他更合适的实施方法;

　　d) 管理增强元素：可选的管理增强元素为管理保障控制组件提供了控制强度的措施 。 管理增强元素主要用于两种情况：

　　1) 为管理保障控制组件提供附加但相关的控制;和/或

　　2) 增 加 管 理 保 障 控 制 组 件 的 强 度 。

　　当组织机构基于风险评估的结果 ，考虑损失的潜在影响而需要更强大的保护或者需求对管 理 保 障 控 制 组 件 进 行 加 强 时 ，可 以 选 择 管 理 增 强 元 素以 增 加 管 理 保 障 控 制 组 件 的 强度 。 管 理 增 强 元 素 的 简 名 是 由 管 理 保 障 控 制 组 件 名，后 面 用 句 点 作 为 连 接 符 ，在 句 点 连接符后用阿拉伯数字按顺序标明不同的元素 。

　　6 . 5 允许的操作

　　本部分安全管理保障控制组件可以像在本部分中定义的那样使用，或者通过使用安全保障控制组件允许的操作，对安全保障管理控制组件进行裁剪，以满足特定的安全策略或对付特定的威胁 。安全管理保障控制组件标识并定义了组件是否允许 “赋值 ”、“选择 ”和 “细化 ”等操作，在哪些情况下可对组件使用这些操作，以及使用这些操作的后果 。这两种允许的操作如下所述：

　　a) 赋值：当组件被应用时，允许规定所填入的参数;

　　b) 选择：允许从组件表中选定若干项;

　　c) 反复：允许一个组件与不同的操作一起多次使用;

　　d) 细化：允许增加细节 。

　　一些需要的操作可以在 ISPP 内完成(整体或部分地)，或者留在 ISST 内完成，不过所有操作必须在 ISST 内完成 。

　　7 MRM 管理保障控制类：风险管理

　　信息安全管理保障是以风险和策略为核心 。本类的 目 的是建立一套风险管理体系，通过对象确立 、风险评估 、风险控制三个基本步骤，并将沟通与监控贯穿于这三个步骤中，进行信息安全风险管理与防范，将系统风险降低到可接受的水平 。

　　图 5 描述了风险管理管理保障控制类的组成结构 。

　　7 . 1 对象确立(MRM_TEM)

　　7 . 1 . 1 安全保障管理目的

　　根据要保护系统的业务目标和特性，确定风险管理对象 。

　　识别信息系统资产，并评价资产价值 。

　　根据信息系统安全需求，确定风险评价准则 。

　　6

　　GB/T 20274 . 3—2008

　　图 5 风险管理(MRM)管理保障控制类分解

　　7 . 1 . 2 MRM_TEM.1 确定风险管理对象

　　7 . 1 . 2 . 1 管理保障控制组件控制

　　确定信息安全风险管理的范围和对象，以及对象的特性和安全要求 。

　　7 . 1 . 2 . 2 管理保障控制组件注解

　　确定风险管理对象时应综合考虑组织机构的使命 、业务 、组织结构 、管理制度和技术平台，以及国家 、地区或行业的相关政策 、法律 、法规和标准等 。

　　风险管理对象确定后，应进行进一步的对象调查，主要包括：

　　a) 信息系统调查：调查风险管理对象的业务目标 、业务特性 、管理特性 、技术特性;

　　b) 信息系统分析：分析信息系统的体系结构和关键要素;

　　c) 信息安全分析：分析信息系统的安全环境和安全要求 。

　　7 . 1 . 3 MRM_TEM.2 识别和评价资产

　　7 . 1 . 3 . 1 管理保障控制组件控制

　　识别与风险管理对象相关的系统资产，并根据资产安全价值进行估值 。

　　7 . 1 . 3 . 2 管理保障控制组件注解

　　对资产估价的过程也就是对资产保密性 、完整性和可用性影响分析的过程 。应从敏感性 、关键性和

　　7

　　GB/T 20274 . 3—2008

　　昂贵性等方面制定一个资产价值尺度(资产评估标准)，以明确如何对资产进行赋值 。

　　7 . 1 . 4 MRM_TEM.3 制定安全基线

　　7 . 1 . 4 . 1 管理保障控制组件控制

　　组织机构应在风险评估前制定系统安全基线 。

　　7 . 1 . 4 . 2 管理保障控制组件注解

　　所谓安全基线是指满足信息系统的基本安全要求，使系统达到一定安全水平的一组安全控制措施 。

　　制定系统安全基线是有效实施风险评估的前提，制定系统安全基线时应考虑系统使命 、系统安全环境 、国家法律法规和系统所属行业的安全要求 。

　　7 . 2 风险评估(MRM_RAM)

　　7 . 2 . 1 安全保障管理目的

　　识别 、分析和评价信息系统所面临的风险 。

　　7 . 2 . 2 MRM_RAM.1 识别风险

　　7 . 2 . 2 . 1 管理保障控制组件控制

　　组织机构应识别信息系统面临的威胁和存在的脆弱性 。

　　7 . 2 . 2 . 2 管理保障控制组件注解

　　组织机构应参照威胁库，识别系统资产所面临的威胁;参照漏洞库，识别系统资产存在的脆弱性 。

　　7 . 2 . 3 MRM_RAM.2 分析风险

　　7 . 2 . 3 . 1 管理保障控制组件控制

　　组织机构应分析威胁源动机 、威胁行为的能力 、脆弱点被利用的可能性以及脆弱点被利用后对系统造成的影响 。

　　7 . 2 . 3 . 2 管理保障控制组件注解

　　组织机构应根据信息系统调查结果和可能面临的威胁，从利益 、复仇 、好奇和 自负等驱使因素，分析威胁源动机的强弱;从攻击的强度 、广度 、速度和深度等方面，分析威胁行为能力的高低;按威胁/脆弱性对，分析脆弱性被威 胁 利 用 的 难 易 程 度;从 资 产 损 失 、使 命 妨 碍 和 人 员 伤 亡 等 方 面，分 析 影 响 程 度 的深浅 。

　　7 . 2 . 4 MRM_RAM.3 评价风险

　　7 . 2 . 4 . 1 管理保障控制组件控制

　　组织机构应评价威胁源动机的等级 、威胁行为能力的等级 、脆弱性被利用的等级 、资产价值等级和影响程度等级，并综合评价风险等级 。

　　7 . 2 . 4 . 2 管理保障控制组件注解

　　组织机构应汇总前期调查结果和等级列表，从风险评估算法库中选择合适的风险评估算法，综合评价风险的等级 。风险评估算法库是各种风险评估算法的汇集，包括公认算法和 自创算法 。

　　评价等级级数可以根据评价对象的特性和实际评估的需要而定，如〈高 、中 、低〉三级，〈很高 、较高 、中等 、较低 、很低〉五级等 。

　　7 . 3 风险控制(MRM_RCT)

　　7 . 3 . 1 安全保障管理目的

　　依据风险评估结果，选择并实施恰当的安全措施，将风险控制在可接受的范围内 。

　　7 . 3 . 2 MRM_RCT.1 确立控制目标

　　7 . 3 . 2 . 1 管理保障控制组件控制

　　组织机构应确定可接受风险等级，判断现存风险是否可接受，确立风险控制 目标 。

　　7 . 3 . 2 . 2 管理保障控制组件注解

　　组织机构应依据系统安全基线，确定可接受风险的等级，即把风险评估得出的风险等级划分为可接受和不可接受两种 。依据风险接受等级，判断现存风险是否可接受 。不可接受风险就是风险控制 目标 。

　　8

　　GB/T 20274 . 3—2008

　　7 . 3 . 3 MRM_RCT.2 选择控制措施

　　7 . 3 . 3 . 1 管理保障控制组件控制

　　组织机构应选择风险控制方式和风险控制措施 。

　　7 . 3 . 3 . 2 管理保障控制组件注解

　　组织机构应依据系统安全基线和风险控制目标，选择合适的风险控制方式(包括规避方式 、转移方式和降低方式)，并说明选择的理由以及被选控制方式的使用方法和注意事项等 。并进一步选择风险控制措施，并说明选择的理由以及被选控制措施的成本 、使用方法和注意事项等 。

　　7 . 3 . 4 MRM_RCT.3 实施控制措施

　　7 . 3 . 4 . 1 管理保障控制组件控制

　　制定风险控制实施计划，实施风险控制措施 。

　　7 . 3 . 4 . 2 管理保障控制组件注解

　　组织机构应依据系统安全基线 、风险控制 目标 、风险控制方式，制定风险控制实施计划 。 风险控制实施计划包括风险控制的范围 、对象 、目标 、实施方法 、成本预算和进度安排等，在实施风险控制措施时应记录实施的过程和结果 。

　　7 . 3 . 5 MRM_RCT.4 验证控制措施

　　7 . 3 . 5 . 1 管理保障控制组件控制

　　验证风险控制的结果是否满足信息系统的安全要求 。

　　7 . 3 . 5 . 2 管理保障控制组件注解

　　验证可采取审查 、测试 、评审等手段，既可以由机构内部完成，也可以委托外部专业机构来完成，这主要取决于信息系统的性质和机构自身的专业能力 。

　　验证风险控制措施时，应结合所采取控制措施对业务的重要性以及业务遭受损失后所带来的影响 。审核通过的依据有两个：

　　a) 信息系统的残余风险是可接受的;

　　b) 安全措施(包括风险评估和风险控制)满足信息系统当前业务的安全需求 。

　　7 . 4 沟通与监控(MRM_CAM)

　　7 . 4 . 1 安全保障管理目的

　　为对象确立 、风险评估 、风险控制的实施提供人员沟通机制和过程控制 。

　　7 . 4 . 2 MSP_CAM.1 沟通

　　7 . 4 . 2 . 1 管理保障控制组件控制

　　涉及风险管理的相关人员应注重风险管理过程中的沟通 。

　　7 . 4 . 2 . 2 管理保障控制组件注解

　　应为直接参与风险管理人员提供交流途径，以保持他们之间的协调一致，共同实现安全目标;为所有相关人员提供学习途径，以提高他们的风险意识 、知识和技能，配合实现安全目标 。

　　7 . 4 . 3 MSP_CAM.2 监控

　　7 . 4 . 3 . 1 管理保障控制组件控制

　　组织机构应跟踪风险管理对象自身或所处环境的变化，采取适当的措施进行控制和纠正，以保证风险控制措施的有效性 。

　　7 . 4 . 3 . 2 管理保障控制组件注解

　　在贯穿对象确立 、风险评估 、风险控制的监控过程中，组织机构应关注：

　　a) 过程质量管理 。应监视和控制风险管理过程，以保证过程的有效性;

　　b) 成本效益管理 。应分析和平衡成本效益，以保证成本的有效性;

　　c) 结果的有效性 。应监控信息系统自身或环境的变化使得现有控制措施是否失效 。

　　9

　　GB/T 20274 . 3—2008

　　8 MSP管理保障控制类：信息安全策略

　　信息安全管理保障是以风险和策略为核心 。信息安全保障策略体系规范和指导了整个组织机构的信息安全保障工作 。信息安全策略管理保障控制类提供了信息安全策略在制定和维护方面的管理，为信息安全提供符合业务要求和相关法律法规的管理指导和支持 。

　　图 6 描述了信息安全策略管理保障控制类的组成结构 。

　　图 6 信息安全策略(MSP)管理保障控制类分解

　　8 . 1 信息安全策略(MSP_SPL)

　　8 . 1 . 1 安全保障管理目的

　　通过定义一套规则来规范信息安全体系的建设 、运行和管理，为信息安全建设指明方向，使信息安全工作符合业务要求和相关的法律法规要求 。

　　管理层应建立清晰的安全策略，安全策略应符合组织机构的业务 目标 。通过在整个组织机构中发布和维护信息安全策略可以表明管理层对信息安全的支持力度和信息安全承诺 。

　　8 . 1 . 2 MSP_SPL.1 制定安全策略

　　8 . 1 . 2 . 1 管理保障控制组件控制

　　组织机构应制定安全策略文件 。

　　8 . 1 . 2 . 2 管理保障控制组件注解

　　制定信息安全策略时，应考虑如下几点：

　　a) 确定应用范围 。在制订安全策略之前一个必要的步骤是确认该策略所应用的范围，例如是在整个组织还是在某个部门 。如果没有明确范围就制订策略无异于无的放矢;

　　b) 获得管理支持 。获得管理层的支持，不仅可以从管理层获得足够的承诺，可以为后面的工作铺平道路，还可以了解组织总体上对安全策略的重视程度，而且与管理层的沟通也是将安全工作进一步导向更理想状态的一个契机;

　　c) 进行安全分析 。在安全分析中应确定需要保护的信息资产，信息资产的价值 、需要方法的威胁源 、受到攻击的可能性，在攻击发生时可能造成的损失，能够采取什么防范措施，防范措施的成本和效果评估等等;

　　d) 关键人员参与 。在制定信息安全策略时至少应有技术部门和业务部门的人员参与，应共同探讨 安 全 分 析 结 果 ，在 这 些 会 议 上 应 该 向 这 些 人 员 灌 输 在 分 析 阶 段 所 得 出的 结 论 并 争 取 这些 人 员的 认 同 。 如 果 有 其 他 属 于 安 全 策 略 应 用 范 围内 的 业 务 单 位 ，也 应 该 让 其 加 入 到 这项工作 ;

　　e) 信息安全策略文件应符合国家 、信息安全主管单位 、行业 、上级主管机关的法律法规要求;信息

　　10

　　GB/T 20274 . 3—2008

　　安全策略文件应符合组织机构的业务要求和风险管理的要求，参考相关的信息安全标准和相似组织的安全管理经验;

　　f) 信息安全策略的内容应有别于技术方案，信息安全策略只是描述一个组织保证信息安全途径的指导性文件，它不涉及具体技术实现细节，只需要指出要完成的 目标 。

　　8 . 1 . 3 MSP_SPL.2 审核批准安全策略

　　8 . 1 . 3 . 1 管理保障控制组件控制

　　安全策略文件应由组织机构决策层审核批准 。

　　8 . 1 . 3 . 2 管理保障控制组件注解

　　负责审批的管理者应与 IT部门 、业务部门人员进行充分沟通，必要时还可以聘请专家进行咨询，以便对安全策略的正确性 、有效性做出正确的决策 。

　　8 . 1 . 4 MSP_SPL.3 发布与落实安全策略

　　8 . 1 . 4 . 1 管理保障控制组件控制

　　安全策略文件应向组织机构全体员工发布，各级员工应以安全策略为指导进行日常工作 。

　　8 . 1 . 4 . 2 管理保障控制组件注解

　　信息安全策略文件应通过组织机构的主要信息发布渠道进行广泛发布，例如组织的内部信息系统 、例会 、培训活动等等 。

　　信息安全策略文件只是描述保证组织机构信息安全的指导性文件，应在其指导下建立各项安全规章制度和操作流程，使安全策略能够在组织机构中成功执行 。

　　8 . 1 . 5 MSP_SPL.4 维护更新安全策略

　　8 . 1 . 5 . 1 管理保障控制组件控制

　　应定期或当系统发生重大变更时审核安全策略以保持策略的适用性 、充分性和有效性 。

　　8 . 1 . 5 . 2 管理保障控制组件注解

　　组织机构中应设置一名管理人员负责对安全策略适用性 、充分性和有效性进行审核和评价 。 当组织机构的组织体系 、业务环境 、技术环境发生变化时，对安全的需求也会发生变化，组织的安全策略需要进行相应地调整 。为了在发生变化时，安全策略和控制措施能够及时反映这种变化，应组织定期和非定期的安全审核 。

　　安全审核主要依据：

　　a) 来自 IT部门和业务部门等相关方的反馈意见;

　　b) 所采取预防和改进措施的效果;

　　c) 以前的安全审核结论;

　　d) 信息安全策略的符合性;

　　e) 影响组织机构信息安全管理方法发生变化的因素，包括组织机构物理环境 、业务环境 、资源可用性 、技术环境以及合同或法律法规方面的因素;

　　f) 威胁和脆弱性的变化趋势;

　　g) 曾经发生的信息安全事件;

　　h) 有关权威机构的建议 。

　　安全审核的结果应包括：

　　a) 组织机构信息安全管理方法的改进;

　　b) 控制 目标和控制措施的改进;

　　c) 资源和职责分配方面的改进 。

　　应维护安全审核的记录 。

　　改进的策略应得到管理层的批准 。

　　11

　　GB/T 20274 . 3—2008

　　9 MSO 管理保障控制类：信息安全组织机构

　　信息安全组织机构是信息安全管理的基础，需要得到组织机构最高管理层的承诺和支持，建立完善的信息安全组织结构 。建立相应的岗位 、职责和职权，建立完善的内部和外部沟通协作组织和机制，同组织机构内部和外部信息安全保障的所有相关方进行充分沟通 、学习 、交流和合作等 。进一步将信息安全融至组织机构的整个环境和文化中，使信息安全真正满足安全策略和风险管理的要求，实现保障组织机构资产和使命的最终目的 。

　　图 7 描述了信息安全组织机构管理保障控制类的组成结构 。

　　图 7 信息安全组织机构(MSO)管理保障控制类分解

　　9 . 1 信息安全的管理支持(MSO_SOM)

　　9 . 1 . 1 安全保障管理目的

　　管理层应提供保障和支持，提供清晰的指导，明确安全职责，协调和审核组织机构内安全 。

　　9 . 1 . 2 MSO_IOA.1 管理层的支持

　　9 . 1 . 2 . 1 管理保障控制组件控制

　　管理层在组织机构内通过清晰的指导 、明确信息安全职责的分配和确认，提供对安全的主动支持 。

　　9 . 1 . 2 . 2 管理保障控制组件注解

　　管理层应：

　　a) 确保标识了信息安全目标，且安全目标满足组织机构要求并落实至相关的过程中;

　　b) 规划 、审核和批准信息安全策略;

　　c) 审核信息安全策略实施的有效性;

　　d) 为安全提供清晰地方向以及可见的管理支持;

　　e) 提供信息安全所需的资源;

　　f) 在组织机构内批准信息安全的特定角色和职责;

　　g) 确保信息安全控制的实施在整个组织机构中的协调 。

　　管理层应对获取的信息安全的建议和需求进行论证，并在整个组织机构内审核和协调建议的结果 。根据组织机构规模的不同，此职责可以由专门的管理机构来处理或者由现有的管理机构来处理，例

　　12

　　GB/T 20274 . 3—2008

　　如由董事会负责 。

　　9 . 2 信息安全组织架构(MSO_ORG)

　　9 . 2 . 1 安全保障管理目的

　　组织机构应建立完善的信息安全组织体系，以启动和控制组织机构内的信息安全 。

　　9 . 2 . 2 MSO_ORG.1 组织架构的建立和维护

　　9 . 2 . 2 . 1 管理保障控制组件控制

　　形成架构清晰的信息安全保障组织机构，保持整体组织结构的稳定性 。

　　9 . 2 . 2 . 2 管理保障控制组件注解

　　安全保障组织机构应：

　　1) 结合行政组织结构，建立由决策层 、管理层 、执行层组成的信息安全保障组织;

　　2) 高级行政管理层有责任组织建设信息安全保障组织;

　　3) 聘用或启用较稳定的人员从事信息安全保障有关工作，以维持组织整体结构稳定性;

　　4) 信息系统骨干工作人员在较长时期内保持工作稳定;

　　5) 信息系统骨干工作人员基于适当的培训长期保持具有能够胜任工作的技术水平;

　　6) 应有正式的合同文本以及人事相关规定;

　　7) 确保提供信息安全需要的基础资源和投资;

　　8) 信息系统工作人员具备安全意识并能得到适度的行为监控 。

　　9 . 3 信息安全职责(MSO_RES)

　　9 . 3 . 1 安全保障管理目的

　　组织机构应有清晰的和恰当的安全职责划分和职责到人，保证信息安全措施的落实 。

　　9 . 3 . 2 MSO_RES.1 信息安全职责分配

　　9 . 3 . 2 . 1 管理保障控制组件控制

　　应清晰地定义组织机构的所有的信息安全职责，并保证各项职责明确到人 。

　　9 . 3 . 2 . 2 管理保障控制组件注解

　　信息安全职责的分配应根据信息安全策略来完成 。应清晰地标识保护个人资产和执行特定安全活动的职责 。如果必要，此职责应使用更详细的指南来补充以用于特定地点和信息处理设施 。应清晰地定义保护资产和执行特定安全过程的本地职责，例如业务持续性规划 。

　　分配具有安全职责的个人可以将安全任务委托给其他人 。但他们仍旧保留职责并且应确定所有委托的任务得以正确地执行 。

　　应清晰地描述个人所负责的内容，特别是包括下列内容：

　　a) 应标识并清晰地定义每个特定的与系统相关的资产和安全活动;

　　b) 应为每个资产或安全活动指定责任人，并且给出书面证明;