当前位置:首页 / 本站专题/安全法规/

信息系统安全管理要求

发布时间: 2017-09-21 17:35:28 点击:

引 言

       信息安全等级保护从与信息系统安全相关的物理层面、网络层面、系统层面、应用层面和管理层面对信息和信息系统实施分等级安全保护。管理层面贯穿于其他层面之中,是其他层面实施分等级安全保护的保证。本标准对信息和信息系统的安全保护提出了分等级安全管理的要求,阐述了安全管理要素及其强度,并将管理要求落实到信息安全等级保护所规定的五个等级上,有利于对安全管理的实施、评估和检查。GB17859-1999中安全保护等级的划分是根据对安全技术和安全风险控制的关系确定的,公通字[2004]66号文件中安全等级的划分是根据信息和信息系统受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成损害的程度确定的。两者的共同点是:安全等级越高,发生的安全技术费用和管理成本越高,从而预期能够抵御的安全威胁越大,建立起安全信心越强,使用信息系统的风险越小。 本标准以安全管理要素作为描述安全管理要求的基本组件。安全管理要素是指,为实现信息系统安全等级保护所规定的安全要求,从管理角度应采取的主要控制方法和措施。根据GB17859-1999对安全
保护等级的划分,不同的安全保护等级会有不同的安全管理要求,可以体现在管理要素的增加和管理强度的增强两方面。对于每个管理要素,根据特定情况分别列出不同的管理强度,最多分为5级,最少可不分级。在具体描述中,除特别声明之外,一般高级别管理强度的描述都是在对低级别描述基础之上进行的。 
信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。本标准涉及信息系统的管理者包括国家机关、事业单位、厂矿企业、公司、集团等各种类型和不同规模的组织机构,以下统称为“组织机构”。 
信息系统在技术上采取何种安全机制应根据相关技术标准确定,本标准仅提出保证这些安全机制实施的管理要求。与技术密切的管理是技术实现的组成部分,如果信息系统根据具体业务及其安全需求未采用该技术,则不需要相应的安全管理要求。对与管理描述难以分开的技术要求会出现在管理要求中,具体执行需要参照相关技术标准。对于涉及国家秘密的信息和信息系统的保密管理,应按照国家有关保密的管理规定和相关标准执行。 
本标准中有关信息系统安全管理要素及其强度与信息系统安全管理分等级要求的对应关系的说明参见附录A。为了帮助读者从安全管理概念角度理解和运用这些信息系统的安全管理要求,附录B给出了信息系统安全管理概念说明。

 

信息安全技术 信息系统安全管理要求

1 范围

本标准依据GB17859-1999的五个安全保护等级的划分,规定了信息系统安全所需要的各个安全等级的管理要求。 
本标准适用于按等级化要求进行的信息系统安全的管理。

2 规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。 
GB 17859-1999 计算机信息系统安全保护等级划分准则 
GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求

3 术语和定义

GB 17859-1999确立的以及下列术语和定义适用于本标准。

3.1

完整性 integrity 
包括数据完整性和系统完整性。数据完整性表征数据所具有的特性,即无论数据形式作何变化,数据的准确性和一致性均保持不变的程度;系统完整性表征系统在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源的情况下,系统能履行其操作目的的品质。

3.2

可用性 availability 
表征数据或系统根据授权实体的请求可被访问与使用程度的安全属性。

3.3

访问控制 access control 
按确定的规则,对实体之间的访问活动进行控制的安全机制,能防止对资源的未授权使用。

3.4

安全审计 security audit 
按确定规则的要求,对与安全相关的事件进行审计,以日志方式记录必要信息,并作出相应处理的安全机制。

3.5

鉴别信息 authentication information 
用以确认身份真实性的信息。

3.6

敏感性 sensitivity 
表征资源价值或重要性的特性,也可能包含这一资源的脆弱性。

3.7

风险评估 risk assessment 
通过对信息系统的资产价值/重要性、信息系统所受到的威胁以及信息系统的脆弱性进行综合分析,对信息系统及其处理、传输和存储的信息的保密性、完整性和可用性等进行科学识别和评价,确定信息系统安全风险的过程。

3.8

安全策略 security policy 
主要指为信息系统安全管理制定的行动方针、路线、工作方式、指导原则或程序。

4 信息系统安全管理的一般要求

4.1 信息系统安全管理的内容


信息系统安全管理是对一个组织机构中信息系统的生存周期全过程实施符合安全等级责任要求的管理,包括: 
——落实安全管理机构及安全管理人员,明确角色与职责,制定安全规划; 
——开发安全策略; 
——实施风险管理; 
——制定业务持续性计划和灾难恢复计划; 
——选择与实施安全措施; 
——保证配置、变更的正确与安全; 
——进行安全审计; 
——保证维护支持; 
——进行监控、检查,处理安全事件; 
——安全意识与安全教育; 
——人员安全管理等。

4.2 信息系统安全管理的原则

a) 基于安全需求原则:组织机构应根据其信息系统担负的使命,积累的信息资产的重要性,可能受到的威胁及面临的风险分析安全需求,按照信息系统等级保护要求确定相应的信息系统安全保护等级,遵从相应等级的规范要求,从全局上恰当地平衡安全投入与效果; 
b) 主要领导负责原则:主要领导应确立其组织统一的信息安全保障的宗旨和政策,负责提高员工的安全意识,组织有效安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各部门工作的关系,并确保其落实、有效; 
c) 全员参与原则:信息系统所有相关人员应普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统安全; 
d) 系统方法原则:按照系统工程的要求,识别和理解信息安全保障相互关联的层面和过程,采用管理和技术结合的方法,提高实现安全保障的目标的有效性和效率; 
e) 持续改进原则:安全管理是一种动态反馈过程,贯穿整个安全管理的生存周期,随着安全需求和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以及对系统安全认识的深化等,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系的有效性; 
f) 依法管理原则:信息安全管理工作主要体现为管理行为,应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理,应由授权者适时发布准确一致的有关信息,避免带来不良的社会影响; 
g) 分权和授权原则:对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中所带来的隐患,以减小未授权的修改或滥用系统资源的机会。任何实体(如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必须的权限,不应享有任何多余权限; 
h) 选用成熟技术原则:成熟的技术具有较好的可靠性和稳定性,采用新技术时要重视其成熟的程度,并应首先局部试点然后逐步推广,以减少或避免可能出现的失误; 
i) 分级保护原则:按等级划分标准确定信息系统的安全保护等级,实行分级保护;对多个子系统构成的大型信息系统,确定系统的基本安全保护等级,并根据实际安全需求,分别确定各子系统的安全保护等级,实行多级安全保护; 
j) 管理与技术并重原则:坚持积极防御和综合防范,全面提高信息系统安全防护能力,立足国情,采用管理与技术相结合,管理科学性和技术前瞻性结合的方法,保障信息系统的安全性达到所要求的目标; 
k) 自保护和国家监管结合原则:对信息系统安全实行自保护和国家保护相结合。组织机构要对自己的信息系统安全保护负责,政府相关部门有责任对信息系统的安全进行指导、监督和检查,形成自管、自查、自评和国家监管相结合的管理模式,提高信息系统的安全保护能力和水平,保障国家信息安全。


5 信息系统安全管理要素及其强度

5.1 策略和制度

5.1.1 信息安全管理策略

5.1.1.1 安全管理目标与范围

信息系统的安全管理需要明确信息系统的安全管理目标和范围,不同安全等级应有选择地满足以下要求的一项:

a) 基本的管理目标与范围:针对一般的信息系统应包括:制定包括系统设施和操作等内容的系统安全目标与范围计划文件;为达到相应等级技术要求提供相应的管理保证;提供对信息系统进行基本安全保护的安全功能和安全管理措施,确保安全功能达到预期目标,使信息免遭非授权的泄露和破坏,基本保证信息系统安全运行; 
b) 较完整的管理目标与范围:针对在一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,在a)的基础上还应包括:建立相应的安全管理机构,制定相应的安全操作规程;制定信息系统的风险管理计划;提供对信息系统进行安全保护的比较完整的系统化安全保护的能力和比较完善的安全管理措施,从整体上保护信息免遭非授权的泄露和破坏,保证信息系统安全正常运行; 
c) 系统化的管理目标与范围:针对涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,在b)的基础上还应包括:提供信息系统安全的自动监视和审计;提供信息系统的认证、验收及使用的授权的规定;提供对信息系统进行强制安全保护的能力和设置必要的强制性安全管理措施,确保数据信息免遭非授权的泄露和破坏,保证信息系统安全运行; 
d) 强制保护的管理目标与范围:针对涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统,在c)的基础上还应包括:提供安全策略和措施的程序化、周期化的评估,以及对明显的风险变化和安全事件的评估;实施强制的分权管理机制和可信管理;提供对信息系统进行整体的强制安全保护的能力和比较完善的强制性安全管理措施,保证信息系统安全运行; 
e) 专控保护的管理目标与范围:针对涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心系统,在d)的基础上还应包括:使安全管理计划与组织机构的文化有机融合,并能适应安全环境的变化;实施全面、可信的安全管理;提供对信息系统进行基于可验证的强制安全保护能力和完善的强制性安全管理措施,全面保证信息系统安全运行。


5.1.1.2 总体安全管理策略

不同安全等级的信息系统总体安全策略应有选择地满足以下要求的一项:

a) 基本的安全管理策略:信息系统安全管理策略包括:依照国家政策法规和技术及管理标准进行自主保护;阐明管理者对信息系统安全的承诺,并陈述组织机构管理信息系统安全的方法;说明信息系统安全的总体目标、范围和安全框架;申明支持信息系统安全目标和原则的管理意向;简要说明对组织机构有重大意义的安全方针、原则、标准和符合性要求; 
b) 较完整的安全管理策略:在a)的基础上,信息安全管理策略还包括:在信息安系统全监管职能部门的指导下,依照国家政策法规和技术及管理标准自主进行保护;明确划分信息系统(分系统/域)的安全保护等级(按区域分等级保护);制定风险管理策略、业务连续性策略、安全培训与教育策略、审计策略等较完整的信息安全策略; 
c) 体系化的安全管理策略:在b)的基础上,信息安全管理策略还包括:在接受信息系统安全监管职能部门监督、检查的前提下,依照国家政策法规和技术及管理标准自主进行保护;制定目标策略、规划策略、机构策略、人员策略、管理策略、安全技术策略、控制策略、生存周期策略、投资策略、质量策略等,形成体系化的信息系统安全策略; 
d) 强制保护的安全管理策略:在c)的基础上,信息安全管理策略还包括:在接受信息系统安全监管职能部门的强制监督、检查的前提下,依照国家政策法规和技术及管理标准自主进行保护;制定体系完整的信息系统安全管理策略; 
e) 专控保护的安全管理策略:在d)的基础上,信息安全管理策略还包括:在接受国家指定的专门部门、专门机构的专门监督的前提下,依照国家政策法规和技术及管理标准自主进行保护;制定可持续改进的信息系统安全管理策略。


5.1.1.3 安全管理策略的制定

信息系统安全管理策略的制定,不同安全等级应有选择地满足以下要求的一项:

a) 基本的安全管理策略制定:应由安全管理人员为主制定,由分管信息安全工作的负责人召集,以安全管理人员为主,与相关人员一起制定基本的信息系统安全管理策略,包括总体策略和具体策略,并以文件形式表述; 
b) 较完整的安全管理策略制定:应由信息安全职能部门负责制定,由分管信息安全工作的负责人组织,信息安全职能部门负责制定较完整的信息系统安全管理策略,包括总体策略和具体策略,并以文件形式表述; 
c) 体系化的安全管理策略制定:应由信息安全领导小组组织制定,由信息安全领导小组组织并提出指导思想,信息安全职能部门负责具体制定体系化的信息系统安全管理策略,包括总体策略和具体策略,并以文件形式表述; 
d) 强制保护的安全管理策略制定:应由信息安全领导小组组织并提出指导思想,由信息安全职能部门指派专人负责制定强制保护的信息系统安全管理策略,包括总体策略和具体策略,并以文件形式表述;涉密系统安全策略的制定应限定在相应范围内进行;必要时,可征求信息安全监管职能部门的意见; 
e) 专控保护的安全管理策略制定:在d)的基础上,必要时应征求国家指定的专门部门或机构的意见,或者共同制定专控保护的信息系统安全管理策略,包括总体策略和具体策略。


5.1.1.4 安全管理策略的发布

信息系统安全管理策略应以文档形式发布,不同安全等级应有选择地满足以下要求的一项:

a) 基本的安全管理策略的发布:安全管理策略文档应由分管信息安全工作的负责人签发,并向信息系统的用户传达,其形式应针对目标读者,并能够为读者接受和理解; 
b) 较完整的安全管理策略的发布:在a)的基础上,安全管理策略文档应经过组织机构负责人签发,按照有关文件管理程序发布; 
c) 体系化的安全管理策略的发布:在b)的基础上,安全管理策略文档应注明发布范围,并有收发文登记; 
d) 强制保护的安全管理策略的发布:在c)的基础上,安全管理策略文档应注明密级,并在监管部门备案; 
e) 专控保护的安全管理策略的发布:在d)的基础上,必要时安全管理策略文档应在国家指定的专门部门或机构进行备案。


5.1.2 安全管理规章制度

5.1.2.1 安全管理规章制度内容

应根据机构的总体安全策略和业务应用需求,制定信息系统安全管理的规程和制度,不同安全等级的安全管理规章制度的内容应有选择地满足以下要求的一项:

a) 基本的安全管理制度:应包括网络安全管理规定,系统安全管理规定,数据安全管理规定,防病毒规定,机房安全管理规定,以及相关的操作规程等; 
b) 较完整的安全管理制度:在a)的基础上,应增加设备使用管理规定,人员安全管理规定,安全审计管理规定,用户管理规定,风险管理规定,信息分类分级管理规定,安全事件报告规定,事故处理规定,应急管理规定和灾难恢复管理规定等; 
c) 体系化的安全管理制度:在b)的基础上,应制定全面的安全管理规定,包括:机房、主机设备、网络设施、物理设施分类标记等系统资源安全管理规定;安全配置、系统分发和操作、系统文档、测试和脆弱性评估、系统信息安全备份和相关的操作规程等系统和数据库方面的安全管理规定;网络连接检查评估、网络使用授权、网络检测、网络设施(设备和协议)变更控制和相关的操作规程等方面的网络安全管理规定;应用安全评估、应用系统使用授权、应用系统配置管理、应用系统文档管理和相关的操作规程等方面的应用安全管理规定;人员安全管理、安全意识与安全技术教育、操作安全、操作系统和数据库安全、系统运行记录、病毒防护、系统维护、网络互联、安全审计、安全事件报告、事故处理、应急管理、灾难恢复和相关的操作规程等方面的运行安全管理规定;信息分类标记、涉密信息管理、文档管理、存储介质管理、信息披露与发布审批管理、第三方访问控制和相关的操作规程等方面的信息安全管理规定等; 
d) 强制保护的安全管理制度:在c)的基础上,应增加信息保密标识与管理规定,密码使用管理规定,安全事件例行评估和报告规定,关键控制措施定期测试规定等; 
e) 专控保护的安全管理制度:在d)的基础上,应增加安全管理审计监督规定等。


5.1.2.2 安全管理规章制度的制定

安全管理制度的制定及发布,应有明确规定的程序,不同安全等级应有选择地满足以下要求的一项:

a) 基本的安全管理制度制定:应由安全管理人员负责制订信息系统安全管理制度,并以文档形式表述,由分管信息安全工作的负责人审批发布; 
b) 较完整的安全管理制度制定:应由信息安全职能部门负责制订信息系统安全管理制度,并以文档形式表述,由分管信息安全工作的负责人审批,按照有关文档管理程序发布; 
c) 体系化的安全管理制度制定:应由信息安全职能部门负责制订信息系统安全管理制度,并以文档形式表述,经信息安全领导小组讨论通过,由信息安全领导小组负责人审批发布,应注明发布范围并有收发文登记; 
d) 强制保护的安全管理制度制定:应由信息安全职能部门指派专人负责制订信息系统安全管理制度,并以文档形式表述,经信息安全领导小组讨论通过,由信息安全领导小组负责人审批发布;信息系统安全管理制度文档的发布应注明密级,对涉密的信息系统安全管理制度的制定应在相应范围内进行; 
e) 专控保护的安全管理制度制定:在d)的基础上,必要时,应征求组织机构的保密管理部门的意见,或者共同制定。


5.1.3 策略与制度文档管理

5.1.3.1 策略与制度文档的评审和修订

策略与制度文档的评审和修订,不同安全等级应有选择地满足以下要求的一项:

a) 基本的评审和修订:应由分管信息安全的负责人和安全管理人员负责文档的评审和修订;应通过所记录的安全事故的性质、数量以及影响检查策略和制度的有效性,评价安全管理措施对成本及应用效率的影响,以及技术变化对安全管理的影响;经评审,对存在不足或需要改进的策略和制度应进行修订,并按规定程序发布; 
b) 较完整的评审和修订:应由分管信息安全的负责人和信息安全职能部门负责文档的评审和修订;应定期或阶段性审查策略和制度存在的缺陷,并在发生重大安全事故、出现新的漏洞以及机构或技术基础结构发生变更时,对策略和制度进行相应的评审和修订;对评审后需要修订的策略和制度文档,应明确指定人员限期完成并按规定发布; 
c) 体系化的评审和修订:应由信息安全领导小组和信息安全职能部门负责文档的评审和修订;应对安全策略和制度的有效性进行程序化、周期性评审,并保留必要的评审记录和依据;每个策略和制度文档应有相应责任人,根据明确规定的评审和修订程序对策略进行维护; 
d) 强制保护的评审和修订:应由信息安全领导小组和信息安全职能部门的专门人员负责文档的评审和修订,必要时可征求信息安全监管职能部门的意见;应对安全策略和制度的有效性进行程序化、周期性评审,并保留必要的评审记录和依据;每个策略和制度文档应有相应责任人,根据明确规定的评审和修订程序对策略进行维护;对涉密的信息安全策略、规章制度和相关的操作规程文档的评审和修订应在相应范围内进行; 
e) 专控保护的评审和修订:在d)的基础上,必要时可请组织机构的保密管理部门参加文档的评审和修订,应征求国家指定的专门部门或机构的意见;应对安全策略和制度的有效性及时进行专项的评审,并保留必要的评审记录和依据。


5.1.3.2 策略与制度文档的保管

对策略与制度文档,以及相关的操作规程文档的保管,不同安全等级应有选择地满足以下要求的一项: 
a) 指定专人保管:对策略和制度文档,以及相关的操作规程文档,应指定专人保管; 
b) 借阅审批和登记:在a)的基础上,借阅策略和制度文档,以及相关的操作规程文档,应有相应级别负责人审批和登记; 
c) 限定借阅范围:在b)的基础上,借阅策略和制度文档,以及相关的操作规程文档,应限定借阅范围,并经过相应级别负责人审批和登记; 
d) 全面严格保管:在c)的基础上,对涉密的策略和制度文档,以及相关的操作规程文档的保管应按照有关涉密文档管理规定进行;对保管的文档以及借阅的记录定期进行检查; 
e) 专控保护的管理:在d)的基础上,应与相关业务部门协商制定专项控制的管理措施。


5.2 机构和人员管理

5.2.1 安全管理机构

5.2.1.1 建立安全管理机构

在组织机构中应建立安全管理机构,不同安全等级的安全管理机构应有选择地满足以下要求的一项:

a) 配备安全管理人员:管理层中应有一人分管信息系统安全工作,并为信息系统的安全管理配备专职或兼职的安全管理人员; 
b) 建立安全职能部门:在a)的基础上,应建立管理信息系统安全工作的职能部门,或者明确指定一个职能部门兼管信息安全工作,作为该部门的关键职责之一; 
c) 成立安全领导小组:在b)的基础上,应在管理层成立信息系统安全管理委员会或信息系统安全领导小组(以下统称信息安全领导小组),对覆盖全国或跨地区的组织机构,应在总部和下级单位建立各级信息系统安全领导小组,在基层至少要有一位专职的安全管理人员负责信息系统安全工作; 
d) 主要负责人出任领导:在c)的基础上,应由组织机构的主要负责人出任信息系统安全领导小组负责人; 
e) 建立信息安全保密管理部门:在d)的基础上,应建立信息系统安全保密监督管理的职能部门,或对原有保密部门明确信息安全保密管理责任,加强对信息系统安全管理重要过程和管理人员的保密监督管理。


5.2.1.2 信息安全领导小组

信息系统安全领导小组负责领导本组织机构的信息系统安全工作,至少应行使以下管理职能之一:

a) 安全管理的领导职能:根据国家和行业有关信息安全的政策、法律和法规,批准机构信息系统的安全策略和发展规划;确定各有关部门在信息系统安全工作中的职责,领导安全工作的实施;监督安全措施的执行,并对重要安全事件的处理进行决策;指导和检查信息系统安全职能部门及应急处理小组的各项工作;建设和完善信息系统安全的集中控管的组织体系和管理机制; 
b) 保密监督的管理职能:在a)的基础上,对保密管理部门进行有关信息系统安全保密监督管理方面的指导和检查。


5.2.1.3 信息安全职能部门

信息安全职能部门在信息系统安全领导小组领导下,负责本组织机构信息系统安全的具体工作,至少应行使以下管理职能之一:

a) 基本的安全管理职能:根据国家和行业有关信息安全的政策法规,起草组织机构信息系统的安全策略和发展规划;管理机构信息系统安全日常事务,检查和指导下级单位信息系统安全工作;负责安全措施的实施或组织实施,组织并参加对安全重要事件的处理;监控信息系统安全总体状况,提出安全分析报告;指导和检查各部门和下级单位信息系统安全人员及要害岗位人员的信息系统安全工作;应与有关部门共同组成应急处理小组或协助有关部门建立应急处理小组实施相关应急处理工作; 
b) 集中的安全管理职能:在a)的基础上,管理信息系统安全机制集中管理机构的各项工作,实现信息系统安全的集中控制管理;完成信息系统安全领导小组交办的工作,并向领导小组报告机构的信息系统安全工作。


5.2.2 安全机制集中管理机构

5.2.2.1 设置集中管理机构

信息系统安全机制集中管理机构(以下简称集中管理机构)既是技术实体,也是管理实体,应按照以下方式设立:

a) 集中管理机构人员和职责:应配备必要的领导和技术管理人员,应选用熟悉安全技术、网络技术、系统应用等方面技术人员,明确责任协同工作,统一管理信息系统的安全运行,进行安全机制的配置与管理,对与安全有关的信息进行汇集与分析,对与安全有关的事件进行响应与处置;应对分布在信息系统中有关的安全机制进行集中管理;应接受信息安全职能部门的直接领导。


5.2.2.2 集中管理机构职能

a) 信息系统安全运行的统一管理:集中管理机构主要行使以下技术职能: 
——防范与保护:建立物理、支撑系统、网络、应用、管理等五个层面的安全控制机制,构成系统有机整体安全控制机制;统一进行信息系统安全机制的配置与管理,确保各个安全机制按照设计要求运行; 
——监控与检查:对服务器、路由器、防火墙等网络部件、系统安全运行性状态、信息(包括有害内容)的监控和检查;汇集各种安全机制所获取的与系统安全运行有关的信息,对所获取的信息进行综合分析,及时发现系统运行中的安全问题和隐患,提出解决的对策和方法; 
——响应与处置:事件发现、响应、处置、应急恢复,根据应急处理预案,作出快速处理;应对各种事件和处理结果有详细的记载并进行档案化管理,作为对后续事件分析的参考和可查性的依据; 
——安全机制集中管理控制(详见5.5.6),完善管理信息系统安全运行的技术手段,进行信息系统安全的集中控制管理; 
——负责接受和配合政府有关部门的信息安全监管工作; 
b) 关键区域安全运行管理:在a)的基础上,集中管理机构对关键区域的安全运行进行管理,控制知晓范围,对获取的有关信息进行相应安全等级的保护; 
c) 核心系统安全运行管理:在b)的基础上,集中管理机构应与有关业务应用的主管部门协调,定制更高安全级别的管理方式。


5.2.3 人员管理 
5.2.3.1 安全管理人员配备

对安全管理人员配备的管理,不同安全等级应有选择地满足以下要求的一项:

a) 可配备兼职安全管理人员:安全管理人员可以由网络管理人员兼任; 
b) 安全管理人员的兼职限制:安全管理人员不能兼任网络管理人员、系统管理员、数据库管理员等; 
c) 配备专职安全管理人员:安全管理人员不可兼任,属于专职人员,应具有安全管理工作权限和能力; 
d) 关键部位的安全管理人员:在c)的基础上,安全管理人员还应按照机要人员条件配备。


5.2.3.2 关键岗位人员管理

对信息系统关键岗位人员的管理,不同安全等级应满足以下要求的一项或多项:

a) 基本要求:应对安全管理员、系统管理员、数据库管理员、网络管理员、重要业务开发人员、系统维护人员、重要业务应用操作人员等信息系统关键岗位人员进行统一管理;允许一人多岗,但业务应用操作人员不能由其他关键岗位人员兼任;关键岗位人员应定期接受安全培训,加强安全意识和风险防范意识; 
b) 兼职和轮岗要求:业务开发人员和系统维护人员不能兼任或担负安全管理员、系统管理员、数据库管理员、网络管理员、重要业务应用操作人员等岗位或工作;必要时关键岗位人员应采取定期轮岗制度; 
c) 权限分散要求:在b)的基础上,应坚持关键岗位人员“权限分散、不得交叉覆盖”的原则,系统管理员、数据库管理员、网络管理员不能相互兼任岗位或工作; 
d) 多人共管要求:在c)的基础上,关键岗位人员处理重要事务或操作时,应保持二人同时在场,关键事务应多人共管; 
e) 全面控制要求:在d)的基础上,应采取对内部人员全面控制的安全保证措施,对所有岗位工作人员实施全面安全管理。


5.2.3.3 人员录用管理

对人员录用的管理,不同安全等级应有选择地满足以下要求的一项:

a) 人员录用的基本要求:对应聘者进行审查,确认其具有基本的专业技术水平,接受过安全意识教育和培训,能够掌握安全管理基本知识;对信息系统关键岗位的人员还应注重思想品质方面的考察; 
b) 人员的审查与考核:在a)的基础上,应由单位人事部门进行人员背景、资质审查,技能考核等,合格者还要签署保密协议方可上岗;安全管理人员应具有基本的系统安全风险分析和评估能力; 
c) 人员的内部选拔:在b)的基础上,重要区域或部位的安全管理人员一般可从内部符合条件人员选拔,应做到认真负责和保守秘密; 
d) 人员的可靠性:在c)的基础上,关键区域或部位的安全管理人员应选用实践证明精干、内行、忠实、可靠的人员,必要时可按机要人员条件配备。


5.2.3.4 人员离岗

对人员离岗的管理,不同安全等级应有选择地满足以下要求的一项:

a) 离岗的基本要求:立即中止被解雇的、退休的、辞职的或其他原因离开的人员的所有访问权限;收回所有相关证件、徽章、密钥、访问控制标记等;收回机构提供的设备等; 
b) 调离后的保密要求:在a)的基础上,管理层和信息系统关键岗位人员调离岗位,必须经单位人事部门严格办理调离手续,承诺其调离后的保密要求; 
c) 离岗的审计要求:在b)的基础上,涉及组织机构管理层和信息系统关键岗位的人员调离单位,必须进行离岗安全审查,在规定的脱密期限后,方可调离; 
d) 关键部位人员的离岗要求:在c)的基础上,关键部位的信息系统安全管理人员离岗,应按照机要人员管理办法办理。


5.2.3.5 人员考核与审查

对人员考核与审查的管理,不同安全等级应有选择地满足以下要求的一项:

a) 定期的人员考核:应定期对各个岗位的人员进行不同侧重的安全认知和安全技能的考核,作为人员是否适合当前岗位的参考; 
b) 定期的人员审查:在a)的基础上,对关键岗位人员,应定期进行审查,如发现其违反安全规定,应控制使用; 
c) 管理有效性的审查:在b)的基础上,对关键岗位人员的工作,应通过例行考核进行审查,保证安全管理的有效性;并保留审查结果; 
d) 全面严格的审查:在c)的基础上,对所有安全岗位人员的工作,应通过全面考核进行审查,如发现其违反安全规定,应采取必要的应对措施。


5.2.3.6 第三方人员管理

对第三方人员的管理,不同安全等级应有选择地满足以下要求的一项:

a) 基本管理要求:应对硬件和软件维护人员,咨询人员,临时性的短期职位人员,以及辅助人员和外部服务人员等第三方人员签署包括不同安全责任的合同书或保密协议;规定各类人员的活动范围,进入计算机房需要得到批准,并有专人负责;第三方人员必须进行逻辑访问时,应划定范围并经过负责人批准,必要时应有人监督或陪同; 
b) 重要区域管理要求:在重要区域,第三方人员必须进入或进行逻辑访问(包括近程访问和远程访问等)均应有书面申请、批准和过程记录,并有专人全程监督或陪同;进行逻辑访问应使用专门设置的临时用户,并进行审计; 
c) 关键区域管理要求:在关键区域,一般不允许第三方人员进入或进行逻辑访问;如确有必要,除有书面申请外,可采取由机构内部人员带为操作的方式,对结果进行必要的过滤后再提供第三方人员,并进行审计;必要时对上述过程进行风险评估和记录备案,并对相应风险采取必要的安全补救措施。


5.2.4 教育和培训

5.2.4.1 信息安全教育

信息安全教育包括信息安全意识的培养教育和安全技术培训,不同安全等级应有选择地满足以下要求的一项:

a) 应知应会要求:应让信息系统相关员工知晓信息的敏感性和信息安全的重要性,认识其自身的责任和安全违例会受到纪律惩罚,以及应掌握的信息安全基本知识和技能等; 
b) 有计划培训:在a)的基础上,应制定并实施安全教育和培训计划,培养信息系统各类人员安全意识,并提供对安全政策和操作规程的认知教育和训练等; 
c) 针对不同岗位培训:在b)的基础上,针对不同岗位,制定不同的专业培训计划,包括安全知识、安全技术、安全标准、安全要求、法律责任和业务控制措施等; 
d) 按人员资质要求培训:在c)的基础上,对所有工作人员的安全资质进行定期检查和评估,使相应的安全教育成为组织机构工作计划的一部分; 
e) 培养安全意识自觉性:在d)的基础上,对所有工作人员进行相应的安全资质管理,并使安全意识成为所有工作人员的自觉存在。


5.2.4.2 信息安全专家

可邀请或聘用信息安全专家,不同安全等级应有选择地满足以下要求的一项:

a) 听取信息安全专家建议:听取信息安全专家对于组织机构的信息系统安全方面的建议;组织专家参与安全威胁的评估,提供安全控制措施的建议,进行信息安全有效性评判,对安全事件给予专业指导和原因调查等; 
b) 对信息安全专家的管理:在a)的基础上,对于邀请或聘用信息安全专家可以提供必要的组织机构内部信息,同时应告知专家这些信息的敏感性和保密性,并应采取必要的安全措施,保证提供的信息在安全可控的范围内。


5.3 风险管理

5.3.1 风险管理要求和策略

5.3.1.1 风险管理要求

风险管理作为等级保护的手段,在保证信息等级系统的最低保护能力的基础上,可根据风险确定增加某些管理要求。对风险管理,不同安全等级应有选择地满足以下要求的一项:

a) 基本风险管理:组织机构应进行基本的风险管理活动,包括编制资产清单,对资产价值/重要性进行分析,对信息系统面临的威胁进行初步分析,通过工具扫描的方式对信息系统的脆弱性进行分析,以简易的方式分析安全风险、选择安全措施; 
b) 定期风险评估:在a)的基础上,针对关键的系统资源进行定期风险分析和评估;产生风险分析报告并向管理层提交; 
c) 规范风险评估:在b)的基础上,在风险管理中,使用规范方法和经过必要的工作流程,进行规范化的风险评估,产生风险分析报告和留存重要过程文档,并向管理层提交; 
d) 独立审计的风险管理:在c)的基础上,建立风险管理体系文件;针对风险管理过程,实施独立审计,确保风险管理的有效性; 
e) 全面风险管理:在d)的基础上,使风险管理成为信息系统安全管理的有机组成部分,贯穿信息系统安全管理的全过程,并具有可验证性。


5.3.1.2 风险管理策略

对风险管理策略,不同安全等级应有选择地满足以下要求的一项:

a) 基本的风险管理策略:应定期进行风险评估,安全风险分析和评估活动程序应至少包括信息安全风险管理和业务应用风险管理密切相关的内容,信息安全风险管理的基本观念和方法,以及风险管理的组织和资源保证等; 
b) 风险管理的监督机制:在a)的基础上,应建立风险管理的监督机制,对所有风险管理相关过程的活动和影响进行评估和监控;应建立指导风险管理监督过程的指导性文档; 
c) 风险评估的重新启动:在b)的基础上,应明确规定重新启动风险评估的条件,机构应能针对风险的变化重新启动风险评估。


5.3.2 风险分析和评估

5.3.2.1 资产识别和分析

对资产识别和分析,不同安全等级应有选择地满足以下要求的一项:

a) 信息系统的资产统计和分类:确定信息系统的资产范围,进行统计和编制资产清单(详见5.4.2.1),并进行资产分类和重要性标识; 
b) 信息系统的体系特征描述:在a)的基础上,根据对信息系统的硬件、软件、系统接口、数据和信息、人员等方面的分析和识别,对信息系统的体系特征进行描述,至少应阐明信息系统的使命、边界、功能,以及系统和数据的关键性、敏感性等内容。


5.3.2.2 威胁识别和分析

对威胁的识别和分析,不同安全等级应有选择地满足以下要求的一项:

a) 威胁的基本分析:应根据以往发生的安全事件、外部提供的资料和积累的经验等,对威胁进行粗略的分析; 
b) 威胁列表:在a)的基础上,结合业务应用、系统结构特点以及访问流程等因素,建立并维护威胁列表;由于不同业务系统面临的威胁是不同的,应针对每个或者每类资产有一个威胁列表; 
c) 威胁的详细分析:在b)的基础上,考虑威胁源在保密性、完整性或可用性等方面造成损害,对威胁的可能性和影响等属性进行分析,从而得到威胁的等级;威胁等级也可通过综合威胁的可能性和强度的评价获得; 
d) 使用检测工具捕捉攻击:在c)的基础上,对关键区域或部位进行威胁分析和评估,在业务应用许可并得到批准的条件下,可使用检测工具在特定时间捕捉攻击信息进行威胁分析。


5.3.2.3 脆弱性识别和分析

对脆弱性识别和分析,不同安全等级应有选择地满足以下要求的一项:

a) 脆弱性工具扫描:应通过扫描器等工具来获得对系统脆弱性的认识,包括对网络设备、主机设备、安全设备的脆弱性扫描,并编制脆弱性列表,作为系统加固、改进和安全项目建设的依据;可以针对资产组合、资产分类编制脆弱性列表和脆弱性检查表; 
b) 脆弱性分析和渗透测试:在a)的基础上,脆弱性的人工分析至少应进行网络设备、安全设备以及主机系统配置检查、用户管理检查、系统日志和审计检查等;使用渗透测试应根据需要分别从组织机构的网络内部和网络外部选择不同的接入点进行;应了解测试可能带来的后果,并做好充分准备;针对不同的资产和资产组合,综合应用人工评估、工具扫描、渗透性测试等方法对系统的脆弱性进行分析和评估;对不同的方法和工具所得出的评估结果,应进行综合分析,从而得到脆弱性的等级; 
c) 制度化脆弱性评估:在b)的基础上,坚持制度化脆弱性评估,应明确规定进行脆弱性评估的时间和系统范围、人员和责任、评估结果的分析和报告程序,以及报告中包括新发现的漏洞、已修补的漏洞、漏洞趋势分析等。


5.3.2.4 风险分析和评估要求

对风险分析和评估,不同安全等级应有选择地满足以下要求的一项:

a) 经验的风险评估:应由用户和部分专家通过经验来判断风险,并对风险进行评估,形成风险评估报告,其中必须包括风险级别、风险点等内容,并确定信息系统的安全风险状况; 
b) 全面的风险评估:在a)的基础上,应采用多层面、多角度的系统分析方法,由用户和专家对资产、威胁和脆弱性等方面进行定性综合评估,建议处理和减缓风险的措施,形成风险评估报告;除风险状况外,在风险评估的各项步骤中还应生成信息系统体系特征报告、威胁评估报告、脆弱性评估报告和安全措施分析报告等;基于这些报告,评估者应对安全措施提出建议; 
c) 建立和维护风险信息库:在b)的基础上,应将风险评估中的信息资产、威胁、脆弱性、防护措施等评估项信息综合到一个数据库中进行管理;组织机构应当在后续的项目和工具中持续地维护该数据库。


5.3.3 风险控制

5.3.3.1 选择和实施风险控制措施

对选择和实施风险控制措施,不同安全等级应有选择地满足以下要求的一项:

a) 基于安全等级标准选择控制措施:以信息系统及产品的安全等级标准对不同等级的技术和管理要求,选择相应等级的安全技术和管理措施,决定需要实施的信息系统安全控制措施; 
b) 基于风险评估选择控制措施:在a)的基础上,根据风险评估的结果,结合组织机构对于信息系统安全的需求,决定信息系统安全的控制措施; 
c) 基于风险评估形成防护控制系统:在b)的基础上,根据风险评估的结果,结合机构对于信息系统安全的需求,决定信息系统安全的控制措施;对相关的各种控制措施进行综合分析,得出紧迫性、优先级、投资比重等评价,形成体系化的防护控制系统。


5.3.4 基于风险的决策

5.3.4.1 安全确认

应对信息系统定期进行安全确认。对安全确认,不同安全等级应有选择地满足以下要求的一项:

a) 残余风险接受:针对信息系统的资产清单、威胁列表、脆弱性列表,结合已采用的安全控制措施,分析存在的残余风险;应形成残余风险分析报告,并由组织机构的高层管理人员决定残余风险是否可接受; 
b) 残余风险监视:在a)的基础上,应编制出信息系统残余风险清单,并密切监视残余风险可能诱发的安全事件,并及时采取防护措施; 
c) 安全风险再评估:在b)的基础上,采用系统化的方法对信息系统安全风险实施再次评估,通过再次评估,验证防护措施的有效性。


5.3.4.2 信息系统运行的决策

对信息系统运行的决策,不同安全等级应有选择地满足以下要求的一项:

a) 信息系统运行的决定:信息系统的主管者或运营者应根据安全确认的结果,判断残余风险是否处在可接受的水平之内,并决定是否允许信息系统继续运行; 
b) 信息系统受控运行:在a)的基础上,如果信息系统的残余风险不可接受,而现实情况又要求系统必须投入运行,且当前没有其它资源能胜任组织机构的使命,经过组织机构管理层的审批,可以临时批准信息系统投入运行,同时应采取相应的风险规避和监测控制措施,并明确风险一旦发生的责任陈述。


5.3.5 风险评估的管理

5.3.5.1 评估机构的选择

对评估机构选择,不同安全等级应有选择地满足以下要求的一项:

a) 按资质和信誉选择:应选择有国家主管部门认可的安全服务资质且有良好信誉的评估机构进行信息系统风险评估; 
b) 在上级认可的范围内选择:应在经过本行业主管部门认可或上级行政领导部门批准的选择范围内,确定有国家主管部门认可的安全服务资质且有良好信誉的评估机构,进行信息系统风险评估; 
c) 组织专门的评估:应按照国家主管部门有关管理规定选择可信评估机构,必要时应由国家指定专门部门、专门机构组织进行信息系统风险评估。


5.3.5.2 评估机构保密要求

对评估机构的保密要求,不同安全等级应有选择地满足以下要求的一项:

a) 签署保密协议:评估机构人员应按照第三方人员管理要求(详见5.2.3.6)签署保密协议; 
b) 专人监督检查:在a)的基础上,应有专人在整个评估过程中监督检查评估机构对保密协议的执行情况; 
c) 制定具体办法:在b)的基础上,对专门评估组的保密要求应参照《中华人民共和国保守国家秘密法》的要求,结合实际情况制定具体实施办法。


5.3.5.3 评估信息的管理

对评估信息的管理,不同安全等级应有选择地满足以下要求的一项:

a) 规定交接手续:提交涉及评估需要的资料、数据等各种信息,应规定办理交接手续,防止丢失; 
b) 替换敏感参数:在a)的基础上,提交涉及评估需要的资料、数据等各种信息,必要时可以隐藏或替换核心的或敏感的参数; 
c) 不得带出指定区域:在b)的基础上,所有提交涉及评估需要的资料、数据等各种信息,只能存放在被评估方指定的计算机内,不得带出指定办公区域。


5.3.5.4 技术测试过程管理

新投入运行的信息系统或经过风险评估对安全机制有较大变动的信息系统应进行技术测试。对技术测试过程的管理,不同安全等级应有选择地满足以下要求的一项:

a) 必须经过授权:使用工具或手工进行技术测试,应事先提交测试的技术方案,并得到授权方可进行; 
b) 在监督下进行:在a)的基础上,使用工具或手工进行技术测试,应在被测试方专人监督下按技术方案进行; 
c) 由被评估方操作:在b)的基础上,使用工具或手工进行技术测试,可以采用由被评估方技术人员按技术方案进行操作,评估机构技术人员进行场外指导; 
d) 过滤测试结果:在c)的基础上,使用工具或手工进行技术测试,应由被评估方技术人员按技术方案进行操作,对测试结果过滤敏感或涉及国家秘密信息后再交评估方分析。


5.4 环境和资源管理

5.4.1 环境安全管理

5.4.1.1 环境安全管理要求

对环境安全管理,不同安全等级应有选择地满足以下要求的一项:

a) 环境安全的基本要求:应配置物理环境安全的责任部门和管理人员;建立有关物理环境安全方面的规章制度;物理安全方面应达到GB/T 20271-2006中6.1.1的有关要求; 
b) 较完整的制度化管理:在a)的基础上,应对物理环境划分不同保护等级的安全区域进行管理;应制定对物理安全设施进行检验、配置、安装、运行的有关制度和保障措施;实行关键物理设施的登记制度;物理安全方面应达到GB/T 20271-2006中6.2.1的有关要求; 
c) 安全区域标记管理:在b)的基础上,应对物理环境中所有安全区域进行标记管理,包括不同安全保护等级的办公区域、机房、介质库房等;介质库房的管理可以参照同等级的机房的要求;物理安全方面应达到GB/T 20271-2006中6.3.1的有关要求; 
d) 安全区域隔离和监视:在c)的基础上,应实施不同保护等级安全区域的隔离管理;出入人员应经过相应级别的授权并有监控措施;对重要安全区域的活动应实时监视和记录;物理安全方面应达到B/T 20271-2006中6.4.1的有关要求; 
e) 安全保障的持续改善:在d)的基础上,应对物理安全保障定期进行监督、检查和不断改进,实现持续改善;物理安全方面应达到GB/T 20271-2006中6.5.1的有关要求。


5.4.1.2 机房安全管理要求

对机房安全管理,不同安全等级应有选择地满足以下要求的一项:

a) 机房安全管理的基本要求:应明确机房安全管理的责任人,机房出入应有指定人员负责,未经允许的人员不准进入机房;获准进入机房的来访人员,其活动范围应受到限制,并有接待人员陪同;机房钥匙由专人管理,未经批准,不准任何人私自复制机房钥匙或服务器开机钥匙;没有指定管理人员的明确准许,任何记录介质、文件材料及各种被保护品均不准带出机房,与工作无关的物品均不准带入机房;机房内严禁吸烟及带入火种和水源; 
b) 加强对来访人员的控制:在a)的基础上,要求所有来访人员应经过正式批准,登记记录应妥善保存以备查;获准进入机房的来访人员,一般应禁止携带个人计算机等电子设备进入机房,其活动范围和操作行为应受到限制,并有机房接待人员负责和陪同; 
c) 增强门禁控制手段:在b)的基础上,任何进出机房的人员应经过门禁设施的监控和记录,应有防止绕过门禁设施的手段;门禁系统的电子记录应妥善保存以备查;进入机房的人员应佩戴相应证件;未经批准,禁止任何物理访问;未经批准,禁止任何人移动计算机相关设备或带离机房; 
d) 使用视频监控和专职警卫:在c)的基础上,机房所在地应有专职警卫,通道和入口处应设置视频监控点,24小时值班监视;所有来访人员的登记记录、门禁系统的电子记录以及监视录像记录应妥善保存以备查;禁止携带移动电话、电子记事本等具有移动互连功能的个人物品进入机房; 
e) 采取防止电磁泄漏保护:在d)的基础上,对需要防止电磁泄漏的计算机设备配备电磁干扰设备,在被保护的计算机设备工作时电磁干扰设备不准关机;必要时可以使用屏蔽机房。屏蔽机房应随时关闭屏蔽门;不得在屏蔽墙上打钉钻孔,不得在波导管以外或不经过过滤器对屏蔽机房内外连接任何线缆;应经常测试屏蔽机房的泄漏情况并进行必要的维护。

5.4.1.3 办公环境安全管理要求

对办公环境的安全管理,不同安全等级应有选择地满足以下要求的一项:

a) 办公环境安全管理基本要求:设置有网络终端的办公环境,是信息系统环境的组成部分,应防止利用终端系统窃取敏感信息或非法访问;工作人员下班后,终端计算机应关闭;存放敏感文件或信息载体的文件柜应上锁或设置密码;工作人员调离部门或更换办公室时,应立即交还办公室钥匙;设立独立的会客接待室,不在办公环境接待来访人员; 
b) 办公环境安全管理增强要求:在a)的基础上,工作人员离开座位应将桌面上含有敏感信息的纸件文档放在抽屉或文件柜内;工作人员离开座位,终端计算机应退出登录状态、采用屏幕保护口令保护或关机; 
c) 关键部位办公环境的要求:在b)的基础上,在关键区域或部位,应使相应的办公环境与机房的物理位置在一起,以便进行统一的物理保护。


5.4.2 资源管理

5.4.2.1 资产清单管理

对资产清单的管理,不同安全等级应有选择地满足以下要求的一项:

a) 一般资产清单:应编制并维护与信息系统相关的资产清单,至少包括以下内容: 
——信息资产:应用数据、系统数据、安全数据等数据库和数据文档、系统文件、用户手册、培训资料、操作和支持程序、持续性计划、备用系统安排、存档信息; 
——软件资产:应用软件、系统软件、开发工具和实用程序; 
——有形资产:计算机设备(处理器、监视器、膝上形电脑、调制解调器),通信设备(路由器、数字程控交换机、传真机、应答机),磁媒体(磁带和软盘),其他技术装备(电源,空调设备),家具和机房; 
——应用业务相关资产:由信息系统控制的或与信息系统密切相关的应用业务的各类资产,由于信息系统或信息的泄露或破坏,这些资产会受到相应的损坏; 
——服务:计算和通信服务,通用设备如供暖、照明、供电和空调等; 
b) 详细的资产清单:在a)的基础上,应清晰识别每项资产的拥有权、责任人、安全分类以及资产所在的位置等; 
c) 业务应用系统清单:在b)的基础上,应清晰识别业务应用系统资产的拥有权、责任人、安全分类以及资产所在的位置等;必要时应该包括主要业务应用系统处理流程和数据流的描述,以及业务应用系统用户分类说明。


5.4.2.2 资产的分类与标识要求

对资产的分类与标识,不同安全等级应有选择地满足以下要求的一项:

a) 资产标识:应根据资产的价值/重要性对资产进行标识,以便可以基于资产的价值选择保护措施和进行资产管理等相关工作; 
b) 资产分类管理:在a)的基础上,应对信息资产进行分类管理,对信息系统内分属不同业务范围的各类信息,按其对安全性的不同要求分类加以标识。对于信息资产,通常信息系统数据可以分为系统数据和用户数据两类,其重要性一般与其所在的系统或子系统的安全保护等级相关;用户数据的重要性还应考虑自身保密性分类,如: 
——国家秘密信息:秘密、机密、绝密信息; 
——其他秘密信息:受国家法律保护的商业秘密和个人隐私信息; 
——专有信息:国家或组织机构内部共享、内部受限、内部专控信息,以及公民个人专有信息; 
——公开信息:国家公开共享的信息、组织机构公开共享的信息、公民个人可公开共享的信息;


组织机构应根据业务应用的具体情况进行分类分级和标识,纳入规范化管理;不同安全等级的信息应当本着“知所必需、用所必需、共享必需、公开必需、互联通信必需”的策略进行访问控制和信息交换管理;

c) 资产体系架构:在b)的基础上,以业务应用为主线,用体系架构的方法描述信息资产;资产体系架构不是简单的资产清单,而是通过对各个资产之间有机的联系和关系的结构性描述。


5.4.2.3 介质管理

对介质管理,不同安全等级应有选择地满足以下要求的一项:

a) 介质管理基本要求:对脱机存放的各类介质(包括信息资产和软件资产的介质)进行控制和保护,以防止被盗、被毁、被修改以及信息的非法泄漏;介质的归档和查询应有记录,对存档介质的目录清单应定期盘点;介质应储放在安全的环境中防止损坏;对于需要送出维修或销毁的介质,应防止信息的非法泄漏;对各类介质的保管应参照5.1.3.2相应要求执行; 
b) 介质异地存放要求:在a)的基础上,根据所承载的数据和软件的重要程度对介质进行标识和分类,存放在由专人管理的介质库中,防止被盗、被毁以及信息的非法泄漏;对存储保密性要求较高的信息的介质,其借阅、拷贝、传输须经相应级别的领导批准后方可执行,并登记在册;存储介质的销毁必须经批准并按指定方式进行,不得自行销毁;介质应保留2个以上的副本,而且要求介质异地存储,存储地的环境要求和管理方法应与本地相同; 
c) 完整性检查的要求:在b)的基础上,对重要介质的数据和软件必要时可以加密存储;对重要的信息介质的借阅、拷贝、分发传递须经相应级别的领导的书面审批后方可执行,并各种处理过程应登记在册,介质的分发传递采取保护措施;对于需要送出维修或销毁的介质,应首先删除信息,再重复写操作进行覆盖,防止数据恢复和信息泄漏;需要带出工作环境的介质,其信息应受到保护;对存放在介质库中的介质应定期进行完整性和可用性检查,确认其数据或软件没有受到损坏或丢失; 
d) 加密存储的要求:在c)的基础上,对介质中的重要数据必须使用加密技术或数据隐藏技术进行存储;介质的保存和分发传递应有严格的规定并进行登记;介质受损但无法执行删除操作的,必须销毁;介质销毁在经主管领导审批后应由两人完成,一人执行销毁一人负责监销,
销毁过程应记录; 
e) 高强度加密存储的要求:在d)的基础上,对极为重要数据的介质应该使用高强度的加密技术或数据隐藏技术进行存储,并对有关密钥和数据隐藏处理程序严格保管。


5.4.2.4 设备管理要求

对设备管理要求,不同安全等级应有选择地满足以下要求的一项:

a) 申报和审批要求:对于信息系统的各种软硬件设备的选型、采购、发放或领用,使用者应提出申请,报经相应领导审批,才可以实施;设备的选型、采购、使用和保管应明确责任人; 
b) 系统化管理:在a)的基础上,要求设备有专人负责,实行分类管理;通过对资产清单(见5.4.2.1)的管理,记录资产的状况和资产使用、转移、废弃及其授权过程,保证设备的完好率; 
c) 建立资产管理信息登记机制:在b)的基础上,对各种资产进行全面管理,提高资产安全性和使用效率;建立资产管理登记系统,提供资产分类标识、授权与访问控制、变更管理、系统安全审计等功能,为整个系统提供基础技术支撑。


5.5 运行和维护管理

5.5.1 用户管理