《GB/T 20269-2006信息安全技术 信息系统安全管理要求》由国家质量监督检验检疫总局联合国家标准化管理委员会发布，于2006年12月1日起实施。

按照标准，信息系统安全管理是对一个组织机构中信息系统的生存周期全过程实施符合安全等级责任要求的管理，包括：

Ø  落实安全管理机构及安全管理人员，明确角色与职责，制定安全规划；

Ø  开发安全策略；

Ø  实施风险管理；

Ø  制定业务持续性计划和灾难恢复计划；

Ø  选择与实施安全措施；

Ø  保证配置、变更的正确与安全；

Ø  进行安全审计；

Ø  保证维护支持；

Ø  进行监控、检查，处理安全事件；

Ø  安全意识与安全教育；

Ø  人员安全管理等。

 

标准将信息系统安全管理划分为八大要素：

1.         政策和制度

2.         机构和人员管理

3.         风险管理

4.         环境和资源管理

5.         运行和维护管理

6.         业务连续性[1]管理

7.         监督和检查管理

8.         生存周期管理

 

以上八大要素之间往往是互相作用的，例如，只有对经营风险做出了准确判断并采取了相关预防措施，业务连续性才获得保障，不至于在危机到来之时中断经营。

以上要素及其强度又可按照信息系统安全管理等级要求来划分，不同的安全管理要素对应不同的级别：

第一级：用户自主保护级

第二级：系统审计保护级

第三级：安全标记保护级

第四级：结构化保护级

第五级：访问验证保护级

第五级为最高级别，级别越高，管理要求越高。

 

此外，关于“信息安全技术”还有以下诸多标准可以参考：

 

《GB/T 20984-2007 信息安全技术 信息安全风险评估规范》

《GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南》

《GB/T 24363-2009 信息安全技术 信息安全应急响应计划规范》

《GB/Z 24364-2009 信息安全技术 信息安全风险管理指南》（参考ISO/IEC 27005）

《GB/T 22080-2008 信息技术 安全技术 信息安全管理体系 要求》（等同于ISO/IEC 27002:2005）

《GB/T 22081-2008 信息技术 安全技术 信息安全管理实用规则》（等同于ISO/IEC 27001:2005）

……

 

其中《GB/T 25058-2010》在引言中提出，“在信息系统总体安全规划，安全设计与实施，安全运行与维护和信息系统终止等阶段，应按照GB 17859-1999、GB/T 22239-2008、GB/T 20269-2006、GB/T 20270-2006和GB/T 20271-2006[2]等技术标准，设计、建设符合信息安全等级保护要求的信息系统，开展信息系统的运行维护管理工作。”

---