【正文】 應由計算機信息系統(tǒng)使用單位的相關部門負責制定，該部門由使用單位的主管成員和專業(yè)安全技術人員以及來自該單位不同部門的相關成員組成。有條件的部門，可聘請安全專家。安全策略 在制定時應兼顧結構上的系統(tǒng)性、內容上的可理解性、技術上的可實現(xiàn)性、管理上的可執(zhí)行性。安全策略應與時俱進，定期加以調整和更新。 安全策略的內容 a) 保護的內容和目標：安全策略中應包含計算機信息系統(tǒng)中要保護的所有資產以及每件資產的重要性，對計算機信息系統(tǒng)中的要素或資產進行分類，分類應體現(xiàn)各類資產的重要程度，所面 臨的主要威脅，并規(guī)定它們的受保護等級； b) 明確人員的職責：明確每個人在信息安全保護中的責任和義務，以便有效地組織全員協(xié)同工作； c) 實施保護的方法：確定保護計算機信息系統(tǒng)中 各類資產的具體方法，如對于實體可以采用隔離、防輻射、防自然災害的措施，對于數(shù)據(jù)信息可以采用授權訪問控制技術，對于網(wǎng)絡傳輸可以采用安全髓道技術等； d) 事故的處理：為了確保任務的落實，提高安全意識和警惕性，應規(guī)定相關的獎懲條款，并建立監(jiān)管機制，以保證各項條款的嚴格執(zhí)行。 . 目的 提高計算機信息系統(tǒng)安全服務和安全機制等安全保障措施的有效性和針對性，并形成安全需求分報告。 a) 結合實際：針對計算機信息系統(tǒng)的實際環(huán)境和安全目標 提出安全要求； b) 依據(jù)標準：為了保證質量，做到有據(jù)可查，安全需求分析應符合有關標準； c) 分層分析：從涉及的策略、體系結構、技術、管理等各個層次逐次進行分析； d) 動態(tài)反饋：安全需求分析是一個不斷發(fā)展的過程，隨著系統(tǒng)更新?lián)Q代或功能擴展、內部環(huán)境和外部環(huán)境的變化，安全需求隨之發(fā)生變化。安全需求分析應保持結果的有效性、適應性，保證分析方法的科學性和系統(tǒng)性，安全需求分析過程應與系統(tǒng)發(fā)展過程同步。 內容 a)管理層面：根據(jù)組織和機構的實際情況，確定管理 機構或部門的形態(tài)和規(guī)模，并明確其目標、原則、任務、功能和人員配置等； b)物理層面：根據(jù)組織或機構的實際情況，確定各類實體財產的安全級別，以及需要保護的程度和方法； c) 系統(tǒng)層面：明確操作平臺應該具備的安全級別，以及為達到所要求的級別，應選用的操作系統(tǒng)等； d) 網(wǎng)絡層面：根據(jù)信息系統(tǒng)的業(yè)務方向，分析系統(tǒng)的網(wǎng)絡，特別是網(wǎng)絡邊界的安全需求，確定應采用的防護體系； e) 應用層面：基于網(wǎng)絡的應用以及應用供應商的多樣性和復雜性，相應的安全防護體系和技術措施不盡相同，需要根據(jù) 實際情況來確定、選擇其安全需求。 ..7安全措施的實施 目的 實現(xiàn)安全防護體系，保證達到工程要求。 遵從保質、經濟、高效的原則，正確選擇實施單位，依據(jù)一份詳細、準確、完備的文檔化實施方案，對實施過程進行嚴格控制。 對方案要詳細說明安全過程各個階段的建設目標、工作內容、施工人員、任務分工、進度安排、產品選型、產品采購、資金投入等情況，并給出每一項的依據(jù)和理由，分析每項工作的作用、意義和局限性，明確實施各方的工作關系、責權和協(xié)調協(xié)同機制。 對實施方案進行評審時既要兼顧整體，又要注意細節(jié)，嚴格對照組織或機構的安全策略、安全需求和實際情況進行檢驗 39。并對所有的備選方案進行認真的分析比較 39。確保選中的方案達到設想的要 和 標準。 在安全措施實施過程中，所采用的技術與產品應經過嚴格的測試選型，符合國家信息安全方面的法律法規(guī)，特別是涉及密碼技術的產品，應嚴格按照國家和主管部門的有關規(guī)定選型和采購。 實施應按照有關工程要求進行。 如本單位沒有實施條件，應選擇具備相應資質和合適、可靠的實施單位來實施信息系統(tǒng)安全措施。 安全 實施過程的監(jiān)理 目的 在安全實施過程中建立安全監(jiān)理制度，檢驗施工單位的質量水平和責任心，保證工程各階段的質量。 安全實施過程的監(jiān)理主要從實施的規(guī)范、流程、進度等方面進行監(jiān)督與檢查，確保各環(huán)節(jié)的質量。 安全監(jiān)理單位或個人應是經過有關部門批準的第三方中立機構或具有相應資質的個人，保證安全措施實施按照合理的流程與技術標準進行，保證實施過程的有效性。 a) 實施前的監(jiān)理：對所選安全產品的真實性、質量、到貨時間進行檢查；對工程實施人員進行身份及資 質審核；對實施單位的具體實施步驟及每個步驟中的具體實施計劃文檔進行審核；對實施單位開始實施工程的時間和完工的時間進行事前記錄； b) 實施中的監(jiān)理：對工程實施進度進行計劃和督促，防止延誤工期；對工程實施過程的真實性和與方案的符合性進行監(jiān)督；對工程實施人員的身份在實施過程中進行再檢查；對軟硬件產品在工程實施中的完好性和真實性進行檢查；對工程實施中已完成的部分進行局部驗收，發(fā)現(xiàn)問題令其及時糾正；對實施人員的能力和態(tài)度進行審核；對于敏感性、關鍵性信息系統(tǒng)，應由該組織或機構委派專人在現(xiàn)場實施全過程監(jiān)控，負責零事故 的安全保障； c) 實施后的監(jiān)理：對是否達到相應的安全級別進行嚴格驗收；對產品配置的合理性、有效性進行驗收；對安全配置是否影響系統(tǒng)的性能進行驗收；對實施的進度進行驗收；對信息系統(tǒng)的安全現(xiàn)狀進行測試與評估；聘請安全專家或有關安全部門對信息系統(tǒng)的安全現(xiàn)狀進行評估。 安全措施實施過程檢查的結果應由實施和檢查單位法人代表和檢查人員簽字，以便有關部門和使用單位檢查。 目的 檢驗、監(jiān)督安全工作的落實情況，確保信息系統(tǒng)達到 GB 178591999 要求的相應安全等級。 應根據(jù)國家有關部門的具體規(guī)定實施信息系統(tǒng)的安全檢查工作，實施獨立審計。 信息系統(tǒng)的各應用單位有關人員或組織除實施自查外，應積極配合國家有關部門對所用系統(tǒng)實施安全檢查。 對技術上的安全措施要通過其使用、配置情況，檢查它們是否達到了有關的要求。檢查的方法有多種，例如，通過查看系統(tǒng)的日志，分析出系統(tǒng)在運行過程中遇到的意外情況以及使用情況；或者對安全措施進行測試，查看它們能否達到規(guī)定的安全水平等。 對安全管理的檢查，可以通過審閱有關機構或人員 的工作記錄，規(guī)定他們定期進行總結匯報，并對檢查的結果進行核實，還可以發(fā)動單位內的所有人員。對管理機構的運作進行監(jiān)督。 對人員安全意識的檢查可以通過問卷、座談等方式進行，并建立定期考核制度。 應建立不定期的抽查制度，避免作弊行為或虛假的檢查結果。 內容 a) 安全策略的檢查：檢查結構上的系統(tǒng)性、內容上的可理解性、技術上的可實現(xiàn)性、管理上的可執(zhí)行性； b)技術措施的檢查：根據(jù)有關的技術標準，結合實際情況，分析安全措施的保護能力及能夠滿足需求的程度，并進一步研究該項措施 在當前環(huán)境和將來環(huán)境中的作用以及可行性；涉及多個技術領域時，檢查過程中需要聘請相關專業(yè)專家共同參與，并將檢查結果形成詳細準確的報告，再由小組進行論證評審，以確定該措施當前的有效性；涉及密碼技術時，檢查密碼體制、密碼產品和密鑰管理體系的使用和管理是否符合國家有關部門的規(guī)定； c)管理措施的檢查：主要是檢查安全管理機構是否健全，管理職能和管理職責是否明確，有關的政策、法規(guī)、制度、規(guī)定是否完善，人員的安全意識如何，相關的安全教育和培訓工作開展的怎樣，效果如何。 . 10生命周期管理 4. 目 的 對計算機信息系統(tǒng)實施生命周期全程管理。 計劃階段：通過風險分析明確安全需求，確定安全目標，制定安全策略，擬定安全要求的性能指標。 實施階段：依據(jù)安全要求選擇相應的安全措施，采購或設計安全系統(tǒng)，根據(jù)工程要求實施和部署，并對安全措施進行驗證、驗收。 運行維護階段：通過檢查、檢測、審計和對風險變更的監(jiān)視和評估保證運行安全。 生命周期結束階段：對計算機信息系統(tǒng)的信息進行安全處置。 安全管理組織 單位的最高主管對本單位計算機信息系統(tǒng)安 全負有主要責任，應根據(jù)使用的計算機信息系統(tǒng)的保護等級和計算機信息系統(tǒng)規(guī)模設立安全管理職責體系，明確安全管理人員的職責，保證安全管理人員有效行使計算機信息系統(tǒng)安全管理的權利。 如無特殊說明，在下列敘述中涉及的安全管理機構要求，均指根據(jù)實際情況建立的安全管理職責體系要求。 常見的安全管理組織結構如圖 3所示。 圖 3 安全管理組織結構 安全領導小組的主要職責： a) 負責與國家各級計算機信息系統(tǒng)安全主管部門建立日常工作關系； b) 定期向當?shù)毓矙C關信息安全監(jiān)察部門報告本單位信息安全保護管理情況，及時報告重大安全事件； c) 組織、協(xié)調、指導計算機信息系統(tǒng)的安全開發(fā)工作； d) 組織并領導有關人員制定、評審本單位計算機信息系統(tǒng)安全策略、標準、安全工作流程、各種規(guī)章制度； e) 確定計算機信息系統(tǒng)各類人 員的職責和權限； f) 審議并通過安全規(guī)劃，年度安全報告，有關安全的宣傳、教育、培訓計劃； 系統(tǒng)安全管理人員的主要職責： a) 負責應承擔的日常安全工作； b)遇到違法犯罪事件，應妥善保護案發(fā)現(xiàn)場，協(xié)助公安機關調查、取證； c)對已證實的重大的安全違規(guī)、違紀事件及泄密事件及時進行處理： d) 安全審計跟蹤分析和安全檢查，及時發(fā)現(xiàn)安全隱患和犯罪嫌疑，防患于未然； e) 負責定期向所屬組織或機構的領導層（或管理層）匯報安全工作。 人員安全 人員審查 制定人員審查制度。 應根據(jù)計算機信息系統(tǒng)安全等級的需要確定人員審查內容。 信息系統(tǒng)的有關人員應具有政治可靠、思想進步、作風正派、技術合格、職業(yè)道德良好等基本素質。 錄用關鍵工作崗位的工作人員時應按照其中請表中的個人歷史逐一審查，必要時要親自會見證明人，對以前的經歷和人品進行確認。 對在職人員應進行定期審查，當工作人員婚姻、經濟、身體等狀況發(fā)生變化，或被懷疑違反了安全規(guī)則，或對其可靠性產生懷疑時，都應進行重新審查。 崗位責任和授權 根據(jù)分 權制衡和最小特權原則，建立崗位責任制度和授權制度。 明確所有人員在系統(tǒng)中的安全職責和權限，職責和權限要文檔化，并要求簽字確認。所有人員的工作和活動范圍應當被限制在完成其任務的最小范圍內。 關鍵崗位人員不允許兼職。 建立人員培訓制度，明確培訓內容。 定期對計算機信息系統(tǒng)的操作和維護人員進行培訓，經過培訓的人員才能上崗工作。 建立人員考核制度。 定期從政治思想、業(yè)務水平、工作表現(xiàn)、遵守安全規(guī)程等方面對計算機信息系統(tǒng)工作人員進 行考核。對考核合格者應予表揚和獎勵，考核發(fā)現(xiàn)不合格者應予以教育、批評或處罰直至調離崗位。 4. 簽訂保密合同 計算機信息系統(tǒng)所涉及的工作人員（長期或臨時），應簽訂保密合同，承諾其對系統(tǒng)應盡的安全保密義務，保證在崗工作期間和離崗后一定時期內，均不得違反保密合同、泄露系統(tǒng)秘密。保密合同的內容應符合國家有關規(guī)定。對違反保密合同的應設有懲處條款。 建立人員調離安全管理制度。 對調離人員，應嚴格辦理調離手續(xù)，交回所有鑰匙及證件，退還全部技術手冊、軟件及其他相關資料 。系統(tǒng)應及時更換系統(tǒng)口令和相關機要鎖、撤銷其用過的所有賬號。重要機房或崗位的工作人員一旦辭職或凋離，應立即撤銷其出入安全區(qū)域、接觸敏感信息的授權。 安全管理制度 物理安全方面的規(guī)章制度 主要包括：機房安全管理制度、主機設備安全管理制度、網(wǎng)絡設施安全管理制度、物理設施分類標記管理制度等。 系統(tǒng)與數(shù)據(jù)庫安全方面的規(guī)章制度 主要包括：安全配置管理制度、系統(tǒng)分發(fā)和操作規(guī)章制度、系統(tǒng)文檔安全管理制度、測試和脆弱性評估制度、系統(tǒng)信息安全備份制度等。 網(wǎng) 絡安全方面的規(guī)章制度 主要包括：網(wǎng)絡連接檢查評估制度、網(wǎng)絡使用授權制度、網(wǎng)絡檢測制度、網(wǎng)絡設施（設備和協(xié)議）變更控制制度等。 主要包括：應用安全評估制度、應用系統(tǒng)使用授權制度、應用系統(tǒng)配置管理制度、應用系統(tǒng)文檔管理制度等。 主要包括：人員安全管理制度、安全意識與安全技術教育制度、操作安全管理制度、操作系統(tǒng)和數(shù)據(jù)庫安全管理制度、系統(tǒng)運行記錄編寫制度、病毒防護管理制度、系統(tǒng)維護管理制度、網(wǎng)絡互聯(lián)安全管理制度、安全審計管理 制度、安全事件報告制度、事故處理制度、應急管理制度和災難恢復管理制度等。 主要包括：信息分類標記制度、涉密信息安全管理制度、技術文檔管理制度、存儲介質管理制度、信息披露與發(fā)布審批管理制度等。 5 安全等級信息系統(tǒng)的管理要求 不論計算機信息系統(tǒng)規(guī)模如何，為保障信息的機密性、完整性、可用性、可控性和抗抵賴性，都應遵從 ，建立有效的安全管理體系，按計算機信息系統(tǒng)安全等級保護的要求實施安全管理。 計算機信息系統(tǒng)保護等級技術要求、工程要求、評估要 求的等級是可以浮動的，浮動的條件是對信息的機密性、完整性、可用性、可控性和抗抵賴性要求的改變或安全風險的改變。等級向上浮動的前提是當前計算機信息系統(tǒng)保障能力能滿足相應等級的信息安全的更高要求，能控制相應等級的更大的安全風險。向下浮動不作要求?？缭讲煌踩燃壪到y(tǒng)的信息可能受到威脅，對由較高等級向較低等級系統(tǒng)傳送信息時，應采取保護措施，得到管理層的授權。 第一級（用戶自主保護級）實施基本的管理 管理目標和范圍