【正文】 每個(gè)階段編制、開發(fā)或更新信息系統(tǒng)的行動(dòng)計(jì)劃。 要求 為信息系統(tǒng)制定并實(shí)施安全規(guī)劃，對(duì)系統(tǒng)的安全要求以及滿足這些安全需求的在用的或計(jì)劃采用的安全控制措施進(jìn)行描述； 高層領(lǐng)導(dǎo)應(yīng)審核、批準(zhǔn)安全規(guī)劃，并采用統(tǒng)一規(guī)劃、分步實(shí)施的原則貫徹執(zhí)行。 內(nèi)容 管理制度印發(fā)給有關(guān)管理和應(yīng)用人員，并抽查，以驗(yàn)證其是否了解應(yīng)遵守的行為規(guī)范。 信息安全管理制度 信息安全管理制度是為了更好地保證系統(tǒng)的信息安全，是信息安全策略的進(jìn)一步實(shí)施的具體化。 安全策略和管理制度 對(duì)各級(jí)部門制定總體的信息安全策略、信息安全管理制度和相應(yīng)的行為規(guī)范，指導(dǎo)信息安全保障工作更好的開展。組織安全策略為機(jī)構(gòu)內(nèi)部未來的所有安全活動(dòng)提供了范圍和方向。 要求 對(duì)各級(jí)部門制定總體信息安全策略，詳 細(xì)闡述目標(biāo)、范圍、角色、責(zé)任以及合規(guī)性等；制定高層信息安全策略，部門級(jí)安全策略，系統(tǒng)級(jí)安全策略；開發(fā)、發(fā)布、并定期更新信息安全策略； 內(nèi)容 信息安全 策略 的內(nèi)容 要 覆蓋安全規(guī)劃、組織機(jī)構(gòu)、人員安全、安全意識(shí)和培訓(xùn)、風(fēng)險(xiǎn)評(píng)估、認(rèn)證認(rèn)可、系統(tǒng)與服務(wù)采購(gòu)、配置管理、應(yīng)急計(jì)劃、事件響應(yīng)、系統(tǒng)維護(hù)、標(biāo)識(shí)鑒別、訪問控制、系統(tǒng)與信息完整性、系統(tǒng)與通信保護(hù)、抗抵賴、介質(zhì)保護(hù)、物理和環(huán)境保護(hù)、檢測(cè)響應(yīng)恢復(fù)等各方面； 信息安全 策略 定義 了 明確所要保護(hù)的總體安全目標(biāo)與范圍 ； 信息安全 策略經(jīng)過本級(jí)主管信息工作的領(lǐng)導(dǎo)批準(zhǔn)， 正式頒布， 并 定期 根據(jù)實(shí)施效果進(jìn)行修訂 。 要求 對(duì)信息系統(tǒng)的各類使用和管理人員的崗位職責(zé)、行為規(guī)范制定管理規(guī)定，并描述其責(zé)任和所允許的訪問信息和信息系統(tǒng)的正當(dāng)行為； 所有用戶在被授權(quán)訪問信息系統(tǒng)之前，應(yīng)以書面簽認(rèn)方式確認(rèn)其已經(jīng)知悉、理解并愿意遵守相關(guān)的規(guī)范。 系統(tǒng)安全規(guī)劃 系統(tǒng)安全規(guī)劃是對(duì)信息系統(tǒng)安全一個(gè)全面的規(guī)劃，用來描述系統(tǒng)的安全要求和滿足安全規(guī)劃采用的安全控制措施 。 內(nèi)容 定期或發(fā)生重大變更時(shí)，對(duì)信息安全規(guī)劃進(jìn)行審核和修訂； 信息安全規(guī)劃的修改要 嚴(yán)格遵守相關(guān) 的策略和 流程，并得到主管領(lǐng)導(dǎo)的批準(zhǔn)。 2 組織管理 組織機(jī)構(gòu) 信息安全管理機(jī)構(gòu) 要求 組建本單位的信息安全管理機(jī)構(gòu)，該機(jī)構(gòu)應(yīng)由主管本單位信息安全工作的領(lǐng)導(dǎo)、負(fù)責(zé)具體工作的網(wǎng)絡(luò)、安全管理人員組成，責(zé)任到人，具有領(lǐng)導(dǎo)信息安全工作、制定安全策略、監(jiān)督管理等職能。 人員安全 人員安全主要包括工作崗位風(fēng)險(xiǎn)分級(jí)、人員審查、人員工作合同終止、人員調(diào)動(dòng)、工作協(xié)議和條款、第三方人員 安全以及人員處罰等幾個(gè)方面。 內(nèi)容 制定有關(guān)人員背景審查的制度和流程，并依此進(jìn)行人員審查、核實(shí)工作。 內(nèi)容 對(duì)人員調(diào)動(dòng) 采取適當(dāng)?shù)陌踩胧? 內(nèi)容 明確第三方參與的業(yè)務(wù)過程對(duì)信息和信息處理設(shè)施帶來的風(fēng)險(xiǎn)，并采取 適當(dāng)?shù)目刂拼胧? 同第三方簽訂 的安全協(xié)議中， 覆蓋第三方在訪問、處理、通信、管理組織信息或信息處理設(shè)施、增加產(chǎn)品 或服務(wù)等活動(dòng)中所有相關(guān)的安全要求，并清晰定義了其安全角色和責(zé)任。在安全程序、設(shè)備和信息系統(tǒng)的使用過程中培訓(xùn)工作人員，使工作人員有良好的安全意識(shí)，以降低可能的安全風(fēng)險(xiǎn)。 安全培訓(xùn) 要求 制定安全培訓(xùn)計(jì)劃，并且定期按照計(jì)劃進(jìn)行培訓(xùn)； 確定每個(gè)工作人員在信息系 統(tǒng)中的安全角色和職責(zé)，將這些角色和職責(zé)文檔化，在工作人員被授權(quán)訪問系統(tǒng)之前提供適合的信息系統(tǒng)安全培訓(xùn)； 依據(jù) 自身 的特定要求和工作人員授權(quán)訪問的信息系統(tǒng)的不同，制定針對(duì)性較強(qiáng)的安全培訓(xùn)內(nèi)容； 確保系統(tǒng)管理員，管理者和其他有權(quán)訪問系統(tǒng)層軟件的人員在從事本職工作之前進(jìn)行了必要的技術(shù)培訓(xùn) 。 3 運(yùn)行管理 風(fēng)險(xiǎn)評(píng)估和認(rèn)證認(rèn)可 風(fēng)險(xiǎn)評(píng)估是對(duì)信息和信息處理設(shè)施所面臨的威脅及其影響以及信息系統(tǒng)脆弱性及其發(fā)生可能性的評(píng)估 。 風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)評(píng)估應(yīng)包括評(píng)價(jià)風(fēng)險(xiǎn)程度的系統(tǒng)化的方法（風(fēng)險(xiǎn)分析）以及將估計(jì)的風(fēng)險(xiǎn)與風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較從而確定風(fēng)險(xiǎn)重要程度的過程（風(fēng)險(xiǎn)評(píng)估）。 要求 當(dāng)信息系統(tǒng)發(fā)生重大變更時(shí)，應(yīng)重新進(jìn)行風(fēng)險(xiǎn)評(píng)估 ； 制定相關(guān)規(guī)定， 說明哪些是信息系統(tǒng)的重大變動(dòng)。 內(nèi)容 當(dāng)前使用的信息安全產(chǎn)品 得到中國(guó)信息安 全產(chǎn)品測(cè)評(píng)認(rèn)證中心、公安部、國(guó)家保密局等國(guó)家權(quán)威部門的相關(guān)認(rèn)證； 通過國(guó)家權(quán)威機(jī)構(gòu)對(duì)信息系統(tǒng)的安全保障能力的測(cè)評(píng)認(rèn)證； 認(rèn)證結(jié)果 對(duì)于當(dāng)前系統(tǒng)是有效的（認(rèn)證結(jié)果距檢查時(shí)間不超過兩年，得到認(rèn)證后沒有對(duì)系統(tǒng)進(jìn)行較大的改動(dòng)） 。 持續(xù)監(jiān)控 保障信息系統(tǒng)安全的持續(xù)性、穩(wěn)定性。 資源分配 要求 定義投資控制 過程所需的保護(hù)信息系統(tǒng)資源的范圍； 在信息系統(tǒng)規(guī)劃中要確定安全要求；規(guī)劃和預(yù)算文件中，要建立信息系統(tǒng)安 全項(xiàng)目，將主要的規(guī)劃和投資控制過程整合到一起。 采購(gòu) 要求 采購(gòu)合同中要明確定義相關(guān)的安全要求、安全規(guī)范 和基于風(fēng)險(xiǎn)評(píng)估的信息系統(tǒng)要求； 在信息系統(tǒng)所要求的文檔中要包括安全配置說明和安全實(shí)施指南。 軟件使用限制 要求 對(duì)軟件 的 使用進(jìn)行 限制； 軟件和所用相關(guān)文檔與合同協(xié)商和法律版本一致； 對(duì) 軟件和相關(guān)的文檔的數(shù)量進(jìn)行相應(yīng)的許可保護(hù)，并對(duì)軟件的復(fù)制和分發(fā)進(jìn)行控制 。 內(nèi)容 有軟件下載和安裝的規(guī)定 ； 安全軟件的升級(jí) 過程 有相應(yīng)的變更控制流程進(jìn)行控制。 (由于所涉及的業(yè)務(wù)系統(tǒng)，業(yè)務(wù)過程和風(fēng)險(xiǎn)再評(píng)估的重要性，要對(duì)服務(wù)的變更過程進(jìn)行管理，包括為改進(jìn)現(xiàn)有的信息安全策略，流程和控制措施所實(shí)施的變更 )。 開發(fā)安全測(cè)試評(píng)估 要求 對(duì)信息系統(tǒng)開發(fā)要建立安全測(cè)試和評(píng)估計(jì)劃，并實(shí)施相應(yīng)的計(jì)劃，將相應(yīng)的計(jì)劃文檔化。對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的配置進(jìn)行正確有效的管理，是保證信息系統(tǒng)正常運(yùn)行和消除 系統(tǒng)安全風(fēng)險(xiǎn)最基本，最必要的手段。并逐步使用自動(dòng)化的工具（網(wǎng)管系統(tǒng)、安全集中管理平臺(tái)等）自動(dòng)生成和維護(hù)資產(chǎn)清單和基線配置