TC260N0061信息安全等级保护信息系统安全管理要求V3.00302

《TC260N0061信息安全等级保护信息系统安全管理要求V3.00302》由会员分享，可在线阅读，更多相关《TC260N0061信息安全等级保护信息系统安全管理要求V3.00302（83页珍藏版）》请在装配图网上搜索。

1、TC260-N006100 TC260-WG5-N50015 替代号：文档名称： 信息安全等级保护 信息系统安全管理要求内容摘要： 编写日期： 2005年3月7日项目编号： 标准计划号： 文档状态： 文档页数： 84全国信息安全标准化委员会(TC260)WG5秘书:罗锋盈地址:安定门东大街1号电话: 传真: 77 / 83文档可自由编辑打印ICS XX.XXXGBLXX 中华人民共和国国家标准 GB/T XXXX XXXX信息安全等级保护信息系统安全管理要求Information security classified protectionInformation system security

2、 management requirements （送审稿）2004 - 发布 2004 - 实施国家质检总局 发布目 次前言III引言IV1 范围12 规范性引用文件13 术语和定义14 信息系统安全管理的一般要求24.1 信息系统安全管理的内涵24.2 信息系统安全管理的总体原则34.3 信息系统安全管理的主要策略45 信息系统安全管理要素及其强度45.1 政策和制度45.2 机构和人员管理95.3 风险管理155.4 环境和资源管理195.5 运行和维护管理235.6 业务连续性管理395.7 监督和检查管理425.8 生命周期管理456 信息系统安全管理分等级要求506.1 第一级 （

3、用户自主保护级）实施基本的管理506.2 第二级 （系统审计保护级）实施操作规程管理536.3 第三级 （安全标记保护级）实施制度化管理576.4 第四级 （结构化保护级）实施规范化管理616.5 第五级 （访问验证保护级）实施持续改进管理65附录A 安全管理要素及其强度与安全管理分等级要求的对应关系（规范性附录）68附录B 信息系统安全管理概念说明（资料性附录）71B.1 主要安全因素71B.2 安全管理的过程73参考文献79前 言GB17859-1999计算机信息系统安全保护等级划分准则，是我国实施信息安全等级保护的重要标准，已于1999年9月13日发布。为促进信息安全等级保护工作的正常有

4、序开展，特制定一系列相关的标准，包括： 信息安全技术要求系列标准； 信息安全评估系列标准； 信息安全管理系列标准等。本标准是上述信息安全等级保护系列标准中的管理要求标准。本标准的附录A是规范性附录， 附录B是资料性附录。本标准由中华人民共和国全国信息安全标准化技术委员提出，并由国家标准化管理委员会归口。本标准起草单位：江南计算技术研究所技术服务中心，北京江南科友科技有限公司。本标准主要起草人：陈冠直 王志强 吉增瑞 景乾元 王晓春 戴宇星 杨斌 张兰引 言本标准是GB17859-1999的系列配套标准中的重要标准之一，与GB17859-1999相关的信息安全技术要求系列标准、信息安全评估系列标

5、准、信息安全管理系列标准等共同组成信息安全等级保护的标准体系。1994年国务院颁布的中华人民共和国计算机信息系统安全保护条例规定计算机信息系统实行安全等级保护。2003年中央办公厅、国务院办公厅转发的国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）中明确指出：“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2004年公安部等四部委关于信息安全等级保护工作的实施意见（公通字200466号）也指出，信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安

6、全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输和处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理。对信息系统中发生的信息安全事件分等级进行响应、处置，根据不同安全保护等级的信息系统中发生的不同等级事件制定相应的预案，确定事件响应和处置的范围、程度以及适用的管理制度等。本标准依据上述有关国家政策法规的要求提出信息系统分等级实行安全保护的管理要求。信息安全等级保护标准体系，从与信息系统安全相关的管理层面、物理层面、网络层面

7、、系统层面、应用层面对信息系统的运行和资源实施保护。管理层面贯穿于其他层面，是其他层面实施安全等级保护的保证。本标准从不同层面对信息和信息系统安全保护提出了安全管理要求，阐述了安全管理要素及其强度，并将管理要求落实到GB17859-1999的五个等级上，有利于对安全管理的实施、评估和检查。GB17859-1999中保护等级的划分是在充分考虑安全技术和安全风险控制的关系上确定的，安全等级越高，安全技术的费用和管理成本也就越高，从而能抵御更大的安全威胁，能有效建立起安全信心，降低信息系统的使用风险。本标准以安全管理要素作为描述安全管理要求的基本组件。安全管理要素是指，为实现信息系统安全等级保护所规

8、定的安全要求，从管理角度应采取的主要控制方法和措施。根据GB17859-1999对安全保护等级的划分，不同的安全保护等级会有不同的安全管理要求，可以体现在管理要素的增加和管理强度的增强两方面。对于每个管理要素，根据特定情况分别列出不同的管理强度，最多分为5级，最少可不分级。在具体描述中，除特别声明之外，一般高级别管理强度的描述都是在对低级别描述基础之上进行的。信息系统是指由计算机及其相关和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络；信息是指在信息系统中存储、传输、处理的数字化信息。本标准涉及信息系统的管理者包括国家机关、事业单位、厂矿企业、公司、集

9、团等各种类型和不同规模的组织机构，以下统称为“组织机构”。信息系统在技术上采取何种安全机制应根据相关技术标准确定，本标准仅提出保证这些安全机制实施的管理要求。与技术密切的管理是技术实现的组成部分，如果信息系统根据具体业务及其安全需求未采用该技术，则不需要相应的安全管理要求。对与管理描述难以分开的技术要求会出现在管理要求中，具体执行需要参照相关技术标准。本标准中有关信息系统安全管理要素及其强度与信息系统安全管理分等级要求的对应关系的说明见附录A。为了帮助读者从安全管理概念角度理解和运用这些信息系统的安全管理要求，附录B给出了信息系统安全管理概念说明。信息安全等级保护 信息系统安全管理要求1 范围

10、本标准规定了按GB17859-1999的等级划分实现信息安全等级保护对信息系统安全的管理要求。本标准适用于相关组织机构（部门）按GB17859-1999的等级划分对信息系统实施等级保护所进行的安全管理。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T XXX1-XXXX 信息安全技术 信息系统安全通用技术

11、要求3 术语和定义GB 17859-1999确立的及下列的术语和定义适用于本标准。3.1 保密性 confidentiality表征数据或系统不泄露给非授权的实体，不为其所用的安全属性。GB 178593.2 完整性 integrity数据完整性表征数据没有遭受以非授权方式的、非预期的或无意的篡改或破坏程度的安全属性；系统完整性表征系统的质量，反应系统的逻辑正确性和可靠性，实现保护机制的硬件和软件的逻辑完备性、数据结构的一致性。3.3 可用性 availability表征数据或系统根据授权实体的请求可被访问与使用程度的安全属性。3.4 访问控制 access control按确定的规则，对实体

12、之间的访问活动进行控制的安全机制，能防止对资源的未授权使用。3.5 安全审计 security audit按确定规则的要求，对与安全相关的事件进行审查，以日志方式记录必要信息，并作出相应处理的安全机制。3.6 审计踪迹 audit trail以审计方式确定系统的活动踪迹，并以日志信息作为踪迹数据。3.7 威胁 threat一种会对信息安全造成侵害的行为或活动。3.8 鉴别信息 authentication information用以确认身份真实性的信息。3.9 授权 authorization给主体授予权限的机制和过程，如访问授权是授予指定主体对指定客体进行指定访问操作的权限。3.10 敏感性

13、 sensitivity表征资源价值或重要性的特性，也可能包含这一资源的脆弱性。3.11 信息系统安全管理体系 information system security management architecture通过规划、组织、领导、控制等措施，实现组织机构的信息系统安全目标的相互关联或相互作用的一系列支撑服务要素的集合。这些要素包括信息系统安全组织、信息系统安全管理体系文件、控制措施、操作过程和程序等相关资源。3.12 风险评估 risk assessment通过对信息系统的资产价值、信息系统所受到的威胁以及信息系统的脆弱性进行综合分析，确定信息系统风险的方法和过程。4 信息系统安全管理的

14、一般要求4.1 信息系统安全管理的内涵信息系统安全管理是对一个组织机构中信息系统的生命周期全过程实施符合安全等级责任要求的管理，包括： 落实安全管理机构及安全管理人员，明确角色与职责，制定安全规划； 开发安全策略； 实施风险管理； 制定业务持续性计划和灾难恢复计划； 选择与实施安全措施； 保证配置、变更的正确与安全； 进行安全审计； 保证维护支持； 进行监控、检查，处理安全事件； 安全意识与安全教育； 人员安全管理等。4.2 信息系统安全管理的总体原则a）基于安全需求原则组织机构应根据其信息系统担负的使命，积累的信息资产的重要性，可能受到的威胁及面临的风险分析安全需求，按照信息系统等级保护要求

15、确定相应的信息系统安全保护等级，遵从相应等级的规范要求，从全局上恰当地平衡安全投入与效果。b）主要领导负责原则主要领导应确立其组织统一的信息安全保障的宗旨和政策，负责提高员工的安全意识，组织有效安全保障队伍，调动并优化配置必要的资源，协调安全管理工作与各部门工作的关系，并确保其落实、有效。c）全员参与原则信息系统所有相关人员应普遍参与信息系统的安全管理，并与相关方面协同、协调，共同保障信息系统安全。d）系统方法原则按照系统工程的要求，识别和理解信息安全保障相互关联的层面和过程，采用管理和技术结合的方法，提高实现安全保障的目标的有效性和效率。e）持续改进原则安全管理是一种动态反馈过程，贯穿整个安

16、全管理的生命周期，随着安全需求和系统脆弱性的时空分布变化，威胁程度的提高，系统环境的变化以及对系统安全认识的深化等，应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级，维护和持续改进信息安全管理体系的有效性。f）依法行政原则信息安全管理工作主要体现为行政行为，应保证信息系统安全行政主体合法、行政行为合法、行政内容合法、行政程序合法。对安全事件的处理，应由授权者适时发布准确一致的有关信息，避免带来不良的社会影响。4.3 信息系统安全管理的主要策略a）分权制衡对特定职能或责任领域的管理功能实施分离、独立审计等分权制衡原则，避免操作权力过分集中所带来的隐患，以减

17、小未授权的修改或滥用系统资源的机会。b）最小授权任何实体（如用户、管理员、进程、应用或系统）仅享有该实体需要完成其任务所必须的特权，不应享有任何多余特权。c）选用成熟技术成熟的技术提供可靠性、稳定性保证，采用新技术时要重视其成熟的程度。如果新技术势在必行，应首先局部试点然后逐步推广，减少或避免可能出现的损失。d）分级保护按照定级标准来规范信息系统安全保护的等级，实行分级保护；对多个子系统构成的大型信息系统，确定主系统的基本安全保护等级，并在保证互联互通和信息共享的前提下，根据实际安全需求，分别确定各子系统的安全保护等级，实行多级保护。e）管理与技术并重坚持积极防御和综合防范，全面提高信息安全防

18、护能力，立足国情，坚持管理与技术并重，管理科学性和技术前瞻性结合，保障信息系统安全。f）自我保护和国家保护结合对信息系统安全实行自我保护和国家保护相结合，组织机构要对自己的信息系统安全保护负责，政府相关部门有责任对信息系统安全管理进行指导、监督和检查，形成自管、自查、自评和国家监管的安全保护机制，提高信息系统的安全保护能力和水平，保障国家信息安全。5 信息系统安全管理要素及其强度5.1 政策和制度5.1.1 信息安全管理策略5.1.1.1 安全管理目标与范围安全管理需要明确信息系统的安全管理目标和管理范围，不同安全等级应有选择地满足以下要求的一项：a）基本的管理目标与范围：针对一般的信息和信息

19、系统，安全管理目标与范围应包括：制定系统安全目标和安全范围、系统设施和操作等内容的安全计划文件；为达到相应等级技术要求提供管理保证；提供对信息和系统进行基本的安全保护能力，设置基本的安全功能和安全管理要求，确保安全功能达到预期目标，使信息免遭非授权的泄露和破坏，基本保证系统安全正常运行并保障安全应用。b）较完整的管理目标与范围：针对在一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，在a）的基础上，安全管理目标与范围还应包括：安全管理机构的建立，安全操作规程的制定；针对关键系统的风险管理计划的制定；提供对信息和系统比较完整的系统化的安全保护的能力，设置比较完善的安全管理

20、要求，从整体上保护信息免遭非授权的泄露和破坏，提供一定安全的系统服务，保证系统安全正常运行并保障安全应用。c）系统化的管理目标与范围：针对涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，还应包括系统安全的自动监视和审计；系统认证、验收的规定，系统使用的授权的规定；提供对信息和系统进行强制的安全保护的能力，设置必要的强制性安全管理制度，确保数据信息免遭非授权的泄露和破坏，保证较高安全的系统服务，能够充分保证系统安全正常运行并保障安全应用。d）强制保护的管理目标与范围：针对涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统，在b）的基础上，安全管理目标与范围还应包括：安全策

21、略和措施的程序化、周期化的评估，以及针对明显的风险变化和安全事件的评估；分权管理机制的强制实施，可信管理的实施；提供对信息和系统进行整体的强制安全保护的能力，实现由系统进行整体的强制性安全保护，设置比较完善的强制性安全管理制度，提供高安全的系统服务，保证系统安全正常运行并保障安全应用。e）专控保护的管理目标与范围：针对涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心系统，在d）的基础上，安全管理目标与范围还应包括：促使全面安全管理计划与组织机构文化的有机融合，并适应安全环境的变化；实施全面安全管理；提供对信息和系统进行基于可验证的强制安全保护的机制和能力, 设置完善的强制性

22、安全管理制度，实现可验证的强制安全保护，提供最高安全的系统服务，全面保证系统安全正常运行并保障安全应用。5.1.1.2 总体安全管理策略不同安全等级的总体安全策略应有选择地满足以下要求的一项：a）基本的信息安全管理策略：信息安全管理策略包括：依照国家政策法规和技术及管理标准进行自主保护；信息系统安全工作的方针策略（以下简称安全策略）应阐明管理者对实行信息安全的承诺，并陈述组织机构管理信息系统安全的方法；说明信息系统安全的总体目标、范围和安全框架；申明支持信息系统安全目标和原则的管理意向；简要说明对组织机构有重大意义的安全方针、原则、标准和符合性要求。b）较完整的信息安全管理策略：在a）的基础上

23、，信息安全管理策略还包括：在自主保护的基础上，在信息安全监管职能部门对其进行指导；明确划分信息系统不同安全区域范围及其安全保护等级（分级分类策略），制定风险管理策略、业务连续性策略、安全培训与教育策略、审计策略等较完整的信息安全策略。c）体系化的信息安全管理策略：在b）的基础上，信息安全管理策略还包括：在自主保护的基础上，由信息安全监管职能部门对其进行监督、检查；制定目标策略、规划策略、机构策略、人员策略、管理策略、安全技术策略、控制策略、生命周期策略、投资策略、质量策略等，形成体系化的信息系统安全策略。d）强制保护的信息安全管理策略：在c）的基础上，信息安全管理策略还包括：在自主保护的基础上

24、，由信息安全监管职能部门对其进行强制监督、检查；制定完整的信息系统安全管理体系策略。e）专控保护的信息安全管理策略：在d）的基础上，信息安全管理策略还包括：在自主保护的基础上，由国家指定专门部门、专门机构进行专门监督；制定持续改进的信息系统安全管理策略。5.1.1.3 安全管理策略的制定安全管理策略的制定，不同安全等级应有选择地满足以下要求的一项：a）基本的信息安全管理策略的制定：应由安全管理人员为主制定，具体由分管信息安全工作的负责人召集，以安全管理人员为主，和相关人员一起制定信息安全管理工作的总体策略，并以文件形式表述。b）较完整的信息安全管理策略的制定：应由信息安全职能部门负责制定，具体

25、由分管信息安全工作的负责人组织，信息安全职能部门负责制定信息安全管理工作的总体策略，并以文件形式表述。c）体系化的信息安全管理策略的制定：应由信息安全领导小组组织制定，具体由信息安全领导小组组织并提出指导思想，信息安全职能部门负责具体制定信息安全管理工作的总体策略，并以文件形式表述。d）强制保护的信息安全管理策略的制定：应由信息安全领导小组组织并提出指导思想，信息安全职能部门指派专人负责制定信息安全管理工作的总体策略，并以文件形式表述；涉密系统安全策略的制定应限定在相应范围内进行；必要时，可征求信息安全监管职能部门的意见。e）专控保护的信息安全管理策略的制定：在d）的基础上，必要时应征求国家指

26、定的专门部门或机构的意见，或者共同制定信息安全管理工作的总体策略。5.1.1.4 安全管理策略的发布安全管理策略应以文档形式发布，不同安全等级应有选择地满足以下要求的一项：a）基本的安全管理策略的发布：安全管理策略文档应向信息系统的用户传达，其形式应针对目标读者，并能够为读者接受和理解。b）较完整的安全管理策略的发布：在a）的基础上，安全管理策略文档应经过管理层有关负责人签发，按照有关文件管理程序发布。c）体系化的安全管理策略的发布：在b）的基础上，安全管理策略文档应注明发布范围，并有收发文登记。d）强制保护的安全管理策略的发布：在c）的基础上，安全管理策略文档应注明密级。e）专控保护的安全管

27、理策略的发布：在d）的基础上，必要时安全管理策略文档应在国家指定的专门部门或机构进行备案。5.1.2 安全管理规章制度5.1.2.1 安全管理规章制度内容应根据机构的总体安全策略和实际需求，制定信息系统安全管理需要的规程和制度，不同安全等级的安全管理规章制度的内容应有选择地满足以下要求的一项：a）基本的信息安全管理制度：应包括网络安全管理规定，系统安全管理规定，数据安全管理规定，防病毒规定，机房安全管理规定，以及相关的操作规程等。b）较完整的信息安全管理制度：在a）的基础上，应增加设备使用管理制度，人员安全管理制度，安全审计管理制度，用户管理制度，风险管理制度，信息分类分级管理制度，安全事件报

28、告制度，事故处理制度，应急管理制度和灾难恢复管理制度等。c）体系化的信息安全管理制度：在b）的基础上，应制定全面的安全管理制度，包括：机房、主机设备、网络设施、物理设施分类标记等系统资源安全管理制度；安全配置、系统分发和操作、系统文档、测试和脆弱性评估、系统信息安全备份和相关的操作规程等系统和数据库方面的安全管理制度；网络连接检查评估、网络使用授权、网络检测、网络设施（设备和协议）变更控制和相关的操作规程等方面的网络安全管理制度；应用安全评估、应用系统使用授权、应用系统配置管理、应用系统文档管理和相关的操作规程等方面的应用安全管理制度；人员安全管理、安全意识与安全技术教育、操作安全、操作系统和

29、数据库安全、系统运行记录、病毒防护、系统维护、网络互联、安全审计、安全事件报告、事故处理、应急管理、灾难恢复和相关的操作规程等方面的运行安全管理制度；信息分类标记、涉密信息管理、文档管理、存储介质管理、信息披露与发布审批管理、第三方访问控制和相关的操作规程等方面的信息安全管理制度等。d）强制保护的信息安全管理制度：在c）的基础上，应增加信息保密标识与管理制度，密码使用管理制度，安全事件例行评估和报告制度，关键控制措施定期测试制度等。e）专控保护的信息安全管理制度：在d）的基础上，应增加安全管理审核监督制度等。5.1.2.2 安全管理规章制度的制定安全管理规章制度的制定及发布，应有明确规定的程序

30、，不同安全等级应有选择地满足以下要求的一项：a）基本的信息安全制度的制定：应由安全管理人员负责制订信息安全规章制度，并以文档形式表述，由分管信息安全工作的负责人审批发布。b）较完整的信息安全制度的制定：应由信息安全职能部门负责制订信息安全规章制度，并以文档形式表述，由分管信息安全工作的负责人审批，按照有关文档管理程序发布。c）体系化的信息安全制度的制定：应由信息安全职能部门负责制订信息安全规章制度和相关的操作规程，并以文档形式表述，经信息安全领导小组讨论通过，由信息安全领导小组负责人审批发布，应注明发布范围并有收发文登记。d）强制保护的信息安全制度的制定：应由信息安全职能部门指派专人负责制订信

31、息安全规章制度和相关的操作规程，并以文档形式表述，经信息安全领导小组讨论通过，由信息安全领导小组负责人审批发布；信息安全规章制度和相关的操作规程文档的发布应注明密级，对涉密的信息安全规章制度和相关的操作规程文档的制定应在相应范围内进行。e）专控保护的信息安全制度的制定：在d）的基础上，必要时，应征求组织机构的保密管理部门的意见，或者共同制定。5.1.3 策略与制度文档管理5.1.3.1 策略与制度文档的评审和修订对策略与制度文档的评审和修订，不同安全等级应有选择地满足以下要求的一项：a）基本的评审和修订：应由分管信息安全的负责人和安全管理人员负责文档的评审和修订；应通过所记录的安全事故的性质、

32、数量以及影响检查策略和制度的有效性，评价安全管理措施对成本及应用效率的影响，以及技术变化对安全管理的影响；经评审，对存在不足或需要改进的策略和制度应进行修订，并按规定程序发布。b）较完整的评审和修订：应由分管信息安全的负责人和信息安全职能部门负责文档的评审和修订；应定期或阶段性审查策略和制度存在的缺陷，并在发生重大安全事故、出现新的漏洞以及机构或技术基础结构发生变更时，对策略和制度进行相应的评审和修订；对评审后需要修订的策略和制度文档，应明确指定人员限期完成并按规定发布。c）体系化的评审和修订：应由信息安全领导小组和信息安全职能部门负责文档的评审和修订；应对安全策略和制度的有效性进行程序化、周

33、期性评审，并保留必要的评审记录和依据；每个策略和制度文档应有相应责任人，根据明确规定的评审和修订程序对策略进行维护。d）强制保护的评审和修订：应由信息安全领导小组和信息安全职能部门的专门人员负责文档的评审和修订，必要时可征求信息安全监管职能部门的意见；应对安全策略和制度的有效性进行程序化、周期性评审，并保留必要的评审记录和依据；每个策略和制度文档应有相应责任人，根据明确规定的评审和修订程序对策略进行维护；对涉密的信息安全策略、规章制度和相关的操作规程文档的评审和修订应在相应范围内进行。e）专控保护的评审和修订：在d）的基础上，必要时可请组织机构的保密管理部门的参加文档的评审和修订，应征求国家指

34、定的专门部门或机构的意见；应对安全策略和制度的有效性及时进行专项的评审，并保留必要的评审记录和依据。5.1.3.2 策略与制度文档的保管对策略与制度文档，以及相关的操作规程文档的保管，不同安全等级应有选择地满足以下要求的一项：a）指定专人保管：对策略和制度文档，以及相关的操作规程文档，应指定专人保管。b）借阅审批和登记：在a）的基础上，借阅策略和制度文档，以及相关的操作规程文档，应有相应级别负责人审批和登记。c）限定借阅范围：在b）的基础上，借阅策略和制度文档，以及相关的操作规程文档，应限定借阅范围，并经过相应级别负责人审批和登记。d）全面严格保管：在c）的基础上，对涉密的策略和制度文档，以及

35、相关的操作规程文档的保管应按照有关涉密文档管理规定进行；对保管的文档以及借阅的记录定期进行核查。e）专控保护的管理：在d）的基础上，应与相关业务部门协商制定专项控制的管理措施。5.2 机构和人员管理5.2.1 安全管理机构5.2.1.1 建立安全管理机构在组织机构中应建立安全管理机构，不同安全等级的安全管理机构应有选择地满足以下要求的一项：a）配备安全管理人员：管理层中应有一人分管信息系统安全工作，并为信息系统的安全管理配备独立的安全管理人员。b）建立安全职能部门：在a）的基础上，应建立管理信息系统安全工作的职能部门，或者明确指定一个职能部门兼管信息安全工作，作为该部门的关键职责之一。c）成立

36、安全领导小组：在b）的基础上，应在管理层成立信息系统安全管理委员会或信息系统安全领导小组（以下统称信息安全领导小组），对覆盖全国或跨地区的组织机构，应在总部和下级单位建立各级信息系统安全领导小组，在基层至少要有一位独立的安全管理人员负责信息系统安全工作。d）主要负责人出任领导：在c）的基础上，应由组织机构的主要负责人出任信息系统安全领导小组负责人。e）建立信息安全保密管理部门：在d）的基础上，应建立信息系统安全保密监督管理的职能部门，或对原有保密部门明确信息安全保密管理责任，加强对信息系统安全管理重要过程和管理人员的保密监督管理。5.2.1.2 信息安全领导小组信息系统安全领导小组负责领导本组

37、织机构的信息系统安全工作，至少应行使以下管理职能之一：a）信息系统安全管理的领导职能：根据国家和行业有关信息安全的政策、法律和法规，批准机构信息系统的安全策略和发展规划；确定各有关部门在信息系统安全工作中的职责，领导安全工作的实施；监督安全措施的执行，并对重要安全事件的处理进行决策；指导和检查信息系统安全职能部门及应急处理小组的各项工作；建设和完善信息系统安全的集中控管的组织体系和管理机制。b）信息系统保密监督的管理职能：在a）的基础上，对信息安全保密管理部门进行有关信息系统安全保密监督管理方面的指导和检查。5.2.1.3 信息安全职能部门信息安全职能部门在信息系统安全领导小组领导下，负责本组

38、织机构信息系统安全的具体工作，至少应行使以下管理职能之一：a）基本的安全管理职能：根据国家和行业有关信息安全的政策法规，起草组织机构信息系统的安全策略和发展规划；管理机构信息系统安全日常事务，检查和指导下级单位信息系统安全工作；负责安全措施的实施或组织实施，组织并参加对安全重要事件的处理；监控信息系统安全总体状况，提出安全分析报告；指导和检查各部门和下级单位信息系统安全人员及要害岗位人员的信息系统安全工作；应与有关部门共同组成应急处理小组或协助有关部门建立应急处理小组实施相关应急处理工作。b）领导安全机制集中管理机构的职能：在a）的基础上，完成信息系统安全领导小组交办的工作，并向领导小组报告机

39、构的信息系统安全工作；领导信息系统安全机制集中管理机构的各项工作，实现信息系统安全的集中控制管理。5.2.2 安全机制集中管理机构5.2.2.1 设立信息系统安全机制集中管理机构信息系统安全机制集中管理机构（以下简称集中管理机构）既是技术实体，也是管理实体，应按照以下方式设立：a）集中管理机构人员和职责：应配备必要的领导和技术管理人员，应选用熟悉安全技术、网络技术、系统应用等方面技术人员，明确责任协同工作，统一管理信息系统的安全运行，进行安全机制的配置与管理，对与安全有关的信息进行汇集与分析，对与安全有关的事件进行响应与处置；应对分布在信息系统中有关的安全机制进行集中管理；应接受信息安全职能部

40、门的直接领导。5.2.2.2 信息系统安全机制集中管理机构职能a）信息系统安全运行的统一管理：集中管理机构主要行使以下技术职能： 防范与保护：建立物理、支撑系统、网络、应用、管理等五个层面的安全控制机制，构成系统有机整体安全控制机制；统一进行信息系统安全机制的配置与管理，确保各个安全机制按照设计要求运行； 监控与检查：对服务器、路由器、防火墙等网络部件、系统安全运行性状态、信息（包括有害内容）的监控和检查；汇集各种安全机制所获取的与系统安全运行有关的信息，对所获取的信息进行综合分析，及时发现系统运行中的安全问题和隐患，提出解决的对策和方法； 响应与处置：事件发现、响应、处置、应急恢复，根据应急

41、处理预案，作出快速处理；应对各种事件和处理结果有详细的记载并进行档案化管理，作为对后续事件分析的参考和可查性的依据； 安全机制集中管理控制（详见5.5.6），完善管理信息系统安全运行的技术手段，进行信息系统安全的集中控制管理； 负责接受和配合政府有关部门的信息安全监管工作。b）对关键区域安全运行的管理：在a）的基础上，集中管理机构对关键区域的安全运行进行管理，控制知晓范围，对获取的有关信息进行相应安全等级的保护。c）对核心系统安全运行的管理：在b）的基础上，集中管理机构应与有关业务应用的主管部门协调，定制更高安全级别的管理方式。5.2.3 人员安全管理5.2.3.1 安全管理人员配备对安全管理

42、人员配备的管理，不同安全等级应有选择地满足以下要求的一项：a）可配备兼职安全管理人员：安全管理人员可以由网络管理人员兼任。b）安全管理人员的兼职限制：安全管理人员不能兼任网络管理人员、系统管理员、数据库管理员等。c）配备专职安全管理人员：安全管理人员不可兼任，属于专职人员，应具有安全管理工作权限和能力。d）关键部位的安全管理人员：在c）的基础上，安全管理人员还应按照机要人员条件配备。5.2.3.2 信息系统关键岗位人员管理对信息系统关键岗位人员的管理，不同安全等级应满足以下要求的一项或多项：a）关键岗位人员管理的基本要求：应对安全管理员、系统管理员、数据库管理员、网络管理员、重要业务开发人员、

43、系统维护人员、重要业务应用操作人员等信息系统关键岗位人员进行统一管理；允许一人多岗，但业务应用操作人员不能由其他关键岗位人员兼任；关键岗位人员应定期接受安全培训，加强安全意识和风险防范意识。b）兼职和轮岗的要求：业务开发人员和系统维护人员不能兼任或担负安全管理员、系统管理员、数据库管理员、网络管理员、重要业务应用操作人员等岗位或工作；必要时关键岗位人员应采取定期轮岗制度。c）权限分散的要求：在b）的基础上，应坚持关键岗位人员“权限分散、不得交叉覆盖”的原则，系统管理员、数据库管理员、网络管理员不能相互兼任岗位或工作。d）多人共管的要求：在c）的基础上，关键岗位人员处理重要事务或操作时，应保持二

44、人同时在场，关键事务应多人共管。e）全面控制的要求：在d）的基础上，应采取对内部人员全面控制的安全保证措施，对所有岗位工作人员实施全面安全管理。5.2.3.3 人员录用管理对人员录用的管理，不同安全等级应有选择地满足以下要求的一项：a）人员录用的基本要求：对应聘者进行审查，确认其具有基本的专业技术水平，接受过安全意识教育和培训，能够掌握安全管理基本知识；对信息系统关键岗位的人员还应注重思想品质方面的考察。b）人员的审查与考核：在a）的基础上，应由单位人事部门进行人员背景、资质审查，技能考核等，合格者还要签署保密协议方可上岗；安全管理人员应具有基本的系统安全风险分析和评估能力。c）人员的内部选拔

45、：在b）的基础上，重要区域或部位的安全管理人员一般可从内部符合条件人员选拔，应做到认真负责和保守秘密。d）人员的可靠性：在c）的基础上，关键区域或部位的安全管理人员应选用实践证明精干、内行、忠实、可靠的人员，必要时可按机要人员条件配备。5.2.3.4 人员离岗对人员离岗的管理，不同安全等级应有选择地满足以下要求的一项：a）人员离岗的基本要求：立即中止被解雇的、退休的、辞职的或其他原因离开的人员的所有访问权限；收回所有相关证件、徽章、密钥、访问控制标记等；收回机构提供的设备等。b）调离后的保密义务：在a）的基础上，管理层和信息系统关键岗位人员调离岗位，必须经单位人事部门严格办理调离手续，承诺其调

46、离后的保密义务。c）离岗的审计要求：在b）的基础上，涉及组织机构管理层和信息系统关键岗位的人员调离单位，必须进行离岗安全审计，在规定的脱密期后，方可调离。d）关键部位人员的离岗：在c）的基础上，关键部位的信息系统安全管理人员离岗，应按照机要人员管理办法办理。5.2.3.5 人员考核与审查对人员考核与审查的管理，不同安全等级应有选择地满足以下要求的一项：a）定期的人员考核：应定期对各个岗位的人员进行不同侧重的安全认知和安全技能的考核，作为人员任用的参考。b）定期的人员审查：在a）的基础上，应定期对关键岗位人员进行审查，如发现其违反安全规则，应进行重新审查，并控制使用。c）管理有效性的审查：在b）

47、的基础上，应对关键岗位人员的工作进行例行考核审查，保证安全管理的有效性；审查结果应留有记录。d）全面严格的审查：在c）的基础上，应对所有安全岗位人员实施全面的考核审查，如发现其违反安全规则，应采取必要的应对措施。5.2.3.6 第三方人员管理对第三方人员管理，不同安全等级应有选择地满足以下要求的一项：a）基本管理要求：应对硬件和软件的支持维护人员，咨询人员，临时性的短期职位人员，以及辅助人员和外部支持服务人员等第三方人员签署包括不同安全责任的合同书或保密协议；规定各类人员的活动范围，进入计算机房需要得到批准，并有人负责；第三方人员必须进行逻辑访问时，应划定范围并经过负责人批准，必要时应有人监督

48、或陪同。b）重要区域管理要求：在重要区域，第三方人员必须进入机房或进行逻辑访问包括远程访问均应有书面申请、批准和过程记录，并有专人全程监督或陪同；进行逻辑访问应使用专门设置的临时用户，并进行审计。c）关键区域管理要求：在关键区域，一般不允许第三方人员进入机房或进行逻辑访问；如确有必要，除有书面申请外，可采取由机构内部人员带为操作的方式，对结果进行必要的过滤后再提供第三方人员，并进行审计；必要时对上述过程进行风险评估和记录备案，并对相应风险采取必要的安全补救措施。5.2.4 教育和培训5.2.4.1 信息安全教育信息安全教育包括信息安全意识的培养教育和安全技术培训，不同安全等级应有选择地满足以下

49、要求的一项：a）应知应会要求：应让员工知晓信息的敏感性和信息安全的重要性，认识其自身的责任和安全违例会受到纪律惩罚，以及应掌握的信息安全基本知识和技能等。b）有计划培训：在a）的基础上，应制定并实施安全教育和培训计划，培养信息系统各类人员安全意识，并提供对安全政策和操作规程的认知教育和训练等。c）针对不同岗位培训：在b）的基础上，针对不同岗位，制定不同的培训计划，包括安全知识、安全技术、安全标准、安全要求、法律责任和业务控制措施等。d）按人员资质要求培训：在c）的基础上，对所有工作人员的资质进行定期检查和评估，使相应的安全教育成为组织机构工作计划的一部分。e）培养安全意识自觉性：在d）的基础上

50、，针对所有工作人员进行相应的资质管理，并使安全意识成为所有工作人员的自觉存在。5.2.4.2 信息安全专家建议a）听取信息安全专家建议：邀请或聘用信息安全专家，听取他们对于组织机构的信息系统安全方面的建议；组织专家参与安全威胁的评估，提供安全控制措施的建议，进行信息安全有效性评判，对安全事件给予专业指导和原因调查等。b）对信息安全专家的控制：在a）的基础上，对于邀请或聘用信息安全专家可以提供必要的组织机构内部信息，同时应告知专家这些信息的敏感性和保密性，并应采取必要的安全措施，保证提供的信息在安全可控的范围内。5.3 风险管理5.3.1 风险管理环境5.3.1.1 风险管理要求风险管理作为等级

51、保护的手段，在保证等级系统的最低保护能力的基础上，可以根据风险确定增加某些管理要求。对风险管理，不同安全等级应有选择地满足以下要求的一项：a）基本风险管理：要求组织机构能够进行基本的风险管理活动，包括编制资产清单，对资产进行重要性分析，对信息系统面临的威胁进行初步的分析，能够通过工具扫描的方式对信息系统的脆弱性进行分析，能够利用简易的方式分析安全风险、选择安全措施。b）定期风险评估：在a）的基础上，针对关键系统资源进行定期风险分析和评估；产生风险分析报告并向管理层提交。c）规范风险评估：在b）的基础上，在风险管理中，使用规范方法和经过必要的工作流程，进行规范化的风险评估，产生风险分析报告和留存

52、重要过程文档，并向管理层提交。d）独立审计的实施：在c）的基础上，建立风险管理体系文件；针对风险管理过程，实施独立审计，确保风险管理的有效性。e）全面风险管理：在d）的基础上，使风险管理成为信息系统安全管理的有机组成部分，贯穿信息系统安全管理的全过程，具有可验证性。5.3.1.2 风险管理策略对风险管理策略，不同安全等级应有选择地满足以下要求的一项：a）基本的风险管理策略：安全风险分析和评估活动程序应至少包括信息安全风险管理和业务应用风险管理密切相关的内容、信息安全风险管理的基本观念和方法，以及风险管理的组织和资源保证等。b）风险管理的监督机制：在a）的基础上，应建立风险管理的监督机制，监督风

53、险管理过程，对所有风险管理相关过程的活动和影响进行评估和监控；应建立指导风险管理监督过程的指导性文档。c）风险评估的重新启动：在b）的基础上，应明确规定重新启动风险评估的条件，机构应能针对风险的变化重新启动风险评估。5.3.2 风险分析和评估5.3.2.1 资产识别和分析对资产识别和分析，不同安全等级应有选择地满足以下要求的一项：a）信息系统的资产统计和分类：确定信息系统的资产范围，进行统计和编制资产清单（详见5.4.2.1），并进行资产分类和重要性标识。b）信息系统的体系特征描述：在a）的基础上，根据对信息系统的硬件、软件、系统接口、数据和信息、人员等方面的分析和识别，对信息系统的体系特征进

54、行描述，至少应阐明信息系统的使命、边界、功能，以及系统和数据的关键性、敏感性等内容。5.3.2.2 威胁识别和分析对威胁的识别和分析，不同安全等级应有选择地满足以下要求的一项：a）威胁的基本分析：应根据以往发生的安全事件、外部提供的资料和积累的经验对威胁进行粗略的分析。b）威胁列表：在a）的基础上，结合业务应用、系统结构特点以及访问流程等因素，建立并维护威胁列表；由于不同业务系统面临的威胁是不同的，应针对每个或者每类资产有一个威胁列表。c）威胁的详细分析：在b）的基础上，考虑威胁源在保密性、完整性或可用性等方面造成损害，对威胁的可能性和影响等属性进行分析，从而得到威胁的等级；威胁等级也可通过综

55、合威胁的可能性和强度的评价获得。d）使用检测工具捕捉攻击：在c）的基础上，对关键区域或部位进行威胁分析和评估，在业务应用许可并得到批准的条件下，可使用检测工具在特定时间捕捉攻击信息进行威胁分析。5.3.2.3 脆弱性识别和分析对脆弱性识别和分析，不同安全等级应有选择地满足以下要求的一项：a）脆弱性工具扫描：应通过扫描器等工具来获得对系统脆弱性的认识，包括对网络设备、主机设备、安全设备的脆弱性扫描，并编制脆弱性列表，作为系统加固、改进和安全项目建设的依据；可以针对资产组合、资产分类编制脆弱性列表和脆弱性检查表。b）脆弱性分析和渗透测试：在a）的基础上，脆弱性的人工分析至少应进行网络设备、安全设备

56、以及主机系统配置检查、用户管理检查、系统日志和审计检查等；使用渗透测试应根据需要分别从组织机构的网络内部和网络外部选择不同的接入点进行；应了解测试可能带来的后果，并做好充分准备；针对不同的资产和资产组合，综合应用人工评估、工具扫描、渗透性测试等方法对系统的脆弱性进行分析和评估；对不同的方法和工具所得出的评估结果，应进行综合分析，从而得到脆弱性的等级。c）制度化脆弱性评估：在b）的基础上，坚持制度化脆弱性评估，应明确规定进行脆弱性评估的时间和系统范围、人员和责任、评估结果的分析和报告程序，以及报告中包括新发现的漏洞、已修补的漏洞、漏洞趋势分析等。5.3.2.4 风险分析和评估要求对风险分析和评估

57、，不同安全等级应有选择地满足以下要求的一项：a）经验的风险评估：应由用户和部分专家通过经验来判断风险，并对风险进行评估，形成风险评估报告，其中必须包括风险级别、风险点等内容，并确定信息系统的安全风险状况。b）全面的风险评估：在a）的基础上，应采用多层面、多角度的系统分析方法，由用户和专家对资产、威胁和脆弱性等方面进行定性综合评估，建议处理和减缓风险的措施，形成风险评估报告；除风险状况外，在风险评估的各项步骤中还应生成信息系统体系特征报告、威胁评估报告、脆弱性评估报告和安全措施分析报告等；基于这些报告，评估者应对安全措施提出建议。c）建立和维护风险信息库：在b）的基础上，应将风险评估中的信息资产

58、、威胁、脆弱性、防护措施等评估项信息综合到一个数据库中进行管理；组织机构应当在后续的项目和工具中持续地维护该数据库。5.3.3 风险控制5.3.3.1 选择和实施风险控制措施对选择和实施风险控制措施，不同安全等级应有选择地满足以下要求的一项：a）基于安全基线表选择控制措施：用信息系统安全常用的产品和服务分类列表作为基线，用基线选择的方法决定需要实施的信息安全控制措施。b）基于风险评估选择控制措施：根据风险评估的结果，结合组织机构对于信息系统安全的需求，决定信息系统安全的控制措施。c）基于风险评估形成防护控制系统：根据风险评估的结果，结合机构对于信息系统安全的需求，决定信息系统安全的控制措施；对

59、相关的各种控制措施进行综合分析，得出紧迫性、优先级、投资比重等评价，形成体系化的防护控制系统。5.3.4 基于风险的决策5.3.4.1 安全的确认对安全的确认，不同安全等级应有选择地满足以下要求的一项：a）残余风险接受：针对信息系统的资产清单、威胁列表、脆弱性列表，结合已采用的安全控制措施，分析可能存在的残余风险；应形成残余风险分析报告，并由组织机构的高层管理人员来做出残余风险是否可接受的决定。b）残余风险监视：在a）的基础上，应应编制出信息系统中所有残余风险的清单，并密切监视残余风险可能诱发的安全事件，并及时处理。c）安全风险再评估：在b）的基础上，采用系统化的方法对信息系统安全风险实施再次

60、评估，通过再次评估，验证防护措施的有效性。5.3.4.2 信息系统运行的决策对信息系统运行的决策，不同安全等级应有选择地满足以下要求的一项：a）信息系统运行的决定：信息系统的主管者或运营者应根据风险处理的结果，判断残余风险是否处在可接受的水平之内，基于这一判断做出决策，决定是否允许信息系统运行。b）信息系统受控运行：如果信息系统的残余风险不可接受，而现实情况又要求系统必须投入运行，且当前没有其它资源能胜任组织机构的使命，经过组织机构管理层的审批，可以临时批准信息系统投入运行，同时应采取相应的风险规避和监测控制措施，并明确风险一旦发生的责任陈述。5.3.5 风险评估的管理5.3.5.1 评估机构

61、的选择对评估机构选择，不同安全等级应有选择地满足以下要求的一项：a）按资质和信誉选择：应选择有安全服务资质且有良好信誉的专业公司进行信息系统风险评估。b）在上级认可的范围内选择：应在经过本行业主管部门认可或上级行政领导部门批准的选择范围内，确定有安全服务资质且有良好信誉的专业公司，进行信息系统风险评估。c）组织专门的评估组：应由上级行政领导部门或业务主管部门组织有关技术、业务负责人，并邀请可信的技术专家，共同组成专门的评估组进行信息系统风险评估。5.3.5.2 评估机构保密要求对评估机构的保密要求，不同安全等级应有选择地满足以下要求的一项：a）签署保密协议：评估机构人员应按照第三方人员管理要求

62、（详见5.2.3.6）签署保密协议。b）专人监督检查：在a）的基础上，应有专人在整个评估过程中监督检查评估机构对保密协议的执行情况。c）制定具体办法：在b）的基础上，对专门评估组的保密要求应参照中华人民共和国保守国家秘密法的要求，结合实际情况制定具体实施办法。5.3.5.3 评估信息的管理对评估信息的管理，不同安全等级应有选择地满足以下要求的一项：a）规定交接手续；提交涉及评估需要的资料、数据等各种信息，应规定办理交接手续，防止丢失。b）替换敏感参数：在a）的基础上，提交涉及评估需要的资料、数据等各种信息，必要时可以隐藏或替换核心的或敏感的参数。c）不得带出指定区域：在b）的基础上，所有提交涉及评估需要的资料、数据等各种信息，只能存放在被评估方指定的计算机内，不得带出指定办公区域。5.3.5.4 技术测试过程管理对技术测试过程的管理，不同安全等级应有选择地满足以下要求的一项：a）必须经过授权：使用工具或手工进行技术测试，应事先提交测试的技术方案，并得到授权方可进行。b）在监督下进行：在a）的基础上，使用工具或手工进行技术测试，应在被测试方专人监督下按技术方案进行。c）由被评估方操作：在b）的基础上，使用工具或手工进行技术测试，可以采用由被评估方技术人员按技术方案进行操作，评估机构技术