最新制度體系之--信息安全管理制度實施指南

1、制度體系之-信息安全管理制度實施指南 TOC o 1-3 h z u HYPERLINK l _Toc1350418311策略管理 PAGEREF _Toc135041831 h 3HYPERLINK l _Toc1350418321.1安全策略和管理制度 PAGEREF _Toc135041832 h 3HYPERLINK l _Toc1350418331.1.1信息安全策略 PAGEREF _Toc135041833 h 3HYPERLINK l _Toc1350418341.1.2信息安全管理制度 PAGEREF _Toc135041834 h 3HYPERLINK l _Toc1350

2、418351.1.3行為規(guī)范 PAGEREF _Toc135041835 h 3HYPERLINK l _Toc1350418361.2安全規(guī)劃 PAGEREF _Toc135041836 h 3HYPERLINK l _Toc1350418371.2.1系統(tǒng)安全規(guī)劃 PAGEREF _Toc135041837 h 3HYPERLINK l _Toc1350418381.2.2系統(tǒng)安全規(guī)劃的更新 PAGEREF _Toc135041838 h 3HYPERLINK l _Toc1350418391.2.3階段性行動計劃 PAGEREF _Toc135041839 h 3HYPERLINK l

3、_Toc1350418402組織管理 PAGEREF _Toc135041840 h 3HYPERLINK l _Toc1350418412.1組織機(jī)構(gòu) PAGEREF _Toc135041841 h 3HYPERLINK l _Toc1350418422.1.1信息安全管理機(jī)構(gòu) PAGEREF _Toc135041842 h 3HYPERLINK l _Toc1350418432.1.2信息安全管理人員 PAGEREF _Toc135041843 h 3HYPERLINK l _Toc1350418442.2人員安全 PAGEREF _Toc135041844 h 3HYPERLINK l

4、_Toc1350418452.2.1工作崗位風(fēng)險分級 PAGEREF _Toc135041845 h 3HYPERLINK l _Toc1350418462.2.2人員審查 PAGEREF _Toc135041846 h 3HYPERLINK l _Toc1350418472.2.3人員工作合同終止 PAGEREF _Toc135041847 h 3HYPERLINK l _Toc1350418482.2.4人員調(diào)動 PAGEREF _Toc135041848 h 3HYPERLINK l _Toc1350418492.2.5工作協(xié)議和條款 PAGEREF _Toc135041849 h 3H

5、YPERLINK l _Toc1350418502.2.6第三方人員安全 PAGEREF _Toc135041850 h 3HYPERLINK l _Toc1350418512.2.7人員處罰 PAGEREF _Toc135041851 h 3HYPERLINK l _Toc1350418522.3安全意識和培訓(xùn) PAGEREF _Toc135041852 h 3HYPERLINK l _Toc1350418532.3.1安全意識 PAGEREF _Toc135041853 h 3HYPERLINK l _Toc1350418542.3.2安全培訓(xùn) PAGEREF _Toc135041854

6、h 3HYPERLINK l _Toc1350418552.3.3安全培訓(xùn)記錄 PAGEREF _Toc135041855 h 3HYPERLINK l _Toc1350418563運(yùn)行管理 PAGEREF _Toc135041856 h 3HYPERLINK l _Toc1350418573.1風(fēng)險評估和認(rèn)證認(rèn)可 PAGEREF _Toc135041857 h 3HYPERLINK l _Toc1350418583.1.1安全分類 PAGEREF _Toc135041858 h 3HYPERLINK l _Toc1350418593.1.2風(fēng)險評估 PAGEREF _Toc135041859

7、 h 3HYPERLINK l _Toc1350418603.1.3風(fēng)險評估更新 PAGEREF _Toc135041860 h 3HYPERLINK l _Toc1350418613.1.4安全認(rèn)證 PAGEREF _Toc135041861 h 3HYPERLINK l _Toc1350418623.1.5安全認(rèn)可 PAGEREF _Toc135041862 h 3HYPERLINK l _Toc1350418633.1.6持續(xù)監(jiān)控 PAGEREF _Toc135041863 h 3HYPERLINK l _Toc1350418643.2系統(tǒng)與服務(wù)采購 PAGEREF _Toc135041

8、864 h 3HYPERLINK l _Toc1350418653.2.1資源分配 PAGEREF _Toc135041865 h 3HYPERLINK l _Toc1350418663.2.2生命周期支持 PAGEREF _Toc135041866 h 3HYPERLINK l _Toc1350418673.2.3采購 PAGEREF _Toc135041867 h 3HYPERLINK l _Toc1350418683.2.4信息系統(tǒng)文件 PAGEREF _Toc135041868 h 3HYPERLINK l _Toc1350418693.2.5軟件使用限制 PAGEREF _Toc13

9、5041869 h 3HYPERLINK l _Toc1350418703.2.6用戶安裝的軟件 PAGEREF _Toc135041870 h 3HYPERLINK l _Toc1350418713.2.7安全設(shè)計原則 PAGEREF _Toc135041871 h 3HYPERLINK l _Toc1350418723.2.8外包信息系統(tǒng)服務(wù) PAGEREF _Toc135041872 h 3HYPERLINK l _Toc1350418733.2.9開發(fā)配置管理 PAGEREF _Toc135041873 h 3HYPERLINK l _Toc1350418743.2.10開發(fā)安全測試評

10、估 PAGEREF _Toc135041874 h 3HYPERLINK l _Toc1350418753.3配置管理 PAGEREF _Toc135041875 h 3HYPERLINK l _Toc1350418763.3.1基線配置 PAGEREF _Toc135041876 h 3HYPERLINK l _Toc1350418773.3.2配置變更控制 PAGEREF _Toc135041877 h 3HYPERLINK l _Toc1350418783.3.3監(jiān)督配置變更 PAGEREF _Toc135041878 h 3HYPERLINK l _Toc1350418793.3.4變

11、更訪問限制 PAGEREF _Toc135041879 h 3HYPERLINK l _Toc1350418803.3.5配置策略設(shè)置 PAGEREF _Toc135041880 h 3HYPERLINK l _Toc1350418813.3.6功能最小化 PAGEREF _Toc135041881 h 3HYPERLINK l _Toc1350418823.4應(yīng)急計劃和事件響應(yīng) PAGEREF _Toc135041882 h 3HYPERLINK l _Toc1350418833.4.1應(yīng)急計劃 PAGEREF _Toc135041883 h 3HYPERLINK l _Toc1350418

12、843.4.2應(yīng)急響應(yīng)培訓(xùn) PAGEREF _Toc135041884 h 3HYPERLINK l _Toc1350418853.4.3應(yīng)急和事件響應(yīng)計劃測試 PAGEREF _Toc135041885 h 3HYPERLINK l _Toc1350418863.4.4應(yīng)急和事件響應(yīng)計劃更新 PAGEREF _Toc135041886 h 3HYPERLINK l _Toc1350418873.4.5事件處理 PAGEREF _Toc135041887 h 3HYPERLINK l _Toc1350418883.4.6事件監(jiān)控 PAGEREF _Toc135041888 h 3HYPERLI

13、NK l _Toc1350418893.4.7事件報告 PAGEREF _Toc135041889 h 3HYPERLINK l _Toc1350418903.4.8事件響應(yīng)支持 PAGEREF _Toc135041890 h 3HYPERLINK l _Toc1350418913.5系統(tǒng)管理與維護(hù) PAGEREF _Toc135041891 h 3HYPERLINK l _Toc1350418923.5.1安全管理技術(shù) PAGEREF _Toc135041892 h 3HYPERLINK l _Toc1350418933.5.2常規(guī)維護(hù) PAGEREF _Toc135041893 h 3HY

14、PERLINK l _Toc1350418943.5.3維護(hù)工具管理 PAGEREF _Toc135041894 h 3HYPERLINK l _Toc1350418953.5.4遠(yuǎn)程維護(hù) PAGEREF _Toc135041895 h 3HYPERLINK l _Toc1350418963.5.5維護(hù)人員 PAGEREF _Toc135041896 h 3HYPERLINK l _Toc1350418973.5.6維護(hù)及時性 PAGEREF _Toc135041897 h 3HYPERLINK l _Toc1350418984技術(shù)管理 PAGEREF _Toc135041898 h 3HYP

15、ERLINK l _Toc1350418994.1標(biāo)識鑒別 PAGEREF _Toc135041899 h 3HYPERLINK l _Toc1350419004.1.1身份標(biāo)識和鑒別 PAGEREF _Toc135041900 h 3HYPERLINK l _Toc1350419014.1.2設(shè)備標(biāo)識和鑒別 PAGEREF _Toc135041901 h 3HYPERLINK l _Toc1350419024.1.3標(biāo)識管理 PAGEREF _Toc135041902 h 3HYPERLINK l _Toc1350419034.1.4鑒別管理 PAGEREF _Toc135041903 h

16、3HYPERLINK l _Toc1350419044.1.5登錄和鑒別反饋 PAGEREF _Toc135041904 h 3HYPERLINK l _Toc1350419054.2訪問控制 PAGEREF _Toc135041905 h 3HYPERLINK l _Toc1350419064.2.1賬戶管理 PAGEREF _Toc135041906 h 3HYPERLINK l _Toc1350419074.2.2強(qiáng)制訪問 PAGEREF _Toc135041907 h 3HYPERLINK l _Toc1350419084.2.3信息流控制 PAGEREF _Toc135041908

17、h 3HYPERLINK l _Toc1350419094.2.4職責(zé)分離 PAGEREF _Toc135041909 h 3HYPERLINK l _Toc1350419104.2.5最小權(quán)限 PAGEREF _Toc135041910 h 3HYPERLINK l _Toc1350419114.2.6不成功登錄嘗試 PAGEREF _Toc135041911 h 3HYPERLINK l _Toc1350419124.2.7系統(tǒng)使用情況 PAGEREF _Toc135041912 h 3HYPERLINK l _Toc1350419134.2.8最近登錄情況 PAGEREF _Toc135

18、041913 h 3HYPERLINK l _Toc1350419144.2.9并發(fā)會話控制 PAGEREF _Toc135041914 h 3HYPERLINK l _Toc1350419154.2.10會話鎖定 PAGEREF _Toc135041915 h 3HYPERLINK l _Toc1350419164.2.11會話終止 PAGEREF _Toc135041916 h 3HYPERLINK l _Toc1350419174.2.12對訪問控制的監(jiān)督和審查 PAGEREF _Toc135041917 h 3HYPERLINK l _Toc1350419184.2.13不需鑒別或認(rèn)證

19、的行為 PAGEREF _Toc135041918 h 3HYPERLINK l _Toc1350419194.2.14自動化標(biāo)記 PAGEREF _Toc135041919 h 3HYPERLINK l _Toc1350419204.2.15遠(yuǎn)程訪問控制 PAGEREF _Toc135041920 h 3HYPERLINK l _Toc1350419214.2.16無線接入訪問控制 PAGEREF _Toc135041921 h 3HYPERLINK l _Toc1350419224.2.17便攜式移動設(shè)備的訪問控制 PAGEREF _Toc135041922 h 3HYPERLINK l

20、_Toc1350419234.2.18個人信息系統(tǒng) PAGEREF _Toc135041923 h 3HYPERLINK l _Toc1350419244.3系統(tǒng)與信息完整性 PAGEREF _Toc135041924 h 3HYPERLINK l _Toc1350419254.3.1漏洞修補(bǔ) PAGEREF _Toc135041925 h 3HYPERLINK l _Toc1350419264.3.2防惡意代碼攻擊 PAGEREF _Toc135041926 h 3HYPERLINK l _Toc1350419274.3.3輸入信息的限制 PAGEREF _Toc135041927 h 3H

21、YPERLINK l _Toc1350419284.3.4錯誤處理 PAGEREF _Toc135041928 h 3HYPERLINK l _Toc1350419294.3.5輸出信息的處理和保存 PAGEREF _Toc135041929 h 3HYPERLINK l _Toc1350419304.4系統(tǒng)與通信保護(hù) PAGEREF _Toc135041930 h 3HYPERLINK l _Toc1350419314.4.1應(yīng)用系統(tǒng)分區(qū) PAGEREF _Toc135041931 h 3HYPERLINK l _Toc1350419324.4.2安全域劃分 PAGEREF _Toc1350

22、41932 h 3HYPERLINK l _Toc1350419334.4.3拒絕服務(wù)保護(hù) PAGEREF _Toc135041933 h 3HYPERLINK l _Toc1350419344.4.4邊界保護(hù) PAGEREF _Toc135041934 h 3HYPERLINK l _Toc1350419354.4.5網(wǎng)絡(luò)連接終止 PAGEREF _Toc135041935 h 3HYPERLINK l _Toc1350419364.4.6公共訪問保護(hù) PAGEREF _Toc135041936 h 3HYPERLINK l _Toc1350419374.4.7移動代碼 PAGEREF _T

23、oc135041937 h 3HYPERLINK l _Toc1350419384.5介質(zhì)保護(hù) PAGEREF _Toc135041938 h 3HYPERLINK l _Toc1350419394.5.1介質(zhì)訪問 PAGEREF _Toc135041939 h 3HYPERLINK l _Toc1350419404.5.2介質(zhì)保存 PAGEREF _Toc135041940 h 3HYPERLINK l _Toc1350419414.5.3信息徹底清除 PAGEREF _Toc135041941 h 3HYPERLINK l _Toc1350419424.5.4介質(zhì)的廢棄 PAGEREF _

24、Toc135041942 h 3HYPERLINK l _Toc1350419434.6物理和環(huán)境保護(hù) PAGEREF _Toc135041943 h 3HYPERLINK l _Toc1350419444.6.1物理訪問授權(quán) PAGEREF _Toc135041944 h 3HYPERLINK l _Toc1350419454.6.2物理訪問控制 PAGEREF _Toc135041945 h 3HYPERLINK l _Toc1350419464.6.3顯示介質(zhì)訪問控制 PAGEREF _Toc135041946 h 3HYPERLINK l _Toc1350419474.6.4物理訪問監(jiān)

25、視 PAGEREF _Toc135041947 h 3HYPERLINK l _Toc1350419484.6.5來訪人員控制 PAGEREF _Toc135041948 h 3HYPERLINK l _Toc1350419494.6.6來訪記錄 PAGEREF _Toc135041949 h 3HYPERLINK l _Toc1350419504.6.7環(huán)境安全 PAGEREF _Toc135041950 h 3HYPERLINK l _Toc1350419514.7檢測和響應(yīng) PAGEREF _Toc135041951 h 3HYPERLINK l _Toc1350419524.7.1事件

26、審計 PAGEREF _Toc135041952 h 3HYPERLINK l _Toc1350419534.7.2審計記錄的內(nèi)容 PAGEREF _Toc135041953 h 3HYPERLINK l _Toc1350419544.7.3審計處理 PAGEREF _Toc135041954 h 3HYPERLINK l _Toc1350419554.7.4審計的監(jiān)控、分析和報告 PAGEREF _Toc135041955 h 3HYPERLINK l _Toc1350419564.7.5審計信息保護(hù) PAGEREF _Toc135041956 h 3HYPERLINK l _Toc1350

27、419574.7.6審計保留 PAGEREF _Toc135041957 h 3HYPERLINK l _Toc1350419584.7.7入侵檢測 PAGEREF _Toc135041958 h 3HYPERLINK l _Toc1350419594.7.8漏洞掃描 PAGEREF _Toc135041959 h 3HYPERLINK l _Toc1350419604.7.9安全告警和響應(yīng) PAGEREF _Toc135041960 h 3HYPERLINK l _Toc1350419614.8備份與恢復(fù) PAGEREF _Toc135041961 h 3HYPERLINK l _Toc13

28、50419624.8.1信息系統(tǒng)備份 PAGEREF _Toc135041962 h 3HYPERLINK l _Toc1350419634.8.2備份存儲地點(diǎn) PAGEREF _Toc135041963 h 3HYPERLINK l _Toc1350419644.8.3備份處理地點(diǎn) PAGEREF _Toc135041964 h 3HYPERLINK l _Toc1350419654.8.4信息系統(tǒng)恢復(fù)與重建 PAGEREF _Toc135041965 h 3策略管理安全策略是高層管理層決定的一個全面的聲明 ，它規(guī)定在組織中安全問題扮演什么樣的角色。組織安全策略為機(jī)構(gòu)內(nèi)部未來的所有安全活動提

29、供了范圍和方向。安全策略和管理制度對各級部門制定總體的信息安全策略、信息安全管理制度和相應(yīng)的行為規(guī)范，指導(dǎo)信息安全保障工作更好的開展。信息安全策略信息安全策略是高級管理層決定的一個全面的聲明，它規(guī)定在組織中安全問題扮演什么樣的角色。它能夠為信息安全提供符合業(yè)務(wù)要求和相關(guān)法律法規(guī)的管理指導(dǎo)和支持。要求對各級部門制定總體信息安全策略，詳細(xì)闡述目標(biāo)、范圍、角色、責(zé)任以及合規(guī)性等；制定高層信息安全策略，部門級安全策略，系統(tǒng)級安全策略；開發(fā)、發(fā)布、并定期更新信息安全策略；內(nèi)容信息安全策略的內(nèi)容要覆蓋安全規(guī)劃、組織機(jī)構(gòu)、人員安全、安全意識和培訓(xùn)、風(fēng)險評估、認(rèn)證認(rèn)可、系統(tǒng)與服務(wù)采購、配置管理、應(yīng)急計劃、事件

30、響應(yīng)、系統(tǒng)維護(hù)、標(biāo)識鑒別、訪問控制、系統(tǒng)與信息完整性、系統(tǒng)與通信保護(hù)、抗抵賴、介質(zhì)保護(hù)、物理和環(huán)境保護(hù)、檢測響應(yīng)恢復(fù)等各方面；信息安全策略定義了明確所要保護(hù)的總體安全目標(biāo)與范圍；信息安全策略經(jīng)過本級主管信息工作的領(lǐng)導(dǎo)批準(zhǔn)，正式頒布，并定期根據(jù)實施效果進(jìn)行修訂。信息安全管理制度信息安全管理制度是為了更好地保證系統(tǒng)的信息安全，是信息安全策略的進(jìn)一步實施的具體化。要求制定嚴(yán)格的規(guī)范化的信息安全管理制度，以促進(jìn)信息安全策略的實施；內(nèi)容對信息的生成、存儲、查看、傳輸、復(fù)制、備份、歸檔、銷毀等制定嚴(yán)格的管理制度；對信息系統(tǒng)中設(shè)備與系統(tǒng)的接入、運(yùn)行、維護(hù)、管理的規(guī)定；有安全管理值班制度與事故報告處理制度，應(yīng)

31、急響應(yīng)預(yù)案以及各種應(yīng)用系統(tǒng)用戶授權(quán)管理與系統(tǒng)運(yùn)行管理規(guī)定等；根據(jù)管理制度的執(zhí)行情況定期審核，修訂。行為規(guī)范行為規(guī)范規(guī)定了系統(tǒng)的各類使用和管理人員的崗位職責(zé)，規(guī)定了各類人員的責(zé)任和所允許信息系統(tǒng)的權(quán)利。要求對信息系統(tǒng)的各類使用和管理人員的崗位職責(zé)、行為規(guī)范制定管理規(guī)定，并描述其責(zé)任和所允許的訪問信息和信息系統(tǒng)的正當(dāng)行為；所有用戶在被授權(quán)訪問信息系統(tǒng)之前，應(yīng)以書面簽認(rèn)方式確認(rèn)其已經(jīng)知悉、理解并愿意遵守相關(guān)的規(guī)范。內(nèi)容管理制度印發(fā)給有關(guān)管理和應(yīng)用人員，并抽查，以驗證其是否了解應(yīng)遵守的行為規(guī)范。安全規(guī)劃制定較為完整的信息安全規(guī)劃，以指導(dǎo)信息安全保障工作的開展。安全規(guī)劃包括系統(tǒng)安全規(guī)劃、系統(tǒng)安全規(guī)劃的更

32、新、階段性行動計劃。系統(tǒng)安全規(guī)劃系統(tǒng)安全規(guī)劃是對信息系統(tǒng)安全一個全面的規(guī)劃，用來描述系統(tǒng)的安全要求和滿足安全規(guī)劃采用的安全控制措施。要求為信息系統(tǒng)制定并實施安全規(guī)劃，對系統(tǒng)的安全要求以及滿足這些安全需求的在用的或計劃采用的安全控制措施進(jìn)行描述；高層領(lǐng)導(dǎo)應(yīng)審核、批準(zhǔn)安全規(guī)劃，并采用統(tǒng)一規(guī)劃、分步實施的原則貫徹執(zhí)行。內(nèi)容結(jié)合xxxx的信息系統(tǒng)安全的總體目標(biāo)和安全需求，制定針對性的信息安全規(guī)劃；系統(tǒng)安全規(guī)劃的更新系統(tǒng)安全是一個動態(tài)的過程，系統(tǒng)安全規(guī)劃要定期審核并修訂，當(dāng)發(fā)生重大變更時，要用時對系統(tǒng)安全規(guī)劃進(jìn)行更新。要求定期審核并修訂信息系統(tǒng)安全規(guī)劃，以解決在計劃實施中或安全控制評估中發(fā)現(xiàn)的問題，以及

33、應(yīng)對信息系統(tǒng)或組織的變更。內(nèi)容定期或發(fā)生重大變更時，對信息安全規(guī)劃進(jìn)行審核和修訂；信息安全規(guī)劃的修改要嚴(yán)格遵守相關(guān)的策略和流程，并得到主管領(lǐng)導(dǎo)的批準(zhǔn)。階段性行動計劃信息系統(tǒng)的生命周期有不同的階段，在每一個階段信息系統(tǒng)的安全需求是不同的，要對每個階段編制、開發(fā)或更新信息系統(tǒng)的行動計劃。要求編制開發(fā)和更新信息系統(tǒng)的活動和里程碑計劃，并將已計劃的、已實施的、和經(jīng)過評估的行為文件化，以減少或消除系統(tǒng)中已知的脆弱性。內(nèi)容有相應(yīng)的活動和里程碑計劃；活動和里程碑計劃是在安全控制措施評估結(jié)果、安全影響分析和持續(xù)性監(jiān)控活動的基礎(chǔ)上進(jìn)行更新的。組織管理組織機(jī)構(gòu)信息安全管理機(jī)構(gòu)要求組建本單位的信息安全管理機(jī)構(gòu)，該機(jī)

34、構(gòu)應(yīng)由主管本單位信息安全工作的領(lǐng)導(dǎo)、負(fù)責(zé)具體工作的網(wǎng)絡(luò)、安全管理人員組成，責(zé)任到人，具有領(lǐng)導(dǎo)信息安全工作、制定安全策略、監(jiān)督管理等職能。內(nèi)容組建信息安全管理機(jī)構(gòu)及其機(jī)構(gòu)組成，人員設(shè)置,并文件化；組建的信息安全管理機(jī)構(gòu)有明確的信息安全管理職能（包括物理安全管理、身份鑒別管理、訪問控制管理、安全審計管理、安全教育與培訓(xùn)等）；組建的信息安全管理機(jī)構(gòu)是自上而下，分級負(fù)責(zé)的。信息安全管理人員要求信息安全管理機(jī)構(gòu)中的安全管理人員應(yīng)分權(quán)負(fù)責(zé)，以限制具有超級權(quán)限的人員存在。內(nèi)容信息安全管理機(jī)構(gòu)中的管理人員分權(quán)負(fù)責(zé)，系統(tǒng)管理員、安全管理員、安全審計員等分別都是由不同的人員擔(dān)任；各種設(shè)備與系統(tǒng)由相關(guān)的管理責(zé)任人，

35、具有信息資產(chǎn)清單，并明文規(guī)定責(zé)任人的職責(zé)，責(zé)任人對其管理的設(shè)備及責(zé)任清楚。人員安全人員安全主要包括工作崗位風(fēng)險分級、人員審查、人員工作合同終止、人員調(diào)動、工作協(xié)議和條款、第三方人員安全以及人員處罰等幾個方面。工作崗位風(fēng)險分級要求對工作崗位進(jìn)行風(fēng)險分級，并制定針對在各級崗位工作的人員審查機(jī)制；定期復(fù)核和修訂不同工作崗位的風(fēng)險分級。內(nèi)容制定并實施工作崗位風(fēng)險分級的制度；定期復(fù)核、修訂工作崗位的風(fēng)險分級。人員審查要求結(jié)合自身的業(yè)務(wù)需求、相關(guān)的法律法規(guī)、被訪問信息的分類及面臨風(fēng)險等因素，對工作人員、合作者、第三方人員進(jìn)行人員背景審查；在授權(quán)之前對需要訪問信息和信息系統(tǒng)的人員進(jìn)行審查；制定人員審查流程，

36、流程應(yīng)描述進(jìn)行人員審查的方式和限制條件，如規(guī)定誰有資格進(jìn)行審查，在何時，通過什么方式，因為什么原因來進(jìn)行審查等等。內(nèi)容制定有關(guān)人員背景審查的制度和流程，并依此進(jìn)行人員審查、核實工作。人員工作合同終止要求當(dāng)人員工作合同終止時，應(yīng)終止人員對信息系統(tǒng)的訪問，并確保其歸還所擁有與組織相關(guān)的資產(chǎn)；制定員工注冊和注銷流程，來授予和撤銷員工對信息系統(tǒng)和服務(wù)的訪問權(quán)限。內(nèi)容明確規(guī)定和指派職責(zé)，以處理人員工作合同終止事宜；及時移除或封堵工作合同終止的人員對信息和信息處理系統(tǒng)的訪問權(quán)限，包括物理和邏輯訪問；及時更改工作合同終止人員所知曉的賬戶密碼。人員調(diào)動要求當(dāng)工作人員被重新分配或調(diào)動到單位其它工作崗位時，應(yīng)復(fù)查

37、信息系統(tǒng)和設(shè)施的訪問授權(quán)，并采取適當(dāng)?shù)拇胧ㄈ缰匦掳l(fā)放身份卡，關(guān)閉原有賬戶的同時創(chuàng)建新賬戶，更改系統(tǒng)的訪問授權(quán)等）。內(nèi)容對人員調(diào)動采取適當(dāng)?shù)陌踩胧?。工作協(xié)議和條款要求在對需要訪問信息和信息系統(tǒng)的人員進(jìn)行訪問授權(quán)之前，簽署適當(dāng)?shù)墓ぷ鲄f(xié)議和條款（如，保密協(xié)議、按規(guī)定進(jìn)行使用的協(xié)議、行為規(guī)范等）。內(nèi)容制定和簽署相關(guān)的工作協(xié)議和條款。第三方人員安全要求建立針對第三方人員（如服務(wù)機(jī)構(gòu)、合作方、信息系統(tǒng)開發(fā)商、信息技術(shù)服務(wù)、應(yīng)用系統(tǒng)外包、網(wǎng)絡(luò)和安全管理等）的安全要求，并不斷監(jiān)督其遵從安全要求的情況以確保足夠安全。內(nèi)容明確第三方參與的業(yè)務(wù)過程對信息和信息處理設(shè)施帶來的風(fēng)險，并采取適當(dāng)?shù)目刂拼胧?；同第三方?/p>

38、訂的安全協(xié)議中，覆蓋第三方在訪問、處理、通信、管理組織信息或信息處理設(shè)施、增加產(chǎn)品或服務(wù)等活動中所有相關(guān)的安全要求，并清晰定義了其安全角色和責(zé)任。人員處罰要求建立正規(guī)的程序，處罰或制裁未遵守信息安全策略和流程的員工。內(nèi)容在信息安全策略和程序文檔中制定了關(guān)于人員處罰的相關(guān)程序。安全意識和培訓(xùn)安全意識和培訓(xùn)的目標(biāo)是確保用戶清楚信息安全威脅和利害關(guān)系。在安全程序、設(shè)備和信息系統(tǒng)的使用過程中培訓(xùn)工作人員，使工作人員有良好的安全意識，以降低可能的安全風(fēng)險。安全意識和培訓(xùn)涉及以下內(nèi)容：安全意識、安全培訓(xùn)、安全培訓(xùn)記錄。安全意識要求根據(jù)信息系統(tǒng)的特定安全要求，制定具有針對性的安全意識培訓(xùn)內(nèi)容，確保所有人員（

39、包括領(lǐng)導(dǎo)和普通工作人員）在被授權(quán)訪問信息系統(tǒng)之前進(jìn)行了基本的信息安全意識培訓(xùn)，并且定期進(jìn)行培訓(xùn)。內(nèi)容相關(guān)人員具備基本的信息安全意識。安全培訓(xùn)要求制定安全培訓(xùn)計劃，并且定期按照計劃進(jìn)行培訓(xùn)；確定每個工作人員在信息系統(tǒng)中的安全角色和職責(zé)，將這些角色和職責(zé)文檔化，在工作人員被授權(quán)訪問系統(tǒng)之前提供適合的信息系統(tǒng)安全培訓(xùn)；依據(jù)自身的特定要求和工作人員授權(quán)訪問的信息系統(tǒng)的不同，制定針對性較強(qiáng)的安全培訓(xùn)內(nèi)容；確保系統(tǒng)管理員，管理者和其他有權(quán)訪問系統(tǒng)層軟件的人員在從事本職工作之前進(jìn)行了必要的技術(shù)培訓(xùn)。內(nèi)容根據(jù)安全培訓(xùn)計劃和安全培訓(xùn)教材以及工作人員的安全角色和職責(zé)制定針對性較強(qiáng)的信息安全培訓(xùn)；根據(jù)安全培訓(xùn)記錄并

40、結(jié)合安全培訓(xùn)計劃，在適當(dāng)?shù)臅r間，對相關(guān)各類人員進(jìn)行了必要的信息安全培訓(xùn)。安全培訓(xùn)記錄要求記錄并監(jiān)督工作人員的信息系統(tǒng)安全培訓(xùn)過程，包括一些基本安全意識和安全技能培訓(xùn)，并應(yīng)形成相關(guān)的培訓(xùn)記錄。內(nèi)容有相應(yīng)的安全培訓(xùn)記錄。運(yùn)行管理風(fēng)險評估和認(rèn)證認(rèn)可風(fēng)險評估是對信息和信息處理設(shè)施所面臨的威脅及其影響以及信息系統(tǒng)脆弱性及其發(fā)生可能性的評估。安全分類 在于對不同類別的信息和信息系統(tǒng)提供出不同等級的安全保護(hù)。要求對信息系統(tǒng)及其處理、加工和存儲的信息進(jìn)行分類，并對不同類別的信息和信息系統(tǒng)應(yīng)達(dá)到的提出安全保護(hù)要求；將安全分類作為涉及整個單位的一項工作，并將安全分類的依據(jù)和結(jié)果記錄形成文件，由主管領(lǐng)導(dǎo)審核并批準(zhǔn)。

41、內(nèi)容根據(jù)法律要求，對敏感性和關(guān)鍵性等因素對信息及信息系統(tǒng)進(jìn)行分類。風(fēng)險評估風(fēng)險評估應(yīng)包括評價風(fēng)險程度的系統(tǒng)化的方法（風(fēng)險分析）以及將估計的風(fēng)險與風(fēng)險準(zhǔn)則進(jìn)行比較從而確定風(fēng)險重要程度的過程（風(fēng)險評估）。要求標(biāo)識信息系統(tǒng)的資產(chǎn)價值，識別信息系統(tǒng)面臨的自然和人為的威脅，識別信息系統(tǒng)的脆弱性，分析各種威脅發(fā)生的可能性，并定量或定性的描述可能造成的損失、評估系統(tǒng)的風(fēng)險級別；定期進(jìn)行風(fēng)險評估，以定期審核系統(tǒng)的安全風(fēng)險和已實施的安全控制的效果。內(nèi)容對系統(tǒng)的資產(chǎn)價值進(jìn)行了分級，信息系統(tǒng)面臨的自然和人為的威脅有所定義，信息系統(tǒng)的脆弱性所在，對威脅發(fā)生的可能性有相對準(zhǔn)確的分級，定量或定性描述結(jié)果符合系統(tǒng)的現(xiàn)狀；在

42、進(jìn)行風(fēng)險評估時，選擇的服務(wù)商有相關(guān)的資質(zhì)證明，其所依據(jù)的評估流程、評估方法是有效的和規(guī)范的；對安全控制的措施以及現(xiàn)有控制措施正確實施的程度是按照計劃實施、產(chǎn)生的，其輸出的結(jié)果滿足系統(tǒng)的安全需求。風(fēng)險評估更新信息系統(tǒng)的風(fēng)險評估處于一個動態(tài)平衡狀態(tài)，當(dāng)系統(tǒng)內(nèi)部有所變化，相對應(yīng)的風(fēng)險級別發(fā)生新的更新以符合新的風(fēng)險狀態(tài)。要求當(dāng)信息系統(tǒng)發(fā)生重大變更時，應(yīng)重新進(jìn)行風(fēng)險評估；制定相關(guān)規(guī)定，說明哪些是信息系統(tǒng)的重大變動。內(nèi)容當(dāng)信息系統(tǒng)發(fā)生重大變更時，如設(shè)備改變或其它影響系統(tǒng)安全狀態(tài)時，進(jìn)行了風(fēng)險評估更新，并對以前的風(fēng)險評估有更新記錄；有針對風(fēng)險評估更新而制定的具體標(biāo)準(zhǔn)。安全認(rèn)證保障信息系統(tǒng)安全技術(shù)產(chǎn)品具有可靠

43、的安全保障能力。要求當(dāng)前投入使用的信息系統(tǒng)安全技術(shù)產(chǎn)品應(yīng)該按照有關(guān)法律法規(guī)得到國家權(quán)威機(jī)構(gòu)的測評和認(rèn)證，以確定信息安全技術(shù)產(chǎn)品的功能和性能可以滿足系統(tǒng)的安全需求；邀請國家權(quán)威機(jī)構(gòu)對本單位信息系統(tǒng)進(jìn)行測評和認(rèn)證，以確定信息系統(tǒng)的技術(shù)控制措施，安全管理規(guī)章和工程建設(shè)過程可以為系統(tǒng)的安全提供充分的保障；安全認(rèn)證應(yīng)結(jié)合到系統(tǒng)開發(fā)的生命周期（SDLC）中,并貫穿在生命周期的各個階段。內(nèi)容當(dāng)前使用的信息安全產(chǎn)品得到中國信息安全產(chǎn)品測評認(rèn)證中心、公安部、國家保密局等國家權(quán)威部門的相關(guān)認(rèn)證；通過國家權(quán)威機(jī)構(gòu)對信息系統(tǒng)的安全保障能力的測評認(rèn)證；認(rèn)證結(jié)果對于當(dāng)前系統(tǒng)是有效的（認(rèn)證結(jié)果距檢查時間不超過兩年，得到認(rèn)證

44、后沒有對系統(tǒng)進(jìn)行較大的改動）。安全認(rèn)可保障信息系統(tǒng)的安全運(yùn)行。要求信息系統(tǒng)運(yùn)行之前，以及信息安全產(chǎn)品投入正式使用之前需得到國家權(quán)威機(jī)構(gòu)和上級主管部門的認(rèn)可。內(nèi)容信息系統(tǒng)的技術(shù)控制措施，安全管理規(guī)章和工程建設(shè)過程符合有關(guān)規(guī)定，并通過了有關(guān)的評估和認(rèn)證；當(dāng)前使用的信息安全產(chǎn)品符合相關(guān)規(guī)定，并通過了有關(guān)的評估和認(rèn)證。持續(xù)監(jiān)控保障信息系統(tǒng)安全的持續(xù)性、穩(wěn)定性。要求監(jiān)控信息系統(tǒng)現(xiàn)有的安全控制措施，有計劃地持續(xù)進(jìn)行配置管理、信息系統(tǒng)組件控制、系統(tǒng)變更后的安全影響分析、現(xiàn)有安全控制措施評估和狀態(tài)匯報等工作。內(nèi)容制定并實施有關(guān)的規(guī)定，取得相應(yīng)的認(rèn)證認(rèn)可，對系統(tǒng)的安全控制措施和安全保障能力進(jìn)行持續(xù)的監(jiān)控。系統(tǒng)與

45、服務(wù)采購系統(tǒng)和服務(wù)采購涉及到資源分配、生命周期支持、信息系統(tǒng)文件、軟件使用限制、用戶安裝的軟件、安全設(shè)計原則、外包信息系統(tǒng)服務(wù)、開發(fā)人員配置管理、開發(fā)人員安全測試十個項目內(nèi)容。資源分配要求定義投資控制過程所需的保護(hù)信息系統(tǒng)資源的范圍；在信息系統(tǒng)規(guī)劃中要確定安全要求；規(guī)劃和預(yù)算文件中，要建立信息系統(tǒng)安全項目，將主要的規(guī)劃和投資控制過程整合到一起。內(nèi)容定義投資控制的范圍；信息系統(tǒng)規(guī)劃中定義了相應(yīng)的安全要求。生命周期支持要求管理信息系統(tǒng)要有其相應(yīng)的生命周期；為系統(tǒng)開發(fā)生命周期安全考慮提供相應(yīng)的實施指南。內(nèi)容在相關(guān)的信息管理系統(tǒng)中明確關(guān)于系統(tǒng)生命周期的說明；有對應(yīng)系統(tǒng)開發(fā)周期的相應(yīng)的實施指南。采購要求

46、采購合同中要明確定義相關(guān)的安全要求、安全規(guī)范和基于風(fēng)險評估的信息系統(tǒng)要求；在信息系統(tǒng)所要求的文檔中要包括安全配置說明和安全實施指南。內(nèi)容采購合同滿足該行業(yè)相關(guān)的安全需求；在信息系統(tǒng)所要求的文檔中包括了相應(yīng)的安全配置說明和安全實施指南。信息系統(tǒng)文件要求確保信息系統(tǒng)擁有完整齊全的文檔，包括系統(tǒng)的詳細(xì)設(shè)計方案和實施方案，配置、安裝和運(yùn)行信息系統(tǒng)且能正確配置系統(tǒng)安全特性的指南；保證全部文檔可用，并受到保護(hù)；提供描述信息系統(tǒng)中安全控制的功能屬性文件。內(nèi)容信息系統(tǒng)文件（如安全設(shè)計方案、建設(shè)方案、管理員和用戶指南、系統(tǒng)安全配置參考文件等）完整，清晰地定義了文檔的授權(quán)級別。軟件使用限制要求對軟件的使用進(jìn)行限制

47、；軟件和所用相關(guān)文檔與合同協(xié)商和法律版本一致；對軟件和相關(guān)的文檔的數(shù)量進(jìn)行相應(yīng)的許可保護(hù)，并對軟件的復(fù)制和分發(fā)進(jìn)行控制。內(nèi)容制定軟件使用政策，遵守軟件許可協(xié)議，禁止使用盜版軟件；控制用戶可訪問的范圍，監(jiān)控異常情況。例如：進(jìn)行URL限制，關(guān)注異常流量等，對可疑問題是否及時上報；工作人員接收權(quán)威發(fā)布部門發(fā)布的軟件的相關(guān)信息，不接收和傳播未經(jīng)確認(rèn)的信息。用戶安裝的軟件要求對軟件的下載和安裝要有明確的規(guī)定；對軟件的類型進(jìn)行識別和分類，確認(rèn)哪些是可以下載和安裝的，哪些是被禁止的。內(nèi)容有軟件下載和安裝的規(guī)定；安全軟件的升級過程有相應(yīng)的變更控制流程進(jìn)行控制。安全設(shè)計原則要求使用安全工程原則設(shè)計和實施信息系統(tǒng)

48、。內(nèi)容組織機(jī)構(gòu)采用信息系統(tǒng)安全工程原則來設(shè)計、開發(fā)和實施信息系統(tǒng)。外包信息系統(tǒng)服務(wù)要求執(zhí)行和維護(hù)在服務(wù)協(xié)議中規(guī)定的信息安全服務(wù)提供級別；對第三方的服務(wù)提供進(jìn)行管理；對第三方的服務(wù)的監(jiān)控和審核進(jìn)行管理；對第三方服務(wù)變更進(jìn)行管理。(由于所涉及的業(yè)務(wù)系統(tǒng)，業(yè)務(wù)過程和風(fēng)險再評估的重要性，要對服務(wù)的變更過程進(jìn)行管理，包括為改進(jìn)現(xiàn)有的信息安全策略，流程和控制措施所實施的變更)。內(nèi)容驗證協(xié)議的執(zhí)行情況，監(jiān)控實際操作與協(xié)議的符合程度，對與協(xié)議不符的地方進(jìn)行相應(yīng)的管理，來確保第三方所提供的服務(wù)達(dá)到了協(xié)議中的要求；第三方實施了在第三方服務(wù)提供中所規(guī)定的安全控制措施，服務(wù)定義和提供服務(wù)的級別。開發(fā)配置管理要求對信息

49、系統(tǒng)的開發(fā)要建立和實施配置管理計劃，控制在開發(fā)過程中的變更，跟蹤安全錯誤，要進(jìn)行變更授權(quán)，提供計劃和實施文檔。內(nèi)容為信息系統(tǒng)開發(fā)建立和實施了相應(yīng)的配置管理計劃；在控制可發(fā)過程之中的變更有記錄。開發(fā)安全測試評估要求對信息系統(tǒng)開發(fā)要建立安全測試和評估計劃，并實施相應(yīng)的計劃，將相應(yīng)的計劃文檔化。開發(fā)安全測試和評估結(jié)果應(yīng)提交用于信息系統(tǒng)交付的安全認(rèn)證和認(rèn)可過程。內(nèi)容開發(fā)的、在行業(yè)網(wǎng)上使用并涉及行業(yè)關(guān)鍵信息和數(shù)據(jù)的軟件系統(tǒng)進(jìn)行了安全評估，并通過了安全審核；對測試應(yīng)用系統(tǒng)實施了訪問控制；系統(tǒng)真實運(yùn)行的信息復(fù)制到測試應(yīng)用系統(tǒng)前先經(jīng)過了正式授權(quán)；對系統(tǒng)真實運(yùn)行的信息和使用情況進(jìn)行了記錄，以便審核追蹤。配置管理

50、配置管理是信息系統(tǒng)運(yùn)行管理的一個重要組成部分。對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、應(yīng)用系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的配置進(jìn)行正確有效的管理，是保證信息系統(tǒng)正常運(yùn)行和消除系統(tǒng)安全風(fēng)險最基本，最必要的手段。信息系統(tǒng)的管理和維護(hù)人員要在明確安全需求的基礎(chǔ)上，熟悉各個軟硬件設(shè)備的當(dāng)前配置情況，并在信息系統(tǒng)出現(xiàn)變更時按照配置管理策略和配置管理流程對配置進(jìn)行及時的修改和記錄。信息系統(tǒng)的管理和維護(hù)人員應(yīng)該編制系統(tǒng)資產(chǎn)清單和當(dāng)前系統(tǒng)的基線配置來記載系統(tǒng)中所有軟硬件設(shè)備的基本信息（包括系統(tǒng)中各軟硬件的生產(chǎn)廠商，產(chǎn)品類別，序列號，版本號以及該資產(chǎn)在系統(tǒng)中的物理位置和邏輯位置）和當(dāng)前的配置情況。要將對資產(chǎn)清單和基線配置的更新作為系

51、統(tǒng)更新或擴(kuò)展的一項必要工作，保證資產(chǎn)清單和基線配置能反映系統(tǒng)當(dāng)前的真實情況。并逐步使用自動化的工具（網(wǎng)管系統(tǒng)、安全集中管理平臺等）自動生成和維護(hù)資產(chǎn)清單和基線配置。基線配置要求編制系統(tǒng)資產(chǎn)清單和當(dāng)前系統(tǒng)的基線配置；對資產(chǎn)清單和基線配置的更新作為系統(tǒng)更新或擴(kuò)展的一項必要工作；使用自動化工具自動生成和維護(hù)資產(chǎn)清單和基線配置。內(nèi)容通過資產(chǎn)調(diào)查，確定系統(tǒng)中所有資產(chǎn)的基本信息；基線配置文檔的完整性和準(zhǔn)確性；實現(xiàn)網(wǎng)絡(luò)設(shè)備和安全設(shè)備的集中管理，具備自動生成網(wǎng)絡(luò)設(shè)備和安全設(shè)備的基線配置的能力。配置變更控制要求對配置的變更進(jìn)行記錄和控制；使用自動化的工具來記錄和控制配置變更。內(nèi)容對配置變更進(jìn)行記錄；配置變更遵循

52、科學(xué)規(guī)范的流程；使用了對配置變更進(jìn)行控制和記錄的自動化工具。監(jiān)督配置變更要求對配置變更的全過程進(jìn)行跟蹤，避免配置變更對系統(tǒng)原有的安全功能造成不可接受的負(fù)面影響；建立配置變更審計系統(tǒng)。內(nèi)容指定專門的人員對配置變更的過程進(jìn)行監(jiān)督，并在配置變更之后檢驗配置變更對系統(tǒng)原有的安全性產(chǎn)生的影響；建立了實用的審計系統(tǒng)。變更訪問限制要求確保只有被授權(quán)和批準(zhǔn)的人員才能對信息系統(tǒng)配置進(jìn)行變更，升級和修改；采取管理和技術(shù)的手段對配置變更行為的發(fā)生進(jìn)行限制。內(nèi)容制定對系統(tǒng)配置的訪問控制策略；采用物理和邏輯的訪問控制手段，對配置變更進(jìn)行訪問限制。配置策略設(shè)置要求對信息系統(tǒng)中使用的各種信息技術(shù)產(chǎn)品制定統(tǒng)一要求的配置策略文

53、件，并強(qiáng)制執(zhí)行；根據(jù)系統(tǒng)的安全需求，以合理的方式對系統(tǒng)中的設(shè)施進(jìn)行安全配置。內(nèi)容對系統(tǒng)中的網(wǎng)絡(luò)設(shè)備、安全設(shè)備和重要服務(wù)器依據(jù)配置策略進(jìn)行了合理的配置。功能最小化要求通過配置，使系統(tǒng)中的設(shè)施只實現(xiàn)需要實現(xiàn)的功能。內(nèi)容目前系統(tǒng)的配置已經(jīng)禁用了不必要的軟件，功能，端口，協(xié)議和服務(wù)。應(yīng)急計劃和事件響應(yīng)應(yīng)急計劃是在信息系統(tǒng)發(fā)生緊急安全事件（包括入侵事件，軟硬件故障，網(wǎng)絡(luò)病毒，自然災(zāi)害等）之后，為盡快恢復(fù)系統(tǒng)正常運(yùn)行，降低安全事件的負(fù)面影響而制定的策略和流程。應(yīng)急計劃工作應(yīng)該包括應(yīng)急計劃的編寫，針對應(yīng)急計劃的培訓(xùn)，應(yīng)急計劃的測試以及應(yīng)急計劃的更新。應(yīng)急計劃要求為信息系統(tǒng)制定并實施應(yīng)急計劃；應(yīng)急計劃中應(yīng)描述

54、人員角色、職責(zé)、聯(lián)絡(luò)人、聯(lián)絡(luò)信息以及如何將中斷或失效的系統(tǒng)進(jìn)行恢復(fù)；主管領(lǐng)導(dǎo)應(yīng)審核并批準(zhǔn)應(yīng)急計劃，并下發(fā)關(guān)鍵的應(yīng)急責(zé)任人員。內(nèi)容信息系統(tǒng)是否針對各種緊急事件制定應(yīng)急計劃和處理程序，檢查其完整性，合理性和可執(zhí)行性。應(yīng)急響應(yīng)培訓(xùn)要求根據(jù)應(yīng)急響應(yīng)計劃中人員角色和職責(zé)制定詳細(xì)的培訓(xùn)計劃，并定期進(jìn)行更新和培訓(xùn)，并作記錄；定期考察工作人員應(yīng)對緊急事件的意識和技能；對事件響應(yīng)的內(nèi)容、處理方式和預(yù)防措施進(jìn)行相關(guān)的培訓(xùn)。內(nèi)容按照應(yīng)急響應(yīng)計劃的總體要求制定應(yīng)急響應(yīng)培訓(xùn)計劃；有對事件響應(yīng)的內(nèi)容、處理方式和預(yù)防措施進(jìn)行相關(guān)的培訓(xùn)；有應(yīng)急培訓(xùn)記錄。應(yīng)急和事件響應(yīng)計劃測試要求通過測試來檢驗信息系統(tǒng)應(yīng)急計劃的有效性，以及檢

55、驗本單位是否已就緒并能夠應(yīng)對緊急事件。內(nèi)容有測試記錄和報告。應(yīng)急和事件響應(yīng)計劃更新要求測試后，應(yīng)及時記錄測試結(jié)果并總結(jié)測試中發(fā)現(xiàn)的問題，以對應(yīng)急計劃進(jìn)行必要更新和修正，使其得到持續(xù)的完善。內(nèi)容安全策略中有關(guān)于應(yīng)急計劃更新的策略和流程；不同的應(yīng)急計劃以及更新記錄。事件處理要求具備安全事故的處理能力，包括準(zhǔn)備、檢測、分析、遏制、根除和恢復(fù)能力；積極總結(jié)以往安全事故處理中的經(jīng)驗和教訓(xùn)，整合到事件處理流程中來，并正確地依照流程進(jìn)行實施。內(nèi)容具備處理安全事故的能力；采用自動化的機(jī)制來支持事故處理過程。事件監(jiān)控要求對所發(fā)生的安全事件進(jìn)行跟蹤并記錄；使用相應(yīng)機(jī)制（如防火墻、IDS等相關(guān)日志信息），來幫助追蹤

56、安全事故，搜集和分析事件信息。內(nèi)容對所發(fā)生的安全事件進(jìn)行追蹤并記錄；使用相應(yīng)機(jī)制（如防火墻、IDS等相關(guān)日志信息），來幫助追蹤安全事故，搜集和分析事件信息。事件報告要求對發(fā)生的事故，有正式的報告程序和事件反應(yīng)程序，描述接到事故報告后要采取的措施；對匯報事件的類型、內(nèi)容、及時性以及匯報對象的要求，符合法律法規(guī)、行業(yè)的信息安全策略及相關(guān)規(guī)定。內(nèi)容對發(fā)生的事故，有正式的報告程序和事件的反應(yīng)程序;對匯報事件的類型、內(nèi)容、及時性以及匯報對象的要求，符合法律法規(guī)、行業(yè)的信息安全策略及相關(guān)規(guī)定。事件響應(yīng)支持要求建立事故響應(yīng)的支持力量（如故障電話、專家隊伍等），為信息系統(tǒng)用戶關(guān)于如何處理和匯報安全事故提供建議

57、和幫助（該資源是事故響應(yīng)綜合能力的重要組成部分）；保證并促進(jìn)與事故響應(yīng)相關(guān)的信息和支持資源的可用性。內(nèi)容提供事故響應(yīng)支持力量。系統(tǒng)管理與維護(hù)系統(tǒng)維護(hù)是指在信息系統(tǒng)投入正式運(yùn)行后，定期或不定期的檢查系統(tǒng)的脆弱性，并采取技術(shù)措施彌補(bǔ)這些脆弱性的活動（防御性維護(hù)）；以及在系統(tǒng)出現(xiàn)故障或錯誤時，檢查故障或錯誤原因，并通過技術(shù)手段消除故障或錯誤的活動（響應(yīng)性維護(hù)）。系統(tǒng)維護(hù)是保證系統(tǒng)正常高效運(yùn)行的重要手段。信息系統(tǒng)的管理和維護(hù)人員應(yīng)制定系統(tǒng)維護(hù)的策略和流程，并按照策略和流程對系統(tǒng)進(jìn)行維護(hù)。維護(hù)的執(zhí)行者必須是得到正式授權(quán)的人員，維護(hù)的執(zhí)行過程必須遵守系統(tǒng)維護(hù)的策略和流程。安全管理技術(shù)要求利用先進(jìn)的管理技術(shù)

58、和平臺對整個網(wǎng)絡(luò)和信息系統(tǒng)進(jìn)行統(tǒng)一、有效管理。內(nèi)容建立網(wǎng)絡(luò)管理與監(jiān)控系統(tǒng)，對網(wǎng)絡(luò)和網(wǎng)上運(yùn)行的業(yè)務(wù)系統(tǒng)進(jìn)行有效的管理；采用適當(dāng)?shù)陌踩芾砑夹g(shù)將信息系統(tǒng)中的各種安全產(chǎn)品進(jìn)行集成；安全技術(shù)措施與設(shè)備進(jìn)入常規(guī)運(yùn)行，并發(fā)揮其在安全策略與安全建設(shè)方案中所設(shè)定的作用。常規(guī)維護(hù)要求根據(jù)技術(shù)規(guī)范和相關(guān)要求定期對信息系統(tǒng)的各個部件進(jìn)行預(yù)防性的或常規(guī)性的維護(hù);編制系統(tǒng)維護(hù)記錄，對維護(hù)日期、維護(hù)人員、維護(hù)項目以及移除或替代的設(shè)備清單等進(jìn)行記錄。內(nèi)容制定系統(tǒng)運(yùn)行維護(hù)規(guī)程，描述維護(hù)的方法和內(nèi)容；有系統(tǒng)維護(hù)記錄；維護(hù)工具管理要求對系統(tǒng)維護(hù)工具的使用進(jìn)行嚴(yán)格的監(jiān)督和控制。內(nèi)容有對系統(tǒng)維護(hù)工具進(jìn)行管理的制度；規(guī)定申請和授權(quán)使用

59、可能具有危害性的系統(tǒng)維護(hù)工具的流程。遠(yuǎn)程維護(hù)要求維護(hù)人員在進(jìn)行遠(yuǎn)程維護(hù)前得到系統(tǒng)管理者正式的批準(zhǔn)；通過管理和技術(shù)手段對遠(yuǎn)程維護(hù)進(jìn)行嚴(yán)格的監(jiān)督和控制。內(nèi)容信息安全策略中有關(guān)于對于遠(yuǎn)程維護(hù)進(jìn)行管理的內(nèi)容，對遠(yuǎn)程維護(hù)的授權(quán)、監(jiān)督與控制進(jìn)行了詳細(xì)的規(guī)定。維護(hù)人員要求保證只有具備足夠的技術(shù)能力并得到授權(quán)的人員可以對系統(tǒng)進(jìn)行維護(hù)。內(nèi)容編制獲得授權(quán)可以對信息系統(tǒng)進(jìn)行維護(hù)的人員名單；對本單位維護(hù)人員進(jìn)行定期的培訓(xùn)和考核的計劃和記錄；有對外單位人員進(jìn)行系統(tǒng)維護(hù)的控制和監(jiān)督措施。維護(hù)及時性要求對于信息系統(tǒng)中的重要軟硬件設(shè)施，規(guī)定在發(fā)生故障后及時維護(hù)響應(yīng)及有關(guān)備件支持的要求，保證系統(tǒng)不間斷運(yùn)行或盡量縮短中斷時間。內(nèi)

60、容信息安全策略中規(guī)定發(fā)生系統(tǒng)故障后及時維護(hù)響應(yīng)和備品備件要求；當(dāng)維護(hù)工作由外單位或公司負(fù)責(zé)時，是在合同售后服務(wù)條款或安全服務(wù)合同中明確了的有關(guān)日常維護(hù)和緊急事件響應(yīng)的內(nèi)容。技術(shù)管理標(biāo)識鑒別信息系統(tǒng)必須事先定義用戶的標(biāo)識和鑒別，所有用戶(包括技術(shù)支持的人員、操作員、網(wǎng)絡(luò)管理員、系統(tǒng)程序員和數(shù)據(jù)庫管理員等)要有唯一用戶ID，以確保其活動或者事件的發(fā)生可以最終追溯到相關(guān)的責(zé)任人，用戶的標(biāo)識和鑒別要經(jīng)過相關(guān)部門的批準(zhǔn)，并形成相關(guān)的文件；身份標(biāo)識和鑒別身份識別和鑒別是驗證某些事物的過程，是用戶進(jìn)入系統(tǒng)的第一道防線。通過標(biāo)識和鑒別確保用戶聯(lián)接上了正確的安全屬性(如，身份，組，角色，安全級，或是完整性類)。