【法规名称】
【颁布部门】 公安部
【发文字号】 公信安[2009]1429号
【颁布时间】 2009-10-27
【实施时间】 2009-10-27
【效力属性】 有效
【法规编号】 469889 什么是编号?
【正 文】
第12页 公安部关于印送《关于开展信息安全等级保护安全建设整改工作的指导意见》的函
|
[接上页] 《安全管理要求》为信息系统运营使用单位的信息系统安全管理策略制定、信息系统安全管理组织体系建设、信息系统安全管理制度体系建设、信息系统运维及规划建设管理、信息系统安全管理监督检查、信息系统安全管理体系建立和完善等提供指导和参考。在信息系统安全整改阶段进行信息系统等级保护安全管理方案设计的过程中,也可按照《安全管理要求》所规定的各个安全保护等级的安全管理要求,作为建立信息安全管理体系和制定相关信息安全管理制度、措施的基本依据。 2.5.2主要内容 2.5.2.1 总体框架 《安全管理要求》对当前信息系统安全普遍适用的安全管理进行了全面的描述,对信息和信息系统的安全保护提出了分等级安全管理的要求,阐述了安全管理要素及其强度,并将管理要求落实到信息安全等级保护所规定的五个等级上。《安全管理要求》具体主要由6章和2个附录组成,其核心内容主要从以下八个方面描述:信息系统安全管理文档体系的建设要求;信息安全管理的组织保证,规定了信息安全管理的领导层、管理层以及执行机构的要求;信息系统安全管理中的风险管理要求;信息系统的环境和资源管理要求;信息系统的运行和维护管理要求;信息系统的业务连续性管理要求,提出备份与恢复、应急处理、安全事件处理的要求;信息系统的监督和检查管理要求;系统生存周期管理要求。 2.5.2.2 安全管理要求的分级描述方式 根据信息系统的五个安全保护等级的划分,随着信息系统安全保护能力逐级增高,相应的安全管理要求也逐级增强,体现在管理要素数量的增加和管理强度的增强两方面。例如,在描述信息系统安全管理要素“建立安全管理机构”时,在该安全管理要素的标题之下,首先简要说明本要素的作用,然后分列a)配备安全管理人员、b)建立安全职能部门、c)成立安全领导小组、d)主要负责人出任领导、e)建立信息安全部门为小标题的五个不同强度的管理要求,而且在小标题之下还有更细化的描述。由a)至e)强度逐步提高,并明确规定不同安全等级应有选择地满足这些要求的一项。在具体描述时,有些管理要素的管理强度要求在前一强度基础之上继续完成的,会明确指出,如“在a)的基础上,……”。 2.5.2.3 安全管理要素 《安全管理要求》以安全管理要素作为描述安全管理要求的基本组件。信息系统安全管理要素是指,为实现信息系统安全等级保护所规定的安全要求,从管理角度应采取的控制点,即实施的方法和措施。根据GB 17859对安全保护等级的划分,不同的安全保护等级会有不同的安全管理要求,具体体现在管理要素数量的增加和管理强度的增强两方面。这些安全管理要素构成信息系统安全管理的基本组件库,为提出分等级管理要求奠定了基础。安全管理要素的结构分为三个层次,为便于说明将第一层称为类,第二层称为族,第三层为具体的安全管理要素,共计8个类,30个族,98个要素,对于每个管理要素,根据特定情况分别列出不同的管理强度,最多分为5级,最少可不分级。 对信息系统安全管理要素分类划分为信息系统安全管理的日常措施、监督措施和保证措施等相互关联相互制约的三个方面。信息系统安全管理的日常措施方面,包括环境和资源管理、运行和维护管理、业务连续性管理等3个类的安全管理要素;监督措施方面,包括风险管理、监督和检查管理、生存周期管理等3个类的安全管理要素;保证措施方面,包括策略和制度、机构和人员管理等2个类的安全管理要素。《安全管理要求》对于每个管理要素冠以不同编码和标题,以便在保护等级分解描述时引用方便;在安全管理要素的不同强度的标题之后,进行具体的描述。 2.5.2.4 安全管理分等级要求 《安全管理要求》表述了信息系统安全管理分等级要求,依据GB 17859划分的五个安全等级,分别对五个安全等级提出了信息系统安全管理要求。《安全管理要求》以信息系统安全管理的政策和制度、机构和人员管理、风险管理、环境和资源管理、操作和维护管理、应急和备份管理、业务连续性管理、监督和检查管理、生命周期管理等安全管理要素为基础,对每一个安全保护等级的信息系统的安全管理进行全面描述。还说明了信息系统安全管理要素及其强度与信息系统安全管理分等级要求的对应关系。 2.5.3使用说明 《安全管理要求》主要供下列三类人员使用。信息系统高层管理人员、信息系统使用管理人员和信息系统安全服务人员。 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!