ISO/IEC TR 13335

    ISO/IEC TR 13335 信息技术- 信息技术安全管理指导是份技术报告，分为5个部分

发行者

    这份报告是由ISO组织（国际标准化组织）和IEC（国际电工委员会）联合出版的，这两个机构成立了一个合作的技术委员会 ISO/IEC JTC1，SC27分小组委员会（负责信息技术安全）的任务就是出版相关的国际标准（如 ISO/IEC 17799：2000）

准则或指南发布的目标

    这份报告提供了信息技术安全管理方面的指导，分为5个部分：

    1. 概括了信息技术安全方面的管理任务，提供安全概念和模型的介绍

    2&3  用全面的观点来阐述信息技术安全的实施与管理

    4. 提供安全设施的选型指导，除了考虑安全问题和威胁之外，还需要考虑信息技术系统的类型

    5. 在介绍网络安全时，需要考虑对通信相关因素进行的鉴别和分析

企业实施指南的业务需求

l 安全管理的指导

l 结构化实施规划的需要

相关的非遵从风险

l 除非某个组织内部有需要必须遵从此标准，否则没有直接的风险

目标读者

    这份报告适用于各种类型的组织。第一部分明确地适用于那些高级管理和信息安全经理，而其他的部分则适用于那些对安全规则的实施有责任的人，如，信息技术经理和信息技术安全人员。

时效性

    从1996年出版了第一部分开始，一直到2001年才出版完成第五部分。作为技术报告，这些部分在出版后没有进行频繁的更新。第一、二、三部分目前正在修订（第一部分和第二部分将合并成新的第一部分），关于第四部分的修订也在规划之中。

认证

    目前还没有相关的认证

通用性

    目前这份报告在全球范围内得到认可

完整性

    这份标准包含了针对如何管理信息安全的全面指导。由于这份标准主要针对安全问题，因此并没有涵盖信息技术管理领域的所有职责。

可用性

    可以从ISO组织那里得到这份资料

指南及其内容叙述

    前面已经提到过，目前版本的报告包括五个部分

第一部分—信息技术安全的概念和模型

    第一部分讨论了信息技术安全的基本管理概念和模型。由于这部分没有提供关于信息技术安全的详细信息，可以作为关于信息技术安全管理的入门介绍。

    系统地实施IT安全，必须要对安全策略，职责分工，系统风险管理，变更和配置管理，灾难恢复计划，选择和实施安全措施及其后的系列活动都要有明确的定义。

    公司的目标，策略和政策影响到组织内部通用的安全目标，策略和政策，这样就形成了其特定的信息技术安全目标，策略和政策。这样的信息技术系统安全目标，策略和政策是从通用的信息技术安全方式中衍生出来的。

    主要与安全管理流程有关的因素有：

l 资产（有形资产，信息，软件，人员和无形资产）

l 威胁（人员因素和环境因素）

l 脆弱性

l 抵抗冲击的能力

l 风险

l 安全设施

l 剩余风险

l 受到的约束

    信息技术安全管理的实施过程包括以下部分：

l 配置管理(Configuration management)—配置的变更并不一定会导致安全等级的降低，然而，跟踪变更是很重要的，并且关于系统的变化都必须做好相关的资料文档（如，灾难恢复计划）。

l 变更管理 (Change management)—系统变更是一个识别系统安全需要的过程。

l 风险管理(Risk management)—风险管理将贯穿整个系统的生命周期。风险管理过程将对风险以及各种不同安全措施带来的成本和收益进行比较。

l 风险分析(Risk analysis)—通过对资产价值、威胁和脆弱性的分析，我们可以识别相关的风险，从而针对前面所提到的资产可以做出一个大致的风险描述。

l 责任划分(Accountability)—安全管理的责任必须明确地指明。资产的所有权必须明确指定。

l 安全防范意识(Security awareness)—这部分将解释安全目标，策略和政策和为什么要遵从它们。

l 监控(Monitoring)—为保证系统有效地工作，必须对安全措施进行周期性的监控。

l 业务持续性计划和灾难恢复计划(Contingency plans and disaster recovery)—业务持续性计划描述了在系统发生故障时如何保持核心业务不间断。灾难恢复计划则包含了意外事故发生后系统信息的恢复。

  [1] [2] [3] [4]