GA/T 483-2004计算机信息系统安全等级保护工程管理要求.pdf

GA/T483-2004 前 言 GB17859-1999计《算机信息系统安全保护等级划分准则》是我国计算机信息系统信息安全等级 管理的重要标准，已于1999年9月13日发布。为促进计算机信息系统安全等级管理工作正常有序地 开展，特制定一系列相关的标准，包括: — 计算机信息系统安全等级保护技术要求系列标准; — 计算机信息系统安全等级保护评估准则系列标准; — 计算机信息系统安全等级保护工程管理要求; — 计算机信息系统安全等级保护管理要求。 本标准为以上相关系列标准之一。 本标准的附录A中列出了等级要求对照表。 本标准的附录A是资料性附录。 本标准由公安部公共信息网络安全监察局提出。 本标准由公安部信息系统安全标准化技术委员会归口。 本标准起草单位:公安部公共信息网络安全监察局、中国电子科技集团第三十研究所、上海三零卫 士信息安全有限公司。 本标准主要起草人:张建军、魏忠、叶铭、陈克军、卿昊、昊晓星。 GA/T483-2004 引 言 本标准所指的信息系统安全等级保护工程是指按照GB17859-1999及其相关配套标准对计算机 信息系统安全等级管理的要求，对信息网络系统、信息应用系统和信息资源开发等项 目的新建、扩建和 升级。 本标准不仅是计算机信息系统安全等级保护工程实施的指南，而且也是实施计算机信息系统安全 等级保护工程、建立工程实施保证体系的依据，同时也是国家相应主管部门进行计算机信息系统安全工 程等级评审的依据。本标准可作为甲方、乙方、第三方进行安全保护工程建设时的参考，也可作为制定 与安全保护工程质量相关的法令、法规、标准的依据和参考。 GA/T483-2004 计算机信息系统安全等级保护 工程管理要求 范围 本标准规定了计算机信息系统安全工程(以下简称信息安全工程)管理的要求，是对信息安全工程 中所涉及到的甲方、乙方与第三方实施安全工程的指导性文件，各方可以此为依据建立安全项目的安全 工程管理体系。 本标准按照GB17859-1999划分的五个安全保护等级，规定了对不同安全保护等级的计算机信 息系统进行工程实施采用不同安全要求。 本标准按照GB17859-1999的五个安全保护等级的要求，适用于有关信息安全的计算机信息系 统开发与集成工程管理，对于提供安全服务和安全工程组织的机构也可参照使用。 本标准适用于安全系统的机构和开发商的工程管理，集成商、安全服务的提供商和安全工程的组织 商也可参照使用。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有 的修改单(不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究 是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 GB17859-1999 计算机信息系统安全保护等级划分准则 GA/T390-2002计算机信息系统安全等级保护通用技术要求 GA/T391-2002 计算机信息系统安全等级保护管理要求 3 术语和定义 下列术语和定义适用于本标准。 3.1 信息安全 informationsecurity 信息的保密性、完整性和可用性。 3.2 甲方 owner 信息系统安全工程的投资者(或拥有人)，代表信息系统安全工程建设的需求方。 3.3 乙方 developer 承担信息系统安全工程建设的实体，通过自身的努力，建设信息系统安全工程，满足信息系统建设 者的安全需求。 3.4 第三方 thirdparty 独立于甲、乙两方的组织或机构。 3.5 安全工程 securityengineering