注冊信息安全專業(yè)人員資質(zhì)評估準則

注冊信息安全專業(yè)人員

資質(zhì)評估準則發(fā)布日期：2002年8月中國信息安全產(chǎn)品測評認證中心目錄TOC\o"1-5"\h\z\o"CurrentDocument"一、總則0 5\o"CurrentDocument"二、 使用范圍和適用對象 5\o"CurrentDocument"三、 管理職責 53.1管理部門 53.2管理職責 5\o"CurrentDocument"四、 基本能力要求 6\o"CurrentDocument"五、 基本道德準則 6\o"CurrentDocument"六、 考核標準 66.1.1培訓基本能力要求 66.1.2安全體系與模型 76.1.2.1多級安全模型 76.1.2.2多邊安全模型 76.1.2.3安全體系結(jié)構(gòu) 7Internet安全體系架構(gòu) 7信息安全技術(shù)測評認證 7信息安全國內(nèi)外情況 76.1.3安全技術(shù) 76.1.3.1密碼技術(shù)及其應用 76.1.3.2訪問控制 86.1.3.3標識和鑒別 86.1.3.4審計及監(jiān)控 86.1.3.5網(wǎng)絡安全 86.1.3.6系統(tǒng)安全 86.1.3.7應用安全 86.1.4工程過程 86.1.4.1風險評估 86.1.4.2安全策略 86.1.4.3安全工程 96.1.5安全管理 96.1.5.1安全管理基本原則 96.1.5.2安全組織保障 96.1.5.3物理安全 96.1.5.4運行管理 96.1.5.5硬件安全管理 96.1.5.6軟件安全管理 106.1.5.7數(shù)據(jù)安全管理 106.1.5.8人員安全管理 106.1.5.9應用系統(tǒng)管理 116.1.5.10操作安全管理 116.1.5.11技術(shù)文檔安全管理 116.1.5.12災難恢復計劃 116.1.5.13安全應急響應 116.2注冊信息安全管理人員(CISO) 126.2.1培訓基本能力要求 126.2.1.2安全策略 126.2.1.3安全工程 126.2.2安全管理 126.2.2.1安全管理基本原則 126.2.2.3物理安全 126.2.2.4運行管理 136.2.2.5硬件安全管理 136.2.2.6軟件安全管理 136.2.2.7數(shù)據(jù)安全管理 136.2.2.8人員安全管理 146.2.2.9應用系統(tǒng)管理 146.2.2.10操作安全管理 146.2.2.11技術(shù)文檔安全管理 156.2.2.12災難恢復計劃 156.2.2.13安全應急響應 156.2.3信息安全標準 156.2.4法律法規(guī) 156.2.4.1國家法律 156.2.4.2行政法規(guī) 156.2.4.3各部委有關規(guī)章及規(guī)范性文件 156.3.1培訓基本能力要求 156.3.2安全體系與模型 166.3.2.1多級安全模型 166.3.2.2多邊安全模型 166.3.2.3安全體系結(jié)構(gòu) 16Internet安全體系架構(gòu) 16信息安全技術(shù)測評認證 166.3.2.6.3信息安全國內(nèi)外情況 166.3.3安全技術(shù) 166.3.3.1密碼技術(shù)及其應用 166.3.3.2訪問控制 176.3.3.3標識和鑒別 176.3.3.4審計及監(jiān)控 176.3.3.5網(wǎng)絡安全 176.3.3.6系統(tǒng)安全 176.3.3.7應用安全 176.3.4工程過程 176.3.4.1風險評估 176.3.4.2安全策略 176.3.4.3安全工程 186.3.5安全管理 186.3.5.1安全管理基本原則 186.3.5.2安全組織保障 186.3.5.3物理安全 186.3.5.4運行管理 186.3.5.5硬件安全管理 186.3.5.6軟件安全管理 196.3.5.7數(shù)據(jù)安全管理 196.3.5.8人員安全管理 196.3.5.9應用系統(tǒng)管理 206.3.5.10操作安全管理 206.3.5.11技術(shù)文檔安全管理 206.3.5.12災難恢復計劃 206.3.5.13安全應急響應 206.3.6信息安全標準 216.3.7法律法規(guī) 216.3.7.1國家法律 216.3.7.2行政法規(guī) 21\o"CurrentDocument"七、參考資料 217.1國外參考資料 217.2國內(nèi)參考資料 21一、 總則“注冊信息安全專業(yè)人員”，英文為CertifiedInformationSecurityProfessional（簡稱CISP），根據(jù)實際崗位工作需要，CISP分為三類,分別是“注冊信息安全工程師”，英文為CertifiedInformationSecurityEngineer（簡稱CISE）;“注冊信息安全管理人員”，英文為CertifiedInformationSecurityOfficer（簡稱CISO），“注冊信息安全審核員”英文為CertifiedInformationSecurityAuditor（簡稱CISA）。其中CISE主要從事信息安全技術(shù)開發(fā)服務工程建設等工作，CISO從事信息安全管理等相關工作，CISA從事信息系統(tǒng)的安全性審核或評估等工作。這三類注冊信息安全專業(yè)人員是有關信息安全企業(yè)，信息安全咨詢服務機構(gòu)、信息安全測評認證機構(gòu)（包含授權(quán)測評機構(gòu)）、社會各組織、團體、企事業(yè)有關信息系統(tǒng)（網(wǎng)絡）建設、運行和應用管理的技術(shù)部門（含標準化部門）必備的專業(yè)崗位人員，其基本職能是對信息系統(tǒng)的安全提供技術(shù)保障，其所具備的專業(yè)資質(zhì)和能力，系經(jīng)中國信息安全產(chǎn)品測評認證中心實施國家認證。為了加強對信息安全專業(yè)人員認證的管理，特制定本程序。1.2本標準規(guī)定了信息安全領域工作的注冊信息安全專業(yè)人員能力評估的國家最低標準。二、 使用范圍和適用對象2.1本準則適用于國家對“注冊信息安全專業(yè)人員”培訓、能力評估、認可和管理。2.2本準則適用對象包括在信息安全測評認證機構(gòu)（含授權(quán)測評機構(gòu)）、信息安全咨詢服務機構(gòu)、社會各組織、團體、企事業(yè)有關信息系統(tǒng)（網(wǎng)絡）建設、運行和應用管理的技術(shù)部門（含標準化部門）工作的信息安全專業(yè)人員。2.3本準則可適用于所有中國政府部門機構(gòu)及其人員，和負責信息安全系統(tǒng)的管理和檢查的承包商。三、 管理職責3.1管理部門3.1.1由中國信息安全產(chǎn)品測評認證中心（以下簡稱“中心”）依據(jù)本準則開展注冊信息安全專業(yè)人員能力認證工作。3.1.2中心應根據(jù)本準則制訂相應的配套規(guī)章制度和實施細則。管理職責3.2.1為政府部門、機構(gòu)和其他組織、團體及企事業(yè)單位提供和維持注冊信息安全專業(yè)人員培訓標準。3.2.2保證開展恰當?shù)淖孕畔踩珜I(yè)人員的培訓課程。3.2.3在發(fā)展或者執(zhí)行注冊信息安全專業(yè)人員培訓活動中，給予幫助。3.2.4要求從事重要信息安全崗位工作人員，在負責管理重要信息系統(tǒng)安全或者為信息系統(tǒng)安全提供安全服務的時候，遵守本準則的有關條款。四、基本能力要求“注冊信息安全專業(yè)人員”必須具有一定的教育水準和相關工作經(jīng)驗?！白孕畔踩珜I(yè)人員”通過了本準則規(guī)定的相關培訓內(nèi)容，具備一定的信息安全知識?！白孕畔踩珜I(yè)人員”通過了CNITSEC的考試，具有進行信息安全服務的能力。五、 基本道德準則5.1所有“注冊信息安全專業(yè)人員”都必須付出努力才能獲得和維持該項認證。為貫徹這條原則，所有的CISP都必須承諾完全遵守道德準則。CISP必須誠實，公正，負責，守法；CISP必須勤奮和勝任工作，不斷提高自身專業(yè)能力和水平；CISP必須保護信息系統(tǒng)、應用程序和系統(tǒng)的價值CISP必須接受CNITSEC的監(jiān)督，在任何情況下，不損壞CNITSEC或認證過程的聲譽，對CNITSEC針對CISP而進行的調(diào)查應給予充分的合作；CISP必須按規(guī)定向CNITSEC交納費用。六、 考核標準以下內(nèi)容包括對注冊信息安全專業(yè)人員進行考核的基本能力要求，以及其應具備的信息安全知識體系大綱要求。6.1注冊信息安全工程師(CISE)6.1.1培訓基本能力要求了解水平。培養(yǎng)對安全信息系統(tǒng)的威脅和脆弱性的敏感性，識別需要保護的數(shù)據(jù)、信息及其相應的保護方法，學習掌握有關信息系統(tǒng)安全的法則和條例的知識庫。6.1.1.2應用水平。培養(yǎng)有能力對信息安全過程進行設計、執(zhí)行或者評估的人員，以保證他們在執(zhí)行任務的時候可以完整地應用安全概念。6.1.2安全體系與模型6.1.2.1多級安全模型引言Bell-LaPadula模型Clark-Wilson模型Biba模型6.1.2.2多邊安全模型引言訪問控制矩陣(CompartmentationandLattice)模型ChineseWall模型BMA模型6.1.2.3安全體系結(jié)構(gòu)OSI參考模型6.1.2.3.2開放系統(tǒng)互連安全體系結(jié)構(gòu)Internet安全體系架構(gòu)ISO安全體系到TCP/IP映射IPSec協(xié)議IPSec安全體系結(jié)構(gòu)6.1.2.4.4安全協(xié)議IKE概述及IPSec的應用6.1.2.5信息安全技術(shù)測評認證IT評估通用準則IT評估通用方法6.1.2.6信息安全國內(nèi)外情況6.1.3安全技術(shù)6.1.3.1密碼技術(shù)及其應用6.1.3.1.1加密基本概念6.1.3.1.2對稱加密算法6.1.3.1.3非對稱加密算法6.1.3.1.4鏈路層加密技術(shù)(L2TP)6.1.3.1.5網(wǎng)絡層加密技術(shù)(IPSEC)VPN虛擬專網(wǎng)SSL/TLS與SSHWeb安全PKI6.1.3.2訪問控制6.1.3.3標識和鑒別6.1.3.4審計及監(jiān)控6.1.3.4.1安全審計6.1.3.4.2安全監(jiān)控6.1.3.4.3入侵監(jiān)測6.1.3.4.4實際應用6.1.3.5網(wǎng)絡安全6.1.3.5.1網(wǎng)絡基礎(網(wǎng)絡組建、管理與安全)6.1.3.5.2網(wǎng)絡安全6.1.3.5.3安全邊界及邊界間安全策略6.1.3.5.4網(wǎng)絡攻擊與對策6.1.3.6系統(tǒng)安全6.1.3.6.1.1操作系統(tǒng)安全6.1.3.6.1.2數(shù)據(jù)庫系統(tǒng)安全6.1.3.7應用安全6.1.3.7.1計算機病毒W(wǎng)EB安全6.1.3.7.3安全編程6.1.4工程過程6.1.4.1風險評估6.1.4.1.1安全威脅安全風險評估過程6.1.4.2安全策略6.1.4.2.1組織安全策略6.1.4.2.2系統(tǒng)安全策略6.1.4.2.3安全策略示例6.1.4.3安全工程6.1.5安全管理6.1.5.1安全管理基本原則6.1.5.2安全組織保障6.1.5.2.1政府計算機網(wǎng)絡安全管理機構(gòu)的職責6.1.5.2.2中國信息安全產(chǎn)品測評認證中心6.1.5.2.3國家計算機病毒應急處理中心6.1.5.2.4中國計算機網(wǎng)絡安全應急處理協(xié)調(diào)中心6.1.5.2..5企業(yè)信息安全管理機構(gòu)職責和工作制度6.1.5.3物理安全6.1.5.3.1設施安全6.1.5.3.2物理安全技術(shù)控制6.1.5.3.3環(huán)境安全6.1.5.3.4電磁泄露6.1.5.4運行管理6.1.5.4.1網(wǎng)絡設備采購6.1.5.4.2網(wǎng)絡管理平臺選擇6.1.5.4.3網(wǎng)絡產(chǎn)品安全檢測6.1.5.4.4網(wǎng)絡配置管理6.1.5.4.5網(wǎng)絡安全管理6.1.5.4.6網(wǎng)絡故障分析管理6.1.5.4.7網(wǎng)絡性能管理6.1.5.4.8網(wǎng)絡計費管理6.1.5.4.9網(wǎng)絡訪問控制與路由選擇6.1.5.4.10網(wǎng)絡管理的協(xié)議6.1.5.5硬件安全管理6.1.5.5.1設備選型6.1.5.5.2安全檢測6.1.5.5.3設備購置與安裝6.1.5.5.4設備登記與使用6.1.5.5.5設備維護6.1.5.5.6設備保管6.1.5.5.7質(zhì)量控制6.1.5.6軟件安全管理概述6.1.5.6.1.2軟件的選型與購置6.1.5.6.1.3軟件安全檢測預驗收6.1.5.6.1.4軟件安全跟蹤與報告6.1.5.6.1.5軟件版本控制6.1.5.6.1.6軟件安全審查6.1.5.6.1.7軟件使用與維護制度6.1.5.7數(shù)據(jù)安全管理6.1.5.7.1數(shù)據(jù)安全的基本概念6.1.5.7.2數(shù)據(jù)管理目標6.1.5.7.3數(shù)據(jù)載體安全管理6.1.5.7.4數(shù)據(jù)密級標簽管理6.1.5.7.5數(shù)據(jù)存儲實現(xiàn)管理6.1.5.7.6數(shù)據(jù)訪問控制管理6.1.5.7.7數(shù)據(jù)備份管理6.1.5.7.8數(shù)據(jù)完整性管理6.1.5.7.9數(shù)據(jù)可用性管理6.1.5.7.10不良信息監(jiān)控管理6.1.5.7.11可疑信息跟蹤審計6.1.5.8人員安全管理6.1.5.8.1建立安全組織6.1.5.8.2安全職能獨立人員安全審查6.1.5.8.4崗位安全考核6.1.5.8.5人員安全培訓6.1.5.8.6安全保密契約管理6.1.5.8.7離崗人員安全管理6.1.5.9應用系統(tǒng)管理6.1.5.9.1系統(tǒng)啟動安全審查管理6.1.5.9.2應用軟件監(jiān)控管理6.1.5.9.3應用軟件版本安裝管理6.1.5.9.4應用軟件更改安裝管理6.1.5.9.5應用軟件備份管理6.1.5.9.6應用軟件維護安全管理6.1.5.10操作安全管理6.1.5.10.1操作權(quán)限管理6.1.5.10.2操作規(guī)范管理6.1.5.10.3操作責任管理6.1.5.10.4操作監(jiān)控管理6.1.5.10.5誤操作恢復管理6.1.5.11技術(shù)文檔安全管理6.1.5.11.1文檔密級管理6.1.5.11.2文檔借閱管理6.1.5.11.3文檔登記和保管6.1.5.11.4文檔銷毀和監(jiān)毀6.1.5.11.5電子文檔安全管理6.1.5.11.6技術(shù)文檔備份6.1.5.12災難恢復計劃6.1.5.12.1災難恢復的概念6.1.5.12.2災難恢復技術(shù)概述6.1.5.12.3災難恢復計劃6.1.5.13安全應急響應6.1.5.13.1安全應急響應的現(xiàn)狀6.1.5.13.2安全應急響應管理系統(tǒng)的建立6.1.5.13.3安全應急響應過程6.2注冊信息安全管理人員(CISO)6.2.1培訓基本能力要求同6.1.1.1同6.1.1.26.2.1工程過程6.2.1.1風險評估6.2.1.1.1安全威脅6.2.1.1.2安全風險評估過程6.2.1.2安全策略6.2.1.2.1組織安全策略6.2.1.2.2系統(tǒng)安全策略6.2.1.2.3安全策略示例6.2.1.3安全工程安全管理6.2.2.1安全管理基本原則6.2.2.2安全組織保障6.2.2.2.1政府計算機網(wǎng)絡安全管理機構(gòu)的職責6.2.2.2.2中國信息安全產(chǎn)品測評認證中心6.2.2.2.3國家計算機病毒應急處理中心6.2.2.2.4中國計算機網(wǎng)絡安全應急處理協(xié)調(diào)中心6.2.2.2.5企業(yè)信息安全管理機構(gòu)職責和工作制度6.2.2.3物理安全6.2.2.3.1設施安全6.2.2.3.2物理安全技術(shù)控制6.2.2.3.3環(huán)境安全6.2.2.3.4電磁泄露6.2.2.4運行管理6.2.2.4.1網(wǎng)絡設備采購6.2.2.4.2網(wǎng)絡管理平臺選擇6.2.2.4.3網(wǎng)絡產(chǎn)品安全檢測6.2.2.4.4網(wǎng)絡配置管理6.2.2.4.5網(wǎng)絡安全管理6.2.2.4.6網(wǎng)絡故障分析管理6.2.2.4.7網(wǎng)絡性能管理6.2.2.4.8網(wǎng)絡計費管理6.2.2.4.9網(wǎng)絡訪問控制與路由選擇6.2.2.4.10網(wǎng)絡管理的協(xié)議6.2.2.5硬件安全管理6.2.2.5.1設備選型安全檢測6.2.2.5.3設備購置與安裝6.2.2.5.4設備登記與使用6.2.2.5.5設備維護6.2.2.5.6設備保管6.2.2.5.7質(zhì)量控制6.2.2.6軟件安全管理概述軟件的選型與購置6.2.2.6.3軟件安全檢測預驗收6.2.2.6.4軟件安全跟蹤與報告6.2.2.6.5軟件版本控制6.2.2.6.6軟件安全審查6.2.2.2.6.7軟件使用與維護制度6.2.2.7數(shù)據(jù)安全管理6.2.2.7.1數(shù)據(jù)安全的基本概念6.2.2.7.2安全管理目標6.2.2.7.3數(shù)據(jù)載體安全管理6.2.2.7.4數(shù)據(jù)密級標簽管理6.2.2.7.5數(shù)據(jù)存儲實現(xiàn)管理6.2.2.7.6數(shù)據(jù)訪問控制管理6.2.2.7.7數(shù)據(jù)備份管理6.2.2.7.8數(shù)據(jù)完整性管理6.2.2.7.9數(shù)據(jù)可用性管理6.2.2.7.10不良信息監(jiān)控管理6.2.2.7.11可疑信息跟蹤審計6.2.2.8人員安全管理6.2.2.8.1建立安全組織6.2.2.8.2安全職能獨立6.2.2.8.3人員安全審查6.2.2.8.4崗位安全考核6.2.2.8.5人員安全培訓6.2.2.8.6安全保密契約管理6.2.2.8.7離崗人員安全管理6.2.2.9應用系統(tǒng)管理6.2.2.9.1系統(tǒng)啟動安全審查管理6.2.2.9.2應用軟件監(jiān)控管理6.2.2.9.3應用軟件版本安裝管理6.2.2.9.4應用軟件更改安裝管理6.2.2.9.5應用軟件備份管理6.2.2.9.6應用軟件維護安全管理6.2.2.10操作安全管理6.2.2.10.1操作權(quán)限管理6.2.2.10.2操作規(guī)范管理6.2.2.10.3操作責任管理6.2.2.10.4操作監(jiān)控管理6.2.2.10.5誤操作恢復管理6.2.2.11技術(shù)文檔安全管理6.2.2.11.1文檔密級管理6.2.2.11.2文檔借閱管理6.2.2.11.3文檔登記和保管6.2.2.11.4文檔銷毀和監(jiān)毀6.2.2.11.5電子文檔安全管理6.2.2.11.6技術(shù)文檔備份6.2.2.12災難恢復計劃6.2.2.12.1災難恢復的概念6.2.2.12.2災難恢復技術(shù)概述6.2.2.12.3災難恢復計劃6.2.2.13安全應急響應6.2.2.13.1安全應急響應的現(xiàn)狀6.2.2.13.2安全應急響應管理系統(tǒng)的建立6.2.2.13.3安全應急響應過程6.2.3信息安全標準6.2.4法律法規(guī)6.2.4.1國家法律6.2.4.2行政法規(guī)6.2.4.3各部委有關規(guī)章及規(guī)范性文件6.3注冊信息安全審核員(CISA)6.3.1培訓基本能力要求同6.1.1.1同6.1.1.26.3.2安全體系與模型6.3.2.1多級安全模型引言Bell-LaPadula模型Clark-Wilson模型Biba模型6.3.2.2多邊安全模型引言訪問控制矩陣(CompartmentationandLattice)模型ChineseWall模型BMA模型6.3.2.3安全體系結(jié)構(gòu)OSI參考模型6.3.2.3.2開放系統(tǒng)互連安全體系結(jié)構(gòu)6.3.2.4Internet安全體系架構(gòu)ISO安全體系到TCP/IP映射IPSec協(xié)議IPSec安全體系結(jié)構(gòu)安全協(xié)議IKE概述及IPSec的應用6.3.2.5信息安全技術(shù)測評認證IT評估通用準則IT評估通用方法6.3.2.6.3信息安全國內(nèi)外情況6.3.3安全技術(shù)6.3.3.1密碼技術(shù)及其應用6.3.3.1.1加密基本概念6.3.3.1.2對稱加密算法6.3.3.1.3非對稱加密算法6.3.3.1.4鏈路層加密技術(shù)(L2TP)6.3.3.1.5網(wǎng)絡層加密技術(shù)(IPSEC)VPN虛擬專網(wǎng)SSL/TLS與SSHWeb安全PKI6.3.3.2訪問控制6.3.3.3標識和鑒別6.3.3.4審計及監(jiān)控6.3.3.4.1安全審計6.3.3.4.2安全監(jiān)控6.3.3.4.3入侵監(jiān)測6.3.3.4.4實際應用6.3.3.5網(wǎng)絡安全6.3.3.5.1網(wǎng)絡基礎(網(wǎng)絡組建、管理與安全)6.3.3.5.2網(wǎng)絡安全6.3.3.5.3安全邊界及邊界間安全策略6.3.3.5.4網(wǎng)絡攻擊與對策6.3.3.6系統(tǒng)安全6.3.3.6.1操作系統(tǒng)安全6.3.3.6.2數(shù)據(jù)庫系統(tǒng)安全6.3.3.7應用安全6.3.3.7.1計算機病毒W(wǎng)EB安全6.3.3.7.3安全編程6.3.4工程過程6.3.4.1風險評估6.3.4.1.1安全威脅6.3.4.1.2安全風險6.3.4.1.3評估過程安全策略6.3.4.2.1組織安全策略6.3.4.2.2系統(tǒng)安全策略6.3.4.2.3安全策略示例6.3.4.3安全工程6.3.5安全管理6.3.5.1安全管理基本原則6.3.5.2安全組織保障6.3.5.2.1政府計算機網(wǎng)絡安全管理機構(gòu)的職責6.3.5.2.2中國信息安全產(chǎn)品測評認證中心6.3.5.2.3國家計算機病毒應急處理中心6.3.5.2.4中國計算機網(wǎng)絡安全應急處理協(xié)調(diào)中心6.3.5.2..5企業(yè)信息安全管理機構(gòu)職責和工作制度6.3.5.3物理安全6.3.5.3.1設施安全6.3.5.3.2物理安全技術(shù)控制6.3.5.3.3環(huán)境安全6.3.5.3.4電磁泄露6.3.5.4運行管理6.3.5.4.1網(wǎng)絡設備采購6.3.5.4.2網(wǎng)絡管理平臺選擇6.3.5.4.3網(wǎng)絡產(chǎn)品安全檢測6.3.5.4.4網(wǎng)絡配置管理網(wǎng)絡安全管理6.3.5.4.6網(wǎng)絡故障分析管理6.3.5.4.7網(wǎng)絡性能管理6.3.5.4.8網(wǎng)絡計費管理6.3.5.4.9網(wǎng)絡訪問控制與路由選擇6.3.5.4.10網(wǎng)絡管理的協(xié)議6.3.5.5硬件安全管理6.3.5.5.1設備選型6.3.5.5.2安全檢測6.3.5.5.3設備購置與安裝6.3.5.5.4設備登記與使用6.3.5.5.5設備維護6.3.5.5.6設備保管6.3.5.5.7質(zhì)量控制6.3.5.6軟件安全管理概述6.3.5.6.2軟件的選型與購置6.3.5.6.3軟件安全檢測預驗收6.3.5.6.4軟件安全跟蹤與報告6.3.5.6.5軟件版本控制6.3.5.6.6軟件安全審查6.3.5.6.3.7軟件使用與維護制度6.3.5.7數(shù)據(jù)安全管理6.3.5.7.1數(shù)據(jù)安全的基本概念6.3.5.7.2安全管理目標6.3.5.7.3數(shù)據(jù)載體安全管理6.3.5.7.4數(shù)據(jù)密級標簽管理6.3.5.7.5數(shù)據(jù)存儲實現(xiàn)管理6.3.5.7.6數(shù)據(jù)訪問控制管理6.3.5.7.7數(shù)據(jù)備份管理6.3.5.7.8數(shù)據(jù)完整性管理6.3.5.7.9數(shù)據(jù)可用性管理6.3.5.7.10不良信息監(jiān)控管理6.3.5.7.11可疑信息跟蹤審計6.3.5.8人員安全管理6.3.5.8.1建立安全組織6.3.5.8.2安全職能獨立6.3.5.8.3人員安全審查6.3.5.8.4崗位安全考核6.3.5.8.5人員安全培訓6.3.5.8.6安全保密契約管理6.3.5.8.7離崗人員安全管理6.3.5.9應用系統(tǒng)管理6.3.5.9.1系統(tǒng)啟動安全審查管理6.3.5.9.2應用軟件監(jiān)控管理6.3.5.9.3應用軟件版本安裝管理6.3.5.9.4應用軟件更改安裝管理6.3.5.9.5應用軟件備份管理6.3.5.9.6應用軟件維護安全管理6.3.5.10操作安全管理6.3.5.10.1操作權(quán)限管理