计算机信息系统安全等级保护工程管理要求

计算机信息系统安全等级保护工程管理要求标准号：GA/T483-2004发布单位：中华人民共和国公安部起草单位：公安部公共信息网络安全监察局、中国电子科技集团第三十研究所、上海三零卫士信息安全有限公司发布日期：2008年03月07日前言引言1范围2规范性引用文件3术语和定义4安全工程体系4.1概述4.2安全工程目标4.3基本模型5资格保障要求5.1系统集成资质要求5.2人员资质要求5.3第三方服务要求5.4安全产品要求5.5工程监理要求5.6密码管理要求5.7其他要求6组织保障要求6.1定义组织的系统工程过程6.2改进组织的系统工程过程6.3管理系列产品进化6.4管理系统工程支持环境6.5培训6.6与供应商协调7工程实施要求7.1管理安全控制7.2评估影响7.3评估安全风险7.4评估威胁7.5评估脆弱性7.6建立保证论据7.7协调安全7.8监视安全态势7.9提供安全输入7.10指定安全要求7.11验证和证实安全性8项目实施要求8.1概要8.2质量保证8.3管理配置8.4管理项目风险8.5监控技术活动8.6计划技术活动9用于工程管理等级划分的要求9.1第一级9.2第二级9.3条三级9.4第四级9.5第五级9.6安全保护等级划分安全功能要求对照表附录A（资料性附录）等级要求对照表参考文献前言GB17859-1999《计算机信息系统安全保护等级划分准则》是我国计算机信息系统信息安全等级管理的重要标准，已于1999年9月13日发布。为促进计算机信息系统安全等级管理工作正常有序地开展，特制定一系列相关的标准，包括：——计算机信息系统安全等级保护技术要求系列标准；——计算机信息系统安全等级保护评估准则系列标准；——计算机信息系统安全等级保护工程管理要求；——计算机信息系统安全等级保护管理要求。本标准为以上相关系列标准之一。本标准的附录A中列出了等级要求对照表。本标准的附录A是资料性附录。本标准由公安部公共信息网络安全监察局提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位：公安部公共信息网络安全监察局、中国电子科技集团第三十研究所、上海三零卫士信息安全有限公司。本标准主要起草人：张建军、魏忠，叶铭、陈克军、卿昊、吴晓星。引言本标准所指的信息系统安全等级保护工程是指按照GB17859-1999及其相关配套标准对计算机信息系统安全等级管理的要求，对信息网络系统、信息应用系统和信息资源开发等项目的新建、扩建和升级。本标准不仅是计算机信息系统安全等级保护工程实施的指南，而且也是实施计算机信息系统安全等级保护工程、建立工程实施保证体系的依据，同时也是国家相应主管部门进行计算机信息系统安全工程等级评审的依据。本标准可作为甲方、乙方、第三方进行安全保护工程建设时的参考，也可作为制定与安全保护工程质量相关的法令，法规、标准的依据和参考。1范围本标准规定了计算机信息系统安全工程（以下简称信息安全工程）管理的要求，是对信息安全工程中所涉及到的甲方、乙方与第三方实施安全工程的指导性文件，各方可以此为依据建立安全项目的安全工程管理体系。本标准按照GB17859-1999划分的五个安全保护等级，规定了对不同安全保护等级的计算机信息系统进行工程实施采用不同安全要求。本标准按照GB17859-1999的五个安全保护等级的要求，适用于有关信息安全的计算机信息系统开发与集成工程管理，对于提供安全服务和安全工程组织的机构也可参照使用。本标准适用于安全系统的机构和开发商的工程管理，集成商、安全服务的提供商和安全工程的组织商也可参照使用。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB17859-1999计算机信息系统安全保护等级划分准则GA/T390-2002计算机信息系统安全等级保护通用技术要求GA/T391-2002计算机信息系统安全等级保护管理要求3术语和定义下列术语和定义适用于本标准。3.1信息安全informationsecurity信息的保密性、完整性和可用性。3.2甲方owner信息系统安全工程的投资者（或拥有人），代表信息系统安全工程建设的需求方。3.3乙方developer承担信息系统安全工程建设的实体，通过自身的努力，建设信息系统安全工程，满足信息系统建设者的安全需求。3.4第三方thirdparty独立于甲、乙两方的组织或机构3.5安全工程securityengineering为了确保信息系统的保密性、完整性、可用性等目标而进行的系统工程活动。3.6安全工程相关的活动securityengineeringrelatedactivity与安全工程相关的其他工程活动，其中包括：企业工程、系统工程、软件工程、人力工程、通信工程、硬件工程、测试工程和系统管理。3.7安全工程的生命期securityengineeringlifecycle在整个信息系统生命期中执行的安全工程活动包括：概念形成、概念开发和定义、验证与确认、工程实施开发与制造、生产与部署、运行与支持和终止。3.8组织organization按一定宗旨和系统建立起来的集体。3.9项目project项目是各种相关实施活动和资源的总和，这些实施活动和资源用于开发或维护信息安全工程。一个项目往往有相关的资金，成本帐目和交付时间表。3.10过程process将一个或多个输入进行一系列结构化处理。并将处理结果转化为对用户有价值的相互关联或相互作用的活动。3.11脆弱性vulnerability系统中存在的弱点，安全漏洞，或实施缺陷等非设计意图的部分，可被威胁利用对系统进行攻击。3.12过程能力processcapability评估组织遵循工程过程能力的量化标。3.13过程成熟度processmaturity表明一个特定过程被清晰定义，管理，测量、控制的程度和有效性。3.14过程管理processmanagement一系列用于预见、评价和控制过程执行的活动和体系结构。3.15安全工程指南securityengineeringguide由工程组做出的有关如何选择工程体系结构、设计与实现的决定。3.16关键资源keyresource对项目成功与否有决定性影响的重要资源。4安全工程体系4.1概述计算机信息系统安全工程等级保护要求体系结构可在整个安全工程范围内决定安全工程的要求等级。本标准使用这个体系结构的目标是清晰地从管理和制度化特征中分离出安全工程的基本特征，建立安全工程的等级管理模型。4.2安全工程目标理解用户的安全风险，根据已识别的安全风险建立合理的安全要求，将安全要求转换成安全指南，这些安全指南指导项目实施的其他活动，在正确有效的安全机制下建立对信息安全的信心和保证；判断系统中和系统运行时残留的安全脆弱性，及其对运行的影响是否可容忍（即可接受的风险），使安全工程成为一个可信的工程活动，能够满足相应等级信息系统设计的要求。4.3基本模型由安全等级、保障与实施组成的二维模型（如图1所示），其中保障是由资格保障要求和组织保障要求构成，实施是由工程实施要求和项目实施要求构成。资格保障要求表示一定能力级别所应具备的乙方或与工程相关第三方的资质要求；组织保障要求表示信息安全工程过程要求中对甲方组织保障的要求；工程实施要求表示对信息安全工程中安全过程的要求；项目实施要求表示信息安全工程的项目实施过程要求。图1安全工程等级保护模型5资格保障要求5.1系统集成资质要求5.1.1国家主管部门认可一级集成资质。5.1.2国家主管部门认可二级集成资质。5.1.3国家主管部门认可三级集成资质。5.1.4国家主管部门认可四级集成资质。5.2人员资质要求公安部认可服务人员资质。5.3第三方服务要求5.3.1公安部认可一级服务单位资质。5.3.2公安部认可二级服务单位资质。5.3.3公安部认可三级服务单位资质。5.3.4公安部认可四级服务单位资质。5.3.5公安部认可五级服务单位次质。5.4安全产品要求5.4.1信息安全产品应具有在国内生产、经营、销售的许可证。5.4.2操作系统符合保护等级操作系统同级要求。5.5工程监理要求5.5.1应具备信息安全系统建设工程实施监理管理制度。5.5.2系统聘请专业监理公司，且监理公司具有国家主管部门认可监理资质证书。5.6密码管理要求5.6.1符合国家密码主管部门的要求5.6.2使用的密码产品为国家主管部门批准的密码产品。5.6.3密码产品来源为国家主管部门批准的定点销售单位产品。5.6.4使用的密码产品研制来源于国家主管部门批准的密码研制单位。5.7其他要求系统符合公共安全的相关法律，法规、按照相关主管部门的技术管理规定手段对非法信息和恶意代码进行有效控制，按照有关规定对设备进行控制使之不被作为非法攻击源或跳板。6组织保障要求6.1定义组织和系统工程过程6.1.1制定过程目标6.1.1.1从组织的应用目标出发为组织的系统工程过程制定目标。6.1.1.2系统工程过程在商务环境中运行，为了使组织的标准实现制度化，该目标应得到明确的认可；这个过程的目标应考虑财力、质量、人力资源和对业务成功起重要作用的问题。6.1.2收集过程资产6.1.2.1收集和维护系统工程过程资产。6.1.2.2在组织和项目层次中，由过程定义活动所产生的信息都需要存储（在过程资产库中），使得那些剪裁、过程设计活动中的资产能被使用人理解，并得到维护与保持。6.1.3开发组织的系统工程过程6.1.3.1为组织开发一个充分定义的标准系统工程过程。6.1.3.2在开发组织的标准系统工程过程中，可能使用过程资产库中的设备，在开发任务时，可能需要一些新的过程资产，应该将这些资产添加到过程资产库中；应该将组织的标准系统工程过程置于过程资产库中。6.1.4定义剪裁指南定义剪裁组织的标准系统工程过程的指南，该指南在开发项目的定义过程中使用。6.2改进组织的系统工程过程6.2.1概要本要求项包括在组织中用以测量和改进系统工程过程执行的连续活动，利用组织过程资产的初始收集和组织的标准系统工程过程的定义，通过不断改进组织使用的系统工程过程的有效性和效率以获得更大的竞争优势。6.2.2评定过程6.2.2.1评定组织中现有的执行过程以便了解它们的强项和弱项，了解组织现有的执行过程的强项和弱项是建立改进活动基线的关键。6.2.2.2评定时应考虑过程执行的测量与课程学习过程；评定可以多种形式进行，评定方法的选择应与文化的组织需求相匹配。6.2.3规划过程改进应基于对潜在改进所产生影响的分析，为组织制订过程改进计划，以达到过程的目标。6.2.4改变标准过程改变组织的标准系统工程过程以便反映目标的改进。6.2.5沟通过程改进适当地同现有项目和其他有相关团体共同沟通过程的改进。6.3管理系列产品进化6.3.1概要应通过引进服务、设备和新技术以达到产品更新、减少工程费用的目的，达到工程进度和执行的最佳收益，与产品系列一同向其最终目标进化发展。6.3.2定义产品进化6.3.2.1定义要提供产品的类型6.3.2.2定义支持组织战略目标的系列产品。6.3.2.3考虑组织的强项和弱项，竞争力、潜在的市场份额和可利用的技术。6.3.3标识新生产技术6.3.3.1标识新生产技术或加强基础设施建设，将有助于组织获取、开发和应用新生产技术来提高竞争优势。6.3.3.2确定可能引入到系列产品的新生产技术，为确定新技术和基础设施改进而建立并能维护的原始资料和方法。6.3.4确定可能引入到系列产品的新生产技术，为确定新技术和基础设施改进而建立并能维护的原始资料和方法。6.3.4适应开发过程6.3.4.1在产品开发周期中采取必要的变动以支持新产品的开发。6.3.4.2适应组织的产品开发过程，熟悉并利用在将来使用的组件。6.3.5确保关键组件的可用性6.3.5.1确保关键组件都可利用，并可以支持有计划的产品改进。6.3.5.2组织应决定产品系列的关键