收藏
下载资源

计算机信息系统安全等级保护工程管理要求

上传人:公**** 文档编号:458234839 上传时间:2023-04-30 格式:DOCX 页数:36 大小:88.79KB
返回 下载 相关 举报
计算机信息系统安全等级保护工程管理要求_第1页
第1页 / 共36页
计算机信息系统安全等级保护工程管理要求_第2页
第2页 / 共36页
计算机信息系统安全等级保护工程管理要求_第3页
第3页 / 共36页
计算机信息系统安全等级保护工程管理要求_第4页
第4页 / 共36页
计算机信息系统安全等级保护工程管理要求_第5页
第5页 / 共36页
点击查看更多>>
资源描述

《计算机信息系统安全等级保护工程管理要求》由会员分享,可在线阅读,更多相关《计算机信息系统安全等级保护工程管理要求(36页珍藏版)》请在金锄头文库上搜索。

1、计算机信息系统安全等级保护工程管理要求GA/T 4832004国家标准局批准20040329 实施、,-、-前言GB17859-1999计算机信息系统安全保护等级划分准则是我国计算机信息系统信息安 全等级管理的重要标准,已于1 999年9月13日发布。为促进计算机信息系统安全等级管理 工作正常有序地开展,特制定一系列相关的标准,包括:计算机信息系统安全等级保护技术要求系列标准; 计算机信息系统安全等级保护评估准则系列标准; 计算机信息系统安全等级保护工程管理要求; 计算机信息系统安全等级保护管理要求。本标准为以上相关系列标准之一。本标准的附录A中列出了等级要求对照表。本标准的附录A是资料性附录

2、。 本标准由公安部公共信息网络安全监察局提出。 本标准由公安部信息系统安全标准化技术委员会归口。 本标准起草单位:公安部公共信息网络安全监察局、中国电子科技集团第三十研究所 上海三零卫士信息安全有限公司。本标准主要起草人:张建军、魏忠,叶铭、陈克军、卿昊、吴晓星。引言本标准所指的信息系统安全等级保护工程是指按照GB17859-1999及其相关配套标准对 计算机信息系统安全等级管理的要求,对信息网络系统、信息应用系统和信息资源开发等项 目的新建、扩建和升级。本标准不仅是计算机信息系统安全等级保护工程实施的指南,而且也是实施计算机信息 系统安全等级保护工程、建立工程实施保证体系的依据,同时也是国家

3、相应主管部门进行计 算机信息系统安全工程等级评审的依据。本标准可作为甲方、乙方、第三方进行安全保护工 程建设时的参考,也可作为制定与安全保护工程质量相关的法令,法规、标准的依据和参考。1 范围 本标准规定了计算机信息系统安全工程(以下简称信息安全工程)管理的要求,是对信 息安全工程中所涉及到的甲方、乙方与第三方实施安全工程的指导性文件,各方可以此为依 据建立安全项目的安全工程管理体系。本标准按照GB17859-1999划分的五个安全保护等级,规定了对不同安全保护等级的计 算机信息系统进行工程实施采用不同安全要求。本标准按照GB17859-1999的五个安全保护等级的要求,适用于有关信息安全的计

4、算机 信息系统开发与集成工程管理,对于提供安全服务和安全工程组织的机构也可参照使用。 本标准适用于安全系统的机构和开发商的工程管理,集成商、安全服务的提供商和安全 工程的组织商也可参照使用。2规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其 随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标 准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新 版本适用于本标准。GB17859-1999计算机信息系统安全保护等级划分准则GA/T390-2002计算机信息系统安全等级保护通用技术要求GA/T39

5、1-2002计算机信息系统安全等级保护管理要求3术语和定义下列术语和定义适用于本标准。3.1 信息安全 information security 信息的保密性、完整性和可用性。3.2 甲方 owner 信息系统安全工程的投资者(或拥有人),代表信息系统安全工程建设的需求方。3.3 乙方 developer 承担信息系统安全工程建设的实体,通过自身的努力,建设信息系统安全工程,满足信息系统建设者的安全需求。3.4 第三方 third party独立于甲、乙两方的组织或机构3.5 安全工程 security engineering 为了确保信息系统的保密性、完整性、可用性等目标而进行的系统工程活动

6、。3.6 安全工程相关的活动 security engineering related activity 与安全工程相关的其他工程活动,其中包括:企业工程、系统工程、软件工程、人力工程、通信工程、硬件工程、测试工程和系统管理。3.7 安全工程的生命期 security engineering lifecycle 在整个信息系统生命期中执行的安全工程活动包括:概念形成、概念开发和定义、验证与确认、工程实施开发与制造、生产与部署、运行与支持和终止。3.8组织 organization 按一定宗旨和系统建立起来的集体。3.9 项目 project 项目是各种相关实施活动和资源的总和,这些实施活动和资

7、源用于开发或维护信息安全工程。一个项目往往有相关的资金,成本帐目和交付时间表。3.10 过程 process将一个或多个输入进行一系列结构化处理。并将处理结果转化为对用户有价值的相互关 联或相互作用的活动。3.11 脆弱性 vulnerability 系统中存在的弱点,安全漏洞,或实施缺陷等非设计意图的部分,可被威胁利用对系统 进行攻击。3.12 过程能力 process capability 评估组织遵循工程过程能力的量化标。3.13 过程成熟度 process maturity 表明一个特定过程被清晰定义,管理,测量、控制的程度和有效性。3.14 过程管理 process manageme

8、nt 一系列用于预见、评价和控制过程执行的活动和体系结构。3.15 安全工程指南 security engineering guide 由工程组做出的有关如何选择工程体系结构、设计与实现的决定。3.16 关键资源 key resource 对项目成功与否有决定性影响的重要资源。4安全工程体系4.1概述 计算机信息系统安全工程等级保护要求体系结构可在整个安全工程范围内决定安全工 程的要求等级。本标准使用这个体系结构的目标是清晰地从管理和制度化特征中分离出安全 工程的基本特征,建立安全工程的等级管理模型。4.2安全工程目标 理解用户的安全风险,根据已识别的安全风险建立合理的安全要求,将安全要求转换

9、成 安全指南,这些安全指南指导项目实施的其他活动,在正确有效的安全机制下建立对信息安 全的信心和保证;判断系统中和系统运行时残留的安全脆弱性,及其对运行的影响是否可容 忍(即可接受的风险),使安全工程成为一个可信的工程活动,能够满足相应等级信息系统 设计的要求。4.3基本模型 由安全等级、保障与实施组成的二维模型(如图1所示),其中保障是由资格保障要求 和组织保障要求构成,实施是由工程实施要求和项目实施要求构成。资格保障要求表示一定 能力级别所应具备的乙方或与工程相关第三方的资质要求;组织保障要求表示信息安全工程 过程要求中对甲方组织保障的要求;工程实施要求表示对信息安全工程中安全过程的要求;

10、 项目实施要求表示信息安全工程的项目实施过程要求。ft9Ut图1安全工程等级保护模型5资格保障要求5.1 系统集成资质要求5.1.1 国家主管部门认可一级集成资质。5.1.2 国家主管部门认可二级集成资质。5.1.3 国家主管部门认可三级集成资质。5.1.4 国家主管部门认可四级集成资质。5.2 人员资质要求 公安部认可服务人员资质。5.3 第三方服务要求5.3.1 公安部认可一级服务单位资质。5.3.2 公安部认可二级服务单位资质。5.3.3 公安部认可三级服务单位资质。5.3.4 公安部认可四级服务单位资质。5.3.5 公安部认可五级服务单位次质。5.4 安全产品要求5.4.1 信息安全产

11、品应具有在国内生产、经营、销售的许可证。5.4.2 操作系统符合保护等级操作系统同级要求。5.5 工程监理要求5.5.1 应具备信息安全系统建设工程实施监理管理制度。5.5.2 系统聘请专业监理公司,且监理公司具有国家主管部门认可监理资质 证书。5.6 密码管理要求5.6.1 符合国家密码主管部门的要求5.6.2 使用的密码产品为国家主管部门批准的密码产品。5.6.3 密码产品来源为国家主管部门批准的定点销售单位产品。5.6.4 使用的密码产品研制来源于国家主管部门批准的密码研制单位。5.7 其他要求 系统符合公共安全的相关法律,法规、按照相关主管部门的技术管理规定手 段对非法信息和恶意代码进

12、行有效控制,按照有关规定对设备进行控制使之不被 作为非法攻击源或跳板。6组织保障要求6.1 定义组织和系统工程过程6.1.1 制定过程目标6.1.1.1 从组织的应用目标出发为组织的系统工程过程制定目标。6.1.1.2 系统工程过程在商务环境中运行,为了使组织的标准实现制度化,该 目标应得到明确的认可;这个过程的目标应考虑财力、质量、人力资源和对业务 成功起重要作用的问题。6.1.2 收集过程资产6.1.2.1 收集和维护系统工程过程资产。6.1.2.2 在组织和项目层次中,由过程定义活动所产生的信息都需要存储(在 过程资产库中),使得那些剪裁、过程设计活动中的资产能被使用人理解,并得 到维护

13、与保持。6.1.3 开发组织的系统工程过程6.1.3.1 为组织开发一个充分定义的标准系统工程过程。6.1.3.2 在开发组织的标准系统工程过程中,可能使用过程资产库中的设备, 在开发任务时,可能需要一些新的过程资产,应该将这些资产添加到过程资产库 中;应该将组织的标准系统工程过程置于过程资产库中。6.1.4 定义剪裁指南 定义剪裁组织的标准系统工程过程的指南,该指南在开发项目的定义过程中 使用。6.2 改进组织的系统工程过程6.2.1 概要 本要求项包括在组织中用以测量和改进系统工程过程执行的连续活动,利用 组织过程资产的初始收集和组织的标准系统工程过程的定义,通过不断改进组织 使用的系统工

14、程过程的有效性和效率以获得更大的竞争优势。6.2.2 评定过程6.2.2.1 评定组织中现有的执行过程以便了解它们的强项和弱项,了解组织现 有的执行过程的强项和弱项是建立改进活动基线的关键。6.2.2.2 评定时应考虑过程执行的测量与课程学习过程;评定可以多种形式进 行,评定方法的选择应与文化的组织需求相匹配。6.2.3 规划过程改进 应基于对潜在改进所产生影响的分析,为组织制订过程改进计划,以达到过 程的目标。6.2.4 改变标准过程 改变组织的标准系统工程过程以便反映目标的改进。6.2.5 沟通过程改进 适当地同现有项目和其他有相关团体共同沟通过程的改进。6.3 管理系列产品进化6.3.1

15、 概要 应通过引进服务、设备和新技术以达到产品更新、减少工程费用的目的,达 到工程进度和执行的最佳收益,与产品系列一同向其最终目标进化发展。6.3.2 定义产品进化6.3.2.1 定义要提供产品的类型6.3.2.2 定义支持组织战略目标的系列产品。6.3.2.3 考虑组织的强项和弱项,竞争力、潜在的市场份额和可利用的技术。6.3.3 标识新生产技术6.3.3.1 标识新生产技术或加强基础设施建设,将有助于组织获取、开发和应 用新生产技术来提高竞争优势。6.3.3.2 确定可能引入到系列产品的新生产技术,为确定新技术和基础设施改 进而建立并能维护的原始资料和方法。6.3.4 确定可能引入到系列产品的新生产技术,为确定新技术和基础设施改 进而建立并能维护的原始资料和方法。6.3.4 适应开发过程6.3.4.1 在产品开发周期中采取必要的变动以支持新产品的开发。6.3.4.2 适应组织的产品开发过程,熟悉并利用在将来使用的组件。6.3.5 确保关键组件的可用性6.3.5.1 确保关键组件都可利用,并可以支持有计划的产品改进。6.3.5.2 组织应决定产品系列的关键组件及其可用性的计划。6.3.6 插入产品技术。6.3.6.1 将新的技术插入到产品开发、市场营销和制造过程中。6.3.6.2 管理将

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 学术论文 > 其它学术论文

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号