《《13335-3._IT安全管理技术》.pdf

  1. 1、本文档共55页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
《《13335-3._IT安全管理技术》.pdf

信息技术 安全技术 信息技术安全管理指南 第3 部分:IT 安全管理技术 ISO/IEC TR 13335-3 注:本文件为个人自行翻译,因译者水平有限,其中错误再所难免,希望大家能够多扔板砖, 西红柿亦可以考虑,臭鸡蛋的不要,鲜花尤佳,孔方兄最棒,美女那是我的最爱^_^。 本文件仅为网上共享学习之用,未经书面授权,不得用于任何商业用途。 偶,刘青,ID 易水寒江雪,半路出家搞安全管理,希望和大家能够多多交流,也希望各位 大虾多多指正。Email:liuq1217@163.com;MSN:liuq1217@。 Translator :freesoul Page 2 of 2 ISO/IEC TR 13335-3 目录 1 范围 2 引用标准 3 定义 4 结构 5 目的 6 背景 7 IT 安全目标、战略和策略 7.1 IT 安全目标和战略 7.2 公司IT 安全策略 8 公司风险分析战略选项 8.1 基线方法 8.2 非正式方法 8.3 详细风险分析 8.4 综合方法 9 综合方法 9.1 高等级风险分析 9.2 基线方法 9.3 详细风险分析 9.3.1 建立评审边界 9.3.2 识别资产 9.3.3 资产赋值和建立资产之间的依赖关系 9.3.4 威胁评估 9.3.5 脆弱点评估 9.3.6 识别已经存在的/计划的防护措施 9.3.7 风险评估 9.4 防护措施的选择 9.4.1 防护措施的识别 9.4.2 IT 安全框架 9.4.3 限制条件的识别/评审 Translator :freesoul Page 3 of 3 ISO/IEC TR 13335-3 9.5 风险接受 9.6 IT 系统安全策略 9.7 IT 系统计划 10 IT 安全计划的实施 10.1 防护措施的实施 10.2 安全意识 10.2.1 需求分析 10.2.2 方案实施 10.2.3 安全意识方案的监视 10.3 安全培训 10.4 IT 系统的批准 11 后续活动 11.1 保持 11.2 安全符合性检查 11.3 变更管理 11.4 监视 11.5 事故处置 12 总结 附件A: 公司IT 安全策略内容目录范例 附件B: 资产赋值 附件C: 可能的威胁类型目录 附件D: 常见脆弱点举例 附件E: 风险分析方法的类型 Translator :freesoul Page 4 of 4 ISO/IEC TR 13335-3 1 范围 ISO/IEC TR 13335 第3 部分介绍了IT 安全管理的技术。这些技术都基于ISO/IEC TR 13335 第2 和3 部分中介绍的通用性指南。这些指南被设计用来帮助IT 安全的实施。对第1 部分 介绍的概念和模型以及第2 部分介绍的关于IT 安全管理和策略的资料的深入掌握对于充分 理解第3 部分的内容至关重要。 2 引用标准 ISO/IEC TR 13335-1:1996 IT 安全管理指南-IT 安全概念和模型 ISO/IEC TR 13335-2:1997 IT 安全管理指南-IT 安全策划和管理 3 定义 ISO/IEC TR 13335 第1 部分的定义适用于第3 部分。第3 部分使用下列术语:可审计性、 资产、鉴权、可用性、基线控制方法、必威体育官网网址性、数据完整、影响、完整性、IT

文档评论(0)

qspd + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档