路径: 主页 > GB/T > 第253页 > GB/T 20282-2006 | 标准编号 | GB/T 20282-2006 (GB/T20282-2006) | | 中文名称 | 信息安全技术 信息系统安全工程管理要求 | | 英文名称 | Information security technology -- Information system security engineering management requirements | | 行业 | 国家标准 (推荐) | | 中标分类 | L09 | | 国际标准分类 | 35.020 | | 字数估计 | 62,627 | | 发布日期 | 2006-05-31 | | 实施日期 | 2006-12-01 | | 引用标准 | GB 17859-1999; GB/T 20269-2006; GB/T 20271-2006 | | 标准依据 | 中国国家标准批准发布公告 2006年第7号(总第94号) | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | | 范围 | 本标准规定了信息系统安全工程的管理要求, 是对信息系统安全工程中所涉及到的需求方、实施方与第三方工程实施的知道, 各方可以此为依据建立安全工程管理体系。本标准适用于信息系统的需求方和实施方的安全工程管理, 其他有关各方面也可参照使用。 | GB/T 20282-2006: 信息安全技术 信息系统安全工程管理要求
GB/T 20282-2006 英文名称: Information security technology -- Information system security engineering management requirements
中 华 人 民 共 和 国 国 家 标 准
GB/T 20282—2006
信息安全技术
信息系统安全工程管理要求
中华人民共和国国家质量监督检验检疫总局 发 布
中 国 国 家 标 准 化 管 理 委 员 会
1 范围
本标准规定了信息系统安全工程(以下简称安全工程)的管理要求,是对信息系统安全工程中所涉 及到的需求方、实施方与第三方工程实施的指导,各方可以此为依据建立安全工程管理体系。
本标准按照GB17859—1999 划分的五个安全保护等级,规定了信息系统安全工程管理的不同 要求。
本标准适用于信息系统的需求方和实施方的安全工程管理,其他有关各方也可参照使用。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有 的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究 是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
3 术语和定义
下列术语和定义适用于本标准。
4 安全工程体系
4.1 概述
在整个工程范围内确定了不同等级工程的具体要求构成了安全工程管理要求体系。通过这个体系 从安全工程中分离出实施和保证的基本特征,建立信息系统安全分级保护要求与工程管理的关系。
4.2 安全工程目标
理解需求方的安全风险,根据已标识的安全风险建立合理的安全要求,将安全要求转换成安全指 南,这些安全指南指导项目实施的其他活动,在正确有效的安全机制下建立对信息安全的信心和保证; 判断系统中和系统运行时残留的安全脆弱性,及其对运行的影响是否可容忍(即可接受的风险),使安全 工程成为一个可信的工程活动,能够满足相应等级信息系统设计的要求。
4.3 基本关系
安全工程由安全等级、保证与实施要求两个维度组成,不同等级要求的安全工程对应不同的保证与 实施要求。其中保证是由资格保证要求和组织保证要求构成,实施是由工程实施要求和项目实施要求 构成。资格保证要求表示信息安全工程中对应具备一定能力级别的实施方或与工程相关第三方资质的 要求;组织保证要求表示信息安全工程过程要求中对需求方组织保证的要求;工程实施要求表示信息安 全工程中对安全实施过程的要求;项目实施要求表示信息安全工程中对项目实施过程的要求。
5 资格保证要求
5.1系统集成资质要求
国家主管部门认可的系统集成资质。
5.2人员资质要求
国家主管部门认可的安全服务人员资质。
5.3第三方服务要求
国家主管部门认可的服务单位资质。
5.4 安全产品要求
信息安全产品应具有在国内生产、经营、销售的许可证,并符合相应的等级。
5.5 工程监理要求
5.5.1应具备信息安全系统建设工程实施监理管理制度。
5.5.2 系统聘请专业监理公司,且监理公司具有国家主管部门认可监理资质证书。
5.6 法律、法规、政策符合性要求
系统应符合国家相关的法律、法规和政策。
6 组织保证要求
6.1 定义组织的系统工程过程
6.1.1 基本要求
应为系统工程定义一套标准有明确目标的过程,这套标准的过程可以通过裁剪应用于定义新工程 项目的过程。
6.1.2 制定过程目标
6.1.2.1 从组织的应用目标出发为组织的系统工程过程制定目标。
6.1.2.2系统工程过程在业务环境中运行,为了使组织的标准实现制度化,该目标应得到明确的认可; 这个过程的目标应考虑财力、质量、人力资源和对业务成功起重要作用的问题。
6.1.3 收集过程资产
6.1.3.1 收集和维护系统工程过程资产。
6.1.3.2 在组织和项目层次中,由过程定义活动所产生的信息都需要存储(在过程资产库中),使得那 些剪裁、过程设计活动中的资产能被使用人理解,并得到维护与保持。
6.1.4 开发组织的系统工程过程
6.1.4.1为组织开发一个充分定义的标准系统工程过程。
6.1.4.2 在开发组织的标准系统工程过程中,可能使用到过程资产库中的设备;在开发任务时,可能需 要一些新的过程资产,应该将这些资产添加到过程资产库中;应该将组织的标准系统工程过程置于过程 资产库中。
6.1.5 定义剪裁指南
定义剪裁组织的标准系统工程过程的指南,该指南在开发项目的定义过程中使用。
6.2 改进组织的系统工程过程
6.2.1 基本要求
应实施测量和改进系统工程过程的连续活动,以标准系统工程过程定义为基础,通过不断改进活动
提高组织系统工程过程的效益和效率。
6.2.2 评定过程
6.2.2.1评定组织中现有的执行过程以便了解它们的强项和弱项,了解组织现有的执行过程的强项和弱项是建立改进活动基线的关键。
6.2.2.2评定时应考虑过程执行的测量与课程学习过程;评定可以多种形式进行,评定方法的选择应 与文化和组织需求相匹配。
6.2.3 规划过程改进
应基于对潜在改进所产生影响的分析,为组织制定过程改进计划,以达到过程的目标。
6.2.4 改变标准过程
改变组织的标准系统工程过程以便反映目标的改进。
6.2.5 沟通过程改进
适当地同现有项目和其他相关团体共同沟通过程的改进。
6.3 管理系列产品演化
6.3.1 基本要求
应通过引进服务、设备和新技术实现产品更新与工程费用降低,获取工程进度和执行的最佳收益。
6.3.2 定义产品演化
6.3.2.1定义要提供产品的类型。
6.3.2.2定义支持组织战略目标的系列产品。
6.3.2.3考虑组织的强项和弱项、竞争力、潜在的市场份额和可利用的技术。
6.3.3 标识新生产技术
6.3.3.1标识新生产技术或加强基础设施建设,将有助于组织获取、开发和应用新生产技术来提高竞争优势。
6.3.3.2确定可能引入到系列产品的新生产技术,为确定新技术和基础设施改进而建立并能维护的原 始资料和方法。
6.3.4 适应开发过程
6.3.4.1在产品开发周期中采取必要的变动以支持新产品的开发。
6.3.4.2适应组织的产品开发过程,熟悉并利用准备在将来使用的组件。
6.3.5 确保关键组件的可用性
6.3.5.1确保关键组件都可利用,并可以支持有计划的产品改进。
6.3.5.2组织应确定产品系列的关键组件及其可用性的计划。
6.3.6 插入产品技术
6.3.6.1将新的技术插入到产品开发、市场营销和制造过程中。
6.3.6.2管理将新技术引入到系列产品的工作(包括现有产品系列组件的改进、新组件的引进);标识和管理与产品设计变化有关的风险。
6.4 管理系统工程支持环境
6.4.1 基本要求
应能够为不同需求的系统工程提供支持环境,并可以通过剪裁适应不同的项目。根据技术、环境状 态的变化对支持环境进行改进。
6.4.2 维持技术认识
6.4.2.1维持对支持实现组织目标的那些技术的认识。
6.4.2.2对工艺现状或实施现状应该插入新的技术,组织应具有对新技术的充分认识。
6.4.3 确定支持需求
根据组织的需要确定组织的系统工程支持环境的需求。
6.4.4 获得系统工程支持环境
6.4.4.1 获得一个系统工程支持环境,该环境要满足在确定支持需求中通过利用分析候选解决要求项 的实施而建立的要求。
6.4.4.2 针对所需的系统工程支持环境,确定其评价标准和潜在的候选解决方案;利用分析候选解决 要求项选择一个解决方案;得到并实现所选的系统工程支持环境。
6.4.5 剪裁系统工程支持环境
剪裁系统工程支持环境,以满足单个项目的要求。
6.4.6 插入新技术
6.4.6.1根据组织的应用目标和项目需要将新技术插入到系统工程支持环境中。
6.4.6.组织的系统工程支持环境应用新技术更新,并要支持组织的应用目标及工程需要;在系统工 程支持环境中,应提供使用新技术的培训。
6.4.7 维护环......
|