欢迎来到天天文库
浏览记录
ID:12744080
大小:564.50 KB
页数:35页
时间:2018-07-18
《q 信息安全技术 信息系统安全工程管理要求》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、GB/T20282-2006信息安全技术信息系统安全工程管理要求Informationsecuritytechnology—Informationsystemsecurityengineeringmanagementrequirements自 2006-12-1 起执行目次 1范围 2规范性引用文件 3术语和定义 4安全工程体系 4.1概述 4.2安全工程目标 4.3基本关系 5资格保证要求 5.1系统集成资质要求 5.2人员资质要求 5.3第三方服务要求 5.4安全产品要求 5.5工程监理要求 5.6法律、法规、政策符
2、合性要求 6组织保证要求 6.1定义组织的系统工程过程 6.2改进组织的系统工程过程 6.3管理系列产品演化 6.4管理系统工程支持环境 6.5培训 6.6与供应商协调 7工程实施要求 7.1管理安全控制 7.2评估影响 7.3评估安全风险 7.4评估威胁 7.5评估脆弱性 7.6建立保证论据 7.7协调安全 7.8监视安全态势 7.9提供安全输人 7.10指定安全要求 7.11验证和确认安全性 8项目实施要求 8.1质量保证 8.2管理配置 8.3管理项目风险 8.4监视技术活动 8.5计划技术活动
3、 9安全工程管理分等级要求 9.1第一级:用户自主保护级 9.2第二级:系统审计保护级 9.3第三级:安全标记保护级 9.4第四级:结构化保护级 9.5第五级:访问验证保护级 9.6安全保护等级划分与安全工程要求对照表 10安全工程流程与安全工程要求 10.1安全工程流程 10.2安全工程流程与安全工程需求 附录A(资料性附录)安全工程要求与安全保护等级、安全工程流程的对应关系 参考文献 前言 本标准的附录A是资料性附录。 本标准由信息安全标准化技术委员会提出并归口。 本标准起草单位:中国电子科技集团第三十研究所、上海二零
4、卫士信息安全有限公司、上海标准化研究院。 本标准主要起草人:张建军、魏忠、叶铭、陈长松、孔一童。 信息安全技术 信息系统安全工程管理要求 1范围 本标准规定了信息系统安全工程(以下简称安全工程)的管理要求,是对信息系统安全工程中所涉及到的需求方、实施方与第三方工程实施的指导,各方可以此为依据建立安全工程管理体系。 本标准按照GB17859--1999划分的五个安全保护等级,规定了信息系统安全工程管理的不同要求。 本标准适用于信息系统的需求方和实施方的安全工程管理,其他有关各方也可参照使用。 2规范性引用文件 下列文件中的条款通过本标准
5、的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。 GB17859—1999计算机信息系统安全保护等级划分准则 GB/T20269—2006信息安全技术信息系统安全管理要求 GB/T20271—2006信息安全技术信息系统通用安全技术要求 3术语和定义 下列术语和定义适用于本标准。 3.1 安全工程securityengineering 为确保信息系统的保密性,
6、完整性、可用性等目标而进行的系统工程过程。 3.2 安全工程的生存周期securityengineeringlifecycle 在整个信息系统生存周期中执行的安全工程活动包括:概念形成、概念开发和定义、验证与确认、工程实施开发与制造、生产与部署、运行与支持和终止。 3.3 安全工程指南securityengineeringguide 由工程组做出的有关如何选择工程体系结构、设计与实现的指导性信息。 3.4 脆弱性vulnerability 能够被某种威胁利用的某个或某组资产的弱点。 3.5 风险risk 某种威胁会利用一种资产或
7、若干资产的脆弱性使这些资产损失或破坏的可能性。 3.6 需求方owner 信息系统安全工程建设的拥有者或组织者。 3.7 实施方developer 信息系统安全工程的建设与服务的提供方。 3.8 第三方thirdparty 独立于需求方、实施方,从事信息系统安全工程建设相关活动的中立组织或机构。 3.9 项目project 项目是各种相关实施活动和资源的总和,这些实施活动和资源用于开发或维护信息系统安全工程。一个项目往往有相关的资金,成本账目和交付时间表。 3.10 过程process 把输入转化为输出的一组相关活动。
8、3.11 过程管理processmanagement 一系列用于预见、评价和控制过程执行的
此文档下载收益归作者所有
