信息和通信技術(shù)安全管理標(biāo)準(zhǔn)(ISO/IEC TR 13335)(相關(guān)知識(shí))

時(shí)間：2022-10-15 02:30:01 | 來(lái)源：信息時(shí)代

時(shí)間：2022-10-15 02:30:01 來(lái)源：信息時(shí)代

    信息和通信技術(shù)安全管理標(biāo)準(zhǔn)(ISO/IEC TR 13335) : 1996—2001年國(guó)際標(biāo)準(zhǔn)化組織(International Organization for Standardization,ISO)和國(guó)際電工委員會(huì)(International Electrotechnical Commission,IEC)聯(lián)合發(fā)布的關(guān)于信息和通信技術(shù)安全管理的一系列國(guó)際標(biāo)準(zhǔn)。
信息和通信技術(shù)安全管理標(biāo)準(zhǔn)共包括五個(gè)部分:第一部分有關(guān)信息技術(shù)安全管理的基本概念和模型,屬于宏觀性介紹信息技術(shù)安全管理。第二部分是從組織規(guī)劃與管理、風(fēng)險(xiǎn)管理、項(xiàng)目實(shí)施、后續(xù)維護(hù)和監(jiān)控流程,以及項(xiàng)目集成工作等方面介紹信息技術(shù)安全管理,目的是建立一套維護(hù)信息技術(shù)安全的工作程序。第三部分描述和推薦了相關(guān)的管理技巧。主要包括:①安全策略、需求和公司信息技術(shù)安全措施的發(fā)展分析。②公司風(fēng)險(xiǎn)分析策略的選擇識(shí)別和評(píng)估風(fēng)險(xiǎn)。③安全防范意識(shí)和安全培訓(xùn)在內(nèi)的安全措施實(shí)施。④檢測(cè)安全策略的符合性,監(jiān)控措施,變更管理的實(shí)施和故障處理流程。第四部分是安全措施的選擇,分兩個(gè)層次分析。一是從系統(tǒng)類型的識(shí)別、物理環(huán)境、對(duì)現(xiàn)有和規(guī)劃的安全措施的評(píng)估等考慮安全措施的選擇。其次,將安全措施分為組織/物理的安全措施和針對(duì)特定系統(tǒng)的安全措施。組織與物理安全措施主要考慮信息技術(shù)安全管理和策略、安全符合性測(cè)試、故障處理流程、人員構(gòu)成、操作規(guī)范、業(yè)務(wù)持續(xù)性計(jì)劃和物理安全。第五部分是網(wǎng)絡(luò)安全處理,主要包括:①安全服務(wù)管理。②身份識(shí)別和認(rèn)證。③審計(jì)記錄。④入侵檢測(cè)。⑤惡意代碼保護(hù)。⑥網(wǎng)絡(luò)安全管理。⑦安全網(wǎng)關(guān)。⑧網(wǎng)絡(luò)上數(shù)據(jù)的加密。⑨網(wǎng)絡(luò)上數(shù)據(jù)的完整性。⑩數(shù)據(jù)校驗(yàn)等。