6.4.4 風險管理要求

在滿足第三級的管理要求的基礎(chǔ)上，本級要求如下：

a） 風險管理要求和策略，應(yīng)建立風險管理質(zhì)量管理體系，進行獨立審計；要求機構(gòu)能夠做到針對風險的變化重新啟動風險評估；（見5.3.1.1d），5.3.1.2c））
b） 風險分析和評估要求，對關(guān)鍵區(qū)域或部位進行威脅分析和評估，在業(yè)務(wù)應(yīng)用許可并得到批準的條件下，應(yīng)使用檢測工具在特定時間捕捉攻擊信息進行分析；其他同第三級要求；（見5.3.2.1b），5.3.2.2d），5.3.2.3c），5.3.2.4c））
c） 風險處理和減緩要求，同第三級要求；（見5.3.3.1c））
d） 基于風險的決策要求，同第三級要求；（見5.3.4.1c），5.3.4.2b））
e） 風險評估的管理要求，應(yīng)按照國家主管部門有關(guān)管理規(guī)定選擇可信評估機構(gòu)，必要時應(yīng)由國家指定專門部門、專門機構(gòu)組織進行信息系統(tǒng)風險評估；結(jié)合實際情況制定具體保密要求及實施辦法；由本機構(gòu)人員進行技術(shù)測試操作并對測試結(jié)果過濾敏感或涉及國家秘密信息后再交評估方分析。（見5.3.5.1c），5.3.5.2c），5.3.5.3c），5.3.5.4d））


6.4.5 環(huán)境和資源管理要求

在滿足第三級的管理要求的基礎(chǔ)上，本級要求如下：

a） 環(huán)境安全管理要求，實施不同等級安全區(qū)域的隔離管理；機房使用視頻監(jiān)控和專職警衛(wèi)；規(guī)定關(guān)鍵部位辦公環(huán)境的要求；建立出入審計、登記管理制度，保證出入得到明確授權(quán)，并出
入人員持有授權(quán)書，授權(quán)書中要明確出入的目的、操作的對象、操作的步驟和操作的結(jié)果證明；對出入標記安全區(qū)的活動進行不間斷實時監(jiān)視記錄；建立出入安全檢查制度，保證出入人員沒有攜帶危及信息系統(tǒng)安全的設(shè)施或物品；信息系統(tǒng)的物理環(huán)境安全方面的設(shè)施應(yīng)達到GB/T 20271-2006中6.4.1的有關(guān)要求；（見5.4.1.1d），5.4.1.2d），5.4.1.3c））
b） 資源管理要求，對重要數(shù)據(jù)的介質(zhì)必須加密存儲；介質(zhì)的保存和分發(fā)傳遞按照機要件管理方法處理；其他同第三級要求。（見5.4.2.1c），5.4.2.2c），5.4.2.3d），5.4.2.4c））


6.4.6 操作和維護管理要求

在滿足第三級的管理要求的基礎(chǔ)上，本級要求如下：

a） 用戶管理要求，應(yīng)對關(guān)鍵部位用戶逐一審批和授權(quán)，定期檢查符合性，并開啟審計功能；（見5.5.1.1d），5.5.1.2c），5.5.1.3c），5.5.1.4c），5.5.1.5c））
b） 運行操作管理要求，關(guān)鍵部位的終端計算機必須啟用兩個及兩個以上身份鑒別技術(shù)的組合來進行身份鑒別，終端計算機應(yīng)采用低輻射設(shè)備，每個終端計算機的管理必須由專人負責；對便攜機操作要求包括應(yīng)采用低輻射設(shè)備，機內(nèi)的涉及國家秘密數(shù)據(jù)應(yīng)采用一定強度的加密儲存或采用隱藏技術(shù)；變更控制管理要求實施的獨立的安全審計，并進行一致性檢查；涉密信息在其安全區(qū)域之外傳輸應(yīng)經(jīng)過批準并明確責任，還應(yīng)采取必要的安全措施；（見5.5.2.1c），5.5.2.2c），5.5.2.3d），5.5.2.4c），5.5.2.5c），5.5.2.6d），5.5.2.7d））
c） 運行維護管理要求，應(yīng)對系統(tǒng)運行管理過程實施獨立的審計，保證安全管理過程的有效性；運行狀況監(jiān)控應(yīng)對關(guān)鍵區(qū)域和關(guān)鍵業(yè)務(wù)應(yīng)用系統(tǒng)運行的監(jiān)視；軟件硬件維護要求一般不允許外部維修人員進入關(guān)鍵區(qū)域；應(yīng)對外部服務(wù)方每次訪問都應(yīng)進行風險控制，必要時應(yīng)不允許外部服務(wù)方的訪問；（見5.5.3.1d），5.5.3.2d），5.5.3.3d），5.5.3.4d））
d） 外包服務(wù)管理同第三級要求；（見5.5.4.2c））
e） 有關(guān)安全機制保障要求包括，身份鑒別機制管理要求進行身份鑒別和認證管理的強制保護；訪問控制策略管理要求進行訪問控制的監(jiān)控管理，檢查和保護審計數(shù)據(jù)和工具；系統(tǒng)安全管理要求基于強身份鑒別；網(wǎng)絡(luò)安全管理要求基于獨立安全審計；應(yīng)用系統(tǒng)安全管理要求基于獨立審計和工作隔離；病毒防護管理要求進行監(jiān)督檢查；（見5.5.5.1d），5.5.5.2d），5.5.5.3d），5.5.5.4d），5.5.5.5d），5.5.5.6d），5.5.5.7b））
f） 安全機制集中管理要求，根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)要求，能夠按照分布式多層次的管理結(jié)構(gòu)，進行分層級聯(lián)方式的集中安全管理；應(yīng)對關(guān)鍵區(qū)域網(wǎng)絡(luò)安全信息的處理和訪問具有相應(yīng)安全級別的控制和保護措施；對關(guān)鍵區(qū)域或涉密網(wǎng)絡(luò)，可限制網(wǎng)絡(luò)用戶非法入網(wǎng)，對網(wǎng)絡(luò)主機進行地址綁定、定位檢測等控制措施。（見5.5.6.1b），5.5.6.2b），5.5.6.3a），5.5.6.4a））


6.4.7 業(yè)務(wù)連續(xù)性管理要求

在滿足第三級的管理要求的基礎(chǔ)上，本級要求如下：

a） 備份與恢復要求，數(shù)據(jù)備份和恢復策略要求定制如遠地系統(tǒng)備份等適當方式和恢復方式以及操作程序，必要時對備份后的數(shù)據(jù)采取加密處理，操作時要求兩人在場并備案；建立遠地系統(tǒng)備份中心，確保主系統(tǒng)在遭到破壞時遠地系統(tǒng)能替代主系統(tǒng)運行；（見5.6.1.1d），5.6.1.2c））
b） 安全事件處理同第三級要求；（見5.6.2.1c），5.6.2.2c））
c） 應(yīng)急處理要求，應(yīng)急處理和災難恢復要求實施的獨立審計；應(yīng)急計劃的實施保障要求進行業(yè)務(wù)連續(xù)性要求分析。（見5.6.3.1d），5.6.3.2a），5.6.3.3d））


6.4.8 監(jiān)督和檢查管理要求

在滿足第三級的管理要求的基礎(chǔ)上，本級要求如下：

a） 符合法律要求同第三級要求；（見5.7.1.1c），5.7.1.2c），5.7.1.3a））
b） 依從性檢查要求，安全策略依從性檢查應(yīng)是持續(xù)改進過程；對關(guān)鍵區(qū)域或涉密系統(tǒng)的技術(shù)依從性檢查，應(yīng)注意對有關(guān)檢測過程和檢測結(jié)果的安全進行保護；（見5.7.2.1b），5.7.2.2c），5.7.2.3c））
c） 審計及監(jiān)管要求，應(yīng)對系統(tǒng)審計工具進行保護，明確審計工具的保存方式、責任人員等；應(yīng)對系統(tǒng)審計活動進行規(guī)劃，減小中斷業(yè)務(wù)流程的風險，對所有的流程、需求和責任都應(yīng)文檔化；依照國家政策法規(guī)和技術(shù)及管理標準進行自主保護，信息安全監(jiān)管職能部門對其進行強制監(jiān)督、檢查；（見5.7.3.1c），5.7.3.2d））
d） 責任認定要求，應(yīng)對審計發(fā)現(xiàn)問題的處理結(jié)果進行復查，并明確復查的期限和責任；對審計及監(jiān)管者應(yīng)對審計發(fā)現(xiàn)問題的處理結(jié)果進行跟蹤檢查，對未進行跟蹤檢查而造成損失的應(yīng)承擔責任。（見5.7.4.1c），5.7.4.2c））


6.4.9 生存周期管理要求

在滿足第三級的管理要求的基礎(chǔ)上，本級要求如下：

a） 規(guī)劃和立項管理，同第三級要求；（見5.8.1.1c），5.8.1.2c），5.8.1.3c））
b） 建設(shè)過程管理，對于安全保護等級較高的信息系統(tǒng)工程項目，一般不應(yīng)采取工程項目外包方式；對于安全保護等級較高的信息系統(tǒng)建設(shè)項目及涉密項目，應(yīng)對開發(fā)全過程采取相應(yīng)的保密措施，對參與開發(fā)的有關(guān)人員進行保密教育和管理；（見5.8.2.1c），5.8.2.2d），5.8.2.3d），5.8.2.4a），5.8.2.5c））
c） 系統(tǒng)啟用和終止管理，要求新的信息系統(tǒng)或子系統(tǒng)、信息系統(tǒng)設(shè)備正式投入使用的一定時間內(nèi)，應(yīng)進行審計跟蹤，定期對審計結(jié)果做出風險評價，對安全進行卻認決定是否能夠繼續(xù)運行，并形成文檔備案。（見5.8.3.1d），5.8.3.2c））


6.5 第五級：訪問驗證保護級

6.5.1 管理目標和范圍

本級為訪問驗證保護級，實施持續(xù)改進管理，進行專控保護。適用于涉及國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益的重要信息和信息系統(tǒng)的核心子系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益造成特別嚴重損害。在實現(xiàn)第四級管理目標的基礎(chǔ)上，本級管理要求達到具有自我持續(xù)改進的安全管理措施，建立完善的信息系統(tǒng)安全管理制度；要求有持續(xù)完善的安全計劃、安全規(guī)程、安全措施，不斷化解信息系統(tǒng)的安全風險；要求能夠保護核心的局域計算環(huán)境，具有可信的網(wǎng)絡(luò)基礎(chǔ)設(shè)施與邊界，具有嚴格的用戶權(quán)限與訪問控制措施；具有防止各種手段的信息泄漏和竊取措施，確保被授權(quán)的用戶隨時可以訪問信息，確保責任（抗抵賴性，對自己的行為負責），嚴密的監(jiān)控措施（強審記、異常檢測），具有較好的響應(yīng)與恢復措施；對信息系統(tǒng)的安全實施全面質(zhì)量管理。通過管理活動保證信息系統(tǒng)達到GB17859-1999本級的要求。（見5.1.1.1e））

6.5.2 政策和制度要求

在滿足第四級的管理要求的基礎(chǔ)上，本級要求如下：

a） 總體安全管理策略，應(yīng)包括?？乇Ｗo的信息安全管理策略，必要時應(yīng)征求國家指定的專門部門或機構(gòu)的意見，或者共同制定，必要時安全管理策略文檔應(yīng)在國家指定的專門部門或機構(gòu)進行備案；（見5.1.1.2e），5.1.1.3e），5.1.1.4e））
b） 安全管理規(guī)章制度，應(yīng)包括制定?？乇Ｗo的信息安全管理制度，應(yīng)征求組織機構(gòu)的保密管理部門的意見或者共同制定；（見5.1.2.1e），5.1.2.2e））
c） 策略與制度文檔管理，必要時可請組織機構(gòu)的保密管理部門參加文檔的評審和修訂，對文檔的保管應(yīng)與相關(guān)業(yè)務(wù)部門協(xié)商制定專項控制的管理措施。（見5.1.3.1e），5.1.3.2e））


6.5.3 機構(gòu)和人員管理要求


在滿足第四級的管理要求的基礎(chǔ)上，本級要求如下：

a） 安全管理機構(gòu)要求，應(yīng)建立信息安全保密管理部門，加強對信息安全管理重要過程和管理人員的監(jiān)督管理；信息安全領(lǐng)導小組應(yīng)指導和檢查該部門的各項工作；（見5.2.1.1e），5.2.1.2b），5.2.1.3b））
b） 信息系統(tǒng)安全集中管理機構(gòu)對核心系統(tǒng)安全運行的管理，應(yīng)與有關(guān)業(yè)務(wù)應(yīng)用的主管部門協(xié)調(diào)，定制更高安全級別的管理方式；（見5.2.2.1a），5.2.2.2c））
c） 人員管理要求，應(yīng)具有針對內(nèi)部人員全面控制的保證措施，實施針對所有崗位工作人員全面安全質(zhì)量管理；使所有人員都能理解并有能力執(zhí)行規(guī)定的安全管理要求，保證所有人員達到相應(yīng)崗位的安全資質(zhì)；（見5.2.3.1d），5.2.3.2e），5.2.3.3d），5.2.3.4d），5.2.3.5d），5.2.3.6c））
d） 教育和培訓要求，針對所有工作人員進行相應(yīng)資質(zhì)管理，并使安全意識成為所有工作人員的自覺存在。（見5.2.4.1e），5.2.4.2b））


6.5.4 風險管理要求

在滿足第四級的管理要求的基礎(chǔ)上，本級要求如下：

a） 風險管理要求和策略，應(yīng)針對風險管理活動，實施全面的質(zhì)量管理；（見5.3.1.1e），5.3.1.2c））
b） 風險分析和評估要求，同第三級要求；（見5.3.2.1b），5.3.2.2d），5.3.2.3c），5.3.2.4c））
c） 風險處理和減緩要求，同第四級要求；（見5.3.3.1c））
d） 基于風險的決策要求，同第四級要求；（見5.3.4.1c），5.3.4.2b））
e） 風險評估的管理要求，同第四級要求。（見5.3.5.1c），5.3.5.2c），5.3.5.3c），5.3.5.4d））


6.5.5 環(huán)境和資源管理要求

在滿足第四級的管理要求的基礎(chǔ)上，本級要求如下：

a） 環(huán)境安全管理要求對物理安全的保障有持續(xù)的改善；對物理安全保障應(yīng)定期進行監(jiān)督、檢查和不斷改進；采取防止電磁泄漏保護的措施；信息系統(tǒng)的物理環(huán)境安全方面的設(shè)施應(yīng)達到GB/T 20271-2006中6.5.1的有關(guān)要求；（見5.4.1.1e），5.4.1.2e），5.4.1.3c））
b） 資源管理要求，對極為重要數(shù)據(jù)的介質(zhì)可以使用數(shù)據(jù)隱藏技術(shù)進行存儲；其他同第四級要求。（見5.4.2.1c），5.4.2.2c），5.4.2.3e），5.4.2.4c））


6.5.6 操作和維護管理要求

在滿足第四級的管理要求的基礎(chǔ)上，本級要求如下：

a） 用戶管理同第四級要求；（見5.5.1.1d），5.5.1.2c），5.5.1.3c），5.5.1.4c），5.5.1.5c））
b） 運行操作管理要求，應(yīng)針對所有變更進行安全評估；對變更計劃和效果持續(xù)改善采取相應(yīng)保證措施；（見5.5.2.1c），5.5.2.2c），5.5.2.3d），5.5.2.4c），5.5.2.5c），5.5.2.6e），5.5.2.7d））
c） 運行維護管理要求對系統(tǒng)運行進行全面的質(zhì)量管理；對核心數(shù)據(jù)的監(jiān)視應(yīng)與主管部門共同制定具體的管理辦法；（見5.5.3.1d），5.5.3.2e），5.5.3.3d），5.5.3.4d））
d） 外包服務(wù)管理同第四級要求；（見5.5.4.2c））
e） 有關(guān)安全機制保障要求包括，身份鑒別機制管理要求進行身份鑒別和認證管理的專項控制；訪問控制策略管理要求對訪問控制進行專項審批和檢查；系統(tǒng)安全管理要求實施人機操作監(jiān)視；網(wǎng)絡(luò)安全管理要求基于網(wǎng)絡(luò)物理隔離；應(yīng)用系統(tǒng)安全管理要求適應(yīng)環(huán)境要求，進行周期更短的安全審計和檢查；（見5.5.5.1e），5.5.5.2e），5.5.5.3e），5.5.5.4e），5.5.5.5e），5.5.5.6d），5.5.5.7b））
f） 安全機制集中管理應(yīng)根據(jù)核心區(qū)域網(wǎng)絡(luò)安全信息的需要，與有關(guān)主管部門共同制定專項的安全控制和保護措施；其他同第四級要求。（見5.5.6.1b），5.5.6.2c），5.5.6.3a），5.5.6.4a））


6.5.7 業(yè)務(wù)連續(xù)性管理要求

在滿足第四級的管理要求的基礎(chǔ)上，本級要求如下：

a） 備份與恢復同第四級要求；（見5.6.1.1d），5.6.1.2c））
b） 安全事件處理同第四級要求；（見5.6.2.1c），5.6.2.2c））
c） 應(yīng)急處理要求，應(yīng)急處理和災難恢復要求進行持續(xù)評估和改進；對應(yīng)急計劃的正確性和完整性進行檢查，不斷評估和完善。（見5.6.3.1e），5.6.3.2a），5.6.3.3e））


6.5.8 監(jiān)督和檢查管理要求

在滿足第四級的管理要求的基礎(chǔ)上，本級要求如下：

a） 符合法律要求同第四級要求；（見5.7.1.1c），5.7.1.2c），5.7.1.3a））
b） 依從性檢查同第四級要求；（見5.7.2.1b），5.7.2.2c），5.7.2.3c））
c） 審計及監(jiān)管要求，依照國家政策法規(guī)和技術(shù)及管理標準進行自主保護，國家指定專門部門、專門機構(gòu)進行專門監(jiān)督；（見5.7.3.1c），5.7.3.2e））
d） 責任認定同第四級要求。（見5.7.4.1 c），5.7.4.2c））


6.5.9 生存周期管理要求

在滿足第四級的管理要求的基礎(chǔ)上，本級要求如下：

a） 規(guī)劃和立項管理，同第四級要求；（見5.8.1.1c），5.8.1.2c），5.8.1.3c））
b） 建設(shè)過程管理，同第四級要求；（見5.8.2.1c），5.8.2.2d），5.8.2.3d），5.8.2.4a），5.8.2.5c））
c） 系統(tǒng)啟用和終止管理，同第四級要求。（見5.8.3.1d），5.8.3.2c））