欢迎来到天天文库
浏览记录
ID:58826606
大小:25.78 KB
页数:6页
时间:2020-09-24
《《信息技术服务%20监理%20%20%20第4部分:信息安全监理规范》%20%20编.docx》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、《信息技术服务监理第4部分:信息安全监理规范》(征求意见稿)编制说明《信息技术服务监理第4部分:信息安全监理规范》编制组2015年12月目录一、工作简况1二、编制原则1三、编制过程2四、标准技术内容3五、与国内外同类标准水平的对比情况4六、专利4七、性质的建议说明4一、工作简况1、任务来源根据全国信息技术标准化技术委员会(SAC/TC28)2014年国家标准计划,由上海三零卫士信息安全有限公司牵头对国内原有的信息安全监理标准即GB/T19668.6-2007《信息化工程监理规范第6部分:信息化工程安全监理规范》进行修订编制为《
2、信息技术服务监理第4部分:信息安全监理规范》国家标准(任务号:20141218-T-469)。2、参与单位及主要起草人本部分主要起草单位:。本部分主要起草人:。二、编制原则根据我国信息安全监理现状,结合信息安全监理的特点和需求,研制了该标准。具体的编制原则如下:1、与国家现行法律法规及有关政策相一致;2、为GB/T19668的第4部分,遵从GB/T19668.1-2014《信息技术服务监理第1部分:总则》的信息系统工程阶段划分;3、按照GB/T1.1—2009给出的规则起草。三、编制过程近2年来,通过充分调研我国信息安全监理现
3、状,制定标准修订技术路线,于2013年12月基本确定标准的技术框架,经过多次修改完善,2015年12月完成标准征求意见稿。主要的工作阶段如下:1、2013年1—8月:调研我国信息安全监理的展状况,确定工作方案,成立了标准编制工作组,提出了标准编写提纲,明—4—确了任务分工;1、2013年12月—2014年10月:进行标准文本的编写工作。期间召开了5次工作组全体会议,集中讨论修改标准文本,初步形成标准征求意见稿草案;2、2014年11月—2015年4月:对标准征求意见稿草案进行修改调整,在此基础上,完善标准征求意见稿草案,发送各
4、标准编制单位扩大征求意见。3、2015年5—12月:召开了2次讨论会,征求组内有关专家和企业的意见。在此基础上,对标准文本又进行了集中修改,形成了正式的标准征求意见稿。具体的工作阶段节点如下:1、2013年5月:进行组内交流汇报,沟通标准定位和框架设想;2、2013年8月:进行立项汇报,汇报标准草案框架;3、2013年12月:召开内部启动会,明确标准框架目录确定、工作思路和标准时间节点;4、2014年4月:参与信息系统工程监理标准项目组工作会议,介绍标准工作进展情况以及下一阶段与其他标准组相互配合工作机制;5、2014年5—7
5、月:进行组内征求意见和标准草案修改;6、2014年7月:参与信息系统工程监理标准项目组工作会议,集中讨论征求意见稿草案;7、2014年10月:标准草案修订完成,继续组内征求意见;8、2015年1月:组织集中式组内征求意见讨论,并于月中参与信息系统工程监理标准项目组工作会议,进行工作汇报,集中讨论标准草案,进行术语确认;9、2015年2—4月:进行组内标准征求意见稿草案修改,新增—4—附录表单等,完善标准征求意见稿草案;1、2015年5月:参与信息系统工程监理标准项目组工作会议,集中讨论标准征求意见稿草案;2、2015年6-12
6、:进行组内有关专家和企业的意见征求。在此基础上,对标准文本进行了集中修改,形成了正式的标准征求意见稿。四、标准技术内容信息安全监理主要是指信息安全工程监理,即具有相关资质的监理单位受信息安全工程建设单位的委托,依据国家批准的信息化工程项目建设文件、有关工程建设的法律法规和工程建设监理合同及其他工程建设合同,尤其是依据信息安全方面的标准和要求,在工程建设各阶段向建设单位提供相关咨询,并协助建设单位对承建单位在工程建设中的信息安全实施服务,实施控制和管理的一种专业化服务活动。信息安全监理还可以包括对信息系统运维阶段的其他信息安全实
7、施服务进行监理。本部分规定了信息系统工程新建、升级、改造过程中各监理阶段信息安全监理工作的主要目标、内容和要点。本部分适用于GB/T19668.1-2014中各监理对象中涉及信息安全的监理工作。主要技术内容如下:(1)规划设计部分Ø咨询目标;Ø咨询内容;Ø咨询要点:风险评估、安全需求确定;(2)部署实施部分Ø工程招标阶段:监理目标、监理内容、监理要点(招标文件、承建合同)—4—Ø工程实施阶段:监理目标、监理内容、监理要点(工程实施方案、安全控制措施、安全设备验收、工程实施管理)Ø工程验收阶段:监理目标、监理内容、监理要点(测试
8、、工程验收方案、工程验收管理);(1)信息系统工程安全合规性要求:风险评估、等级保护、信息安全技术体系、信息安全管理体系、信息系统安全测评、应急管理、业务连续性、网络安全审查;(2)信息系统工程安全技术要求:物理安全、网络安全、主机安全、应用系统安全、数据备份与灾难恢复。五、
此文档下载收益归作者所有