信息安全技术信息系统安全管理要求GBT20269—2006
信息安全技术 信息系统安全工程管理要求
信息安全技术信息系统安全工程管理要求1 范围本标准规定了信息安全工程(以下简称安全工程)的管理要求,是对信息安全工程中所涉及到的需求方、实施方与第三方工程实施的指导性文件,各方可以此为依据建立安全工程管理体系.本标准按照GB17859—1999划分的五个安全保护等级,规定了信息安全工程的不同要求。
本标准适用于该系统的需求方和实施方的工程管理,其他有关各方也可参照使用.2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注明日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。
使用本标准的各方应探讨使用下列标准最新版本的可能性。
凡是不注明日期的引用文件,其最新版本适用于本标准。
GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T 20269—2006 信息安全等级保护信息系统安全通用技术要求GB/T 20271—2006 信息安全等级保护信息系统安全管理要求3 术语和定义下列术语和定义适用于本标准。
3.1安全工程security engineering为确保信息系统的保密性、完整性、可用性等目标而进行的系统工程过程。
3。
2安全工程的生存周期security engineering lifecycle在整个信息系统生存周期中执行的安全工程活动包括:概念形成、概念开发和定义、验证与确认、工程实施开发与制造、生产与部署、运行与支持和终止。
3。
3安全工程指南security engineering guide由工程组做出的有关如何选择工程体系结构、设计与实现的指导性信息。
脆弱性vulnerability能够被某种威胁利用的某个或某组资产的弱点.3。
5风险risk某种威胁会利用一种资产或若干资产的脆弱性使这些资产损失或破坏的可能性。
3。
6需求方owner信息系统安全工程建设的拥有者或组织者。
3。
7实施方developer信息系统安全工程的建设与服务的提供方.3。
信息安全技术操作系统安全技术要求2006
信息安全技术操作系统安全技术要求20061、信息安全技术操作系统安全技术要求2006简介信息安全技术操作系统安全技术要求2006是我国信息安全领域的一项重要标准,旨在规范和指导操作系统的安全设计、开发、部署和维护工作,提高操作系统的安全性和可靠性,保护信息系统中的重要数据和资源不受恶意攻击和非法访问。
该要求于2006年发布,是我国政府对操作系统安全的权威指导文件,具有很高的权威性和实践指导意义。
2、《信息安全技术操作系统安全技术要求2006》对操作系统安全的要求《信息安全技术操作系统安全技术要求2006》对操作系统安全提出了一系列具体要求,包括但不限于:1)身份验证和访问控制要求:要求操作系统能够对用户和程序进行身份验证和访问控制,实现对系统资源的合理分配和使用,避免未经授权的访问和操作。
2)安全审计和事件响应要求:要求操作系统能够实现对系统和网络活动的实时监测和审计,及时发现和应对安全事件和攻击行为,保障系统的安全和稳定运行。
3)数据保护和加密要求:要求操作系统能够对重要数据和通信进行有效的保护和加密,防止数据泄露和篡改,确保信息的机密性和完整性。
4)漏洞管理和安全更新要求:要求操作系统能够及时发现和修复系统漏洞,提供安全更新和补丁发布机制,保障系统的安全性和稳定性。
3、对《信息安全技术操作系统安全技术要求2006》的个人观点和理解从个人角度看,我认为《信息安全技术操作系统安全技术要求2006》是我国信息安全领域的一项重要标准,对提升操作系统安全性和可靠性具有重要意义。
其具体要求涉及到身份验证和访问控制、安全审计和事件响应、数据保护和加密、漏洞管理和安全更新等方面,全面规范了操作系统安全的各个环节,为信息系统安全提供了有力支撑。
该标准的发布也反映了我国政府对信息安全工作的高度重视,为我国信息安全产业的发展和完善打下了坚实基础。
总结回顾通过对《信息安全技术操作系统安全技术要求2006》的介绍和分析,我们可以看到,该标准对操作系统安全提出了一系列具体要求,覆盖了安全设计、开发、部署和维护等全生命周期的方方面面。
信息系统应用开发安全基本要求——【信息安全管理体系文件】
信息系统应用开发安全基本要求1 范围为了提高XX公司信息通信分公司(以下简称“公司”)信息系统应用开发的安全性,全面规范系统需求分析、设计、开发、测试、验收、使用及系统测评等过程,特制定本要求。
适用范围本要求适用于公司信息系统应用开发和建设。
信息系统应用开发安全基本要求包括范围如下:系统的需求分析、设计、开发、测试、验收等工程过程与运行维护过程系统的安全功能模块需求系统的安全审计与监控2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,使用本标准的相关部门、单位及人员要研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
1——中华人民共和国计算机信息系统安全保护条例——中华人民共和国国家安全法——中华人民共和国保守国家秘密法——ISO27001标准/ISO27002指南——公通字[2007]43号信息安全等级保护管理办法——GB/T 20269-2006 信息安全技术信息系统安全管理要求——Q/HD 212.07—2007 计算机信息系统管理标准——Q/HD 212.04—2007 软件开发与维护管理标准3 术语和定义下列术语和定义适用于本标准程序是计算机的一组指令,经过编译和执行才能最终完成程序设计的动作。
程序设计的最终结果是软件。
4 原则2对系统进行安全设计和部署必须遵循以下原则:4.1. 可控性:应尽可能地降低应用系统中各功能模块与安全模块结合过程的风险。
4.2. 独立性:应保持相关功能模块与安全模块之间底层接口,避免功能实现上的交叉和二次编程开发。
4.3. 适用性:增强应用系统安全模块是根据业务安全需要,最大程度地提供便捷可靠的结合方式与第三方安全系统结合。
应用安全架构5应用安全架构3应用安全架构是由系统安全服务、协议、各种类型的接口组件与身份策略管理构成。
信息安全技术 信息系统安全管理要求
信息安全技术信息系统安全管理要求
信息系统安全管理要求是指采用信息安全技术进行管理方式,以确保
信息系统有效运行和安全。
这类要求包括:
(1)安全策略:建立适当的安全策略,对信息系统的安全和安全管
理进行有效管理;
(2)系统安全:建立安全机制,确保系统的安全,防止信息泄露、
损坏或遭受攻击;
(3)隐私保护:建立完善的安全体系,保护信息及信息系统使用者
的个人隐私,防止被未经授权的人窥探和盗用;
(4)安全审计:定期审计系统并分析统计在系统中发现的安全风险,及时采取有效的措施保障系统安全;
(5)安全培训:定期培训相关人员,提升系统使用者的安全意识,
增强安全规范的执行力度;
(6)响应:立即采取应急措施和事件响应,确保信息系统的安全,
防止潜在的灾难。
以上这些要求都非常重要,是信息安全技术实施的重要内容,是确保
信息系统安全运行的重要条件。
q信息安全技术信息系统安全工程管理要求
表A.1(续)
参考文献
[1] GB/T 18336—2001 信息技术 安全技术 信息技术安全性评估准则(idt ISO/IEC 15408:1999)
[2] GB/T 9387.2—1995 信息处理系统 开放系统互连 基本参考模型 第2部分:安全体系结构(idt ISO/IEC 7498-2:1989)
[3] GB/T 19716—2005 信息技术 信息安全管理实用规则(ISO/IEC 17799:2000,MOD )
[4] GB/T 20261—2006 信息技术 系统安全工程 能力成熟模型(ISO/IEC 21827:2002,MOD ) (校对:卜伟 责任编辑:竹勋)
发布单位: 国家质量监督检验检疫总局2006-5-3发布
提出单位: 信息安全标准化技术委员会
起草单位: 中国电子科技集团发布第三十研究所、上海三零卫士信息安全有限公司、上海标准化研究院
批准单位: 国家标准化管理委员会。
(完整word版)信息系统安全管理要求GBT20269-2006
《信息安全技术信息系统安全管理要求GB/T20269-2006》引言信息安全等级保护从与信息系统安全相关的物理层面、网络层面、系统层面、应用层面和管理层面对信息和信息系统实施分等级安全保护。
管理层面贯穿于其他层面之中,是其他层面实施分等级安全保护的保证。
本标准对信息和信息系统的安全保护提出了分等级安全管理的要求,阐述了安全管理要素及其强度,并将管理要求落实到信息安全等级保护所规定的五个等级上,有利于对安全管理的实施、评估和检查。
GB17859-1999中安全保护等级的划分是根据对安全技术和安全风险控制的关系确定的,公通字[2004]66号文件中安全等级的划分是根据信息和信息系统受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成损害的程度确定的。
两者的共同点是:安全等级越高,发生的安全技术费用和管理成本越高,从而预期能够抵御的安全威胁越大,建立起安全信心越强,使用信息系统的风险越小。
本标准以安全管理要素作为描述安全管理要求的基本组件。
安全管理要素是指,为实现信息系统安全等级保护所规定的安全要求,从管理角度应采取的主要控制方法和措施。
根据GB17859-1999对安全保护等级的划分,不同的安全保护等级会有不同的安全管理要求,可以体现在管理要素的增加和管理强度的增强两方面。
对于每个管理要素,根据特定情况分别列出不同的管理强度,最多分为5级,最少可不分级。
在具体描述中,除特别声明之外,一般高级别管理强度的描述都是在对低级别描述基础之上进行的。
信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
本标准涉及信息系统的管理者包括国家机关、事业单位、厂矿企业、公司、集团等各种类型和不同规模的组织机构,以下统称为“组织机构”。
信息系统在技术上采取何种安全机制应根据相关技术标准确定,本标准仅提出保证这些安全机制实施的管理要求。
信息安全技术信息系统安全管理要求GB(参考Word)
信息安全技术信息系统安全管理要求引言信息安全等级保护从与信息系统安全相关的物理层面、网络层面、系统层面、应用层面和管理层面对信息和信息系统实施分等级安全保护。
管理层面贯穿于其他层面之中,是其他层面实施分等级安全保护的保证。
本标准对信息和信息系统的安全保护提出了分等级安全管理的要求,阐述了安全管理要素及其强度,并将管理要求落实到信息安全等级保护所规定的五个等级上,有利于对安全管理的实施、评估和检查。
GB17859-1999中安全保护等级的划分是根据对安全技术和安全风险控制的关系确定的,公通字[2004]66号文件中安全等级的划分是根据信息和信息系统受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成损害的程度确定的。
两者的共同点是:安全等级越高,发生的安全技术费用和管理成本越高,从而预期能够抵御的安全威胁越大,建立起安全信心越强,使用信息系统的风险越小。
本标准以安全管理要素作为描述安全管理要求的基本组件。
安全管理要素是指,为实现信息系统安全等级保护所规定的安全要求,从管理角度应采取的主要控制方法和措施。
根据GB17859-1999对安全保护等级的划分,不同的安全保护等级会有不同的安全管理要求,可以体现在管理要素的增加和管理强度的增强两方面。
对于每个管理要素,根据特定情况分别列出不同的管理强度,最多分为5级,最少可不分级。
在具体描述中,除特别声明之外,一般高级别管理强度的描述都是在对低级别描述基础之上进行的。
信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
本标准涉及信息系统的管理者包括国家机关、事业单位、厂矿企业、公司、集团等各种类型和不同规模的组织机构,以下统称为“组织机构”。
信息系统在技术上采取何种安全机制应根据相关技术标准确定,本标准仅提出保证这些安全机制实施的管理要求。
信息安全技术信息系统安全管理要求GBT20269—2006
信息安全技术信息系统安全管理要求引言信息安全等级保护从与信息系统安全相关的物理层面、网络层面、系统层面、应用层面和管理层面对信息和信息系统实施分等级安全保护。
管理层面贯穿于其他层面之中,是其他层面实施分等级安全保护的保证。
本标准对信息和信息系统的安全保护提出了分等级安全管理的要求,阐述了安全管理要素及其强度,并将管理要求落实到信息安全等级保护所规定的五个等级上,有利于对安全管理的实施、评估和检查。
GB17859-1999中安全保护等级的划分是根据对安全技术和安全风险控制的关系确定的,公通字[2004]66号文件中安全等级的划分是根据信息和信息系统受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成损害的程度确定的。
两者的共同点是:安全等级越高,发生的安全技术费用和管理成本越高,从而预期能够抵御的安全威胁越大,建立起安全信心越强,使用信息系统的风险越小。
本标准以安全管理要素作为描述安全管理要求的基本组件。
安全管理要素是指,为实现信息系统安全等级保护所规定的安全要求,从管理角度应采取的主要控制方法和措施。
根据GB17859-1999对安全保护等级的划分,不同的安全保护等级会有不同的安全管理要求,可以体现在管理要素的增加和管理强度的增强两方面。
对于每个管理要素,根据特定情况分别列出不同的管理强度,最多分为5级,最少可不分级。
在具体描述中,除特别声明之外,一般高级别管理强度的描述都是在对低级别描述基础之上进行的。
信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
本标准涉及信息系统的管理者包括国家机关、事业单位、厂矿企业、公司、集团等各种类型和不同规模的组织机构,以下统称为“组织机构”。
信息系统在技术上采取何种安全机制应根据相关技术标准确定,本标准仅提出保证这些安全机制实施的管理要求。
信息安全等级保护管理办法
《信息安全等级保护管理办法》(公安部、国家安全部、国家保密局、信息产业部、国家密码管理局联合发布)第一章总则第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
第三条公安机关负责信息安全等级保护工作的监督、检查、指导。
国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。
国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。
国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
(整理)信息安全技术信息系统安全工程管理要求GBT20282—2006
信息安全技术信息系统安全工程管理要求1 范围本标准规定了信息安全工程(以下简称安全工程)的管理要求,是对信息安全工程中所涉及到的需求方、实施方与第三方工程实施的指导性文件,各方可以此为依据建立安全工程管理体系。
本标准按照GB17859-1999划分的五个安全保护等级,规定了信息安全工程的不同要求。
本标准适用于该系统的需求方和实施方的工程管理,其他有关各方也可参照使用。
2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注明日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。
使用本标准的各方应探讨使用下列标准最新版本的可能性。
凡是不注明日期的引用文件,其最新版本适用于本标准。
GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T 20269-2006 信息安全等级保护信息系统安全通用技术要求GB/T 20271-2006 信息安全等级保护信息系统安全管理要求3 术语和定义下列术语和定义适用于本标准。
3.1安全工程security engineering为确保信息系统的保密性、完整性、可用性等目标而进行的系统工程过程。
3.2安全工程的生存周期security engineering lifecycle在整个信息系统生存周期中执行的安全工程活动包括:概念形成、概念开发和定义、验证与确认、工程实施开发与制造、生产与部署、运行与支持和终止。
3.3安全工程指南security engineering guide由工程组做出的有关如何选择工程体系结构、设计与实现的指导性信息。
3.4脆弱性vulnerability能够被某种威胁利用的某个或某组资产的弱点。
3.5风险risk某种威胁会利用一种资产或若干资产的脆弱性使这些资产损失或破坏的可能性。
3.6需求方owner信息系统安全工程建设的拥有者或组织者。
3.7实施方developer信息系统安全工程的建设与服务的提供方。
信息系统安全管理要求GBT20269-2006
《信息安全技术信息系统安全管理要求GB/T20269-2006》引言信息安全等级保护从与信息系统安全相关的物理层面、网络层面、系统层面、应用层面和管理层面对信息和信息系统实施分等级安全保护。
管理层面贯穿于其他层面之中,是其他层面实施分等级安全保护的保证。
本标准对信息和信息系统的安全保护提出了分等级安全管理的要求,阐述了安全管理要素及其强度,并将管理要求落实到信息安全等级保护所规定的五个等级上,有利于对安全管理的实施、评估和检查。
GB17859-1999中安全保护等级的划分是根据对安全技术和安全风险控制的关系确定的,公通字[2004]66号文件中安全等级的划分是根据信息和信息系统受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成损害的程度确定的。
两者的共同点是:安全等级越高,发生的安全技术费用和管理成本越高,从而预期能够抵御的安全威胁越大,建立起安全信心越强,使用信息系统的风险越小。
本标准以安全管理要素作为描述安全管理要求的基本组件。
安全管理要素是指,为实现信息系统安全等级保护所规定的安全要求,从管理角度应采取的主要控制方法和措施。
根据GB17859-1999对安全保护等级的划分,不同的安全保护等级会有不同的安全管理要求,可以体现在管理要素的增加和管理强度的增强两方面。
对于每个管理要素,根据特定情况分别列出不同的管理强度,最多分为5级,最少可不分级。
在具体描述中,除特别声明之外,一般高级别管理强度的描述都是在对低级别描述基础之上进行的。
信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
本标准涉及信息系统的管理者包括国家机关、事业单位、厂矿企业、公司、集团等各种类型和不同规模的组织机构,以下统称为“组织机构”。
信息系统在技术上采取何种安全机制应根据相关技术标准确定,本标准仅提出保证这些安全机制实施的管理要求。
信息安全体系整理
一、总论1.什么是信息安全管理,为什么需要信息安全管理?信息安全管理是组织为实现信息安全目标而进行的管理活动,是组织完整的管理体系中的一个重要组成部分,是为保护信息资产安全,指导和控制组织的关于信息安全风险的相互协调的活动。
信息安全管理是通过维护信息的机密性、完整性和可用性等,来管理和保护组织所有信息资产的一系列活动。
信息、信息处理过程及对信息起支持作用的信息系统和信息网络都是重要的商务资产。
信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关重要的。
由于信息具有易传输、易扩散、易破损的特点,信息资产比传统资产更加脆弱,更易受到损害,信息及信息系统需要严格管理和妥善保护。
2。
系统列举常用的信息安全技术?密码技术、访问控制和鉴权;物理安全技术:环境安全、设备安全、人员安全;网络安全技术:防火墙、VPN、入侵检测/入侵防御、安全网关;容灾与数据备份3.信息安全管理的主要内容有哪些?信息安全需求是信息安全的出发点,它包括机密性需求、完整性需求、可用性需求、抗抵赖性、真实性需求、可控性需求和可靠性需求等.信息安全管理范围是由信息系统安全需求决定的具体信息安全控制点,对这些实施适当的控制措施可确保组织相应环节的信息安全,从而确保组织整体的信息安全水平.信息安全控制措施是指为改善具体信息安全问题而设置技术或管理手段,信息安全控制措施是信息安全管理的基础.4.什么是信息安全保障体系,它包含哪些内容?(见一、3图)5.信息安全法规对信息安全管理工作意义如何?法律法规是组织从事各种政务、商务活动所处社会环境的重要组成部分,它能为信息安全提供制度保障。
信息安全法律法规的保障作用至少包含以下三方面:1.为人们从事在信息安全方面从事各种活动提供规范性指导2。
能够预防信息安全事件的发生3。
保障信息安全活动参与各方的合法权益,为人们追求合法权益提供了依据和手段二、信息安全风险评估1。
什么是信息安全风险评估?它由哪些基本步骤组成?信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。
信息安全技术信息系统安全管理要求GB(参考Word)
信息安全技术信息系统安全管理要求引言信息安全等级保护从与信息系统安全相关的物理层面、网络层面、系统层面、应用层面和管理层面对信息和信息系统实施分等级安全保护。
管理层面贯穿于其他层面之中,是其他层面实施分等级安全保护的保证。
本标准对信息和信息系统的安全保护提出了分等级安全管理的要求,阐述了安全管理要素及其强度,并将管理要求落实到信息安全等级保护所规定的五个等级上,有利于对安全管理的实施、评估和检查。
GB17859-1999中安全保护等级的划分是根据对安全技术和安全风险控制的关系确定的,公通字[2004]66号文件中安全等级的划分是根据信息和信息系统受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成损害的程度确定的。
两者的共同点是:安全等级越高,发生的安全技术费用和管理成本越高,从而预期能够抵御的安全威胁越大,建立起安全信心越强,使用信息系统的风险越小。
本标准以安全管理要素作为描述安全管理要求的基本组件。
安全管理要素是指,为实现信息系统安全等级保护所规定的安全要求,从管理角度应采取的主要控制方法和措施。
根据GB17859-1999对安全保护等级的划分,不同的安全保护等级会有不同的安全管理要求,可以体现在管理要素的增加和管理强度的增强两方面。
对于每个管理要素,根据特定情况分别列出不同的管理强度,最多分为5级,最少可不分级。
在具体描述中,除特别声明之外,一般高级别管理强度的描述都是在对低级别描述基础之上进行的。
信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
本标准涉及信息系统的管理者包括国家机关、事业单位、厂矿企业、公司、集团等各种类型和不同规模的组织机构,以下统称为“组织机构”。
信息系统在技术上采取何种安全机制应根据相关技术标准确定,本标准仅提出保证这些安全机制实施的管理要求。
信息系统安全管理要求GBT20269-2006
《信息安全技术信息系统安全管理要求GB/T20269-2006》引言信息安全等级保护从与信息系统安全相关的物理层面、网络层面、系统层面、应用层面和管理层面对信息和信息系统实施分等级安全保护。
管理层面贯穿于其他层面之中,是其他层面实施分等级安全保护的保证。
本标准对信息和信息系统的安全保护提出了分等级安全管理的要求,阐述了安全管理要素及其强度,并将管理要求落实到信息安全等级保护所规定的五个等级上,有利于对安全管理的实施、评估和检查。
GB17859-1999中安全保护等级的划分是根据对安全技术和安全风险控制的关系确定的,公通字[2004]66号文件中安全等级的划分是根据信息和信息系统受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成损害的程度确定的。
两者的共同点是:安全等级越高,发生的安全技术费用和管理成本越高,从而预期能够抵御的安全威胁越大,建立起安全信心越强,使用信息系统的风险越小。
本标准以安全管理要素作为描述安全管理要求的基本组件。
安全管理要素是指,为实现信息系统安全等级保护所规定的安全要求,从管理角度应采取的主要控制方法和措施。
根据GB17859-1999对安全保护等级的划分,不同的安全保护等级会有不同的安全管理要求,可以体现在管理要素的增加和管理强度的增强两方面。
对于每个管理要素,根据特定情况分别列出不同的管理强度,最多分为5级,最少可不分级。
在具体描述中,除特别声明之外,一般高级别管理强度的描述都是在对低级别描述基础之上进行的。
信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
本标准涉及信息系统的管理者包括国家机关、事业单位、厂矿企业、公司、集团等各种类型和不同规模的组织机构,以下统称为“组织机构”。
信息系统在技术上采取何种安全机制应根据相关技术标准确定,本标准仅提出保证这些安全机制实施的管理要求。
信息安全技术信息系统安全通用技术要求
中华人民共和国国家标准
GB/T 20271—2006
信息安全技术 信息系统安全通用技术要求
Information security technology—
1
Common techniques requirement for information system security
II
GB/T 20271—2006
5.1.4 SSOIS 资源利用 ................................................................. 20 5.1.5 SSOIS 访问控制 ................................................................. 21 5.2 SSOIS 设计和实现 ................................................................. 22 5.2.1 配置管理 ....................................................................... 22 5.2.2 分发和操作 ..................................................................... 23 5.2.3 开发 ........................................................................... 23 5.2.4 文档要求 ....................................................................... 26 5.2.5 生存周期支持 ................................................................... 26 5.2.6 测试 ........................................................................... 28 5.2.7 脆弱性评定 ..................................................................... 29 5.3 SSOIS 安全管理 ................................................................... 30 5.3.1 SSF 功能的管理 ................................................................. 30 5.3.2 安全属性的管理 ................................................................. 31 5.3.3 SSF 数据的管理 ................................................................. 31 5.3.4 安全角色的定义与管理 ........................................................... 32 5.3.5 SSOIS 安全机制的集中管理 ....................................................... 32 6 信息系统安全技术分等级要求 ........................................................ 32 6.1 第一级 用户自主保护级 ........................................................... 32 6.1.1 物理安全 ....................................................................... 32 6.1.2 运行安全 .............................1 .......................................... 33 6.1.3 数据安全 ....................................................................... 33 6.1.4 SSOIS 自身安全保护 ............................................................. 34 6.1.5 SSOIS 设计和实现 ............................................................... 35 6.1.6 SSOIS 安全管理 ................................................................. 35 6.2 第二级 系统审计保护级 ............................................................ 35 6.2.1 物理安全 ....................................................................... 35 6.2.2 运行安全 ....................................................................... 36 6.2.3 数据安全 ....................................................................... 37 6.2.4 SSOIS 自身安全保护 ............................................................. 38 6.2.5 SSOIS 设计和实现 ............................................................... 39 6.2.6 SSOIS 安全管理 ................................................................. 40 6.3 第三级 安全标记保护级 ........................................................... 40 6.3.1 物理安全 ....................................................................... 40 6.3.2 运行安全 ....................................................................... 40 6.3.3 数据安全 ....................................................................... 41 6.3.4 SSOIS 自身安全保护 ............................................................. 43 6.3.5 SSOIS 设计和实现 ............................................................... 44 6.3.6 SSOIS 安全管理 ................................................................. 45 6.4 第四级 结构化保护级 ............................................................. 46 6.4.1 物理安全 ....................................................................... 46
信息安全技术信息系统安全管理要求GB(参考Word)
信息安全技术信息系统安全管理要求引言信息安全等级保护从与信息系统安全相关的物理层面、网络层面、系统层面、应用层面和管理层面对信息和信息系统实施分等级安全保护。
管理层面贯穿于其他层面之中,是其他层面实施分等级安全保护的保证。
本标准对信息和信息系统的安全保护提出了分等级安全管理的要求,阐述了安全管理要素及其强度,并将管理要求落实到信息安全等级保护所规定的五个等级上,有利于对安全管理的实施、评估和检查。
GB17859-1999中安全保护等级的划分是根据对安全技术和安全风险控制的关系确定的,公通字[2004]66号文件中安全等级的划分是根据信息和信息系统受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成损害的程度确定的。
两者的共同点是:安全等级越高,发生的安全技术费用和管理成本越高,从而预期能够抵御的安全威胁越大,建立起安全信心越强,使用信息系统的风险越小。
本标准以安全管理要素作为描述安全管理要求的基本组件。
安全管理要素是指,为实现信息系统安全等级保护所规定的安全要求,从管理角度应采取的主要控制方法和措施。
根据GB17859-1999对安全保护等级的划分,不同的安全保护等级会有不同的安全管理要求,可以体现在管理要素的增加和管理强度的增强两方面。
对于每个管理要素,根据特定情况分别列出不同的管理强度,最多分为5级,最少可不分级。
在具体描述中,除特别声明之外,一般高级别管理强度的描述都是在对低级别描述基础之上进行的。
信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
本标准涉及信息系统的管理者包括国家机关、事业单位、厂矿企业、公司、集团等各种类型和不同规模的组织机构,以下统称为“组织机构”。
信息系统在技术上采取何种安全机制应根据相关技术标准确定,本标准仅提出保证这些安全机制实施的管理要求。
信息安全技术信息系统安全管理要求GB(参考Word)
信息安全技术信息系统安全管理要求引言信息安全等级保护从与信息系统安全相关的物理层面、网络层面、系统层面、应用层面和管理层面对信息和信息系统实施分等级安全保护。
管理层面贯穿于其他层面之中,是其他层面实施分等级安全保护的保证。
本标准对信息和信息系统的安全保护提出了分等级安全管理的要求,阐述了安全管理要素及其强度,并将管理要求落实到信息安全等级保护所规定的五个等级上,有利于对安全管理的实施、评估和检查。
GB17859-1999中安全保护等级的划分是根据对安全技术和安全风险控制的关系确定的,公通字[2004]66号文件中安全等级的划分是根据信息和信息系统受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成损害的程度确定的。
两者的共同点是:安全等级越高,发生的安全技术费用和管理成本越高,从而预期能够抵御的安全威胁越大,建立起安全信心越强,使用信息系统的风险越小。
本标准以安全管理要素作为描述安全管理要求的基本组件。
安全管理要素是指,为实现信息系统安全等级保护所规定的安全要求,从管理角度应采取的主要控制方法和措施。
根据GB17859-1999对安全保护等级的划分,不同的安全保护等级会有不同的安全管理要求,可以体现在管理要素的增加和管理强度的增强两方面。
对于每个管理要素,根据特定情况分别列出不同的管理强度,最多分为5级,最少可不分级。
在具体描述中,除特别声明之外,一般高级别管理强度的描述都是在对低级别描述基础之上进行的。
信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
本标准涉及信息系统的管理者包括国家机关、事业单位、厂矿企业、公司、集团等各种类型和不同规模的组织机构,以下统称为“组织机构”。
信息系统在技术上采取何种安全机制应根据相关技术标准确定,本标准仅提出保证这些安全机制实施的管理要求。
信息安全技术信息系统安全工程管理要求
信息安全技术信息系统安全工程管理要求信息安全技术信息系统安全工程管理要求1 范围本标准规定了信息安全工程(以下简称安全工程)的管理要求,是对信息安全工程中所涉及到的需求方、实施方与第三方工程实施的指导性文件,各方可以此为依据建立安全工程管理体系。
本标准按照GB17859-1999划分的五个安全保护等级,规定了信息安全工程的不同要求。
本标准适用于该系统的需求方和实施方的工程管理,其他有关各方也可参照使用。
2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注明日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。
使用本标准的各方应探讨使用下列标准最新版本的可能性。
凡是不注明日期的引用文件,其最新版本适用于本标准。
GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T 20269-2006 信息安全等级保护信息系统安全通用技术要求GB/T 20271-2006 信息安全等级保护信息系统安全管理要求3 术语和定义下列术语和定义适用于本标准。
3.1安全工程security engineering为确保信息系统的保密性、完整性、可用性等目标而进行的系统工程过程。
3.2安全工程的生存周期security engineering lifecycle在整个信息系统生存周期中执行的安全工程活动包括:概念形成、概念开发和定义、验证与确认、工程实施开发与制造、生产与部署、运行与支持和终止。
3.3安全工程指南security engineering guide由工程组做出的有关如何选择工程体系结构、设计与实现的指导性信息。
脆弱性vulnerability能够被某种威胁利用的某个或某组资产的弱点。
3.5风险risk某种威胁会利用一种资产或若干资产的脆弱性使这些资产损失或破坏的可能性。
3.6需求方owner信息系统安全工程建设的拥有者或组织者。
3.7实施方developer信息系统安全工程的建设与服务的提供方。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全技术信息系统安全管理要求引言信息安全等级保护从与信息系统安全相关的物理层面、网络层面、系统层面、应用层面和管理层面对信息和信息系统实施分等级安全保护。
管理层面贯穿于其他层面之中,是其他层面实施分等级安全保护的保证。
本标准对信息和信息系统的安全保护提出了分等级安全管理的要求,阐述了安全管理要素及其强度,并将管理要求落实到信息安全等级保护所规定的五个等级上,有利于对安全管理的实施、评估和检查。
GB17859-1999中安全保护等级的划分是根据对安全技术和安全风险控制的关系确定的,公通字[2004]66号文件中安全等级的划分是根据信息和信息系统受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成损害的程度确定的。
两者的共同点是:安全等级越高,发生的安全技术费用和管理成本越高,从而预期能够抵御的安全威胁越大,建立起安全信心越强,使用信息系统的风险越小。
本标准以安全管理要素作为描述安全管理要求的基本组件。
安全管理要素是指,为实现信息系统安全等级保护所规定的安全要求,从管理角度应采取的主要控制方法和措施。
根据GB17859-1999对安全保护等级的划分,不同的安全保护等级会有不同的安全管理要求,可以体现在管理要素的增加和管理强度的增强两方面。
对于每个管理要素,根据特定情况分别列出不同的管理强度,最多分为5级,最少可不分级。
在具体描述中,除特别声明之外,一般高级别管理强度的描述都是在对低级别描述基础之上进行的。
信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
本标准涉及信息系统的管理者包括国家机关、事业单位、厂矿企业、公司、集团等各种类型和不同规模的组织机构,以下统称为“组织机构”。
信息系统在技术上采取何种安全机制应根据相关技术标准确定,本标准仅提出保证这些安全机制实施的管理要求。
与技术密切的管理是技术实现的组成部分,如果信息系统根据具体业务及其安全需求未采用该技术,则不需要相应的安全管理要求。
对与管理描述难以分开的技术要求会出现在管理要求中,具体执行需要参照相关技术标准。
对于涉及国家秘密的信息和信息系统的保密管理,应按照国家有关保密的管理规定和相关标准执行。
本标准中有关信息系统安全管理要素及其强度与信息系统安全管理分等级要求的对应关系的说明参见附录A。
为了帮助读者从安全管理概念角度理解和运用这些信息系统的安全管理要求,附录B给出了信息系统安全管理概念说明。
信息安全技术信息系统安全管理要求1 范围本标准依据GB17859-1999的五个安全保护等级的划分,规定了信息系统安全所需要的各个安全等级的管理要求。
本标准适用于按等级化要求进行的信息系统安全的管理。
2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T 20271-2006 信息安全技术信息系统通用安全技术要求3 术语和定义GB 17859-1999确立的以及下列术语和定义适用于本标准。
3.1完整性integrity包括数据完整性和系统完整性。
数据完整性表征数据所具有的特性,即无论数据形式作何变化,数据的准确性和一致性均保持不变的程度;系统完整性表征系统在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源的情况下,系统能履行其操作目的的品质。
3.2可用性availability表征数据或系统根据授权实体的请求可被访问与使用程度的安全属性。
3.3访问控制access control按确定的规则,对实体之间的访问活动进行控制的安全机制,能防止对资源的未授权使用。
3.4安全审计security audit按确定规则的要求,对与安全相关的事件进行审计,以日志方式记录必要信息,并作出相应处理的安全机制。
3.5鉴别信息authentication information用以确认身份真实性的信息。
3.6敏感性sensitivity表征资源价值或重要性的特性,也可能包含这一资源的脆弱性。
3.7风险评估risk assessment通过对信息系统的资产价值/重要性、信息系统所受到的威胁以及信息系统的脆弱性进行综合分析,对信息系统及其处理、传输和存储的信息的保密性、完整性和可用性等进行科学识别和评价,确定信息系统安全风险的过程。
3.8安全策略security policy主要指为信息系统安全管理制定的行动方针、路线、工作方式、指导原则或程序。
4 信息系统安全管理的一般要求4.1 信息系统安全管理的内容信息系统安全管理是对一个组织机构中信息系统的生存周期全过程实施符合安全等级责任要求的管理,包括:——落实安全管理机构及安全管理人员,明确角色与职责,制定安全规划;——开发安全策略;——实施风险管理;——制定业务持续性计划和灾难恢复计划;——选择与实施安全措施;——保证配置、变更的正确与安全;——进行安全审计;——保证维护支持;——进行监控、检查,处理安全事件;——安全意识与安全教育;——人员安全管理等。
4.2 信息系统安全管理的原则a)基于安全需求原则:组织机构应根据其信息系统担负的使命,积累的信息资产的重要性,可能受到的威胁及面临的风险分析安全需求,按照信息系统等级保护要求确定相应的信息系统安全保护等级,遵从相应等级的规范要求,从全局上恰当地平衡安全投入与效果;b)主要领导负责原则:主要领导应确立其组织统一的信息安全保障的宗旨和政策,负责提高员工的安全意识,组织有效安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各部门工作的关系,并确保其落实、有效;c)全员参与原则:信息系统所有相关人员应普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统安全;d)系统方法原则:按照系统工程的要求,识别和理解信息安全保障相互关联的层面和过程,采用管理和技术结合的方法,提高实现安全保障的目标的有效性和效率;e)持续改进原则:安全管理是一种动态反馈过程,贯穿整个安全管理的生存周期,随着安全需求和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以及对系统安全认识的深化等,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系的有效性;f)依法管理原则:信息安全管理工作主要体现为管理行为,应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。
对安全事件的处理,应由授权者适时发布准确一致的有关信息,避免带来不良的社会影响;g)分权和授权原则:对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中所带来的隐患,以减小未授权的修改或滥用系统资源的机会。
任何实体(如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必须的权限,不应享有任何多余权限;h)选用成熟技术原则:成熟的技术具有较好的可靠性和稳定性,采用新技术时要重视其成熟的程度,并应首先局部试点然后逐步推广,以减少或避免可能出现的失误;i)分级保护原则:按等级划分标准确定信息系统的安全保护等级,实行分级保护;对多个子系统构成的大型信息系统,确定系统的基本安全保护等级,并根据实际安全需求,分别确定各子系统的安全保护等级,实行多级安全保护;j)管理与技术并重原则:坚持积极防御和综合防范,全面提高信息系统安全防护能力,立足国情,采用管理与技术相结合,管理科学性和技术前瞻性结合的方法,保障信息系统的安全性达到所要求的目标;k)自保护和国家监管结合原则:对信息系统安全实行自保护和国家保护相结合。
组织机构要对自己的信息系统安全保护负责,政府相关部门有责任对信息系统的安全进行指导、监督和检查,形成自管、自查、自评和国家监管相结合的管理模式,提高信息系统的安全保护能力和水平,保障国家信息安全。
5 信息系统安全管理要素及其强度5.1 策略和制度5.1.1 信息安全管理策略5.1.1.1 安全管理目标与范围信息系统的安全管理需要明确信息系统的安全管理目标和范围,不同安全等级应有选择地满足以下要求的一项:a)基本的管理目标与范围:针对一般的信息系统应包括:制定包括系统设施和操作等内容的系统安全目标与范围计划文件;为达到相应等级技术要求提供相应的管理保证;提供对信息系统进行基本安全保护的安全功能和安全管理措施,确保安全功能达到预期目标,使信息免遭非授权的泄露和破坏,基本保证信息系统安全运行;b)较完整的管理目标与范围:针对在一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,在a)的基础上还应包括:建立相应的安全管理机构,制定相应的安全操作规程;制定信息系统的风险管理计划;提供对信息系统进行安全保护的比较完整的系统化安全保护的能力和比较完善的安全管理措施,从整体上保护信息免遭非授权的泄露和破坏,保证信息系统安全正常运行;c)系统化的管理目标与范围:针对涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,在b)的基础上还应包括:提供信息系统安全的自动监视和审计;提供信息系统的认证、验收及使用的授权的规定;提供对信息系统进行强制安全保护的能力和设置必要的强制性安全管理措施,确保数据信息免遭非授权的泄露和破坏,保证信息系统安全运行;d)强制保护的管理目标与范围:针对涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统,在c)的基础上还应包括:提供安全策略和措施的程序化、周期化的评估,以及对明显的风险变化和安全事件的评估;实施强制的分权管理机制和可信管理;提供对信息系统进行整体的强制安全保护的能力和比较完善的强制性安全管理措施,保证信息系统安全运行;e)专控保护的管理目标与范围:针对涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心系统,在d)的基础上还应包括:使安全管理计划与组织机构的文化有机融合,并能适应安全环境的变化;实施全面、可信的安全管理;提供对信息系统进行基于可验证的强制安全保护能力和完善的强制性安全管理措施,全面保证信息系统安全运行。
5.1.1.2 总体安全管理策略不同安全等级的信息系统总体安全策略应有选择地满足以下要求的一项:a)基本的安全管理策略:信息系统安全管理策略包括:依照国家政策法规和技术及管理标准进行自主保护;阐明管理者对信息系统安全的承诺,并陈述组织机构管理信息系统安全的方法;说明信息系统安全的总体目标、范围和安全框架;申明支持信息系统安全目标和原则的管理意向;简要说明对组织机构有重大意义的安全方针、原则、标准和符合性要求;b)较完整的安全管理策略:在a)的基础上,信息安全管理策略还包括:在信息安系统全监管职能部门的指导下,依照国家政策法规和技术及管理标准自主进行保护;明确划分信息系统(分系统/域)的安全保护等级(按区域分等级保护);制定风险管理策略、业务连续性策略、安全培训与教育策略、审计策略等较完整的信息安全策略;c)体系化的安全管理策略:在b)的基础上,信息安全管理策略还包括:在接受信息系统安全监管职能部门监督、检查的前提下,依照国家政策法规和技术及管理标准自主进行保护;制定目标策略、规划策略、机构策略、人员策略、管理策略、安全技术策略、控制策略、生存周期策略、投资策略、质量策略等,形成体系化的信息系统安全策略;d)强制保护的安全管理策略:在c)的基础上,信息安全管理策略还包括:在接受信息系统安全监管职能部门的强制监督、检查的前提下,依照国家政策法规和技术及管理标准自主进行保护;制定体系完整的信息系统安全管理策略;e)专控保护的安全管理策略:在d)的基础上,信息安全管理策略还包括:在接受国家指定的专门部门、专门机构的专门监督的前提下,依照国家政策法规和技术及管理标准自主进行保护;制定可持续改进的信息系统安全管理策略。