ICS 35.020 L 01 中华人民共和国国家标准 GB/T 19668.4--2017 代替GB/T19668.6---2007 信息技术服务 监理 第4部分:信息安全监理规范 Information technology service--Surveillance- Part 4:Information security surveillance specification 2017-07-31发布 2018-02-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T 19668.4-2017 目 次 前言 1 范围 2:规范性引用文件 3 术语和定义 二般要求 5 规划设计部分 5.1 目标 5.2 内容 5.3 要点 5.3.1 风险评估 5.3.2 安全需求确定 6 部署实施部分 6.1招标阶段 6.1.1监理目标 6.1.2 监理内容 6.1.3监理要点 6.1.3.1 招标文件 6.1.3.2 承建合同** 6.2:设计阶段 6.2.1监理目标 6.2.2 监理内容 6.2.3监理要点 6.2.3.1 体系结构设计 6.2.3.2 详细设计 6.3:实施阶段 6.3.1监理目标 6.3.2 监理内容 6.3.3 监理要点 6.3.3.1 工程实施方案 6.3.3.2 安全控制措施· 6.3.3.3 安全设备验收 6.3.3.4 工程实施中的安全管理, 6.4:验收阶段 6.4.1 监理目标 6.4.2 监理内容 6.4.3 监理要点 6.4.3.1 测试 学兔兔www.bzfxw。com GB/T 19668.4--2017 6.4.3.2工程验收方案* 6.4.3.3工程验收管理…. 附录A(规范性附录) 信息系统工程安全合规性要求 附录B(规范性附录) 信息系统工程安全技术要求 11 附录C(资料性附录) 信息系统工程安全监理工作表单 *++ *** 18 参考文献 21 学兔兔www.bzfxw.com GB/T 19668.4--2017 前言 GB/T19668《信息技术服务:监理》分为六部分: 第1部分:总则; 第2部分:基础设施工程监理规范; 第3部分:运行维护监理规范; 第4部分:信息安全监理规范; 第5部分:软件工程监理规范; 一第6部分:应用系统:数据中心工程监理规范。 本部分为GB/T19668的第4部分。 本部分按照GB/T1.1-2009给出的规则起草。 本部分代替GB/T19668.6-—2007《信息化工程监理规范第6部分:信息化工程安全监理规范》, 与GB/T19668.6-2007相比,主要技术变化如下: 术语中增加了“信息安全、信息安全监理”、“安全工程”“风险评估”、“安全需求”“等级保护”、 “安全控制措施”、“合规性”和“安全策略”,共9条定义(见3.2~3.9); 删除了术语中的信息化工程安全监理; 新增规划设计部分,包括目标、内容、要点(见第5章): 将原标准中工程招标阶段、工程设计阶段、工程实施阶段和工程验收阶段纳入部署实施部分 (见第6章); 修改了工程招标阶段的监理目标、监理内容、监理要点(见6.1.1、6.1.2和6.1,3); 修改了工程设计阶段的监理目标、监理内容、监理要点(见6.2.1、6.2.2和6.2.3); 将原标准工程设计阶段监理要点中的“安全需求分析”删除,将原“工程设计方案”细分为“体系 结构设计”和详细设计”(见6.2.3.1和6.2.3.2); 修改了工程实施阶段的监理目标,监理内容、监理要点(见6.3.1、6.3.2和6.3.3); 工程实施阶段监理要点中的“工程实施方案和工程实施组织方案”修改为“工程实施方案”(见 6.3.3.1),增加了安全控制措施”(见6.3.3.2),修改了*安全设备验收”具体内容(见6.3.3.3), 将“工程实验管理”修改为“工程实施中的安全管理”(见6.3.3.4); 修改了工程验收阶段的监理目标、监理内容、监理要点(见6.4.1、6.4.2和6.4.3); *工程验收”修改为”工程验收管理”(见6.4.3.3); 删除了原标准中“各类信息化工程的安全监理要点”; 增加了规范性附录信息系统工程安全合规性要求(见附录A); 增加了规范性附录信息系统工程安全技术要求(见附录B); 增加了资料性附录信息系统工程安全监理工作表单(见附录C)。 请注意本文件的某些内容可能涉及的专利。本文件的发布机构不承担标识这些专利的责任。 本部分由全国信息技术标准化技术委员会(SAC/TC28)提出并归口。 本部分主要起草单位:中国电子技术标准化研究院、上海三零卫土信息安全有限公司、北京交通大 学、成都安美勤信息技术股份有限公司、山东正中计算机网络技术咨询有限公司、北京中百信工程咨询 有限公司、武汉实为咨询监理有限公司、大连鸿润信息系统工程监理有限公司、北京希达建设监理有限 责任公司、惠州市亿信通信息技术服务有限公司、新疆天衡信息系统咨询管理有限公司、北京联海信息 I 学兔兔www.bzfxw。com GB/T 19668.4--2017 系统有限公司、北京中保天和信息科技有限公司、北京中宏信科技有限公司、深圳市艾泰克工程咨询监 理有限公司。 本部分主要起草人:邬敏华、朱卫东、卓兰、曹铁舰、于惊涛、李阳、郭锐、邹晓光、杨涛、王丽、钟平、 王智斌、王平、李强、葛惊、温廷祥、周筱来、李歆丽、张硕、于锋、杜晓东、黄红、祁文君、董晓杰、朱晓娟、 贾卓生、葛酒康。 本部分所代替标准版本的历次发布情况为: GB/T 19668.6--2007 学兔兔www.bzfxw.com GB/T 19668.4-2017 信息技术服务监理 第4部分:信息安全监理规范 1范围 GB/T19668的本部分规定了信息系统工程新建、升级、改造过程中各阶段信息安全监理工作的主 要目标、内容和要点, 本部分适用于在信息系统工程建设规划设计、招标、设计、实施和验收阶段中提供有关信息安全的 监督管理。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T9361-2011计算机场地安全要求 GB/T19668.1-2014信息技术服务:监理第1部分:总则 GB/T20984-2007信息安全技术:信息安全风险评估规范 3术语和定义 GB/T19668.1-2014界定的以及下列术语和定义适用于本文件。 3.1 信息安全information security 保持信息的保密性、完整性、可用性:另外也可包括诸如真实性、可核查性、不可否认性和可靠性等。 [GB/T220812008,定义2.5] 3.2 信息安全监理information securitysurveillance 依据信息安全方面的标准和要求,在工程建设各阶段向业主单位提供相关咨询,并协助业主单位对 承建单位在工程建设中的信息安全实施服务,实施控制和管理的种专业化服务活动。信息安全监理 还可以包括对信息系统运维阶段的其他信息安全实施服务进行监理。 [GB/T30283—2013,定义6.13] 3.3 安全工程 security engineering 为确保信息系统的保密性、完整性、可用性等目标而进行的系统工程过程。 [GB/T20282--2006,定义3.1] 3.4 风险评估riskassessment 依据有关信息安全技术与管理标准,对信息系统及其处理、传输和存储的信息的保密性、完整性和 可用性等安全属性进行评价的过程。它要评估资产面临的戴胁以及威胁利用脆弱性导致安全事件的可 1 学兔兔www.bzfxw.com GB/T 19668.4--2017 能性,并结合安全事件所涉及的资产价值来判断安全事件一且发生对组织造成的影响。 [GB/T20984-2007,定义3.7] 注:风险评估是确定信息安全需求的重要途径。 3.5 安全需求securityrequirement 为保证组织业务战略的正常运作而在安全措施方面提出的要求。 [GB/T20984—2007,定义3.16] 3.6 等级保护classifiedprotection 按照信息系统业务信息和系统服务的重要性,对信息系统分等级实行安全保护。 3.7 安全控制措施 security controls 管控安全风险的方法,为满足一组已定义的安全要求所需的任何过程、策略、设备、实践或其他 行为。 3.8 合规性compliance 信息系统工程应符合国家信息安全法律、法规、政策和标准。 3.9 安全策略 security policy 有关管理、保护和发布敏感信息的法律、规定和实施细则。 注:安全策略是指在一个特定的环境,为保证提供一定级别的安全保护所必须遵守的规则。 [GB17859-1999,定义3.6] 一般要求 本部分遵循GB/T19668.1-2014的般原则和要求,重点描述信息安全监理各监理阶段的监理 目标、监理内容和监理要点等。信息安全监理的监理对象为GB/T19668.1-2014所包括的各类信息 系统工程中涉及信息安全的工程活动,还可以包括对信息系统运维阶段的其他信息安全实施服务进行 监理。 5规划设计部分 5.1目标 监理机构可通过向业主单位提供规划设计服务,实现如下目标: a) 建议并协助业主单位在规划设计阶段开展风险评估; b) 协助业主单位明确信息系统工程的安全目标; 协助业主单位确定信息系统工程的安全需求; d)如适用,协助业主单位确定信息系统工程安全保护等级
GB-T 19668.4-2017 信息技术服务监理第4部分信息安全监理规范
文档预览
中文文档
28 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共28页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 思安 于 2023-01-14 09:26:58上传分享