6.1.4 風險管理要求

本級要求如下：

a） 風險管理要求和策略，能夠進行基本的風險管理，包括編制資產(chǎn)清單，重要性分析，威脅的初步分析，用工具掃描進行脆弱性分析，能夠簡單分析安全風險和選擇安全措施；（見5.3.1.1a））
b） 風險分析和評估要求，應(yīng)對信息系統(tǒng)的資產(chǎn)進行統(tǒng)計和分類，根據(jù)重要程度對資產(chǎn)進行標識；根據(jù)以往的安全事件和經(jīng)驗對威脅進行基本分析；通過掃描器等工具來獲得對系統(tǒng)脆弱性的認識；分析和編制脆弱性列表；可以由用戶和專家通過經(jīng)驗對風險進行評價，形成評估報告；
（見5.3.2.1a），5.3.2.2a），5.3.2.3a），5.3.2.4a））
c） 風險控制要求，用基線選擇的方法決定安全控制措施；（見5.3.3.1a））
d） 基于風險的決策要求，應(yīng)形成殘余風險分析報告，并由組織機構(gòu)高層管理決定風險的接受；基于這一判斷決定是否允許信息系統(tǒng)運行；（見5.3.4.1a），5.3.4.2a））
e） 風險評估的管理要求，根據(jù)資質(zhì)和信譽選擇評估機構(gòu)；要求評估機構(gòu)人員簽署保密協(xié)議；提交評估資料應(yīng)規(guī)定交接手續(xù)；進行技術(shù)測試必須經(jīng)過授權(quán)。（見5.3.5.1a），5.3.5.2a），5.3.5.3a），5.3.5.4a））


6.1.5 環(huán)境和資源管理要求

本級要求如下：

a） 環(huán)境安全管理要求，組織機構(gòu)應(yīng)通過正式授權(quán)程序委派責任部門或?qū)Ｈ素撠熚锢戆踩ぷ鳎枰⒂嘘P(guān)規(guī)章制度，包括對機房安全管理規(guī)定基本要求；信息系統(tǒng)的物理環(huán)境安全方面的設(shè)施應(yīng)達到GB/T 20271-2006中6.1.1的有關(guān)要求；（見5.4.1.1a），5.4.1.2a））
b） 資源管理要求，組織機構(gòu)應(yīng)編制并維護與信息系統(tǒng)相關(guān)的資產(chǎn)清單；對資產(chǎn)進行重要性標識；規(guī)定存放重要數(shù)據(jù)和軟件的介質(zhì)管理的基本要求；對設(shè)備管理要求，各種軟硬件設(shè)備的選型、采購、發(fā)放或領(lǐng)用，使用者應(yīng)提出申請，報經(jīng)相應(yīng)領(lǐng)導審批，才可以實施；設(shè)備的選型、采
購、使用和保管應(yīng)有責任人。（見5.4.2.1a），5.4.2.2a），5.4.2.3a），5.4.2.4a））


6.1.6 操作和維護管理要求

本級要求如下：

a） 用戶管理包括對用戶分類管理，編制用戶分類清單，依據(jù)清單建立用戶和分配權(quán)限；要求系統(tǒng)用戶堅持最小授權(quán)原則；規(guī)定普通用戶的基本要求；對組織機構(gòu)外部用戶要有合法使用的聲明；要求臨時用戶的設(shè)置與刪除必須經(jīng)過審批和記錄備案；（見5.5.1.1a），5.5.1.2a），5.5.1.3a），5.5.1.4a），5.5.1.5a））
b） 運行操作管理包括，要求對服務(wù)器操作應(yīng)注意啟動/停止、配置保護、口令方式的身份鑒別等基本管理；對終端計算機應(yīng)設(shè)置開機、屏幕保護等口令，軟件安裝等要求；制定便攜機操作的基本要求；對網(wǎng)絡(luò)及安全設(shè)備操作的管理員身份鑒別的要求；對業(yè)務(wù)應(yīng)用操作進行訪問權(quán)限控制；要求在正式運行系統(tǒng)中任何變更控制必須經(jīng)過申報和審批；信息發(fā)布必須符合國家有關(guān)政策法規(guī)的要求；（見5.5.2.1a），5.5.2.2a），5.5.2.3a），5.5.2.4a），5.5.2.5a），5.5.2.6a），5.5.2.7a））
c） 運行維護管理包括，通過正式授權(quán)程序委派專人負責系統(tǒng)運行及其安全；安全管理人員應(yīng)協(xié)同應(yīng)用部門對信息系統(tǒng)運行進行安全管理；對運行狀況監(jiān)控應(yīng)進行日志保護和查閱管理；軟件硬件維護要求明確維護人員及其責任，并規(guī)定維修時限；對外部服務(wù)方訪問必須經(jīng)過審批；（見5.5.3.1a），5.5.3.2a），5.5.3.3a），5.5.3.4a））
d） 對外包服務(wù)的管理應(yīng)包括外包服務(wù)的風險識別、相應(yīng)安全制度的制定與實施，并以此為依據(jù)簽署正式的書面合同；應(yīng)選擇有資質(zhì)且信譽好的外包服務(wù)商；對外包服務(wù)的業(yè)務(wù)應(yīng)用系統(tǒng)運行應(yīng)進行監(jiān)控和檢查；（見5.5.4.1a），5.5.4.2a），5.5.4.3a））
e） 有關(guān)安全機制的保障包括，應(yīng)對系統(tǒng)管理員和普通用戶明確使用和保護身份鑒別機制的責任；
對訪問控制策略管理要求應(yīng)明確訪問控制策略的定義和授權(quán)管理；對操作系統(tǒng)指定安全管理的責任人，進行正確的用戶管理配置；制定有關(guān)網(wǎng)絡(luò)系統(tǒng)安全管理和配置的規(guī)定；對應(yīng)用系統(tǒng)指定安全責任人，進行正確的配置；應(yīng)指定人員檢查網(wǎng)絡(luò)和主機的病毒檢測并保存記錄。（見5.5.5.1a），5.5.5.2a），5.5.5.3a），5.5.5.4a），5.5.5.5a），5.5.5.6a））


6.1.7 業(yè)務(wù)連續(xù)性管理要求

本級要求如下：

a） 業(yè)務(wù)連續(xù)性管理包括，數(shù)據(jù)備份和恢復策略要求規(guī)定不同業(yè)務(wù)應(yīng)用的系統(tǒng)層面和應(yīng)用層面需要備份的內(nèi)容和周期；確定采用離線備份或在線備份方案；（見5.6.1.1a））
b） 安全事件處理要求，根據(jù)組織機構(gòu)自身的實際情況對安全事件劃分成不同的安全等級，為事件的報告和處理提供依據(jù)；應(yīng)規(guī)定正式的報告程序和事故響應(yīng)程序；要求所有員工知道報告安全事件程序和責任；事件處理后應(yīng)有適當?shù)姆答伋绦颍唬ㄒ?.6.2.1a），5.6.2.2a））
c） 應(yīng)急處理要求，應(yīng)規(guī)定應(yīng)急處理和災(zāi)難恢復要求，對信息系統(tǒng)的應(yīng)急處理有明確的程序，制定具體的應(yīng)急處理措施；按照應(yīng)急計劃框架要求制定應(yīng)急處理計劃；為應(yīng)急計劃的實施保障要求明確應(yīng)急計劃的組織和實施人員及其責任；安全管理人員應(yīng)協(xié)助分管領(lǐng)導落實應(yīng)急處理措施。（見5.6.3.1a），5.6.3.2a），5.6.3.3a））


6.1.8 監(jiān)督和檢查管理要求

本級要求如下：

a） 應(yīng)知曉適用的法律并防止違法行為；建立關(guān)于尊重知識產(chǎn)權(quán)的策略，并形成書面文檔；保護證據(jù)記錄，要求保護機構(gòu)的重要記錄，明確需要保護的內(nèi)容范圍；（見5.7.1.1a），5.7.1.2a），5.7.1.3a））
b） 監(jiān)督控制要求，依照國家政策法規(guī)和技術(shù)及管理標準進行自主保護。（見5.7.3.2a））


6.1.9 生存周期管理要求

本級要求如下：

a） 規(guī)劃和立項管理，信息系統(tǒng)的管理者應(yīng)建立信息系統(tǒng)建設(shè)和發(fā)展計劃；應(yīng)用部門或業(yè)務(wù)部門可以提出業(yè)務(wù)應(yīng)用的需求，必須經(jīng)過主管領(lǐng)導的審批或者經(jīng)過管理層的討論批準，才能正式立項；（見5.8.1.1a），5.8.1.2a），5.8.1.3a））
b） 建設(shè)過程管理，要求信息系統(tǒng)建設(shè)項目明確指定項目負責人；信息系統(tǒng)工程項目外包，應(yīng)選擇具有服務(wù)資質(zhì)的信譽較好的廠商；對自行開發(fā)的應(yīng)明確要求開發(fā)環(huán)境與實際運行環(huán)境物理分開；對安全產(chǎn)品使用要求應(yīng)按照相應(yīng)的安全保護等級的要求選擇相應(yīng)等級的產(chǎn)品；對建設(shè)項目測試驗收要求進行功能和性能測試，指定建設(shè)項目測試驗收負責人；（見5.8.2.1a），5.8.2.2a），5.8.2.3a），5.8.2.4a），5.8.2.5a））
c） 系統(tǒng)啟用和終止管理，要求新的信息系統(tǒng)或子系統(tǒng)、信息系統(tǒng)設(shè)備啟用應(yīng)經(jīng)過相應(yīng)領(lǐng)導審批才能正式投入使用；現(xiàn)有信息系統(tǒng)或子系統(tǒng)、信息系統(tǒng)設(shè)備需要終止運行，應(yīng)說明原因及采取的保護措施，經(jīng)過相應(yīng)領(lǐng)導審批才能正式終止運行。（見5.8.3.1a），5.8.3.2a））


6.2 第二級：系統(tǒng)審計保護級

6.2.1 管理目標和范圍

本級為系統(tǒng)審計保護級，實施操作規(guī)程管理，進行指導保護。適用于一定程度上涉及國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益的一般信息和信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益造成一定損害。在滿足第一級的管理要求的基礎(chǔ)上，本級管理要求達到具有基于操作規(guī)程的安全管理措施，還應(yīng)建立信息管理制度、信息安全產(chǎn)品采購與使用等必須的管理制度；具有基本的網(wǎng)絡(luò)基礎(chǔ)設(shè)施與邊界保護；具有更細粒度的自主訪問控制措施，能夠解決非授權(quán)的訪問；要求基本保護信息不被非法竊取，具有保護數(shù)據(jù)信息和系統(tǒng)的完整性不受破壞的措施；被授權(quán)的用戶隨時可以訪問信息并對自己的行為負責；具有初步的監(jiān)控措施和初步的響應(yīng)與恢復措施，并實施信息系統(tǒng)生存周期的全程管理。通過管理活動保證信息系統(tǒng)達到GB17859-1999的本級要求。（見5.1.1.1b））

6.2.2 政策和制度要求

在滿足第一級的管理要求的基礎(chǔ)上，本級要求如下：

a） 總體安全管理策略，應(yīng)包括較完整的安全管理策略，由信息安全職能部門負責制定，安全管理策略文檔應(yīng)由組織機構(gòu)負責人簽發(fā)，按照有關(guān)文件管理程序發(fā)布；（見5.1.1.2b），5.1.1.3b），5.1.1.4b））
b） 安全管理規(guī)章制度，應(yīng)包括制定較完整的安全管理制度和操作規(guī)程，由信息安全職能部門負責制定，分管信息安全工作的負責人簽發(fā)，按有關(guān)文件管理程序發(fā)布；（見5.1.2.1b），5.1.2.2b））
c） 策略與制度文檔管理，對策略與制度文檔應(yīng)應(yīng)由分管信息安全的負責人和信息安全職能部門負責文檔的評審和修訂，需要借閱應(yīng)有相應(yīng)級別負責人審批和登記。（見5.1.3.1b），5.1.3.2b））


6.2.3 機構(gòu)和人員管理要求

在滿足第一級的管理要求的基礎(chǔ)上，本級要求如下：

a） 組織機構(gòu)應(yīng)建立管理信息安全工作的職能部門；負責起草信息系統(tǒng)的安全策略和發(fā)展規(guī)劃，管理安全日常事務(wù)，負責安全措施的實施或組織實施，組織并參加對安全重要事件的處理；監(jiān)控信息系統(tǒng)安全總體狀況，指導和檢查各部門和下級單位信息系統(tǒng)安全工作；（見5.2.1.1b），5.2.1.3a））
b） 人員管理要求，應(yīng)提出安全管理人員和其他關(guān)鍵崗位人員的兼職限制要求；對關(guān)鍵崗位人員采取定期輪崗；人員錄用時應(yīng)進行必要的審查與考核；關(guān)鍵崗位人員調(diào)離崗位應(yīng)承諾保密義務(wù)；應(yīng)定期對關(guān)鍵崗位人員進行審查；（見5.2.3.1b），5.2.3.2b），5.2.3.3b），5.2.3.4b），5.2.3.5b），5.2.3.6a））
c） 教育和培訓要求，有計劃培養(yǎng)員工安全意識，以及對安全策略和操作規(guī)程的培訓。（見5.2.4.1b），5.2.4.2a））


6.2.4 風險管理要求

在滿足第一級的管理要求的基礎(chǔ)上，本級要求如下：

a） 風險管理要求和策略，針對關(guān)鍵系統(tǒng)資源的定期風險分析和評估；制定基本的風險管理策略，給予必要的組織和資源保證；（見5.3.1.1b），5.3.1.2a））
b） 風險分析和評估要求，增加針對每個或者每類資產(chǎn)的威脅列表；應(yīng)對信息系統(tǒng)進行脆弱性人工分析和滲透測試，對各種指標進行綜合分析，得到脆弱性的等級；進行全面的風險評價，判斷風險的優(yōu)先級，建議處理風險的措施，最終形成風險評估報告和有關(guān)中間結(jié)果；（見5.3.2.1a），5.3.2.2b），5.3.2.3b），5.3.2.4b））
c） 風險處理和減緩要求，根據(jù)風險評估的結(jié)果決定信息安全的控制措施；（見5.3.3.1b））
d） 基于風險的決策要求，應(yīng)形成殘余風險分析報告，并密切注意殘余風險的變化，及時處理；由機構(gòu)高層管理決定風險的接受，應(yīng)采取相應(yīng)的風險規(guī)避措施，控制信息系統(tǒng)的運行；（見5.3.4.1b），5.3.4.2b））
e） 風險評估的管理要求，應(yīng)在經(jīng)過本行業(yè)主管認可或上級行政領(lǐng)導部門批準的范圍內(nèi)選擇具有國家主管部門認可的安全服務(wù)資質(zhì)的評估機構(gòu)；應(yīng)監(jiān)督檢查評估機構(gòu)的保密協(xié)議執(zhí)行情況；
提交評估資料必要時可以隱藏或替換敏感參數(shù)；進行技術(shù)測試應(yīng)在監(jiān)督下按技術(shù)方案進行。（見5.3.5.1b），5.3.5.2b），5.3.5.3b），5.3.5.4b））


6.2.5 環(huán)境和資源管理要求

在滿足第一級的管理要求的基礎(chǔ)上，本級要求如下：

a） 環(huán)境安全管理要求，應(yīng)對物理環(huán)境劃分不同等級安全區(qū)域進行管理；規(guī)定對來訪人員的控制措施；規(guī)定辦公環(huán)境安全管理的基本要求；指定專人負責物理安全區(qū)和物理設(shè)施的日常安全管理，制定設(shè)施購置計劃、驗收、運行、維護、處置管理制度，監(jiān)督、檢查物理設(shè)施安全管理制度的落實。所有物理設(shè)施要分類編目，指定物理設(shè)施安全責任人；信息系統(tǒng)的物理環(huán)境安全方面的設(shè)施應(yīng)達到GB/T 20271-2006中6.2.1的有關(guān)要求；（見5.4.1.1b），5.4.1.2b），5.4.1.3a））
b） 資源管理要求，應(yīng)編制詳細的資產(chǎn)清單，包括資產(chǎn)擁有權(quán)、責任人、安全分類以及資產(chǎn)所在的位置等；根據(jù)信息資產(chǎn)分類方式對信息資產(chǎn)進行分類管理；對數(shù)據(jù)和軟件介質(zhì)進行標識和分類存儲在由專人管理的介質(zhì)庫或檔案室中，要求重要介質(zhì)異地存儲；通過對資產(chǎn)清單的管理，記錄資產(chǎn)的狀況和使用、轉(zhuǎn)移、廢棄及其授權(quán)過程，保證設(shè)備的完好率。（見5.4.2.1b），5.4.2.2b），5.4.2.3b），5.4.2.4b））


6.2.6 操作和維護管理要求

在滿足第一級的管理要求的基礎(chǔ)上，本級要求如下：

a） 用戶管理要求，應(yīng)編制特權(quán)用戶清單，說明權(quán)限，并進行審計；對系統(tǒng)用戶應(yīng)責任到人；對普通用戶應(yīng)規(guī)定處理敏感信息的要求；對外部特定外部用戶應(yīng)采用專用通信通道，端口，協(xié)議，專用設(shè)備等措施；對主要部位的臨時用戶應(yīng)進行審計；（見5.5.1.1b），5.5.1.2b），5.5.1.3b），
5.5.1.4b），5.5.1.5b））
b） 運行操作管理要求，對服務(wù)器應(yīng)注意日志文件管理和監(jiān)控系統(tǒng)性能；便攜機應(yīng)規(guī)定遠程操作等限制要求；對網(wǎng)絡(luò)及安全設(shè)備應(yīng)進行策略配置符合性的檢查；重要的業(yè)務(wù)應(yīng)用操作應(yīng)根據(jù)上級的指令要求執(zhí)行并進行審計；對變更控制管理應(yīng)制度化，建立管理文檔；組織機構(gòu)之間進行信息交換應(yīng)建立包括安全條件的協(xié)議；（見5.5.2.1b），5.5.2.2a），5.5.2.3b），5.5.2.4b），5.5.2.5b），5.5.2.6b），5.5.2.7b））
c） 運行維護管理要求，應(yīng)實行系統(tǒng)運行的制度化管理；對運行狀況監(jiān)控要求監(jiān)視服務(wù)器系統(tǒng)性能；設(shè)備外出維修應(yīng)審批，磁盤數(shù)據(jù)必須刪除；外部維修人員進入機房應(yīng)經(jīng)過審批并專人陪同；對外部服務(wù)方訪問進行制度化管理；（見5.5.3.1b），5.5.3.2b），5.5.3.3b），5.5.3.4b））
d） 外包服務(wù)管理要求，應(yīng)在行業(yè)認可或上級批準的范圍內(nèi)選擇外包服務(wù)商；對外包服務(wù)的業(yè)務(wù)應(yīng)用系統(tǒng)運行應(yīng)定期評估，出現(xiàn)重大安全問題應(yīng)及時處理，直至停止外包服務(wù)；（見5.5.4.1a），5.5.4.2b），5.5.4.3b））
e） 有關(guān)安全機制的保障要求包括，應(yīng)對身份鑒別機制有強度要求，并指定安全管理人員定期進行檢查；應(yīng)根據(jù)實際情況選擇合適的訪問控制管理模式，并保證最高管理層對訪問控制管理的掌握；系統(tǒng)安全管理要求包括操作系統(tǒng)配置、使用的審計等；網(wǎng)絡(luò)安全管理要求進行針對網(wǎng)絡(luò)使用的審計監(jiān)控和評估；應(yīng)用系統(tǒng)安全要求基于安全操作規(guī)程的管理和信息的分類管理；
要求進行制度化的病毒防護管理；密碼管理要求必須符合國家法律規(guī)定，對密碼算法和密鑰實施分等級管理。（見5.5.5.1b），5.5.5.2b），5.5.5.3b），5.5.5.4b），5.5.5.5b），5.5.5.6b），5.5.5.7a））


6.2.7 業(yè)務(wù)連續(xù)性管理要求

在滿足第一級的管理要求的基礎(chǔ)上，本級要求如下：

a） 備份與恢復要求，數(shù)據(jù)備份和恢復策略要求對備份介質(zhì)和恢復功能定期檢查；設(shè)備和系統(tǒng)冗余策略要求專人定期檢查備用設(shè)備，并限定系統(tǒng)恢復的時間；（見5.6.1.1b），5.6.1.2a））
b） 安全事件處理要求，具有完善的安全事件處置制度，安全事件報告和處理要求對安全弱點和可疑事件，以及還不能確定為事故或者入侵的可疑事件應(yīng)報告；（見5.6.2.1b），5.6.2.2b））
c） 應(yīng)急處理要求，應(yīng)急處理和災(zāi)難恢復要求進行制度化管理并由應(yīng)急處理小組負責落實；進行系統(tǒng)化管理用于開發(fā)和維護整個組織的應(yīng)急計劃體系；為保證應(yīng)急計劃的執(zhí)行應(yīng)對系統(tǒng)相關(guān)的人員進行培訓。（見5.6.3.1b），5.6.3.2a），5.6.3.3b））


6.2.8 監(jiān)督和檢查管理要求

在滿足第一級的管理要求的基礎(chǔ)上，本級要求如下：

a） 符合法律要求，機構(gòu)應(yīng)有措施防止對信息處理設(shè)備的濫用；對重要應(yīng)用系統(tǒng)軟件，應(yīng)防止發(fā)生因軟件升級或改造引起侵犯軟件版權(quán)的行為；（見5.7.1.1b），5.7.1.2b），5.7.1.3a））
b） 依從性檢查要求，應(yīng)定期對安全管理進行檢查和評估，安全策略依從性要求檢查信息系統(tǒng)的管理者對安全策略的遵守情況；技術(shù)依從性要求定期檢查系統(tǒng)安全保障措施與安全實施標準的符合性；（見5.7.2.1a），5.7.2.2a），5.7.2.3a））
c） 審計及監(jiān)管要求，應(yīng)有獨立的審計機構(gòu)對組織機構(gòu)的安全管理職責體系、信息系統(tǒng)的安全風險控制等進行審計；在信息安全監(jiān)管職能部門指導下依照國家政策法規(guī)和技術(shù)及管理標準進行自主保護；（見5.7.3.1a），5.7.3.2b））
d） 責任認定要求，應(yīng)對監(jiān)督和審查發(fā)現(xiàn)的問題限期解決，并認定技術(shù)責任和管理責任以及責任當事人，有關(guān)部門提出問題解決辦法和責任處理意見；對監(jiān)管者逾期未進行解決，促使本應(yīng)避免問題造成信息系統(tǒng)損失的應(yīng)承擔相應(yīng)責任。（見5.7.4.1a），5.7.4.2a））


6.2.9 生存周期管理要求

在滿足第一級的管理要求的基礎(chǔ)上，本級要求如下：

a） 規(guī)劃和立項管理，信息系統(tǒng)的管理者應(yīng)建立安全策略規(guī)劃；安全管理職能部門應(yīng)、提出加強系統(tǒng)安全的具體需求，進行可行性論證，經(jīng)過管理層的批準后正式立項；（見5.8.1.1b），5.8.1.2b），5.8.1.3b））
b） 建設(shè)過程管理，要求信息系統(tǒng)建設(shè)項目應(yīng)制定詳細的項目實施計劃，作為項目管理的依據(jù)；對重要的信息系統(tǒng)工程項目外包，應(yīng)選擇經(jīng)實踐證明是安全可靠的廠商；系統(tǒng)開發(fā)文檔應(yīng)當受到保護和控制；對項目測試驗收要求，應(yīng)明確項目的安全系統(tǒng)需要進行安全測試驗收；（見
5.8.2.1b），5.8.2.2b），5.8.2.3b），5.8.2.4a），5.8.2.5b））
c） 系統(tǒng)啟用和終止管理，要求新的信息系統(tǒng)或子系統(tǒng)、信息系統(tǒng)設(shè)備啟用應(yīng)進行一定的試運行，并得到相應(yīng)領(lǐng)導和技術(shù)負責人認可，才能正式投入使用；現(xiàn)有信息系統(tǒng)或子系統(tǒng)、信息系統(tǒng)設(shè)備需要終止運行，應(yīng)進行必要數(shù)據(jù)和軟件備份，對終止運行的設(shè)備進行數(shù)據(jù)清除，并得到
相應(yīng)領(lǐng)導和技術(shù)負責人認可才能正式終止運行。（見5.8.3.1b），5.8.3.2b））