6.3 第三级：安全标记保护级

6.3.1 管理目标和范围

本级为安全标记保护级，实施制度化管理，进行监督保护。适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害。在实现第二级管理目标的基础上，本级管理要求达到具有完好定义的安全管理措施，还应建立等级保护产品采购与使用等完善的管理制度；要求信息系统的用户明确安全责任；要求能够保护核心计算环境、网络基础设施与边界；具有较严格的用户权限与访问控制措施和防止信息窃取的措施，较好的保护重要信息及其处理方法的准确性和完整性；具有较好的监控措施（审记、异常检测）和基本的响应与恢复措施；明确规定系统日志的检查、系统穿透性测试和对内与对外的安全审计。通过管理活动保证信息系统达到GB17859-1999的本级要求。（见5.1.1.1c））

6.3.2 政策和制度要求

在满足第二级的管理要求的基础上，本级要求如下：

a） 总体安全管理策略，应包括建立体系化的信息安全管理策略，由信息安全领导小组组织制定，组织机构负责人签发，文档应注明发布范围，并有收发文登记；（见5.1.1.2c），5.1.1.3c），5.1.1.4c））
b） 安全管理规章制度，应包括体系化的安全管理制度，由信息安全职能部门负责制订，由信息安全领导小组负责人审批发布，应注明发布范围并有收发文登记；（见5.1.2.1c），5.1.2.2c））
c） 策略与制度文档管理，应由信息安全领导小组和信息安全职能部门负责文档的评审和修订；限定借阅范围，并经过相应级别负责人审批和登记。（见5.1.3.1c），5.1.3.2c））


6.3.3 机构和人员管理要求

在满足第二级的管理要求的基础上，本级要求如下：

a） 应成立信息安全领导小组，领导全组织机构的信息安全管理工作；（见5.2.1.1c），5.2.1.2a），5.2.1.3b））
b） 设立信息系统安全机制集中管理机构，接受管理信息安全工作的职能部门领导，配备必要的领导和技术管理人员；负责信息系统安全的集中控制管理，行使防范与保护、监控与检查、响应与处置职能，统一管理信息系统的安全，应统一进行信息系统安全机制的配置与管理；应汇集各种安全机制所获取的与系统安全运行有关的信息；根据应急处理预案作出快速处理；应对安全事件和处理结果进行管理；建立安全管理控制平台，完善管理信息系统安全运行的技术手段；负责接受和配合政府有关部门的信息安全监管工作；（见5.2.2.1a），5.2.2.2a））
c） 人员管理，要求安全管理人员不可兼任；坚持关键岗位人员“权限分散、不得交叉覆盖”的原则；重要部位的人员录用可从内部符合条件人员选拔；涉密人员调离应进行离岗审计和经过脱密；对关键岗位人员的工作进行安全管理有效性检查；在重要区域第三方人员访问应有书面申请、批准和过程记录，有专人全程陪同，并进行审计；（见5.2.3.1c），5.2.3.2c），5.2.3.3c），5.2.3.4c），5.2.3.5c），5.2.3.6b））
d） 教育和培训要求，针对不同岗位进行安全策略和技术要求等不同培训；对不同岗位制定和实施安全培训计划，并对安全培训计划进行维护和评估；对信息安全专家提供信息应告知其敏感性和保密性，并采取必要的安全措施，保证提供的信息在安全可控的范围内。（见5.2.4.1c），5.2.4.2b））


6.3.4 风险管理要求

在满足第二级的管理要求的基础上，本级要求如下：

a） 风险管理要求和策略，应采用规范方法进行评估；应建立风险管理的监督机制和管理程序；（见5.3.1.1c），5.3.1.2b））
b） 风险分析和评估要求，通过对信息系统每类资产的识别，对信息系统的体系特征进行描述；根据威胁源在保密性、完整性或可用性等方面造成损害，对威胁威进行详细分析；应对信息系统的脆弱性进行制度化的测试和分析；在进行全面的风险评价基础上，建立和维护风险信息库；（见5.3.2.1b），5.3.2.2c），5.3.2.3c），5.3.2.4c））
c） 风险处理和减缓要求，根据风险评估的结果决定信息安全的控制措施，通过综合分析形成体系化的防护控制系统；（见5.3.3.1c））
d） 基于风险的决策要求，对信息系统安全风险实施二次评估，验证防护措施的有效性；由机构高层管理决定风险的接受，应采取相应的风险规避措施，控制信息系统的运行；（见5.3.4.1c），5.3.4.2b））
e） 风险评估的管理要求，涉及评估的资料只能存放指定计算机内，不得带出指定区域；进行技术测试可由本机构人员按技术方案进行操作，评估机构技术人员进行场外指导。（见5.3.5.1b），5.3.5.2b），5.3.5.3c），5.3.5.4c））


6.3.5 环境和资源管理要求

在满足第二级的管理要求的基础上，本级要求如下：

a） 环境安全管理要求，对物理环境中不同安全保护等级的安全区域进行标记管理；对出入标记安全区的员工验证标记，对出入安全区的活动进行监视和记录；所有物理设施要设置安全标记；设立门禁设施的监控和记录，应有防止绕过门禁设施的控制措施；应规定工作人员离开座位的要求；信息系统的物理环境安全方面的设施应达到GB/T 20271-2006中6.3.1的有关要求；（见5.4.1.1c），5.4.1.2c），5.4.1.3b））
b） 资源管理要求，业务应用系统应在资产清单中体现，包括每个业务应用系统的功能作用、业务流程和数据流程，以及其中资产拥有权、责任人、安全分类以及资产所在的位置等；以业务应用为主线描述信息资产体系框架；对重要介质的数据和软件应进行完整性检查，必要时可以加密存储；对各种资产进行全面管理，提高资产安全性和使用效率；建立资产管理登记机制。（见5.4.2.1c），5.4.2.2c），5.4.2.3c），5.4.2.4c））


6.3.6 操作和维护管理要求

在满足第二级的管理要求的基础上，本级要求如下：

a） 用户管理要求，应对重要业务用户的列出清单，说明权限，开启审计；在关键部位，对系统用户任何操作必须两人在场，并产生审计记录；规定普通的重要业务应用的要求；在关键部位，一般不允许设置外部用户和临时用户；（见5.5.1.1c），5.5.1.2c），5.5.1.3c），.5.1.4c），
5.5.1.5c））
b） 运行操作管理要求包括，服务器管理主要包括对系统配置和服务设定应根据安全管理机构的统一安全策略结合应用需求进行并定期检查；重要部位终端计算机和便携机要求启用两个以上技术组合来进行身份鉴别，对拆机箱和接入系统做出管理规定；网络及安全设备应通过安全机制集中管理统一控制；关键的业务应用操作应有2人同时在场或同时操作，并进行审计；
对正式运行的信息系统的任何变更必须考虑全面安全事务一致性问题；对不同安全区域之间信息传输应有明确的要求；（见5.5.2.1c），5.5.2.2b），5.5.2.3c），5.5.2.4c），5.5.2.5c），5.5.2.6c），
5.5.2.7c））
c） 运行维护管理要求，应使用规范的方法对信息系统的各个方面进行风险控制；对运行状况监控要求安全机制集中管理控制；重要区域的软件硬件维护要求对数据和软件系统进行必要的保护，并对维修备案；针对外部服务方访问进行风险分析和评估；（见5.5.3.1c），5.5.3.2c），5.5.3.3c），5.5.3.4c））
d） 外包服务管理要求，关键的或涉密的业务应用一般不应采用外包服务方式；（见5.5.4.2c））
e） 有关安全机制保障要求包括，身份鉴别机制管理应明确身份鉴别及认证系统的管理维护的内容和范围；访问控制策略管理应根据需求确定访问控制的跟踪审计；系统安全管理应基于系统加固措施和审计监控；网络安全管理应基于审计和标记，以及网络安全审计人员的配置；
应用系统安全管理应基于标记信息访问控制，以及不同备份策略的制定；要求病毒防护采取集中实施和管理；应对信息系统中以密码为基础的安全机制应按国家密码主管部门的规定管理；（见5.5.5.1c），5.5.5.2c），5.5.5.3c），5.5.5.4c），5.5.5.5c），5.5.5.6c），5.5.5.7b））
f） 安全机制集中管理，能够对网络系统、安全设备、主机系统、重要应用实施集中控管；建立一体化和开放性平台，将多家不同类型的安全产品整合到一起，进行统一的管理配置和监控；能够对网络系统、网络安全设备以及主要应用实施统一的安全策略、集中管理、集中审计；要求对安全机制整合，实现网络异常流量监控、安全事件监控管理、脆弱性管理、安全策略管理、安全预警管理；主要工作方式包括自动处理、人工干预处理、远程处理、辅助决策分析处理、记录和事后处理等。（见5.5.6.1a），5.5.6.2a），5.5.6.3a），5.5.6.4a））

6.3.7 业务连续性管理要求

在满足第二级的管理要求的基础上，本级要求如下：

a） 备份与恢复要求，数据备份和恢复策略要求采用热备份方式；应指定专人定期维护和检查系统冗余运行状况，并限定系统切换的时间；应维护检查热备份使用设备和系统冗余运行状况，确保需要接入和切换时系统能够正常运行；（见5.6.1.1c），5.6.1.2b））
b） 安全事件处理要求，明确安全事件管理责任，制定安全事件管理程序；安全事件报告和处理要求安全管理职能部门负责接报安全事件报告，并及时进行处理；（见5.6.2.1c），5.6.2.2c））
c） 应急处理要求，应急处理和灾难恢复要求信息安全领导小组应有人负责或指定专人负责应急计划和实施恢复计划管理工作；信息系统安全机制集中管理机构应协助应急处理小组负责具体落实；应急计划的实施保障要求有足够资源的保证。（见5.6.3.1c），5.6.3.2a），5.6.3.3c））


6.3.8 监督和检查管理要求

在满足第二级的管理要求的基础上，本级要求如下：

a） 符合法律要求，加密控制规则应符合国家有关法规的要求；对关键业务应用，必要时应要求必须使用具有自主知识产权的软件，以保护关键业务应用的安全；（见5.7.1.1c），5.7.1.2c），5.7.1.3a））
b） 依从性检查要求，应形成制度化的检查和改进；安全策略依从性检查要求对机构内的所有领域内的各个岗位应进行定期检查；技术依从性检查应由有经验的系统工程师手工或使用软件工具进行；（见5.7.2.1b），5.7.2.2b），5.7.2.3b））
c） 审计及监管要求，应对系统的审计的活动进行规划，系统审计过程控制应要求审计的范围应经过同意和得到控制；依照国家政策法规和技术及管理标准进行自主保护，信息安全监管职能部门对其进行监督、检查；（见5.7.3.1b），5.7.3.2c））
d） 责任认定要求，应对审计发现的问题认定领导责任，领导层应提出问题解决办法和责任处理意见；对审计及监管者应对已审计过，但未能及时发现本应审计出问题而造成信息系统损失的承担责任。（见5.7.4.1b），5.7.4.2b））


6.3.9 生存周期管理要求

在满足第二级的管理要求的基础上，本级要求如下：

a） 规划和立项管理，信息系统的管理者应在安全策略规划的指导下，制定安全建设和安全改造的规划，并应得到组织机构管理层的批准；信息系统的管理者应根据信息系统安全建设规划的要求，提出当前应进行安全建设和安全改造的具体需求；对于重要的项目，必须安全性评
价，在确认项目安全性符合要求后经过管理层的讨论批准，才能正式立项；（见5.8.1.1c），5.8.1.2c），5.8.1.3c））
b） 建设过程管理，要求将信息系统建设项目过程有效程序化；建立工程实施监理管理制度；应明确指定项目实施监理负责人；对工程项目外包要求对应废止和暂停的项目，要确保相关的系统设计、文档、代码等的安全；对应销毁过程要进行安全控制；还应制定控制程序进行保护；对自行开发时应当严格控制对程序资源库的访问；对建设项目测试验收要求，除测试外还要全面检查；（见5.8.2.1c），5.8.2.2c），5.8.2.3c），5.8.2.4a），5.8.2.5c））
c） 系统启用和终止管理，要求新的信息系统或子系统、信息系统设备启用应进行试运行，并经过专项安全评估得到认可，才能正式投入使用；现有信息系统或子系统、信息系统设备需要终止运行，应采取必要的安全措施，进行数据和软件备份，对终止运行的设备进行不可恢复的数据清除，如果存储设备损坏则必须采取销毁措施，并得到相应领导和技术负责人认可才能正式终止运行。（见5.8.3.1c），5.8.3.2c））


6.4 第四级：结构化保护级

6.4.1 管理目标和范围

本级为结构化保护级，实施规范化管理，进行强制保护。适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成严重损害。在实现第三级管理目标的基础上，本级管理要求达到具有量化控制的安全管理措施，建立完善的信息系统安全管理制度；对关键的控制措施要根据其风险制定严格测试计划；对内外明显的风险变化应立即组织风险评估；要求能够保护核心的局域计算环境，具有可信的网络基础设施与边界，具有严格的用户权限与访问控制措施；具有防止各种手段的信息泄漏和窃取措施，保证信息及其处理方法的准确性和完整性；保证被授权的用户随时可以访问信息，保证责任（抗抵赖性，对自己的行为负责），具有完善的监控措施（强审记、异常检测）和基本的响应与恢复措施。通过定期的安全评估提示工作人员关注其相关安全责任；强制实施分权管理机制；提供可信设施管理；增强配置管理控制。保证系统具有强壮的抗渗透能力。通过管理活动保证信息系统达到GB17859-1999的本级要求。（见5.1.1.1d））

6.4.2 政策和制度要求

在满足第三级的管理要求的基础上，本级要求如下：

a） 总体安全管理策略，应包括强制保护的信息安全管理策略，由信息安全领导小组组织并提出指导思想，由信息安全职能部门指派专人负责制定强制保护的信息系统安全管理策略，必要时可征求信息安全监管职能部门的意见；安全管理策略文档应注明密级，并在监管部门备案；
（见5.1.1.2d），5.1.1.3d），5.1.1.4d））
b） 安全管理规章制度，应包括制定强制保护的信息安全管理制度，应由信息安全职能部门指派专人负责制订信息系统安全管理制度，应注明密级并控制发布范围；（见5.1.2.1d），5.1.2.2d））
c） 策略与制度文档管理，应由信息安全领导小组和信息安全职能部门的专门人员负责文档的评审和修订，必要时可征求信息安全监管职能部门的意见；对涉密文档的保管应按照有关涉密文档管理规定进行。（见5.1.3.1d），5.1.3.2d））


6.4.3 机构和人员管理要求

在满足第三级的管理要求的基础上，本级要求如下：

a） 安全管理机构要求，组织机构主要负责人应出任信息安全领导小组负责人；（见5.2.1.1d），5.2.1.2a），5.2.1.3b））
b） 信息系统安全机制集中管理机构要求对关键区域的安全运行进行管理，控制知晓范围，对获取的有关信息进行相应安全等级的保护；（见5.2.2.1a），5.2.2.2b））
c） 人员管理要求，关键区域或部位的安全管理人员应选用精干内行忠实可靠的人员；关键岗位人员处理重要事务或操作时应保持二人同时在场，关键事务应多人共管；应对所有安全岗位人员实施全面的背景审查和管理控制；一般不允许第三方人员进入机房或进行逻辑访问；（见
5.2.3.1d），5.2.3.2d），5.2.3.3d），5.2.3.4d），5.2.3.5d），5.2.3.6c））
d） 教育和培训要求，对所有员工的资质进行检查和评估，使相应的安全教育成为组织机构工作计划的一部分。（见5.2.4.1d），5.2.4.2b））

[1]   [2]   [3]   [4]   [5]   [6]   [7]   [8]   [9]   [10]   [11]