信息系统安全管理要求GBT20269-2006

《信息安全技术信息系统安全管理要求GB/T20269-2006》引言信息安全等级保护从与信息系统安全相关的物理层面、网络层面、系统层面、应用层面和管理层面对信息和信息系统实施分等级安全保护。管理层面贯穿于其他层面之中，是其他层面实施分等级安全保护的保证。本标准对信息和信息系统的安全保护提出了分等级安全管理的要求，阐述了安全管理要素及其强度，并将管理要求落实到信息安全等级保护所规定的五个等级上，有利于对安全管理的实施、评估和检查。GB17859-1999中安全保护等级的划分是根据对安全技术和安全风险控制的关系确定的，公通字[2004]66号文件中安全等级的划分是根据信息和信息系统受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成损害的程度确定的。两者的共同点是：安全等级越高，发生的安全技术费用和管理成本越高，从而预期能够抵御的安全威胁越大，建立起安全信心越强，使用信息系统的风险越小。本标准以安全管理要素作为描述安全管理要求的基本组件。安全管理要素是指，为实现信息系统安全等级保护所规定的安全要求，从管理角度应采取的主要控制方法和措施。根据GB17859-1999对安全保护等级的划分，不同的安全保护等级会有不同的安全管理要求，可以体现在管理要素的增加和管理强度的增强两方面。对于每个管理要素，根据特定情况分别列出不同的管理强度，最多分为5级，最少可不分级。在具体描述中，除特别声明之外，一般高级别管理强度的描述都是在对低级别描述基础之上进行的。信息系统是指由计算机及其相关和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络；信息是指在信息系统中存储、传输、处理的数字化信息。本标准涉及信息系统的管理者包括国家机关、事业单位、厂矿企业、公司、集团等各种类型和不同规模的组织机构，以下统称为“组织机构”。信息系统在技术上采取何种安全机制应根据相关技术标准确定，本标准仅提出保证这些安全机制实施的管理要求。与技术密切的管理是技术实现的组成部分，如果信息系统根据具体业务及其安全需求未采用该技术，则不需要相应的安全管理要求。对与管理描述难以分开的技术要求会出现在管理要求中，具体执行需要参照相关技术标准。对于涉及国家秘密的信息和信息系统的保密管理，应按照国家有关保密的管理规定和相关标准执行。本标准中有关信息系统安全管理要素及其强度与信息系统安全管理分等级要求的对应关系的说明参见附录A。为了帮助读者从安全管理概念角度理解和运用这些信息系统的安全管理要求，附录B给出了信息系统安全管理概念说明。信息安全技术信息系统安全管理要求1范围本标准依据GB17859-1999的五个安全保护等级的划分，规定了信息系统安全所需要的各个安全等级的管理要求。本标准适用于按等级化要求进行的信息系统安全的管理。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB17859-1999计算机信息系统安全保护等级划分准则GB/T20271-2006信息安全技术信息系统通用安全技术要求3术语和定义GB17859-1999确立的以及下列术语和定义适用于本标准。3.1完整性integrity包括数据完整性和系统完整性。数据完整性表征数据所具有的特性，即无论数据形式作何变化，数据的准确性和一致性均保持不变的程度；系统完整性表征系统在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源的情况下，系统能履行其操作目的的品质。3.2可用性availability表征数据或系统根据授权实体的请求可被访问与使用程度的安全属性。3.3访问控制accesscontrol按确定的规则，对实体之间的访问活动进行控制的安全机制，能防止对资源的未授权使用。3.4安全审计securityaudit按确定规则的要求，对与安全相关的事件进行审计，以日志方式记录必要信息，并作出相应处理的安全机制。3.5鉴别信息authenticationinformation用以确认身份真实性的信息。3.6敏感性sensitivity表征资源价值或重要性的特性，也可能包含这一资源的脆弱性。3.7风险评估riskassessment通过对信息系统的资产价值/重要性、信息系统所受到的威胁以及信息系统的脆弱性进行综合分析，对信息系统及其处理、传输和存储的信息的保密性、完整性和可用性等进行科学识别和评价，确定信息系统安全风险的过程。3.8安全策略securitypolicy主要指为信息系统安全管理制定的行动方针、路线、工作方式、指导原则或程序。4信息系统安全管理的一般要求4.1信息系统安全管理的内容信息系统安全管理是对一个组织机构中信息系统的生存周期全过程实施符合安全等级责任要求的管理，包括：——落实安全管理机构及安全管理人员，明确角色与职责，制定安全规划；——开发安全策略；——实施风险管理；——制定业务持续性计划和灾难恢复计划；——选择与实施安全措施；——保证配置、变更的正确与安全；——进行安全审计；——保证维护支持；——进行监控、检查，处理安全事件；——安全意识与安全教育；——人员安全管理等。4.2信息系统安全管理的原则a）基于安全需求原则：组织机构应根据其信息系统担负的使命，积累的信息资产的重要性，可能受到的威胁及面临的风险分析安全需求，按照信息系统等级保护要求确定相应的信息系统安全保护等级，遵从相应等级的规范要求，从全局上恰当地平衡安全投入与效果；b）主要领导负责原则：主要领导应确立其组织统一的信息安全保障的宗旨和政策，负责提高员工的安全意识，组织有效安全保障队伍，调动并优化配置必要的资源，协调安全管理工作与各部门工作的关系，并确保其落实、有效；c）全员参与原则：信息系统所有相关人员应普遍参与信息系统的安全管理，并与相关方面协同、协调，共同保障信息系统安全；d）系统方法原则：按照系统工程的要求，识别和理解信息安全保障相互关联的层面和过程，采用管理和技术结合的方法，提高实现安全保障的目标的有效性和效率；e）持续改进原则：安全管理是一种动态反馈过程，贯穿整个安全管理的生存周期，随着安全需求和系统脆弱性的时空分布变化，威胁程度的提高，系统环境的变化以及对系统安全认识的深化等，应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级，维护和持续改进信息安全管理体系的有效性；f）依法管理原则：信息安全管理工作主要体现为管理行为，应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理，应由授权者适时发布准确一致的有关信息，避免带来不良的社会影响；g）分权和授权原则：对特定职能或责任领域的管理功能实施分离、独立审计等实行分权，避免权力过分集中所带来的隐患，以减小未授权的修改或滥用系统资源的机会。任何实体（如用户、管理员、进程、应用或系统）仅享有该实体需要完成其任务所必须的权限，不应享有任何多余权限；h）选用成熟技术原则：成熟的技术具有较好的可靠性和稳定性，采用新技术时要重视其成熟的程度，并应首先局部试点然后逐步推广，以减少或避免可能出现的失误；i）分级保护原则：按等级划分标准确定信息系统的安全保护等级，实行分级保护；对多个子系统构成的大型信息系统，确定系统的基本安全保护等级，并根据实际安全需求，分别确定各子系统的安全保护等级，实行多级安全保护；j）管理与技术并重原则：坚持积极防御和综合防范，全面提高信息系统安全防护能力，立足国情，采用管理与技术相结合，管理科学性和技术前瞻性结合的方法，保障信息系统的安全性达到所要求的目标；k）自保护和国家监管结合原则：对信息系统安全实行自保护和国家保护相结合。组织机构要对自己的信息系统安全保护负责，政府相关部门有责任对信息系统的安全进行指导、监督和检查，形成自管、自查、自评和国家监管相结合的管理模式，提高信息系统的安全保护能力和水平，保障国家信息安全。5信息系统安全管理要素及其强度5.1策略和制度5.1.1信息安全管理策略5.1.1.1安全管理目标与范围信息系统的安全管理需要明确信息系统的安全管理目标和范围，不同安全等级应有选择地满足以下要求的一项：a）基本的管理目标与范围：针对一般的信息系统应包括：制定包括系统设施和操作等内容的系统安全目标与范围计划文件；为达到相应等级技术要求提供相应的管理保证；提供对信息系统进行基本安全保护的安全功能和安全管理措施，确保安全功能达到预期目标，使信息免遭非授权的泄露和破坏，基本保证信息系统安全运行；b）较完整的管理目标与范围：针对在一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，在a）的基础上还应包括：建立相应的安全管理机构，制定相应的安全操作规程；制定信息系统的风险管理计划；提供对信息系统进行安全保护的比较完整的系统化安全保护的能力和比较完善的安全管理措施，从整体上保护信息免遭非授权的泄露和破坏，保证信息系统安全正常运行；c）系统化的管理目标与范围：针对涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，在b）的基础上还应包括：提供信息系统安全的自动监视和审计；提供信息系统的认证、验收及使用的授权的规定；提供对信息系统进行强制安全保护的能力和设置必要的强制性安全管理措施，确保数据信息免遭非授权的泄露和破坏，保证信息系统安全运行；d）强制保护的管理目标与范围：针对涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统，在c）的基础上还应包括：提供安全策略和措施的程序化、周期化的评估，以及对明显的风险变化和安全事件的评估；实施强制的分权管理机制和可信管理；提供对信息系统进行整体的强制安全保护的能力和比较完善的强制性安全管理措施，保证信息系统安全运行；e）专控保护的管理目标与范围：针对涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心系统，在d）的基础上还应包括：使安全管理计划与组织机构的文化有机融合，并能适应安全环境的变化；实施全面、可信的安全管理；提供对信息系统进行基于可验证的强制安全保护能力和完善的强制性安全管理措施，全面保证信息系统安全运行。5.1.1.2总体安全管理策略不同安全等级的信息系统总体安全策略应有选择地满足以下要求的一项：a）基本的安全管理策略：信息系统安全管理策略包括：依照国家政策法规和技术及管理标准进行自主保护；阐明管理者对信息系统安全的承诺，并陈述组织机构管理信息系统安全的方法；说明信息系统安全的总体目标、范围和安全框架；申明支持信息系统安全目标和原则的管理意向；简要说明对组织机构有重大意义的安全方针、原则、标准和符合性要求；b）较完整的安全管理策略：在a）的基础上，信息安全管理策略还包括：在信息安系统全监管职能部门的指导下，依照国家政策法规和技术及管理标准自主进行保护；明确划分信息系统（分系统/域）的安全保护等级（按区域分等级保护）；制定风险管理策略、业务连续性策略、安全培训与教育策略、审计策略等较完整的信息安全策略；c）体系化的安全管理策略：在b）的基础上，信息安全管理策略还包括：在接受信息系统安全监管职能部门监督、检查的前提下，依照国家政策法规和技术及管理标准自主进行保护；制定目标策略、规划策略、机构策略、人员策略、管理策略、安全技术策略、控制策略、生存周期策略、投资策略、质量策略等，形成体系化的信息系统安全策略；d）强制保护的安全管理策略：在c）的基础上，信息安全管理策略还包括：在接受信息系统安全监管职能部门的强制监督、检查的前提下，依照国家政策法规和技术及管理标准自主进行保护；制定体系完整的信息系统安全管理策略；e）专控保护的安全管理策略：在d）的基础上，信息安全管理策略还包括：在接受国家指定的专门部门、专门机构的专门监督的前提下，依照国家政策法规和技术及管理标准自主进行保护；制定可持续改进的信息系统安全管理策略。5.1.1.3安全管理