中华人民共和国国家标准信息安全技术信息系统安全管理要求发布中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会实施发布目次前言引言范围规范性引用文件术语和定义信息系统安全管理的一般要求信息系统安全管理的内容信息系统安全管理的原则信息系统安全管理要素及其强度策略和制度信息安全管理策略安全管理规章制度策略与制度文档管理机构和人员管理安全管理机构安全机制集中管理机构人员管理教育和培训风险管理风险管理要求和策略风险分析和评估风险控制基于风险的决策风险评估的管理环境和资源管理环境安全管理资源管理运行和维护管理用户管理运行操作管理运行维护管理外包服务管理有关安全机制保障安全集中管理业务连续性管理备份与恢复安全事件处理应急处理监督和检查管理符合法律要求依从性检查审计及监管控制责任认定生存周期管理规划和立项管理建设过程管理系统启用和终止管理信息系统安全管理分等级要求第一级用户自主保护级管理目标和范围政策和制度要求机构和人员管理要求风险管理要求环境和资源管理要求操作和维护管理要求业务连续性管理要求监督和检查管理要求生存周期管理要求第二级系统审计保护级管理目标和范围政策和制度要求机构和人员管理要求风险管理要求环境和资源管理要求操作和维护管理要求业务连续性管理要求监督和检查管理要求生存周期管理要求第三级安全标记保护级管理目标和范围政策和制度要求机构和人员管理要求风险管理要求环境和资源管理要求操作和维护管理要求业务连续性管理要求监督和检查管理要求生存周期管理要求第四级结构化保护级管理目标和范围政策和制度要求机构和人员管理要求风险管理要求环境和资源管理要求操作和维护管理要求业务连续性管理要求监督和检查管理要求生存周期管理要求第五级访问验证保护级管理目标和范围政策和制度要求机构和人员管理要求风险管理要求环境和资源管理要求操作和维护管理要求业务连续性管理要求监督和检查管理要求生存周期管理要求附录资料性附录安全管理要素及其强度与安全管理分等级要求的对应关系附录资料性附录信息系统安全管理概念说明主要安全因素资产威胁脆弱性意外事件影响风险保护措施安全管理的过程安全管理过程模型安全目标安全保护等级的确定安全风险分析与评估制定安全策略安全需求分析安全措施的实施安全实施过程的监理信息系统的安全审计生存周期管理参考文献前言略引言信息安全等级保护从与信息系统安全相关的物理层面网络层面系统层面应用层面和管理层面对信息和信息系统实施分等级安全保护管理层面贯穿于其他层面之中是其他层面实施分等级安全保护的保证本标准对信息和信息系统的安全保护提出了分等级安全管理的要求阐述了安全管理要素及其强度并将管理要求落实到信息安全等级保护所规定的五个等级上有利于对安全管理的实施评估和检查中安全保护等级的划分是根据对安全技术和安全风险控制的关系确定的公通字号文件中安全等级的划分是根据信息和信息系统受到破坏后会对国家安全社会秩序经济建设和公共利益造成损害的程度确定的两者的共同点是安全等级越高发生的安全技术费用和管理成本越高从而预期能够抵御的安全威胁越大建立起安全信心越强使用信息系统的风险越小本标准以安全管理要素作为描述安全管理要求的基本组件安全管理要素是指为实现信息系统安全等级保护所规定的安全要求从管理角度应采取的主要控制方法和措施根据对安全保护等级的划分不同的安全保护等级会有不同的安全管理要求可以体现在管理要素的增加和管理强度的增强两方面对于每个管理要素根据特定情况分别列出不同的管理强度最多分为级最少可不分级在具体描述中除特别声明之外一般高级别管理强度的描述都是在对低级别描述基础之上进行的信息系统是指由计算机及其相关和配套的设备设施构成的按照一定的应用目标和规则对信息进行存储传输处理的系统或者网络信息是指在信息系统中存储传输处理的数字化信息本标准涉及信息系统的管理者包括国家机关事业单位厂矿企业公司集团等各种类型和不同规模的组织机构以下统称为组织机构信息系统在技术上采取何种安全机制应根据相关技术标准确定本标准仅提出保证这些安全机制实施的管理要求与技术密切的管理是技术实现的组成部分如果信息系统根据具体业务及其安全需求未采用该技术则不需要相应的安全管理要求对与管理描述难以分开的技术要求会出现在管理要求中具体执行需要参照相关技术标准对于涉及国家秘密的信息和信息系统的保密管理应按照国家有关保密的管理规定和相关标准执行本标准中有关信息系统安全管理要素及其强度与信息系统安全管理分等级要求的对应关系的说明参见附录为了帮助读者从安全管理概念角度理解和运用这些信息系统的安全管理要求附录给出了信息系统安全管理概念说明信息安全技术信息系统安全管理要求范围本标准依据的五个安全保护等级的划分规定了信息系统安全所需要的各个安全等级的管理要求本标准适用于按等级化要求进行的信息系统安全的管理规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款凡是注日期的引用文件其随后所有的修改单不包括勘误的内容或修订版均不适用于本标准然而鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本凡是不注日期的引用文件其最新版本适用于本标准计算机信息系统安全保护等级划分准则信息安全技术信息系统通用安全技术要求术语和定义确立的以及下列术语和定义适用于本标准完整性包括数据完整性和系统完整性数据完整性表征数据所具有的特性即无论数据形式作何变化数据的准确性和一致性均保持不变的程度系统完整性表征系统在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源的情况下系统能履行其操作目的的品质可用性表征数据或系统根据授权实体的请求可被访问与使用程度的安全属性访问控制按确定的规则对实体之间的访问活动进行控制的安全机制能防止对资源的未授权使用安全审计按确定规则的要求对与安全相关的事件进行审计以日志方式记录必要信息并作出相应处理的安全机制鉴别信息用以确认身份真实性的信息敏感性表征资源价值或重要性的特性也可能包含这一资源的脆弱性风险评估通过对信息系统的资产价值重要性信息系统所受到的威胁以及信息系统的脆弱性进行综合分析对信息系统及其处理传输和存储的信息的保密性完整性和可用性等进行科学识别和评价确定信息系统安全风险的过程安全策略主要指为信息系统安全管理制定的行动方针路线工作方式指导原则或程序信息系统安全管理的一般要求信息系统安全管理的内容信息系统安全管理是对一个组织机构中信息系统的生存周期全过程实施符合安全等级责任要求的管理包括落实安全管理机构及安全管理人员明确角色与职责制定安全规划开发安全策略实施风险管理制定业务持续性计划和灾难恢复计划选择与实施安全措施保证配置变更的正确与安全进行安全审计保证维护支持进行监控检查处理安全事件安全意识与安全教育人员安全管理等信息系统安全管理的原则基于安全需求原则组织机构应根据其信息系统担负的使命积累的信息资产的重要性可能受到的威胁及面临的风险分析安全需求按照信息系统等级保护要求确定相应的信息系统安全保护等级遵从相应等级的规范要求从全局上恰当地平衡安全投入与效果主要领导负责原则主要领导应确立其组织统一的信息安全保障的宗旨和政策负责提高员工的安全意识组织有效安全保障队伍调动并优化配置必要的资源协调安全管理工作与各部门工作的关系并确保其落实有效全员参与原则信息系统所有相关人员应普遍参与信息系统的安全管理并与相关方面协同协调共同保障信息系统安全系统方法原则按照系统工程的要求识别和理解信息安全保障相互关联的层面和过程采用管理和技术结合的方法提高实现安全保障的目标的有效性和效率持续改进原则安全管理是一种动态反馈过程贯穿整个安全管理的生存周期随着安全需求和系统脆弱性的时空分布变化威胁程度的提高系统环境的变化以及对系统安全认识的深化等应及时地将现有的安全策略风险接受程度和保护措施进行复查修改调整以至提升安全管理等级维护和持续改进信息安全管理体系的有效性依法管理原则信息安全管理工作主要体现为管理行为应保证信息系统安全管理主体合法管理行为合法管理内容合法管理程序合法对安全事件的处理应由授权者适时发布准确一致的有关信息避免带来不良的社会影响分权和授权原则对特定职能或责任领域的管理功能实施分离独立审计等实行分权避免权力过分集中所带来的隐患以减小未授权的修改或滥用系统资源的机会任何实体如用户管理员进程应用或系统仅享有该实体需要完成其任务所必须的权限不应享有任何多余权限选用成熟技术原则成熟的技术具有较好的可靠性和稳定性采用新技术时要重视其成熟的程度并应首先局部试点然后逐步推广以减少或避免可能出现的失误分级保护原则按等级划分标准确定信息系统的安全保护等级实行分级保护对多个子系统构成的大型信息系统确定系统的基本安全保护等级并根据实际安全需求分别确定各子系统的安全保护等级实行多级安全保护管理与技术并重原则坚持积极防御和综合防范全面提高信息系统安全防护能力立足国情采用管理与技术相结合管理科学性和技术前瞻性结合的方法保障信息系统的安全性达到所要求的目标自保护和国家监管结合原则对信息系统安全实行自保护和国家保护相结合组织机构要对自己的信息系统安全保护负责政府相关部门有责任对信息系统的安全进行指导监督和检查形成自管自查自评和国家监管相结合的管理模式提高信息系统的安全保护能力和水平保障国家信息安全信息系统安全管理要素及其强度策略和制度信息安全管理策略安全管理目标与范围信息系统的安全管理需要明确信息系统的安全管理目标和范围不同安全等级应有选择地满足以下要求的一项基本的管理目标与范围针对一般的信息系统应包括制定包括系统设施和操作等内容的系统安全目标与范围计划文件为达到相应等级技术要求提供相应的管理保证提供对信息系统进行基本安全保护的安全功能和安全管理措施确保安全功能达到预期目标使信息免遭非授权的泄露和破坏基本保证信息系统安全运行较完整的管理目标与范围针对在一定程度上涉及国家安全社会秩序经济建设和公共利益的一般信息和信息系统在的基础上还应包括建立相应的安全管理机构制定相应的安全操作规程制定信息系统的风险管理计划提供对信息系统进行安全保护的比较完整的系统化安全保护的能力和比较完善的安全管理措施从整体上保护信息免遭非授权的泄露和破坏保证信息系统安全正常运行系统化的管理目标与范围针对涉及国家安全社会秩序经济建设和公共利益的信息和信息系统在的基础上还应包括提供信息系统安全的自动监视和审计提供信息系统的认证验收及使用的授权的规定提供对信息系统进行强制安全保护的能力和设置必要的强制性安全管理措施确保数据信息免遭非授权的泄露和破坏保证信息系统安全运行强制保护的管理目标与范围针对涉及国家安全社会秩序经济建设和公共利益的重要信息和信息系统在的基础上还应包括提供安全策略和措施的程序化周期化的评估以及对明显的风险变化和安全事件的评估实施强制的分权管理机制和可信管理提供对信息系统进行整体的强制安全保护的能力和比较完善的强制性安全管理措施保证信息系统安全运行专控保护的管理目标与范围针
GB-T 20269-2006 信息安全技术 信息系统安全管理要求
文档预览
中文文档
63 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共63页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 路人甲 于 2022-05-26 05:32:40上传分享