GB/T 19668.4-2017信息技术服务监理第4部分：信息安全监理规范

ICS35020

L01.

中华人民共和国国家标准

GB/T196684—2017

代替.

GB/T19668.6—2007

信息技术服务监理

第4部分信息安全监理规范

:

Informationtechnologyservice—Surveillance—

Part4Informationsecuritsurveillancesecification

:yp

2017-07-31发布2018-02-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T196684—2017

.

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

一般要求

4…………………2

规划设计部分

5……………2

目标

5.1…………………2

内容

5.2…………………2

要点

5.3…………………3

风险评估

5.3.1………………………3

安全需求确定

5.3.2…………………3

部署实施部分

6……………3

招标阶段

6.1……………3

监理目标

6.1.1………………………3

监理内容

6.1.2………………………3

监理要点

6.1.3………………………4

招标文件

6.1.3.1……………………4

承建合同

6.1.3.2……………………4

设计阶段

6.2……………4

监理目标

6.2.1………………………4

监理内容

6.2.2………………………4

监理要点

6.2.3………………………5

体系结构设计

6.2.3.1………………5

详细设计

6.2.3.2……………………5

实施阶段

6.3……………6

监理目标

6.3.1………………………6

监理内容

6.3.2………………………6

监理要点

6.3.3………………………6

工程实施方案

6.3.3.1………………6

安全控制措施

6.3.3.2………………7

安全设备验收

6.3.3.3………………7

工程实施中的安全管理

6.3.3.4……………………7

验收阶段

6.4……………7

监理目标

6.4.1………………………7

监理内容

6.4.2………………………7

监理要点

6.4.3………………………8

测试

6.4.3.1…………………………8

Ⅰ

GB/T196684—2017

.

工程验收方案

6.4.3.2………………8

工程验收管理

6.4.3.3………………8

附录规范性附录信息系统工程安全合规性要求

A()…………………9

附录规范性附录信息系统工程安全技术要求

B()……………………11

附录资料性附录信息系统工程安全监理工作表单

C()………………18

参考文献

……………………21

Ⅱ

GB/T196684—2017

.

前言

信息技术服务监理分为六部分

GB/T19668《》:

第部分总则

———1:;

第部分基础设施工程监理规范

———2:;

第部分运行维护监理规范

———3:;

第部分信息安全监理规范

———4:;

第部分软件工程监理规范

———5:;

第部分应用系统数据中心工程监理规范

———6::。

本部分为的第部分

GB/T196684。

本部分按照给出的规则起草

GB/T1.1—2009。

本部分代替信息化工程监理规范第部分信息化工程安全监理规范

GB/T19668.6—2007《6:》,

与相比主要技术变化如下

GB/T19668.6—2007,:

术语中增加了信息安全信息安全监理安全工程风险评估安全需求等级保护

———“、”、“”、“”、“”、“”、

安全控制措施合规性和安全策略共条定义见

“”、“”“”,9(3.2~3.9);

删除了术语中的信息化工程安全监理

———;

新增规划设计部分包括目标内容要点见第章

———,、、(5);

将原标准中工程招标阶段工程设计阶段工程实施阶段和工程验收阶段纳入部署实施部分

———、、

见第章

(6);

修改了工程招标阶段的监理目标监理内容监理要点见和

———、、(6.1.1、6.1.26.1.3);

修改了工程设计阶段的监理目标监理内容监理要点见和

———、、(6.2.1、6.2.26.2.3);

将原标准工程设计阶段监理要点中的安全需求分析删除将原工程设计方案细分为体系

———“”,“”“

结构设计和详细设计见和

”“”(6.2.3.16.2.3.2);

修改了工程实施阶段的监理目标监理内容监理要点见和

———、、(6.3.1、6.3.26.3.3);

工程实施阶段监理要点中的工程实施方案和工程实施组织方案修改为工程实施方案见

———“”“”(

增加了安全控制措施见修改了安全设备验收具体内容见

6.3.3.1),“”(6.3.3.2),“”(6.3.3.3),

将工程实验管理修改为工程实施中的安全管理见

“”“”(6.3.3.4);

修改了工程验收阶段的监理目标监理内容监理要点见和

———、、(6.4.1、6.4.26.4.3);

工程验收阶段监理要点中删除了信息系统安全测评增加工程验收方案见将

———“”,“”(6.4.3.2),

工程验收修改为工程验收管理见

“”“”(6.4.3.3);

删除了原标准中各类信息化工程的安全监理要点

———“”;

增加了规范性附录信息系统工程安全合规性要求见附录

———(A);

增加了规范性附录信息系统工程安全技术要求见附录

———(B);

增加了资料性附录信息系统工程安全监理工作表单见附录

———(C)。

请注意本文件的某些内容可能涉及的专利本文件的发布机构不承担标识这些专利的责任

。。

本部分由全国信息技术标准化技术委员会提出并归口

(SAC/TC28)。

本部分主要起草单位中国电子技术标准化研究院上海三零卫士信息安全有限公司北京交通大

:、、

学成都安美勤信息技术股份有限公司山东正中计算机网络技术咨询有限公司北京中百信工程咨询

、、、

有限公司武汉实为咨询监理有限公司大连鸿润信息系统工程监理有限公司北京希达建设监理有限

、、、

责任公司惠州市亿信通信息技术服务有限公司新疆天衡信息系统咨询管理有限公司北京联海信息

、、、

Ⅲ

GB/T196684—2017

.

系统有限公司北京中保天和信息科技有限公司北京中宏信科技有限公司深圳市艾泰克工程咨询监

、、、

理有限公司

。

本部分主要起草人邬敏华朱卫东卓兰曹铁舰于惊涛李阳郭锐邹晓光杨涛王丽钟平

:、、、、、、、、、、、

王智斌王平李强葛倞温廷祥周筱来李歆丽张硕于锋杜晓东黄红祁文君董晓杰朱晓娟

、、、、、、、、、、、、、、

贾卓生葛迺康

、。

本部分所代替标准版本的历次发布情况为

:

———GB/T19668.6—2007。

Ⅳ

GB/T196684—2017

.

信息技术服务监理

第4部分信息安全监理规范

:

1范围

的本部分规定了信息系统工程新建升级改造过程中各阶段信息安全监理工作的主

GB/T19668、、

要目标内容和要点

、。

本部分适用于在信息系统工程建设规划设计招标设计实施和验收阶段中提供有关信息安全的

、、、

监督管理

。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

计算机场地安全要求

GB/T9361—2011

信息技术服务监理第部分总则

GB/T19668.1—20141:

信息安全技术信息安全风险评估规范

GB/T20984—2007

3术语和定义

界定的以及下列术语和定义适用于本文件

GB/T19668.1—2014。

31

.

信息安全informationsecurity

保持信息的保密性完整性可用性另外也可包括诸如真实性可核查性不可否认性和可靠性等

、、;、