路径: 主页 > GB/T > 第256页 > GB/T 19668.4-2017 | 标准编号 | GB/T 19668.4-2017 (GB/T19668.4-2017) | | 中文名称 | 信息技术服务 监理 第4部分:信息安全监理规范 | | 英文名称 | Information technology service -- Surveillance -- Part 4: Information security surveillance specification | | 行业 | 国家标准 (推荐) | | 中标分类 | L01 | | 国际标准分类 | 35.020 | | 字数估计 | 26,285 | | 发布日期 | 2017-07-31 | | 实施日期 | 2018-02-01 | | 旧标准 (被替代) | GB/T 19668.6-2007 | | 引用标准 | GB/T 9361-2011; GB/T 19668.1-2014; GB/T 20984-2007 | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | | 范围 | GB/T 19668的本部分规定了信息系统工程新建、升级、改造过程中各阶段信息安全监理工作的主要目标、内容和要点。本部分适用于在信息系统工程建设规划设计、招标、设计、实施和验收阶段中提供有关信息安全的监督管理。 | GB/T 19668.4-2017
ICS 35.020
L01
中华人民共和国国家标准
代替GB/T 19668.6-2007
信息技术服务 监理
第4部分.信息安全监理规范
2017-07-31发布
2018-02-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅲ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 一般要求 2
5 规划设计部分 2
5.1 目标 2
5.2 内容 2
5.3 要点 3
5.3.1 风险评估 3
5.3.2 安全需求确定 3
6 部署实施部分 3
6.1 招标阶段 3
6.1.1 监理目标 3
6.1.2 监理内容 3
6.1.3 监理要点 4
6.1.3.1 招标文件 4
6.1.3.2 承建合同 4
6.2 设计阶段 4
6.2.1 监理目标 4
6.2.2 监理内容 4
6.2.3 监理要点 5
6.2.3.1 体系结构设计 5
6.2.3.2 详细设计 5
6.3 实施阶段 6
6.3.1 监理目标 6
6.3.2 监理内容 6
6.3.3 监理要点 6
6.3.3.1 工程实施方案 6
6.3.3.2 安全控制措施 7
6.3.3.3 安全设备验收 7
6.3.3.4 工程实施中的安全管理 7
6.4 验收阶段 7
6.4.1 监理目标 7
6.4.2 监理内容 7
6.4.3 监理要点 8
6.4.3.1 测试 8
6.4.3.2 工程验收方案 8
6.4.3.3 工程验收管理 8
附录A(规范性附录) 信息系统工程安全合规性要求 9
附录B(规范性附录) 信息系统工程安全技术要求 11
附录C(资料性附录) 信息系统工程安全监理工作表单 18
参考文献 21
前言
GB/T 19668《信息技术服务 监理》分为六部分.
---第1部分.总则;
---第2部分.基础设施工程监理规范;
---第3部分.运行维护监理规范;
---第4部分.信息安全监理规范;
---第5部分.软件工程监理规范;
---第6部分.应用系统.数据中心工程监理规范。
本部分为GB/T 19668的第4部分。
本部分按照GB/T 1.1-2009给出的规则起草。
本部分代替GB/T 19668.6-2007《信息化工程监理规范 第6部分.信息化工程安全监理规范》,
与GB/T 19668.6-2007相比,主要技术变化如下.
---术语中增加了“信息安全、信息安全监理”、“安全工程”、“风险评估”、“安全需求”、“等级保护”、
“安全控制措施”、“合规性”和“安全策略”,共9条定义(见3.2~3.9);
---删除了术语中的信息化工程安全监理;
---新增规划设计部分,包括目标、内容、要点(见第5章);
---将原标准中工程招标阶段、工程设计阶段、工程实施阶段和工程验收阶段纳入部署实施部分
(见第6章);
---修改了工程招标阶段的监理目标、监理内容、监理要点(见6.1.1、6.1.2和6.1.3);
---修改了工程设计阶段的监理目标、监理内容、监理要点(见6.2.1、6.2.2和6.2.3);
---将原标准工程设计阶段监理要点中的“安全需求分析”删除,将原“工程设计方案”细分为“体系
结构设计”和“详细设计”(见6.2.3.1和6.2.3.2);
---修改了工程实施阶段的监理目标、监理内容、监理要点(见6.3.1、6.3.2和6.3.3);
---工程实施阶段监理要点中的“工程实施方案和工程实施组织方案”修改为“工程实施方案”(见
6.3.3.1),增加了“安全控制措施”(见6.3.3.2),修改了“安全设备验收”具体内容(见6.3.3.3),
将“工程实验管理”修改为“工程实施中的安全管理”(见6.3.3.4);
---修改了工程验收阶段的监理目标、监理内容、监理要点(见6.4.1、6.4.2和6.4.3);
---工程验收阶段监理要点中删除了“信息系统安全测评”,增加“工程验收方案”(见6.4.3.2),将
“工程验收”修改为“工程验收管理”(见6.4.3.3);
---删除了原标准中“各类信息化工程的安全监理要点”;
---增加了规范性附录信息系统工程安全合规性要求(见附录A);
---增加了规范性附录信息系统工程安全技术要求(见附录B);
---增加了资料性附录信息系统工程安全监理工作表单(见附录C)。
请注意本文件的某些内容可能涉及的专利。本文件的发布机构不承担标识这些专利的责任。
本部分由全国信息技术标准化技术委员会(SAC/TC28)提出并归口。
本部分主要起草单位.中国电子技术标准化研究院、上海三零卫士信息安全有限公司、北京交通大
学、成都安美勤信息技术股份有限公司、山东正中计算机网络技术咨询有限公司、北京中百信工程咨询
有限公司、武汉实为咨询监理有限公司、大连鸿润信息系统工程监理有限公司、北京希达建设监理有限
责任公司、惠州市亿信通信息技术服务有限公司、新疆天衡信息系统咨询管理有限公司、北京联海信息
系统有限公司、北京中保天和信息科技有限公司、北京中宏信科技有限公司、深圳市艾泰克工程咨询监
理有限公司。
本部分主要起草人.邬敏华、朱卫东、卓兰、曹铁舰、于惊涛、李阳、郭锐、邹晓光、杨涛、王丽、钟平、
王智斌、王平、李强、葛倞、温廷祥、周筱来、李歆丽、张硕、于锋、杜晓东、黄红、祁文君、董晓杰、朱晓娟、
贾卓生、葛迺康。
本部分所代替标准版本的历次发布情况为.
---GB/T 19668.6-2007。
信息技术服务 监理
第4部分.信息安全监理规范
1 范围
GB/T 19668的本部分规定了信息系统工程新建、升级、改造过程中各阶段信息安全监理工作的主
要目标、内容和要点。
本部分适用于在信息系统工程建设规划设计、招标、设计、实施和验收阶段中提供有关信息安全的
监督管理。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 9361-2011 计算机场地安全要求
GB/T 19668.1-2014 信息技术服务 监理 第1部分.总则
GB/T 20984-2007 信息安全技术 信息安全风险评估规范
3 术语和定义
GB/T 19668.1-2014界定的以及下列术语和定义适用于本文件。
3.1
信息安全 informationsecurity
保持信息的保密性、完整性、可用性;另外也可包括诸如真实性、可核查性、不可否认性和可靠性等。
[GB/T 22081-2008,定义2.5]
3.2
依据信息安全方面的标准和要求,在工程建设各阶段向业主单位提供相关咨询,并协助业主单位对
承建单位在工程建设中的信息安全实施服务,实施控制和管理的一种专业化服务活动。信息安全监理
还可以包括对信息系统运维阶段的其他信息安全实施服务进行监理。
[GB/T 30283-2013,定义6.13]
3.3
安全工程 securityengineering
为确保信息系统的保密性、完整性、可用性等目标而进行的系统......
|