【文章內容簡介】 制定安全管理計劃，明確計算機信息系統(tǒng)的安全目標和安全范圍，并經(jīng)單位主 管領導批準。 安全管理計劃文件在下列方面應有基本描述：安全策略、風險管理、安全措施檢查、行為準則、生命周期管理、處理授權、人員安全、物理和環(huán)境安全、技術支持與運行安全、應急計劃、技術文檔管理、教育與培訓、事件響應、訪問控制、審計跟蹤等。 保證計算機信息系統(tǒng)安全保護等級達到 GB 178591999 的本級要求。 人員與職責要求 單位主管委任安全管理人員，并賦予安全管理的權力。 安全管理人員應具有基本的專業(yè)技術水平，掌握計算機信息系統(tǒng)安全管理基本知識，負責組織規(guī)劃有 關人員的安全意識教育和培訓，組織協(xié)調有關人員對計算機信息系統(tǒng)的安全性進行評估，理解計算機信息系統(tǒng)面臨的安全威脅，并對管理層、物理層、系統(tǒng)層、網(wǎng)絡層和應用層有基本的風險分析，確定安全需求，制定安全計劃，并負責落實和監(jiān)督安全計劃的實施。 通過正式授權程序委派專人負責物理安全工作。建立物理安全規(guī)章制度。 通過科學分類對計算機信息系統(tǒng)的物理環(huán)境和物理設施進行分類登記。 保證計算機信息系統(tǒng)的物理安全達到 GA/T 3902020 計算機信息系統(tǒng)安全等級保護通用技術要求 中本級有關環(huán)境、設備和介質安全所提出的基本要求。 系統(tǒng)安全管理要求 通過正式授權程序委派專人負責系統(tǒng)環(huán)境安全管理。建立操作系統(tǒng)和數(shù)據(jù)庫的安全配置、操作系統(tǒng)和數(shù)據(jù)庫的備份等安全管理規(guī)章制度。 保證人員能按照 GA/T 3902020 計算機信息系統(tǒng)安全等級保護通用技術要求、 GA/T 3882020 計算機信息系統(tǒng)安全等級保護操作系統(tǒng)技術要求和 GA/T 3892020 計算機信息系統(tǒng)安全等級保護數(shù)據(jù)庫管理系統(tǒng)技術要求的基本要求，對操作系統(tǒng)和數(shù)據(jù)庫進行安全管理。 網(wǎng)絡安全 管理要求 通過正式授權程序委派專人負責網(wǎng)絡環(huán)境安全工作。建立有關網(wǎng)絡配置安全管理制度。 保證人員能按照 GA/T 3902020 計算機信息系統(tǒng)安全等級保護通用技術要求和 GA/T 3872020 計算機信息系統(tǒng)安全等級保護網(wǎng)絡技術要求對本級網(wǎng)絡安全的基本要求，對網(wǎng)絡進行安全管理。 通過正式授權程序委派專人負責應用系統(tǒng)環(huán)境，包括應用系統(tǒng)軟件的安全配置、備份等安全工作。制定有關規(guī)章制度。 保證人員能按照應用系統(tǒng)操作文檔和應用系統(tǒng)有關安全要求，對應用系 統(tǒng)軟件和應用業(yè)務數(shù)據(jù)進行安全管理。 —— 安全管理人員應協(xié)同計算機信息系統(tǒng)應用部門對計算機信息系統(tǒng)的運行進行安全管理。建立有關安全規(guī)章制度。 —— 確保為計算機信息系統(tǒng)可靠運行而采取的各種檢測、監(jiān)控、審計、分析、備份及容錯等方法和措施的正確實施。 —— 要求制定風險分析計劃，制定網(wǎng)絡安全檢測、網(wǎng)絡防病毒、網(wǎng)絡安全事件報告、應急計劃管理等制度。制定安全意識和安全技術教育培訓計劃。對運行安全進行監(jiān)督檢查。明確計算機信息系統(tǒng)各類人員對計算機信息系統(tǒng)各類資源的安全責任。 明確計算機信息系統(tǒng)安全管理人員和計算機信息系統(tǒng)普通用戶對計算機信息系統(tǒng)資源和控制系統(tǒng)中命名客體的訪問權限。 （系統(tǒng)審計保護級）實施操作規(guī)程管理． 管理目標和范圍 建立安全管理機構并滿足第一級的管理要求外，還應進一步根據(jù)管理計劃制定一系列安全操作規(guī)程，并實施計算機信息系統(tǒng)生命周期的全程管理。 安全操作規(guī)程文件應由單位主管領導批準，安全操作規(guī)程文件中應明確計算機信息系統(tǒng)的安全崗位，并指明是否需要更細致的指導，說明例外情況。特定規(guī)程中要明確規(guī)定其適用場所、適用對 象、有效期限和規(guī)程責任人，對其中適用對象要明確適用的主體和客體。 通過管理活動保證計算機信息系統(tǒng)達到 GB 178591999 的本級要求。 5. 人員與職責要求 單位主管領導負責建立正式的安全管理機構，委任并授權該機構的安全管理負責人負責安全管理工作的組織和實施。安全管理機構由單位各級主管和有關專家組成。 安全管理負責人至少從事過二年以上的計算機信息系統(tǒng)的技術工作，一年以上的計算機信息系統(tǒng)安全管理工作或經(jīng)過正規(guī)院校計算機信息系統(tǒng)安全技術和管理的培訓。 安全管理負責人 負責召集有關人員制定本單位安全計劃，設立安全管理崗位，明確崗位職責；制定明確的安全管理目標和安全策略；制定計算機信息系統(tǒng)各層安全管理規(guī)程；制定系統(tǒng)管理、信息管理、網(wǎng)絡管理、存儲介質管理、操作管理、軟硬件維修、審計、服務外包等安全管理規(guī)章制度，并監(jiān)督執(zhí)行；對關鍵的計算機信息系統(tǒng)制定風險管理計劃；組織規(guī)劃有關人員的安全意識教育和培訓。 除滿足第一級的物理安全管理要求外，應建立物理安全區(qū)域，制定專人負責物理安全區(qū)計算機信息系統(tǒng)場地和物理設施的日常安全管理，制定物理設施的購置計劃 、設備的驗收、運行、維護、處置管理制度，監(jiān)督、檢查物理設施安全管理制度的落實。編制物理設施安裝、運行、操作流程，制定并實施物理設施管理培訓計劃；所有物理設施要分類編目，指定每個物理設施安全責任人。 對計算機信息系統(tǒng)使用的關鍵設備建立嚴格的登記制度，保證設備購置、安裝、調試、維護、維修、報廢等處置活動可控。 系統(tǒng)安全管理要求 指定操作系統(tǒng)安全管理責任人，負責操作系統(tǒng)的日常安全管理和安全審計，對用戶安全使用進行指導、登記和監(jiān)視。 操作系統(tǒng)應使用符合 GA/T 3882020 計算機信息系統(tǒng)安全等級保護操作系統(tǒng)技術要求的本級操 作系統(tǒng)。 數(shù)據(jù)庫應使用符合 GA/T 3892020 計算機信息系統(tǒng)安全等級保護數(shù)據(jù)庫管理系統(tǒng)技術要求的本 級數(shù)據(jù)庫。 依據(jù)操作規(guī)程安全使用、配置操作系統(tǒng)，操作系統(tǒng)安全管理責任人依據(jù)操作規(guī)程確定審計事件、審計內容、審計歸檔、審計報告。 授權用戶應使用唯一的標識和口令，遵照規(guī)定的登錄規(guī)程登錄系統(tǒng)，遵照授權說明使用許可的 資源。 對操作系統(tǒng)中的系統(tǒng)工具的使用進行授權管理，并對系統(tǒng)工具使用情況進行審計。 對操作系統(tǒng)安全性進行及時維護，對操作系統(tǒng)的安全弱點和漏洞進行控制。 依據(jù)變更控制規(guī)程對操作系統(tǒng)的變更進行控制，保證變更不影響應用系統(tǒng)的可用性、穩(wěn)定性、安全性，保證變更過程的有效性和可審計性。 應及時對操作系統(tǒng)資源和系統(tǒng)文檔進行安全備份。 網(wǎng)絡安全管理要求 除滿足第一級的網(wǎng)絡安全管理要求外，網(wǎng)絡安全管理負責人應按照有關規(guī)程召集有關人員對計算機信息系統(tǒng)運行的網(wǎng)絡安全進行定期評估，不斷完善網(wǎng)絡安全策略 39。建立、健全網(wǎng)絡安全管理規(guī)章制定。 制定使用網(wǎng)絡和網(wǎng)絡服務的策略。依 據(jù)總體安全方針、策略制定允許提供的網(wǎng)絡服務、制定網(wǎng)格訪問許可和授權管理制度、保證計算機信息系統(tǒng)網(wǎng)絡連接和服務的安全技術正確實施，并達到 GA／ T 3872020 計算機信息系統(tǒng)安全等級保護網(wǎng)絡技術要求的要求。 制定網(wǎng)絡安全教育和培訓計劃，保證計算機信息系統(tǒng)的各類用戶熟知自己在網(wǎng)絡安全方面的安全責任和安全規(guī)程。 建立網(wǎng)絡訪問授權制度，保證經(jīng)過授權的用戶才能在指定終端，使用指定的安全措施，按設定 審計路由訪問許可的網(wǎng)絡服務。 對安全區(qū)域外部移動用戶的網(wǎng)絡訪問實施嚴格的審批制度，實施用戶安全 認證和審計技術措施，保證網(wǎng)絡連接的可靠性、保密性，保證用戶對外部連接的安全性負責。 定義與外部網(wǎng)絡連接的接口邊界，建立安全規(guī)范，定期對外部網(wǎng)絡連接接口的安全進行評估，對通過外部連接的可信計算機信息系統(tǒng)之間的網(wǎng)絡信息提供加密服務，有關加密設備和算法的使用按國家有關規(guī)定執(zhí)行。 對外進行公共服務的計算機信息系統(tǒng)，應采取嚴格的安全措施實施訪問控制，保證外部用戶對服務的訪問得到控制和審計，并保證外部用戶對特定服務的訪問不危及內部計算機信息系統(tǒng)的安全，對外傳輸?shù)臄?shù)據(jù)和信息要經(jīng)過審查，防止內部人員通過內外網(wǎng)的邊界泄露敏感信息。 對可能從內部網(wǎng)絡向外發(fā)起的連接資源（如撥號上網(wǎng)）實施嚴格控制，建立連接資源使用授權制度，建立檢查制度防止計算機信息系統(tǒng)使用未經(jīng)許可和授權的連接資源。 不同安全保護等級的計算機信息系統(tǒng)網(wǎng)絡之間的連接按訪問控制策略實施可審計的安全措施，如使用防火墻、安全路由器等，實現(xiàn)必要的網(wǎng)絡隔離。 保證網(wǎng)絡安全措施的日常管理責任到人，并對網(wǎng)絡安全措施的使用進行審計。 按網(wǎng)絡設施和網(wǎng)絡服務變更控制制度執(zhí)行網(wǎng)絡配置變更控制。 建立網(wǎng)絡安全事件、事故報告處理流程，保證事件和事 故處理過程的可審計性。 對網(wǎng)絡連接、網(wǎng)絡安全措施、網(wǎng)絡設備及操作規(guī)程定期進行安全檢查和評估，提交正式的網(wǎng)絡安全報告。 指定網(wǎng)絡安全審計人員，負責對網(wǎng)絡安全事件的審計，對審計活動實施控制，保證網(wǎng)絡設施提供的審計記錄的完整性和可用性。 計算機信息系統(tǒng)的關鍵網(wǎng)絡設備設施應有必要的備份。 對可用性要求高的網(wǎng)絡指定專人進行不問斷的監(jiān)控，并定期對應急計劃的可行性進行驗證。 5. 應用系統(tǒng)安全管理要求 計算機信息系統(tǒng)的各應用單位和部門應指定專人負責應用系統(tǒng)的安全管理。 應用系統(tǒng)的安全管理要求不低于操作系統(tǒng)的安全管理要求。 制定并落實應用系統(tǒng)的安全操作規(guī)程，安全操作規(guī)程應包括安全措施的設計、部署、維護、運行和用戶安全培訓等。 應指定信息安全管理人員依據(jù)信息安全操作規(guī)程，負責信息的分類管理和信息的安全發(fā)布。 對任何可能超越系統(tǒng)或應用程序控制的實用程序和系統(tǒng)軟件都應得到正式的授權和許可，并對使用情況進行登記。保證對應用系統(tǒng)信息或軟件的訪問不影響其他計算機信息系統(tǒng)共享信息的安全性。 應用系統(tǒng)的內部用戶，包括支持人員，應按照規(guī)定的程序辦理授權許可，并 根據(jù)信息的敏感程度簽署安全協(xié)議，保證應用系統(tǒng)信息的保密性、完整性和可用性。 應指定專人負責應用系統(tǒng)的審計工作。審計人員僅從事審計工作，不參與系統(tǒng)的其他任務，實現(xiàn)審計人員和被審計人員的職能分離，保證審計日志的準確性、完整性和可用性。 組織有關人員定期或不定期對應用系統(tǒng)的安全性進行審查，并根據(jù)應用系統(tǒng)的變更或風險變化提交正式的報告，提出安全建議。 對應用系統(tǒng)關鍵崗位的工作人員實施資質管理，保證人員的可靠性和可用性。 制定切實可用的應用系統(tǒng)及數(shù)據(jù)的備份計劃和應急計劃，并由專人負責落 實和管理。 運行安全管理要求 —— 對計算機信息系統(tǒng)應按風險管理計劃和操作規(guī)程定期對系統(tǒng)進行風險分析與評估，識別出可能存在的風險，并向管理層提交正式的風險分析報告。風險分析報告中應明確管理上、技術上存在的問題與對策。 —— 對病毒防護系統(tǒng)的使用制定管理規(guī)定，沒有得到許可，用戶不能私自終止病毒防護系統(tǒng)的運行，操作系統(tǒng)安全管理責任人負責病毒防護系統(tǒng)的管理（安裝、升級、停止），操作系統(tǒng)應對病毒防護系統(tǒng)的使用建立日志。 —— 制定應用軟件安全管理規(guī)章制度，對應用軟件的采購實施批準 制度，對應用軟件的安全性進行調查，未獲明確驗證的軟件不得裝入運行韻操作系統(tǒng)。對應用軟件的使用采取授權管理制度，沒有取得許可的用戶不得安裝、調試、運行、卸載應用軟件，并對應用軟件的使用進行審計。 —— 制定外部服務方對計算機信息系統(tǒng)訪問的安全制度。對外部服務方訪問系統(tǒng)可能發(fā)生的安全性進行評估，采取安全措施對訪問實施控制，與外部服務方簽署安全保密合同，并要求有關合同不違背總的安全策略。 —— 安全管理負責人應會同計算機信息系統(tǒng)應用各方制定應急計劃和災難恢復計劃，并制定應急計劃和災難恢復計劃的實施規(guī)程 ，并實施必要驗證和實際演練。對應急計劃涉及的人員進行培訓，并要求應急人員具備執(zhí)行應急計劃的能力。對需外部資源的應急計劃要與有關各方簽署正式合同，合同中應規(guī)定服務質量，并包括安全責任和保密條款。 —— 制定安全事件處理規(guī)程，保證在短時間內對安全事件進行處理。 —— 制定計算機信息系統(tǒng)的信息和文檔的備份制度，要求指定專人負責備份管理，保證計算機信息系統(tǒng)自動備份和人工備份的準確性、可用性。 —— 制定設備、操作系統(tǒng)、數(shù)據(jù)庫、應用系統(tǒng)、人員、服務、內外風險等變更控制制度，保證變更后的計算機信息系統(tǒng) 能滿足既定的安全目標。 —— 制定運行安全管理檢查制度，定期或不定期對所有計劃和制度執(zhí)行情況進行監(jiān)督檢查，并對安全策略和管理計劃進行修訂。協(xié)助上級或國家有關部門對計算機信息系統(tǒng)安全進行評估，對計算機信息系統(tǒng)安全工作的監(jiān)督和檢查。 —— 根據(jù)各種變更不斷修訂、完善各種規(guī)章制度。 —— 建立嚴格的運行過程管理文檔，其中包括責任書、授權書、許可證、各類策略文檔、事故報告處理文檔、安全配置文檔、系統(tǒng)各類日志等，保證文檔的一致性。 （安全標記保護級）實施標記制度化管理 5. 管 理目標和范圍 在實現(xiàn)第二級管理目標的基礎上，要求計算機信息系統(tǒng)的用戶熟知計算機信息系統(tǒng)的安全策略和安全規(guī)程，要求用戶定期確認其安全意識和安全責任，保證安全策略和安全規(guī)程的有效實施；使用自動或其他方式監(jiān)視系統(tǒng)的安全狀態(tài)，保證在已建立的安全規(guī)程中明確規(guī)定系統(tǒng)日志的檢查、系統(tǒng)穿透性測試和對內與對外的安全審計；保證安全管理貫穿計算機信息系統(tǒng)的整個生命周期；在安全規(guī)程中明確規(guī)定如何建設系統(tǒng)，如何驗收系統(tǒng)，如何對系統(tǒng)的使用按正式的授權過程實施。 通過對用戶、系統(tǒng)資源進行標記，建立健全一系列的安全管理制度 ，實現(xiàn)制度化管理。 通過管