ICS 35.020 L 01 |
|
GB |
中華人民共和國國家標準
GB/T 19668.6-2007
信息化工程監理規范
第6部分:信息化工程安全監理規范
Information system project surveillance specification-
Part 6: Information system project security surveillance specification
2007-08-24發布 2008-01-01 實施
中華人民共和國國家質量監督檢驗檢疫總局 |
發 布 |
中國國家標準化管理委員會 |
目 次
前 言
GB/T 19668《信息化工程監理規范》分為六部分:
——第l部分:總則;
——第2部分:通用布纜系統工程監理規范;
——第3部分:電子設備機房系統工程監理規范;
——第4部分:計算機網絡系統工程監理規范;
——第5部分:軟件工程監理規范:
——第6部分:信息化工程安全監理規范。
本部分為GB/T19668的第6部分。
本部分由國家電子政務標準化總體組提出并歸口。
本部分項目召集單位:中國電子技術標準化研究所。
本部分項目副召集單位:北京市質量技術監督局、上海市信息化辦公室、中國電子信息產業發展研究院。
本部分專家組:葛乃康、張保棟、馬應章、包兵、竇傳義。本部分工作組秘書:徐全平。
本部分主要起草單位:上海三零衛士信息安全有限公司、北京市信息安全測評中心、廣州賽寶聯睿信息工程監理有限公司、北京同方信息安全技術股份有限公司、山東正中計算機網絡技術咨詢有限公司、新疆天衡信息工程監理公司、北京知識安全工程中心。
本部分主要起草人:孔一童、張曉梅、閔京華、彭細正、周鳴樂、董火民、張斌、王新杰、姚世全。
信息化工程監理規范
第6部分:信息化工程安全監理規范
GB/T 19668的本部分規定了信息化工程新建、升級、改造過程中各監理階段安全監理工作的主要目標、內容和要點。
本部分適用于GB/T 19668.1—2005中各監理對象中涉及信息安全的監理工作。
本部分不對信息化工程安全監理中涉及的產品、服務的技術規格和條件做出規定或要求,有關內容
參見相應的產品或服務的技術標準。
下列文件中的條款通過GB/T 19668的本部分的引用而成為本部分的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勘誤的內容)或修訂版均不適用于本部分,然而,鼓勵根本部分達成協議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件,其最新版本適用于本部分。
GB9361—1998 計算站場地安全要求
GB/T 19668.1—2005 信息化工程監理規范 第1部分:總則
GB/T 19668.1—2005確立的以及下列術語和定義適用于GB/T 19668的本部分。
3.1
信息安全 information security
保持信息的保密性、完整性、可用性:另外也可包括諸如真實性、可核查性、不可否認性和可靠性等。
注:見ISO/IEC 17799:2005,定義 2.5。
3.2
信息化工程安全監理 information system project security surveillance
信息化工程新建、升級、改造過程中涉及信息安全的監理活動。
本部分遵循GB/T 19668.1—2005的一般原則和要求,重點描述信息化工程安全監理各監理階段的監理目標、監理內容和監理要點等。
在信息化工程的安全監理工作中,應同時使用GB/T 19668.1—2005和本部分。
信息化工程安全監理的監理對象為GB/T 19668.1—2005所包括的各類信息化工程中涉及信息安
全的工程活動。信息化工程安全監理以保障信息系統安全作為監理活動的最終目標,對各監理對象實
施監理。
監理機構通過監理工作,應實現如下目標:
a) 協助業主單位明確工程的安全需求;
b) 如適用,協助業主單位確定系統安全保護等級;
c) 協助業主單位編制的招標文件與安全相關的內容在技術上合理有效;
d) 協助業主單位對投標文件中與安全相關的內容進行評審,對投標單位的安全資質進行審核,
選出適合的承建單位;
e) 促使承建合同中與安全相關的條款在技術、經濟上合理有效。
工程招標階段的主要監理內容如下:
a) 監理機構應根據監理合同編制監理規劃,經業主單位簽認后作為監理工作的依據;
b) 如適用,監理機構應協助業主單位依據國家等級保護相關標準,確定系統安全保護等級;
c) 監理機構應協助業主單位在深入調研的基礎上,明確信息化工程的安全目標和安全需求;
d) 監理機構應檢查業主單位提出的安全需求與安全目標是否一致,與國家和地方的信息安全政
策法規、行業標準是否符合;
e) 監理機構應檢查招標文件中工程的安全需求、安全范圍、產品及服務等技術要求是否明確;
f) 監理機構可參與招標答疑工作,協助業主單位對工程所涉及的安全功能、安全技術指標向投標
單位解釋,并保存會議紀要(見GB/T 19668.1—2005 表 C.6)和相關文件;
g) 監理機構宜參與投標文件評審,監督評審過程的合理性與公正性,對投標單位的安全相關資
質進行審查,并提出監理意見,協助業主單位挑選出適合的承建單位;
h) 監理機構宜參與承建合同的簽訂過程,檢查承建合同中安全功能、技術要求、測試標準、驗收
要求和質量責任條款的合理性,在承建合同中應明確要求承建單位接受監理機構的監理;
i) 若工程建設中涉及到各方的內部敏感信息,監理機構應促使三方(業主單位、承建單位、監理單
位)簽署保密協議。
監理機構應從如下方面了解業主單位的安全需求:
a) 監理機構應協助業主單位通過調查研究,明確信息化工程建設的安全目標,從安全目標導出安
全需求;
b) 監理機構應檢查業主單位提出的安全需求與安全目標的一致性,與國家和地方信息安全法
律、法規和標準的符合性;
c) 如適用,在確定安全等級后,監理機構宜協助業主單位將確定的安全保護等級結果報相應主管
部門審查或備案。
監理機構宜參與招標文件的編制,從如下方面對招標文件提出監理意見:
a) 工程安全體系建設,應能達到預定的安全目標與安全需求;
b) 投標單位的資質要求,如信息系統安全集成或服務資質、類似成功案例等:
c) 投標單位項目組人員的資格要求,如信息安全領域的相關資質,安全領域的工作年限和項目經
驗等;
d) 新建工程項目對原有信息系統安全性的可能影響及處理;
e) 所參照的相關法規、標準,投標文件應符合國家信息安全相關法律、法規和標準。
監理機構應參與承建合同的簽訂,協助業主單位對承建合同的如下內容進行檢查,并提出監理
意見:
a) 信息安全相關建設內容,包括名稱、范圍和要求等;
b) 潛在安全風險的處理辦法;
c) 保密條款和安全責任條款;
d) 項目驗收標準、方法及文檔交付;
e) 監理機構在工程款支付中的作用;
f) 工程變更和擴展引發安全問題的處理方法。
監理機構通過監理工作,應實現如下目標:
a) 促使業主單位與承建單位進行充分的溝通,形成深化的設計需求;
b) 推動承建單位對工程的安全設計進行規范化的技術描述,形成優化的安全設計方案;
c) 促使業主單位、承建單位消除設計文檔在進入工程實施前可預見的信息安全缺陷。
工程設計階段的主要監理內容如下:
a) 監理機構應根據監理規劃、承建合同、安全設計方案等文檔編制監理細則;
b) 監理機構應促使業主單位和承建單位就工程安全需求進行專門的討論,對系統的安全需求形
成一致的理解:
c) 監理機構應建議承建單位在信息安全需求調研和信息安全風險評估的基礎上進行安全設計;
d) 如適用,已確定的信息安全保護等級也應作為安全設計的基礎;
e) 監理機構應建議承建單位在進行系統安全性設計時,充分考慮新建項目對現有系統和目標系
統安全性可能造成的影響,并在設計方案中有所體現;
f) 要求承建單位提交工程設計方案和工程實施組織設計方案(設計方案報審表見GB/T 19668.1—2005表B.1),監理機構對其中的安全設計內容進行審核后提出監理意見;
g) 監理機構應協助業主單位調動適當的資源,配合承建單位完成工程設計前的安全需求調查和分析工作;
h) 監理機構應協助業主單位和承建單位與信息安全相關主管部門進行充分的溝通和協調,確保
安全設計方案符合政策要求;
i) 監理機構應就設計階段的各種變更對工程安全性的可能影響提出監理意見。
監理機構應從如下方面審核承建單位提交的工程安全需求文檔,并提出監理意見:
a) 信息安全相關法規、標準、其他因素;
b) 系統的用途及其與業主單位業務安全的關聯性;
c) 系統的安全功能、性能、互操作性、接口要求的描述是否明晰;
d) 安全性檢驗手段。
監理機構應從如下方面對設計方案進行審核,并提出監理意見:
a) 與安全目標和安全需求的一致性;
b) 技術設計和施工組織的安全性;
c) 殘余風險的考慮;
d) 對項目實施過程中可能存在的安全風險和處理辦法的考慮;
e) 技術方案的開放性、兼容性、可擴展性;
f) 設計方案中安全設計與承建合同的符合性:
g) 與國家相關法律、法規、標準的符合性。
監理機構通過監理工作,應實現如下目標:
a) 促使工程實施方案安全、合理,與設計方案符合;
b) 促使工程中所使用的產品和服務符合國家相關法律、法規和標準;
c) 促使工程實施計劃合理、受控;
d) 確認工程實施過程滿足承建合同提出的安全要求,并與安全設計方案、實施方案、實施計劃
相符。
工程實施階段的主要監理內容如下:
a) 在工程實施前,監理機構應督促承建單位提供工程實施方案、工程實施計劃、工程進度安排等文檔,確定實施人員組成;
b) 監理機構應對工程實施方案進行審核,檢查實施方案與承建合同、安全設計方案的一致性,并
提出監理意見;
c) 監理機構應對承建單位提交的工程進度安排進行審核,保證信息化工程中的各項安全措施實
施符合信息化工程的總體時間安排,在時間進度上合理、有效;
d) 在工程實施中,監理機構應檢查工程實施過程與實施方案的一致性,對工程實際建設中的變
更進行記錄并給出監理意見;
e) 監督對到貨安全設備的驗收;
f) 督促承建單位按照規范進行系統和設備的安裝與調試;
g) 監理單位應促使業主單位和承建單位做好工程實施中的安全管理工作;
h) 如工程實施中存在重大變更,監理單位應督促承建單位對系統安全性進行再評估。
監理機構應從如下方面對承建單位提交的工程實施方案和工程實施組織方案提出監理意見:
a) 實施方案與安全設計方案的符合性;
b) 安全設備安裝調試規劃,包括各類安全設備的采購、進場、配置、調試和管理的規劃等;
c) 工程實施組織中的安全,如工程實施人員安全管理措施等;
d) 如適用,項目分包工程實施的安全控制措施。
監理機構應從如下方面對主要設備進行到貨驗收,并提出監理意見:
a) 具有合法銷售許可證;
b) 由合法供應商供應;
c) 符合設計規定的功能、性能;
d) 安全設備及型號與安全產品認證證書一致;
e) 如適用,由第三方測試機構出具的測試報告;
f) 設備運轉正常,功能、性能達到合同要求。
監理機構應從如下方面對工程實施中的安全管理進行監督:
a) 督促承建單位嚴格按照審批通過的實施方案進行施工;
b) 對承建單位施工人員的身份與資格進行審查;
c) 督促承建單位在施工中嚴格遵守業主單位的相關安全管理規定。
監理機構通過監理工作,應實現如下目標:
a) 明確工程安全測試驗收方案的符合性及可行性;
b) 促使工程的最終安全性能和功能符合承建合同、法律、法規和標準的要求;
c) 促使承建單位所提供的工程技術、管理文檔的內容符合相關標準。
驗收階段的主要監理內容如下:
a) 依據承建合同、安全設計方案、實施方案、實施記錄、國家或地方相關標準和技術指導文件,對信息化工程進行安全符合性檢查,以驗證項目是否實現了項目設計目標和安全等級要求;
b) 根據信息系統的安全等級,協助業主單位委托外部測評機構對安全建設項目進行測評;
c) 協助業主單位建立驗收工作機構,組織最終的項目驗收會議;
d) 協助驗收工作機構審核承建單位提供的驗收工作方案,并提出監理意見;
e) 協助業主單位對承建單位提供的項目驗收報告并進行評審,并提出監理意見;
f) 協助業主單位收集工程實施中的各種關鍵文檔。
監理機構應從如下方面開展測試中的監理工作:
a) 監理單位應督促承建單位按照網絡、操作系統、應用系統、各類產品等安全功能及性能的不同,
采用不同的技術檢測方法,設計詳細的測試技術方案和控制流程。
b) 監理機構應督促承建單位對工程進展中安裝的設備或產品進行測試,以評估產品是否能符合
業主單位或工程的安全要求。
c) 監理機構應督促承建單位在系統建設完成之后,在開通和支付業主單位驗收、使用之前,進行
總體安全性測試。
d) 監理機構應督促承建單位對安全測試的內容做詳細的工作文檔記錄,包括安全工程測試方法、測試結果、測試指標結果等。
e) 如適用,監理機構應督促承建單位及時糾正測試中發現的安全問題。
f) 監理機構應從以下方面對測試結果進行審查,并提交監理意見:
1) 系統安全功能,如用戶授權管理、訪問控制、傳輸加密等;
2) 系統安全性能,如密碼算法強度等。
監理機構應從如下方面開展信息系統安全測評中的監理工作:
a) 協助業主單位做好與安全測評機構的溝通,協調項目各方與測評機構做好配合工作;
b) 協助業主單位審核測評機構編寫的安全驗收測評方案;
c) 對業主單位和承建單位進行的安全驗收測評的技術準備、文檔準備和人員準備情況進行檢查;
d) 如適用,監理機構應協助業主單位,并督促承建單位整改安全測評中發現的問題。
監理機構應從如下方面開展工程驗收中的監理工作:
a) 監理機構應督促承建單位在系統驗收前先進行系統的測試和試運行,并進行詳細的文檔記錄;
b) 監理機構應建議業主單位和承建單位根據詳細設計書及相關部門頒發的有關文件、各專業的
設計規范、建設規范和驗收規范進行項目驗收;
c) 如適用,承建單位應提供由國家授權信息安全測評機構提供的系統安全測評報告,作為工程驗收的材料。
監理機構可從如下方面對通用布纜系統工程進行安全監理:
a) 電源和運載數據或支持信息服務的電信布纜應免受竊聽或損壞。
b) 線纜的選擇除滿足數據傳輸的技術要求外,還應注意電纜敷設的環境要求,如在強電磁干擾區域應采用屏蔽線或光纜。
c) 進入信息處理設施的電源和通信線路宜在地下,若可能,或提供足夠的可替換的保護。
d) 線纜應免受未授權竊聽或損壞,如利用電纜管道或使路由避開公眾區域。
e) 為了防止干擾,電源電纜要與通信電纜分開。
f) 對于敏感或關鍵的系統,還應考慮以下的措施:
1) 在檢查點和終接點處安裝鎧裝電纜管道和上鎖的房間或盒子;
2) 使用可替換的路由選擇和/或傳輸介質;
3) 使用光纖或屏蔽線布纜;
4) 使用電磁防輻射裝置保護電纜。
監理機構可從如下方面對電子設備機房系統工程進行安全監理:
a) 電子設備機房的安全設計應符合GB 9361—1988的規定。
b) 電子設備機房應保證供配電系統的安全,包括安裝防雷和接地裝置,部署不間斷電源設備等。
c) 電子設備機房應安裝消防設施,包括安裝火災報警裝置,放置手提式滅火器等。凡設有氣體滅
火裝置的電子設備機房,應安裝排氣裝置。
d) 電子設備機房應根據其重要性,安裝門禁系統、視頻監視系統、入侵報警系統等安防系統。
e) 電子設備機房應保證電子設備運行的溫度、濕度要求,部署空調系統;重要的電子設備機房應
安裝精密空調等裝置以保證對溫濕度的精確控制。
f) 電子設備機房應保證對靜電的防護或處理,采取防靜電地板、接地等措施,防止靜電對機房內
電子設備的損害。
監理機構可從如下方面對計算機網絡系統工程進行安全監理:
a) 網絡系統工程中的中心機房應滿足9.2的要求.各種服務器及網絡核心設備宜放置在專門的
電子設備機房;
b) 信息網絡平臺中涉及的防火墻、防病毒系統等網絡安全軟硬件設備應通過國家相關安全測評
認證機構的認證;
c) 交換機、路由器和防火墻等網絡設備初始安裝后應重新配置,以符合系統安全策略或系統對應
的安全等級保護要求;
d) 合理劃分網絡安全域,對外提供服務的區域應和內部網絡隔離;內部服務器及辦公主機應放
置在內網,對外提供服務的服務器應放置在對外服務區;
e) 在網絡系統與外部網絡接口處應設置防火墻、隔離網閘等邊界保護設備;
f) 應分別從網絡防病毒、主機防病毒等各個層次加強網絡對病毒的防范能力;
g) 網絡應用的安全應滿足9.4的要求。
監理機構可從如下方面對軟件工程進行安全監理:
a) 應用軟件在設計上應考慮合適的控制和審核跟蹤或活動日志,以防止丟失、修改或濫用應用系
統中的用戶數據,包括輸入數據確認、內部處理控制、輸出數據確認等;
b) 軟件系統應采用適當的密碼系統和技術來保護信息的保密性、真實性和完整性;
c) 對于重要的信息系統,應分離開發、測試和運行設施,規定從開發狀態到運行狀態的安全控制
措施并形成文件,以防止開發和測試活動可能引起的問題;
d) 軟件的測試過程應注意保護和控制測試數據,避免使用包含個人信息的運行數據庫:
e) 軟件的開發過程中,對源程序庫的訪問應維護嚴格的控制,以減少計算機程序被損壞的可能;
f) 如存在外包的軟件開發,應注意對外包過程的信息管理。