ICS 35.020 L80 中华人民共和国国家标准中华人民共和国国家标准 GB/T 202822006 信息安全技术 信息系统安全工程管理要求 Information security techniques Information system security engineering management requirements 2006-05-31 发布 2006-12-01 实施 中华人民共和国国家质量监督检验检疫总局中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会中国国家标准化管理委员会发布 GB/T 202822006 I 目 次 前 言 . III 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定义 . 1 3.1 . 1 3.2 . 1 3.3 . 1 3.4 . 1 3.5 . 1 3.6 . 1 3.7 . 1 3.8 . 2 3.9 . 2 3.10 . 2 3.11 . 2 4 安全工程体系 . 2 4.1 概述 . 2 4.2 安全工程目标 . 2 4.3 基本关系 . 2 5 资格保证要求 . 2 5.1 系统集成资质要求 . 2 5.2 人员资质要求 . 2 5.3 第三方服务要求 . 2 5.4 安全产品要求 . 2 5.5 工程监理要求 . 2 5.6 法律、法规、政策符合性要求 . 2 6 组织保证要求 . 3 6.1 定义组织的系统工程过程 . 3 6.2 改进组织的系统工程过程 . 3 6.3 管理系列产品演化 . 3 6.4 管理系统工程支持环境 . 4 6.5 培训 . 4 6.6 与供应商协调 . 5 7 工程实施要求 . 6 7.1 管理安全控制 . 6 7.2 评估影响 . 6 7.3 评估安全风险 . 7 7.4 评估威胁 . 7 7.5 评估脆弱性 . 8 GB/T 202822006 II 7.6 建立保证论据 . 8 7.7 协调安全 . 9 7.8 监视安全态势 . 9 7.9 提供安全输入 . 10 7.10 指定安全要求 . 11 7.11 验证和确认安全性 . 11 8 项目实施要求 . 12 8.1 质量保证 . 12 8.2 管理配置 . 12 8.3 管理项目风险 . 13 8.4 监视技术活动 . 14 8.5 计划技术活动 . 15 9 安全工程管理分等级要求 . 16 9.1 第一级 用户自主保护级 . 16 9.2 第二级 系统审计保护级 . 17