GB/Z 29830.2-2013《信息技术 安全技术 信息技术安全保障框架 第2部分：保障方法》

GB/Z 29830.2-2013《信息技术 安全技术 信息技术安全保障框架 第2部分：保障方法》基本信息

标准号：GB/Z 29830.2-2013

中文名称：《信息技术 安全技术 信息技术安全保障框架 第2部分：保障方法》

发布日期：2013-11-12    

实施日期：2014-02-01

发布部门：中华人民共和国国家质量监督检验检疫总局  中国国家标准化管理委员会    

提出单位：中国电子技术标准化研究院    

归口单位：全国信息安全标准化技术委员会(SAC/TC 260)    

起草单位：中国电子技术标准化研究院

起草人：张明天、罗锋盈、王延鸣、陈星、杨建军    

中国标准分类号：L80数据加密

国际标准分类号：35.040字符集和信息编码

GB/Z 29830.2-2013《信息技术 安全技术 信息技术安全保障框架 第2部分：保障方法》介绍

中华人民共和国国家质量监督检验检疫总局与中国国家标准化管理委员会联合发布了GB/Z 29830.2-2013《信息技术 安全技术 信息技术安全保障框架 第2部分：保障方法》（以下简称“本标准”），本标准于2013年11月12日发布，并自2014年2月1日起正式实施。

一、标准内容详解

1、保障方法的分类

本标准将信息技术安全保障方法分为两大类：预防性保障方法和响应性保障方法。预防性保障方法是通过预先采取措施来防止安全事件的发生，而响应性保障方法则是在安全事件发生后，采取措施以减轻其影响。

2、安全保障措施

标准详细阐述了多种安全保障措施，包括但不限于：

物理安全：保护信息系统的物理组件，防止非法访问。

技术安全：通过加密、身份验证等技术手段来增强系统的安全性。

管理安全：通过制定安全政策、培训员工等管理措施来提高整体安全水平。

3、风险评估

本标准强调了风险评估的重要性，要求组织定期进行风险评估，识别潜在的安全威胁，并制定相应的应对策略。

4、安全监控

标准规定了安全监控的基本原则和方法，包括实时监控、日志记录和异常检测等，以确保能够及时发现并响应安全事件。

5、安全审计

为了确保安全措施的有效性，本标准提出了安全审计的要求，包括定期进行内部审计和外部审计，以及对审计结果的评估和改进。

二、标准的应用与实施

1、组织架构

组织应建立专门的信息安全管理部门，负责制定和执行安全策略，监督安全措施的实施，并定期进行安全培训。

2、技术实施

组织应根据本标准的要求，选择合适的技术手段来实施安全保障措施，包括但不限于防火墙、入侵检测系统、数据加密等。

3、政策与流程

组织应制定详细的信息安全政策和操作流程，确保所有员工都能理解和遵循，从而形成一种安全文化。

通过遵循本标准的规定，可以有效提升信息系统的安全性，减少安全风险，保障信息资源的安全和稳定。