6.3 第三級：安全標(biāo)記保護(hù)級

6.3.1 管理目標(biāo)和范圍

本級為安全標(biāo)記保護(hù)級，實(shí)施制度化管理，進(jìn)行監(jiān)督保護(hù)。適用于涉及國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息和信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益造成較大損害。在實(shí)現(xiàn)第二級管理目標(biāo)的基礎(chǔ)上，本級管理要求達(dá)到具有完好定義的安全管理措施，還應(yīng)建立等級保護(hù)產(chǎn)品采購與使用等完善的管理制度；要求信息系統(tǒng)的用戶明確安全責(zé)任；要求能夠保護(hù)核心計算環(huán)境、網(wǎng)絡(luò)基礎(chǔ)設(shè)施與邊界；具有較嚴(yán)格的用戶權(quán)限與訪問控制措施和防止信息竊取的措施，較好的保護(hù)重要信息及其處理方法的準(zhǔn)確性和完整性；具有較好的監(jiān)控措施（審記、異常檢測）和基本的響應(yīng)與恢復(fù)措施；明確規(guī)定系統(tǒng)日志的檢查、系統(tǒng)穿透性測試和對內(nèi)與對外的安全審計。通過管理活動保證信息系統(tǒng)達(dá)到GB17859-1999的本級要求。（見5.1.1.1c））

6.3.2 政策和制度要求

在滿足第二級的管理要求的基礎(chǔ)上，本級要求如下：

a） 總體安全管理策略，應(yīng)包括建立體系化的信息安全管理策略，由信息安全領(lǐng)導(dǎo)小組組織制定，組織機(jī)構(gòu)負(fù)責(zé)人簽發(fā)，文檔應(yīng)注明發(fā)布范圍，并有收發(fā)文登記；（見5.1.1.2c），5.1.1.3c），5.1.1.4c））
b） 安全管理規(guī)章制度，應(yīng)包括體系化的安全管理制度，由信息安全職能部門負(fù)責(zé)制訂，由信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)人審批發(fā)布，應(yīng)注明發(fā)布范圍并有收發(fā)文登記；（見5.1.2.1c），5.1.2.2c））
c） 策略與制度文檔管理，應(yīng)由信息安全領(lǐng)導(dǎo)小組和信息安全職能部門負(fù)責(zé)文檔的評審和修訂；限定借閱范圍，并經(jīng)過相應(yīng)級別負(fù)責(zé)人審批和登記。（見5.1.3.1c），5.1.3.2c））


6.3.3 機(jī)構(gòu)和人員管理要求

在滿足第二級的管理要求的基礎(chǔ)上，本級要求如下：

a） 應(yīng)成立信息安全領(lǐng)導(dǎo)小組，領(lǐng)導(dǎo)全組織機(jī)構(gòu)的信息安全管理工作；（見5.2.1.1c），5.2.1.2a），5.2.1.3b））
b） 設(shè)立信息系統(tǒng)安全機(jī)制集中管理機(jī)構(gòu)，接受管理信息安全工作的職能部門領(lǐng)導(dǎo)，配備必要的領(lǐng)導(dǎo)和技術(shù)管理人員；負(fù)責(zé)信息系統(tǒng)安全的集中控制管理，行使防范與保護(hù)、監(jiān)控與檢查、響應(yīng)與處置職能，統(tǒng)一管理信息系統(tǒng)的安全，應(yīng)統(tǒng)一進(jìn)行信息系統(tǒng)安全機(jī)制的配置與管理；應(yīng)匯集各種安全機(jī)制所獲取的與系統(tǒng)安全運(yùn)行有關(guān)的信息；根據(jù)應(yīng)急處理預(yù)案作出快速處理；應(yīng)對安全事件和處理結(jié)果進(jìn)行管理；建立安全管理控制平臺，完善管理信息系統(tǒng)安全運(yùn)行的技術(shù)手段；負(fù)責(zé)接受和配合政府有關(guān)部門的信息安全監(jiān)管工作；（見5.2.2.1a），5.2.2.2a））
c） 人員管理，要求安全管理人員不可兼任；堅持關(guān)鍵崗位人員“權(quán)限分散、不得交叉覆蓋”的原則；重要部位的人員錄用可從內(nèi)部符合條件人員選拔；涉密人員調(diào)離應(yīng)進(jìn)行離崗審計和經(jīng)過脫密；對關(guān)鍵崗位人員的工作進(jìn)行安全管理有效性檢查；在重要區(qū)域第三方人員訪問應(yīng)有書面申請、批準(zhǔn)和過程記錄，有專人全程陪同，并進(jìn)行審計；（見5.2.3.1c），5.2.3.2c），5.2.3.3c），5.2.3.4c），5.2.3.5c），5.2.3.6b））
d） 教育和培訓(xùn)要求，針對不同崗位進(jìn)行安全策略和技術(shù)要求等不同培訓(xùn)；對不同崗位制定和實(shí)施安全培訓(xùn)計劃，并對安全培訓(xùn)計劃進(jìn)行維護(hù)和評估；對信息安全專家提供信息應(yīng)告知其敏感性和保密性，并采取必要的安全措施，保證提供的信息在安全可控的范圍內(nèi)。（見5.2.4.1c），5.2.4.2b））


6.3.4 風(fēng)險管理要求

在滿足第二級的管理要求的基礎(chǔ)上，本級要求如下：

a） 風(fēng)險管理要求和策略，應(yīng)采用規(guī)范方法進(jìn)行評估；應(yīng)建立風(fēng)險管理的監(jiān)督機(jī)制和管理程序；（見5.3.1.1c），5.3.1.2b））
b） 風(fēng)險分析和評估要求，通過對信息系統(tǒng)每類資產(chǎn)的識別，對信息系統(tǒng)的體系特征進(jìn)行描述；根據(jù)威脅源在保密性、完整性或可用性等方面造成損害，對威脅威進(jìn)行詳細(xì)分析；應(yīng)對信息系統(tǒng)的脆弱性進(jìn)行制度化的測試和分析；在進(jìn)行全面的風(fēng)險評價基礎(chǔ)上，建立和維護(hù)風(fēng)險信息庫；（見5.3.2.1b），5.3.2.2c），5.3.2.3c），5.3.2.4c））
c） 風(fēng)險處理和減緩要求，根據(jù)風(fēng)險評估的結(jié)果決定信息安全的控制措施，通過綜合分析形成體系化的防護(hù)控制系統(tǒng)；（見5.3.3.1c））
d） 基于風(fēng)險的決策要求，對信息系統(tǒng)安全風(fēng)險實(shí)施二次評估，驗(yàn)證防護(hù)措施的有效性；由機(jī)構(gòu)高層管理決定風(fēng)險的接受，應(yīng)采取相應(yīng)的風(fēng)險規(guī)避措施，控制信息系統(tǒng)的運(yùn)行；（見5.3.4.1c），5.3.4.2b））
e） 風(fēng)險評估的管理要求，涉及評估的資料只能存放指定計算機(jī)內(nèi)，不得帶出指定區(qū)域；進(jìn)行技術(shù)測試可由本機(jī)構(gòu)人員按技術(shù)方案進(jìn)行操作，評估機(jī)構(gòu)技術(shù)人員進(jìn)行場外指導(dǎo)。（見5.3.5.1b），5.3.5.2b），5.3.5.3c），5.3.5.4c））


6.3.5 環(huán)境和資源管理要求

在滿足第二級的管理要求的基礎(chǔ)上，本級要求如下：

a） 環(huán)境安全管理要求，對物理環(huán)境中不同安全保護(hù)等級的安全區(qū)域進(jìn)行標(biāo)記管理；對出入標(biāo)記安全區(qū)的員工驗(yàn)證標(biāo)記，對出入安全區(qū)的活動進(jìn)行監(jiān)視和記錄；所有物理設(shè)施要設(shè)置安全標(biāo)記；設(shè)立門禁設(shè)施的監(jiān)控和記錄，應(yīng)有防止繞過門禁設(shè)施的控制措施；應(yīng)規(guī)定工作人員離開座位的要求；信息系統(tǒng)的物理環(huán)境安全方面的設(shè)施應(yīng)達(dá)到GB/T 20271-2006中6.3.1的有關(guān)要求；（見5.4.1.1c），5.4.1.2c），5.4.1.3b））
b） 資源管理要求，業(yè)務(wù)應(yīng)用系統(tǒng)應(yīng)在資產(chǎn)清單中體現(xiàn)，包括每個業(yè)務(wù)應(yīng)用系統(tǒng)的功能作用、業(yè)務(wù)流程和數(shù)據(jù)流程，以及其中資產(chǎn)擁有權(quán)、責(zé)任人、安全分類以及資產(chǎn)所在的位置等；以業(yè)務(wù)應(yīng)用為主線描述信息資產(chǎn)體系框架；對重要介質(zhì)的數(shù)據(jù)和軟件應(yīng)進(jìn)行完整性檢查，必要時可以加密存儲；對各種資產(chǎn)進(jìn)行全面管理，提高資產(chǎn)安全性和使用效率；建立資產(chǎn)管理登記機(jī)制。（見5.4.2.1c），5.4.2.2c），5.4.2.3c），5.4.2.4c））


6.3.6 操作和維護(hù)管理要求

在滿足第二級的管理要求的基礎(chǔ)上，本級要求如下：

a） 用戶管理要求，應(yīng)對重要業(yè)務(wù)用戶的列出清單，說明權(quán)限，開啟審計；在關(guān)鍵部位，對系統(tǒng)用戶任何操作必須兩人在場，并產(chǎn)生審計記錄；規(guī)定普通的重要業(yè)務(wù)應(yīng)用的要求；在關(guān)鍵部位，一般不允許設(shè)置外部用戶和臨時用戶；（見5.5.1.1c），5.5.1.2c），5.5.1.3c），.5.1.4c），
5.5.1.5c））
b） 運(yùn)行操作管理要求包括，服務(wù)器管理主要包括對系統(tǒng)配置和服務(wù)設(shè)定應(yīng)根據(jù)安全管理機(jī)構(gòu)的統(tǒng)一安全策略結(jié)合應(yīng)用需求進(jìn)行并定期檢查；重要部位終端計算機(jī)和便攜機(jī)要求啟用兩個以上技術(shù)組合來進(jìn)行身份鑒別，對拆機(jī)箱和接入系統(tǒng)做出管理規(guī)定；網(wǎng)絡(luò)及安全設(shè)備應(yīng)通過安全機(jī)制集中管理統(tǒng)一控制；關(guān)鍵的業(yè)務(wù)應(yīng)用操作應(yīng)有2人同時在場或同時操作，并進(jìn)行審計；
對正式運(yùn)行的信息系統(tǒng)的任何變更必須考慮全面安全事務(wù)一致性問題；對不同安全區(qū)域之間信息傳輸應(yīng)有明確的要求；（見5.5.2.1c），5.5.2.2b），5.5.2.3c），5.5.2.4c），5.5.2.5c），5.5.2.6c），
5.5.2.7c））
c） 運(yùn)行維護(hù)管理要求，應(yīng)使用規(guī)范的方法對信息系統(tǒng)的各個方面進(jìn)行風(fēng)險控制；對運(yùn)行狀況監(jiān)控要求安全機(jī)制集中管理控制；重要區(qū)域的軟件硬件維護(hù)要求對數(shù)據(jù)和軟件系統(tǒng)進(jìn)行必要的保護(hù)，并對維修備案；針對外部服務(wù)方訪問進(jìn)行風(fēng)險分析和評估；（見5.5.3.1c），5.5.3.2c），5.5.3.3c），5.5.3.4c））
d） 外包服務(wù)管理要求，關(guān)鍵的或涉密的業(yè)務(wù)應(yīng)用一般不應(yīng)采用外包服務(wù)方式；（見5.5.4.2c））
e） 有關(guān)安全機(jī)制保障要求包括，身份鑒別機(jī)制管理應(yīng)明確身份鑒別及認(rèn)證系統(tǒng)的管理維護(hù)的內(nèi)容和范圍；訪問控制策略管理應(yīng)根據(jù)需求確定訪問控制的跟蹤審計；系統(tǒng)安全管理應(yīng)基于系統(tǒng)加固措施和審計監(jiān)控；網(wǎng)絡(luò)安全管理應(yīng)基于審計和標(biāo)記，以及網(wǎng)絡(luò)安全審計人員的配置；
應(yīng)用系統(tǒng)安全管理應(yīng)基于標(biāo)記信息訪問控制，以及不同備份策略的制定；要求病毒防護(hù)采取集中實(shí)施和管理；應(yīng)對信息系統(tǒng)中以密碼為基礎(chǔ)的安全機(jī)制應(yīng)按國家密碼主管部門的規(guī)定管理；（見5.5.5.1c），5.5.5.2c），5.5.5.3c），5.5.5.4c），5.5.5.5c），5.5.5.6c），5.5.5.7b））
f） 安全機(jī)制集中管理，能夠?qū)W(wǎng)絡(luò)系統(tǒng)、安全設(shè)備、主機(jī)系統(tǒng)、重要應(yīng)用實(shí)施集中控管；建立一體化和開放性平臺，將多家不同類型的安全產(chǎn)品整合到一起，進(jìn)行統(tǒng)一的管理配置和監(jiān)控；能夠?qū)W(wǎng)絡(luò)系統(tǒng)、網(wǎng)絡(luò)安全設(shè)備以及主要應(yīng)用實(shí)施統(tǒng)一的安全策略、集中管理、集中審計；要求對安全機(jī)制整合，實(shí)現(xiàn)網(wǎng)絡(luò)異常流量監(jiān)控、安全事件監(jiān)控管理、脆弱性管理、安全策略管理、安全預(yù)警管理；主要工作方式包括自動處理、人工干預(yù)處理、遠(yuǎn)程處理、輔助決策分析處理、記錄和事后處理等。（見5.5.6.1a），5.5.6.2a），5.5.6.3a），5.5.6.4a））

6.3.7 業(yè)務(wù)連續(xù)性管理要求

在滿足第二級的管理要求的基礎(chǔ)上，本級要求如下：

a） 備份與恢復(fù)要求，數(shù)據(jù)備份和恢復(fù)策略要求采用熱備份方式；應(yīng)指定專人定期維護(hù)和檢查系統(tǒng)冗余運(yùn)行狀況，并限定系統(tǒng)切換的時間；應(yīng)維護(hù)檢查熱備份使用設(shè)備和系統(tǒng)冗余運(yùn)行狀況，確保需要接入和切換時系統(tǒng)能夠正常運(yùn)行；（見5.6.1.1c），5.6.1.2b））
b） 安全事件處理要求，明確安全事件管理責(zé)任，制定安全事件管理程序；安全事件報告和處理要求安全管理職能部門負(fù)責(zé)接報安全事件報告，并及時進(jìn)行處理；（見5.6.2.1c），5.6.2.2c））
c） 應(yīng)急處理要求，應(yīng)急處理和災(zāi)難恢復(fù)要求信息安全領(lǐng)導(dǎo)小組應(yīng)有人負(fù)責(zé)或指定專人負(fù)責(zé)應(yīng)急計劃和實(shí)施恢復(fù)計劃管理工作；信息系統(tǒng)安全機(jī)制集中管理機(jī)構(gòu)應(yīng)協(xié)助應(yīng)急處理小組負(fù)責(zé)具體落實(shí)；應(yīng)急計劃的實(shí)施保障要求有足夠資源的保證。（見5.6.3.1c），5.6.3.2a），5.6.3.3c））


6.3.8 監(jiān)督和檢查管理要求

在滿足第二級的管理要求的基礎(chǔ)上，本級要求如下：

a） 符合法律要求，加密控制規(guī)則應(yīng)符合國家有關(guān)法規(guī)的要求；對關(guān)鍵業(yè)務(wù)應(yīng)用，必要時應(yīng)要求必須使用具有自主知識產(chǎn)權(quán)的軟件，以保護(hù)關(guān)鍵業(yè)務(wù)應(yīng)用的安全；（見5.7.1.1c），5.7.1.2c），5.7.1.3a））
b） 依從性檢查要求，應(yīng)形成制度化的檢查和改進(jìn)；安全策略依從性檢查要求對機(jī)構(gòu)內(nèi)的所有領(lǐng)域內(nèi)的各個崗位應(yīng)進(jìn)行定期檢查；技術(shù)依從性檢查應(yīng)由有經(jīng)驗(yàn)的系統(tǒng)工程師手工或使用軟件工具進(jìn)行；（見5.7.2.1b），5.7.2.2b），5.7.2.3b））
c） 審計及監(jiān)管要求，應(yīng)對系統(tǒng)的審計的活動進(jìn)行規(guī)劃，系統(tǒng)審計過程控制應(yīng)要求審計的范圍應(yīng)經(jīng)過同意和得到控制；依照國家政策法規(guī)和技術(shù)及管理標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，信息安全監(jiān)管職能部門對其進(jìn)行監(jiān)督、檢查；（見5.7.3.1b），5.7.3.2c））
d） 責(zé)任認(rèn)定要求，應(yīng)對審計發(fā)現(xiàn)的問題認(rèn)定領(lǐng)導(dǎo)責(zé)任，領(lǐng)導(dǎo)層應(yīng)提出問題解決辦法和責(zé)任處理意見；對審計及監(jiān)管者應(yīng)對已審計過，但未能及時發(fā)現(xiàn)本應(yīng)審計出問題而造成信息系統(tǒng)損失的承擔(dān)責(zé)任。（見5.7.4.1b），5.7.4.2b））


6.3.9 生存周期管理要求

在滿足第二級的管理要求的基礎(chǔ)上，本級要求如下：

a） 規(guī)劃和立項(xiàng)管理，信息系統(tǒng)的管理者應(yīng)在安全策略規(guī)劃的指導(dǎo)下，制定安全建設(shè)和安全改造的規(guī)劃，并應(yīng)得到組織機(jī)構(gòu)管理層的批準(zhǔn)；信息系統(tǒng)的管理者應(yīng)根據(jù)信息系統(tǒng)安全建設(shè)規(guī)劃的要求，提出當(dāng)前應(yīng)進(jìn)行安全建設(shè)和安全改造的具體需求；對于重要的項(xiàng)目，必須安全性評
價，在確認(rèn)項(xiàng)目安全性符合要求后經(jīng)過管理層的討論批準(zhǔn)，才能正式立項(xiàng)；（見5.8.1.1c），5.8.1.2c），5.8.1.3c））
b） 建設(shè)過程管理，要求將信息系統(tǒng)建設(shè)項(xiàng)目過程有效程序化；建立工程實(shí)施監(jiān)理管理制度；應(yīng)明確指定項(xiàng)目實(shí)施監(jiān)理負(fù)責(zé)人；對工程項(xiàng)目外包要求對應(yīng)廢止和暫停的項(xiàng)目，要確保相關(guān)的系統(tǒng)設(shè)計、文檔、代碼等的安全；對應(yīng)銷毀過程要進(jìn)行安全控制；還應(yīng)制定控制程序進(jìn)行保護(hù)；對自行開發(fā)時應(yīng)當(dāng)嚴(yán)格控制對程序資源庫的訪問；對建設(shè)項(xiàng)目測試驗(yàn)收要求，除測試外還要全面檢查；（見5.8.2.1c），5.8.2.2c），5.8.2.3c），5.8.2.4a），5.8.2.5c））
c） 系統(tǒng)啟用和終止管理，要求新的信息系統(tǒng)或子系統(tǒng)、信息系統(tǒng)設(shè)備啟用應(yīng)進(jìn)行試運(yùn)行，并經(jīng)過專項(xiàng)安全評估得到認(rèn)可，才能正式投入使用；現(xiàn)有信息系統(tǒng)或子系統(tǒng)、信息系統(tǒng)設(shè)備需要終止運(yùn)行，應(yīng)采取必要的安全措施，進(jìn)行數(shù)據(jù)和軟件備份，對終止運(yùn)行的設(shè)備進(jìn)行不可恢復(fù)的數(shù)據(jù)清除，如果存儲設(shè)備損壞則必須采取銷毀措施，并得到相應(yīng)領(lǐng)導(dǎo)和技術(shù)負(fù)責(zé)人認(rèn)可才能正式終止運(yùn)行。（見5.8.3.1c），5.8.3.2c））


6.4 第四級：結(jié)構(gòu)化保護(hù)級

6.4.1 管理目標(biāo)和范圍

本級為結(jié)構(gòu)化保護(hù)級，實(shí)施規(guī)范化管理，進(jìn)行強(qiáng)制保護(hù)。適用于涉及國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益造成嚴(yán)重?fù)p害。在實(shí)現(xiàn)第三級管理目標(biāo)的基礎(chǔ)上，本級管理要求達(dá)到具有量化控制的安全管理措施，建立完善的信息系統(tǒng)安全管理制度；對關(guān)鍵的控制措施要根據(jù)其風(fēng)險制定嚴(yán)格測試計劃；對內(nèi)外明顯的風(fēng)險變化應(yīng)立即組織風(fēng)險評估；要求能夠保護(hù)核心的局域計算環(huán)境，具有可信的網(wǎng)絡(luò)基礎(chǔ)設(shè)施與邊界，具有嚴(yán)格的用戶權(quán)限與訪問控制措施；具有防止各種手段的信息泄漏和竊取措施，保證信息及其處理方法的準(zhǔn)確性和完整性；保證被授權(quán)的用戶隨時可以訪問信息，保證責(zé)任（抗抵賴性，對自己的行為負(fù)責(zé)），具有完善的監(jiān)控措施（強(qiáng)審記、異常檢測）和基本的響應(yīng)與恢復(fù)措施。通過定期的安全評估提示工作人員關(guān)注其相關(guān)安全責(zé)任；強(qiáng)制實(shí)施分權(quán)管理機(jī)制；提供可信設(shè)施管理；增強(qiáng)配置管理控制。保證系統(tǒng)具有強(qiáng)壯的抗?jié)B透能力。通過管理活動保證信息系統(tǒng)達(dá)到GB17859-1999的本級要求。（見5.1.1.1d））

6.4.2 政策和制度要求

在滿足第三級的管理要求的基礎(chǔ)上，本級要求如下：

a） 總體安全管理策略，應(yīng)包括強(qiáng)制保護(hù)的信息安全管理策略，由信息安全領(lǐng)導(dǎo)小組組織并提出指導(dǎo)思想，由信息安全職能部門指派專人負(fù)責(zé)制定強(qiáng)制保護(hù)的信息系統(tǒng)安全管理策略，必要時可征求信息安全監(jiān)管職能部門的意見；安全管理策略文檔應(yīng)注明密級，并在監(jiān)管部門備案；
（見5.1.1.2d），5.1.1.3d），5.1.1.4d））
b） 安全管理規(guī)章制度，應(yīng)包括制定強(qiáng)制保護(hù)的信息安全管理制度，應(yīng)由信息安全職能部門指派專人負(fù)責(zé)制訂信息系統(tǒng)安全管理制度，應(yīng)注明密級并控制發(fā)布范圍；（見5.1.2.1d），5.1.2.2d））
c） 策略與制度文檔管理，應(yīng)由信息安全領(lǐng)導(dǎo)小組和信息安全職能部門的專門人員負(fù)責(zé)文檔的評審和修訂，必要時可征求信息安全監(jiān)管職能部門的意見；對涉密文檔的保管應(yīng)按照有關(guān)涉密文檔管理規(guī)定進(jìn)行。（見5.1.3.1d），5.1.3.2d））


6.4.3 機(jī)構(gòu)和人員管理要求

在滿足第三級的管理要求的基礎(chǔ)上，本級要求如下：

a） 安全管理機(jī)構(gòu)要求，組織機(jī)構(gòu)主要負(fù)責(zé)人應(yīng)出任信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)人；（見5.2.1.1d），5.2.1.2a），5.2.1.3b））
b） 信息系統(tǒng)安全機(jī)制集中管理機(jī)構(gòu)要求對關(guān)鍵區(qū)域的安全運(yùn)行進(jìn)行管理，控制知曉范圍，對獲取的有關(guān)信息進(jìn)行相應(yīng)安全等級的保護(hù)；（見5.2.2.1a），5.2.2.2b））
c） 人員管理要求，關(guān)鍵區(qū)域或部位的安全管理人員應(yīng)選用精干內(nèi)行忠實(shí)可靠的人員；關(guān)鍵崗位人員處理重要事務(wù)或操作時應(yīng)保持二人同時在場，關(guān)鍵事務(wù)應(yīng)多人共管；應(yīng)對所有安全崗位人員實(shí)施全面的背景審查和管理控制；一般不允許第三方人員進(jìn)入機(jī)房或進(jìn)行邏輯訪問；（見
5.2.3.1d），5.2.3.2d），5.2.3.3d），5.2.3.4d），5.2.3.5d），5.2.3.6c））
d） 教育和培訓(xùn)要求，對所有員工的資質(zhì)進(jìn)行檢查和評估，使相應(yīng)的安全教育成為組織機(jī)構(gòu)工作計劃的一部分。（見5.2.4.1d），5.2.4.2b））