路径: 主页 > MISC > 第83页 > GA/T 483-2004 | 标准编号 | GA/T 483-2004 (GA/T483-2004) | | 中文名称 | 计算机信息系统安全等级保护工程管理要求 | | 英文名称 | Engineering management requirement in computer information system classified security protection | | 行业 | 公安行业标准 (推荐) | | 中标分类 | A90 | | 国际标准分类 | 35.020 | | 字数估计 | 35,324 | | 发布日期 | 2004-03-29 | | 实施日期 | 2004-03-29 | | 引用标准 | GB 17859-1999; GA/T 390-2002; GA/T 391-2002 | | 范围 | 本标准规定了计算机信息系统安全工程(以下简称信息安全工程)管理的要求, 是对信息安全工程中所涉及到的甲方、乙方与第三方实施安全工程的指导性文件, 各方可以此为依据建立安全项目的安全工程管理体系。本标准按照GB 17859-1999划分的五个安全保护等级, 规定了对不同安全保护等级的计算机信息系统进行工程实施采用不同安全要求。本标准按照GB 17859-1999的五个安全保护等级的要求, 适用于有关信息安全的计算机信息系统开发与集成工程管理, 对于提供安全服务和安全工程组织的机构也可参照使用。本标准适用于安全系统的机 | GA/T 483-2004
Engineering management requirement in computer information system classified security protection
ICS 35.020
A90
中华人民共和国公共安全行业标准
GA/T483-2004
计算机信息系统安全等级保护
工程管理要求
2004-03-29发布
2004-03-29实施
中华人民共和国公安部 发 布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 安全工程体系 2
4.1 概述 2
4.2 安全工程目标 3
4.3 基本模型 3
5 资格保障要求 3
5.1 系统集成资质要求 3
5.2 人员资质要求 3
5.3 第三方服务要求 3
5.4 安全产品要求 4
5.5 工程监理要求 4
5.6 密码管理要求 4
5.7 其他要求 4
6 组织保障要求 4
6.1 定义组织的系统工程过程 4
6.2 改进组织的系统工程过程 4
6.3 管理系列产品进化 5
6.4 管理系统工程支持环境 5
6.5 培训 6
6.6 与供应商协调 6
7 工程实施要求 7
7.1 管理安全控制 7
7.2 评估影响 7
7.3 评估安全风险 8
7.4 评估威胁 8
7.5 评估脆弱性 9
7.6 建立保证论据 9
7.7 协调安全 10
7.8 监视安全态势 11
7.9 提供安全输入 11
7.10 指定安全要求 12
7.11 验证和证实安全性 13
8 项目实施要求 13
8.1 概要 13
GA/T483-2004
8.2 质量保证 13
8.3 管理配置 14
8.4 管理项目风险 15
8.5 监控技术活动 15
8.6 计划技术活动 16
9 用于工程管理等级划分的要求 17
9.1 第一级 17
9.2 第二级 18
9.3 第三级 20
9.4 第四级 22
9.5 第五级 23
9.6 安全保护等级划分安全功能要求对照表 24
附录A(资料性附录) 等级要求对照表 25
参考文献 30
GA/T483-2004
前言
GB 17859-1999《计算机信息系统安全保护等级划分准则》是我国计算机信息系统信息安全等级
管理的重要标准,已于1999年9月13日发布。为促进计算机信息系统安全等级管理工作正常有序地
开展,特制定一系列相关的标准,包括:
---计算机信息系统安全等级保护技术要求系列标准;
---计算机信息系统安全等级保护评估准则系列标准;
---计算机信息系统安全等级保护工程管理要求;
---计算机信息系统安全等级保护管理要求。
本标准为以上相关系列标准之一。
本标准的附录A中列出了等级要求对照表。
本标准的附录A是资料性附录。
本标准由公安部公共信息网络安全监察局提出。
本标准由公安部信息系统安全标准化技术委员会归口。
本标准起草单位:公安部公共信息网络安全监察局、中国电子科技集团第三十研究所、上海三零卫
士信息安全有限公司。
本标准主要起草人:张建军、魏忠、叶铭、陈克军、卿昊、吴晓星。
GA/T483-2004
引 言
本标准所指的信息系统安全等级保护工程是指按照GB 17859-1999及其相关配套标准对计算机
信息系统安全等级管理的要求,对信息网络系统、信息应用系统和信息资源开发等项目的新建、扩建和
升级。
本标准不仅是计算机信息系统安全等级保护工程实施的指南,而且也是实施计算机信息系统安全
等级保护工程、建立工程实施保证体系的依据,同时也是国家相应主管部门进行计算机信息系统安全工
程等级评审的依据。本标准可作为甲方、乙方、第三方进行安全保护工程建设时的参考,也可作为制定
与安全保护工程质量相关的法令、法规、标准的依据和参考。
GA/T483-2004
计算机信息系统安全等级保护
工程管理要求
1 范围
本标准规定了计算机信息系统安全工程(以下简称信息安全工程)管理的要求,是对信息安全工程
中所涉及到的甲方、乙方与第三方实施安全工程的指导性文件,各方可以此为依据建立安全项目的安全
工程管理体系。
本标准按照GB 17859-1999划分的五个安全保护等级,规定了对不同安全保护等级的计算机信
息系统进行工程实施采用不同安全要求。
本标准按照GB 17859-1999的五个安全保护等级的要求,适用于有关信息安全的计算机信息系
统开发与集成工程管理,对于提供安全服务和安全工程组织的机构也可参照使用。
本标准适用于安全系统的机构和开发商的工程管理,集成商、安全服务的提供商和安全工程的组织
商也可参照使用。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有
的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究
是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB 17859-1999 计算机信息系统安全保护等级划分准则
GA/T 390-2002 计算机信息系统安全等级保护通用技术要求
GA/T 391-2002 计算机信息系统安全等级保护管理要......
|