6.4.4 风险管理要求

在满足第三级的管理要求的基础上，本级要求如下：

a） 风险管理要求和策略，应建立风险管理质量管理体系，进行独立审计；要求机构能够做到针对风险的变化重新启动风险评估；（见5.3.1.1d），5.3.1.2c））
b） 风险分析和评估要求，对关键区域或部位进行威胁分析和评估，在业务应用许可并得到批准的条件下，应使用检测工具在特定时间捕捉攻击信息进行分析；其他同第三级要求；（见5.3.2.1b），5.3.2.2d），5.3.2.3c），5.3.2.4c））
c） 风险处理和减缓要求，同第三级要求；（见5.3.3.1c））
d） 基于风险的决策要求，同第三级要求；（见5.3.4.1c），5.3.4.2b））
e） 风险评估的管理要求，应按照国家主管部门有关管理规定选择可信评估机构，必要时应由国家指定专门部门、专门机构组织进行信息系统风险评估；结合实际情况制定具体保密要求及实施办法；由本机构人员进行技术测试操作并对测试结果过滤敏感或涉及国家秘密信息后再交评估方分析。（见5.3.5.1c），5.3.5.2c），5.3.5.3c），5.3.5.4d））


6.4.5 环境和资源管理要求

在满足第三级的管理要求的基础上，本级要求如下：

a） 环境安全管理要求，实施不同等级安全区域的隔离管理；机房使用视频监控和专职警卫；规定关键部位办公环境的要求；建立出入审计、登记管理制度，保证出入得到明确授权，并出
入人员持有授权书，授权书中要明确出入的目的、操作的对象、操作的步骤和操作的结果证明；对出入标记安全区的活动进行不间断实时监视记录；建立出入安全检查制度，保证出入人员没有携带危及信息系统安全的设施或物品；信息系统的物理环境安全方面的设施应达到GB/T 20271-2006中6.4.1的有关要求；（见5.4.1.1d），5.4.1.2d），5.4.1.3c））
b） 资源管理要求，对重要数据的介质必须加密存储；介质的保存和分发传递按照机要件管理方法处理；其他同第三级要求。（见5.4.2.1c），5.4.2.2c），5.4.2.3d），5.4.2.4c））


6.4.6 操作和维护管理要求

在满足第三级的管理要求的基础上，本级要求如下：

a） 用户管理要求，应对关键部位用户逐一审批和授权，定期检查符合性，并开启审计功能；（见5.5.1.1d），5.5.1.2c），5.5.1.3c），5.5.1.4c），5.5.1.5c））
b） 运行操作管理要求，关键部位的终端计算机必须启用两个及两个以上身份鉴别技术的组合来进行身份鉴别，终端计算机应采用低辐射设备，每个终端计算机的管理必须由专人负责；对便携机操作要求包括应采用低辐射设备，机内的涉及国家秘密数据应采用一定强度的加密储存或采用隐藏技术；变更控制管理要求实施的独立的安全审计，并进行一致性检查；涉密信息在其安全区域之外传输应经过批准并明确责任，还应采取必要的安全措施；（见5.5.2.1c），5.5.2.2c），5.5.2.3d），5.5.2.4c），5.5.2.5c），5.5.2.6d），5.5.2.7d））
c） 运行维护管理要求，应对系统运行管理过程实施独立的审计，保证安全管理过程的有效性；运行状况监控应对关键区域和关键业务应用系统运行的监视；软件硬件维护要求一般不允许外部维修人员进入关键区域；应对外部服务方每次访问都应进行风险控制，必要时应不允许外部服务方的访问；（见5.5.3.1d），5.5.3.2d），5.5.3.3d），5.5.3.4d））
d） 外包服务管理同第三级要求；（见5.5.4.2c））
e） 有关安全机制保障要求包括，身份鉴别机制管理要求进行身份鉴别和认证管理的强制保护；访问控制策略管理要求进行访问控制的监控管理，检查和保护审计数据和工具；系统安全管理要求基于强身份鉴别；网络安全管理要求基于独立安全审计；应用系统安全管理要求基于独立审计和工作隔离；病毒防护管理要求进行监督检查；（见5.5.5.1d），5.5.5.2d），5.5.5.3d），5.5.5.4d），5.5.5.5d），5.5.5.6d），5.5.5.7b））
f） 安全机制集中管理要求，根据网络结构要求，能够按照分布式多层次的管理结构，进行分层级联方式的集中安全管理；应对关键区域网络安全信息的处理和访问具有相应安全级别的控制和保护措施；对关键区域或涉密网络，可限制网络用户非法入网，对网络主机进行地址绑定、定位检测等控制措施。（见5.5.6.1b），5.5.6.2b），5.5.6.3a），5.5.6.4a））


6.4.7 业务连续性管理要求

在满足第三级的管理要求的基础上，本级要求如下：

a） 备份与恢复要求，数据备份和恢复策略要求定制如远地系统备份等适当方式和恢复方式以及操作程序，必要时对备份后的数据采取加密处理，操作时要求两人在场并备案；建立远地系统备份中心，确保主系统在遭到破坏时远地系统能替代主系统运行；（见5.6.1.1d），5.6.1.2c））
b） 安全事件处理同第三级要求；（见5.6.2.1c），5.6.2.2c））
c） 应急处理要求，应急处理和灾难恢复要求实施的独立审计；应急计划的实施保障要求进行业务连续性要求分析。（见5.6.3.1d），5.6.3.2a），5.6.3.3d））


6.4.8 监督和检查管理要求

在满足第三级的管理要求的基础上，本级要求如下：

a） 符合法律要求同第三级要求；（见5.7.1.1c），5.7.1.2c），5.7.1.3a））
b） 依从性检查要求，安全策略依从性检查应是持续改进过程；对关键区域或涉密系统的技术依从性检查，应注意对有关检测过程和检测结果的安全进行保护；（见5.7.2.1b），5.7.2.2c），5.7.2.3c））
c） 审计及监管要求，应对系统审计工具进行保护，明确审计工具的保存方式、责任人员等；应对系统审计活动进行规划，减小中断业务流程的风险，对所有的流程、需求和责任都应文档化；依照国家政策法规和技术及管理标准进行自主保护，信息安全监管职能部门对其进行强制监督、检查；（见5.7.3.1c），5.7.3.2d））
d） 责任认定要求，应对审计发现问题的处理结果进行复查，并明确复查的期限和责任；对审计及监管者应对审计发现问题的处理结果进行跟踪检查，对未进行跟踪检查而造成损失的应承担责任。（见5.7.4.1c），5.7.4.2c））


6.4.9 生存周期管理要求

在满足第三级的管理要求的基础上，本级要求如下：

a） 规划和立项管理，同第三级要求；（见5.8.1.1c），5.8.1.2c），5.8.1.3c））
b） 建设过程管理，对于安全保护等级较高的信息系统工程项目，一般不应采取工程项目外包方式；对于安全保护等级较高的信息系统建设项目及涉密项目，应对开发全过程采取相应的保密措施，对参与开发的有关人员进行保密教育和管理；（见5.8.2.1c），5.8.2.2d），5.8.2.3d），5.8.2.4a），5.8.2.5c））
c） 系统启用和终止管理，要求新的信息系统或子系统、信息系统设备正式投入使用的一定时间内，应进行审计跟踪，定期对审计结果做出风险评价，对安全进行却认决定是否能够继续运行，并形成文档备案。（见5.8.3.1d），5.8.3.2c））


6.5 第五级：访问验证保护级

6.5.1 管理目标和范围

本级为访问验证保护级，实施持续改进管理，进行专控保护。适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。在实现第四级管理目标的基础上，本级管理要求达到具有自我持续改进的安全管理措施，建立完善的信息系统安全管理制度；要求有持续完善的安全计划、安全规程、安全措施，不断化解信息系统的安全风险；要求能够保护核心的局域计算环境，具有可信的网络基础设施与边界，具有严格的用户权限与访问控制措施；具有防止各种手段的信息泄漏和窃取措施，确保被授权的用户随时可以访问信息，确保责任（抗抵赖性，对自己的行为负责），严密的监控措施（强审记、异常检测），具有较好的响应与恢复措施；对信息系统的安全实施全面质量管理。通过管理活动保证信息系统达到GB17859-1999本级的要求。（见5.1.1.1e））

6.5.2 政策和制度要求

在满足第四级的管理要求的基础上，本级要求如下：

a） 总体安全管理策略，应包括专控保护的信息安全管理策略，必要时应征求国家指定的专门部门或机构的意见，或者共同制定，必要时安全管理策略文档应在国家指定的专门部门或机构进行备案；（见5.1.1.2e），5.1.1.3e），5.1.1.4e））
b） 安全管理规章制度，应包括制定专控保护的信息安全管理制度，应征求组织机构的保密管理部门的意见或者共同制定；（见5.1.2.1e），5.1.2.2e））
c） 策略与制度文档管理，必要时可请组织机构的保密管理部门参加文档的评审和修订，对文档的保管应与相关业务部门协商制定专项控制的管理措施。（见5.1.3.1e），5.1.3.2e））


6.5.3 机构和人员管理要求


在满足第四级的管理要求的基础上，本级要求如下：

a） 安全管理机构要求，应建立信息安全保密管理部门，加强对信息安全管理重要过程和管理人员的监督管理；信息安全领导小组应指导和检查该部门的各项工作；（见5.2.1.1e），5.2.1.2b），5.2.1.3b））
b） 信息系统安全集中管理机构对核心系统安全运行的管理，应与有关业务应用的主管部门协调，定制更高安全级别的管理方式；（见5.2.2.1a），5.2.2.2c））
c） 人员管理要求，应具有针对内部人员全面控制的保证措施，实施针对所有岗位工作人员全面安全质量管理；使所有人员都能理解并有能力执行规定的安全管理要求，保证所有人员达到相应岗位的安全资质；（见5.2.3.1d），5.2.3.2e），5.2.3.3d），5.2.3.4d），5.2.3.5d），5.2.3.6c））
d） 教育和培训要求，针对所有工作人员进行相应资质管理，并使安全意识成为所有工作人员的自觉存在。（见5.2.4.1e），5.2.4.2b））


6.5.4 风险管理要求

在满足第四级的管理要求的基础上，本级要求如下：

a） 风险管理要求和策略，应针对风险管理活动，实施全面的质量管理；（见5.3.1.1e），5.3.1.2c））
b） 风险分析和评估要求，同第三级要求；（见5.3.2.1b），5.3.2.2d），5.3.2.3c），5.3.2.4c））
c） 风险处理和减缓要求，同第四级要求；（见5.3.3.1c））
d） 基于风险的决策要求，同第四级要求；（见5.3.4.1c），5.3.4.2b））
e） 风险评估的管理要求，同第四级要求。（见5.3.5.1c），5.3.5.2c），5.3.5.3c），5.3.5.4d））


6.5.5 环境和资源管理要求

在满足第四级的管理要求的基础上，本级要求如下：

a） 环境安全管理要求对物理安全的保障有持续的改善；对物理安全保障应定期进行监督、检查和不断改进；采取防止电磁泄漏保护的措施；信息系统的物理环境安全方面的设施应达到GB/T 20271-2006中6.5.1的有关要求；（见5.4.1.1e），5.4.1.2e），5.4.1.3c））
b） 资源管理要求，对极为重要数据的介质可以使用数据隐藏技术进行存储；其他同第四级要求。（见5.4.2.1c），5.4.2.2c），5.4.2.3e），5.4.2.4c））


6.5.6 操作和维护管理要求

在满足第四级的管理要求的基础上，本级要求如下：

a） 用户管理同第四级要求；（见5.5.1.1d），5.5.1.2c），5.5.1.3c），5.5.1.4c），5.5.1.5c））
b） 运行操作管理要求，应针对所有变更进行安全评估；对变更计划和效果持续改善采取相应保证措施；（见5.5.2.1c），5.5.2.2c），5.5.2.3d），5.5.2.4c），5.5.2.5c），5.5.2.6e），5.5.2.7d））
c） 运行维护管理要求对系统运行进行全面的质量管理；对核心数据的监视应与主管部门共同制定具体的管理办法；（见5.5.3.1d），5.5.3.2e），5.5.3.3d），5.5.3.4d））
d） 外包服务管理同第四级要求；（见5.5.4.2c））
e） 有关安全机制保障要求包括，身份鉴别机制管理要求进行身份鉴别和认证管理的专项控制；访问控制策略管理要求对访问控制进行专项审批和检查；系统安全管理要求实施人机操作监视；网络安全管理要求基于网络物理隔离；应用系统安全管理要求适应环境要求，进行周期更短的安全审计和检查；（见5.5.5.1e），5.5.5.2e），5.5.5.3e），5.5.5.4e），5.5.5.5e），5.5.5.6d），5.5.5.7b））
f） 安全机制集中管理应根据核心区域网络安全信息的需要，与有关主管部门共同制定专项的安全控制和保护措施；其他同第四级要求。（见5.5.6.1b），5.5.6.2c），5.5.6.3a），5.5.6.4a））


6.5.7 业务连续性管理要求

在满足第四级的管理要求的基础上，本级要求如下：

a） 备份与恢复同第四级要求；（见5.6.1.1d），5.6.1.2c））
b） 安全事件处理同第四级要求；（见5.6.2.1c），5.6.2.2c））
c） 应急处理要求，应急处理和灾难恢复要求进行持续评估和改进；对应急计划的正确性和完整性进行检查，不断评估和完善。（见5.6.3.1e），5.6.3.2a），5.6.3.3e））


6.5.8 监督和检查管理要求

在满足第四级的管理要求的基础上，本级要求如下：

a） 符合法律要求同第四级要求；（见5.7.1.1c），5.7.1.2c），5.7.1.3a））
b） 依从性检查同第四级要求；（见5.7.2.1b），5.7.2.2c），5.7.2.3c））
c） 审计及监管要求，依照国家政策法规和技术及管理标准进行自主保护，国家指定专门部门、专门机构进行专门监督；（见5.7.3.1c），5.7.3.2e））
d） 责任认定同第四级要求。（见5.7.4.1 c），5.7.4.2c））


6.5.9 生存周期管理要求

在满足第四级的管理要求的基础上，本级要求如下：

a） 规划和立项管理，同第四级要求；（见5.8.1.1c），5.8.1.2c），5.8.1.3c））
b） 建设过程管理，同第四级要求；（见5.8.2.1c），5.8.2.2d），5.8.2.3d），5.8.2.4a），5.8.2.5c））
c） 系统启用和终止管理，同第四级要求。（见5.8.3.1d），5.8.3.2c））

[1]   [2]   [3]   [4]   [5]   [6]   [7]   [8]   [9]   [10]   [11]