信息安全技术 信息系统安全管理评估要求 |
 |
| 标准编号:GB/T 28453-2012 |
标准状态:现行 |
|
| 标准价格:170.0 元 |
客户评分:  |
|
|
本标准有现货可当天发货一线城市最快隔天可到! |
|
|
|
|
|
本标准依据GB/T20269—2006规定的信息系统分等级安全管理要求,从信息系统生存周期的不同阶段,规定了对信息系统进行安全管理评估的原则和模式、组织和活动、方法和实施,提出了信息安全等级保护第一级到第五级的信息系统安全管理评估的要求。
本标准适用于相关组织机构(部门)对信息系统实施安全等级保护所进行的安全管理评估与自评估,以及评估者和被评估者对评估的管理。 |
|
|
|
| 英文名称: |
Information security technology—Information system security management assessment requirements |
 中标分类: |
电子元器件与信息技术>>信息处理技术>>L80数据加密 |
| ICS分类: |
信息技术、办公机械设备>>35.040字符集和信息编码 |
| 发布部门: |
中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会 |
| 发布日期: |
2012-06-29 |
| 实施日期: |
2012-10-01
|
| 首发日期: |
2012-06-29 |
| 提出单位: |
全国信息安全标准化技术委员会(SAC/TC 260) |
| 归口单位: |
全国信息安全标准化技术委员会(SAC/TC 260) |
| 主管部门: |
全国信息安全标准化技术委员会(SAC/TC 260) |
| 起草单位: |
北京江南天安科技有限公司 |
| 起草人: |
陈冠直、吉增瑞、陈硕、景乾元、王志强 |
| 页数: |
196页【胶订-大印张】 |
| 出版社: |
中国标准出版社 |
| 出版日期: |
2012-10-01 |
|
|
|
本标准按照GB/T1.1—2009给出的规则起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:北京江南天安科技有限公司。
本标准主要起草人:陈冠直、吉增瑞、陈硕、景乾元、王志强。 |
|
|
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 评估原则和模式 2
4.1 管理评估的原则 2
4.2 管理评估的工作模式 2
5 评估组织和活动 3
5.1 评估组织 3
5.1.1 评估实施团队 3
5.1.2 评估管理机构 3
5.1.3 被评估方相关人员 4
5.2 评估目标范围和依据 4
5.2.1 评估目标 4
5.2.2 评估范围 5
5.2.3 评估依据 5
5.3 评估活动内容 5
5.3.1 评估准备及启动 5
5.3.2 确定信息系统资产及安全需求 6
5.3.3 确定信息系统安全管理现状 8
5.3.4 确定信息系统安全管理评估结论 12
5.3.5 评估结束及后续安排 13
6 安全管理评估的方法、工具和实施 14
6.1 评估方法 14
6.1.1 访谈调查 14
6.1.2 符合性检查 15
6.1.3 有效性验证 16
6.1.4 技术检测 17
6.2 评估工具 19
6.2.1 调查表 19
6.2.2 访谈问卷 20
6.2.3 检查表 21
6.3 评估的实施 22
6.3.1 评估实施控制 22
6.3.2 评估结论判断 23
7 分等级管理评估 25
7.1 规划立项管理评估要求 25
7.1.1 本阶段评估范围 25
7.1.2 第一级信息系统 25
7.1.3 第二级信息系统 27
7.1.4 第三级信息系统 29
7.1.5 第四级信息系统 30
7.1.6 第五级信息系统 32
7.2 设计实施管理评估要求 34
7.2.1 本阶段评估范围 34
7.2.2 第一级信息系统 36
7.2.3 第二级信息系统 38
7.2.4 第三级信息系统 41
7.2.5 第四级信息系统 44
7.2.6 第五级信息系统 47
7.3 运行维护管理评估要求50
7.3.1本阶段评估范围50
7.3.2第一级信息系统52
7.3.3第二级信息系统54
7.3.4第三级信息系统56
7.3.5第四级信息系统59
7.3.6第五级信息系统62
7.4终止处置管理评估要求65
7.4.1本阶段评估范围65
7.4.2第一级信息系统66
7.4.3第二级信息系统67
7.4.4第三级信息系统69
7.4.5第四级信息系统71
7.4.6第五级信息系统73
附录A(资料性附录)信息系统安全管理评估参照表76
参考文献189 |
|
|
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB17859—1999 计算机信息系统 安全保护等级划分准则
GB/T20269—2006 信息安全技术 信息系统安全管理要求
GB/T20282—2006 信息安全技术 信息系统安全工程管理要求
GB/T25070—2010 信息安全技术 信息系统等级保护安全设计技术要求 |
|
|
|
| |