标准解读

GB/T 20282-2006《信息安全技术 信息系统安全工程管理要求》是中国制定的一项国家标准,旨在为信息系统安全工程的管理提供一套全面的指导原则和要求。这项标准详细阐述了在设计、实施、运行及维护信息系统时,如何系统地管理和保障信息安全的各个方面。以下是该标准主要内容的概述:

  1. 范围与适用性:标准明确了其适用于各类组织的信息系统安全工程管理活动,包括政府机构、企业和其他实体。它覆盖了从项目初始化到系统退役的全生命周期过程中的安全管理。

  2. 安全工程框架:标准提出了一个信息系统安全工程的基本框架,强调了风险管理、政策与规划、项目实施与维护、以及持续改进等关键环节。这框架确保安全措施融入每个阶段,实现安全与业务需求的紧密结合。

  3. 风险管理:核心内容之一是风险管理,要求组织识别威胁、评估风险并采取适当控制措施来减缓潜在的信息安全风险。这包括资产分类、脆弱性分析、威胁评估和影响分析等步骤。

  4. 政策与策略:强调了建立和维护信息安全政策、程序和标准的重要性,以指导组织的安全实践活动,确保所有活动符合法律法规要求,并与组织的整体战略目标相一致。

  5. 项目管理与工程实践:标准规定了在信息系统安全工程中应遵循的项目管理原则,包括需求分析、设计、实施、测试、部署和维护等阶段的具体安全要求。强调了安全控制措施的集成与验证。

  6. 人员与培训:指出人员是信息安全的重要组成部分,要求组织对员工进行信息安全意识教育和专业技能培训,确保他们了解自己的安全责任并具备执行这些责任的能力。

  7. 合规性与审计:要求定期进行安全审计和合规性检查,以验证安全控制的有效性,确保信息系统及其管理活动符合内外部的法规、标准和政策要求。

  8. 持续监控与改进:强调了安全是一个动态过程,需要持续监控安全态势,并根据监控结果和新的威胁情况不断调整和优化安全措施,实现安全管理水平的持续提升。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 现行
  • 正在执行有效
  • 2006-05-31 颁布
  • 2006-12-01 实施
©正版授权
GB/T 20282-2006信息安全技术信息系统安全工程管理要求_第1页
GB/T 20282-2006信息安全技术信息系统安全工程管理要求_第2页
GB/T 20282-2006信息安全技术信息系统安全工程管理要求_第3页
GB/T 20282-2006信息安全技术信息系统安全工程管理要求_第4页
GB/T 20282-2006信息安全技术信息系统安全工程管理要求_第5页
已阅读5页,还剩35页未读 继续免费阅读

下载本文档

GB/T 20282-2006信息安全技术信息系统安全工程管理要求-免费下载试读页

文档简介

ICS35.020L09中华人民共和国国家标准GB/T20282-一2006信息安全技术信息系统安全工程管理要求Informationsecuritytechnology-Informationsystemsecurityengineeringmanagementrequirements2006-05-31发布2006-12-01实施中华人民共和国国家质量监督检验检疫总局发布中国国家标准化管理委员会

中华人民共和国国家标准信息安全技术信息系统安全工程管理要求GB/T20282-2006中国标准出版社出版发行北京西城区复兴门外三里河北街16号邮政编码:100045电话:01051299090.685220062006年9月第一版书号:155066·1-27972版权专有侵权必究举报电话:(010)68522006

GB/T20282-2006前言1范围2规范性引用文件3术语和定义4安全工程体系4.1概述4.2安全工程目标4.3基本关系·………………5资格保证要求5.1系统集成资质要求5.2人员资质要求5.3第三方服务要求5.4安全产品要求5.5工程监理要求5.6法律、法规、政策符合性要求6组织保证要求·……………6.1定义组织的系统工程过程6.2改进组织的系统工程过程6.3管理系列产品演化6.4管理系统工程支持环境6.5培训6.6与供应商协调7工程实施要求7.1管理安全控制7.2评评估影响7.3评估安全风险7.4评估威胁7.5评估脆弱性7.6建立保证论据7.7协协调安全……7.8监视安全态势7.9供安全输人……7.10指指定安全要求7.11检证和确认安全性;项目实施要求…812质量保证·…8.1128.2管理配置8.3管管理项目风险……13

GB/T20282-20068.4监监视技术活动……148.5计划技术活动…9安全工程管理分等级要求·.169.1第一级:用户自主保护级9.2第二级:系统审计保护级179.3第三级:安全标记保护级199.4第四级:结构化保护级20第五级:访问验证保护级9.59.6安全保护等级划分与安全工程要求对照表·2310安全工程流程与安全工程要求·10.1安全工程流程……………2810.2安全工程流程各阶段的安全工程要求226附录A(资料性附录)安全工程要求与安全保护等级、安全工程流程的对应关系27参考文献34

GB/T20282-2006前本标准的附录A是资料性附录本标准由信息安全标准化技术委员会提出并归口。本标准起草单位:中国电子科技集团第三十研究所、上海三零卫士信息安全有限公司、上海标准化研究院。本标准主要起草人:张建军、魏忠、叶铭、陈长松、孔一童。

GB/T20282—2006信息安全技术信息系统安全工程管理要求T范围本标准规定了信息系统安全工程(以下简称安全工程)的管理要求,是对信息系统安全工程中所涉及到的需求方、实施方与第三方工程实施的指导.各方可以此为依据建立安全工程管理体系。本标准按照GB17859-1999划分的五个安全保护等级,规定了信息系统安全工程管理的不同要求。本标准适用于信息系统的需求方和实施方的安全工程管理,其他有关各方也可参照使用。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勒误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB17859-1999计算机信息系统安全保护等级划分准则GB/T20269—2006信息安全技术信息系统安全管理要求GB/T20271—2006信息安全技术信息系统通用安全技术要求术语和定义下列术语和定义适用于本标准安全工程securityengineering为确保信息系统的保密性、完整性、可用性等目标而进行的系统工程过程32安全工程的生存周期securityengineeringIifecycle在整个信息系统生存周期中执行的安全工程活动包括:概念形成、概念开发和定义、验证与确认、工程实施开发与制造、生产与部署、运行与支持和终止.33安全工程指南securityengineeringguide由工程组做出的有关如何选择工程体系结构、设计与实现的指导性信息.3.4脆弱性Evulnerabil

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

评论

0/150

提交评论