【正文】 不同崗位制定和實(shí)施安全培訓(xùn)計(jì)劃，并對安全培訓(xùn)計(jì)劃進(jìn) 行維護(hù)和評估。對可能危及操作系統(tǒng)安全的系統(tǒng)工具進(jìn)行嚴(yán)格的技術(shù)控制和管理控制。 制定應(yīng)用軟件安全管理規(guī)章制度，對應(yīng)用軟件的設(shè)計(jì)、開發(fā)、采購實(shí)施批準(zhǔn)制度；對應(yīng)用軟件的安全性進(jìn)行評估，未獲明確驗(yàn)證的軟件不得裝入運(yùn)行的系統(tǒng)；對應(yīng)用軟件的使用采取授權(quán)、標(biāo) 記管理制度。 制定切實(shí)可行的應(yīng)用系統(tǒng)及數(shù)據(jù)的備份計(jì)劃和應(yīng)急計(jì)劃，并由專人負(fù)責(zé)落實(shí)和管理，對備份信息介質(zhì)制定嚴(yán)格的標(biāo)記制度，并按信息等級的要求制定不同的備份策略。 第四級（結(jié)構(gòu)化保護(hù)級）實(shí)施標(biāo)準(zhǔn)化管理 管理目標(biāo)和范圍 在實(shí)現(xiàn)第三級管理目標(biāo)的基礎(chǔ)上，要求計(jì)算機(jī)信息系統(tǒng)的使用單位將安全策略、操作規(guī)程、規(guī)章制度和安全措施的有效性評估程序化、周期化。對風(fēng)險(xiǎn)分析、安全策略、安全技術(shù)和管理的實(shí)施、安全意識培養(yǎng)與教育、安全審核、安全事件和事故響應(yīng)、安全評估工作管理責(zé)任人進(jìn)行例行考核，保證安全管理工作的有效性。保證網(wǎng)絡(luò)安全管理人員達(dá)到相應(yīng)的資質(zhì)。對備份信息介質(zhì)制定嚴(yán)格的分類標(biāo)記制度，并按信息等級的要求制定不同的備份策略。保證所有的決議有利于不斷化解計(jì)算機(jī)信息系統(tǒng)的安全風(fēng)險(xiǎn)。 物理安全 管理要求 除滿足第四級的要求外，要求對物理安全的保障有持續(xù)的改善。 —— 要 求制定全面的應(yīng)急計(jì)劃和災(zāi)難恢復(fù)計(jì)劃管理細(xì)則，并通過持續(xù)評估，保證應(yīng)急計(jì)劃和災(zāi)難恢復(fù)計(jì)劃的時(shí)效性和有效性。 表 人員與職責(zé)等級要求 等 級 人員與職責(zé)要求 1 1)安全管理人員條件、職責(zé)的確定和配置； 2 2)安全管理機(jī)構(gòu)的建立，及其職責(zé)的確定和人員的配置； 3)針對關(guān)鍵的系統(tǒng)，風(fēng)險(xiǎn)管理計(jì)劃的建立； 3 4)在系統(tǒng)安全風(fēng)險(xiǎn)控制和管理過程中，對安全事務(wù)的明確分工； 5)針對系統(tǒng)工作人員和資源，等級標(biāo)記管理的實(shí)施 ； 表 （續(xù)） 等 級 人員與職責(zé)要求 4 6)針對系統(tǒng)應(yīng)用部門，安全管理延伸和滲透的實(shí)施； 7)獨(dú)立審計(jì)的實(shí)施； 5 8)所有人員對安全管理規(guī)定和要求的充分理解和有效執(zhí)行； 9)針對所有崗位，所有人員的資質(zhì)達(dá)標(biāo)，并實(shí)施全面質(zhì)量管理。 表 應(yīng)用系統(tǒng)安全管理要求 等級 應(yīng)用系統(tǒng)安全管理要求 1 1） 系統(tǒng)安全責(zé)任人的配置； 2） 有關(guān)規(guī)章制度的制定； 表 （續(xù)） 等級 應(yīng)用系統(tǒng)安全管理要求 2 3) 總體安全策略的制定、執(zhí)行； 4) 系統(tǒng)安 全操作規(guī)程的制定； 5) 信息的分類管理和信息的安全發(fā)布； 6) 信息訪問控制機(jī)制的安裝、授權(quán)和審計(jì)； 7) 針對內(nèi)部用戶的安全協(xié)議的簽署； 8) 審計(jì)人員的配置； 9) 系統(tǒng)安全性的定期和不定期評估； 10) 針對關(guān)鍵崗位工作人員資質(zhì)調(diào)查的實(shí)施； 11) 備份計(jì)劃和應(yīng)急計(jì)劃的制定、實(shí)施； 3 12) 安全管理機(jī)構(gòu)對系統(tǒng)安全措施的正確性和有效性的保證； 13) 強(qiáng)制性標(biāo)記信息訪問控制機(jī)制的安裝； 14) 針對標(biāo)記信息訪問的授權(quán)和審計(jì)； 15) 針對備份信息介質(zhì)的標(biāo)記制度的制定； 16) 針對不同的信息等級，不同備份策略的制定； 4 17) 獨(dú)立的應(yīng)用安全審計(jì)； 18) 應(yīng)用系統(tǒng)開發(fā)人員與審計(jì)工作的隔離，操作系統(tǒng)管理人員與應(yīng)用系統(tǒng)安全管理工作的隔離。 表 等級 生命周期管理要求 2 1)在計(jì)劃階段 a) 針對系統(tǒng)敏感程度的評估； b) 保護(hù)標(biāo)準(zhǔn)的確定； c)安全需求的確定； d) 安全系統(tǒng)的設(shè)計(jì)和采購； 2) 在實(shí)施階段 c) 安全措施的實(shí)施、部署、驗(yàn)證和驗(yàn)收； 3) 在運(yùn)行維護(hù)階段 f) 對安全措施的評估； g)對風(fēng)險(xiǎn)變更的監(jiān)視和評估； 4) 在結(jié)束階段 h) 對系統(tǒng)信息的安全處置； 3 5) 針對生命周期各個階段的安全管理工作，相應(yīng)目標(biāo)和職責(zé)的確定； 6) 正式管理報(bào)告的提交； 4 7) 針對系統(tǒng)生命周期管理，質(zhì)量控制體系文件的建立； 8) 針對系統(tǒng)生命周期管理，獨(dú)立審計(jì)的實(shí)施； 5 9) 生命周期各階段的安全管理工作，成為單位業(yè)務(wù)管理的有機(jī)組成部分； 10) 針對生命周期管理，全面安全質(zhì)量管理的實(shí)施。 4 7) 針對外部服務(wù)方每次訪問的風(fēng)險(xiǎn)控制。 表 A. 15人員安全管理等級要求 等 級 人員安全管理要求 2 1) 根據(jù)分權(quán)制衡原則和最小特權(quán)原則，對工作崗位、崗位職責(zé)和敏感程度的確定； 2) 人員選擇、錄用標(biāo)準(zhǔn)、資質(zhì)標(biāo)準(zhǔn)的確定； 3) 人員背景調(diào)查程序的確定； 4) 保密協(xié)議的簽署； 5) 用戶管理制度的建立、實(shí)施； 6) 針對用戶授權(quán)和安全協(xié)議的簽署； 7) 針。 等 級 對外部服務(wù)方訪問的安全管理要求 2 1) 針對外部服務(wù)方訪問的安全管理制度的建立。 表 等級 風(fēng)險(xiǎn)管理要求 2 1) 針對關(guān)鍵系統(tǒng)資源的定期風(fēng)險(xiǎn)分析和評估； 2) 風(fēng)險(xiǎn)分析報(bào)告向管理層的提交； 3 3) 在風(fēng)險(xiǎn)管理中，使用規(guī)范方法的保證； 表 （續(xù)） 等級 風(fēng)險(xiǎn)管理要求 4 4) 風(fēng)險(xiǎn)管理質(zhì)量管理體系文件的建立； 5) 針對風(fēng)險(xiǎn)管理過程，獨(dú)立審計(jì)的實(shí)施； 6) 安全管理過程有效性的保證； 5 7) 風(fēng)險(xiǎn)管理計(jì)劃成為單位業(yè)務(wù)管理有機(jī)組成部分； 8) 針對風(fēng)險(xiǎn)管理活動，全面質(zhì)量管理的實(shí)施。 表 等 級 網(wǎng)絡(luò)安全管理要求 l 1) 網(wǎng)絡(luò)安全責(zé)任人的配置； 2) 有關(guān)安全制度的建立； 3) 達(dá)到 GB 178591999 相應(yīng)等級技術(shù)要求的保證； 2 4) 針對網(wǎng)絡(luò)使用情況的審計(jì)制度和標(biāo)記制度的建立； 5) 網(wǎng)絡(luò)使用和網(wǎng)絡(luò)服務(wù)政策的制定； 6) 網(wǎng)絡(luò)安全教育培訓(xùn)計(jì)劃的制定； 7) 網(wǎng)絡(luò)訪問制度的制定； 8) 與外部網(wǎng)絡(luò)接口的安全邊界的確定和定期的評估； 9) 對外部訪問接入點(diǎn)的控制和審計(jì)； 10) 對從內(nèi)部網(wǎng)絡(luò)向外發(fā)起的連接資源的控制； 11) 連接資源授權(quán)制度的建立； 12) 針對網(wǎng)絡(luò)之間的連接，可審計(jì)的安全措施的實(shí)施，物理或邏輯網(wǎng)絡(luò)隔離的實(shí)現(xiàn)； 13) 針對網(wǎng)絡(luò)安全措施使用情況的審計(jì)； 14) 網(wǎng)絡(luò)設(shè)施，網(wǎng)絡(luò)服務(wù)變更控制制度的建立： 15) 網(wǎng)絡(luò)安全事件、事故報(bào)告制度的建立，及相應(yīng)可審計(jì)性的保證； 16) 針對網(wǎng)絡(luò)連接、網(wǎng)絡(luò)安全措施、網(wǎng)絡(luò)設(shè)備的定期評估； 17) 關(guān)鍵網(wǎng)絡(luò)設(shè)施的備份； 18) 針對可用性要求高的網(wǎng)絡(luò)，不間斷監(jiān)控的實(shí)施、相應(yīng)應(yīng)急計(jì)劃的可行性驗(yàn)證； 3 9)針對安全措施的使用情況，嚴(yán)格審計(jì)制度、標(biāo)記制度的建立； 20) 網(wǎng)絡(luò)安全審計(jì)人員的配置； 4 21) 獨(dú)立安全審計(jì)的建立； 22) 網(wǎng)絡(luò)安全管理人員資質(zhì)的保證： 5 23) 至少兩名以上網(wǎng)絡(luò)安全管理人員的配置； 24) 物理網(wǎng)絡(luò)隔離的實(shí)現(xiàn)。 表 安全目標(biāo)與范圍等級要求 等 級 安全目標(biāo)與范圍要求 l 1) 包含系統(tǒng)安全目標(biāo)和安全范圍、系統(tǒng)設(shè)施和操作等內(nèi)容的安全計(jì)劃文件的制定； 2) 保證達(dá)到 GB 178591999相應(yīng)等級技術(shù)要求的標(biāo)準(zhǔn)： 2 3) 安全管理機(jī)構(gòu)的建立，安全操作規(guī)程的制定； 4) 針對關(guān)鍵的系統(tǒng)，風(fēng)險(xiǎn)管理計(jì)劃的建立； 3 5) 用戶及相關(guān)人員對安全策略和安全規(guī)程的熟知，并保證實(shí)施； 6) 系統(tǒng)安全的自動監(jiān)視和審計(jì)； 7) 保證安全管理在生命周期中的貫穿實(shí)施 ； 8) 系統(tǒng)認(rèn)證、驗(yàn)收的規(guī)定，系統(tǒng)使用的授權(quán)； 9) 工作崗位及職責(zé)文件的建立； 10) 一系列安全管理制度的建立； 4 11) 針對安全策略、操作規(guī)程、規(guī)章制度和安全措施的程序化、周期化的評估； 12) 針對關(guān)鍵控制措施的失效風(fēng)險(xiǎn)，測試計(jì)劃的建立； 13) 針對明顯的風(fēng)險(xiǎn)變化，風(fēng)險(xiǎn)評估的立即實(shí)施； 14) 針對安全事件記錄，例行評估制度的實(shí)施； 15) 針對識別出的系統(tǒng)脆弱性的有效控制； 16) 通過定期評估，確保人員的主導(dǎo)作用； 17) 分權(quán)管理機(jī)制的強(qiáng)制實(shí)施，可信管理的實(shí)施； 5 18)全面安全管理計(jì)劃對單位文化的有機(jī)嵌入，并適應(yīng)安全環(huán)境的變化； 19) 實(shí)施全面質(zhì)量管理。 除滿足第四級的要求外： —— 要求風(fēng)險(xiǎn)管理計(jì)劃已成為單位業(yè)務(wù)管理的有機(jī)組成部分，并對風(fēng)險(xiǎn)管理活動實(shí)施全面的質(zhì)量管理。 要求計(jì)算機(jī)信息系統(tǒng)的所有工作人員，資質(zhì)管理能得到保障。 —— 要求實(shí)施獨(dú)立的安全審計(jì)，對使用單位的安全策略、安全計(jì)劃、風(fēng)險(xiǎn)管理、安全措施檢查、行為準(zhǔn)則、生命周 期管理、處理授權(quán)、人員安全、物理和環(huán)境安全、技術(shù)支持與運(yùn)行安全、應(yīng)急計(jì)劃、技術(shù)文檔管理、教育與培訓(xùn)、應(yīng)急響應(yīng)、存取控制、審計(jì)跟蹤等安全事務(wù)的一致性進(jìn)行檢查和評估。 為不同等級的應(yīng)用系統(tǒng)制定切實(shí)可行的應(yīng)用系統(tǒng)備份計(jì)劃和應(yīng)急計(jì)劃，并保證監(jiān)督、落實(shí)。 定期對操作系統(tǒng)安全性進(jìn)行評估，及時(shí)對操作系統(tǒng)的安全弱點(diǎn)和漏洞進(jìn)行控制；保證操作系統(tǒng)管理過程的可審計(jì)性。 人員與職責(zé)要求 在滿足第三級要求的基礎(chǔ)上，要求安全管理滲透到計(jì)算機(jī)信息系統(tǒng)各級應(yīng)用部門，對安全管理活動實(shí)施質(zhì)量控制，建立質(zhì)量管理體系文件。 —— 要求系統(tǒng)中的關(guān)鍵設(shè)備和數(shù)據(jù)采取可靠的備份措施。 應(yīng)用系統(tǒng)的開發(fā)人員不得從事應(yīng)用系統(tǒng)日常運(yùn)行和安全審計(jì)工作。 除滿足第二級的要求外，要求安全管理負(fù)責(zé)人有明確管理范圍、管理事務(wù)、管理規(guī)程，保證應(yīng)用系統(tǒng)的安全措施配置正確、有效。 對操作系統(tǒng)，指定的操作系統(tǒng)日常安全管理人員要對用戶使用情況進(jìn)行監(jiān)視和登記，并驗(yàn)證用戶的安全標(biāo)記。 人員和職責(zé)要求 在滿足第二級要求的基礎(chǔ)上，要求對計(jì)算機(jī)信息系統(tǒng)安全風(fēng)險(xiǎn)控制、管理過程的安全事務(wù)明確分工負(fù)責(zé)。 —— 制定設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)、人員、服務(wù)、內(nèi)外風(fēng)險(xiǎn)等變更控制制度，保證變更后的計(jì)算機(jī)信息系統(tǒng) 能滿足既定的安全目標(biāo)。對應(yīng)用軟件的使用采取授權(quán)管理制度，沒有取得許可的用戶不得安裝、調(diào)試、運(yùn)行、卸載應(yīng)用軟件，并對應(yīng)用軟件的使用進(jìn)行審計(jì)。審計(jì)人員僅從事審計(jì)工作，不參與系統(tǒng)的其他任務(wù)，實(shí)現(xiàn)審計(jì)人員和被審計(jì)人員的職能分離，保證審計(jì)日志的準(zhǔn)確性、完整性和可用性。 5. 應(yīng)用系統(tǒng)安全管理要求 計(jì)算機(jī)信息系統(tǒng)的各應(yīng)用單位和部門應(yīng)指定專人負(fù)責(zé)應(yīng)用系統(tǒng)的安全管理。 不同安全保護(hù)等級的計(jì)算機(jī)信息系統(tǒng)網(wǎng)絡(luò)之間的連接按訪問控制策略實(shí)施可審計(jì)的安全措施，如使用防火墻、安全路由器等，實(shí)現(xiàn)必要的網(wǎng)絡(luò)隔離。 制定使用網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的策略。 依據(jù)操作規(guī)程安全使用、配置操作系統(tǒng)，操作系統(tǒng)安全管理責(zé)任人依據(jù)操作規(guī)程確定審計(jì)事件、審計(jì)內(nèi)容、審計(jì)歸檔、審計(jì)報(bào)告。 安全管理負(fù)責(zé)人至少從事過二年以上的計(jì)算機(jī)信息系統(tǒng)的技術(shù)工作，一年以上的計(jì)算機(jī)信息系統(tǒng)安全管理工作或經(jīng)過正規(guī)院校計(jì)算機(jī)信息系統(tǒng)安全技術(shù)和管理的培訓(xùn)。 明確計(jì)算機(jī)信息系統(tǒng)安全管理人員和計(jì)算機(jī)信息系統(tǒng)普通用戶對計(jì)算機(jī)信息系統(tǒng)資源和控制系統(tǒng)中命名客體的訪問權(quán)限。 保證人員能按照應(yīng)用系統(tǒng)操作文檔和應(yīng)用系統(tǒng)有關(guān)安全要求，對應(yīng)用系 統(tǒng)軟件和應(yīng)用業(yè)務(wù)數(shù)據(jù)進(jìn)行安全管理。 系統(tǒng)安全管理要求 通過正式授權(quán)程序委派專人負(fù)責(zé)系統(tǒng)環(huán)境安全管理。 安全管理計(jì)劃文件在下列方面應(yīng)有基本描述：安全策略、風(fēng)險(xiǎn)管理、安全措施檢查、行為準(zhǔn)則、生命周期管理、處理授權(quán)、人員安全、物理和環(huán)境安全、技術(shù)支持與運(yùn)行安全、應(yīng)急計(jì)劃、技術(shù)文檔管理、教育與培訓(xùn)、事件響應(yīng)、訪問控制、審計(jì)跟蹤等。 主要包括：人員安全管理制度、安全意識與安全技術(shù)教育制度、操作安全管理制度、操作系統(tǒng)和數(shù)據(jù)庫安全管理制度、系統(tǒng)運(yùn)行記錄編寫制度、病毒防護(hù)管理制度、系統(tǒng)維護(hù)管理制度、網(wǎng)絡(luò)互聯(lián)安全管理制度、安全審計(jì)管理 制度、安全事件報(bào)告制度、事故處理制度、應(yīng)急管理制度和災(zāi)難恢復(fù)管理制度等。 建立人員調(diào)離安全管理制度。 建立人員培訓(xùn)制度，明確培訓(xùn)內(nèi)容。 應(yīng)根據(jù)計(jì)算機(jī)信息系統(tǒng)安全等級的需要確定人員審查內(nèi)容。 實(shí)施階段：依據(jù)安全要求選擇相應(yīng)的安全措施，采購或設(shè)計(jì)安全系統(tǒng)，根據(jù)工程要求實(shí)施和部署，并對安全措施進(jìn)行驗(yàn)證、驗(yàn)收。檢查的方法有多種，例如，通過查看系統(tǒng)的日志，分析出系統(tǒng)在運(yùn)行過程中遇到的意外情況以及使用情況；或者對安全措施進(jìn)行測試，查看它們能否達(dá)到規(guī)定的安全水平等。 安全實(shí)施過程的監(jiān)理主要從實(shí)施的規(guī)范、流程、進(jìn)度等方面進(jìn)行監(jiān)督與檢查，確保各環(huán)節(jié)的質(zhì)量。 對方案要詳細(xì)說明安全過程各個階段的建設(shè)目標(biāo)、工作內(nèi)容、施工人員、任務(wù)分工、進(jìn)度安排、產(chǎn)品選型、產(chǎn)品采購、資金投入等情況，并給出每一項(xiàng)的依據(jù)和理由，分析每項(xiàng)工作的作用、意義和局限性，明確實(shí)施各方的工作關(guān)系、責(zé)權(quán)和協(xié)調(diào)協(xié)同機(jī)制。安全策略應(yīng)與時(shí)俱進(jìn)，定期加以調(diào)整和更新。 4. 安全風(fēng)險(xiǎn)分析時(shí)應(yīng)依據(jù)有關(guān)的信息系統(tǒng)安全標(biāo)準(zhǔn)和規(guī)定， 采用多層面、多角度的系統(tǒng)分析方法，制定詳細(xì)的分析計(jì)劃和分析步驟，避免遺漏，以保證結(jié)果的可靠和科學(xué)，并形成文檔，做到有據(jù)可查。 不論信息系統(tǒng)的安全等級如何，要求信息系統(tǒng)所涉及人員普遍