信息安全技术信息系统安全管理要求-自治区信息化建设办公室.PDFVIP

ICS 35.040 L 80 中华人民共和国国家标准 GB/T 20269—2006 信息安全技术 信息系统安全管理要求 Information security technology Information system security management requirements 2006 -5-31 发布 2006-12-1 实施 中华人民共和国国家质量监督检验检疫总局 发布 中 国 国 家 标 准 化 管 理 委 员 会 GB/T 20269－2006 目 次 前 言V 引 言VI 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 信息系统安全管理的一般要求 1 4.1 信息系统安全管理的内容 1 4.2 信息系统安全管理的原则2 5 信息系统安全管理要素及其强度 3 5.1 策略和制度3 5.1.1 信息安全管理策略 3 5.1.2 安全管理规章制度 4 5.1.3 策略与制度文档管理 5 5.2 机构和人员管理6 5.2.1 安全管理机构6 5.2.2 安全机制集中管理机构 7 5.2.3 人员管理 7 5.2.4 教育和培训9 5.3 风险管理 10 5.3.1 风险管理要求和策略 10 5.3.2 风险分析和评估 10 5.3.3 风险控制 11 5.3.4 基于风险的决策 11 5.3.5 风险评估的管理 12 5.4 环境和资源管理 13 5.4.1 环境安全管理 13 5.4.2 资源管理 14 5.5 运行和维护管理 15 5.5.1 用户管理 15 5.5.2 运行操作管理 16 5.5.3 运行维护管理 19 5.5.4 外包服务管理21 5.5.5 有关安全机制保障 21 5.5.6 安全集中管理25 5.6 业务连续性管理26 5.6.1 备份与恢复26 5.6.2 安全事件处理27 5.6.3 应急处理28 5.7 监督和检查管理29 5.7.1 符合法律要求 29 II GB/T 20269－2006 5.7.2 依从性检查 29 5.7.3 审计及监管控制30 5.7.4 责任认定31 5.8 生存周期管理31 5.8.1 规划和立项管理 31 5.8.2 建设过程管理32 5.8.3 系统启用和终止管理 34 6 信息系统安全管理分等级要求 34 6.1 第一级：用户自主保护级34 6.1.1 管理目标和范围 34 6.1.2 政策和制度要求 34 6.1.3 机构和人员管理要求 35 6.1.4 风险管理要求 35 6.1.5 环境和资源管理要求 35 6.1.6 操作和维护管理要求 35 6.1.7 业务连续性管理要求 36 6.1.8 监督和检查管理要求 36 6.1.9 生存周期管理要求 36 6.2 第二级：系统审计保护级37 6.2.1 管理目标和范围 37 6.2.2 政策和制度要求 37 6.2.3 机构和人员管理要求 37 6.2.4 风险管理要求 37 6.2.5 环境和资源管理要求 38 6.2.6 操作和维护管理要求 38 6.2.7 业务连续性管理要求 39 6.2.8 监督和检查管理要求 39 6.2.9 生存周期管理要求 39 6.3 第三级：安全标记保护级39 6.3.1 管理目标和范围 39 6.3.2 政策和制度要求 40 6.3.3 机构和人员管理要求 40 6.3.4 风险管理要求 40 6.3.5 环境和资源管理要求 41 6.3.6 操作和维护管理要求 41 6.3.7 业务连续性管理要求 42 6.