《信息安全技术信息系统安全工程管理要求》.pdf

GB/T20282-2006 信 息 安 全 技 术 信 息 系 统 安 全 工 程 管 理 要 求 Information security technology-Information system security engineering management requirements 自 2006-12-1 起执行 目 次 前言 1 范围 2 规范性引用文件 3 术语和定义 4 安全工程体系 4.1 概述 4.2 安全工程目标 4.3 基本关系 5 资格保证要求 5.1 系统集成资质要求 5.2 人员资质要求 5.3 第三方服务要求 5.4 安全产品要求 5.5 工程监理要求 5.6 法律、法规、政策符合性要求 6 组织保证要求 6.1 定义组织的系统工程过程 6.2 改进组织的系统工程过程 6.3 管理系列产品演化 6.4 管理系统工程支持环境 6.5 培训 6.6 与供应商协调 7 工程实施要求 7.1 管理安全控制 7.2 评估影响 7.3 评估安全风险 7.4 评估威胁 7.5 评估脆弱性 7.6 建立保证论据 7.7 协调安全 7.8 监视安全态势 7.9 提供安全输入 7.10 指定安全要求 7.11 验证和确认安全性 8 项目实施要求 8.1 质量保证 8.2 管理配置 8.3 管理项目风险 8.4 监视技术活动 8.5 计划技术活动 9 安全工程管理分等级要求 9.1 第一级：用户自主保护级 9.2 第二级：系统审计保护级 9.3 第三级：安全标记保护级 9.4 第四级：结构化保护级 9.5 第五级：访问验证保护级 9.6 安全保护等级划分与安全工程要求对照表 10 安全工程流程与安全工程要求 10.1 安全工程流程 10.2 安全工程流程各阶段的安全工程要求 附录 A(资料性附录)安全工程要求与安全保护等级、安全工程流程的对应关系 参考文献 前言 本标准的附录 A 是资料性附录。 本标准由信息安全标准化技术委员会提出并归口。 本标准起草单位：中国电子科技集团第三十研究所、上海三零卫士信息安全有限公司、 上海标准化研究院。 本标准主要起草人：张建军、魏忠，叶铭、陈长松、孔一童。 信息安全技术信息系统安全工程管理要求 1 范围 本标准规定了信息系统安全工程(以下简称安全工程)的管理要求，是对信息系统安全工 程中所涉及到的需求方、实施方与第三方工程实施的指导，各方可以此为依据建立安全工程 管理体系。 本标准按照 GB17859-1999 划分的五个安全保护等级，规定了信息系统安全工程管理的 不同要求。 本标准适用于信息系统的需求方和实施方的安全工程管理，其他有关各方也可参照使 用。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其 随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励根据本标准 达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版 本适用于本标准。 GB17859-1999 计算机信息系统安全保护等级划分准则 GB/T20269-2006 信息安全技术信息系统安全管理要求 GB/T20271-2006 信息安全技术信息系统通用安全技术要求 3 术语和定义 下列术语和定义适用于本标准。 3.1 安全工程 security e