5.5.6.3 安全机制整合要求

对安全机制整合的要求，主要包括：

a） 安全机制整合的一般功能：
——资产信息管理：实现对所管辖的设备和系统对象的管理，包括资产管理、拓扑管理和资源管理；将其所辖设备资产信息按其重要程度分类登记入库，并为其他安全管理提供信息接口；提供资产信息的维护和查询；
——网络异常流量监控：通过实时监控重要网络链路的流量状况，能够统计各个网络/网段中的流量、网络资源的占用情况等，出现异常事件可以多种方式实现自动报警；能够对目标网络的流量监测和历史数据进行和保存辅助分析；在发现网络异常流量时进行威胁来源和目标的准确定位；
——安全事件监控管理：包括系统状态监控、日志收集、实时事件监控、实时事件报警/响应和事件的关联分析与报告；通过监控网络设备、主机系统等日志信息，以及安全产品的报警信息等，及时发现正在和已经发生的安全事件；通过安全响应机制采取措施，保证网络和业务系统的安全可靠运行；审计分析包括日志查询和统计、关联分析及报告生成；
——脆弱性管理：进行补丁库管理和补丁检测与分发；实现对网络中主机系统和网络设备安全脆弱性信息的收集和管理，通过远程和本地脆弱性评估工具及时收集和分析网络中各个系统的最新安全风险动态；
——安全策略管理：包括全局策略管理和系统配置管理；安全策略管理对象应涵盖所管辖的网络设备、主机系统和安全设施，提供安全管理人员登录身份鉴别和访问控制机制；实现基本网络安全策略模板的制订和分发；安全策略管理内容应包括账号、认证、访问控制、审计、应用与软件升级、备份和恢复等策略；
——安全预警管理：根据收集的风险数据提供网络安全风险的趋势分析报表，包括漏洞的分布范围、受影响的系统情况、可能的严重程度等内容；根据监控的安全事件提供网络中主要的攻击对象分布、攻击类型分布等分析；能够根据预先定义数据格式、预警信息的级别和类型等策略，自动生成预警信息，并以预定方式通知有关系统管理员；预警信息应存档，并可提供查询。


5.5.6.4 安全机制整合的处理方式

对安全机制整合的处理方式，主要包括：

a） 安全机制整合的主要工作方式：
——自动处理：将能够预料的安全问题及其处理办法（如系统弱点漏洞、恶意攻击方式、病毒感染方式、网络故障和违规操作、防火墙与入侵检测设备联动等）存入安全知识库并形成相应的处理规则，当事件出现时，系统将根据处理规则进行自动处理；
——人工干预处理：按事件级别进行人工干预处理，主要包括技术咨询、数据恢复、系统恢复、系统加固、现场问题处理、跟踪攻击源、处理报告提交等；
——远程处理：在观察到安全事件发生时或收到下级转交的要求协助解决的安全故障时，可以提供处理方案，也还可以通过远程操作直接对发生故障的系统进行问题诊断和处理；
——辅助决策分析处理：根据预先收集、整理安全事件的资料，以及根据事件类型、出现事件的设备、事件发生的频繁度、事件的危害程度等因素进行分析的方法存入知识库中；运行时将调用知识库对实时收到的系统安全事件进行辅助分析，系统根据事件重要程度顺序自动显示，供人工处置或系统自动处理；
——记录和事后处理：在信息系统运行时收集并记录所有的安全事件和报警信息，记录的事件和信息将作为事后分析的依据。


5.6 业务连续性管理

5.6.1 备份与恢复

5.6.1.1 数据备份和恢复

对数据备份和恢复，不同安全等级应有选择地满足以下要求的一项：

a） 数据备份的内容和周期要求：应明确说明需定期备份重要业务信息、系统数据及软件等内容和备份周期；确定重要业务信息的保存期以及其它需要保存的归档拷贝的保存期；采用离线备份或在线备份方案，定期进行数据增量备份；可使用手工或软件产品进行备份和恢复；对数据备份和恢复的管理应保证GB/T 20271-2006中6.1.2.4所采用的安全技术能达到其应有的安全性要求；
b） 备份介质及其恢复的检查要求：在a）的基础上，应进行数据和局部系统备份；定期检查备份介质，保证在紧急情况时可以使用；应定期检查及测试恢复程序，确保在预定的时间内正确恢复；应根据数据的重要程度和更新频率设定备份周期；应指定专人负责数据备份和恢复，并同时保存几个版本的备份；对数据备份和恢复的管理应保证GB/T 20271-2006中6.2.2.5所采用的安全技术能达到其应有的安全性要求；
c） 备份和恢复措施的强化管理：在b）的基础上，必要时应采用热备份方式保存数据，同时定期进行数据增量备份和应用环境的离线全备份；应分别指定专人负责不同方式的数据备份和恢复，并保存必要的操作记录；对数据备份和恢复的管理应保证GB/T 20271-2006中6.3.2.6所采用的安全技术能达到其应有的安全性要求；
d） 关键备份和恢复的操作过程监督，在c）的基础上，根据数据实时性和其他安全要求，采用本地或远地备份方式，制定适当的备份和恢复方式以及操作程序，必要时对备份后的数据采取加密或数据隐藏处理，操作时要求两名工作人员在场并登记备案；对数据备份和恢复的管理应保证GB/T 20271-2006中6.4.2.6所采用的安全技术能达到其应有的安全性要求。


5.6.1.2 设备和系统的备份与冗余

对设备和系统的备份与冗余，不同安全等级应有选择地满足以下要求的一项：

a） 设备备份要求：应实现设备备份与容错；指定专人定期维护和检查备份设备的状况，确保需要接入系统时能够正常运行；应根据实际需求限定备份设备接入的时间；
b） 系统热备份与冗余要求：在a）的基础上，应实现系统热备份与冗余，并指定专人定期维护和检查热备份和冗余设备的运行状况，定期进行切换试验，确保需要时能正常运行；应根据实际需求限定系统热备份和冗余设备切换的时间；
c） 系统远地备份要求：在b）的基础上，选择远离市区的地方或其他城市，建立系统远地备份中心，确保主系统在遭到破坏中断运行时，远地系统能替代主系统运行，保证信息系统所支持的业务系统能按照需要继续运行。


5.6.2 安全事件处理

5.6.2.1 安全事件划分

对安全事件划分，不同安全等级应有选择地满足以下要求的一项：

a） 安全事件内容和划分：安全事件是指信息系统五个层面所发生的危害性情况，包括事故、故障、病毒、黑客攻击性活动、犯罪活动、信息战等；通常可能包括（但不限于）不可抗拒的事件、设备故障事件、病毒爆发事件、外部网络入侵事件、内部信息安全事件、内部误用和误操作等事件。安全事件的处置需要贯穿整个安全管理的全过程，应依据安全事件对信息系统的破坏程度、所造成的社会影响及涉及的范围，确定具体信息系统安全事件处置等级的划分原则；
b） 安全事件处置制度：在a）的基础上，建立信息安全事件分等级响应、处置的制度；根据不同安全保护等级的信息系统中发生的各类事件制定相应的处置预案，确定事件响应和处置的范围、程度及适用的管理制度等；信息安全事件发生后，按预案分等级进行响应和处置；在发现或怀疑系统或服务出现安全漏洞或受到威胁时，应按照安全事件处置要求处理；
c） 安全事件管理程序：在b）的基础上，应明确安全事件管理责任，制定相关程序，应考虑以下要求：
——制定处理预案：针对各种可能发生的安全事件制定相应的处理预案；
——分析原因：注意分析和鉴定事件产生的原因，制定防止再次发生的补救措施；
——收集证据：收集审计记录和类似证据，包括内部问题分析，用作与可能违反合同或违反规章制度的证据；
——处理过程控制：严格控制恢复过程和人员，只有明确确定身份和获得授权的人员才允许访问正在使用的系统和数据，详细记录采取的所有紧急措施，及时报告有关部门，并进行有序的审查，以最小的延误代价确认业务系统和控制的完整性；
——总结吸取教训：对发生的安全事件的类型、规模和损失进行量化和监控；用来分析重复发生的或影响很大的事故或故障，改进控制措施降低事故发生的频率和损失；
——责任划分和追究：应对安全事件的有关管理或执行责任或者责任范围进行划分和追究，使得没有人在其责任范围内所犯的错误能够逃脱检查。


5.6.2.2 安全事件报告和响应

对安全事件报告和响应，不同安全等级应有选择地满足以下要求的一项：

a） 安全事件报告和处理程序：信息安全事件实行分等级响应、处置的制度；安全事件应尽快通过适当的管理渠道报告，制定正式的报告程序和事故响应程序；使所有员工知道报告安全事件程序和责任；信息安全事件发生后，根据其危害和发生的部位，迅速确定事件等级，并根据等级启动相应的响应和处置预案；事件处理后应有相应的反馈程序；
b） 安全隐患报告和防范措施：在a）的基础上，增加对安全弱点和可疑事件进行报告；告知员工未经许可测试弱点属于滥用系统；对于还不能确定为事故或者入侵的可疑事件应报告；对于所有安全事件的报告应记录在案归档留存；
c） 强化安全事件处理的责任：在b）的基础上，要求安全管理机构或职能部门负责接报安全事件报告，并及时进行处理，注意记录事件处理过程；对于重要区域或业务应用发生的安全事件，应注意控制事件的影响；应追究安全事件发生的技术原因和管理责任，写出处理报告，并进行必要的评估。


5.6.3 应急处理

5.6.3.1 应急处理和灾难恢复

应急处理和灾难恢复，不同安全等级应有选择地满足以下要求的一项：

a） 应急处理的基本要求：应对信息系统的应急处理有明确的要求，制定具体的应急处理措施；安全管理人员应协助分管领导落实应急处理措施；
b） 应急处理的制度化要求：在a）的基础上，应制定总体应急计划和灾难恢复计划并由应急处理小组负责落实；制定针对关键应用系统和支持系统的应急计划和灾难恢复计划并进行测试；
对计划涉及人员进行培训，保证这些人员具有相应执行能力；与应急需要外部有关单位应签订合同；制定安全事件处理制度；制定系统信息和文档备份制度等等；
c） 应急处理的检查要求：在b）的基础上，信息安全领导小组应有人负责或指定专人负责应急计划和实施恢复计划管理工作；信息系统安全机制集中管理机构应协助应急处理小组负责具体落实；检查或验证应急计划和灾难恢复计划，保证应急计划和灾难恢复计划能够有效执行；
d） 应急处理的强制保护要求：在c）的基础上，针对应急计划和灾难恢复计划实施进行独立审计；针对应急计划和灾难恢复计划进行定期评估，不断改进和完善；
e） 应急处理的持续改进要求：在d）的基础上，制定包括全面管理细则的应急计划和灾难恢复计划；基于应急计划和灾难恢复计划和安全策略，进行可验证的操作过程监督。


5.6.3.2 应急计划

对应急计划，不同安全等级应满足以下要求：

a） 应急计划框架，包括以下内容：
——制定应急计划策略，明确制定应急计划所需的职权和相应的管理部门；
——进行业务影响分析，识别关键信息系统和部件，确定优先次序；
——确定防御性控制，减小系统中断的影响，提高系统的可用性；注意采取措施，减少应急计划生存周期费用；
——制定恢复策略，确保系统可以在中断后快速和有效的恢复；
——制定信息系统应急计划，包括恢复受损系统所需的指导方针和规程；
——计划测试、培训和演练，发现计划的不足，培训技术人员；
——计划维护，有规律地更新适应系统发展；
——制定灾难备份计划，以及启动方式。


5.6.3.3 应急计划的实施保障

对应急计划的实施保障，不同安全等级应有选择地满足以下要求的一项：

a） 应急计划的责任要求：应对明确应急计划的组织和实施人员，使其知道在应急计划实施过程中各自的责任；
b） 应急计划的能力要求：在a）的基础上，对系统相关的人员进行培训，知道如何以及何时使用应急计划中的控制手段及恢复策略，保证执行应急计划应具有的能力；
c） 应急计划的系统化管理：在b）的基础上，进行系统化管理用于实施和维护整个组织的应急计划体系，并记录计划实施过程；确保应急计划的执行有足够资源的保证；
d） 应急计划的监督措施：在c）的基础上，从风险评估开始，考虑所有的运行管理过程，识别可能引起业务过程中断的事件，应有业务资源和业务过程管理者的参与和监督；
e） 应急计划的持续改进：在d）的基础上，应针对计划的正确性和完整性进行定期检查，在计划发生重大变化时应立即检查；根据业务应用的重要程度的不同，不断对计划内容和规程进行评估和完善。


5.7 监督和检查管理

5.7.1 符合法律要求

5.7.1.1 知晓适用的法律

对知晓适用的法律，不同安全等级应有选择地满足以下要求的一项：

a） 知晓适用的法律并防止违法行为：组织机构应认识对于信息系统应用范畴适用的所有法律法规；对信息系统的设计、操作、使用和管理，及信息管理方面应规避法律法规禁区，防止出现违法行为；应保护组织机构的数据信息和个人信息隐私；对于详细而准确的法律要求应从组织机构的法律顾问，或者合格的法律从业人员处获得帮助；
b） 防止对信息处理设备的滥用：在a）的基础上，应有措施防止对信息处理设备的滥用，以免危害机构和社会的利益；
c） 遵照法规要求使用密码技术：在b）的基础上，信息系统中采用的加密技术应使用国家主管部门批准的算法，采用其他密码技术也应符合国家有关法规的要求。


5.7.1.2 知识产权管理

对知识产权的管理，不同安全等级应有选择地满足以下要求的一项：

a） 知识产权保护的基本要求：应当建立关于尊重知识产权的策略，并形成书面文档，涉及软件开发的工作人员和承包商应做到符合和遵守相关的法律、法规，应防止发生侵犯版权的行为；
b） 重要应用系统软件的保护：在a）的基础上，在信息系统中，如果重要应用系统软件是外包开发的，应注意明确软件版权有关问题，应防止发生因软件升级或改造引起侵犯软件版权的行为；
c） 关键业务应用的软件版权：在b）的基础上，对关键业务应用，必要时应要求必须使用具有自主知识产权的软件，以保护关键业务应用的安全。


5.7.1.3 保护证据记录

对保护证据记录，不同安全等级应满足以下要求：

a） 保护机构的重要记录：应明确规定组织机构的重要记录的内容范围，如财务记录、数据库记录、审计日志等等；应按照法律法规的要求保护组织机构的重要记录，防止丢失、毁坏和被篡改；被作为证据的记录，信息的内容和保留的时间应遵守国家法律法规的规定。


5.7.2 依从性检查
5.7.2.1 检查和改进

对检查和改进，不同安全等级应有选择地满足以下要求的一项：

a） 检查和改进的基本要求：要求组织机构定期对安全管理活动的各个方面进行检查和评估工作；对照组织机构的安全策略和管理制度做到自管、自查、自评，并应落实责任制；
b） 制度化的检查和改进：在a）的基础上，建立检查和改进制度，定期检查实施的所有安全程序是否遵从了组织机构制定的安全方针和政策，检查信息系统在技术方面是否依从了安全标准，根据检查过程中发现的不足对安全管理体系进行不断改进；做到接受国家监管和自我管理相结合。


5.7.2.2 安全策略依从性检查

对安全策略依从性检查，不同安全等级应有选择地满足以下要求的一项：

a） 对系统管理员的检查：应定期检查安全策略的遵守情况，重点检查信息系统的网络、操作系统、数据库系统等系统管理员，保证其在应有责任范围内能够正确地执行所有安全程序，以及能够正确遵从组织机构制定的安全策略；
b） 全面和系统化的检查：在a）的基础上，对信息系统各个岗位应进行定期检查操作规程和管理程序的执行情况，确保遵从组织机构的安全策略；检查范围应包括信息系统本身，以及系统供应商、信息和信息资产的所有者、用户和管理层，保证其符合安全策略和标准；
c） 操作过程监督和持续改进：在b）的基础上，检查有关系统使用情况和操作等监控过程；根据检查结果，对信息系统安全管理体系和安全管理执行过程存在的问题进行不断改进。


5.7.2.3 技术依从性检查

对技术依从性检查，不同安全等级应有选择地满足以下要求的一项：

a） 技术依从性检查的要求，按照信息系统应达到相应安全保护等级技术要求定期进行检查，根据检查信息系统对安全实施标准的符合情况进行初步评价并形成意见；
b） 技术依从性检查的手段：在a）的基础上，对硬件和软件的检验，以及技术依从检查应由有能力的、经过授权的人员来进行；对于技术测试应由有经验的系统工程师手工或使用软件包进行并生成检测结果，经技术专家解释并产生技术报告；应根据检查结果，对存在的缺陷进行不断改进；
c） 技术依从性检查的控制：在b）的基础上，对关键区域或涉密系统的技术依从性检查应严格控制，并注意对有关检测过程和检测结果的安全进行保护。


5.7.3 审计及监管控制

5.7.3.1 审计控制

对审计监督控制，不同安全等级应有选择地满足以下要求的一项：

a） 审计机构及职能：应有独立的审计机构或人员对组织机构的安全管理体系、信息系统的安全风险控制、管理过程的有效性和正确性进行审计；对审计过程进行控制，应制定审计的工作程序和规范化工作流程，将审计活动周期化，同时加强安全事件发生后的审计；
b） 系统审计过程要求：在a）的基础上，应对系统的审计活动进行规划，尽量减小中断业务流程的风险；系统审计过程控制要求，审计的范围必须经过授权并得到控制，审计所需的资源应明确定义并保证可用性，应审计和记录所有的访问，对所有的流程、需求和责任都应文档化；
c） 系统审计工具保护要求：在b）的基础上，应对系统审计工具进行保护，防止误用造成危害；审计工具应与开发系统和运行系统分开管理；应明确审计工具的适用范围，使用过程应经过批准，应记录审计工具的所有使用过程，应明确审计工具的保存方式、责任人员等。