標準解讀

GB/T 20269-2006《信息安全技術(shù) 信息系統(tǒng)安全管理要求》是中國針對信息系統(tǒng)安全管理領(lǐng)域制定的一項國家標準,旨在為各類組織和機構(gòu)提供一套系統(tǒng)化的管理框架,以確保信息系統(tǒng)的安全穩(wěn)定運行。該標準詳細規(guī)定了在設(shè)計、實施、運維及改進信息系統(tǒng)安全管理過程中的具體要求與實踐指導(dǎo),覆蓋策略、組織、人事、技術(shù)和操作等多個層面。以下是其主要內(nèi)容的概述:

  1. 安全政策:強調(diào)建立全面的信息安全政策體系,明確信息安全的總體目標、范圍、原則和職責,確保所有用戶和員工對信息安全政策有充分的認識和理解。

  2. 組織結(jié)構(gòu)與責任:要求建立清晰的信息安全管理組織架構(gòu),明確各級管理人員和執(zhí)行人員在信息安全管理工作中的角色、職責和權(quán)限,確保安全管理活動得到有效執(zhí)行和監(jiān)督。

  3. 資產(chǎn)管理:涉及對信息資產(chǎn)的識別、分類、保護和定期評估,確保對關(guān)鍵信息資產(chǎn)實施重點保護,減少潛在的安全風(fēng)險。

  4. 人力資源安全:涵蓋人員招聘、培訓(xùn)、考核直至離職的全生命周期管理,強調(diào)提高員工的信息安全意識和技能,實施訪問控制,確保員工行為符合信息安全要求。

  5. 物理與環(huán)境安全:規(guī)定了對信息系統(tǒng)物理設(shè)施及其運行環(huán)境的安全防護措施,包括防入侵、防火、防水、防靜電、溫濕度控制等方面,確保硬件設(shè)備和存儲介質(zhì)的安全。

  6. 通信與操作管理:涉及信息處理和傳輸過程中的安全控制,如網(wǎng)絡(luò)架構(gòu)設(shè)計、數(shù)據(jù)加密、訪問控制、操作規(guī)程、變更管理等,確保信息在傳輸和處理過程中的完整性和保密性。

  7. 訪問控制:要求實施嚴格的訪問控制機制,包括身份認證、授權(quán)管理和審計追蹤,確保只有經(jīng)過授權(quán)的人員才能訪問相應(yīng)的信息系統(tǒng)資源。

  8. 信息系統(tǒng)獲取、開發(fā)與維護:強調(diào)在信息系統(tǒng)生命周期的各個階段(規(guī)劃、采購、開發(fā)、測試、部署、升級和退役)融入安全考慮,確保系統(tǒng)的安全性從源頭得到保障。

  9. 信息安全事故管理:要求建立信息安全事件的響應(yīng)、報告、調(diào)查、處理和恢復(fù)機制,通過預(yù)案演練提升應(yīng)對突發(fā)事件的能力,最大限度減少損失。

  10. 業(yè)務(wù)連續(xù)性管理與合規(guī)性:確保組織具備應(yīng)對重大信息安全事件的能力,保持關(guān)鍵業(yè)務(wù)功能的連續(xù)性,同時遵守相關(guān)的法律法規(guī)和行業(yè)標準。

  11. 監(jiān)控與審計:實施定期的安全監(jiān)控和審計活動,評估安全控制的有效性,及時發(fā)現(xiàn)并糾正安全漏洞和違規(guī)行為。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標準文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2006-05-31 頒布
  • 2006-12-01 實施
?正版授權(quán)
GB/T 20269-2006信息安全技術(shù)信息系統(tǒng)安全管理要求_第1頁
GB/T 20269-2006信息安全技術(shù)信息系統(tǒng)安全管理要求_第2頁
GB/T 20269-2006信息安全技術(shù)信息系統(tǒng)安全管理要求_第3頁
GB/T 20269-2006信息安全技術(shù)信息系統(tǒng)安全管理要求_第4頁
GB/T 20269-2006信息安全技術(shù)信息系統(tǒng)安全管理要求_第5頁
已閱讀5頁,還剩63頁未讀, 繼續(xù)免費閱讀

下載本文檔

GB/T 20269-2006信息安全技術(shù)信息系統(tǒng)安全管理要求-免費下載試讀頁

文檔簡介

犐犆犛35.040

犔80

中華人民共和國國家標準

犌犅/犜20269—2006

信息安全技術(shù)信息系統(tǒng)安全管理要求

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—

犐狀犳狅狉犿犪狋犻狅狀狊狔狊狋犲犿狊犲犮狌狉犻狋狔犿犪狀犪犵犲犿犲狀狋狉犲狇狌犻狉犲犿犲狀狋狊

20060531發(fā)布20061201實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局

發(fā)布

中國國家標準化管理委員會

犌犅/犜20269—2006

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅴ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅵ

1范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2規(guī)范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3術(shù)語和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4信息系統(tǒng)安全管理的一般要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

4.1信息系統(tǒng)安全管理的內(nèi)容!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

4.2信息系統(tǒng)安全管理的原則!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5信息系統(tǒng)安全管理要素及其強度!!!!!!!!!!!!!!!!!!!!!!!!!!!3

5.1策略和制度!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

5.1.1信息安全管理策略!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

5.1.2安全管理規(guī)章制度!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.1.3策略與制度文檔管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

5.2機構(gòu)和人員管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

5.2.1安全管理機構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

5.2.2安全機制集中管理機構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

5.2.3人員管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

5.2.4教育和培訓(xùn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

5.3風(fēng)險管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

5.3.1風(fēng)險管理要求和策略!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

5.3.2風(fēng)險分析和評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

5.3.3風(fēng)險控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

5.3.4基于風(fēng)險的決策!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

5.3.5風(fēng)險評估的管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

5.4環(huán)境和資源管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

5.4.1環(huán)境安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

5.4.2資源管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

5.5運行和維護管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

5.5.1用戶管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

5.5.2運行操作管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

5.5.3運行維護管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!19

5.5.4外包服務(wù)管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!21

5.5.5有關(guān)安全機制保障!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22

5.5.6安全集中管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!26

5.6業(yè)務(wù)連續(xù)性管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

5.6.1備份與恢復(fù)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

5.6.2安全事件處理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!28

5.6.3應(yīng)急處理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!29

犌犅/犜20269—2006

5.7監(jiān)督和檢查管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!30

5.7.1符合法律要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!30

5.7.2依從性檢查!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!30

5.7.3審計及監(jiān)管控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!31

5.7.4責任認定!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!32

5.8生存周期管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!32

5.8.1規(guī)劃和立項管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!32

5.8.2建設(shè)過程管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!33

5.8.3系統(tǒng)啟用和終止管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!34

6信息系統(tǒng)安全管理分等級要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!35

6.1第一級:用戶自主保護級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!35

6.1.1管理目標和范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!35

6.1.2政策和制度要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!35

6.1.3機構(gòu)和人員管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!36

6.1.4風(fēng)險管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!36

6.1.5環(huán)境和資源管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!36

6.1.6操作和維護管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!36

6.1.7業(yè)務(wù)連續(xù)性管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!37

6.1.8監(jiān)督和檢查管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!37

6.1.9生存周期管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!37

6.2第二級:系統(tǒng)審計保護級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!38

6.2.1管理目標和范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!38

6.2.2政策和制度要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!38

6.2.3機構(gòu)和人員管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!38

6.2.4風(fēng)險管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!38

6.2.5環(huán)境和資源管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!39

6.2.6操作和維護管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!39

6.2.7業(yè)務(wù)連續(xù)性管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!40

6.2.8監(jiān)督和檢查管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!40

6.2.9生存周期管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!40

6.3第三級:安全標記保護級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!40

6.3.1管理目標和范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!40

6.3.2政策和制度要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!41

6.3.3機構(gòu)和人員管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!41

6.3.4風(fēng)險管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!41

6.3.5環(huán)境和資源管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!42

6.3.6操作和維護管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!42

6.3.7業(yè)務(wù)連續(xù)性管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!43

6.3.8監(jiān)督和檢查管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!43

6.3.9生存周期管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!43

6.4第四級:結(jié)構(gòu)化保護級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!44

6.4.1管理目標和范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!44

6.4.2政策和制度要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!44

犌犅/犜20269—2006

6.4.3機構(gòu)和人員管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!44

6.4.4風(fēng)險管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!44

6.4.5環(huán)境和資源管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!45

6.4.6操作和維護管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!45

6.4.7業(yè)務(wù)連續(xù)性管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!46

6.4.8監(jiān)督和檢查管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!46

6.4.9生存周期管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!46

6.5第五級:訪問驗證保護級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!46

6.5.1管理目標和范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!46

6.5.2政策和制度要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!47

6.5.3機構(gòu)和人員管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!47

6.5.4風(fēng)險管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!47

6.5.5環(huán)境和資源管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!47

6.5.6操作和維護管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!47

6.5.7業(yè)務(wù)連續(xù)性管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!48

6.5.8監(jiān)督和檢查管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!48

6.5.9生存周期管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!48

附錄A(資料性附錄)安全管理要素及其強度與安全管理分等級要求的對應(yīng)關(guān)系!!!!!!!49

附錄B(資料性附錄)信息系統(tǒng)安全管理概念說明!!!!!!!!!!!!!!!!!!!!53

B.1主要安全因素!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!53

B.1.1資產(chǎn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!53

B.1.2威脅!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!53

B.1.3脆弱性!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!54

B.1.4意外事件影響!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!54

B.1.5風(fēng)險!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!54

B.1.6保護措施!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!54

B.2安全管理的過程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!54

B.2.1安全管理過程模型!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!54

B.2.2安全目標!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!55

B.2.3安全保護等級的確定!!!!!!!!!!!!!!!!!!!!!!!!!!!!!55

B.2.4安全風(fēng)險分析與評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!55

B.2.5制定安全策略!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!55

B.2.6安全需求分析!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!56

B.2.7安全措施的實施!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!56

B.2.8安全實施過程的監(jiān)理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!57

B.2.9信息系統(tǒng)的安全審計!!!!!!!!!!!!!!!!!!!!!!!!!!!!!57

B.2.10生存周期管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!58

參考文獻!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!59

犌犅/犜20269—2006

前言

本標準的附錄A、附錄B是資料性附錄。

本標準由全國信息安全標準化技術(shù)委員會提出并歸口。

本標準起草單位:北京思源新創(chuàng)信息安全資訊有限公司,江南計算技術(shù)研究所技術(shù)服務(wù)中心。

本標準主要起草人:陳冠直、王志強、吉增瑞、景乾元、宋健平。

犌犅/犜20269—2006

引言

信息安全等級保護從與信息系統(tǒng)安全相關(guān)的物理層面、網(wǎng)絡(luò)層面、系統(tǒng)層面、應(yīng)用層面和管理層面

對信息和信息系統(tǒng)實施分等級安全保護。管理層面貫穿于其他層面之中,是其他層面實施分等級安全

保護的保證。本標準對信息和信息系統(tǒng)的安全保護提出了分等級安全管理的要求,闡述了安全管理要

素及其強度,并將管理要求落實到信息安全等級保護所規(guī)定的五個等級上,有利于對安全管理的實施、

評估和檢查。GB17859—1999中安全保護等級的劃分是根據(jù)對安全技術(shù)和安全風(fēng)險控制的關(guān)系確定

的,公通字[2004]66號文件中安全等級的劃分是根據(jù)信息和信息系統(tǒng)受到破壞后,會對國家安全、社會

秩序、經(jīng)濟建設(shè)和公共利益造成損害的程度確定的。兩者的共同點是:安全等級越高,發(fā)生的安全技術(shù)

費用和管理成本越高,從而預(yù)期能夠抵御的安全威脅越大,建立起的安全信心越強,使用信息系統(tǒng)的風(fēng)

險越小。

本標準以安全管理要素作為描述安全管理要求的基本組件。安全管理要素是指,為實現(xiàn)信息系統(tǒng)

安全等級保護所規(guī)定的安全要求,從管理角度應(yīng)采取的主要控制方法和措施。根據(jù)GB17859—1999

對安全保護等級的劃分,不同的安全保護等級會有不同的安全管理要求,可以體現(xiàn)在管理要素的增加和

管理強度的增強兩方面。對于每個管理要素,根據(jù)特定情況分別列出不同的管理強度,最多分為5級,

最少可不分級。在具體描述中,除特別聲明之外,一般高級別管理強度的

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論