5.2.1.2 信息安全領導小組

信息系統(tǒng)安全領導小組負責領導本組織機構的信息系統(tǒng)安全工作，至少應行使以下管理職能之一：

a） 安全管理的領導職能：根據(jù)國家和行業(yè)有關信息安全的政策、法律和法規(guī)，批準機構信息系統(tǒng)的安全策略和發(fā)展規(guī)劃；確定各有關部門在信息系統(tǒng)安全工作中的職責，領導安全工作的實施；監(jiān)督安全措施的執(zhí)行，并對重要安全事件的處理進行決策；指導和檢查信息系統(tǒng)安全職能部門及應急處理小組的各項工作；建設和完善信息系統(tǒng)安全的集中控管的組織體系和管理機制；
b） 保密監(jiān)督的管理職能：在a）的基礎上，對保密管理部門進行有關信息系統(tǒng)安全保密監(jiān)督管理方面的指導和檢查。


5.2.1.3 信息安全職能部門

信息安全職能部門在信息系統(tǒng)安全領導小組領導下，負責本組織機構信息系統(tǒng)安全的具體工作，至少應行使以下管理職能之一：

a） 基本的安全管理職能：根據(jù)國家和行業(yè)有關信息安全的政策法規(guī)，起草組織機構信息系統(tǒng)的安全策略和發(fā)展規(guī)劃；管理機構信息系統(tǒng)安全日常事務，檢查和指導下級單位信息系統(tǒng)安全工作；負責安全措施的實施或組織實施，組織并參加對安全重要事件的處理；監(jiān)控信息系統(tǒng)安全總體狀況，提出安全分析報告；指導和檢查各部門和下級單位信息系統(tǒng)安全人員及要害崗位人員的信息系統(tǒng)安全工作；應與有關部門共同組成應急處理小組或協(xié)助有關部門建立應急處理小組實施相關應急處理工作；
b） 集中的安全管理職能：在a）的基礎上，管理信息系統(tǒng)安全機制集中管理機構的各項工作，實現(xiàn)信息系統(tǒng)安全的集中控制管理；完成信息系統(tǒng)安全領導小組交辦的工作，并向領導小組報告機構的信息系統(tǒng)安全工作。


5.2.2 安全機制集中管理機構

5.2.2.1 設置集中管理機構

信息系統(tǒng)安全機制集中管理機構（以下簡稱集中管理機構）既是技術實體，也是管理實體，應按照以下方式設立：

a） 集中管理機構人員和職責：應配備必要的領導和技術管理人員，應選用熟悉安全技術、網(wǎng)絡技術、系統(tǒng)應用等方面技術人員，明確責任協(xié)同工作，統(tǒng)一管理信息系統(tǒng)的安全運行，進行安全機制的配置與管理，對與安全有關的信息進行匯集與分析，對與安全有關的事件進行響應與處置；應對分布在信息系統(tǒng)中有關的安全機制進行集中管理；應接受信息安全職能部門的直接領導。


5.2.2.2 集中管理機構職能

a） 信息系統(tǒng)安全運行的統(tǒng)一管理：集中管理機構主要行使以下技術職能：
——防范與保護：建立物理、支撐系統(tǒng)、網(wǎng)絡、應用、管理等五個層面的安全控制機制，構成系統(tǒng)有機整體安全控制機制；統(tǒng)一進行信息系統(tǒng)安全機制的配置與管理，確保各個安全機制按照設計要求運行；
——監(jiān)控與檢查：對服務器、路由器、防火墻等網(wǎng)絡部件、系統(tǒng)安全運行性狀態(tài)、信息（包括有害內(nèi)容）的監(jiān)控和檢查；匯集各種安全機制所獲取的與系統(tǒng)安全運行有關的信息，對所獲取的信息進行綜合分析，及時發(fā)現(xiàn)系統(tǒng)運行中的安全問題和隱患，提出解決的對策和方法；
——響應與處置：事件發(fā)現(xiàn)、響應、處置、應急恢復，根據(jù)應急處理預案，作出快速處理；應對各種事件和處理結(jié)果有詳細的記載并進行檔案化管理，作為對后續(xù)事件分析的參考和可查性的依據(jù)；
——安全機制集中管理控制（詳見5.5.6），完善管理信息系統(tǒng)安全運行的技術手段，進行信息系統(tǒng)安全的集中控制管理；
——負責接受和配合政府有關部門的信息安全監(jiān)管工作；
b） 關鍵區(qū)域安全運行管理：在a）的基礎上，集中管理機構對關鍵區(qū)域的安全運行進行管理，控制知曉范圍，對獲取的有關信息進行相應安全等級的保護；
c） 核心系統(tǒng)安全運行管理：在b）的基礎上，集中管理機構應與有關業(yè)務應用的主管部門協(xié)調(diào)，定制更高安全級別的管理方式。


5.2.3 人員管理
5.2.3.1 安全管理人員配備

對安全管理人員配備的管理，不同安全等級應有選擇地滿足以下要求的一項：

a） 可配備兼職安全管理人員：安全管理人員可以由網(wǎng)絡管理人員兼任；
b） 安全管理人員的兼職限制：安全管理人員不能兼任網(wǎng)絡管理人員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等；
c） 配備專職安全管理人員：安全管理人員不可兼任，屬于專職人員，應具有安全管理工作權限和能力；
d） 關鍵部位的安全管理人員：在c）的基礎上，安全管理人員還應按照機要人員條件配備。


5.2.3.2 關鍵崗位人員管理

對信息系統(tǒng)關鍵崗位人員的管理，不同安全等級應滿足以下要求的一項或多項：

a） 基本要求：應對安全管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡管理員、重要業(yè)務開發(fā)人員、系統(tǒng)維護人員、重要業(yè)務應用操作人員等信息系統(tǒng)關鍵崗位人員進行統(tǒng)一管理；允許一人多崗，但業(yè)務應用操作人員不能由其他關鍵崗位人員兼任；關鍵崗位人員應定期接受安全培訓，加強安全意識和風險防范意識；
b） 兼職和輪崗要求：業(yè)務開發(fā)人員和系統(tǒng)維護人員不能兼任或擔負安全管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡管理員、重要業(yè)務應用操作人員等崗位或工作；必要時關鍵崗位人員應采取定期輪崗制度；
c） 權限分散要求：在b）的基礎上，應堅持關鍵崗位人員“權限分散、不得交叉覆蓋”的原則，系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡管理員不能相互兼任崗位或工作；
d） 多人共管要求：在c）的基礎上，關鍵崗位人員處理重要事務或操作時，應保持二人同時在場，關鍵事務應多人共管；
e） 全面控制要求：在d）的基礎上，應采取對內(nèi)部人員全面控制的安全保證措施，對所有崗位工作人員實施全面安全管理。


5.2.3.3 人員錄用管理

對人員錄用的管理，不同安全等級應有選擇地滿足以下要求的一項：

a） 人員錄用的基本要求：對應聘者進行審查，確認其具有基本的專業(yè)技術水平，接受過安全意識教育和培訓，能夠掌握安全管理基本知識；對信息系統(tǒng)關鍵崗位的人員還應注重思想品質(zhì)方面的考察；
b） 人員的審查與考核：在a）的基礎上，應由單位人事部門進行人員背景、資質(zhì)審查，技能考核等，合格者還要簽署保密協(xié)議方可上崗；安全管理人員應具有基本的系統(tǒng)安全風險分析和評估能力；
c） 人員的內(nèi)部選拔：在b）的基礎上，重要區(qū)域或部位的安全管理人員一般可從內(nèi)部符合條件人員選拔，應做到認真負責和保守秘密；
d） 人員的可靠性：在c）的基礎上，關鍵區(qū)域或部位的安全管理人員應選用實踐證明精干、內(nèi)行、忠實、可靠的人員，必要時可按機要人員條件配備。


5.2.3.4 人員離崗

對人員離崗的管理，不同安全等級應有選擇地滿足以下要求的一項：

a） 離崗的基本要求：立即中止被解雇的、退休的、辭職的或其他原因離開的人員的所有訪問權限；收回所有相關證件、徽章、密鑰、訪問控制標記等；收回機構提供的設備等；
b） 調(diào)離后的保密要求：在a）的基礎上，管理層和信息系統(tǒng)關鍵崗位人員調(diào)離崗位，必須經(jīng)單位人事部門嚴格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密要求；
c） 離崗的審計要求：在b）的基礎上，涉及組織機構管理層和信息系統(tǒng)關鍵崗位的人員調(diào)離單位，必須進行離崗安全審查，在規(guī)定的脫密期限后，方可調(diào)離；
d） 關鍵部位人員的離崗要求：在c）的基礎上，關鍵部位的信息系統(tǒng)安全管理人員離崗，應按照機要人員管理辦法辦理。


5.2.3.5 人員考核與審查

對人員考核與審查的管理，不同安全等級應有選擇地滿足以下要求的一項：

a） 定期的人員考核：應定期對各個崗位的人員進行不同側(cè)重的安全認知和安全技能的考核，作為人員是否適合當前崗位的參考；
b） 定期的人員審查：在a）的基礎上，對關鍵崗位人員，應定期進行審查，如發(fā)現(xiàn)其違反安全規(guī)定，應控制使用；
c） 管理有效性的審查：在b）的基礎上，對關鍵崗位人員的工作，應通過例行考核進行審查，保證安全管理的有效性；并保留審查結(jié)果；
d） 全面嚴格的審查：在c）的基礎上，對所有安全崗位人員的工作，應通過全面考核進行審查，如發(fā)現(xiàn)其違反安全規(guī)定，應采取必要的應對措施。


5.2.3.6 第三方人員管理

對第三方人員的管理，不同安全等級應有選擇地滿足以下要求的一項：

a） 基本管理要求：應對硬件和軟件維護人員，咨詢?nèi)藛T，臨時性的短期職位人員，以及輔助人員和外部服務人員等第三方人員簽署包括不同安全責任的合同書或保密協(xié)議；規(guī)定各類人員的活動范圍，進入計算機房需要得到批準，并有專人負責；第三方人員必須進行邏輯訪問時，應劃定范圍并經(jīng)過負責人批準，必要時應有人監(jiān)督或陪同；
b） 重要區(qū)域管理要求：在重要區(qū)域，第三方人員必須進入或進行邏輯訪問（包括近程訪問和遠程訪問等）均應有書面申請、批準和過程記錄，并有專人全程監(jiān)督或陪同；進行邏輯訪問應使用專門設置的臨時用戶，并進行審計；
c） 關鍵區(qū)域管理要求：在關鍵區(qū)域，一般不允許第三方人員進入或進行邏輯訪問；如確有必要，除有書面申請外，可采取由機構內(nèi)部人員帶為操作的方式，對結(jié)果進行必要的過濾后再提供第三方人員，并進行審計；必要時對上述過程進行風險評估和記錄備案，并對相應風險采取必要的安全補救措施。


5.2.4 教育和培訓

5.2.4.1 信息安全教育

信息安全教育包括信息安全意識的培養(yǎng)教育和安全技術培訓，不同安全等級應有選擇地滿足以下要求的一項：

a） 應知應會要求：應讓信息系統(tǒng)相關員工知曉信息的敏感性和信息安全的重要性，認識其自身的責任和安全違例會受到紀律懲罰，以及應掌握的信息安全基本知識和技能等；
b） 有計劃培訓：在a）的基礎上，應制定并實施安全教育和培訓計劃，培養(yǎng)信息系統(tǒng)各類人員安全意識，并提供對安全政策和操作規(guī)程的認知教育和訓練等；
c） 針對不同崗位培訓：在b）的基礎上，針對不同崗位，制定不同的專業(yè)培訓計劃，包括安全知識、安全技術、安全標準、安全要求、法律責任和業(yè)務控制措施等；
d） 按人員資質(zhì)要求培訓：在c）的基礎上，對所有工作人員的安全資質(zhì)進行定期檢查和評估，使相應的安全教育成為組織機構工作計劃的一部分；
e） 培養(yǎng)安全意識自覺性：在d）的基礎上，對所有工作人員進行相應的安全資質(zhì)管理，并使安全意識成為所有工作人員的自覺存在。


5.2.4.2 信息安全專家

可邀請或聘用信息安全專家，不同安全等級應有選擇地滿足以下要求的一項：

a） 聽取信息安全專家建議：聽取信息安全專家對于組織機構的信息系統(tǒng)安全方面的建議；組織專家參與安全威脅的評估，提供安全控制措施的建議，進行信息安全有效性評判，對安全事件給予專業(yè)指導和原因調(diào)查等；
b） 對信息安全專家的管理：在a）的基礎上，對于邀請或聘用信息安全專家可以提供必要的組織機構內(nèi)部信息，同時應告知專家這些信息的敏感性和保密性，并應采取必要的安全措施，保證提供的信息在安全可控的范圍內(nèi)。


5.3 風險管理

5.3.1 風險管理要求和策略

5.3.1.1 風險管理要求

風險管理作為等級保護的手段，在保證信息等級系統(tǒng)的最低保護能力的基礎上，可根據(jù)風險確定增加某些管理要求。對風險管理，不同安全等級應有選擇地滿足以下要求的一項：

a） 基本風險管理：組織機構應進行基本的風險管理活動，包括編制資產(chǎn)清單，對資產(chǎn)價值/重要性進行分析，對信息系統(tǒng)面臨的威脅進行初步分析，通過工具掃描的方式對信息系統(tǒng)的脆弱性進行分析，以簡易的方式分析安全風險、選擇安全措施；
b） 定期風險評估：在a）的基礎上，針對關鍵的系統(tǒng)資源進行定期風險分析和評估；產(chǎn)生風險分析報告并向管理層提交；
c） 規(guī)范風險評估：在b）的基礎上，在風險管理中，使用規(guī)范方法和經(jīng)過必要的工作流程，進行規(guī)范化的風險評估，產(chǎn)生風險分析報告和留存重要過程文檔，并向管理層提交；
d） 獨立審計的風險管理：在c）的基礎上，建立風險管理體系文件；針對風險管理過程，實施獨立審計，確保風險管理的有效性；
e） 全面風險管理：在d）的基礎上，使風險管理成為信息系統(tǒng)安全管理的有機組成部分，貫穿信息系統(tǒng)安全管理的全過程，并具有可驗證性。


5.3.1.2 風險管理策略

對風險管理策略，不同安全等級應有選擇地滿足以下要求的一項：

a） 基本的風險管理策略：應定期進行風險評估，安全風險分析和評估活動程序應至少包括信息安全風險管理和業(yè)務應用風險管理密切相關的內(nèi)容，信息安全風險管理的基本觀念和方法，以及風險管理的組織和資源保證等；
b） 風險管理的監(jiān)督機制：在a）的基礎上，應建立風險管理的監(jiān)督機制，對所有風險管理相關過程的活動和影響進行評估和監(jiān)控；應建立指導風險管理監(jiān)督過程的指導性文檔；
c） 風險評估的重新啟動：在b）的基礎上，應明確規(guī)定重新啟動風險評估的條件，機構應能針對風險的變化重新啟動風險評估。


5.3.2 風險分析和評估

5.3.2.1 資產(chǎn)識別和分析

對資產(chǎn)識別和分析，不同安全等級應有選擇地滿足以下要求的一項：

a） 信息系統(tǒng)的資產(chǎn)統(tǒng)計和分類：確定信息系統(tǒng)的資產(chǎn)范圍，進行統(tǒng)計和編制資產(chǎn)清單（詳見5.4.2.1），并進行資產(chǎn)分類和重要性標識；
b） 信息系統(tǒng)的體系特征描述：在a）的基礎上，根據(jù)對信息系統(tǒng)的硬件、軟件、系統(tǒng)接口、數(shù)據(jù)和信息、人員等方面的分析和識別，對信息系統(tǒng)的體系特征進行描述，至少應闡明信息系統(tǒng)的使命、邊界、功能，以及系統(tǒng)和數(shù)據(jù)的關鍵性、敏感性等內(nèi)容。


5.3.2.2 威脅識別和分析

對威脅的識別和分析，不同安全等級應有選擇地滿足以下要求的一項：

a） 威脅的基本分析：應根據(jù)以往發(fā)生的安全事件、外部提供的資料和積累的經(jīng)驗等，對威脅進行粗略的分析；
b） 威脅列表：在a）的基礎上，結(jié)合業(yè)務應用、系統(tǒng)結(jié)構特點以及訪問流程等因素，建立并維護威脅列表；由于不同業(yè)務系統(tǒng)面臨的威脅是不同的，應針對每個或者每類資產(chǎn)有一個威脅列表；
c） 威脅的詳細分析：在b）的基礎上，考慮威脅源在保密性、完整性或可用性等方面造成損害，對威脅的可能性和影響等屬性進行分析，從而得到威脅的等級；威脅等級也可通過綜合威脅的可能性和強度的評價獲得；
d） 使用檢測工具捕捉攻擊：在c）的基礎上，對關鍵區(qū)域或部位進行威脅分析和評估，在業(yè)務應用許可并得到批準的條件下，可使用檢測工具在特定時間捕捉攻擊信息進行威脅分析。


5.3.2.3 脆弱性識別和分析

對脆弱性識別和分析，不同安全等級應有選擇地滿足以下要求的一項：

a） 脆弱性工具掃描：應通過掃描器等工具來獲得對系統(tǒng)脆弱性的認識，包括對網(wǎng)絡設備、主機設備、安全設備的脆弱性掃描，并編制脆弱性列表，作為系統(tǒng)加固、改進和安全項目建設的依據(jù)；可以針對資產(chǎn)組合、資產(chǎn)分類編制脆弱性列表和脆弱性檢查表；
b） 脆弱性分析和滲透測試：在a）的基礎上，脆弱性的人工分析至少應進行網(wǎng)絡設備、安全設備以及主機系統(tǒng)配置檢查、用戶管理檢查、系統(tǒng)日志和審計檢查等；使用滲透測試應根據(jù)需要分別從組織機構的網(wǎng)絡內(nèi)部和網(wǎng)絡外部選擇不同的接入點進行；應了解測試可能帶來的后果，并做好充分準備；針對不同的資產(chǎn)和資產(chǎn)組合，綜合應用人工評估、工具掃描、滲透性測試等方法對系統(tǒng)的脆弱性進行分析和評估；對不同的方法和工具所得出的評估結(jié)果，應進行綜合分析，從而得到脆弱性的等級；
c） 制度化脆弱性評估：在b）的基礎上，堅持制度化脆弱性評估，應明確規(guī)定進行脆弱性評估的時間和系統(tǒng)范圍、人員和責任、評估結(jié)果的分析和報告程序，以及報告中包括新發(fā)現(xiàn)的漏洞、已修補的漏洞、漏洞趨勢分析等。


5.3.2.4 風險分析和評估要求

對風險分析和評估，不同安全等級應有選擇地滿足以下要求的一項：

a） 經(jīng)驗的風險評估：應由用戶和部分專家通過經(jīng)驗來判斷風險，并對風險進行評估，形成風險評估報告，其中必須包括風險級別、風險點等內(nèi)容，并確定信息系統(tǒng)的安全風險狀況；
b） 全面的風險評估：在a）的基礎上，應采用多層面、多角度的系統(tǒng)分析方法，由用戶和專家對資產(chǎn)、威脅和脆弱性等方面進行定性綜合評估，建議處理和減緩風險的措施，形成風險評估報告；除風險狀況外，在風險評估的各項步驟中還應生成信息系統(tǒng)體系特征報告、威脅評估報告、脆弱性評估報告和安全措施分析報告等；基于這些報告，評估者應對安全措施提出建議；
c） 建立和維護風險信息庫：在b）的基礎上，應將風險評估中的信息資產(chǎn)、威脅、脆弱性、防護措施等評估項信息綜合到一個數(shù)據(jù)庫中進行管理；組織機構應當在后續(xù)的項目和工具中持續(xù)地維護該數(shù)據(jù)庫。