信息安全技术信息系统安全工程管理规定.pdfVIP

信息安全技术信息系统安全工程管理规定

1范围

本原则规定了信息安全工程（如下简称安全工程）II勺管理规定，是对信息安全工程中所波及到H勺需方、

实行方与第三方工程实行的指导性文献，各方可以此为根据建立安全工程管理体系。

本原则按照GB17859-1999划分的五个安全保护等级，规定了信息安全工程的不一样规定。

本原则合用于该系统的需方和实行方的工程管理，其他有关各方也可参照使用。

2规范性引用文献

下列文献中的条款通过本原则的引用而成为本原则的条款。但凡注明日期的引用文献，其随即所有的修改

单（不包括勘误口勺内容）或修订版均不合用于本原则。使用本原则的各方应探讨使用下列原则最新版本的

也许性。但凡不注明口期的引用文献，其最新版本合用于本原则，

GB17859-1999计算机信息系统安全保护等级划分准则

GB/T20269-2023信息安全等级保护信息系统安全通用技术规定

GB/T20271-2023信息安全等级保护信息系统安全管理规定

3术语和定义

下列术语和定义合用于本原则。

3.1

安全工程securityengineering

为保证信息系统的保密性、完整性、可用性等目的而进行的系统工程过程。

3.2

安全工程口勺生存周期securityengineeringlifecycle

在整个信息系统生存周期中执行的安全工程活动包括：概念形成、概念开发和定义、验证与确认、工程实

行开发与制造、生产与布署、运行与支持和终止。

3.3

安全工程指南securityengineeringguide

由工程组做出的有关怎样选择工程体系构造、设计与实现H勺指导性信息

3.4

脆弱性ulnerability

可以被某种威胁运用的某个或某组资产的弱点。

3.5

风险risk

某种威胁会运用一种资产或若干资产出勺脆弱性使这些资产损失或破坏的也许性V

3.6

需方owner

信息系统安全工程建设的拥有者或组织者。

3.7

实行方deeloper

信息系统安全工程的建设与服务的提供方。

3.8

第三方thirdparty

独立于需方、实行方，从事信息系统安全工程建设有关活动的中立组织或机构。

3.9

项目project

项目是多种有关实行活动和资源的总和，这些实行活动和资源用于开发或维护信息安全工程。一种项目往

往有有关的资金，成本账目和交付时间表。

3.10

过程process

把输入转化为输出的一组有关活动。

3.11

过程管理processmanagement

一系列用于预见、评价和控制过程执行的活动和体系构造。

4安全工程体系

4.1概述

在整个工程范围内确定了不一样等级工程的详细规定构成了安全工程管理规定体系。通过这个体系从安全

工程中分离出实行和保证的基本特性，立信息系统安全分级保护规定与工程管理H勺关系。

4.2安全工程目的

理解需方的安全风险，根据已标识的安全风险建立合理的安全规定，将安全规定转换成安全指南，这些

安全指南指导项目实行的其他活动，在对的有效的安全机制下建立对信息安全的信心和保证：判断系统中

和系统运行时残留的安全脆弱性，及其对运行H勺影响与否可容忍（即可接受的风险），使安全工程成为一

种可信的工程活动，可以满足对应等级信息系统设计的规定。

4.3基本关系

安全工程由安全等级、保证与实行规定两个维度构成，不一样等级规定的安全工程对应不一样H勺保证与实

行规定。其中保证是由资格保证规定和组织保证规定构成，实行足由工程实行规定和项目实行规定构成。

资格保证规定表达信息安全工程中对应具有一定能力级别的实行方或与工程有关第三方资质的规定：组织

保证规定表达信息安全工程程规定中对需求方组织保证的规定；工程实行规定表达信息安全工程中对安

全实行程的规定：项目实行规定表达信息安全工程中对项目实行程的规定。

5资格保证规定

5.1系统集成资质规定

国家主管部门承认的系统集成资质。

5.2人员资质规定

国家主管部门承认的安全服务人员资质。

5.3第三方服务规定

国家主管部门承认的服务单位资质。

5.4安全产品规定

信息安全产品应具有在国内生产、经营、销售的许可证，并符合对应的等级。

5.5L程监理规定

5.5.1应具有信息安全系统建改工程实行监理管理制度.

5.5.2系统聘任专业监理企业，且监理企业