计算机信息系统安全等级保护管理要求.docVIP

国家高等职业教育网络技术专业教学资源库 计算机网络安全技术与实施 课程资源子库 计算机信息系统安全等级保护管理要求 计算机信息系统安全等级保护管理要求 1.范围 本标准依据GB17859-1999的内容规定了计算机信息系统安全等级保护的管理要求。 本标准适用于相关部门依据国家有关规定实施计算机信息系统安全等级保护的安全管理。 2.规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（小包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是含可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 GB17859-1999计算机信息系统安全保护等级划分准则 GA/T390-2002计算机信息系统安全等级保护通用技术要求 GA/T387-2002计算机信息系统安全等级保护网络技术要求 GA/T388-2002计算机信息系统安全等级保护操作系统技术要求 GA/T389-2002计算机信息系统安全等级保护数据库管理系统技术要求 3.术语和定义 GB17859-1999确立的以及下列的术语和定义适用于本标准。 3.1 机密性／保密性confidentiality 这一性质使信息不泄露给非授权的个人、实体或进程，不为其所用。[GB/T9387.2-1995定义3.3.16] 3.2 数据完整性dataintegrity 这一性质表明数据没有遭受以非授权方式所作的篡改或破坏。[GB/T9387.2-1995定义3.3.21] 3.3 可用性availability 根据授权实体的请求可被访问与使用。[GB/T9387.2-1995定义3.3.11] 3.4 可确认性accountability 这样一种性质，它确保·个实体的作用可以被独一无二地跟踪到该实体。[GB/T9387.2-1995定义3.3.3] 3.5 访问控制accesscontrol 防止对资源的未授权使用，包括防止以未授权方式使用某一资源。[GB/T9387.2-1995定义3.3.1] 3.6 安全审计securityaudit 为了测试出系统的控制是否足够，为了保证与已建立的策略和操作堆积相符合，为了发现安全中的漏洞，以及为了建议在控制、策略和堆积中作任何指定的改变，而对系统记录与活动进行的独立观察和考核。[GB/T9387.2-1995定义3.3.47] 3.7 审计跟踪securityaudittrail 收集起来并可用来使安全审计易于进行的数据。[GB/T9387.2-1995定义3.3.48] 3.8 威胁threat 一种潜在的对安全的侵害。[GB/T9387.2-1995定义3.3.55] 3.9 鉴别信息authenticationinformation 用以建立身份有效性的信息。[GB/T9387.2-1995定义3.3.8] 3.10 授权authorization 授予权限，包括允许基于访问权的访问。[GB/T9387.2-1995定义3.3.10] 3.11 敏感性sensitivity 资源所具有的一种特征，它意味着该资源的价值或重要性，也可能包含这一资源的脆弱性。[GB/T9387.2-1995定义3.3.53] 3.12 口令password 机密的鉴别信息，通常由一串字符组成。[GB/T9387.2-1995定义3.3.39] 3.13 信息系统安全管理体系informationsystemsecuritymanagementarchitecture 通过规划、组织、领导、控制等措施以实现组织或机构计算机信息系统安全目标的相互关联或相互作用的一系列支撑服务要素的集合。 注：这些要素包括计算机信息系统安全组织或机构、计算机信息系统安全管理体系文件、控制措施、操作过程和程序等相关资源。 3.14 风险评估riskassessment 对信息、信息处理设施、信息处理过程和信息系统管理所受威胁、系统弱点保护不当等风险因素的发生可能性和后果影响的资产价值评定与估算。 4.信息系统安全管理概述 4.1信息系统安全管理内涵 信息系统安全管理是对一个组织或机构中信息系统的生命周期全过程实施符合安全等级责任要求的科学管理，它包括： ——落实安全组织及安全管理人员，明确角色与职责，制定安全规划； ——开发安全策略； ——实施风险管理； ——制定业务持续性计划和灾难恢复计划； ——选择与实施安全措施； ——保证配置、变更的正确与安全； ——进行安全审计； ——保证维护支持； ——进行监控、检查，处理安全事件； ——安全意识与安全教育； ——人员安全管理等。 4.2主要安全要素 计算机信息系统的主要安全要素和各要素之间的关系如图1所示。 图1主要安全要素与关系 4