<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    GB/T 20269—2006信息安全技術 信息系統安全管理要求
    展開或關閉
    前 言
    前言
    引 言
    引言
    1 范圍
    范圍
    2 規范性引用文件
    規范性引用文件
    3 術語和定義
    術語和定義
    4 信息系統安全管理的一般要求
    4.1 信息系統安全管理的內容 4.2 信息系統安全管理的原則
    5 信息系統安全管理要素及其強度
    5.1 策略和制度 5.2 機構和人員管理 5.3 風險管理 5.4 環境和資源管理 5.5 運行和維護管理 5.6 業務連續性管理 5.7 監督和檢查管理 5.8 生存周期管理
    6 信息系統安全管理分等級要求
    6.1 第一級:用戶自主保護級 6.2 第二級:系統審計保護級 6.3 第三級:安全標記保護級 6.4 第四級:結構化保護級 6.5 第五級:訪問驗證保護級
    附 錄 A(資料性附錄)安全管理要素及其強度與安全管理分等級要求的對應關系
    安全管理要素及其強度與安全管理分等級要求的對應關系
    附 錄 B(資料性附錄)信息系統安全管理概念說明
    B.1 主要安全因素 B.2 安全管理的過程
    參考文獻
    參考文獻

    6.4 第四級:結構化保護級

    GB/T 20269—2006信息安全技術 信息系統安全管理要求 /

    6.4.1 管理目標和范圍

    本級為結構化保護級,實施規范化管理,進行強制保護。適用于涉及國家安全、社會秩序、經濟建設和公共利益的重要信息和信息系統,其受到破壞后,會對國家安全、社會秩序、經濟建設和公共利益造成嚴重損害。在實現第三級管理目標的基礎上,本級管理要求達到具有量化控制的安全管理措施,建立完善的信息系統安全管理制度;對關鍵的控制措施要根據其風險制定嚴格測試計劃;對內外明顯的風險變化應立即組織風險評估;要求能夠保護核心的局域計算環境,具有可信的網絡基礎設施與邊界,具有嚴格的用戶權限與訪問控制措施;具有防止各種手段的信息泄漏和竊取措施,保證信息及其處理方法的準確性和完整性;保證被授權的用戶隨時可以訪問信息,保證責任(抗抵賴性,對自己的行為負責),具有完善的監控措施(強審記、異常檢測)和基本的響應與恢復措施。通過定期的安全評估提示工作人員關注其相關安全責任;強制實施分權管理機制;提供可信設施管理;增強配置管理控制。保證系統具有強壯的抗滲透能力。通過管理活動保證信息系統達到GB17859-1999的本級要求。(見5.1.1.1d))

    6.4.2 政策和制度要求

    在滿足第三級的管理要求的基礎上,本級要求如下:
    a)總體安全管理策略,應包括強制保護的信息安全管理策略,由信息安全領導小組組織并提出指導思想,由信息安全職能部門指派專人負責制定強制保護的信息系統安全管理策略,必要時可征求信息安全監管職能部門的意見;安全管理策略文檔應注明密級,并在監管部門備案;(見5.1.1.2d),5.1.1.3d),5.1.1.4d))
    b)安全管理規章制度,應包括制定強制保護的信息安全管理制度,應由信息安全職能部門指派專人負責制訂信息系統安全管理制度,應注明密級并控制發布范圍;(見5.1.2.1d),5.1.2.2d))
    c)策略與制度文檔管理,應由信息安全領導小組和信息安全職能部門的專門人員負責文檔的評審和修訂,必要時可征求信息安全監管職能部門的意見;對涉密文檔的保管應按照有關涉密文檔管理規定進行。(見5.1.3.1d),5.1.3.2d))

    6.4.3 機構和人員管理要求

    在滿足第三級的管理要求的基礎上,本級要求如下:
    a)安全管理機構要求,組織機構主要負責人應出任信息安全領導小組負責人;(見5.2.1.1d),5.2.1.2a),5.2.1.3b))
    b)信息系統安全機制集中管理機構要求對關鍵區域的安全運行進行管理,控制知曉范圍,對獲取的有關信息進行相應安全等級的保護;(見5.2.2.1a),5.2.2.2b))
    c)人員管理要求,關鍵區域或部位的安全管理人員應選用精干內行忠實可靠的人員;關鍵崗位人員處理重要事務或操作時應保持二人同時在場,關鍵事務應多人共管;應對所有安全崗位人員實施全面的背景審查和管理控制;一般不允許第三方人員進入機房或進行邏輯訪問;(見5.2.3.1d),5.2.3.2d),5.2.3.3d),5.2.3.4d),5.2.3.5d),5.2.3.6c))
    d)教育和培訓要求,對所有員工的資質進行檢查和評估,使相應的安全教育成為組織機構工作計劃的一部分。(見5.2.4.1d),5.2.4.2b))

    6.4.4 風險管理要求

    在滿足第三級的管理要求的基礎上,本級要求如下:
    a)風險管理要求和策略,應建立風險管理質量管理體系,進行獨立審計;要求機構能夠做到針對風險的變化重新啟動風險評估;(見5.3.1.1d),5.3.1.2c))
    b)風險分析和評估要求,對關鍵區域或部位進行威脅分析和評估,在業務應用許可并得到批準的條件下,應使用檢測工具在特定時間捕捉攻擊信息進行分析;其他同第三級要求;(見5.3.2.1b),5.3.2.2d),5.3.2.3c),5.3.2.4c))
    c)風險處理和減緩要求,同第三級要求;(見5.3.3.1c))
    d)基于風險的決策要求,同第三級要求;(見5.3.4.1c),5.3.4.2b))
    e)風險評估的管理要求,應按照國家主管部門有關管理規定選擇可信評估機構,必要時應由國家指定專門部門、專門機構組織進行信息系統風險評估;結合實際情況制定具體保密要求及實施辦法;由本機構人員進行技術測試操作并對測試結果過濾敏感或涉及國家秘密信息后再交評估方分析。(見5.3.5.1c),5.3.5.2c),5.3.5.3c),5.3.5.4d))

    6.4.5 環境和資源管理要求

    在滿足第三級的管理要求的基礎上,本級要求如下:
    a)環境安全管理要求,實施不同等級安全區域的隔離管理;機房使用視頻監控和專職警衛;規定關鍵部位辦公環境的要求;建立出入審計、登記管理制度,保證出入得到明確授權,并出入人員持有授權書,授權書中要明確出入的目的、操作的對象、操作的步驟和操作的結果證明;對出入標記安全區的活動進行不間斷實時監視記錄;建立出入安全檢查制度,保證出入人員沒有攜帶危及信息系統安全的設施或物品;信息系統的物理環境安全方面的設施應達到GB/T 20271-2006中6.4.1的有關要求;(見5.4.1.1d),5.4.1.2d),5.4.1.3c))
    b)資源管理要求,對重要數據的介質必須加密存儲;介質的保存和分發傳遞按照機要件管理方法處理;其他同第三級要求。(見5.4.2.1c),5.4.2.2c),5.4.2.3d),5.4.2.4c))

    6.4.6 操作和維護管理要求

    在滿足第三級的管理要求的基礎上,本級要求如下:
    a)用戶管理要求,應對關鍵部位用戶逐一審批和授權,定期檢查符合性,并開啟審計功能;(見5.5.1.1d),5.5.1.2c),5.5.1.3c),5.5.1.4c),5.5.1.5c))
    b)運行操作管理要求,關鍵部位的終端計算機必須啟用兩個及兩個以上身份鑒別技術的組合來進行身份鑒別,終端計算機應采用低輻射設備,每個終端計算機的管理必須由專人負責;對便攜機操作要求包括應采用低輻射設備,機內的涉及國家秘密數據應采用一定強度的加密儲存或采用隱藏技術;變更控制管理要求實施的獨立的安全審計,并進行一致性檢查;涉密信息在其安全區域之外傳輸應經過批準并明確責任,還應采取必要的安全措施;(見5.5.2.1c),5.5.2.2c),5.5.2.3d),5.5.2.4c),5.5.2.5c),5.5.2.6d),5.5.2.7d))
    c)運行維護管理要求,應對系統運行管理過程實施獨立的審計,保證安全管理過程的有效性;運行狀況監控應對關鍵區域和關鍵業務應用系統運行的監視;軟件硬件維護要求一般不允許外部維修人員進入關鍵區域;應對外部服務方每次訪問都應進行風險控制,必要時應不允許外部服務方的訪問;(見5.5.3.1d),5.5.3.2d),5.5.3.3d),5.5.3.4d))
    d)外包服務管理同第三級要求;(見5.5.4.2c))
    e)有關安全機制保障要求包括,身份鑒別機制管理要求進行身份鑒別和認證管理的強制保護;訪問控制策略管理要求進行訪問控制的監控管理,檢查和保護審計數據和工具;系統安全管理要求基于強身份鑒別;網絡安全管理要求基于獨立安全審計;應用系統安全管理要求基于獨立審計和工作隔離;病毒防護管理要求進行監督檢查;(見5.5.5.1d),5.5.5.2d),5.5.5.3d),5.5.5.4d),5.5.5.5d),5.5.5.6d),5.5.5.7b))
    f)安全機制集中管理要求,根據網絡結構要求,能夠按照分布式多層次的管理結構,進行分層級聯方式的集中安全管理;應對關鍵區域網絡安全信息的處理和訪問具有相應安全級別的控制和保護措施;對關鍵區域或涉密網絡,可限制網絡用戶非法入網,對網絡主機進行地址綁定、定位檢測等控制措施。(見5.5.6.1b),5.5.6.2b),5.5.6.3a),5.5.6.4a))

    6.4.7 業務連續性管理要求

    在滿足第三級的管理要求的基礎上,本級要求如下:
    a)備份與恢復要求,數據備份和恢復策略要求定制如遠地系統備份等適當方式和恢復方式以及操作程序,必要時對備份后的數據采取加密處理,操作時要求兩人在場并備案;建立遠地系統備份中心,確保主系統在遭到破壞時遠地系統能替代主系統運行;(見5.6.1.1d),5.6.1.2c))
    b)安全事件處理同第三級要求;(見5.6.2.1c),5.6.2.2c))
    c)應急處理要求,應急處理和災難恢復要求實施的獨立審計;應急計劃的實施保障要求進行業務連續性要求分析。(見5.6.3.1d),5.6.3.2a),5.6.3.3d))

    6.4.8 監督和檢查管理要求

    在滿足第三級的管理要求的基礎上,本級要求如下:
    a)符合法律要求同第三級要求;(見5.7.1.1c),5.7.1.2c),5.7.1.3a))
    b)依從性檢查要求,安全策略依從性檢查應是持續改進過程;對關鍵區域或涉密系統的技術依從性檢查,應注意對有關檢測過程和檢測結果的安全進行保護;(見5.7.2.1b),5.7.2.2c),5.7.2.3c))
    c)審計及監管要求,應對系統審計工具進行保護,明確審計工具的保存方式、責任人員等;應對系統審計活動進行規劃,減小中斷業務流程的風險,對所有的流程、需求和責任都應文檔化;依照國家政策法規和技術及管理標準進行自主保護,信息安全監管職能部門對其進行強制監督、檢查;(見5.7.3.1c),5.7.3.2d))
    d)責任認定要求,應對審計發現問題的處理結果進行復查,并明確復查的期限和責任;對審計及監管者應對審計發現問題的處理結果進行跟蹤檢查,對未進行跟蹤檢查而造成損失的應承擔責任。(見5.7.4.1c),5.7.4.2c))

    6.4.9 生存周期管理要求

    在滿足第三級的管理要求的基礎上,本級要求如下:
    a)規劃和立項管理,同第三級要求;(見5.8.1.1c),5.8.1.2c),5.8.1.3c))
    b)建設過程管理,對于安全保護等級較高的信息系統工程項目,一般不應采取工程項目外包方式;對于安全保護等級較高的信息系統建設項目及涉密項目,應對開發全過程采取相應的保密措施,對參與開發的有關人員進行保密教育和管理;(見5.8.2.1c),5.8.2.2d),5.8.2.3d),5.8.2.4a),5.8.2.5c))
    c)系統啟用和終止管理,要求新的信息系統或子系統、信息系統設備正式投入使用的一定時間內,應進行審計跟蹤,定期對審計結果做出風險評價,對安全進行卻認決定是否能夠繼續運行,并形成文檔備案。(見5.8.3.1d),5.8.3.2c))

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    安全俠
    Reserved 1.2k 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类