5.3.3 风险控制

5.3.3.1 选择和实施风险控制措施

对选择和实施风险控制措施，不同安全等级应有选择地满足以下要求的一项：

a） 基于安全等级标准选择控制措施：以信息系统及产品的安全等级标准对不同等级的技术和管理要求，选择相应等级的安全技术和管理措施，决定需要实施的信息系统安全控制措施；
b） 基于风险评估选择控制措施：在a）的基础上，根据风险评估的结果，结合组织机构对于信息系统安全的需求，决定信息系统安全的控制措施；
c） 基于风险评估形成防护控制系统：在b）的基础上，根据风险评估的结果，结合机构对于信息系统安全的需求，决定信息系统安全的控制措施；对相关的各种控制措施进行综合分析，得出紧迫性、优先级、投资比重等评价，形成体系化的防护控制系统。


5.3.4 基于风险的决策

5.3.4.1 安全确认

应对信息系统定期进行安全确认。对安全确认，不同安全等级应有选择地满足以下要求的一项：

a） 残余风险接受：针对信息系统的资产清单、威胁列表、脆弱性列表，结合已采用的安全控制措施，分析存在的残余风险；应形成残余风险分析报告，并由组织机构的高层管理人员决定残余风险是否可接受；
b） 残余风险监视：在a）的基础上，应编制出信息系统残余风险清单，并密切监视残余风险可能诱发的安全事件，并及时采取防护措施；
c） 安全风险再评估：在b）的基础上，采用系统化的方法对信息系统安全风险实施再次评估，通过再次评估，验证防护措施的有效性。


5.3.4.2 信息系统运行的决策

对信息系统运行的决策，不同安全等级应有选择地满足以下要求的一项：

a） 信息系统运行的决定：信息系统的主管者或运营者应根据安全确认的结果，判断残余风险是否处在可接受的水平之内，并决定是否允许信息系统继续运行；
b） 信息系统受控运行：在a）的基础上，如果信息系统的残余风险不可接受，而现实情况又要求系统必须投入运行，且当前没有其它资源能胜任组织机构的使命，经过组织机构管理层的审批，可以临时批准信息系统投入运行，同时应采取相应的风险规避和监测控制措施，并明确风险一旦发生的责任陈述。


5.3.5 风险评估的管理

5.3.5.1 评估机构的选择

对评估机构选择，不同安全等级应有选择地满足以下要求的一项：

a） 按资质和信誉选择：应选择有国家主管部门认可的安全服务资质且有良好信誉的评估机构进行信息系统风险评估；
b） 在上级认可的范围内选择：应在经过本行业主管部门认可或上级行政领导部门批准的选择范围内，确定有国家主管部门认可的安全服务资质且有良好信誉的评估机构，进行信息系统风险评估；
c） 组织专门的评估：应按照国家主管部门有关管理规定选择可信评估机构，必要时应由国家指定专门部门、专门机构组织进行信息系统风险评估。


5.3.5.2 评估机构保密要求

对评估机构的保密要求，不同安全等级应有选择地满足以下要求的一项：

a） 签署保密协议：评估机构人员应按照第三方人员管理要求（详见5.2.3.6）签署保密协议；
b） 专人监督检查：在a）的基础上，应有专人在整个评估过程中监督检查评估机构对保密协议的执行情况；
c） 制定具体办法：在b）的基础上，对专门评估组的保密要求应参照《中华人民共和国保守国家秘密法》的要求，结合实际情况制定具体实施办法。


5.3.5.3 评估信息的管理

对评估信息的管理，不同安全等级应有选择地满足以下要求的一项：

a） 规定交接手续：提交涉及评估需要的资料、数据等各种信息，应规定办理交接手续，防止丢失；
b） 替换敏感参数：在a）的基础上，提交涉及评估需要的资料、数据等各种信息，必要时可以隐藏或替换核心的或敏感的参数；
c） 不得带出指定区域：在b）的基础上，所有提交涉及评估需要的资料、数据等各种信息，只能存放在被评估方指定的计算机内，不得带出指定办公区域。


5.3.5.4 技术测试过程管理

新投入运行的信息系统或经过风险评估对安全机制有较大变动的信息系统应进行技术测试。对技术测试过程的管理，不同安全等级应有选择地满足以下要求的一项：

a） 必须经过授权：使用工具或手工进行技术测试，应事先提交测试的技术方案，并得到授权方可进行；
b） 在监督下进行：在a）的基础上，使用工具或手工进行技术测试，应在被测试方专人监督下按技术方案进行；
c） 由被评估方操作：在b）的基础上，使用工具或手工进行技术测试，可以采用由被评估方技术人员按技术方案进行操作，评估机构技术人员进行场外指导；
d） 过滤测试结果：在c）的基础上，使用工具或手工进行技术测试，应由被评估方技术人员按技术方案进行操作，对测试结果过滤敏感或涉及国家秘密信息后再交评估方分析。


5.4 环境和资源管理

5.4.1 环境安全管理

5.4.1.1 环境安全管理要求

对环境安全管理，不同安全等级应有选择地满足以下要求的一项：

a） 环境安全的基本要求：应配置物理环境安全的责任部门和管理人员；建立有关物理环境安全方面的规章制度；物理安全方面应达到GB/T 20271-2006中6.1.1的有关要求；
b） 较完整的制度化管理：在a）的基础上，应对物理环境划分不同保护等级的安全区域进行管理；应制定对物理安全设施进行检验、配置、安装、运行的有关制度和保障措施；实行关键物理设施的登记制度；物理安全方面应达到GB/T 20271-2006中6.2.1的有关要求；
c） 安全区域标记管理：在b）的基础上，应对物理环境中所有安全区域进行标记管理，包括不同安全保护等级的办公区域、机房、介质库房等；介质库房的管理可以参照同等级的机房的要求；物理安全方面应达到GB/T 20271-2006中6.3.1的有关要求；
d） 安全区域隔离和监视：在c）的基础上，应实施不同保护等级安全区域的隔离管理；出入人员应经过相应级别的授权并有监控措施；对重要安全区域的活动应实时监视和记录；物理安全方面应达到B/T 20271-2006中6.4.1的有关要求；
e） 安全保障的持续改善：在d）的基础上，应对物理安全保障定期进行监督、检查和不断改进，实现持续改善；物理安全方面应达到GB/T 20271-2006中6.5.1的有关要求。


5.4.1.2 机房安全管理要求

对机房安全管理，不同安全等级应有选择地满足以下要求的一项：

a） 机房安全管理的基本要求：应明确机房安全管理的责任人，机房出入应有指定人员负责，未经允许的人员不准进入机房；获准进入机房的来访人员，其活动范围应受到限制，并有接待人员陪同；机房钥匙由专人管理，未经批准，不准任何人私自复制机房钥匙或服务器开机钥匙；没有指定管理人员的明确准许，任何记录介质、文件材料及各种被保护品均不准带出机房，与工作无关的物品均不准带入机房；机房内严禁吸烟及带入火种和水源；
b） 加强对来访人员的控制：在a）的基础上，要求所有来访人员应经过正式批准，登记记录应妥善保存以备查；获准进入机房的来访人员，一般应禁止携带个人计算机等电子设备进入机房，其活动范围和操作行为应受到限制，并有机房接待人员负责和陪同；
c） 增强门禁控制手段：在b）的基础上，任何进出机房的人员应经过门禁设施的监控和记录，应有防止绕过门禁设施的手段；门禁系统的电子记录应妥善保存以备查；进入机房的人员应佩戴相应证件；未经批准，禁止任何物理访问；未经批准，禁止任何人移动计算机相关设备或带离机房；
d） 使用视频监控和专职警卫：在c）的基础上，机房所在地应有专职警卫，通道和入口处应设置视频监控点，24小时值班监视；所有来访人员的登记记录、门禁系统的电子记录以及监视录像记录应妥善保存以备查；禁止携带移动电话、电子记事本等具有移动互连功能的个人物品进入机房；
e） 采取防止电磁泄漏保护：在d）的基础上，对需要防止电磁泄漏的计算机设备配备电磁干扰设备，在被保护的计算机设备工作时电磁干扰设备不准关机；必要时可以使用屏蔽机房。屏蔽机房应随时关闭屏蔽门；不得在屏蔽墙上打钉钻孔，不得在波导管以外或不经过过滤器对屏蔽机房内外连接任何线缆；应经常测试屏蔽机房的泄漏情况并进行必要的维护。

5.4.1.3 办公环境安全管理要求

对办公环境的安全管理，不同安全等级应有选择地满足以下要求的一项：

a） 办公环境安全管理基本要求：设置有网络终端的办公环境，是信息系统环境的组成部分，应防止利用终端系统窃取敏感信息或非法访问；工作人员下班后，终端计算机应关闭；存放敏感文件或信息载体的文件柜应上锁或设置密码；工作人员调离部门或更换办公室时，应立即交还办公室钥匙；设立独立的会客接待室，不在办公环境接待来访人员；
b） 办公环境安全管理增强要求：在a）的基础上，工作人员离开座位应将桌面上含有敏感信息的纸件文档放在抽屉或文件柜内；工作人员离开座位，终端计算机应退出登录状态、采用屏幕保护口令保护或关机；
c） 关键部位办公环境的要求：在b）的基础上，在关键区域或部位，应使相应的办公环境与机房的物理位置在一起，以便进行统一的物理保护。


5.4.2 资源管理

5.4.2.1 资产清单管理

对资产清单的管理，不同安全等级应有选择地满足以下要求的一项：

a） 一般资产清单：应编制并维护与信息系统相关的资产清单，至少包括以下内容：
——信息资产：应用数据、系统数据、安全数据等数据库和数据文档、系统文件、用户手册、培训资料、操作和支持程序、持续性计划、备用系统安排、存档信息；
——软件资产：应用软件、系统软件、开发工具和实用程序；
——有形资产：计算机设备（处理器、监视器、膝上形电脑、调制解调器），通信设备（路由器、数字程控交换机、传真机、应答机），磁媒体（磁带和软盘），其他技术装备（电源，空调设备），家具和机房；
——应用业务相关资产：由信息系统控制的或与信息系统密切相关的应用业务的各类资产，由于信息系统或信息的泄露或破坏，这些资产会受到相应的损坏；
——服务：计算和通信服务，通用设备如供暖、照明、供电和空调等；
b） 详细的资产清单：在a）的基础上，应清晰识别每项资产的拥有权、责任人、安全分类以及资产所在的位置等；
c） 业务应用系统清单：在b）的基础上，应清晰识别业务应用系统资产的拥有权、责任人、安全分类以及资产所在的位置等；必要时应该包括主要业务应用系统处理流程和数据流的描述，以及业务应用系统用户分类说明。


5.4.2.2 资产的分类与标识要求

对资产的分类与标识，不同安全等级应有选择地满足以下要求的一项：

a） 资产标识：应根据资产的价值/重要性对资产进行标识，以便可以基于资产的价值选择保护措施和进行资产管理等相关工作；
b） 资产分类管理：在a）的基础上，应对信息资产进行分类管理，对信息系统内分属不同业务范围的各类信息，按其对安全性的不同要求分类加以标识。对于信息资产，通常信息系统数据可以分为系统数据和用户数据两类，其重要性一般与其所在的系统或子系统的安全保护等级相关；用户数据的重要性还应考虑自身保密性分类，如：
——国家秘密信息：秘密、机密、绝密信息；
——其他秘密信息：受国家法律保护的商业秘密和个人隐私信息；
——专有信息：国家或组织机构内部共享、内部受限、内部专控信息，以及公民个人专有信息；
——公开信息：国家公开共享的信息、组织机构公开共享的信息、公民个人可公开共享的信息；


组织机构应根据业务应用的具体情况进行分类分级和标识，纳入规范化管理；不同安全等级的信息应当本着“知所必需、用所必需、共享必需、公开必需、互联通信必需”的策略进行访问控制和信息交换管理；

c） 资产体系架构：在b）的基础上，以业务应用为主线，用体系架构的方法描述信息资产；资产体系架构不是简单的资产清单，而是通过对各个资产之间有机的联系和关系的结构性描述。


5.4.2.3 介质管理

对介质管理，不同安全等级应有选择地满足以下要求的一项：

a） 介质管理基本要求：对脱机存放的各类介质（包括信息资产和软件资产的介质）进行控制和保护，以防止被盗、被毁、被修改以及信息的非法泄漏；介质的归档和查询应有记录，对存档介质的目录清单应定期盘点；介质应储放在安全的环境中防止损坏；对于需要送出维修或销毁的介质，应防止信息的非法泄漏；对各类介质的保管应参照5.1.3.2相应要求执行；
b） 介质异地存放要求：在a）的基础上，根据所承载的数据和软件的重要程度对介质进行标识和分类，存放在由专人管理的介质库中，防止被盗、被毁以及信息的非法泄漏；对存储保密性要求较高的信息的介质，其借阅、拷贝、传输须经相应级别的领导批准后方可执行，并登记在册；存储介质的销毁必须经批准并按指定方式进行，不得自行销毁；介质应保留2个以上的副本，而且要求介质异地存储，存储地的环境要求和管理方法应与本地相同；
c） 完整性检查的要求：在b）的基础上，对重要介质的数据和软件必要时可以加密存储；对重要的信息介质的借阅、拷贝、分发传递须经相应级别的领导的书面审批后方可执行，并各种处理过程应登记在册，介质的分发传递采取保护措施；对于需要送出维修或销毁的介质，应首先删除信息，再重复写操作进行覆盖，防止数据恢复和信息泄漏；需要带出工作环境的介质，其信息应受到保护；对存放在介质库中的介质应定期进行完整性和可用性检查，确认其数据或软件没有受到损坏或丢失；
d） 加密存储的要求：在c）的基础上，对介质中的重要数据必须使用加密技术或数据隐藏技术进行存储；介质的保存和分发传递应有严格的规定并进行登记；介质受损但无法执行删除操作的，必须销毁；介质销毁在经主管领导审批后应由两人完成，一人执行销毁一人负责监销，
销毁过程应记录；
e） 高强度加密存储的要求：在d）的基础上，对极为重要数据的介质应该使用高强度的加密技术或数据隐藏技术进行存储，并对有关密钥和数据隐藏处理程序严格保管。


5.4.2.4 设备管理要求

对设备管理要求，不同安全等级应有选择地满足以下要求的一项：

a） 申报和审批要求：对于信息系统的各种软硬件设备的选型、采购、发放或领用，使用者应提出申请，报经相应领导审批，才可以实施；设备的选型、采购、使用和保管应明确责任人；
b） 系统化管理：在a）的基础上，要求设备有专人负责，实行分类管理；通过对资产清单（见5.4.2.1）的管理，记录资产的状况和资产使用、转移、废弃及其授权过程，保证设备的完好率；
c） 建立资产管理信息登记机制：在b）的基础上，对各种资产进行全面管理，提高资产安全性和使用效率；建立资产管理登记系统，提供资产分类标识、授权与访问控制、变更管理、系统安全审计等功能，为整个系统提供基础技术支撑。


5.5 运行和维护管理

5.5.1 用户管理

5.5.1.1 用户分类管理

对用户分类管理，不同安全等级应有选择地满足以下要求的一项：

a） 用户分类清单：应按审查和批准的用户分类清单建立用户和分配权限。用户分类清单应包括信息系统的所有用户的清单，以及各类用户的权限；用户权限发生变化时应及时更改用户清单内容；必要时可以对有关用户开启审计功能。用户分类清单应包括：
——系统用户：指系统管理员、网络管理员、数据库管理员和系统运行操作员等特权用户；
——普通用户：指OA和各种业务应用系统的用户；
——外部客户用户：指组织机构的信息系统对外服务的客户用户；
——临时用户：指系统维护测试和第三方人员使用的用户；
b） 特权用户管理：在a）的基础上，应对信息系统的所有特权用户列出清单，说明各个特权用户的权限，以及特权用户的责任人员和授权记录；定期检查特权用户的实际分配权限是否与特权用户清单符合；对特权用户开启审计功能；
c） 重要业务用户管理：在b）的基础上，应对信息系统的所有重要业务用户的列出清单，说明各个用户的权限，以及用户的责任人员和授权记录；定期检查重要业务用户的实际分配权限是否与用户清单符合；对重要业务用户开启审计功能；
d） 关键部位用户管理：在c）的基础上，应对关键部位用户采取逐一审批和授权的程序，并记录备案；定期检查这些用户的实际分配权限是否与授权符合，对这些用户开启审计功能。


5.5.1.2 系统用户要求

对系统用户，不同安全等级应有选择地满足以下要求的一项：

a） 最小授权要求：系统用户应由信息系统的主管领导指定，授权应以满足其工作需要的最小权限为原则；系统用户应接受审计；
b） 责任到人要求：在a）的基础上，对重要信息系统的系统用户，应进行人员的严格审查，符合要求的人员才能给予授权；对系统用户应能区分责任到个人，不应以部门或组作为责任人；
c） 监督性保护要求：在b）的基础上，在关键信息系统中，对系统用户的授权操作，必须有两人在场，并经双重认可后方可操作；操作过程应自动产生不可更改的审计日志。


5.5.1.3 普通用户要求

对普通用户，不同安全等级应有选择地满足以下要求的一项：

a） 普通用户的基本要求：应保护好口令等身份鉴别信息；发现系统的漏洞、滥用或违背安全行为应及时报告；不应透露与组织机构有关的非公开信息；不应故意进行违规的操作；
b） 处理敏感信息的要求：在a）的基础上，不应在不符合敏感信息保护要求的系统中保存和处理高敏感度的信息；不应使用各种非正版软件和不可信的自由软件；
c） 重要业务应用的要求：在b）的基础上，应在系统规定的权限内进行操作，必要时某些重要操作应得到批准；用户应保管好自己的身份鉴别信息载体，不得转借他人。


5.5.1.4 机构外部用户要求

对机构外部用户，不同安全等级应有选择地满足以下要求的一项：

a） 外部用户一般要求：应对外部用户明确说明使用者的责任、义务和风险，并要求提供合法使用的声明；外部用户应保护口令等身份鉴别信息；外部用户只能是应用层的用户；
b） 外部特定用户要求：在a）的基础上，可对特定外部用户提供专用通信通道，端口，特定的应用或数据协议，以及专用设备等；
c） 外部用户的限制：在b）的基础上，在关键部位，一般不允许设置外部用户。