【文章內(nèi)容簡介】 制定安全管理計劃，明確計算機信息系統(tǒng)的安全目標(biāo)和安全范圍，并經(jīng)單位主 管領(lǐng)導(dǎo)批準(zhǔn)。 安全管理計劃文件在下列方面應(yīng)有基本描述：安全策略、風(fēng)險管理、安全措施檢查、行為準(zhǔn)則、生命周期管理、處理授權(quán)、人員安全、物理和環(huán)境安全、技術(shù)支持與運行安全、應(yīng)急計劃、技術(shù)文檔管理、教育與培訓(xùn)、事件響應(yīng)、訪問控制、審計跟蹤等。 保證計算機信息系統(tǒng)安全保護(hù)等級達(dá)到 GB 178591999 的本級要求。 人員與職責(zé)要求 單位主管委任安全管理人員，并賦予安全管理的權(quán)力。 安全管理人員應(yīng)具有基本的專業(yè)技術(shù)水平，掌握計算機信息系統(tǒng)安全管理基本知識，負(fù)責(zé)組織規(guī)劃有 關(guān)人員的安全意識教育和培訓(xùn)，組織協(xié)調(diào)有關(guān)人員對計算機信息系統(tǒng)的安全性進(jìn)行評估，理解計算機信息系統(tǒng)面臨的安全威脅，并對管理層、物理層、系統(tǒng)層、網(wǎng)絡(luò)層和應(yīng)用層有基本的風(fēng)險分析，確定安全需求，制定安全計劃，并負(fù)責(zé)落實和監(jiān)督安全計劃的實施。 通過正式授權(quán)程序委派專人負(fù)責(zé)物理安全工作。建立物理安全規(guī)章制度。 通過科學(xué)分類對計算機信息系統(tǒng)的物理環(huán)境和物理設(shè)施進(jìn)行分類登記。 保證計算機信息系統(tǒng)的物理安全達(dá)到 GA/T 3902020 計算機信息系統(tǒng)安全等級保護(hù)通用技術(shù)要求 中本級有關(guān)環(huán)境、設(shè)備和介質(zhì)安全所提出的基本要求。 系統(tǒng)安全管理要求 通過正式授權(quán)程序委派專人負(fù)責(zé)系統(tǒng)環(huán)境安全管理。建立操作系統(tǒng)和數(shù)據(jù)庫的安全配置、操作系統(tǒng)和數(shù)據(jù)庫的備份等安全管理規(guī)章制度。 保證人員能按照 GA/T 3902020 計算機信息系統(tǒng)安全等級保護(hù)通用技術(shù)要求、 GA/T 3882020 計算機信息系統(tǒng)安全等級保護(hù)操作系統(tǒng)技術(shù)要求和 GA/T 3892020 計算機信息系統(tǒng)安全等級保護(hù)數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求的基本要求，對操作系統(tǒng)和數(shù)據(jù)庫進(jìn)行安全管理。 網(wǎng)絡(luò)安全 管理要求 通過正式授權(quán)程序委派專人負(fù)責(zé)網(wǎng)絡(luò)環(huán)境安全工作。建立有關(guān)網(wǎng)絡(luò)配置安全管理制度。 保證人員能按照 GA/T 3902020 計算機信息系統(tǒng)安全等級保護(hù)通用技術(shù)要求和 GA/T 3872020 計算機信息系統(tǒng)安全等級保護(hù)網(wǎng)絡(luò)技術(shù)要求對本級網(wǎng)絡(luò)安全的基本要求，對網(wǎng)絡(luò)進(jìn)行安全管理。 通過正式授權(quán)程序委派專人負(fù)責(zé)應(yīng)用系統(tǒng)環(huán)境，包括應(yīng)用系統(tǒng)軟件的安全配置、備份等安全工作。制定有關(guān)規(guī)章制度。 保證人員能按照應(yīng)用系統(tǒng)操作文檔和應(yīng)用系統(tǒng)有關(guān)安全要求，對應(yīng)用系 統(tǒng)軟件和應(yīng)用業(yè)務(wù)數(shù)據(jù)進(jìn)行安全管理。 —— 安全管理人員應(yīng)協(xié)同計算機信息系統(tǒng)應(yīng)用部門對計算機信息系統(tǒng)的運行進(jìn)行安全管理。建立有關(guān)安全規(guī)章制度。 —— 確保為計算機信息系統(tǒng)可靠運行而采取的各種檢測、監(jiān)控、審計、分析、備份及容錯等方法和措施的正確實施。 —— 要求制定風(fēng)險分析計劃，制定網(wǎng)絡(luò)安全檢測、網(wǎng)絡(luò)防病毒、網(wǎng)絡(luò)安全事件報告、應(yīng)急計劃管理等制度。制定安全意識和安全技術(shù)教育培訓(xùn)計劃。對運行安全進(jìn)行監(jiān)督檢查。明確計算機信息系統(tǒng)各類人員對計算機信息系統(tǒng)各類資源的安全責(zé)任。 明確計算機信息系統(tǒng)安全管理人員和計算機信息系統(tǒng)普通用戶對計算機信息系統(tǒng)資源和控制系統(tǒng)中命名客體的訪問權(quán)限。 （系統(tǒng)審計保護(hù)級）實施操作規(guī)程管理． 管理目標(biāo)和范圍 建立安全管理機構(gòu)并滿足第一級的管理要求外，還應(yīng)進(jìn)一步根據(jù)管理計劃制定一系列安全操作規(guī)程，并實施計算機信息系統(tǒng)生命周期的全程管理。 安全操作規(guī)程文件應(yīng)由單位主管領(lǐng)導(dǎo)批準(zhǔn)，安全操作規(guī)程文件中應(yīng)明確計算機信息系統(tǒng)的安全崗位，并指明是否需要更細(xì)致的指導(dǎo)，說明例外情況。特定規(guī)程中要明確規(guī)定其適用場所、適用對 象、有效期限和規(guī)程責(zé)任人，對其中適用對象要明確適用的主體和客體。 通過管理活動保證計算機信息系統(tǒng)達(dá)到 GB 178591999 的本級要求。 5. 人員與職責(zé)要求 單位主管領(lǐng)導(dǎo)負(fù)責(zé)建立正式的安全管理機構(gòu)，委任并授權(quán)該機構(gòu)的安全管理負(fù)責(zé)人負(fù)責(zé)安全管理工作的組織和實施。安全管理機構(gòu)由單位各級主管和有關(guān)專家組成。 安全管理負(fù)責(zé)人至少從事過二年以上的計算機信息系統(tǒng)的技術(shù)工作，一年以上的計算機信息系統(tǒng)安全管理工作或經(jīng)過正規(guī)院校計算機信息系統(tǒng)安全技術(shù)和管理的培訓(xùn)。 安全管理負(fù)責(zé)人 負(fù)責(zé)召集有關(guān)人員制定本單位安全計劃，設(shè)立安全管理崗位，明確崗位職責(zé)；制定明確的安全管理目標(biāo)和安全策略；制定計算機信息系統(tǒng)各層安全管理規(guī)程；制定系統(tǒng)管理、信息管理、網(wǎng)絡(luò)管理、存儲介質(zhì)管理、操作管理、軟硬件維修、審計、服務(wù)外包等安全管理規(guī)章制度，并監(jiān)督執(zhí)行；對關(guān)鍵的計算機信息系統(tǒng)制定風(fēng)險管理計劃；組織規(guī)劃有關(guān)人員的安全意識教育和培訓(xùn)。 除滿足第一級的物理安全管理要求外，應(yīng)建立物理安全區(qū)域，制定專人負(fù)責(zé)物理安全區(qū)計算機信息系統(tǒng)場地和物理設(shè)施的日常安全管理，制定物理設(shè)施的購置計劃 、設(shè)備的驗收、運行、維護(hù)、處置管理制度，監(jiān)督、檢查物理設(shè)施安全管理制度的落實。編制物理設(shè)施安裝、運行、操作流程，制定并實施物理設(shè)施管理培訓(xùn)計劃；所有物理設(shè)施要分類編目，指定每個物理設(shè)施安全責(zé)任人。 對計算機信息系統(tǒng)使用的關(guān)鍵設(shè)備建立嚴(yán)格的登記制度，保證設(shè)備購置、安裝、調(diào)試、維護(hù)、維修、報廢等處置活動可控。 系統(tǒng)安全管理要求 指定操作系統(tǒng)安全管理責(zé)任人，負(fù)責(zé)操作系統(tǒng)的日常安全管理和安全審計，對用戶安全使用進(jìn)行指導(dǎo)、登記和監(jiān)視。 操作系統(tǒng)應(yīng)使用符合 GA/T 3882020 計算機信息系統(tǒng)安全等級保護(hù)操作系統(tǒng)技術(shù)要求的本級操 作系統(tǒng)。 數(shù)據(jù)庫應(yīng)使用符合 GA/T 3892020 計算機信息系統(tǒng)安全等級保護(hù)數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求的本 級數(shù)據(jù)庫。 依據(jù)操作規(guī)程安全使用、配置操作系統(tǒng)，操作系統(tǒng)安全管理責(zé)任人依據(jù)操作規(guī)程確定審計事件、審計內(nèi)容、審計歸檔、審計報告。 授權(quán)用戶應(yīng)使用唯一的標(biāo)識和口令，遵照規(guī)定的登錄規(guī)程登錄系統(tǒng)，遵照授權(quán)說明使用許可的 資源。 對操作系統(tǒng)中的系統(tǒng)工具的使用進(jìn)行授權(quán)管理，并對系統(tǒng)工具使用情況進(jìn)行審計。 對操作系統(tǒng)安全性進(jìn)行及時維護(hù)，對操作系統(tǒng)的安全弱點和漏洞進(jìn)行控制。 依據(jù)變更控制規(guī)程對操作系統(tǒng)的變更進(jìn)行控制，保證變更不影響應(yīng)用系統(tǒng)的可用性、穩(wěn)定性、安全性，保證變更過程的有效性和可審計性。 應(yīng)及時對操作系統(tǒng)資源和系統(tǒng)文檔進(jìn)行安全備份。 網(wǎng)絡(luò)安全管理要求 除滿足第一級的網(wǎng)絡(luò)安全管理要求外，網(wǎng)絡(luò)安全管理負(fù)責(zé)人應(yīng)按照有關(guān)規(guī)程召集有關(guān)人員對計算機信息系統(tǒng)運行的網(wǎng)絡(luò)安全進(jìn)行定期評估，不斷完善網(wǎng)絡(luò)安全策略 39。建立、健全網(wǎng)絡(luò)安全管理規(guī)章制定。 制定使用網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的策略。依 據(jù)總體安全方針、策略制定允許提供的網(wǎng)絡(luò)服務(wù)、制定網(wǎng)格訪問許可和授權(quán)管理制度、保證計算機信息系統(tǒng)網(wǎng)絡(luò)連接和服務(wù)的安全技術(shù)正確實施，并達(dá)到 GA／ T 3872020 計算機信息系統(tǒng)安全等級保護(hù)網(wǎng)絡(luò)技術(shù)要求的要求。 制定網(wǎng)絡(luò)安全教育和培訓(xùn)計劃，保證計算機信息系統(tǒng)的各類用戶熟知自己在網(wǎng)絡(luò)安全方面的安全責(zé)任和安全規(guī)程。 建立網(wǎng)絡(luò)訪問授權(quán)制度，保證經(jīng)過授權(quán)的用戶才能在指定終端，使用指定的安全措施，按設(shè)定 審計路由訪問許可的網(wǎng)絡(luò)服務(wù)。 對安全區(qū)域外部移動用戶的網(wǎng)絡(luò)訪問實施嚴(yán)格的審批制度，實施用戶安全 認(rèn)證和審計技術(shù)措施，保證網(wǎng)絡(luò)連接的可靠性、保密性，保證用戶對外部連接的安全性負(fù)責(zé)。 定義與外部網(wǎng)絡(luò)連接的接口邊界，建立安全規(guī)范，定期對外部網(wǎng)絡(luò)連接接口的安全進(jìn)行評估，對通過外部連接的可信計算機信息系統(tǒng)之間的網(wǎng)絡(luò)信息提供加密服務(wù)，有關(guān)加密設(shè)備和算法的使用按國家有關(guān)規(guī)定執(zhí)行。 對外進(jìn)行公共服務(wù)的計算機信息系統(tǒng)，應(yīng)采取嚴(yán)格的安全措施實施訪問控制，保證外部用戶對服務(wù)的訪問得到控制和審計，并保證外部用戶對特定服務(wù)的訪問不危及內(nèi)部計算機信息系統(tǒng)的安全，對外傳輸?shù)臄?shù)據(jù)和信息要經(jīng)過審查，防止內(nèi)部人員通過內(nèi)外網(wǎng)的邊界泄露敏感信息。 對可能從內(nèi)部網(wǎng)絡(luò)向外發(fā)起的連接資源（如撥號上網(wǎng)）實施嚴(yán)格控制，建立連接資源使用授權(quán)制度，建立檢查制度防止計算機信息系統(tǒng)使用未經(jīng)許可和授權(quán)的連接資源。 不同安全保護(hù)等級的計算機信息系統(tǒng)網(wǎng)絡(luò)之間的連接按訪問控制策略實施可審計的安全措施，如使用防火墻、安全路由器等，實現(xiàn)必要的網(wǎng)絡(luò)隔離。 保證網(wǎng)絡(luò)安全措施的日常管理責(zé)任到人，并對網(wǎng)絡(luò)安全措施的使用進(jìn)行審計。 按網(wǎng)絡(luò)設(shè)施和網(wǎng)絡(luò)服務(wù)變更控制制度執(zhí)行網(wǎng)絡(luò)配置變更控制。 建立網(wǎng)絡(luò)安全事件、事故報告處理流程，保證事件和事 故處理過程的可審計性。 對網(wǎng)絡(luò)連接、網(wǎng)絡(luò)安全措施、網(wǎng)絡(luò)設(shè)備及操作規(guī)程定期進(jìn)行安全檢查和評估，提交正式的網(wǎng)絡(luò)安全報告。 指定網(wǎng)絡(luò)安全審計人員，負(fù)責(zé)對網(wǎng)絡(luò)安全事件的審計，對審計活動實施控制，保證網(wǎng)絡(luò)設(shè)施提供的審計記錄的完整性和可用性。 計算機信息系統(tǒng)的關(guān)鍵網(wǎng)絡(luò)設(shè)備設(shè)施應(yīng)有必要的備份。 對可用性要求高的網(wǎng)絡(luò)指定專人進(jìn)行不問斷的監(jiān)控，并定期對應(yīng)急計劃的可行性進(jìn)行驗證。 5. 應(yīng)用系統(tǒng)安全管理要求 計算機信息系統(tǒng)的各應(yīng)用單位和部門應(yīng)指定專人負(fù)責(zé)應(yīng)用系統(tǒng)的安全管理。 應(yīng)用系統(tǒng)的安全管理要求不低于操作系統(tǒng)的安全管理要求。 制定并落實應(yīng)用系統(tǒng)的安全操作規(guī)程，安全操作規(guī)程應(yīng)包括安全措施的設(shè)計、部署、維護(hù)、運行和用戶安全培訓(xùn)等。 應(yīng)指定信息安全管理人員依據(jù)信息安全操作規(guī)程，負(fù)責(zé)信息的分類管理和信息的安全發(fā)布。 對任何可能超越系統(tǒng)或應(yīng)用程序控制的實用程序和系統(tǒng)軟件都應(yīng)得到正式的授權(quán)和許可，并對使用情況進(jìn)行登記。保證對應(yīng)用系統(tǒng)信息或軟件的訪問不影響其他計算機信息系統(tǒng)共享信息的安全性。 應(yīng)用系統(tǒng)的內(nèi)部用戶，包括支持人員，應(yīng)按照規(guī)定的程序辦理授權(quán)許可，并 根據(jù)信息的敏感程度簽署安全協(xié)議，保證應(yīng)用系統(tǒng)信息的保密性、完整性和可用性。 應(yīng)指定專人負(fù)責(zé)應(yīng)用系統(tǒng)的審計工作。審計人員僅從事審計工作，不參與系統(tǒng)的其他任務(wù)，實現(xiàn)審計人員和被審計人員的職能分離，保證審計日志的準(zhǔn)確性、完整性和可用性。 組織有關(guān)人員定期或不定期對應(yīng)用系統(tǒng)的安全性進(jìn)行審查，并根據(jù)應(yīng)用系統(tǒng)的變更或風(fēng)險變化提交正式的報告，提出安全建議。 對應(yīng)用系統(tǒng)關(guān)鍵崗位的工作人員實施資質(zhì)管理，保證人員的可靠性和可用性。 制定切實可用的應(yīng)用系統(tǒng)及數(shù)據(jù)的備份計劃和應(yīng)急計劃，并由專人負(fù)責(zé)落 實和管理。 運行安全管理要求 —— 對計算機信息系統(tǒng)應(yīng)按風(fēng)險管理計劃和操作規(guī)程定期對系統(tǒng)進(jìn)行風(fēng)險分析與評估，識別出可能存在的風(fēng)險，并向管理層提交正式的風(fēng)險分析報告。風(fēng)險分析報告中應(yīng)明確管理上、技術(shù)上存在的問題與對策。 —— 對病毒防護(hù)系統(tǒng)的使用制定管理規(guī)定，沒有得到許可，用戶不能私自終止病毒防護(hù)系統(tǒng)的運行，操作系統(tǒng)安全管理責(zé)任人負(fù)責(zé)病毒防護(hù)系統(tǒng)的管理（安裝、升級、停止），操作系統(tǒng)應(yīng)對病毒防護(hù)系統(tǒng)的使用建立日志。 —— 制定應(yīng)用軟件安全管理規(guī)章制度，對應(yīng)用軟件的采購實施批準(zhǔn) 制度，對應(yīng)用軟件的安全性進(jìn)行調(diào)查，未獲明確驗證的軟件不得裝入運行韻操作系統(tǒng)。對應(yīng)用軟件的使用采取授權(quán)管理制度，沒有取得許可的用戶不得安裝、調(diào)試、運行、卸載應(yīng)用軟件，并對應(yīng)用軟件的使用進(jìn)行審計。 —— 制定外部服務(wù)方對計算機信息系統(tǒng)訪問的安全制度。對外部服務(wù)方訪問系統(tǒng)可能發(fā)生的安全性進(jìn)行評估，采取安全措施對訪問實施控制，與外部服務(wù)方簽署安全保密合同，并要求有關(guān)合同不違背總的安全策略。 —— 安全管理負(fù)責(zé)人應(yīng)會同計算機信息系統(tǒng)應(yīng)用各方制定應(yīng)急計劃和災(zāi)難恢復(fù)計劃，并制定應(yīng)急計劃和災(zāi)難恢復(fù)計劃的實施規(guī)程 ，并實施必要驗證和實際演練。對應(yīng)急計劃涉及的人員進(jìn)行培訓(xùn)，并要求應(yīng)急人員具備執(zhí)行應(yīng)急計劃的能力。對需外部資源的應(yīng)急計劃要與有關(guān)各方簽署正式合同，合同中應(yīng)規(guī)定服務(wù)質(zhì)量，并包括安全責(zé)任和保密條款。 —— 制定安全事件處理規(guī)程，保證在短時間內(nèi)對安全事件進(jìn)行處理。 —— 制定計算機信息系統(tǒng)的信息和文檔的備份制度，要求指定專人負(fù)責(zé)備份管理，保證計算機信息系統(tǒng)自動備份和人工備份的準(zhǔn)確性、可用性。 —— 制定設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)、人員、服務(wù)、內(nèi)外風(fēng)險等變更控制制度，保證變更后的計算機信息系統(tǒng) 能滿足既定的安全目標(biāo)。 —— 制定運行安全管理檢查制度，定期或不定期對所有計劃和制度執(zhí)行情況進(jìn)行監(jiān)督檢查，并對安全策略和管理計劃進(jìn)行修訂。協(xié)助上級或國家有關(guān)部門對計算機信息系統(tǒng)安全進(jìn)行評估，對計算機信息系統(tǒng)安全工作的監(jiān)督和檢查。 —— 根據(jù)各種變更不斷修訂、完善各種規(guī)章制度。 —— 建立嚴(yán)格的運行過程管理文檔，其中包括責(zé)任書、授權(quán)書、許可證、各類策略文檔、事故報告處理文檔、安全配置文檔、系統(tǒng)各類日志等，保證文檔的一致性。 （安全標(biāo)記保護(hù)級）實施標(biāo)記制度化管理 5. 管 理目標(biāo)和范圍 在實現(xiàn)第二級管理目標(biāo)的基礎(chǔ)上，要求計算機信息系統(tǒng)的用戶熟知計算機信息系統(tǒng)的安全策略和安全規(guī)程，要求用戶定期確認(rèn)其安全意識和安全責(zé)任，保證安全策略和安全規(guī)程的有效實施；使用自動或其他方式監(jiān)視系統(tǒng)的安全狀態(tài)，保證在已建立的安全規(guī)程中明確規(guī)定系統(tǒng)日志的檢查、系統(tǒng)穿透性測試和對內(nèi)與對外的安全審計；保證安全管理貫穿計算機信息系統(tǒng)的整個生命周期；在安全規(guī)程中明確規(guī)定如何建設(shè)系統(tǒng)，如何驗收系統(tǒng)，如何對系統(tǒng)的使用按正式的授權(quán)過程實施。 通過對用戶、系統(tǒng)資源進(jìn)行標(biāo)記，建立健全一系列的安全管理制度 ，實現(xiàn)制度化管理。 通過管