5.3.3 風險控制

5.3.3.1 選擇和實施風險控制措施

對選擇和實施風險控制措施，不同安全等級應有選擇地滿足以下要求的一項：

a） 基于安全等級標準選擇控制措施：以信息系統(tǒng)及產品的安全等級標準對不同等級的技術和管理要求，選擇相應等級的安全技術和管理措施，決定需要實施的信息系統(tǒng)安全控制措施；
b） 基于風險評估選擇控制措施：在a）的基礎上，根據風險評估的結果，結合組織機構對于信息系統(tǒng)安全的需求，決定信息系統(tǒng)安全的控制措施；
c） 基于風險評估形成防護控制系統(tǒng)：在b）的基礎上，根據風險評估的結果，結合機構對于信息系統(tǒng)安全的需求，決定信息系統(tǒng)安全的控制措施；對相關的各種控制措施進行綜合分析，得出緊迫性、優(yōu)先級、投資比重等評價，形成體系化的防護控制系統(tǒng)。


5.3.4 基于風險的決策

5.3.4.1 安全確認

應對信息系統(tǒng)定期進行安全確認。對安全確認，不同安全等級應有選擇地滿足以下要求的一項：

a） 殘余風險接受：針對信息系統(tǒng)的資產清單、威脅列表、脆弱性列表，結合已采用的安全控制措施，分析存在的殘余風險；應形成殘余風險分析報告，并由組織機構的高層管理人員決定殘余風險是否可接受；
b） 殘余風險監(jiān)視：在a）的基礎上，應編制出信息系統(tǒng)殘余風險清單，并密切監(jiān)視殘余風險可能誘發(fā)的安全事件，并及時采取防護措施；
c） 安全風險再評估：在b）的基礎上，采用系統(tǒng)化的方法對信息系統(tǒng)安全風險實施再次評估，通過再次評估，驗證防護措施的有效性。


5.3.4.2 信息系統(tǒng)運行的決策

對信息系統(tǒng)運行的決策，不同安全等級應有選擇地滿足以下要求的一項：

a） 信息系統(tǒng)運行的決定：信息系統(tǒng)的主管者或運營者應根據安全確認的結果，判斷殘余風險是否處在可接受的水平之內，并決定是否允許信息系統(tǒng)繼續(xù)運行；
b） 信息系統(tǒng)受控運行：在a）的基礎上，如果信息系統(tǒng)的殘余風險不可接受，而現實情況又要求系統(tǒng)必須投入運行，且當前沒有其它資源能勝任組織機構的使命，經過組織機構管理層的審批，可以臨時批準信息系統(tǒng)投入運行，同時應采取相應的風險規(guī)避和監(jiān)測控制措施，并明確風險一旦發(fā)生的責任陳述。


5.3.5 風險評估的管理

5.3.5.1 評估機構的選擇

對評估機構選擇，不同安全等級應有選擇地滿足以下要求的一項：

a） 按資質和信譽選擇：應選擇有國家主管部門認可的安全服務資質且有良好信譽的評估機構進行信息系統(tǒng)風險評估；
b） 在上級認可的范圍內選擇：應在經過本行業(yè)主管部門認可或上級行政領導部門批準的選擇范圍內，確定有國家主管部門認可的安全服務資質且有良好信譽的評估機構，進行信息系統(tǒng)風險評估；
c） 組織專門的評估：應按照國家主管部門有關管理規(guī)定選擇可信評估機構，必要時應由國家指定專門部門、專門機構組織進行信息系統(tǒng)風險評估。


5.3.5.2 評估機構保密要求

對評估機構的保密要求，不同安全等級應有選擇地滿足以下要求的一項：

a） 簽署保密協(xié)議：評估機構人員應按照第三方人員管理要求（詳見5.2.3.6）簽署保密協(xié)議；
b） 專人監(jiān)督檢查：在a）的基礎上，應有專人在整個評估過程中監(jiān)督檢查評估機構對保密協(xié)議的執(zhí)行情況；
c） 制定具體辦法：在b）的基礎上，對專門評估組的保密要求應參照《中華人民共和國保守國家秘密法》的要求，結合實際情況制定具體實施辦法。


5.3.5.3 評估信息的管理

對評估信息的管理，不同安全等級應有選擇地滿足以下要求的一項：

a） 規(guī)定交接手續(xù)：提交涉及評估需要的資料、數據等各種信息，應規(guī)定辦理交接手續(xù)，防止丟失；
b） 替換敏感參數：在a）的基礎上，提交涉及評估需要的資料、數據等各種信息，必要時可以隱藏或替換核心的或敏感的參數；
c） 不得帶出指定區(qū)域：在b）的基礎上，所有提交涉及評估需要的資料、數據等各種信息，只能存放在被評估方指定的計算機內，不得帶出指定辦公區(qū)域。


5.3.5.4 技術測試過程管理

新投入運行的信息系統(tǒng)或經過風險評估對安全機制有較大變動的信息系統(tǒng)應進行技術測試。對技術測試過程的管理，不同安全等級應有選擇地滿足以下要求的一項：

a） 必須經過授權：使用工具或手工進行技術測試，應事先提交測試的技術方案，并得到授權方可進行；
b） 在監(jiān)督下進行：在a）的基礎上，使用工具或手工進行技術測試，應在被測試方專人監(jiān)督下按技術方案進行；
c） 由被評估方操作：在b）的基礎上，使用工具或手工進行技術測試，可以采用由被評估方技術人員按技術方案進行操作，評估機構技術人員進行場外指導；
d） 過濾測試結果：在c）的基礎上，使用工具或手工進行技術測試，應由被評估方技術人員按技術方案進行操作，對測試結果過濾敏感或涉及國家秘密信息后再交評估方分析。


5.4 環(huán)境和資源管理

5.4.1 環(huán)境安全管理

5.4.1.1 環(huán)境安全管理要求

對環(huán)境安全管理，不同安全等級應有選擇地滿足以下要求的一項：

a） 環(huán)境安全的基本要求：應配置物理環(huán)境安全的責任部門和管理人員；建立有關物理環(huán)境安全方面的規(guī)章制度；物理安全方面應達到GB/T 20271-2006中6.1.1的有關要求；
b） 較完整的制度化管理：在a）的基礎上，應對物理環(huán)境劃分不同保護等級的安全區(qū)域進行管理；應制定對物理安全設施進行檢驗、配置、安裝、運行的有關制度和保障措施；實行關鍵物理設施的登記制度；物理安全方面應達到GB/T 20271-2006中6.2.1的有關要求；
c） 安全區(qū)域標記管理：在b）的基礎上，應對物理環(huán)境中所有安全區(qū)域進行標記管理，包括不同安全保護等級的辦公區(qū)域、機房、介質庫房等；介質庫房的管理可以參照同等級的機房的要求；物理安全方面應達到GB/T 20271-2006中6.3.1的有關要求；
d） 安全區(qū)域隔離和監(jiān)視：在c）的基礎上，應實施不同保護等級安全區(qū)域的隔離管理；出入人員應經過相應級別的授權并有監(jiān)控措施；對重要安全區(qū)域的活動應實時監(jiān)視和記錄；物理安全方面應達到B/T 20271-2006中6.4.1的有關要求；
e） 安全保障的持續(xù)改善：在d）的基礎上，應對物理安全保障定期進行監(jiān)督、檢查和不斷改進，實現持續(xù)改善；物理安全方面應達到GB/T 20271-2006中6.5.1的有關要求。


5.4.1.2 機房安全管理要求

對機房安全管理，不同安全等級應有選擇地滿足以下要求的一項：

a） 機房安全管理的基本要求：應明確機房安全管理的責任人，機房出入應有指定人員負責，未經允許的人員不準進入機房；獲準進入機房的來訪人員，其活動范圍應受到限制，并有接待人員陪同；機房鑰匙由專人管理，未經批準，不準任何人私自復制機房鑰匙或服務器開機鑰匙；沒有指定管理人員的明確準許，任何記錄介質、文件材料及各種被保護品均不準帶出機房，與工作無關的物品均不準帶入機房；機房內嚴禁吸煙及帶入火種和水源；
b） 加強對來訪人員的控制：在a）的基礎上，要求所有來訪人員應經過正式批準，登記記錄應妥善保存以備查；獲準進入機房的來訪人員，一般應禁止攜帶個人計算機等電子設備進入機房，其活動范圍和操作行為應受到限制，并有機房接待人員負責和陪同；
c） 增強門禁控制手段：在b）的基礎上，任何進出機房的人員應經過門禁設施的監(jiān)控和記錄，應有防止繞過門禁設施的手段；門禁系統(tǒng)的電子記錄應妥善保存以備查；進入機房的人員應佩戴相應證件；未經批準，禁止任何物理訪問；未經批準，禁止任何人移動計算機相關設備或帶離機房；
d） 使用視頻監(jiān)控和專職警衛(wèi)：在c）的基礎上，機房所在地應有專職警衛(wèi)，通道和入口處應設置視頻監(jiān)控點，24小時值班監(jiān)視；所有來訪人員的登記記錄、門禁系統(tǒng)的電子記錄以及監(jiān)視錄像記錄應妥善保存以備查；禁止攜帶移動電話、電子記事本等具有移動互連功能的個人物品進入機房；
e） 采取防止電磁泄漏保護：在d）的基礎上，對需要防止電磁泄漏的計算機設備配備電磁干擾設備，在被保護的計算機設備工作時電磁干擾設備不準關機；必要時可以使用屏蔽機房。屏蔽機房應隨時關閉屏蔽門；不得在屏蔽墻上打釘鉆孔，不得在波導管以外或不經過過濾器對屏蔽機房內外連接任何線纜；應經常測試屏蔽機房的泄漏情況并進行必要的維護。

5.4.1.3 辦公環(huán)境安全管理要求

對辦公環(huán)境的安全管理，不同安全等級應有選擇地滿足以下要求的一項：

a） 辦公環(huán)境安全管理基本要求：設置有網絡終端的辦公環(huán)境，是信息系統(tǒng)環(huán)境的組成部分，應防止利用終端系統(tǒng)竊取敏感信息或非法訪問；工作人員下班后，終端計算機應關閉；存放敏感文件或信息載體的文件柜應上鎖或設置密碼；工作人員調離部門或更換辦公室時，應立即交還辦公室鑰匙；設立獨立的會客接待室，不在辦公環(huán)境接待來訪人員；
b） 辦公環(huán)境安全管理增強要求：在a）的基礎上，工作人員離開座位應將桌面上含有敏感信息的紙件文檔放在抽屜或文件柜內；工作人員離開座位，終端計算機應退出登錄狀態(tài)、采用屏幕保護口令保護或關機；
c） 關鍵部位辦公環(huán)境的要求：在b）的基礎上，在關鍵區(qū)域或部位，應使相應的辦公環(huán)境與機房的物理位置在一起，以便進行統(tǒng)一的物理保護。


5.4.2 資源管理

5.4.2.1 資產清單管理

對資產清單的管理，不同安全等級應有選擇地滿足以下要求的一項：

a） 一般資產清單：應編制并維護與信息系統(tǒng)相關的資產清單，至少包括以下內容：
——信息資產：應用數據、系統(tǒng)數據、安全數據等數據庫和數據文檔、系統(tǒng)文件、用戶手冊、培訓資料、操作和支持程序、持續(xù)性計劃、備用系統(tǒng)安排、存檔信息；
——軟件資產：應用軟件、系統(tǒng)軟件、開發(fā)工具和實用程序；
——有形資產：計算機設備（處理器、監(jiān)視器、膝上形電腦、調制解調器），通信設備（路由器、數字程控交換機、傳真機、應答機），磁媒體（磁帶和軟盤），其他技術裝備（電源，空調設備），家具和機房；
——應用業(yè)務相關資產：由信息系統(tǒng)控制的或與信息系統(tǒng)密切相關的應用業(yè)務的各類資產，由于信息系統(tǒng)或信息的泄露或破壞，這些資產會受到相應的損壞；
——服務：計算和通信服務，通用設備如供暖、照明、供電和空調等；
b） 詳細的資產清單：在a）的基礎上，應清晰識別每項資產的擁有權、責任人、安全分類以及資產所在的位置等；
c） 業(yè)務應用系統(tǒng)清單：在b）的基礎上，應清晰識別業(yè)務應用系統(tǒng)資產的擁有權、責任人、安全分類以及資產所在的位置等；必要時應該包括主要業(yè)務應用系統(tǒng)處理流程和數據流的描述，以及業(yè)務應用系統(tǒng)用戶分類說明。


5.4.2.2 資產的分類與標識要求

對資產的分類與標識，不同安全等級應有選擇地滿足以下要求的一項：

a） 資產標識：應根據資產的價值/重要性對資產進行標識，以便可以基于資產的價值選擇保護措施和進行資產管理等相關工作；
b） 資產分類管理：在a）的基礎上，應對信息資產進行分類管理，對信息系統(tǒng)內分屬不同業(yè)務范圍的各類信息，按其對安全性的不同要求分類加以標識。對于信息資產，通常信息系統(tǒng)數據可以分為系統(tǒng)數據和用戶數據兩類，其重要性一般與其所在的系統(tǒng)或子系統(tǒng)的安全保護等級相關；用戶數據的重要性還應考慮自身保密性分類，如：
——國家秘密信息：秘密、機密、絕密信息；
——其他秘密信息：受國家法律保護的商業(yè)秘密和個人隱私信息；
——專有信息：國家或組織機構內部共享、內部受限、內部?？匦畔?，以及公民個人專有信息；
——公開信息：國家公開共享的信息、組織機構公開共享的信息、公民個人可公開共享的信息；


組織機構應根據業(yè)務應用的具體情況進行分類分級和標識，納入規(guī)范化管理；不同安全等級的信息應當本著“知所必需、用所必需、共享必需、公開必需、互聯通信必需”的策略進行訪問控制和信息交換管理；

c） 資產體系架構：在b）的基礎上，以業(yè)務應用為主線，用體系架構的方法描述信息資產；資產體系架構不是簡單的資產清單，而是通過對各個資產之間有機的聯系和關系的結構性描述。


5.4.2.3 介質管理

對介質管理，不同安全等級應有選擇地滿足以下要求的一項：

a） 介質管理基本要求：對脫機存放的各類介質（包括信息資產和軟件資產的介質）進行控制和保護，以防止被盜、被毀、被修改以及信息的非法泄漏；介質的歸檔和查詢應有記錄，對存檔介質的目錄清單應定期盤點；介質應儲放在安全的環(huán)境中防止損壞；對于需要送出維修或銷毀的介質，應防止信息的非法泄漏；對各類介質的保管應參照5.1.3.2相應要求執(zhí)行；
b） 介質異地存放要求：在a）的基礎上，根據所承載的數據和軟件的重要程度對介質進行標識和分類，存放在由專人管理的介質庫中，防止被盜、被毀以及信息的非法泄漏；對存儲保密性要求較高的信息的介質，其借閱、拷貝、傳輸須經相應級別的領導批準后方可執(zhí)行，并登記在冊；存儲介質的銷毀必須經批準并按指定方式進行，不得自行銷毀；介質應保留2個以上的副本，而且要求介質異地存儲，存儲地的環(huán)境要求和管理方法應與本地相同；
c） 完整性檢查的要求：在b）的基礎上，對重要介質的數據和軟件必要時可以加密存儲；對重要的信息介質的借閱、拷貝、分發(fā)傳遞須經相應級別的領導的書面審批后方可執(zhí)行，并各種處理過程應登記在冊，介質的分發(fā)傳遞采取保護措施；對于需要送出維修或銷毀的介質，應首先刪除信息，再重復寫操作進行覆蓋，防止數據恢復和信息泄漏；需要帶出工作環(huán)境的介質，其信息應受到保護；對存放在介質庫中的介質應定期進行完整性和可用性檢查，確認其數據或軟件沒有受到損壞或丟失；
d） 加密存儲的要求：在c）的基礎上，對介質中的重要數據必須使用加密技術或數據隱藏技術進行存儲；介質的保存和分發(fā)傳遞應有嚴格的規(guī)定并進行登記；介質受損但無法執(zhí)行刪除操作的，必須銷毀；介質銷毀在經主管領導審批后應由兩人完成，一人執(zhí)行銷毀一人負責監(jiān)銷，
銷毀過程應記錄；
e） 高強度加密存儲的要求：在d）的基礎上，對極為重要數據的介質應該使用高強度的加密技術或數據隱藏技術進行存儲，并對有關密鑰和數據隱藏處理程序嚴格保管。


5.4.2.4 設備管理要求

對設備管理要求，不同安全等級應有選擇地滿足以下要求的一項：

a） 申報和審批要求：對于信息系統(tǒng)的各種軟硬件設備的選型、采購、發(fā)放或領用，使用者應提出申請，報經相應領導審批，才可以實施；設備的選型、采購、使用和保管應明確責任人；
b） 系統(tǒng)化管理：在a）的基礎上，要求設備有專人負責，實行分類管理；通過對資產清單（見5.4.2.1）的管理，記錄資產的狀況和資產使用、轉移、廢棄及其授權過程，保證設備的完好率；
c） 建立資產管理信息登記機制：在b）的基礎上，對各種資產進行全面管理，提高資產安全性和使用效率；建立資產管理登記系統(tǒng)，提供資產分類標識、授權與訪問控制、變更管理、系統(tǒng)安全審計等功能，為整個系統(tǒng)提供基礎技術支撐。


5.5 運行和維護管理

5.5.1 用戶管理

5.5.1.1 用戶分類管理

對用戶分類管理，不同安全等級應有選擇地滿足以下要求的一項：

a） 用戶分類清單：應按審查和批準的用戶分類清單建立用戶和分配權限。用戶分類清單應包括信息系統(tǒng)的所有用戶的清單，以及各類用戶的權限；用戶權限發(fā)生變化時應及時更改用戶清單內容；必要時可以對有關用戶開啟審計功能。用戶分類清單應包括：
——系統(tǒng)用戶：指系統(tǒng)管理員、網絡管理員、數據庫管理員和系統(tǒng)運行操作員等特權用戶；
——普通用戶：指OA和各種業(yè)務應用系統(tǒng)的用戶；
——外部客戶用戶：指組織機構的信息系統(tǒng)對外服務的客戶用戶；
——臨時用戶：指系統(tǒng)維護測試和第三方人員使用的用戶；
b） 特權用戶管理：在a）的基礎上，應對信息系統(tǒng)的所有特權用戶列出清單，說明各個特權用戶的權限，以及特權用戶的責任人員和授權記錄；定期檢查特權用戶的實際分配權限是否與特權用戶清單符合；對特權用戶開啟審計功能；
c） 重要業(yè)務用戶管理：在b）的基礎上，應對信息系統(tǒng)的所有重要業(yè)務用戶的列出清單，說明各個用戶的權限，以及用戶的責任人員和授權記錄；定期檢查重要業(yè)務用戶的實際分配權限是否與用戶清單符合；對重要業(yè)務用戶開啟審計功能；
d） 關鍵部位用戶管理：在c）的基礎上，應對關鍵部位用戶采取逐一審批和授權的程序，并記錄備案；定期檢查這些用戶的實際分配權限是否與授權符合，對這些用戶開啟審計功能。


5.5.1.2 系統(tǒng)用戶要求

對系統(tǒng)用戶，不同安全等級應有選擇地滿足以下要求的一項：

a） 最小授權要求：系統(tǒng)用戶應由信息系統(tǒng)的主管領導指定，授權應以滿足其工作需要的最小權限為原則；系統(tǒng)用戶應接受審計；
b） 責任到人要求：在a）的基礎上，對重要信息系統(tǒng)的系統(tǒng)用戶，應進行人員的嚴格審查，符合要求的人員才能給予授權；對系統(tǒng)用戶應能區(qū)分責任到個人，不應以部門或組作為責任人；
c） 監(jiān)督性保護要求：在b）的基礎上，在關鍵信息系統(tǒng)中，對系統(tǒng)用戶的授權操作，必須有兩人在場，并經雙重認可后方可操作；操作過程應自動產生不可更改的審計日志。


5.5.1.3 普通用戶要求

對普通用戶，不同安全等級應有選擇地滿足以下要求的一項：

a） 普通用戶的基本要求：應保護好口令等身份鑒別信息；發(fā)現系統(tǒng)的漏洞、濫用或違背安全行為應及時報告；不應透露與組織機構有關的非公開信息；不應故意進行違規(guī)的操作；
b） 處理敏感信息的要求：在a）的基礎上，不應在不符合敏感信息保護要求的系統(tǒng)中保存和處理高敏感度的信息；不應使用各種非正版軟件和不可信的自由軟件；
c） 重要業(yè)務應用的要求：在b）的基礎上，應在系統(tǒng)規(guī)定的權限內進行操作，必要時某些重要操作應得到批準；用戶應保管好自己的身份鑒別信息載體，不得轉借他人。


5.5.1.4 機構外部用戶要求

對機構外部用戶，不同安全等級應有選擇地滿足以下要求的一項：

a） 外部用戶一般要求：應對外部用戶明確說明使用者的責任、義務和風險，并要求提供合法使用的聲明；外部用戶應保護口令等身份鑒別信息；外部用戶只能是應用層的用戶；
b） 外部特定用戶要求：在a）的基礎上，可對特定外部用戶提供專用通信通道，端口，特定的應用或數據協(xié)議，以及專用設備等；
c） 外部用戶的限制：在b）的基礎上，在關鍵部位，一般不允許設置外部用戶。