<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    GB/T 20269—2006信息安全技術 信息系統安全管理要求
    展開或關閉
    前 言
    前言
    引 言
    引言
    1 范圍
    范圍
    2 規范性引用文件
    規范性引用文件
    3 術語和定義
    術語和定義
    4 信息系統安全管理的一般要求
    4.1 信息系統安全管理的內容 4.2 信息系統安全管理的原則
    5 信息系統安全管理要素及其強度
    5.1 策略和制度 5.2 機構和人員管理 5.3 風險管理 5.4 環境和資源管理 5.5 運行和維護管理 5.6 業務連續性管理 5.7 監督和檢查管理 5.8 生存周期管理
    6 信息系統安全管理分等級要求
    6.1 第一級:用戶自主保護級 6.2 第二級:系統審計保護級 6.3 第三級:安全標記保護級 6.4 第四級:結構化保護級 6.5 第五級:訪問驗證保護級
    附 錄 A(資料性附錄)安全管理要素及其強度與安全管理分等級要求的對應關系
    安全管理要素及其強度與安全管理分等級要求的對應關系
    附 錄 B(資料性附錄)信息系統安全管理概念說明
    B.1 主要安全因素 B.2 安全管理的過程
    參考文獻
    參考文獻

    6.2 第二級:系統審計保護級

    GB/T 20269—2006信息安全技術 信息系統安全管理要求 /

    6.2.1 管理目標和范圍

    本級為系統審計保護級,實施操作規程管理,進行指導保護。適用于一定程度上涉及國家安全、社會秩序、經濟建設和公共利益的一般信息和信息系統,其受到破壞后,會對國家安全、社會秩序、經濟建設和公共利益造成一定損害。在滿足第一級的管理要求的基礎上,本級管理要求達到具有基于操作規程的安全管理措施,還應建立信息管理制度、信息安全產品采購與使用等必須的管理制度;具有基本的網絡基礎設施與邊界保護;具有更細粒度的自主訪問控制措施,能夠解決非授權的訪問;要求基本保護信息不被非法竊取,具有保護數據信息和系統的完整性不受破壞的措施;被授權的用戶隨時可以訪問信息并對自己的行為負責;具有初步的監控措施和初步的響應與恢復措施,并實施信息系統生存周期的全程管理。通過管理活動保證信息系統達到GB17859-1999的本級要求。(見5.1.1.1b))

    6.2.2 政策和制度要求

    在滿足第一級的管理要求的基礎上,本級要求如下:
    a)總體安全管理策略,應包括較完整的安全管理策略,由信息安全職能部門負責制定,安全管理策略文檔應由組織機構負責人簽發,按照有關文件管理程序發布;(見5.1.1.2b),5.1.1.3b),5.1.1.4b))
    b)安全管理規章制度,應包括制定較完整的安全管理制度和操作規程,由信息安全職能部門負責制定,分管信息安全工作的負責人簽發,按有關文件管理程序發布;(見5.1.2.1b),5.1.2.2b))
    c)策略與制度文檔管理,對策略與制度文檔應應由分管信息安全的負責人和信息安全職能部門負責文檔的評審和修訂,需要借閱應有相應級別負責人審批和登記。(見5.1.3.1b),5.1.3.2b))

    6.2.3 機構和人員管理要求

    在滿足第一級的管理要求的基礎上,本級要求如下:
    a)組織機構應建立管理信息安全工作的職能部門;負責起草信息系統的安全策略和發展規劃,管理安全日常事務,負責安全措施的實施或組織實施,組織并參加對安全重要事件的處理;監控信息系統安全總體狀況,指導和檢查各部門和下級單位信息系統安全工作;(見5.2.1.1b),5.2.1.3a))
    b)人員管理要求,應提出安全管理人員和其他關鍵崗位人員的兼職限制要求;對關鍵崗位人員采取定期輪崗;人員錄用時應進行必要的審查與考核;關鍵崗位人員調離崗位應承諾保密義務;應定期對關鍵崗位人員進行審查;(見5.2.3.1b),5.2.3.2b),5.2.3.3b),5.2.3.4b),5.2.3.5b),5.2.3.6a))
    c)教育和培訓要求,有計劃培養員工安全意識,以及對安全策略和操作規程的培訓。(見5.2.4.1b),5.2.4.2a))

    6.2.4 風險管理要求

    在滿足第一級的管理要求的基礎上,本級要求如下:
    a)風險管理要求和策略,針對關鍵系統資源的定期風險分析和評估;制定基本的風險管理策略,給予必要的組織和資源保證;(見5.3.1.1b),5.3.1.2a))
    b)風險分析和評估要求,增加針對每個或者每類資產的威脅列表;應對信息系統進行脆弱性人工分析和滲透測試,對各種指標進行綜合分析,得到脆弱性的等級;進行全面的風險評價,判斷風險的優先級,建議處理風險的措施,最終形成風險評估報告和有關中間結果;(見5.3.2.1a),5.3.2.2b),5.3.2.3b),5.3.2.4b))
    c)風險處理和減緩要求,根據風險評估的結果決定信息安全的控制措施;(見5.3.3.1b))
    d)基于風險的決策要求,應形成殘余風險分析報告,并密切注意殘余風險的變化,及時處理;由機構高層管理決定風險的接受,應采取相應的風險規避措施,控制信息系統的運行;(見5.3.4.1b),5.3.4.2b))
    e)風險評估的管理要求,應在經過本行業主管認可或上級行政領導部門批準的范圍內選擇具有國家主管部門認可的安全服務資質的評估機構;應監督檢查評估機構的保密協議執行情況;提交評估資料必要時可以隱藏或替換敏感參數;進行技術測試應在監督下按技術方案進行。(見5.3.5.1b),5.3.5.2b),5.3.5.3b),5.3.5.4b))

    6.2.5 環境和資源管理要求

    在滿足第一級的管理要求的基礎上,本級要求如下:
    a)環境安全管理要求,應對物理環境劃分不同等級安全區域進行管理;規定對來訪人員的控制措施;規定辦公環境安全管理的基本要求;指定專人負責物理安全區和物理設施的日常安全管理,制定設施購置計劃、驗收、運行、維護、處置管理制度,監督、檢查物理設施安全管理制度的落實。所有物理設施要分類編目,指定物理設施安全責任人;信息系統的物理環境安全方面的設施應達到GB/T 20271-2006中6.2.1的有關要求;(見5.4.1.1b),5.4.1.2b),5.4.1.3a))
    b)資源管理要求,應編制詳細的資產清單,包括資產擁有權、責任人、安全分類以及資產所在的位置等;根據信息資產分類方式對信息資產進行分類管理;對數據和軟件介質進行標識和分類存儲在由專人管理的介質庫或檔案室中,要求重要介質異地存儲;通過對資產清單的管理,記錄資產的狀況和使用、轉移、廢棄及其授權過程,保證設備的完好率。(見5.4.2.1b),5.4.2.2b),5.4.2.3b),5.4.2.4b))

    6.2.6 操作和維護管理要求

    在滿足第一級的管理要求的基礎上,本級要求如下:
    a)用戶管理要求,應編制特權用戶清單,說明權限,并進行審計;對系統用戶應責任到人;對普通用戶應規定處理敏感信息的要求;對外部特定外部用戶應采用專用通信通道,端口,協議,專用設備等措施;對主要部位的臨時用戶應進行審計;(見5.5.1.1b),5.5.1.2b),5.5.1.3b),5.5.1.4b),5.5.1.5b))
    b)運行操作管理要求,對服務器應注意日志文件管理和監控系統性能;便攜機應規定遠程操作等限制要求;對網絡及安全設備應進行策略配置符合性的檢查;重要的業務應用操作應根據上級的指令要求執行并進行審計;對變更控制管理應制度化,建立管理文檔;組織機構之間進行信息交換應建立包括安全條件的協議;(見5.5.2.1b),5.5.2.2a),5.5.2.3b),5.5.2.4b),5.5.2.5b),5.5.2.6b),5.5.2.7b))
    c)運行維護管理要求,應實行系統運行的制度化管理;對運行狀況監控要求監視服務器系統性能;設備外出維修應審批,磁盤數據必須刪除;外部維修人員進入機房應經過審批并專人陪同;對外部服務方訪問進行制度化管理;(見5.5.3.1b),5.5.3.2b),5.5.3.3b),5.5.3.4b))
    d)外包服務管理要求,應在行業認可或上級批準的范圍內選擇外包服務商;對外包服務的業務應用系統運行應定期評估,出現重大安全問題應及時處理,直至停止外包服務;(見5.5.4.1a),5.5.4.2b),5.5.4.3b))
    e)有關安全機制的保障要求包括,應對身份鑒別機制有強度要求,并指定安全管理人員定期進行檢查;應根據實際情況選擇合適的訪問控制管理模式,并保證最高管理層對訪問控制管理的掌握;系統安全管理要求包括操作系統配置、使用的審計等;網絡安全管理要求進行針對網絡使用的審計監控和評估;應用系統安全要求基于安全操作規程的管理和信息的分類管理;要求進行制度化的病毒防護管理;密碼管理要求必須符合國家法律規定,對密碼算法和密鑰實施分等級管理。(見5.5.5.1b),5.5.5.2b),5.5.5.3b),5.5.5.4b),5.5.5.5b),5.5.5.6b),5.5.5.7a))

    6.2.7 業務連續性管理要求

    在滿足第一級的管理要求的基礎上,本級要求如下:
    a)備份與恢復要求,數據備份和恢復策略要求對備份介質和恢復功能定期檢查;設備和系統冗余策略要求專人定期檢查備用設備,并限定系統恢復的時間;(見5.6.1.1b),5.6.1.2a))
    b)安全事件處理要求,具有完善的安全事件處置制度,安全事件報告和處理要求對安全弱點和可疑事件,以及還不能確定為事故或者入侵的可疑事件應報告;(見5.6.2.1b),5.6.2.2b))
    c)應急處理要求,應急處理和災難恢復要求進行制度化管理并由應急處理小組負責落實;進行系統化管理用于開發和維護整個組織的應急計劃體系;為保證應急計劃的執行應對系統相關的人員進行培訓。(見5.6.3.1b),5.6.3.2a),5.6.3.3b))

    6.2.8 監督和檢查管理要求

    在滿足第一級的管理要求的基礎上,本級要求如下:
    a)符合法律要求,機構應有措施防止對信息處理設備的濫用;對重要應用系統軟件,應防止發生因軟件升級或改造引起侵犯軟件版權的行為;(見5.7.1.1b),5.7.1.2b),5.7.1.3a))
    b)依從性檢查要求,應定期對安全管理進行檢查和評估,安全策略依從性要求檢查信息系統的管理者對安全策略的遵守情況;技術依從性要求定期檢查系統安全保障措施與安全實施標準的符合性;(見5.7.2.1a),5.7.2.2a),5.7.2.3a))
    c)審計及監管要求,應有獨立的審計機構對組織機構的安全管理職責體系、信息系統的安全風險控制等進行審計;在信息安全監管職能部門指導下依照國家政策法規和技術及管理標準進行自主保護;(見5.7.3.1a),5.7.3.2b))
    d)責任認定要求,應對監督和審查發現的問題限期解決,并認定技術責任和管理責任以及責任當事人,有關部門提出問題解決辦法和責任處理意見;對監管者逾期未進行解決,促使本應避免問題造成信息系統損失的應承擔相應責任。(見5.7.4.1a),5.7.4.2a))

    6.2.9 生存周期管理要求

    在滿足第一級的管理要求的基礎上,本級要求如下:
    a)規劃和立項管理,信息系統的管理者應建立安全策略規劃;安全管理職能部門應、提出加強系統安全的具體需求,進行可行性論證,經過管理層的批準后正式立項;(見5.8.1.1b),5.8.1.2b),5.8.1.3b))
    b)建設過程管理,要求信息系統建設項目應制定詳細的項目實施計劃,作為項目管理的依據;對重要的信息系統工程項目外包,應選擇經實踐證明是安全可靠的廠商;系統開發文檔應當受到保護和控制;對項目測試驗收要求,應明確項目的安全系統需要進行安全測試驗收;(見5.8.2.1b),5.8.2.2b),5.8.2.3b),5.8.2.4a),5.8.2.5b))
    c)系統啟用和終止管理,要求新的信息系統或子系統、信息系統設備啟用應進行一定的試運行,并得到相應領導和技術負責人認可,才能正式投入使用;現有信息系統或子系統、信息系統設備需要終止運行,應進行必要數據和軟件備份,對終止運行的設備進行數據清除,并得到相應領導和技術負責人認可才能正式終止運行。(見5.8.3.1b),5.8.3.2b))

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    安全俠
    Reserved 1.2k 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类