5.7.3.2 監(jiān)管控制

組織機構(gòu)應接受和協(xié)助政府有關(guān)部門對不同安全保護級別的信息和信息系統(tǒng)實行不同強度的監(jiān)管
控制，不同安全等級應有選擇地滿足以下要求的一項：

a） 自主保護：依照國家有關(guān)法規(guī)和GB17859-1999第一級的要求進行自主保護；
b） 指導保護：在信息安全監(jiān)管職能部門指導下依照國家有關(guān)法規(guī)和GB17859-1999第二級的要求進行自主保護；
c） 監(jiān)督保護：依照國家有關(guān)法規(guī)和GB17859-1999第三級的要求進行自主保護，信息安全監(jiān)管職能部門對其進行監(jiān)督、檢查；
d） 強制保護：依照國有關(guān)法規(guī)和GB17859-1999第四級的要求進行自主保護，信息安全監(jiān)管職能部門對其進行強制監(jiān)督、檢查；
e） ?？乇Ｗo：依照國家有關(guān)法規(guī)和GB17859-1999第五級的要求進行自主保護，國家指定專門部門、專門機構(gòu)進行專門監(jiān)督。


5.7.4 責任認定

5.7.4.1 審計結(jié)果的責任認定

對審計結(jié)果的責任認定，不同安全等級應有選擇地滿足以下要求的一項：

a） 明確審計結(jié)果的責任：對于5.7.1、5.7.2、5.7.3審計及監(jiān)管過程發(fā)現(xiàn)的問題應限期解決，同時要認定技術(shù)責任和管理責任，明確責任當事人，會同有關(guān)部門提出問題解決辦法和責任處理意見；
b） 明確審計結(jié)果中的領(lǐng)導責任：在a）的基礎(chǔ)上，應對審計及監(jiān)管過程發(fā)現(xiàn)的問題認定相關(guān)領(lǐng)導者的責任，組織機構(gòu)領(lǐng)導層應就此提出問題解決辦法和責任處理意見，以及監(jiān)督問題解決情況；
c） 明確審計結(jié)果處理的復查責任：在b）的基礎(chǔ)上，應對審計及監(jiān)管過程發(fā)現(xiàn)問題的處理結(jié)果進行必要的復查，并明確進行審計及監(jiān)管復查的期限和責任。


5.7.4.2 審計及監(jiān)管者責任的認定

對審計及監(jiān)管者責任的認定，不同安全等級應有選擇地滿足以下要求的一項：

a） 按規(guī)定要求定期審計的責任：審計及監(jiān)管者應按有關(guān)監(jiān)督和檢查的規(guī)定定期進行審計，逾期未進行審計及監(jiān)管，使本應審計的問題因未審計而造成信息系統(tǒng)損失，應承擔相應的責任；
b） 審計及監(jiān)管不得力的責任：在a）的基礎(chǔ)上，審計及監(jiān)管者雖能夠按有關(guān)監(jiān)督和檢查的規(guī)定進行審計，但因未能及時發(fā)現(xiàn)本應審計出問題而造成信息系統(tǒng)損失的，應承擔相應的責任；
c） 審計結(jié)果處理的跟蹤責任：在b）的基礎(chǔ)上，審計及監(jiān)管者應對審計及監(jiān)管過程發(fā)現(xiàn)問題的處理結(jié)果進行必要的跟蹤檢查直至問題的解決，如因未進行跟蹤檢查而造成損失的，應承擔相應的責任。


5.8 生存周期管理

5.8.1 規(guī)劃和立項管理

5.8.1.1 系統(tǒng)規(guī)劃要求

對系統(tǒng)規(guī)劃要求，不同安全等級至少應滿足以下要求的一項或多項：

a） 系統(tǒng)建設(shè)和發(fā)展計劃：組織機構(gòu)信息系統(tǒng)的管理者應對信息系統(tǒng)的建設(shè)和改造，以及近期和遠期的發(fā)展制定工作計劃，并應得到組織機構(gòu)管理層的批準；
b） 信息系統(tǒng)安全策略規(guī)劃：在a）的基礎(chǔ)上，應制定安全策略規(guī)劃并得到組織機構(gòu)管理層的批準；安全策略規(guī)劃主要包括信息系統(tǒng)的總體安全策略、安全保障體系的安全技術(shù)框架和安全管理策略等；能夠為信息系統(tǒng)安全保障體系的規(guī)劃、建設(shè)和改造提供依據(jù)，使管理者和使用者都了解信息系統(tǒng)安全防護的基本原則和策略，知道應采用的各種技術(shù)和管理措施對抗各種威脅；
c） 信息系統(tǒng)安全建設(shè)規(guī)劃：在b）的基礎(chǔ)上，在安全策略規(guī)劃的指導下，制定安全建設(shè)和安全改造的規(guī)劃，并應得到組織機構(gòu)管理層的批準；在統(tǒng)一規(guī)劃引導下，通過調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)、添加保護措施和改造應用系統(tǒng)等，達到信息安全保障系統(tǒng)建設(shè)的要求，保證信息系統(tǒng)的正常運行和組織機構(gòu)的業(yè)務穩(wěn)定發(fā)展。


5.8.1.2 系統(tǒng)需求的提出

對系統(tǒng)需求的提出，不同安全等級至少應滿足以下要求的一項或多項：
a） 業(yè)務應用的需求：信息系統(tǒng)應用部門或業(yè)務部門需要開發(fā)新的業(yè)務應用系統(tǒng)或更改已運行的業(yè)務應用系統(tǒng)時，應分析該新業(yè)務將會產(chǎn)生的經(jīng)濟效益和社會效益，確定其重要性，并以書面形式提出申請；
b） 系統(tǒng)安全的需求：在a）的基礎(chǔ)上，信息系統(tǒng)的安全管理職能部門應根據(jù)信息系統(tǒng)的安全狀況和存在隱患的分析，以及信息安全評估結(jié)果等提出加強系統(tǒng)安全的具體需求，并以書面形式提出申請。安全需求的分析和說明包括（但不限于）以下內(nèi)容：
——組織機構(gòu)的業(yè)務特點和需求；
——威脅、脆弱性和風險的說明；
——安全的要求和保護目標；
c） 系統(tǒng)規(guī)劃的需求：在b）的基礎(chǔ)上，信息系統(tǒng)的管理者應根據(jù)信息系統(tǒng)安全建設(shè)規(guī)劃的要求，提出當前應進行安全建設(shè)和安全改造的具體需求，并以書面形式提出申請。


5.8.1.3 系統(tǒng)開發(fā)的立項

對系統(tǒng)開發(fā)的立項，不同安全等級至少應滿足以下要求的一項或多項：

a） 系統(tǒng)開發(fā)立項的基本要求：接到系統(tǒng)需求的書面申請，必須經(jīng)過主管領(lǐng)導的審批，或者經(jīng)過管理層的討論批準，才能正式立項；
b） 可行性論證要求：對于規(guī)模較大的項目，接到系統(tǒng)需求的書面申請，必須組織有關(guān)部門負責人和有關(guān)安全技術(shù)專家進行可行性論證，通過論證后由主管領(lǐng)導審批，或者經(jīng)過管理層的討論批準，才能正式立項；
c） 系統(tǒng)安全性評價要求：在b）的基礎(chǔ)上，對于重要的項目，接到系統(tǒng)需求的書面申請，必須組織有關(guān)部門負責人和有關(guān)安全技術(shù)專家進行項目安全性評價，在確認項目安全性符合要求后由主管領(lǐng)導審批，或者經(jīng)過管理層的討論批準，才能正式立項。


5.8.2 建設(shè)過程管理

5.8.2.1 建設(shè)項目準備

對建設(shè)項目準備，不同安全等級至少應滿足以下要求的一項或多項：

a） 確定項目負責人：對信息系統(tǒng)建設(shè)和改造項目應明確指定項目負責人，監(jiān)督和管理項目的全
過程；
b） 制定項目實施計劃：在a）的基礎(chǔ)上，應制定詳細的項目實施計劃，作為項目管理過程的依據(jù)；
c） 制定監(jiān)理管理制度：在b）的基礎(chǔ)上，要求將安全工程項目過程有效程序化；建立工程實施監(jiān)理管理制度；應明確指定項目實施監(jiān)理負責人。


5.8.2.2 工程項目外包要求

對工程項目外包要求，不同安全等級至少應滿足以下要求的一項或多項：

a） 具有服務資質(zhì)的廠商：對信息系統(tǒng)工程項目外包，應選擇具有服務資質(zhì)的信譽較好的廠商，要求其已獲得國家主管部門的資質(zhì)認證并取得許可證書、能有效實施安全工程過程、有成功的實施案例；
b） 可信的具有服務資質(zhì)的廠商：在a）的基礎(chǔ)上，對重要的信息系統(tǒng)工程項目外包，應在主管部門指定或特定范圍內(nèi)選擇具有服務資質(zhì)的信譽較好的廠商，并應經(jīng)實踐證明是安全可靠的廠商；
c） 對項目的保護和控制程序：在b）的基礎(chǔ)上，對應廢止和暫停的項目，要確保相關(guān)的系統(tǒng)設(shè)計、文檔、代碼等的安全；對應銷毀過程要進行安全控制；還應制定控制程序?qū)椖窟M行保護，包括：
——代碼的所有權(quán)和知識產(chǎn)權(quán)；
——軟件開發(fā)過程的質(zhì)量控制要求；
——代碼質(zhì)量檢測要求；
——在安裝之前進行測試以檢測特洛伊代碼；
d） 工程項目外包的限制：在c）的基礎(chǔ)上，對于安全保護等級較高的信息系統(tǒng)工程項目，一般不應采取工程項目外包方式。


5.8.2.3 自行開發(fā)環(huán)境控制

對自行開發(fā)環(huán)境控制，不同安全等級至少應滿足以下要求的一項或多項：

a） 開發(fā)環(huán)境與運行環(huán)境物理分開：對自行開發(fā)信息系統(tǒng)的建設(shè)和改造項目時，應明確要求開發(fā)環(huán)境與實際運行環(huán)境做到物理分開，建立完全獨立的兩個環(huán)境；開發(fā)及測試活動也應盡可能分開；
b） 系統(tǒng)開發(fā)文檔和軟件包的控制：在a）的基礎(chǔ)上，系統(tǒng)開發(fā)文檔應當受到保護和控制；必要時，經(jīng)管理層的批準，才允許使用系統(tǒng)開發(fā)文檔；系統(tǒng)開發(fā)文檔的訪問在物理或邏輯上應當與予控制；一般不鼓勵對非自行開發(fā)的軟件包進行修改，必須改動時應注意：
——內(nèi)置的控制措施和整合過程被損害的風險；
——由于軟件的改動對將來的維護帶來影響；
——應保留原始軟件，并在完全一樣的復制件上進行改動；
——所有的改動應經(jīng)過充分的測試并形成文件，以便必要時用于將來的軟件升級；
c） 對程序資源庫的控制：在b）的基礎(chǔ)上，為了減少計算機程序被破壞的可能性，應嚴格控制對程序資源庫的訪問；至少可以采用以下控制措施：
—— 程序資源庫不應被保存在運行系統(tǒng)中；
—— 技術(shù)開發(fā)人員不應具有對程序資源庫不受限制的訪問權(quán)；
—— 程序源庫的更新和向程序員發(fā)布的程序源應經(jīng)授權(quán)；
—— 應保留程序的所有版本，程序清單應被保存在一個安全的環(huán)境中；
—— 應保存對所有程序資源庫訪問的審計記錄；
d） 系統(tǒng)開發(fā)保密性的控制：在c）的基礎(chǔ)上，對于安全保護等級較高的信息系統(tǒng)建設(shè)項目及涉密項目，應對開發(fā)全過程采取相應的保密措施，對參與開發(fā)的有關(guān)人員進行保密教育和管理。


5.8.2.4 安全產(chǎn)品使用要求

a） 信息安全產(chǎn)品使用分級管理：信息安全產(chǎn)品包括構(gòu)成信息系統(tǒng)安全保護功能的信息技術(shù)硬件、軟件、固件設(shè)備，以及安全檢查、檢測驗證工具等，應按安全等級標準要求進行設(shè)計開發(fā)和檢測驗證；三級以上安全產(chǎn)品實行定點生產(chǎn)備案和出口實行審批制度；信息系統(tǒng)使用的信息安全產(chǎn)品應按照相應的安全保護等級的要求選擇相應等級的產(chǎn)品。

5.8.2.5 建設(shè)項目測試驗收

對建設(shè)項目測試驗收要求，不同安全等級至少應滿足以下要求的一項或多項：

a） 功能和性能測試要求：應明確對信息系統(tǒng)建設(shè)和改造項目進行功能及性能測試，保證信息系統(tǒng)建設(shè)項目的可用性；進行必要的安全性測試；應指定項目測試驗收負責人；
b） 安全性測試要求：在a）的基礎(chǔ)上，應明確信息系統(tǒng)建設(shè)和改造項目的安全系統(tǒng)需要進行安全測試驗收，并規(guī)定安全測試驗收負責人；測試驗收前，應制訂測試和接收標準，并在接收前對系統(tǒng)進行測試；管理者應確保新系統(tǒng)的接收要求和標準被清晰定義并文檔化；對安全系統(tǒng)的測試至少包括：
——對組成系統(tǒng)的所有部件進行安全性測試；
——對系統(tǒng)進行集成性安全測試；
——對業(yè)務應用進行安全測試等；
c） 進一步的驗收要求：在c）的基礎(chǔ)上，在信息系統(tǒng)建設(shè)和改造項目驗收時至少還應考慮：
——性能和計算機容量的要求；
——錯誤恢復和重啟程序，以及應急計劃；
——制定并測試日常的操作程序以達到規(guī)定的標準；
——實施業(yè)經(jīng)同意的安全控制措施；
——有效的指南程序；
——已經(jīng)考慮了新系統(tǒng)對組織機構(gòu)的整體安全產(chǎn)生影響的證據(jù)；
——操作和使用新系統(tǒng)的培訓。


5.8.3 系統(tǒng)啟用和終止管理

5.8.3.1 新系統(tǒng)啟用管理

對新的信息系統(tǒng)或子系統(tǒng)、信息系統(tǒng)設(shè)備啟用的管理，不同安全等級至少應滿足以下要求的一項或多項：

a） 新系統(tǒng)啟用的申報和審批：在新的信息系統(tǒng)或子系統(tǒng)、信息系統(tǒng)設(shè)備在啟用以前，應經(jīng)過正式測試驗收，由使用者或管理者提出申請，經(jīng)過相應領(lǐng)導審批才能正式投入使用，具體程序按照有關(guān)主管部門的規(guī)定執(zhí)行；
b） 新系統(tǒng)啟用前的試運行：在a）的基礎(chǔ)上，應進行一定期限的試運行，并得到相應領(lǐng)導和技術(shù)負責人認可才能正式投入使用，并形成文檔備案；
c） 新系統(tǒng)的安全評估：在b）的基礎(chǔ)上，組織有關(guān)管理者、技術(shù)負責人、用戶和安全專家，對新的信息系統(tǒng)或子系統(tǒng)、信息系統(tǒng)設(shè)備的試運行進行專項安全評估，得到認可并形成文檔備案才能正式投入使用；
d） 新系統(tǒng)運行的審計跟蹤：在c）的基礎(chǔ)上，在任何新的信息系統(tǒng)或子系統(tǒng)、信息系統(tǒng)設(shè)備正式投入使用的一定時間內(nèi)，應進行審計跟蹤，定期對審計結(jié)果做出風險評價，對安全進行確認以決定是否能夠繼續(xù)運行，并形成文檔備案。


5.8.3.2 終止運行管理

對現(xiàn)有信息系統(tǒng)或子系統(tǒng)、信息系統(tǒng)設(shè)備終止運行管理，不同安全等級至少應滿足以下要求的一項或多項：

a） 終止運行的申報和審批：任何現(xiàn)有信息系統(tǒng)或子系統(tǒng)、信息系統(tǒng)設(shè)備需要終止運行時，應由使用者或管理者提出申請并說明原因及采取的保護措施，經(jīng)過相應領(lǐng)導審批才能正式終止運行，具體程序按照有關(guān)主管部門的規(guī)定執(zhí)行；
b） 終止運行的信息保護：在a）的基礎(chǔ)上，在任何新的信息系統(tǒng)或子系統(tǒng)、信息系統(tǒng)設(shè)備需要終止運行以前，應進行必要數(shù)據(jù)和軟件備份，對終止運行的設(shè)備進行數(shù)據(jù)清除，并得到相應領(lǐng)導和技術(shù)負責人認可才能正式終止運行，并形成文檔備案；
c） 終止運行的安全保護：在b）的基礎(chǔ)上，應采取必要的安全措施，并進行數(shù)據(jù)和軟件備份，對終止運行的設(shè)備進行不可恢復的數(shù)據(jù)清除，如果存儲設(shè)備損壞則必須采取銷毀措施，在得到相應領(lǐng)導和技術(shù)負責人認可才能正式終止運行，并形成文檔備案。


6 信息系統(tǒng)安全管理分等級要求

6.1 第一級：用戶自主保護級

6.1.1 管理目標和范圍

本級為用戶自主保護級，實施基本的管理，進行自主保護。適用于一般的信息和信息系統(tǒng)，其受到破壞后，會對公民、法人和其他組織的權(quán)益有一定影響，但不危害國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益。本級管理要求達到具有初步的安全管理措施，建立基本的信息系統(tǒng)管理制度和信息系統(tǒng)人員管理制度，具有自主訪問控制的措施和身份鑒別功能，對用戶自身所創(chuàng)建的數(shù)據(jù)信息進行安全保護，要求具有保護數(shù)據(jù)信息和系統(tǒng)的完整性不受破壞的措施，能夠保證被授權(quán)的用戶隨時可以訪問信息。通過管理活動保證信息系統(tǒng)安全保護等級達到GB17859-1999的本級要求。（見5.1.1.1a））

6.1.2 政策和制度要求

本級要求如下：

a） 總體安全管理策略，應包括基本的信息安全管理策略，由安全管理人員為主制定，安全管理策略文檔應由分管信息安全工作的負責人簽發(fā)，并向信息系統(tǒng)的用戶傳達；（見5.1.1.2a），5.1.1.3a），5.1.1.4a））
b） 安全管理規(guī)章制度，應包括基本的安全管理制度和操作規(guī)程；由安全管理人員起草，分管信息安全工作的負責人審批發(fā)布；（見5.1.2.1a），5.1.2.2a））
c） 策略與制度文檔管理，由分管信息安全的負責人和安全管理人員負責文檔的評審和修訂；策略與制度文檔由專人保管。（見5.1.3.1a），5.1.3.2a））


6.1.3 機構(gòu)和人員管理要求

本級要求如下：

a） 組織機構(gòu)應在管理層中有一人分管信息系統(tǒng)安全工作，并為信息系統(tǒng)的安全管理配備獨立的安全管理人員；（見5.2.1.1a））
b） 對人員的管理包括，安全管理人員可以由網(wǎng)絡(luò)管理人員兼任；對關(guān)鍵崗位應制定基本的管理要求；對人員錄用應進行簡歷和專業(yè)能力檢查；對人員離崗立即中止所有訪問，收回證件、密鑰等；定期對各個崗位人員進行安全認知技能的考核；對各類第三方人員簽署有關(guān)安全責任的合同或保密協(xié)議，進入辦公區(qū)域應劃定范圍，進入計算機房需要得到批準，進行邏輯訪問時應劃定范圍并經(jīng)過批準，且有人陪同；（見5.2.3.1a），5.2.3.2a），5.2.3.3a），5.2.3.4a），5.2.3.5a），5.2.3.6a））
c） 組織機構(gòu)應對員工進行信息安全及其責任的應知應會的教育；應聽取信息安全專家的建議。（見5.2.4.1a），5.2.4.2a））