《《13335-1._IT安全的概念和模型》.pdf

信息技术 安全技术 信息技术安全管理指南 第1 部分：IT 安全的概念和模型 ISO/IEC TR 13335-1 注：本文件为个人自行翻译，因译者水平有限，其中错误再所难免，希望大家能够多扔板砖， 西红柿亦可以考虑，臭鸡蛋的不要，鲜花尤佳，孔方兄最棒，美女那是我的最爱^_^ 。 本文件仅为网上共享学习之用，未经书面授权，不得用于任何商业用途。 偶，刘青，ID 易水寒江雪，半路出家搞安全管理，希望和大家能够多多交流，也希望各位 大虾多多指正。Email:liuq1217@163.com；MSN ：liuq1217@ 。 Translator ：freesoul Page 2 of 2 ISO/IEC TR 13335-1 目录 前言 执行总结 简介 1 范围 2 引用标准 3 定义 4 结构 5 目的 6 背景 7 IT 安全管理概念 7.1 方法 7.2 目标、战略和策略 8 安全要素 8.1 资产 8.2 威胁 8.3 脆弱点 8.4 影响 8.5 风险 8.6 防护措施 8.7 残余风险 8.8 限制条件 8.9 模型 8.10 安全要素之间的关系 8.11 风险管理的关系 9 信息技术安全管理的过程 9.1 风险管理 9.2 风险分析 9.3 可审计性 9.4 监视 9.5 安全意识 9.6 配置管理 9.7 变更管理 9.8 业务连续性计划 9.9 IT 安全要素 9.10 IT 安全管理过程 10 总结 Translator ：freesoul Page 3 of 3 ISO/IEC TR 13335-1 1 范围 ISO/IEC TR 13335 包含了关于IT 安全管理的指南。ISO/IEC TR 13335 的第1 部分介绍了基 础性的管理概念和模型，这些管理概念和模型对于了解IT 安全至关重要的。这些概念和模 型将在剩余部分予以进一步的讨论和发展，以提供更多详细的指导。这些部分可以一起使用， 以助于识别和管理IT 安全的所有方面。第1 部分的内容对于全面理解ISO/IEC TR 13335 的 后续内容是非常必要的。 2 引用标准 信息技术－安全技术－IT 安全术语第6 号标准文档:1998 ISO7498-2 ：1998 信息处理系统－开发系统互联－基本参考模型－第 2 部分：安全 架构 ISO/IEC TR 13335-2：IT 安全管理指南 第2 部分： IT 安全管理和策划 ISO/IEC TR 13335-3：IT 安全管理指南 第3 部分： IT 安全管理技术 ISO/IEC TR 13335-4：IT 安全管理指南 第4 部分： 防护措施的选择 ISO/IEC TR 13335-5：IT 安全管理指南 第3 部分： 网络安全管理指南 ISO/IEC 13888-1 ：1997 信息技术－安全技术－抗抵赖性－第1 部分：通则 ISO/IEC 15408-1 ：1998 信息技术－安全技术－IT 安全评估准则－第1 部分：简介和 一般模型 ISO/IEC SC 27 N 2582 入侵检测框架 ISO/IEC SC 27 N 2578 TTP 服务使用和管理指南 3 定义 下列定义将在ISO/IEC TR 13335 的5 个部分中使用： 3.1 可审计性 确保一个实体的行为可以北唯一地追溯到该实体的特性 3.2 资产 任何对组织有价值的东西 3.3 鉴权 确保一个主体或资源的身份就是其所声称的。鉴权应用于类似用户、进程、系统和信息的实 体。 3.4 可用性 一旦授权用户需要，就可以访问和使用的特性 3.5 基线控制