【正文】 應(yīng)由計(jì)算機(jī)信息系統(tǒng)使用單位的相關(guān)部門負(fù)責(zé)制定，該部門由使用單位的主管成員和專業(yè)安全技術(shù)人員以及來(lái)自該單位不同部門的相關(guān)成員組成。有條件的部門，可聘請(qǐng)安全專家。安全策略 在制定時(shí)應(yīng)兼顧結(jié)構(gòu)上的系統(tǒng)性、內(nèi)容上的可理解性、技術(shù)上的可實(shí)現(xiàn)性、管理上的可執(zhí)行性。安全策略應(yīng)與時(shí)俱進(jìn)，定期加以調(diào)整和更新。 安全策略的內(nèi)容 a) 保護(hù)的內(nèi)容和目標(biāo)：安全策略中應(yīng)包含計(jì)算機(jī)信息系統(tǒng)中要保護(hù)的所有資產(chǎn)以及每件資產(chǎn)的重要性，對(duì)計(jì)算機(jī)信息系統(tǒng)中的要素或資產(chǎn)進(jìn)行分類，分類應(yīng)體現(xiàn)各類資產(chǎn)的重要程度，所面 臨的主要威脅，并規(guī)定它們的受保護(hù)等級(jí)； b) 明確人員的職責(zé)：明確每個(gè)人在信息安全保護(hù)中的責(zé)任和義務(wù)，以便有效地組織全員協(xié)同工作； c) 實(shí)施保護(hù)的方法：確定保護(hù)計(jì)算機(jī)信息系統(tǒng)中 各類資產(chǎn)的具體方法，如對(duì)于實(shí)體可以采用隔離、防輻射、防自然災(zāi)害的措施，對(duì)于數(shù)據(jù)信息可以采用授權(quán)訪問(wèn)控制技術(shù)，對(duì)于網(wǎng)絡(luò)傳輸可以采用安全髓道技術(shù)等； d) 事故的處理：為了確保任務(wù)的落實(shí)，提高安全意識(shí)和警惕性，應(yīng)規(guī)定相關(guān)的獎(jiǎng)懲條款，并建立監(jiān)管機(jī)制，以保證各項(xiàng)條款的嚴(yán)格執(zhí)行。 . 目的 提高計(jì)算機(jī)信息系統(tǒng)安全服務(wù)和安全機(jī)制等安全保障措施的有效性和針對(duì)性，并形成安全需求分報(bào)告。 a) 結(jié)合實(shí)際：針對(duì)計(jì)算機(jī)信息系統(tǒng)的實(shí)際環(huán)境和安全目標(biāo) 提出安全要求； b) 依據(jù)標(biāo)準(zhǔn)：為了保證質(zhì)量，做到有據(jù)可查，安全需求分析應(yīng)符合有關(guān)標(biāo)準(zhǔn)； c) 分層分析：從涉及的策略、體系結(jié)構(gòu)、技術(shù)、管理等各個(gè)層次逐次進(jìn)行分析； d) 動(dòng)態(tài)反饋：安全需求分析是一個(gè)不斷發(fā)展的過(guò)程，隨著系統(tǒng)更新?lián)Q代或功能擴(kuò)展、內(nèi)部環(huán)境和外部環(huán)境的變化，安全需求隨之發(fā)生變化。安全需求分析應(yīng)保持結(jié)果的有效性、適應(yīng)性，保證分析方法的科學(xué)性和系統(tǒng)性，安全需求分析過(guò)程應(yīng)與系統(tǒng)發(fā)展過(guò)程同步。 內(nèi)容 a)管理層面：根據(jù)組織和機(jī)構(gòu)的實(shí)際情況，確定管理 機(jī)構(gòu)或部門的形態(tài)和規(guī)模，并明確其目標(biāo)、原則、任務(wù)、功能和人員配置等； b)物理層面：根據(jù)組織或機(jī)構(gòu)的實(shí)際情況，確定各類實(shí)體財(cái)產(chǎn)的安全級(jí)別，以及需要保護(hù)的程度和方法； c) 系統(tǒng)層面：明確操作平臺(tái)應(yīng)該具備的安全級(jí)別，以及為達(dá)到所要求的級(jí)別，應(yīng)選用的操作系統(tǒng)等； d) 網(wǎng)絡(luò)層面：根據(jù)信息系統(tǒng)的業(yè)務(wù)方向，分析系統(tǒng)的網(wǎng)絡(luò)，特別是網(wǎng)絡(luò)邊界的安全需求，確定應(yīng)采用的防護(hù)體系； e) 應(yīng)用層面：基于網(wǎng)絡(luò)的應(yīng)用以及應(yīng)用供應(yīng)商的多樣性和復(fù)雜性，相應(yīng)的安全防護(hù)體系和技術(shù)措施不盡相同，需要根據(jù) 實(shí)際情況來(lái)確定、選擇其安全需求。 ..7安全措施的實(shí)施 目的 實(shí)現(xiàn)安全防護(hù)體系，保證達(dá)到工程要求。 遵從保質(zhì)、經(jīng)濟(jì)、高效的原則，正確選擇實(shí)施單位，依據(jù)一份詳細(xì)、準(zhǔn)確、完備的文檔化實(shí)施方案，對(duì)實(shí)施過(guò)程進(jìn)行嚴(yán)格控制。 對(duì)方案要詳細(xì)說(shuō)明安全過(guò)程各個(gè)階段的建設(shè)目標(biāo)、工作內(nèi)容、施工人員、任務(wù)分工、進(jìn)度安排、產(chǎn)品選型、產(chǎn)品采購(gòu)、資金投入等情況，并給出每一項(xiàng)的依據(jù)和理由，分析每項(xiàng)工作的作用、意義和局限性，明確實(shí)施各方的工作關(guān)系、責(zé)權(quán)和協(xié)調(diào)協(xié)同機(jī)制。 對(duì)實(shí)施方案進(jìn)行評(píng)審時(shí)既要兼顧整體，又要注意細(xì)節(jié)，嚴(yán)格對(duì)照組織或機(jī)構(gòu)的安全策略、安全需求和實(shí)際情況進(jìn)行檢驗(yàn) 39。并對(duì)所有的備選方案進(jìn)行認(rèn)真的分析比較 39。確保選中的方案達(dá)到設(shè)想的要 和 標(biāo)準(zhǔn)。 在安全措施實(shí)施過(guò)程中，所采用的技術(shù)與產(chǎn)品應(yīng)經(jīng)過(guò)嚴(yán)格的測(cè)試選型，符合國(guó)家信息安全方面的法律法規(guī)，特別是涉及密碼技術(shù)的產(chǎn)品，應(yīng)嚴(yán)格按照國(guó)家和主管部門的有關(guān)規(guī)定選型和采購(gòu)。 實(shí)施應(yīng)按照有關(guān)工程要求進(jìn)行。 如本單位沒(méi)有實(shí)施條件，應(yīng)選擇具備相應(yīng)資質(zhì)和合適、可靠的實(shí)施單位來(lái)實(shí)施信息系統(tǒng)安全措施。 安全 實(shí)施過(guò)程的監(jiān)理 目的 在安全實(shí)施過(guò)程中建立安全監(jiān)理制度，檢驗(yàn)施工單位的質(zhì)量水平和責(zé)任心，保證工程各階段的質(zhì)量。 安全實(shí)施過(guò)程的監(jiān)理主要從實(shí)施的規(guī)范、流程、進(jìn)度等方面進(jìn)行監(jiān)督與檢查，確保各環(huán)節(jié)的質(zhì)量。 安全監(jiān)理單位或個(gè)人應(yīng)是經(jīng)過(guò)有關(guān)部門批準(zhǔn)的第三方中立機(jī)構(gòu)或具有相應(yīng)資質(zhì)的個(gè)人，保證安全措施實(shí)施按照合理的流程與技術(shù)標(biāo)準(zhǔn)進(jìn)行，保證實(shí)施過(guò)程的有效性。 a) 實(shí)施前的監(jiān)理：對(duì)所選安全產(chǎn)品的真實(shí)性、質(zhì)量、到貨時(shí)間進(jìn)行檢查；對(duì)工程實(shí)施人員進(jìn)行身份及資 質(zhì)審核；對(duì)實(shí)施單位的具體實(shí)施步驟及每個(gè)步驟中的具體實(shí)施計(jì)劃文檔進(jìn)行審核；對(duì)實(shí)施單位開始實(shí)施工程的時(shí)間和完工的時(shí)間進(jìn)行事前記錄； b) 實(shí)施中的監(jiān)理：對(duì)工程實(shí)施進(jìn)度進(jìn)行計(jì)劃和督促，防止延誤工期；對(duì)工程實(shí)施過(guò)程的真實(shí)性和與方案的符合性進(jìn)行監(jiān)督；對(duì)工程實(shí)施人員的身份在實(shí)施過(guò)程中進(jìn)行再檢查；對(duì)軟硬件產(chǎn)品在工程實(shí)施中的完好性和真實(shí)性進(jìn)行檢查；對(duì)工程實(shí)施中已完成的部分進(jìn)行局部驗(yàn)收，發(fā)現(xiàn)問(wèn)題令其及時(shí)糾正；對(duì)實(shí)施人員的能力和態(tài)度進(jìn)行審核；對(duì)于敏感性、關(guān)鍵性信息系統(tǒng)，應(yīng)由該組織或機(jī)構(gòu)委派專人在現(xiàn)場(chǎng)實(shí)施全過(guò)程監(jiān)控，負(fù)責(zé)零事故 的安全保障； c) 實(shí)施后的監(jiān)理：對(duì)是否達(dá)到相應(yīng)的安全級(jí)別進(jìn)行嚴(yán)格驗(yàn)收；對(duì)產(chǎn)品配置的合理性、有效性進(jìn)行驗(yàn)收；對(duì)安全配置是否影響系統(tǒng)的性能進(jìn)行驗(yàn)收；對(duì)實(shí)施的進(jìn)度進(jìn)行驗(yàn)收；對(duì)信息系統(tǒng)的安全現(xiàn)狀進(jìn)行測(cè)試與評(píng)估；聘請(qǐng)安全專家或有關(guān)安全部門對(duì)信息系統(tǒng)的安全現(xiàn)狀進(jìn)行評(píng)估。 安全措施實(shí)施過(guò)程檢查的結(jié)果應(yīng)由實(shí)施和檢查單位法人代表和檢查人員簽字，以便有關(guān)部門和使用單位檢查。 目的 檢驗(yàn)、監(jiān)督安全工作的落實(shí)情況，確保信息系統(tǒng)達(dá)到 GB 178591999 要求的相應(yīng)安全等級(jí)。 應(yīng)根據(jù)國(guó)家有關(guān)部門的具體規(guī)定實(shí)施信息系統(tǒng)的安全檢查工作，實(shí)施獨(dú)立審計(jì)。 信息系統(tǒng)的各應(yīng)用單位有關(guān)人員或組織除實(shí)施自查外，應(yīng)積極配合國(guó)家有關(guān)部門對(duì)所用系統(tǒng)實(shí)施安全檢查。 對(duì)技術(shù)上的安全措施要通過(guò)其使用、配置情況，檢查它們是否達(dá)到了有關(guān)的要求。檢查的方法有多種，例如，通過(guò)查看系統(tǒng)的日志，分析出系統(tǒng)在運(yùn)行過(guò)程中遇到的意外情況以及使用情況；或者對(duì)安全措施進(jìn)行測(cè)試，查看它們能否達(dá)到規(guī)定的安全水平等。 對(duì)安全管理的檢查，可以通過(guò)審閱有關(guān)機(jī)構(gòu)或人員 的工作記錄，規(guī)定他們定期進(jìn)行總結(jié)匯報(bào)，并對(duì)檢查的結(jié)果進(jìn)行核實(shí)，還可以發(fā)動(dòng)單位內(nèi)的所有人員。對(duì)管理機(jī)構(gòu)的運(yùn)作進(jìn)行監(jiān)督。 對(duì)人員安全意識(shí)的檢查可以通過(guò)問(wèn)卷、座談等方式進(jìn)行，并建立定期考核制度。 應(yīng)建立不定期的抽查制度，避免作弊行為或虛假的檢查結(jié)果。 內(nèi)容 a) 安全策略的檢查：檢查結(jié)構(gòu)上的系統(tǒng)性、內(nèi)容上的可理解性、技術(shù)上的可實(shí)現(xiàn)性、管理上的可執(zhí)行性； b)技術(shù)措施的檢查：根據(jù)有關(guān)的技術(shù)標(biāo)準(zhǔn)，結(jié)合實(shí)際情況，分析安全措施的保護(hù)能力及能夠滿足需求的程度，并進(jìn)一步研究該項(xiàng)措施 在當(dāng)前環(huán)境和將來(lái)環(huán)境中的作用以及可行性；涉及多個(gè)技術(shù)領(lǐng)域時(shí)，檢查過(guò)程中需要聘請(qǐng)相關(guān)專業(yè)專家共同參與，并將檢查結(jié)果形成詳細(xì)準(zhǔn)確的報(bào)告，再由小組進(jìn)行論證評(píng)審，以確定該措施當(dāng)前的有效性；涉及密碼技術(shù)時(shí)，檢查密碼體制、密碼產(chǎn)品和密鑰管理體系的使用和管理是否符合國(guó)家有關(guān)部門的規(guī)定； c)管理措施的檢查：主要是檢查安全管理機(jī)構(gòu)是否健全，管理職能和管理職責(zé)是否明確，有關(guān)的政策、法規(guī)、制度、規(guī)定是否完善，人員的安全意識(shí)如何，相關(guān)的安全教育和培訓(xùn)工作開展的怎樣，效果如何。 . 10生命周期管理 4. 目 的 對(duì)計(jì)算機(jī)信息系統(tǒng)實(shí)施生命周期全程管理。 計(jì)劃階段：通過(guò)風(fēng)險(xiǎn)分析明確安全需求，確定安全目標(biāo)，制定安全策略，擬定安全要求的性能指標(biāo)。 實(shí)施階段：依據(jù)安全要求選擇相應(yīng)的安全措施，采購(gòu)或設(shè)計(jì)安全系統(tǒng)，根據(jù)工程要求實(shí)施和部署，并對(duì)安全措施進(jìn)行驗(yàn)證、驗(yàn)收。 運(yùn)行維護(hù)階段：通過(guò)檢查、檢測(cè)、審計(jì)和對(duì)風(fēng)險(xiǎn)變更的監(jiān)視和評(píng)估保證運(yùn)行安全。 生命周期結(jié)束階段：對(duì)計(jì)算機(jī)信息系統(tǒng)的信息進(jìn)行安全處置。 安全管理組織 單位的最高主管對(duì)本單位計(jì)算機(jī)信息系統(tǒng)安 全負(fù)有主要責(zé)任，應(yīng)根據(jù)使用的計(jì)算機(jī)信息系統(tǒng)的保護(hù)等級(jí)和計(jì)算機(jī)信息系統(tǒng)規(guī)模設(shè)立安全管理職責(zé)體系，明確安全管理人員的職責(zé)，保證安全管理人員有效行使計(jì)算機(jī)信息系統(tǒng)安全管理的權(quán)利。 如無(wú)特殊說(shuō)明，在下列敘述中涉及的安全管理機(jī)構(gòu)要求，均指根據(jù)實(shí)際情況建立的安全管理職責(zé)體系要求。 常見(jiàn)的安全管理組織結(jié)構(gòu)如圖 3所示。 圖 3 安全管理組織結(jié)構(gòu) 安全領(lǐng)導(dǎo)小組的主要職責(zé)： a) 負(fù)責(zé)與國(guó)家各級(jí)計(jì)算機(jī)信息系統(tǒng)安全主管部門建立日常工作關(guān)系； b) 定期向當(dāng)?shù)毓矙C(jī)關(guān)信息安全監(jiān)察部門報(bào)告本單位信息安全保護(hù)管理情況，及時(shí)報(bào)告重大安全事件； c) 組織、協(xié)調(diào)、指導(dǎo)計(jì)算機(jī)信息系統(tǒng)的安全開發(fā)工作； d) 組織并領(lǐng)導(dǎo)有關(guān)人員制定、評(píng)審本單位計(jì)算機(jī)信息系統(tǒng)安全策略、標(biāo)準(zhǔn)、安全工作流程、各種規(guī)章制度； e) 確定計(jì)算機(jī)信息系統(tǒng)各類人 員的職責(zé)和權(quán)限； f) 審議并通過(guò)安全規(guī)劃，年度安全報(bào)告，有關(guān)安全的宣傳、教育、培訓(xùn)計(jì)劃； 系統(tǒng)安全管理人員的主要職責(zé)： a) 負(fù)責(zé)應(yīng)承擔(dān)的日常安全工作； b)遇到違法犯罪事件，應(yīng)妥善保護(hù)案發(fā)現(xiàn)場(chǎng)，協(xié)助公安機(jī)關(guān)調(diào)查、取證； c)對(duì)已證實(shí)的重大的安全違規(guī)、違紀(jì)事件及泄密事件及時(shí)進(jìn)行處理： d) 安全審計(jì)跟蹤分析和安全檢查，及時(shí)發(fā)現(xiàn)安全隱患和犯罪嫌疑，防患于未然； e) 負(fù)責(zé)定期向所屬組織或機(jī)構(gòu)的領(lǐng)導(dǎo)層（或管理層）匯報(bào)安全工作。 人員安全 人員審查 制定人員審查制度。 應(yīng)根據(jù)計(jì)算機(jī)信息系統(tǒng)安全等級(jí)的需要確定人員審查內(nèi)容。 信息系統(tǒng)的有關(guān)人員應(yīng)具有政治可靠、思想進(jìn)步、作風(fēng)正派、技術(shù)合格、職業(yè)道德良好等基本素質(zhì)。 錄用關(guān)鍵工作崗位的工作人員時(shí)應(yīng)按照其中請(qǐng)表中的個(gè)人歷史逐一審查，必要時(shí)要親自會(huì)見(jiàn)證明人，對(duì)以前的經(jīng)歷和人品進(jìn)行確認(rèn)。 對(duì)在職人員應(yīng)進(jìn)行定期審查，當(dāng)工作人員婚姻、經(jīng)濟(jì)、身體等狀況發(fā)生變化，或被懷疑違反了安全規(guī)則，或?qū)ζ淇煽啃援a(chǎn)生懷疑時(shí)，都應(yīng)進(jìn)行重新審查。 崗位責(zé)任和授權(quán) 根據(jù)分 權(quán)制衡和最小特權(quán)原則，建立崗位責(zé)任制度和授權(quán)制度。 明確所有人員在系統(tǒng)中的安全職責(zé)和權(quán)限，職責(zé)和權(quán)限要文檔化，并要求簽字確認(rèn)。所有人員的工作和活動(dòng)范圍應(yīng)當(dāng)被限制在完成其任務(wù)的最小范圍內(nèi)。 關(guān)鍵崗位人員不允許兼職。 建立人員培訓(xùn)制度，明確培訓(xùn)內(nèi)容。 定期對(duì)計(jì)算機(jī)信息系統(tǒng)的操作和維護(hù)人員進(jìn)行培訓(xùn)，經(jīng)過(guò)培訓(xùn)的人員才能上崗工作。 建立人員考核制度。 定期從政治思想、業(yè)務(wù)水平、工作表現(xiàn)、遵守安全規(guī)程等方面對(duì)計(jì)算機(jī)信息系統(tǒng)工作人員進(jìn) 行考核。對(duì)考核合格者應(yīng)予表?yè)P(yáng)和獎(jiǎng)勵(lì)，考核發(fā)現(xiàn)不合格者應(yīng)予以教育、批評(píng)或處罰直至調(diào)離崗位。 4. 簽訂保密合同 計(jì)算機(jī)信息系統(tǒng)所涉及的工作人員（長(zhǎng)期或臨時(shí)），應(yīng)簽訂保密合同，承諾其對(duì)系統(tǒng)應(yīng)盡的安全保密義務(wù)，保證在崗工作期間和離崗后一定時(shí)期內(nèi)，均不得違反保密合同、泄露系統(tǒng)秘密。保密合同的內(nèi)容應(yīng)符合國(guó)家有關(guān)規(guī)定。對(duì)違反保密合同的應(yīng)設(shè)有懲處條款。 建立人員調(diào)離安全管理制度。 對(duì)調(diào)離人員，應(yīng)嚴(yán)格辦理調(diào)離手續(xù)，交回所有鑰匙及證件，退還全部技術(shù)手冊(cè)、軟件及其他相關(guān)資料 。系統(tǒng)應(yīng)及時(shí)更換系統(tǒng)口令和相關(guān)機(jī)要鎖、撤銷其用過(guò)的所有賬號(hào)。重要機(jī)房或崗位的工作人員一旦辭職或凋離，應(yīng)立即撤銷其出入安全區(qū)域、接觸敏感信息的授權(quán)。 安全管理制度 物理安全方面的規(guī)章制度 主要包括：機(jī)房安全管理制度、主機(jī)設(shè)備安全管理制度、網(wǎng)絡(luò)設(shè)施安全管理制度、物理設(shè)施分類標(biāo)記管理制度等。 系統(tǒng)與數(shù)據(jù)庫(kù)安全方面的規(guī)章制度 主要包括：安全配置管理制度、系統(tǒng)分發(fā)和操作規(guī)章制度、系統(tǒng)文檔安全管理制度、測(cè)試和脆弱性評(píng)估制度、系統(tǒng)信息安全備份制度等。 網(wǎng) 絡(luò)安全方面的規(guī)章制度 主要包括：網(wǎng)絡(luò)連接檢查評(píng)估制度、網(wǎng)絡(luò)使用授權(quán)制度、網(wǎng)絡(luò)檢測(cè)制度、網(wǎng)絡(luò)設(shè)施（設(shè)備和協(xié)議）變更控制制度等。 主要包括：應(yīng)用安全評(píng)估制度、應(yīng)用系統(tǒng)使用授權(quán)制度、應(yīng)用系統(tǒng)配置管理制度、應(yīng)用系統(tǒng)文檔管理制度等。 主要包括：人員安全管理制度、安全意識(shí)與安全技術(shù)教育制度、操作安全管理制度、操作系統(tǒng)和數(shù)據(jù)庫(kù)安全管理制度、系統(tǒng)運(yùn)行記錄編寫制度、病毒防護(hù)管理制度、系統(tǒng)維護(hù)管理制度、網(wǎng)絡(luò)互聯(lián)安全管理制度、安全審計(jì)管理 制度、安全事件報(bào)告制度、事故處理制度、應(yīng)急管理制度和災(zāi)難恢復(fù)管理制度等。 主要包括：信息分類標(biāo)記制度、涉密信息安全管理制度、技術(shù)文檔管理制度、存儲(chǔ)介質(zhì)管理制度、信息披露與發(fā)布審批管理制度等。 5 安全等級(jí)信息系統(tǒng)的管理要求 不論計(jì)算機(jī)信息系統(tǒng)規(guī)模如何，為保障信息的機(jī)密性、完整性、可用性、可控性和抗抵賴性，都應(yīng)遵從 ，建立有效的安全管理體系，按計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)的要求實(shí)施安全管理。 計(jì)算機(jī)信息系統(tǒng)保護(hù)等級(jí)技術(shù)要求、工程要求、評(píng)估要 求的等級(jí)是可以浮動(dòng)的，浮動(dòng)的條件是對(duì)信息的機(jī)密性、完整性、可用性、可控性和抗抵賴性要求的改變或安全風(fēng)險(xiǎn)的改變。等級(jí)向上浮動(dòng)的前提是當(dāng)前計(jì)算機(jī)信息系統(tǒng)保障能力能滿足相應(yīng)等級(jí)的信息安全的更高要求，能控制相應(yīng)等級(jí)的更大的安全風(fēng)險(xiǎn)。向下浮動(dòng)不作要求?？缭讲煌踩燃?jí)系統(tǒng)的信息可能受到威脅，對(duì)由較高等級(jí)向較低等級(jí)系統(tǒng)傳送信息時(shí)，應(yīng)采取保護(hù)措施，得到管理層的授權(quán)。 第一級(jí)（用戶自主保護(hù)級(jí)）實(shí)施基本的管理 管理目標(biāo)和范圍