1、ICS 35. 040 L 80 GB 中华人民共和国国家标准GB/T 20269-2006 信息安全技术信息系统安全管理要求Information security technology- Information system security management requirements 2006-05阳31发布中华人民共和国国家质量监督检验检度总局中国国家标准化管理委员会2006阳12-01实施GB/T 20269一2006目次前言.v 引言.VI 1 范围-2 规范性引用文件3 术语和定义. 4 信息系统安全管理的一般要求24. 1 信息系统安全管理的内容24.2 信息系统安全管理的
2、原则25 信息系统安全管理要素及其强度35. 1 策略和制度.35. 1. 1 信息安全管理策略5. 1. 2 安全管理规章制度5. 1. 3 策略与制度文档管理. 5. 2 机构和人员管理65.2.1 安全管理机构.5.2.2 安全机制集中管理机构5.2.3 人员管理.8 5.2.4 教育和培训. 5.3 风险管理105.3. 1 风险管理要求和策略105.3.2 风险分析和评估.5.3.3 风险控制u5.3.4 基于风险的决策125.3.5 风险评估的管理.12 5.4 环境和资源管理135.4.1 环境安全管理135.4.2 资源管理145. 5 运行和维护管理5.5. 1 用户管理.1
3、6 5.5.2 运行操作管理175.5.3 运行维护管理.5.5.4 外包服务管理5.5.5 有关安全机制保障. 5.5.6 安全集中管理5. 6 业务连续性管理5.6. 1 备份与恢复275.6.2 安全事件处理.28 5.6.3 应急处理.GB/T 20269-2006 nununu-9?ndA哇EURUEdphunbnbnb民U勺in,且U00000000QdQdnunUAununu-i1i9LququqUA哇4AA哇ndqunJquqoqunJnJquququqdnJququnJndquqJnJnJqdndnJndqJndA哇A吐A古A吐4AA吐4牟A吐A哇A哇4A吐4&A吐A忡AA哇
4、求要uu理级呗求求求求br级求求求求求级求求求求求!U管等盼要要要要要扎护要要要要要扎护要要要要要求颅uHU制理止分邱围求理理理理理要憔围求理理理理理要明国求理理理理理要剖围求理求控管理终理范要管求管管管管理、1范要管求管管管管理i范要管求管管管管理班要管要查管理项管和管自和度员要源护性查管审和度员要源护性查管相和度员要源护性查管制圳和度查律检监定管立程用全户标制人理资维续检期统标制人理资维续检期全标制人理资佳续检期中标制检法性及认期和过启安丹目和和管和和连和周fd目和和管和和连和周戎目和和管和和连和周品目和和合从计任周划设统统级理策构险境作务督存级理策构险境作务督存级理策构险境作务督存级理策
5、督符依审责存规建系系一管政机风环操业监生二管政机风环操业监生三管政机风环操业监生四管政监生息第第第第1234123主同12345678912345678912345678912巧,巧i巧Jt句QUQUQOOO-i1i1i1i111i1i1-41inLqIMqLnL?uquqdqJqunJndqJndndndqJA吱A吐A吱丘ph山丘5.i旦旦旦旦66.6.队队6.6.队队丘6.6.队666666666队队队队tt666队66.HGB/T 20269-2006 6.4.3 机构和人员管理要求u6.4.4 风险管理要求.6.4.5 环境和资源管理要求456.4.6 操作和维护管理要求u6.4.7
6、业务连续性管理要求6.4.8 监督和检查管理要求6.4.9 生存周期管理要求466.5 第五级:访问验证保护级466.5.1 管理目标和范围466.5.2 政策和制度要求.47 6.5.3 机构和人员管理要求476.5.4 风险管理要求476.5.5 环境和资源管理要求476.5.6 操作和维护管理要求.47 6.5.7 业务连续性管理要求486.5.8 监督和检查管理要求486.5.9 生存周期管理要求. 48 附录A(资料性附录)安全管理要素及其强度与安全管理分等级要求的对应关系49附录趴资料性附录)信息系统安全管理概念说明B.1 主要安全因素 53 B. 1. 1 资产 m B. 1.
7、2 威胁. 53 B. 1. 3 脆弱性 M B. 1.4 意外事件影响 M B. 1. 5 风险 M B.1.6 保护措施 M B.2 安全管理的过程 M B. 2. 1 安全管理过程模型 M B. 2. 2 安全目标 55 B. 2. 3 安全保护等级的确定 55 B. 2. 4 安全风险分析与评估川55B.2.5 制定安全策略 55 B.2.6 安全需求分析 M B.2.7 安全措施的实施B. 2. 8 安全实施过程的监理B.2.9 信息系统的安全审计 57 B. 2. 10 生存周期管理四参考文献.阳川剧GB/T 20269-2006 前言本标准的附录A、附录B是资料性附录。本标准由全
8、国信息安全标准化技术委员会提出并归口。本标准起草单位:北京思源新创信息安全资讯有限公司,江南计算技术研究所技术服务中心。本标准主要起草人:陈冠直、王志强、吉增瑞、景乾元、宋健平。V G/T 20269-2006 百l信息安全等级保护从与信息系统安全相关的物理层面、网络层面、系统层面、应用层面和管理层面对信息和信息系统实施分等级安全保护。管理层面贯穿于其他层面之中,是其他层面实施分等级安全保护的保证。本标准对信息和信息系统的安全保护提出了分等级安全管理的要求,阐述了安全管理要素及其强度,并将管理要求落实到信息安全等级保护所规定的五个等级上,有利于对安全管理的实施、评估和检查。GB17859-19
9、99中安全保护等级的划分是根据对安全技术和安全风险控制的关系确定的,公通宇2004J66号文件中安全等级的划分是根据信息和信息系统受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成损害的程度确定的。两者的共同点是:安全等级越高,发生的安全技术费用和管理成本越高,从而预期能够抵御的安全威胁越大,建立起的安全信心越强,使用信息系统的风险越小。本标准以安全管理要素作为描述安全管理要求的基本组件。安全管理要素是指,为实现信息系统安全等级保护所规定的安全要求,从管理角度应采取的主要控制方法和措施。根据GB17859 1999 对安全保护等级的划分,不同的安全保护等级会有不同的安全管理要求,可以体
10、现在管理要素的增加和管理强度的增强两方面。对于每个管理要素,根据特定情况分别列出不同的管理强度,最多分为5级,最少可不分级。在具体描述中,除特别声明之外,一般高级别管理强度的描述都是在对低级别描述基础之上进行的。信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。本标准涉及信息系统的管理者包括国家机关、事业单位、厂矿企业、公司、集团等各种类型和不同规模的组织机构,以下统称为组织机构。信息系统在技术上采取何种安全机制应根据相关技术标准确定,本标准仅提出保证这些安全机制实施的管理要
11、求。与技术密切的管理是技术实现的组成部分,如果信息系统根据具体业务及其安全需求未采用该技术,则不需要相应的安全管理要求。对与管理描述难以分开的技术要求会出现在管理要求中,具体执行需要参照相关技术标准。对于涉及国家秘密的信息和信息系统的保密管理,应按照国家有关保密的管理规定和相关标准执行。本标准中有关信息系统安全管理要素及其强度与信息系统安全管理分等级要求的对应关系的说明参见附录A。为了帮助读者从安全管理概念角度理解和运用这些信息系统的安全管理要求,附录B给出了信息系统安全管理概念说明。VI GB/T 20269-2006 信息安全技术信息系统安全管理要求1 范围本标准依据GB17859-199
12、9的五个安全保护等级的划分,规定了信息系统安全所需要的各个安全等级的管理要求。本标准适用于按等级化要求进行2 规范性引用文件下列文件中的条款通的修改单(不包括勘误的是否可使用这些文件的3 术语和定义3. 1 完整性包括数据完据的准确性和一致3.2 可用性表征数据或系统3.3 访问控制access 按确定的规则,对实体3.4 安全审计security audit 按确定规则的要求,对与安全相安全机制。3.5 3.6 3. 7 鉴别信息authentication information 用以确认身份真实性的信息。敏感性sensitivity 表征资源价值或重要性的特性,也可能包含这一资源的脆弱性
13、。凤险评估risk assessment 引用文件,其随后所有达成协议的各方研究作何变化,数录必要信息,并作出相应处理的通过对信息系统的资产价值/重要性、信息系统所受到的威胁以及信息系统的脆弱性进行综合分GB/T 20269-2006 析,对信息系统及其处理、传输和存储的信息的保密性、完整性和可用性等进行科学识别和评价,确定信息系统安全风险的过程。3.8 安全策略security policy 主要指为信息系统安全管理制定的行动方针、路线、工作方式、指导原则或程序。4 信息系统安全管理的一般要求4. 1 信息系统安全管理的内容信息系统安全管理是对-个组织机构中信息系统的生存周期全过程实施符合安
14、全等级责任要求的管理,包括:一-落实安全管理机构及安全管理人员,明确角色与职责,制定安全规划;一一开发安全策略;一二实施风险管理;一-制定业务持续性计划和灾难恢复计划;一-选择与实施安全措施;一保证配置、变更的正确与安全;一一进行安全审计;一-保证维护支持;一-进行监控、检查,处理安全事件;一二安全意识与安全教育;一-人员安全管理等。4.2 信息系统安全管理的原则2 a) 基于安全需求原则:组织机构应根据其信息系统担负的使命,积累的信息资产的重要性,可能受到的威胁及面临的风险分析安全需求,按照信息系统等级保护要求确定相应的信息系统安全保护等级,遵从相应等级的规范要求,从全局上恰当地平衡安全投入
15、与效果。b) 主要领导负责原则:主要领导应确立其组织统一的信息安全保障的宗旨和政策,负责提高员工的安全意识,组织有效安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各部门工作的关系,并确保其落实、有效。c) 全员参与原则:信息系统所有相关人员应普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统安全。d) 系统方法原则:按照系统工程的要求,识别和理解信息安全保障相互关联的层面和过程,采用管理和技术结合的方法,提高实现安全保障的目标的有效性和效率。e) 持续改进原则:安全管理是一种动态反馈过程,贯穿整个安全管理的生存周期,随着安全需求和系统脆弱性的时空分布变化,威胁程度
16、的提高,系统环境的变化以及对系统安全认识的深化等,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系的有效性。f) 依法管理原则:信息安全管理工作主要体现为管理行为,应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理,应由授权者适时发布准确一致的有关信息,避免带来不良的社会影响。g) 分权和授权原则:对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中所带来的隐患,以减小未授权的修改或滥用系统资源的机会。任何实体(如用户、管理员、进程、应用或系统)仅享有该实体需
17、要完成其任务所必须的权限,不应享有任何多余权限。GB/T 20269-2006 h) 选用成熟技术原则:成熟的技术具有较好的可靠性和稳定性,采用新技术时要重视其成熟的程度,并应首先局部试点然后逐步推广,以减少或避免可能出现的失误。i) 分级保护原则:按等级划分标准确定信息系统的安全保护等级,实行分级保护;对多个子系统构成的大型信息系统,确定系统的基本安全保护等级,并根据实际安全需求,分别确定各子系统的安全保护等级,实行多级安全保护。j) 管理与技术并重原则:坚持积极防御和综合防范,全面提高信息系统安全防护能力,立足国情,采用管理与技术相结合,管理科学性和技术前瞻性结合的方法,保障信息系统的安全
18、性达到所要求的目标。k) 自保护和国家监管结合原则:对信息系统安全实行自保护和国家保护相结合。组织机构要对自己的信息系统安全保护负责,政府相关部门有责任对信息系统的安全进行指导、监督和检查,形成自管、自查、自评和国家监管相结合的管理模式,提高信息系统的安全保护能力和水平,保障国家信息安全。5 信息系统安全管理要素及其强度5. 1 策略和制度5. 1. 1 信息安全管理策略5. 1. 1. 1 安全管理目标与范围信息系统的安全管理需要明确信息系统的安全管理目标和范围,不同安全等级应有选择地满足以下要求的一项:a) 基本的管理目标与范围:针对一般的信息系统应包括:制定包括系统设施和操作等内容的系统
19、安全目标与范围计划文件;为达到相应等级技术要求提供相应的管理保证;提供对信息系统进行基本安全保护的安全功能和安全管理措施,确保安全功能达到预期目标,使信息免遭非授权的泄露和破坏,基本保证信息系统安全运行。b) 较完整的管理目标与范围:针对在一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,在a)的基础上还应包括:建立相应的安全管理机构,制定相应的安全操作规程;制定信息系统的风险管理计划;提供对信息系统进行安全保护的比较完整的系统化安全保护的能力和比较完善的安全管理措施,从整体上保护信息免遭非授权的泄露和破坏,保证信息系统安全正常运行。c) 系统化的管理目标与范围:针对涉
20、及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,在怕的基础上还应包括:提供信息系统安全的自动监视和审计;提供信息系统的认证、验收及使用的授权的规定;提供对信息系统进行强制安全保护的能力和设置必要的强制性安全管理措施,确保数据信息免遭非授权的泄露和破坏,保证信息系统安全运行。d) 强制保护的管理目标与范围:针对涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统,在c)的基础上还应包括:提供安全策略和措施的程序化、周期化的评估,以及对明显的风险变化和安全事件的评估;实施强制的分权管理机制和可信管理;提供对信息系统进行整体的强制安全保护的能力和比较完善的强制性安全管理措施,保证
21、信息系统安全运行。e) 专控保护的管理目标与范围:针对涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心系统,在d)的基础上还应包括:使安全管理计划与组织机构的文化有机融合,并能适应安全环境的变化;实施全面、可信的安全管理;提供对信息系统进行基于可验证的强制安全保护能力和完善的强制性安全管理措施,全面保证信息系统安全运行。5. 1. 1. 2 总体安全管理策略不同安全等级的信息系统总体安全策略应有选择地满足以下要求的项:a) 基本的安全管理策略:信息系统安全管理策略包括:依照国家政策法规和技术及管理标准进行3 GB/T 20269-2006 自主保护;阐明管理者对信息系统安全
22、的承诺,并陈述组织机构管理信息系统安全的方法;说明信息系统安全的总体目标、范围和安全框架;申明支持信息系统安全目标和原则的管理意向;简要说明对组织机构有重大意义的安全方针、原则、标准和符合性要求。b) 较完整的安全管理策略:在a)的基础上,信息安全管理策略还包括:在信息安系统全监管职能部门的指导下,依照国家政策法规和技术及管理标准自主进行保护;明确划分信息系统(分系统/域)的安全保护等级(按区域分等级保护);制定风险管理策略、业务连续性策略、安全培训5.1. 1. 3 安全管理策信息系统安全管a) 基本的安全百以安全管理体策略,并以b) 较完整的安人组织,信息c) 体系化的安全百出指导思想,信
23、息和具体策略,并以d) 强制保护的安全管能部门指派专人负责制文件形式表述;涉密系统监管职能部门的意见。e) 专控保护的安全管理策略制定:作的负责5.1. 1. 4 安全管理策略的发布4 信息系统安全管理策略应以文档形式发布,不同安全等级应有选择地满足以下要求的一项:a) 基本的安全管理策略的发布:安全管理策略文档应由分管信息安全工作的负责人签发,并向信息系统的用户传达,其形式应针对目标读者,并能够为读者接受和理解;b) 较完整的安全管理策略的发布:在a)的基础上,安全管理策略文档应经过组织机构负责人签发,按照有关文件管理程序发布;c) 体系化的安全管理策略的发布:在b)的基础上,安全管理策略文
24、档应注明发布范围,并有收发文登记;d) 强制保护的安全管理策略的发布:在c)的基础上,安全管理策略文档应注明密级,并在监管部GB/T 20269-2006 门备案;e) 专控保护的安全管理策略的发布:在d)的基础上,必要时安全管理策略文档应在国家指定的专门部门或机构进行备案。5. 1.2 安全管理规章制度5. 1.2. 1 安全管理规章制度内窑应根据机构的总体安全策略和业务应用需求,制定信息系统安全管理的规程和制度,不同安全等级的安全管理规章制度的内容应有选择地满足以下要求的一项:a) 基本的安全管理制度:应包括网络安全管理规定、系统安全管理规定、数据安全管理规定、防病毒规定、机房安全管理规定
25、以及均主咂冉冉b) 较完整的安全管理制度:故处理规定、应急悻c) 体系化的安全管定、安全事件报告规定、事方面的安全管理等方面的运行露与发布审批h码使用管理规匍的理度管全市理安管2全Z安页-J E一档形式表述,经信息安全领导小组讨论通过,由信息安全领导小组负责人审批发布,应注明发布范围并有收发文登记;d) 强制保护的安全管理制度制定:应由信息安全职能部门指派专人负责制订信息系统安全管理制度,并以文档形式表述,经信息安全领导小组讨论通过,由信息安全领导小组负责人审批发布川言息系统安全管理制度文档的发布应注明密级,对涉密的信息系统安全管理制度的制定应在相应范围内进行;e) 专控保护的安全管理制度制定
26、:在d)的基础上,必要时,应征求组织机构的保密管理部门的意见,或者共同制定。5 GB/T 20269-2006 5. 1.3 策略与制度文挡管理5. 1.3. 1 策略与制度文挡的评审和修订策略与制度文挡的评审和修订,不同安全等级应有选择地满足以下要求的一项:a) 基本的评审和修订:应由分管信息安全的负责人和安全管理人员负责文档的评审和修订;应通过所记录的安全事故的性质、数量以及影响检查策略和制度的有效性,评价安全管理措施对成本及应用效率的影响,以及技术变化对安全管理的影响;经评审,对存在不足或需要改进的策略和制度应进行修订,并按规定程序发布。b) 较完整的评审和修订:应由分管信息安全的负责人
27、和信息安全职能部门负责文档的评审和修n;应定期或阶段性审查策略和制度存在的缺陷,并在发生重大安全事故、出现新的漏洞以及机构或技术基础结构发生变更时,对策略和制度进行相应的评审和修订;对评审后需要修订的策略和制度文档,应明确指定人员限期完成并按规定发布。c) 体系化的评审和修订:应由信息安全领导小组和信息安全职能部门负责文档的评审和修订;应对安全策略和制度的有效性进行程序化、周期性评审,并保留必要的评审记录和依据;每个策略和制度文档应有相应责任人,根据明确规定的评审和修订程序对策略进行维护。d) 强制保护的评审和修订:应由信息安全领导小组和信息安全职能部门的专门人员负责文档的评审和修订,必要时可
28、征求信息安全监管职能部门的意见;应对安全策略和制度的有效性进行程序化、周期性评审,并保留必要的评审记录和依据;每个策略和制度文档应有相应责任人,根据明确规定的评审和修订程序对策略进行维护;对涉密的信息安全策略、规章制度和相关的操作规程文挡的评审和修订应在相应范围内进行。e) 专控保护的评审和修订:在d)的基础上,必要时可请组织机构的保密管理部门参加文档的评审和修订,应征求国家指定的专门部门或机构的意见;应对安全策略和制度的有效性及时进行专项的评审,并保留必要的评审记录和依据。5. 1. 3. 2 策略与制度文档的保管对策略与制度文档,以及相关的操作规程文档的保管,不同安全等级应有选择地满足以下
29、要求的一项:a) 指定专人保管z对策略和制度文档,以及相关的操作规程文档,应指定专人保管pb) 借阅审批和登记:在a)的基础上,借阅策略和制度文档,以及相关的操作规程文档,应有相应级别负责人审批和登记;c) 限定借阅范围:在b)的基础上,借阅策略和制度文档,以及相关的操作规程文档,应限定借阅范围,并经过相应级别负责人审批和登记;d) 全面严格保管:在c)的基础上,对涉密的策略和制度文档,以及相关的操作规程文档的保管应按照有关涉密文档管理规定进行;对保管的文档以及借阅的记录定期进行检查;e) 专控保护的管理:在d)的基础上,应与相关业务部门协商制定专项控制的管理措施。5.2 机构和人员管理5.2
30、.1 安全管理机构5.2. 1. 1 建立安全管理机构在组织机构中应建立安全管理机构,不同安全等级的安全管理机构应有选择地满足以下要求的项:6 a) 配备安全管理人员:管理层中应有一人分管信息系统安全工作,并为信息系统的安全管理配备专职或兼职的安全管理人员;b) 建立安全职能部门:在a)的基础上,应建立管理信息系统安全工作的职能部门,或者明确指定一个职能部门兼管信息安全工作,作为该部门的关键职责之一;c) 成立安全领导小组:在b)的基础上,应在管理层成立信息系统安全管理委员会或信息系统安GB/T 20269-2006 全领导小组(以下统称信息安全领导小组),对覆盖全国或跨地区的组织机构,应在总
31、部和下级单位建立各级信息系统安全领导小组,在基层至少要有一位专职的安全管理人员负责信息系统安全工作;d) 主要负责人出任领导:在c)的基础上,应由组织机构的主要负责人出任信息系统安全领导小组负责人;e) 建立信息安全保密管理部门:在d)的基础上,应建立信息系统安全保密监督管理的职能部门,或对原有保密部门明确信息安全保密管理责任,加强对信息系统安全管理重要过程和管理人员的保密监督管理。5.2.1.2 信息安全领导小组信息系统安全领导小组负责领导本组织机构的信息系统安全工作,至少应行使以下管理职能之-.a) 安全管理的领导职能:根据国家和行业有关信息安全的政策、法律和法规,批准机构信息系统的安全策
32、略和发展规划;确定各有关部门在信息系统安全工作中的职责,领导安全工作的实施;监督安全措施的执行,并对重要安全事件的处理进行决策;指导和检查信息系统安全职能部门及应急处理小组的各项工作;建设和完善信息系统安全的集中控管的组织体系和管理机制。b) 保密监督的管理职能:在a)的基础上,对保密管理部门进行有关信息系统安全保密监督管理方面的指导和检查。5.2. 1. 3 信息安全职能部门信息安全职能部门在信息系统安全领导小组领导下,负责本组织机构信息系统安全的具体工作,至少应行使以下管理职能之一:a) 基本的安全管理职能:根据国家和行业有关信息安全的政策法规,起草组织机构信息系统的安全策略和发展规划;管
33、理机构信息系统安全日常事务,检查和指导下级单位信息系统安全工作;负责安全措施的实施或组织实施,组织并参加对安全重要事件的处理;监控信息系统安全总体状况,提出安全分析报告;指导和检查各部门和下级单位信息系统安全人员及要害岗位人员的信息系统安全工作;应与有关部门共同组成应急处理小组或协助有关部门建立应急处理小组实施相关应急处理工作。b) 集中的安全管理职能:在a)的基础上,管理信息系统安全机制集中管理机构的各项工作,实现信息系统安全的集中控制管理;完成信息系统安全领导小组交办的工作,并向领导小组报告机构的信息系统安全工作。5.2.2 安全机制集中管理机构5.2.2.1 设置集中管理机构信息系统安全
34、机制集中管理机构(以下简称集中管理机构)既是技术实体,也是管理实体,应按照以下方式设立:a) 集中管理机构人员和职责:应配备必要的领导和技术管理人员,应选用熟悉安全技术、网络技术、系统应用等方面技术人员,明确责任协同工作,统一管理信息系统的安全运行,进行安全机制的配置与管理,对与安全有关的信息进行汇集与分析,对与安全有关的事件进行响应与处置;应对分布在信息系统中有关的安全机制进行集中管理;应接受信息安全职能部门的直接领导。5.2.2.2 集中管理机构职能a) 信息系统安全运行的统一管理:集中管理机构主要行使以下技术职能:防范与保护z建立物理、支撑系统、网络、应用、管理等五个层面的安全控制机制,
35、构成系统有机整体安全控制机制;统一进行信息系统安全机制的配置与管理,确保各个安全机制按照设计要求运行。7 GB/T 20269-2006 b) 一一监控与检查:对服务器、路由器、防火墙等网络部件、系统安全运行性状态、信息(包括有害内容)的监控和检查;汇集各种安全机制所获取的与系统安全运行有关的信息,对所获取的信息进行综合分析,及时发现系统运行中的安全问题和隐患,提出解决的对策和方法。一一响应与处置:事件发现、响应、处置、应急恢复,根据应急处理预案,作出快速处理;应对各种事件和处理结果有详细的记载并进行档案化管理,作为对后续事件分析的参考和可查性的依据。一一安全机制集中管理控制(详见5.5.肘,
36、完善管理信息系统安全运行的技术手段,进行信息系统安全的集中控制管理。5. 2. 3 人员管理5.2.3. 1 安全管理对安全管理人口a) 可配备兼b) 员等;b) d) 多人共管要求:在c)的基关键事务应多人共管。e ) 全面控制要求:在d)的基础上,应采取对内部人员全面控制的安全保证措施,对所有岗位工作人员实施全面安全管理。5. 2. 3.3 人员录用管理8 对人员录用的管理,不同安全等级应有选择地满足以下要求的一项:a) 人员录用的基本要求:对应聘者进行审查,确认其具有基本的专业技术水平,接受过安全意识教育和培训,能够掌握安全管理基本知识;对信息系统关键岗位的人员还应注重思想品质方面的考察
37、。b) 人员的审查与考核:在a)的基础上,应由单位人事部门进行人员背景、资质审查,技能考核等,GB/T 20269-2006 合格者还要签署保密协议方可上岗;安全管理人员应具有基本的系统安全风险分析和评估能力。c) 人员的内部选拔:在b)的基础上,重要区域或部位的安全管理人员一般可从内部符合条件人员选拔,应做到认真负责和保守秘密。d) 人员的可靠性:在c)的基础上,关键区域或部位的安全管理人员应选用实践证明精干、内行、忠实、可靠的人员,必要时可按机要人员条件配备。5. 2. 3.4 人员离岗对人员离岗的管理,不同安全等级应有选择地满足以下要求的一项:a) 离岗的基本要求:立即中止被解雇的、退休
38、的、辞职的或其他原因离开的人员的所有访问权限;收回所有相关证件、徽章、密钥主革蝇疆唰晶事;收回机构提供的设备等。b) 调离后的保密要求:在M耐主础上,管理层和信J系益关键岗位人员调离岗位,必须经单位人事部门严格办理调耳续,承诺基揭高岳鸪丘密要求。必须进行离d) 关键部位4址、5.2. 3. 5 人员对人员考a) 定期安全技能的考核,作为b) 应管安全C1G 范围并经过;同b) 重要区域管理访问等)均应有书门设置的临时用户,并Jtr将在计。-._ -_,_ c) 关键区域管理要求:在关键区域,一脏水冗叶第三方人员进入或进行逻辑访问;如确有必要,除有书面申请外,可采取由机构内部人员带为操作的方式,
39、对结果进行必要的过滤后再提供第二方人员,并进行审计;必要时对上述过程进行风险评估和记录备案,并对相应风险采取必要的安全补救措施。5. 2. 4 教育和培训5. 2. 4. 1 信息安全教育信息安全教育包括信息安全意识的培养教育和安全技术培训,不同安全等级应有选择地满足以下要求的一项:9 GB/T 20269-2006 的应知应会要求:应让信息系统相关员工知晓信息的敏感性和信息安全的重要性,认识其自身的责任和安全违例会受到纪律惩罚,以及应掌握的信息安全基本知识和技能等;b) 有计划培训:在a)的基础上,应制定并实施安全教育和培训计划,培养信息系统各类人员安全意识,并提供对安全政策和操作规程的认知
40、教育和训练等;c) 针对不同岗位培训:在b)的基础上,针对不同岗位,制定不同的专业培训计划,包括安全知识、安全技术、安全标准、安全要求、法律责任和业务控制措施等;d) 按人员资质要求培训:在c)的基础上,对所有工作人员的安全资质进行定期检查和评估,使相应的安全教育成为组织机构工作计划的一部分;e) 培养安全意识自觉性:在d)的基础上,对所有工作人员进行相应的安全资质管理,并使安全意识成为所有工作人员的自觉存在。5.2.4.2 信息安全专家可邀请或聘用信息安全专家,不同安全等级应有选择地满足以下要求的一项:a) 昕取信息安全专家建议:昕取信息安全专家对于组织机构的信息系统安全方面的建议;组织专家
41、参与安全威胁的评估,提供安全控制措施的建议,进行信息安全有效性评判,对安全事件给予专业指导和原因调查等。b) 对信息安全专家的管理:在a)的基础上,对于邀请或聘用信息安全专家可以提供必要的组织机构内部信息,同时应告知专家这些信息的敏感性和保密性,并应采取必要的安全措施,保证提供的信息在安全可控的范围内。5. 3 风险管理5.3.1 风险管理要求和策略5.3. 1. 1 风险管理要求风险管理作为等级保护的手段,在保证信息等级系统的最低保护能力的基础上,可根据风险确定增加某些管理要求。对风险管理,不同安全等级应有选择地满足以下要求的一项:a) 基本风险管理:组织机构应进行基本的风险管理活动,包括编
42、制资产清单,对资产价值/重要性进行分析,对信息系统面临的威胁进行初步分析,通过工具扫描的方式对信息系统的脆弱性进行分析,以简易的方式分析安全风险、选择安全措施。b) 定期风险评估:在a)的基础上,针对关键的系统资源进行定期风险分析和评估;产生风险分析报告并向管理层提交。c) 规范风险评估:在b)的基础上,在风险管理中,使用规范方法和经过必要的工作流程,进行规范化的风险评估,产生风险分析报告和留存重要过程文档,并向管理层提交。d) 独立审计的风险管理:在c)的基础上,建立风险管理体系文件;针对风险管理过程,实施独立审计,确保风险管理的有效性。e) 全面风险管理:在d)的基础上,使风险管理成为信息
43、系统安全管理的有机组成部分,贯穿信息系统安全管理的全过程,并具有可验证性。5.3. 1. 2 风险管理策略10 对风险管理策略,不同安全等级应有选择地满足以下要求的一项:a) 基本的风险管理策略:应定期世行风险评估,安全风险分析和评估活动程序应至少包括信息安全风险管理和业务应用风险管理密切相关的内容,信息安全风险管理的基本观念和方法,以及风险管理的组织和资源保证等;b) 风险管理的监督机制:在a)的基础上,应建立风险管理的监督机制.对所有风险管理相关过程的活动和影响进行评估和监控;应建立指导风险管理监督过程的指导性文档;c) 风险评估的重新启动:在b)的基础仁,应明确规定重新启动风险评估的条件,机构应能针对风险的变化重新启动风险评估。GBjT 20269-2006 5.3.2 凤险分析和