信息安全技术信息系统安全工程管理要求1范围本标准规定了信息安全工程(以下简称安全工程)的管理要求,是对信息安全工程中所涉及到的需求方、实施方与第三方工程实施的指导性文件,各方可以此为依据建立安全工程管理体系。本标准按照GB17859-1999划分的五个安全保护等级,规定了信息安全工程的不同要求。本标准适用于该系统的需求方和实施方的工程管理,其他有关各方也可参照使用。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。使用本标准的各方应探讨使用下列标准最新版本的可能性。凡是不注明日期的引用文件,其最新版本适用于本标准。GB17859-1999计算机信息系统安全保护等级划分准则GB/T20269-2006信息安全等级保护信息系统安全通用技术要求GB/T20271-2006信息安全等级保护信息系统安全管理要求3术语和定义下列术语和定义适用于本标准。3.1安全工程securityengineering为确保信息系统的保密性、完整性、可用性等目标而进行的系统工程过程。3.2安全工程的生存周期securityengineeringlifecycle在整个信息系统生存周期中执行的安全工程活动包括:概念形成、概念开发和定义、验证与确认、工程实施开发与制造、生产与部署、运行与支持和终止。3.3安全工程指南securityengineeringguide由工程组做出的有关如何选择工程体系结构、设计与实现的指导性信息。3.4脆弱性vulnerability能够被某种威胁利用的某个或某组资产的弱点。3.5风险risk某种威胁会利用一种资产或若干资产的脆弱性使这些资产损失或破坏的可能性。3.6需求方owner信息系统安全工程建设的拥有者或组织者。3.7实施方developer信息系统安全工程的建设与服务的提供方。3.8第三方thirdparty独立于需求方、实施方,从事信息系统安全工程建设相关活动的中立组织或机构。3.9项目project项目是各种相关实施活动和资源的总和,这些实施活动和资源用于开发或维护信息安全工程。一个项目往往有相关的资金,成本账目和交付时间表。3.10过程process把输入转化为输出的一组相关活动。3.11过程管理processmanagement一系列用于预见、评价和控制过程执行的活动和体系结构。4安全工程体系4.1概述在整个工程范围内确定了不同等级工程的具体要求构成了安全工程管理要求体系。通过这个体系从安全工程中分离出实施和保证的基本特征,立信息系统安全分级保护要求与工程管理的关系。4.2安全工程目标理解需求方的安全风险,根据已标识的安全风险建立合理的安全要求,将安全要求转换成安全指南,这些安全指南指导项目实施的其它活动,在正确有效的安全机制下建立对信息安全的信心和保证;判断系统中和系统运行时残留的安全脆弱性,及其对运行的影响是否可容忍(即可接受的风险),使安全工程成为一个可信的工程活动,能够满足相应等级信息系统设计的要求。4.3基本关系安全工程由安全等级、保证与实施要求两个维度组成,不同等级要求的安全工程对应不同的保证与实施要求。其中保证是由资格保证要求和组织保证要求构成,实施是由工程实施要求和项目实施要求构成。资格保证要求表示信息安全工程中对应具备一定能力级别的实施方或与工程相关第三方资质的要求;组织保证要求表示信息安全工程过程要求中对需求方组织保证的要求;工程实施要求表示信息安全工程中对安全实施过程的要求;项目实施要求表示信息安全工程中对项目实施过程的要求。5资格保证要求5.1系统集成资质要求国家主管部门认可的系统集成资质。5.2人员资质要求国家主管部门认可的安全服务人员资质。5.3第三方服务要求国家主管部门认可的服务单位资质。5.4安全产品要求信息安全产品应具有在国内生产、经营、销售的许可证,并符合相应的等级。5.5工程监理要求5.5.1应具备信息安全系统建设工程实施监理管理制度。5.5.2系统聘请专业监理公司,且监理公司具有国家主管部门认可监理资质证书。5.6法律、法规、政策符合性要求系统应符合国家相关的法律、法规和政策。6组织保证要求6.1定义组织的系统工程过程6.1.1基本要求应为系统工程定义一套标准有明确目标的过程,这套标准的过程可以通过裁剪应用于定义新工程项目的过程。6.1.2制定过程目标6.1.2.1从组织的应用目标出发为组织的系统工程过程制定目标。6.1.2.2系统工程过程在业务环境中运行,为了使组织的标准实现制度化,该目标应得到明确的认可;这个过程的目标应考虑财力、质量、人力资源和对业务成功起重要作用的问题。6.1.3收集过程资产6.1.3.1收集和维护系统工程过程资产。6.1.3.2在组织和项目层次中,由过程定义活动所产生的信息都需要存储(在过程资产库中),使得那些剪裁、过程设计活动中的资产能被使用人理解,并得到维护与保持。6.1.4开发组织的系统工程过程6.1.4.1为组织开发一个充分定义的标准系统工程过程。6.1.4.2在开发组织的标准系统工程过程中,可能使用到过程资产库中的设备;在开发任务时,可能需要一些新的过程资产,应该将这些资产添加到过程资产库中;应该将组织的标准系统工程过程置于过程资产库中。6.1.5定义剪裁指南定义剪裁组织的标准系统工程过程的指南,该指南在开发项目的定义过程中使用。6.2改进组织的系统工程过程6.2.1基本要求应实施测量和改进系统工程过程的连续活动,以标准系统工程过程定义为基础,通过不断改进活动提高组织系统工程过程的效益和效率。6.2.2评定过程6.2.2.1评定组织中现有的执行过程以便了解它们的强项和弱项,了解组织现有的执行过程的强项和弱项是建立改进活动基线的关键;6.2.2.2评定时应考虑过程执行的测量与课程学习过程;评定可以多种形式进行,评定方法的选择应与文化和组织需求相匹配。6.2.3规划过程改进应基于对潜在改进所产生影响的分析,为组织制订过程改进计划,以达到过程的目标。6.2.4改变标准过程改变组织的标准系统工程过程以便反映目标的改进。6.2.5沟通过程改进适当地同现有项目和其它有相关团体共同沟通过程的改进。6.3管理系列产品演化6.3.1基本要求应通过引进服务、设备和新技术实现产品更新与工程费用降低,获取工程进度和执行的最佳收益。6.3.2定义产品演化6.3.2.1定义要提供产品的类型。6.3.2.2定义支持组织战略目标的系列产品。6.3.2.3考虑组织的强项和弱项、竞争力、潜在的市场份额和可利用的技术。6.3.3标识新生产技术6.3.3.1标识新生产技术或加强基础设施建设,将有助于组织获取、开发和应用新生产技术来提高竞争优势。6.3.3.2确定可能引入到系列产品的新生产技术,为确定新技术和基础设施改进而建立并能维护的原始资料和方法。6.3.4适应开发过程6.3.4.1在产品开发周期中采取必要的变动以支持新产品的开发。6.3.4.2适应组织的产品开发过程,熟悉并利用准备在将来使用的组件。6.3.5确保关键组件的可用性6.3.5.1确保关键组件都可利用,并可以支持有计划的产品改进。6.3.5.2组织应确定产品系列的关键组件及其可用性的计划。6.3.6插入产品技术6.3.6.1将新的技术插入到产品开发、市场营销和制造过程中。6.3.6.2管理将新技术引入到系列产品的工作(包括现有产品系列组件的改进、新组件的引进);标识和管理与产品设计变化有关的风险。6.4管理系统工程支持环境6.4.1基本要求应能够为不同需求的系统工程提供支持环境,并可以通过剪裁适应不同的项目。根据技术、环境状态的变化对支持环境进行改进。6.4.2维持技术认识6.4.2.1维持对支持实现组织目标的那些技术的认识。6.4.2.2对工艺现状或实施现状应该插入新的技术,组织应具有对新技术的充分认识。6.4.3确定支持需求根据组织的需要确定组织的系统工程支持环境的需求。6.4.4获得系统工程支持环境6.4.4.1获得一个系统工程支持环境,该环境要满足在确定支持需求中通过利用分析候选解决要求项的实施而建立的要求。6.4.4.2针对所需的系统工程支持环境,确定其评价标准和潜在的候选解决方案;利用分析候选解决要求项选择一个解决方案;得到并实现所选的系统工程支持环境。6.4.5剪裁系统工程支持环境剪裁系统工程支持环境,以满足单个项目的要求。6.4.6插入新技术6.4.6.1根据组织的应用目标和项目需要将新技术插入到系统工程支持环境中。6.4.6.2组织的系统工程支持环境应用新技术更新,并要支持组织的应用目标及工程需要;在系统工程支持环境中,应提供使用新技术的培训。6.4.7维护环境6.4.7.1维护系统工程支持环境以持续支持依赖该环境的项目。6.4.7.2维护活动包括计算机系统管理、培训、热线支持、专家的作用、发展或者扩充一个技术库等。6.4.8监视系统工程支持环境6.4.8.1监视系统工程支持环境以发现改进的机会。6.4.8.2确定影响系统工程支持环境有用性的因素,包括任何新插入的技术;监视新技术和整个系统工程支持环境的接受情况。6.5培训6.5.1基本要求应建立一套完整的培训体系,能够为员工提供满足组织需求并适用于系统工程活动的,及时有效的知识与技能培训。6.5.2确定培训要求6.5.2.1以项目的要求、组织的战略计划和现有的员工技能情况为指导,确定组织在技能与知识方面所需的改进。6.5.2.2综合现有的程序、组织的战略计划和现有员工的技能等各方面信息确定这些要求。6.5.3选择知识或技能的获取模式6.5.3.1评价和选择通过培训或其它资源获取知识或技能的适当模式。6.5.3.2应确保所选择的方法是最佳的,以使得所需技能和知识对项目及时有效。6.5.4确保技能和知识的可用性确保技能和知识对系统工程活动是适用的。6.5.5准备培训材料6.5.5.1根据确定的培训要求准备培训材料。6.5.5.2为每一个由组织内部人员建成的班编制培训材料,或为每一个已存在的班准备培训材料。6.5.6培训人员6.5.6.1培训教员要具备执行赋予他们的角色的技能与知识。6.5.6.2要根据培训计划和编制的材料进行人员培训。6.5.7评估培训的有效性6.5.7.1评估培训的有效性以满足所确定的培训要求。6.5.7.2评估有效性的方法应与培训计划编制和培训材料的拟定同时列出;应及时获取有效性评估的结果,以便对培训做出相应调整。6.5.8维护培训记录6.5.8.1维护培训与取得经验的记录。6.5.8.2维护记录以追踪每个人员接受培训的情况,以及受训后的技能和能力。6.5.9维护培训材料6.5.9.1维护知识库中的培训材料。6.5.9.2维护知识库中的课件材料以供员工今后访问,并且在课程材料变动时可供跟踪。6.6与供应商协调6.6.1基本要求应能够根据工程的需求建立与维护供应商的关系,确保供应商能够为系统工程提供满足要求的产品或服务。6.6.2确定系统的组件或服务确定应由其它外部组织提供的系统组件或服务。6.6.3确定胜任的供应商或销售商6.6.3.1标识在特定领域中具有专门技术的供应商。6.6.3.2供应商的能力包括胜任开发过程、制造过程、验证责任、及时交付、生存周期支持过程及远程有效通信能力,上述能力应符合本组织的各项要求。6.6.4选择供应商或销售商6.6.4.1依照7.1选择供应商。6.6.4.2以合乎逻辑和公平的方式选择供应商以满足产品的目标;提供最能弥补本组织能力的供应商特征,标识合格的候选者;通过要求项7.1“管理安全控制”的实施来选择出合适的供应商。6.6.5提出要求6.6.5.1对供应商提出组织对系统组件或服务的要求、期望和效果指标。6.6.5.2在合同签署时组织应将它的要求和期望清楚地指明并排出优先顺序,并且要指明对供应商方面的所有限制;组织要与供应商密切合作,使其充分了解产品达到的要求和自己要承担的责任,并达成相互理解。6.6.6维持沟通6.6.6.1与供应商维持及时的双向沟通。6.6.6.2组织与