中华人民共和国国家标准信息安全技术信息系统安全工程.pdf

ICS 35.020 L80 中华人民共和国国家标准 GB/T 20282—2006 信息安全技术 信息系统安全工程管理要求 Information security techniques— Information system security engineering management requirements 2006-05-31 发布 2006-12-01 实施 中华人民共和国国家质量监督检验检疫总局 发布 中 国 国 家 标 准 化 管 理 委 员 会 GB/T 20282—2006 目 次 前 言 III 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 3.1 1 3.2 1 3.3 1 3.4 1 3.5 1 3.6 1 3.7 1 3.8 2 3.9 2 3.10 2 3.11 2 4 安全工程体系 2 4.1 概述 2 4.2 安全工程目标 2 4.3 基本关系 2 5 资格保证要求 2 5.1 系统集成资质要求 2 5.2 人员资质要求 2 5.3 第三方服务要求 2 5.4 安全产品要求 2 5.5 工程监理要求 2 5.6 法律、法规、政策符合性要求 2 6 组织保证要求 3 6.1 定义组织的系统工程过程 3 6.2 改进组织的系统工程过程 3 6.3 管理系列产品演化 3 6.4 管理系统工程支持环境 4 6.5 培训 4 6.6 与供应商协调 5 7 工程实施要求 6 7.1 管理安全控制 6 7.2 评估影响 6 7.3 评估安全风险 7 7.4 评估威胁 7 7.5 评估脆弱性 8 I GB/T 20282—2006 7.6 建立保证论据 8 7.7 协调安全 9 7.8 监视安全态势 9 7.9 提供安全输入 10 7.10 指定安全要求 11 7.11 验证和确认安全性 11 8 项目实施要求 12 8.1 质量保证 12 8.2 管理配置 12 8.3 管理项目风险 13 8.4 监视技术活动 14 8.5 计划技术活动 15 9 安全工程管理分等级要求 16 9.1 第一级 用户自主保护级 16 9.2 第二级 系统审计保护级 17 9.3 第三级 安全标记保护级 18 9.4 第四级 结构化保护级 20 9.5 第五级 访问验证保护级 21 9.6 安全保护等级划分安全工程要求对照表 22 10 安全工程流程与安全工程要求 23 10.1 安全工程流程 23 10.2 安全工程流程各阶段的安全工程要求 26 附 录 A 安全工程要求与安全保护等级、安全工程流程的对应关系 27 参考文献 34 II GB/T 20282—2006 前言 （略）