【導讀】本標準依據(jù)GB17859-1999的內容規(guī)定了計算機信息系統(tǒng)安全等級保護的管理要求。下列文件中的條款通過本標準的引用而成為本標準的條款。修訂版均不適用于本標準，然而，鼓勵根據(jù)本標準達成協(xié)議的各方研究是含可使用這些文件的最新版本。GB17859-1999確立的以及下列的術語和定義適用于本標準。這一性質使信息不泄露給非授權的個人、實體或進程，不為其所用。這一性質表明數(shù)據(jù)沒有遭受以非授權方式所作的篡改或破壞。根據(jù)授權實體的請求可被訪問與使用。一種潛在的對安全的侵害。用以建立身份有效性的信息。授予權限，包括允許基于訪問權的訪問。影響資產安全的事件，無論是有意或是突發(fā)，其后果可能毀壞資產，破壞信息系統(tǒng)，影響保密性、完整性、可用性和可控性等。能的間接后果包括危及國家安全，社會穩(wěn)定，造成經濟損失，破壞組織或機構的社會形象等。風險是某種威脅利用暴露系統(tǒng)脆弱性對組織或機構的資產造成損失的潛在可能性。風險由意外事件發(fā)生的概率及發(fā)生后可能產生的

　　

【正文】 4 11) 針對安全策略、操作規(guī)程、規(guī)章制度和安全措施的程序化、周期化的評估； 12) 針對關鍵控制措施的失效風險，測試計劃的建立； 13) 針對明顯的風險變化，風險評估的立即實施； 14) 針對安全事件記錄，例行評估制度的實施； 15) 針對識別出的系統(tǒng)脆弱性的有效控制； 16) 通過定期評估，確保人員的主導作用； 17) 分權管理機制的強制實施，可信管理的實施； 5 18)全面安全管理計劃對單位文化的有機嵌入，并適應安全環(huán)境的變化； 19) 實施全面質量管理。 人員與職責要求 安全管理各等級人員與職責要求參見表 。 表 人員與職責等級要求 等 級 人員與職責要求 1 1)安全管理人員條件、職責的確定和配置； 2 2)安全管理機構的建立，及其職責的確定和人員的配置； 3)針對關鍵的系統(tǒng)，風險管理計劃的建立； 3 4)在系統(tǒng)安全風險控制和管理過程中，對安全事務的明確分工； 5)針對系統(tǒng)工作人員和資源，等級標記管理的實施 ； 表 （續(xù)） 等 級 人員與職責要求 4 6)針對系統(tǒng)應用部門，安全管理延伸和滲透的實施； 7)獨立審計的實施； 5 8)所有人員對安全管理規(guī)定和要求的充分理解和有效執(zhí)行； 9)針對所有崗位，所有人員的資質達標，并實施全面質量管理。 物理安全管理要求 安全管理各等級物理安全管理要求參見表 。 表 等 級 物理安全管理要求 l 1) 物理安全管理人員的配置； 2) 物理安全規(guī)章制度的建立； 3) GB 178591999 相應等級技術要求的保證； 2 4) 物理安全區(qū)域管理的實施； 5) 設施配置計劃、安裝、運行、操作流程的制定； 6) 系統(tǒng)關鍵物理設施登記制度的建立； 3 7) 安全區(qū)域標記管理的實施； 4 8) 安全區(qū)域隔離管理的實施； 9) 出入人員授權書的建立； 10) 對安全區(qū)域活動的實時監(jiān)視； 5 11) 物理安全保障的持續(xù)改善。 系統(tǒng)安全管理要求 安全管理各等級系統(tǒng)安全管理要求參見表 。 表 系統(tǒng)安全管理等級要求 等 級 系統(tǒng)安全管理要求 1 1) 安全責任人的配置； 2) 有關安全管理規(guī)章制度的建立； 2 3) 操作系統(tǒng)配置、使用的審計； 4) 強制性唯一標示、口令的使用； 5) 資源使用的控制和授權； 6) 用戶在關鍵操作系統(tǒng)上使用情況的登記和監(jiān)視； 7) 系統(tǒng)工具使用授權管理制度的建立，相應技術控制和管理控制的實施； 8) 操作系統(tǒng)的安全評估、對安全弱點和漏洞的控制； 9) 操作系統(tǒng)變更控制制度的建立； 10) 操作系統(tǒng)資源和系統(tǒng)文檔的備份； 11) 系統(tǒng)工具標記管理制度的建立； 12) 對系統(tǒng)工具使用情 況的審計； 3 13) 應用軟件安全管理制度的建立； 14) 針對操作系統(tǒng)資源和系統(tǒng)文檔的標記處理、安全備份； 15) 應急安全計劃的制定、實施； 表 （續(xù)） 等 級 系統(tǒng)安全管理要求 4 16) 針對系統(tǒng)內置角色，操作系統(tǒng)安全管理人員的分別配置： 17) 操作系統(tǒng)管理過程的可審計性保證； 5 18) 安全責任書在多方在場情況下的簽署； 19) 對操作人員的操作過程人機操作監(jiān)視的實施。 網絡安全管理要求 安全管理各等級網絡安全管理要求參見表 。 表 等 級 網絡安全管理要求 l 1) 網絡安全責任人的配置； 2) 有關安全制度的建立； 3) 達到 GB 178591999 相應等級技術要求的保證； 2 4) 針對網絡使用情況的審計制度和標記制度的建立； 5) 網絡使用和網絡服務政策的制定； 6) 網絡安全教育培訓計劃的制定； 7) 網絡訪問制度的制定； 8) 與外部網絡接口的安全邊界的確定和定期的評估； 9) 對外部訪問接入點的控制和審計； 10) 對從內部網絡向外發(fā)起的連接資源的控制； 11) 連接資源授權制度的建立； 12) 針對網絡之間的連接，可審計的安全措施的實施，物理或邏輯網絡隔離的實現(xiàn)； 13) 針對網絡安全措施使用情況的審計； 14) 網絡設施，網絡服務變更控制制度的建立： 15) 網絡安全事件、事故報告制度的建立，及相應可審計性的保證； 16) 針對網絡連接、網絡安全措施、網絡設備的定期評估； 17) 關鍵網絡設施的備份； 18) 針對可用性要求高的網絡，不間斷監(jiān)控的實施、相應應急計劃的可行性驗證； 3 9)針對安全措施的使用情況，嚴格審計制度、標記制度的建立； 20) 網絡安全審計人員的配置； 4 21) 獨立安全審計的建立； 22) 網絡安全管理人員資質的保證： 5 23) 至少兩名以上網絡安全管理人員的配置； 24) 物理網絡隔離的實現(xiàn)。 安全管理各等級應用系統(tǒng)安全管理要求參見表 。 表 應用系統(tǒng)安全管理要求 等級 應用系統(tǒng)安全管理要求 1 1） 系統(tǒng)安全責任人的配置； 2） 有關規(guī)章制度的制定； 表 （續(xù)） 等級 應用系統(tǒng)安全管理要求 2 3) 總體安全策略的制定、執(zhí)行； 4) 系統(tǒng)安 全操作規(guī)程的制定； 5) 信息的分類管理和信息的安全發(fā)布； 6) 信息訪問控制機制的安裝、授權和審計； 7) 針對內部用戶的安全協(xié)議的簽署； 8) 審計人員的配置； 9) 系統(tǒng)安全性的定期和不定期評估； 10) 針對關鍵崗位工作人員資質調查的實施； 11) 備份計劃和應急計劃的制定、實施； 3 12) 安全管理機構對系統(tǒng)安全措施的正確性和有效性的保證； 13) 強制性標記信息訪問控制機制的安裝； 14) 針對標記信息訪問的授權和審計； 15) 針對備份信息介質的標記制度的制定； 16) 針對不同的信息等級，不同備份策略的制定； 4 17) 獨立的應用安全審計； 18) 應用系統(tǒng)開發(fā)人員與審計工作的隔離，操作系統(tǒng)管理人員與應用系統(tǒng)安全管理工作的隔離。 19) 針對不同等級的應用系統(tǒng)，不同的備份計劃和應急計劃的制定，及相應的定期測試； 5 20) 周期更短的安全審計和檢查； 21) 適應安全環(huán)境變化的保證。 運行安全管理主要涉及的內容包括：風險管理、信息系統(tǒng)的生命周期管理、安全意識教育與培訓、病毒防護、外部服務方訪問安全管理、應急計劃和災難 恢復計劃管理、變更控制等，為便于理解，將本標準第 5章中五個等級的運行安全管理要求在以上幾個方面進行了分解。 安全管理各等級運行安全管理基本要求參見表 。 表 等級 運行安全管理要求 1 l) 系統(tǒng)負責人對運行管理的組織、指導和保證； 2) 采購計劃和采購制度的建立； 3) 風險分析計劃的建立； 4) 系統(tǒng)各類人員對系統(tǒng)資源安全責任的認知； 5) 系統(tǒng)安全管理人員和系統(tǒng)普通用戶對系統(tǒng)資源以及控制系統(tǒng)中命名客體訪問權限的認知； 6)有關安全管理制度的建立。 風險管理要求 安全管理各等級運行安全中的風險管理要求參見表 。 表 等級 風險管理要求 2 1) 針對關鍵系統(tǒng)資源的定期風險分析和評估； 2) 風險分析報告向管理層的提交； 3 3) 在風險管理中，使用規(guī)范方法的保證； 表 （續(xù)） 等級 風險管理要求 4 4) 風險管理質量管理體系文件的建立； 5) 針對風險管理過程，獨立審計的實施； 6) 安全管理過程有效性的保證； 5 7) 風險管理計劃成為單位業(yè)務管理有機組成部分； 8) 針對風險管理活動，全面質量管理的實施。 安全管理各等級運行安全管理中的生命周期管理要求參見表 。 表 等級 生命周期管理要求 2 1)在計劃階段 a) 針對系統(tǒng)敏感程度的評估； b) 保護標準的確定； c)安全需求的確定； d) 安全系統(tǒng)的設計和采購； 2) 在實施階段 c) 安全措施的實施、部署、驗證和驗收； 3) 在運行維護階段 f) 對安全措施的評估； g)對風險變更的監(jiān)視和評估； 4) 在結束階段 h) 對系統(tǒng)信息的安全處置； 3 5) 針對生命周期各個階段的安全管理工作，相應目標和職責的確定； 6) 正式管理報告的提交； 4 7) 針對系統(tǒng)生命周期管理，質量控制體系文件的建立； 8) 針對系統(tǒng)生命周期管理，獨立審計的實施； 5 9) 生命周期各階段的安全管理工作，成為單位業(yè)務管理的有機組成部分； 10) 針對生命周期管理，全面安全質量管理的實施。 安全管理各等級運行安全管理中的 安全意識教育和培訓要求參見表 A. 10。 表 等級 安全意識教育和培訓要求 2 1) 系統(tǒng)各類人員安全意識，安全教育和培訓計劃的制定、實施； 2) 系統(tǒng)所有工作人員對安全政策和操作規(guī)程的認知； 3 3) 針對不同崗位，不同等級培訓計劃的制定； 4 4) 所有工作人員資質的檢查和評估； 5) 安全教育成為單位工作計劃的一部分 l 5 6) 針對所有工作人員資質管理的實施； 7) 安全意識成為所有工作人員的自覺存在。 病毒防 護管理要求 安全管理各等級運行安全管理中的病毒防護管理要求參見表 A. 11。 表 病毒防護管理等級要求 等級 病毒防護管理要求 2 1) 病毒防護系統(tǒng)使用管理制度的制定； 2) 應用軟件安全管理制度的建立； 3) 應用軟件采購批準制度； 4) 應用軟件使用授權制度的建立； 3 5) 病毒防護管理制度的集中實施： 6) 在系統(tǒng)所有終端有效防范病毒或惡意代碼引入的實現(xiàn)； 4 7) 針對病毒防護管理制度，定期或不定期檢查的實現(xiàn)。 安 全管理各等級運行安全管理中的對外部服務方訪問的安全管理要求參見表 A. 12。 等 級 對外部服務方訪問的安全管理要求 2 1) 針對外部服務方訪問的安全管理制度的建立。 2) 針對外部服務方訪問的安全性評估； 3) 針對外部服務方的保密合同的簽署； 3 4) 針對外部服務方訪問的風險分析和評估； 5) 針對外部服務方訪問的嚴格控制制度的實施： 6) 針對外部服務方訪問監(jiān)視的實施。 4 7) 針對外部服務方每次訪問的風險控制。 劃安全管理要求 安全管理各等級運行安全管理中的應急計劃和災難恢復計劃安全管理要求參見表 A. 13。 表 A. 13應急計劃和災難恢復計劃安全管理等級要求 等 級 應急計劃和災難恢復計劃安全管理要求 2 1)應急計劃和災難恢復計劃的制定、測試； 2)針對關鍵應用系統(tǒng)和支持系統(tǒng)的應急計劃和災難恢復計劃的制定、測試； 3)計劃涉及人員的培訓，相應執(zhí)行能力的保證； 4)與計劃涉外資源的合同簽署； 5)安全事件處理制度的制定； 6)系統(tǒng)信息和文檔備份制度的制定； 3 7) 專人負責應急計劃和實 施恢復計劃管理工作的保證； 8) 應急計劃和災難恢復計劃做到重點突出、有效執(zhí)行的保證： 4 9) 針對應急計劃和災難恢復計劃獨立審計的實施： 10) 針對應急計劃和災難恢復計劃的定期評估； 5 11) 應急計劃和災難恢復計劃全面管理細則的制定； 12) 針對應急計劃和災難恢復計劃的持續(xù)評估。 變更控制管理要求 安全管理各等級運行安全管理中的變更控制管理要求參見表 A. 14。 表 變更控制管理等級要求 等 級 變更控制管理要求 2 1) 針對操作 系統(tǒng)、數(shù)據(jù)庫、應用系統(tǒng)、人員、服務、內外風險等的變更控制制度的制定； 2) 運行管理安全制度的制定； 3) 針對所有計劃和制度執(zhí)行情況的定期或不定期的監(jiān)督、檢查； 4) 針對安全策略和管理計劃的修訂； 5) 基于變更帶來的各種規(guī)章制度的修訂和完善； 6) 運行過程管理文檔的建立； 3 7) 全面安全事務一致性的實現(xiàn)； 4 8) 獨立的安全審計的實施； 9) 對全面安全事務一致性的檢查和評估； 5 10)針對所有變更的安全評估； 11) 變更計劃和效果持續(xù)改善的 保證。 安全管理各等級人員安全管理要求參見表 A. 15。 表 A. 15人員安全管理等級要求 等 級 人員安全管理要求 2 1) 根據(jù)分權制衡原則和最小特權原則，對工作崗位、崗位職責和敏感程度的確定； 2) 人員選擇、錄用標準、資質標準的確定； 3) 人員背景調查程序的確定； 4) 保密協(xié)議的簽署； 5) 用戶管理制度的建立、實施； 6) 針對用戶授權和安全協(xié)議的簽署； 7)