5.7.3.2 監(jiān)管控制

組織機(jī)構(gòu)應(yīng)接受和協(xié)助政府有關(guān)部門對不同安全保護(hù)級別的信息和信息系統(tǒng)實行不同強(qiáng)度的監(jiān)管
控制，不同安全等級應(yīng)有選擇地滿足以下要求的一項：

a） 自主保護(hù)：依照國家有關(guān)法規(guī)和GB17859-1999第一級的要求進(jìn)行自主保護(hù)；
b） 指導(dǎo)保護(hù)：在信息安全監(jiān)管職能部門指導(dǎo)下依照國家有關(guān)法規(guī)和GB17859-1999第二級的要求進(jìn)行自主保護(hù)；
c） 監(jiān)督保護(hù)：依照國家有關(guān)法規(guī)和GB17859-1999第三級的要求進(jìn)行自主保護(hù)，信息安全監(jiān)管職能部門對其進(jìn)行監(jiān)督、檢查；
d） 強(qiáng)制保護(hù)：依照國有關(guān)法規(guī)和GB17859-1999第四級的要求進(jìn)行自主保護(hù)，信息安全監(jiān)管職能部門對其進(jìn)行強(qiáng)制監(jiān)督、檢查；
e） ?？乇Ｗo(hù)：依照國家有關(guān)法規(guī)和GB17859-1999第五級的要求進(jìn)行自主保護(hù)，國家指定專門部門、專門機(jī)構(gòu)進(jìn)行專門監(jiān)督。


5.7.4 責(zé)任認(rèn)定

5.7.4.1 審計結(jié)果的責(zé)任認(rèn)定

對審計結(jié)果的責(zé)任認(rèn)定，不同安全等級應(yīng)有選擇地滿足以下要求的一項：

a） 明確審計結(jié)果的責(zé)任：對于5.7.1、5.7.2、5.7.3審計及監(jiān)管過程發(fā)現(xiàn)的問題應(yīng)限期解決，同時要認(rèn)定技術(shù)責(zé)任和管理責(zé)任，明確責(zé)任當(dāng)事人，會同有關(guān)部門提出問題解決辦法和責(zé)任處理意見；
b） 明確審計結(jié)果中的領(lǐng)導(dǎo)責(zé)任：在a）的基礎(chǔ)上，應(yīng)對審計及監(jiān)管過程發(fā)現(xiàn)的問題認(rèn)定相關(guān)領(lǐng)導(dǎo)者的責(zé)任，組織機(jī)構(gòu)領(lǐng)導(dǎo)層應(yīng)就此提出問題解決辦法和責(zé)任處理意見，以及監(jiān)督問題解決情況；
c） 明確審計結(jié)果處理的復(fù)查責(zé)任：在b）的基礎(chǔ)上，應(yīng)對審計及監(jiān)管過程發(fā)現(xiàn)問題的處理結(jié)果進(jìn)行必要的復(fù)查，并明確進(jìn)行審計及監(jiān)管復(fù)查的期限和責(zé)任。


5.7.4.2 審計及監(jiān)管者責(zé)任的認(rèn)定

對審計及監(jiān)管者責(zé)任的認(rèn)定，不同安全等級應(yīng)有選擇地滿足以下要求的一項：

a） 按規(guī)定要求定期審計的責(zé)任：審計及監(jiān)管者應(yīng)按有關(guān)監(jiān)督和檢查的規(guī)定定期進(jìn)行審計，逾期未進(jìn)行審計及監(jiān)管，使本應(yīng)審計的問題因未審計而造成信息系統(tǒng)損失，應(yīng)承擔(dān)相應(yīng)的責(zé)任；
b） 審計及監(jiān)管不得力的責(zé)任：在a）的基礎(chǔ)上，審計及監(jiān)管者雖能夠按有關(guān)監(jiān)督和檢查的規(guī)定進(jìn)行審計，但因未能及時發(fā)現(xiàn)本應(yīng)審計出問題而造成信息系統(tǒng)損失的，應(yīng)承擔(dān)相應(yīng)的責(zé)任；
c） 審計結(jié)果處理的跟蹤責(zé)任：在b）的基礎(chǔ)上，審計及監(jiān)管者應(yīng)對審計及監(jiān)管過程發(fā)現(xiàn)問題的處理結(jié)果進(jìn)行必要的跟蹤檢查直至問題的解決，如因未進(jìn)行跟蹤檢查而造成損失的，應(yīng)承擔(dān)相應(yīng)的責(zé)任。


5.8 生存周期管理

5.8.1 規(guī)劃和立項管理

5.8.1.1 系統(tǒng)規(guī)劃要求

對系統(tǒng)規(guī)劃要求，不同安全等級至少應(yīng)滿足以下要求的一項或多項：

a） 系統(tǒng)建設(shè)和發(fā)展計劃：組織機(jī)構(gòu)信息系統(tǒng)的管理者應(yīng)對信息系統(tǒng)的建設(shè)和改造，以及近期和遠(yuǎn)期的發(fā)展制定工作計劃，并應(yīng)得到組織機(jī)構(gòu)管理層的批準(zhǔn)；
b） 信息系統(tǒng)安全策略規(guī)劃：在a）的基礎(chǔ)上，應(yīng)制定安全策略規(guī)劃并得到組織機(jī)構(gòu)管理層的批準(zhǔn)；安全策略規(guī)劃主要包括信息系統(tǒng)的總體安全策略、安全保障體系的安全技術(shù)框架和安全管理策略等；能夠為信息系統(tǒng)安全保障體系的規(guī)劃、建設(shè)和改造提供依據(jù)，使管理者和使用者都了解信息系統(tǒng)安全防護(hù)的基本原則和策略，知道應(yīng)采用的各種技術(shù)和管理措施對抗各種威脅；
c） 信息系統(tǒng)安全建設(shè)規(guī)劃：在b）的基礎(chǔ)上，在安全策略規(guī)劃的指導(dǎo)下，制定安全建設(shè)和安全改造的規(guī)劃，并應(yīng)得到組織機(jī)構(gòu)管理層的批準(zhǔn)；在統(tǒng)一規(guī)劃引導(dǎo)下，通過調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)、添加保護(hù)措施和改造應(yīng)用系統(tǒng)等，達(dá)到信息安全保障系統(tǒng)建設(shè)的要求，保證信息系統(tǒng)的正常運(yùn)行和組織機(jī)構(gòu)的業(yè)務(wù)穩(wěn)定發(fā)展。


5.8.1.2 系統(tǒng)需求的提出

對系統(tǒng)需求的提出，不同安全等級至少應(yīng)滿足以下要求的一項或多項：
a） 業(yè)務(wù)應(yīng)用的需求：信息系統(tǒng)應(yīng)用部門或業(yè)務(wù)部門需要開發(fā)新的業(yè)務(wù)應(yīng)用系統(tǒng)或更改已運(yùn)行的業(yè)務(wù)應(yīng)用系統(tǒng)時，應(yīng)分析該新業(yè)務(wù)將會產(chǎn)生的經(jīng)濟(jì)效益和社會效益，確定其重要性，并以書面形式提出申請；
b） 系統(tǒng)安全的需求：在a）的基礎(chǔ)上，信息系統(tǒng)的安全管理職能部門應(yīng)根據(jù)信息系統(tǒng)的安全狀況和存在隱患的分析，以及信息安全評估結(jié)果等提出加強(qiáng)系統(tǒng)安全的具體需求，并以書面形式提出申請。安全需求的分析和說明包括（但不限于）以下內(nèi)容：
——組織機(jī)構(gòu)的業(yè)務(wù)特點和需求；
——威脅、脆弱性和風(fēng)險的說明；
——安全的要求和保護(hù)目標(biāo)；
c） 系統(tǒng)規(guī)劃的需求：在b）的基礎(chǔ)上，信息系統(tǒng)的管理者應(yīng)根據(jù)信息系統(tǒng)安全建設(shè)規(guī)劃的要求，提出當(dāng)前應(yīng)進(jìn)行安全建設(shè)和安全改造的具體需求，并以書面形式提出申請。


5.8.1.3 系統(tǒng)開發(fā)的立項

對系統(tǒng)開發(fā)的立項，不同安全等級至少應(yīng)滿足以下要求的一項或多項：

a） 系統(tǒng)開發(fā)立項的基本要求：接到系統(tǒng)需求的書面申請，必須經(jīng)過主管領(lǐng)導(dǎo)的審批，或者經(jīng)過管理層的討論批準(zhǔn)，才能正式立項；
b） 可行性論證要求：對于規(guī)模較大的項目，接到系統(tǒng)需求的書面申請，必須組織有關(guān)部門負(fù)責(zé)人和有關(guān)安全技術(shù)專家進(jìn)行可行性論證，通過論證后由主管領(lǐng)導(dǎo)審批，或者經(jīng)過管理層的討論批準(zhǔn)，才能正式立項；
c） 系統(tǒng)安全性評價要求：在b）的基礎(chǔ)上，對于重要的項目，接到系統(tǒng)需求的書面申請，必須組織有關(guān)部門負(fù)責(zé)人和有關(guān)安全技術(shù)專家進(jìn)行項目安全性評價，在確認(rèn)項目安全性符合要求后由主管領(lǐng)導(dǎo)審批，或者經(jīng)過管理層的討論批準(zhǔn)，才能正式立項。


5.8.2 建設(shè)過程管理

5.8.2.1 建設(shè)項目準(zhǔn)備

對建設(shè)項目準(zhǔn)備，不同安全等級至少應(yīng)滿足以下要求的一項或多項：

a） 確定項目負(fù)責(zé)人：對信息系統(tǒng)建設(shè)和改造項目應(yīng)明確指定項目負(fù)責(zé)人，監(jiān)督和管理項目的全
過程；
b） 制定項目實施計劃：在a）的基礎(chǔ)上，應(yīng)制定詳細(xì)的項目實施計劃，作為項目管理過程的依據(jù)；
c） 制定監(jiān)理管理制度：在b）的基礎(chǔ)上，要求將安全工程項目過程有效程序化；建立工程實施監(jiān)理管理制度；應(yīng)明確指定項目實施監(jiān)理負(fù)責(zé)人。


5.8.2.2 工程項目外包要求

對工程項目外包要求，不同安全等級至少應(yīng)滿足以下要求的一項或多項：

a） 具有服務(wù)資質(zhì)的廠商：對信息系統(tǒng)工程項目外包，應(yīng)選擇具有服務(wù)資質(zhì)的信譽(yù)較好的廠商，要求其已獲得國家主管部門的資質(zhì)認(rèn)證并取得許可證書、能有效實施安全工程過程、有成功的實施案例；
b） 可信的具有服務(wù)資質(zhì)的廠商：在a）的基礎(chǔ)上，對重要的信息系統(tǒng)工程項目外包，應(yīng)在主管部門指定或特定范圍內(nèi)選擇具有服務(wù)資質(zhì)的信譽(yù)較好的廠商，并應(yīng)經(jīng)實踐證明是安全可靠的廠商；
c） 對項目的保護(hù)和控制程序：在b）的基礎(chǔ)上，對應(yīng)廢止和暫停的項目，要確保相關(guān)的系統(tǒng)設(shè)計、文檔、代碼等的安全；對應(yīng)銷毀過程要進(jìn)行安全控制；還應(yīng)制定控制程序?qū)椖窟M(jìn)行保護(hù)，包括：
——代碼的所有權(quán)和知識產(chǎn)權(quán)；
——軟件開發(fā)過程的質(zhì)量控制要求；
——代碼質(zhì)量檢測要求；
——在安裝之前進(jìn)行測試以檢測特洛伊代碼；
d） 工程項目外包的限制：在c）的基礎(chǔ)上，對于安全保護(hù)等級較高的信息系統(tǒng)工程項目，一般不應(yīng)采取工程項目外包方式。


5.8.2.3 自行開發(fā)環(huán)境控制

對自行開發(fā)環(huán)境控制，不同安全等級至少應(yīng)滿足以下要求的一項或多項：

a） 開發(fā)環(huán)境與運(yùn)行環(huán)境物理分開：對自行開發(fā)信息系統(tǒng)的建設(shè)和改造項目時，應(yīng)明確要求開發(fā)環(huán)境與實際運(yùn)行環(huán)境做到物理分開，建立完全獨(dú)立的兩個環(huán)境；開發(fā)及測試活動也應(yīng)盡可能分開；
b） 系統(tǒng)開發(fā)文檔和軟件包的控制：在a）的基礎(chǔ)上，系統(tǒng)開發(fā)文檔應(yīng)當(dāng)受到保護(hù)和控制；必要時，經(jīng)管理層的批準(zhǔn)，才允許使用系統(tǒng)開發(fā)文檔；系統(tǒng)開發(fā)文檔的訪問在物理或邏輯上應(yīng)當(dāng)與予控制；一般不鼓勵對非自行開發(fā)的軟件包進(jìn)行修改，必須改動時應(yīng)注意：
——內(nèi)置的控制措施和整合過程被損害的風(fēng)險；
——由于軟件的改動對將來的維護(hù)帶來影響；
——應(yīng)保留原始軟件，并在完全一樣的復(fù)制件上進(jìn)行改動；
——所有的改動應(yīng)經(jīng)過充分的測試并形成文件，以便必要時用于將來的軟件升級；
c） 對程序資源庫的控制：在b）的基礎(chǔ)上，為了減少計算機(jī)程序被破壞的可能性，應(yīng)嚴(yán)格控制對程序資源庫的訪問；至少可以采用以下控制措施：
—— 程序資源庫不應(yīng)被保存在運(yùn)行系統(tǒng)中；
—— 技術(shù)開發(fā)人員不應(yīng)具有對程序資源庫不受限制的訪問權(quán)；
—— 程序源庫的更新和向程序員發(fā)布的程序源應(yīng)經(jīng)授權(quán)；
—— 應(yīng)保留程序的所有版本，程序清單應(yīng)被保存在一個安全的環(huán)境中；
—— 應(yīng)保存對所有程序資源庫訪問的審計記錄；
d） 系統(tǒng)開發(fā)保密性的控制：在c）的基礎(chǔ)上，對于安全保護(hù)等級較高的信息系統(tǒng)建設(shè)項目及涉密項目，應(yīng)對開發(fā)全過程采取相應(yīng)的保密措施，對參與開發(fā)的有關(guān)人員進(jìn)行保密教育和管理。


5.8.2.4 安全產(chǎn)品使用要求

a） 信息安全產(chǎn)品使用分級管理：信息安全產(chǎn)品包括構(gòu)成信息系統(tǒng)安全保護(hù)功能的信息技術(shù)硬件、軟件、固件設(shè)備，以及安全檢查、檢測驗證工具等，應(yīng)按安全等級標(biāo)準(zhǔn)要求進(jìn)行設(shè)計開發(fā)和檢測驗證；三級以上安全產(chǎn)品實行定點生產(chǎn)備案和出口實行審批制度；信息系統(tǒng)使用的信息安全產(chǎn)品應(yīng)按照相應(yīng)的安全保護(hù)等級的要求選擇相應(yīng)等級的產(chǎn)品。

5.8.2.5 建設(shè)項目測試驗收

對建設(shè)項目測試驗收要求，不同安全等級至少應(yīng)滿足以下要求的一項或多項：

a） 功能和性能測試要求：應(yīng)明確對信息系統(tǒng)建設(shè)和改造項目進(jìn)行功能及性能測試，保證信息系統(tǒng)建設(shè)項目的可用性；進(jìn)行必要的安全性測試；應(yīng)指定項目測試驗收負(fù)責(zé)人；
b） 安全性測試要求：在a）的基礎(chǔ)上，應(yīng)明確信息系統(tǒng)建設(shè)和改造項目的安全系統(tǒng)需要進(jìn)行安全測試驗收，并規(guī)定安全測試驗收負(fù)責(zé)人；測試驗收前，應(yīng)制訂測試和接收標(biāo)準(zhǔn)，并在接收前對系統(tǒng)進(jìn)行測試；管理者應(yīng)確保新系統(tǒng)的接收要求和標(biāo)準(zhǔn)被清晰定義并文檔化；對安全系統(tǒng)的測試至少包括：
——對組成系統(tǒng)的所有部件進(jìn)行安全性測試；
——對系統(tǒng)進(jìn)行集成性安全測試；
——對業(yè)務(wù)應(yīng)用進(jìn)行安全測試等；
c） 進(jìn)一步的驗收要求：在c）的基礎(chǔ)上，在信息系統(tǒng)建設(shè)和改造項目驗收時至少還應(yīng)考慮：
——性能和計算機(jī)容量的要求；
——錯誤恢復(fù)和重啟程序，以及應(yīng)急計劃；
——制定并測試日常的操作程序以達(dá)到規(guī)定的標(biāo)準(zhǔn)；
——實施業(yè)經(jīng)同意的安全控制措施；
——有效的指南程序；
——已經(jīng)考慮了新系統(tǒng)對組織機(jī)構(gòu)的整體安全產(chǎn)生影響的證據(jù)；
——操作和使用新系統(tǒng)的培訓(xùn)。


5.8.3 系統(tǒng)啟用和終止管理

5.8.3.1 新系統(tǒng)啟用管理

對新的信息系統(tǒng)或子系統(tǒng)、信息系統(tǒng)設(shè)備啟用的管理，不同安全等級至少應(yīng)滿足以下要求的一項或多項：

a） 新系統(tǒng)啟用的申報和審批：在新的信息系統(tǒng)或子系統(tǒng)、信息系統(tǒng)設(shè)備在啟用以前，應(yīng)經(jīng)過正式測試驗收，由使用者或管理者提出申請，經(jīng)過相應(yīng)領(lǐng)導(dǎo)審批才能正式投入使用，具體程序按照有關(guān)主管部門的規(guī)定執(zhí)行；
b） 新系統(tǒng)啟用前的試運(yùn)行：在a）的基礎(chǔ)上，應(yīng)進(jìn)行一定期限的試運(yùn)行，并得到相應(yīng)領(lǐng)導(dǎo)和技術(shù)負(fù)責(zé)人認(rèn)可才能正式投入使用，并形成文檔備案；
c） 新系統(tǒng)的安全評估：在b）的基礎(chǔ)上，組織有關(guān)管理者、技術(shù)負(fù)責(zé)人、用戶和安全專家，對新的信息系統(tǒng)或子系統(tǒng)、信息系統(tǒng)設(shè)備的試運(yùn)行進(jìn)行專項安全評估，得到認(rèn)可并形成文檔備案才能正式投入使用；
d） 新系統(tǒng)運(yùn)行的審計跟蹤：在c）的基礎(chǔ)上，在任何新的信息系統(tǒng)或子系統(tǒng)、信息系統(tǒng)設(shè)備正式投入使用的一定時間內(nèi)，應(yīng)進(jìn)行審計跟蹤，定期對審計結(jié)果做出風(fēng)險評價，對安全進(jìn)行確認(rèn)以決定是否能夠繼續(xù)運(yùn)行，并形成文檔備案。


5.8.3.2 終止運(yùn)行管理

對現(xiàn)有信息系統(tǒng)或子系統(tǒng)、信息系統(tǒng)設(shè)備終止運(yùn)行管理，不同安全等級至少應(yīng)滿足以下要求的一項或多項：

a） 終止運(yùn)行的申報和審批：任何現(xiàn)有信息系統(tǒng)或子系統(tǒng)、信息系統(tǒng)設(shè)備需要終止運(yùn)行時，應(yīng)由使用者或管理者提出申請并說明原因及采取的保護(hù)措施，經(jīng)過相應(yīng)領(lǐng)導(dǎo)審批才能正式終止運(yùn)行，具體程序按照有關(guān)主管部門的規(guī)定執(zhí)行；
b） 終止運(yùn)行的信息保護(hù)：在a）的基礎(chǔ)上，在任何新的信息系統(tǒng)或子系統(tǒng)、信息系統(tǒng)設(shè)備需要終止運(yùn)行以前，應(yīng)進(jìn)行必要數(shù)據(jù)和軟件備份，對終止運(yùn)行的設(shè)備進(jìn)行數(shù)據(jù)清除，并得到相應(yīng)領(lǐng)導(dǎo)和技術(shù)負(fù)責(zé)人認(rèn)可才能正式終止運(yùn)行，并形成文檔備案；
c） 終止運(yùn)行的安全保護(hù)：在b）的基礎(chǔ)上，應(yīng)采取必要的安全措施，并進(jìn)行數(shù)據(jù)和軟件備份，對終止運(yùn)行的設(shè)備進(jìn)行不可恢復(fù)的數(shù)據(jù)清除，如果存儲設(shè)備損壞則必須采取銷毀措施，在得到相應(yīng)領(lǐng)導(dǎo)和技術(shù)負(fù)責(zé)人認(rèn)可才能正式終止運(yùn)行，并形成文檔備案。


6 信息系統(tǒng)安全管理分等級要求

6.1 第一級：用戶自主保護(hù)級

6.1.1 管理目標(biāo)和范圍

本級為用戶自主保護(hù)級，實施基本的管理，進(jìn)行自主保護(hù)。適用于一般的信息和信息系統(tǒng)，其受到破壞后，會對公民、法人和其他組織的權(quán)益有一定影響，但不危害國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益。本級管理要求達(dá)到具有初步的安全管理措施，建立基本的信息系統(tǒng)管理制度和信息系統(tǒng)人員管理制度，具有自主訪問控制的措施和身份鑒別功能，對用戶自身所創(chuàng)建的數(shù)據(jù)信息進(jìn)行安全保護(hù)，要求具有保護(hù)數(shù)據(jù)信息和系統(tǒng)的完整性不受破壞的措施，能夠保證被授權(quán)的用戶隨時可以訪問信息。通過管理活動保證信息系統(tǒng)安全保護(hù)等級達(dá)到GB17859-1999的本級要求。（見5.1.1.1a））

6.1.2 政策和制度要求

本級要求如下：

a） 總體安全管理策略，應(yīng)包括基本的信息安全管理策略，由安全管理人員為主制定，安全管理策略文檔應(yīng)由分管信息安全工作的負(fù)責(zé)人簽發(fā)，并向信息系統(tǒng)的用戶傳達(dá)；（見5.1.1.2a），5.1.1.3a），5.1.1.4a））
b） 安全管理規(guī)章制度，應(yīng)包括基本的安全管理制度和操作規(guī)程；由安全管理人員起草，分管信息安全工作的負(fù)責(zé)人審批發(fā)布；（見5.1.2.1a），5.1.2.2a））
c） 策略與制度文檔管理，由分管信息安全的負(fù)責(zé)人和安全管理人員負(fù)責(zé)文檔的評審和修訂；策略與制度文檔由專人保管。（見5.1.3.1a），5.1.3.2a））


6.1.3 機(jī)構(gòu)和人員管理要求

本級要求如下：

a） 組織機(jī)構(gòu)應(yīng)在管理層中有一人分管信息系統(tǒng)安全工作，并為信息系統(tǒng)的安全管理配備獨(dú)立的安全管理人員；（見5.2.1.1a））
b） 對人員的管理包括，安全管理人員可以由網(wǎng)絡(luò)管理人員兼任；對關(guān)鍵崗位應(yīng)制定基本的管理要求；對人員錄用應(yīng)進(jìn)行簡歷和專業(yè)能力檢查；對人員離崗立即中止所有訪問，收回證件、密鑰等；定期對各個崗位人員進(jìn)行安全認(rèn)知技能的考核；對各類第三方人員簽署有關(guān)安全責(zé)任的合同或保密協(xié)議，進(jìn)入辦公區(qū)域應(yīng)劃定范圍，進(jìn)入計算機(jī)房需要得到批準(zhǔn)，進(jìn)行邏輯訪問時應(yīng)劃定范圍并經(jīng)過批準(zhǔn)，且有人陪同；（見5.2.3.1a），5.2.3.2a），5.2.3.3a），5.2.3.4a），5.2.3.5a），5.2.3.6a））
c） 組織機(jī)構(gòu)應(yīng)對員工進(jìn)行信息安全及其責(zé)任的應(yīng)知應(yīng)會的教育；應(yīng)聽取信息安全專家的建議。（見5.2.4.1a），5.2.4.2a））