信息系統(tǒng)安全管理要求GBT20269-2006參考模板

1、信息安全技術(shù) 信息系統(tǒng)安全管理要求GB/T20269-2006引 言 信息安全等級(jí)保護(hù)從與信息系統(tǒng)安全相關(guān)的物理層面、網(wǎng)絡(luò)層面、系統(tǒng)層面、應(yīng)用層面和管理層面對(duì)信息和信息系統(tǒng)實(shí)施分等級(jí)安全保護(hù)。管理層面貫穿于其他層面之中，是其他層面實(shí)施分等級(jí)安全保護(hù)的保證。本標(biāo)準(zhǔn)對(duì)信息和信息系統(tǒng)的安全保護(hù)提出了分等級(jí)安全管理的要求，闡述了安全管理要素及其強(qiáng)度，并將管理要求落實(shí)到信息安全等級(jí)保護(hù)所規(guī)定的五個(gè)等級(jí)上，有利于對(duì)安全管理的實(shí)施、評(píng)估和檢查。GB17859-1999中安全保護(hù)等級(jí)的劃分是根據(jù)對(duì)安全技術(shù)和安全風(fēng)險(xiǎn)控制的關(guān)系確定的，公通字200466號(hào)文件中安全等級(jí)的劃分是根據(jù)信息和信息系統(tǒng)受到破壞

2、后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成損害的程度確定的。兩者的共同點(diǎn)是：安全等級(jí)越高，發(fā)生的安全技術(shù)費(fèi)用和管理成本越高，從而預(yù)期能夠抵御的安全威脅越大，建立起安全信心越強(qiáng)，使用信息系統(tǒng)的風(fēng)險(xiǎn)越小。 本標(biāo)準(zhǔn)以安全管理要素作為描述安全管理要求的基本組件。安全管理要素是指，為實(shí)現(xiàn)信息系統(tǒng)安全等級(jí)保護(hù)所規(guī)定的安全要求，從管理角度應(yīng)采取的主要控制方法和措施。根據(jù)GB17859-1999對(duì)安全 保護(hù)等級(jí)的劃分，不同的安全保護(hù)等級(jí)會(huì)有不同的安全管理要求，可以體現(xiàn)在管理要素的增加和管理強(qiáng)度的增強(qiáng)兩方面。對(duì)于每個(gè)管理要素，根據(jù)特定情況分別列出不同的管理強(qiáng)度，最多分為5級(jí)，最少可不分級(jí)。在具

3、體描述中，除特別聲明之外，一般高級(jí)別管理強(qiáng)度的描述都是在對(duì)低級(jí)別描述基礎(chǔ)之上進(jìn)行的。 信息系統(tǒng)是指由計(jì)算機(jī)及其相關(guān)和配套的設(shè)備、設(shè)施構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行存儲(chǔ)、傳輸、處理的系統(tǒng)或者網(wǎng)絡(luò)；信息是指在信息系統(tǒng)中存儲(chǔ)、傳輸、處理的數(shù)字化信息。本標(biāo)準(zhǔn)涉及信息系統(tǒng)的管理者包括國(guó)家機(jī)關(guān)、事業(yè)單位、廠礦企業(yè)、公司、集團(tuán)等各種類型和不同規(guī)模的組織機(jī)構(gòu)，以下統(tǒng)稱為2 / 196“組織機(jī)構(gòu)”。 信息系統(tǒng)在技術(shù)上采取何種安全機(jī)制應(yīng)根據(jù)相關(guān)技術(shù)標(biāo)準(zhǔn)確定，本標(biāo)準(zhǔn)僅提出保證這些安全機(jī)制實(shí)施的管理要求。與技術(shù)密切的管理是技術(shù)實(shí)現(xiàn)的組成部分，如果信息系統(tǒng)根據(jù)具體業(yè)務(wù)及其安全需求未采用該

4、技術(shù)，則不需要相應(yīng)的安全管理要求。對(duì)與管理描述難以分開(kāi)的技術(shù)要求會(huì)出現(xiàn)在管理要求中，具體執(zhí)行需要參照相關(guān)技術(shù)標(biāo)準(zhǔn)。對(duì)于涉及國(guó)家秘密的信息和信息系統(tǒng)的保密管理，應(yīng)按照國(guó)家有關(guān)保密的管理規(guī)定和相關(guān)標(biāo)準(zhǔn)執(zhí)行。 本標(biāo)準(zhǔn)中有關(guān)信息系統(tǒng)安全管理要素及其強(qiáng)度與信息系統(tǒng)安全管理分等級(jí)要求的對(duì)應(yīng)關(guān)系的說(shuō)明參見(jiàn)附錄A。為了幫助讀者從安全管理概念角度理解和運(yùn)用這些信息系統(tǒng)的安全管理要求，附錄B給出了信息系統(tǒng)安全管理概念說(shuō)明。 信息安全技術(shù) 信息系統(tǒng)安全管理要求 1 范圍 本標(biāo)準(zhǔn)依據(jù)GB17859-1999的五個(gè)安全保護(hù)等級(jí)的劃分，規(guī)定了信息系統(tǒng)安全所需要的各個(gè)安全等級(jí)的管理要

5、求。 本標(biāo)準(zhǔn)適用于按等級(jí)化要求進(jìn)行的信息系統(tǒng)安全的管理。 2 規(guī)范性引用文件 下列文件中的條款通過(guò)本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。 GB 17859-1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 GB/T 20271-2006 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求 3 術(shù)語(yǔ)和定義 GB 17859-1999確立的以及下列術(shù)語(yǔ)

6、和定義適用于本標(biāo)準(zhǔn)。 3.1 完整性 integrity 包括數(shù)據(jù)完整性和系統(tǒng)完整性。數(shù)據(jù)完整性表征數(shù)據(jù)所具有的特性，即無(wú)論數(shù)據(jù)形式作何變化，數(shù)據(jù)的準(zhǔn)確性和一致性均保持不變的程度；系統(tǒng)完整性表征系統(tǒng)在防止非授權(quán)用戶修改或使用資源和防止授權(quán)用戶不正確地修改或使用資源的情況下，系統(tǒng)能履行其操作目的的品質(zhì)。 3.2 可用性 availability 表征數(shù)據(jù)或系統(tǒng)根據(jù)授權(quán)實(shí)體的請(qǐng)求可被訪問(wèn)與使用程度的安全屬性。 3.3 訪問(wèn)控制 access control 按確定的規(guī)則，對(duì)實(shí)體之間的訪問(wèn)活動(dòng)進(jìn)行控制的安全機(jī)制

7、，能防止對(duì)資源的未授權(quán)使用。 3.4 安全審計(jì) security audit 按確定規(guī)則的要求，對(duì)與安全相關(guān)的事件進(jìn)行審計(jì)，以日志方式記錄必要信息，并作出相應(yīng)處理的安全機(jī)制。 3.5 鑒別信息 authentication information 用以確認(rèn)身份真實(shí)性的信息。 3.6 敏感性 sensitivity 表征資源價(jià)值或重要性的特性，也可能包含這一資源的脆弱性。 3.7 風(fēng)險(xiǎn)評(píng)估 risk assessment 通過(guò)對(duì)信息系統(tǒng)的資產(chǎn)價(jià)值/重要性、信息系統(tǒng)所受到的威脅以

8、及信息系統(tǒng)的脆弱性進(jìn)行綜合分析，對(duì)信息系統(tǒng)及其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等進(jìn)行科學(xué)識(shí)別和評(píng)價(jià)，確定信息系統(tǒng)安全風(fēng)險(xiǎn)的過(guò)程。 3.8 安全策略 security policy 主要指為信息系統(tǒng)安全管理制定的行動(dòng)方針、路線、工作方式、指導(dǎo)原則或程序。 4 信息系統(tǒng)安全管理的一般要求 4.1 信息系統(tǒng)安全管理的內(nèi)容 信息系統(tǒng)安全管理是對(duì)一個(gè)組織機(jī)構(gòu)中信息系統(tǒng)的生存周期全過(guò)程實(shí)施符合安全等級(jí)責(zé)任要求的管理，包括： 落實(shí)安全管理機(jī)構(gòu)及安全管理人員，明確角色與職責(zé)，制定安全規(guī)劃； 開(kāi)發(fā)安全策略； 

9、實(shí)施風(fēng)險(xiǎn)管理； 制定業(yè)務(wù)持續(xù)性計(jì)劃和災(zāi)難恢復(fù)計(jì)劃； 選擇與實(shí)施安全措施； 保證配置、變更的正確與安全； 進(jìn)行安全審計(jì)； 保證維護(hù)支持； 進(jìn)行監(jiān)控、檢查，處理安全事件； 安全意識(shí)與安全教育； 人員安全管理等。 4.2 信息系統(tǒng)安全管理的原則 a） 基于安全需求原則：組織機(jī)構(gòu)應(yīng)根據(jù)其信息系統(tǒng)擔(dān)負(fù)的使命，積累的信息資產(chǎn)的重要性，可能受到的威脅及面臨的風(fēng)險(xiǎn)分析安全需求，按照信息系統(tǒng)等級(jí)保護(hù)要求確定相應(yīng)的信息系統(tǒng)安全保護(hù)等級(jí)，遵從相應(yīng)等級(jí)的規(guī)范要求，從全局上恰當(dāng)?shù)仄胶獍踩度肱c效果； b） 主要

10、領(lǐng)導(dǎo)負(fù)責(zé)原則：主要領(lǐng)導(dǎo)應(yīng)確立其組織統(tǒng)一的信息安全保障的宗旨和政策，負(fù)責(zé)提高員工的安全意識(shí)，組織有效安全保障隊(duì)伍，調(diào)動(dòng)并優(yōu)化配置必要的資源，協(xié)調(diào)安全管理工作與各部門工作的關(guān)系，并確保其落實(shí)、有效； c） 全員參與原則：信息系統(tǒng)所有相關(guān)人員應(yīng)普遍參與信息系統(tǒng)的安全管理，并與相關(guān)方面協(xié)同、協(xié)調(diào)，共同保障信息系統(tǒng)安全； d） 系統(tǒng)方法原則：按照系統(tǒng)工程的要求，識(shí)別和理解信息安全保障相互關(guān)聯(lián)的層面和過(guò)程，采用管理和技術(shù)結(jié)合的方法，提高實(shí)現(xiàn)安全保障的目標(biāo)的有效性和效率； e） 持續(xù)改進(jìn)原則：安全管理是一種動(dòng)態(tài)反饋過(guò)程，貫穿整個(gè)安全管理的生存周期，隨著安全需求和系統(tǒng)脆弱性的時(shí)空

11、分布變化，威脅程度的提高，系統(tǒng)環(huán)境的變化以及對(duì)系統(tǒng)安全認(rèn)識(shí)的深化等，應(yīng)及時(shí)地將現(xiàn)有的安全策略、風(fēng)險(xiǎn)接受程度和保護(hù)措施進(jìn)行復(fù)查、修改、調(diào)整以至提升安全管理等級(jí)，維護(hù)和持續(xù)改進(jìn)信息安全管理體系的有效性； f） 依法管理原則：信息安全管理工作主要體現(xiàn)為管理行為，應(yīng)保證信息系統(tǒng)安全管理主體合法、管理行為合法、管理內(nèi)容合法、管理程序合法。對(duì)安全事件的處理，應(yīng)由授權(quán)者適時(shí)發(fā)布準(zhǔn)確一致的有關(guān)信息，避免帶來(lái)不良的社會(huì)影響； g） 分權(quán)和授權(quán)原則：對(duì)特定職能或責(zé)任領(lǐng)域的管理功能實(shí)施分離、獨(dú)立審計(jì)等實(shí)行分權(quán)，避免權(quán)力過(guò)分集中所帶來(lái)的隱患，以減小未授權(quán)的修改或?yàn)E用系統(tǒng)資源的機(jī)會(huì)。任何實(shí)體（如用戶

12、、管理員、進(jìn)程、應(yīng)用或系統(tǒng)）僅享有該實(shí)體需要完成其任務(wù)所必須的權(quán)限，不應(yīng)享有任何多余權(quán)限； h） 選用成熟技術(shù)原則：成熟的技術(shù)具有較好的可靠性和穩(wěn)定性，采用新技術(shù)時(shí)要重視其成熟的程度，并應(yīng)首先局部試點(diǎn)然后逐步推廣，以減少或避免可能出現(xiàn)的失誤； i） 分級(jí)保護(hù)原則：按等級(jí)劃分標(biāo)準(zhǔn)確定信息系統(tǒng)的安全保護(hù)等級(jí)，實(shí)行分級(jí)保護(hù)；對(duì)多個(gè)子系統(tǒng)構(gòu)成的大型信息系統(tǒng)，確定系統(tǒng)的基本安全保護(hù)等級(jí)，并根據(jù)實(shí)際安全需求，分別確定各子系統(tǒng)的安全保護(hù)等級(jí)，實(shí)行多級(jí)安全保護(hù)； j） 管理與技術(shù)并重原則：堅(jiān)持積極防御和綜合防范，全面提高信息系統(tǒng)安全防護(hù)能力，立足國(guó)情，采用管理與技術(shù)相結(jié)合，管理科

13、學(xué)性和技術(shù)前瞻性結(jié)合的方法，保障信息系統(tǒng)的安全性達(dá)到所要求的目標(biāo)； k） 自保護(hù)和國(guó)家監(jiān)管結(jié)合原則：對(duì)信息系統(tǒng)安全實(shí)行自保護(hù)和國(guó)家保護(hù)相結(jié)合。組織機(jī)構(gòu)要對(duì)自己的信息系統(tǒng)安全保護(hù)負(fù)責(zé)，政府相關(guān)部門有責(zé)任對(duì)信息系統(tǒng)的安全進(jìn)行指導(dǎo)、監(jiān)督和檢查，形成自管、自查、自評(píng)和國(guó)家監(jiān)管相結(jié)合的管理模式，提高信息系統(tǒng)的安全保護(hù)能力和水平，保障國(guó)家信息安全。 5 信息系統(tǒng)安全管理要素及其強(qiáng)度 5.1 策略和制度 5.1.1 信息安全管理策略 5.1.1.1 安全管理目標(biāo)與范圍 信息系統(tǒng)的安全管理需要明確信息系統(tǒng)的安全管理目標(biāo)和范圍，不同安全等級(jí)應(yīng)有選擇地滿

14、足以下要求的一項(xiàng)： a） 基本的管理目標(biāo)與范圍：針對(duì)一般的信息系統(tǒng)應(yīng)包括：制定包括系統(tǒng)設(shè)施和操作等內(nèi)容的系統(tǒng)安全目標(biāo)與范圍計(jì)劃文件；為達(dá)到相應(yīng)等級(jí)技術(shù)要求提供相應(yīng)的管理保證；提供對(duì)信息系統(tǒng)進(jìn)行基本安全保護(hù)的安全功能和安全管理措施，確保安全功能達(dá)到預(yù)期目標(biāo)，使信息免遭非授權(quán)的泄露和破壞，基本保證信息系統(tǒng)安全運(yùn)行； b） 較完整的管理目標(biāo)與范圍：針對(duì)在一定程度上涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息系統(tǒng)，在a）的基礎(chǔ)上還應(yīng)包括：建立相應(yīng)的安全管理機(jī)構(gòu)，制定相應(yīng)的安全操作規(guī)程；制定信息系統(tǒng)的風(fēng)險(xiǎn)管理計(jì)劃；提供對(duì)信息系統(tǒng)進(jìn)行安全保護(hù)的比較完整的系統(tǒng)化安全保護(hù)的能

15、力和比較完善的安全管理措施，從整體上保護(hù)信息免遭非授權(quán)的泄露和破壞，保證信息系統(tǒng)安全正常運(yùn)行； c） 系統(tǒng)化的管理目標(biāo)與范圍：針對(duì)涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息和信息系統(tǒng)，在b）的基礎(chǔ)上還應(yīng)包括：提供信息系統(tǒng)安全的自動(dòng)監(jiān)視和審計(jì)；提供信息系統(tǒng)的認(rèn)證、驗(yàn)收及使用的授權(quán)的規(guī)定；提供對(duì)信息系統(tǒng)進(jìn)行強(qiáng)制安全保護(hù)的能力和設(shè)置必要的強(qiáng)制性安全管理措施，確保數(shù)據(jù)信息免遭非授權(quán)的泄露和破壞，保證信息系統(tǒng)安全運(yùn)行； d） 強(qiáng)制保護(hù)的管理目標(biāo)與范圍：針對(duì)涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng)，在c）的基礎(chǔ)上還應(yīng)包括：提供安全策略和措施的程序化、周期化的

16、評(píng)估，以及對(duì)明顯的風(fēng)險(xiǎn)變化和安全事件的評(píng)估；實(shí)施強(qiáng)制的分權(quán)管理機(jī)制和可信管理；提供對(duì)信息系統(tǒng)進(jìn)行整體的強(qiáng)制安全保護(hù)的能力和比較完善的強(qiáng)制性安全管理措施，保證信息系統(tǒng)安全運(yùn)行； e） 專控保護(hù)的管理目標(biāo)與范圍：針對(duì)涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng)的核心系統(tǒng)，在d）的基礎(chǔ)上還應(yīng)包括：使安全管理計(jì)劃與組織機(jī)構(gòu)的文化有機(jī)融合，并能適應(yīng)安全環(huán)境的變化；實(shí)施全面、可信的安全管理；提供對(duì)信息系統(tǒng)進(jìn)行基于可驗(yàn)證的強(qiáng)制安全保護(hù)能力和完善的強(qiáng)制性安全管理措施，全面保證信息系統(tǒng)安全運(yùn)行。 5.1.1.2 總體安全管理策略 不同安全等級(jí)的信息系統(tǒng)總體安全策略

17、應(yīng)有選擇地滿足以下要求的一項(xiàng)： a） 基本的安全管理策略：信息系統(tǒng)安全管理策略包括：依照國(guó)家政策法規(guī)和技術(shù)及管理標(biāo)準(zhǔn)進(jìn)行自主保護(hù)；闡明管理者對(duì)信息系統(tǒng)安全的承諾，并陳述組織機(jī)構(gòu)管理信息系統(tǒng)安全的方法；說(shuō)明信息系統(tǒng)安全的總體目標(biāo)、范圍和安全框架；申明支持信息系統(tǒng)安全目標(biāo)和原則的管理意向；簡(jiǎn)要說(shuō)明對(duì)組織機(jī)構(gòu)有重大意義的安全方針、原則、標(biāo)準(zhǔn)和符合性要求； b） 較完整的安全管理策略：在a）的基礎(chǔ)上，信息安全管理策略還包括：在信息安系統(tǒng)全監(jiān)管職能部門的指導(dǎo)下，依照國(guó)家政策法規(guī)和技術(shù)及管理標(biāo)準(zhǔn)自主進(jìn)行保護(hù)；明確劃分信息系統(tǒng)（分系統(tǒng)/域）的安全保護(hù)等級(jí)（按區(qū)域分等級(jí)保護(hù)）；制定風(fēng)險(xiǎn)管理

18、策略、業(yè)務(wù)連續(xù)性策略、安全培訓(xùn)與教育策略、審計(jì)策略等較完整的信息安全策略； c） 體系化的安全管理策略：在b）的基礎(chǔ)上，信息安全管理策略還包括：在接受信息系統(tǒng)安全監(jiān)管職能部門監(jiān)督、檢查的前提下，依照國(guó)家政策法規(guī)和技術(shù)及管理標(biāo)準(zhǔn)自主進(jìn)行保護(hù)；制定目標(biāo)策略、規(guī)劃策略、機(jī)構(gòu)策略、人員策略、管理策略、安全技術(shù)策略、控制策略、生存周期策略、投資策略、質(zhì)量策略等，形成體系化的信息系統(tǒng)安全策略； d） 強(qiáng)制保護(hù)的安全管理策略：在c）的基礎(chǔ)上，信息安全管理策略還包括：在接受信息系統(tǒng)安全監(jiān)管職能部門的強(qiáng)制監(jiān)督、檢查的前提下，依照國(guó)家政策法規(guī)和技術(shù)及管理標(biāo)準(zhǔn)自主進(jìn)行保護(hù)；制定體系完整的信息系統(tǒng)

19、安全管理策略； e） ?？乇Ｗo(hù)的安全管理策略：在d）的基礎(chǔ)上，信息安全管理策略還包括：在接受國(guó)家指定的專門部門、專門機(jī)構(gòu)的專門監(jiān)督的前提下，依照國(guó)家政策法規(guī)和技術(shù)及管理標(biāo)準(zhǔn)自主進(jìn)行保護(hù)；制定可持續(xù)改進(jìn)的信息系統(tǒng)安全管理策略。 5.1.1.3 安全管理策略的制定 信息系統(tǒng)安全管理策略的制定，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)： a） 基本的安全管理策略制定：應(yīng)由安全管理人員為主制定，由分管信息安全工作的負(fù)責(zé)人召集，以安全管理人員為主，與相關(guān)人員一起制定基本的信息系統(tǒng)安全管理策略，包括總體策略和具體策略，并以文件形式表述； b） 較完整的安全

20、管理策略制定：應(yīng)由信息安全職能部門負(fù)責(zé)制定，由分管信息安全工作的負(fù)責(zé)人組織，信息安全職能部門負(fù)責(zé)制定較完整的信息系統(tǒng)安全管理策略，包括總體策略和具體策略，并以文件形式表述； c） 體系化的安全管理策略制定：應(yīng)由信息安全領(lǐng)導(dǎo)小組組織制定，由信息安全領(lǐng)導(dǎo)小組組織并提出指導(dǎo)思想，信息安全職能部門負(fù)責(zé)具體制定體系化的信息系統(tǒng)安全管理策略，包括總體策略和具體策略，并以文件形式表述； d） 強(qiáng)制保護(hù)的安全管理策略制定：應(yīng)由信息安全領(lǐng)導(dǎo)小組組織并提出指導(dǎo)思想，由信息安全職能部門指派專人負(fù)責(zé)制定強(qiáng)制保護(hù)的信息系統(tǒng)安全管理策略，包括總體策略和具體策略，并以文件形式表述；涉密系統(tǒng)安全策略的制定

21、應(yīng)限定在相應(yīng)范圍內(nèi)進(jìn)行；必要時(shí)，可征求信息安全監(jiān)管職能部門的意見(jiàn)； e） ?？乇Ｗo(hù)的安全管理策略制定：在d）的基礎(chǔ)上，必要時(shí)應(yīng)征求國(guó)家指定的專門部門或機(jī)構(gòu)的意見(jiàn)，或者共同制定?？乇Ｗo(hù)的信息系統(tǒng)安全管理策略，包括總體策略和具體策略。 5.1.1.4 安全管理策略的發(fā)布 信息系統(tǒng)安全管理策略應(yīng)以文檔形式發(fā)布，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)： a） 基本的安全管理策略的發(fā)布：安全管理策略文檔應(yīng)由分管信息安全工作的負(fù)責(zé)人簽發(fā)，并向信息系統(tǒng)的用戶傳達(dá)，其形式應(yīng)針對(duì)目標(biāo)讀者，并能夠?yàn)樽x者接受和理解； b） 較完整的安全管理策略的發(fā)布：在a）的基礎(chǔ)

22、上，安全管理策略文檔應(yīng)經(jīng)過(guò)組織機(jī)構(gòu)負(fù)責(zé)人簽發(fā)，按照有關(guān)文件管理程序發(fā)布； c） 體系化的安全管理策略的發(fā)布：在b）的基礎(chǔ)上，安全管理策略文檔應(yīng)注明發(fā)布范圍，并有收發(fā)文登記； d） 強(qiáng)制保護(hù)的安全管理策略的發(fā)布：在c）的基礎(chǔ)上，安全管理策略文檔應(yīng)注明密級(jí)，并在監(jiān)管部門備案； e） ?？乇Ｗo(hù)的安全管理策略的發(fā)布：在d）的基礎(chǔ)上，必要時(shí)安全管理策略文檔應(yīng)在國(guó)家指定的專門部門或機(jī)構(gòu)進(jìn)行備案。 5.1.2 安全管理規(guī)章制度 5.1.2.1 安全管理規(guī)章制度內(nèi)容 應(yīng)根據(jù)機(jī)構(gòu)的總體安全策略和業(yè)務(wù)應(yīng)用需求，制定信息系統(tǒng)安全管理的規(guī)程和制度，不同安全等

23、級(jí)的安全管理規(guī)章制度的內(nèi)容應(yīng)有選擇地滿足以下要求的一項(xiàng)： a） 基本的安全管理制度：應(yīng)包括網(wǎng)絡(luò)安全管理規(guī)定，系統(tǒng)安全管理規(guī)定，數(shù)據(jù)安全管理規(guī)定，防病毒規(guī)定，機(jī)房安全管理規(guī)定，以及相關(guān)的操作規(guī)程等； b） 較完整的安全管理制度：在a）的基礎(chǔ)上，應(yīng)增加設(shè)備使用管理規(guī)定，人員安全管理規(guī)定，安全審計(jì)管理規(guī)定，用戶管理規(guī)定，風(fēng)險(xiǎn)管理規(guī)定，信息分類分級(jí)管理規(guī)定，安全事件報(bào)告規(guī)定，事故處理規(guī)定，應(yīng)急管理規(guī)定和災(zāi)難恢復(fù)管理規(guī)定等； c） 體系化的安全管理制度：在b）的基礎(chǔ)上，應(yīng)制定全面的安全管理規(guī)定，包括：機(jī)房、主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)施、物理設(shè)施分類標(biāo)記等系統(tǒng)資源安全管理規(guī)定；安全配置

24、、系統(tǒng)分發(fā)和操作、系統(tǒng)文檔、測(cè)試和脆弱性評(píng)估、系統(tǒng)信息安全備份和相關(guān)的操作規(guī)程等系統(tǒng)和數(shù)據(jù)庫(kù)方面的安全管理規(guī)定；網(wǎng)絡(luò)連接檢查評(píng)估、網(wǎng)絡(luò)使用授權(quán)、網(wǎng)絡(luò)檢測(cè)、網(wǎng)絡(luò)設(shè)施（設(shè)備和協(xié)議）變更控制和相關(guān)的操作規(guī)程等方面的網(wǎng)絡(luò)安全管理規(guī)定；應(yīng)用安全評(píng)估、應(yīng)用系統(tǒng)使用授權(quán)、應(yīng)用系統(tǒng)配置管理、應(yīng)用系統(tǒng)文檔管理和相關(guān)的操作規(guī)程等方面的應(yīng)用安全管理規(guī)定；人員安全管理、安全意識(shí)與安全技術(shù)教育、操作安全、操作系統(tǒng)和數(shù)據(jù)庫(kù)安全、系統(tǒng)運(yùn)行記錄、病毒防護(hù)、系統(tǒng)維護(hù)、網(wǎng)絡(luò)互聯(lián)、安全審計(jì)、安全事件報(bào)告、事故處理、應(yīng)急管理、災(zāi)難恢復(fù)和相關(guān)的操作規(guī)程等方面的運(yùn)行安全管理規(guī)定；信息分類標(biāo)記、涉密信息管理、文檔管理、存儲(chǔ)介質(zhì)管理、信息披

25、露與發(fā)布審批管理、第三方訪問(wèn)控制和相關(guān)的操作規(guī)程等方面的信息安全管理規(guī)定等； d） 強(qiáng)制保護(hù)的安全管理制度：在c）的基礎(chǔ)上，應(yīng)增加信息保密標(biāo)識(shí)與管理規(guī)定，密碼使用管理規(guī)定，安全事件例行評(píng)估和報(bào)告規(guī)定，關(guān)鍵控制措施定期測(cè)試規(guī)定等； e） ?？乇Ｗo(hù)的安全管理制度：在d）的基礎(chǔ)上，應(yīng)增加安全管理審計(jì)監(jiān)督規(guī)定等。 5.1.2.2 安全管理規(guī)章制度的制定 安全管理制度的制定及發(fā)布，應(yīng)有明確規(guī)定的程序，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)： a） 基本的安全管理制度制定：應(yīng)由安全管理人員負(fù)責(zé)制訂信息系統(tǒng)安全管理制度，并以文檔形式表述，由分管信息安全工作

26、的負(fù)責(zé)人審批發(fā)布； b） 較完整的安全管理制度制定：應(yīng)由信息安全職能部門負(fù)責(zé)制訂信息系統(tǒng)安全管理制度，并以文檔形式表述，由分管信息安全工作的負(fù)責(zé)人審批，按照有關(guān)文檔管理程序發(fā)布； c） 體系化的安全管理制度制定：應(yīng)由信息安全職能部門負(fù)責(zé)制訂信息系統(tǒng)安全管理制度，并以文檔形式表述，經(jīng)信息安全領(lǐng)導(dǎo)小組討論通過(guò)，由信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)人審批發(fā)布，應(yīng)注明發(fā)布范圍并有收發(fā)文登記； d） 強(qiáng)制保護(hù)的安全管理制度制定：應(yīng)由信息安全職能部門指派專人負(fù)責(zé)制訂信息系統(tǒng)安全管理制度，并以文檔形式表述，經(jīng)信息安全領(lǐng)導(dǎo)小組討論通過(guò)，由信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)人審批發(fā)布；信息系統(tǒng)安全管理制度文檔

27、的發(fā)布應(yīng)注明密級(jí)，對(duì)涉密的信息系統(tǒng)安全管理制度的制定應(yīng)在相應(yīng)范圍內(nèi)進(jìn)行； e） 專控保護(hù)的安全管理制度制定：在d）的基礎(chǔ)上，必要時(shí)，應(yīng)征求組織機(jī)構(gòu)的保密管理部門的意見(jiàn)，或者共同制定。 5.1.3 策略與制度文檔管理 5.1.3.1 策略與制度文檔的評(píng)審和修訂 策略與制度文檔的評(píng)審和修訂，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)： a） 基本的評(píng)審和修訂：應(yīng)由分管信息安全的負(fù)責(zé)人和安全管理人員負(fù)責(zé)文檔的評(píng)審和修訂；應(yīng)通過(guò)所記錄的安全事故的性質(zhì)、數(shù)量以及影響檢查策略和制度的有效性，評(píng)價(jià)安全管理措施對(duì)成本及應(yīng)用效率的影響，以及技術(shù)變化對(duì)安全管理的影響

28、；經(jīng)評(píng)審，對(duì)存在不足或需要改進(jìn)的策略和制度應(yīng)進(jìn)行修訂，并按規(guī)定程序發(fā)布； b） 較完整的評(píng)審和修訂：應(yīng)由分管信息安全的負(fù)責(zé)人和信息安全職能部門負(fù)責(zé)文檔的評(píng)審和修訂；應(yīng)定期或階段性審查策略和制度存在的缺陷，并在發(fā)生重大安全事故、出現(xiàn)新的漏洞以及機(jī)構(gòu)或技術(shù)基礎(chǔ)結(jié)構(gòu)發(fā)生變更時(shí)，對(duì)策略和制度進(jìn)行相應(yīng)的評(píng)審和修訂；對(duì)評(píng)審后需要修訂的策略和制度文檔，應(yīng)明確指定人員限期完成并按規(guī)定發(fā)布； c） 體系化的評(píng)審和修訂：應(yīng)由信息安全領(lǐng)導(dǎo)小組和信息安全職能部門負(fù)責(zé)文檔的評(píng)審和修訂；應(yīng)對(duì)安全策略和制度的有效性進(jìn)行程序化、周期性評(píng)審，并保留必要的評(píng)審記錄和依據(jù)；每個(gè)策略和制度文檔應(yīng)有相應(yīng)責(zé)任人，根據(jù)

29、明確規(guī)定的評(píng)審和修訂程序?qū)Σ呗赃M(jìn)行維護(hù)； d） 強(qiáng)制保護(hù)的評(píng)審和修訂：應(yīng)由信息安全領(lǐng)導(dǎo)小組和信息安全職能部門的專門人員負(fù)責(zé)文檔的評(píng)審和修訂，必要時(shí)可征求信息安全監(jiān)管職能部門的意見(jiàn)；應(yīng)對(duì)安全策略和制度的有效性進(jìn)行程序化、周期性評(píng)審，并保留必要的評(píng)審記錄和依據(jù)；每個(gè)策略和制度文檔應(yīng)有相應(yīng)責(zé)任人，根據(jù)明確規(guī)定的評(píng)審和修訂程序?qū)Σ呗赃M(jìn)行維護(hù)；對(duì)涉密的信息安全策略、規(guī)章制度和相關(guān)的操作規(guī)程文檔的評(píng)審和修訂應(yīng)在相應(yīng)范圍內(nèi)進(jìn)行； e） 專控保護(hù)的評(píng)審和修訂：在d）的基礎(chǔ)上，必要時(shí)可請(qǐng)組織機(jī)構(gòu)的保密管理部門參加文檔的評(píng)審和修訂，應(yīng)征求國(guó)家指定的專門部門或機(jī)構(gòu)的意見(jiàn)；應(yīng)對(duì)安全策略和制度的有效

30、性及時(shí)進(jìn)行專項(xiàng)的評(píng)審，并保留必要的評(píng)審記錄和依據(jù)。 5.1.3.2 策略與制度文檔的保管 對(duì)策略與制度文檔，以及相關(guān)的操作規(guī)程文檔的保管，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)： a） 指定專人保管：對(duì)策略和制度文檔，以及相關(guān)的操作規(guī)程文檔，應(yīng)指定專人保管； b） 借閱審批和登記：在a）的基礎(chǔ)上，借閱策略和制度文檔，以及相關(guān)的操作規(guī)程文檔，應(yīng)有相應(yīng)級(jí)別負(fù)責(zé)人審批和登記； c） 限定借閱范圍：在b）的基礎(chǔ)上，借閱策略和制度文檔，以及相關(guān)的操作規(guī)程文檔，應(yīng)限定借閱范圍，并經(jīng)過(guò)相應(yīng)級(jí)別負(fù)責(zé)人審批和登記； d） 全面嚴(yán)格保管：在c）的基礎(chǔ)上

31、，對(duì)涉密的策略和制度文檔，以及相關(guān)的操作規(guī)程文檔的保管應(yīng)按照有關(guān)涉密文檔管理規(guī)定進(jìn)行；對(duì)保管的文檔以及借閱的記錄定期進(jìn)行檢查； e） ?？乇Ｗo(hù)的管理：在d）的基礎(chǔ)上，應(yīng)與相關(guān)業(yè)務(wù)部門協(xié)商制定專項(xiàng)控制的管理措施。 5.2 機(jī)構(gòu)和人員管理 5.2.1 安全管理機(jī)構(gòu) 5.2.1.1 建立安全管理機(jī)構(gòu) 在組織機(jī)構(gòu)中應(yīng)建立安全管理機(jī)構(gòu)，不同安全等級(jí)的安全管理機(jī)構(gòu)應(yīng)有選擇地滿足以下要求的一項(xiàng)： a） 配備安全管理人員：管理層中應(yīng)有一人分管信息系統(tǒng)安全工作，并為信息系統(tǒng)的安全管理配備專職或兼職的安全管理人員； b） 建立安全職能部門：在a

32、）的基礎(chǔ)上，應(yīng)建立管理信息系統(tǒng)安全工作的職能部門，或者明確指定一個(gè)職能部門兼管信息安全工作，作為該部門的關(guān)鍵職責(zé)之一； c） 成立安全領(lǐng)導(dǎo)小組：在b）的基礎(chǔ)上，應(yīng)在管理層成立信息系統(tǒng)安全管理委員會(huì)或信息系統(tǒng)安全領(lǐng)導(dǎo)小組（以下統(tǒng)稱信息安全領(lǐng)導(dǎo)小組），對(duì)覆蓋全國(guó)或跨地區(qū)的組織機(jī)構(gòu)，應(yīng)在總部和下級(jí)單位建立各級(jí)信息系統(tǒng)安全領(lǐng)導(dǎo)小組，在基層至少要有一位專職的安全管理人員負(fù)責(zé)信息系統(tǒng)安全工作； d） 主要負(fù)責(zé)人出任領(lǐng)導(dǎo)：在c）的基礎(chǔ)上，應(yīng)由組織機(jī)構(gòu)的主要負(fù)責(zé)人出任信息系統(tǒng)安全領(lǐng)導(dǎo)小組負(fù)責(zé)人； e） 建立信息安全保密管理部門：在d）的基礎(chǔ)上，應(yīng)建立信息系統(tǒng)安全保密監(jiān)督管理的職能

33、部門，或?qū)υ斜Ｃ懿块T明確信息安全保密管理責(zé)任，加強(qiáng)對(duì)信息系統(tǒng)安全管理重要過(guò)程和管理人員的保密監(jiān)督管理。 5.2.1.2 信息安全領(lǐng)導(dǎo)小組 信息系統(tǒng)安全領(lǐng)導(dǎo)小組負(fù)責(zé)領(lǐng)導(dǎo)本組織機(jī)構(gòu)的信息系統(tǒng)安全工作，至少應(yīng)行使以下管理職能之一： a） 安全管理的領(lǐng)導(dǎo)職能：根據(jù)國(guó)家和行業(yè)有關(guān)信息安全的政策、法律和法規(guī)，批準(zhǔn)機(jī)構(gòu)信息系統(tǒng)的安全策略和發(fā)展規(guī)劃；確定各有關(guān)部門在信息系統(tǒng)安全工作中的職責(zé)，領(lǐng)導(dǎo)安全工作的實(shí)施；監(jiān)督安全措施的執(zhí)行，并對(duì)重要安全事件的處理進(jìn)行決策；指導(dǎo)和檢查信息系統(tǒng)安全職能部門及應(yīng)急處理小組的各項(xiàng)工作；建設(shè)和完善信息系統(tǒng)安全的集中控管的組織體系和管理機(jī)制；

34、0;b） 保密監(jiān)督的管理職能：在a）的基礎(chǔ)上，對(duì)保密管理部門進(jìn)行有關(guān)信息系統(tǒng)安全保密監(jiān)督管理方面的指導(dǎo)和檢查。 5.2.1.3 信息安全職能部門 信息安全職能部門在信息系統(tǒng)安全領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)下，負(fù)責(zé)本組織機(jī)構(gòu)信息系統(tǒng)安全的具體工作，至少應(yīng)行使以下管理職能之一： a） 基本的安全管理職能：根據(jù)國(guó)家和行業(yè)有關(guān)信息安全的政策法規(guī)，起草組織機(jī)構(gòu)信息系統(tǒng)的安全策略和發(fā)展規(guī)劃；管理機(jī)構(gòu)信息系統(tǒng)安全日常事務(wù)，檢查和指導(dǎo)下級(jí)單位信息系統(tǒng)安全工作；負(fù)責(zé)安全措施的實(shí)施或組織實(shí)施，組織并參加對(duì)安全重要事件的處理；監(jiān)控信息系統(tǒng)安全總體狀況，提出安全分析報(bào)告；指導(dǎo)和檢查各部門和下級(jí)單位信息系

35、統(tǒng)安全人員及要害崗位人員的信息系統(tǒng)安全工作；應(yīng)與有關(guān)部門共同組成應(yīng)急處理小組或協(xié)助有關(guān)部門建立應(yīng)急處理小組實(shí)施相關(guān)應(yīng)急處理工作； b） 集中的安全管理職能：在a）的基礎(chǔ)上，管理信息系統(tǒng)安全機(jī)制集中管理機(jī)構(gòu)的各項(xiàng)工作，實(shí)現(xiàn)信息系統(tǒng)安全的集中控制管理；完成信息系統(tǒng)安全領(lǐng)導(dǎo)小組交辦的工作，并向領(lǐng)導(dǎo)小組報(bào)告機(jī)構(gòu)的信息系統(tǒng)安全工作。 5.2.2 安全機(jī)制集中管理機(jī)構(gòu) 5.2.2.1 設(shè)置集中管理機(jī)構(gòu) 信息系統(tǒng)安全機(jī)制集中管理機(jī)構(gòu)（以下簡(jiǎn)稱集中管理機(jī)構(gòu)）既是技術(shù)實(shí)體，也是管理實(shí)體，應(yīng)按照以下方式設(shè)立： a） 集中管理機(jī)構(gòu)人員和職責(zé)：應(yīng)配備必要的領(lǐng)導(dǎo)和技術(shù)管

36、理人員，應(yīng)選用熟悉安全技術(shù)、網(wǎng)絡(luò)技術(shù)、系統(tǒng)應(yīng)用等方面技術(shù)人員，明確責(zé)任協(xié)同工作，統(tǒng)一管理信息系統(tǒng)的安全運(yùn)行，進(jìn)行安全機(jī)制的配置與管理，對(duì)與安全有關(guān)的信息進(jìn)行匯集與分析，對(duì)與安全有關(guān)的事件進(jìn)行響應(yīng)與處置；應(yīng)對(duì)分布在信息系統(tǒng)中有關(guān)的安全機(jī)制進(jìn)行集中管理；應(yīng)接受信息安全職能部門的直接領(lǐng)導(dǎo)。 5.2.2.2 集中管理機(jī)構(gòu)職能 a） 信息系統(tǒng)安全運(yùn)行的統(tǒng)一管理：集中管理機(jī)構(gòu)主要行使以下技術(shù)職能： 防范與保護(hù)：建立物理、支撐系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用、管理等五個(gè)層面的安全控制機(jī)制，構(gòu)成系統(tǒng)有機(jī)整體安全控制機(jī)制；統(tǒng)一進(jìn)行信息系統(tǒng)安全機(jī)制的配置與管理，確保各個(gè)安全機(jī)制按照設(shè)計(jì)要求運(yùn)行；&#

37、160;監(jiān)控與檢查：對(duì)服務(wù)器、路由器、防火墻等網(wǎng)絡(luò)部件、系統(tǒng)安全運(yùn)行性狀態(tài)、信息（包括有害內(nèi)容）的監(jiān)控和檢查；匯集各種安全機(jī)制所獲取的與系統(tǒng)安全運(yùn)行有關(guān)的信息，對(duì)所獲取的信息進(jìn)行綜合分析，及時(shí)發(fā)現(xiàn)系統(tǒng)運(yùn)行中的安全問(wèn)題和隱患，提出解決的對(duì)策和方法； 響應(yīng)與處置：事件發(fā)現(xiàn)、響應(yīng)、處置、應(yīng)急恢復(fù)，根據(jù)應(yīng)急處理預(yù)案，作出快速處理；應(yīng)對(duì)各種事件和處理結(jié)果有詳細(xì)的記載并進(jìn)行檔案化管理，作為對(duì)后續(xù)事件分析的參考和可查性的依據(jù)； 安全機(jī)制集中管理控制（詳見(jiàn)5.5.6），完善管理信息系統(tǒng)安全運(yùn)行的技術(shù)手段，進(jìn)行信息系統(tǒng)安全的集中控制管理； 負(fù)責(zé)接受和配合政府有關(guān)部門的信息安全監(jiān)管工

38、作； b） 關(guān)鍵區(qū)域安全運(yùn)行管理：在a）的基礎(chǔ)上，集中管理機(jī)構(gòu)對(duì)關(guān)鍵區(qū)域的安全運(yùn)行進(jìn)行管理，控制知曉范圍，對(duì)獲取的有關(guān)信息進(jìn)行相應(yīng)安全等級(jí)的保護(hù)； c） 核心系統(tǒng)安全運(yùn)行管理：在b）的基礎(chǔ)上，集中管理機(jī)構(gòu)應(yīng)與有關(guān)業(yè)務(wù)應(yīng)用的主管部門協(xié)調(diào)，定制更高安全級(jí)別的管理方式。 5.2.3 人員管理 5.2.3.1 安全管理人員配備 對(duì)安全管理人員配備的管理，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)： a） 可配備兼職安全管理人員：安全管理人員可以由網(wǎng)絡(luò)管理人員兼任； b） 安全管理人員的兼職限制：安全管理人員不能兼任網(wǎng)絡(luò)管理人員、系統(tǒng)管

39、理員、數(shù)據(jù)庫(kù)管理員等； c） 配備專職安全管理人員：安全管理人員不可兼任，屬于專職人員，應(yīng)具有安全管理工作權(quán)限和能力； d） 關(guān)鍵部位的安全管理人員：在c）的基礎(chǔ)上，安全管理人員還應(yīng)按照機(jī)要人員條件配備。 5.2.3.2 關(guān)鍵崗位人員管理 對(duì)信息系統(tǒng)關(guān)鍵崗位人員的管理，不同安全等級(jí)應(yīng)滿足以下要求的一項(xiàng)或多項(xiàng)： a） 基本要求：應(yīng)對(duì)安全管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)管理員、重要業(yè)務(wù)開(kāi)發(fā)人員、系統(tǒng)維護(hù)人員、重要業(yè)務(wù)應(yīng)用操作人員等信息系統(tǒng)關(guān)鍵崗位人員進(jìn)行統(tǒng)一管理；允許一人多崗，但業(yè)務(wù)應(yīng)用操作人員不能由其他關(guān)鍵崗位人員兼任；關(guān)鍵崗位人員應(yīng)定期接

40、受安全培訓(xùn)，加強(qiáng)安全意識(shí)和風(fēng)險(xiǎn)防范意識(shí)； b） 兼職和輪崗要求：業(yè)務(wù)開(kāi)發(fā)人員和系統(tǒng)維護(hù)人員不能兼任或擔(dān)負(fù)安全管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)管理員、重要業(yè)務(wù)應(yīng)用操作人員等崗位或工作；必要時(shí)關(guān)鍵崗位人員應(yīng)采取定期輪崗制度； c） 權(quán)限分散要求：在b）的基礎(chǔ)上，應(yīng)堅(jiān)持關(guān)鍵崗位人員“權(quán)限分散、不得交叉覆蓋”的原則，系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)管理員不能相互兼任崗位或工作； d） 多人共管要求：在c）的基礎(chǔ)上，關(guān)鍵崗位人員處理重要事務(wù)或操作時(shí)，應(yīng)保持二人同時(shí)在場(chǎng)，關(guān)鍵事務(wù)應(yīng)多人共管； e） 全面控制要求：在d）的基礎(chǔ)上，應(yīng)采取對(duì)內(nèi)部人員全面控制的安全保證

41、措施，對(duì)所有崗位工作人員實(shí)施全面安全管理。 5.2.3.3 人員錄用管理 對(duì)人員錄用的管理，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)： a） 人員錄用的基本要求：對(duì)應(yīng)聘者進(jìn)行審查，確認(rèn)其具有基本的專業(yè)技術(shù)水平，接受過(guò)安全意識(shí)教育和培訓(xùn)，能夠掌握安全管理基本知識(shí)；對(duì)信息系統(tǒng)關(guān)鍵崗位的人員還應(yīng)注重思想品質(zhì)方面的考察； b） 人員的審查與考核：在a）的基礎(chǔ)上，應(yīng)由單位人事部門進(jìn)行人員背景、資質(zhì)審查，技能考核等，合格者還要簽署保密協(xié)議方可上崗；安全管理人員應(yīng)具有基本的系統(tǒng)安全風(fēng)險(xiǎn)分析和評(píng)估能力； c） 人員的內(nèi)部選拔：在b）的基礎(chǔ)上，重要區(qū)域或部位的安

42、全管理人員一般可從內(nèi)部符合條件人員選拔，應(yīng)做到認(rèn)真負(fù)責(zé)和保守秘密； d） 人員的可靠性：在c）的基礎(chǔ)上，關(guān)鍵區(qū)域或部位的安全管理人員應(yīng)選用實(shí)踐證明精干、內(nèi)行、忠實(shí)、可靠的人員，必要時(shí)可按機(jī)要人員條件配備。 5.2.3.4 人員離崗 對(duì)人員離崗的管理，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)： a） 離崗的基本要求：立即中止被解雇的、退休的、辭職的或其他原因離開(kāi)的人員的所有訪問(wèn)權(quán)限；收回所有相關(guān)證件、徽章、密鑰、訪問(wèn)控制標(biāo)記等；收回機(jī)構(gòu)提供的設(shè)備等； b） 調(diào)離后的保密要求：在a）的基礎(chǔ)上，管理層和信息系統(tǒng)關(guān)鍵崗位人員調(diào)離崗位，必須經(jīng)單位人事部門

43、嚴(yán)格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密要求； c） 離崗的審計(jì)要求：在b）的基礎(chǔ)上，涉及組織機(jī)構(gòu)管理層和信息系統(tǒng)關(guān)鍵崗位的人員調(diào)離單位，必須進(jìn)行離崗安全審查，在規(guī)定的脫密期限后，方可調(diào)離； d） 關(guān)鍵部位人員的離崗要求：在c）的基礎(chǔ)上，關(guān)鍵部位的信息系統(tǒng)安全管理人員離崗，應(yīng)按照機(jī)要人員管理辦法辦理。 5.2.3.5 人員考核與審查 對(duì)人員考核與審查的管理，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)： a） 定期的人員考核：應(yīng)定期對(duì)各個(gè)崗位的人員進(jìn)行不同側(cè)重的安全認(rèn)知和安全技能的考核，作為人員是否適合當(dāng)前崗位的參考； b） 定期的人員審查：

44、在a）的基礎(chǔ)上，對(duì)關(guān)鍵崗位人員，應(yīng)定期進(jìn)行審查，如發(fā)現(xiàn)其違反安全規(guī)定，應(yīng)控制使用； c） 管理有效性的審查：在b）的基礎(chǔ)上，對(duì)關(guān)鍵崗位人員的工作，應(yīng)通過(guò)例行考核進(jìn)行審查，保證安全管理的有效性；并保留審查結(jié)果； d） 全面嚴(yán)格的審查：在c）的基礎(chǔ)上，對(duì)所有安全崗位人員的工作，應(yīng)通過(guò)全面考核進(jìn)行審查，如發(fā)現(xiàn)其違反安全規(guī)定，應(yīng)采取必要的應(yīng)對(duì)措施。 5.2.3.6 第三方人員管理 對(duì)第三方人員的管理，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)： a） 基本管理要求：應(yīng)對(duì)硬件和軟件維護(hù)人員，咨詢?nèi)藛T，臨時(shí)性的短期職位人員，以及輔助人員和外部服務(wù)人員等第三方

45、人員簽署包括不同安全責(zé)任的合同書(shū)或保密協(xié)議；規(guī)定各類人員的活動(dòng)范圍，進(jìn)入計(jì)算機(jī)房需要得到批準(zhǔn)，并有專人負(fù)責(zé)；第三方人員必須進(jìn)行邏輯訪問(wèn)時(shí)，應(yīng)劃定范圍并經(jīng)過(guò)負(fù)責(zé)人批準(zhǔn)，必要時(shí)應(yīng)有人監(jiān)督或陪同； b） 重要區(qū)域管理要求：在重要區(qū)域，第三方人員必須進(jìn)入或進(jìn)行邏輯訪問(wèn)（包括近程訪問(wèn)和遠(yuǎn)程訪問(wèn)等）均應(yīng)有書(shū)面申請(qǐng)、批準(zhǔn)和過(guò)程記錄，并有專人全程監(jiān)督或陪同；進(jìn)行邏輯訪問(wèn)應(yīng)使用專門設(shè)置的臨時(shí)用戶，并進(jìn)行審計(jì)； c） 關(guān)鍵區(qū)域管理要求：在關(guān)鍵區(qū)域，一般不允許第三方人員進(jìn)入或進(jìn)行邏輯訪問(wèn)；如確有必要，除有書(shū)面申請(qǐng)外，可采取由機(jī)構(gòu)內(nèi)部人員帶為操作的方式，對(duì)結(jié)果進(jìn)行必要的過(guò)濾后再提供第三方人員，并進(jìn)

46、行審計(jì)；必要時(shí)對(duì)上述過(guò)程進(jìn)行風(fēng)險(xiǎn)評(píng)估和記錄備案，并對(duì)相應(yīng)風(fēng)險(xiǎn)采取必要的安全補(bǔ)救措施。 5.2.4 教育和培訓(xùn) 5.2.4.1 信息安全教育 信息安全教育包括信息安全意識(shí)的培養(yǎng)教育和安全技術(shù)培訓(xùn)，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)： a） 應(yīng)知應(yīng)會(huì)要求：應(yīng)讓信息系統(tǒng)相關(guān)員工知曉信息的敏感性和信息安全的重要性，認(rèn)識(shí)其自身的責(zé)任和安全違例會(huì)受到紀(jì)律懲罰，以及應(yīng)掌握的信息安全基本知識(shí)和技能等； b） 有計(jì)劃培訓(xùn)：在a）的基礎(chǔ)上，應(yīng)制定并實(shí)施安全教育和培訓(xùn)計(jì)劃，培養(yǎng)信息系統(tǒng)各類人員安全意識(shí)，并提供對(duì)安全政策和操作規(guī)程的認(rèn)知教育和訓(xùn)練等； 

47、c） 針對(duì)不同崗位培訓(xùn)：在b）的基礎(chǔ)上，針對(duì)不同崗位，制定不同的專業(yè)培訓(xùn)計(jì)劃，包括安全知識(shí)、安全技術(shù)、安全標(biāo)準(zhǔn)、安全要求、法律責(zé)任和業(yè)務(wù)控制措施等； d） 按人員資質(zhì)要求培訓(xùn)：在c）的基礎(chǔ)上，對(duì)所有工作人員的安全資質(zhì)進(jìn)行定期檢查和評(píng)估，使相應(yīng)的安全教育成為組織機(jī)構(gòu)工作計(jì)劃的一部分； e） 培養(yǎng)安全意識(shí)自覺(jué)性：在d）的基礎(chǔ)上，對(duì)所有工作人員進(jìn)行相應(yīng)的安全資質(zhì)管理，并使安全意識(shí)成為所有工作人員的自覺(jué)存在。 5.2.4.2 信息安全專家 可邀請(qǐng)或聘用信息安全專家，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)： a） 聽(tīng)取信息安全專家建議：聽(tīng)取信息安全專家

48、對(duì)于組織機(jī)構(gòu)的信息系統(tǒng)安全方面的建議；組織專家參與安全威脅的評(píng)估，提供安全控制措施的建議，進(jìn)行信息安全有效性評(píng)判，對(duì)安全事件給予專業(yè)指導(dǎo)和原因調(diào)查等； b） 對(duì)信息安全專家的管理：在a）的基礎(chǔ)上，對(duì)于邀請(qǐng)或聘用信息安全專家可以提供必要的組織機(jī)構(gòu)內(nèi)部信息，同時(shí)應(yīng)告知專家這些信息的敏感性和保密性，并應(yīng)采取必要的安全措施，保證提供的信息在安全可控的范圍內(nèi)。 5.3 風(fēng)險(xiǎn)管理 5.3.1 風(fēng)險(xiǎn)管理要求和策略 5.3.1.1 風(fēng)險(xiǎn)管理要求 風(fēng)險(xiǎn)管理作為等級(jí)保護(hù)的手段，在保證信息等級(jí)系統(tǒng)的最低保護(hù)能力的基礎(chǔ)上，可根據(jù)風(fēng)險(xiǎn)確定增加某些管理要求。對(duì)風(fēng)險(xiǎn)管理，不

49、同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)： a） 基本風(fēng)險(xiǎn)管理：組織機(jī)構(gòu)應(yīng)進(jìn)行基本的風(fēng)險(xiǎn)管理活動(dòng)，包括編制資產(chǎn)清單，對(duì)資產(chǎn)價(jià)值/重要性進(jìn)行分析，對(duì)信息系統(tǒng)面臨的威脅進(jìn)行初步分析，通過(guò)工具掃描的方式對(duì)信息系統(tǒng)的脆弱性進(jìn)行分析，以簡(jiǎn)易的方式分析安全風(fēng)險(xiǎn)、選擇安全措施； b） 定期風(fēng)險(xiǎn)評(píng)估：在a）的基礎(chǔ)上，針對(duì)關(guān)鍵的系統(tǒng)資源進(jìn)行定期風(fēng)險(xiǎn)分析和評(píng)估；產(chǎn)生風(fēng)險(xiǎn)分析報(bào)告并向管理層提交； c） 規(guī)范風(fēng)險(xiǎn)評(píng)估：在b）的基礎(chǔ)上，在風(fēng)險(xiǎn)管理中，使用規(guī)范方法和經(jīng)過(guò)必要的工作流程，進(jìn)行規(guī)范化的風(fēng)險(xiǎn)評(píng)估，產(chǎn)生風(fēng)險(xiǎn)分析報(bào)告和留存重要過(guò)程文檔，并向管理層提交； d） 獨(dú)立審計(jì)的風(fēng)險(xiǎn)管理

50、：在c）的基礎(chǔ)上，建立風(fēng)險(xiǎn)管理體系文件；針對(duì)風(fēng)險(xiǎn)管理過(guò)程，實(shí)施獨(dú)立審計(jì)，確保風(fēng)險(xiǎn)管理的有效性； e） 全面風(fēng)險(xiǎn)管理：在d）的基礎(chǔ)上，使風(fēng)險(xiǎn)管理成為信息系統(tǒng)安全管理的有機(jī)組成部分，貫穿信息系統(tǒng)安全管理的全過(guò)程，并具有可驗(yàn)證性。 5.3.1.2 風(fēng)險(xiǎn)管理策略 對(duì)風(fēng)險(xiǎn)管理策略，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)： a） 基本的風(fēng)險(xiǎn)管理策略：應(yīng)定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，安全風(fēng)險(xiǎn)分析和評(píng)估活動(dòng)程序應(yīng)至少包括信息安全風(fēng)險(xiǎn)管理和業(yè)務(wù)應(yīng)用風(fēng)險(xiǎn)管理密切相關(guān)的內(nèi)容，信息安全風(fēng)險(xiǎn)管理的基本觀念和方法，以及風(fēng)險(xiǎn)管理的組織和資源保證等； b） 風(fēng)險(xiǎn)管理的監(jiān)督機(jī)制：在a）的

51、基礎(chǔ)上，應(yīng)建立風(fēng)險(xiǎn)管理的監(jiān)督機(jī)制，對(duì)所有風(fēng)險(xiǎn)管理相關(guān)過(guò)程的活動(dòng)和影響進(jìn)行評(píng)估和監(jiān)控；應(yīng)建立指導(dǎo)風(fēng)險(xiǎn)管理監(jiān)督過(guò)程的指導(dǎo)性文檔； c） 風(fēng)險(xiǎn)評(píng)估的重新啟動(dòng)：在b）的基礎(chǔ)上，應(yīng)明確規(guī)定重新啟動(dòng)風(fēng)險(xiǎn)評(píng)估的條件，機(jī)構(gòu)應(yīng)能針對(duì)風(fēng)險(xiǎn)的變化重新啟動(dòng)風(fēng)險(xiǎn)評(píng)估。 5.3.2 風(fēng)險(xiǎn)分析和評(píng)估 5.3.2.1 資產(chǎn)識(shí)別和分析 對(duì)資產(chǎn)識(shí)別和分析，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)： a） 信息系統(tǒng)的資產(chǎn)統(tǒng)計(jì)和分類：確定信息系統(tǒng)的資產(chǎn)范圍，進(jìn)行統(tǒng)計(jì)和編制資產(chǎn)清單（詳見(jiàn)5.4.2.1），并進(jìn)行資產(chǎn)分類和重要性標(biāo)識(shí)； b） 信息系統(tǒng)的體系特征描述：在a）的基礎(chǔ)

52、上，根據(jù)對(duì)信息系統(tǒng)的硬件、軟件、系統(tǒng)接口、數(shù)據(jù)和信息、人員等方面的分析和識(shí)別，對(duì)信息系統(tǒng)的體系特征進(jìn)行描述，至少應(yīng)闡明信息系統(tǒng)的使命、邊界、功能，以及系統(tǒng)和數(shù)據(jù)的關(guān)鍵性、敏感性等內(nèi)容。 5.3.2.2 威脅識(shí)別和分析 對(duì)威脅的識(shí)別和分析，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)： a） 威脅的基本分析：應(yīng)根據(jù)以往發(fā)生的安全事件、外部提供的資料和積累的經(jīng)驗(yàn)等，對(duì)威脅進(jìn)行粗略的分析； b） 威脅列表：在a）的基礎(chǔ)上，結(jié)合業(yè)務(wù)應(yīng)用、系統(tǒng)結(jié)構(gòu)特點(diǎn)以及訪問(wèn)流程等因素，建立并維護(hù)威脅列表；由于不同業(yè)務(wù)系統(tǒng)面臨的威脅是不同的，應(yīng)針對(duì)每個(gè)或者每類資產(chǎn)有一個(gè)威脅列表；&#

53、160;c） 威脅的詳細(xì)分析：在b）的基礎(chǔ)上，考慮威脅源在保密性、完整性或可用性等方面造成損害，對(duì)威脅的可能性和影響等屬性進(jìn)行分析，從而得到威脅的等級(jí)；威脅等級(jí)也可通過(guò)綜合威脅的可能性和強(qiáng)度的評(píng)價(jià)獲得； d） 使用檢測(cè)工具捕捉攻擊：在c）的基礎(chǔ)上，對(duì)關(guān)鍵區(qū)域或部位進(jìn)行威脅分析和評(píng)估，在業(yè)務(wù)應(yīng)用許可并得到批準(zhǔn)的條件下，可使用檢測(cè)工具在特定時(shí)間捕捉攻擊信息進(jìn)行威脅分析。 5.3.2.3 脆弱性識(shí)別和分析 對(duì)脆弱性識(shí)別和分析，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)： a） 脆弱性工具掃描：應(yīng)通過(guò)掃描器等工具來(lái)獲得對(duì)系統(tǒng)脆弱性的認(rèn)識(shí)，包括對(duì)網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備、

54、安全設(shè)備的脆弱性掃描，并編制脆弱性列表，作為系統(tǒng)加固、改進(jìn)和安全項(xiàng)目建設(shè)的依據(jù)；可以針對(duì)資產(chǎn)組合、資產(chǎn)分類編制脆弱性列表和脆弱性檢查表； b） 脆弱性分析和滲透測(cè)試：在a）的基礎(chǔ)上，脆弱性的人工分析至少應(yīng)進(jìn)行網(wǎng)絡(luò)設(shè)備、安全設(shè)備以及主機(jī)系統(tǒng)配置檢查、用戶管理檢查、系統(tǒng)日志和審計(jì)檢查等；使用滲透測(cè)試應(yīng)根據(jù)需要分別從組織機(jī)構(gòu)的網(wǎng)絡(luò)內(nèi)部和網(wǎng)絡(luò)外部選擇不同的接入點(diǎn)進(jìn)行；應(yīng)了解測(cè)試可能帶來(lái)的后果，并做好充分準(zhǔn)備；針對(duì)不同的資產(chǎn)和資產(chǎn)組合，綜合應(yīng)用人工評(píng)估、工具掃描、滲透性測(cè)試等方法對(duì)系統(tǒng)的脆弱性進(jìn)行分析和評(píng)估；對(duì)不同的方法和工具所得出的評(píng)估結(jié)果，應(yīng)進(jìn)行綜合分析，從而得到脆弱性的等級(jí)； 

55、c） 制度化脆弱性評(píng)估：在b）的基礎(chǔ)上，堅(jiān)持制度化脆弱性評(píng)估，應(yīng)明確規(guī)定進(jìn)行脆弱性評(píng)估的時(shí)間和系統(tǒng)范圍、人員和責(zé)任、評(píng)估結(jié)果的分析和報(bào)告程序，以及報(bào)告中包括新發(fā)現(xiàn)的漏洞、已修補(bǔ)的漏洞、漏洞趨勢(shì)分析等。 5.3.2.4 風(fēng)險(xiǎn)分析和評(píng)估要求 對(duì)風(fēng)險(xiǎn)分析和評(píng)估，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)： a） 經(jīng)驗(yàn)的風(fēng)險(xiǎn)評(píng)估：應(yīng)由用戶和部分專家通過(guò)經(jīng)驗(yàn)來(lái)判斷風(fēng)險(xiǎn)，并對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估，形成風(fēng)險(xiǎn)評(píng)估報(bào)告，其中必須包括風(fēng)險(xiǎn)級(jí)別、風(fēng)險(xiǎn)點(diǎn)等內(nèi)容，并確定信息系統(tǒng)的安全風(fēng)險(xiǎn)狀況； b） 全面的風(fēng)險(xiǎn)評(píng)估：在a）的基礎(chǔ)上，應(yīng)采用多層面、多角度的系統(tǒng)分析方法，由用戶和專家對(duì)資產(chǎn)、威

56、脅和脆弱性等方面進(jìn)行定性綜合評(píng)估，建議處理和減緩風(fēng)險(xiǎn)的措施，形成風(fēng)險(xiǎn)評(píng)估報(bào)告；除風(fēng)險(xiǎn)狀況外，在風(fēng)險(xiǎn)評(píng)估的各項(xiàng)步驟中還應(yīng)生成信息系統(tǒng)體系特征報(bào)告、威脅評(píng)估報(bào)告、脆弱性評(píng)估報(bào)告和安全措施分析報(bào)告等；基于這些報(bào)告，評(píng)估者應(yīng)對(duì)安全措施提出建議； c） 建立和維護(hù)風(fēng)險(xiǎn)信息庫(kù)：在b）的基礎(chǔ)上，應(yīng)將風(fēng)險(xiǎn)評(píng)估中的信息資產(chǎn)、威脅、脆弱性、防護(hù)措施等評(píng)估項(xiàng)信息綜合到一個(gè)數(shù)據(jù)庫(kù)中進(jìn)行管理；組織機(jī)構(gòu)應(yīng)當(dāng)在后續(xù)的項(xiàng)目和工具中持續(xù)地維護(hù)該數(shù)據(jù)庫(kù)。 5.3.3 風(fēng)險(xiǎn)控制 5.3.3.1 選擇和實(shí)施風(fēng)險(xiǎn)控制措施 對(duì)選擇和實(shí)施風(fēng)險(xiǎn)控制措施，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)：

57、60;a） 基于安全等級(jí)標(biāo)準(zhǔn)選擇控制措施：以信息系統(tǒng)及產(chǎn)品的安全等級(jí)標(biāo)準(zhǔn)對(duì)不同等級(jí)的技術(shù)和管理要求，選擇相應(yīng)等級(jí)的安全技術(shù)和管理措施，決定需要實(shí)施的信息系統(tǒng)安全控制措施； b） 基于風(fēng)險(xiǎn)評(píng)估選擇控制措施：在a）的基礎(chǔ)上，根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，結(jié)合組織機(jī)構(gòu)對(duì)于信息系統(tǒng)安全的需求，決定信息系統(tǒng)安全的控制措施； c） 基于風(fēng)險(xiǎn)評(píng)估形成防護(hù)控制系統(tǒng)：在b）的基礎(chǔ)上，根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，結(jié)合機(jī)構(gòu)對(duì)于信息系統(tǒng)安全的需求，決定信息系統(tǒng)安全的控制措施；對(duì)相關(guān)的各種控制措施進(jìn)行綜合分析，得出緊迫性、優(yōu)先級(jí)、投資比重等評(píng)價(jià)，形成體系化的防護(hù)控制系統(tǒng)。 5.3.4 基于風(fēng)險(xiǎn)的決策

58、0;5.3.4.1 安全確認(rèn) 應(yīng)對(duì)信息系統(tǒng)定期進(jìn)行安全確認(rèn)。對(duì)安全確認(rèn)，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)： a） 殘余風(fēng)險(xiǎn)接受：針對(duì)信息系統(tǒng)的資產(chǎn)清單、威脅列表、脆弱性列表，結(jié)合已采用的安全控制措施，分析存在的殘余風(fēng)險(xiǎn)；應(yīng)形成殘余風(fēng)險(xiǎn)分析報(bào)告，并由組織機(jī)構(gòu)的高層管理人員決定殘余風(fēng)險(xiǎn)是否可接受； b） 殘余風(fēng)險(xiǎn)監(jiān)視：在a）的基礎(chǔ)上，應(yīng)編制出信息系統(tǒng)殘余風(fēng)險(xiǎn)清單，并密切監(jiān)視殘余風(fēng)險(xiǎn)可能誘發(fā)的安全事件，并及時(shí)采取防護(hù)措施； c） 安全風(fēng)險(xiǎn)再評(píng)估：在b）的基礎(chǔ)上，采用系統(tǒng)化的方法對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)實(shí)施再次評(píng)估，通過(guò)再次評(píng)估，驗(yàn)證防護(hù)措施的有效性。

59、0;5.3.4.2 信息系統(tǒng)運(yùn)行的決策 對(duì)信息系統(tǒng)運(yùn)行的決策，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)： a） 信息系統(tǒng)運(yùn)行的決定：信息系統(tǒng)的主管者或運(yùn)營(yíng)者應(yīng)根據(jù)安全確認(rèn)的結(jié)果，判斷殘余風(fēng)險(xiǎn)是否處在可接受的水平之內(nèi)，并決定是否允許信息系統(tǒng)繼續(xù)運(yùn)行； b） 信息系統(tǒng)受控運(yùn)行：在a）的基礎(chǔ)上，如果信息系統(tǒng)的殘余風(fēng)險(xiǎn)不可接受，而現(xiàn)實(shí)情況又要求系統(tǒng)必須投入運(yùn)行，且當(dāng)前沒(méi)有其它資源能勝任組織機(jī)構(gòu)的使命，經(jīng)過(guò)組織機(jī)構(gòu)管理層的審批，可以臨時(shí)批準(zhǔn)信息系統(tǒng)投入運(yùn)行，同時(shí)應(yīng)采取相應(yīng)的風(fēng)險(xiǎn)規(guī)避和監(jiān)測(cè)控制措施，并明確風(fēng)險(xiǎn)一旦發(fā)生的責(zé)任陳述。 5.3.5 風(fēng)險(xiǎn)評(píng)估的管理 

60、;5.3.5.1 評(píng)估機(jī)構(gòu)的選擇 對(duì)評(píng)估機(jī)構(gòu)選擇，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)： a） 按資質(zhì)和信譽(yù)選擇：應(yīng)選擇有國(guó)家主管部門認(rèn)可的安全服務(wù)資質(zhì)且有良好信譽(yù)的評(píng)估機(jī)構(gòu)進(jìn)行信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估； b） 在上級(jí)認(rèn)可的范圍內(nèi)選擇：應(yīng)在經(jīng)過(guò)本行業(yè)主管部門認(rèn)可或上級(jí)行政領(lǐng)導(dǎo)部門批準(zhǔn)的選擇范圍內(nèi)，確定有國(guó)家主管部門認(rèn)可的安全服務(wù)資質(zhì)且有良好信譽(yù)的評(píng)估機(jī)構(gòu)，進(jìn)行信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估； c） 組織專門的評(píng)估：應(yīng)按照國(guó)家主管部門有關(guān)管理規(guī)定選擇可信評(píng)估機(jī)構(gòu)，必要時(shí)應(yīng)由國(guó)家指定專門部門、專門機(jī)構(gòu)組織進(jìn)行信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估。 5.3.5.2 評(píng)估機(jī)構(gòu)保密要求 對(duì)評(píng)估機(jī)構(gòu)的保密要求，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)： a） 簽署保密協(xié)議：評(píng)估機(jī)構(gòu)人員應(yīng)按照第三方人員管理要求（詳見(jiàn)5.2.3.6）簽署保密協(xié)議； b） 專人監(jiān)督檢查：在a）的基礎(chǔ)上，應(yīng)有專人在整個(gè)評(píng)估過(guò)程中監(jiān)督檢查評(píng)估機(jī)構(gòu)對(duì)保密協(xié)議的執(zhí)行情況； c） 制定具體辦法：在b）的基礎(chǔ)上，對(duì)專門評(píng)估組的保密要求應(yīng)參照中華人民共和國(guó)保守國(guó)家秘密法的要求，結(jié)合實(shí)際情況制定具體實(shí)施辦法。 5.3.5.3 評(píng)估