6.1.4 風險管理要求

本級要求如下：

a） 風險管理要求和策略，能夠進行基本的風險管理，包括編制資產(chǎn)清單，重要性分析，威脅的初步分析，用工具掃描進行脆弱性分析，能夠簡單分析安全風險和選擇安全措施；（見5.3.1.1a））
b） 風險分析和評估要求，應對信息系統(tǒng)的資產(chǎn)進行統(tǒng)計和分類，根據(jù)重要程度對資產(chǎn)進行標識；根據(jù)以往的安全事件和經(jīng)驗對威脅進行基本分析；通過掃描器等工具來獲得對系統(tǒng)脆弱性的認識；分析和編制脆弱性列表；可以由用戶和專家通過經(jīng)驗對風險進行評價，形成評估報告；
（見5.3.2.1a），5.3.2.2a），5.3.2.3a），5.3.2.4a））
c） 風險控制要求，用基線選擇的方法決定安全控制措施；（見5.3.3.1a））
d） 基于風險的決策要求，應形成殘余風險分析報告，并由組織機構高層管理決定風險的接受；基于這一判斷決定是否允許信息系統(tǒng)運行；（見5.3.4.1a），5.3.4.2a））
e） 風險評估的管理要求，根據(jù)資質和信譽選擇評估機構；要求評估機構人員簽署保密協(xié)議；提交評估資料應規(guī)定交接手續(xù)；進行技術測試必須經(jīng)過授權。（見5.3.5.1a），5.3.5.2a），5.3.5.3a），5.3.5.4a））


6.1.5 環(huán)境和資源管理要求

本級要求如下：

a） 環(huán)境安全管理要求，組織機構應通過正式授權程序委派責任部門或專人負責物理安全工作，需要建立有關規(guī)章制度，包括對機房安全管理規(guī)定基本要求；信息系統(tǒng)的物理環(huán)境安全方面的設施應達到GB/T 20271-2006中6.1.1的有關要求；（見5.4.1.1a），5.4.1.2a））
b） 資源管理要求，組織機構應編制并維護與信息系統(tǒng)相關的資產(chǎn)清單；對資產(chǎn)進行重要性標識；規(guī)定存放重要數(shù)據(jù)和軟件的介質管理的基本要求；對設備管理要求，各種軟硬件設備的選型、采購、發(fā)放或領用，使用者應提出申請，報經(jīng)相應領導審批，才可以實施；設備的選型、采
購、使用和保管應有責任人。（見5.4.2.1a），5.4.2.2a），5.4.2.3a），5.4.2.4a））


6.1.6 操作和維護管理要求

本級要求如下：

a） 用戶管理包括對用戶分類管理，編制用戶分類清單，依據(jù)清單建立用戶和分配權限；要求系統(tǒng)用戶堅持最小授權原則；規(guī)定普通用戶的基本要求；對組織機構外部用戶要有合法使用的聲明；要求臨時用戶的設置與刪除必須經(jīng)過審批和記錄備案；（見5.5.1.1a），5.5.1.2a），5.5.1.3a），5.5.1.4a），5.5.1.5a））
b） 運行操作管理包括，要求對服務器操作應注意啟動/停止、配置保護、口令方式的身份鑒別等基本管理；對終端計算機應設置開機、屏幕保護等口令，軟件安裝等要求；制定便攜機操作的基本要求；對網(wǎng)絡及安全設備操作的管理員身份鑒別的要求；對業(yè)務應用操作進行訪問權限控制；要求在正式運行系統(tǒng)中任何變更控制必須經(jīng)過申報和審批；信息發(fā)布必須符合國家有關政策法規(guī)的要求；（見5.5.2.1a），5.5.2.2a），5.5.2.3a），5.5.2.4a），5.5.2.5a），5.5.2.6a），5.5.2.7a））
c） 運行維護管理包括，通過正式授權程序委派專人負責系統(tǒng)運行及其安全；安全管理人員應協(xié)同應用部門對信息系統(tǒng)運行進行安全管理；對運行狀況監(jiān)控應進行日志保護和查閱管理；軟件硬件維護要求明確維護人員及其責任，并規(guī)定維修時限；對外部服務方訪問必須經(jīng)過審批；（見5.5.3.1a），5.5.3.2a），5.5.3.3a），5.5.3.4a））
d） 對外包服務的管理應包括外包服務的風險識別、相應安全制度的制定與實施，并以此為依據(jù)簽署正式的書面合同；應選擇有資質且信譽好的外包服務商；對外包服務的業(yè)務應用系統(tǒng)運行應進行監(jiān)控和檢查；（見5.5.4.1a），5.5.4.2a），5.5.4.3a））
e） 有關安全機制的保障包括，應對系統(tǒng)管理員和普通用戶明確使用和保護身份鑒別機制的責任；
對訪問控制策略管理要求應明確訪問控制策略的定義和授權管理；對操作系統(tǒng)指定安全管理的責任人，進行正確的用戶管理配置；制定有關網(wǎng)絡系統(tǒng)安全管理和配置的規(guī)定；對應用系統(tǒng)指定安全責任人，進行正確的配置；應指定人員檢查網(wǎng)絡和主機的病毒檢測并保存記錄。（見5.5.5.1a），5.5.5.2a），5.5.5.3a），5.5.5.4a），5.5.5.5a），5.5.5.6a））


6.1.7 業(yè)務連續(xù)性管理要求

本級要求如下：

a） 業(yè)務連續(xù)性管理包括，數(shù)據(jù)備份和恢復策略要求規(guī)定不同業(yè)務應用的系統(tǒng)層面和應用層面需要備份的內容和周期；確定采用離線備份或在線備份方案；（見5.6.1.1a））
b） 安全事件處理要求，根據(jù)組織機構自身的實際情況對安全事件劃分成不同的安全等級，為事件的報告和處理提供依據(jù)；應規(guī)定正式的報告程序和事故響應程序；要求所有員工知道報告安全事件程序和責任；事件處理后應有適當?shù)姆答伋绦?；（?.6.2.1a），5.6.2.2a））
c） 應急處理要求，應規(guī)定應急處理和災難恢復要求，對信息系統(tǒng)的應急處理有明確的程序，制定具體的應急處理措施；按照應急計劃框架要求制定應急處理計劃；為應急計劃的實施保障要求明確應急計劃的組織和實施人員及其責任；安全管理人員應協(xié)助分管領導落實應急處理措施。（見5.6.3.1a），5.6.3.2a），5.6.3.3a））


6.1.8 監(jiān)督和檢查管理要求

本級要求如下：

a） 應知曉適用的法律并防止違法行為；建立關于尊重知識產(chǎn)權的策略，并形成書面文檔；保護證據(jù)記錄，要求保護機構的重要記錄，明確需要保護的內容范圍；（見5.7.1.1a），5.7.1.2a），5.7.1.3a））
b） 監(jiān)督控制要求，依照國家政策法規(guī)和技術及管理標準進行自主保護。（見5.7.3.2a））


6.1.9 生存周期管理要求

本級要求如下：

a） 規(guī)劃和立項管理，信息系統(tǒng)的管理者應建立信息系統(tǒng)建設和發(fā)展計劃；應用部門或業(yè)務部門可以提出業(yè)務應用的需求，必須經(jīng)過主管領導的審批或者經(jīng)過管理層的討論批準，才能正式立項；（見5.8.1.1a），5.8.1.2a），5.8.1.3a））
b） 建設過程管理，要求信息系統(tǒng)建設項目明確指定項目負責人；信息系統(tǒng)工程項目外包，應選擇具有服務資質的信譽較好的廠商；對自行開發(fā)的應明確要求開發(fā)環(huán)境與實際運行環(huán)境物理分開；對安全產(chǎn)品使用要求應按照相應的安全保護等級的要求選擇相應等級的產(chǎn)品；對建設項目測試驗收要求進行功能和性能測試，指定建設項目測試驗收負責人；（見5.8.2.1a），5.8.2.2a），5.8.2.3a），5.8.2.4a），5.8.2.5a））
c） 系統(tǒng)啟用和終止管理，要求新的信息系統(tǒng)或子系統(tǒng)、信息系統(tǒng)設備啟用應經(jīng)過相應領導審批才能正式投入使用；現(xiàn)有信息系統(tǒng)或子系統(tǒng)、信息系統(tǒng)設備需要終止運行，應說明原因及采取的保護措施，經(jīng)過相應領導審批才能正式終止運行。（見5.8.3.1a），5.8.3.2a））


6.2 第二級：系統(tǒng)審計保護級

6.2.1 管理目標和范圍

本級為系統(tǒng)審計保護級，實施操作規(guī)程管理，進行指導保護。適用于一定程度上涉及國家安全、社會秩序、經(jīng)濟建設和公共利益的一般信息和信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟建設和公共利益造成一定損害。在滿足第一級的管理要求的基礎上，本級管理要求達到具有基于操作規(guī)程的安全管理措施，還應建立信息管理制度、信息安全產(chǎn)品采購與使用等必須的管理制度；具有基本的網(wǎng)絡基礎設施與邊界保護；具有更細粒度的自主訪問控制措施，能夠解決非授權的訪問；要求基本保護信息不被非法竊取，具有保護數(shù)據(jù)信息和系統(tǒng)的完整性不受破壞的措施；被授權的用戶隨時可以訪問信息并對自己的行為負責；具有初步的監(jiān)控措施和初步的響應與恢復措施，并實施信息系統(tǒng)生存周期的全程管理。通過管理活動保證信息系統(tǒng)達到GB17859-1999的本級要求。（見5.1.1.1b））

6.2.2 政策和制度要求

在滿足第一級的管理要求的基礎上，本級要求如下：

a） 總體安全管理策略，應包括較完整的安全管理策略，由信息安全職能部門負責制定，安全管理策略文檔應由組織機構負責人簽發(fā)，按照有關文件管理程序發(fā)布；（見5.1.1.2b），5.1.1.3b），5.1.1.4b））
b） 安全管理規(guī)章制度，應包括制定較完整的安全管理制度和操作規(guī)程，由信息安全職能部門負責制定，分管信息安全工作的負責人簽發(fā)，按有關文件管理程序發(fā)布；（見5.1.2.1b），5.1.2.2b））
c） 策略與制度文檔管理，對策略與制度文檔應應由分管信息安全的負責人和信息安全職能部門負責文檔的評審和修訂，需要借閱應有相應級別負責人審批和登記。（見5.1.3.1b），5.1.3.2b））


6.2.3 機構和人員管理要求

在滿足第一級的管理要求的基礎上，本級要求如下：

a） 組織機構應建立管理信息安全工作的職能部門；負責起草信息系統(tǒng)的安全策略和發(fā)展規(guī)劃，管理安全日常事務，負責安全措施的實施或組織實施，組織并參加對安全重要事件的處理；監(jiān)控信息系統(tǒng)安全總體狀況，指導和檢查各部門和下級單位信息系統(tǒng)安全工作；（見5.2.1.1b），5.2.1.3a））
b） 人員管理要求，應提出安全管理人員和其他關鍵崗位人員的兼職限制要求；對關鍵崗位人員采取定期輪崗；人員錄用時應進行必要的審查與考核；關鍵崗位人員調離崗位應承諾保密義務；應定期對關鍵崗位人員進行審查；（見5.2.3.1b），5.2.3.2b），5.2.3.3b），5.2.3.4b），5.2.3.5b），5.2.3.6a））
c） 教育和培訓要求，有計劃培養(yǎng)員工安全意識，以及對安全策略和操作規(guī)程的培訓。（見5.2.4.1b），5.2.4.2a））


6.2.4 風險管理要求

在滿足第一級的管理要求的基礎上，本級要求如下：

a） 風險管理要求和策略，針對關鍵系統(tǒng)資源的定期風險分析和評估；制定基本的風險管理策略，給予必要的組織和資源保證；（見5.3.1.1b），5.3.1.2a））
b） 風險分析和評估要求，增加針對每個或者每類資產(chǎn)的威脅列表；應對信息系統(tǒng)進行脆弱性人工分析和滲透測試，對各種指標進行綜合分析，得到脆弱性的等級；進行全面的風險評價，判斷風險的優(yōu)先級，建議處理風險的措施，最終形成風險評估報告和有關中間結果；（見5.3.2.1a），5.3.2.2b），5.3.2.3b），5.3.2.4b））
c） 風險處理和減緩要求，根據(jù)風險評估的結果決定信息安全的控制措施；（見5.3.3.1b））
d） 基于風險的決策要求，應形成殘余風險分析報告，并密切注意殘余風險的變化，及時處理；由機構高層管理決定風險的接受，應采取相應的風險規(guī)避措施，控制信息系統(tǒng)的運行；（見5.3.4.1b），5.3.4.2b））
e） 風險評估的管理要求，應在經(jīng)過本行業(yè)主管認可或上級行政領導部門批準的范圍內選擇具有國家主管部門認可的安全服務資質的評估機構；應監(jiān)督檢查評估機構的保密協(xié)議執(zhí)行情況；
提交評估資料必要時可以隱藏或替換敏感參數(shù)；進行技術測試應在監(jiān)督下按技術方案進行。（見5.3.5.1b），5.3.5.2b），5.3.5.3b），5.3.5.4b））


6.2.5 環(huán)境和資源管理要求

在滿足第一級的管理要求的基礎上，本級要求如下：

a） 環(huán)境安全管理要求，應對物理環(huán)境劃分不同等級安全區(qū)域進行管理；規(guī)定對來訪人員的控制措施；規(guī)定辦公環(huán)境安全管理的基本要求；指定專人負責物理安全區(qū)和物理設施的日常安全管理，制定設施購置計劃、驗收、運行、維護、處置管理制度，監(jiān)督、檢查物理設施安全管理制度的落實。所有物理設施要分類編目，指定物理設施安全責任人；信息系統(tǒng)的物理環(huán)境安全方面的設施應達到GB/T 20271-2006中6.2.1的有關要求；（見5.4.1.1b），5.4.1.2b），5.4.1.3a））
b） 資源管理要求，應編制詳細的資產(chǎn)清單，包括資產(chǎn)擁有權、責任人、安全分類以及資產(chǎn)所在的位置等；根據(jù)信息資產(chǎn)分類方式對信息資產(chǎn)進行分類管理；對數(shù)據(jù)和軟件介質進行標識和分類存儲在由專人管理的介質庫或檔案室中，要求重要介質異地存儲；通過對資產(chǎn)清單的管理，記錄資產(chǎn)的狀況和使用、轉移、廢棄及其授權過程，保證設備的完好率。（見5.4.2.1b），5.4.2.2b），5.4.2.3b），5.4.2.4b））


6.2.6 操作和維護管理要求

在滿足第一級的管理要求的基礎上，本級要求如下：

a） 用戶管理要求，應編制特權用戶清單，說明權限，并進行審計；對系統(tǒng)用戶應責任到人；對普通用戶應規(guī)定處理敏感信息的要求；對外部特定外部用戶應采用專用通信通道，端口，協(xié)議，專用設備等措施；對主要部位的臨時用戶應進行審計；（見5.5.1.1b），5.5.1.2b），5.5.1.3b），
5.5.1.4b），5.5.1.5b））
b） 運行操作管理要求，對服務器應注意日志文件管理和監(jiān)控系統(tǒng)性能；便攜機應規(guī)定遠程操作等限制要求；對網(wǎng)絡及安全設備應進行策略配置符合性的檢查；重要的業(yè)務應用操作應根據(jù)上級的指令要求執(zhí)行并進行審計；對變更控制管理應制度化，建立管理文檔；組織機構之間進行信息交換應建立包括安全條件的協(xié)議；（見5.5.2.1b），5.5.2.2a），5.5.2.3b），5.5.2.4b），5.5.2.5b），5.5.2.6b），5.5.2.7b））
c） 運行維護管理要求，應實行系統(tǒng)運行的制度化管理；對運行狀況監(jiān)控要求監(jiān)視服務器系統(tǒng)性能；設備外出維修應審批，磁盤數(shù)據(jù)必須刪除；外部維修人員進入機房應經(jīng)過審批并專人陪同；對外部服務方訪問進行制度化管理；（見5.5.3.1b），5.5.3.2b），5.5.3.3b），5.5.3.4b））
d） 外包服務管理要求，應在行業(yè)認可或上級批準的范圍內選擇外包服務商；對外包服務的業(yè)務應用系統(tǒng)運行應定期評估，出現(xiàn)重大安全問題應及時處理，直至停止外包服務；（見5.5.4.1a），5.5.4.2b），5.5.4.3b））
e） 有關安全機制的保障要求包括，應對身份鑒別機制有強度要求，并指定安全管理人員定期進行檢查；應根據(jù)實際情況選擇合適的訪問控制管理模式，并保證最高管理層對訪問控制管理的掌握；系統(tǒng)安全管理要求包括操作系統(tǒng)配置、使用的審計等；網(wǎng)絡安全管理要求進行針對網(wǎng)絡使用的審計監(jiān)控和評估；應用系統(tǒng)安全要求基于安全操作規(guī)程的管理和信息的分類管理；
要求進行制度化的病毒防護管理；密碼管理要求必須符合國家法律規(guī)定，對密碼算法和密鑰實施分等級管理。（見5.5.5.1b），5.5.5.2b），5.5.5.3b），5.5.5.4b），5.5.5.5b），5.5.5.6b），5.5.5.7a））


6.2.7 業(yè)務連續(xù)性管理要求

在滿足第一級的管理要求的基礎上，本級要求如下：

a） 備份與恢復要求，數(shù)據(jù)備份和恢復策略要求對備份介質和恢復功能定期檢查；設備和系統(tǒng)冗余策略要求專人定期檢查備用設備，并限定系統(tǒng)恢復的時間；（見5.6.1.1b），5.6.1.2a））
b） 安全事件處理要求，具有完善的安全事件處置制度，安全事件報告和處理要求對安全弱點和可疑事件，以及還不能確定為事故或者入侵的可疑事件應報告；（見5.6.2.1b），5.6.2.2b））
c） 應急處理要求，應急處理和災難恢復要求進行制度化管理并由應急處理小組負責落實；進行系統(tǒng)化管理用于開發(fā)和維護整個組織的應急計劃體系；為保證應急計劃的執(zhí)行應對系統(tǒng)相關的人員進行培訓。（見5.6.3.1b），5.6.3.2a），5.6.3.3b））


6.2.8 監(jiān)督和檢查管理要求

在滿足第一級的管理要求的基礎上，本級要求如下：

a） 符合法律要求，機構應有措施防止對信息處理設備的濫用；對重要應用系統(tǒng)軟件，應防止發(fā)生因軟件升級或改造引起侵犯軟件版權的行為；（見5.7.1.1b），5.7.1.2b），5.7.1.3a））
b） 依從性檢查要求，應定期對安全管理進行檢查和評估，安全策略依從性要求檢查信息系統(tǒng)的管理者對安全策略的遵守情況；技術依從性要求定期檢查系統(tǒng)安全保障措施與安全實施標準的符合性；（見5.7.2.1a），5.7.2.2a），5.7.2.3a））
c） 審計及監(jiān)管要求，應有獨立的審計機構對組織機構的安全管理職責體系、信息系統(tǒng)的安全風險控制等進行審計；在信息安全監(jiān)管職能部門指導下依照國家政策法規(guī)和技術及管理標準進行自主保護；（見5.7.3.1a），5.7.3.2b））
d） 責任認定要求，應對監(jiān)督和審查發(fā)現(xiàn)的問題限期解決，并認定技術責任和管理責任以及責任當事人，有關部門提出問題解決辦法和責任處理意見；對監(jiān)管者逾期未進行解決，促使本應避免問題造成信息系統(tǒng)損失的應承擔相應責任。（見5.7.4.1a），5.7.4.2a））


6.2.9 生存周期管理要求

在滿足第一級的管理要求的基礎上，本級要求如下：

a） 規(guī)劃和立項管理，信息系統(tǒng)的管理者應建立安全策略規(guī)劃；安全管理職能部門應、提出加強系統(tǒng)安全的具體需求，進行可行性論證，經(jīng)過管理層的批準后正式立項；（見5.8.1.1b），5.8.1.2b），5.8.1.3b））
b） 建設過程管理，要求信息系統(tǒng)建設項目應制定詳細的項目實施計劃，作為項目管理的依據(jù)；對重要的信息系統(tǒng)工程項目外包，應選擇經(jīng)實踐證明是安全可靠的廠商；系統(tǒng)開發(fā)文檔應當受到保護和控制；對項目測試驗收要求，應明確項目的安全系統(tǒng)需要進行安全測試驗收；（見
5.8.2.1b），5.8.2.2b），5.8.2.3b），5.8.2.4a），5.8.2.5b））
c） 系統(tǒng)啟用和終止管理，要求新的信息系統(tǒng)或子系統(tǒng)、信息系統(tǒng)設備啟用應進行一定的試運行，并得到相應領導和技術負責人認可，才能正式投入使用；現(xiàn)有信息系統(tǒng)或子系統(tǒng)、信息系統(tǒng)設備需要終止運行，應進行必要數(shù)據(jù)和軟件備份，對終止運行的設備進行數(shù)據(jù)清除，并得到
相應領導和技術負責人認可才能正式終止運行。（見5.8.3.1b），5.8.3.2b））