ICS 35.040 L 80 中华人民共和国国家标准 GB/T 20269—2006 信息安全技术 信息系统安全管理要求 Information security technology Information system security management requirements 2006 -5-31 发布 中华人民共和国国家质量监督检验检疫总局 中 国 国 家 标 准 化 管 理 委 员 会 2006-12-1 实施 发布 GB/T 20269－2006 目 次 前 言 ................................................................................. V 引 言 ................................................................................ VI 1 范围 ................................................................................ 1 2 规范性引用文件 ...................................................................... 1 3 术语和定义 .......................................................................... 1 4 信息系统安全管理的一般要求 .......................................................... 1 4.1 信息系统安全管理的内容 ............................................................. 1 4.2 信息系统安全管理的原则 ............................................................. 2 5 信息系统安全管理要素及其强度 ........................................................ 3 5.1 策略和制度 ......................................................................... 3 5.1.1 信息安全管理策略 ................................................................. 3 5.1.2 安全管理规章制度 ................................................................. 4 5.1.3 策略与制度文档管理 ............................................................... 5 5.2 机构和人员管理 ..................................................................... 6 5.2.1 安全管理机构 ..................................................................... 6 5.2.2 安全机制集中管理机构 ............................................................. 7 5.2.3 人员管理 ......................................................................... 7 5.2.4 教育和培训 ....................................................................... 9 5.3 风险管理 .......................................................................... 10 5.3.1 风险管理要求和策略 .............................................................. 10 5.3.2 风险分析和评估 .................................................................. 10 5.3.3 风险控制 ........................................................................ 11 5.3.4 基于风险的决策 .................................................................. 11 5.3.5 风险评估的管理 .................................................................. 12 5.4 环境和资源管理 .................................................................... 13 5.4.1 环境安全管理 .................................................................... 13 5.4.2 资源管理 ........................................................................ 14 5.5 运行和维护管理 .................................................................... 15 5.5.1 用户管理 ........................................................................ 15 5.5.2 运行操作管理 .................................................................... 16 5.5.3 运行维护管理 .................................................................... 19 5.5.4 外包服务管理 .................................................................... 21 5.5.5 有关安全机制保障 ................................................................ 21 5.5.6 安全集中管理 .................................................................... 25 5.6 业务连续性管理 .................................................................... 26 5.6.1 备份与恢复 ...................................................................... 26 5.6.2 安全事件处理 .................................................................... 27 5.6.3 应急处理 ........................................................................ 28 5.7 监督和检查管理 .................................................................... 29 5.7.1 符合法律要求 .................................................................... 29 II GB/T 20269－2006 5.7.2 依从性检查 ...................................................................... 29 5.7.3 审计及监管控制 .................................................................. 30 5.7.4 责任认定 ........................................................................ 31 5.8 生存周期管理 ...................................................................... 31 5.8.1 规划和立项管理 .................................................................. 31 5.8.2 建设过程管理 .................................................................... 32 5.8.3 系统启用和终止管理 .............................................................. 34 6 信息系统安全管理分等级要求 ......................................................... 34 6.1 第一级：用户自主保护级 ............................................................ 34 6.1.1 管理目标和范围 .................................................................. 34 6.1.2 政策和制度要求 ...........