2024信息系统安全标准.docx

PAGE\*ROMAN

PAGE\*ROMANIII

信息系统安全标准

目录

前言 III

目的 1

规范性引用文件 1

术语、定义 2

适用对象 3

使用指南 3

信息系统主要威胁 4

信息系统安全目标 5

信息系统通用安全管理要求 6

信息系统通用安全技术要求 8

附录 13

PAGE

PAGE10

信息系统安全标准

目的

《信息系统安全标准》（以下简称《信息系统安全标准》）作为一个指导框架，列出了公司系统内信息系统（以下简称“信息系统”）在全生命周期各阶段需要满足的信息安全要求。

通过遵循和使用《信息系统安全标准》，达到以下目的：1)明确信息系统的安全目标；

指导信息系统前期设计中的安全考虑；

指导信息系统开发阶段的安全实现；

指导信息系统安全性测评的实施和评定；

指导信息系统安全部署，以及制定运维和废弃阶段的管理要求。

《信息系统安全标准》应用到具体的信息系统时，应根据其业务使命、运行环境和安全等级等因素进行综合考虑，抽取一个能够保证其安全目标的子集，并予以实现。

《信息系统安全标准》适用于范围内信息系统中所有承载业务的信息系统，

但不包括这些系统运行所依赖的网络、主机和操作系统。

某些内容因涉及特殊的专业技术或仅是信息技术安全的外围技术，不在《信息系统安全标准》的适用范围内，例如：

《信息系统安全标准》不包括信息安全风险评估的理论、方法和要求，但是可以作为

评价评估结果符合性的参考。2)《信息系统安全标准》不包括软件安全性测评的理论、方法和要求，但是可以

作为评

价测评结果符合性的参考。

3)《信息系统安全标准》不包括为满足《信息系统安全标准》而采用的具体技术实现方法，

但是可以作为评价安全设计的依据。4)《信息系统安全标准》不包括密码算法固有质量评价准则。

规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件;不注日期的引用文件，其必威体育精装版版本适用于本文件。

《GB/T18336-2001信息技术安全技术信息技术安全性评估指南》

《GB/T17544-1998信息技术软件包质量要求和测试》

《ISO/IEC17799:2000信息安全管理体系》

术语、定义

下列术语和定义适用于《信息系统安全标准》。

信息系统InformationSystem

本标准中声明的信息系统，专指南太湖医院有限公司范围内各单位信息系统中借助网络和计算

机系统实现特定业务功能的应用软件系统。

威胁Threat

一种对包括信息系统在内的整个信息系统构成潜在破坏的可能性因素，它是客观存在

的。

安全风险SecurityRisk

安全风险是威胁利用信息系统中存在的脆弱性，对信息系统产生影响的潜在可能性和

潜在影响的结合。

安全目标SecurityTarget

安全目标是意在对抗信息系统面临的安全威胁，使信息系统达到特定安全等级的要求

描述。

安全需求SecurityRequirements

为保证信息系统正常运作，在信息安全防护措施方面提出的系列要求。

安全设计SecurityDesign

为确保信息系统能够符合安全需求而提出的开发设计方案，能够明确的指导开发人员

实施开发。

机密性Confidentiality

信息系统的机密性是指信息系统软件本身及其处理的信息在时间、范围和强度上的保

密特性。

完整性Integrity

信息系统的完整性既包含了数据的完整性，即保证数据不被非法地改动和销毁，也包

含了系统的完整性，即保证系统不被有意或无意的非法操作所破坏。

3.9.用性Availability

信息系统的可用性是指应用采用在不降低使用的情况下仍能根据授权实体的需要

提

供资源服务，保证授权实体在需要时可以正常地访问和使用系统。

可控性Controllability

信息系统的可控性是指能够对信息系统安全状态、数据信息及其使用者的所有行

为进

行安全监控。

鉴别数据AuthenticationData

信息系统中用于验证用户所声称身份的机密数据，例如口令、密钥。

系统数据SystemData

信息系统本身的程序文件、配置文件、客户端组件和源代码等，该类数据同业务没有

直接关系，不会随业务运作而频繁变化。

业务数据OperationData

信息系统中由于业务操作所输入、修改、删除的数据，业务运行过程中需要频繁访问该类数据。

基础主机环境BasicEnvironment

信息系统的基础主机环境包括了硬件平台、操作系统和附加的应用支撑系统（例如，数据库管理系统-DBMS或者中间件、Web服