標(biāo)準(zhǔn)解讀

GB/T 20282-2006《信息安全技術(shù) 信息系統(tǒng)安全工程管理要求》是中國(guó)制定的一項(xiàng)國(guó)家標(biāo)準(zhǔn),旨在為信息系統(tǒng)安全工程的管理提供一套全面的指導(dǎo)原則和要求。這項(xiàng)標(biāo)準(zhǔn)詳細(xì)闡述了在設(shè)計(jì)、實(shí)施、運(yùn)行及維護(hù)信息系統(tǒng)時(shí),如何系統(tǒng)地管理和保障信息安全的各個(gè)方面。以下是該標(biāo)準(zhǔn)主要內(nèi)容的概述:

  1. 范圍與適用性:標(biāo)準(zhǔn)明確了其適用于各類組織的信息系統(tǒng)安全工程管理活動(dòng),包括政府機(jī)構(gòu)、企業(yè)和其他實(shí)體。它覆蓋了從項(xiàng)目初始化到系統(tǒng)退役的全生命周期過(guò)程中的安全管理。

  2. 安全工程框架:標(biāo)準(zhǔn)提出了一個(gè)信息系統(tǒng)安全工程的基本框架,強(qiáng)調(diào)了風(fēng)險(xiǎn)管理、政策與規(guī)劃、項(xiàng)目實(shí)施與維護(hù)、以及持續(xù)改進(jìn)等關(guān)鍵環(huán)節(jié)。這框架確保安全措施融入每個(gè)階段,實(shí)現(xiàn)安全與業(yè)務(wù)需求的緊密結(jié)合。

  3. 風(fēng)險(xiǎn)管理:核心內(nèi)容之一是風(fēng)險(xiǎn)管理,要求組織識(shí)別威脅、評(píng)估風(fēng)險(xiǎn)并采取適當(dāng)控制措施來(lái)減緩潛在的信息安全風(fēng)險(xiǎn)。這包括資產(chǎn)分類、脆弱性分析、威脅評(píng)估和影響分析等步驟。

  4. 政策與策略:強(qiáng)調(diào)了建立和維護(hù)信息安全政策、程序和標(biāo)準(zhǔn)的重要性,以指導(dǎo)組織的安全實(shí)踐活動(dòng),確保所有活動(dòng)符合法律法規(guī)要求,并與組織的整體戰(zhàn)略目標(biāo)相一致。

  5. 項(xiàng)目管理與工程實(shí)踐:標(biāo)準(zhǔn)規(guī)定了在信息系統(tǒng)安全工程中應(yīng)遵循的項(xiàng)目管理原則,包括需求分析、設(shè)計(jì)、實(shí)施、測(cè)試、部署和維護(hù)等階段的具體安全要求。強(qiáng)調(diào)了安全控制措施的集成與驗(yàn)證。

  6. 人員與培訓(xùn):指出人員是信息安全的重要組成部分,要求組織對(duì)員工進(jìn)行信息安全意識(shí)教育和專業(yè)技能培訓(xùn),確保他們了解自己的安全責(zé)任并具備執(zhí)行這些責(zé)任的能力。

  7. 合規(guī)性與審計(jì):要求定期進(jìn)行安全審計(jì)和合規(guī)性檢查,以驗(yàn)證安全控制的有效性,確保信息系統(tǒng)及其管理活動(dòng)符合內(nèi)外部的法規(guī)、標(biāo)準(zhǔn)和政策要求。

  8. 持續(xù)監(jiān)控與改進(jìn):強(qiáng)調(diào)了安全是一個(gè)動(dòng)態(tài)過(guò)程,需要持續(xù)監(jiān)控安全態(tài)勢(shì),并根據(jù)監(jiān)控結(jié)果和新的威脅情況不斷調(diào)整和優(yōu)化安全措施,實(shí)現(xiàn)安全管理水平的持續(xù)提升。


如需獲取更多詳盡信息,請(qǐng)直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2006-05-31 頒布
  • 2006-12-01 實(shí)施
?正版授權(quán)
GB/T 20282-2006信息安全技術(shù)信息系統(tǒng)安全工程管理要求_第1頁(yè)
GB/T 20282-2006信息安全技術(shù)信息系統(tǒng)安全工程管理要求_第2頁(yè)
GB/T 20282-2006信息安全技術(shù)信息系統(tǒng)安全工程管理要求_第3頁(yè)
GB/T 20282-2006信息安全技術(shù)信息系統(tǒng)安全工程管理要求_第4頁(yè)
GB/T 20282-2006信息安全技術(shù)信息系統(tǒng)安全工程管理要求_第5頁(yè)
已閱讀5頁(yè),還剩35頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

免費(fèi)下載試讀頁(yè)

文檔簡(jiǎn)介

ICS35.020L09中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)GB/T20282-一2006信息安全技術(shù)信息系統(tǒng)安全工程管理要求Informationsecuritytechnology-Informationsystemsecurityengineeringmanagementrequirements2006-05-31發(fā)布2006-12-01實(shí)施中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)信息安全技術(shù)信息系統(tǒng)安全工程管理要求GB/T20282-2006中國(guó)標(biāo)準(zhǔn)出版社出版發(fā)行北京西城區(qū)復(fù)興門外三里河北街16號(hào)郵政編碼:100045電話:01051299090.685220062006年9月第一版書號(hào):155066·1-27972版權(quán)專有侵權(quán)必究舉報(bào)電話:(010)68522006

GB/T20282-2006前言1范圍2規(guī)范性引用文件3術(shù)語(yǔ)和定義4安全工程體系4.1概述4.2安全工程目標(biāo)4.3基本關(guān)系·………………5資格保證要求5.1系統(tǒng)集成資質(zhì)要求5.2人員資質(zhì)要求5.3第三方服務(wù)要求5.4安全產(chǎn)品要求5.5工程監(jiān)理要求5.6法律、法規(guī)、政策符合性要求6組織保證要求·……………6.1定義組織的系統(tǒng)工程過(guò)程6.2改進(jìn)組織的系統(tǒng)工程過(guò)程6.3管理系列產(chǎn)品演化6.4管理系統(tǒng)工程支持環(huán)境6.5培訓(xùn)6.6與供應(yīng)商協(xié)調(diào)7工程實(shí)施要求7.1管理安全控制7.2評(píng)評(píng)估影響7.3評(píng)估安全風(fēng)險(xiǎn)7.4評(píng)估威脅7.5評(píng)估脆弱性7.6建立保證論據(jù)7.7協(xié)協(xié)調(diào)安全……7.8監(jiān)視安全態(tài)勢(shì)7.9供安全輸人……7.10指指定安全要求7.11檢證和確認(rèn)安全性;項(xiàng)目實(shí)施要求…812質(zhì)量保證·…8.1128.2管理配置8.3管管理項(xiàng)目風(fēng)險(xiǎn)……13

GB/T20282-20068.4監(jiān)監(jiān)視技術(shù)活動(dòng)……148.5計(jì)劃技術(shù)活動(dòng)…9安全工程管理分等級(jí)要求·.169.1第一級(jí):用戶自主保護(hù)級(jí)9.2第二級(jí):系統(tǒng)審計(jì)保護(hù)級(jí)179.3第三級(jí):安全標(biāo)記保護(hù)級(jí)199.4第四級(jí):結(jié)構(gòu)化保護(hù)級(jí)20第五級(jí):訪問(wèn)驗(yàn)證保護(hù)級(jí)9.59.6安全保護(hù)等級(jí)劃分與安全工程要求對(duì)照表·2310安全工程流程與安全工程要求·10.1安全工程流程……………2810.2安全工程流程各階段的安全工程要求226附錄A(資料性附錄)安全工程要求與安全保護(hù)等級(jí)、安全工程流程的對(duì)應(yīng)關(guān)系27參考文獻(xiàn)34

GB/T20282-2006前本標(biāo)準(zhǔn)的附錄A是資料性附錄本標(biāo)準(zhǔn)由信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口。本標(biāo)準(zhǔn)起草單位:中國(guó)電子科技集團(tuán)第三十研究所、上海三零衛(wèi)士信息安全有限公司、上海標(biāo)準(zhǔn)化研究院。本標(biāo)準(zhǔn)主要起草人:張建軍、魏忠、葉銘、陳長(zhǎng)松、孔一童。

GB/T20282—2006信息安全技術(shù)信息系統(tǒng)安全工程管理要求T范圍本標(biāo)準(zhǔn)規(guī)定了信息系統(tǒng)安全工程(以下簡(jiǎn)稱安全工程)的管理要求,是對(duì)信息系統(tǒng)安全工程中所涉及到的需求方、實(shí)施方與第三方工程實(shí)施的指導(dǎo).各方可以此為依據(jù)建立安全工程管理體系。本標(biāo)準(zhǔn)按照GB17859-1999劃分的五個(gè)安全保護(hù)等級(jí),規(guī)定了信息系統(tǒng)安全工程管理的不同要求。本標(biāo)準(zhǔn)適用于信息系統(tǒng)的需求方和實(shí)施方的安全工程管理,其他有關(guān)各方也可參照使用。2規(guī)范性引用文件下列文件中的條款通過(guò)本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勒誤的內(nèi)容)或修訂版均不適用于本標(biāo)準(zhǔn),然而,鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件,其最新版本適用于本標(biāo)準(zhǔn)。GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB/T20269—2006信息安全技術(shù)信息系統(tǒng)安全管理要求GB/T20271—2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)安全工程securityengineering為確保信息系統(tǒng)的保密性、完整性、可用性等目標(biāo)而進(jìn)行的系統(tǒng)工程過(guò)程32安全工程的生存周期securityengineeringIifecycle在整個(gè)信息系統(tǒng)生存周期中執(zhí)行的安全工程活動(dòng)包括:概念形成、概念開(kāi)發(fā)和定義、驗(yàn)證與確認(rèn)、工程實(shí)施開(kāi)發(fā)與制造、生產(chǎn)與部署、運(yùn)行與支持和終止.33安全工程指南securityengineeringguide由工程組做出的有關(guān)如何選擇工程體系結(jié)構(gòu)、設(shè)計(jì)與實(shí)現(xiàn)的指導(dǎo)性信息.3.4脆弱性Evulnerabil

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁(yè),非文檔質(zhì)量問(wèn)題。

評(píng)論

0/150

提交評(píng)論