【正文】 16) 通過定期評(píng)估，確保人員的主導(dǎo)作用； 17) 分權(quán)管理機(jī)制的強(qiáng)制實(shí)施，可信管理的實(shí)施； 5 18)全面安全管理計(jì)劃對(duì)單位文化的有機(jī)嵌入，并適應(yīng)安全環(huán)境的變化； 19) 實(shí)施全面質(zhì)量管理。 表 等 級(jí) 物理安全管理要求 l 1) 物理安全管理人員的配置； 2) 物理安全規(guī)章制度的建立； 3) GB 178591999 相應(yīng)等級(jí)技術(shù)要求的保證； 2 4) 物理安全區(qū)域管理的實(shí)施； 5) 設(shè)施配置計(jì)劃、安裝、運(yùn)行、操作流程的制定； 6) 系統(tǒng)關(guān)鍵物理設(shè)施登記制度的建立； 3 7) 安全區(qū)域標(biāo)記管理的實(shí)施； 4 8) 安全區(qū)域隔離管理的實(shí)施； 9) 出入人員授權(quán)書的建立； 10) 對(duì)安全區(qū)域活動(dòng)的實(shí)時(shí)監(jiān)視； 5 11) 物理安全保障的持續(xù)改善。 表 等 級(jí) 網(wǎng)絡(luò)安全管理要求 l 1) 網(wǎng)絡(luò)安全責(zé)任人的配置； 2) 有關(guān)安全制度的建立； 3) 達(dá)到 GB 178591999 相應(yīng)等級(jí)技術(shù)要求的保證； 2 4) 針對(duì)網(wǎng)絡(luò)使用情況的審計(jì)制度和標(biāo)記制度的建立； 5) 網(wǎng)絡(luò)使用和網(wǎng)絡(luò)服務(wù)政策的制定； 6) 網(wǎng)絡(luò)安全教育培訓(xùn)計(jì)劃的制定； 7) 網(wǎng)絡(luò)訪問制度的制定； 8) 與外部網(wǎng)絡(luò)接口的安全邊界的確定和定期的評(píng)估； 9) 對(duì)外部訪問接入點(diǎn)的控制和審計(jì)； 10) 對(duì)從內(nèi)部網(wǎng)絡(luò)向外發(fā)起的連接資源的控制； 11) 連接資源授權(quán)制度的建立； 12) 針對(duì)網(wǎng)絡(luò)之間的連接，可審計(jì)的安全措施的實(shí)施，物理或邏輯網(wǎng)絡(luò)隔離的實(shí)現(xiàn)； 13) 針對(duì)網(wǎng)絡(luò)安全措施使用情況的審計(jì)； 14) 網(wǎng)絡(luò)設(shè)施，網(wǎng)絡(luò)服務(wù)變更控制制度的建立： 15) 網(wǎng)絡(luò)安全事件、事故報(bào)告制度的建立，及相應(yīng)可審計(jì)性的保證； 16) 針對(duì)網(wǎng)絡(luò)連接、網(wǎng)絡(luò)安全措施、網(wǎng)絡(luò)設(shè)備的定期評(píng)估； 17) 關(guān)鍵網(wǎng)絡(luò)設(shè)施的備份； 18) 針對(duì)可用性要求高的網(wǎng)絡(luò)，不間斷監(jiān)控的實(shí)施、相應(yīng)應(yīng)急計(jì)劃的可行性驗(yàn)證； 3 9)針對(duì)安全措施的使用情況，嚴(yán)格審計(jì)制度、標(biāo)記制度的建立； 20) 網(wǎng)絡(luò)安全審計(jì)人員的配置； 4 21) 獨(dú)立安全審計(jì)的建立； 22) 網(wǎng)絡(luò)安全管理人員資質(zhì)的保證： 5 23) 至少兩名以上網(wǎng)絡(luò)安全管理人員的配置； 24) 物理網(wǎng)絡(luò)隔離的實(shí)現(xiàn)。 運(yùn)行安全管理主要涉及的內(nèi)容包括：風(fēng)險(xiǎn)管理、信息系統(tǒng)的生命周期管理、安全意識(shí)教育與培訓(xùn)、病毒防護(hù)、外部服務(wù)方訪問安全管理、應(yīng)急計(jì)劃和災(zāi)難 恢復(fù)計(jì)劃管理、變更控制等，為便于理解，將本標(biāo)準(zhǔn)第 5章中五個(gè)等級(jí)的運(yùn)行安全管理要求在以上幾個(gè)方面進(jìn)行了分解。 表 等級(jí) 風(fēng)險(xiǎn)管理要求 2 1) 針對(duì)關(guān)鍵系統(tǒng)資源的定期風(fēng)險(xiǎn)分析和評(píng)估； 2) 風(fēng)險(xiǎn)分析報(bào)告向管理層的提交； 3 3) 在風(fēng)險(xiǎn)管理中，使用規(guī)范方法的保證； 表 （續(xù)） 等級(jí) 風(fēng)險(xiǎn)管理要求 4 4) 風(fēng)險(xiǎn)管理質(zhì)量管理體系文件的建立； 5) 針對(duì)風(fēng)險(xiǎn)管理過程，獨(dú)立審計(jì)的實(shí)施； 6) 安全管理過程有效性的保證； 5 7) 風(fēng)險(xiǎn)管理計(jì)劃成為單位業(yè)務(wù)管理有機(jī)組成部分； 8) 針對(duì)風(fēng)險(xiǎn)管理活動(dòng)，全面質(zhì)量管理的實(shí)施。 表 等級(jí) 安全意識(shí)教育和培訓(xùn)要求 2 1) 系統(tǒng)各類人員安全意識(shí)，安全教育和培訓(xùn)計(jì)劃的制定、實(shí)施； 2) 系統(tǒng)所有工作人員對(duì)安全政策和操作規(guī)程的認(rèn)知； 3 3) 針對(duì)不同崗位，不同等級(jí)培訓(xùn)計(jì)劃的制定； 4 4) 所有工作人員資質(zhì)的檢查和評(píng)估； 5) 安全教育成為單位工作計(jì)劃的一部分 l 5 6) 針對(duì)所有工作人員資質(zhì)管理的實(shí)施； 7) 安全意識(shí)成為所有工作人員的自覺存在。 等 級(jí) 對(duì)外部服務(wù)方訪問的安全管理要求 2 1) 針對(duì)外部服務(wù)方訪問的安全管理制度的建立。 表 A. 13應(yīng)急計(jì)劃和災(zāi)難恢復(fù)計(jì)劃安全管理等級(jí)要求 等 級(jí) 應(yīng)急計(jì)劃和災(zāi)難恢復(fù)計(jì)劃安全管理要求 2 1)應(yīng)急計(jì)劃和災(zāi)難恢復(fù)計(jì)劃的制定、測(cè)試； 2)針對(duì)關(guān)鍵應(yīng)用系統(tǒng)和支持系統(tǒng)的應(yīng)急計(jì)劃和災(zāi)難恢復(fù)計(jì)劃的制定、測(cè)試； 3)計(jì)劃涉及人員的培訓(xùn)，相應(yīng)執(zhí)行能力的保證； 4)與計(jì)劃涉外資源的合同簽署； 5)安全事件處理制度的制定； 6)系統(tǒng)信息和文檔備份制度的制定； 3 7) 專人負(fù)責(zé)應(yīng)急計(jì)劃和實(shí) 施恢復(fù)計(jì)劃管理工作的保證； 8) 應(yīng)急計(jì)劃和災(zāi)難恢復(fù)計(jì)劃做到重點(diǎn)突出、有效執(zhí)行的保證： 4 9) 針對(duì)應(yīng)急計(jì)劃和災(zāi)難恢復(fù)計(jì)劃獨(dú)立審計(jì)的實(shí)施： 10) 針對(duì)應(yīng)急計(jì)劃和災(zāi)難恢復(fù)計(jì)劃的定期評(píng)估； 5 11) 應(yīng)急計(jì)劃和災(zāi)難恢復(fù)計(jì)劃全面管理細(xì)則的制定； 12) 針對(duì)應(yīng)急計(jì)劃和災(zāi)難恢復(fù)計(jì)劃的持續(xù)評(píng)估。 表 A. 15人員安全管理等級(jí)要求 等 級(jí) 人員安全管理要求 2 1) 根據(jù)分權(quán)制衡原則和最小特權(quán)原則，對(duì)工作崗位、崗位職責(zé)和敏感程度的確定； 2) 人員選擇、錄用標(biāo)準(zhǔn)、資質(zhì)標(biāo)準(zhǔn)的確定； 3) 人員背景調(diào)查程序的確定； 4) 保密協(xié)議的簽署； 5) 用戶管理制度的建立、實(shí)施； 6) 針對(duì)用戶授權(quán)和安全協(xié)議的簽署； 7) 針。 表 變更控制管理等級(jí)要求 等 級(jí) 變更控制管理要求 2 1) 針對(duì)操作 系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)、人員、服務(wù)、內(nèi)外風(fēng)險(xiǎn)等的變更控制制度的制定； 2) 運(yùn)行管理安全制度的制定； 3) 針對(duì)所有計(jì)劃和制度執(zhí)行情況的定期或不定期的監(jiān)督、檢查； 4) 針對(duì)安全策略和管理計(jì)劃的修訂； 5) 基于變更帶來的各種規(guī)章制度的修訂和完善； 6) 運(yùn)行過程管理文檔的建立； 3 7) 全面安全事務(wù)一致性的實(shí)現(xiàn)； 4 8) 獨(dú)立的安全審計(jì)的實(shí)施； 9) 對(duì)全面安全事務(wù)一致性的檢查和評(píng)估； 5 10)針對(duì)所有變更的安全評(píng)估； 11) 變更計(jì)劃和效果持續(xù)改善的 保證。 4 7) 針對(duì)外部服務(wù)方每次訪問的風(fēng)險(xiǎn)控制。 表 病毒防護(hù)管理等級(jí)要求 等級(jí) 病毒防護(hù)管理要求 2 1) 病毒防護(hù)系統(tǒng)使用管理制度的制定； 2) 應(yīng)用軟件安全管理制度的建立； 3) 應(yīng)用軟件采購批準(zhǔn)制度； 4) 應(yīng)用軟件使用授權(quán)制度的建立； 3 5) 病毒防護(hù)管理制度的集中實(shí)施： 6) 在系統(tǒng)所有終端有效防范病毒或惡意代碼引入的實(shí)現(xiàn)； 4 7) 針對(duì)病毒防護(hù)管理制度，定期或不定期檢查的實(shí)現(xiàn)。 表 等級(jí) 生命周期管理要求 2 1)在計(jì)劃階段 a) 針對(duì)系統(tǒng)敏感程度的評(píng)估； b) 保護(hù)標(biāo)準(zhǔn)的確定； c)安全需求的確定； d) 安全系統(tǒng)的設(shè)計(jì)和采購； 2) 在實(shí)施階段 c) 安全措施的實(shí)施、部署、驗(yàn)證和驗(yàn)收； 3) 在運(yùn)行維護(hù)階段 f) 對(duì)安全措施的評(píng)估； g)對(duì)風(fēng)險(xiǎn)變更的監(jiān)視和評(píng)估； 4) 在結(jié)束階段 h) 對(duì)系統(tǒng)信息的安全處置； 3 5) 針對(duì)生命周期各個(gè)階段的安全管理工作，相應(yīng)目標(biāo)和職責(zé)的確定； 6) 正式管理報(bào)告的提交； 4 7) 針對(duì)系統(tǒng)生命周期管理，質(zhì)量控制體系文件的建立； 8) 針對(duì)系統(tǒng)生命周期管理，獨(dú)立審計(jì)的實(shí)施； 5 9) 生命周期各階段的安全管理工作，成為單位業(yè)務(wù)管理的有機(jī)組成部分； 10) 針對(duì)生命周期管理，全面安全質(zhì)量管理的實(shí)施。 表 等級(jí) 運(yùn)行安全管理要求 1 l) 系統(tǒng)負(fù)責(zé)人對(duì)運(yùn)行管理的組織、指導(dǎo)和保證； 2) 采購計(jì)劃和采購制度的建立； 3) 風(fēng)險(xiǎn)分析計(jì)劃的建立； 4) 系統(tǒng)各類人員對(duì)系統(tǒng)資源安全責(zé)任的認(rèn)知； 5) 系統(tǒng)安全管理人員和系統(tǒng)普通用戶對(duì)系統(tǒng)資源以及控制系統(tǒng)中命名客體訪問權(quán)限的認(rèn)知； 6)有關(guān)安全管理制度的建立。 表 應(yīng)用系統(tǒng)安全管理要求 等級(jí) 應(yīng)用系統(tǒng)安全管理要求 1 1） 系統(tǒng)安全責(zé)任人的配置； 2） 有關(guān)規(guī)章制度的制定； 表 （續(xù)） 等級(jí) 應(yīng)用系統(tǒng)安全管理要求 2 3) 總體安全策略的制定、執(zhí)行； 4) 系統(tǒng)安 全操作規(guī)程的制定； 5) 信息的分類管理和信息的安全發(fā)布； 6) 信息訪問控制機(jī)制的安裝、授權(quán)和審計(jì)； 7) 針對(duì)內(nèi)部用戶的安全協(xié)議的簽署； 8) 審計(jì)人員的配置； 9) 系統(tǒng)安全性的定期和不定期評(píng)估； 10) 針對(duì)關(guān)鍵崗位工作人員資質(zhì)調(diào)查的實(shí)施； 11) 備份計(jì)劃和應(yīng)急計(jì)劃的制定、實(shí)施； 3 12) 安全管理機(jī)構(gòu)對(duì)系統(tǒng)安全措施的正確性和有效性的保證； 13) 強(qiáng)制性標(biāo)記信息訪問控制機(jī)制的安裝； 14) 針對(duì)標(biāo)記信息訪問的授權(quán)和審計(jì)； 15) 針對(duì)備份信息介質(zhì)的標(biāo)記制度的制定； 16) 針對(duì)不同的信息等級(jí)，不同備份策略的制定； 4 17) 獨(dú)立的應(yīng)用安全審計(jì)； 18) 應(yīng)用系統(tǒng)開發(fā)人員與審計(jì)工作的隔離，操作系統(tǒng)管理人員與應(yīng)用系統(tǒng)安全管理工作的隔離。 表 系統(tǒng)安全管理等級(jí)要求 等 級(jí) 系統(tǒng)安全管理要求 1 1) 安全責(zé)任人的配置； 2) 有關(guān)安全管理規(guī)章制度的建立； 2 3) 操作系統(tǒng)配置、使用的審計(jì)； 4) 強(qiáng)制性唯一標(biāo)示、口令的使用； 5) 資源使用的控制和授權(quán)； 6) 用戶在關(guān)鍵操作系統(tǒng)上使用情況的登記和監(jiān)視； 7) 系統(tǒng)工具使用授權(quán)管理制度的建立，相應(yīng)技術(shù)控制和管理控制的實(shí)施； 8) 操作系統(tǒng)的安全評(píng)估、對(duì)安全弱點(diǎn)和漏洞的控制； 9) 操作系統(tǒng)變更控制制度的建立； 10) 操作系統(tǒng)資源和系統(tǒng)文檔的備份； 11) 系統(tǒng)工具標(biāo)記管理制度的建立； 12) 對(duì)系統(tǒng)工具使用情 況的審計(jì)； 3 13) 應(yīng)用軟件安全管理制度的建立； 14) 針對(duì)操作系統(tǒng)資源和系統(tǒng)文檔的標(biāo)記處理、安全備份； 15) 應(yīng)急安全計(jì)劃的制定、實(shí)施； 表 （續(xù)） 等 級(jí) 系統(tǒng)安全管理要求 4 16) 針對(duì)系統(tǒng)內(nèi)置角色，操作系統(tǒng)安全管理人員的分別配置： 17) 操作系統(tǒng)管理過程的可審計(jì)性保證； 5 18) 安全責(zé)任書在多方在場(chǎng)情況下的簽署； 19) 對(duì)操作人員的操作過程人機(jī)操作監(jiān)視的實(shí)施。 表 人員與職責(zé)等級(jí)要求 等 級(jí) 人員與職責(zé)要求 1 1)安全管理人員條件、職責(zé)的確定和配置； 2 2)安全管理機(jī)構(gòu)的建立，及其職責(zé)的確定和人員的配置； 3)針對(duì)關(guān)鍵的系統(tǒng)，風(fēng)險(xiǎn)管理計(jì)劃的建立； 3 4)在系統(tǒng)安全風(fēng)險(xiǎn)控制和管理過程中，對(duì)安全事務(wù)的明確分工； 5)針對(duì)系統(tǒng)工作人員和資源，等級(jí)標(biāo)記管理的實(shí)施 ； 表 （續(xù)） 等 級(jí) 人員與職責(zé)要求 4 6)針對(duì)系統(tǒng)應(yīng)用部門，安全管理延伸和滲透的實(shí)施； 7)獨(dú)立審計(jì)的實(shí)施； 5 8)所有人員對(duì)安全管理規(guī)定和要求的充分理解和有效執(zhí)行； 9)針對(duì)所有崗位，所有人員的資質(zhì)達(dá)標(biāo)，并實(shí)施全面質(zhì)量管理。列表中，高等級(jí)的要求包含低等級(jí)的要求。 —— 要 求制定全面的應(yīng)急計(jì)劃和災(zāi)難恢復(fù)計(jì)劃管理細(xì)則，并通過持續(xù)評(píng)估，保證應(yīng)急計(jì)劃和災(zāi)難恢復(fù)計(jì)劃的時(shí)效性和有效性。 計(jì)算機(jī)信息系統(tǒng) 網(wǎng)絡(luò)之間的連接實(shí)現(xiàn)物理網(wǎng)絡(luò)隔離。 物理安全 管理要求 除滿足第四級(jí)的要求外，要求對(duì)物理安全的保障有持續(xù)的改善。 通過管理活動(dòng)保證計(jì)算機(jī)信息系統(tǒng)達(dá)到 GB 178591999 本級(jí)的要求。保證所有的決議有利于不斷化解計(jì)算機(jī)信息系統(tǒng)的安全風(fēng)險(xiǎn)。 —— 要求對(duì)外部服務(wù)方每次訪問計(jì)算機(jī)信息系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行控制。對(duì)備份信息介質(zhì)制定嚴(yán)格的分類標(biāo)記制度，并按信息等級(jí)的要求制定不同的備份策略。 應(yīng)用系統(tǒng)的開發(fā)人員不應(yīng)從事應(yīng)用系統(tǒng)日常運(yùn)行和安全審計(jì)工作。保證網(wǎng)絡(luò)安全管理人員達(dá)到相應(yīng)的資質(zhì)。 保證物理安全達(dá)到 GA/T 3902020 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求相應(yīng)等級(jí)標(biāo)準(zhǔn)。對(duì)風(fēng)險(xiǎn)分析、安全策略、安全技術(shù)和管理的實(shí)施、安全意識(shí)培養(yǎng)與教育、安全審核、安全事件和事故響應(yīng)、安全評(píng)估工作管理責(zé)任人進(jìn)行例行考核，保證安全管理工作的有效性。保證系統(tǒng)具有強(qiáng)壯的抗?jié)B透能力。 第四級(jí)（結(jié)構(gòu)化保護(hù)級(jí)）實(shí)施標(biāo)準(zhǔn)化管理 管理目標(biāo)和范圍 在實(shí)現(xiàn)第三級(jí)管理目標(biāo)的基礎(chǔ)上，要求計(jì)算機(jī)信息系統(tǒng)的使用單位將安全策略、操作規(guī)程、規(guī)章制度和安全措施的有效性評(píng)估程序化、周期化。 —— 要求定期對(duì)外部服務(wù)方訪問計(jì)算機(jī)信息系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行分析和評(píng)估，對(duì)外部服務(wù)方實(shí)施嚴(yán)格的訪問控制，并對(duì)外部服務(wù)方的訪問實(shí)施監(jiān)視。 制定切實(shí)可行的應(yīng)用系統(tǒng)及數(shù)據(jù)的備份計(jì)劃和應(yīng)急計(jì)劃，并由專人負(fù)責(zé)落實(shí)和管理，對(duì)備份信息介質(zhì)制定嚴(yán)格的標(biāo)記制度，并按信息等級(jí)的要求制定不同的備份策略。 定期或不定期對(duì)應(yīng)用系統(tǒng)的安全性進(jìn)行評(píng)估，并根據(jù)應(yīng)用系統(tǒng)的變更或風(fēng)險(xiǎn)變化提交正式的評(píng)估報(bào)告，提出安全建議，修訂、完善有關(guān)安全管理制度和規(guī)程。 制定應(yīng)用軟件安全管理規(guī)章制度，對(duì)應(yīng)用軟件的設(shè)計(jì)、開發(fā)、采購實(shí)施批準(zhǔn)制度；對(duì)應(yīng)用軟件的安全性進(jìn)行評(píng)估，未獲明確驗(yàn)證的軟件不得裝入運(yùn)行的系統(tǒng)；對(duì)應(yīng)用軟件的使用采取授權(quán)、標(biāo) 記管理制度。