ISO 13335-4：信息技术安全管理指南-防护措施选择

"ISO 13335 中文版-4" ISO 13335 是一套由国际标准化组织（ISO）发布的关于信息技术安全管理的指南，主要目标是指导如何有效地实施信息安全防护措施。这份文档的第四部分专门讨论了防护措施的选择以及基线安全概念。以下是对该标准部分内容的详细解释： 1. **范围**：ISO 13335-4 针对的是信息技术领域的安全技术，特别是如何选择和应用防护措施，以确保信息系统的安全。 2. **引用标准**：在制定防护措施时，通常会参考其他相关标准，这些标准可能包括其他ISO或IEC（国际电工委员会）发布的标准，以确保一致性与合规性。 3. **定义**：文档中可能会提供一系列关键术语的定义，以确保读者对专业术语有共同的理解。 4. **目的**：该部分的目的是提供一个框架，帮助组织确定适合其特定IT系统的安全防护措施，并理解如何依据不同的安全关注点和威胁进行选择。 5. **概述**：这部分将介绍选择防护措施的一般原则和方法，包括基线安全的概念，这是确保基础安全水平的重要手段。 6. **防护措施的选择和基线安全概念**：基线安全措施是针对所有IT系统的基本要求，而选择防护措施则需要考虑系统的具体特性、环境条件以及面临的威胁。 7. **基本评估**：在选择防护措施之前，需要对IT系统类型、物理/环境条件以及现有或计划中的安全措施进行评估，以便确定需求和差距。 8. **防护措施**：涵盖了组织层面和物理层面的安全措施，如安全管理、策略制定、事故响应、员工培训、操作流程、业务连续性计划以及物理安全控制。同时，还包括特定于IT系统的防护措施，如识别和鉴权、逻辑访问控制、防范恶意代码、网络管理以及加密等。 9. **基线方法**：这部分详细介绍了如何根据IT系统的类型选择通用和特定的防护措施，以形成基本的安全基准。 10. **根据安全关注点和威胁选择防护措施**：通过评估各种安全关注点，如保密性、完整性、可用性、可审计性、鉴权和可靠性，来选择相应的防护措施。对于每种关注点，都列举了可能的威胁和对应的防护策略。 例如，针对**保密性**，防护措施可能包括防止窃听、电磁泄漏、恶意代码攻击、身份伪造、错误路由、软件失效、盗窃以及未经授权的访问。对于**完整性**，可能的防护措施则涉及存储介质的老化和维护错误。 ISO 13335-4 提供了一套全面的方法论，帮助组织建立和实施一套有效的信息安全管理体系，以抵御不断变化的威胁环境。它强调了评估、选择和实施防护措施的重要性，以确保信息资产的安全性和业务的持续性。