体系安全管理信息要求是什么/信息系统安全管理要求_手把手教漏洞指南
▼
信息安全等级保护从与信息系统安全相关的物理层面、网络层面、系统层面、应用层面和管理层面对信息和信息系统实施分等级安全保护。管理层面贯穿于其他层面之中,是其他层面实施分等级安全保护的保证。本文件对信息和信息系统的安全保护提出了分等级安全管理的要求;阐述了安全管理要素及其强度,并将管理要求落实到信息安全等级保护所规定的五个等级上,有利于对安全管理的实施、评估和检查。GB 17859-1999中安全保护等级的划分是根据对安全技术和安全风险控制的关系确定的,公通字[2004]66号文件中安全等级的划分是根据信息和信息系统受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成损害的程度确定的。两者的共同点是:安全等级越高,发生的安全技术费用和管理成本越高,从而预期能够抵御的安全威胁越大,建立起的安全信心越强,使用信息系统的风险越小。
本文件以安全管理要素作为描述安全管理要求的基本组件。安全管理要素是指,为实现信息系统安全等级保护所规定的安全要求,从管理角度应采取的主要控制方法和措施。根据GB 17859-1999对安全保护等级的划分,不同的安全保护等级会有不同的安全管理要求,可以体现在管理要素的增加和管理强度的增强两方面。对于每个管理要素,根据特定情况分别列出不同的管理强度,最多分为5级,最少可不分级。在具体描述中,除特别声明之外,一般高级别管理强度的描述都是在对低级别描述基础之上进行的。
信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。本标准涉及信息系统的管理者包括国家机关、事业单位、厂矿企业、公司、集团等各种类型和不同规模的组织机 构,以下统称为”组织机构”。
信息系统在技术上采取何种安全机制应根据相关技术标准确定,本文件仅提出保证这些安全机制实施的管理要求。与技术密切的管理是技术实现的组成部分,如果信息系统根据具体业务及其安全需求未采用该技术,则不需要相应的安全管理要求。对与管理描述难以分开的技术要求会出现在管理要求中,具体执行需要参照相关技术标准。对于涉及国家秘密的信息和信息系统的保密管理,应按照国家有关保密的管理规定和相关标准执行。
本文件中有关信息系统安全管理要素及其强度与信息系统安全管理分等级要求的对应关系的说明参见附录A。为了帮助读者从安全管理概念角度理解和运用这些信息系统的安全管理要求,附录B给出了信息系统安全管理概念说明。
信息系统安全管理要求
▼
(全文略)
附:信息系统安全管理要求.pdf
公众号VIP会员,私信群主索取本文件。
办理公众号VIP会员,在公众号会话窗口回复:VIP可查看相关介绍。
▲
- The end -
~
网络安全学习,我们一起交流
~