標(biāo)準(zhǔn)解讀

GB/T 20282-2006《信息安全技術(shù) 信息系統(tǒng)安全工程管理要求》是中國制定的一項國家標(biāo)準(zhǔn),旨在為信息系統(tǒng)安全工程的管理提供一套全面的指導(dǎo)原則和要求。這項標(biāo)準(zhǔn)詳細(xì)闡述了在設(shè)計、實施、運行及維護信息系統(tǒng)時,如何系統(tǒng)地管理和保障信息安全的各個方面。以下是該標(biāo)準(zhǔn)主要內(nèi)容的概述:

  1. 范圍與適用性:標(biāo)準(zhǔn)明確了其適用于各類組織的信息系統(tǒng)安全工程管理活動,包括政府機構(gòu)、企業(yè)和其他實體。它覆蓋了從項目初始化到系統(tǒng)退役的全生命周期過程中的安全管理。

  2. 安全工程框架:標(biāo)準(zhǔn)提出了一個信息系統(tǒng)安全工程的基本框架,強調(diào)了風(fēng)險管理、政策與規(guī)劃、項目實施與維護、以及持續(xù)改進(jìn)等關(guān)鍵環(huán)節(jié)。這框架確保安全措施融入每個階段,實現(xiàn)安全與業(yè)務(wù)需求的緊密結(jié)合。

  3. 風(fēng)險管理:核心內(nèi)容之一是風(fēng)險管理,要求組織識別威脅、評估風(fēng)險并采取適當(dāng)控制措施來減緩潛在的信息安全風(fēng)險。這包括資產(chǎn)分類、脆弱性分析、威脅評估和影響分析等步驟。

  4. 政策與策略:強調(diào)了建立和維護信息安全政策、程序和標(biāo)準(zhǔn)的重要性,以指導(dǎo)組織的安全實踐活動,確保所有活動符合法律法規(guī)要求,并與組織的整體戰(zhàn)略目標(biāo)相一致。

  5. 項目管理與工程實踐:標(biāo)準(zhǔn)規(guī)定了在信息系統(tǒng)安全工程中應(yīng)遵循的項目管理原則,包括需求分析、設(shè)計、實施、測試、部署和維護等階段的具體安全要求。強調(diào)了安全控制措施的集成與驗證。

  6. 人員與培訓(xùn):指出人員是信息安全的重要組成部分,要求組織對員工進(jìn)行信息安全意識教育和專業(yè)技能培訓(xùn),確保他們了解自己的安全責(zé)任并具備執(zhí)行這些責(zé)任的能力。

  7. 合規(guī)性與審計:要求定期進(jìn)行安全審計和合規(guī)性檢查,以驗證安全控制的有效性,確保信息系統(tǒng)及其管理活動符合內(nèi)外部的法規(guī)、標(biāo)準(zhǔn)和政策要求。

  8. 持續(xù)監(jiān)控與改進(jìn):強調(diào)了安全是一個動態(tài)過程,需要持續(xù)監(jiān)控安全態(tài)勢,并根據(jù)監(jiān)控結(jié)果和新的威脅情況不斷調(diào)整和優(yōu)化安全措施,實現(xiàn)安全管理水平的持續(xù)提升。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2006-05-31 頒布
  • 2006-12-01 實施
?正版授權(quán)
GB/T 20282-2006信息安全技術(shù)信息系統(tǒng)安全工程管理要求_第1頁
GB/T 20282-2006信息安全技術(shù)信息系統(tǒng)安全工程管理要求_第2頁
GB/T 20282-2006信息安全技術(shù)信息系統(tǒng)安全工程管理要求_第3頁
GB/T 20282-2006信息安全技術(shù)信息系統(tǒng)安全工程管理要求_第4頁
GB/T 20282-2006信息安全技術(shù)信息系統(tǒng)安全工程管理要求_第5頁
已閱讀5頁,還剩35頁未讀, 繼續(xù)免費閱讀

下載本文檔

GB/T 20282-2006信息安全技術(shù)信息系統(tǒng)安全工程管理要求-免費下載試讀頁

文檔簡介

ICS35.020L09中華人民共和國國家標(biāo)準(zhǔn)GB/T20282-一2006信息安全技術(shù)信息系統(tǒng)安全工程管理要求Informationsecuritytechnology-Informationsystemsecurityengineeringmanagementrequirements2006-05-31發(fā)布2006-12-01實施中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布中國國家標(biāo)準(zhǔn)化管理委員會

中華人民共和國國家標(biāo)準(zhǔn)信息安全技術(shù)信息系統(tǒng)安全工程管理要求GB/T20282-2006中國標(biāo)準(zhǔn)出版社出版發(fā)行北京西城區(qū)復(fù)興門外三里河北街16號郵政編碼:100045電話:01051299090.685220062006年9月第一版書號:155066·1-27972版權(quán)專有侵權(quán)必究舉報電話:(010)68522006

GB/T20282-2006前言1范圍2規(guī)范性引用文件3術(shù)語和定義4安全工程體系4.1概述4.2安全工程目標(biāo)4.3基本關(guān)系·………………5資格保證要求5.1系統(tǒng)集成資質(zhì)要求5.2人員資質(zhì)要求5.3第三方服務(wù)要求5.4安全產(chǎn)品要求5.5工程監(jiān)理要求5.6法律、法規(guī)、政策符合性要求6組織保證要求·……………6.1定義組織的系統(tǒng)工程過程6.2改進(jìn)組織的系統(tǒng)工程過程6.3管理系列產(chǎn)品演化6.4管理系統(tǒng)工程支持環(huán)境6.5培訓(xùn)6.6與供應(yīng)商協(xié)調(diào)7工程實施要求7.1管理安全控制7.2評評估影響7.3評估安全風(fēng)險7.4評估威脅7.5評估脆弱性7.6建立保證論據(jù)7.7協(xié)協(xié)調(diào)安全……7.8監(jiān)視安全態(tài)勢7.9供安全輸人……7.10指指定安全要求7.11檢證和確認(rèn)安全性;項目實施要求…812質(zhì)量保證·…8.1128.2管理配置8.3管管理項目風(fēng)險……13

GB/T20282-20068.4監(jiān)監(jiān)視技術(shù)活動……148.5計劃技術(shù)活動…9安全工程管理分等級要求·.169.1第一級:用戶自主保護級9.2第二級:系統(tǒng)審計保護級179.3第三級:安全標(biāo)記保護級199.4第四級:結(jié)構(gòu)化保護級20第五級:訪問驗證保護級9.59.6安全保護等級劃分與安全工程要求對照表·2310安全工程流程與安全工程要求·10.1安全工程流程……………2810.2安全工程流程各階段的安全工程要求226附錄A(資料性附錄)安全工程要求與安全保護等級、安全工程流程的對應(yīng)關(guān)系27參考文獻(xiàn)34

GB/T20282-2006前本標(biāo)準(zhǔn)的附錄A是資料性附錄本標(biāo)準(zhǔn)由信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口。本標(biāo)準(zhǔn)起草單位:中國電子科技集團第三十研究所、上海三零衛(wèi)士信息安全有限公司、上海標(biāo)準(zhǔn)化研究院。本標(biāo)準(zhǔn)主要起草人:張建軍、魏忠、葉銘、陳長松、孔一童。

GB/T20282—2006信息安全技術(shù)信息系統(tǒng)安全工程管理要求T范圍本標(biāo)準(zhǔn)規(guī)定了信息系統(tǒng)安全工程(以下簡稱安全工程)的管理要求,是對信息系統(tǒng)安全工程中所涉及到的需求方、實施方與第三方工程實施的指導(dǎo).各方可以此為依據(jù)建立安全工程管理體系。本標(biāo)準(zhǔn)按照GB17859-1999劃分的五個安全保護等級,規(guī)定了信息系統(tǒng)安全工程管理的不同要求。本標(biāo)準(zhǔn)適用于信息系統(tǒng)的需求方和實施方的安全工程管理,其他有關(guān)各方也可參照使用。2規(guī)范性引用文件下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勒誤的內(nèi)容)或修訂版均不適用于本標(biāo)準(zhǔn),然而,鼓勵根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件,其最新版本適用于本標(biāo)準(zhǔn)。GB17859-1999計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則GB/T20269—2006信息安全技術(shù)信息系統(tǒng)安全管理要求GB/T20271—2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求術(shù)語和定義下列術(shù)語和定義適用于本標(biāo)準(zhǔn)安全工程securityengineering為確保信息系統(tǒng)的保密性、完整性、可用性等目標(biāo)而進(jìn)行的系統(tǒng)工程過程32安全工程的生存周期securityengineeringIifecycle在整個信息系統(tǒng)生存周期中執(zhí)行的安全工程活動包括:概念形成、概念開發(fā)和定義、驗證與確認(rèn)、工程實施開發(fā)與制造、生產(chǎn)與部署、運行與支持和終止.33安全工程指南securityengineeringguide由工程組做出的有關(guān)如何選擇工程體系結(jié)構(gòu)、設(shè)計與實現(xiàn)的指導(dǎo)性信息.3.4脆弱性Evulnerabil

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。驍?shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

最新文檔

評論

0/150

提交評論