GB/T 19668.6-2007
基本信息
标准号: GB/T 19668.6-2007
中文名称:信息化工程监理规范 第6部分: 信息化工程安全监理规范
标准类别:国家标准(GB)
标准状态:现行
发布日期:2007-08-24
实施日期:2008-01-01
出版语种:简体中文
下载格式:.rar.pdf
下载大小:196334
标准分类号
标准ICS号:信息技术、办公机械设备>>35.020信息技术(IT)综合
中标分类号:电子元器件与信息技术>>电子元器件与信息技术综合>>L01技术管理
关联标准
出版信息
出版社:中国标准出版社
页数:平装16开 页数:11, 字数:16千字
标准价格:14.0 元
计划单号:20030745-T-469
出版日期:2008-01-01
相关单位信息
首发日期:2007-08-24
起草人:李刚、董火民、卢学哲、王宣言、陈兵等
起草单位:山东正中计算机网络技术咨询有限公司、北京赛迪信息工程监理有限公司
归口单位:国家电子政务标准化总体组
提出单位:国家电子政务标准化总体组
发布部门:中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会
主管部门:国家标准化管理委员会
标准简介
GB/T 19668的本部分规定了信息化工程新建、升级、改造过程中各监理阶段安全监理工作的主要目标、内容和要点。本部分适用于GB/T 19668.1—2005中监理对象中涉及信息安全的监理工作。 GB/T 19668.6-2007 信息化工程监理规范 第6部分: 信息化工程安全监理规范 GB/T19668.6-2007 标准下载解压密码:www.bzxz.net
标准图片预览
标准内容
ICS35.020
中华人民共和国国家标准
GB/T 19668.6--2007
信息化工程监理规范
第6部分:信息化工程安全监理规范Information system project surveillancc specification-Part 6,Information system project security surveillance specification2007-08-24 发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2008-01-01实施
GB/T 19668.6—2007
规范性引用文件
术语和楚义
般要求
工程招标阶段
监理目标
监理内容
监理要点
工程设计阶段
监理目标
监理内容
监理要点
工程实施阶段
监理月标
监理内容
监理要点
工程验收阶段
监理目标
监理内容
监理要点
9各类信息化工程的安全监理要点通用布缆系统工程的安全监理要点9.1
9.2电子设备机府系统工程的安全监现要点9.3计算机网络系统工程的安全监理要点9.4软件工程的安全监理要点
GB/T196684信息化工程监理规范》分为六部分:第1部分:总则:
第2部分:通用布缆系统工程监理规范;一第3部分;电子设备机房系统工程监理规范;\一第 4 部分:计算机网络系统工程监理规范;第5部分:软件工税监理规范;
第6部分:信息化工程安全监理规范。本部分为GB/T19668的第6部分。本部分由国家电子政务标准化总体组提出并归口。本部分项目召单位中围电子技术标推化研究所。GB/T19668.6-2007
本部分项目副壬集单位:北京市质盘技术监督局上海市信息化办公室,中国电子信息产业发展研究院。
本部分专家纽,葛酒康、张保栋、马应章、包兵,窦传义:木部分工作组秘书:徐全平。本部分主要起草单位:上海三零卫士信息安全有限公司、北京市信息安全谢评中心、厂广州赛宝联容信息工程监理有限公司、北京同方信息安全技术股份有限公司、山东正中计算机网络技术咨询有限公司,新疆天衡信息工程监现公司、北京知识安全工程中心。本部分主要起草人:孔一童、张晓梅,闵京华、彭细正、周鸣乐、旗火民、张斌、王新杰、姚世全。)督促承建单位在施工中严格遵守业主单位的相关安全管理规定。8 工程验收阶段
8. 1监理目标
监理机构通过监理工作,应实现如下自标:a)明确工程安全测试验收方案的符会性及可行性;GB/T 19668.6—2007
h)促使工程的最终安全性能和功能符合承建合同、祛律、法规和标难的要求;e)促使承建单位所供的工程技术管理文档的内容符合相关标准。8.2监理内容
验阶段的主要蓝理内容如下;
依据承建合伺、安全设计方案、实施方案、实施记录、国家或地方相关标准和技术指导文件,对a)
信息化工程进行安全符合性检查,以验证项目是否实现了项目设计目标和安全等级要求;根据信息系统的安全等级,协勘业主单位委托外部测评机构对安全建设项目进行评;h
协助业主单位建立验收工作机构,组织最终的项目验收会议:协助验收工作机构审核承建单位提供的验收工作方案,并提出监理意见;d)
e)协助业主单位对承建单位提供的项目验收报告进行评审,并提出监理意见:)协助业毛单位收集工程实施中的各种关键文档。8.3监理要点
监理机构应从如下方面开展测试中的监理工作:a)监理单位应督促承建单位按照网络、操作系统、应用系统、各类产品等安全功能及性能的不同,采用不同的技术检测方法,设计详细的测试技术方案和控制流程。)监理机构应督促承建单位对工程进展中安装的设备或产品进行测试.以评估产品是否能符合业主单位或工程的安全要求。
监理机构应督促承建单位在系统建议完成之后,在开通和交付业主单位验收.使用之前,进行cbzxz.net
总体安全性测试。
监理机构应督促承建单位对安全谢试的内容做详细的工作文挡记录,包括安金工程测试方法.测试结果、湖试指标结果等。如适用,监理机构应修促承建单位及时纠正测试中发现的安全问题。e
监理机构应从以下方面对谢试结果进行审查,并交监理意见:f)
1)系统安全功能,如用户授权管理、访问控制、传输加密等;2)系统安企性能,如密码算法强度等。8.3.2信息系统安全测评
监理机构应从如下方面开展信息系统安全测评中的监理工作:协助业主单位做好与安企测评机构的沟通,协调项目各方与测评机构做好配合工作;b)协助业主单位审核测评机构编写的安全验收测评方案;对业主单位和承建单位进行的安金验收谢评的技术准备、文档准备和人员准备情况进行检查:d)如适用,监理机构应协助业主单位,并督促承建单位整改安金测评中发现的问题。8. 3.3工程验收
监理机构应从如下方面开展工程收的监理二作:社)监理机构应督促承建单位在系统验收前先进行察统的测试和试运行,并进行详细的文档记录;b)监理机构应建议业主单位和承建单位根据详细设计及相关部门颁发的有关文件、各专业的设计规范、避设规范和验收规范进行项目验收:5
GB/T19668.6—2007
心)如适用,承建单位应提供由国家授权信息安全测评概构提供的系统安全测评报告,作为二程验收的材料。
9各类信息化工程的安全监理要点9.1通用布缆系统工程的安全监理要点监理机构可从如下方面对通用布缆系统工程进行安全监理:电源和运裁数据或支持信息服务的电信布缆应免受商听或损坏。a)
线缆的选择除满是数据传输的技术要求外,还应注意电綫设的环境要求,如在强电磁干扰b)
区域应采用屏蔽线或光缆。
进入信息处理设施的电源和通信线璐宜在地下,若可能,或提供延够的可替换的保护。t
线缆应免受末授权窃听或损坏,如利用电缆營道或使路用避开公众区域。d
为了防止于扰,电源电缆要与通偿电缆分开。e)
f)对于敏感或关键的系统,还应考虑以下的措施:在检查点和终接点处安装铠装电缆管道和上锁的房间或盒子;1)
使用莉替换的路由选择和/或传输介质;2)
使用光纤或屏蔽线布缆:
使用电磁防辐射装置保护电缆。4)
9.2电子设备机房系统工程的安全监理要点监理机构可从如下方面对电子设备机房系统工程进行安全监理:a)电子设备机房的安全设计应符合GB9361—1988的规定。电子设备机房应保证供配电系统的安全,包括安装防雷和接地装置,部器不间断电源设备等。b
电子设备机房应安装消防设施,包括安装火灾报警装置,放贸手提式灭火器等。凡设有气体灭e
火装置的电子设备机房,应安装排气装划。电子设备机房应根据其重要性,安装门禁系统、视频监视系统、入侵报蓄系统等安防系统。d)
电子设备机房应保证电子设备运行的温、湿度要求,部空调系统,重要的电子设备机房应安装精密空调等装置以保证对温湿度的精确控制。电子设备机房应保证对静电的防护或处理,采取防静电地板、接地等措施,防止静电对机房内电子设备的损害。
9.3计算机网络系统工程的安全监理要点监理机构可从如下方面对计算机网络系统工程进行安全监理:a)网络系统工程中的中心机房应满足9.2的要求,各种服务器及网络核心设备宜放置在专门的电子设备机房:
)·信息网络平台涉及的防火墙、防病薪系统等网络安全软硬件设备应通过国家相关安全测评认证机构的认证;
交换机,路由器和防火墙等网络设备初始安装后应重新配置,以符合系统安全策略或系统对应c
的安全等级保护斐求;
合理划分网络安全域,对外提供服务的区域应和内部网络离;内部服务器及办公主机应放置在内网,对外提供服务的服务器应放留在对外服务区;在网络系统与外部网络接口处应设置防火增、隔离网阐等边界保护设备;应分别从网络防病毒、主机防病获等各个层次加强网络对病毒的防范能力;网络应用的安全应满足9.4的要求。9.4软件工程的安全监理要点
监理机构可从如下方面对软件工程进行安金监理:6
GB/T 19668. 6—2007
a)应用软件在设计上应考虑合适的控制和审核跟踪或活动日志,以防小丢关、修改或溢用应用系统中的用户数据,包括输入数据确认、内部处理控制、输出数据确认等;软件系统应采用适尚的密码系统和技术来保护信息的保密性、其实性和完整性;6)
对于重要的信息系统,应分离并发、测试和运行设施,规定从开发状态到运行状态的安全控制c
措施并形成文件,以防止开发和测试活动可能引起的问题;d
软件的测试过程应注意保护和控制测试数据,避免恢用包含个人信息的运行数据库;软件的开发过程中,对源程序库的访问应维护严格的控制,以减少计算机载序被损坏的可能)如存在外包的软件开发,应注意对外包过程的倍息管理。GB/T 19668.6-2007
中华人民共和国
国家标雅
信息化工程监理规范
第 6 部分信息化工程安全监理规范GH/T 19668. 6—2007
中国标准出版社出版发行
北京虹兴门外三里河北街16号
邮政编码:100045
网址 www, spc. net, cn
电话:6852394668517548
中国标准出版社案皇岛印剧厂印制咨地新华书店经销
开本880×12301/16印张0.75字数16千字2007年11月第一版 2007年11月第一次印刷+
书号:155066·1-30203定价14.00元如有印装差错由本社发行中心调换版权专有侵权必究
举报电话:(010)68533533
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T 19668.6--2007
信息化工程监理规范
第6部分:信息化工程安全监理规范Information system project surveillancc specification-Part 6,Information system project security surveillance specification2007-08-24 发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2008-01-01实施
GB/T 19668.6—2007
规范性引用文件
术语和楚义
般要求
工程招标阶段
监理目标
监理内容
监理要点
工程设计阶段
监理目标
监理内容
监理要点
工程实施阶段
监理月标
监理内容
监理要点
工程验收阶段
监理目标
监理内容
监理要点
9各类信息化工程的安全监理要点通用布缆系统工程的安全监理要点9.1
9.2电子设备机府系统工程的安全监现要点9.3计算机网络系统工程的安全监理要点9.4软件工程的安全监理要点
GB/T196684信息化工程监理规范》分为六部分:第1部分:总则:
第2部分:通用布缆系统工程监理规范;一第3部分;电子设备机房系统工程监理规范;\一第 4 部分:计算机网络系统工程监理规范;第5部分:软件工税监理规范;
第6部分:信息化工程安全监理规范。本部分为GB/T19668的第6部分。本部分由国家电子政务标准化总体组提出并归口。本部分项目召单位中围电子技术标推化研究所。GB/T19668.6-2007
本部分项目副壬集单位:北京市质盘技术监督局上海市信息化办公室,中国电子信息产业发展研究院。
本部分专家纽,葛酒康、张保栋、马应章、包兵,窦传义:木部分工作组秘书:徐全平。本部分主要起草单位:上海三零卫士信息安全有限公司、北京市信息安全谢评中心、厂广州赛宝联容信息工程监理有限公司、北京同方信息安全技术股份有限公司、山东正中计算机网络技术咨询有限公司,新疆天衡信息工程监现公司、北京知识安全工程中心。本部分主要起草人:孔一童、张晓梅,闵京华、彭细正、周鸣乐、旗火民、张斌、王新杰、姚世全。)督促承建单位在施工中严格遵守业主单位的相关安全管理规定。8 工程验收阶段
8. 1监理目标
监理机构通过监理工作,应实现如下自标:a)明确工程安全测试验收方案的符会性及可行性;GB/T 19668.6—2007
h)促使工程的最终安全性能和功能符合承建合同、祛律、法规和标难的要求;e)促使承建单位所供的工程技术管理文档的内容符合相关标准。8.2监理内容
验阶段的主要蓝理内容如下;
依据承建合伺、安全设计方案、实施方案、实施记录、国家或地方相关标准和技术指导文件,对a)
信息化工程进行安全符合性检查,以验证项目是否实现了项目设计目标和安全等级要求;根据信息系统的安全等级,协勘业主单位委托外部测评机构对安全建设项目进行评;h
协助业主单位建立验收工作机构,组织最终的项目验收会议:协助验收工作机构审核承建单位提供的验收工作方案,并提出监理意见;d)
e)协助业主单位对承建单位提供的项目验收报告进行评审,并提出监理意见:)协助业毛单位收集工程实施中的各种关键文档。8.3监理要点
监理机构应从如下方面开展测试中的监理工作:a)监理单位应督促承建单位按照网络、操作系统、应用系统、各类产品等安全功能及性能的不同,采用不同的技术检测方法,设计详细的测试技术方案和控制流程。)监理机构应督促承建单位对工程进展中安装的设备或产品进行测试.以评估产品是否能符合业主单位或工程的安全要求。
监理机构应督促承建单位在系统建议完成之后,在开通和交付业主单位验收.使用之前,进行cbzxz.net
总体安全性测试。
监理机构应督促承建单位对安全谢试的内容做详细的工作文挡记录,包括安金工程测试方法.测试结果、湖试指标结果等。如适用,监理机构应修促承建单位及时纠正测试中发现的安全问题。e
监理机构应从以下方面对谢试结果进行审查,并交监理意见:f)
1)系统安全功能,如用户授权管理、访问控制、传输加密等;2)系统安企性能,如密码算法强度等。8.3.2信息系统安全测评
监理机构应从如下方面开展信息系统安全测评中的监理工作:协助业主单位做好与安企测评机构的沟通,协调项目各方与测评机构做好配合工作;b)协助业主单位审核测评机构编写的安全验收测评方案;对业主单位和承建单位进行的安金验收谢评的技术准备、文档准备和人员准备情况进行检查:d)如适用,监理机构应协助业主单位,并督促承建单位整改安金测评中发现的问题。8. 3.3工程验收
监理机构应从如下方面开展工程收的监理二作:社)监理机构应督促承建单位在系统验收前先进行察统的测试和试运行,并进行详细的文档记录;b)监理机构应建议业主单位和承建单位根据详细设计及相关部门颁发的有关文件、各专业的设计规范、避设规范和验收规范进行项目验收:5
GB/T19668.6—2007
心)如适用,承建单位应提供由国家授权信息安全测评概构提供的系统安全测评报告,作为二程验收的材料。
9各类信息化工程的安全监理要点9.1通用布缆系统工程的安全监理要点监理机构可从如下方面对通用布缆系统工程进行安全监理:电源和运裁数据或支持信息服务的电信布缆应免受商听或损坏。a)
线缆的选择除满是数据传输的技术要求外,还应注意电綫设的环境要求,如在强电磁干扰b)
区域应采用屏蔽线或光缆。
进入信息处理设施的电源和通信线璐宜在地下,若可能,或提供延够的可替换的保护。t
线缆应免受末授权窃听或损坏,如利用电缆營道或使路用避开公众区域。d
为了防止于扰,电源电缆要与通偿电缆分开。e)
f)对于敏感或关键的系统,还应考虑以下的措施:在检查点和终接点处安装铠装电缆管道和上锁的房间或盒子;1)
使用莉替换的路由选择和/或传输介质;2)
使用光纤或屏蔽线布缆:
使用电磁防辐射装置保护电缆。4)
9.2电子设备机房系统工程的安全监理要点监理机构可从如下方面对电子设备机房系统工程进行安全监理:a)电子设备机房的安全设计应符合GB9361—1988的规定。电子设备机房应保证供配电系统的安全,包括安装防雷和接地装置,部器不间断电源设备等。b
电子设备机房应安装消防设施,包括安装火灾报警装置,放贸手提式灭火器等。凡设有气体灭e
火装置的电子设备机房,应安装排气装划。电子设备机房应根据其重要性,安装门禁系统、视频监视系统、入侵报蓄系统等安防系统。d)
电子设备机房应保证电子设备运行的温、湿度要求,部空调系统,重要的电子设备机房应安装精密空调等装置以保证对温湿度的精确控制。电子设备机房应保证对静电的防护或处理,采取防静电地板、接地等措施,防止静电对机房内电子设备的损害。
9.3计算机网络系统工程的安全监理要点监理机构可从如下方面对计算机网络系统工程进行安全监理:a)网络系统工程中的中心机房应满足9.2的要求,各种服务器及网络核心设备宜放置在专门的电子设备机房:
)·信息网络平台涉及的防火墙、防病薪系统等网络安全软硬件设备应通过国家相关安全测评认证机构的认证;
交换机,路由器和防火墙等网络设备初始安装后应重新配置,以符合系统安全策略或系统对应c
的安全等级保护斐求;
合理划分网络安全域,对外提供服务的区域应和内部网络离;内部服务器及办公主机应放置在内网,对外提供服务的服务器应放留在对外服务区;在网络系统与外部网络接口处应设置防火增、隔离网阐等边界保护设备;应分别从网络防病毒、主机防病获等各个层次加强网络对病毒的防范能力;网络应用的安全应满足9.4的要求。9.4软件工程的安全监理要点
监理机构可从如下方面对软件工程进行安金监理:6
GB/T 19668. 6—2007
a)应用软件在设计上应考虑合适的控制和审核跟踪或活动日志,以防小丢关、修改或溢用应用系统中的用户数据,包括输入数据确认、内部处理控制、输出数据确认等;软件系统应采用适尚的密码系统和技术来保护信息的保密性、其实性和完整性;6)
对于重要的信息系统,应分离并发、测试和运行设施,规定从开发状态到运行状态的安全控制c
措施并形成文件,以防止开发和测试活动可能引起的问题;d
软件的测试过程应注意保护和控制测试数据,避免恢用包含个人信息的运行数据库;软件的开发过程中,对源程序库的访问应维护严格的控制,以减少计算机载序被损坏的可能)如存在外包的软件开发,应注意对外包过程的倍息管理。GB/T 19668.6-2007
中华人民共和国
国家标雅
信息化工程监理规范
第 6 部分信息化工程安全监理规范GH/T 19668. 6—2007
中国标准出版社出版发行
北京虹兴门外三里河北街16号
邮政编码:100045
网址 www, spc. net, cn
电话:6852394668517548
中国标准出版社案皇岛印剧厂印制咨地新华书店经销
开本880×12301/16印张0.75字数16千字2007年11月第一版 2007年11月第一次印刷+
书号:155066·1-30203定价14.00元如有印装差错由本社发行中心调换版权专有侵权必究
举报电话:(010)68533533
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。