xxxx信息安全管理制度实施指南

《xxxx信息安全管理制度实施指南》由会员分享，可在线阅读，更多相关《xxxx信息安全管理制度实施指南（49页珍藏版）》请在装配图网上搜索。

1、xxxx信息安全管理制度实施指南V1.01策略管理61.1安全策略和管理制度61.1.1信息安全策略61.1.2信息安全管理制度61.1.3行为规范71.2安全规划71.2.1系统安全规划71.2.2系统安全规划的更新81.2.3阶段性行动计划82组织管理82.1组织机构82.1.1信息安全管理机构82.1.2信息安全管理人员92.2人员安全92.2.1工作岗位风险分级92.2.2人员审查92.2.3人员工作合同终止102.2.4人员调动102.2.5工作协议和条款102.2.6第三方人员安全112.2.7人员处罚112.3安全意识和培训112.3.1安全意识112.3.2安全培训122.3.

2、3安全培训记录123运行管理133.1风险评估和认证认可133.1.1安全分类133.1.2风险评估133.1.3风险评估更新143.1.4安全认证143.1.5安全认可143.1.6持续监控153.2系统与服务采购153.2.1资源分配153.2.2生命周期支持163.2.3采购163.2.4信息系统文件163.2.5软件使用限制163.2.6用户安装的软件173.2.7安全设计原则173.2.8外包信息系统服务173.2.9开发配置管理183.2.10开发安全测试评估183.3配置管理183.3.1基线配置193.3.2配置变更控制193.3.3监督配置变更203.3.4变更访问限制203

3、.3.5配置策略设置203.3.6功能最小化203.4应急计划和事件响应213.4.1应急计划213.4.2应急响应培训213.4.3应急和事件响应计划测试213.4.4应急和事件响应计划更新223.4.5事件处理223.4.6事件监控223.4.7事件报告233.4.8事件响应支持233.5系统管理与维护233.5.1安全管理技术243.5.2常规维护243.5.3维护工具管理243.5.4远程维护243.5.5维护人员253.5.6维护及时性254技术管理254.1标识鉴别254.1.1身份标识和鉴别254.1.2设备标识和鉴别264.1.3标识管理264.1.4鉴别管理274.1.5登录

4、和鉴别反馈274.2访问控制284.2.1账户管理284.2.2强制访问294.2.3信息流控制294.2.4职责分离304.2.5最小权限304.2.6不成功登录尝试304.2.7系统使用情况314.2.8最近登录情况314.2.9并发会话控制324.2.10会话锁定324.2.11会话终止324.2.12对访问控制的监督和审查334.2.13不需鉴别或认证的行为334.2.14自动化标记334.2.15远程访问控制344.2.16无线接入访问控制344.2.17便携式移动设备的访问控制344.2.18个人信息系统354.3系统与信息完整性354.3.1漏洞修补354.3.2防恶意代码攻击3

5、64.3.3输入信息的限制364.3.4错误处理364.3.5输出信息的处理和保存374.4系统与通信保护374.4.1应用系统分区374.4.2安全域划分384.4.3拒绝服务保护384.4.4边界保护384.4.5网络连接终止384.4.6公共访问保护384.4.7移动代码394.5介质保护394.5.1介质访问394.5.2介质保存394.5.3信息彻底清除404.5.4介质的废弃404.6物理和环境保护404.6.1物理访问授权414.6.2物理访问控制414.6.3显示介质访问控制414.6.4物理访问监视414.6.5来访人员控制424.6.6来访记录424.6.7环境安全424.

6、7检测和响应424.7.1事件审计434.7.2审计记录的内容444.7.3审计处理444.7.4审计的监控、分析和报告444.7.5审计信息保护454.7.6审计保留454.7.7入侵检测454.7.8漏洞扫描454.7.9安全告警和响应464.8备份与恢复464.8.1信息系统备份464.8.2备份存储地点474.8.3备份处理地点474.8.4信息系统恢复与重建471 策略管理安全策略是高层管理层决定的一个全面的声明 ，它规定在组织中安全问题扮演什么样的角色。组织安全策略为机构内部未来的所有安全活动提供了范围和方向。1.1 安全策略和管理制度对各级部门制定总体的信息安全策略、信息安全管理

7、制度和相应的行为规范，指导信息安全保障工作更好的开展。1.1.1 信息安全策略信息安全策略是高级管理层决定的一个全面的声明，它规定在组织中安全问题扮演什么样的角色。它能够为信息安全提供符合业务要求和相关法律法规的管理指导和支持。要求对各级部门制定总体信息安全策略，详细阐述目标、范围、角色、责任以及合规性等；制定高层信息安全策略，部门级安全策略，系统级安全策略；开发、发布、并定期更新信息安全策略；内容信息安全策略的内容要覆盖安全规划、组织机构、人员安全、安全意识和培训、风险评估、认证认可、系统与服务采购、配置管理、应急计划、事件响应、系统维护、标识鉴别、访问控制、系统与信息完整性、系统与通信保护

8、、抗抵赖、介质保护、物理和环境保护、检测响应恢复等各方面；信息安全策略定义了明确所要保护的总体安全目标与范围；信息安全策略经过本级主管信息工作的领导批准，正式颁布，并定期根据实施效果进行修订。1.1.2 信息安全管理制度信息安全管理制度是为了更好地保证系统的信息安全，是信息安全策略的进一步实施的具体化。要求制定严格的规范化的信息安全管理制度，以促进信息安全策略的实施；内容对信息的生成、存储、查看、传输、复制、备份、归档、销毁等制定严格的管理制度；对信息系统中设备与系统的接入、运行、维护、管理的规定；有安全管理值班制度与事故报告处理制度，应急响应预案以及各种应用系统用户授权管理与系统运行管理规定

9、等；根据管理制度的执行情况定期审核，修订。1.1.3 行为规范行为规范规定了系统的各类使用和管理人员的岗位职责，规定了各类人员的责任和所允许信息系统的权利。要求对信息系统的各类使用和管理人员的岗位职责、行为规范制定管理规定，并描述其责任和所允许的访问信息和信息系统的正当行为；所有用户在被授权访问信息系统之前，应以书面签认方式确认其已经知悉、理解并愿意遵守相关的规范。内容管理制度印发给有关管理和应用人员，并抽查，以验证其是否了解应遵守的行为规范。1.2 安全规划制定较为完整的信息安全规划，以指导信息安全保障工作的开展。安全规划包括系统安全规划、系统安全规划的更新、阶段性行动计划。1.2.1 系统

10、安全规划系统安全规划是对信息系统安全一个全面的规划，用来描述系统的安全要求和满足安全规划采用的安全控制措施。要求为信息系统制定并实施安全规划，对系统的安全要求以及满足这些安全需求的在用的或计划采用的安全控制措施进行描述；高层领导应审核、批准安全规划，并采用统一规划、分步实施的原则贯彻执行。内容结合xxxx的信息系统安全的总体目标和安全需求，制定针对性的信息安全规划；1.2.2 系统安全规划的更新系统安全是一个动态的过程，系统安全规划要定期审核并修订，当发生重大变更时，要用时对系统安全规划进行更新。要求定期审核并修订信息系统安全规划，以解决在计划实施中或安全控制评估中发现的问题，以及应对信息系统

11、或组织的变更。内容定期或发生重大变更时，对信息安全规划进行审核和修订；信息安全规划的修改要严格遵守相关的策略和流程，并得到主管领导的批准。1.2.3 阶段性行动计划信息系统的生命周期有不同的阶段，在每一个阶段信息系统的安全需求是不同的，要对每个阶段编制、开发或更新信息系统的行动计划。要求编制开发和更新信息系统的活动和里程碑计划，并将已计划的、已实施的、和经过评估的行为文件化，以减少或消除系统中已知的脆弱性。内容有相应的活动和里程碑计划；活动和里程碑计划是在安全控制措施评估结果、安全影响分析和持续性监控活动的基础上进行更新的。2 组织管理2.1 组织机构2.1.1 信息安全管理机构要求组建本单位

12、的信息安全管理机构，该机构应由主管本单位信息安全工作的领导、负责具体工作的网络、安全管理人员组成，责任到人，具有领导信息安全工作、制定安全策略、监督管理等职能。内容组建信息安全管理机构及其机构组成，人员设置,并文件化；组建的信息安全管理机构有明确的信息安全管理职能（包括物理安全管理、身份鉴别管理、访问控制管理、安全审计管理、安全教育与培训等）；组建的信息安全管理机构是自上而下，分级负责的。2.1.2 信息安全管理人员要求信息安全管理机构中的安全管理人员应分权负责，以限制具有超级权限的人员存在。内容信息安全管理机构中的管理人员分权负责，系统管理员、安全管理员、安全审计员等分别都是由不同的人员担任

13、；各种设备与系统由相关的管理责任人，具有信息资产清单，并明文规定责任人的职责，责任人对其管理的设备及责任清楚。2.2 人员安全人员安全主要包括工作岗位风险分级、人员审查、人员工作合同终止、人员调动、工作协议和条款、第三方人员安全以及人员处罚等几个方面。2.2.1 工作岗位风险分级要求对工作岗位进行风险分级，并制定针对在各级岗位工作的人员审查机制；定期复核和修订不同工作岗位的风险分级。内容制定并实施工作岗位风险分级的制度；定期复核、修订工作岗位的风险分级。2.2.2 人员审查要求结合自身的业务需求、相关的法律法规、被访问信息的分类及面临风险等因素，对工作人员、合作者、第三方人员进行人员背景审查；

14、在授权之前对需要访问信息和信息系统的人员进行审查；制定人员审查流程，流程应描述进行人员审查的方式和限制条件，如规定谁有资格进行审查，在何时，通过什么方式，因为什么原因来进行审查等等。内容制定有关人员背景审查的制度和流程，并依此进行人员审查、核实工作。2.2.3 人员工作合同终止要求当人员工作合同终止时，应终止人员对信息系统的访问，并确保其归还所拥有与组织相关的资产；制定员工注册和注销流程，来授予和撤销员工对信息系统和服务的访问权限。内容明确规定和指派职责，以处理人员工作合同终止事宜；及时移除或封堵工作合同终止的人员对信息和信息处理系统的访问权限，包括物理和逻辑访问；及时更改工作合同终止人员所知

15、晓的账户密码。2.2.4 人员调动要求当工作人员被重新分配或调动到单位其它工作岗位时，应复查信息系统和设施的访问授权，并采取适当的措施（如重新发放身份卡，关闭原有账户的同时创建新账户，更改系统的访问授权等）。内容对人员调动采取适当的安全措施。2.2.5 工作协议和条款要求在对需要访问信息和信息系统的人员进行访问授权之前，签署适当的工作协议和条款（如，保密协议、按规定进行使用的协议、行为规范等）。内容制定和签署相关的工作协议和条款。2.2.6 第三方人员安全要求建立针对第三方人员（如服务机构、合作方、信息系统开发商、信息技术服务、应用系统外包、网络和安全管理等）的安全要求，并不断监督其遵从安全要

16、求的情况以确保足够安全。内容明确第三方参与的业务过程对信息和信息处理设施带来的风险，并采取适当的控制措施；同第三方签订的安全协议中，覆盖第三方在访问、处理、通信、管理组织信息或信息处理设施、增加产品或服务等活动中所有相关的安全要求，并清晰定义了其安全角色和责任。2.2.7 人员处罚要求建立正规的程序，处罚或制裁未遵守信息安全策略和流程的员工。内容在信息安全策略和程序文档中制定了关于人员处罚的相关程序。2.3 安全意识和培训安全意识和培训的目标是确保用户清楚信息安全威胁和利害关系。在安全程序、设备和信息系统的使用过程中培训工作人员，使工作人员有良好的安全意识，以降低可能的安全风险。安全意识和培训

17、涉及以下内容：安全意识、安全培训、安全培训记录。2.3.1 安全意识要求根据信息系统的特定安全要求，制定具有针对性的安全意识培训内容，确保所有人员（包括领导和普通工作人员）在被授权访问信息系统之前进行了基本的信息安全意识培训，并且定期进行培训。内容相关人员具备基本的信息安全意识。2.3.2 安全培训要求制定安全培训计划，并且定期按照计划进行培训；确定每个工作人员在信息系统中的安全角色和职责，将这些角色和职责文档化，在工作人员被授权访问系统之前提供适合的信息系统安全培训；依据自身的特定要求和工作人员授权访问的信息系统的不同，制定针对性较强的安全培训内容；确保系统管理员，管理者和其他有权访问系统层

18、软件的人员在从事本职工作之前进行了必要的技术培训。内容根据安全培训计划和安全培训教材以及工作人员的安全角色和职责制定针对性较强的信息安全培训；根据安全培训记录并结合安全培训计划，在适当的时间，对相关各类人员进行了必要的信息安全培训。2.3.3 安全培训记录要求记录并监督工作人员的信息系统安全培训过程，包括一些基本安全意识和安全技能培训，并应形成相关的培训记录。内容有相应的安全培训记录。3 运行管理3.1 风险评估和认证认可风险评估是对信息和信息处理设施所面临的威胁及其影响以及信息系统脆弱性及其发生可能性的评估。3.1.1 安全分类 在于对不同类别的信息和信息系统提供出不同等级的安全保护。要求对

19、信息系统及其处理、加工和存储的信息进行分类，并对不同类别的信息和信息系统应达到的提出安全保护要求；将安全分类作为涉及整个单位的一项工作，并将安全分类的依据和结果记录形成文件，由主管领导审核并批准。内容根据法律要求，对敏感性和关键性等因素对信息及信息系统进行分类。3.1.2 风险评估风险评估应包括评价风险程度的系统化的方法（风险分析）以及将估计的风险与风险准则进行比较从而确定风险重要程度的过程（风险评估）。要求标识信息系统的资产价值，识别信息系统面临的自然和人为的威胁，识别信息系统的脆弱性，分析各种威胁发生的可能性，并定量或定性的描述可能造成的损失、评估系统的风险级别；定期进行风险评估，以定期审

20、核系统的安全风险和已实施的安全控制的效果。内容对系统的资产价值进行了分级，信息系统面临的自然和人为的威胁有所定义，信息系统的脆弱性所在，对威胁发生的可能性有相对准确的分级，定量或定性描述结果符合系统的现状；在进行风险评估时，选择的服务商有相关的资质证明，其所依据的评估流程、评估方法是有效的和规范的；对安全控制的措施以及现有控制措施正确实施的程度是按照计划实施、产生的，其输出的结果满足系统的安全需求。3.1.3 风险评估更新信息系统的风险评估处于一个动态平衡状态，当系统内部有所变化，相对应的风险级别发生新的更新以符合新的风险状态。要求当信息系统发生重大变更时，应重新进行风险评估；制定相关规定，说

21、明哪些是信息系统的重大变动。内容当信息系统发生重大变更时，如设备改变或其它影响系统安全状态时，进行了风险评估更新，并对以前的风险评估有更新记录；有针对风险评估更新而制定的具体标准。3.1.4 安全认证保障信息系统安全技术产品具有可靠的安全保障能力。要求当前投入使用的信息系统安全技术产品应该按照有关法律法规得到国家权威机构的测评和认证，以确定信息安全技术产品的功能和性能可以满足系统的安全需求；邀请国家权威机构对本单位信息系统进行测评和认证，以确定信息系统的技术控制措施，安全管理规章和工程建设过程可以为系统的安全提供充分的保障；安全认证应结合到系统开发的生命周期（SDLC）中,并贯穿在生命周期的各

22、个阶段。内容当前使用的信息安全产品得到中国信息安全产品测评认证中心、公安部、国家保密局等国家权威部门的相关认证；通过国家权威机构对信息系统的安全保障能力的测评认证；认证结果对于当前系统是有效的（认证结果距检查时间不超过两年，得到认证后没有对系统进行较大的改动）。3.1.5 安全认可保障信息系统的安全运行。要求信息系统运行之前，以及信息安全产品投入正式使用之前需得到国家权威机构和上级主管部门的认可。内容信息系统的技术控制措施，安全管理规章和工程建设过程符合有关规定，并通过了有关的评估和认证；当前使用的信息安全产品符合相关规定，并通过了有关的评估和认证。3.1.6 持续监控保障信息系统安全的持续性

23、、稳定性。要求监控信息系统现有的安全控制措施，有计划地持续进行配置管理、信息系统组件控制、系统变更后的安全影响分析、现有安全控制措施评估和状态汇报等工作。内容制定并实施有关的规定，取得相应的认证认可，对系统的安全控制措施和安全保障能力进行持续的监控。3.2 系统与服务采购系统和服务采购涉及到资源分配、生命周期支持、信息系统文件、软件使用限制、用户安装的软件、安全设计原则、外包信息系统服务、开发人员配置管理、开发人员安全测试十个项目内容。3.2.1 资源分配要求定义投资控制过程所需的保护信息系统资源的范围；在信息系统规划中要确定安全要求；规划和预算文件中，要建立信息系统安全项目，将主要的规划和投

24、资控制过程整合到一起。内容定义投资控制的范围；信息系统规划中定义了相应的安全要求。3.2.2 生命周期支持要求管理信息系统要有其相应的生命周期；为系统开发生命周期安全考虑提供相应的实施指南。内容在相关的信息管理系统中明确关于系统生命周期的说明；有对应系统开发周期的相应的实施指南。3.2.3 采购要求采购合同中要明确定义相关的安全要求、安全规范和基于风险评估的信息系统要求；在信息系统所要求的文档中要包括安全配置说明和安全实施指南。内容采购合同满足该行业相关的安全需求；在信息系统所要求的文档中包括了相应的安全配置说明和安全实施指南。3.2.4 信息系统文件要求确保信息系统拥有完整齐全的文档，包括系

25、统的详细设计方案和实施方案，配置、安装和运行信息系统且能正确配置系统安全特性的指南；保证全部文档可用，并受到保护；提供描述信息系统中安全控制的功能属性文件。内容信息系统文件（如安全设计方案、建设方案、管理员和用户指南、系统安全配置参考文件等）完整，清晰地定义了文档的授权级别。3.2.5 软件使用限制要求对软件的使用进行限制；软件和所用相关文档与合同协商和法律版本一致；对软件和相关的文档的数量进行相应的许可保护，并对软件的复制和分发进行控制。内容制定软件使用政策，遵守软件许可协议，禁止使用盗版软件；控制用户可访问的范围，监控异常情况。例如：进行URL限制，关注异常流量等，对可疑问题是否及时上报；

26、工作人员接收权威发布部门发布的软件的相关信息，不接收和传播未经确认的信息。3.2.6 用户安装的软件要求对软件的下载和安装要有明确的规定；对软件的类型进行识别和分类，确认哪些是可以下载和安装的，哪些是被禁止的。内容有软件下载和安装的规定；安全软件的升级过程有相应的变更控制流程进行控制。3.2.7 安全设计原则要求使用安全工程原则设计和实施信息系统。内容组织机构采用信息系统安全工程原则来设计、开发和实施信息系统。3.2.8 外包信息系统服务要求执行和维护在服务协议中规定的信息安全服务提供级别；对第三方的服务提供进行管理；对第三方的服务的监控和审核进行管理；对第三方服务变更进行管理。(由于所涉及的

27、业务系统，业务过程和风险再评估的重要性，要对服务的变更过程进行管理，包括为改进现有的信息安全策略，流程和控制措施所实施的变更)。内容验证协议的执行情况，监控实际操作与协议的符合程度，对与协议不符的地方进行相应的管理，来确保第三方所提供的服务达到了协议中的要求；第三方实施了在第三方服务提供中所规定的安全控制措施，服务定义和提供服务的级别。3.2.9 开发配置管理要求对信息系统的开发要建立和实施配置管理计划，控制在开发过程中的变更，跟踪安全错误，要进行变更授权，提供计划和实施文档。内容为信息系统开发建立和实施了相应的配置管理计划；在控制可发过程之中的变更有记录。3.2.10 开发安全测试评估要求对

28、信息系统开发要建立安全测试和评估计划，并实施相应的计划，将相应的计划文档化。开发安全测试和评估结果应提交用于信息系统交付的安全认证和认可过程。内容开发的、在行业网上使用并涉及行业关键信息和数据的软件系统进行了安全评估，并通过了安全审核；对测试应用系统实施了访问控制；系统真实运行的信息复制到测试应用系统前先经过了正式授权；对系统真实运行的信息和使用情况进行了记录，以便审核追踪。3.3 配置管理配置管理是信息系统运行管理的一个重要组成部分。对网络设备、安全设备、操作系统、应用系统和数据库系统的配置进行正确有效的管理，是保证信息系统正常运行和消除系统安全风险最基本，最必要的手段。信息系统的管理和维护

29、人员要在明确安全需求的基础上，熟悉各个软硬件设备的当前配置情况，并在信息系统出现变更时按照配置管理策略和配置管理流程对配置进行及时的修改和记录。信息系统的管理和维护人员应该编制系统资产清单和当前系统的基线配置来记载系统中所有软硬件设备的基本信息（包括系统中各软硬件的生产厂商，产品类别，序列号，版本号以及该资产在系统中的物理位置和逻辑位置）和当前的配置情况。要将对资产清单和基线配置的更新作为系统更新或扩展的一项必要工作，保证资产清单和基线配置能反映系统当前的真实情况。并逐步使用自动化的工具（网管系统、安全集中管理平台等）自动生成和维护资产清单和基线配置。3.3.1 基线配置要求编制系统资产清单和

30、当前系统的基线配置；对资产清单和基线配置的更新作为系统更新或扩展的一项必要工作；使用自动化工具自动生成和维护资产清单和基线配置。内容通过资产调查，确定系统中所有资产的基本信息；基线配置文档的完整性和准确性；实现网络设备和安全设备的集中管理，具备自动生成网络设备和安全设备的基线配置的能力。3.3.2 配置变更控制要求对配置的变更进行记录和控制；使用自动化的工具来记录和控制配置变更。内容对配置变更进行记录；配置变更遵循科学规范的流程；使用了对配置变更进行控制和记录的自动化工具。3.3.3 监督配置变更要求对配置变更的全过程进行跟踪，避免配置变更对系统原有的安全功能造成不可接受的负面影响；建立配置变

31、更审计系统。内容指定专门的人员对配置变更的过程进行监督，并在配置变更之后检验配置变更对系统原有的安全性产生的影响；建立了实用的审计系统。3.3.4 变更访问限制要求确保只有被授权和批准的人员才能对信息系统配置进行变更，升级和修改；采取管理和技术的手段对配置变更行为的发生进行限制。内容制定对系统配置的访问控制策略；采用物理和逻辑的访问控制手段，对配置变更进行访问限制。3.3.5 配置策略设置要求对信息系统中使用的各种信息技术产品制定统一要求的配置策略文件，并强制执行；根据系统的安全需求，以合理的方式对系统中的设施进行安全配置。内容对系统中的网络设备、安全设备和重要服务器依据配置策略进行了合理的配

32、置。3.3.6 功能最小化要求通过配置，使系统中的设施只实现需要实现的功能。内容目前系统的配置已经禁用了不必要的软件，功能，端口，协议和服务。3.4 应急计划和事件响应应急计划是在信息系统发生紧急安全事件（包括入侵事件，软硬件故障，网络病毒，自然灾害等）之后，为尽快恢复系统正常运行，降低安全事件的负面影响而制定的策略和流程。应急计划工作应该包括应急计划的编写，针对应急计划的培训，应急计划的测试以及应急计划的更新。3.4.1 应急计划要求为信息系统制定并实施应急计划；应急计划中应描述人员角色、职责、联络人、联络信息以及如何将中断或失效的系统进行恢复；主管领导应审核并批准应急计划，并下发关键的应急

33、责任人员。内容信息系统是否针对各种紧急事件制定应急计划和处理程序，检查其完整性，合理性和可执行性。3.4.2 应急响应培训要求根据应急响应计划中人员角色和职责制定详细的培训计划，并定期进行更新和培训，并作记录；定期考察工作人员应对紧急事件的意识和技能；对事件响应的内容、处理方式和预防措施进行相关的培训。内容按照应急响应计划的总体要求制定应急响应培训计划；有对事件响应的内容、处理方式和预防措施进行相关的培训；有应急培训记录。3.4.3 应急和事件响应计划测试要求通过测试来检验信息系统应急计划的有效性，以及检验本单位是否已就绪并能够应对紧急事件。内容有测试记录和报告。3.4.4 应急和事件响应计划

34、更新要求测试后，应及时记录测试结果并总结测试中发现的问题，以对应急计划进行必要更新和修正，使其得到持续的完善。内容安全策略中有关于应急计划更新的策略和流程；不同的应急计划以及更新记录。3.4.5 事件处理要求具备安全事故的处理能力，包括准备、检测、分析、遏制、根除和恢复能力；积极总结以往安全事故处理中的经验和教训，整合到事件处理流程中来，并正确地依照流程进行实施。内容具备处理安全事故的能力；采用自动化的机制来支持事故处理过程。3.4.6 事件监控要求对所发生的安全事件进行跟踪并记录；使用相应机制（如防火墙、IDS等相关日志信息），来帮助追踪安全事故，搜集和分析事件信息。内容对所发生的安全事件进

35、行追踪并记录；使用相应机制（如防火墙、IDS等相关日志信息），来帮助追踪安全事故，搜集和分析事件信息。3.4.7 事件报告要求对发生的事故，有正式的报告程序和事件反应程序，描述接到事故报告后要采取的措施；对汇报事件的类型、内容、及时性以及汇报对象的要求，符合法律法规、行业的信息安全策略及相关规定。内容对发生的事故，有正式的报告程序和事件的反应程序;对汇报事件的类型、内容、及时性以及汇报对象的要求，符合法律法规、行业的信息安全策略及相关规定。3.4.8 事件响应支持要求建立事故响应的支持力量（如故障电话、专家队伍等），为信息系统用户关于如何处理和汇报安全事故提供建议和帮助（该资源是事故响应综合能

36、力的重要组成部分）；保证并促进与事故响应相关的信息和支持资源的可用性。内容提供事故响应支持力量。3.5 系统管理与维护系统维护是指在信息系统投入正式运行后，定期或不定期的检查系统的脆弱性，并采取技术措施弥补这些脆弱性的活动（防御性维护）；以及在系统出现故障或错误时，检查故障或错误原因，并通过技术手段消除故障或错误的活动（响应性维护）。系统维护是保证系统正常高效运行的重要手段。信息系统的管理和维护人员应制定系统维护的策略和流程，并按照策略和流程对系统进行维护。维护的执行者必须是得到正式授权的人员，维护的执行过程必须遵守系统维护的策略和流程。3.5.1 安全管理技术要求利用先进的管理技术和平台对整

37、个网络和信息系统进行统一、有效管理。内容建立网络管理与监控系统，对网络和网上运行的业务系统进行有效的管理；采用适当的安全管理技术将信息系统中的各种安全产品进行集成；安全技术措施与设备进入常规运行，并发挥其在安全策略与安全建设方案中所设定的作用。3.5.2 常规维护要求根据技术规范和相关要求定期对信息系统的各个部件进行预防性的或常规性的维护;编制系统维护记录，对维护日期、维护人员、维护项目以及移除或替代的设备清单等进行记录。内容制定系统运行维护规程，描述维护的方法和内容；有系统维护记录；3.5.3 维护工具管理要求对系统维护工具的使用进行严格的监督和控制。内容有对系统维护工具进行管理的制度；规定

38、申请和授权使用可能具有危害性的系统维护工具的流程。3.5.4 远程维护要求维护人员在进行远程维护前得到系统管理者正式的批准；通过管理和技术手段对远程维护进行严格的监督和控制。内容信息安全策略中有关于对于远程维护进行管理的内容，对远程维护的授权、监督与控制进行了详细的规定。3.5.5 维护人员要求保证只有具备足够的技术能力并得到授权的人员可以对系统进行维护。内容编制获得授权可以对信息系统进行维护的人员名单；对本单位维护人员进行定期的培训和考核的计划和记录；有对外单位人员进行系统维护的控制和监督措施。3.5.6 维护及时性要求对于信息系统中的重要软硬件设施，规定在发生故障后及时维护响应及有关备件支

39、持的要求，保证系统不间断运行或尽量缩短中断时间。内容信息安全策略中规定发生系统故障后及时维护响应和备品备件要求；当维护工作由外单位或公司负责时，是在合同售后服务条款或安全服务合同中明确了的有关日常维护和紧急事件响应的内容。4 技术管理4.1 标识鉴别信息系统必须事先定义用户的标识和鉴别，所有用户(包括技术支持的人员、操作员、网络管理员、系统程序员和数据库管理员等)要有唯一用户ID，以确保其活动或者事件的发生可以最终追溯到相关的责任人，用户的标识和鉴别要经过相关部门的批准，并形成相关的文件；4.1.1 身份标识和鉴别身份识别和鉴别是验证某些事物的过程，是用户进入系统的第一道防线。通过标识和鉴别确

40、保用户联接上了正确的安全属性(如，身份，组，角色，安全级，或是完整性类)。要求信息系统应对用户身份进行唯一地标识和鉴别；身份标识和鉴别应通过静态口令、一次性口令、令牌、生物特征，或多种方式相结合的方法来实现；采用组成复杂、不易猜测的口令，一般应是大小写英文字母、数字和特殊字符中的两者以上组合；保证口令文件安全及口令存放载体的物理安全，口令应加密存储，在网络中必须加密传输。内容信息系统形成身份标识和鉴别文件，并经过相关部门的批准；客户机、服务器、数据库、网络设备和应用系统的鉴别口令符合要求；口令文件是加密存储;通过数据监听等方式检查口令加密传输；服务器、客户机口令文件的访问、修改、删除、拷贝由专

41、门授权人员执行；日志文件记录了对口令文件的任何操作；存储和记录口令的介质存放安全。4.1.2 设备标识和鉴别要求信息系统的特定设备在建立连接前，应对其进行标识和鉴别；信息系统通常使用已知的共享信息（如MAC地址、IP地址）或采取鉴别方案（如IEEE802.1X，EAP，Radius）对局域网、广域网设备进行标识和鉴别。内容信息系统事先定义了设备标识，形成设备标识和鉴别文件，并经过相关部门的批准；信息系统采取了技术措施（如网管系统、数字证书签名认证等）对设备进行鉴别。4.1.3 标识管理要求对每个用户进行唯一的标识，并核实用户真实身份；用户标识的发布得到适当人员的授权，并确保用户标识确实发放到当

42、事人手中；用户标识如经过一段时间（如一个月，三个月）未被使用，应将其中止；用户标识应进行存档。内容对信息系统制定标识管理制度，并采取技术措施实现标识管理功能。4.1.4 鉴别管理按照用户授权给予其访问信息系统或服务的权力前验证用户身份的常用手段。要求制定管理规章制度对信息系统的认证鉴别方式(包括令牌、PKI证书,生物特征,口令等)进行管理，包括认证方式的初始分发、丢失、泄露、损害，以及撤销等方面的管理；在安装信息系统时，更改缺省的认证内容设置，对认证内容进行初始化定义；对基于口令的认证方式，应保护口令在存储和传输过程中免于泄露或被修改，防止口令在输入时显示，制定口令最大和最小生命周期限制，并禁

43、止口令生成若干次后的重用；对基于PKI的认证方式，应建立可信路径以核实证书的真实性，加强用户对其私钥的管理，并实现被鉴别的身份同用户账户的一一映射；用户在规定的时间段内没有做任何操作和访问，系统应提供重鉴别机制。内容操作系统、应用系统等的身份鉴别机制采用了静态口令、令牌、一次性口令、生理特征等身份鉴别措施；重要信息系统的口令长度不少于8个字符，更换周期小于60天；服务器和客户端系统设置了重鉴别机制，切断了超时会话，设置了屏幕保护等。4.1.5 登录和鉴别反馈确保授权用户的访问，预防信息系统的非授权访问。要求采用安全的登陆规程以控制对信息系统的访问；当用户试图进行登录鉴别时,提供有关的反馈信息给

44、用户，反馈信息不能暴露鉴别机制；在用户进行鉴别的过程中,信息系统将反馈的鉴别信息进行模糊处理（如进行系统登录时，将输入密码显示为星号）内容用户鉴别尝试失败次数连续达到5次后，系统锁定该用户帐号，只有适当的安全管理人员有权恢复或重建该帐号，将有关信息生成审计事件；输入口令是回显。4.2 访问控制访问控制是信息系统技术类的重要部分，它的目的是对系统中信息的访问进行控制。在对系统进行访问控制时，应按照业务及安全要求控制信息及业务程序的访问，并把信息发布及授权的策略内容加入到考虑范围之内。访问策略文件应清楚写明每个用户或每组用户应有的访问控制规定及权限，用户及服务提供商都应有一份这样的文件，明白访问控

45、制要达到什么业务需求。访问控制涉及以下内容：账户管理、强制访问、信息流控制、职责分离、最小特权、不成功登录、系统使用情况、最近登录情况、当前会话控制、会话锁定、会话终止、对访问控制的监督和审查、不需鉴别或认证的行为、自动化标记、自动化标签、远程访问控制、无线接入访问控制、可携便式移动设备的访问、私人信息系统。4.2.1 账户管理对信息系统的所有用户设立账户管理文档，账户管理应包括用户访问生命周期的所有阶段。它的目的是确保授权用户的访问，并预防信息系统的非授权访问。要求制定正式的账户管理文档，管理信息系统的账号，包括建立账户、激活账户、修改账户、检查账户、中止账户和删除账户；覆盖用户帐号生命周期

46、的所有阶段，从注册新用户到最后注销那些不再需要访问信息安全及服务的用户；该特别注意控制分配特级访问权限，防止特级权限让用户越过系统的控制。内容制定正式的账户管理文档，管理信息系统的账号，包括建立账户、激活账户、修改账户、检查账户、中止账户和删除账户；账户管理包括用户访问生命周期的所有阶段；有控制分配特级访问权限。4.2.2 强制访问对信息系统的重要系统进行访问时，要使用强制访问控制手段加强对信息系统的用户和客体的管理。它的目的是保护信息系统的重要应用系统。要求对需要认证访问的系统应该使用强制访问方法；采用硬件、软件或固件实现。内容使用以下访问控制策略来加强对信息系统的用户和客体的管理：基于身份

47、的策略；基于角色的策略；基于规则的策略。使用以下强制访问机制来加强对信息系统的用户和客体的管理：访问控制列表；访问控制矩阵；加密。4.2.3 信息流控制信息流是对信息系统的内部及外部联网服务的访问控制，可通过在防火墙上设置过滤策略，或在路由器上设置访问控制策略实现。它的目的是控制内部及外部联网服务的访问，保护网络服务的安全。要求控制内部及外部联网服务的访问，确保可以访问网络或网络服务的用户不会破坏这些网络服务的安全；根据信息流的特征（如IP地址、端口、传输协议等）对信息流进行控制。内容有对内部及外部联网服务的访问控制措施；采用基于信息特征的信息流控制方法和强制访问机制，加强对相互连接的系统间信

48、息流的访问控制。4.2.4 职责分离职责分离是一种降低未授权访问、无意识修改或滥用职权的方法。它的目的是减少偶然的或故意的系统误用风险。要求采用职责分离原则，降低意外或蓄意误用系统所带来风险的。不让未授权的个人访问，修改或使用系统资源。内容建立职责分离制度；把信息系统按使用的不同分类，划分不同的角色（如系统管理员,系统编程员,质量管理员/测试员,配置管理员,网络安全管理员等）；不同的个体执行信息系统的不同的职能(例如系统管理，系统编程，质量管理/测试，配置管理，网络安全等)；执行存取控制作用的安全人员不执行审计作用。4.2.5 最小权限最小权限是限制和控制特权的使用和分配。它的目的是防止授权用

49、户访问超越其职能管理的范围，导致系统故障或安全违规。要求严格限制特权的分配和使用，对系统特权的不当使用是导致系统被攻破的一个主要因素；系统必须通过正式的授权程序来控制对特权的分配。内容确定与系统产品例如操作系统、数据库管理系统和应用软件相联系的特权和需要分派的任务类别相对应；特权的分配建立在必要基础上；有授权程序和分配特权的记录；特权用户身份与常规用户身份分离。4.2.6 不成功登录尝试不成功登录尝试是用户连续的试图进入系统的不成功的尝试。它的目的是防止非授权用户对系统的访问。要求当用户连续的试图登录次数超过系统规定的最大次数时,系统应该能够自动锁定帐户或延迟帐户下一次登录的时间。系统限制登录

50、程序的最长及最短时间，如果超过，系统将终止登录。内容直到登录成功完成，才显示系统的标识符；限制登录失败的次数，记录不成功的登录；强制在继续登录尝试前有时间间隔，或者在没有特定授权之下拒绝任何登录尝试；限制登录程序的最长及最短时间。4.2.7 系统使用情况系统使用情况用来描述系统的使用状况、系统的近期和目前的安全状况、当异常状态发生时能立即自动报警。它的目的是监视、记录和审计系统的使用状况。要求系统能够显示系统的使用情况；系统应能够监视、记录和审计系统的使用情况；系统能够在用户登录系统之前，通知用户使用个人策略和安全策略。内容采用信息审计产品对系统的使用状况进行监视和管理；当出现系统异常时，系统

51、能够自动报警。4.2.8 最近登录情况最近登录情况用来描述系统最近时期的用户登录次数、时间。它的目的是防止非法用户访问信息系统。要求信息系统在用户成功登录后，通知用户最近登录的日期和时间，以及不成功登录的次数。内容系统能够在用户成功登录后，通知用户最近登录的日期和时间，以及不成功的登录的次数。4.2.9 并发会话控制并发会话控制是对用户并发会话的次数有一个最大值限定，当超过最大值时，系统应该自动向管理员报警。它的目的是防止非授权用户对系统进行访问和拒绝服务攻击。要求信息系统应该限制用户并发会话的数量。内容当用户并发会话的次数超过系统规定的最大次数时，系统能够自动向管理员报警；当用户并发会话的次

52、数超过系统规定的最大次数时，系统能够锁定此用户的帐号。4.2.10 会话锁定会话锁定是当用户对系统进行长时间的访问时，系统有适当的鉴别机制和认证程序使用户再次建立有效的会话。它的目的是防止非授权用户对系统进行访问。要求系统为了防止用户使用初始的会话锁对系统进行更多的访问，使用适当的鉴别和认证程序使用户再次建立有效的会话锁。内容当定义的静止状态发生后，系统能够自动激活会话锁；有合适的锁定机制（例如有口令的屏幕保护）。4.2.11 会话终止会话终止是当系统会话结束后或系统处于静止状态一段时间后，系统能够自动终止会话。它的目的是保护PC或终端不被非法使用。要求在静止状态发生一段时间后，系统能够自动终

53、止会话。内容系统在会话结束后退出登录主机（即不仅仅是关闭PC或终端）；当PC或终端不用时，系统能保护它们不被非法使用，例如使用密钥锁或等同的安全机制，如口令访问。4.2.12 对访问控制的监督和审查对访问控制的监督和审查是对用户的行为进行监督和审查。它的目的是加强对系统的访问控制。要求对用户的行为进行监督和审查，以此来加强对系统的访问控制；定期审查系统信息，当发现异常情况时，适当调整访问控制策略；对系统特权用户的行为定期进行重点审查；内容有与访问控制策略不符的审计记录；当发现异常信息时，调整访问控制措施；对系统特权用户定期进行重点审查。4.2.13 不需鉴别或认证的行为不需鉴别或认证的行为是不

54、需要鉴别或认证就可执行的用户行为，如一些公共网站、公开可用信息。它的目的是方便用户对公开信息的访问。要求定义不需要鉴别或认证就能够执行的用户行为，比如公共网站，公开可用信息系统。内容明确定义不需要鉴别或认证就能够执行的用户行为。4.2.14 自动化标记自动化标记是对系统的物理或电子格式的信息资产进行分类标记。它的目的是方便信息的安全处理、储存、传播或发送。要求信息系统标记产品使用标准命名惯例，以方便传播、处理或发送指示；信息被分类来确认保护的要求和优先级。内容信息被分类来确认保护的要求和优先级；制定合适的程序来标注及处理信息。4.2.15 远程访问控制远程访问控制是对远程用户对系统的访问进行控

55、制。它的目的是对远程用户进行鉴别是否为系统的合法用户。要求建立对远程访问控制的相关文件；对远程访问进行监控；使用加密来保护远程访问会话的机密性；使用访问控制管理中心管理远程访问。内容编写对远程访问控制的相关文件；采取远程访问控制管理手段,对远程访问进行管理和监控；采用加密技术保护远程会话信息4.2.16 无线接入访问控制无线接入访问控制是对无线接入用户的访问控制。它的目的是对无线接入用户进行鉴别是否为系统的合法用户。要求对无线接入进行限制，制定相关的文件；对无线访问进行监视和控制；在使用无线接入时有正式的授权；使用认证和加密技术保护无线访问系统。内容在无线接入前已经进行认证；使用无线传输信息时

56、对信息进行加密处理；使用IEEE802.1X标准使用IEEE802.11b标准或蓝牙标准；4.2.17 便携式移动设备的访问控制便携式移动设备的访问控制是对便携式移动设备的使用进行访问控制。它的目的是对系统的重要信息进行保护，防止非法用户获取。要求建立对便携式移动设备使用的限制，制定相关的文件；对便携式移动设备访问进行监视和控制；对存储于便携式移动设备中重要信息使用加密技术进行保护。内容编写便携式移动设备使用限制的文件；当使用便携式移动设备时，有以下相应的安全措施：扫描恶意代码；更新病毒库，检测重要软件的更新、打补丁；对主操作系统完整性检查；卸载不用的硬件4.2.18 个人信息系统对个人信息系

57、统进行访问控制是限制个人信息参与组织信息相关的处理、存储及传输过程。它的目的是限制个人信息系统在系统中的使用。要求限制个人信息系统参与组织信息相关的处理，存储以及传输过程。内容建立对使用个人信息系统的限制；在物理上有足够的安全控制。4.3 系统与信息完整性系统和信息的完整性是指信息系统中的操作系统，应用系统，数据库系统等软件工具的功能和配置以及在信息系统中存储的信息保持正确的状态，不被非法篡改。为保持系统和信息的完整性，系统管理和维护人员要制定相应的策略和流程，并按照制定的策略和流程使用技术手段和管理手段修补系统中存在的漏洞，消除系统中的恶意代码，并对输入输出信息系统的信息进行控制和校验。4.

58、3.1 漏洞修补跟踪最新发布的漏洞公告，及时对操作系统、应用系统、数据库系统进行漏洞补丁加固。要求及时的发现，报告并修补系统中的漏洞。内容运行维护规程对漏洞修补工作进行了详细的规定;有漏洞修补的相关记录。4.3.2 防恶意代码攻击部署恶意代码（病毒、蠕虫、木马、间谍软件等）保护机制，并具备自动更新能力；目的是为了保护操作系统、应用系统、数据库系统的安全，以至不出现系统崩溃、数据丢失等危险。要求利用管理和技术手段防止恶意代码（病毒，蠕虫，木马等）对系统的破坏。内容系统中部署了防病毒系统；制定了防病毒的相关管理规定。4.3.3 输入信息的限制防止未经授权的人向应用程序和数据库输入信息，改变系统与信

59、息的完整性。要求保证只有经过授权的人可以向信息系统中输入数据。内容利用访问控制设备，应用程序本身的配置和相应的管理手段防止未经授权的人向应用程序和数据库输入信息。4.3.4 错误处理通过错误处理使系统管理员和系统维护人员能快速辨别和处理错误。要求信息系统具备快速辨别和处理错误的能力内容在应用系统的开发过程中充分考虑报错信息的形式和内容；在系统中出现错误后及时地提供有关错误的有用信息；有报错信息能为攻击者提供系统中的敏感信息和有关系统脆弱性的信息；报错信息只显示给拥有授权的用户如系统管理员和系统维护人员。4.3.5 输出信息的处理和保存通过信息的处理和保存，确保信息的真实性、合理性、完整性、精确性。要求对应用系统输出的信息进行妥善的处理和保存，保证输出和储存信息的过程合理。内容对系统输出的信息的真实性进行校验，保证输出信息的合理性；为信息的阅读者或输出信息的接收系统提供充足的信息，以确定输出信息的真实性，完整性，精确性和类别；对输出信息的去向和储存方式作详细的记录。4.4 系统与通信保护 系统和通信保护是信息系统正常运行的重要保障，它的目的是确保信息处理设备运作正确及安全。建立管理及运行所有信息