中华人民共和国国家标准
GB/T20269-2006
信息安全技术 信息系统安全管理要求
Information security technology-Information system securitymanagementrequirements
中国国家标准化管理委员会 中华人民共和国国家质量监督检验检疫总局 发布
前言1范围 引言 V2规范性引用文件3术语和定义.4信息系统安全管理的一般要求4.1信息系统安全管理的内容 4.2信息系统安全管理的原则5信息系统安全管理要素及其强度5.1策略和制度5.1.1信息安全管理策略5.1.3策略与制度文档管理 5.1.2安全管理规章制度5.2机构和人员管理5.2.1安全管理机构5.2.2安全机制集中管理机构 5.2.3人员管理5.2.4教育和培训5.3风险管理 105.3.1风险管理要求和策略 105.3.2风险分析和评估 5.3.3风险控制 11 125.3.4基于风险的决策 125.3.5风险评估的管理. 125.4环境和资源管理 135.4.1环境安全管理. 5.4.2资源管理 13 145.5运行和维护管理 165.5.1用户管理 165.5.2运行操作管理 175.5.4外包服务管理 5.5.3运行维护管理 19 215.5.5有关安全机制保障, 225.5.6安全集中管理 265.6.1备份与恢复 5.6业务连续性管理 275.6.2安全事件处理 27 285.6.3应急处理 29
5.7监督和检查管理 305.7.2依从性检查. 5.7.1符合法律要求 305.7.3审计及监管控制 0 315.7.4责任认定 325.8生存周期管理. 325.8.1规划和立项管理 325.8.2建设过程管理 5.8.3系统启用和终止管理. 346信息系统安全管理分等级要求6.1第一级:用户自主保护级6.1.2政策和制度要求 6.1.1管理目标和范围6.1.3机构和人员管理要求 986. 1. 4J 风险管理要求. 986.1.5 环境和资源管理要求 986.1.7 6. 1. 6 业务连续性管理要求 操作和维护管理要求 986.1.8监督和检查管理要求 376.1.9生存周期管理要求. 376.2第二级:系统审计保护级6.2.2政策和制度要求 6.2.1 管理目标和范围 386.2.3 机构和人员管理要求 386.2.4 风险管理要求 386.2.5 环境和资源管理要求 操作和维护管理要求 686.2.7 6.2.6 业务连续性管理要求. 686.2.8监督和检查管理要求 406.2.9生存周期管理要求. 406.3第三级:安全标记保护级 6.3.1管理目标和范围 406.3.2政策和制度要求 41 406.3.3 机构和人员管理要求. 416.3.4 风险管理要求 416.3.5 6.3.6 环境和资源管理要求 操作和维护管理要求 42 426.3.7 业务连续性管理要求 436.3.8 监督和检查管理要求 436.4第四级:结构化保护级 6.3.9 生存周期管理要求 436.4.1管理目标和范围- 44 446.4.2政策和制度要求
6.4.3机构和人员管理要求 446.4.4风险管理要求 446.4.5环境和资源管理要求 6.4.6操作和维护管理要求 45 456.4.7业务连续性管理要求 466.4.8监督和检查管理要求 466.4.9生存周期管理要求 466.5第五级:访问验证保护级 6.5.1 管理目标和范图 46 466.5.21 政策和制度要求. 476.5.3 机构和人员管理要求 476.5. 4 6.5.5 环境和资源管理要求. 风险管理要求 476.5.6 操作和维护管理要求 47 476.5.7 业务连续性管理要求 486.5.8监督和检查管理要求. 486.5.9生存周期管理要求. 附录A(资料性附录) 安全管理要素及其强度与安全管理分等级要求的对应关系 49 48附录B(资料性附录)信息系统安全管理概念说明 53B.1主要安全因素B.1.1资产 B.1.2威胁B.1.3脆弱性 53B.1.4意外事件影响 54B.1.5风险 54B.1.6保护措施 B.2安全管理的过程 54B.2.1安全管理过程模型 54B.2.2安全目标 55B.2.3安全保护等级的确定B.2.4安全风险分析与评估 B.2.5 制定安全策略 55 55B.2.6安全需求分析B.2.7 安全措施的实施 99B.2.8安全实施过程的监理 57B.2.9信息系统的安全审计 B.2.10生存周期管理 57 58参考文献. 69
