《信息安全技术 信息系统安全管理要求GB/T20269

5.2.1.2 信息安全领导小组

信息系统安全领导小组负责领导本组织机构的信息系统安全工作，至少应行使以下管理职能之一：

a） 安全管理的领导职能：根据国家和行业有关信息安全的政策、法律和法规，批准机构信息系统的安全策略和发展规划；确定各有关部门在信息系统安全工作中的职责，领导安全工作的实施；监督安全措施的执行，并对重要安全事件的处理进行决策；指导和检查信息系统安全职能部门及应急处理小组的各项工作；建设和完善信息系统安全的集中控管的组织体系和管理机制；

b） 保密监督的管理职能：在a）的基础上，对保密管理部门进行有关信息系统安全保密监督管理方面的指导和检查。

5.2.1.3 信息安全职能部门

信息安全职能部门在信息系统安全领导小组领导下，负责本组织机构信息系统安全的具体工作，至少应行使以下管理职能之一：

a） 基本的安全管理职能：根据国家和行业有关信息安全的政策法规，起草组织机构信息系统的安全策略和发展规划；管理机构信息系统安全日常事务，检查和指导下级单位信息系统安全工作；负责安全措施的实施或组织实施，组织并参加对安全重要事件的处理；监控信息系统安全总体状况，提出安全分析报告；指导和检查各部门和下级单位信息系统安全人员及要害岗位人员的信息系统安全工作；应与有关部门共同组成应急处理小组或协助有关部门建立应急处理小组实施相关应急处理工作；

b） 集中的安全管理职能：在a）的基础上，管理信息系统安全机制集中管理机构的各项工作，实现信息系统安全的集中控制管理；完成信息系统安全领导小组交办的工作，并向领导小组报告机构的信息系统安全工作。

5.2.2 安全机制集中管理机构

5.2.2.1 设置集中管理机构

信息系统安全机制集中管理机构（以下简称集中管理机构）既是技术实体，也是管理实体，应按照以下方式设立：

a） 集中管理机构人员和职责：应配备必要的领导和技术管理人员，应选用熟悉安全技术、网络技术、系统应用等方面技术人员，明确责任协同工作，统一管理信息系统的安全运行，进行安全机制的配置与管理，对与安全有关的信息进行汇集与分析，对与安全有关的事件进行响应与处置；应对分布在信息系统中有关的安全机制进行集中管理；应接受信息安全职能部门的直接领导。

5.2.2.2 集中管理机构职能

a） 信息系统安全运行的统一管理：集中管理机构主要行使以下技术职能：

——防范与保护：建立物理、支撑系统、网络、应用、管理等五个层面的安全控制机制，构成系统有机整体安全控制机制；统一进行信息系统安全机制的配置与管理，确保各个安全机制按照设计要求运行；

——监控与检查：对服务器、路由器、防火墙等网络部件、系统安全运行性状态、信息（包括有害内容）的监控和检查；汇集各种安全机制所获取的与系统安全运行有关的信息，对所获取的信息进行综合分析，及时发现系统运行中的安全问题和隐患，提出解决的对策和方法；

——响应与处置：事件发现、响应、处置、应急恢复，根据应急处理预案，作出快速处理；应对各种事件和处理结果有详细的记载并进行档案化管理，作为对后续事件分析的参考和可查性的依据；

——安全机制集中管理控制（详见5.5.6），完善管理信息系统安全运行的技术手段，进行信息系统安全的集中控制管理；

——负责接受和配合政府有关部门的信息安全监管工作；

b） 关键区域安全运行管理：在a）的基础上，集中管理机构对关键区域的安全运行进行管理，控制知晓范围，对获取的有关信息进行相应安全等级的保护；

c） 核心系统安全运行管理：在b）的基础上，集中管理机构应与有关业务应用的主管部门协调，定制更高安全级别的管理方式。

5.2.3 人员管理

5.2.3.1 安全管理人员配备

对安全管理人员配备的管理，不同安全等级应有选择地满足以下要求的一项：

a） 可配备兼职安全管理人员：安全管理人员可以由网络管理人员兼任；

b） 安全管理人员的兼职限制：安全管理人员不能兼任网络管理人员、系统管理员、数据库管理员等；

c） 配备专职安全管理人员：安全管理人员不可兼任，属于专职人员，应具有安全管理工作权限和能力；

d） 关键部位的安全管理人员：在c）的基础上，安全管理人员还应按照机要人员条件配备。

5.2.3.2 关键岗位人员管理

对信息系统关键岗位人员的管理，不同安全等级应满足以下要求的一项或多项：

a） 基本要求：应对安全管理员、系统管理员、数据库管理员、网络管理员、重要业务开发人员、系统维护人员、重要业务应用操作人员等信息系统关键岗位人员进行统一管理；允许一人多岗，但业务应用操作人员不能由其他关键岗位人员兼任；关键岗位人员应定期接受安全培训，加强安全意识和风险防范意识；

b） 兼职和轮岗要求：业务开发人员和系统维护人员不能兼任或担负安全管理员、系统管理员、数据库管理员、网络管理员、重要业务应用操作人员等岗位或工作；必要时关键岗位人员应采取定期轮岗制度；

c） 权限分散要求：在b）的基础上，应坚持关键岗位人员“权限分散、不得交叉覆盖”的原则，系统管理员、数据库管理员、网络管理员不能相互兼任岗位或工作；

d） 多人共管要求：在c）的基础上，关键岗位人员处理重要事务或操作时，应保持二人同时在场，关键事务应多人共管；

e） 全面控制要求：在d）的基础上，应采取对内部人员全面控制的安全保证措施，对所有岗位工作人员实施全面安全管理。

5.2.3.3 人员录用管理

对人员录用的管理，不同安全等级应有选择地满足以下要求的一项：

a） 人员录用的基本要求：对应聘者进行审查，确认其具有基本的专业技术水平，接受过安全意识教育和培训，能够掌握安全管理基本知识；对信息系统关键岗位的人员还应注重思想品质方面的考察；

b） 人员的审查与考核：在a）的基础上，应由单位人事部门进行人员背景、资质审查，技能考核等，合格者还要签署保密协议方可上岗；安全管理人员应具有基本的系统安全风险分析和评估能力；

c） 人员的内部选拔：在b）的基础上，重要区域或部位的安全管理人员一般可从内部符合条件人员选拔，应做到认真负责和保守秘密；

d） 人员的可靠性：在c）的基础上，关键区域或部位的安全管理人员应选用实践证明精干、内行、忠实、可靠的人员，必要时可按机要人员条件配备。

5.2.3.4 人员离岗

对人员离岗的管理，不同安全等级应有选择地满足以下要求的一项：

a） 离岗的基本要求：立即中止被解雇的、退休的、辞职的或其他原因离开的人员的所有访问权限；收回所有相关证件、徽章、密钥、访问控制标记等；收回机构提供的设备等；

b） 调离后的保密要求：在a）的基础上，管理层和信息系统关键岗位人员调离岗位，必须经单位人事部门严格办理调离手续，承诺其调离后的保密要求；

c） 离岗的审计要求：在b）的基础上，涉及组织机构管理层和信息系统关键岗位的人员调离单位，必须进行离岗安全审查，在规定的脱密期限后，方可调离；

d） 关键部位人员的离岗要求：在c）的基础上信息系统安全，关键部位的信息系统安全管理人员离岗，应按照机要人员管理办法办理。

5.2.3.5 人员考核与审查

对人员考核与审查的管理，不同安全等级应有选择地满足以下要求的一项：

a） 定期的人员考核：应定期对各个岗位的人员进行不同侧重的安全认知和安全技能的考核，作为人员是否适合当前岗位的参考；

b） 定期的人员审查：在a）的基础上，对关键岗位人员，应定期进行审查，如发现其违反安全规定，应控制使用；

c） 管理有效性的审查：在b）的基础上，对关键岗位人员的工作，应通过例行考核进行审查，保证安全管理的有效性；并保留审查结果；

d） 全面严格的审查：在c）的基础上，对所有安全岗位人员的工作，应通过全面考核进行审查，如发现其违反安全规定，应采取必要的应对措施。

5.2.3.6 第三方人员管理

对第三方人员的管理，不同安全等级应有选择地满足以下要求的一项：

a） 基本管理要求：应对硬件和软件维护人员，咨询人员，临时性的短期职位人员，以及辅助人员和外部服务人员等第三方人员签署包括不同安全责任的合同书或保密协议；规定各类人员的活动范围，进入计算机房需要得到批准，并有专人负责；第三方人员必须进行逻辑访问时，应划定范围并经过负责人批准，必要时应有人监督或陪同；

b） 重要区域管理要求：在重要区域，第三方人员必须进入或进行逻辑访问（包括近程访问和远程访问等）均应有书面申请、批准和过程记录，并有专人全程监督或陪同；进行逻辑访问应使用专门设置的临时用户，并进行审计；

c） 关键区域管理要求：在关键区域，一般不允许第三方人员进入或进行逻辑访问；如确有必要，除有书面申请外，可采取由机构内部人员带为操作的方式，对结果进行必要的过滤后再提供第三方人员，并进行审计；必要时对上述过程进行风险评估和记录备案，并对相应风险采取必要的安全补救措施。

5.2.4 教育和培训

5.2.4.1 信息安全教育

信息安全教育包括信息安全意识的培养教育和安全技术培训，不同安全等级应有选择地满足以下要求的一项：

a） 应知应会要求：应让信息系统相关员工知晓信息的敏感性和信息安全的重要性，认识其自身的责任和安全违例会受到纪律惩罚，以及应掌握的信息安全基本知识和技能等；

b） 有计划培训：在a）的基础上，应制定并实施安全教育和培训计划，培养信息系统各类人员安全意识，并提供对安全政策和操作规程的认知教育和训练等；

c） 针对不同岗位培训：在b）的基础上，针对不同岗位，制定不同的专业培训计划，包括安全知识、安全技术、安全标准、安全要求、法律责任和业务控制措施等；

d） 按人员资质要求培训：在c）的基础上，对所有工作人员的安全资质进行定期检查和评估，使相应的安全教育成为组织机构工作计划的一部分；

e） 培养安全意识自觉性：在d）的基础上，对所有工作人员进行相应的安全资质管理，并使安全意识成为所有工作人员的自觉存在。

5.2.4.2 信息安全专家

可邀请或聘用信息安全专家，不同安全等级应有选择地满足以下要求的一项：

a） 听取信息安全专家建议：听取信息安全专家对于组织机构的信息系统安全方面的建议；组织专家参与安全威胁的评估，提供安全控制措施的建议，进行信息安全有效性评判，对安全事件给予专业指导和原因调查等；

b） 对信息安全专家的管理：在a）的基础上，对于邀请或聘用信息安全专家可以提供必要的组织机构内部信息，同时应告知专家这些信息的敏感性和保密性，并应采取必要的安全措施，保证提供的信息在安全可控的范围内。

5.3 风险管理

5.3.1 风险管理要求和策略

5.3.1.1 风险管理要求

风险管理作为等级保护的手段，在保证信息等级系统的最低保护能力的基础上，可根据风险确定增加某些管理要求。对风险管理，不同安全等级应有选择地满足以下要求的一项：

a） 基本风险管理：组织机构应进行基本的风险管理活动，包括编制资产清单，对资产价值/重要性进行分析，对信息系统面临的威胁进行初步分析，通过工具扫描的方式对信息系统的脆弱性进行分析，以简易的方式分析安全风险、选择安全措施；

b） 定期风险评估：在a）的基础上，针对关键的系统资源进行定期风险分析和评估；产生风险分析报告并向管理层提交；

c） 规范风险评估：在b）的基础上，在风险管理中，使用规范方法和经过必要的工作流程，进行规范化的风险评估，产生风险分析报告和留存重要过程文档，并向管理层提交；

d） 独立审计的风险管理：在c）的基础上，建立风险管理体系文件；针对风险管理过程，实施独立审计，确保风险管理的有效性；

e） 全面风险管理：在d）的基础上，使风险管理成为信息系统安全管理的有机组成部分，贯穿信息系统安全管理的全过程，并具有可验证性。

5.3.1.2 风险管理策略

对风险管理策略，不同安全等级应有选择地满足以下要求的一项：

a） 基本的风险管理策略：应定期进行风险评估，安全风险分析和评估活动程序应至少包括信息安全风险管理和业务应用风险管理密切相关的内容，信息安全风险管理的基本观念和方法，以及风险管理的组织和资源保证等；

b） 风险管理的监督机制：在a）的基础上，应建立风险管理的监督机制，对所有风险管理相关过程的活动和影响进行评估和监控；应建立指导风险管理监督过程的指导性文档；

c） 风险评估的重新启动：在b）的基础上，应明确规定重新启动风险评估的条件，机构应能针对风险的变化重新启动风险评估。

5.3.2 风险分析和评估

5.3.2.1 资产识别和分析

对资产识别和分析，不同安全等级应有选择地满足以下要求的一项：

a） 信息系统的资产统计和分类：确定信息系统的资产范围，进行统计和编制资产清单（详见5.4.2.1），并进行资产分类和重要性标识；

b） 信息系统的体系特征描述：在a）的基础上，根据对信息系统的硬件、软件、系统接口、数据和信息、人员等方面的分析和识别，对信息系统的体系特征进行描述，至少应阐明信息系统的使命、边界、功能，以及系统和数据的关键性、敏感性等内容。

5.3.2.2 威胁识别和分析

对威胁的识别和分析，不同安全等级应有选择地满足以下要求的一项：

a） 威胁的基本分析：应根据以往发生的安全事件、外部提供的资料和积累的经验等，对威胁进行粗略的分析；

b） 威胁列表：在a）的基础上，结合业务应用、系统结构特点以及访问流程等因素，建立并维护威胁列表；由于不同业务系统面临的威胁是不同的，应针对每个或者每类资产有一个威胁列表；

c） 威胁的详细分析：在b）的基础上，考虑威胁源在保密性、完整性或可用性等方面造成损害，对威胁的可能性和影响等属性进行分析，从而得到威胁的等级；威胁等级也可通过综合威胁的可能性和强度的评价获得；

d） 使用检测工具捕捉攻击：在c）的基础上，对关键区域或部位进行威胁分析和评估，在业务应用许可并得到批准的条件下，可使用检测工具在特定时间捕捉攻击信息进行威胁分析。

5.3.2.3 脆弱性识别和分析

对脆弱性识别和分析，不同安全等级应有选择地满足以下要求的一项：

a） 脆弱性工具扫描：应通过扫描器等工具来获得对系统脆弱性的认识，包括对网络设备、主机设备、安全设备的脆弱性扫描，并编制脆弱性列表，作为系统加固、改进和安全项目建设的依据；可以针对资产组合、资产分类编制脆弱性列表和脆弱性检查表；

b） 脆弱性分析和渗透测试：在a）的基础上，脆弱性的人工分析至少应进行网络设备、安全设备以及主机系统配置检查、用户管理检查、系统日志和审计检查等；使用渗透测试应根据需要分别从组织机构的网络内部和网络外部选择不同的接入点进行；应了解测试可能带来的后果，并做好充分准备；针对不同的资产和资产组合，综合应用人工评估、工具扫描、渗透性测试等方法对系统的脆弱性进行分析和评估；对不同的方法和工具所得出的评估结果，应进行综合分析，从而得到脆弱性的等级；

c） 制度化脆弱性评估：在b）的基础上，坚持制度化脆弱性评估，应明确规定进行脆弱性评估的时间和系统范围、人员和责任、评估结果的分析和报告程序，以及报告中包括新发现的漏洞、已修补的漏洞、漏洞趋势分析等。

5.3.2.4 风险分析和评估要求

对风险分析和评估，不同安全等级应有选择地满足以下要求的一项：

a） 经验的风险评估：应由用户和部分专家通过经验来判断风险，并对风险进行评估，形成风险评估报告，其中必须包括风险级别、风险点等内容，并确定信息系统的安全风险状况；

b） 全面的风险评估：在a）的基础上，应采用多层面、多角度的系统分析方法，由用户和专家对资产、威胁和脆弱性等方面进行定性综合评估，建议处理和减缓风险的措施，形成风险评估报告；除风险状况外，在风险评估的各项步骤中还应生成信息系统体系特征报告、威胁评估报告、脆弱性评估报告和安全措施分析报告等；基于这些报告，评估者应对安全措施提出建议；

c） 建立和维护风险信息库：在b）的基础上，应将风险评估中的信息资产、威胁、脆弱性、防护措施等评估项信息综合到一个数据库中进行管理；组织机构应当在后续的项目和工具中持续地维护该数据库。

（编辑：威海站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!