信息安全技术 信息系统安全工程管理要求 1 范围本标准规定了信息安全工程(以下简称安全工程)的管理要求,是对信息安全工程中所涉及到的需求方、实施方与第三方工程实施的指导性文件,各方可以此为依据建立安全工程管理体系。 本标准根据GB17859-1999 划分的五个安全保护等级,规定了信息安全工程的不同要求。 本标准适用于该系统的需求方和实施方的工程管理,其他有关各方也可参照使用.2 法律规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。使用本标准的各方应探讨使用下列标准最新版本的可能性。凡是不注明日期的引用文件,其最新版本适用于本标准。 GB 17859—1999 计算机信息系统安全保护等级划分准则 GB/T 20269-2025 信息安全等级保护 信息系统安全通用技术要求 GB/T 20271-2025 信息安全等级保护 信息系统安全管理要求3 术语和定义下列术语和定义适用于本标准。3。1安全工程 security engineering为确保信息系统的保密性、完整性、可用性等目标而进行的系统工程过程。3。2安全工程的生存周期 security engineering lifecycle在整个信息系统生存周期中执行的安全工程活动包括:概念形成、概念开发和定义、验证与确认、工程实施开发与制造、生产与部署、运行与支持和终止。3。3安全工程指南 security engineering guide由工程组做出的有关如何选择工程体系结构、设计与实现的指导性信息.3。4脆弱性 vulnerability能够被某种威胁利用的某个或某组资产的弱点。3.5风险 risk某种威胁会利用一种资产或若干资产的脆弱性使这些资产损失或破坏的可能性.3.6需求方 owner信息系统安全工程建设的拥有者或组织者。3.7实施方 developer信息系统安全工程的建设与服务的提供方。3。8第三方 third party独立于需求方、实施方,从事信息系统安全工程建设相关活动的中立组织或机构.3。9项目 project项目是各种相关实施活动和资源的总和,这些实施活动和资源用于开发或维护信息安全工程.一个项目往往有相关的资金,成本账目和交付时间表。3.10过程 process把输入转化为输出的一组相关活动。3.11过程管理 process management一系列用于预见、评价和控制过程执行的活动和体系结构。4 安全工程体系4。1 概述在整个工程范围内确定了不同等级工程的具体要求构成了安全工程管理要求体系.通过这个体系从安全工...
