5.5.6.3 安全機制整合要求

對安全機制整合的要求，主要包括：

a） 安全機制整合的一般功能：
——資產(chǎn)信息管理：實現(xiàn)對所管轄的設備和系統(tǒng)對象的管理，包括資產(chǎn)管理、拓撲管理和資源管理；將其所轄設備資產(chǎn)信息按其重要程度分類登記入庫，并為其他安全管理提供信息接口；提供資產(chǎn)信息的維護和查詢；
——網(wǎng)絡異常流量監(jiān)控：通過實時監(jiān)控重要網(wǎng)絡鏈路的流量狀況，能夠統(tǒng)計各個網(wǎng)絡/網(wǎng)段中的流量、網(wǎng)絡資源的占用情況等，出現(xiàn)異常事件可以多種方式實現(xiàn)自動報警；能夠對目標網(wǎng)絡的流量監(jiān)測和歷史數(shù)據(jù)進行和保存輔助分析；在發(fā)現(xiàn)網(wǎng)絡異常流量時進行威脅來源和目標的準確定位；
——安全事件監(jiān)控管理：包括系統(tǒng)狀態(tài)監(jiān)控、日志收集、實時事件監(jiān)控、實時事件報警/響應和事件的關聯(lián)分析與報告；通過監(jiān)控網(wǎng)絡設備、主機系統(tǒng)等日志信息，以及安全產(chǎn)品的報警信息等，及時發(fā)現(xiàn)正在和已經(jīng)發(fā)生的安全事件；通過安全響應機制采取措施，保證網(wǎng)絡和業(yè)務系統(tǒng)的安全可靠運行；審計分析包括日志查詢和統(tǒng)計、關聯(lián)分析及報告生成；
——脆弱性管理：進行補丁庫管理和補丁檢測與分發(fā)；實現(xiàn)對網(wǎng)絡中主機系統(tǒng)和網(wǎng)絡設備安全脆弱性信息的收集和管理，通過遠程和本地脆弱性評估工具及時收集和分析網(wǎng)絡中各個系統(tǒng)的最新安全風險動態(tài)；
——安全策略管理：包括全局策略管理和系統(tǒng)配置管理；安全策略管理對象應涵蓋所管轄的網(wǎng)絡設備、主機系統(tǒng)和安全設施，提供安全管理人員登錄身份鑒別和訪問控制機制；實現(xiàn)基本網(wǎng)絡安全策略模板的制訂和分發(fā)；安全策略管理內(nèi)容應包括賬號、認證、訪問控制、審計、應用與軟件升級、備份和恢復等策略；
——安全預警管理：根據(jù)收集的風險數(shù)據(jù)提供網(wǎng)絡安全風險的趨勢分析報表，包括漏洞的分布范圍、受影響的系統(tǒng)情況、可能的嚴重程度等內(nèi)容；根據(jù)監(jiān)控的安全事件提供網(wǎng)絡中主要的攻擊對象分布、攻擊類型分布等分析；能夠根據(jù)預先定義數(shù)據(jù)格式、預警信息的級別和類型等策略，自動生成預警信息，并以預定方式通知有關系統(tǒng)管理員；預警信息應存檔，并可提供查詢。


5.5.6.4 安全機制整合的處理方式

對安全機制整合的處理方式，主要包括：

a） 安全機制整合的主要工作方式：
——自動處理：將能夠預料的安全問題及其處理辦法（如系統(tǒng)弱點漏洞、惡意攻擊方式、病毒感染方式、網(wǎng)絡故障和違規(guī)操作、防火墻與入侵檢測設備聯(lián)動等）存入安全知識庫并形成相應的處理規(guī)則，當事件出現(xiàn)時，系統(tǒng)將根據(jù)處理規(guī)則進行自動處理；
——人工干預處理：按事件級別進行人工干預處理，主要包括技術咨詢、數(shù)據(jù)恢復、系統(tǒng)恢復、系統(tǒng)加固、現(xiàn)場問題處理、跟蹤攻擊源、處理報告提交等；
——遠程處理：在觀察到安全事件發(fā)生時或收到下級轉交的要求協(xié)助解決的安全故障時，可以提供處理方案，也還可以通過遠程操作直接對發(fā)生故障的系統(tǒng)進行問題診斷和處理；
——輔助決策分析處理：根據(jù)預先收集、整理安全事件的資料，以及根據(jù)事件類型、出現(xiàn)事件的設備、事件發(fā)生的頻繁度、事件的危害程度等因素進行分析的方法存入知識庫中；運行時將調(diào)用知識庫對實時收到的系統(tǒng)安全事件進行輔助分析，系統(tǒng)根據(jù)事件重要程度順序自動顯示，供人工處置或系統(tǒng)自動處理；
——記錄和事后處理：在信息系統(tǒng)運行時收集并記錄所有的安全事件和報警信息，記錄的事件和信息將作為事后分析的依據(jù)。


5.6 業(yè)務連續(xù)性管理

5.6.1 備份與恢復

5.6.1.1 數(shù)據(jù)備份和恢復

對數(shù)據(jù)備份和恢復，不同安全等級應有選擇地滿足以下要求的一項：

a） 數(shù)據(jù)備份的內(nèi)容和周期要求：應明確說明需定期備份重要業(yè)務信息、系統(tǒng)數(shù)據(jù)及軟件等內(nèi)容和備份周期；確定重要業(yè)務信息的保存期以及其它需要保存的歸檔拷貝的保存期；采用離線備份或在線備份方案，定期進行數(shù)據(jù)增量備份；可使用手工或軟件產(chǎn)品進行備份和恢復；對數(shù)據(jù)備份和恢復的管理應保證GB/T 20271-2006中6.1.2.4所采用的安全技術能達到其應有的安全性要求；
b） 備份介質(zhì)及其恢復的檢查要求：在a）的基礎上，應進行數(shù)據(jù)和局部系統(tǒng)備份；定期檢查備份介質(zhì)，保證在緊急情況時可以使用；應定期檢查及測試恢復程序，確保在預定的時間內(nèi)正確恢復；應根據(jù)數(shù)據(jù)的重要程度和更新頻率設定備份周期；應指定專人負責數(shù)據(jù)備份和恢復，并同時保存幾個版本的備份；對數(shù)據(jù)備份和恢復的管理應保證GB/T 20271-2006中6.2.2.5所采用的安全技術能達到其應有的安全性要求；
c） 備份和恢復措施的強化管理：在b）的基礎上，必要時應采用熱備份方式保存數(shù)據(jù)，同時定期進行數(shù)據(jù)增量備份和應用環(huán)境的離線全備份；應分別指定專人負責不同方式的數(shù)據(jù)備份和恢復，并保存必要的操作記錄；對數(shù)據(jù)備份和恢復的管理應保證GB/T 20271-2006中6.3.2.6所采用的安全技術能達到其應有的安全性要求；
d） 關鍵備份和恢復的操作過程監(jiān)督，在c）的基礎上，根據(jù)數(shù)據(jù)實時性和其他安全要求，采用本地或遠地備份方式，制定適當?shù)膫浞莺突謴头绞揭约安僮鞒绦?，必要時對備份后的數(shù)據(jù)采取加密或數(shù)據(jù)隱藏處理，操作時要求兩名工作人員在場并登記備案；對數(shù)據(jù)備份和恢復的管理應保證GB/T 20271-2006中6.4.2.6所采用的安全技術能達到其應有的安全性要求。


5.6.1.2 設備和系統(tǒng)的備份與冗余

對設備和系統(tǒng)的備份與冗余，不同安全等級應有選擇地滿足以下要求的一項：

a） 設備備份要求：應實現(xiàn)設備備份與容錯；指定專人定期維護和檢查備份設備的狀況，確保需要接入系統(tǒng)時能夠正常運行；應根據(jù)實際需求限定備份設備接入的時間；
b） 系統(tǒng)熱備份與冗余要求：在a）的基礎上，應實現(xiàn)系統(tǒng)熱備份與冗余，并指定專人定期維護和檢查熱備份和冗余設備的運行狀況，定期進行切換試驗，確保需要時能正常運行；應根據(jù)實際需求限定系統(tǒng)熱備份和冗余設備切換的時間；
c） 系統(tǒng)遠地備份要求：在b）的基礎上，選擇遠離市區(qū)的地方或其他城市，建立系統(tǒng)遠地備份中心，確保主系統(tǒng)在遭到破壞中斷運行時，遠地系統(tǒng)能替代主系統(tǒng)運行，保證信息系統(tǒng)所支持的業(yè)務系統(tǒng)能按照需要繼續(xù)運行。


5.6.2 安全事件處理

5.6.2.1 安全事件劃分

對安全事件劃分，不同安全等級應有選擇地滿足以下要求的一項：

a） 安全事件內(nèi)容和劃分：安全事件是指信息系統(tǒng)五個層面所發(fā)生的危害性情況，包括事故、故障、病毒、黑客攻擊性活動、犯罪活動、信息戰(zhàn)等；通常可能包括（但不限于）不可抗拒的事件、設備故障事件、病毒爆發(fā)事件、外部網(wǎng)絡入侵事件、內(nèi)部信息安全事件、內(nèi)部誤用和誤操作等事件。安全事件的處置需要貫穿整個安全管理的全過程，應依據(jù)安全事件對信息系統(tǒng)的破壞程度、所造成的社會影響及涉及的范圍，確定具體信息系統(tǒng)安全事件處置等級的劃分原則；
b） 安全事件處置制度：在a）的基礎上，建立信息安全事件分等級響應、處置的制度；根據(jù)不同安全保護等級的信息系統(tǒng)中發(fā)生的各類事件制定相應的處置預案，確定事件響應和處置的范圍、程度及適用的管理制度等；信息安全事件發(fā)生后，按預案分等級進行響應和處置；在發(fā)現(xiàn)或懷疑系統(tǒng)或服務出現(xiàn)安全漏洞或受到威脅時，應按照安全事件處置要求處理；
c） 安全事件管理程序：在b）的基礎上，應明確安全事件管理責任，制定相關程序，應考慮以下要求：
——制定處理預案：針對各種可能發(fā)生的安全事件制定相應的處理預案；
——分析原因：注意分析和鑒定事件產(chǎn)生的原因，制定防止再次發(fā)生的補救措施；
——收集證據(jù)：收集審計記錄和類似證據(jù)，包括內(nèi)部問題分析，用作與可能違反合同或違反規(guī)章制度的證據(jù)；
——處理過程控制：嚴格控制恢復過程和人員，只有明確確定身份和獲得授權的人員才允許訪問正在使用的系統(tǒng)和數(shù)據(jù)，詳細記錄采取的所有緊急措施，及時報告有關部門，并進行有序的審查，以最小的延誤代價確認業(yè)務系統(tǒng)和控制的完整性；
——總結吸取教訓：對發(fā)生的安全事件的類型、規(guī)模和損失進行量化和監(jiān)控；用來分析重復發(fā)生的或影響很大的事故或故障，改進控制措施降低事故發(fā)生的頻率和損失；
——責任劃分和追究：應對安全事件的有關管理或執(zhí)行責任或者責任范圍進行劃分和追究，使得沒有人在其責任范圍內(nèi)所犯的錯誤能夠逃脫檢查。


5.6.2.2 安全事件報告和響應

對安全事件報告和響應，不同安全等級應有選擇地滿足以下要求的一項：

a） 安全事件報告和處理程序：信息安全事件實行分等級響應、處置的制度；安全事件應盡快通過適當?shù)墓芾砬缊蟾妫贫ㄕ降膱蟾娉绦蚝褪鹿薯憫绦?；使所有員工知道報告安全事件程序和責任；信息安全事件發(fā)生后，根據(jù)其危害和發(fā)生的部位，迅速確定事件等級，并根據(jù)等級啟動相應的響應和處置預案；事件處理后應有相應的反饋程序；
b） 安全隱患報告和防范措施：在a）的基礎上，增加對安全弱點和可疑事件進行報告；告知員工未經(jīng)許可測試弱點屬于濫用系統(tǒng)；對于還不能確定為事故或者入侵的可疑事件應報告；對于所有安全事件的報告應記錄在案歸檔留存；
c） 強化安全事件處理的責任：在b）的基礎上，要求安全管理機構或職能部門負責接報安全事件報告，并及時進行處理，注意記錄事件處理過程；對于重要區(qū)域或業(yè)務應用發(fā)生的安全事件，應注意控制事件的影響；應追究安全事件發(fā)生的技術原因和管理責任，寫出處理報告，并進行必要的評估。


5.6.3 應急處理

5.6.3.1 應急處理和災難恢復

應急處理和災難恢復，不同安全等級應有選擇地滿足以下要求的一項：

a） 應急處理的基本要求：應對信息系統(tǒng)的應急處理有明確的要求，制定具體的應急處理措施；安全管理人員應協(xié)助分管領導落實應急處理措施；
b） 應急處理的制度化要求：在a）的基礎上，應制定總體應急計劃和災難恢復計劃并由應急處理小組負責落實；制定針對關鍵應用系統(tǒng)和支持系統(tǒng)的應急計劃和災難恢復計劃并進行測試；
對計劃涉及人員進行培訓，保證這些人員具有相應執(zhí)行能力；與應急需要外部有關單位應簽訂合同；制定安全事件處理制度；制定系統(tǒng)信息和文檔備份制度等等；
c） 應急處理的檢查要求：在b）的基礎上，信息安全領導小組應有人負責或指定專人負責應急計劃和實施恢復計劃管理工作；信息系統(tǒng)安全機制集中管理機構應協(xié)助應急處理小組負責具體落實；檢查或驗證應急計劃和災難恢復計劃，保證應急計劃和災難恢復計劃能夠有效執(zhí)行；
d） 應急處理的強制保護要求：在c）的基礎上，針對應急計劃和災難恢復計劃實施進行獨立審計；針對應急計劃和災難恢復計劃進行定期評估，不斷改進和完善；
e） 應急處理的持續(xù)改進要求：在d）的基礎上，制定包括全面管理細則的應急計劃和災難恢復計劃；基于應急計劃和災難恢復計劃和安全策略，進行可驗證的操作過程監(jiān)督。


5.6.3.2 應急計劃

對應急計劃，不同安全等級應滿足以下要求：

a） 應急計劃框架，包括以下內(nèi)容：
——制定應急計劃策略，明確制定應急計劃所需的職權和相應的管理部門；
——進行業(yè)務影響分析，識別關鍵信息系統(tǒng)和部件，確定優(yōu)先次序；
——確定防御性控制，減小系統(tǒng)中斷的影響，提高系統(tǒng)的可用性；注意采取措施，減少應急計劃生存周期費用；
——制定恢復策略，確保系統(tǒng)可以在中斷后快速和有效的恢復；
——制定信息系統(tǒng)應急計劃，包括恢復受損系統(tǒng)所需的指導方針和規(guī)程；
——計劃測試、培訓和演練，發(fā)現(xiàn)計劃的不足，培訓技術人員；
——計劃維護，有規(guī)律地更新適應系統(tǒng)發(fā)展；
——制定災難備份計劃，以及啟動方式。


5.6.3.3 應急計劃的實施保障

對應急計劃的實施保障，不同安全等級應有選擇地滿足以下要求的一項：

a） 應急計劃的責任要求：應對明確應急計劃的組織和實施人員，使其知道在應急計劃實施過程中各自的責任；
b） 應急計劃的能力要求：在a）的基礎上，對系統(tǒng)相關的人員進行培訓，知道如何以及何時使用應急計劃中的控制手段及恢復策略，保證執(zhí)行應急計劃應具有的能力；
c） 應急計劃的系統(tǒng)化管理：在b）的基礎上，進行系統(tǒng)化管理用于實施和維護整個組織的應急計劃體系，并記錄計劃實施過程；確保應急計劃的執(zhí)行有足夠資源的保證；
d） 應急計劃的監(jiān)督措施：在c）的基礎上，從風險評估開始，考慮所有的運行管理過程，識別可能引起業(yè)務過程中斷的事件，應有業(yè)務資源和業(yè)務過程管理者的參與和監(jiān)督；
e） 應急計劃的持續(xù)改進：在d）的基礎上，應針對計劃的正確性和完整性進行定期檢查，在計劃發(fā)生重大變化時應立即檢查；根據(jù)業(yè)務應用的重要程度的不同，不斷對計劃內(nèi)容和規(guī)程進行評估和完善。


5.7 監(jiān)督和檢查管理

5.7.1 符合法律要求

5.7.1.1 知曉適用的法律

對知曉適用的法律，不同安全等級應有選擇地滿足以下要求的一項：

a） 知曉適用的法律并防止違法行為：組織機構應認識對于信息系統(tǒng)應用范疇適用的所有法律法規(guī)；對信息系統(tǒng)的設計、操作、使用和管理，及信息管理方面應規(guī)避法律法規(guī)禁區(qū)，防止出現(xiàn)違法行為；應保護組織機構的數(shù)據(jù)信息和個人信息隱私；對于詳細而準確的法律要求應從組織機構的法律顧問，或者合格的法律從業(yè)人員處獲得幫助；
b） 防止對信息處理設備的濫用：在a）的基礎上，應有措施防止對信息處理設備的濫用，以免危害機構和社會的利益；
c） 遵照法規(guī)要求使用密碼技術：在b）的基礎上，信息系統(tǒng)中采用的加密技術應使用國家主管部門批準的算法，采用其他密碼技術也應符合國家有關法規(guī)的要求。


5.7.1.2 知識產(chǎn)權管理

對知識產(chǎn)權的管理，不同安全等級應有選擇地滿足以下要求的一項：

a） 知識產(chǎn)權保護的基本要求：應當建立關于尊重知識產(chǎn)權的策略，并形成書面文檔，涉及軟件開發(fā)的工作人員和承包商應做到符合和遵守相關的法律、法規(guī)，應防止發(fā)生侵犯版權的行為；
b） 重要應用系統(tǒng)軟件的保護：在a）的基礎上，在信息系統(tǒng)中，如果重要應用系統(tǒng)軟件是外包開發(fā)的，應注意明確軟件版權有關問題，應防止發(fā)生因軟件升級或改造引起侵犯軟件版權的行為；
c） 關鍵業(yè)務應用的軟件版權：在b）的基礎上，對關鍵業(yè)務應用，必要時應要求必須使用具有自主知識產(chǎn)權的軟件，以保護關鍵業(yè)務應用的安全。


5.7.1.3 保護證據(jù)記錄

對保護證據(jù)記錄，不同安全等級應滿足以下要求：

a） 保護機構的重要記錄：應明確規(guī)定組織機構的重要記錄的內(nèi)容范圍，如財務記錄、數(shù)據(jù)庫記錄、審計日志等等；應按照法律法規(guī)的要求保護組織機構的重要記錄，防止丟失、毀壞和被篡改；被作為證據(jù)的記錄，信息的內(nèi)容和保留的時間應遵守國家法律法規(guī)的規(guī)定。


5.7.2 依從性檢查
5.7.2.1 檢查和改進

對檢查和改進，不同安全等級應有選擇地滿足以下要求的一項：

a） 檢查和改進的基本要求：要求組織機構定期對安全管理活動的各個方面進行檢查和評估工作；對照組織機構的安全策略和管理制度做到自管、自查、自評，并應落實責任制；
b） 制度化的檢查和改進：在a）的基礎上，建立檢查和改進制度，定期檢查實施的所有安全程序是否遵從了組織機構制定的安全方針和政策，檢查信息系統(tǒng)在技術方面是否依從了安全標準，根據(jù)檢查過程中發(fā)現(xiàn)的不足對安全管理體系進行不斷改進；做到接受國家監(jiān)管和自我管理相結合。


5.7.2.2 安全策略依從性檢查

對安全策略依從性檢查，不同安全等級應有選擇地滿足以下要求的一項：

a） 對系統(tǒng)管理員的檢查：應定期檢查安全策略的遵守情況，重點檢查信息系統(tǒng)的網(wǎng)絡、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等系統(tǒng)管理員，保證其在應有責任范圍內(nèi)能夠正確地執(zhí)行所有安全程序，以及能夠正確遵從組織機構制定的安全策略；
b） 全面和系統(tǒng)化的檢查：在a）的基礎上，對信息系統(tǒng)各個崗位應進行定期檢查操作規(guī)程和管理程序的執(zhí)行情況，確保遵從組織機構的安全策略；檢查范圍應包括信息系統(tǒng)本身，以及系統(tǒng)供應商、信息和信息資產(chǎn)的所有者、用戶和管理層，保證其符合安全策略和標準；
c） 操作過程監(jiān)督和持續(xù)改進：在b）的基礎上，檢查有關系統(tǒng)使用情況和操作等監(jiān)控過程；根據(jù)檢查結果，對信息系統(tǒng)安全管理體系和安全管理執(zhí)行過程存在的問題進行不斷改進。


5.7.2.3 技術依從性檢查

對技術依從性檢查，不同安全等級應有選擇地滿足以下要求的一項：

a） 技術依從性檢查的要求，按照信息系統(tǒng)應達到相應安全保護等級技術要求定期進行檢查，根據(jù)檢查信息系統(tǒng)對安全實施標準的符合情況進行初步評價并形成意見；
b） 技術依從性檢查的手段：在a）的基礎上，對硬件和軟件的檢驗，以及技術依從檢查應由有能力的、經(jīng)過授權的人員來進行；對于技術測試應由有經(jīng)驗的系統(tǒng)工程師手工或使用軟件包進行并生成檢測結果，經(jīng)技術專家解釋并產(chǎn)生技術報告；應根據(jù)檢查結果，對存在的缺陷進行不斷改進；
c） 技術依從性檢查的控制：在b）的基礎上，對關鍵區(qū)域或涉密系統(tǒng)的技術依從性檢查應嚴格控制，并注意對有關檢測過程和檢測結果的安全進行保護。


5.7.3 審計及監(jiān)管控制

5.7.3.1 審計控制

對審計監(jiān)督控制，不同安全等級應有選擇地滿足以下要求的一項：

a） 審計機構及職能：應有獨立的審計機構或人員對組織機構的安全管理體系、信息系統(tǒng)的安全風險控制、管理過程的有效性和正確性進行審計；對審計過程進行控制，應制定審計的工作程序和規(guī)范化工作流程，將審計活動周期化，同時加強安全事件發(fā)生后的審計；
b） 系統(tǒng)審計過程要求：在a）的基礎上，應對系統(tǒng)的審計活動進行規(guī)劃，盡量減小中斷業(yè)務流程的風險；系統(tǒng)審計過程控制要求，審計的范圍必須經(jīng)過授權并得到控制，審計所需的資源應明確定義并保證可用性，應審計和記錄所有的訪問，對所有的流程、需求和責任都應文檔化；
c） 系統(tǒng)審計工具保護要求：在b）的基礎上，應對系統(tǒng)審計工具進行保護，防止誤用造成危害；審計工具應與開發(fā)系統(tǒng)和運行系統(tǒng)分開管理；應明確審計工具的適用范圍，使用過程應經(jīng)過批準，應記錄審計工具的所有使用過程，應明確審計工具的保存方式、責任人員等。