GBT 20282-2006 信息安全技术+信息系统安全工程管理要求.pdf

I C S 3 5.0 2 0L o g场黔中 华 人 民 共 和 国 国 家 标 准G B/T 2 0 2 8 2 一 2 0 0 6 信息安全技术信息系统安全工程管理要求 I n fo r m a t i o ns e c u r i t yt e c h n o l o g y 一I n for ma t i o ns y s t e m s e c u r i t y e n g i n e e r i n g ma n a g e m c n t r e q u i r e m e n t s2 0 0 6 一 0 5 一 3 1 发布2 0 0 6 一 1 2 一 0 1 实施中 华 人民 共和国 国 家质 量监 督检 验检 疫总局中 国 国 家 标 准 化 管 理 委 员 会发布GB/T2 0 2 8 2 一2 0 0 6目次前言 ，。，皿1范围 ，12 规范性引用文件 ，.13 术语和定义 ，14 安全工程体系 ，.24.1概述 ，24.2 安全工程目标 ，24.3 基本关系 ，。，25 资格保证要求 ，.一25.1 系统集成资质要求 ，.，.252 人员资质要求 ，25.3 第三方服务要求 ，.，.25.4 安全产品要求 ，25.5 工程监理要求，25.6 法律、法规、政策符合性要求 ，.36 组织保证要求 ，36.1 定义组织的系统工程过程 ，.36.2 改 进组织的系统工程过程 ，.，.36，3 管理系列产品演化 ，、，1 ，。，.，36.4 管理系统工程支持环境 ，-.，.46.5 培训 ，56.6 与供应商协调 ，.卜.57 工程实施要求 ，67.1 管理安全控制 ，.，.，.67.2 评估影响 ，一67.3 评估安全风险 ，77.4 评估威胁 ，1 ，775 评估脆弱性 ，.，.87.6 建立保证论据 ，4 ，877 协调安全 ，97.8 监视安全态势 ，97.9 提供安全输人 ，1 1 ，、1 ，。，一107.1。指定安全要求 ，.117.11验证和确认安全性 ，.，.，.，.，.n8项 目实施要求 ，128，1 质量保证 ，一128.2管理配置 4 ，.，.，138.3管理项 目风险 ，.，13GB/T2 0 2 8 2 一2 0 0 68.4 监视技术活动 ，-，148.5 计划技术活动 ，159 安全工程管理分等级要求 ，169.1 第一级:用户自 主保 护级 ，169.2 第二级:系统审计保护级 ，179.3 第三级:安全 标记保护级 ，1 ，1 1 ，1 199.4 第四级:结构化保护级 ，209 5 第五级:访问验证保护级 ，一 2 29.6 安全保护等级划分与安全工程要求对照表 ，2 310 安 全工 程流 程与安全工程要求 ，231 o.安全工程流程，、，2310，2 安全工程流程各阶段的安全工程要求 ，26附录A(资料性附录)安全工程要求与安全保护等级、安全工程流程的对应关系 27参考 文献，34GB/T2 0 2 8 2 一2 0 0 6月叨吕 本标准的附录 A是资料性附录。本标准由信息安全标准化技术委员会提出并归口。本标准起草单位:中国电子科技集团第三十研究所、上海三零卫士信息安全有限公司、上海标准化研究院。本标准主要起草人:张建军、魏忠、叶铭、陈长松、孔一童。GB/T2 0 2 8 2 一2 0 0 6 信息安全技术信息系统安全工程管理要求范围 本标准规定了信息系统安全工程(以下简称安全工程)的管理要求，是对信息系统安全工程中所涉及到的需求方、实施方与第三方工程实施的指导，各方可以此为依据建立安全工程管理体系。本标准按照G B1 7 8 5 9 一1 9 9 9划分的五个安全保护等级，规定了信息系统安全工程管理的不同要求。本标准适用于信息系统的需求方和实施方的安全工程管理，其他有关各方也可参照使用。2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。G B 1 7 8 5 9 一1 9 9 9 计算机 信息系统 安 全保护等级划 分准 则 G B/TZ o 2 6 9 一2。6 信息安全技术 信息系统安全管理要求 G B/TZ o 2 7 1 一2 0 o 6 信息安全技术 信息系统通用安全技术要求术语和定义 下列术语和定义适用于本标准。3.1 安全1程s ecu d t y eng i n e e r i n g 为确保信息系统的保密性、完整性、可用性等目标而进行的系统工程过程。3。2 安全工程的生存周期 s ec u r i t y e n g i n ee ri n g l i re c y c l e 在整个信息系统生存周期中执行的安全工程活动包括:概念形成、概念开发和定义、验证与确认、工程实施开发与制造、生产与部署、运行与支持和终止。3.3 安全1程指南s e c u r i t ye n g i n e e r i n g g u i d e 由工程组做出的有关如何选择工程体系结构、设计与实现的指导性信息。3.4 脆弱性v u l n e rab i l i t y 能够被某种威胁利用的某个或某组资产的弱点3 5风险r i s k某种威胁会利用一种资产或若干资产的脆弱性使这些资产损失或破坏的可能性。需求方 o w n e r信息系统安全工程建设的拥有者或组织者。GB/T2 0 2 8 2 一 2 0 0 63.7 实施方d e v e l o p e r 信息系统安全工程的建设与服务的提供方。3.8 第三方t h i rd p a r t y 独立于需求方、实施方，从事信息系统安全工程建设相关活动的中立组织或机构。3.9 项目p r oje c t 项目是各种相关实施活动和资源的总和，这些实施活动和资源用于开发或维护信息系统安全工程。一个项目往往有相关的资金，成本账目和交付时间表。3.1 0 过程 p r oce s s 把输人转化为输出的一组相关活动。3.1 1 过程管理 p r 倪 e s s m a n a g e m e n t 一系列用于预见、评价和控制过程执行的活动和体系结构4安全工程体 系4.1 概 述 在整个工程范围内确定了不同等级工程的具体要求构成了安全工程管理要求体系。通过这个体系-从安全工程中分离出实施和保证的基本特征，建立信息系统安全分级保护要求与工程管理的关系。4.2 安全工程目标 理解需求方的安全风险，根据已标识的安全风险建立合理的安全要求，将安全要求转换成安全指南，这些安全指南指导项目实施的其他活动，在正确有效的安全机制下建立对信息安全的信心和保证;判断系统中和系统运行时残留的安全脆弱性，及其对运行的影响是否可容忍(即可接受的风险)，使安全工程成为一个可信的工程活动，能够满足相应等级信息系统设计的要求。4.3 基本关系 安全工程由安全等级、保证与实施要求两个维度组成，不同等级要求的安全工程对应不同的保证与实施要求。其中保证是由资格保证要求和组织保证要求构成，实施是由工程实施要求和项目实施要求构成。资格保证要求表示信息安全工程中对应具备一定能力级别的实施方或与工程相关第三方资质的要求;组织保证要求表示信息安全工程过程要求中对需求方组织保证的要求;工程实施要求表示信息安全工程中对安全实施过程的要求;项目实施要求表示信息安全工程中对项 目实施过程的要求。5资格保证要求5.25 _ 35 4:系统集成资质要求国家主管部门认可的系统集成资质。人员资质要求国家主管部门认可的安全服务人员资质 第三方服务要求国家主管部门认可的服务单位资质。安 全产 品要求信息安全产品应具有在国内生产、经营、销售的许可证，并符合相应的等级 工程监理要求1 应具备信息安全系统建设工程实施监理管理制度GB/T2 0 2 8 2 一2 0 0 65.5.2 系统聘请专业监理公司，且监理公司具有国家主管部门认可监理资质证书。5.6 法律、法规、政策符合性要求系统应符合国家相关的法律、法 规和政 策。6 组 织保证 要求6.1 定义组织的系统工程过程6.1.1 基本要求 应为系统工程定义一套标准有明确目标的过程，这套标准的过程可以通过裁剪应用于定义新工程项 目的过程。6.1.2制定 过程 目标6.1.2.1 从组织的应用目标出发为组织的系统工程过程制定目标。6飞.2.2 系统工程过程在业务环境中运行，为了使组织的标准实现制度化，该目标应得到明确的认可;这个过程的目标应考虑财力、质量、人力资源和对业务成功起重要作用的问题。6.1.3 收集过程资产61.3.1 收集和维护系统工程过程资产。6.1.3.2 在组织和项目层次中，由过程定义活动所产生的信息都需要存储(在过程资产库中)，使得那些剪裁、过程设计活动中的资产能被使用人理解，并得到维护与保持。6.1.4 开发组织的系统工程过程6.1.4.1 为组织开发一个充分定义的标准系统工程过程。614.2 在开发组织的标准系统工程过程中，可能使用到过程资产库中的设备;在开发任务时，可能需要一些新的过程资产，应该将这些资产添加到过程资产库中;应该将组织的标准系统工程过程置于过程资产库中。6.1.5 定义剪裁指南 定义剪裁组织的标准系统工程过程的指南，该指南在开发项目的定义过程中使用6.2 改进组织的系统工程过程6.2.1 基本要求 应实施测量和改进系统工程过程的连续活动，以标准系统工程过程定义为基础，通过不断改进活动提高组织系统工程过程的效益和效率。6.2.2 评定过程62.2.1 评定组织中现有的执行过程以便了解它们的强项和弱项，了解组织现有的执行过程的强项和弱项是建立改进活动基线的关键6.22.2 评定时应考虑过程执行的测量与课程学习过程;评定可以多种形式进行，评定方法的选择应与文化和组织需求相匹配62.3规划过程改进 应基于对潜在改进所产生影响的分析，为组织制定过程改进计划，以达到过程的目标。6.2.4 改变标准过程 改变组织的标准系统工程过程以便反映目标的改进6.2.5 沟通过程改进 适当地同现有项目和其他相关团体共同沟通过程的改进6.3 管理系列产品演化6.3.1 基本要求 应通过引进服务、设备和新技术实现产品更新与工程费用降低，获取工程进度和执行的最佳收益6.3.2 定义产品演化6.3.2.1 宁 义要根供产品的举型GB/T2 0 2 8 2 一2 0 0 66.3.22 定义支持组织战略目标的系列产品。6.3.2.3 考虑组织的强项和弱项、竞争力、潜在的市场份额和可利用的技术。633 标识新生产技术6.3.3.1 标识新生产技术或加强基础设施建设，将有助于组织获取、开发和应用新生产技术来提高竞争优势。6.3.3.2 确定可能引入到系列产品的新生产技术，为确定新技术和基础设施改进而建立并能维护的原始资料和方法。6.3.4 适应开发过程6.3.4.1 在产品开发周期中采取必要的变动以支持新产品的开发。6.3.4.2 适应组织的产品开发过程，熟悉并利用准备在将来使用的组件。6.3.5确保关键组件 的可 用性6.3.5.1 确保关键组件都可利用，并可以支持有计划的产品改进。6.3.5.2 组织应确定产品系列的关键组件及其可用性的计划。6.3.6 插入产品技术6.3.6.1 将新的技术插人到产品开发、市场营销和制造过程中。6.3.6.2 管理将新技术引人到系列产品的工作(包括现有产品系列组件的改进、新组件的引进);标识和管理与产品设计变化有关的风险。6.4 管理系统工程支持环境641 基本要求 应能够为不同需求的系统工程提供支持环境，并可以通过剪裁适应不同的项目。根据技术、环境状态的变化对支持环境进行改进。6.4.2 维持技术认识6.4.2.1 维持对支持实现组织目标的那些技术的认识。6.42.2 对工艺现状或实施现状应该插人新的技术，组织应具有对新技术的充分认识。6.4.3 确定支持需求 根据组织的