6.1.4 风险管理要求

本级要求如下：

a） 风险管理要求和策略，能够进行基本的风险管理，包括编制资产清单，重要性分析，威胁的初步分析，用工具扫描进行脆弱性分析，能够简单分析安全风险和选择安全措施；（见5.3.1.1a））
b） 风险分析和评估要求，应对信息系统的资产进行统计和分类，根据重要程度对资产进行标识；根据以往的安全事件和经验对威胁进行基本分析；通过扫描器等工具来获得对系统脆弱性的认识；分析和编制脆弱性列表；可以由用户和专家通过经验对风险进行评价，形成评估报告；
（见5.3.2.1a），5.3.2.2a），5.3.2.3a），5.3.2.4a））
c） 风险控制要求，用基线选择的方法决定安全控制措施；（见5.3.3.1a））
d） 基于风险的决策要求，应形成残余风险分析报告，并由组织机构高层管理决定风险的接受；基于这一判断决定是否允许信息系统运行；（见5.3.4.1a），5.3.4.2a））
e） 风险评估的管理要求，根据资质和信誉选择评估机构；要求评估机构人员签署保密协议；提交评估资料应规定交接手续；进行技术测试必须经过授权。（见5.3.5.1a），5.3.5.2a），5.3.5.3a），5.3.5.4a））


6.1.5 环境和资源管理要求

本级要求如下：

a） 环境安全管理要求，组织机构应通过正式授权程序委派责任部门或专人负责物理安全工作，需要建立有关规章制度，包括对机房安全管理规定基本要求；信息系统的物理环境安全方面的设施应达到GB/T 20271-2006中6.1.1的有关要求；（见5.4.1.1a），5.4.1.2a））
b） 资源管理要求，组织机构应编制并维护与信息系统相关的资产清单；对资产进行重要性标识；规定存放重要数据和软件的介质管理的基本要求；对设备管理要求，各种软硬件设备的选型、采购、发放或领用，使用者应提出申请，报经相应领导审批，才可以实施；设备的选型、采
购、使用和保管应有责任人。（见5.4.2.1a），5.4.2.2a），5.4.2.3a），5.4.2.4a））


6.1.6 操作和维护管理要求

本级要求如下：

a） 用户管理包括对用户分类管理，编制用户分类清单，依据清单建立用户和分配权限；要求系统用户坚持最小授权原则；规定普通用户的基本要求；对组织机构外部用户要有合法使用的声明；要求临时用户的设置与删除必须经过审批和记录备案；（见5.5.1.1a），5.5.1.2a），5.5.1.3a），5.5.1.4a），5.5.1.5a））
b） 运行操作管理包括，要求对服务器操作应注意启动/停止、配置保护、口令方式的身份鉴别等基本管理；对终端计算机应设置开机、屏幕保护等口令，软件安装等要求；制定便携机操作的基本要求；对网络及安全设备操作的管理员身份鉴别的要求；对业务应用操作进行访问权限控制；要求在正式运行系统中任何变更控制必须经过申报和审批；信息发布必须符合国家有关政策法规的要求；（见5.5.2.1a），5.5.2.2a），5.5.2.3a），5.5.2.4a），5.5.2.5a），5.5.2.6a），5.5.2.7a））
c） 运行维护管理包括，通过正式授权程序委派专人负责系统运行及其安全；安全管理人员应协同应用部门对信息系统运行进行安全管理；对运行状况监控应进行日志保护和查阅管理；软件硬件维护要求明确维护人员及其责任，并规定维修时限；对外部服务方访问必须经过审批；（见5.5.3.1a），5.5.3.2a），5.5.3.3a），5.5.3.4a））
d） 对外包服务的管理应包括外包服务的风险识别、相应安全制度的制定与实施，并以此为依据签署正式的书面合同；应选择有资质且信誉好的外包服务商；对外包服务的业务应用系统运行应进行监控和检查；（见5.5.4.1a），5.5.4.2a），5.5.4.3a））
e） 有关安全机制的保障包括，应对系统管理员和普通用户明确使用和保护身份鉴别机制的责任；
对访问控制策略管理要求应明确访问控制策略的定义和授权管理；对操作系统指定安全管理的责任人，进行正确的用户管理配置；制定有关网络系统安全管理和配置的规定；对应用系统指定安全责任人，进行正确的配置；应指定人员检查网络和主机的病毒检测并保存记录。（见5.5.5.1a），5.5.5.2a），5.5.5.3a），5.5.5.4a），5.5.5.5a），5.5.5.6a））


6.1.7 业务连续性管理要求

本级要求如下：

a） 业务连续性管理包括，数据备份和恢复策略要求规定不同业务应用的系统层面和应用层面需要备份的内容和周期；确定采用离线备份或在线备份方案；（见5.6.1.1a））
b） 安全事件处理要求，根据组织机构自身的实际情况对安全事件划分成不同的安全等级，为事件的报告和处理提供依据；应规定正式的报告程序和事故响应程序；要求所有员工知道报告安全事件程序和责任；事件处理后应有适当的反馈程序；（见5.6.2.1a），5.6.2.2a））
c） 应急处理要求，应规定应急处理和灾难恢复要求，对信息系统的应急处理有明确的程序，制定具体的应急处理措施；按照应急计划框架要求制定应急处理计划；为应急计划的实施保障要求明确应急计划的组织和实施人员及其责任；安全管理人员应协助分管领导落实应急处理措施。（见5.6.3.1a），5.6.3.2a），5.6.3.3a））


6.1.8 监督和检查管理要求

本级要求如下：

a） 应知晓适用的法律并防止违法行为；建立关于尊重知识产权的策略，并形成书面文档；保护证据记录，要求保护机构的重要记录，明确需要保护的内容范围；（见5.7.1.1a），5.7.1.2a），5.7.1.3a））
b） 监督控制要求，依照国家政策法规和技术及管理标准进行自主保护。（见5.7.3.2a））


6.1.9 生存周期管理要求

本级要求如下：

a） 规划和立项管理，信息系统的管理者应建立信息系统建设和发展计划；应用部门或业务部门可以提出业务应用的需求，必须经过主管领导的审批或者经过管理层的讨论批准，才能正式立项；（见5.8.1.1a），5.8.1.2a），5.8.1.3a））
b） 建设过程管理，要求信息系统建设项目明确指定项目负责人；信息系统工程项目外包，应选择具有服务资质的信誉较好的厂商；对自行开发的应明确要求开发环境与实际运行环境物理分开；对安全产品使用要求应按照相应的安全保护等级的要求选择相应等级的产品；对建设项目测试验收要求进行功能和性能测试，指定建设项目测试验收负责人；（见5.8.2.1a），5.8.2.2a），5.8.2.3a），5.8.2.4a），5.8.2.5a））
c） 系统启用和终止管理，要求新的信息系统或子系统、信息系统设备启用应经过相应领导审批才能正式投入使用；现有信息系统或子系统、信息系统设备需要终止运行，应说明原因及采取的保护措施，经过相应领导审批才能正式终止运行。（见5.8.3.1a），5.8.3.2a））


6.2 第二级：系统审计保护级

6.2.1 管理目标和范围

本级为系统审计保护级，实施操作规程管理，进行指导保护。适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害。在满足第一级的管理要求的基础上，本级管理要求达到具有基于操作规程的安全管理措施，还应建立信息管理制度、信息安全产品采购与使用等必须的管理制度；具有基本的网络基础设施与边界保护；具有更细粒度的自主访问控制措施，能够解决非授权的访问；要求基本保护信息不被非法窃取，具有保护数据信息和系统的完整性不受破坏的措施；被授权的用户随时可以访问信息并对自己的行为负责；具有初步的监控措施和初步的响应与恢复措施，并实施信息系统生存周期的全程管理。通过管理活动保证信息系统达到GB17859-1999的本级要求。（见5.1.1.1b））

6.2.2 政策和制度要求

在满足第一级的管理要求的基础上，本级要求如下：

a） 总体安全管理策略，应包括较完整的安全管理策略，由信息安全职能部门负责制定，安全管理策略文档应由组织机构负责人签发，按照有关文件管理程序发布；（见5.1.1.2b），5.1.1.3b），5.1.1.4b））
b） 安全管理规章制度，应包括制定较完整的安全管理制度和操作规程，由信息安全职能部门负责制定，分管信息安全工作的负责人签发，按有关文件管理程序发布；（见5.1.2.1b），5.1.2.2b））
c） 策略与制度文档管理，对策略与制度文档应应由分管信息安全的负责人和信息安全职能部门负责文档的评审和修订，需要借阅应有相应级别负责人审批和登记。（见5.1.3.1b），5.1.3.2b））


6.2.3 机构和人员管理要求

在满足第一级的管理要求的基础上，本级要求如下：

a） 组织机构应建立管理信息安全工作的职能部门；负责起草信息系统的安全策略和发展规划，管理安全日常事务，负责安全措施的实施或组织实施，组织并参加对安全重要事件的处理；监控信息系统安全总体状况，指导和检查各部门和下级单位信息系统安全工作；（见5.2.1.1b），5.2.1.3a））
b） 人员管理要求，应提出安全管理人员和其他关键岗位人员的兼职限制要求；对关键岗位人员采取定期轮岗；人员录用时应进行必要的审查与考核；关键岗位人员调离岗位应承诺保密义务；应定期对关键岗位人员进行审查；（见5.2.3.1b），5.2.3.2b），5.2.3.3b），5.2.3.4b），5.2.3.5b），5.2.3.6a））
c） 教育和培训要求，有计划培养员工安全意识，以及对安全策略和操作规程的培训。（见5.2.4.1b），5.2.4.2a））


6.2.4 风险管理要求

在满足第一级的管理要求的基础上，本级要求如下：

a） 风险管理要求和策略，针对关键系统资源的定期风险分析和评估；制定基本的风险管理策略，给予必要的组织和资源保证；（见5.3.1.1b），5.3.1.2a））
b） 风险分析和评估要求，增加针对每个或者每类资产的威胁列表；应对信息系统进行脆弱性人工分析和渗透测试，对各种指标进行综合分析，得到脆弱性的等级；进行全面的风险评价，判断风险的优先级，建议处理风险的措施，最终形成风险评估报告和有关中间结果；（见5.3.2.1a），5.3.2.2b），5.3.2.3b），5.3.2.4b））
c） 风险处理和减缓要求，根据风险评估的结果决定信息安全的控制措施；（见5.3.3.1b））
d） 基于风险的决策要求，应形成残余风险分析报告，并密切注意残余风险的变化，及时处理；由机构高层管理决定风险的接受，应采取相应的风险规避措施，控制信息系统的运行；（见5.3.4.1b），5.3.4.2b））
e） 风险评估的管理要求，应在经过本行业主管认可或上级行政领导部门批准的范围内选择具有国家主管部门认可的安全服务资质的评估机构；应监督检查评估机构的保密协议执行情况；
提交评估资料必要时可以隐藏或替换敏感参数；进行技术测试应在监督下按技术方案进行。（见5.3.5.1b），5.3.5.2b），5.3.5.3b），5.3.5.4b））


6.2.5 环境和资源管理要求

在满足第一级的管理要求的基础上，本级要求如下：

a） 环境安全管理要求，应对物理环境划分不同等级安全区域进行管理；规定对来访人员的控制措施；规定办公环境安全管理的基本要求；指定专人负责物理安全区和物理设施的日常安全管理，制定设施购置计划、验收、运行、维护、处置管理制度，监督、检查物理设施安全管理制度的落实。所有物理设施要分类编目，指定物理设施安全责任人；信息系统的物理环境安全方面的设施应达到GB/T 20271-2006中6.2.1的有关要求；（见5.4.1.1b），5.4.1.2b），5.4.1.3a））
b） 资源管理要求，应编制详细的资产清单，包括资产拥有权、责任人、安全分类以及资产所在的位置等；根据信息资产分类方式对信息资产进行分类管理；对数据和软件介质进行标识和分类存储在由专人管理的介质库或档案室中，要求重要介质异地存储；通过对资产清单的管理，记录资产的状况和使用、转移、废弃及其授权过程，保证设备的完好率。（见5.4.2.1b），5.4.2.2b），5.4.2.3b），5.4.2.4b））


6.2.6 操作和维护管理要求

在满足第一级的管理要求的基础上，本级要求如下：

a） 用户管理要求，应编制特权用户清单，说明权限，并进行审计；对系统用户应责任到人；对普通用户应规定处理敏感信息的要求；对外部特定外部用户应采用专用通信通道，端口，协议，专用设备等措施；对主要部位的临时用户应进行审计；（见5.5.1.1b），5.5.1.2b），5.5.1.3b），
5.5.1.4b），5.5.1.5b））
b） 运行操作管理要求，对服务器应注意日志文件管理和监控系统性能；便携机应规定远程操作等限制要求；对网络及安全设备应进行策略配置符合性的检查；重要的业务应用操作应根据上级的指令要求执行并进行审计；对变更控制管理应制度化，建立管理文档；组织机构之间进行信息交换应建立包括安全条件的协议；（见5.5.2.1b），5.5.2.2a），5.5.2.3b），5.5.2.4b），5.5.2.5b），5.5.2.6b），5.5.2.7b））
c） 运行维护管理要求，应实行系统运行的制度化管理；对运行状况监控要求监视服务器系统性能；设备外出维修应审批，磁盘数据必须删除；外部维修人员进入机房应经过审批并专人陪同；对外部服务方访问进行制度化管理；（见5.5.3.1b），5.5.3.2b），5.5.3.3b），5.5.3.4b））
d） 外包服务管理要求，应在行业认可或上级批准的范围内选择外包服务商；对外包服务的业务应用系统运行应定期评估，出现重大安全问题应及时处理，直至停止外包服务；（见5.5.4.1a），5.5.4.2b），5.5.4.3b））
e） 有关安全机制的保障要求包括，应对身份鉴别机制有强度要求，并指定安全管理人员定期进行检查；应根据实际情况选择合适的访问控制管理模式，并保证最高管理层对访问控制管理的掌握；系统安全管理要求包括操作系统配置、使用的审计等；网络安全管理要求进行针对网络使用的审计监控和评估；应用系统安全要求基于安全操作规程的管理和信息的分类管理；
要求进行制度化的病毒防护管理；密码管理要求必须符合国家法律规定，对密码算法和密钥实施分等级管理。（见5.5.5.1b），5.5.5.2b），5.5.5.3b），5.5.5.4b），5.5.5.5b），5.5.5.6b），5.5.5.7a））


6.2.7 业务连续性管理要求

在满足第一级的管理要求的基础上，本级要求如下：

a） 备份与恢复要求，数据备份和恢复策略要求对备份介质和恢复功能定期检查；设备和系统冗余策略要求专人定期检查备用设备，并限定系统恢复的时间；（见5.6.1.1b），5.6.1.2a））
b） 安全事件处理要求，具有完善的安全事件处置制度，安全事件报告和处理要求对安全弱点和可疑事件，以及还不能确定为事故或者入侵的可疑事件应报告；（见5.6.2.1b），5.6.2.2b））
c） 应急处理要求，应急处理和灾难恢复要求进行制度化管理并由应急处理小组负责落实；进行系统化管理用于开发和维护整个组织的应急计划体系；为保证应急计划的执行应对系统相关的人员进行培训。（见5.6.3.1b），5.6.3.2a），5.6.3.3b））


6.2.8 监督和检查管理要求

在满足第一级的管理要求的基础上，本级要求如下：

a） 符合法律要求，机构应有措施防止对信息处理设备的滥用；对重要应用系统软件，应防止发生因软件升级或改造引起侵犯软件版权的行为；（见5.7.1.1b），5.7.1.2b），5.7.1.3a））
b） 依从性检查要求，应定期对安全管理进行检查和评估，安全策略依从性要求检查信息系统的管理者对安全策略的遵守情况；技术依从性要求定期检查系统安全保障措施与安全实施标准的符合性；（见5.7.2.1a），5.7.2.2a），5.7.2.3a））
c） 审计及监管要求，应有独立的审计机构对组织机构的安全管理职责体系、信息系统的安全风险控制等进行审计；在信息安全监管职能部门指导下依照国家政策法规和技术及管理标准进行自主保护；（见5.7.3.1a），5.7.3.2b））
d） 责任认定要求，应对监督和审查发现的问题限期解决，并认定技术责任和管理责任以及责任当事人，有关部门提出问题解决办法和责任处理意见；对监管者逾期未进行解决，促使本应避免问题造成信息系统损失的应承担相应责任。（见5.7.4.1a），5.7.4.2a））


6.2.9 生存周期管理要求

在满足第一级的管理要求的基础上，本级要求如下：

a） 规划和立项管理，信息系统的管理者应建立安全策略规划；安全管理职能部门应、提出加强系统安全的具体需求，进行可行性论证，经过管理层的批准后正式立项；（见5.8.1.1b），5.8.1.2b），5.8.1.3b））
b） 建设过程管理，要求信息系统建设项目应制定详细的项目实施计划，作为项目管理的依据；对重要的信息系统工程项目外包，应选择经实践证明是安全可靠的厂商；系统开发文档应当受到保护和控制；对项目测试验收要求，应明确项目的安全系统需要进行安全测试验收；（见
5.8.2.1b），5.8.2.2b），5.8.2.3b），5.8.2.4a），5.8.2.5b））
c） 系统启用和终止管理，要求新的信息系统或子系统、信息系统设备启用应进行一定的试运行，并得到相应领导和技术负责人认可，才能正式投入使用；现有信息系统或子系统、信息系统设备需要终止运行，应进行必要数据和软件备份，对终止运行的设备进行数据清除，并得到
相应领导和技术负责人认可才能正式终止运行。（见5.8.3.1b），5.8.3.2b））

[1]   [2]   [3]   [4]   [5]   [6]   [7]   [8]   [9]   [10]   [11]