《信息安全技术信息系统安全管理要求(GB-T 20269-2006).docx》由会员分享,可在线阅读,更多相关《信息安全技术信息系统安全管理要求(GB-T 20269-2006).docx(91页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、GB/TXXX3XXXXICS 35.040L80中华人民共和国国家标准 GB/T 202692006信息安全技术信息系统安全管理要求Information security technologyInformation system security management requirements 2006 -5-31 发布 2006-12-1 实施 国家质量监督检验检疫总局 发布1GB/T 202692006目 次前 言IV引 言V1 范围12 规范性引用文件13 术语和定义14 信息系统安全管理的一般要求24.1 信息系统安全管理的内容24.2 信息系统安全管理的原则25 信息系统安全管理
2、要素及其强度45.1 策略和制度45.1.1 信息安全管理策略45.1.2 安全管理规章制度65.1.3 策略与制度文档管理85.2 机构和人员管理95.2.1 安全管理机构95.2.2 安全机制集中管理机构105.2.3 人员管理115.2.4 教育和培训135.3 风险管理145.3.1 风险管理要求和策略145.3.2 风险分析和评估155.3.3 风险控制175.3.4 基于风险的决策175.3.5 风险评估的管理185.4 环境和资源管理195.4.1 环境安全管理195.4.2 资源管理215.5 运行和维护管理235.5.1 用户管理235.5.2 运行操作管理255.5.3 运
3、行维护管理285.5.4 外包服务管理315.5.5 有关安全机制保障325.5.6 安全集中管理375.6 业务连续性管理405.6.1 备份与恢复405.6.2 安全事件处理415.6.3 应急处理425.7 监督和检查管理445.7.1 符合法律要求445.7.2 依从性检查445.7.3 审计及监管控制455.7.4 责任认定465.8 生存周期管理475.8.1 规划和立项管理475.8.2 建设过程管理485.8.3 系统启用和终止管理516 信息系统安全管理分等级要求526.1 第一级:用户自主保护级526.1.1 管理目标和范围526.1.2 政策和制度要求526.1.3 机构
4、和人员管理要求526.1.4 风险管理要求536.1.5 环境和资源管理要求536.1.6 操作和维护管理要求536.1.7 业务连续性管理要求546.1.8 监督和检查管理要求556.1.9 生存周期管理要求556.2 第二级:系统审计保护级556.2.1 管理目标和范围556.2.2 政策和制度要求566.2.3 机构和人员管理要求566.2.4 风险管理要求566.2.5 环境和资源管理要求576.2.6 操作和维护管理要求576.2.7 业务连续性管理要求586.2.8 监督和检查管理要求596.2.9 生存周期管理要求596.3 第三级:安全标记保护级596.3.1 管理目标和范围5
5、96.3.2 政策和制度要求606.3.3 机构和人员管理要求606.3.4 风险管理要求616.3.5 环境和资源管理要求616.3.6 操作和维护管理要求626.3.7 业务连续性管理要求636.3.8 监督和检查管理要求636.3.9 生存周期管理要求646.4 第四级:结构化保护级646.4.1 管理目标和范围646.4.2 政策和制度要求656.4.3 机构和人员管理要求656.4.4 风险管理要求656.4.5 环境和资源管理要求666.4.6 操作和维护管理要求666.4.7 业务连续性管理要求676.4.8 监督和检查管理要求676.4.9 生存周期管理要求686.5 第五级:
6、访问验证保护级686.5.1 管理目标和范围686.5.2 政策和制度要求686.5.3 机构和人员管理要求696.5.4 风险管理要求696.5.5 环境和资源管理要求696.5.6 操作和维护管理要求706.5.7 业务连续性管理要求706.5.8 监督和检查管理要求706.5.9 生存周期管理要求71附 录 A(资料性附录)安全管理要素及其强度与安全管理分等级要求的对应关系72附 录 B(资料性附录)信息系统安全管理概念说明75B.1 主要安全因素75B.1.1 资产75B.1.2 威胁76B.1.3 脆弱性76B.1.4 意外事件影响76B.1.5 风险76B.1.6 保护措施76B.
7、2 安全管理的过程77B.2.1 安全管理过程模型77B.2.2 安全目标77B.2.3 安全保护等级的确定77B.2.4 安全风险分析与评估78B.2.5 制定安全策略78B.2.6 安全需求分析79B.2.7 安全措施的实施79B.2.8 安全实施过程的监理80B.2.9 信息系统的安全审计81B.2.10 生存周期管理82参考文献83前 言本标准的附录A、B是资料性附录。本标准由全国信息安全标准化技术委员会提出并归口。本标准起草单位:北京思源新创信息安全资讯有限公司,江南计算技术研究所技术服务中心。本标准主要起草人:陈冠直 王志强 吉增瑞 景乾元 宋健平。III引 言信息安全等级保护从与
8、信息系统安全相关的物理层面、网络层面、系统层面、应用层面和管理层面对信息和信息系统实施分等级安全保护。管理层面贯穿于其他层面之中,是其他层面实施分等级安全保护的保证。本标准对信息和信息系统的安全保护提出了分等级安全管理的要求,阐述了安全管理要素及其强度,并将管理要求落实到信息安全等级保护所规定的五个等级上,有利于对安全管理的实施、评估和检查。GB17859-1999中安全保护等级的划分是根据对安全技术和安全风险控制的关系确定的,公通字200466号文件中安全等级的划分是根据信息和信息系统受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成损害的程度确定的。两者的共同点是:安全等级越高,发
9、生的安全技术费用和管理成本越高,从而预期能够抵御的安全威胁越大,建立起安全信心越强,使用信息系统的风险越小。本标准以安全管理要素作为描述安全管理要求的基本组件。安全管理要素是指,为实现信息系统安全等级保护所规定的安全要求,从管理角度应采取的主要控制方法和措施。根据GB17859-1999对安全保护等级的划分,不同的安全保护等级会有不同的安全管理要求,可以体现在管理要素的增加和管理强度的增强两方面。对于每个管理要素,根据特定情况分别列出不同的管理强度,最多分为5级,最少可不分级。在具体描述中,除特别声明之外,一般高级别管理强度的描述都是在对低级别描述基础之上进行的。信息系统是指由计算机及其相关和
10、配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。本标准涉及信息系统的管理者包括国家机关、事业单位、厂矿企业、公司、集团等各种类型和不同规模的组织机构,以下统称为“组织机构”。信息系统在技术上采取何种安全机制应根据相关技术标准确定,本标准仅提出保证这些安全机制实施的管理要求。与技术密切的管理是技术实现的组成部分,如果信息系统根据具体业务及其安全需求未采用该技术,则不需要相应的安全管理要求。对与管理描述难以分开的技术要求会出现在管理要求中,具体执行需要参照相关技术标准。对于涉及国家秘密的信息和信息系统的保密
11、管理,应按照国家有关保密的管理规定和相关标准执行。本标准中有关信息系统安全管理要素及其强度与信息系统安全管理分等级要求的对应关系的说明参见附录A。为了帮助读者从安全管理概念角度理解和运用这些信息系统的安全管理要求,附录B给出了信息系统安全管理概念说明。V信息安全技术 信息系统安全管理要求1 范围本标准依据GB17859-1999的五个安全保护等级的划分,规定了信息系统安全所需要的各个安全等级的管理要求。本标准适用于按等级化要求进行的信息系统安全的管理。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适
12、用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求3 术语和定义GB 17859-1999确立的以及下列术语和定义适用于本标准。3.1 完整性 integrity包括数据完整性和系统完整性。数据完整性表征数据所具有的特性,即无论数据形式作何变化,数据的准确性和一致性均保持不变的程度;系统完整性表征系统在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源的情况下,系统能履行其
13、操作目的的品质。3.2 可用性 availability表征数据或系统根据授权实体的请求可被访问与使用程度的安全属性。3.3 访问控制 access control按确定的规则,对实体之间的访问活动进行控制的安全机制,能防止对资源的未授权使用。3.4 安全审计 security audit按确定规则的要求,对与安全相关的事件进行审计,以日志方式记录必要信息,并作出相应处理的安全机制。3.5 鉴别信息 authentication information用以确认身份真实性的信息。3.6 敏感性 sensitivity表征资源价值或重要性的特性,也可能包含这一资源的脆弱性。3.7 风险评估 ris
14、k assessment通过对信息系统的资产价值/重要性、信息系统所受到的威胁以及信息系统的脆弱性进行综合分析,对信息系统及其处理、传输和存储的信息的保密性、完整性和可用性等进行科学识别和评价,确定信息系统安全风险的过程。3.8 安全策略 security policy主要指为信息系统安全管理制定的行动方针、路线、工作方式、指导原则或程序。4 信息系统安全管理的一般要求4.1 信息系统安全管理的内容信息系统安全管理是对一个组织机构中信息系统的生存周期全过程实施符合安全等级责任要求的管理,包括:落实安全管理机构及安全管理人员,明确角色与职责,制定安全规划;开发安全策略;实施风险管理;制定业务持续
15、性计划和灾难恢复计划;选择与实施安全措施;保证配置、变更的正确与安全;进行安全审计;保证维护支持;进行监控、检查,处理安全事件;安全意识与安全教育;人员安全管理等。4.2 信息系统安全管理的原则a) 基于安全需求原则:组织机构应根据其信息系统担负的使命,积累的信息资产的重要性,可能受到的威胁及面临的风险分析安全需求,按照信息系统等级保护要求确定相应的信息系统安全保护等级,遵从相应等级的规范要求,从全局上恰当地平衡安全投入与效果;b) 主要领导负责原则:主要领导应确立其组织统一的信息安全保障的宗旨和政策,负责提高员工的安全意识,组织有效安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各
16、部门工作的关系,并确保其落实、有效;c) 全员参与原则:信息系统所有相关人员应普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统安全;d) 系统方法原则:按照系统工程的要求,识别和理解信息安全保障相互关联的层面和过程,采用管理和技术结合的方法,提高实现安全保障的目标的有效性和效率;e) 持续改进原则:安全管理是一种动态反馈过程,贯穿整个安全管理的生存周期,随着安全需求和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以及对系统安全认识的深化等,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系的有效
17、性;f) 依法管理原则:信息安全管理工作主要体现为管理行为,应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理,应由授权者适时发布准确一致的有关信息,避免带来不良的社会影响;g) 分权和授权原则:对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中所带来的隐患,以减小未授权的修改或滥用系统资源的机会。任何实体(如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必须的权限,不应享有任何多余权限;h) 选用成熟技术原则:成熟的技术具有较好的可靠性和稳定性,采用新技术时要重视其成熟的程度,并应首先局部试点然后逐步推广,以减少
18、或避免可能出现的失误;i) 分级保护原则:按等级划分标准确定信息系统的安全保护等级,实行分级保护;对多个子系统构成的大型信息系统,确定系统的基本安全保护等级,并根据实际安全需求,分别确定各子系统的安全保护等级,实行多级安全保护;j) 管理与技术并重原则:坚持积极防御和综合防范,全面提高信息系统安全防护能力,立足国情,采用管理与技术相结合,管理科学性和技术前瞻性结合的方法,保障信息系统的安全性达到所要求的目标;k) 自保护和国家监管结合原则:对信息系统安全实行自保护和国家保护相结合。组织机构要对自己的信息系统安全保护负责,政府相关部门有责任对信息系统的安全进行指导、监督和检查,形成自管、自查、自
19、评和国家监管相结合的管理模式,提高信息系统的安全保护能力和水平,保障国家信息安全。5 信息系统安全管理要素及其强度5.1 策略和制度5.1.1 信息安全管理策略5.1.1.1 安全管理目标与范围信息系统的安全管理需要明确信息系统的安全管理目标和范围,不同安全等级应有选择地满足以下要求的一项:a) 基本的管理目标与范围:针对一般的信息系统应包括:制定包括系统设施和操作等内容的系统安全目标与范围计划文件;为达到相应等级技术要求提供相应的管理保证;提供对信息系统进行基本安全保护的安全功能和安全管理措施,确保安全功能达到预期目标,使信息免遭非授权的泄露和破坏,基本保证信息系统安全运行;b) 较完整的管
20、理目标与范围:针对在一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,在a)的基础上还应包括:建立相应的安全管理机构,制定相应的安全操作规程;制定信息系统的风险管理计划;提供对信息系统进行安全保护的比较完整的系统化安全保护的能力和比较完善的安全管理措施,从整体上保护信息免遭非授权的泄露和破坏,保证信息系统安全正常运行;c) 系统化的管理目标与范围:针对涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,在b)的基础上还应包括:提供信息系统安全的自动监视和审计;提供信息系统的认证、验收及使用的授权的规定;提供对信息系统进行强制安全保护的能力和设置必要的强制性安全管
21、理措施,确保数据信息免遭非授权的泄露和破坏,保证信息系统安全运行;d) 强制保护的管理目标与范围:针对涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统,在c)的基础上还应包括:提供安全策略和措施的程序化、周期化的评估,以及对明显的风险变化和安全事件的评估;实施强制的分权管理机制和可信管理;提供对信息系统进行整体的强制安全保护的能力和比较完善的强制性安全管理措施,保证信息系统安全运行;e) 专控保护的管理目标与范围:针对涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心系统,在d)的基础上还应包括:使安全管理计划与组织机构的文化有机融合,并能适应安全环境的变化;实
22、施全面、可信的安全管理;提供对信息系统进行基于可验证的强制安全保护能力和完善的强制性安全管理措施,全面保证信息系统安全运行。5.1.1.2 总体安全管理策略不同安全等级的信息系统总体安全策略应有选择地满足以下要求的一项:a) 基本的安全管理策略:信息系统安全管理策略包括:依照国家政策法规和技术及管理标准进行自主保护;阐明管理者对信息系统安全的承诺,并陈述组织机构管理信息系统安全的方法;说明信息系统安全的总体目标、范围和安全框架;申明支持信息系统安全目标和原则的管理意向;简要说明对组织机构有重大意义的安全方针、原则、标准和符合性要求;b) 较完整的安全管理策略:在a)的基础上,信息安全管理策略还
23、包括:在信息安系统全监管职能部门的指导下,依照国家政策法规和技术及管理标准自主进行保护;明确划分信息系统(分系统/域)的安全保护等级(按区域分等级保护);制定风险管理策略、业务连续性策略、安全培训与教育策略、审计策略等较完整的信息安全策略;c) 体系化的安全管理策略:在b)的基础上,信息安全管理策略还包括:在接受信息系统安全监管职能部门监督、检查的前提下,依照国家政策法规和技术及管理标准自主进行保护;制定目标策略、规划策略、机构策略、人员策略、管理策略、安全技术策略、控制策略、生存周期策略、投资策略、质量策略等,形成体系化的信息系统安全策略;d) 强制保护的安全管理策略:在c)的基础上,信息安
24、全管理策略还包括:在接受信息系统安全监管职能部门的强制监督、检查的前提下,依照国家政策法规和技术及管理标准自主进行保护;制定体系完整的信息系统安全管理策略;e) 专控保护的安全管理策略:在d)的基础上,信息安全管理策略还包括:在接受国家指定的专门部门、专门机构的专门监督的前提下,依照国家政策法规和技术及管理标准自主进行保护;制定可持续改进的信息系统安全管理策略。5.1.1.3 安全管理策略的制定信息系统安全管理策略的制定,不同安全等级应有选择地满足以下要求的一项:a) 基本的安全管理策略制定:应由安全管理人员为主制定,由分管信息安全工作的负责人召集,以安全管理人员为主,与相关人员一起制定基本的
25、信息系统安全管理策略,包括总体策略和具体策略,并以文件形式表述;b) 较完整的安全管理策略制定:应由信息安全职能部门负责制定,由分管信息安全工作的负责人组织,信息安全职能部门负责制定较完整的信息系统安全管理策略,包括总体策略和具体策略,并以文件形式表述;c) 体系化的安全管理策略制定:应由信息安全领导小组组织制定,由信息安全领导小组组织并提出指导思想,信息安全职能部门负责具体制定体系化的信息系统安全管理策略,包括总体策略和具体策略,并以文件形式表述; d) 强制保护的安全管理策略制定:应由信息安全领导小组组织并提出指导思想,由信息安全职能部门指派专人负责制定强制保护的信息系统安全管理策略,包括
26、总体策略和具体策略,并以文件形式表述;涉密系统安全策略的制定应限定在相应范围内进行;必要时,可征求信息安全监管职能部门的意见;e) 专控保护的安全管理策略制定:在d)的基础上,必要时应征求国家指定的专门部门或机构的意见,或者共同制定专控保护的信息系统安全管理策略,包括总体策略和具体策略。5.1.1.4 安全管理策略的发布信息系统安全管理策略应以文档形式发布,不同安全等级应有选择地满足以下要求的一项:a) 基本的安全管理策略的发布:安全管理策略文档应由分管信息安全工作的负责人签发,并向信息系统的用户传达,其形式应针对目标读者,并能够为读者接受和理解;b) 较完整的安全管理策略的发布:在a)的基础
27、上,安全管理策略文档应经过组织机构负责人签发,按照有关文件管理程序发布;c) 体系化的安全管理策略的发布:在b)的基础上,安全管理策略文档应注明发布范围,并有收发文登记;d) 强制保护的安全管理策略的发布:在c)的基础上,安全管理策略文档应注明密级,并在监管部门备案;e) 专控保护的安全管理策略的发布:在d)的基础上,必要时安全管理策略文档应在国家指定的专门部门或机构进行备案。5.1.2 安全管理规章制度5.1.2.1 安全管理规章制度内容应根据机构的总体安全策略和业务应用需求,制定信息系统安全管理的规程和制度,不同安全等级的安全管理规章制度的内容应有选择地满足以下要求的一项:a) 基本的安全
28、管理制度:应包括网络安全管理规定,系统安全管理规定,数据安全管理规定,防病毒规定,机房安全管理规定,以及相关的操作规程等;b) 较完整的安全管理制度:在a)的基础上,应增加设备使用管理规定,人员安全管理规定,安全审计管理规定,用户管理规定,风险管理规定,信息分类分级管理规定,安全事件报告规定,事故处理规定,应急管理规定和灾难恢复管理规定等;c) 体系化的安全管理制度:在b)的基础上,应制定全面的安全管理规定,包括:机房、主机设备、网络设施、物理设施分类标记等系统资源安全管理规定;安全配置、系统分发和操作、系统文档、测试和脆弱性评估、系统信息安全备份和相关的操作规程等系统和数据库方面的安全管理规
29、定;网络连接检查评估、网络使用授权、网络检测、网络设施(设备和协议)变更控制和相关的操作规程等方面的网络安全管理规定;应用安全评估、应用系统使用授权、应用系统配置管理、应用系统文档管理和相关的操作规程等方面的应用安全管理规定;人员安全管理、安全意识与安全技术教育、操作安全、操作系统和数据库安全、系统运行记录、病毒防护、系统维护、网络互联、安全审计、安全事件报告、事故处理、应急管理、灾难恢复和相关的操作规程等方面的运行安全管理规定;信息分类标记、涉密信息管理、文档管理、存储介质管理、信息披露与发布审批管理、第三方访问控制和相关的操作规程等方面的信息安全管理规定等;d) 强制保护的安全管理制度:在
30、c)的基础上,应增加信息保密标识与管理规定,密码使用管理规定,安全事件例行评估和报告规定,关键控制措施定期测试规定等;e) 专控保护的安全管理制度:在d)的基础上,应增加安全管理审计监督规定等。5.1.2.2 安全管理规章制度的制定安全管理制度的制定及发布,应有明确规定的程序,不同安全等级应有选择地满足以下要求的一项:a) 基本的安全管理制度制定:应由安全管理人员负责制订信息系统安全管理制度,并以文档形式表述,由分管信息安全工作的负责人审批发布;b) 较完整的安全管理制度制定:应由信息安全职能部门负责制订信息系统安全管理制度,并以文档形式表述,由分管信息安全工作的负责人审批,按照有关文档管理程
31、序发布;c) 体系化的安全管理制度制定:应由信息安全职能部门负责制订信息系统安全管理制度,并以文档形式表述,经信息安全领导小组讨论通过,由信息安全领导小组负责人审批发布,应注明发布范围并有收发文登记;d) 强制保护的安全管理制度制定:应由信息安全职能部门指派专人负责制订信息系统安全管理制度,并以文档形式表述,经信息安全领导小组讨论通过,由信息安全领导小组负责人审批发布;信息系统安全管理制度文档的发布应注明密级,对涉密的信息系统安全管理制度的制定应在相应范围内进行;e) 专控保护的安全管理制度制定:在d)的基础上,必要时,应征求组织机构的保密管理部门的意见,或者共同制定。5.1.3 策略与制度文
32、档管理5.1.3.1 策略与制度文档的评审和修订策略与制度文档的评审和修订,不同安全等级应有选择地满足以下要求的一项:a) 基本的评审和修订:应由分管信息安全的负责人和安全管理人员负责文档的评审和修订;应通过所记录的安全事故的性质、数量以及影响检查策略和制度的有效性,评价安全管理措施对成本及应用效率的影响,以及技术变化对安全管理的影响;经评审,对存在不足或需要改进的策略和制度应进行修订,并按规定程序发布;b) 较完整的评审和修订:应由分管信息安全的负责人和信息安全职能部门负责文档的评审和修订;应定期或阶段性审查策略和制度存在的缺陷,并在发生重大安全事故、出现新的漏洞以及机构或技术基础结构发生变
33、更时,对策略和制度进行相应的评审和修订;对评审后需要修订的策略和制度文档,应明确指定人员限期完成并按规定发布;c) 体系化的评审和修订:应由信息安全领导小组和信息安全职能部门负责文档的评审和修订;应对安全策略和制度的有效性进行程序化、周期性评审,并保留必要的评审记录和依据;每个策略和制度文档应有相应责任人,根据明确规定的评审和修订程序对策略进行维护;d) 强制保护的评审和修订:应由信息安全领导小组和信息安全职能部门的专门人员负责文档的评审和修订,必要时可征求信息安全监管职能部门的意见;应对安全策略和制度的有效性进行程序化、周期性评审,并保留必要的评审记录和依据;每个策略和制度文档应有相应责任人
34、,根据明确规定的评审和修订程序对策略进行维护;对涉密的信息安全策略、规章制度和相关的操作规程文档的评审和修订应在相应范围内进行;e) 专控保护的评审和修订:在d)的基础上,必要时可请组织机构的保密管理部门参加文档的评审和修订,应征求国家指定的专门部门或机构的意见;应对安全策略和制度的有效性及时进行专项的评审,并保留必要的评审记录和依据。5.1.3.2 策略与制度文档的保管对策略与制度文档,以及相关的操作规程文档的保管,不同安全等级应有选择地满足以下要求的一项:a) 指定专人保管:对策略和制度文档,以及相关的操作规程文档,应指定专人保管;b) 借阅审批和登记:在a)的基础上,借阅策略和制度文档,
35、以及相关的操作规程文档,应有相应级别负责人审批和登记;c) 限定借阅范围:在b)的基础上,借阅策略和制度文档,以及相关的操作规程文档,应限定借阅范围,并经过相应级别负责人审批和登记;d) 全面严格保管:在c)的基础上,对涉密的策略和制度文档,以及相关的操作规程文档的保管应按照有关涉密文档管理规定进行;对保管的文档以及借阅的记录定期进行检查;e) 专控保护的管理:在d)的基础上,应与相关业务部门协商制定专项控制的管理措施。5.2 机构和人员管理5.2.1 安全管理机构5.2.1.1 建立安全管理机构在组织机构中应建立安全管理机构,不同安全等级的安全管理机构应有选择地满足以下要求的一项:a) 配备
36、安全管理人员:管理层中应有一人分管信息系统安全工作,并为信息系统的安全管理配备专职或兼职的安全管理人员;b) 建立安全职能部门:在a)的基础上,应建立管理信息系统安全工作的职能部门,或者明确指定一个职能部门兼管信息安全工作,作为该部门的关键职责之一;c) 成立安全领导小组:在b)的基础上,应在管理层成立信息系统安全管理委员会或信息系统安全领导小组(以下统称信息安全领导小组),对覆盖全国或跨地区的组织机构,应在总部和下级单位建立各级信息系统安全领导小组,在基层至少要有一位专职的安全管理人员负责信息系统安全工作;d) 主要负责人出任领导:在c)的基础上,应由组织机构的主要负责人出任信息系统安全领导
37、小组负责人;e) 建立信息安全保密管理部门:在d)的基础上,应建立信息系统安全保密监督管理的职能部门,或对原有保密部门明确信息安全保密管理责任,加强对信息系统安全管理重要过程和管理人员的保密监督管理。5.2.1.2 信息安全领导小组信息系统安全领导小组负责领导本组织机构的信息系统安全工作,至少应行使以下管理职能之一:a) 安全管理的领导职能:根据国家和行业有关信息安全的政策、法律和法规,批准机构信息系统的安全策略和发展规划;确定各有关部门在信息系统安全工作中的职责,领导安全工作的实施;监督安全措施的执行,并对重要安全事件的处理进行决策;指导和检查信息系统安全职能部门及应急处理小组的各项工作;建
38、设和完善信息系统安全的集中控管的组织体系和管理机制;b) 保密监督的管理职能:在a)的基础上,对保密管理部门进行有关信息系统安全保密监督管理方面的指导和检查。5.2.1.3 信息安全职能部门信息安全职能部门在信息系统安全领导小组领导下,负责本组织机构信息系统安全的具体工作,至少应行使以下管理职能之一:a) 基本的安全管理职能:根据国家和行业有关信息安全的政策法规,起草组织机构信息系统的安全策略和发展规划;管理机构信息系统安全日常事务,检查和指导下级单位信息系统安全工作;负责安全措施的实施或组织实施,组织并参加对安全重要事件的处理;监控信息系统安全总体状况,提出安全分析报告;指导和检查各部门和下
39、级单位信息系统安全人员及要害岗位人员的信息系统安全工作;应与有关部门共同组成应急处理小组或协助有关部门建立应急处理小组实施相关应急处理工作;b) 集中的安全管理职能:在a)的基础上,管理信息系统安全机制集中管理机构的各项工作,实现信息系统安全的集中控制管理;完成信息系统安全领导小组交办的工作,并向领导小组报告机构的信息系统安全工作。5.2.2 安全机制集中管理机构5.2.2.1 设置集中管理机构信息系统安全机制集中管理机构(以下简称集中管理机构)既是技术实体,也是管理实体,应按照以下方式设立:a) 集中管理机构人员和职责:应配备必要的领导和技术管理人员,应选用熟悉安全技术、网络技术、系统应用等
40、方面技术人员,明确责任协同工作,统一管理信息系统的安全运行,进行安全机制的配置与管理,对与安全有关的信息进行汇集与分析,对与安全有关的事件进行响应与处置;应对分布在信息系统中有关的安全机制进行集中管理;应接受信息安全职能部门的直接领导。5.2.2.2 集中管理机构职能a) 信息系统安全运行的统一管理:集中管理机构主要行使以下技术职能: 防范与保护:建立物理、支撑系统、网络、应用、管理等五个层面的安全控制机制,构成系统有机整体安全控制机制;统一进行信息系统安全机制的配置与管理,确保各个安全机制按照设计要求运行; 监控与检查:对服务器、路由器、防火墙等网络部件、系统安全运行性状态、信息(包括有害内
41、容)的监控和检查;汇集各种安全机制所获取的与系统安全运行有关的信息,对所获取的信息进行综合分析,及时发现系统运行中的安全问题和隐患,提出解决的对策和方法; 响应与处置:事件发现、响应、处置、应急恢复,根据应急处理预案,作出快速处理;应对各种事件和处理结果有详细的记载并进行档案化管理,作为对后续事件分析的参考和可查性的依据; 安全机制集中管理控制(详见5.5.6),完善管理信息系统安全运行的技术手段,进行信息系统安全的集中控制管理; 负责接受和配合政府有关部门的信息安全监管工作;b) 关键区域安全运行管理:在a)的基础上,集中管理机构对关键区域的安全运行进行管理,控制知晓范围,对获取的有关信息进
42、行相应安全等级的保护;c) 核心系统安全运行管理:在b)的基础上,集中管理机构应与有关业务应用的主管部门协调,定制更高安全级别的管理方式。5.2.3 人员管理5.2.3.1 安全管理人员配备对安全管理人员配备的管理,不同安全等级应有选择地满足以下要求的一项:a) 可配备兼职安全管理人员:安全管理人员可以由网络管理人员兼任;b) 安全管理人员的兼职限制:安全管理人员不能兼任网络管理人员、系统管理员、数据库管理员等;c) 配备专职安全管理人员:安全管理人员不可兼任,属于专职人员,应具有安全管理工作权限和能力;d) 关键部位的安全管理人员:在c)的基础上,安全管理人员还应按照机要人员条件配备。5.2
43、.3.2 关键岗位人员管理对信息系统关键岗位人员的管理,不同安全等级应满足以下要求的一项或多项:a) 基本要求:应对安全管理员、系统管理员、数据库管理员、网络管理员、重要业务开发人员、系统维护人员、重要业务应用操作人员等信息系统关键岗位人员进行统一管理;允许一人多岗,但业务应用操作人员不能由其他关键岗位人员兼任;关键岗位人员应定期接受安全培训,加强安全意识和风险防范意识;b) 兼职和轮岗要求:业务开发人员和系统维护人员不能兼任或担负安全管理员、系统管理员、数据库管理员、网络管理员、重要业务应用操作人员等岗位或工作;必要时关键岗位人员应采取定期轮岗制度;c) 权限分散要求:在b)的基础上,应坚持
44、关键岗位人员“权限分散、不得交叉覆盖”的原则,系统管理员、数据库管理员、网络管理员不能相互兼任岗位或工作;d) 多人共管要求:在c)的基础上,关键岗位人员处理重要事务或操作时,应保持二人同时在场,关键事务应多人共管;e) 全面控制要求:在d)的基础上,应采取对内部人员全面控制的安全保证措施,对所有岗位工作人员实施全面安全管理。5.2.3.3 人员录用管理对人员录用的管理,不同安全等级应有选择地满足以下要求的一项:a) 人员录用的基本要求:对应聘者进行审查,确认其具有基本的专业技术水平,接受过安全意识教育和培训,能够掌握安全管理基本知识;对信息系统关键岗位的人员还应注重思想品质方面的考察;b)
45、人员的审查与考核:在a)的基础上,应由单位人事部门进行人员背景、资质审查,技能考核等,合格者还要签署保密协议方可上岗;安全管理人员应具有基本的系统安全风险分析和评估能力;c) 人员的内部选拔:在b)的基础上,重要区域或部位的安全管理人员一般可从内部符合条件人员选拔,应做到认真负责和保守秘密;d) 人员的可靠性:在c)的基础上,关键区域或部位的安全管理人员应选用实践证明精干、内行、忠实、可靠的人员,必要时可按机要人员条件配备。5.2.3.4 人员离岗对人员离岗的管理,不同安全等级应有选择地满足以下要求的一项:a) 离岗的基本要求:立即中止被解雇的、退休的、辞职的或其他原因离开的人员的所有访问权限
46、;收回所有相关证件、徽章、密钥、访问控制标记等;收回机构提供的设备等;b) 调离后的保密要求:在a)的基础上,管理层和信息系统关键岗位人员调离岗位,必须经单位人事部门严格办理调离手续,承诺其调离后的保密要求;c) 离岗的审计要求:在b)的基础上,涉及组织机构管理层和信息系统关键岗位的人员调离单位,必须进行离岗安全审查,在规定的脱密期限后,方可调离;d) 关键部位人员的离岗要求:在c)的基础上,关键部位的信息系统安全管理人员离岗,应按照机要人员管理办法办理。5.2.3.5 人员考核与审查对人员考核与审查的管理,不同安全等级应有选择地满足以下要求的一项:a) 定期的人员考核:应定期对各个岗位的人员进行不同侧重的安全认知和安全技能的考核,作为人员是否适合当前岗位的参考;b) 定期的人员审查:在a)的基础上,对关键岗位人员,应定期进行审查,如发现其违反安全规定,应控制使用;c) 管理有效性的审查:在b)的基础上,对关键岗位人员的工作,应通过例行考核进行审查,保证安全管理的有效性;并保留审查结果;d) 全面严格的审查:在c)的基础上,对所有安全岗位人员的工作