5.5.4.2 外包服務(wù)商

對(duì)外包服務(wù)商，不同安全等級(jí)應(yīng)有選擇地滿(mǎn)足以下要求的一項(xiàng)：

a） 外包服務(wù)商的基本要求：應(yīng)選擇具有相應(yīng)服務(wù)資質(zhì)并信譽(yù)好的外包服務(wù)商；
b） 在既定的范圍內(nèi)選擇外包服務(wù)商：對(duì)較為重要的業(yè)務(wù)應(yīng)用，應(yīng)在行業(yè)認(rèn)可或者是經(jīng)過(guò)上級(jí)主管部門(mén)批準(zhǔn)的范圍內(nèi)，選擇具有相應(yīng)服務(wù)資質(zhì)并信譽(yù)好的可信的外包服務(wù)商；
c） 外包服務(wù)的限制要求：關(guān)鍵的或涉密的業(yè)務(wù)應(yīng)用，一般不應(yīng)采用外包服務(wù)方式。


5.5.4.3 外包服務(wù)的運(yùn)行管理

外包服務(wù)的運(yùn)行管理，不同安全等級(jí)應(yīng)有選擇地滿(mǎn)足以下要求的一項(xiàng)：

a） 外包服務(wù)的監(jiān)控：對(duì)外包服務(wù)的業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行的安全狀況應(yīng)進(jìn)行監(jiān)控和檢查，出現(xiàn)問(wèn)題應(yīng)遵照合同規(guī)定及時(shí)處理和報(bào)告；
b） 外包服務(wù)的評(píng)估：在a）的基礎(chǔ)上，對(duì)外包服務(wù)的業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行的安全狀況應(yīng)定期進(jìn)行評(píng)估，當(dāng)出現(xiàn)重大安全問(wèn)題或隱患時(shí)應(yīng)進(jìn)行重新評(píng)估，提出改進(jìn)意見(jiàn)，直至停止外包服務(wù)。


5.5.5 有關(guān)安全機(jī)制保障

5.5.5.1 身份鑒別機(jī)制管理要求

對(duì)身份鑒別機(jī)制的管理，不同安全等級(jí)應(yīng)有選擇地滿(mǎn)足以下要求的一項(xiàng)：

a） 身份鑒別機(jī)制管理基本要求：對(duì)網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)等系統(tǒng)管理員和應(yīng)用系統(tǒng)管理員以及普通用戶(hù)，應(yīng)明確使用和保護(hù)身份鑒別機(jī)制的責(zé)任；應(yīng)指定安全管理人員定期進(jìn)行檢查，對(duì)身份鑒別機(jī)制的管理應(yīng)保證GB/T 20271-2006中6.1.3.1所采用的安全技術(shù)能達(dá)到其應(yīng)有的安全性要求；
b） 身份鑒別機(jī)制增強(qiáng)要求：在a）的基礎(chǔ)上，應(yīng)采用不可偽造的鑒別信息進(jìn)行身份鑒別；鑒別信息應(yīng)進(jìn)行相應(yīng)的保護(hù)；對(duì)身份鑒別機(jī)制的管理應(yīng)保證GB/T 20271-2006中6.2.3.1所采用的安全技術(shù)能達(dá)到其應(yīng)有的安全性要求；
c） 身份鑒別和認(rèn)證系統(tǒng)的管理維護(hù)：在b）的基礎(chǔ)上，應(yīng)采用有關(guān)身份鑒別和認(rèn)證系統(tǒng)的管理維護(hù)措施；對(duì)身份鑒別機(jī)制的管理應(yīng)保證GB/T 20271-2006中6.3.3.1所采用的安全技術(shù)能達(dá)到其應(yīng)有的安全性要求；
d） 身份鑒別和認(rèn)證管理的強(qiáng)制保護(hù)：在c）的基礎(chǔ)上，應(yīng)采用多鑒別機(jī)制進(jìn)行身份鑒別，操作過(guò)程需要留有操作記錄和審批記錄，必要時(shí)應(yīng)兩人以上在場(chǎng)才能進(jìn)行；對(duì)身份鑒別機(jī)制的管理應(yīng)保證GB/T 20271-2006中6.4.3.1所采用的安全技術(shù)能達(dá)到其應(yīng)有的安全性要求；
e） 身份鑒別和認(rèn)證管理的專(zhuān)項(xiàng)管理：在d）的基礎(chǔ)上，與相關(guān)業(yè)務(wù)部門(mén)共同制定專(zhuān)項(xiàng)管理措施；對(duì)身份鑒別機(jī)制的管理應(yīng)保證GB/T 20271-2006中6.5.3.1所采用的安全技術(shù)能達(dá)到其應(yīng)有的安全性要求。


5.5.5.2 訪(fǎng)問(wèn)控制機(jī)制管理要求

對(duì)訪(fǎng)問(wèn)控制機(jī)制的管理，不同安全等級(jí)應(yīng)有選擇地滿(mǎn)足以下要求的一項(xiàng)：
a） 自主訪(fǎng)問(wèn)控制機(jī)制的管理：應(yīng)根據(jù)自主訪(fǎng)問(wèn)控制機(jī)制的要求，由授權(quán)用戶(hù)為主、客體設(shè)置相應(yīng)訪(fǎng)問(wèn)的參數(shù)；
b） 自主訪(fǎng)問(wèn)控制審計(jì)管理：在a）基礎(chǔ)上，應(yīng)將自主訪(fǎng)問(wèn)控制與審計(jì)密切結(jié)合，實(shí)現(xiàn)對(duì)自主訪(fǎng)問(wèn)控制過(guò)程的審計(jì)，使訪(fǎng)問(wèn)者必須為自己的行為負(fù)責(zé)；并保證最高管理層對(duì)自主訪(fǎng)問(wèn)控制管理的掌握；
c） 強(qiáng)制訪(fǎng)問(wèn)控制的管理：在b）基礎(chǔ)上，應(yīng)將強(qiáng)制訪(fǎng)問(wèn)控制與審計(jì)密切結(jié)合，實(shí)現(xiàn)對(duì)強(qiáng)制訪(fǎng)問(wèn)控制過(guò)程的審計(jì)；應(yīng)根據(jù)強(qiáng)制訪(fǎng)問(wèn)控制機(jī)制的要求，由授權(quán)的安全管理人員通過(guò)專(zhuān)用方式為主、客體設(shè)置標(biāo)記信息；可采用集中式、分布式和混合式等基本的訪(fǎng)問(wèn)控制管理模式，對(duì)分布在信息系統(tǒng)的不同計(jì)算機(jī)系統(tǒng)上實(shí)施同一安全策略的訪(fǎng)問(wèn)控制機(jī)制，設(shè)置一致的主、客體標(biāo)記信息；應(yīng)根據(jù)信息系統(tǒng)的安全需求，確定實(shí)施系統(tǒng)級(jí)、應(yīng)用級(jí)、用戶(hù)級(jí)的審計(jì)跟蹤；
d） 訪(fǎng)問(wèn)控制的監(jiān)控管理：在c）基礎(chǔ)上，對(duì)訪(fǎng)問(wèn)控制進(jìn)行監(jiān)控管理，對(duì)系統(tǒng)、用戶(hù)或環(huán)境進(jìn)行持續(xù)性檢查；對(duì)實(shí)時(shí)性強(qiáng)的活動(dòng)加強(qiáng)監(jiān)控，包括每日或每周對(duì)審計(jì)跟蹤（如有關(guān)非法登錄嘗試）的檢查；注意保護(hù)和檢查審計(jì)跟蹤數(shù)據(jù)，以及用于審計(jì)跟蹤分析的工具；
e） 訪(fǎng)問(wèn)控制的專(zhuān)項(xiàng)控制：在d）基礎(chǔ)上，應(yīng)具有嚴(yán)格的用戶(hù)授權(quán)與訪(fǎng)問(wèn)控制措施；對(duì)訪(fǎng)問(wèn)控制機(jī)制的設(shè)置進(jìn)行專(zhuān)項(xiàng)審批，并由獨(dú)立的安全管理人員對(duì)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用等方面的訪(fǎng)問(wèn)控制機(jī)制進(jìn)行獨(dú)立的有效性評(píng)估和檢查。


5.5.5.3 系統(tǒng)安全管理要求

對(duì)操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)的安全管理，不同安全等級(jí)應(yīng)有選擇地滿(mǎn)足以下要求的一項(xiàng)：

a） 系統(tǒng)安全管理基本要求：應(yīng)對(duì)不同安全級(jí)別的操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)按其安全技術(shù)和機(jī)制的不同要求實(shí)施相應(yīng)的安全管理；應(yīng)通過(guò)正式授權(quán)程序委派專(zhuān)人負(fù)責(zé)系統(tǒng)安全管理；建立系統(tǒng)安全配置、備份等安全管理規(guī)章制度；按規(guī)章制度的要求進(jìn)行正確的系統(tǒng)安全配置、備份等操作，及時(shí)進(jìn)行補(bǔ)丁升級(jí)；
b） 基于審計(jì)的系統(tǒng)安全管理：在a）的基礎(chǔ)上，應(yīng)對(duì)系統(tǒng)進(jìn)行日常安全管理，包括對(duì)用戶(hù)安全使用進(jìn)行指導(dǎo)和審計(jì)等；應(yīng)依據(jù)操作規(guī)程確定審計(jì)事件、審計(jì)內(nèi)容、審計(jì)歸檔、審計(jì)報(bào)告；對(duì)授權(quán)用戶(hù)應(yīng)采用相應(yīng)身份鑒別機(jī)制（見(jiàn)5.5.5.1）進(jìn)行鑒別，并遵照規(guī)定的登錄規(guī)程登錄系統(tǒng)和使用許可的資源；應(yīng)對(duì)系統(tǒng)工具的使用進(jìn)行授權(quán)管理和審計(jì)；應(yīng)對(duì)系統(tǒng)的安全弱點(diǎn)和漏洞進(jìn)行控制；應(yīng)依據(jù)變更控制規(guī)程對(duì)系統(tǒng)的變更進(jìn)行控制；應(yīng)及時(shí)對(duì)系統(tǒng)資源和系統(tǒng)文檔進(jìn)行安全備份；
c） 基于標(biāo)記的系統(tǒng)安全管理：在b）的基礎(chǔ)上，應(yīng)根據(jù)訪(fǎng)問(wèn)控制安全策略的要求，全面考慮和統(tǒng)一設(shè)置、維護(hù)用戶(hù)及主、客體的標(biāo)記信息；設(shè)置和維護(hù)標(biāo)記信息的操作應(yīng)由授權(quán)的系統(tǒng)安全員通過(guò)系統(tǒng)提供的安全員操作界面實(shí)施；對(duì)可能危及系統(tǒng)安全的系統(tǒng)工具進(jìn)行嚴(yán)格的控制；
應(yīng)制定嚴(yán)格的變更控制制度，保證變更不影響應(yīng)用系統(tǒng)的可用性、安全性，保證變更過(guò)程的有效性、可審計(jì)性和可恢復(fù)性；應(yīng)對(duì)操作系統(tǒng)資源和系統(tǒng)文檔進(jìn)行標(biāo)記、安全備份，并制定、實(shí)施應(yīng)急安全計(jì)劃；
d） 基于強(qiáng)制的系統(tǒng)安全管理：在c）的基礎(chǔ)上，應(yīng)按系統(tǒng)內(nèi)置角色強(qiáng)制指定系統(tǒng)安全管理責(zé)任人；應(yīng)保證系統(tǒng)管理過(guò)程的可審計(jì)性；應(yīng)定期對(duì)操作系統(tǒng)安全性進(jìn)行評(píng)估；
e） 基于專(zhuān)控的系統(tǒng)安全管理：在d）的基礎(chǔ)上，應(yīng)保證系統(tǒng)的安全管理工作在多方在場(chǎng)并簽署責(zé)任書(shū)情況下進(jìn)行；應(yīng)使用經(jīng)過(guò)驗(yàn)證的系統(tǒng)軟件，確保使用者熟悉系統(tǒng)的操作流程，并對(duì)操作人員的操作過(guò)程實(shí)施監(jiān)視。


5.5.5.4 網(wǎng)絡(luò)安全管理要求

對(duì)網(wǎng)絡(luò)系統(tǒng)的安全管理，不同安全等級(jí)應(yīng)有選擇地滿(mǎn)足以下要求的一項(xiàng)：

a） 網(wǎng)絡(luò)安全管理基本要求：應(yīng)對(duì)不同安全級(jí)別的網(wǎng)絡(luò)按其安全技術(shù)和機(jī)制的不同要求實(shí)施相應(yīng)的安全管理；應(yīng)通過(guò)正式授權(quán)程序指定網(wǎng)絡(luò)安全管理人員；應(yīng)制定有關(guān)網(wǎng)絡(luò)系統(tǒng)安全管理和配置的規(guī)定，保證安全管理人員按相應(yīng)規(guī)定對(duì)網(wǎng)絡(luò)進(jìn)行安全管理；
b） 基于規(guī)程的網(wǎng)絡(luò)安全管理：在a）的基礎(chǔ)上，應(yīng)按有關(guān)規(guī)程對(duì)網(wǎng)絡(luò)安全進(jìn)行定期評(píng)估，不斷完善網(wǎng)絡(luò)安全策略，建立、健全網(wǎng)絡(luò)安全管理規(guī)章制度，包括：
——制定使用網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的策略。依據(jù)總體安全方針、策略制定允許提供的網(wǎng)絡(luò)服務(wù)、制定網(wǎng)絡(luò)訪(fǎng)問(wèn)許可和授權(quán)管理制度、保證信息系統(tǒng)網(wǎng)絡(luò)連接和服務(wù)的安全技術(shù)正確實(shí)施；
——制定網(wǎng)絡(luò)安全教育和培訓(xùn)計(jì)劃，保證信息系統(tǒng)的各類(lèi)用戶(hù)熟知自己在網(wǎng)絡(luò)安全方面的安全責(zé)任和安全規(guī)程；
——建立網(wǎng)絡(luò)訪(fǎng)問(wèn)授權(quán)制度，保證經(jīng)過(guò)授權(quán)的用戶(hù)才能在指定終端，使用指定的安全措施，按設(shè)定的可審計(jì)路由訪(fǎng)問(wèn)許可的網(wǎng)絡(luò)服務(wù)；
——對(duì)安全區(qū)域外部移動(dòng)用戶(hù)的網(wǎng)絡(luò)訪(fǎng)問(wèn)實(shí)施嚴(yán)格的審批制度，實(shí)施用戶(hù)安全認(rèn)證和審計(jì)技術(shù)措施，保證網(wǎng)絡(luò)連接的可靠性、保密性，保證用戶(hù)對(duì)外部連接的安全性負(fù)責(zé)；
——定義與外部網(wǎng)絡(luò)連接的接口邊界，建立安全規(guī)范，定期對(duì)外部網(wǎng)絡(luò)連接接口的安全進(jìn)行評(píng)估，對(duì)通過(guò)外部連接的可信信息系統(tǒng)之間的網(wǎng)絡(luò)信息提供加密服務(wù)，有關(guān)加密設(shè)備和算法的使用按國(guó)家有關(guān)規(guī)定執(zhí)行；
——對(duì)外進(jìn)行公共服務(wù)的信息系統(tǒng)，應(yīng)采取嚴(yán)格的安全措施實(shí)施訪(fǎng)問(wèn)控制，保證外部用戶(hù)對(duì)服務(wù)的訪(fǎng)問(wèn)得到控制和審計(jì)，并保證外部用戶(hù)對(duì)特定服務(wù)的訪(fǎng)問(wèn)不危及內(nèi)部信息系統(tǒng)的安全，對(duì)外傳輸?shù)臄?shù)據(jù)和信息要經(jīng)過(guò)審查，防止內(nèi)部人員通過(guò)內(nèi)外網(wǎng)的邊界泄露敏感信息；
——對(duì)可能從內(nèi)部網(wǎng)絡(luò)向外發(fā)起的連接資源（如Modem撥號(hào)接入Internet）實(shí)施嚴(yán)格控制，建立連接資源使用授權(quán)制度，建立檢查制度防止信息系統(tǒng)使用未經(jīng)許可和授權(quán)的連接資源；
——不同安全保護(hù)等級(jí)的信息系統(tǒng)網(wǎng)絡(luò)之間的連接按訪(fǎng)問(wèn)控制策略實(shí)施可審計(jì)的安全措施，如使用防火墻、安全路由器等，實(shí)現(xiàn)必要的網(wǎng)絡(luò)隔離；
——保證網(wǎng)絡(luò)安全措施的日常管理責(zé)任到人，并對(duì)網(wǎng)絡(luò)安全措施的使用進(jìn)行審計(jì)；
——按網(wǎng)絡(luò)設(shè)施和網(wǎng)絡(luò)服務(wù)變更控制制度執(zhí)行網(wǎng)絡(luò)配置變更控制；
——建立網(wǎng)絡(luò)安全事件、事故報(bào)告處理流程，保證事件和事故處理過(guò)程的可審計(jì)性；
——對(duì)網(wǎng)絡(luò)連接、網(wǎng)絡(luò)安全措施、網(wǎng)絡(luò)設(shè)備及操作規(guī)程定期進(jìn)行安全檢查和評(píng)估，提交正式的網(wǎng)絡(luò)安全報(bào)告；
——信息系統(tǒng)的關(guān)鍵網(wǎng)絡(luò)設(shè)備設(shè)施應(yīng)有必要的備份；
c） 基于標(biāo)記的網(wǎng)絡(luò)安全管理：在b）的基礎(chǔ)上，針對(duì)網(wǎng)絡(luò)安全措施的使用建立嚴(yán)格的審計(jì)、標(biāo)記制度，保證安全措施配有具體責(zé)任人負(fù)責(zé)網(wǎng)絡(luò)安全措施的日常管理；指定網(wǎng)絡(luò)安全審計(jì)人員，負(fù)責(zé)安全事件的標(biāo)記管理，網(wǎng)絡(luò)安全事件的審計(jì)；對(duì)審計(jì)活動(dòng)進(jìn)行控制，保證網(wǎng)絡(luò)設(shè)施或?qū)徲?jì)工具提供的審計(jì)記錄完整性和可用性；對(duì)可用性要求高的網(wǎng)絡(luò)指定專(zhuān)人進(jìn)行不間斷的監(jiān)控，并能及時(shí)處理安全事故；
d） 基于強(qiáng)制監(jiān)督的網(wǎng)絡(luò)安全管理：在c）的基礎(chǔ)上，建立的獨(dú)立安全審計(jì)，對(duì)網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)安全策略、安全控制措施進(jìn)行有效性檢查和監(jiān)督；保證網(wǎng)絡(luò)安全管理人員達(dá)到相應(yīng)的資質(zhì)；信息系統(tǒng)網(wǎng)絡(luò)之間的連接應(yīng)使用可信路徑；
e） 基于專(zhuān)控的網(wǎng)絡(luò)安全管理：在d）的基礎(chǔ)上，要求至少有兩名以上的網(wǎng)絡(luò)安全管理人員實(shí)施網(wǎng)絡(luò)安全管理事務(wù)，并保證網(wǎng)絡(luò)安全管理本身的安全風(fēng)險(xiǎn)得到控制；信息系統(tǒng)網(wǎng)絡(luò)之間的連接嚴(yán)格控制在可信的物理環(huán)境范圍內(nèi)。


5.5.5.5 應(yīng)用系統(tǒng)安全管理要求

對(duì)應(yīng)用系統(tǒng)安全管理，不同安全等級(jí)應(yīng)有選擇地滿(mǎn)足以下要求的一項(xiàng)：

a） 應(yīng)用系統(tǒng)安全管理基本要求：應(yīng)對(duì)不同安全級(jí)別的應(yīng)用系統(tǒng)按其安全技術(shù)和機(jī)制的不同要求實(shí)施相應(yīng)的安全管理；應(yīng)通過(guò)正式授權(quán)程序委派專(zhuān)人負(fù)責(zé)應(yīng)用系統(tǒng)的安全管理，應(yīng)明確管理范圍、管理事務(wù)、管理規(guī)程，以及應(yīng)用系統(tǒng)軟件的安全配置、備份等安全工作；應(yīng)結(jié)合業(yè)務(wù)需求制定相關(guān)規(guī)章制度，并嚴(yán)格按照規(guī)章制度的要求實(shí)施應(yīng)用系統(tǒng)安全管理；
b） 基于操作規(guī)程的應(yīng)用系統(tǒng)安全管理：在a）的基礎(chǔ)上，應(yīng)制定并落實(shí)應(yīng)用系統(tǒng)的安全操作規(guī)程，包括：
——指定信息安全管理人員，依據(jù)信息安全操作規(guī)程，負(fù)責(zé)信息的分類(lèi)管理和發(fā)布；
——對(duì)任何可能超越系統(tǒng)或應(yīng)用程序控制的實(shí)用程序和系統(tǒng)軟件都應(yīng)得到正式的授權(quán)和許可，并對(duì)使用情況進(jìn)行登記。保證對(duì)應(yīng)用系統(tǒng)信息或軟件的訪(fǎng)問(wèn)不影響其他信息系統(tǒng)共享信息的安全性；
——應(yīng)用系統(tǒng)的內(nèi)部用戶(hù)，包括支持人員，應(yīng)按照規(guī)定的程序辦理授權(quán)許可，并根據(jù)信息的敏感程度簽署安全協(xié)議，保證應(yīng)用系統(tǒng)數(shù)據(jù)的保密性、完整性和可用性；
——應(yīng)指定專(zhuān)人負(fù)責(zé)應(yīng)用系統(tǒng)的審計(jì)工作，保證審計(jì)日志的準(zhǔn)確性、完整性和可用性；
——組織有關(guān)人員定期或不定期對(duì)應(yīng)用系統(tǒng)的安全性進(jìn)行審查，并根據(jù)應(yīng)用系統(tǒng)的變更或風(fēng)險(xiǎn)變化提交正式的報(bào)告，提出安全建議；
——對(duì)應(yīng)用系統(tǒng)關(guān)鍵崗位的工作人員實(shí)施資質(zhì)管理，保證人員的可靠性和可用性；
——制定切實(shí)可用的應(yīng)用系統(tǒng)及數(shù)據(jù)的備份計(jì)劃和應(yīng)急計(jì)劃，并由專(zhuān)人負(fù)責(zé)落實(shí)和管理；
——制定應(yīng)用軟件安全管理規(guī)章制度，包括應(yīng)用軟件的開(kāi)發(fā)和使用等管理；（見(jiàn)5.8）
c） 基于標(biāo)記的應(yīng)用系統(tǒng)安全管理：在b）的基礎(chǔ)上，應(yīng)對(duì)應(yīng)用軟件的使用采取授權(quán)、標(biāo)記管理制度；未授權(quán)用戶(hù)不得安裝、調(diào)試、運(yùn)行、卸載應(yīng)用軟件，并對(duì)應(yīng)用軟件的使用進(jìn)行審計(jì)；
應(yīng)定期或不定期對(duì)應(yīng)用系統(tǒng)的安全性進(jìn)行評(píng)估，并根據(jù)應(yīng)用系統(tǒng)的變更或風(fēng)險(xiǎn)變化提交正式的評(píng)估報(bào)告，提出安全建議，修訂、完善有關(guān)安全管理制度和規(guī)程；應(yīng)用系統(tǒng)的開(kāi)發(fā)人員不得從事應(yīng)用系統(tǒng)日常運(yùn)行和安全審計(jì)工作；操作系統(tǒng)的管理人員不得參與應(yīng)用系統(tǒng)的安全配置管理和應(yīng)用管理；
d） 基于強(qiáng)制的應(yīng)用系統(tǒng)安全管理：在c）的基礎(chǔ)上，要求建立獨(dú)立的應(yīng)用安全審計(jì)，對(duì)應(yīng)用系統(tǒng)的總體安全策略、應(yīng)用系統(tǒng)安全措施的設(shè)計(jì)、部署、維護(hù)和運(yùn)行管理進(jìn)行檢查；審計(jì)人員僅實(shí)施審計(jì)工作，不參與系統(tǒng)的其它任務(wù)，確保授權(quán)用戶(hù)范圍內(nèi)的使用，防止信息的泄漏；
e） 基于專(zhuān)控的應(yīng)用系統(tǒng)安全管理：在d）的基礎(chǔ)上，應(yīng)對(duì)應(yīng)用系統(tǒng)的安全狀態(tài)實(shí)施周期更短的審計(jì)、檢查和操作過(guò)程監(jiān)督，并保證對(duì)應(yīng)用系統(tǒng)的安全措施能適應(yīng)安全環(huán)境的變化；應(yīng)與應(yīng)用系統(tǒng)主管部門(mén)共同制定專(zhuān)項(xiàng)安全措施。


5.5.5.6 病毒防護(hù)管理要求

對(duì)病毒防護(hù)管理，不同安全等級(jí)應(yīng)有選擇地滿(mǎn)足以下要求的一項(xiàng)：

a） 病毒防護(hù)管理基本要求：通過(guò)正式授權(quán)程序?qū)Σ《痉雷o(hù)委派專(zhuān)人負(fù)責(zé)檢查網(wǎng)絡(luò)和主機(jī)的病毒檢測(cè)并保存記錄；使用外部移動(dòng)存儲(chǔ)設(shè)備之前應(yīng)進(jìn)行病毒檢查；要求從不信任網(wǎng)絡(luò)上所接收的文件或郵件，在使用前應(yīng)首先檢查是否有病毒；及時(shí)升級(jí)防病毒軟件；定期進(jìn)行總結(jié)匯報(bào)病毒安全狀況；
b） 基于制度化的病毒防護(hù)管理，在a）的基礎(chǔ)上，制定并執(zhí)行病毒防護(hù)系統(tǒng)使用管理、應(yīng)用軟件使用授權(quán)安全管理等有關(guān)制度；應(yīng)檢查網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)病毒庫(kù)的升級(jí)情況并進(jìn)行記錄；對(duì)非在線(xiàn), 的內(nèi)部計(jì)算機(jī)設(shè)備及其它移動(dòng)存儲(chǔ)設(shè)備，以及外來(lái)或新增計(jì)算機(jī)做到入網(wǎng)前進(jìn)行殺毒和補(bǔ)丁檢測(cè)；
c） 基于集中實(shí)施的病毒防護(hù)管理：在b）的基礎(chǔ)上，實(shí)行整體網(wǎng)絡(luò)統(tǒng)一策略、定期統(tǒng)一升級(jí)、統(tǒng)一控制，緊急情況下增加升級(jí)次數(shù)；對(duì)檢測(cè)或截獲的各種高風(fēng)險(xiǎn)病毒進(jìn)行及時(shí)分析處理，提供相應(yīng)的報(bào)表和總結(jié)匯報(bào)；采取對(duì)系統(tǒng)所有終端有效防范病毒或惡意代碼引入的措施；
d） 基于監(jiān)督檢查的病毒防護(hù)管理：在c）的基礎(chǔ)上，針對(duì)病毒防護(hù)管理制度執(zhí)行情況，以及病毒防護(hù)的安全情況，進(jìn)行定期或不定期檢查。


5.5.5.7 密碼管理要求

對(duì)密碼管理，不同安全等級(jí)應(yīng)有選擇地滿(mǎn)足以下要求的一項(xiàng)：

a） 密碼算法和密鑰管理：應(yīng)按國(guó)家密碼主管部門(mén)的規(guī)定，對(duì)信息系統(tǒng)中使用的密碼算法和密鑰進(jìn)行管理；應(yīng)按國(guó)家有關(guān)法律法規(guī)要求，對(duì)信息系統(tǒng)中包含密碼的軟、硬件信息處理模塊的進(jìn)、出口進(jìn)行管理；應(yīng)按國(guó)家密碼主管部門(mén)的規(guī)定，對(duì)密碼算法和密鑰實(shí)施分等級(jí)管理；
b） 以密碼為基礎(chǔ)的安全機(jī)制的管理：在a）的基礎(chǔ)上，應(yīng)對(duì)信息系統(tǒng)中以密碼為基礎(chǔ)的安全機(jī)制實(shí)施分等級(jí)管理。


5.5.6 安全集中管理

5.5.6.1 安全機(jī)制集中控管

對(duì)安全機(jī)制集中控管，不同安全等級(jí)應(yīng)有選擇地滿(mǎn)足以下要求的一項(xiàng)：

a） 安全機(jī)制集中控管基本要求：能夠?qū)π畔⑾到y(tǒng)所涉及的計(jì)算機(jī)、網(wǎng)絡(luò)以及應(yīng)用系統(tǒng)的安全機(jī)制實(shí)施統(tǒng)一管理、統(tǒng)一監(jiān)控、統(tǒng)一審計(jì)、協(xié)同防護(hù)，發(fā)揮安全機(jī)制的整體作用，提高安全防護(hù)的等級(jí)和水平，主要包括：
——建立一體化和開(kāi)放性平臺(tái)，將多家不同類(lèi)型的安全產(chǎn)品整合到一起，進(jìn)行統(tǒng)一的管理配置和監(jiān)控；能夠提供標(biāo)準(zhǔn)的接口，兼容所在信息系統(tǒng)的不同廠(chǎng)商產(chǎn)品的管理、訪(fǎng)問(wèn)和連接問(wèn)題，使第三方產(chǎn)品能夠整合到系統(tǒng)中；
——根據(jù)安全策略生成的安全規(guī)則，提供整個(gè)信息系統(tǒng)安全策略的統(tǒng)一管理和實(shí)施，具備對(duì)被管安全設(shè)施的配置/性能/故障等基本的管理功能，具備對(duì)安全資源(安全補(bǔ)丁/攻擊模式庫(kù)/安全策略等)管理能力，集中管理和審計(jì)能力；
——安全機(jī)制整合主要包括安全事件管理、風(fēng)險(xiǎn)管理以及安全策略管理；
b） 安全機(jī)制分層分級(jí)聯(lián)和控管：在a）的基礎(chǔ)上，根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)，按照分布式多層次的管理結(jié)構(gòu)，進(jìn)行分層分級(jí)聯(lián)合方式的集中安全管理。


5.5.6.2 安全信息集中管理

對(duì)安全信息的集中管理，不同安全等級(jí)應(yīng)有選擇地滿(mǎn)足以下要求的一項(xiàng)：

a） 安全信息集中管理的基本要求：主要包括：
——將信息系統(tǒng)所涉及的計(jì)算機(jī)、網(wǎng)絡(luò)以及應(yīng)用系統(tǒng)的安全信息實(shí)施統(tǒng)一管理、綜合分析，發(fā)揮安全信息的整體作用；
——具有集中分析、瀏覽和匯集存儲(chǔ)從各安全組件傳送來(lái)的經(jīng)初步處理過(guò)的安全數(shù)據(jù)的功能，提供可視化報(bào)表和安全事件分析過(guò)程，以及安全事件的管理與輔助分析機(jī)制；
b） 對(duì)關(guān)鍵區(qū)域安全信息的集中管理：在a）的基礎(chǔ)上，通過(guò)對(duì)關(guān)鍵區(qū)域安全信息的集中管理，應(yīng)能夠?qū)﹃P(guān)鍵區(qū)域的安全信息的處理，采用相應(yīng)安全級(jí)別的訪(fǎng)問(wèn)控制和保護(hù)措施；
c） 對(duì)核心區(qū)域安全信息的集中管理：在b）的基礎(chǔ)上，應(yīng)根據(jù)核心區(qū)域安全信息的需要，通過(guò)對(duì)安全信息的集中管理，與有關(guān)主管部門(mén)共同制定專(zhuān)項(xiàng)的安全控制和保護(hù)措施。