標準解讀

GB/T 20269-2006《信息安全技術 信息系統安全管理要求》是中國針對信息系統安全管理領域制定的一項國家標準,旨在為各類組織和機構提供一套系統化的管理框架,以確保信息系統的安全穩(wěn)定運行。該標準詳細規(guī)定了在設計、實施、運維及改進信息系統安全管理過程中的具體要求與實踐指導,覆蓋策略、組織、人事、技術和操作等多個層面。以下是其主要內容的概述:

  1. 安全政策:強調建立全面的信息安全政策體系,明確信息安全的總體目標、范圍、原則和職責,確保所有用戶和員工對信息安全政策有充分的認識和理解。

  2. 組織結構與責任:要求建立清晰的信息安全管理組織架構,明確各級管理人員和執(zhí)行人員在信息安全管理工作中的角色、職責和權限,確保安全管理活動得到有效執(zhí)行和監(jiān)督。

  3. 資產管理:涉及對信息資產的識別、分類、保護和定期評估,確保對關鍵信息資產實施重點保護,減少潛在的安全風險。

  4. 人力資源安全:涵蓋人員招聘、培訓、考核直至離職的全生命周期管理,強調提高員工的信息安全意識和技能,實施訪問控制,確保員工行為符合信息安全要求。

  5. 物理與環(huán)境安全:規(guī)定了對信息系統物理設施及其運行環(huán)境的安全防護措施,包括防入侵、防火、防水、防靜電、溫濕度控制等方面,確保硬件設備和存儲介質的安全。

  6. 通信與操作管理:涉及信息處理和傳輸過程中的安全控制,如網絡架構設計、數據加密、訪問控制、操作規(guī)程、變更管理等,確保信息在傳輸和處理過程中的完整性和保密性。

  7. 訪問控制:要求實施嚴格的訪問控制機制,包括身份認證、授權管理和審計追蹤,確保只有經過授權的人員才能訪問相應的信息系統資源。

  8. 信息系統獲取、開發(fā)與維護:強調在信息系統生命周期的各個階段(規(guī)劃、采購、開發(fā)、測試、部署、升級和退役)融入安全考慮,確保系統的安全性從源頭得到保障。

  9. 信息安全事故管理:要求建立信息安全事件的響應、報告、調查、處理和恢復機制,通過預案演練提升應對突發(fā)事件的能力,最大限度減少損失。

  10. 業(yè)務連續(xù)性管理與合規(guī)性:確保組織具備應對重大信息安全事件的能力,保持關鍵業(yè)務功能的連續(xù)性,同時遵守相關的法律法規(guī)和行業(yè)標準。

  11. 監(jiān)控與審計:實施定期的安全監(jiān)控和審計活動,評估安全控制的有效性,及時發(fā)現并糾正安全漏洞和違規(guī)行為。


如需獲取更多詳盡信息,請直接參考下方經官方授權發(fā)布的權威標準文檔。

....

查看全部

  • 現行
  • 正在執(zhí)行有效
  • 2006-05-31 頒布
  • 2006-12-01 實施
?正版授權
GB/T 20269-2006信息安全技術信息系統安全管理要求_第1頁
GB/T 20269-2006信息安全技術信息系統安全管理要求_第2頁
GB/T 20269-2006信息安全技術信息系統安全管理要求_第3頁
GB/T 20269-2006信息安全技術信息系統安全管理要求_第4頁
GB/T 20269-2006信息安全技術信息系統安全管理要求_第5頁
已閱讀5頁,還剩63頁未讀 繼續(xù)免費閱讀

下載本文檔

GB/T 20269-2006信息安全技術信息系統安全管理要求-免費下載試讀頁

文檔簡介

犐犆犛35.040

犔80

中華人民共和國國家標準

犌犅/犜20269—2006

信息安全技術信息系統安全管理要求

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—

犐狀犳狅狉犿犪狋犻狅狀狊狔狊狋犲犿狊犲犮狌狉犻狋狔犿犪狀犪犵犲犿犲狀狋狉犲狇狌犻狉犲犿犲狀狋狊

20060531發(fā)布20061201實施

中華人民共和國國家質量監(jiān)督檢驗檢疫總局

發(fā)布

中國國家標準化管理委員會

犌犅/犜20269—2006

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅴ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅵ

1范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2規(guī)范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3術語和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4信息系統安全管理的一般要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

4.1信息系統安全管理的內容!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

4.2信息系統安全管理的原則!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5信息系統安全管理要素及其強度!!!!!!!!!!!!!!!!!!!!!!!!!!!3

5.1策略和制度!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

5.1.1信息安全管理策略!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

5.1.2安全管理規(guī)章制度!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

5.1.3策略與制度文檔管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

5.2機構和人員管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

5.2.1安全管理機構!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!6

5.2.2安全機制集中管理機構!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

5.2.3人員管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

5.2.4教育和培訓!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

5.3風險管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

5.3.1風險管理要求和策略!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

5.3.2風險分析和評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

5.3.3風險控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

5.3.4基于風險的決策!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

5.3.5風險評估的管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

5.4環(huán)境和資源管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

5.4.1環(huán)境安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

5.4.2資源管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

5.5運行和維護管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

5.5.1用戶管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

5.5.2運行操作管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

5.5.3運行維護管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!19

5.5.4外包服務管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!21

5.5.5有關安全機制保障!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22

5.5.6安全集中管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!26

5.6業(yè)務連續(xù)性管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

5.6.1備份與恢復!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

5.6.2安全事件處理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!28

5.6.3應急處理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!29

犌犅/犜20269—2006

5.7監(jiān)督和檢查管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!30

5.7.1符合法律要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!30

5.7.2依從性檢查!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!30

5.7.3審計及監(jiān)管控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!31

5.7.4責任認定!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!32

5.8生存周期管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!32

5.8.1規(guī)劃和立項管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!32

5.8.2建設過程管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!33

5.8.3系統啟用和終止管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!34

6信息系統安全管理分等級要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!35

6.1第一級:用戶自主保護級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!35

6.1.1管理目標和范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!35

6.1.2政策和制度要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!35

6.1.3機構和人員管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!36

6.1.4風險管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!36

6.1.5環(huán)境和資源管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!36

6.1.6操作和維護管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!36

6.1.7業(yè)務連續(xù)性管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!37

6.1.8監(jiān)督和檢查管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!37

6.1.9生存周期管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!37

6.2第二級:系統審計保護級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!38

6.2.1管理目標和范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!38

6.2.2政策和制度要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!38

6.2.3機構和人員管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!38

6.2.4風險管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!38

6.2.5環(huán)境和資源管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!39

6.2.6操作和維護管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!39

6.2.7業(yè)務連續(xù)性管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!40

6.2.8監(jiān)督和檢查管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!40

6.2.9生存周期管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!40

6.3第三級:安全標記保護級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!40

6.3.1管理目標和范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!40

6.3.2政策和制度要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!41

6.3.3機構和人員管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!41

6.3.4風險管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!41

6.3.5環(huán)境和資源管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!42

6.3.6操作和維護管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!42

6.3.7業(yè)務連續(xù)性管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!43

6.3.8監(jiān)督和檢查管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!43

6.3.9生存周期管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!43

6.4第四級:結構化保護級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!44

6.4.1管理目標和范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!44

6.4.2政策和制度要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!44

犌犅/犜20269—2006

6.4.3機構和人員管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!44

6.4.4風險管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!44

6.4.5環(huán)境和資源管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!45

6.4.6操作和維護管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!45

6.4.7業(yè)務連續(xù)性管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!46

6.4.8監(jiān)督和檢查管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!46

6.4.9生存周期管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!46

6.5第五級:訪問驗證保護級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!46

6.5.1管理目標和范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!46

6.5.2政策和制度要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!47

6.5.3機構和人員管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!47

6.5.4風險管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!47

6.5.5環(huán)境和資源管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!47

6.5.6操作和維護管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!47

6.5.7業(yè)務連續(xù)性管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!48

6.5.8監(jiān)督和檢查管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!48

6.5.9生存周期管理要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!48

附錄A(資料性附錄)安全管理要素及其強度與安全管理分等級要求的對應關系!!!!!!!49

附錄B(資料性附錄)信息系統安全管理概念說明!!!!!!!!!!!!!!!!!!!!53

B.1主要安全因素!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!53

B.1.1資產!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!53

B.1.2威脅!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!53

B.1.3脆弱性!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!54

B.1.4意外事件影響!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!54

B.1.5風險!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!54

B.1.6保護措施!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!54

B.2安全管理的過程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!54

B.2.1安全管理過程模型!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!54

B.2.2安全目標!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!55

B.2.3安全保護等級的確定!!!!!!!!!!!!!!!!!!!!!!!!!!!!!55

B.2.4安全風險分析與評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!55

B.2.5制定安全策略!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!55

B.2.6安全需求分析!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!56

B.2.7安全措施的實施!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!56

B.2.8安全實施過程的監(jiān)理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!57

B.2.9信息系統的安全審計!!!!!!!!!!!!!!!!!!!!!!!!!!!!!57

B.2.10生存周期管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!58

參考文獻!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!59

犌犅/犜20269—2006

前言

本標準的附錄A、附錄B是資料性附錄。

本標準由全國信息安全標準化技術委員會提出并歸口。

本標準起草單位:北京思源新創(chuàng)信息安全資訊有限公司,江南計算技術研究所技術服務中心。

本標準主要起草人:陳冠直、王志強、吉增瑞、景乾元、宋健平。

犌犅/犜20269—2006

引言

信息安全等級保護從與信息系統安全相關的物理層面、網絡層面、系統層面、應用層面和管理層面

對信息和信息系統實施分等級安全保護。管理層面貫穿于其他層面之中,是其他層面實施分等級安全

保護的保證。本標準對信息和信息系統的安全保護提出了分等級安全管理的要求,闡述了安全管理要

素及其強度,并將管理要求落實到信息安全等級保護所規(guī)定的五個等級上,有利于對安全管理的實施、

評估和檢查。GB17859—1999中安全保護等級的劃分是根據對安全技術和安全風險控制的關系確定

的,公通字[2004]66號文件中安全等級的劃分是根據信息和信息系統受到破壞后,會對國家安全、社會

秩序、經濟建設和公共利益造成損害的程度確定的。兩者的共同點是:安全等級越高,發(fā)生的安全技術

費用和管理成本越高,從而預期能夠抵御的安全威脅越大,建立起的安全信心越強,使用信息系統的風

險越小。

本標準以安全管理要素作為描述安全管理要求的基本組件。安全管理要素是指,為實現信息系統

安全等級保護所規(guī)定的安全要求,從管理角度應采取的主要控制方法和措施。根據GB17859—1999

對安全保護等級的劃分,不同的安全保護等級會有不同的安全管理要求,可以體現在管理要素的增加和

管理強度的增強兩方面。對于每個管理要素,根據特定情況分別列出不同的管理強度,最多分為5級,

最少可不分級。在具體描述中,除特別聲明之外,一般高級別管理強度的

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經授權,嚴禁復制、發(fā)行、匯編、翻譯或網絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。?,因數字商品的特殊性,一經售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質量問題。

評論

0/150

提交評論