【正文】 “第十三條 ? 運(yùn)營(yíng)、使用單位應(yīng)當(dāng) 參照 《信息安全技術(shù)信息系統(tǒng)安全管理要求》（ GB/T202692023）、《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》（ GB/T202822023）、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等管理規(guī)范，制定并落實(shí)符合本系統(tǒng)安全保護(hù)等級(jí)要求的 安全管理制度 。 《基本要求》的定位 某級(jí)信息系統(tǒng) 基本保護(hù) 精確保護(hù) 基本要求 保護(hù) 基本要求 測(cè)評(píng) 補(bǔ)充的安全措施 GB178591999 通用技術(shù)要求 安全管理要求 高級(jí)別的基本要求 等級(jí)保護(hù)其他標(biāo)準(zhǔn) 安全方面相關(guān)標(biāo)準(zhǔn) 等等 基本保護(hù) 特殊需求 補(bǔ)充措施 二、 保護(hù)要求分級(jí)描述的主要思想 《基本要求》基本思路 不同級(jí)別 信息系統(tǒng) 重要程度不同 應(yīng)對(duì)不同威脅的能力 (威脅 \弱點(diǎn) ) 具有不同的安全保護(hù)能力 不同的基本要求 不同級(jí)別的安全保護(hù)能力要求 ? 第一級(jí)安全保護(hù)能力 – 應(yīng)能夠防護(hù)系統(tǒng)免受來自個(gè)人的、擁有很少資源（如利用公開可獲取的工具等）的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度弱、持續(xù)時(shí)間很短等）以及其他相當(dāng)危害程度的威脅（無意失誤、技術(shù)故障等）所造成的關(guān)鍵資源損害，在系統(tǒng)遭到損害后，能夠恢復(fù)部分功能。 ? 具體包括： 物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護(hù)等十個(gè)控制點(diǎn)。 各級(jí)系統(tǒng)安全保護(hù)要求 網(wǎng)絡(luò)安全 控制點(diǎn) 一級(jí) 二級(jí) 三級(jí) 四級(jí) 結(jié)構(gòu)安全 * * * * 訪問控制 * * * * 安全審計(jì) * * * 邊界完整性檢查 * * * 入侵防范 * * * 惡意代碼防范 * * 網(wǎng)絡(luò)設(shè)備防護(hù) * * * * 合計(jì) 3 6 7 7 各級(jí)系統(tǒng)安全保護(hù)要求 網(wǎng)絡(luò)安全 ? 一級(jí)網(wǎng)絡(luò)安全要求 ：主要提供網(wǎng)絡(luò)安全運(yùn)行的基本保障，包括網(wǎng)絡(luò)結(jié)構(gòu)能夠基本滿足業(yè)務(wù)運(yùn)行需要，網(wǎng)絡(luò)邊界處對(duì)進(jìn)出的數(shù)據(jù)包頭進(jìn)行基本過濾等訪問控制措施。網(wǎng)絡(luò)安全審計(jì)著眼于全局，做到集中審計(jì)分析，以便得到更多的綜合信息。 ? 二級(jí)主機(jī)系統(tǒng)安全要求： 在控制點(diǎn)上增加了 安全審計(jì)和資源控制 等。 各級(jí)系統(tǒng)安全保護(hù)要求 應(yīng)用安全 ? 通過網(wǎng)絡(luò)、主機(jī)系統(tǒng)的安全防護(hù)，最終應(yīng)用安全成為信息系統(tǒng)整體防御的最后一道防線。同時(shí)，對(duì)身份鑒別和訪問控制都進(jìn)一步加強(qiáng)，鑒別的標(biāo)識(shí)、信息等都提出了具體的要求。部分控制點(diǎn)在強(qiáng)度上進(jìn)一步增強(qiáng)，如，身份鑒別要求使用不可偽造的鑒別技術(shù)，安全審計(jì)能夠做到統(tǒng)一安全策略提供集中審計(jì)接口等，軟件應(yīng)具有自動(dòng)恢復(fù)的能力等。 ? 二級(jí)數(shù)據(jù)及備份恢復(fù)安全要求 ：對(duì)數(shù)據(jù)完整性的要求增強(qiáng)，范圍擴(kuò)大，要求鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中都要保證其完整性。 ? 安全管理制度主要包括： 管理制度、制定和發(fā)布、評(píng)審和修訂 三個(gè)控制點(diǎn)。其主要工作內(nèi)容包括對(duì)機(jī)構(gòu)內(nèi)重要的信息安全工作進(jìn)行授權(quán)和審批、內(nèi)部相關(guān)業(yè)務(wù)部門和安全管理部門之間的溝通協(xié)調(diào)以及與機(jī)構(gòu)外部各類單位的合作、定期對(duì)系統(tǒng)的安全措施落實(shí)情況進(jìn)行檢查，以發(fā)現(xiàn)問題進(jìn)行改進(jìn)。 ? 四級(jí)安全管理機(jī)構(gòu)要求 ：同三級(jí)要求。同時(shí)，對(duì)外部人員訪問要求得到授權(quán)和審批。同時(shí)，對(duì)安全方案、驗(yàn)收?qǐng)?bào)告等增加了審定要求，產(chǎn)品的采購(gòu)增加了密碼產(chǎn)品的采購(gòu)要求等。 ? 系統(tǒng)運(yùn)維管理主要包括 ：環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理和安全管理中心、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理 等十三個(gè)控制點(diǎn)。 網(wǎng)絡(luò)傳輸加密、網(wǎng)絡(luò)協(xié)議保護(hù)、網(wǎng)絡(luò)防病毒 187。 13:52:4913:52:4913:52Thursday, March 9, 2023 1乍見翻疑夢(mèng)，相悲各問年。 13:52:4913:52:4913:523/9/2023 1:52:49 PM 1成功就是日復(fù)一日那一點(diǎn)點(diǎn)小小努力的積累。 下午 1時(shí) 52分 49秒 下午 1時(shí) 52分 13:52: 楊柳散和風(fēng)，青山澹吾慮。 2023年 3月 下午 1時(shí) 52分 :52March 9, 2023 1業(yè)余生活要有意義，不要越軌。 13:52:4913:52:4913:52Thursday, March 9, 2023 1知人者智，自知者明。 2023年 3月 9日星期四 下午 1時(shí) 52分 49秒 13:52: 1楚塞三湘接，荊門九派通。 2023年 3月 下午 1時(shí) 52分 :52March 9, 2023 1行動(dòng)出成果，工作出財(cái)富。和諧 武漢安域信息安全技術(shù)有限公司 地址：湖北武漢東湖開發(fā)區(qū)武大園路 6號(hào) 郵編： 430079 電話： 13281151232 電郵： 靜夜四無鄰，荒居舊業(yè)貧。 ? 四級(jí)系統(tǒng)運(yùn)維管理要求： 將機(jī)房環(huán)境管理和辦公環(huán)境管理提到同等重要的程度，二者統(tǒng)一管理；對(duì)介質(zhì)的管理主要關(guān)注了對(duì)介質(zhì)銷毀時(shí)的保密管理；應(yīng)急響應(yīng)重點(diǎn)關(guān)注了災(zāi)難恢復(fù)計(jì)劃的制定等。對(duì)工程實(shí)施過程提出了監(jiān)理要求。 各級(jí)系統(tǒng)安全保護(hù)要求 系統(tǒng)建設(shè)管理 ? 信息系統(tǒng)的安全管理貫穿系統(tǒng)的整個(gè)生命周期，系統(tǒng)建設(shè)管理主要關(guān)注的是生命周期中的前三個(gè)階段（即，初始、采購(gòu)、實(shí)施）中各項(xiàng)安全管理活動(dòng)。只有對(duì)人員進(jìn)行了正確完善的管理，才有可能降低人為錯(cuò)誤、盜竊、詐騙和誤用設(shè)備的風(fēng)險(xiǎn)，從而減小了信息系統(tǒng)遭受人員錯(cuò)誤造成損失的概率。 ? 三級(jí)安全管理機(jī)構(gòu)要求 ：對(duì)于崗位設(shè)置，不僅要求設(shè)置信息安全的職能部門，而且機(jī)構(gòu)上層應(yīng)有一定的領(lǐng)導(dǎo)小組全面負(fù)責(zé)機(jī)構(gòu)的信息安全全局工作。對(duì)安全制度的評(píng)審和修訂要求領(lǐng)導(dǎo)小組的負(fù)責(zé)。 ? 四級(jí)數(shù)據(jù)及備份恢復(fù)安全要求 ：為進(jìn)一步保證數(shù)據(jù)的完整性和保密性，提出使用專有的安全協(xié)議的要求。各個(gè)“關(guān)口”把好了，數(shù)據(jù)本身再具有一些防御和修復(fù)手段，必然將對(duì)數(shù)據(jù)造成的損害降至最小。同時(shí)，身份鑒別的力度進(jìn)一步增強(qiáng)，要求組合鑒別技術(shù)，訪問控制增加了敏感標(biāo)記功能，安全審計(jì)已不滿足于對(duì)安全事件的記錄，而要進(jìn)行分析等。由于各種基本應(yīng)用最終是為業(yè)務(wù)應(yīng)用服務(wù)的，因此對(duì)應(yīng)用系統(tǒng)的安全保護(hù)最終就是如何保護(hù)系統(tǒng)的各種業(yè)務(wù)應(yīng)用程序安全運(yùn)行。安全審計(jì)已不滿足于對(duì)安全事件的記錄，而要進(jìn)行分析、生成報(bào)表。主機(jī)系統(tǒng)是構(gòu)成信息系統(tǒng)的主要部分，其上承載著各種應(yīng)用。對(duì)網(wǎng)絡(luò)設(shè)備的防護(hù)不僅局限于簡(jiǎn)單的身份鑒別，同時(shí)對(duì)標(biāo)識(shí)和鑒別信息都有了相應(yīng)的要求。如，防火要求，不僅要求自動(dòng)消防系統(tǒng)，而且要求區(qū)域隔離防火，建筑材料防火等方面，將防火的范圍增大，從而使火災(zāi)發(fā)生的幾率和損失降低。 各個(gè)要素之間的關(guān)系 安全保護(hù)能力 基本安全要求 每個(gè)等級(jí)的信息系統(tǒng) 基本技術(shù)措施 基本管理措施 具備 包含 包含 滿足 滿足 實(shí)現(xiàn) 《基本要求》核心思路 某級(jí)系統(tǒng) 技術(shù)要求 管理要求 基本要求 建立安全技術(shù)體系 建立安全管理體系 具有某級(jí)安全保護(hù)能力的系統(tǒng) 各級(jí)系統(tǒng)的保護(hù)要求差異（宏觀） ? 安全保護(hù)模型 PPDRR Protection防護(hù) Policy Detection 策略 檢測(cè) Response 響應(yīng) Recovery 恢復(fù) 各級(jí)系統(tǒng)的保護(hù)要求差異（宏觀） 一級(jí)系統(tǒng) 二級(jí)系統(tǒng) 三級(jí)系統(tǒng) 四級(jí)系統(tǒng) 防護(hù) 防護(hù) /監(jiān)測(cè) 策略 /防護(hù) /監(jiān)測(cè) /恢復(fù) 策略 /防護(hù) /監(jiān)測(cè) /恢復(fù) /響應(yīng) 各級(jí)系統(tǒng)的保護(hù)要求差異（宏觀） 成功的完成業(yè)務(wù) 信息保障 人 技術(shù) 操作 防御網(wǎng)絡(luò)與基礎(chǔ)設(shè)施 防御飛地邊界 防御計(jì)算環(huán)境 支撐性基礎(chǔ)設(shè)施 ?安全保護(hù)模型 IATF 各級(jí)系統(tǒng)的保護(hù)要求差異（宏觀） 一級(jí)系統(tǒng) 二級(jí)系統(tǒng) 三級(jí)系統(tǒng) 四級(jí)系統(tǒng) 通信 /邊界（基本） 通信 /邊界 /內(nèi)部（關(guān)鍵設(shè)備） 通信 /邊界 /內(nèi)部（主要設(shè)備） 通信 /邊界 /內(nèi)部 /基礎(chǔ)設(shè)施（所有設(shè)備） 各級(jí)系統(tǒng)的保護(hù)要求差異（宏觀） 一級(jí)系統(tǒng) 二級(jí)系統(tǒng) 三級(jí)系統(tǒng) 四級(jí)系統(tǒng) 計(jì)劃和跟蹤（主要制度） 計(jì)劃和跟蹤（主要制度） 良好定義（管理活動(dòng)制度化） 持續(xù)改進(jìn)（管理活動(dòng)制度化 /及時(shí)改進(jìn)） 各級(jí)系統(tǒng)的保護(hù)要求差異（微觀） 某級(jí)系統(tǒng) 物理安全 技術(shù)要求 管理要求 基本要求 網(wǎng)絡(luò)安全 主機(jī)安全 應(yīng)用安全 數(shù)據(jù)安全 安全管理機(jī)構(gòu) 安全管理制度 人員安全管理 系統(tǒng)建設(shè)管理 系統(tǒng)運(yùn)維管理 三、 各級(jí)系統(tǒng)保護(hù)的主要內(nèi)容 各級(jí)系統(tǒng)的安全保護(hù)的核心 某級(jí)系統(tǒng) 技術(shù)要求 管理要求 基本要求 建立安全技術(shù)體系 建立安全管理體系 具有某級(jí)安全保護(hù)能力的系統(tǒng) 基本要求的主要內(nèi)容 ? 由 9個(gè)章節(jié) 2個(gè)附錄構(gòu)成 – – – 3術(shù)語定義 – – 5. – 附錄 A 關(guān)于信息系統(tǒng)整體安全保護(hù)能力的要求 – 附錄 B 基本安全要求的選擇和使用 基本要求的組織方式 某級(jí)系統(tǒng) 類 技術(shù)要求 管理要求 基本要求 類 控制點(diǎn) 具體要求 控制點(diǎn) 具體要求 …… …… …… …… …… …… 基本要求 組織方式 某級(jí)系統(tǒng) 物理安全 技術(shù)要求 管理要求 基本要求 網(wǎng)絡(luò)安全 主機(jī)安全 應(yīng)用安全 數(shù)據(jù)安全 安全管理機(jī)構(gòu) 安全管理制度 人員安全管理 系統(tǒng)建設(shè)管理 系統(tǒng)運(yùn)維管理 基本要求 組織方式 物理位置選擇 物理安全 (四級(jí) ) 物理訪問控制 防盜竊和防破壞 防雷擊 防火 防水和防潮 溫濕度控制 電力供應(yīng) 電磁防護(hù) 基本要求 組織方式 結(jié)構(gòu)安全和網(wǎng)段劃分 網(wǎng)絡(luò)安全 (四級(jí) ) 網(wǎng)絡(luò)訪問控制 撥號(hào)訪問控制 網(wǎng)絡(luò)安全審計(jì) 邊界完整性檢查 網(wǎng)絡(luò)入侵檢測(cè) 惡意代碼防護(hù) 網(wǎng)絡(luò)設(shè)備防護(hù) 基本要求 組織方式 身份鑒別 主機(jī)系統(tǒng)安全 (四級(jí) ) 自主訪問控制 強(qiáng)制訪問控制 可信路徑 安全審計(jì) 剩余信息保護(hù) 入侵防范 惡意代碼防范 系統(tǒng)資源控制 系統(tǒng)自我保護(hù) 基本要求 組織方式 身份鑒別 應(yīng)用安全 (四級(jí) ) 訪問控制 通信完整性 通信保密性 安全審計(jì) 剩余信息保護(hù) 抗抵賴 軟件容錯(cuò) 資源控制 代碼安全 基本要求 組織方式 數(shù)據(jù)完整性 數(shù)據(jù)安全 (四級(jí) ) 數(shù)據(jù)保密性 安全備份 基本要求 組織方式 崗位設(shè)置 安全管理機(jī)構(gòu) (四級(jí) ) 人員配備 授權(quán)和審批 溝通與合作 審核和檢查 基本要求 組織方式 管理制度 安全管理制度 (四級(jí) ) 制訂和發(fā)布 評(píng)審和修訂 基本要求 組織方式 人員錄用 人員安全管理 (四級(jí) ) 人員離崗 人員考核 安全意識(shí)教育和培訓(xùn) 第三方人員訪問管理 基本要求 組織方式 系統(tǒng)定級(jí) 系統(tǒng)建設(shè)管理 (四級(jí) ) 安全風(fēng)險(xiǎn)評(píng)估 安全方案設(shè)計(jì) 產(chǎn)品采購(gòu) 自行軟件開發(fā) 外包軟件開發(fā) 工程實(shí)施 測(cè)試驗(yàn)收 系統(tǒng)交付 安全服務(wù)商選擇 系統(tǒng)備案 基本要求 組織方式 環(huán)境管理 系統(tǒng)運(yùn)維管理 (四級(jí)