ISO/IEC 13335-4：选择IT安全防护措施的指南

"ISO/IEC 13335-4是信息技术安全管理指南的一部分，重点关注防护措施的选择。该标准提供了一套指导原则，帮助组织在考虑业务需求和安全风险时，选择适合的安全措施来应对各种安全关注点。文档强调了在特定组织环境中选择和实施防护措施的过程，并解释了这些措施如何支持ISO/IEC 13335-3中提出的IT安全管理方法。 在ISO/IEC 13335-4中，内容涵盖了多个关键领域： 1. **范围**：这部分标准定义了其适用范围，包括如何在IT系统中选择有效的防护措施，以确保业务连续性和安全性。 2. **引用标准**：列出相关的信息技术和安全标准，作为制定防护措施的参考。 3. **定义**：提供了必要的术语和定义，以便理解和应用标准中的概念。 4. **目的**：阐述选择防护措施的目标，旨在提供一个结构化的、基于风险的方法来确定和实施安全控制。 5. **概述**：概括了选择过程和基线安全的重要性，强调了组织内部政策和策略的角色。 6. **防护措施的选择和基线安全概念**：讨论了如何评估现有的和计划中的防护措施，以及如何根据IT系统类型选择合适的基线安全措施。 7. **基本评估**：包括识别IT系统类型、物理/环境条件，以及现有或规划中的安全措施的评估。 8. **防护措施的详细分类**： - **组织和物理的防护措施**：涵盖IT安全策略、合规性检查、事故响应、人员培训、操作问题处理、业务连续计划和物理安全。 - **IT系统特有的防护措施**：涉及识别和鉴权、逻辑访问控制、审计、恶意代码防护、网络管理、加密等。 9. **基线方法**：根据IT系统的特性来选择通用和特定的防护措施。 10. **根据安全关注点和威胁选择防护措施**：评估不同类型的威胁（如保密性、完整性、可用性等）并提出相应的防护措施。 11. **安全关注点评估**：深入分析各种可能的破坏，如窃听、电磁泄漏、恶意代码攻击、未经授权的访问等，并为每种关注点提出防护策略。 通过这份指南，组织可以更有效地管理其IT安全，确保其信息系统能够抵御各种威胁，同时满足业务的需求和法规要求。对于IT安全专业人员来说，ISO/IEC 13335-4提供了实施全面安全管理体系的重要框架和实用工具。"