信息系統(tǒng)安全管理要求GBT20269-2006參考模板

1、信息安全技術 信息系統(tǒng)安全管理要求GB/T20269-2006引 言 信息安全等級保護從與信息系統(tǒng)安全相關的物理層面、網絡層面、系統(tǒng)層面、應用層面和管理層面對信息和信息系統(tǒng)實施分等級安全保護。管理層面貫穿于其他層面之中，是其他層面實施分等級安全保護的保證。本標準對信息和信息系統(tǒng)的安全保護提出了分等級安全管理的要求，闡述了安全管理要素及其強度，并將管理要求落實到信息安全等級保護所規(guī)定的五個等級上，有利于對安全管理的實施、評估和檢查。GB17859-1999中安全保護等級的劃分是根據對安全技術和安全風險控制的關系確定的，公通字200466號文件中安全等級的劃分是根據信息和信息系統(tǒng)受到破壞

2、后，會對國家安全、社會秩序、經濟建設和公共利益造成損害的程度確定的。兩者的共同點是：安全等級越高，發(fā)生的安全技術費用和管理成本越高，從而預期能夠抵御的安全威脅越大，建立起安全信心越強，使用信息系統(tǒng)的風險越小。 本標準以安全管理要素作為描述安全管理要求的基本組件。安全管理要素是指，為實現信息系統(tǒng)安全等級保護所規(guī)定的安全要求，從管理角度應采取的主要控制方法和措施。根據GB17859-1999對安全 保護等級的劃分，不同的安全保護等級會有不同的安全管理要求，可以體現在管理要素的增加和管理強度的增強兩方面。對于每個管理要素，根據特定情況分別列出不同的管理強度，最多分為5級，最少可不分級。在具

3、體描述中，除特別聲明之外，一般高級別管理強度的描述都是在對低級別描述基礎之上進行的。 信息系統(tǒng)是指由計算機及其相關和配套的設備、設施構成的，按照一定的應用目標和規(guī)則對信息進行存儲、傳輸、處理的系統(tǒng)或者網絡；信息是指在信息系統(tǒng)中存儲、傳輸、處理的數字化信息。本標準涉及信息系統(tǒng)的管理者包括國家機關、事業(yè)單位、廠礦企業(yè)、公司、集團等各種類型和不同規(guī)模的組織機構，以下統(tǒng)稱為2 / 196“組織機構”。 信息系統(tǒng)在技術上采取何種安全機制應根據相關技術標準確定，本標準僅提出保證這些安全機制實施的管理要求。與技術密切的管理是技術實現的組成部分，如果信息系統(tǒng)根據具體業(yè)務及其安全需求未采用該

4、技術，則不需要相應的安全管理要求。對與管理描述難以分開的技術要求會出現在管理要求中，具體執(zhí)行需要參照相關技術標準。對于涉及國家秘密的信息和信息系統(tǒng)的保密管理，應按照國家有關保密的管理規(guī)定和相關標準執(zhí)行。 本標準中有關信息系統(tǒng)安全管理要素及其強度與信息系統(tǒng)安全管理分等級要求的對應關系的說明參見附錄A。為了幫助讀者從安全管理概念角度理解和運用這些信息系統(tǒng)的安全管理要求，附錄B給出了信息系統(tǒng)安全管理概念說明。 信息安全技術 信息系統(tǒng)安全管理要求 1 范圍 本標準依據GB17859-1999的五個安全保護等級的劃分，規(guī)定了信息系統(tǒng)安全所需要的各個安全等級的管理要

5、求。 本標準適用于按等級化要求進行的信息系統(tǒng)安全的管理。 2 規(guī)范性引用文件 下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而，鼓勵根據本標準達成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。 GB 17859-1999 計算機信息系統(tǒng)安全保護等級劃分準則 GB/T 20271-2006 信息安全技術 信息系統(tǒng)通用安全技術要求 3 術語和定義 GB 17859-1999確立的以及下列術語

6、和定義適用于本標準。 3.1 完整性 integrity 包括數據完整性和系統(tǒng)完整性。數據完整性表征數據所具有的特性，即無論數據形式作何變化，數據的準確性和一致性均保持不變的程度；系統(tǒng)完整性表征系統(tǒng)在防止非授權用戶修改或使用資源和防止授權用戶不正確地修改或使用資源的情況下，系統(tǒng)能履行其操作目的的品質。 3.2 可用性 availability 表征數據或系統(tǒng)根據授權實體的請求可被訪問與使用程度的安全屬性。 3.3 訪問控制 access control 按確定的規(guī)則，對實體之間的訪問活動進行控制的安全機制

7、，能防止對資源的未授權使用。 3.4 安全審計 security audit 按確定規(guī)則的要求，對與安全相關的事件進行審計，以日志方式記錄必要信息，并作出相應處理的安全機制。 3.5 鑒別信息 authentication information 用以確認身份真實性的信息。 3.6 敏感性 sensitivity 表征資源價值或重要性的特性，也可能包含這一資源的脆弱性。 3.7 風險評估 risk assessment 通過對信息系統(tǒng)的資產價值/重要性、信息系統(tǒng)所受到的威脅以

8、及信息系統(tǒng)的脆弱性進行綜合分析，對信息系統(tǒng)及其處理、傳輸和存儲的信息的保密性、完整性和可用性等進行科學識別和評價，確定信息系統(tǒng)安全風險的過程。 3.8 安全策略 security policy 主要指為信息系統(tǒng)安全管理制定的行動方針、路線、工作方式、指導原則或程序。 4 信息系統(tǒng)安全管理的一般要求 4.1 信息系統(tǒng)安全管理的內容 信息系統(tǒng)安全管理是對一個組織機構中信息系統(tǒng)的生存周期全過程實施符合安全等級責任要求的管理，包括： 落實安全管理機構及安全管理人員，明確角色與職責，制定安全規(guī)劃； 開發(fā)安全策略； 

9、實施風險管理； 制定業(yè)務持續(xù)性計劃和災難恢復計劃； 選擇與實施安全措施； 保證配置、變更的正確與安全； 進行安全審計； 保證維護支持； 進行監(jiān)控、檢查，處理安全事件； 安全意識與安全教育； 人員安全管理等。 4.2 信息系統(tǒng)安全管理的原則 a） 基于安全需求原則：組織機構應根據其信息系統(tǒng)擔負的使命，積累的信息資產的重要性，可能受到的威脅及面臨的風險分析安全需求，按照信息系統(tǒng)等級保護要求確定相應的信息系統(tǒng)安全保護等級，遵從相應等級的規(guī)范要求，從全局上恰當地平衡安全投入與效果； b） 主要

10、領導負責原則：主要領導應確立其組織統(tǒng)一的信息安全保障的宗旨和政策，負責提高員工的安全意識，組織有效安全保障隊伍，調動并優(yōu)化配置必要的資源，協(xié)調安全管理工作與各部門工作的關系，并確保其落實、有效； c） 全員參與原則：信息系統(tǒng)所有相關人員應普遍參與信息系統(tǒng)的安全管理，并與相關方面協(xié)同、協(xié)調，共同保障信息系統(tǒng)安全； d） 系統(tǒng)方法原則：按照系統(tǒng)工程的要求，識別和理解信息安全保障相互關聯(lián)的層面和過程，采用管理和技術結合的方法，提高實現安全保障的目標的有效性和效率； e） 持續(xù)改進原則：安全管理是一種動態(tài)反饋過程，貫穿整個安全管理的生存周期，隨著安全需求和系統(tǒng)脆弱性的時空

11、分布變化，威脅程度的提高，系統(tǒng)環(huán)境的變化以及對系統(tǒng)安全認識的深化等，應及時地將現有的安全策略、風險接受程度和保護措施進行復查、修改、調整以至提升安全管理等級，維護和持續(xù)改進信息安全管理體系的有效性； f） 依法管理原則：信息安全管理工作主要體現為管理行為，應保證信息系統(tǒng)安全管理主體合法、管理行為合法、管理內容合法、管理程序合法。對安全事件的處理，應由授權者適時發(fā)布準確一致的有關信息，避免帶來不良的社會影響； g） 分權和授權原則：對特定職能或責任領域的管理功能實施分離、獨立審計等實行分權，避免權力過分集中所帶來的隱患，以減小未授權的修改或濫用系統(tǒng)資源的機會。任何實體（如用戶

12、、管理員、進程、應用或系統(tǒng)）僅享有該實體需要完成其任務所必須的權限，不應享有任何多余權限； h） 選用成熟技術原則：成熟的技術具有較好的可靠性和穩(wěn)定性，采用新技術時要重視其成熟的程度，并應首先局部試點然后逐步推廣，以減少或避免可能出現的失誤； i） 分級保護原則：按等級劃分標準確定信息系統(tǒng)的安全保護等級，實行分級保護；對多個子系統(tǒng)構成的大型信息系統(tǒng)，確定系統(tǒng)的基本安全保護等級，并根據實際安全需求，分別確定各子系統(tǒng)的安全保護等級，實行多級安全保護； j） 管理與技術并重原則：堅持積極防御和綜合防范，全面提高信息系統(tǒng)安全防護能力，立足國情，采用管理與技術相結合，管理科

13、學性和技術前瞻性結合的方法，保障信息系統(tǒng)的安全性達到所要求的目標； k） 自保護和國家監(jiān)管結合原則：對信息系統(tǒng)安全實行自保護和國家保護相結合。組織機構要對自己的信息系統(tǒng)安全保護負責，政府相關部門有責任對信息系統(tǒng)的安全進行指導、監(jiān)督和檢查，形成自管、自查、自評和國家監(jiān)管相結合的管理模式，提高信息系統(tǒng)的安全保護能力和水平，保障國家信息安全。 5 信息系統(tǒng)安全管理要素及其強度 5.1 策略和制度 5.1.1 信息安全管理策略 5.1.1.1 安全管理目標與范圍 信息系統(tǒng)的安全管理需要明確信息系統(tǒng)的安全管理目標和范圍，不同安全等級應有選擇地滿

14、足以下要求的一項： a） 基本的管理目標與范圍：針對一般的信息系統(tǒng)應包括：制定包括系統(tǒng)設施和操作等內容的系統(tǒng)安全目標與范圍計劃文件；為達到相應等級技術要求提供相應的管理保證；提供對信息系統(tǒng)進行基本安全保護的安全功能和安全管理措施，確保安全功能達到預期目標，使信息免遭非授權的泄露和破壞，基本保證信息系統(tǒng)安全運行； b） 較完整的管理目標與范圍：針對在一定程度上涉及國家安全、社會秩序、經濟建設和公共利益的一般信息和信息系統(tǒng)，在a）的基礎上還應包括：建立相應的安全管理機構，制定相應的安全操作規(guī)程；制定信息系統(tǒng)的風險管理計劃；提供對信息系統(tǒng)進行安全保護的比較完整的系統(tǒng)化安全保護的能

15、力和比較完善的安全管理措施，從整體上保護信息免遭非授權的泄露和破壞，保證信息系統(tǒng)安全正常運行； c） 系統(tǒng)化的管理目標與范圍：針對涉及國家安全、社會秩序、經濟建設和公共利益的信息和信息系統(tǒng)，在b）的基礎上還應包括：提供信息系統(tǒng)安全的自動監(jiān)視和審計；提供信息系統(tǒng)的認證、驗收及使用的授權的規(guī)定；提供對信息系統(tǒng)進行強制安全保護的能力和設置必要的強制性安全管理措施，確保數據信息免遭非授權的泄露和破壞，保證信息系統(tǒng)安全運行； d） 強制保護的管理目標與范圍：針對涉及國家安全、社會秩序、經濟建設和公共利益的重要信息和信息系統(tǒng)，在c）的基礎上還應包括：提供安全策略和措施的程序化、周期化的

16、評估，以及對明顯的風險變化和安全事件的評估；實施強制的分權管理機制和可信管理；提供對信息系統(tǒng)進行整體的強制安全保護的能力和比較完善的強制性安全管理措施，保證信息系統(tǒng)安全運行； e） 專控保護的管理目標與范圍：針對涉及國家安全、社會秩序、經濟建設和公共利益的重要信息和信息系統(tǒng)的核心系統(tǒng)，在d）的基礎上還應包括：使安全管理計劃與組織機構的文化有機融合，并能適應安全環(huán)境的變化；實施全面、可信的安全管理；提供對信息系統(tǒng)進行基于可驗證的強制安全保護能力和完善的強制性安全管理措施，全面保證信息系統(tǒng)安全運行。 5.1.1.2 總體安全管理策略 不同安全等級的信息系統(tǒng)總體安全策略

17、應有選擇地滿足以下要求的一項： a） 基本的安全管理策略：信息系統(tǒng)安全管理策略包括：依照國家政策法規(guī)和技術及管理標準進行自主保護；闡明管理者對信息系統(tǒng)安全的承諾，并陳述組織機構管理信息系統(tǒng)安全的方法；說明信息系統(tǒng)安全的總體目標、范圍和安全框架；申明支持信息系統(tǒng)安全目標和原則的管理意向；簡要說明對組織機構有重大意義的安全方針、原則、標準和符合性要求； b） 較完整的安全管理策略：在a）的基礎上，信息安全管理策略還包括：在信息安系統(tǒng)全監(jiān)管職能部門的指導下，依照國家政策法規(guī)和技術及管理標準自主進行保護；明確劃分信息系統(tǒng)（分系統(tǒng)/域）的安全保護等級（按區(qū)域分等級保護）；制定風險管理

18、策略、業(yè)務連續(xù)性策略、安全培訓與教育策略、審計策略等較完整的信息安全策略； c） 體系化的安全管理策略：在b）的基礎上，信息安全管理策略還包括：在接受信息系統(tǒng)安全監(jiān)管職能部門監(jiān)督、檢查的前提下，依照國家政策法規(guī)和技術及管理標準自主進行保護；制定目標策略、規(guī)劃策略、機構策略、人員策略、管理策略、安全技術策略、控制策略、生存周期策略、投資策略、質量策略等，形成體系化的信息系統(tǒng)安全策略； d） 強制保護的安全管理策略：在c）的基礎上，信息安全管理策略還包括：在接受信息系統(tǒng)安全監(jiān)管職能部門的強制監(jiān)督、檢查的前提下，依照國家政策法規(guī)和技術及管理標準自主進行保護；制定體系完整的信息系統(tǒng)

19、安全管理策略； e） ?？乇Ｗo的安全管理策略：在d）的基礎上，信息安全管理策略還包括：在接受國家指定的專門部門、專門機構的專門監(jiān)督的前提下，依照國家政策法規(guī)和技術及管理標準自主進行保護；制定可持續(xù)改進的信息系統(tǒng)安全管理策略。 5.1.1.3 安全管理策略的制定 信息系統(tǒng)安全管理策略的制定，不同安全等級應有選擇地滿足以下要求的一項： a） 基本的安全管理策略制定：應由安全管理人員為主制定，由分管信息安全工作的負責人召集，以安全管理人員為主，與相關人員一起制定基本的信息系統(tǒng)安全管理策略，包括總體策略和具體策略，并以文件形式表述； b） 較完整的安全

20、管理策略制定：應由信息安全職能部門負責制定，由分管信息安全工作的負責人組織，信息安全職能部門負責制定較完整的信息系統(tǒng)安全管理策略，包括總體策略和具體策略，并以文件形式表述； c） 體系化的安全管理策略制定：應由信息安全領導小組組織制定，由信息安全領導小組組織并提出指導思想，信息安全職能部門負責具體制定體系化的信息系統(tǒng)安全管理策略，包括總體策略和具體策略，并以文件形式表述； d） 強制保護的安全管理策略制定：應由信息安全領導小組組織并提出指導思想，由信息安全職能部門指派專人負責制定強制保護的信息系統(tǒng)安全管理策略，包括總體策略和具體策略，并以文件形式表述；涉密系統(tǒng)安全策略的制定

21、應限定在相應范圍內進行；必要時，可征求信息安全監(jiān)管職能部門的意見； e） ?？乇Ｗo的安全管理策略制定：在d）的基礎上，必要時應征求國家指定的專門部門或機構的意見，或者共同制定?？乇Ｗo的信息系統(tǒng)安全管理策略，包括總體策略和具體策略。 5.1.1.4 安全管理策略的發(fā)布 信息系統(tǒng)安全管理策略應以文檔形式發(fā)布，不同安全等級應有選擇地滿足以下要求的一項： a） 基本的安全管理策略的發(fā)布：安全管理策略文檔應由分管信息安全工作的負責人簽發(fā)，并向信息系統(tǒng)的用戶傳達，其形式應針對目標讀者，并能夠為讀者接受和理解； b） 較完整的安全管理策略的發(fā)布：在a）的基礎

22、上，安全管理策略文檔應經過組織機構負責人簽發(fā)，按照有關文件管理程序發(fā)布； c） 體系化的安全管理策略的發(fā)布：在b）的基礎上，安全管理策略文檔應注明發(fā)布范圍，并有收發(fā)文登記； d） 強制保護的安全管理策略的發(fā)布：在c）的基礎上，安全管理策略文檔應注明密級，并在監(jiān)管部門備案； e） 專控保護的安全管理策略的發(fā)布：在d）的基礎上，必要時安全管理策略文檔應在國家指定的專門部門或機構進行備案。 5.1.2 安全管理規(guī)章制度 5.1.2.1 安全管理規(guī)章制度內容 應根據機構的總體安全策略和業(yè)務應用需求，制定信息系統(tǒng)安全管理的規(guī)程和制度，不同安全等

23、級的安全管理規(guī)章制度的內容應有選擇地滿足以下要求的一項： a） 基本的安全管理制度：應包括網絡安全管理規(guī)定，系統(tǒng)安全管理規(guī)定，數據安全管理規(guī)定，防病毒規(guī)定，機房安全管理規(guī)定，以及相關的操作規(guī)程等； b） 較完整的安全管理制度：在a）的基礎上，應增加設備使用管理規(guī)定，人員安全管理規(guī)定，安全審計管理規(guī)定，用戶管理規(guī)定，風險管理規(guī)定，信息分類分級管理規(guī)定，安全事件報告規(guī)定，事故處理規(guī)定，應急管理規(guī)定和災難恢復管理規(guī)定等； c） 體系化的安全管理制度：在b）的基礎上，應制定全面的安全管理規(guī)定，包括：機房、主機設備、網絡設施、物理設施分類標記等系統(tǒng)資源安全管理規(guī)定；安全配置

24、、系統(tǒng)分發(fā)和操作、系統(tǒng)文檔、測試和脆弱性評估、系統(tǒng)信息安全備份和相關的操作規(guī)程等系統(tǒng)和數據庫方面的安全管理規(guī)定；網絡連接檢查評估、網絡使用授權、網絡檢測、網絡設施（設備和協(xié)議）變更控制和相關的操作規(guī)程等方面的網絡安全管理規(guī)定；應用安全評估、應用系統(tǒng)使用授權、應用系統(tǒng)配置管理、應用系統(tǒng)文檔管理和相關的操作規(guī)程等方面的應用安全管理規(guī)定；人員安全管理、安全意識與安全技術教育、操作安全、操作系統(tǒng)和數據庫安全、系統(tǒng)運行記錄、病毒防護、系統(tǒng)維護、網絡互聯(lián)、安全審計、安全事件報告、事故處理、應急管理、災難恢復和相關的操作規(guī)程等方面的運行安全管理規(guī)定；信息分類標記、涉密信息管理、文檔管理、存儲介質管理、信息披

25、露與發(fā)布審批管理、第三方訪問控制和相關的操作規(guī)程等方面的信息安全管理規(guī)定等； d） 強制保護的安全管理制度：在c）的基礎上，應增加信息保密標識與管理規(guī)定，密碼使用管理規(guī)定，安全事件例行評估和報告規(guī)定，關鍵控制措施定期測試規(guī)定等； e） ?？乇Ｗo的安全管理制度：在d）的基礎上，應增加安全管理審計監(jiān)督規(guī)定等。 5.1.2.2 安全管理規(guī)章制度的制定 安全管理制度的制定及發(fā)布，應有明確規(guī)定的程序，不同安全等級應有選擇地滿足以下要求的一項： a） 基本的安全管理制度制定：應由安全管理人員負責制訂信息系統(tǒng)安全管理制度，并以文檔形式表述，由分管信息安全工作

26、的負責人審批發(fā)布； b） 較完整的安全管理制度制定：應由信息安全職能部門負責制訂信息系統(tǒng)安全管理制度，并以文檔形式表述，由分管信息安全工作的負責人審批，按照有關文檔管理程序發(fā)布； c） 體系化的安全管理制度制定：應由信息安全職能部門負責制訂信息系統(tǒng)安全管理制度，并以文檔形式表述，經信息安全領導小組討論通過，由信息安全領導小組負責人審批發(fā)布，應注明發(fā)布范圍并有收發(fā)文登記； d） 強制保護的安全管理制度制定：應由信息安全職能部門指派專人負責制訂信息系統(tǒng)安全管理制度，并以文檔形式表述，經信息安全領導小組討論通過，由信息安全領導小組負責人審批發(fā)布；信息系統(tǒng)安全管理制度文檔

27、的發(fā)布應注明密級，對涉密的信息系統(tǒng)安全管理制度的制定應在相應范圍內進行； e） ?？乇Ｗo的安全管理制度制定：在d）的基礎上，必要時，應征求組織機構的保密管理部門的意見，或者共同制定。 5.1.3 策略與制度文檔管理 5.1.3.1 策略與制度文檔的評審和修訂 策略與制度文檔的評審和修訂，不同安全等級應有選擇地滿足以下要求的一項： a） 基本的評審和修訂：應由分管信息安全的負責人和安全管理人員負責文檔的評審和修訂；應通過所記錄的安全事故的性質、數量以及影響檢查策略和制度的有效性，評價安全管理措施對成本及應用效率的影響，以及技術變化對安全管理的影響

28、；經評審，對存在不足或需要改進的策略和制度應進行修訂，并按規(guī)定程序發(fā)布； b） 較完整的評審和修訂：應由分管信息安全的負責人和信息安全職能部門負責文檔的評審和修訂；應定期或階段性審查策略和制度存在的缺陷，并在發(fā)生重大安全事故、出現新的漏洞以及機構或技術基礎結構發(fā)生變更時，對策略和制度進行相應的評審和修訂；對評審后需要修訂的策略和制度文檔，應明確指定人員限期完成并按規(guī)定發(fā)布； c） 體系化的評審和修訂：應由信息安全領導小組和信息安全職能部門負責文檔的評審和修訂；應對安全策略和制度的有效性進行程序化、周期性評審，并保留必要的評審記錄和依據；每個策略和制度文檔應有相應責任人，根據

29、明確規(guī)定的評審和修訂程序對策略進行維護； d） 強制保護的評審和修訂：應由信息安全領導小組和信息安全職能部門的專門人員負責文檔的評審和修訂，必要時可征求信息安全監(jiān)管職能部門的意見；應對安全策略和制度的有效性進行程序化、周期性評審，并保留必要的評審記錄和依據；每個策略和制度文檔應有相應責任人，根據明確規(guī)定的評審和修訂程序對策略進行維護；對涉密的信息安全策略、規(guī)章制度和相關的操作規(guī)程文檔的評審和修訂應在相應范圍內進行； e） 專控保護的評審和修訂：在d）的基礎上，必要時可請組織機構的保密管理部門參加文檔的評審和修訂，應征求國家指定的專門部門或機構的意見；應對安全策略和制度的有效

30、性及時進行專項的評審，并保留必要的評審記錄和依據。 5.1.3.2 策略與制度文檔的保管 對策略與制度文檔，以及相關的操作規(guī)程文檔的保管，不同安全等級應有選擇地滿足以下要求的一項： a） 指定專人保管：對策略和制度文檔，以及相關的操作規(guī)程文檔，應指定專人保管； b） 借閱審批和登記：在a）的基礎上，借閱策略和制度文檔，以及相關的操作規(guī)程文檔，應有相應級別負責人審批和登記； c） 限定借閱范圍：在b）的基礎上，借閱策略和制度文檔，以及相關的操作規(guī)程文檔，應限定借閱范圍，并經過相應級別負責人審批和登記； d） 全面嚴格保管：在c）的基礎上

31、，對涉密的策略和制度文檔，以及相關的操作規(guī)程文檔的保管應按照有關涉密文檔管理規(guī)定進行；對保管的文檔以及借閱的記錄定期進行檢查； e） 專控保護的管理：在d）的基礎上，應與相關業(yè)務部門協(xié)商制定專項控制的管理措施。 5.2 機構和人員管理 5.2.1 安全管理機構 5.2.1.1 建立安全管理機構 在組織機構中應建立安全管理機構，不同安全等級的安全管理機構應有選擇地滿足以下要求的一項： a） 配備安全管理人員：管理層中應有一人分管信息系統(tǒng)安全工作，并為信息系統(tǒng)的安全管理配備專職或兼職的安全管理人員； b） 建立安全職能部門：在a

32、）的基礎上，應建立管理信息系統(tǒng)安全工作的職能部門，或者明確指定一個職能部門兼管信息安全工作，作為該部門的關鍵職責之一； c） 成立安全領導小組：在b）的基礎上，應在管理層成立信息系統(tǒng)安全管理委員會或信息系統(tǒng)安全領導小組（以下統(tǒng)稱信息安全領導小組），對覆蓋全國或跨地區(qū)的組織機構，應在總部和下級單位建立各級信息系統(tǒng)安全領導小組，在基層至少要有一位專職的安全管理人員負責信息系統(tǒng)安全工作； d） 主要負責人出任領導：在c）的基礎上，應由組織機構的主要負責人出任信息系統(tǒng)安全領導小組負責人； e） 建立信息安全保密管理部門：在d）的基礎上，應建立信息系統(tǒng)安全保密監(jiān)督管理的職能

33、部門，或對原有保密部門明確信息安全保密管理責任，加強對信息系統(tǒng)安全管理重要過程和管理人員的保密監(jiān)督管理。 5.2.1.2 信息安全領導小組 信息系統(tǒng)安全領導小組負責領導本組織機構的信息系統(tǒng)安全工作，至少應行使以下管理職能之一： a） 安全管理的領導職能：根據國家和行業(yè)有關信息安全的政策、法律和法規(guī)，批準機構信息系統(tǒng)的安全策略和發(fā)展規(guī)劃；確定各有關部門在信息系統(tǒng)安全工作中的職責，領導安全工作的實施；監(jiān)督安全措施的執(zhí)行，并對重要安全事件的處理進行決策；指導和檢查信息系統(tǒng)安全職能部門及應急處理小組的各項工作；建設和完善信息系統(tǒng)安全的集中控管的組織體系和管理機制；

34、0;b） 保密監(jiān)督的管理職能：在a）的基礎上，對保密管理部門進行有關信息系統(tǒng)安全保密監(jiān)督管理方面的指導和檢查。 5.2.1.3 信息安全職能部門 信息安全職能部門在信息系統(tǒng)安全領導小組領導下，負責本組織機構信息系統(tǒng)安全的具體工作，至少應行使以下管理職能之一： a） 基本的安全管理職能：根據國家和行業(yè)有關信息安全的政策法規(guī)，起草組織機構信息系統(tǒng)的安全策略和發(fā)展規(guī)劃；管理機構信息系統(tǒng)安全日常事務，檢查和指導下級單位信息系統(tǒng)安全工作；負責安全措施的實施或組織實施，組織并參加對安全重要事件的處理；監(jiān)控信息系統(tǒng)安全總體狀況，提出安全分析報告；指導和檢查各部門和下級單位信息系

35、統(tǒng)安全人員及要害崗位人員的信息系統(tǒng)安全工作；應與有關部門共同組成應急處理小組或協(xié)助有關部門建立應急處理小組實施相關應急處理工作； b） 集中的安全管理職能：在a）的基礎上，管理信息系統(tǒng)安全機制集中管理機構的各項工作，實現信息系統(tǒng)安全的集中控制管理；完成信息系統(tǒng)安全領導小組交辦的工作，并向領導小組報告機構的信息系統(tǒng)安全工作。 5.2.2 安全機制集中管理機構 5.2.2.1 設置集中管理機構 信息系統(tǒng)安全機制集中管理機構（以下簡稱集中管理機構）既是技術實體，也是管理實體，應按照以下方式設立： a） 集中管理機構人員和職責：應配備必要的領導和技術管

36、理人員，應選用熟悉安全技術、網絡技術、系統(tǒng)應用等方面技術人員，明確責任協(xié)同工作，統(tǒng)一管理信息系統(tǒng)的安全運行，進行安全機制的配置與管理，對與安全有關的信息進行匯集與分析，對與安全有關的事件進行響應與處置；應對分布在信息系統(tǒng)中有關的安全機制進行集中管理；應接受信息安全職能部門的直接領導。 5.2.2.2 集中管理機構職能 a） 信息系統(tǒng)安全運行的統(tǒng)一管理：集中管理機構主要行使以下技術職能： 防范與保護：建立物理、支撐系統(tǒng)、網絡、應用、管理等五個層面的安全控制機制，構成系統(tǒng)有機整體安全控制機制；統(tǒng)一進行信息系統(tǒng)安全機制的配置與管理，確保各個安全機制按照設計要求運行；&#

37、160;監(jiān)控與檢查：對服務器、路由器、防火墻等網絡部件、系統(tǒng)安全運行性狀態(tài)、信息（包括有害內容）的監(jiān)控和檢查；匯集各種安全機制所獲取的與系統(tǒng)安全運行有關的信息，對所獲取的信息進行綜合分析，及時發(fā)現系統(tǒng)運行中的安全問題和隱患，提出解決的對策和方法； 響應與處置：事件發(fā)現、響應、處置、應急恢復，根據應急處理預案，作出快速處理；應對各種事件和處理結果有詳細的記載并進行檔案化管理，作為對后續(xù)事件分析的參考和可查性的依據； 安全機制集中管理控制（詳見5.5.6），完善管理信息系統(tǒng)安全運行的技術手段，進行信息系統(tǒng)安全的集中控制管理； 負責接受和配合政府有關部門的信息安全監(jiān)管工

38、作； b） 關鍵區(qū)域安全運行管理：在a）的基礎上，集中管理機構對關鍵區(qū)域的安全運行進行管理，控制知曉范圍，對獲取的有關信息進行相應安全等級的保護； c） 核心系統(tǒng)安全運行管理：在b）的基礎上，集中管理機構應與有關業(yè)務應用的主管部門協(xié)調，定制更高安全級別的管理方式。 5.2.3 人員管理 5.2.3.1 安全管理人員配備 對安全管理人員配備的管理，不同安全等級應有選擇地滿足以下要求的一項： a） 可配備兼職安全管理人員：安全管理人員可以由網絡管理人員兼任； b） 安全管理人員的兼職限制：安全管理人員不能兼任網絡管理人員、系統(tǒng)管

39、理員、數據庫管理員等； c） 配備專職安全管理人員：安全管理人員不可兼任，屬于專職人員，應具有安全管理工作權限和能力； d） 關鍵部位的安全管理人員：在c）的基礎上，安全管理人員還應按照機要人員條件配備。 5.2.3.2 關鍵崗位人員管理 對信息系統(tǒng)關鍵崗位人員的管理，不同安全等級應滿足以下要求的一項或多項： a） 基本要求：應對安全管理員、系統(tǒng)管理員、數據庫管理員、網絡管理員、重要業(yè)務開發(fā)人員、系統(tǒng)維護人員、重要業(yè)務應用操作人員等信息系統(tǒng)關鍵崗位人員進行統(tǒng)一管理；允許一人多崗，但業(yè)務應用操作人員不能由其他關鍵崗位人員兼任；關鍵崗位人員應定期接

40、受安全培訓，加強安全意識和風險防范意識； b） 兼職和輪崗要求：業(yè)務開發(fā)人員和系統(tǒng)維護人員不能兼任或擔負安全管理員、系統(tǒng)管理員、數據庫管理員、網絡管理員、重要業(yè)務應用操作人員等崗位或工作；必要時關鍵崗位人員應采取定期輪崗制度； c） 權限分散要求：在b）的基礎上，應堅持關鍵崗位人員“權限分散、不得交叉覆蓋”的原則，系統(tǒng)管理員、數據庫管理員、網絡管理員不能相互兼任崗位或工作； d） 多人共管要求：在c）的基礎上，關鍵崗位人員處理重要事務或操作時，應保持二人同時在場，關鍵事務應多人共管； e） 全面控制要求：在d）的基礎上，應采取對內部人員全面控制的安全保證

41、措施，對所有崗位工作人員實施全面安全管理。 5.2.3.3 人員錄用管理 對人員錄用的管理，不同安全等級應有選擇地滿足以下要求的一項： a） 人員錄用的基本要求：對應聘者進行審查，確認其具有基本的專業(yè)技術水平，接受過安全意識教育和培訓，能夠掌握安全管理基本知識；對信息系統(tǒng)關鍵崗位的人員還應注重思想品質方面的考察； b） 人員的審查與考核：在a）的基礎上，應由單位人事部門進行人員背景、資質審查，技能考核等，合格者還要簽署保密協(xié)議方可上崗；安全管理人員應具有基本的系統(tǒng)安全風險分析和評估能力； c） 人員的內部選拔：在b）的基礎上，重要區(qū)域或部位的安

42、全管理人員一般可從內部符合條件人員選拔，應做到認真負責和保守秘密； d） 人員的可靠性：在c）的基礎上，關鍵區(qū)域或部位的安全管理人員應選用實踐證明精干、內行、忠實、可靠的人員，必要時可按機要人員條件配備。 5.2.3.4 人員離崗 對人員離崗的管理，不同安全等級應有選擇地滿足以下要求的一項： a） 離崗的基本要求：立即中止被解雇的、退休的、辭職的或其他原因離開的人員的所有訪問權限；收回所有相關證件、徽章、密鑰、訪問控制標記等；收回機構提供的設備等； b） 調離后的保密要求：在a）的基礎上，管理層和信息系統(tǒng)關鍵崗位人員調離崗位，必須經單位人事部門

43、嚴格辦理調離手續(xù)，承諾其調離后的保密要求； c） 離崗的審計要求：在b）的基礎上，涉及組織機構管理層和信息系統(tǒng)關鍵崗位的人員調離單位，必須進行離崗安全審查，在規(guī)定的脫密期限后，方可調離； d） 關鍵部位人員的離崗要求：在c）的基礎上，關鍵部位的信息系統(tǒng)安全管理人員離崗，應按照機要人員管理辦法辦理。 5.2.3.5 人員考核與審查 對人員考核與審查的管理，不同安全等級應有選擇地滿足以下要求的一項： a） 定期的人員考核：應定期對各個崗位的人員進行不同側重的安全認知和安全技能的考核，作為人員是否適合當前崗位的參考； b） 定期的人員審查：

44、在a）的基礎上，對關鍵崗位人員，應定期進行審查，如發(fā)現其違反安全規(guī)定，應控制使用； c） 管理有效性的審查：在b）的基礎上，對關鍵崗位人員的工作，應通過例行考核進行審查，保證安全管理的有效性；并保留審查結果； d） 全面嚴格的審查：在c）的基礎上，對所有安全崗位人員的工作，應通過全面考核進行審查，如發(fā)現其違反安全規(guī)定，應采取必要的應對措施。 5.2.3.6 第三方人員管理 對第三方人員的管理，不同安全等級應有選擇地滿足以下要求的一項： a） 基本管理要求：應對硬件和軟件維護人員，咨詢人員，臨時性的短期職位人員，以及輔助人員和外部服務人員等第三方

45、人員簽署包括不同安全責任的合同書或保密協(xié)議；規(guī)定各類人員的活動范圍，進入計算機房需要得到批準，并有專人負責；第三方人員必須進行邏輯訪問時，應劃定范圍并經過負責人批準，必要時應有人監(jiān)督或陪同； b） 重要區(qū)域管理要求：在重要區(qū)域，第三方人員必須進入或進行邏輯訪問（包括近程訪問和遠程訪問等）均應有書面申請、批準和過程記錄，并有專人全程監(jiān)督或陪同；進行邏輯訪問應使用專門設置的臨時用戶，并進行審計； c） 關鍵區(qū)域管理要求：在關鍵區(qū)域，一般不允許第三方人員進入或進行邏輯訪問；如確有必要，除有書面申請外，可采取由機構內部人員帶為操作的方式，對結果進行必要的過濾后再提供第三方人員，并進

46、行審計；必要時對上述過程進行風險評估和記錄備案，并對相應風險采取必要的安全補救措施。 5.2.4 教育和培訓 5.2.4.1 信息安全教育 信息安全教育包括信息安全意識的培養(yǎng)教育和安全技術培訓，不同安全等級應有選擇地滿足以下要求的一項： a） 應知應會要求：應讓信息系統(tǒng)相關員工知曉信息的敏感性和信息安全的重要性，認識其自身的責任和安全違例會受到紀律懲罰，以及應掌握的信息安全基本知識和技能等； b） 有計劃培訓：在a）的基礎上，應制定并實施安全教育和培訓計劃，培養(yǎng)信息系統(tǒng)各類人員安全意識，并提供對安全政策和操作規(guī)程的認知教育和訓練等； 

47、c） 針對不同崗位培訓：在b）的基礎上，針對不同崗位，制定不同的專業(yè)培訓計劃，包括安全知識、安全技術、安全標準、安全要求、法律責任和業(yè)務控制措施等； d） 按人員資質要求培訓：在c）的基礎上，對所有工作人員的安全資質進行定期檢查和評估，使相應的安全教育成為組織機構工作計劃的一部分； e） 培養(yǎng)安全意識自覺性：在d）的基礎上，對所有工作人員進行相應的安全資質管理，并使安全意識成為所有工作人員的自覺存在。 5.2.4.2 信息安全專家 可邀請或聘用信息安全專家，不同安全等級應有選擇地滿足以下要求的一項： a） 聽取信息安全專家建議：聽取信息安全專家

48、對于組織機構的信息系統(tǒng)安全方面的建議；組織專家參與安全威脅的評估，提供安全控制措施的建議，進行信息安全有效性評判，對安全事件給予專業(yè)指導和原因調查等； b） 對信息安全專家的管理：在a）的基礎上，對于邀請或聘用信息安全專家可以提供必要的組織機構內部信息，同時應告知專家這些信息的敏感性和保密性，并應采取必要的安全措施，保證提供的信息在安全可控的范圍內。 5.3 風險管理 5.3.1 風險管理要求和策略 5.3.1.1 風險管理要求 風險管理作為等級保護的手段，在保證信息等級系統(tǒng)的最低保護能力的基礎上，可根據風險確定增加某些管理要求。對風險管理，不

49、同安全等級應有選擇地滿足以下要求的一項： a） 基本風險管理：組織機構應進行基本的風險管理活動，包括編制資產清單，對資產價值/重要性進行分析，對信息系統(tǒng)面臨的威脅進行初步分析，通過工具掃描的方式對信息系統(tǒng)的脆弱性進行分析，以簡易的方式分析安全風險、選擇安全措施； b） 定期風險評估：在a）的基礎上，針對關鍵的系統(tǒng)資源進行定期風險分析和評估；產生風險分析報告并向管理層提交； c） 規(guī)范風險評估：在b）的基礎上，在風險管理中，使用規(guī)范方法和經過必要的工作流程，進行規(guī)范化的風險評估，產生風險分析報告和留存重要過程文檔，并向管理層提交； d） 獨立審計的風險管理

50、：在c）的基礎上，建立風險管理體系文件；針對風險管理過程，實施獨立審計，確保風險管理的有效性； e） 全面風險管理：在d）的基礎上，使風險管理成為信息系統(tǒng)安全管理的有機組成部分，貫穿信息系統(tǒng)安全管理的全過程，并具有可驗證性。 5.3.1.2 風險管理策略 對風險管理策略，不同安全等級應有選擇地滿足以下要求的一項： a） 基本的風險管理策略：應定期進行風險評估，安全風險分析和評估活動程序應至少包括信息安全風險管理和業(yè)務應用風險管理密切相關的內容，信息安全風險管理的基本觀念和方法，以及風險管理的組織和資源保證等； b） 風險管理的監(jiān)督機制：在a）的

51、基礎上，應建立風險管理的監(jiān)督機制，對所有風險管理相關過程的活動和影響進行評估和監(jiān)控；應建立指導風險管理監(jiān)督過程的指導性文檔； c） 風險評估的重新啟動：在b）的基礎上，應明確規(guī)定重新啟動風險評估的條件，機構應能針對風險的變化重新啟動風險評估。 5.3.2 風險分析和評估 5.3.2.1 資產識別和分析 對資產識別和分析，不同安全等級應有選擇地滿足以下要求的一項： a） 信息系統(tǒng)的資產統(tǒng)計和分類：確定信息系統(tǒng)的資產范圍，進行統(tǒng)計和編制資產清單（詳見5.4.2.1），并進行資產分類和重要性標識； b） 信息系統(tǒng)的體系特征描述：在a）的基礎

52、上，根據對信息系統(tǒng)的硬件、軟件、系統(tǒng)接口、數據和信息、人員等方面的分析和識別，對信息系統(tǒng)的體系特征進行描述，至少應闡明信息系統(tǒng)的使命、邊界、功能，以及系統(tǒng)和數據的關鍵性、敏感性等內容。 5.3.2.2 威脅識別和分析 對威脅的識別和分析，不同安全等級應有選擇地滿足以下要求的一項： a） 威脅的基本分析：應根據以往發(fā)生的安全事件、外部提供的資料和積累的經驗等，對威脅進行粗略的分析； b） 威脅列表：在a）的基礎上，結合業(yè)務應用、系統(tǒng)結構特點以及訪問流程等因素，建立并維護威脅列表；由于不同業(yè)務系統(tǒng)面臨的威脅是不同的，應針對每個或者每類資產有一個威脅列表；&#

53、160;c） 威脅的詳細分析：在b）的基礎上，考慮威脅源在保密性、完整性或可用性等方面造成損害，對威脅的可能性和影響等屬性進行分析，從而得到威脅的等級；威脅等級也可通過綜合威脅的可能性和強度的評價獲得； d） 使用檢測工具捕捉攻擊：在c）的基礎上，對關鍵區(qū)域或部位進行威脅分析和評估，在業(yè)務應用許可并得到批準的條件下，可使用檢測工具在特定時間捕捉攻擊信息進行威脅分析。 5.3.2.3 脆弱性識別和分析 對脆弱性識別和分析，不同安全等級應有選擇地滿足以下要求的一項： a） 脆弱性工具掃描：應通過掃描器等工具來獲得對系統(tǒng)脆弱性的認識，包括對網絡設備、主機設備、

54、安全設備的脆弱性掃描，并編制脆弱性列表，作為系統(tǒng)加固、改進和安全項目建設的依據；可以針對資產組合、資產分類編制脆弱性列表和脆弱性檢查表； b） 脆弱性分析和滲透測試：在a）的基礎上，脆弱性的人工分析至少應進行網絡設備、安全設備以及主機系統(tǒng)配置檢查、用戶管理檢查、系統(tǒng)日志和審計檢查等；使用滲透測試應根據需要分別從組織機構的網絡內部和網絡外部選擇不同的接入點進行；應了解測試可能帶來的后果，并做好充分準備；針對不同的資產和資產組合，綜合應用人工評估、工具掃描、滲透性測試等方法對系統(tǒng)的脆弱性進行分析和評估；對不同的方法和工具所得出的評估結果，應進行綜合分析，從而得到脆弱性的等級； 

55、c） 制度化脆弱性評估：在b）的基礎上，堅持制度化脆弱性評估，應明確規(guī)定進行脆弱性評估的時間和系統(tǒng)范圍、人員和責任、評估結果的分析和報告程序，以及報告中包括新發(fā)現的漏洞、已修補的漏洞、漏洞趨勢分析等。 5.3.2.4 風險分析和評估要求 對風險分析和評估，不同安全等級應有選擇地滿足以下要求的一項： a） 經驗的風險評估：應由用戶和部分專家通過經驗來判斷風險，并對風險進行評估，形成風險評估報告，其中必須包括風險級別、風險點等內容，并確定信息系統(tǒng)的安全風險狀況； b） 全面的風險評估：在a）的基礎上，應采用多層面、多角度的系統(tǒng)分析方法，由用戶和專家對資產、威

56、脅和脆弱性等方面進行定性綜合評估，建議處理和減緩風險的措施，形成風險評估報告；除風險狀況外，在風險評估的各項步驟中還應生成信息系統(tǒng)體系特征報告、威脅評估報告、脆弱性評估報告和安全措施分析報告等；基于這些報告，評估者應對安全措施提出建議； c） 建立和維護風險信息庫：在b）的基礎上，應將風險評估中的信息資產、威脅、脆弱性、防護措施等評估項信息綜合到一個數據庫中進行管理；組織機構應當在后續(xù)的項目和工具中持續(xù)地維護該數據庫。 5.3.3 風險控制 5.3.3.1 選擇和實施風險控制措施 對選擇和實施風險控制措施，不同安全等級應有選擇地滿足以下要求的一項：

57、60;a） 基于安全等級標準選擇控制措施：以信息系統(tǒng)及產品的安全等級標準對不同等級的技術和管理要求，選擇相應等級的安全技術和管理措施，決定需要實施的信息系統(tǒng)安全控制措施； b） 基于風險評估選擇控制措施：在a）的基礎上，根據風險評估的結果，結合組織機構對于信息系統(tǒng)安全的需求，決定信息系統(tǒng)安全的控制措施； c） 基于風險評估形成防護控制系統(tǒng)：在b）的基礎上，根據風險評估的結果，結合機構對于信息系統(tǒng)安全的需求，決定信息系統(tǒng)安全的控制措施；對相關的各種控制措施進行綜合分析，得出緊迫性、優(yōu)先級、投資比重等評價，形成體系化的防護控制系統(tǒng)。 5.3.4 基于風險的決策

58、0;5.3.4.1 安全確認 應對信息系統(tǒng)定期進行安全確認。對安全確認，不同安全等級應有選擇地滿足以下要求的一項： a） 殘余風險接受：針對信息系統(tǒng)的資產清單、威脅列表、脆弱性列表，結合已采用的安全控制措施，分析存在的殘余風險；應形成殘余風險分析報告，并由組織機構的高層管理人員決定殘余風險是否可接受； b） 殘余風險監(jiān)視：在a）的基礎上，應編制出信息系統(tǒng)殘余風險清單，并密切監(jiān)視殘余風險可能誘發(fā)的安全事件，并及時采取防護措施； c） 安全風險再評估：在b）的基礎上，采用系統(tǒng)化的方法對信息系統(tǒng)安全風險實施再次評估，通過再次評估，驗證防護措施的有效性。

59、0;5.3.4.2 信息系統(tǒng)運行的決策 對信息系統(tǒng)運行的決策，不同安全等級應有選擇地滿足以下要求的一項： a） 信息系統(tǒng)運行的決定：信息系統(tǒng)的主管者或運營者應根據安全確認的結果，判斷殘余風險是否處在可接受的水平之內，并決定是否允許信息系統(tǒng)繼續(xù)運行； b） 信息系統(tǒng)受控運行：在a）的基礎上，如果信息系統(tǒng)的殘余風險不可接受，而現實情況又要求系統(tǒng)必須投入運行，且當前沒有其它資源能勝任組織機構的使命，經過組織機構管理層的審批，可以臨時批準信息系統(tǒng)投入運行，同時應采取相應的風險規(guī)避和監(jiān)測控制措施，并明確風險一旦發(fā)生的責任陳述。 5.3.5 風險評估的管理 

60、;5.3.5.1 評估機構的選擇 對評估機構選擇，不同安全等級應有選擇地滿足以下要求的一項： a） 按資質和信譽選擇：應選擇有國家主管部門認可的安全服務資質且有良好信譽的評估機構進行信息系統(tǒng)風險評估； b） 在上級認可的范圍內選擇：應在經過本行業(yè)主管部門認可或上級行政領導部門批準的選擇范圍內，確定有國家主管部門認可的安全服務資質且有良好信譽的評估機構，進行信息系統(tǒng)風險評估； c） 組織專門的評估：應按照國家主管部門有關管理規(guī)定選擇可信評估機構，必要時應由國家指定專門部門、專門機構組織進行信息系統(tǒng)風險評估。 5.3.5.2 評估機構保密要求 對評估機構的保密要求，不同安全等級應有選擇地滿足以下要求的一項： a） 簽署保密協(xié)議：評估機構人員應按照第三方人員管理要求（詳見5.2.3.6）簽署保密協(xié)議； b） 專人監(jiān)督檢查：在a）的基礎上，應有專人在整個評估過程中監(jiān)督檢查評估機構對保密協(xié)議的執(zhí)行情況； c） 制定具體辦法：在b）的基礎上，對專門評估組的保密要求應參照中華人民共和國保守國家秘密法的要求，結合實際情況制定具體實施辦法。 5.3.5.3 評估