GB/T 20282-2006信息安全技術(shù)信息系統(tǒng)安全工程管理要求

ICS35.020L09中華人民共和國國家標(biāo)準(zhǔn)GB/T20282-一2006信息安全技術(shù)信息系統(tǒng)安全工程管理要求Informationsecuritytechnology-Informationsystemsecurityengineeringmanagementrequirements2006-05-31發(fā)布2006-12-01實施中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布中國國家標(biāo)準(zhǔn)化管理委員會

中華人民共和國國家標(biāo)準(zhǔn)信息安全技術(shù)信息系統(tǒng)安全工程管理要求GB/T20282-2006中國標(biāo)準(zhǔn)出版社出版發(fā)行北京西城區(qū)復(fù)興門外三里河北街16號郵政編碼：100045電話：01051299090.685220062006年9月第一版書號：155066·1-27972版權(quán)專有侵權(quán)必究舉報電話：（010）68522006

GB/T20282-2006前言1范圍2規(guī)范性引用文件3術(shù)語和定義4安全工程體系4.1概述4.2安全工程目標(biāo)4.3基本關(guān)系·………………5資格保證要求5.1系統(tǒng)集成資質(zhì)要求5.2人員資質(zhì)要求5.3第三方服務(wù)要求5.4安全產(chǎn)品要求5.5工程監(jiān)理要求5.6法律、法規(guī)、政策符合性要求6組織保證要求·……………6.1定義組織的系統(tǒng)工程過程6.2改進組織的系統(tǒng)工程過程6.3管理系列產(chǎn)品演化6.4管理系統(tǒng)工程支持環(huán)境6.5培訓(xùn)6.6與供應(yīng)商協(xié)調(diào)7工程實施要求7.1管理安全控制7.2評評估影響7.3評估安全風(fēng)險7.4評估威脅7.5評估脆弱性7.6建立保證論據(jù)7.7協(xié)協(xié)調(diào)安全……7.8監(jiān)視安全態(tài)勢7.9供安全輸人……7.10指指定安全要求7.11檢證和確認安全性；項目實施要求…812質(zhì)量保證·…8.1128.2管理配置8.3管管理項目風(fēng)險……13

GB/T20282-20068.4監(jiān)監(jiān)視技術(shù)活動……148.5計劃技術(shù)活動…9安全工程管理分等級要求·.169.1第一級：用戶自主保護級9.2第二級：系統(tǒng)審計保護級179.3第三級：安全標(biāo)記保護級199.4第四級：結(jié)構(gòu)化保護級20第五級：訪問驗證保護級9.59.6安全保護等級劃分與安全工程要求對照表·2310安全工程流程與安全工程要求·10.1安全工程流程……………2810.2安全工程流程各階段的安全工程要求226附錄A（資料性附錄）安全工程要求與安全保護等級、安全工程流程的對應(yīng)關(guān)系27參考文獻34

GB/T20282-2006前本標(biāo)準(zhǔn)的附錄A是資料性附錄本標(biāo)準(zhǔn)由信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口。本標(biāo)準(zhǔn)起草單位：中國電子科技集團第三十研究所、上海三零衛(wèi)士信息安全有限公司、上海標(biāo)準(zhǔn)化研究院。本標(biāo)準(zhǔn)主要起草人：張建軍、魏忠、葉銘、陳長松、孔一童。

GB/T20282—2006信息安全技術(shù)信息系統(tǒng)安全工程管理要求T范圍本標(biāo)準(zhǔn)規(guī)定了信息系統(tǒng)安全工程(以下簡稱安全工程)的管理要求,是對信息系統(tǒng)安全工程中所涉及到的需求方、實施方與第三方工程實施的指導(dǎo).各方可以此為依據(jù)建立安全工程管理體系。本標(biāo)準(zhǔn)按照GB17859-1999劃分的五個安全保護等級,規(guī)定了信息系統(tǒng)安全工程管理的不同要求。本標(biāo)準(zhǔn)適用于信息系統(tǒng)的需求方和實施方的安全工程管理,其他有關(guān)各方也可參照使用。2規(guī)范性引用文件下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勒誤的內(nèi)容)或修訂版均不適用于本標(biāo)準(zhǔn),然而，鼓勵根據(jù)本標(biāo)準(zhǔn)達成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB17859-1999計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則GB/T20269—2006信息安全技術(shù)信息系統(tǒng)安全管理要求GB/T20271—2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求術(shù)語和定義下列術(shù)語和定義適用于本標(biāo)準(zhǔn)安全工程securityengineering為確保信息系統(tǒng)的保密性、完整性、可用性等目標(biāo)而進行的系統(tǒng)工程過程32安全工程的生存周期securityengineeringIifecycle在整個信息系統(tǒng)生存周期中執(zhí)行的安全工程活動包括：概念形成、概念開發(fā)和定義、驗證與確認、工程實施開發(fā)與制造、生產(chǎn)與部署、運行與支持和終止.33安全工程指南securityengineeringguide由工程組做出的有關(guān)如何選擇工程體系結(jié)構(gòu)、設(shè)計與實現(xiàn)的指導(dǎo)性信息.3.4脆弱性Evulnerabil