信息安全技术信息系统安全管理要求GB(参考Word).docxVIP

信息安全技术信息系统安全管理要求 引言 信息安全等级保护从与信息系统安全相关的物理层面、网络层面、系统层ih应用层面和管理层?面对 信息和信息系统实施分等级安全保护.管理层ifti贯穿于权他层面之中，是貝他层面实施分等级安全保护的 保证。本标准对信思和信息系统的安全保护提出了分等级安全管理的要求.用述『安全管理要素及其强度. 并将管理要求落实到信息安全等级保护所規定的五个等级匕有利于对安全管理的实施、评估和检査. GB17859-1999中安全保护等级的划分是根据对安全技术和安全风险控制的关系确定的，公通字［2004166号 文件中安全等级的划分是根据信息和信息系统受到破坏后，会对国家安全、社会秩序、经济建设和公共利 益造成损害的程度确定的。两者的共同点是：安全等级越高，发生的安全技术費用和管理成木越高.从而 预期能够抵御的安全威胁越大.建宅起安全信心越强.使用信息系统的风险越小。木标准以安全管理要素 作为描述安全管理要求的基本组件。安全管理要素是指?为实现信息系统安全等级保护所規定的安全要求. 从管理角度应采取的主要控制方法和措施。根据GB17S59-1999对安全 保护等级的划分.不同的安全保护等级会有不同的安全管理要求，可以体现在管理要素的増加和管理强度 的増强两方血。对于每个管理要素.根据特定怙况分别列出不同的管理强度.最名分为5级，最少可不分 级。在具体描述中，除特别声明之外.一股高级别管理强度的描述都是在对低级别描述基础之上进行的. 信息系统是指由汁算机及其相关和配套的设备、设施构成的.按照一定的应用H标和規则对信息进行存储、 传输、处理的系统或者网络：信息是指在信息系统中存储、传输、处理的数字化信息。本标准涉及信息系 统的管理者包括国家机关、事业单位、厂矿企业、公司、集团等各种类型和不同规模的组织机构，以下统 称为“组织机构” . 信息系统在技术上采取何种安全机制应根据相关技术标准确定.本标准仅提出保证这些安全机制实渔的管 理要求°与技术密切的管理是技术实现的组成部分,如果信息系统根据具体业务及其安全需求未采用该技 术.则不需要相应的安全管理要求c对与管理描述姙以分开的技术要求会岀现在管理要求中，具体执行需 要参照相关技术标准。对于涉及国家秘密的信息和信息系统的保密管理，应按照国家有关保密的管理规定 和相关标准执行。 本标准中有关信息系统安全管理要素及其强度与信息系统安全管理分等级要求的对应关系的说明参见附录 A。为J带助读者从安全管理概念角度理解和运用这些信息系统的安全管理要求.附录B给出『信息系统安 全管理概念说助。 信息安全技术信息系銃安全管理要求 木标准依据GB17859-1999的五个安全保护等级的划分，規定「信息系统安全所需要的各个安全等级的 管理要求? 本标准适用于按等級化要求进行的信息系统安全的管理. 2规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修 改单（不包括勘误的内容）或修订版均不适用于本标花，然而.鼓励根据木标准达成协议的各方研究是杏 可使用这些文件的最新版本.凡是不注日期的引用文件，其最新版本适用于本标准. GB 17859-1999 计算机信息系统安全保护等级划分准则 GB/T 20271-2006信息安全技术信息系统通用安全技术要求 3术语和定义 GB 17859-1999确B的以及下列术语和定义适川于本标准。 3. 1 完整性integrity 包括数据完整性和系统完整性。数据完整性表卻数据所具有的特性，即无论散据形式作何变化.数据?的滝 确性和?致性均保持不变的程度：系统完整性表征系统在防止非授权用户修改或使用资源和防止授权用户 不正确地修改或使用资源的情况下.系统能履行其操作目的的品质。 3.2 可用性 availability 表征数据或系统根据授权实体的请求可被访问与使用程度的安全属性. 3. 3 访问捽制 access control 按确定的规则，对实体之间的访问活动进行控制的安全机制，能防止对资源的未授权使用。 3.4 安全审计 security audit 按确定规则的要求，对与安全相关的事件进行审ih以日志方式记录必要信息，并作出相应处理的安全机 制。 3.5 区别信息 authentication information 用以确认身份真实性的信息。 3.6 蛾感性 sensitivity 表征资源价tt（或重要性的特性，也可能包含这一资源的脆弱性。 3. 7 风险评估 risk assessment 通过对信息系统的资产价值/重要性、信息系统所受到的威胁以及信息系统的脆弱性进行综合分析.对信恩 系统及其处理、传输和存储的信息的保密性、完整性和可用性等进行科学识别和评价.确定信息系统安全 风险的过程。 3.