目录
一、概述
二、目标
三、输入
3.1 先决条件
3.2 进一步支持信息
四、要求和建议
4.1 网络安全治理
4.2 网络安全文化
4.3 信息共享
4.4 管理系统
4.5 工具管理
4.6 信息安全管理
4.7 组织网络安全审计
五、输出
为了实现网络安全工程,该组织建立并维护网络安全治理和网络安全文化,包括网络安全意识管理、能力管理和持续改进。这涉及到指定针对本文档的目标进行独立审计的特定于组织的规则和过程。
为了支持网络安全工程,该组织实施了网络安全的管理系统,包括管理工具和应用质量管理系统。
本条款的目的是:
无。
可以考虑以下信息:
下图概述总体网络安全政策与特定组织的网络安全规则和流程、职责和资源之间的关系。
【RQ-05-01】本组织应定义一个网络安全政策,其中包括:
【RQ-05-02】本组织应建立和维护以下规则和流程,以便:
【RQ-05-03】组织应分配和沟通相应的职责和相应的组织权力,以实现和维护网络安全。
【RQ-05-04】该组织应提供解决网络安全问题的资源。。
【RQ-05-05】本组织应确定与网络安全相关或与之互动的学科,并建立和维护这些学科之间的沟通渠道,以便:
【RQ-05-06】该组织应培养和保持一个强大的网络安全文化。
【RQ-05-07】组织应确保分配网络安全角色和职责的人员具有履行这些任务的能力和意识。
【RQ-05-08】该组织应建立并保持一个持续的改进过程。
【RQ-05-09】组织应明确在组织内外要求、允许和禁止与网络安全有关的信息共享的情况。
【RQ-05-10】组织应根据[RQ-05-09],将共享数据的信息安全管理与其他各方保持一致。
【RQ-05-11】该组织应根据国际标准或同等标准建立和维护一个质量管理体系,以支持网络安全工程,解决:
【RQ-05-12】产品在维护网络安全所需的领域的配置信息应一直保留到对产品的网络安全支持结束,以便采取补救行动。
【RQ-05-13】应建立一个针对生产过程的网络安全管理系统,以支持生产阶段网络安全的活动。
【RQ-05-14】应管理可能影响项目或部件网络安全的工具。
【RQ-05-15】在支持网络安全事件之前,应提供适当的环境(见网络安全事件响应)。
【RQ-05-16】工作产品应按照信息安全管理系统进行管理。
【RQ-05-17】应独立进行网络安全审计,以判断组织流程是否达到了本文件的目标。
【WP-05-01】根据 网络安全治理、网络安全文化、信息共享 的要求而产生的网络安全政策、规则和流程;
【WP-05-02】根据 网络安全文化 的要求而产生的能力管理、意识管理的持续改进的证据;
【WP-05-03】根据 管理系统、工具管理、信息安全管理 的要求所产生的组织的管理体系的证据;
【WP-05-04】根据 工具管理 的要求而产生的的 工具管理的证据;
【WP-05-05】根据 组织网络安全设计 的要求提出的组织网络安全审计报告