标准搜索结果: 'GB/T 20269-2006'
| 标准编号 | GB/T 20269-2006 (GB/T20269-2006) | | 中文名称 | 信息安全技术 信息系统安全管理要求 | | 英文名称 | Information security technology -- Information system security management requirements | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 124,112 | | 发布日期 | 2006-05-31 | | 实施日期 | 2006-12-01 | | 引用标准 | GB 17859-1999; GB/T 20271-2006 | | 标准依据 | 中国国家标准批准发布公告 2006年第7号(总第94号) | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | | 范围 | 本标准依据GB 17859-1999的五个安全保护等级的划分, 规定了信息系统安全所需要的各个安全等级的管理要求。本标准适用于按等级化要求进行的信息系统安全的管理。 | GB/T 20269-2006: 信息安全技术 信息系统安全管理要求
GB/T 20269-2006 英文名称: Information security technology -- Information system security management requirements
中华人民共和国国家标准
GB/T 20269-2006
信息安全技术 信息系统安全管理要求
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
1 范围
本标准依据GB 17859-1999的五个安全保护等级的划分,规定了信息系统安全所需要的各个安
全等级的管理要求。
本标准适用于按等级化要求进行的信息系统安全的管理。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有
的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究
是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
4 信息系统安全管理的一般要求
4.1 信息系统安全管理的内容
信息系统安全管理是对一个组织机构中信息系统的生存周期全过程实施符合安全等级责任要求的
管理,包括:
---落实安全管理机构及安全管理人员,明确角色与职责,制定安全规划;
---开发安全策略;
---实施风险管理;
---制定业务持续性计划和灾难恢复计划;
---选择与实施安全措施;
---保证配置、变更的正确与安全;
---进行安全审计;
---保证维护支持;
---进行监控、检查,处理安全事件;
---安全意识与安全教育;
---人员安全管理等。
4.2 信息系统安全管理的原则
a) 基于安全需求原则:组织机构应根据其信息系统担负的使命,积累的信息资产的重要性,可能
受到的威胁及面临的风险分析安全需求,按照信息系统等级保护要求确定相应的信息系统安
全保护等级,遵从相应等级的规范要求,从全局上恰当地平衡安全投入与效果。
b) 主要领导负责原则:主要领导应确立其组织统一的信息安全保障的宗旨和政策,负责提高员
工的安全意识,组织有效安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各
部门工作的关系,并确保其落实、有效。
c) 全员参与原则:信息系统所有相关人员应普遍参与信息系统的安全管理,并与相关方面协同、
协调,共同保障信息系统安全。
d) 系统方法原则:按照系统工程的要求,识别和理解信息安全保障相互关联的层面和过程,采用
管理和技术结合的方法,提高实现安全保障的目标的有效性和效率。
e) 持续改进原则:安全管理是一种动态反馈过程,贯穿整个安全管理的生存周期,随着安全需求
和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以及对系统安全认识的深化
等,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全
管理等级,维护和持续改进信息安全管理体系的有效性。
f) 依法管理原则:信息安全管理工作主要体现为管理行为,应保证信息系统安全管理主体合法、
管理行为合法、管理内容合法、管理程序合法。对安全事件的处理,应由授权者适时发布准确
一致的有关信息,避免带来不良的社会影响。
g) 分权和授权原则:对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权
力过分集中所带来的隐患,以减小未授权的修改或滥用系统资源的机会。任何实体(如用户、
管理员、进程、应用或系统)仅享有该实体需要完成其任务所必须的权限,不应享有任何多余
权限。
h) 选用成熟技术原则:成熟的技术具有较好的可靠性和稳定性,采用新技术时要重视其成熟的
程度,并应首先局部试点然后逐步推广,以减少或避免可能出现的失误。
i) 分级保护原则:按等级划分标准确定信息系统的安全保护等级,实行分级保护;对多个子系统
构成的大型信息系统,确定系统的基本安全保护等级,并根据实际安全需求,分别确定各子系
统的安全保护等级,实行多级安全保护。
j) 管理与技术并重原则:坚持积极防御和综合防范,全面提高信息系统安全防护能力,立足国情,
采用管理与技术相结合,管理科学性和技术前瞻性结合的方法,保障信息系统的安全性达到所
要求的目标。
k) 自保护和国家监管结合原则:对信息系统安全实行自保护和国家保护相结合。组织机构要对
自己的信息系统安全保护负责,政府相关部门有责任对信息系统的安全进行指导、监督和检
查,形成自管、自查、自评和国家监管相结合的管理模式,提高信息系统的安全保护能力和水
平,保障国家信息安全。
5 信息系统安全管理要素及其强度
5.1 策略和制度
5.1.1 信息安全管理策略
5.1.1.1 安全管理目标与范围
信息系统的安全管理需要明确信息系统的安全管理目标和范围,不同安全等级应有选择地满足以
下要求的一项:
a) 基本的管理目标与范围:针对一般的信息系统应包括:制定包括系统设施和操作等内容的系统
安全目标与范围计划文件;为达到相应等级技术要求提供相应的管理保证;提供对信息系统进
行基本安全保护的安全功能和安全管理措施,确保安全功能达到预期目标,使信息免遭非授权
的泄露和破坏,基本保证信息系统安全运行。
b) 较完整的管理目标与范围:针对在一定程度上涉及国家安全、社会秩序、经济建设和公共利益
的一般信息和信息系统,在a)的基础上还应包括:建立相应的安全管理机构,制定相应的安全
操作规程;制定信息系统的风险管理计划;提供对信息系统进行安全保护的比较完整的系统化
安全保护的能力和比较完善的安全管理措施,从整体上保护信息免遭非授权的泄露和破坏,保
证信息系统安全正常运行。
c) 系统化的管理目标与范围:针对涉及国家安全、社会秩序、经济建设和公共利益的信息和信息
系统,在b)的基础上还应包括:提供信息系统安全的自动监视和审计;提供信息系统的认证、
验收及使用的授权的规定;提供对信息系统进行强制安全保护的能力和设置必要的强制性安
全管理措施,确保数据信息免遭非授权的泄露和破坏,保证信息系统安全运行。
d) 强制保护的管理目标与范围:针对涉及国家安全、社会秩序、经济建设和公共利益的重要信息
和信息系统,在c)的基础上还应包括:提供安全策略和措施的程序化、周期化的评估,以及对
明显的风险变化和安全事件的评估;实施强制的分权管理机制和可信管理;提供对信息系统进
行整体的强制安全保护的能力和比较完善的强制性安全管理措施,保证信息系统安全运行。
e) 专控保护的管理目标与范围:针对涉及国家安全、社会秩序、经济建设和公共利益的重要信息
和信息系统的核心系统,在d)的基础上还应包括:使安全管理计划与组织机构的文化有机融
合,并能适应安全环境的变化;实施全面、可信的安全管理;提供对信息系统进行基于可验证的
强制安全保护能力和完善的强制性安全管理措施,全面保证信息系统安全运行。
5.1.1.2 总体安全管理策略
不同安全等级的信息系统总体安全策略应有选择地满足以下要求的一项:
a) 基本的安全管理策略:信息系统安全管理策略包括:依照国家政策法规和技术及管理标准进行
自主保护;阐明管理者对信息系统安全的承诺,并陈述组织机构管理信息系统安全的方法;说
明信息系统安全的总体目标、范围和安全框架;申明支持信息系统安全目标和原则的管理意
向;简要说明对组织机构有重大意义的安全方针、原则、标准和符合性要求。
b) 较完整的安全管理策略:在a)的基础上,信息安全管理策略还包括:在信息安系统全监管职能
部门的指导下,依照国家政策法规和技术及管理标准自主进行保护;明确划分信息系统(分系
统/域)的安全保护等级(按区域分等级保护);制定风险管理策略、业务连续性策略、安全培训
与教育策略、审计策略等较完整的信息安全策略。
c) 体系化的安全管理策略:在b)的基础上,信息安全管理策略还包括:在接受信息系统安全监管
职能部门监督、检查的前提下,依照国家政策法规和技术及管理标准自主进行保护;制定目标
策略、规划策略、机构策略、人员策略、管理策略、安全技术策略、控制策略、生存周期策略、投资
策略、质量策略等,形成体系化的信息系统安全策略。
d) 强制保护的安全管理策略:在c)的基础上,信息安全管理策略还包括:在接受信息系统安全监
管职能部门的强制监督、检查的前提下,依照国家政策法规和技术及管理标准自主进行保护;
制定体系完整的信息系统安全管理策略。
e) 专控保护的安全管理策略:在d)的基础上,信息安全管理策略还包括:在接受国家指定的专门
部门、专门机构的专门监督的前提下,依照国家政策法规和技术及管理标准自主进行保护;制
定可持续改进的信息系统安全管理策略。
5.1.1.3 安全管理策略的制定
信息系统安全管理策略的制定,不同安全等级应有选择地满足以下要求的一项:
a) 基本的安全管理策略制定:应由安全管理人员为主制定,由分管信息安全工作的负责人召集,
以安全管理人员为主,与相关人员一起制定基本的信息系统安全管理策略,包括总体策略和具
体策略,并以文件形式表述。
b) 较完整的安全管理策略制定:应由信息安全职能部门负责制定,由分管信息安全工作的负责
人组织,信息安全职能部门负责制定较完整的信息系统安全管理策略,包括总体策略和具体策
略,并以文件形式表述。
c) 体系化的安全管理策略制定:应由信息安全领导小组组织制定,由信息安全领导小组组织并提
出指导思想,信息安全职能部门负责具体制定体系化的信息系统安全管理策略,包括总体策略
和具体策略,并以文件形式表述。
d) 强制保护的安全管理策略制定:应由信息安全领导小组组织并提出指导思想,由信息安全职
能部门指派专人负责制定强制保护的信息系统安全管理策略,包括总体策略和具体策略,并以
文件形式表述;涉密系统安全策略的制定应限定在相应范围内进行;必要时,可征求信息安全
监管职能部门的意见。
e) 专控保护的安全管理策略制定:在d)的基础上,必要时应征求国家指定的专门部门或机构的
意见,或者共同制定专控保护的信息系统安全管理策略,包括总体策略和具体策略。
5.1.1.4 安全管理策略的发布
信息系统安全管理策略应以文档形式发布,不同安全等级应有选择地满足以下要求的一项:
a) 基本的安全管理策略的发布:安全管理策略文档应由分管信息安全工作的负责人签发,并向信
息系统的用户传达,其形式应针对目标读者,并能够为读者接受和理解;
b) 较完整的安全管理策略的发布:在a)的基础上,安全管理策略文档应经过组织机构负责人签
发,按照有关文件管理程序发布;
c) 体系化的安全管理策略的发布:在b)的基础上,安全管理策略文档应注明发布范围,并有收发
文登记;
d) 强制保护的安全管理策略的发布:在c)的基础上,安全管理策略文档应注明密级,并在监管部
门备案;
e) 专控保护的安全管理策略的发布:在d)的基础上,必要时安全管理策略文档应在国家指定的
专门部门或机构进行备案。
5.1.2 安全管理规章制度
5.1.2.1 安全管理规章制度内容
应根据机构的总体安全策略和业务应用需求,制定信息系统安全管理的规程和制度,不同安全等级
的安全管理规章制度的内容应有选择地满足以下要求的一项:
a) 基本的安全管理制度:应包括网络安全管理规定、系统安全管理规定、数据安全管理规定、防病
毒规定、机房安全管理规定以及相关的操作规程等。
b) 较完整的安全管理制度:在a)的基础上,应增加设备使用管理规定、人员安全管理规定、安全
审计管理规定、用户管理规定、风险管理规定、信息分类分级管理规定、安全事件报告规定、事
故处理规定、应急管理规定和灾难恢复管理规定等。
c) 体系化的安全管理制度:在b)的基础上,应制定全面的安全管理规定,包括:机房、主机设备、
网络设施、物理设施分类标记等系统资源安全管理规定;安全配置、系统分发和操作、系统文
档、测试和脆弱性评估、系统信息安全备份和相关的操作规程等系统和数据库方面的安全管理
规定;网络连接检查评估、网络使用授权、网络检测、网络设施(设备和协议)变更控制和相关的
操作规程等方面的网络安全管理规定;应用安全评估、应用系统使用授权、应用系统配置管理、
应用系统文档管理和相关的操作规程等方面的应用安全管理规定;人员安全管理、安全意识与
安全技术教育、操作安全、操作系统和数据库安全、系统运行记录、病毒防护、系统维护、网络互
联、安全审计、安全事件报告、事故处理、应急管理、灾难恢复和相关的操作规程等方面的运行
安全管理规定;信息分类标记、涉密信息管理、文档管理、存储介质管理、信息披露与发布审批
管理、第三方访问控制和相关的操作规程等方面的信息安全管理规定等。
d) 强制保护的安全管理制度:在c)的基础上,应增加信息保密标识与管理规定、密码使用管理规
定、安全事件例行评估和报告规定、关键控制措施定期测试规定等;
e) 专控保护的安全管理制度:在d)的基础上,应增加安全管理审计监督规定等。
5.1.2.2 安全管理规章制度的制定
安全管理制度的制定及发布,应有明确规定的程序,不同安全等级应有选择地满足以下要求的
一项:
a) 基本的安全管理制度制定:应由安全管理人员负责制订信息系统安全管理制度,并以文档形式
表述,由分管信息安全工作的负责人审批发布;
b) 较完整的安全管理制度制定:应由信息安全职能部门负责制订信息系统安全管理制度,并以
文档形式表述,由分管信息安全工作的负责人审批,按照有关文档管理程序发布;
c) 体系化的安全管理制度制定:应由信息安全职能部门负责制订信息系统安全管理制度,并以文
档形式表述,经信息安全领导小组讨论通过,由信息安全领导小组负责人审批发布,应注明发
布范围并有收发文登记;
d) 强制保护的安全管理制度制定:应由信息安全职能部门指派专人负责制订信息系统安全管理
制度,并以文档形式表述,经信息安全领导小组讨论通过,由信息安全领导小组负责人审批发
布;信息系统安全管理制度文档的发布应注明密级,对涉密的信息系统安全管理制度的制定应
在相应范围内进行;
e) 专控保护的安全管理制度制定:在d)的基础上,必要时,应征求组织机构的保密管理部门的意
见,或者共同制定。
5.1.3 策略与制度文档管理
5.1.3.1 策略与制度文档的评审和修订
策略与制度文档的评审和修订,不同安全等级应有选择地满足以下要求的一项:
a) 基本的评审和修订:应由分管信息安全的负责人和安全管理人员负责文档的评审和修订;应通
过所记录的安全事故的性质、数量以及影响检查策略和制度的有效性,评价安全管理措施对成
本及应用效率的影响,以及技术变化对安全管理的影响;经评审,对存在不足或需要改进的策
略和制度应进行修订,并按规定程序发布。
b) 较完整的......
|