GBT20269-2006信息系统安全管理要求

PAGE/NUMPAGESPAGE/NUMPAGESICS35.040L80中华人民共和国国家 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 GB/T20269—2006信息安全技术信息系统安全管理要求InformationsecuritytechnologyInformationsystemsecuritymanagementrequirements2006-5-31发布2006-12-1实施中华人民共和国国家质量监督检验检疫总局发布中国国家标准化管理委员会GB/T20269－2006目次HYPERLINK\l"page5"前言.................................................................................VHYPERLINK\l"page6"引言................................................................................VIHYPERLINK\l"page7"1范围................................................................................1HYPERLINK\l"page7"2规范性引用文件......................................................................1HYPERLINK\l"page7"3术语和定义..........................................................................1HYPERLINK\l"page7"4信息系统安全管理的一般要求..........................................................14.1HYPERLINK\l"page7"信息系统安全管理的内容.............................................................14.2HYPERLINK\l"page8"信息系统安全管理的原则.............................................................2HYPERLINK\l"page9"5信息系统安全管理要素及其强度........................................................35.1HYPERLINK\l"page9"策略和制度.........................................................................35.1.1HYPERLINK\l"page9"信息安全管理策略.................................................................35.1.2HYPERLINK\l"page10"安全管理规章制度.................................................................45.1.3HYPERLINK\l"page11"策略与制度文档管理...............................................................55.2HYPERLINK\l"page12"机构和人员管理.....................................................................65.2.1HYPERLINK\l"page12"安全管理机构.....................................................................65.2.2HYPERLINK\l"page13"安全机制集中管理机构.............................................................75.2.3HYPERLINK\l"page13"人员管理.........................................................................75.2.4HYPERLINK\l"page15"教育和培训.......................................................................95.3HYPERLINK\l"page16"风险管理..........................................................................105.3.1HYPERLINK\l"page16"风险管理要求和策略..............................................................105.3.2HYPERLINK\l"page16"风险分析和评估..................................................................105.3.3HYPERLINK\l"page17"风险控制........................................................................115.3.4HYPERLINK\l"page17"基于风险的决策..................................................................115.3.5HYPERLINK\l"page18"风险评估的管理..................................................................125.4HYPERLINK\l"page19"环境和资源管理....................................................................135.4.1HYPERLINK\l"page19"环境安全管理....................................................................135.4.2HYPERLINK\l"page20"资源管理........................................................................145.5HYPERLINK\l"page21"运行和维护管理....................................................................155.5.1HYPERLINK\l"page21"用户管理........................................................................155.5.2HYPERLINK\l"page22"运行操作管理....................................................................165.5.3HYPERLINK\l"page25"运行维护管理....................................................................195.5.4HYPERLINK\l"page27"外包服务管理....................................................................215.5.5HYPERLINK\l"page27"有关安全机制保障................................................................215.5.6HYPERLINK\l"page31"安全集中管理....................................................................255.6HYPERLINK\l"page32"业务连续性管理....................................................................265.6.1HYPERLINK\l"page32"备份与恢复......................................................................265.6.2HYPERLINK\l"page33"安全事件处理....................................................................275.6.3HYPERLINK\l"page34"应急处理........................................................................285.7HYPERLINK\l"page35"监督和检查管理....................................................................295.7.1HYPERLINK\l"page35"符合法律要求....................................................................29IIGB/T20269－2006HYPERLINK\l"page35"5.7.2依从性检查29HYPERLINK\l"page36"5.7.3审计及监管控制30HYPERLINK\l"page37"5.7.4责任认定31HYPERLINK\l"page37"5.8生存周期管理31HYPERLINK\l"page37"5.8.1规划和立项管理31HYPERLINK\l"page38"5.8.2建设过程管理32HYPERLINK\l"page40"5.8.3系统启用和终止管理34HYPERLINK\l"page40"6信息系统安全管理分等级要求34HYPERLINK\l"page40"6.1第一级：用户自主保护级34HYPERLINK\l"page40"6.1.1管理目标和范围34HYPERLINK\l"page40"6.1.2政策和制度要求34HYPERLINK\l"page41"6.1.3机构和人员管理要求35HYPERLINK\l"page41"6.1.4风险管理要求35HYPERLINK\l"page41"6.1.5环境和资源管理要求35HYPERLINK\l"page41"6.1.6操作和维护管理要求35HYPERLINK\l"page42"6.1.7业务连续性管理要求36HYPERLINK\l"page42"6.1.8监督和检查管理要求36HYPERLINK\l"page42"6.1.9生存周期管理要求36HYPERLINK\l"page43"6.2第二级：系统审计保护级37HYPERLINK\l"page43"6.2.1管理目标和范围37HYPERLINK\l"page43"6.2.2政策和制度要求37HYPERLINK\l"page43"6.2.3机构和人员管理要求37HYPERLINK\l"page43"6.2.4风险管理要求37HYPERLINK\l"page44"6.2.5环境和资源管理要求38HYPERLINK\l"page44"6.2.6操作和维护管理要求38HYPERLINK\l"page45"6.2.7业务连续性管理要求39HYPERLINK\l"page45"6.2.8监督和检查管理要求39HYPERLINK\l"page45"6.2.9生存周期管理要求39HYPERLINK\l"page45"6.3第三级：安全标记保护级39HYPERLINK\l"page45"6.3.1管理目标和范围39HYPERLINK\l"page46"6.3.2政策和制度要求40HYPERLINK\l"page46"6.3.3机构和人员管理要求40HYPERLINK\l"page46"6.3.4风险管理要求40HYPERLINK\l"page47"6.3.5环境和资源管理要求41HYPERLINK\l"page47"6.3.6操作和维护管理要求41HYPERLINK\l"page48"6.3.7业务连续性管理要求42HYPERLINK\l"page48"6.3.8监督和检查管理要求42HYPERLINK\l"page48"6.3.9生存周期管理要求42HYPERLINK\l"page48"6.4第四级：结构化保护级42HYPERLINK\l"page48"6.4.1管理目标和范围42HYPERLINK\l"page49"6.4.2政策和制度要求43HYPERLINK\l"page49"6.4.3机构和人员管理要求43HYPERLINK\l"page49"6.4.4风险管理要求43IIIGB/T20269－2006HYPERLINK\l"page50"6.4.5环境和资源管理要求44HYPERLINK\l"page50"6.4.6操作和维护管理要求44HYPERLINK\l"page50"6.4.7业务连续性管理要求44HYPERLINK\l"page51"6.4.8监督和检查管理要求45HYPERLINK\l"page51"6.4.9生存周期管理要求45HYPERLINK\l"page51"6.5第五级：访问验证保护级45HYPERLINK\l"page51"6.5.1管理目标和范围45HYPERLINK\l"page51"6.5.2政策和制度要求45HYPERLINK\l"page51"6.5.3机构和人员管理要求45HYPERLINK\l"page52"6.5.4风险管理要求46HYPERLINK\l"page52"6.5.5环境和资源管理要求46HYPERLINK\l"page52"6.5.6操作和维护管理要求46HYPERLINK\l"page52"6.5.7业务连续性管理要求46HYPERLINK\l"page53"6.5.8监督和检查管理要求47HYPERLINK\l"page53"6.5.9生存周期管理要求47HYPERLINK\l"page54"附录A（资料性附录）安全管理要素及其强度与安全管理分等级要求的对应关系48HYPERLINK\l"page57"附录B（资料性附录）信息系统安全管理概念说明51HYPERLINK\l"page57"B.1主要安全因素51HYPERLINK\l"page57"B.1.1资产51HYPERLINK\l"page57"B.1.2威胁51HYPERLINK\l"page58"B.1.3脆弱性52HYPERLINK\l"page58"B.1.4意外事件影响52HYPERLINK\l"page58"B.1.5风险52HYPERLINK\l"page58"B.1.6保护措施52HYPERLINK\l"page58"B.2安全管理的过程52HYPERLINK\l"page58"B.2.1安全管理过程模型52HYPERLINK\l"page59"B.2.2安全目标53HYPERLINK\l"page59"B.2.3安全保护等级的确定53HYPERLINK\l"page59"B.2.4安全风险分析与评估53HYPERLINK\l"page59"B.2.5制定安全策略53HYPERLINK\l"page60"B.2.6安全需求分析54HYPERLINK\l"page60"B.2.7安全措施的实施54HYPERLINK\l"page61"B.2.8安全实施过程的监理55HYPERLINK\l"page61"B.2.9信息系统的安全审计55HYPERLINK\l"page62"B.2.10生存周期管理56参考文献57IVGB/T20269－2006言（略）VGB/T20269－2006言信息安全等级保护从与信息系统安全相关的物理层面、网络层面、系统层面、应用层面和管理层面对信息和信息系统实施分等级安全保护。管理层面贯穿于其他层面之中，是其他层面实施分等级安全保护的保证。本标准对信息和信息系统的安全保护提出了分等级安全管理的要求，阐述了安全管理要素及其强度，并将管理要求落实到信息安全等级保护所规定的五个等级上，有利于对安全管理的实施、评估和检查。GB17859-1999中安全保护等级的划分是根据对安全技术和安全风险控制的关系确定的，公通字[2004]66号文件中安全等级的划分是根据信息和信息系统受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成损害的程度确定的。两者的共同点是：安全等级越高，发生的安全技术费用和管理成本越高，从而预期能够抵御的安全威胁越大，建立起安全信心越强，使用信息系统的风险越小。本标准以安全管理要素作为描述安全管理要求的基本组件。安全管理要素是指，为实现信息系统安全等级保护所规定的安全要求，从管理角度应采取的主要控制方法和措施。根据GB17859-1999对安全保护等级的划分，不同的安全保护等级会有不同的安全管理要求，可以体现在管理要素的增加和管理强度的增强两方面。对于每个管理要素，根据特定情况分别列出不同的管理强度，最多分为5级，最少可不分级。在具体描述中，除特别声明之外，一般高级别管理强度的描述都是在对低级别描述基础之上进行的。信息系统是指由计算机及其相关和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络；信息是指在信息系统中存储、传输、处理的数字化信息。本标准涉及信息系统的管理者包括国家机关、事业单位、厂矿企业、公司、集团等各种类型和不同规模的组织机构，以下统称为“组织机构”。信息系统在技术上采取何种安全机制应根据相关技术标准确定，本标准仅提出保证这些安全机制实施的管理要求。与技术密切的管理是技术实现的组成部分，如果信息系统根据具体业务及其安全需求未采用该技术，则不需要相应的安全管理要求。对与管理描述难以分开的技术要求会出现在管理要求中，具体执行需要参照相关技术标准。对于涉及国家秘密的信息和信息系统的保密管理，应按照国家有关保密的管理规定和相关标准执行。本标准中有关信息系统安全管理要素及其强度与信息系统安全管理分等级要求的对应关系的说明参见附录A。为了帮助读者从安全管理概念角度理解和运用这些信息系统的安全管理要求，附录B给出了信息系统安全管理概念说明。VIGB/T20269－2006信息安全技术信息系统安全管理要求1范围本标准依据GB17859-1999的五个安全保护等级的划分，规定了信息系统安全所需要的各个安全等级的管理要求。本标准适用于按等级化要求进行的信息系统安全的管理。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB17859-1999计算机信息系统安全保护等级划分准则GB/T20271-2006信息安全技术信息系统通用安全技术要求3术语和定义GB17859-1999确立的以及下列术语和定义适用于本标准。3.1完整性integrity包括数据完整性和系统完整性。数据完整性表征数据所具有的特性，即无论数据形式作何变化，数据的准确性和一致性均保持不变的程度；系统完整性表征系统在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源的情况下，系统能履行其操作目的的品质。3.2可用性availability表征数据或系统根据授权实体的请求可被访问与使用程度的安全属性。3.3访问控制accesscontrol按确定的规则，对实体之间的访问活动进行控制的安全机制，能防止对资源的未授权使用。3.4安全审计securityaudit按确定规则的要求，对与安全相关的事件进行审计，以日志方式记录必要信息，并作出相应处理的安全机制。3.5鉴别信息authenticationinformation用以确认身份真实性的信息。3.6敏感性sensitivity表征资源价值或重要性的特性，也可能包含这一资源的脆弱性。3.7风险评估riskassessment通过对信息系统的资产价值/重要性、信息系统所受到的威胁以及信息系统的脆弱性进行综合分析，对信息系统及其处理、传输和存储的信息的保密性、完整性和可用性等进行科学识别和评价，确定信息系统安全风险的过程。3.8安全策略securitypolicy主要指为信息系统安全管理制定的行动方针、路线、工作方式、指导原则或程序。4信息系统安全管理的一般要求4.1信息系统安全管理的内容1GB/T20269－2006信息系统安全管理是对一个组织机构中信息系统的生存周期全过程实施符合安全等级责任要求的管理，包括：——落实安全管理机构及安全管理人员，明确角色与职责，制定安全规划；——开发安全策略；——实施风险管理；——制定业务持续性计划和灾难恢复计划；——选择与实施安全措施；——保证配置、变更的正确与安全；——进行安全审计；——保证维护支持；——进行监控、检查，处理安全事件；——安全意识与安全教育；——人员安全管理等。4.2信息系统安全管理的原则a）基于安全需求原则：组织机构应根据其信息系统担负的使命，积累的信息资产的重要性，可能受到的威胁及面临的风险分析安全需求，按照信息系统等级保护要求确定相应的信息系统安全保护等级，遵从相应等级的规范要求，从全局上恰当地平衡安全投入与效果；b）主要领导负责原则：主要领导应确立其组织统一的信息安全保障的宗旨和政策，负责提高员工的安全意识，组织有效安全保障队伍，调动并优化配置必要的资源，协调安全管理工作与各部门工作的关系，并确保其落实、有效；c）全员参与原则：信息系统所有相关人员应普遍参与信息系统的安全管理，并与相关方面协同、协调，共同保障信息系统安全；d）系统方法原则：按照系统 工程 路基工程安全技术交底工程项目施工成本控制工程量增项单年度零星工程技术标正投影法基本原理 的要求，识别和理解信息安全保障相互关联的层面和过程，采用管理和技术结合的方法，提高实现安全保障的目标的有效性和效率；e）持续改进原则：安全管理是一种动态反馈过程，贯穿整个安全管理的生存周期，随着安全需求和系统脆弱性的时空分布变化，威胁程度的提高，系统环境的变化以及对系统安全认识的深化等，应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级，维护和持续改进信息安全管理体系的有效性；f）依法管理原则：信息安全管理工作主要体现为管理行为，应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理，应由授权者适时发布准确一致的有关信息，避免带来不良的社会影响；g）分权和授权原则：对特定职能或责任领域的管理功能实施分离、独立审计等实行分权，避免权力过分集中所带来的隐患，以减小未授权的修改或滥用系统资源的机会。任何实体（如用户、管理员、进程、应用或系统）仅享有该实体需要完成其任务所必须的权限，不应享有任何多余权限；h）选用成熟技术原则：成熟的技术具有较好的可靠性和稳定性，采用新技术时要重视其成熟的程度，并应首先局部试点然后逐步推广，以减少或避免可能出现的失误；i）分级保护原则：按等级划分标准确定信息系统的安全保护等级，实行分级保护；对多个子系统构成的大型信息系统，确定系统的基本安全保护等级，并根据实际安全需求，分别确定各子系统的安全保护等级，实行多级安全保护；j）管理与技术并重原则：坚持积极防御和综合防范，全面提高信息系统安全防护能力，立足国情，采用管理与技术相结合，管理科学性和技术前瞻性结合的方法，保障信息系统的安全性达到所要求的目标；2GB/T20269－2006k）自保护和国家监管结合原则：对信息系统安全实行自保护和国家保护相结合。组织机构要对自己的信息系统安全保护负责，政府相关部门有责任对信息系统的安全进行指导、监督和检查，形成自管、自查、自评和国家监管相结合的管理模式，提高信息系统的安全保护能力和水平，保障国家信息安全。5信息系统安全管理要素及其强度5.1策略和制度5.1.1信息安全管理策略5.1.1.1安全管理目标与范围信息系统的安全管理需要明确信息系统的安全管理目标和范围，不同安全等级应有选择地满足以下要求的一项：a）基本的管理目标与范围：针对一般的信息系统应包括：制定包括系统设施和操作等内容的系统安全目标与范围计划文件；为达到相应等级技术要求提供相应的管理保证；提供对信息系统进行基本安全保护的安全功能和安全管理措施，确保安全功能达到预期目标，使信息免遭非授权的泄露和破坏，基本保证信息系统安全运行；b）较完整的管理目标与范围：针对在一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，在a）的基础上还应包括：建立相应的安全管理机构，制定相应的安全操作规程；制定信息系统的风险管理计划；提供对信息系统进行安全保护的比较完整的系统化安全保护的能力和比较完善的安全管理措施，从整体上保护信息免遭非授权的泄露和破坏，保证信息系统安全正常运行；c）系统化的管理目标与范围：针对涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，在b）的基础上还应包括：提供信息系统安全的自动监视和审计；提供信息系统的认证、验收及使用的授权的规定；提供对信息系统进行强制安全保护的能力和设置必要的强制性安全管理措施，确保数据信息免遭非授权的泄露和破坏，保证信息系统安全运行；d）强制保护的管理目标与范围：针对涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统，在c）的基础上还应包括：提供安全策略和措施的程序化、周期化的评估，以及对明显的风险变化和安全事件的评估；实施强制的分权管理机制和可信管理；提供对信息系统进行整体的强制安全保护的能力和比较完善的强制性安全管理措施，保证信息系统安全运行；e）专控保护的管理目标与范围：针对涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心系统，在d）的基础上还应包括：使安全管理计划与组织机构的文化有机融合，并能适应安全环境的变化；实施全面、可信的安全管理；提供对信息系统进行基于可验证的强制安全保护能力和完善的强制性安全管理措施，全面保证信息系统安全运行。5.1.1.2总体安全管理策略不同安全等级的信息系统总体安全策略应有选择地满足以下要求的一项：a）基本的安全管理策略：信息系统安全管理策略包括：依照国家政策法规和技术及管理标准进行自主保护；阐明管理者对信息系统安全的承诺，并陈述组织机构管理信息系统安全的方法；说明信息系统安全的总体目标、范围和安全框架；申明支持信息系统安全目标和原则的管理意向；简要说明对组织机构有重大意义的安全方针、原则、标准和符合性要求；b）较完整的安全管理策略：在a）的基础上，信息安全管理策略还包括：在信息安系统全监管职能部门的指导下，依照国家政策法规和技术及管理标准自主进行保护；明确划分信息系统（分系统/域）的安全保护等级（按区域分等级保护）；制定风险管理策略、业务连续性策略、安全培训与教育策略、审计策略等较完整的信息安全策略；c）体系化的安全管理策略：在b）的基础上，信息安全管理策略还包括：在接受信息系统安全监管职能部门监督、检查的前提下，依照国家政策法规和技术及管理标准自主进行保护；制3GB/T20269－2006定目标策略、规划策略、机构策略、人员策略、管理策略、安全技术策略、控制策略、生存周期策略、投资策略、质量策略等，形成体系化的信息系统安全策略；d）强制保护的安全管理策略：在c）的基础上，信息安全管理策略还包括：在接受信息系统安全监管职能部门的强制监督、检查的前提下，依照国家政策法规和技术及管理标准自主进行保护；制定体系完整的信息系统安全管理策略；e）专控保护的安全管理策略：在d）的基础上，信息安全管理策略还包括：在接受国家指定的专门部门、专门机构的专门监督的前提下，依照国家政策法规和技术及管理标准自主进行保护；制定可持续改进的信息系统安全管理策略。5.1.1.3安全管理策略的制定信息系统安全管理策略的制定，不同安全等级应有选择地满足以下要求的一项：a）基本的安全管理策略制定：应由安全管理人员为主制定，由分管信息安全工作的负责人召集，以安全管理人员为主，与相关人员一起制定基本的信息系统安全管理策略，包括总体策略和具体策略，并以文件形式表述；b）较完整的安全管理策略制定：应由信息安全职能部门负责制定，由分管信息安全工作的负责人组织，信息安全职能部门负责制定较完整的信息系统安全管理策略，包括总体策略和具体策略，并以文件形式表述；c）体系化的安全管理策略制定：应由信息安全领导小组组织制定，由信息安全领导小组组织并提出指导思想，信息安全职能部门负责具体制定体系化的信息系统安全管理策略，包括总体策略和具体策略，并以文件形式表述；d）强制保护的安全管理策略制定：应由信息安全领导小组组织并提出指导思想，由信息安全职能部门指派专人负责制定强制保护的信息系统安全管理策略，包括总体策略和具体策略，并以文件形式表述；涉密系统安全策略的制定应限定在相应范围内进行；必要时，可征求信息安全监管职能部门的意见；e）专控保护的安全管理策略制定：在d）的基础上，必要时应征求国家指定的专门部门或机构的意见，或者共同制定专控保护的信息系统安全管理策略，包括总体策略和具体策略。5.1.1.4安全管理策略的发布信息系统安全管理策略应以文档形式发布，不同安全等级应有选择地满足以下要求的一项：a）基本的安全管理策略的发布：安全管理策略文档应由分管信息安全工作的负责人签发，并向信息系统的用户传达，其形式应针对目标读者，并能够为读者接受和理解；b）较完整的安全管理策略的发布：在a）的基础上，安全管理策略文档应经过组织机构负责人签发，按照有关文件管理程序发布；c）体系化的安全管理策略的发布：在b）的基础上，安全管理策略文档应注明发布范围，并有收发文登记；d）强制保护的安全管理策略的发布：在c）的基础上，安全管理策略文档应注明密级，并在监管部门备案；e）专控保护的安全管理策略的发布：在d）的基础上，必要时安全管理策略文档应在国家指定的专门部门或机构进行备案。5.1.2安全管理规章制度5.1.2.1安全管理规章制度内容应根据机构的总体安全策略和业务应用需求，制定信息系统安全管理的规程和制度，不同安全等级的安全管理规章制度的内容应有选择地满足以下要求的一项：a）基本的安全 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 ：应包括网络安全管理规定，系统安全管理规定，数据安全管理规定，防病毒规定，机房安全管理规定，以及相关的操作规程等；b）较完整的安全管理制度：在a）的基础上，应增加设备使用管理规定，人员安全管理规定，安4GB/T20269－2006全审计管理规定，用户管理规定，风险管理规定，信息分类分级管理规定，安全事件报告规定，事故处理规定，应急管理规定和灾难恢复管理规定等；c）体系化的安全管理制度：在b）的基础上，应制定全面的安全管理规定，包括：机房、主机设备、网络设施、物理设施分类标记等系统资源安全管理规定；安全配置、系统分发和操作、系统文档、测试和脆弱性评估、系统信息安全备份和相关的操作规程等系统和数据库方面的安全管理规定；网络连接检查评估、网络使用授权、网络检测、网络设施（设备和协议）变更控制和相关的操作规程等方面的网络安全管理规定；应用安全评估、应用系统使用授权、应用系统配置管理、应用系统文档管理和相关的操作规程等方面的应用安全管理规定；人员安全管理、安全意识与安全技术教育、操作安全、操作系统和数据库安全、系统运行记录、病毒防护、系统维护、网络互联、安全审计、安全事件报告、事故处理、应急管理、灾难恢复和相关的操作规程等方面的运行安全管理规定；信息分类标记、涉密信息管理、文档管理、存储介质管理、信息披露与发布审批管理、第三方访问控制和相关的操作规程等方面的信息安全管理规定等；d）强制保护的安全管理制度：在c）的基础上，应增加信息保密标识与管理规定，密码使用管理规定，安全事件例行评估和报告规定，关键控制措施定期测试规定等；e）专控保护的安全管理制度：在d）的基础上，应增加安全管理审计监督规定等。5.1.2.2安全管理规章制度的制定安全管理制度的制定及发布，应有明确规定的程序，不同安全等级应有选择地满足以下要求的一项：a）基本的安全管理制度制定：应由安全管理人员负责制订信息系统安全管理制度，并以文档形式表述，由分管信息安全工作的负责人审批发布；b）较完整的安全管理制度制定：应由信息安全职能部门负责制订信息系统安全管理制度，并以文档形式表述，由分管信息安全工作的负责人审批，按照有关文档管理程序发布；c）体系化的安全管理制度制定：应由信息安全职能部门负责制订信息系统安全管理制度，并以文档形式表述，经信息安全领导小组讨论通过，由信息安全领导小组负责人审批发布，应注明发布范围并有收发文登记；d）强制保护的安全管理制度制定：应由信息安全职能部门指派专人负责制订信息系统安全管理制度，并以文档形式表述，经信息安全领导小组讨论通过，由信息安全领导小组负责人审批发布；信息系统安全管理制度文档的发布应注明密级，对涉密的信息系统安全管理制度的制定应在相应范围内进行；e）专控保护的安全管理制度制定：在d）的基础上，必要时，应征求组织机构的保密管理部门的意见，或者共同制定。5.1.3策略与制度文档管理5.1.3.1策略与制度文档的评审和修订策略与制度文档的评审和修订，不同安全等级应有选择地满足以下要求的一项：a）基本的评审和修订：应由分管信息安全的负责人和安全管理人员负责文档的评审和修订；应通过所记录的安全事故的性质、数量以及影响检查策略和制度的有效性，评价安全管理措施对成本及应用效率的影响，以及技术变化对安全管理的影响；经评审，对存在不足或需要改进的策略和制度应进行修订，并按规定程序发布；b）较完整的评审和修订：应由分管信息安全的负责人和信息安全职能部门负责文档的评审和修订；应定期或阶段性审查策略和制度存在的缺陷，并在发生重大安全事故、出现新的漏洞以及机构或技术基础结构发生变更时，对策略和制度进行相应的评审和修订；对评审后需要修订的策略和制度文档，应明确指定人员限期完成并按规定发布；c）体系化的评审和修订：应由信息安全领导小组和信息安全职能部门负责文档的评审和修订；应对安全策略和制度的有效性进行程序化、周期性评审，并保留必要的评审记录和依据；每5GB/T20269－2006个策略和制度文档应有相应责任人，根据明确规定的评审和修订程序对策略进行维护；d）强制保护的评审和修订：应由信息安全领导小组和信息安全职能部门的专门人员负责文档的评审和修订，必要时可征求信息安全监管职能部门的意见；应对安全策略和制度的有效性进行程序化、周期性评审，并保留必要的评审记录和依据；每个策略和制度文档应有相应责任人，根据明确规定的评审和修订程序对策略进行维护；对涉密的信息安全策略、规章制度和相关的操作规程文档的评审和修订应在相应范围内进行；e）专控保护的评审和修订：在d）的基础上，必要时可请组织机构的保密管理部门参加文档的评审和修订，应征求国家指定的专门部门或机构的意见；应对安全策略和制度的有效性及时进行专项的评审，并保留必要的评审记录和依据。5.1.3.2策略与制度文档的保管对策略与制度文档，以及相关的操作规程文档的保管，不同安全等级应有选择地满足以下要求的一项：a）指定专人保管：对策略和制度文档，以及相关的操作规程文档，应指定专人保管；b）借阅审批和登记：在a）的基础上，借阅策略和制度文档，以及相关的操作规程文档，应有相应级别负责人审批和登记；c）限定借阅范围：在b）的基础上，借阅策略和制度文档，以及相关的操作规程文档，应限定借阅范围，并经过相应级别负责人审批和登记；d）全面严格保管：在c）的基础上，对涉密的策略和制度文档，以及相关的操作规程文档的保管应按照有关涉密文档管理规定进行；对保管的文档以及借阅的记录定期进行检查；e）专控保护的管理：在d）的基础上，应与相关业务部门协商制定专项控制的管理措施。5.2机构和人员管理5.2.1安全管理机构5.2.1.1建立安全管理机构在组织机构中应建立安全管理机构，不同安全等级的安全管理机构应有选择地满足以下要求的一项：a）配备安全管理人员：管理层中应有一人分管信息系统安全工作，并为信息系统的安全管理配备专职或兼职的安全管理人员；b）建立安全职能部门：在a）的基础上，应建立管理信息系统安全工作的职能部门，或者明确指定一个职能部门兼管信息安全工作，作为该部门的关键职责之一；c）成立安全领导小组：在b）的基础上，应在管理层成立信息系统安全管理委员会或信息系统安全领导小组（以下统称信息安全领导小组），对覆盖全国或跨地区的组织机构，应在总部和下级单位建立各级信息系统安全领导小组，在基层至少要有一位专职的安全管理人员负责信息系统安全工作；d）主要负责人出任领导：在c）的基础上，应由组织机构的主要负责人出任信息系统安全领导小组负责人；e）建立信息安全保密管理部门：在d）的基础上，应建立信息系统安全保密监督管理的职能部门，或对原有保密部门明确信息安全保密管理责任，加强对信息系统安全管理重要过程和管理人员的保密监督管理。5.2.1.2信息安全领导小组信息系统安全领导小组负责领导本组织机构的信息系统安全工作，至少应行使以下管理职能之一：a）安全管理的领导职能：根据国家和行业有关信息安全的政策、法律和法规，批准机构信息系统的安全策略和发展规划；确定各有关部门在信息系统安全工作中的职责，领导安全工作的实施；监督安全措施的执行，并对重要安全事件的处理进行决策；指导和检查信息系统安全职能部门及应急处理小组的各项工作；建设和完善信息系统安全的集中控管的组织体系和管6GB/T20269－2006理机制；b）保密监督的管理职能：在a）的基础上，对保密管理部门进行有关信息系统安全保密监督管理方面的指导和检查。5.2.1.3信息安全职能部门信息安全职能部门在信息系统安全领导小组领导下，负责本组织机构信息系统安全的具体工作，至少应行使以下管理职能之一：a）基本的安全管理职能：根据国家和行业有关信息安全的政策法规，起草组织机构信息系统的安全策略和发展规划；管理机构信息系统安全日常事务，检查和指导下级单位信息系统安全工作；负责安全措施的实施或组织实施，组织并参加对安全重要事件的处理；监控信息系统安全总体状况，提出安全分析报告；指导和检查各部门和下级单位信息系统安全人员及要害岗位人员的信息系统安全工作；应与有关部门共同组成应急处理小组或协助有关部门建立应急处理小组实施相关应急处理工作；b）集中的安全管理职能：在a）的基础上，管理信息系统安全机制集中管理机构的各项工作，实现信息系统安全的集中控制管理；完成信息系统安全领导小组交办的工作，并向领导小组报告机构的信息系统安全工作。5.2.2安全机制集中管理机构5.2.2.1设置集中管理机构信息系统安全机制集中管理机构（以下简称集中管理机构）既是技术实体，也是管理实体，应按照以下方式设立：a）集中管理机构人员和职责：应配备必要的领导和技术管理人员，应选用熟悉安全技术、网络技术、系统应用等方面技术人员，明确责任协同工作，统一管理信息系统的安全运行，进行安全机制的配置与管理，对与安全有关的信息进行汇集与分析，对与安全有关的事件进行响应与处置；应对分布在信息系统中有关的安全机制进行集中管理；应接受信息安全职能部门的直接领导。5.2.2.2集中管理机构职能a）信息系统安全运行的统一管理：集中管理机构主要行使以下技术职能：——防范与保护：建立物理、支撑系统、网络、应用、管理等五个层面的安全控制机制，构成系统有机整体安全控制机制；统一进行信息系统安全机制的配置与管理，确保各个安全机制按照设计要求运行；——监控与检查：对服务器、路由器、防火墙等网络部件、系统安全运行性状态、信息（包括有害内容）的监控和检查；汇集各种安全机制所获取的与系统安全运行有关的信息，对所获取的信息进行综合分析，及时发现系统运行中的安全问题和隐患，提出解决的对策和方法；——响应与处置：事件发现、响应、处置、应急恢复，根据应急处理 预案 社区应急预案下载社区应急预案下载社区应急预案下载应急救援预案下载应急救援预案下载 ，作出快速处理；应对各种事件和处理结果有详细的记载并进行档案化管理，作为对后续事件分析的参考和可查性的依据；——安全机制集中管理控制（详见5.5.6），完善管理信息系统安全运行的技术手段，进行信息系统安全的集中控制管理；——负责接受和配合政府有关部门的信息安全监管工作；b）关键区域安全运行管理：在a）的基础上，集中管理机构对关键区域的安全运行进行管理，控制知晓范围，对获取的有关信息进行相应安全等级的保护；c）核心系统安全运行管理：在b）的基础上，集中管理机构应与有关业务应用的主管部门协调，定制更高安全级别的管理方式。5.2.3人员管理7GB/T20269－20065.2.3.1安全管理人员配备对安全管理人员配备的管理，不同安全等级应有选择地满足以下要求的一项：a）可配备兼职安全管理人员：安全管理人员可以由网络管理人员兼任；b）安全管理人员的兼职限制：安全管理人员不能兼任网络管理人员、系统管理员、数据库管理员等；c）配备专职安全管理人员：安全管理人员不可兼任，属于专职人员，应具有安全管理工作权限和能力；d）关键部位的安全管理人员：在c）的基础上，安全管理人员还应按照机要人员条件配备。5.2.3.2关键岗位人员管理对信息系统关键岗位人员的管理，不同安全等级应满足以下要求的一项或多项：a）基本要求：应对安全管理员、系统管理员、数据库管理员、网络管理员、重要业务开发人员、系统维护人员、重要业务应用操作人员等信息系统关键岗位人员进行统一管理；允许一人多岗，但业务应用操作人员不能由其他关键岗位人员兼任；关键岗位人员应定期接受安全培训，加强安全意识和风险防范意识；b）兼职和轮岗要求：业务开发人员和系统维护人员不能兼任或担负安全管理员、系统管理员、数据库管理员、网络管理员、重要业务应用操作人员等岗位或工作；必要时关键岗位人员应采取定期轮岗制度；c）权限分散要求：在b）的基础上，应坚持关键岗位人员“权限分散、不得交叉覆盖”的原则，系统管理员、数据库管理员、网络管理员不能相互兼任岗位或工作；d）多人共管要求：在c）的基础上，关键岗位人员处理重要事务或操作时，应保持二人同时在场，关键事务应多人共管；e）全面控制要求：在d）的基础上，应采取对内部人员全面控制的安全保证措施，对所有岗位工作人员实施全面安全管理。5.2.3.3人员录用管理对人员录用的管理，不同安全等级应有选择地满足以下要求的一项：a）人员录用的基本要求：对应聘者进行审查，确认其具有基本的专业技术水平，接受过安全意识教育和培训，能够掌握安全管理基本知识；对信息系统关键岗位的人员还应注重思想品质方面的考察；b）人员的审查与考核：在a）的基础上，应由单位人事部门进行人员背景、资质审查，技能考核等，合格者还要签署保密协议方可上岗；安全管理人员应具有基本的系统安全风险分析和评估能力；c）人员的内部选拔：在b）的基础上，重要区域或部位的安全管理人员一般可从内部符合条件人员选拔，应做到认真负责和保守秘密；d）人员的可靠性：在c）的基础上，关键区域或部位的安全管理人员应选用实践证明精干、内行、忠实、可靠的人员，必要时可按机要人员条件配备。5.2.3.4人员离岗对人员离岗的管理，不同安全等级应有选择地满足以下要求的一项：a）离岗的基本要求：立即中止被解雇的、退休的、辞职的或其他原因离开的人员的所有访问权限；收回所有相关证件、徽章、密钥、访问控制标记等；收回机构提供的设备等；b）调离后的保密要求：在a）的基础上，管理层和信息系统关键岗位人员调离岗位，必须经单位人事部门严格办理调离手续，承诺其调离后的保密要求；c）离岗的审计要求：在b）的基础上，涉及组织机构管理层和信息系统关键岗位的人员调离单位，必须进行离岗安全审查，在规定的脱密期限后，方可调离；d）关键部位人员的离岗要求：在c）的基础上，关键部位的信息系统安全管理人员离岗，应按照8GB/T20269－2006机要人员 管理办法 关于高温津贴发放的管理办法稽核管理办法下载并购贷款管理办法下载商业信用卡管理办法下载处方管理办法word下载 办理。5.2.3.5人员考核与审查对人员考核与审查的管理，不同安全等级应有选择地满足以下要求的一项：a）定期的人员考核：应定期对各个岗位的人员进行不同侧重的安全认知和安全技能的考核，作为人员是否适合当前岗位的参考；b）定期的人员审查：在a）的基础上，对关键岗位人员，应定期进行审查，如发现其违反安全规定，应控制使用；c）管理有效性的审查：在b）的基础上，对关键岗位人员的工作，应通过例行考核进行审查，保证安全管理的有效性；并保留审查结果；d）全面严格的审查：在c）的基础上，对所有安全岗位人员的工作，应通过全面考核进行审查，如发现其违反安全规定，应采取必要的应对措施。5.2.3.6第三方人员管理对第三方人员的管理，不同安全等级应有选择地满足以下要求的一项：a）基本管理要求：应对硬件和软件维护人员，咨询人员，临时性的短期职位人员，以及辅助人员和外部服务人员等第三方人员签署包括不同安全责任的合同书或保密协议；规定各类人员的活动范围，进入计算机房需要得到批准，并有专人负责；第三方人员必须进行逻辑访问时，应划定范围并经过负责人批准，必要时应有人监督或陪同；b）重要区域管理要求：在重要区域，第三方人员必须进入或进行逻辑访问（包括近程访问和远程访问等）均应有书面申请、批准和过程记录，并有专人全程监督或陪同；进行逻辑访问应使用专门设置的临时用户，并进行审计；c）关键区域管理要求：在关键区域，一般不允许第三方人员进入或进行逻辑访问；如确有必要，除有书面申请外，可采取由机构内部人员带为操作的方式，对结果进行必要的过滤后再提供第三方人员，并进行审计；必要时对上述过程进行风险评估和记录备案，并对相应风险采取必要的安全补救措施。5.2.4教育和培训5.2.4.1信息安全教育信息安全教育包括信息安全意识的培养教育和安全技术培训，不同安全等级应有选择地满足以下要求的一项：a）应知应会要求：应让信息系统相关员工知晓信息的敏感性和信息安全的重要性，认识其自身的责任和安全违例会受到纪律惩罚，以及应掌握的信息安全基本知识和技能等；b）有计划培训：在a）的基础上，应制定并实施安全教育和培训计划，培养信息系统各类人员安全意识，并提供对安全政策和操