GB/T 19668.4-2017
基本信息
标准号: GB/T 19668.4-2017
中文名称: 信息技术服务 监理 第4部分:信息安全监理规范
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.rar .pdf
下载大小:9877KB
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB/T 19668.4-2017 信息技术服务 监理 第4部分:信息安全监理规范
GB/T19668.4-2017
标准压缩包解压密码:www.bzxz.net
标准图片预览
标准内容
ICS35.020
中华人民共和国国家标准
GB/T19668.4-—2017
代替GB/T19668.6—2007
信息技术服务
第4部分:信息安全监理规范
Information technology service-Surveillance-Part 4:Information security surveillance specification2017-07-31发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2018-02-01实施
2规范性引用文件
术语和定义
一般要求
规划设计部分
风险评估
安全需求确定
部署实施部分
6.1招标阶段
6.1.1监理目标
监理内容
6.1.3监理要点
招标文件
承建合同
6.2设计阶段
6.2.1监理目标
6.2.2监理内容
6.2.3监理要点
体系结构设计
详细设计
6.3实施阶段
6.3.1监理目标
6.3.2监理内容
6.3.3监理要点
工程实施方案
安全控制措施·
安全设备验收·
工程实施中的安全管理
6.4验收阶段
监理目标
监理内容
监理要点
测试:
GB/T19668.4—2017
iikAoNiKAca
GB/T19668.4—2017
6.4.3.2工程验收方案
6.4.3.3工程验收管理
附录A(规范性附录)1
信息系统工程安全合规性要求
附录B(规范性附录)信息系统工程安全技术要求附录C(资料性附录)信息系统工程安全监理工作表单**参考文献
HiiKAoNiKAca
GB/T19668《信息技术服务监理》分为六部分:—第1部分:总则;
—第2部分:基础设施工程监理规范;一第3部分:运行维护监理规范;—一第4部分:信息安全监理规范;第5部分:软件工程监理规范:
一第6部分:应用系统:数据中心工程监理规范。本部分为GB/T19668.的第4部分。本部分按照GB/T1.1一2009给出的规则起草。GB/T19668.4—2017
本部分代替GB/T19668.6一2007《信息化工程监理规范第6部分:信息化工程安全监理规范》,与GB/T19668.6—2007相比,主要技术变化如下:一术语中增加了“信息安全、信息安全监理”“安全工程”、“风险评估”、“安全需求”“等级保护”“安全控制措施”,“合规性”和安全策略”,共9条定义(见3.2~3.9;一删除了术语中的信息化工程安全监理:一新增规划设计部分,包括目标、内容、要点(见第5章):一将原标准中工程招标阶段、工程设计阶段、工程实施阶段和工程验收阶段纳人部署实施部分(见第6章);
修改了工程招标阶段的监理目标、监理内容、监理要点(见6.1.1、6.1.2和6.1.3);一修改了工程设计阶段的监理目标、监理内容,监理要点(见6.2.1,6.2.2和6.2.3);将原标准工程设计阶段监理要点中的“安全需求分析”删除,将原“工程设计方案”细分为“体系结构设计”和详细设计”(见6.2.3.1和6.2.3.2);修改了工程实施阶段的监理目标、监理内容、监理要点(见6.3.1.6.3.2和6.3.3);一工程实施阶段监理要点中的工程实施方案和工程实施组织方案”修改为“工程实施方案”(见6.3.3.1),增加了安全控制措施(见6.3.3.2),修改了安全设备验收”具体内容(见6.3.3.3),将“工程实验管理”修改为“工程实施中的安全管理”(见6.3.3.4):修改了工程验收阶段的监理目标、监理内容、监理要点(见6.4.1、6.4.2和6.4.3);一工程验收阶段监理要点中删除了*信息系统安全测评”,增加工程验收方案”(见6.4.3.2),将“工程验收”修改为“工程验收管理”(见6.4.3.3);一删除了原标准中“各类信息化工程的安全监理要点”:增加了规范性附录信息系统工程安全合规性要求(见附录A);一增加了规范性附录信息系统工程安全技术要求(见附录B);增加了资料性附录信息系统工程安全监理工作表单(见附录C)。请注意本文件的某些内容可能涉及的专利。本文件的发布机构不承担标识这些专利的责任。本部分由全国信息技术标准化技术委员会(SAC/TC28)提出并归口。本部分主要起草单位:中国电子技术标准化研究院、上海三零卫士信息安全有限公司、北京交通大学、成都安美勤信息技术股份有限公司、山东正中计算机网络技术咨询有限公司、北京中百信工程咨询有限公司、武汉实为咨询监理有限公司、大连鸿润信息系统工程监理有限公司,北京希达建设监理有限责任公司、惠州市亿信通信息技术服务有限公司、新疆天衡信息系统咨询管理有限公司、北京联海信息m
HiiKAoiKAca
GB/T19668.4—2017
系统有限公司、北京中保天和信息科技有限公司、北京中宏信科技有限公司、深圳市艾泰克工程咨询监理有限公司。
本部分主要起草人:郭敏华、朱卫东,卓兰、曹铁舰、于惊涛、李阳、郭锐、邹晓光、杨涛、王丽、钟平、王智斌、王平、李强葛惊、温廷祥、周筱来、李丽、张硕、于锋、杜晓东、黄红、祁文君、董晓杰、朱晓娟、贾卓生、葛酒康。
本部分所代替标准版本的历次发布情况为:GB/T19668.6—2007。
HiiKAoNiKAca
1范围
信息技术服务监理
第4部分:信息安全监理规范
GB/T19668.4-2017
GB/T19668的本部分规定了信息系统工程新建,开级,改造过程中各阶段信息安全监理工作的主要目标、内容和要点。
本部分适用于在信息系统工程建设规划设计,招标,设计,实施和验收阶段中提供有关信息安全的监督管理。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T9361-2011计算机场地安全要求GB/T19668.1一2014信息技术服务监理第1部分:总则GB/T20984—2007信息安全技术信息安全风险评估规范3术语和定义
GB/T19668.1一2014界定的以及下列术语和定义适用于本文件。3.1
信息安全information security保持信息的保密性,完整性,可用性,另外也可包括诸如真实性、可核查性,不可否认性和可靠性等。[GB/T22081—2008,定义2.5]3.2
信息安全监理information securitysurveillance依据信息安全方面的标准和要求,在工程建设各阶段向业主单位提供相关咨询,并协助业主单位对承建单位在工程建设中的信息安全实施服务,实施控制和管理的一种专业化服务活动。信息安全监理还可以包括对信息系统运维阶段的其他信息安全实施服务进行监理。[GB/T30283—2013,定义6.13]3.3
安全工程securityengineering
为确保信息系统的保密性,完整性,可用性等自标而进行的系统工程过程。[GB/T20282—2006,定义3.1]
注:安全工程的例子包括信息系统工程(含云服务类的信息系统)建设和运维阶段的安全集成。3.4
风险评估riskassessment
依据有关信息安全技术与管理标准,对信息系统及其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可1
HiiKAoNiKAca
GB/T19668.4—2017
能性,并结合安全事件所涉及的资产价值来判断安全事件一且发生对组织造成的影响。[GB/T20984—2007,定义3.7]
注:风险评估是确定信息安全需求的重要途径。3.5
安全需求securityrequirement
为保证组织业务战略的正常运作而在安全措施方面提出的要求。[GB/T20984—2007,定义3.16]]3.6
等级保护classifiedprotection按照信息系统业务信息和系统服务的重要性,对信息系统分等级实行安全保护。3.7
securitycontrols
安全控制措施免费标准下载网bzxz
管控安全风险的方法,为满足一组已定义的安全要求所需的任何过程,策略、设备,实践或其他行为。
合规性compliance
信息系统工程应符合国家信息安全法律、法规,政策和标准。3.9
安全策略
fsecurity policy
有关管理,保护和发布敏感信息的法律,规定和实施细则。注:安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。GB17859—1999,定义3.6
4一般要求
本部分遵循GB/T19668.1一2014的一般原则和要求,重点描述信息安全监理各监理阶段的监理目标,监理内容和监理要点等。信息安全监理的监理对象为GB/T19668.1一2014所包括的各类信息系统工程中涉及信息安全的工程活动,还可以包括对信息系统运维阶段的其他信息安全实施服务进行监理。
5规划设计部分
5.1目标
监理机构可通过向业主单位提供规划设计服务,实现如下自标:建议并协助业主单位在规划设计阶段开展风险评估;a)
协助业主单位明确信息系统工程的安全目标;b)
c)协助业主单位确定信息系统工程的安全需求;d)如适用,协助业主单位确定信息系统工程安全保护等级。5.2
2内容
工程规划设计阶段的主要内容如下:a)监理机构应促使业主单位充分考惠信息系统工程的信息安全规划和设计:监理机构应建议业主单位基于业务开展风险评估工作;b)
HiiKAoNiKAca
GB/T19668.42017
监理机构应协助业主单位根据系统的安全风险,以及法律法规和政策的约束来确定信息系统c
工程的安全目标和安全需求;
监理机构应检查业主单位提出的安全需求与安全目标是否一致,与国家和地方的信息安全法d)
律法规、政策、标准是否符合;e)如适用,监理机构宜协助业主单位依据国家等级保护相关标准,确定信息系统安全保护等级。5.3要点
5.3.1风险评估
监理机构应从如下方面对业主单位的风险评估工作提出建议:对预期的信息系统展开全方位的风险评估。应包括:系统基本情况分析、信息系统基本安全状a
况调查、信息系统安全组织、政策情况分析、信息系统弱点漏洞分析等;确定预期信息系统的资产,并明确资产的价值,资产包括:信息资产,纸质文件、软件资产,物理b)
资产、人员,公司形象和声誉、服务等。资产的评估应当从关键业务开始,最终覆盖所有的关键资产;
对预期的信息系统进行细致周密的脆弱性和威胁分析,发现它的脆弱点及所引发的威胁、被利c
用后所造成的损失等;
对风险进行优先级排序,并形成安全措施需求清单;d)
如适用,建立与业务战略相一致的安全规划,制定总体的安全方针,并得到最高管理者的认可。e)
安全需求确定
监理机构应从如下方面协助业主单位确定安全需求:监理机构应协助业主单位通过风险评估,明确信息系统工程建设的安全目标,从安全目标导出a)
安全需求;
监理机构应检查业主单位提出的安全需求与安全目标的一致性,与国家和地方信息安全法律b)
法规、政策和标准的符合性
如适用,监理机构宜督促业主单位对信息系统进行安全等级保护的定级备案;d)
如适用,监理机构宜检查信息系统工程的项目建议书、可行性研究报告、初步设计方案是否包含明确的安全需求。
部署实施部分
6.1招标阶段
6.1.1监理目标
监理机构通过监理工作,应实现如下目标:a)审核招标文件中涉及安全的条款是否满足安全需求,并符合相关法律法规、政策和标准;b)审核承建合同中所提供的安全产品和服务是否满足招标文件要求;c)审核承建合同中与安全相关的条款在技术、经济上是否合理有效。6.1.2监理内容
工程招标阶段的主要监理内容如下:a)监理机构应检查招标文件中工程的安全目标、安全需求,工作范围,以及相关的产品及服务等技术要求是否明确;
iiKAoNiKAca
GB/T19668.4—2017
b)监理机构宜参与招标答疑工作,协助业主单位对工程所涉及的安全需求、技术指标和验收标准等向投标单位解释,并保存会议纪要(见GB/T19668.1一2014表B.6)和相关文件:监理机构应参与承建合同的签订过程,检查承建合同中安全功能、技术要求、测试标准、验收要c
求和质量责任条款的合理性,在承建合同中应明确要求承建单位接受监理机构的监理;d)
若发现安全需求缺失或不当,应及时告知业主单位:若工程中涉及内部敏感信息,监理机构应促使各方(业主单位、承建单位、监理机构、测评机构e
等)签署保密协议。
监理要点
招标文件
监理机构应从如下方面对招标文件提出监理意见:a)信息安全技术要求,应能满足既定的安全目标与安全需求;b)投标单位的资质要求,如信息安全服务和信息系统集成等资质、类似成功案例等;投标单位项目组人员的资格要求,如信息安全领域的相关资格、工作年限和项目经验等;c
d)投标单位的服务过程管理、质量保障体系、应急响应能力等要求;e)新建工程项目对原有信息系统安全性的可能影响及处理措施;f)投标文件应符合国家信息安全相关法律法规、政策和标准。6.1.3.2承建合同
监理机构应参与承建合同的签订,协助业主单位对承建合同的如下内容进行检查,并提出监理意见:
信息安全相关建设内容和技术要求应与投标文件一致;a)
b)保密条款、安全风险控制和安全责任条款:c)项目验收和安全测评的标准方法及文档交付;d)工程变更和扩展引发安全问题的处理方法。6.2设计阶段
6.2.1监理目标
监理机构通过监理工作,应实现如下目标:a)协助业主单位和承建单位进行充分沟通,形成安全需求;b)督促承建单位对信息系统工程的安全技术要求进行规范化描述,形成安全设计方案(包括体系结构设计和详细设计):
确保安全设计方案满足安全需求且具有可验证性,符合相关的法律法规,政策和标准,并与信息系统工程整体建设相符:
d)督促承建单位提供与安全设计方案配套的其他安全输人。6.2.2监理内容
工程设计阶段的主要监理内容如下:a)监理机构应根据监理规划、承建合同、安全设计方案等文档编制监理细则;b)
监理机构应促使业主单位和承建单位就工程安全需求进行专门的讨论,对信息系统工程的安全需求形成一致的理解;
监理机构应建议承建单位根据信息安全风险评估报告和信息安全需求进行安全设计,在此期4
间若发现新的风险或安全需求,应及时通知业主单位和承建单位GB/T19668.4—2017
d)如适用,对已确定将要实行等级保护的系统,监理机构应审核设计方案是否符合相应等级保护所对应的安全技术要求,若不满足及时通知承建单位修改;e)监理机构应审核承建单位的体系结构设计和详细设计,确保设计依据合规(审查表见附录C的表C.1)、安全控制措施能满足安全技术要求;f
监理机构应协助业主单位和承建单位与信息安全相关主管部门进行充分的沟通和协调,确保安全设计方案的合规性要求;
监理机构应建议承建单位在进行安全设计时,充分考虑新建项目对现有系统和目标系统安全性可能造成的影响,并在设计方案中有所体现;h)要求承建单位提交工程设计方案和工程实施组织设计方案(设计方案报审表见GB/T19668.1一2014的表A1),监理机构对其中的安全设计内容进行审核后提出监理意见;监理机构宜协助业主单位调动适当的资源,配合承建单位完成工程设计前的安全需求调查和i
分析工作:
监理机构应就设计阶段的各种变更对工程安全性的可能影响提出监理意见。6.2.3
监理要点
体系结构设计
监理机构应从如下方面对系统体系结构设计进行审核,并提出监理意见:a)
安全设计与安全目标和安全需求的一致性b)根据安全技术要求,选择安全模型进行安全体系结构设计的合理性,制定安全解决方案的针对性,设计安全控制措施的有效性,并考虑残余风险;c)
安全控制措施应覆盖物理、主机、网络、应用、数据和信息安全管理等方面:d)对项目各阶段的安全风险分析和控制措施的全面性和合理性;e)
安全性检验应具有可操作性和有效性;f)如适用,应督促承建单位组织相关部门和有关安全技术专家对体系结构设计的合理性和正确性进行论证和审定。
6.2.3.2详细设计
监理机构应从如下方面对系统详细设计进行审核,并提出监理意见:a)详细设计应遵循体系结构设计,确定并明晰系统安全设计要素,如安全功能和性能、系统接口(内部和外部)、安全控制措施、安全规范等:b)安全控制措施应考虑计算机设备、设施(包括机房建筑、供电、空调等)、通信与网络设备,存储设备、身份鉴别、访问控制、安全审计、系统和信息集成、产品和服务获取、配置管理、应急计划、事件响应、安全评估与认证、安全意识和培训等方面,以及针对特定需求的安全控制措施;选择具体的安全产品和服务,设计安全产品和服务中应具备的安全机制(如配置策略等);c
d)安全产品采购和使用应符合国家的有关规定;e)如适用,可预先对产品进行选型测试;f)工程实施组织设计,相关的操作指南或手册;g)为系统用户和管理员提供安全运行指南;h)如适用,应督促承建单位组织相关部门和有关安全技术专家对详细设计的合理性和正确性进行论证和审定。
GB/T19668.4—2017
6.3实施阶段
监理目标
监理机构通过监理工作,应实现如下目标:a)确保工程实施方案合规、合理,可操作和可核查,与设计方案相符,具体见附录B;b)确保工程中所集成的安全控制措施有效实现且达到设计要求;确保工程中所使用的产品和服务符合设计方案及国家相关法律法规,政策和标准,具体见附录Ae
和附录B;
督促承建单位明确工程实施计划,加强工程实施管理,规范执行安全工程过程;d)
确保工程实施过程满足承建合同提出的建设内容和技术要求,并与安全设计方案,工程实施方e
案相符。
监理内容
工程实施阶段的主要监理内容如下:a)在工程实施前,监理机构应督促承建单位提供工程实施方案,工程实施计划,工程进度安排等文档,确定项目经理和实施人员组成;b)监理机构应对工程实施方案进行审核(审查表见表C.2),检查实施方案与承建合同、设计方案的一致性,并提出监理意见;
监理机构应对承建单位提交的工程进度安排进行审核,保证信息系统工程中的各项安全控制措施实施符合信息系统工程的总体时间安排;在工程实施中,监理机构应检查工程实施过程与实施方案的一致性,对工程实际建设中的变更d
进行记录并给出监理意见;
监督承建单位按照规范进行安全控制措施的落实和监控;e)
监理机构应对安全子系统(或安全设备)进行功能与性能符合性检查(审查表见表C.3);监督对安全设备的到货验收;
督促承建单位按照规范进行系统和设备的安装与调试:i)
监理机构应促使业主单位和承建单位做好工程实施中的安全管理工作:j)
如工程实施中存在重大变更,监理机构应督促承建单位对系统安全性进行再评估。监理要点
工程实施方案
监理机构应从如下方面对承建单位提交的工程实施方案提出监理意见:a)实施方案与设计方案的符合性;b)i
详细的工程实施计划和工程控制过程;安全设备安装调试计划,包括各类安全设备的采购、进场、配置、调试和管理的计划等;d)工程实施组织中的安全,如工程实施人员安全管理措施、工程实施步骤安全管理措施等;如适用,项目分包工程实施的安全管理措施:e)
依据体系结构设计和详细设计所采用的安全技术框架、安全管理策略,形成工程实施方案的配f
套文件;
如适用,应督促承建单位组织相关部门和有关安全技术专家对工程实施方案的合理性和正确g
性进行论证和审定。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T19668.4-—2017
代替GB/T19668.6—2007
信息技术服务
第4部分:信息安全监理规范
Information technology service-Surveillance-Part 4:Information security surveillance specification2017-07-31发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2018-02-01实施
2规范性引用文件
术语和定义
一般要求
规划设计部分
风险评估
安全需求确定
部署实施部分
6.1招标阶段
6.1.1监理目标
监理内容
6.1.3监理要点
招标文件
承建合同
6.2设计阶段
6.2.1监理目标
6.2.2监理内容
6.2.3监理要点
体系结构设计
详细设计
6.3实施阶段
6.3.1监理目标
6.3.2监理内容
6.3.3监理要点
工程实施方案
安全控制措施·
安全设备验收·
工程实施中的安全管理
6.4验收阶段
监理目标
监理内容
监理要点
测试:
GB/T19668.4—2017
iikAoNiKAca
GB/T19668.4—2017
6.4.3.2工程验收方案
6.4.3.3工程验收管理
附录A(规范性附录)1
信息系统工程安全合规性要求
附录B(规范性附录)信息系统工程安全技术要求附录C(资料性附录)信息系统工程安全监理工作表单**参考文献
HiiKAoNiKAca
GB/T19668《信息技术服务监理》分为六部分:—第1部分:总则;
—第2部分:基础设施工程监理规范;一第3部分:运行维护监理规范;—一第4部分:信息安全监理规范;第5部分:软件工程监理规范:
一第6部分:应用系统:数据中心工程监理规范。本部分为GB/T19668.的第4部分。本部分按照GB/T1.1一2009给出的规则起草。GB/T19668.4—2017
本部分代替GB/T19668.6一2007《信息化工程监理规范第6部分:信息化工程安全监理规范》,与GB/T19668.6—2007相比,主要技术变化如下:一术语中增加了“信息安全、信息安全监理”“安全工程”、“风险评估”、“安全需求”“等级保护”“安全控制措施”,“合规性”和安全策略”,共9条定义(见3.2~3.9;一删除了术语中的信息化工程安全监理:一新增规划设计部分,包括目标、内容、要点(见第5章):一将原标准中工程招标阶段、工程设计阶段、工程实施阶段和工程验收阶段纳人部署实施部分(见第6章);
修改了工程招标阶段的监理目标、监理内容、监理要点(见6.1.1、6.1.2和6.1.3);一修改了工程设计阶段的监理目标、监理内容,监理要点(见6.2.1,6.2.2和6.2.3);将原标准工程设计阶段监理要点中的“安全需求分析”删除,将原“工程设计方案”细分为“体系结构设计”和详细设计”(见6.2.3.1和6.2.3.2);修改了工程实施阶段的监理目标、监理内容、监理要点(见6.3.1.6.3.2和6.3.3);一工程实施阶段监理要点中的工程实施方案和工程实施组织方案”修改为“工程实施方案”(见6.3.3.1),增加了安全控制措施(见6.3.3.2),修改了安全设备验收”具体内容(见6.3.3.3),将“工程实验管理”修改为“工程实施中的安全管理”(见6.3.3.4):修改了工程验收阶段的监理目标、监理内容、监理要点(见6.4.1、6.4.2和6.4.3);一工程验收阶段监理要点中删除了*信息系统安全测评”,增加工程验收方案”(见6.4.3.2),将“工程验收”修改为“工程验收管理”(见6.4.3.3);一删除了原标准中“各类信息化工程的安全监理要点”:增加了规范性附录信息系统工程安全合规性要求(见附录A);一增加了规范性附录信息系统工程安全技术要求(见附录B);增加了资料性附录信息系统工程安全监理工作表单(见附录C)。请注意本文件的某些内容可能涉及的专利。本文件的发布机构不承担标识这些专利的责任。本部分由全国信息技术标准化技术委员会(SAC/TC28)提出并归口。本部分主要起草单位:中国电子技术标准化研究院、上海三零卫士信息安全有限公司、北京交通大学、成都安美勤信息技术股份有限公司、山东正中计算机网络技术咨询有限公司、北京中百信工程咨询有限公司、武汉实为咨询监理有限公司、大连鸿润信息系统工程监理有限公司,北京希达建设监理有限责任公司、惠州市亿信通信息技术服务有限公司、新疆天衡信息系统咨询管理有限公司、北京联海信息m
HiiKAoiKAca
GB/T19668.4—2017
系统有限公司、北京中保天和信息科技有限公司、北京中宏信科技有限公司、深圳市艾泰克工程咨询监理有限公司。
本部分主要起草人:郭敏华、朱卫东,卓兰、曹铁舰、于惊涛、李阳、郭锐、邹晓光、杨涛、王丽、钟平、王智斌、王平、李强葛惊、温廷祥、周筱来、李丽、张硕、于锋、杜晓东、黄红、祁文君、董晓杰、朱晓娟、贾卓生、葛酒康。
本部分所代替标准版本的历次发布情况为:GB/T19668.6—2007。
HiiKAoNiKAca
1范围
信息技术服务监理
第4部分:信息安全监理规范
GB/T19668.4-2017
GB/T19668的本部分规定了信息系统工程新建,开级,改造过程中各阶段信息安全监理工作的主要目标、内容和要点。
本部分适用于在信息系统工程建设规划设计,招标,设计,实施和验收阶段中提供有关信息安全的监督管理。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T9361-2011计算机场地安全要求GB/T19668.1一2014信息技术服务监理第1部分:总则GB/T20984—2007信息安全技术信息安全风险评估规范3术语和定义
GB/T19668.1一2014界定的以及下列术语和定义适用于本文件。3.1
信息安全information security保持信息的保密性,完整性,可用性,另外也可包括诸如真实性、可核查性,不可否认性和可靠性等。[GB/T22081—2008,定义2.5]3.2
信息安全监理information securitysurveillance依据信息安全方面的标准和要求,在工程建设各阶段向业主单位提供相关咨询,并协助业主单位对承建单位在工程建设中的信息安全实施服务,实施控制和管理的一种专业化服务活动。信息安全监理还可以包括对信息系统运维阶段的其他信息安全实施服务进行监理。[GB/T30283—2013,定义6.13]3.3
安全工程securityengineering
为确保信息系统的保密性,完整性,可用性等自标而进行的系统工程过程。[GB/T20282—2006,定义3.1]
注:安全工程的例子包括信息系统工程(含云服务类的信息系统)建设和运维阶段的安全集成。3.4
风险评估riskassessment
依据有关信息安全技术与管理标准,对信息系统及其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可1
HiiKAoNiKAca
GB/T19668.4—2017
能性,并结合安全事件所涉及的资产价值来判断安全事件一且发生对组织造成的影响。[GB/T20984—2007,定义3.7]
注:风险评估是确定信息安全需求的重要途径。3.5
安全需求securityrequirement
为保证组织业务战略的正常运作而在安全措施方面提出的要求。[GB/T20984—2007,定义3.16]]3.6
等级保护classifiedprotection按照信息系统业务信息和系统服务的重要性,对信息系统分等级实行安全保护。3.7
securitycontrols
安全控制措施免费标准下载网bzxz
管控安全风险的方法,为满足一组已定义的安全要求所需的任何过程,策略、设备,实践或其他行为。
合规性compliance
信息系统工程应符合国家信息安全法律、法规,政策和标准。3.9
安全策略
fsecurity policy
有关管理,保护和发布敏感信息的法律,规定和实施细则。注:安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。GB17859—1999,定义3.6
4一般要求
本部分遵循GB/T19668.1一2014的一般原则和要求,重点描述信息安全监理各监理阶段的监理目标,监理内容和监理要点等。信息安全监理的监理对象为GB/T19668.1一2014所包括的各类信息系统工程中涉及信息安全的工程活动,还可以包括对信息系统运维阶段的其他信息安全实施服务进行监理。
5规划设计部分
5.1目标
监理机构可通过向业主单位提供规划设计服务,实现如下自标:建议并协助业主单位在规划设计阶段开展风险评估;a)
协助业主单位明确信息系统工程的安全目标;b)
c)协助业主单位确定信息系统工程的安全需求;d)如适用,协助业主单位确定信息系统工程安全保护等级。5.2
2内容
工程规划设计阶段的主要内容如下:a)监理机构应促使业主单位充分考惠信息系统工程的信息安全规划和设计:监理机构应建议业主单位基于业务开展风险评估工作;b)
HiiKAoNiKAca
GB/T19668.42017
监理机构应协助业主单位根据系统的安全风险,以及法律法规和政策的约束来确定信息系统c
工程的安全目标和安全需求;
监理机构应检查业主单位提出的安全需求与安全目标是否一致,与国家和地方的信息安全法d)
律法规、政策、标准是否符合;e)如适用,监理机构宜协助业主单位依据国家等级保护相关标准,确定信息系统安全保护等级。5.3要点
5.3.1风险评估
监理机构应从如下方面对业主单位的风险评估工作提出建议:对预期的信息系统展开全方位的风险评估。应包括:系统基本情况分析、信息系统基本安全状a
况调查、信息系统安全组织、政策情况分析、信息系统弱点漏洞分析等;确定预期信息系统的资产,并明确资产的价值,资产包括:信息资产,纸质文件、软件资产,物理b)
资产、人员,公司形象和声誉、服务等。资产的评估应当从关键业务开始,最终覆盖所有的关键资产;
对预期的信息系统进行细致周密的脆弱性和威胁分析,发现它的脆弱点及所引发的威胁、被利c
用后所造成的损失等;
对风险进行优先级排序,并形成安全措施需求清单;d)
如适用,建立与业务战略相一致的安全规划,制定总体的安全方针,并得到最高管理者的认可。e)
安全需求确定
监理机构应从如下方面协助业主单位确定安全需求:监理机构应协助业主单位通过风险评估,明确信息系统工程建设的安全目标,从安全目标导出a)
安全需求;
监理机构应检查业主单位提出的安全需求与安全目标的一致性,与国家和地方信息安全法律b)
法规、政策和标准的符合性
如适用,监理机构宜督促业主单位对信息系统进行安全等级保护的定级备案;d)
如适用,监理机构宜检查信息系统工程的项目建议书、可行性研究报告、初步设计方案是否包含明确的安全需求。
部署实施部分
6.1招标阶段
6.1.1监理目标
监理机构通过监理工作,应实现如下目标:a)审核招标文件中涉及安全的条款是否满足安全需求,并符合相关法律法规、政策和标准;b)审核承建合同中所提供的安全产品和服务是否满足招标文件要求;c)审核承建合同中与安全相关的条款在技术、经济上是否合理有效。6.1.2监理内容
工程招标阶段的主要监理内容如下:a)监理机构应检查招标文件中工程的安全目标、安全需求,工作范围,以及相关的产品及服务等技术要求是否明确;
iiKAoNiKAca
GB/T19668.4—2017
b)监理机构宜参与招标答疑工作,协助业主单位对工程所涉及的安全需求、技术指标和验收标准等向投标单位解释,并保存会议纪要(见GB/T19668.1一2014表B.6)和相关文件:监理机构应参与承建合同的签订过程,检查承建合同中安全功能、技术要求、测试标准、验收要c
求和质量责任条款的合理性,在承建合同中应明确要求承建单位接受监理机构的监理;d)
若发现安全需求缺失或不当,应及时告知业主单位:若工程中涉及内部敏感信息,监理机构应促使各方(业主单位、承建单位、监理机构、测评机构e
等)签署保密协议。
监理要点
招标文件
监理机构应从如下方面对招标文件提出监理意见:a)信息安全技术要求,应能满足既定的安全目标与安全需求;b)投标单位的资质要求,如信息安全服务和信息系统集成等资质、类似成功案例等;投标单位项目组人员的资格要求,如信息安全领域的相关资格、工作年限和项目经验等;c
d)投标单位的服务过程管理、质量保障体系、应急响应能力等要求;e)新建工程项目对原有信息系统安全性的可能影响及处理措施;f)投标文件应符合国家信息安全相关法律法规、政策和标准。6.1.3.2承建合同
监理机构应参与承建合同的签订,协助业主单位对承建合同的如下内容进行检查,并提出监理意见:
信息安全相关建设内容和技术要求应与投标文件一致;a)
b)保密条款、安全风险控制和安全责任条款:c)项目验收和安全测评的标准方法及文档交付;d)工程变更和扩展引发安全问题的处理方法。6.2设计阶段
6.2.1监理目标
监理机构通过监理工作,应实现如下目标:a)协助业主单位和承建单位进行充分沟通,形成安全需求;b)督促承建单位对信息系统工程的安全技术要求进行规范化描述,形成安全设计方案(包括体系结构设计和详细设计):
确保安全设计方案满足安全需求且具有可验证性,符合相关的法律法规,政策和标准,并与信息系统工程整体建设相符:
d)督促承建单位提供与安全设计方案配套的其他安全输人。6.2.2监理内容
工程设计阶段的主要监理内容如下:a)监理机构应根据监理规划、承建合同、安全设计方案等文档编制监理细则;b)
监理机构应促使业主单位和承建单位就工程安全需求进行专门的讨论,对信息系统工程的安全需求形成一致的理解;
监理机构应建议承建单位根据信息安全风险评估报告和信息安全需求进行安全设计,在此期4
间若发现新的风险或安全需求,应及时通知业主单位和承建单位GB/T19668.4—2017
d)如适用,对已确定将要实行等级保护的系统,监理机构应审核设计方案是否符合相应等级保护所对应的安全技术要求,若不满足及时通知承建单位修改;e)监理机构应审核承建单位的体系结构设计和详细设计,确保设计依据合规(审查表见附录C的表C.1)、安全控制措施能满足安全技术要求;f
监理机构应协助业主单位和承建单位与信息安全相关主管部门进行充分的沟通和协调,确保安全设计方案的合规性要求;
监理机构应建议承建单位在进行安全设计时,充分考虑新建项目对现有系统和目标系统安全性可能造成的影响,并在设计方案中有所体现;h)要求承建单位提交工程设计方案和工程实施组织设计方案(设计方案报审表见GB/T19668.1一2014的表A1),监理机构对其中的安全设计内容进行审核后提出监理意见;监理机构宜协助业主单位调动适当的资源,配合承建单位完成工程设计前的安全需求调查和i
分析工作:
监理机构应就设计阶段的各种变更对工程安全性的可能影响提出监理意见。6.2.3
监理要点
体系结构设计
监理机构应从如下方面对系统体系结构设计进行审核,并提出监理意见:a)
安全设计与安全目标和安全需求的一致性b)根据安全技术要求,选择安全模型进行安全体系结构设计的合理性,制定安全解决方案的针对性,设计安全控制措施的有效性,并考虑残余风险;c)
安全控制措施应覆盖物理、主机、网络、应用、数据和信息安全管理等方面:d)对项目各阶段的安全风险分析和控制措施的全面性和合理性;e)
安全性检验应具有可操作性和有效性;f)如适用,应督促承建单位组织相关部门和有关安全技术专家对体系结构设计的合理性和正确性进行论证和审定。
6.2.3.2详细设计
监理机构应从如下方面对系统详细设计进行审核,并提出监理意见:a)详细设计应遵循体系结构设计,确定并明晰系统安全设计要素,如安全功能和性能、系统接口(内部和外部)、安全控制措施、安全规范等:b)安全控制措施应考虑计算机设备、设施(包括机房建筑、供电、空调等)、通信与网络设备,存储设备、身份鉴别、访问控制、安全审计、系统和信息集成、产品和服务获取、配置管理、应急计划、事件响应、安全评估与认证、安全意识和培训等方面,以及针对特定需求的安全控制措施;选择具体的安全产品和服务,设计安全产品和服务中应具备的安全机制(如配置策略等);c
d)安全产品采购和使用应符合国家的有关规定;e)如适用,可预先对产品进行选型测试;f)工程实施组织设计,相关的操作指南或手册;g)为系统用户和管理员提供安全运行指南;h)如适用,应督促承建单位组织相关部门和有关安全技术专家对详细设计的合理性和正确性进行论证和审定。
GB/T19668.4—2017
6.3实施阶段
监理目标
监理机构通过监理工作,应实现如下目标:a)确保工程实施方案合规、合理,可操作和可核查,与设计方案相符,具体见附录B;b)确保工程中所集成的安全控制措施有效实现且达到设计要求;确保工程中所使用的产品和服务符合设计方案及国家相关法律法规,政策和标准,具体见附录Ae
和附录B;
督促承建单位明确工程实施计划,加强工程实施管理,规范执行安全工程过程;d)
确保工程实施过程满足承建合同提出的建设内容和技术要求,并与安全设计方案,工程实施方e
案相符。
监理内容
工程实施阶段的主要监理内容如下:a)在工程实施前,监理机构应督促承建单位提供工程实施方案,工程实施计划,工程进度安排等文档,确定项目经理和实施人员组成;b)监理机构应对工程实施方案进行审核(审查表见表C.2),检查实施方案与承建合同、设计方案的一致性,并提出监理意见;
监理机构应对承建单位提交的工程进度安排进行审核,保证信息系统工程中的各项安全控制措施实施符合信息系统工程的总体时间安排;在工程实施中,监理机构应检查工程实施过程与实施方案的一致性,对工程实际建设中的变更d
进行记录并给出监理意见;
监督承建单位按照规范进行安全控制措施的落实和监控;e)
监理机构应对安全子系统(或安全设备)进行功能与性能符合性检查(审查表见表C.3);监督对安全设备的到货验收;
督促承建单位按照规范进行系统和设备的安装与调试:i)
监理机构应促使业主单位和承建单位做好工程实施中的安全管理工作:j)
如工程实施中存在重大变更,监理机构应督促承建单位对系统安全性进行再评估。监理要点
工程实施方案
监理机构应从如下方面对承建单位提交的工程实施方案提出监理意见:a)实施方案与设计方案的符合性;b)i
详细的工程实施计划和工程控制过程;安全设备安装调试计划,包括各类安全设备的采购、进场、配置、调试和管理的计划等;d)工程实施组织中的安全,如工程实施人员安全管理措施、工程实施步骤安全管理措施等;如适用,项目分包工程实施的安全管理措施:e)
依据体系结构设计和详细设计所采用的安全技术框架、安全管理策略,形成工程实施方案的配f
套文件;
如适用,应督促承建单位组织相关部门和有关安全技术专家对工程实施方案的合理性和正确g
性进行论证和审定。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。