2009年国家质检总局和国家标准委共发布三项信息安全国家标准。
GB/Z 24294-2009信息安全技术 基于互联网电子政务信息安全实施指南
本指导性技术文件基于互联网电子政务建设模式是一种崭新的尝试。其安全保障具有特殊性。GB/Z24294—2009(《信息安全技术基于互联网电子政务信息安全实施指南》介绍了该标准的编制背景和主要结构,重点解读了代表基于互联网电子政务信息安全建设核心思想的信息安全保障总体架构和系统分类分域防护机制。
本指导性技术文件确立了基于互联网电子政务信息安全保障总体架构,为基于互联网电子政务所涉及的信息安全技术、信息安全管理、信息安全工程建设等方面安全要求的实施提供指导。
GB/T 24363-2009 信息安全技术 信息安全应急响应计划规范
该标准规定了编制信息安全应急响应计划的前期准备,确立了信息安全应急响应计划文档的基本要素、内容要求和格式规范。
该标准详细规定了应急响应计划的编制准备,包括风险评估、业务影响分析、制定应急响应策略;编制应急响应计划文档,包括编制总则、角色及职责、预防和预 警机制、应急响应流程、应急响应保护措施、编制计划必需的附件;应急响应计划的测试、培训、演练、管理和维护。标准以附录的形式给出了信息安全应急响应计 划的示例、业务影响分析(BIA)的示例、业务影响分析(BIA)模板、呼叫树示例和联系人清单表。
该标准是参照GB/Z20985-2007《信息技术 安全技术 信息安全事件管理指南》(ISO/IEC TR 18044:2004,IDT)等标准制定的。
制定该标准的目的的为了减少信息安全事件对组织和业务的影响。
该标准适用于包括整个组织、组织中的部门和组织的信息系统(包括网络系统)的各层面上的信息安全应急响应计划。该标准为负责制定和维护信息安全应急响应计划的人员提偌供指导。
GB/Z 24364-2009 信息安全技术 信息安全风险管理指南
该指导性技术文件规定了信息安全风险管理的内容和过程,为信息系统生命周期不同阶段的信息安全风险管理提供指导。
该指导性技术文件首先概述了信息安全风险管理的范围、对象、内容过程,以及与信息系统生命周期和信息安全目标的关系、相关人员的角色和责任,然后详细规 定了信息安全风险管理的背景建立、风险评估、风险处理、批准监督、监控审查、沟通,包括它们各自的过程和文档;信息系统规划阶段、设计阶段、实施阶段、运 行维护阶段、废弃阶段的信息安全风险管理,包括它们各自的安全目标和安全需求、风险管理的过程与活动。标准以附录的形式给出了风险处理参考模型及其需求和 措施。
该指导性技术文件是参照国际标准ISO/IEC 27005:2008《信息技术 安全技术 信息安全风险管理》等标准制定的。
制定该指导性技术文件的目的是为了落实国家加强信息安全保障工作的要求,为了实施信息安全等级保护制度的需要。
该指导性技术文件适用于指导组织进行信息安全风险管理工作。