【文章內(nèi)容簡(jiǎn)介】 制定安全管理計(jì)劃，明確計(jì)算機(jī)信息系統(tǒng)的安全目標(biāo)和安全范圍，并經(jīng)單位主 管領(lǐng)導(dǎo)批準(zhǔn)。 安全管理計(jì)劃文件在下列方面應(yīng)有基本描述：安全策略、風(fēng)險(xiǎn)管理、安全措施檢查、行為準(zhǔn)則、生命周期管理、處理授權(quán)、人員安全、物理和環(huán)境安全、技術(shù)支持與運(yùn)行安全、應(yīng)急計(jì)劃、技術(shù)文檔管理、教育與培訓(xùn)、事件響應(yīng)、訪(fǎng)問(wèn)控制、審計(jì)跟蹤等。 保證計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)達(dá)到 GB 178591999 的本級(jí)要求。 人員與職責(zé)要求 單位主管委任安全管理人員，并賦予安全管理的權(quán)力。 安全管理人員應(yīng)具有基本的專(zhuān)業(yè)技術(shù)水平，掌握計(jì)算機(jī)信息系統(tǒng)安全管理基本知識(shí)，負(fù)責(zé)組織規(guī)劃有 關(guān)人員的安全意識(shí)教育和培訓(xùn)，組織協(xié)調(diào)有關(guān)人員對(duì)計(jì)算機(jī)信息系統(tǒng)的安全性進(jìn)行評(píng)估，理解計(jì)算機(jī)信息系統(tǒng)面臨的安全威脅，并對(duì)管理層、物理層、系統(tǒng)層、網(wǎng)絡(luò)層和應(yīng)用層有基本的風(fēng)險(xiǎn)分析，確定安全需求，制定安全計(jì)劃，并負(fù)責(zé)落實(shí)和監(jiān)督安全計(jì)劃的實(shí)施。 通過(guò)正式授權(quán)程序委派專(zhuān)人負(fù)責(zé)物理安全工作。建立物理安全規(guī)章制度。 通過(guò)科學(xué)分類(lèi)對(duì)計(jì)算機(jī)信息系統(tǒng)的物理環(huán)境和物理設(shè)施進(jìn)行分類(lèi)登記。 保證計(jì)算機(jī)信息系統(tǒng)的物理安全達(dá)到 GA/T 3902020 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求 中本級(jí)有關(guān)環(huán)境、設(shè)備和介質(zhì)安全所提出的基本要求。 系統(tǒng)安全管理要求 通過(guò)正式授權(quán)程序委派專(zhuān)人負(fù)責(zé)系統(tǒng)環(huán)境安全管理。建立操作系統(tǒng)和數(shù)據(jù)庫(kù)的安全配置、操作系統(tǒng)和數(shù)據(jù)庫(kù)的備份等安全管理規(guī)章制度。 保證人員能按照 GA/T 3902020 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求、 GA/T 3882020 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)操作系統(tǒng)技術(shù)要求和 GA/T 3892020 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)數(shù)據(jù)庫(kù)管理系統(tǒng)技術(shù)要求的基本要求，對(duì)操作系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行安全管理。 網(wǎng)絡(luò)安全 管理要求 通過(guò)正式授權(quán)程序委派專(zhuān)人負(fù)責(zé)網(wǎng)絡(luò)環(huán)境安全工作。建立有關(guān)網(wǎng)絡(luò)配置安全管理制度。 保證人員能按照 GA/T 3902020 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求和 GA/T 3872020 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)網(wǎng)絡(luò)技術(shù)要求對(duì)本級(jí)網(wǎng)絡(luò)安全的基本要求，對(duì)網(wǎng)絡(luò)進(jìn)行安全管理。 通過(guò)正式授權(quán)程序委派專(zhuān)人負(fù)責(zé)應(yīng)用系統(tǒng)環(huán)境，包括應(yīng)用系統(tǒng)軟件的安全配置、備份等安全工作。制定有關(guān)規(guī)章制度。 保證人員能按照應(yīng)用系統(tǒng)操作文檔和應(yīng)用系統(tǒng)有關(guān)安全要求，對(duì)應(yīng)用系 統(tǒng)軟件和應(yīng)用業(yè)務(wù)數(shù)據(jù)進(jìn)行安全管理。 —— 安全管理人員應(yīng)協(xié)同計(jì)算機(jī)信息系統(tǒng)應(yīng)用部門(mén)對(duì)計(jì)算機(jī)信息系統(tǒng)的運(yùn)行進(jìn)行安全管理。建立有關(guān)安全規(guī)章制度。 —— 確保為計(jì)算機(jī)信息系統(tǒng)可靠運(yùn)行而采取的各種檢測(cè)、監(jiān)控、審計(jì)、分析、備份及容錯(cuò)等方法和措施的正確實(shí)施。 —— 要求制定風(fēng)險(xiǎn)分析計(jì)劃，制定網(wǎng)絡(luò)安全檢測(cè)、網(wǎng)絡(luò)防病毒、網(wǎng)絡(luò)安全事件報(bào)告、應(yīng)急計(jì)劃管理等制度。制定安全意識(shí)和安全技術(shù)教育培訓(xùn)計(jì)劃。對(duì)運(yùn)行安全進(jìn)行監(jiān)督檢查。明確計(jì)算機(jī)信息系統(tǒng)各類(lèi)人員對(duì)計(jì)算機(jī)信息系統(tǒng)各類(lèi)資源的安全責(zé)任。 明確計(jì)算機(jī)信息系統(tǒng)安全管理人員和計(jì)算機(jī)信息系統(tǒng)普通用戶(hù)對(duì)計(jì)算機(jī)信息系統(tǒng)資源和控制系統(tǒng)中命名客體的訪(fǎng)問(wèn)權(quán)限。 （系統(tǒng)審計(jì)保護(hù)級(jí)）實(shí)施操作規(guī)程管理． 管理目標(biāo)和范圍 建立安全管理機(jī)構(gòu)并滿(mǎn)足第一級(jí)的管理要求外，還應(yīng)進(jìn)一步根據(jù)管理計(jì)劃制定一系列安全操作規(guī)程，并實(shí)施計(jì)算機(jī)信息系統(tǒng)生命周期的全程管理。 安全操作規(guī)程文件應(yīng)由單位主管領(lǐng)導(dǎo)批準(zhǔn)，安全操作規(guī)程文件中應(yīng)明確計(jì)算機(jī)信息系統(tǒng)的安全崗位，并指明是否需要更細(xì)致的指導(dǎo)，說(shuō)明例外情況。特定規(guī)程中要明確規(guī)定其適用場(chǎng)所、適用對(duì) 象、有效期限和規(guī)程責(zé)任人，對(duì)其中適用對(duì)象要明確適用的主體和客體。 通過(guò)管理活動(dòng)保證計(jì)算機(jī)信息系統(tǒng)達(dá)到 GB 178591999 的本級(jí)要求。 5. 人員與職責(zé)要求 單位主管領(lǐng)導(dǎo)負(fù)責(zé)建立正式的安全管理機(jī)構(gòu)，委任并授權(quán)該機(jī)構(gòu)的安全管理負(fù)責(zé)人負(fù)責(zé)安全管理工作的組織和實(shí)施。安全管理機(jī)構(gòu)由單位各級(jí)主管和有關(guān)專(zhuān)家組成。 安全管理負(fù)責(zé)人至少?gòu)氖逻^(guò)二年以上的計(jì)算機(jī)信息系統(tǒng)的技術(shù)工作，一年以上的計(jì)算機(jī)信息系統(tǒng)安全管理工作或經(jīng)過(guò)正規(guī)院校計(jì)算機(jī)信息系統(tǒng)安全技術(shù)和管理的培訓(xùn)。 安全管理負(fù)責(zé)人 負(fù)責(zé)召集有關(guān)人員制定本單位安全計(jì)劃，設(shè)立安全管理崗位，明確崗位職責(zé)；制定明確的安全管理目標(biāo)和安全策略；制定計(jì)算機(jī)信息系統(tǒng)各層安全管理規(guī)程；制定系統(tǒng)管理、信息管理、網(wǎng)絡(luò)管理、存儲(chǔ)介質(zhì)管理、操作管理、軟硬件維修、審計(jì)、服務(wù)外包等安全管理規(guī)章制度，并監(jiān)督執(zhí)行；對(duì)關(guān)鍵的計(jì)算機(jī)信息系統(tǒng)制定風(fēng)險(xiǎn)管理計(jì)劃；組織規(guī)劃有關(guān)人員的安全意識(shí)教育和培訓(xùn)。 除滿(mǎn)足第一級(jí)的物理安全管理要求外，應(yīng)建立物理安全區(qū)域，制定專(zhuān)人負(fù)責(zé)物理安全區(qū)計(jì)算機(jī)信息系統(tǒng)場(chǎng)地和物理設(shè)施的日常安全管理，制定物理設(shè)施的購(gòu)置計(jì)劃 、設(shè)備的驗(yàn)收、運(yùn)行、維護(hù)、處置管理制度，監(jiān)督、檢查物理設(shè)施安全管理制度的落實(shí)。編制物理設(shè)施安裝、運(yùn)行、操作流程，制定并實(shí)施物理設(shè)施管理培訓(xùn)計(jì)劃；所有物理設(shè)施要分類(lèi)編目，指定每個(gè)物理設(shè)施安全責(zé)任人。 對(duì)計(jì)算機(jī)信息系統(tǒng)使用的關(guān)鍵設(shè)備建立嚴(yán)格的登記制度，保證設(shè)備購(gòu)置、安裝、調(diào)試、維護(hù)、維修、報(bào)廢等處置活動(dòng)可控。 系統(tǒng)安全管理要求 指定操作系統(tǒng)安全管理責(zé)任人，負(fù)責(zé)操作系統(tǒng)的日常安全管理和安全審計(jì)，對(duì)用戶(hù)安全使用進(jìn)行指導(dǎo)、登記和監(jiān)視。 操作系統(tǒng)應(yīng)使用符合 GA/T 3882020 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)操作系統(tǒng)技術(shù)要求的本級(jí)操 作系統(tǒng)。 數(shù)據(jù)庫(kù)應(yīng)使用符合 GA/T 3892020 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)數(shù)據(jù)庫(kù)管理系統(tǒng)技術(shù)要求的本 級(jí)數(shù)據(jù)庫(kù)。 依據(jù)操作規(guī)程安全使用、配置操作系統(tǒng)，操作系統(tǒng)安全管理責(zé)任人依據(jù)操作規(guī)程確定審計(jì)事件、審計(jì)內(nèi)容、審計(jì)歸檔、審計(jì)報(bào)告。 授權(quán)用戶(hù)應(yīng)使用唯一的標(biāo)識(shí)和口令，遵照規(guī)定的登錄規(guī)程登錄系統(tǒng)，遵照授權(quán)說(shuō)明使用許可的 資源。 對(duì)操作系統(tǒng)中的系統(tǒng)工具的使用進(jìn)行授權(quán)管理，并對(duì)系統(tǒng)工具使用情況進(jìn)行審計(jì)。 對(duì)操作系統(tǒng)安全性進(jìn)行及時(shí)維護(hù)，對(duì)操作系統(tǒng)的安全弱點(diǎn)和漏洞進(jìn)行控制。 依據(jù)變更控制規(guī)程對(duì)操作系統(tǒng)的變更進(jìn)行控制，保證變更不影響應(yīng)用系統(tǒng)的可用性、穩(wěn)定性、安全性，保證變更過(guò)程的有效性和可審計(jì)性。 應(yīng)及時(shí)對(duì)操作系統(tǒng)資源和系統(tǒng)文檔進(jìn)行安全備份。 網(wǎng)絡(luò)安全管理要求 除滿(mǎn)足第一級(jí)的網(wǎng)絡(luò)安全管理要求外，網(wǎng)絡(luò)安全管理負(fù)責(zé)人應(yīng)按照有關(guān)規(guī)程召集有關(guān)人員對(duì)計(jì)算機(jī)信息系統(tǒng)運(yùn)行的網(wǎng)絡(luò)安全進(jìn)行定期評(píng)估，不斷完善網(wǎng)絡(luò)安全策略 39。建立、健全網(wǎng)絡(luò)安全管理規(guī)章制定。 制定使用網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的策略。依 據(jù)總體安全方針、策略制定允許提供的網(wǎng)絡(luò)服務(wù)、制定網(wǎng)格訪(fǎng)問(wèn)許可和授權(quán)管理制度、保證計(jì)算機(jī)信息系統(tǒng)網(wǎng)絡(luò)連接和服務(wù)的安全技術(shù)正確實(shí)施，并達(dá)到 GA／ T 3872020 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)網(wǎng)絡(luò)技術(shù)要求的要求。 制定網(wǎng)絡(luò)安全教育和培訓(xùn)計(jì)劃，保證計(jì)算機(jī)信息系統(tǒng)的各類(lèi)用戶(hù)熟知自己在網(wǎng)絡(luò)安全方面的安全責(zé)任和安全規(guī)程。 建立網(wǎng)絡(luò)訪(fǎng)問(wèn)授權(quán)制度，保證經(jīng)過(guò)授權(quán)的用戶(hù)才能在指定終端，使用指定的安全措施，按設(shè)定 審計(jì)路由訪(fǎng)問(wèn)許可的網(wǎng)絡(luò)服務(wù)。 對(duì)安全區(qū)域外部移動(dòng)用戶(hù)的網(wǎng)絡(luò)訪(fǎng)問(wèn)實(shí)施嚴(yán)格的審批制度，實(shí)施用戶(hù)安全 認(rèn)證和審計(jì)技術(shù)措施，保證網(wǎng)絡(luò)連接的可靠性、保密性，保證用戶(hù)對(duì)外部連接的安全性負(fù)責(zé)。 定義與外部網(wǎng)絡(luò)連接的接口邊界，建立安全規(guī)范，定期對(duì)外部網(wǎng)絡(luò)連接接口的安全進(jìn)行評(píng)估，對(duì)通過(guò)外部連接的可信計(jì)算機(jī)信息系統(tǒng)之間的網(wǎng)絡(luò)信息提供加密服務(wù)，有關(guān)加密設(shè)備和算法的使用按國(guó)家有關(guān)規(guī)定執(zhí)行。 對(duì)外進(jìn)行公共服務(wù)的計(jì)算機(jī)信息系統(tǒng)，應(yīng)采取嚴(yán)格的安全措施實(shí)施訪(fǎng)問(wèn)控制，保證外部用戶(hù)對(duì)服務(wù)的訪(fǎng)問(wèn)得到控制和審計(jì)，并保證外部用戶(hù)對(duì)特定服務(wù)的訪(fǎng)問(wèn)不危及內(nèi)部計(jì)算機(jī)信息系統(tǒng)的安全，對(duì)外傳輸?shù)臄?shù)據(jù)和信息要經(jīng)過(guò)審查，防止內(nèi)部人員通過(guò)內(nèi)外網(wǎng)的邊界泄露敏感信息。 對(duì)可能從內(nèi)部網(wǎng)絡(luò)向外發(fā)起的連接資源（如撥號(hào)上網(wǎng)）實(shí)施嚴(yán)格控制，建立連接資源使用授權(quán)制度，建立檢查制度防止計(jì)算機(jī)信息系統(tǒng)使用未經(jīng)許可和授權(quán)的連接資源。 不同安全保護(hù)等級(jí)的計(jì)算機(jī)信息系統(tǒng)網(wǎng)絡(luò)之間的連接按訪(fǎng)問(wèn)控制策略實(shí)施可審計(jì)的安全措施，如使用防火墻、安全路由器等，實(shí)現(xiàn)必要的網(wǎng)絡(luò)隔離。 保證網(wǎng)絡(luò)安全措施的日常管理責(zé)任到人，并對(duì)網(wǎng)絡(luò)安全措施的使用進(jìn)行審計(jì)。 按網(wǎng)絡(luò)設(shè)施和網(wǎng)絡(luò)服務(wù)變更控制制度執(zhí)行網(wǎng)絡(luò)配置變更控制。 建立網(wǎng)絡(luò)安全事件、事故報(bào)告處理流程，保證事件和事 故處理過(guò)程的可審計(jì)性。 對(duì)網(wǎng)絡(luò)連接、網(wǎng)絡(luò)安全措施、網(wǎng)絡(luò)設(shè)備及操作規(guī)程定期進(jìn)行安全檢查和評(píng)估，提交正式的網(wǎng)絡(luò)安全報(bào)告。 指定網(wǎng)絡(luò)安全審計(jì)人員，負(fù)責(zé)對(duì)網(wǎng)絡(luò)安全事件的審計(jì)，對(duì)審計(jì)活動(dòng)實(shí)施控制，保證網(wǎng)絡(luò)設(shè)施提供的審計(jì)記錄的完整性和可用性。 計(jì)算機(jī)信息系統(tǒng)的關(guān)鍵網(wǎng)絡(luò)設(shè)備設(shè)施應(yīng)有必要的備份。 對(duì)可用性要求高的網(wǎng)絡(luò)指定專(zhuān)人進(jìn)行不問(wèn)斷的監(jiān)控，并定期對(duì)應(yīng)急計(jì)劃的可行性進(jìn)行驗(yàn)證。 5. 應(yīng)用系統(tǒng)安全管理要求 計(jì)算機(jī)信息系統(tǒng)的各應(yīng)用單位和部門(mén)應(yīng)指定專(zhuān)人負(fù)責(zé)應(yīng)用系統(tǒng)的安全管理。 應(yīng)用系統(tǒng)的安全管理要求不低于操作系統(tǒng)的安全管理要求。 制定并落實(shí)應(yīng)用系統(tǒng)的安全操作規(guī)程，安全操作規(guī)程應(yīng)包括安全措施的設(shè)計(jì)、部署、維護(hù)、運(yùn)行和用戶(hù)安全培訓(xùn)等。 應(yīng)指定信息安全管理人員依據(jù)信息安全操作規(guī)程，負(fù)責(zé)信息的分類(lèi)管理和信息的安全發(fā)布。 對(duì)任何可能超越系統(tǒng)或應(yīng)用程序控制的實(shí)用程序和系統(tǒng)軟件都應(yīng)得到正式的授權(quán)和許可，并對(duì)使用情況進(jìn)行登記。保證對(duì)應(yīng)用系統(tǒng)信息或軟件的訪(fǎng)問(wèn)不影響其他計(jì)算機(jī)信息系統(tǒng)共享信息的安全性。 應(yīng)用系統(tǒng)的內(nèi)部用戶(hù)，包括支持人員，應(yīng)按照規(guī)定的程序辦理授權(quán)許可，并 根據(jù)信息的敏感程度簽署安全協(xié)議，保證應(yīng)用系統(tǒng)信息的保密性、完整性和可用性。 應(yīng)指定專(zhuān)人負(fù)責(zé)應(yīng)用系統(tǒng)的審計(jì)工作。審計(jì)人員僅從事審計(jì)工作，不參與系統(tǒng)的其他任務(wù)，實(shí)現(xiàn)審計(jì)人員和被審計(jì)人員的職能分離，保證審計(jì)日志的準(zhǔn)確性、完整性和可用性。 組織有關(guān)人員定期或不定期對(duì)應(yīng)用系統(tǒng)的安全性進(jìn)行審查，并根據(jù)應(yīng)用系統(tǒng)的變更或風(fēng)險(xiǎn)變化提交正式的報(bào)告，提出安全建議。 對(duì)應(yīng)用系統(tǒng)關(guān)鍵崗位的工作人員實(shí)施資質(zhì)管理，保證人員的可靠性和可用性。 制定切實(shí)可用的應(yīng)用系統(tǒng)及數(shù)據(jù)的備份計(jì)劃和應(yīng)急計(jì)劃，并由專(zhuān)人負(fù)責(zé)落 實(shí)和管理。 運(yùn)行安全管理要求 —— 對(duì)計(jì)算機(jī)信息系統(tǒng)應(yīng)按風(fēng)險(xiǎn)管理計(jì)劃和操作規(guī)程定期對(duì)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析與評(píng)估，識(shí)別出可能存在的風(fēng)險(xiǎn)，并向管理層提交正式的風(fēng)險(xiǎn)分析報(bào)告。風(fēng)險(xiǎn)分析報(bào)告中應(yīng)明確管理上、技術(shù)上存在的問(wèn)題與對(duì)策。 —— 對(duì)病毒防護(hù)系統(tǒng)的使用制定管理規(guī)定，沒(méi)有得到許可，用戶(hù)不能私自終止病毒防護(hù)系統(tǒng)的運(yùn)行，操作系統(tǒng)安全管理責(zé)任人負(fù)責(zé)病毒防護(hù)系統(tǒng)的管理（安裝、升級(jí)、停止），操作系統(tǒng)應(yīng)對(duì)病毒防護(hù)系統(tǒng)的使用建立日志。 —— 制定應(yīng)用軟件安全管理規(guī)章制度，對(duì)應(yīng)用軟件的采購(gòu)實(shí)施批準(zhǔn) 制度，對(duì)應(yīng)用軟件的安全性進(jìn)行調(diào)查，未獲明確驗(yàn)證的軟件不得裝入運(yùn)行韻操作系統(tǒng)。對(duì)應(yīng)用軟件的使用采取授權(quán)管理制度，沒(méi)有取得許可的用戶(hù)不得安裝、調(diào)試、運(yùn)行、卸載應(yīng)用軟件，并對(duì)應(yīng)用軟件的使用進(jìn)行審計(jì)。 —— 制定外部服務(wù)方對(duì)計(jì)算機(jī)信息系統(tǒng)訪(fǎng)問(wèn)的安全制度。對(duì)外部服務(wù)方訪(fǎng)問(wèn)系統(tǒng)可能發(fā)生的安全性進(jìn)行評(píng)估，采取安全措施對(duì)訪(fǎng)問(wèn)實(shí)施控制，與外部服務(wù)方簽署安全保密合同，并要求有關(guān)合同不違背總的安全策略。 —— 安全管理負(fù)責(zé)人應(yīng)會(huì)同計(jì)算機(jī)信息系統(tǒng)應(yīng)用各方制定應(yīng)急計(jì)劃和災(zāi)難恢復(fù)計(jì)劃，并制定應(yīng)急計(jì)劃和災(zāi)難恢復(fù)計(jì)劃的實(shí)施規(guī)程 ，并實(shí)施必要驗(yàn)證和實(shí)際演練。對(duì)應(yīng)急計(jì)劃涉及的人員進(jìn)行培訓(xùn)，并要求應(yīng)急人員具備執(zhí)行應(yīng)急計(jì)劃的能力。對(duì)需外部資源的應(yīng)急計(jì)劃要與有關(guān)各方簽署正式合同，合同中應(yīng)規(guī)定服務(wù)質(zhì)量，并包括安全責(zé)任和保密條款。 —— 制定安全事件處理規(guī)程，保證在短時(shí)間內(nèi)對(duì)安全事件進(jìn)行處理。 —— 制定計(jì)算機(jī)信息系統(tǒng)的信息和文檔的備份制度，要求指定專(zhuān)人負(fù)責(zé)備份管理，保證計(jì)算機(jī)信息系統(tǒng)自動(dòng)備份和人工備份的準(zhǔn)確性、可用性。 —— 制定設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)、人員、服務(wù)、內(nèi)外風(fēng)險(xiǎn)等變更控制制度，保證變更后的計(jì)算機(jī)信息系統(tǒng) 能滿(mǎn)足既定的安全目標(biāo)。 —— 制定運(yùn)行安全管理檢查制度，定期或不定期對(duì)所有計(jì)劃和制度執(zhí)行情況進(jìn)行監(jiān)督檢查，并對(duì)安全策略和管理計(jì)劃進(jìn)行修訂。協(xié)助上級(jí)或國(guó)家有關(guān)部門(mén)對(duì)計(jì)算機(jī)信息系統(tǒng)安全進(jìn)行評(píng)估，對(duì)計(jì)算機(jī)信息系統(tǒng)安全工作的監(jiān)督和檢查。 —— 根據(jù)各種變更不斷修訂、完善各種規(guī)章制度。 —— 建立嚴(yán)格的運(yùn)行過(guò)程管理文檔，其中包括責(zé)任書(shū)、授權(quán)書(shū)、許可證、各類(lèi)策略文檔、事故報(bào)告處理文檔、安全配置文檔、系統(tǒng)各類(lèi)日志等，保證文檔的一致性。 （安全標(biāo)記保護(hù)級(jí)）實(shí)施標(biāo)記制度化管理 5. 管 理目標(biāo)和范圍 在實(shí)現(xiàn)第二級(jí)管理目標(biāo)的基礎(chǔ)上，要求計(jì)算機(jī)信息系統(tǒng)的用戶(hù)熟知計(jì)算機(jī)信息系統(tǒng)的安全策略和安全規(guī)程，要求用戶(hù)定期確認(rèn)其安全意識(shí)和安全責(zé)任，保證安全策略和安全規(guī)程的有效實(shí)施；使用自動(dòng)或其他方式監(jiān)視系統(tǒng)的安全狀態(tài)，保證在已建立的安全規(guī)程中明確規(guī)定系統(tǒng)日志的檢查、系統(tǒng)穿透性測(cè)試和對(duì)內(nèi)與對(duì)外的安全審計(jì)；保證安全管理貫穿計(jì)算機(jī)信息系統(tǒng)的整個(gè)生命周期；在安全規(guī)程中明確規(guī)定如何建設(shè)系統(tǒng)，如何驗(yàn)收系統(tǒng)，如何對(duì)系統(tǒng)的使用按正式的授權(quán)過(guò)程實(shí)施。 通過(guò)對(duì)用戶(hù)、系統(tǒng)資源進(jìn)行標(biāo)記，建立健全一系列的安全管理制度 ，實(shí)現(xiàn)制度化管理。 通過(guò)管