1
/
의
12
PayPal, credit cards. Download editable-PDF and invoice in 1 second!
GB/T 31509-2015 영문 PDF (GBT31509-2015)
GB/T 31509-2015 영문 PDF (GBT31509-2015)
정가
$460.00 USD
정가
할인가
$460.00 USD
단가
/
단위
배송료는 결제 시 계산됩니다.
픽업 사용 가능 여부를 로드할 수 없습니다.
배송: 3초. 실제 PDF + 송장을 다운로드하세요.
1분 안에 견적을 받으세요: GB/T 31509-2015를 클릭하세요
역사적 버전: GB/T 31509-2015
True-PDF 미리보기 (비어 있으면 다시 로드/스크롤)
GB/T 31509-2015: 정보 보안 기술 - 정보 보안 위험 평가 구현 가이드
영국/미국 특허 31509-2015
국가 표준
중화인민공화국
ICS 35.040
리터 80
정보보안기술 - 가이드
정보 보안 위험 평가를 위한 구현
발행일: 2015년 5월 15일
구현일: 2016년 1월 1일
발행처: 국가품질감독검사총국
PRC의 검역;
중화인민공화국 표준화 관리국.
목차
서문 ... 3
서론 ... 4
1 범위 ... 5
2 규범적 참조 ... 5
3 용어, 정의, 약어 ... 5
3.1 용어 및 정의 ... 5
3.2 약어 ... 7
4 위험성 평가 시행 개요 ... 8
4.1 구현의 기본 원칙 ... 8
4.2 구현의 기본 과정 ... 9
4.3 위험성 평가의 작업 형태 ... 9
4.4 정보 시스템 수명 주기의 위험 평가... 10
5 위험성 평가 시행 단계적 작업 ... 11
5.1 준비단계 ... 11
5.2 식별 단계 ... 21
5.3 위험 분석 단계 ... 42
5.4 위험 치료에 관한 권장 사항 ... 46
부록 A (정보) 설문지 ... 52
부록 B (정보) 보안 기술 취약점 체크리스트 ... 55
부록 C (정보) 보안 관리 취약점 체크리스트 ... 65
부록 D (정보) 위험 분석 사례 ... 73
정보보안기술 - 가이드
정보 보안 위험 평가를 위한 구현
1 범위
본 표준은 다음의 구현 프로세스 및 방법을 명시합니다.
정보보안 위험 평가.
본 표준은 정보보안 위험 관리에 적용됩니다.
다양한 보안에 따른 비밀이 아닌 정보 시스템의 평가 항목
평가 기관 또는 평가 조직은 조직을 안내합니다.
실행, 위험 평가 항목의 수용.
2 규범적 참조
다음 문서는 이 문서의 적용에 필수적입니다.
날짜가 표시된 문서의 경우 해당 날짜가 표시된 버전만 적용됩니다.
이 문서에; 날짜가 없는 문서의 경우 최신 버전만(다음을 포함함)
(모든 개정사항)은 이 표준에 적용됩니다.
GB/T 20984-2007 정보 보안 기술 - 위험 평가
정보 보안에 대한 사양
GB/Z 24364-2009 정보 보안 기술 - 지침
정보 보안 위험 관리
3 용어, 정의, 약어
GB/T 20984-2007 및 GB/Z 24364-에 정의된 용어 및 정의
2009년 기준 및 다음 용어와 정의가 이 문서에 적용됩니다.
3.1 용어 및 정의
3.1.1
구현
일련의 활동을 실행에 옮기는 과정.
3.1.2
프로젝트 구현 활동에서 구현할 수 있는 활동은 다음과 같습니다.
프로젝트의 전반적인 진행에 결정적인 영향을 미치는 역할을 합니다.
3.1.10
분석 모델
특정한 것에 따라 형성되는 일종의 시뮬레이션 분석 방법
평가 요소 분석을 위한 분석 원칙입니다.
3.1.11
평가 모델
특정 기준에 따른 다양한 평가 지표의 형성
평가 시스템을 사용하여 비교적 완벽한 평가를 수행합니다.
해당 활동
3.1.12
위험 치료
위험 수용, 위험 회피 등 위험을 다루는 일련의 활동
위험, 위험 이전, 위험 감소.
3.1.13
수락
프로젝트 구현을 종료하기 위해 위험 평가 활동에서 사용되는 방법
주로 평가 대상 당사자가 항목별로 진행하기 위해 조직하는 것입니다.
평가 활동의 항목 검사를 통해 다음 사항을 확인합니다.
평가 목표가 충족되었습니다.
3.2 약어
이 문서에는 다음 약어가 적용됩니다.
AC: 액세스 복잡성
AV: 액세스 벡터
BOF: 버퍼 오버플로
CDP: 부수적 피해 가능성
CVE: 일반적인 취약점 및 노출
계약, 프로젝트 정보의 보안을 보장합니다. 엄격히
작업 프로세스 데이터 및 결과 데이터를 관리해야 합니다.
허가 없이 어떠한 단위나 개인에게 공개되지 않습니다.
c) 공정 제어성:
프로젝트를 수립하기 위해서는 프로젝트 관리 요구사항을 따라야 합니다.
구현팀을 구성하고 프로젝트 리더 책임 시스템을 채택합니다.
프로젝트 프로세스의 통제가능성을 달성합니다.
d) 도구 제어 가능성:
보안 평가자가 사용하는 평가 도구는 다음과 같은 사항을 알려야 합니다.
프로젝트가 시작되기 전에 사용자에게 미리 알리고 사용자의 허가를 받으세요.
제품 자체, 테스트 전략 등을 포함하여 구현되었습니다.
4.1.4 최소 충격 원칙
온라인 비즈니스 시스템의 위험성 평가를 위해서는 다음 사항을 고려해야 합니다.
최소 영향 원칙, 즉 안정된 것을 보장하는 것을 우선시하는 원칙
사업 시스템의 운영. 그러나 요구되는 작업 내용의 경우
공격성을 테스트하려면 사용자와 소통해야 합니다.
그리고 긴급 백업을 수행하며, 그 사이에 다른 시간에도 수행합니다.
업무의 가장 바쁜 시간.
4.2 구현의 기본 과정
GB/T 20984-2007은 위험성 평가의 구현 절차를 명시하고 있습니다.
작업 내용의 종류에 따라 구현 방법
위험성 평가는 일반적으로 평가 준비, 위험성 평가, 위험성 평가의 4단계로 구분된다.
요소 식별, 위험 분석, 위험 처리. 그 중에서도
평가 준비 단계는 평가의 효율성을 보장하는 단계입니다.
평가는 평가의 시작이며 위험 요소입니다.
식별 단계는 주로 다양한 핵심 요소 자산을 식별하고 할당하는 것입니다.
위협, 취약성, 평가 활동의 보안 조치; 위험
분석 단계는 주로 다양한 유형의 상관관계 분석을 수행하는 것입니다.
식별 단계에서 얻은 정보를 바탕으로 위험 가치를 계산합니다.
위험 치료 권장 작업은 평가된 위험에 초점을 맞춰 진행됩니다.
해당 치료 권장 사항을 제안하고 잔여 위험을 치료합니다.
치료에 따른 보안 강화를 수행한 후
추천사항.
4.3 위험성 평가의 작업 형태
GB/T 20984-2007은 위험 평가의 기본 작업 형태가 다음과 같다고 명시합니다.
정보 시스템은 그 자체와 환경의 변화에 적응한다.
5 위험 평가 구현의 단계적 작업
5.1 준비 단계
5.1.1 준비단계의 작업내용
5.1.1.1 개요
위험성 평가 준비는 전체의 효과를 보장해줍니다.
위험 평가 프로세스. 위험 평가는 이러한 측면에 영향을 받기 때문에
조직의 비즈니스 전략, 비즈니스 프로세스, 보안 요구 사항 등
위험 평가를 시행하기 전에 시스템 규모와 구조를
평가를 위한 준비를 해야 합니다. 정보 보안 위험
평가에는 조직 내의 중요한 정보가 포함됩니다.
평가된 조직은 자격을 신중하게 선택해야 합니다.
평가 조직 및 평가자는 관련 사항을 준수합니다.
국가 또는 산업 관리 요구 사항.
5.1.1.2 평가대상 결정
정보 시스템의 모든 단계에서 위험 평가를 수행해야 합니다.
라이프사이클. 위험 구현의 내용, 객체, 보안 요구 사항
평가는 정보 시스템 수명 주기의 각 단계마다 다릅니다.
평가된 조직은 먼저 정보 시스템의 단계를 결정해야 합니다.
현재 정보 시스템의 실제 상황에 따른 라이프사이클
그리하여 위험 평가 기준을 정의합니다...
1분 안에 견적을 받으세요: GB/T 31509-2015를 클릭하세요
역사적 버전: GB/T 31509-2015
True-PDF 미리보기 (비어 있으면 다시 로드/스크롤)
GB/T 31509-2015: 정보 보안 기술 - 정보 보안 위험 평가 구현 가이드
영국/미국 특허 31509-2015
국가 표준
중화인민공화국
ICS 35.040
리터 80
정보보안기술 - 가이드
정보 보안 위험 평가를 위한 구현
발행일: 2015년 5월 15일
구현일: 2016년 1월 1일
발행처: 국가품질감독검사총국
PRC의 검역;
중화인민공화국 표준화 관리국.
목차
서문 ... 3
서론 ... 4
1 범위 ... 5
2 규범적 참조 ... 5
3 용어, 정의, 약어 ... 5
3.1 용어 및 정의 ... 5
3.2 약어 ... 7
4 위험성 평가 시행 개요 ... 8
4.1 구현의 기본 원칙 ... 8
4.2 구현의 기본 과정 ... 9
4.3 위험성 평가의 작업 형태 ... 9
4.4 정보 시스템 수명 주기의 위험 평가... 10
5 위험성 평가 시행 단계적 작업 ... 11
5.1 준비단계 ... 11
5.2 식별 단계 ... 21
5.3 위험 분석 단계 ... 42
5.4 위험 치료에 관한 권장 사항 ... 46
부록 A (정보) 설문지 ... 52
부록 B (정보) 보안 기술 취약점 체크리스트 ... 55
부록 C (정보) 보안 관리 취약점 체크리스트 ... 65
부록 D (정보) 위험 분석 사례 ... 73
정보보안기술 - 가이드
정보 보안 위험 평가를 위한 구현
1 범위
본 표준은 다음의 구현 프로세스 및 방법을 명시합니다.
정보보안 위험 평가.
본 표준은 정보보안 위험 관리에 적용됩니다.
다양한 보안에 따른 비밀이 아닌 정보 시스템의 평가 항목
평가 기관 또는 평가 조직은 조직을 안내합니다.
실행, 위험 평가 항목의 수용.
2 규범적 참조
다음 문서는 이 문서의 적용에 필수적입니다.
날짜가 표시된 문서의 경우 해당 날짜가 표시된 버전만 적용됩니다.
이 문서에; 날짜가 없는 문서의 경우 최신 버전만(다음을 포함함)
(모든 개정사항)은 이 표준에 적용됩니다.
GB/T 20984-2007 정보 보안 기술 - 위험 평가
정보 보안에 대한 사양
GB/Z 24364-2009 정보 보안 기술 - 지침
정보 보안 위험 관리
3 용어, 정의, 약어
GB/T 20984-2007 및 GB/Z 24364-에 정의된 용어 및 정의
2009년 기준 및 다음 용어와 정의가 이 문서에 적용됩니다.
3.1 용어 및 정의
3.1.1
구현
일련의 활동을 실행에 옮기는 과정.
3.1.2
프로젝트 구현 활동에서 구현할 수 있는 활동은 다음과 같습니다.
프로젝트의 전반적인 진행에 결정적인 영향을 미치는 역할을 합니다.
3.1.10
분석 모델
특정한 것에 따라 형성되는 일종의 시뮬레이션 분석 방법
평가 요소 분석을 위한 분석 원칙입니다.
3.1.11
평가 모델
특정 기준에 따른 다양한 평가 지표의 형성
평가 시스템을 사용하여 비교적 완벽한 평가를 수행합니다.
해당 활동
3.1.12
위험 치료
위험 수용, 위험 회피 등 위험을 다루는 일련의 활동
위험, 위험 이전, 위험 감소.
3.1.13
수락
프로젝트 구현을 종료하기 위해 위험 평가 활동에서 사용되는 방법
주로 평가 대상 당사자가 항목별로 진행하기 위해 조직하는 것입니다.
평가 활동의 항목 검사를 통해 다음 사항을 확인합니다.
평가 목표가 충족되었습니다.
3.2 약어
이 문서에는 다음 약어가 적용됩니다.
AC: 액세스 복잡성
AV: 액세스 벡터
BOF: 버퍼 오버플로
CDP: 부수적 피해 가능성
CVE: 일반적인 취약점 및 노출
계약, 프로젝트 정보의 보안을 보장합니다. 엄격히
작업 프로세스 데이터 및 결과 데이터를 관리해야 합니다.
허가 없이 어떠한 단위나 개인에게 공개되지 않습니다.
c) 공정 제어성:
프로젝트를 수립하기 위해서는 프로젝트 관리 요구사항을 따라야 합니다.
구현팀을 구성하고 프로젝트 리더 책임 시스템을 채택합니다.
프로젝트 프로세스의 통제가능성을 달성합니다.
d) 도구 제어 가능성:
보안 평가자가 사용하는 평가 도구는 다음과 같은 사항을 알려야 합니다.
프로젝트가 시작되기 전에 사용자에게 미리 알리고 사용자의 허가를 받으세요.
제품 자체, 테스트 전략 등을 포함하여 구현되었습니다.
4.1.4 최소 충격 원칙
온라인 비즈니스 시스템의 위험성 평가를 위해서는 다음 사항을 고려해야 합니다.
최소 영향 원칙, 즉 안정된 것을 보장하는 것을 우선시하는 원칙
사업 시스템의 운영. 그러나 요구되는 작업 내용의 경우
공격성을 테스트하려면 사용자와 소통해야 합니다.
그리고 긴급 백업을 수행하며, 그 사이에 다른 시간에도 수행합니다.
업무의 가장 바쁜 시간.
4.2 구현의 기본 과정
GB/T 20984-2007은 위험성 평가의 구현 절차를 명시하고 있습니다.
작업 내용의 종류에 따라 구현 방법
위험성 평가는 일반적으로 평가 준비, 위험성 평가, 위험성 평가의 4단계로 구분된다.
요소 식별, 위험 분석, 위험 처리. 그 중에서도
평가 준비 단계는 평가의 효율성을 보장하는 단계입니다.
평가는 평가의 시작이며 위험 요소입니다.
식별 단계는 주로 다양한 핵심 요소 자산을 식별하고 할당하는 것입니다.
위협, 취약성, 평가 활동의 보안 조치; 위험
분석 단계는 주로 다양한 유형의 상관관계 분석을 수행하는 것입니다.
식별 단계에서 얻은 정보를 바탕으로 위험 가치를 계산합니다.
위험 치료 권장 작업은 평가된 위험에 초점을 맞춰 진행됩니다.
해당 치료 권장 사항을 제안하고 잔여 위험을 치료합니다.
치료에 따른 보안 강화를 수행한 후
추천사항.
4.3 위험성 평가의 작업 형태
GB/T 20984-2007은 위험 평가의 기본 작업 형태가 다음과 같다고 명시합니다.
정보 시스템은 그 자체와 환경의 변화에 적응한다.
5 위험 평가 구현의 단계적 작업
5.1 준비 단계
5.1.1 준비단계의 작업내용
5.1.1.1 개요
위험성 평가 준비는 전체의 효과를 보장해줍니다.
위험 평가 프로세스. 위험 평가는 이러한 측면에 영향을 받기 때문에
조직의 비즈니스 전략, 비즈니스 프로세스, 보안 요구 사항 등
위험 평가를 시행하기 전에 시스템 규모와 구조를
평가를 위한 준비를 해야 합니다. 정보 보안 위험
평가에는 조직 내의 중요한 정보가 포함됩니다.
평가된 조직은 자격을 신중하게 선택해야 합니다.
평가 조직 및 평가자는 관련 사항을 준수합니다.
국가 또는 산업 관리 요구 사항.
5.1.1.2 평가대상 결정
정보 시스템의 모든 단계에서 위험 평가를 수행해야 합니다.
라이프사이클. 위험 구현의 내용, 객체, 보안 요구 사항
평가는 정보 시스템 수명 주기의 각 단계마다 다릅니다.
평가된 조직은 먼저 정보 시스템의 단계를 결정해야 합니다.
현재 정보 시스템의 실제 상황에 따른 라이프사이클
그리하여 위험 평가 기준을 정의합니다...
공유하다
