MH 0025-2005民用航空信息系统安全等级保护管理规范.pdf

ICS 35. 020L 07MH备案号：中华人民共和国民用航空行业标准MH/T0025—2005民用航空信息系统安全等级保护管理规范Management specificaitonfor information system classified security protection of civil aviation2005-01-20发布2005-05-01实施中国民用航空总局发布 MH/T 0025—2005目次前言范围规范性引用文件术语和定义信息系统安全管理的目标与内容信息系统安全管理的目标信息系统安全保护等级的划分与确定信息系统安全保护等级的划分.信息系统安全保护等级的确定信息系统安全等级保护管理要求6. 1级管理要求6. 2二级管理要求6. 3第三级管理要求6. 4第四级管理要求6. 5第五级管理要求 MH/T书。6. 3. 2. 3信息安全领导机构应以文件的形式明确定义和分配安全职能机构、安全管理负责人和安全管理人员的职责以及其他组织机构和人员的相应安全职责。6.3.3风险管理6.3.3.1应建立系统风险管理制度，规范系统的整个风险管理过程，6. 3. 3. 2在6.2.3.1的基确上，策略内容还应包括对二次风险评估的表述。应定期对策略进行重新评审和修订.6. 3. 3. 3应对信息系统进行率定量的风险评估。半定量的风险评估过程应包括：确定风险评估的资产范围，对资产价值进行半定量赋值；通过入侵检测、调查询间和人工分析等方法充分识别信息系统面临的威肺，对威胁进行半定量赋值；通过漏洞扫描、渗透性测试和人工分析等方法充分识别信息系统的脆弱性，对瞻弱性进行半定量赋值；识别已有的安全控制措施；综合资产、威助、脆弱性和已有安全控制措施等信息进行系统化的综合风险分析和评估，形成风险评估报告。6. 3- 3. 4应根据风险评估报告、风险接受水平和单位其他实际情况选择适当的风险处理方式和安全控制措施，构建体系化的安全防护系统，形成风险处理报告，6. 3- 3. 5应分析风险处理之后可能存在的残余风险，形成残余风险分析报告。残余风险分析报告应得到信息安全领导机构的认可与批准，6. 3. 3. 6在实施安全防护措施之后，应对系统进行二次风险评估，以验证风险处理的有效性。6- 3. 3. 7风险评估应由安全管理负责人组织实施，采用委托评估的方式进行。承担委托评估的单位应具有国家认可的认证机构颁发的信息系统安全服务资质6.3.3.8应建立和维护风险信息数据库，数据库应包含风险评估所涉及的资产、威助、脆弱性、安全控制措施等所有风险管理的具体信息。6.3.3.9应指定专人负责对风险管理过程的监督和检查，确保风险管理过程按要求正确执行，6.3. 4工程建设管理6. 3. 4. 1应在6.2.4.1的基础上，建立系统工程监理制度，规范对系统工程建设过程的监理，6. 3. 4. 2系统在安全性方面的建设投人应不低于工程总投资总额的10%。6- 3. 4- 3系统外包工程应由具有国家信息产业主管部门颂发的“计算机信息系统集成资质”三级或三级以上水平的单位承建。系统的外包安全工程建设应由具有国家认可的认证机构颁发的信息系统安全服务质丙级或丙级以上水平的单位承担。6. 3. 4. 4应在6.2.4.3的基础上，制定和保存文档化的安全体系结构设计方案6. 3. 4. 5应在6.1.4.2的基础上，采用通过国家认可的认证机构认证的安全产品6. 3. 4 6应制定外包软件开发控制程序，对外包软件的开发过程进行控制。6- 3. 4.7在6.1.4.3的基础上，系统的开发和测试环境应和已有的运行环境严格分离，禁止使用敏感信息进行测试。6.3.4.8应指定专人负责对工程建设过程的监督和检查，确保工程建设过程按要求正确执行。6.3.5人员安全管理6- 3. 5. 1应在6.2.5.1的基础上，按照分权制衡的原则规范岗位的设置与岗位的职责。6. 3. 5. 2应对准备录用的信息系统所有相关人员实施严格的背景审查。6.3.5.3应符合6.1.5.2和6.1.5.3的规定。8 MH/T 0025—2005签署保密协议。6.3.5.5应在6.2.5.5的基础上，建立第三方访间安全管理制度，规范第三方人员对信息系统的任何访间。6. 3- 5. 6应在6.2.5.6的基础上，应建立人员审查制度，实现对信息系统所有相关人员的定期审查，6.3.5.7应建立人员奖惩制度，对严格遵守安全规定的信息系统相关人员进行适当的奖励，对违反安全规定的信息系统相关人员进行适当的惩罚。6.3.5.8应建立关键岗位安全管理制度，实现关键事务的双人共管。6- 3. 5- 9应指定专人负责对人员安全管理过程的监督和检查，确保人员安全管理过程按要求正确执行6- 3. 6安全教育和