GB/T 20274.3-2008信息安全技术　信息系统安全保障评估框架　第3部分：管理保障.pdf

ICS 35. 040 L 80 中华人民共和国国家标准 GB/T 20274.3—2008 信息安全技术 信息系统安全保障评估框架 第3部分：管理保障 Information security technology — Evaluation framework for information systems security assurance — Part 3: Management assurance 2008-07-18 发布 2008-12-01 实施 发布 GB/T 20274.3—2008 目 次 前言ni i范围1 2规范性引用文件1 3术语和定义1 4 本部分的结构1 5信息安全管理保障框架 2 5. 1 信息管理保障概述 2 5.2信息安全管理保障控制2 5.3信息安全保障管理能力级 3 6信息安全管理保障控制类结构 4 6. 1 概述 4 6.2管理保障控制类结构 4 6.3管理保障控制子类结构4 6.4 管理保障控制组件结构 5 6. 5 允许的操作6 7 MRM管理保障控制类：风险管理6 7. 1 对象确立(MRM_TEM) 6 7. 2 风险评估(MRM_RAM) 8 7.3 风险控制(MRM_RCT) 8 7.4 沟通与监控 (MRM_CAM) 9 8 MSP管理保障控制类：信息安全策略10 1 信息安全策略 (MSP_SPL) 10 9 MSO管理保障控制类：信息安全组织机构 12 9.1 信息安全的管理支持(MS()_S()M) 12 9.2 信息安全组织架构(MS()_()RG) 13 9.3 信息安全职责(MS()_RES) 13 9.4 沟通协作(MS()_CAC) 14 10 MPS管理保障控制类:人员安全 15 10. 1 人员审查(MPS_PEC) 15 10.2安全意识和培训 (MPS_SAT) 17 10.3 考核和奖惩(M PS.CRP) 17 10.4 人事变更(M PS_PCM) 18 11 MAM管理保障控制类：资产管理18 11. 1 资产登记管理(MAM_ARM) 19 11. 2 资产管理职责(MAM_AMR) 19 11. 3 资产分类管理(MAM_ACM) 20 12 MPE管理保障控制类：物理和环境安全 20 12. 1 物理安全区域管理 (MPE.PSA) 21 T GB/T 20274.3—2008 12.2 支撑基础设施安全(MPE.SIS) 23 12.3 设备安全(MPE_EMS) 24 13 MCM管理保障控制类:符合性管理 25 14 MSP管理保障控制类：信息安全规划管理 28 15 MSD管理保障控制类：系统开发管理 30 16 MOP管理保障控制类：运行管理 33 17 MBD管理保障控制类：业务持续性和灾难恢复管理 44 17.1业务持续性管理(MBD.BCM) 44 18 MER管理保障控制类：应急响应管理 47 18.1汇报安全事件和安全漏洞(MER.REW) 47 18.2 应急响应管理