《信息安全技術 信息系統(tǒng)安全管理要求》gb/t20269-2006

引 言

信息安全等級保護從與信息系統(tǒng)安全相關的物理層面、網絡層面、系統(tǒng)層面、應用層面和管理層面對信息和信息系統(tǒng)實施分等級安全保護。管理層面貫穿于其他層面之中，是其他層面實施分等級安全保護的保證。本標準對信息和信息系統(tǒng)的安全保護提出了分等級安全管理的要求，闡述了安全管理要素及其強度，并將管理要求落實到信息安全等級保護所規(guī)定的五個等級上，有利于對安全管理的實施、評估和檢查。gb17859-1999中安全保護等級的劃分是根據對安全技術和安全風險控制的關系確定的，公通字[2004]66號文件中安全等級的劃分是根據信息和信息系統(tǒng)受到破壞后，會對國家安全、社會秩序、經濟建設和公共利益造成損害的程度確定的。兩者的共同點是：安全等級越高，發(fā)生的安全技術費用和管理成本越高，從而預期能夠抵御的安全威脅越大，建立起安全信心越強，使用信息系統(tǒng)的風險越小。 本標準以安全管理要素作為描述安全管理要求的基本組件。安全管理要素是指，為實現信息系統(tǒng)安全等級保護所規(guī)定的安全要求，從管理角度應采取的主要控制方法和措施。根據gb17859-1999對安全
保護等級的劃分，不同的安全保護等級會有不同的安全管理要求，可以體現在管理要素的增加和管理強度的增強兩方面。對于每個管理要素，根據特定情況分別列出不同的管理強度，最多分為5級，最少可不分級。在具體描述中，除特別聲明之外，一般高級別管理強度的描述都是在對低級別描述基礎之上進行的。 
信息系統(tǒng)是指由計算機及其相關和配套的設備、設施構成的，按照一定的應用目標和規(guī)則對信息進行存儲、傳輸、處理的系統(tǒng)或者網絡；信息是指在信息系統(tǒng)中存儲、傳輸、處理的數字化信息。本標準涉及信息系統(tǒng)的管理者包括國家機關、事業(yè)單位、廠礦企業(yè)、公司、集團等各種類型和不同規(guī)模的組織機構，以下統(tǒng)稱為“組織機構”。 
信息系統(tǒng)在技術上采取何種安全機制應根據相關技術標準確定，本標準僅提出保證這些安全機制實施的管理要求。與技術密切的管理是技術實現的組成部分，如果信息系統(tǒng)根據具體業(yè)務及其安全需求未采用該技術，則不需要相應的安全管理要求。對與管理描述難以分開的技術要求會出現在管理要求中，具體執(zhí)行需要參照相關技術標準。對于涉及國家秘密的信息和信息系統(tǒng)的保密管理，應按照國家有關保密的管理規(guī)定和相關標準執(zhí)行。 
本標準中有關信息系統(tǒng)安全管理要素及其強度與信息系統(tǒng)安全管理分等級要求的對應關系的說明參見附錄a。為了幫助讀者從安全管理概念角度理解和運用這些信息系統(tǒng)的安全管理要求，附錄b給出了信息系統(tǒng)安全管理概念說明。