1
/
の
12
PayPal, credit cards. Download editable-PDF and invoice in 1 second!
GB/T 31509-2015 英語 PDF (GBT31509-2015)
GB/T 31509-2015 英語 PDF (GBT31509-2015)
通常価格
$460.00 USD
通常価格
セール価格
$460.00 USD
単価
/
あたり
配送料はチェックアウト時に計算されます。
受取状況を読み込めませんでした
配信: 3 秒。真の PDF + 請求書をダウンロードしてください。
1分で見積もりを取得: GB/T 31509-2015をクリック
過去のバージョン: GB/T 31509-2015
True-PDF をプレビュー(空白の場合は再読み込み/スクロール)
GB/T 31509-2015: 情報セキュリティ技術 - 情報セキュリティリスク評価の実施ガイド
国際規格 31509-2015
国家標準の
中華人民共和国
ICS35.040
80 円
情報セキュリティ技術 - ガイド
情報セキュリティリスク評価の実施
発行日: 2015年5月15日
実施日: 2016年1月1日
発行元:国家品質監督検査総局
中国の検疫;
中華人民共和国標準化管理局。
目次
序文…3
はじめに…4
1 範囲 ... 5
2 規範的参照 ... 5
3 用語、定義、略語...5
3.1 用語と定義 ... 5
3.2 略語 ... 7
4 リスク評価の実施の概要 ... 8
4.1 実施の基本原則 ... 8
4.2 実装の基本プロセス ... 9
4.3 リスク評価の作業形式 ... 9
4.4 情報システムライフサイクルにおけるリスク評価...10
5 リスク評価の実施の段階的な作業 ... 11
5.1 準備段階 ... 11
5.2 識別段階 ... 21
5.3 リスク分析段階 ... 42
5.4 リスク処理に関する推奨事項 ... 46
付録A(参考)アンケート…52
付録B(参考)セキュリティ技術の脆弱性のチェックリスト...55
付録C(参考)セキュリティ管理の脆弱性のチェックリスト...65
付録D(参考)リスク分析の事例 ... 73
情報セキュリティ技術 - ガイド
情報セキュリティリスク評価の実施
1 範囲
この規格は、以下の実施のプロセスと方法を規定している。
情報セキュリティリスク評価。
この規格は情報セキュリティリスクの管理に適用される。
各種セキュリティによる非機密情報システムの評価項目
評価機関または評価対象組織は、組織を指導し、
リスク評価項目の実施、承認。
2 規範的参照
この文書の申請には以下の文書が必須です。
日付の記載された文書については、日付が示されたバージョンのみが適用されます。
この文書にのみ適用されます。日付のない文書については、最新バージョン(
すべての修正がこの規格に適用されます。
GB/T 20984-2007 情報セキュリティ技術 - リスク評価
情報セキュリティの仕様
GB/Z 24364-2009 情報セキュリティ技術 - ガイドライン
情報セキュリティリスク管理
3 用語、定義、略語
GB/T 20984-2007およびGB/Z 24364-で定義されている用語と定義
2009 および以下の用語と定義がこの文書に適用されます。
3.1 用語と定義
3.1.1
実装
一連の活動を実践するプロセス。
3.1.2
プロジェクト実施活動では、
プロジェクト全体の進行に影響を与える決定的な役割を果たします。
3.1.10
分析モデル
特定の基準に従って形成されたシミュレーション分析方法の一種。
評価要素を分析するための分析原理。
3.1.11
評価モデル
特定の基準に従っていくつかの評価指標を形成する
評価システムにより、比較的完璧な評価を実施
対応する活動。
3.1.12
リスク処理
リスクを受け入れる、リスクを回避するなど、リスクに対処する一連の活動。
リスク、リスクの移転、リスクの軽減。
3.1.13
受け入れ
プロジェクトの実施を終了するためのリスク評価活動で使用される方法
これは主に評価対象者によって組織され、項目ごとに評価を実施します。
評価活動の項目検査を行い、
評価目標は達成されます。
3.2 略語
この文書では以下の略語が適用されます。
AC: アクセスの複雑さ
AV: アクセスベクター
BOF: バッファオーバーフロー
CDP: 巻き添え被害の可能性
CVE: 共通脆弱性識別子
契約は、プロジェクト情報のセキュリティを確保するために厳格に実施される。
作業プロセスデータと結果データを管理し、
許可なくいかなる組織または個人にも開示されません。
c) プロセスの制御可能性:
プロジェクトを確立するためにプロジェクト管理要件に従うものとする
実施チームとプロジェクトリーダー責任制度を採用し、
プロジェクトプロセスの制御可能性を実現します。
d) ツールの制御性:
セキュリティ評価者が使用する評価ツールは、
プロジェクト開始前にユーザーに事前に通知し、ユーザーの許可を得る必要があります。
製品自体、テスト戦略など、実装されたもの。
4.1.4 最小影響原則
オンラインビジネスシステムのリスク評価には、
最小影響原則、つまり、安定した
業務システムの運用。ただし、
攻撃性をテストするには、ユーザーとのコミュニケーションが必要です
緊急バックアップを実施し、その間に
ビジネスのピーク時間。
4.2 実装の基本プロセス
GB/T 20984-2007 はリスク評価の実施プロセスを規定しています。
プロセス中のさまざまな作業内容に応じて、
リスク評価は、一般的に、評価準備、リスク評価、
要素の特定、リスク分析、リスク処理。その中でも、
評価準備段階は、評価の有効性を保証するものである。
評価、評価の始まり、リスク要素
識別段階は主にさまざまな重要な要素資産を識別して割り当てることです。
評価活動の脅威、脆弱性、セキュリティ対策、リスク
分析段階では、主にさまざまな種類の相関分析を実行します。
識別段階で得られた情報に基づいてリスク値を計算する。
リスク対応の推奨作業は、評価されたリスクに焦点を当て、
対応する治療の推奨事項を提案し、残存リスクを治療する
治療に応じてセキュリティ強化を行った後
推奨事項。
4.3 リスク評価の作業形式
GB/T 20984-2007では、リスク評価の基本的な作業形式は
情報システムは、それ自体と環境の変化に適応します。
5 リスク評価の段階的な実施
5.1 準備段階
5.1.1 準備段階の作業内容
5.1.1.1 概要
リスク評価の準備は、全体の有効性を保証するものである。
リスク評価プロセス。リスク評価はこのような側面に影響を受けるため、
組織のビジネス戦略、ビジネスプロセス、セキュリティニーズなど
システムの規模と構造、リスク評価を実施する前に、
評価の準備を行うものとする。情報セキュリティリスク
評価には組織内の重要な情報が含まれます。
評価対象組織は、
評価機関と評価者は、関連する
国家または業界の管理要件。
5.1.1.2 評価対象の決定
リスク評価は情報システムのすべての段階で実施されるものとする。
ライフサイクル。コンテンツ、オブジェクト、セキュリティのニーズはリスクの実装に
評価は情報システムライフサイクルの各段階で異なりますが、
評価対象組織は、まず情報システムの段階を決定する。
現在の情報システムの実態に応じたライフサイクル、
これにより、リスク評価ターゲットが定義されます...
1分で見積もりを取得: GB/T 31509-2015をクリック
過去のバージョン: GB/T 31509-2015
True-PDF をプレビュー(空白の場合は再読み込み/スクロール)
GB/T 31509-2015: 情報セキュリティ技術 - 情報セキュリティリスク評価の実施ガイド
国際規格 31509-2015
国家標準の
中華人民共和国
ICS35.040
80 円
情報セキュリティ技術 - ガイド
情報セキュリティリスク評価の実施
発行日: 2015年5月15日
実施日: 2016年1月1日
発行元:国家品質監督検査総局
中国の検疫;
中華人民共和国標準化管理局。
目次
序文…3
はじめに…4
1 範囲 ... 5
2 規範的参照 ... 5
3 用語、定義、略語...5
3.1 用語と定義 ... 5
3.2 略語 ... 7
4 リスク評価の実施の概要 ... 8
4.1 実施の基本原則 ... 8
4.2 実装の基本プロセス ... 9
4.3 リスク評価の作業形式 ... 9
4.4 情報システムライフサイクルにおけるリスク評価...10
5 リスク評価の実施の段階的な作業 ... 11
5.1 準備段階 ... 11
5.2 識別段階 ... 21
5.3 リスク分析段階 ... 42
5.4 リスク処理に関する推奨事項 ... 46
付録A(参考)アンケート…52
付録B(参考)セキュリティ技術の脆弱性のチェックリスト...55
付録C(参考)セキュリティ管理の脆弱性のチェックリスト...65
付録D(参考)リスク分析の事例 ... 73
情報セキュリティ技術 - ガイド
情報セキュリティリスク評価の実施
1 範囲
この規格は、以下の実施のプロセスと方法を規定している。
情報セキュリティリスク評価。
この規格は情報セキュリティリスクの管理に適用される。
各種セキュリティによる非機密情報システムの評価項目
評価機関または評価対象組織は、組織を指導し、
リスク評価項目の実施、承認。
2 規範的参照
この文書の申請には以下の文書が必須です。
日付の記載された文書については、日付が示されたバージョンのみが適用されます。
この文書にのみ適用されます。日付のない文書については、最新バージョン(
すべての修正がこの規格に適用されます。
GB/T 20984-2007 情報セキュリティ技術 - リスク評価
情報セキュリティの仕様
GB/Z 24364-2009 情報セキュリティ技術 - ガイドライン
情報セキュリティリスク管理
3 用語、定義、略語
GB/T 20984-2007およびGB/Z 24364-で定義されている用語と定義
2009 および以下の用語と定義がこの文書に適用されます。
3.1 用語と定義
3.1.1
実装
一連の活動を実践するプロセス。
3.1.2
プロジェクト実施活動では、
プロジェクト全体の進行に影響を与える決定的な役割を果たします。
3.1.10
分析モデル
特定の基準に従って形成されたシミュレーション分析方法の一種。
評価要素を分析するための分析原理。
3.1.11
評価モデル
特定の基準に従っていくつかの評価指標を形成する
評価システムにより、比較的完璧な評価を実施
対応する活動。
3.1.12
リスク処理
リスクを受け入れる、リスクを回避するなど、リスクに対処する一連の活動。
リスク、リスクの移転、リスクの軽減。
3.1.13
受け入れ
プロジェクトの実施を終了するためのリスク評価活動で使用される方法
これは主に評価対象者によって組織され、項目ごとに評価を実施します。
評価活動の項目検査を行い、
評価目標は達成されます。
3.2 略語
この文書では以下の略語が適用されます。
AC: アクセスの複雑さ
AV: アクセスベクター
BOF: バッファオーバーフロー
CDP: 巻き添え被害の可能性
CVE: 共通脆弱性識別子
契約は、プロジェクト情報のセキュリティを確保するために厳格に実施される。
作業プロセスデータと結果データを管理し、
許可なくいかなる組織または個人にも開示されません。
c) プロセスの制御可能性:
プロジェクトを確立するためにプロジェクト管理要件に従うものとする
実施チームとプロジェクトリーダー責任制度を採用し、
プロジェクトプロセスの制御可能性を実現します。
d) ツールの制御性:
セキュリティ評価者が使用する評価ツールは、
プロジェクト開始前にユーザーに事前に通知し、ユーザーの許可を得る必要があります。
製品自体、テスト戦略など、実装されたもの。
4.1.4 最小影響原則
オンラインビジネスシステムのリスク評価には、
最小影響原則、つまり、安定した
業務システムの運用。ただし、
攻撃性をテストするには、ユーザーとのコミュニケーションが必要です
緊急バックアップを実施し、その間に
ビジネスのピーク時間。
4.2 実装の基本プロセス
GB/T 20984-2007 はリスク評価の実施プロセスを規定しています。
プロセス中のさまざまな作業内容に応じて、
リスク評価は、一般的に、評価準備、リスク評価、
要素の特定、リスク分析、リスク処理。その中でも、
評価準備段階は、評価の有効性を保証するものである。
評価、評価の始まり、リスク要素
識別段階は主にさまざまな重要な要素資産を識別して割り当てることです。
評価活動の脅威、脆弱性、セキュリティ対策、リスク
分析段階では、主にさまざまな種類の相関分析を実行します。
識別段階で得られた情報に基づいてリスク値を計算する。
リスク対応の推奨作業は、評価されたリスクに焦点を当て、
対応する治療の推奨事項を提案し、残存リスクを治療する
治療に応じてセキュリティ強化を行った後
推奨事項。
4.3 リスク評価の作業形式
GB/T 20984-2007では、リスク評価の基本的な作業形式は
情報システムは、それ自体と環境の変化に適応します。
5 リスク評価の段階的な実施
5.1 準備段階
5.1.1 準備段階の作業内容
5.1.1.1 概要
リスク評価の準備は、全体の有効性を保証するものである。
リスク評価プロセス。リスク評価はこのような側面に影響を受けるため、
組織のビジネス戦略、ビジネスプロセス、セキュリティニーズなど
システムの規模と構造、リスク評価を実施する前に、
評価の準備を行うものとする。情報セキュリティリスク
評価には組織内の重要な情報が含まれます。
評価対象組織は、
評価機関と評価者は、関連する
国家または業界の管理要件。
5.1.1.2 評価対象の決定
リスク評価は情報システムのすべての段階で実施されるものとする。
ライフサイクル。コンテンツ、オブジェクト、セキュリティのニーズはリスクの実装に
評価は情報システムライフサイクルの各段階で異なりますが、
評価対象組織は、まず情報システムの段階を決定する。
現在の情報システムの実態に応じたライフサイクル、
これにより、リスク評価ターゲットが定義されます...
共有











