5.5.4.2 外包服务商

对外包服务商，不同安全等级应有选择地满足以下要求的一项：

a） 外包服务商的基本要求：应选择具有相应服务资质并信誉好的外包服务商；
b） 在既定的范围内选择外包服务商：对较为重要的业务应用，应在行业认可或者是经过上级主管部门批准的范围内，选择具有相应服务资质并信誉好的可信的外包服务商；
c） 外包服务的限制要求：关键的或涉密的业务应用，一般不应采用外包服务方式。


5.5.4.3 外包服务的运行管理

外包服务的运行管理，不同安全等级应有选择地满足以下要求的一项：

a） 外包服务的监控：对外包服务的业务应用系统运行的安全状况应进行监控和检查，出现问题应遵照合同规定及时处理和报告；
b） 外包服务的评估：在a）的基础上，对外包服务的业务应用系统运行的安全状况应定期进行评估，当出现重大安全问题或隐患时应进行重新评估，提出改进意见，直至停止外包服务。


5.5.5 有关安全机制保障

5.5.5.1 身份鉴别机制管理要求

对身份鉴别机制的管理，不同安全等级应有选择地满足以下要求的一项：

a） 身份鉴别机制管理基本要求：对网络、操作系统、数据库系统等系统管理员和应用系统管理员以及普通用户，应明确使用和保护身份鉴别机制的责任；应指定安全管理人员定期进行检查，对身份鉴别机制的管理应保证GB/T 20271-2006中6.1.3.1所采用的安全技术能达到其应有的安全性要求；
b） 身份鉴别机制增强要求：在a）的基础上，应采用不可伪造的鉴别信息进行身份鉴别；鉴别信息应进行相应的保护；对身份鉴别机制的管理应保证GB/T 20271-2006中6.2.3.1所采用的安全技术能达到其应有的安全性要求；
c） 身份鉴别和认证系统的管理维护：在b）的基础上，应采用有关身份鉴别和认证系统的管理维护措施；对身份鉴别机制的管理应保证GB/T 20271-2006中6.3.3.1所采用的安全技术能达到其应有的安全性要求；
d） 身份鉴别和认证管理的强制保护：在c）的基础上，应采用多鉴别机制进行身份鉴别，操作过程需要留有操作记录和审批记录，必要时应两人以上在场才能进行；对身份鉴别机制的管理应保证GB/T 20271-2006中6.4.3.1所采用的安全技术能达到其应有的安全性要求；
e） 身份鉴别和认证管理的专项管理：在d）的基础上，与相关业务部门共同制定专项管理措施；对身份鉴别机制的管理应保证GB/T 20271-2006中6.5.3.1所采用的安全技术能达到其应有的安全性要求。


5.5.5.2 访问控制机制管理要求

对访问控制机制的管理，不同安全等级应有选择地满足以下要求的一项：
a） 自主访问控制机制的管理：应根据自主访问控制机制的要求，由授权用户为主、客体设置相应访问的参数；
b） 自主访问控制审计管理：在a）基础上，应将自主访问控制与审计密切结合，实现对自主访问控制过程的审计，使访问者必须为自己的行为负责；并保证最高管理层对自主访问控制管理的掌握；
c） 强制访问控制的管理：在b）基础上，应将强制访问控制与审计密切结合，实现对强制访问控制过程的审计；应根据强制访问控制机制的要求，由授权的安全管理人员通过专用方式为主、客体设置标记信息；可采用集中式、分布式和混合式等基本的访问控制管理模式，对分布在信息系统的不同计算机系统上实施同一安全策略的访问控制机制，设置一致的主、客体标记信息；应根据信息系统的安全需求，确定实施系统级、应用级、用户级的审计跟踪；
d） 访问控制的监控管理：在c）基础上，对访问控制进行监控管理，对系统、用户或环境进行持续性检查；对实时性强的活动加强监控，包括每日或每周对审计跟踪（如有关非法登录尝试）的检查；注意保护和检查审计跟踪数据，以及用于审计跟踪分析的工具；
e） 访问控制的专项控制：在d）基础上，应具有严格的用户授权与访问控制措施；对访问控制机制的设置进行专项审批，并由独立的安全管理人员对网络、系统和应用等方面的访问控制机制进行独立的有效性评估和检查。


5.5.5.3 系统安全管理要求

对操作系统和数据库管理系统的安全管理，不同安全等级应有选择地满足以下要求的一项：

a） 系统安全管理基本要求：应对不同安全级别的操作系统和数据库管理系统按其安全技术和机制的不同要求实施相应的安全管理；应通过正式授权程序委派专人负责系统安全管理；建立系统安全配置、备份等安全管理规章制度；按规章制度的要求进行正确的系统安全配置、备份等操作，及时进行补丁升级；
b） 基于审计的系统安全管理：在a）的基础上，应对系统进行日常安全管理，包括对用户安全使用进行指导和审计等；应依据操作规程确定审计事件、审计内容、审计归档、审计报告；对授权用户应采用相应身份鉴别机制（见5.5.5.1）进行鉴别，并遵照规定的登录规程登录系统和使用许可的资源；应对系统工具的使用进行授权管理和审计；应对系统的安全弱点和漏洞进行控制；应依据变更控制规程对系统的变更进行控制；应及时对系统资源和系统文档进行安全备份；
c） 基于标记的系统安全管理：在b）的基础上，应根据访问控制安全策略的要求，全面考虑和统一设置、维护用户及主、客体的标记信息；设置和维护标记信息的操作应由授权的系统安全员通过系统提供的安全员操作界面实施；对可能危及系统安全的系统工具进行严格的控制；
应制定严格的变更控制制度，保证变更不影响应用系统的可用性、安全性，保证变更过程的有效性、可审计性和可恢复性；应对操作系统资源和系统文档进行标记、安全备份，并制定、实施应急安全计划；
d） 基于强制的系统安全管理：在c）的基础上，应按系统内置角色强制指定系统安全管理责任人；应保证系统管理过程的可审计性；应定期对操作系统安全性进行评估；
e） 基于专控的系统安全管理：在d）的基础上，应保证系统的安全管理工作在多方在场并签署责任书情况下进行；应使用经过验证的系统软件，确保使用者熟悉系统的操作流程，并对操作人员的操作过程实施监视。


5.5.5.4 网络安全管理要求

对网络系统的安全管理，不同安全等级应有选择地满足以下要求的一项：

a） 网络安全管理基本要求：应对不同安全级别的网络按其安全技术和机制的不同要求实施相应的安全管理；应通过正式授权程序指定网络安全管理人员；应制定有关网络系统安全管理和配置的规定，保证安全管理人员按相应规定对网络进行安全管理；
b） 基于规程的网络安全管理：在a）的基础上，应按有关规程对网络安全进行定期评估，不断完善网络安全策略，建立、健全网络安全管理规章制度，包括：
——制定使用网络和网络服务的策略。依据总体安全方针、策略制定允许提供的网络服务、制定网络访问许可和授权管理制度、保证信息系统网络连接和服务的安全技术正确实施；
——制定网络安全教育和培训计划，保证信息系统的各类用户熟知自己在网络安全方面的安全责任和安全规程；
——建立网络访问授权制度，保证经过授权的用户才能在指定终端，使用指定的安全措施，按设定的可审计路由访问许可的网络服务；
——对安全区域外部移动用户的网络访问实施严格的审批制度，实施用户安全认证和审计技术措施，保证网络连接的可靠性、保密性，保证用户对外部连接的安全性负责；
——定义与外部网络连接的接口边界，建立安全规范，定期对外部网络连接接口的安全进行评估，对通过外部连接的可信信息系统之间的网络信息提供加密服务，有关加密设备和算法的使用按国家有关规定执行；
——对外进行公共服务的信息系统，应采取严格的安全措施实施访问控制，保证外部用户对服务的访问得到控制和审计，并保证外部用户对特定服务的访问不危及内部信息系统的安全，对外传输的数据和信息要经过审查，防止内部人员通过内外网的边界泄露敏感信息；
——对可能从内部网络向外发起的连接资源（如Modem拨号接入Internet）实施严格控制，建立连接资源使用授权制度，建立检查制度防止信息系统使用未经许可和授权的连接资源；
——不同安全保护等级的信息系统网络之间的连接按访问控制策略实施可审计的安全措施，如使用防火墙、安全路由器等，实现必要的网络隔离；
——保证网络安全措施的日常管理责任到人，并对网络安全措施的使用进行审计；
——按网络设施和网络服务变更控制制度执行网络配置变更控制；
——建立网络安全事件、事故报告处理流程，保证事件和事故处理过程的可审计性；
——对网络连接、网络安全措施、网络设备及操作规程定期进行安全检查和评估，提交正式的网络安全报告；
——信息系统的关键网络设备设施应有必要的备份；
c） 基于标记的网络安全管理：在b）的基础上，针对网络安全措施的使用建立严格的审计、标记制度，保证安全措施配有具体责任人负责网络安全措施的日常管理；指定网络安全审计人员，负责安全事件的标记管理，网络安全事件的审计；对审计活动进行控制，保证网络设施或审计工具提供的审计记录完整性和可用性；对可用性要求高的网络指定专人进行不间断的监控，并能及时处理安全事故；
d） 基于强制监督的网络安全管理：在c）的基础上，建立的独立安全审计，对网络服务、网络安全策略、安全控制措施进行有效性检查和监督；保证网络安全管理人员达到相应的资质；信息系统网络之间的连接应使用可信路径；
e） 基于专控的网络安全管理：在d）的基础上，要求至少有两名以上的网络安全管理人员实施网络安全管理事务，并保证网络安全管理本身的安全风险得到控制；信息系统网络之间的连接严格控制在可信的物理环境范围内。


5.5.5.5 应用系统安全管理要求

对应用系统安全管理，不同安全等级应有选择地满足以下要求的一项：

a） 应用系统安全管理基本要求：应对不同安全级别的应用系统按其安全技术和机制的不同要求实施相应的安全管理；应通过正式授权程序委派专人负责应用系统的安全管理，应明确管理范围、管理事务、管理规程，以及应用系统软件的安全配置、备份等安全工作；应结合业务需求制定相关规章制度，并严格按照规章制度的要求实施应用系统安全管理；
b） 基于操作规程的应用系统安全管理：在a）的基础上，应制定并落实应用系统的安全操作规程，包括：
——指定信息安全管理人员，依据信息安全操作规程，负责信息的分类管理和发布；
——对任何可能超越系统或应用程序控制的实用程序和系统软件都应得到正式的授权和许可，并对使用情况进行登记。保证对应用系统信息或软件的访问不影响其他信息系统共享信息的安全性；
——应用系统的内部用户，包括支持人员，应按照规定的程序办理授权许可，并根据信息的敏感程度签署安全协议，保证应用系统数据的保密性、完整性和可用性；
——应指定专人负责应用系统的审计工作，保证审计日志的准确性、完整性和可用性；
——组织有关人员定期或不定期对应用系统的安全性进行审查，并根据应用系统的变更或风险变化提交正式的报告，提出安全建议；
——对应用系统关键岗位的工作人员实施资质管理，保证人员的可靠性和可用性；
——制定切实可用的应用系统及数据的备份计划和应急计划，并由专人负责落实和管理；
——制定应用软件安全管理规章制度，包括应用软件的开发和使用等管理；（见5.8）
c） 基于标记的应用系统安全管理：在b）的基础上，应对应用软件的使用采取授权、标记管理制度；未授权用户不得安装、调试、运行、卸载应用软件，并对应用软件的使用进行审计；
应定期或不定期对应用系统的安全性进行评估，并根据应用系统的变更或风险变化提交正式的评估报告，提出安全建议，修订、完善有关安全管理制度和规程；应用系统的开发人员不得从事应用系统日常运行和安全审计工作；操作系统的管理人员不得参与应用系统的安全配置管理和应用管理；
d） 基于强制的应用系统安全管理：在c）的基础上，要求建立独立的应用安全审计，对应用系统的总体安全策略、应用系统安全措施的设计、部署、维护和运行管理进行检查；审计人员仅实施审计工作，不参与系统的其它任务，确保授权用户范围内的使用，防止信息的泄漏；
e） 基于专控的应用系统安全管理：在d）的基础上，应对应用系统的安全状态实施周期更短的审计、检查和操作过程监督，并保证对应用系统的安全措施能适应安全环境的变化；应与应用系统主管部门共同制定专项安全措施。


5.5.5.6 病毒防护管理要求

对病毒防护管理，不同安全等级应有选择地满足以下要求的一项：

a） 病毒防护管理基本要求：通过正式授权程序对病毒防护委派专人负责检查网络和主机的病毒检测并保存记录；使用外部移动存储设备之前应进行病毒检查；要求从不信任网络上所接收的文件或邮件，在使用前应首先检查是否有病毒；及时升级防病毒软件；定期进行总结汇报病毒安全状况；
b） 基于制度化的病毒防护管理，在a）的基础上，制定并执行病毒防护系统使用管理、应用软件使用授权安全管理等有关制度；应检查网络内计算机病毒库的升级情况并进行记录；对非在线, 的内部计算机设备及其它移动存储设备，以及外来或新增计算机做到入网前进行杀毒和补丁检测；
c） 基于集中实施的病毒防护管理：在b）的基础上，实行整体网络统一策略、定期统一升级、统一控制，紧急情况下增加升级次数；对检测或截获的各种高风险病毒进行及时分析处理，提供相应的报表和总结汇报；采取对系统所有终端有效防范病毒或恶意代码引入的措施；
d） 基于监督检查的病毒防护管理：在c）的基础上，针对病毒防护管理制度执行情况，以及病毒防护的安全情况，进行定期或不定期检查。


5.5.5.7 密码管理要求

对密码管理，不同安全等级应有选择地满足以下要求的一项：

a） 密码算法和密钥管理：应按国家密码主管部门的规定，对信息系统中使用的密码算法和密钥进行管理；应按国家有关法律法规要求，对信息系统中包含密码的软、硬件信息处理模块的进、出口进行管理；应按国家密码主管部门的规定，对密码算法和密钥实施分等级管理；
b） 以密码为基础的安全机制的管理：在a）的基础上，应对信息系统中以密码为基础的安全机制实施分等级管理。


5.5.6 安全集中管理

5.5.6.1 安全机制集中控管

对安全机制集中控管，不同安全等级应有选择地满足以下要求的一项：

a） 安全机制集中控管基本要求：能够对信息系统所涉及的计算机、网络以及应用系统的安全机制实施统一管理、统一监控、统一审计、协同防护，发挥安全机制的整体作用，提高安全防护的等级和水平，主要包括：
——建立一体化和开放性平台，将多家不同类型的安全产品整合到一起，进行统一的管理配置和监控；能够提供标准的接口，兼容所在信息系统的不同厂商产品的管理、访问和连接问题，使第三方产品能够整合到系统中；
——根据安全策略生成的安全规则，提供整个信息系统安全策略的统一管理和实施，具备对被管安全设施的配置/性能/故障等基本的管理功能，具备对安全资源(安全补丁/攻击模式库/安全策略等)管理能力，集中管理和审计能力；
——安全机制整合主要包括安全事件管理、风险管理以及安全策略管理；
b） 安全机制分层分级联和控管：在a）的基础上，根据网络结构，按照分布式多层次的管理结构，进行分层分级联合方式的集中安全管理。


5.5.6.2 安全信息集中管理

对安全信息的集中管理，不同安全等级应有选择地满足以下要求的一项：

a） 安全信息集中管理的基本要求：主要包括：
——将信息系统所涉及的计算机、网络以及应用系统的安全信息实施统一管理、综合分析，发挥安全信息的整体作用；
——具有集中分析、浏览和汇集存储从各安全组件传送来的经初步处理过的安全数据的功能，提供可视化报表和安全事件分析过程，以及安全事件的管理与辅助分析机制；
b） 对关键区域安全信息的集中管理：在a）的基础上，通过对关键区域安全信息的集中管理，应能够对关键区域的安全信息的处理，采用相应安全级别的访问控制和保护措施；
c） 对核心区域安全信息的集中管理：在b）的基础上，应根据核心区域安全信息的需要，通过对安全信息的集中管理，与有关主管部门共同制定专项的安全控制和保护措施。