《信息安全技术信息系统安全管理要求》.pdf

GB/T 20269—2006 信 息 安 全 技 术 信 息 系 统 安 全 管 理 要 求 Information security technology—Information system security management requirements 自 2006-12-1 起执行 目次 前言 引言 1 范围 2 规范性引用文件 3 术语和定义 4 信息系统安全管理的一般要求 4.1 信息系统安全管理的内容 4.2 信息系统安全管理的原则 5 信息系统安全管理要素及其强度 5.1 策略和制度 5.1.1 信息安全管理策略 5.1.2 安全管理规章制度 5.1.3 策略与制度文档管理 5.2 机构和人员管理 5.2.1 安全管理机构 5.2.2 安全机制集中管理机构 5.2.3 人员管理 5.2.4 教育和培训 5.3 风险管理 5.3.1 风险管理要求和策略 5.3.2 风险分析和评估 5.3.3 风险控制 5.3.4 基于风险的决策 5.3.5 风险评估的管理 5.4 环境和资源管理 5.4.1 环境安全管理 5.4.2 资源管理 5.5 运行和维护管理 5.5.1 用户管理 5.5.2 运行操作管理 5.5.3 运行维护管理 5.5.4 外包服务管理 5.5.5 有关安全机制保障 5.5.6 安全集中管理 5.6 业务连续性管理 5.6.1 备份与恢复 5.6.2 安全事件处理 5.6.3 应急处理 5.7 监督和检查管理 5.7.1 符合法律要求 5.7.2 依从性检查 5.7.3 审计及监管控制 5.7.4 责任认定 5.8 生存周期管理 5.8.1 规划和立项管理 5.8.2 建设过程管理 5.8.3 系统启用和终止管理 6 信息系统安全管理分等级要求 6.1 第一级：用户自主保护级 6.1.1 管理目标和范围 6.1.2 政策和制度要求 6.1.3 机构和人员管理要求 6.1.4 风险管理要求 6.1.5 环境和资源管理要求 6 1 6 操作和维护管理要求 6.1.7 业务连续性管理要求 6.1.8 监督和检查管理要求 6.1.9 生存周期管理要求 6.2 第二级：系统审计保护级 6.2.1 管理目标和范围 6.2.2 政策和制度要求 6.2.3 机构和人员管理要求 6.2.4 风险管理要求 6.2.5 环境和资源管理要求 6.2.6 操作和维护管理要求 6.2.7 业务连续性管理要求 6.2.8 监督和检查管理要求 6.2.9 生存周期管理要求 6.3 第三级：安全标记保护级 6.3.1 管理目标和范围 6.3.2 政策和制度要求 6.3.3 机构和人员管理要求 6.3.4 风险管理要求 6.3.5 环境和资源管理要求 6.3.6 操作和维护管理要求 6.3.7 业务连续性管理要求 6.3.8 监督和检查管理要求 6.3.9 生存周期管理要求 6.4 第四级：结构化保护级 6.4.1 管理目标和范围 6.4.2 政策和制度要求 6.4.3 机构和人员管理要求 6.4.4 风险管理要求 6.4.5 环境和资源管理要求 6.4.6 操作和