標準解讀

GB/T 20282-2006《信息安全技術 信息系統(tǒng)安全工程管理要求》是中國制定的一項國家標準,旨在為信息系統(tǒng)安全工程的管理提供一套全面的指導原則和要求。這項標準詳細闡述了在設計、實施、運行及維護信息系統(tǒng)時,如何系統(tǒng)地管理和保障信息安全的各個方面。以下是該標準主要內容的概述:

  1. 范圍與適用性:標準明確了其適用于各類組織的信息系統(tǒng)安全工程管理活動,包括政府機構、企業(yè)和其他實體。它覆蓋了從項目初始化到系統(tǒng)退役的全生命周期過程中的安全管理。

  2. 安全工程框架:標準提出了一個信息系統(tǒng)安全工程的基本框架,強調了風險管理、政策與規(guī)劃、項目實施與維護、以及持續(xù)改進等關鍵環(huán)節(jié)。這框架確保安全措施融入每個階段,實現安全與業(yè)務需求的緊密結合。

  3. 風險管理:核心內容之一是風險管理,要求組織識別威脅、評估風險并采取適當控制措施來減緩潛在的信息安全風險。這包括資產分類、脆弱性分析、威脅評估和影響分析等步驟。

  4. 政策與策略:強調了建立和維護信息安全政策、程序和標準的重要性,以指導組織的安全實踐活動,確保所有活動符合法律法規(guī)要求,并與組織的整體戰(zhàn)略目標相一致。

  5. 項目管理與工程實踐:標準規(guī)定了在信息系統(tǒng)安全工程中應遵循的項目管理原則,包括需求分析、設計、實施、測試、部署和維護等階段的具體安全要求。強調了安全控制措施的集成與驗證。

  6. 人員與培訓:指出人員是信息安全的重要組成部分,要求組織對員工進行信息安全意識教育和專業(yè)技能培訓,確保他們了解自己的安全責任并具備執(zhí)行這些責任的能力。

  7. 合規(guī)性與審計:要求定期進行安全審計和合規(guī)性檢查,以驗證安全控制的有效性,確保信息系統(tǒng)及其管理活動符合內外部的法規(guī)、標準和政策要求。

  8. 持續(xù)監(jiān)控與改進:強調了安全是一個動態(tài)過程,需要持續(xù)監(jiān)控安全態(tài)勢,并根據監(jiān)控結果和新的威脅情況不斷調整和優(yōu)化安全措施,實現安全管理水平的持續(xù)提升。


如需獲取更多詳盡信息,請直接參考下方經官方授權發(fā)布的權威標準文檔。

....

查看全部

  • 現行
  • 正在執(zhí)行有效
  • 2006-05-31 頒布
  • 2006-12-01 實施
?正版授權
GB/T 20282-2006信息安全技術信息系統(tǒng)安全工程管理要求_第1頁
GB/T 20282-2006信息安全技術信息系統(tǒng)安全工程管理要求_第2頁
GB/T 20282-2006信息安全技術信息系統(tǒng)安全工程管理要求_第3頁
GB/T 20282-2006信息安全技術信息系統(tǒng)安全工程管理要求_第4頁
GB/T 20282-2006信息安全技術信息系統(tǒng)安全工程管理要求_第5頁
已閱讀5頁,還剩35頁未讀, 繼續(xù)免費閱讀

下載本文檔

GB/T 20282-2006信息安全技術信息系統(tǒng)安全工程管理要求-免費下載試讀頁

文檔簡介

ICS35.020L09中華人民共和國國家標準GB/T20282-一2006信息安全技術信息系統(tǒng)安全工程管理要求Informationsecuritytechnology-Informationsystemsecurityengineeringmanagementrequirements2006-05-31發(fā)布2006-12-01實施中華人民共和國國家質量監(jiān)督檢驗檢疫總局發(fā)布中國國家標準化管理委員會

中華人民共和國國家標準信息安全技術信息系統(tǒng)安全工程管理要求GB/T20282-2006中國標準出版社出版發(fā)行北京西城區(qū)復興門外三里河北街16號郵政編碼:100045電話:01051299090.685220062006年9月第一版書號:155066·1-27972版權專有侵權必究舉報電話:(010)68522006

GB/T20282-2006前言1范圍2規(guī)范性引用文件3術語和定義4安全工程體系4.1概述4.2安全工程目標4.3基本關系·………………5資格保證要求5.1系統(tǒng)集成資質要求5.2人員資質要求5.3第三方服務要求5.4安全產品要求5.5工程監(jiān)理要求5.6法律、法規(guī)、政策符合性要求6組織保證要求·……………6.1定義組織的系統(tǒng)工程過程6.2改進組織的系統(tǒng)工程過程6.3管理系列產品演化6.4管理系統(tǒng)工程支持環(huán)境6.5培訓6.6與供應商協(xié)調7工程實施要求7.1管理安全控制7.2評評估影響7.3評估安全風險7.4評估威脅7.5評估脆弱性7.6建立保證論據7.7協(xié)協(xié)調安全……7.8監(jiān)視安全態(tài)勢7.9供安全輸人……7.10指指定安全要求7.11檢證和確認安全性;項目實施要求…812質量保證·…8.1128.2管理配置8.3管管理項目風險……13

GB/T20282-20068.4監(jiān)監(jiān)視技術活動……148.5計劃技術活動…9安全工程管理分等級要求·.169.1第一級:用戶自主保護級9.2第二級:系統(tǒng)審計保護級179.3第三級:安全標記保護級199.4第四級:結構化保護級20第五級:訪問驗證保護級9.59.6安全保護等級劃分與安全工程要求對照表·2310安全工程流程與安全工程要求·10.1安全工程流程……………2810.2安全工程流程各階段的安全工程要求226附錄A(資料性附錄)安全工程要求與安全保護等級、安全工程流程的對應關系27參考文獻34

GB/T20282-2006前本標準的附錄A是資料性附錄本標準由信息安全標準化技術委員會提出并歸口。本標準起草單位:中國電子科技集團第三十研究所、上海三零衛(wèi)士信息安全有限公司、上海標準化研究院。本標準主要起草人:張建軍、魏忠、葉銘、陳長松、孔一童。

GB/T20282—2006信息安全技術信息系統(tǒng)安全工程管理要求T范圍本標準規(guī)定了信息系統(tǒng)安全工程(以下簡稱安全工程)的管理要求,是對信息系統(tǒng)安全工程中所涉及到的需求方、實施方與第三方工程實施的指導.各方可以此為依據建立安全工程管理體系。本標準按照GB17859-1999劃分的五個安全保護等級,規(guī)定了信息系統(tǒng)安全工程管理的不同要求。本標準適用于信息系統(tǒng)的需求方和實施方的安全工程管理,其他有關各方也可參照使用。2規(guī)范性引用文件下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勒誤的內容)或修訂版均不適用于本標準,然而,鼓勵根據本標準達成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件,其最新版本適用于本標準。GB17859-1999計算機信息系統(tǒng)安全保護等級劃分準則GB/T20269—2006信息安全技術信息系統(tǒng)安全管理要求GB/T20271—2006信息安全技術信息系統(tǒng)通用安全技術要求術語和定義下列術語和定義適用于本標準安全工程securityengineering為確保信息系統(tǒng)的保密性、完整性、可用性等目標而進行的系統(tǒng)工程過程32安全工程的生存周期securityengineeringIifecycle在整個信息系統(tǒng)生存周期中執(zhí)行的安全工程活動包括:概念形成、概念開發(fā)和定義、驗證與確認、工程實施開發(fā)與制造、生產與部署、運行與支持和終止.33安全工程指南securityengineeringguide由工程組做出的有關如何選擇工程體系結構、設計與實現的指導性信息.3.4脆弱性Evulnerabil

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經授權,嚴禁復制、發(fā)行、匯編、翻譯或網絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打印),因數字商品的特殊性,一經售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質量問題。

評論

0/150

提交評論