【正文】 應(yīng)由計算機信息系統(tǒng)使用單位的相關(guān)部門負(fù)責(zé)制定，該部門由使用單位的主管成員和專業(yè)安全技術(shù)人員以及來自該單位不同部門的相關(guān)成員組成。有條件的部門，可聘請安全專家。安全策略 在制定時應(yīng)兼顧結(jié)構(gòu)上的系統(tǒng)性、內(nèi)容上的可理解性、技術(shù)上的可實現(xiàn)性、管理上的可執(zhí)行性。安全策略應(yīng)與時俱進(jìn)，定期加以調(diào)整和更新。 安全策略的內(nèi)容 a) 保護的內(nèi)容和目標(biāo)：安全策略中應(yīng)包含計算機信息系統(tǒng)中要保護的所有資產(chǎn)以及每件資產(chǎn)的重要性，對計算機信息系統(tǒng)中的要素或資產(chǎn)進(jìn)行分類，分類應(yīng)體現(xiàn)各類資產(chǎn)的重要程度，所面 臨的主要威脅，并規(guī)定它們的受保護等級； b) 明確人員的職責(zé)：明確每個人在信息安全保護中的責(zé)任和義務(wù)，以便有效地組織全員協(xié)同工作； c) 實施保護的方法：確定保護計算機信息系統(tǒng)中 各類資產(chǎn)的具體方法，如對于實體可以采用隔離、防輻射、防自然災(zāi)害的措施，對于數(shù)據(jù)信息可以采用授權(quán)訪問控制技術(shù)，對于網(wǎng)絡(luò)傳輸可以采用安全髓道技術(shù)等； d) 事故的處理：為了確保任務(wù)的落實，提高安全意識和警惕性，應(yīng)規(guī)定相關(guān)的獎懲條款，并建立監(jiān)管機制，以保證各項條款的嚴(yán)格執(zhí)行。 . 目的 提高計算機信息系統(tǒng)安全服務(wù)和安全機制等安全保障措施的有效性和針對性，并形成安全需求分報告。 a) 結(jié)合實際：針對計算機信息系統(tǒng)的實際環(huán)境和安全目標(biāo) 提出安全要求； b) 依據(jù)標(biāo)準(zhǔn)：為了保證質(zhì)量，做到有據(jù)可查，安全需求分析應(yīng)符合有關(guān)標(biāo)準(zhǔn)； c) 分層分析：從涉及的策略、體系結(jié)構(gòu)、技術(shù)、管理等各個層次逐次進(jìn)行分析； d) 動態(tài)反饋：安全需求分析是一個不斷發(fā)展的過程，隨著系統(tǒng)更新?lián)Q代或功能擴展、內(nèi)部環(huán)境和外部環(huán)境的變化，安全需求隨之發(fā)生變化。安全需求分析應(yīng)保持結(jié)果的有效性、適應(yīng)性，保證分析方法的科學(xué)性和系統(tǒng)性，安全需求分析過程應(yīng)與系統(tǒng)發(fā)展過程同步。 內(nèi)容 a)管理層面：根據(jù)組織和機構(gòu)的實際情況，確定管理 機構(gòu)或部門的形態(tài)和規(guī)模，并明確其目標(biāo)、原則、任務(wù)、功能和人員配置等； b)物理層面：根據(jù)組織或機構(gòu)的實際情況，確定各類實體財產(chǎn)的安全級別，以及需要保護的程度和方法； c) 系統(tǒng)層面：明確操作平臺應(yīng)該具備的安全級別，以及為達(dá)到所要求的級別，應(yīng)選用的操作系統(tǒng)等； d) 網(wǎng)絡(luò)層面：根據(jù)信息系統(tǒng)的業(yè)務(wù)方向，分析系統(tǒng)的網(wǎng)絡(luò)，特別是網(wǎng)絡(luò)邊界的安全需求，確定應(yīng)采用的防護體系； e) 應(yīng)用層面：基于網(wǎng)絡(luò)的應(yīng)用以及應(yīng)用供應(yīng)商的多樣性和復(fù)雜性，相應(yīng)的安全防護體系和技術(shù)措施不盡相同，需要根據(jù) 實際情況來確定、選擇其安全需求。 ..7安全措施的實施 目的 實現(xiàn)安全防護體系，保證達(dá)到工程要求。 遵從保質(zhì)、經(jīng)濟、高效的原則，正確選擇實施單位，依據(jù)一份詳細(xì)、準(zhǔn)確、完備的文檔化實施方案，對實施過程進(jìn)行嚴(yán)格控制。 對方案要詳細(xì)說明安全過程各個階段的建設(shè)目標(biāo)、工作內(nèi)容、施工人員、任務(wù)分工、進(jìn)度安排、產(chǎn)品選型、產(chǎn)品采購、資金投入等情況，并給出每一項的依據(jù)和理由，分析每項工作的作用、意義和局限性，明確實施各方的工作關(guān)系、責(zé)權(quán)和協(xié)調(diào)協(xié)同機制。 對實施方案進(jìn)行評審時既要兼顧整體，又要注意細(xì)節(jié)，嚴(yán)格對照組織或機構(gòu)的安全策略、安全需求和實際情況進(jìn)行檢驗 39。并對所有的備選方案進(jìn)行認(rèn)真的分析比較 39。確保選中的方案達(dá)到設(shè)想的要 和 標(biāo)準(zhǔn)。 在安全措施實施過程中，所采用的技術(shù)與產(chǎn)品應(yīng)經(jīng)過嚴(yán)格的測試選型，符合國家信息安全方面的法律法規(guī)，特別是涉及密碼技術(shù)的產(chǎn)品，應(yīng)嚴(yán)格按照國家和主管部門的有關(guān)規(guī)定選型和采購。 實施應(yīng)按照有關(guān)工程要求進(jìn)行。 如本單位沒有實施條件，應(yīng)選擇具備相應(yīng)資質(zhì)和合適、可靠的實施單位來實施信息系統(tǒng)安全措施。 安全 實施過程的監(jiān)理 目的 在安全實施過程中建立安全監(jiān)理制度，檢驗施工單位的質(zhì)量水平和責(zé)任心，保證工程各階段的質(zhì)量。 安全實施過程的監(jiān)理主要從實施的規(guī)范、流程、進(jìn)度等方面進(jìn)行監(jiān)督與檢查，確保各環(huán)節(jié)的質(zhì)量。 安全監(jiān)理單位或個人應(yīng)是經(jīng)過有關(guān)部門批準(zhǔn)的第三方中立機構(gòu)或具有相應(yīng)資質(zhì)的個人，保證安全措施實施按照合理的流程與技術(shù)標(biāo)準(zhǔn)進(jìn)行，保證實施過程的有效性。 a) 實施前的監(jiān)理：對所選安全產(chǎn)品的真實性、質(zhì)量、到貨時間進(jìn)行檢查；對工程實施人員進(jìn)行身份及資 質(zhì)審核；對實施單位的具體實施步驟及每個步驟中的具體實施計劃文檔進(jìn)行審核；對實施單位開始實施工程的時間和完工的時間進(jìn)行事前記錄； b) 實施中的監(jiān)理：對工程實施進(jìn)度進(jìn)行計劃和督促，防止延誤工期；對工程實施過程的真實性和與方案的符合性進(jìn)行監(jiān)督；對工程實施人員的身份在實施過程中進(jìn)行再檢查；對軟硬件產(chǎn)品在工程實施中的完好性和真實性進(jìn)行檢查；對工程實施中已完成的部分進(jìn)行局部驗收，發(fā)現(xiàn)問題令其及時糾正；對實施人員的能力和態(tài)度進(jìn)行審核；對于敏感性、關(guān)鍵性信息系統(tǒng)，應(yīng)由該組織或機構(gòu)委派專人在現(xiàn)場實施全過程監(jiān)控，負(fù)責(zé)零事故 的安全保障； c) 實施后的監(jiān)理：對是否達(dá)到相應(yīng)的安全級別進(jìn)行嚴(yán)格驗收；對產(chǎn)品配置的合理性、有效性進(jìn)行驗收；對安全配置是否影響系統(tǒng)的性能進(jìn)行驗收；對實施的進(jìn)度進(jìn)行驗收；對信息系統(tǒng)的安全現(xiàn)狀進(jìn)行測試與評估；聘請安全專家或有關(guān)安全部門對信息系統(tǒng)的安全現(xiàn)狀進(jìn)行評估。 安全措施實施過程檢查的結(jié)果應(yīng)由實施和檢查單位法人代表和檢查人員簽字，以便有關(guān)部門和使用單位檢查。 目的 檢驗、監(jiān)督安全工作的落實情況，確保信息系統(tǒng)達(dá)到 GB 178591999 要求的相應(yīng)安全等級。 應(yīng)根據(jù)國家有關(guān)部門的具體規(guī)定實施信息系統(tǒng)的安全檢查工作，實施獨立審計。 信息系統(tǒng)的各應(yīng)用單位有關(guān)人員或組織除實施自查外，應(yīng)積極配合國家有關(guān)部門對所用系統(tǒng)實施安全檢查。 對技術(shù)上的安全措施要通過其使用、配置情況，檢查它們是否達(dá)到了有關(guān)的要求。檢查的方法有多種，例如，通過查看系統(tǒng)的日志，分析出系統(tǒng)在運行過程中遇到的意外情況以及使用情況；或者對安全措施進(jìn)行測試，查看它們能否達(dá)到規(guī)定的安全水平等。 對安全管理的檢查，可以通過審閱有關(guān)機構(gòu)或人員 的工作記錄，規(guī)定他們定期進(jìn)行總結(jié)匯報，并對檢查的結(jié)果進(jìn)行核實，還可以發(fā)動單位內(nèi)的所有人員。對管理機構(gòu)的運作進(jìn)行監(jiān)督。 對人員安全意識的檢查可以通過問卷、座談等方式進(jìn)行，并建立定期考核制度。 應(yīng)建立不定期的抽查制度，避免作弊行為或虛假的檢查結(jié)果。 內(nèi)容 a) 安全策略的檢查：檢查結(jié)構(gòu)上的系統(tǒng)性、內(nèi)容上的可理解性、技術(shù)上的可實現(xiàn)性、管理上的可執(zhí)行性； b)技術(shù)措施的檢查：根據(jù)有關(guān)的技術(shù)標(biāo)準(zhǔn)，結(jié)合實際情況，分析安全措施的保護能力及能夠滿足需求的程度，并進(jìn)一步研究該項措施 在當(dāng)前環(huán)境和將來環(huán)境中的作用以及可行性；涉及多個技術(shù)領(lǐng)域時，檢查過程中需要聘請相關(guān)專業(yè)專家共同參與，并將檢查結(jié)果形成詳細(xì)準(zhǔn)確的報告，再由小組進(jìn)行論證評審，以確定該措施當(dāng)前的有效性；涉及密碼技術(shù)時，檢查密碼體制、密碼產(chǎn)品和密鑰管理體系的使用和管理是否符合國家有關(guān)部門的規(guī)定； c)管理措施的檢查：主要是檢查安全管理機構(gòu)是否健全，管理職能和管理職責(zé)是否明確，有關(guān)的政策、法規(guī)、制度、規(guī)定是否完善，人員的安全意識如何，相關(guān)的安全教育和培訓(xùn)工作開展的怎樣，效果如何。 . 10生命周期管理 4. 目 的 對計算機信息系統(tǒng)實施生命周期全程管理。 計劃階段：通過風(fēng)險分析明確安全需求，確定安全目標(biāo)，制定安全策略，擬定安全要求的性能指標(biāo)。 實施階段：依據(jù)安全要求選擇相應(yīng)的安全措施，采購或設(shè)計安全系統(tǒng)，根據(jù)工程要求實施和部署，并對安全措施進(jìn)行驗證、驗收。 運行維護階段：通過檢查、檢測、審計和對風(fēng)險變更的監(jiān)視和評估保證運行安全。 生命周期結(jié)束階段：對計算機信息系統(tǒng)的信息進(jìn)行安全處置。 安全管理組織 單位的最高主管對本單位計算機信息系統(tǒng)安 全負(fù)有主要責(zé)任，應(yīng)根據(jù)使用的計算機信息系統(tǒng)的保護等級和計算機信息系統(tǒng)規(guī)模設(shè)立安全管理職責(zé)體系，明確安全管理人員的職責(zé)，保證安全管理人員有效行使計算機信息系統(tǒng)安全管理的權(quán)利。 如無特殊說明，在下列敘述中涉及的安全管理機構(gòu)要求，均指根據(jù)實際情況建立的安全管理職責(zé)體系要求。 常見的安全管理組織結(jié)構(gòu)如圖 3所示。 圖 3 安全管理組織結(jié)構(gòu) 安全領(lǐng)導(dǎo)小組的主要職責(zé)： a) 負(fù)責(zé)與國家各級計算機信息系統(tǒng)安全主管部門建立日常工作關(guān)系； b) 定期向當(dāng)?shù)毓矙C關(guān)信息安全監(jiān)察部門報告本單位信息安全保護管理情況，及時報告重大安全事件； c) 組織、協(xié)調(diào)、指導(dǎo)計算機信息系統(tǒng)的安全開發(fā)工作； d) 組織并領(lǐng)導(dǎo)有關(guān)人員制定、評審本單位計算機信息系統(tǒng)安全策略、標(biāo)準(zhǔn)、安全工作流程、各種規(guī)章制度； e) 確定計算機信息系統(tǒng)各類人 員的職責(zé)和權(quán)限； f) 審議并通過安全規(guī)劃，年度安全報告，有關(guān)安全的宣傳、教育、培訓(xùn)計劃； 系統(tǒng)安全管理人員的主要職責(zé)： a) 負(fù)責(zé)應(yīng)承擔(dān)的日常安全工作； b)遇到違法犯罪事件，應(yīng)妥善保護案發(fā)現(xiàn)場，協(xié)助公安機關(guān)調(diào)查、取證； c)對已證實的重大的安全違規(guī)、違紀(jì)事件及泄密事件及時進(jìn)行處理： d) 安全審計跟蹤分析和安全檢查，及時發(fā)現(xiàn)安全隱患和犯罪嫌疑，防患于未然； e) 負(fù)責(zé)定期向所屬組織或機構(gòu)的領(lǐng)導(dǎo)層（或管理層）匯報安全工作。 人員安全 人員審查 制定人員審查制度。 應(yīng)根據(jù)計算機信息系統(tǒng)安全等級的需要確定人員審查內(nèi)容。 信息系統(tǒng)的有關(guān)人員應(yīng)具有政治可靠、思想進(jìn)步、作風(fēng)正派、技術(shù)合格、職業(yè)道德良好等基本素質(zhì)。 錄用關(guān)鍵工作崗位的工作人員時應(yīng)按照其中請表中的個人歷史逐一審查，必要時要親自會見證明人，對以前的經(jīng)歷和人品進(jìn)行確認(rèn)。 對在職人員應(yīng)進(jìn)行定期審查，當(dāng)工作人員婚姻、經(jīng)濟、身體等狀況發(fā)生變化，或被懷疑違反了安全規(guī)則，或?qū)ζ淇煽啃援a(chǎn)生懷疑時，都應(yīng)進(jìn)行重新審查。 崗位責(zé)任和授權(quán) 根據(jù)分 權(quán)制衡和最小特權(quán)原則，建立崗位責(zé)任制度和授權(quán)制度。 明確所有人員在系統(tǒng)中的安全職責(zé)和權(quán)限，職責(zé)和權(quán)限要文檔化，并要求簽字確認(rèn)。所有人員的工作和活動范圍應(yīng)當(dāng)被限制在完成其任務(wù)的最小范圍內(nèi)。 關(guān)鍵崗位人員不允許兼職。 建立人員培訓(xùn)制度，明確培訓(xùn)內(nèi)容。 定期對計算機信息系統(tǒng)的操作和維護人員進(jìn)行培訓(xùn)，經(jīng)過培訓(xùn)的人員才能上崗工作。 建立人員考核制度。 定期從政治思想、業(yè)務(wù)水平、工作表現(xiàn)、遵守安全規(guī)程等方面對計算機信息系統(tǒng)工作人員進(jìn) 行考核。對考核合格者應(yīng)予表揚和獎勵，考核發(fā)現(xiàn)不合格者應(yīng)予以教育、批評或處罰直至調(diào)離崗位。 4. 簽訂保密合同 計算機信息系統(tǒng)所涉及的工作人員（長期或臨時），應(yīng)簽訂保密合同，承諾其對系統(tǒng)應(yīng)盡的安全保密義務(wù)，保證在崗工作期間和離崗后一定時期內(nèi)，均不得違反保密合同、泄露系統(tǒng)秘密。保密合同的內(nèi)容應(yīng)符合國家有關(guān)規(guī)定。對違反保密合同的應(yīng)設(shè)有懲處條款。 建立人員調(diào)離安全管理制度。 對調(diào)離人員，應(yīng)嚴(yán)格辦理調(diào)離手續(xù)，交回所有鑰匙及證件，退還全部技術(shù)手冊、軟件及其他相關(guān)資料 。系統(tǒng)應(yīng)及時更換系統(tǒng)口令和相關(guān)機要鎖、撤銷其用過的所有賬號。重要機房或崗位的工作人員一旦辭職或凋離，應(yīng)立即撤銷其出入安全區(qū)域、接觸敏感信息的授權(quán)。 安全管理制度 物理安全方面的規(guī)章制度 主要包括：機房安全管理制度、主機設(shè)備安全管理制度、網(wǎng)絡(luò)設(shè)施安全管理制度、物理設(shè)施分類標(biāo)記管理制度等。 系統(tǒng)與數(shù)據(jù)庫安全方面的規(guī)章制度 主要包括：安全配置管理制度、系統(tǒng)分發(fā)和操作規(guī)章制度、系統(tǒng)文檔安全管理制度、測試和脆弱性評估制度、系統(tǒng)信息安全備份制度等。 網(wǎng) 絡(luò)安全方面的規(guī)章制度 主要包括：網(wǎng)絡(luò)連接檢查評估制度、網(wǎng)絡(luò)使用授權(quán)制度、網(wǎng)絡(luò)檢測制度、網(wǎng)絡(luò)設(shè)施（設(shè)備和協(xié)議）變更控制制度等。 主要包括：應(yīng)用安全評估制度、應(yīng)用系統(tǒng)使用授權(quán)制度、應(yīng)用系統(tǒng)配置管理制度、應(yīng)用系統(tǒng)文檔管理制度等。 主要包括：人員安全管理制度、安全意識與安全技術(shù)教育制度、操作安全管理制度、操作系統(tǒng)和數(shù)據(jù)庫安全管理制度、系統(tǒng)運行記錄編寫制度、病毒防護管理制度、系統(tǒng)維護管理制度、網(wǎng)絡(luò)互聯(lián)安全管理制度、安全審計管理 制度、安全事件報告制度、事故處理制度、應(yīng)急管理制度和災(zāi)難恢復(fù)管理制度等。 主要包括：信息分類標(biāo)記制度、涉密信息安全管理制度、技術(shù)文檔管理制度、存儲介質(zhì)管理制度、信息披露與發(fā)布審批管理制度等。 5 安全等級信息系統(tǒng)的管理要求 不論計算機信息系統(tǒng)規(guī)模如何，為保障信息的機密性、完整性、可用性、可控性和抗抵賴性，都應(yīng)遵從 ，建立有效的安全管理體系，按計算機信息系統(tǒng)安全等級保護的要求實施安全管理。 計算機信息系統(tǒng)保護等級技術(shù)要求、工程要求、評估要 求的等級是可以浮動的，浮動的條件是對信息的機密性、完整性、可用性、可控性和抗抵賴性要求的改變或安全風(fēng)險的改變。等級向上浮動的前提是當(dāng)前計算機信息系統(tǒng)保障能力能滿足相應(yīng)等級的信息安全的更高要求，能控制相應(yīng)等級的更大的安全風(fēng)險。向下浮動不作要求?？缭讲煌踩燃壪到y(tǒng)的信息可能受到威脅，對由較高等級向較低等級系統(tǒng)傳送信息時，應(yīng)采取保護措施，得到管理層的授權(quán)。 第一級（用戶自主保護級）實施基本的管理 管理目標(biāo)和范圍