5.7.3.2 监管控制

组织机构应接受和协助政府有关部门对不同安全保护级别的信息和信息系统实行不同强度的监管
控制，不同安全等级应有选择地满足以下要求的一项：

a） 自主保护：依照国家有关法规和GB17859-1999第一级的要求进行自主保护；
b） 指导保护：在信息安全监管职能部门指导下依照国家有关法规和GB17859-1999第二级的要求进行自主保护；
c） 监督保护：依照国家有关法规和GB17859-1999第三级的要求进行自主保护，信息安全监管职能部门对其进行监督、检查；
d） 强制保护：依照国有关法规和GB17859-1999第四级的要求进行自主保护，信息安全监管职能部门对其进行强制监督、检查；
e） 专控保护：依照国家有关法规和GB17859-1999第五级的要求进行自主保护，国家指定专门部门、专门机构进行专门监督。


5.7.4 责任认定

5.7.4.1 审计结果的责任认定

对审计结果的责任认定，不同安全等级应有选择地满足以下要求的一项：

a） 明确审计结果的责任：对于5.7.1、5.7.2、5.7.3审计及监管过程发现的问题应限期解决，同时要认定技术责任和管理责任，明确责任当事人，会同有关部门提出问题解决办法和责任处理意见；
b） 明确审计结果中的领导责任：在a）的基础上，应对审计及监管过程发现的问题认定相关领导者的责任，组织机构领导层应就此提出问题解决办法和责任处理意见，以及监督问题解决情况；
c） 明确审计结果处理的复查责任：在b）的基础上，应对审计及监管过程发现问题的处理结果进行必要的复查，并明确进行审计及监管复查的期限和责任。


5.7.4.2 审计及监管者责任的认定

对审计及监管者责任的认定，不同安全等级应有选择地满足以下要求的一项：

a） 按规定要求定期审计的责任：审计及监管者应按有关监督和检查的规定定期进行审计，逾期未进行审计及监管，使本应审计的问题因未审计而造成信息系统损失，应承担相应的责任；
b） 审计及监管不得力的责任：在a）的基础上，审计及监管者虽能够按有关监督和检查的规定进行审计，但因未能及时发现本应审计出问题而造成信息系统损失的，应承担相应的责任；
c） 审计结果处理的跟踪责任：在b）的基础上，审计及监管者应对审计及监管过程发现问题的处理结果进行必要的跟踪检查直至问题的解决，如因未进行跟踪检查而造成损失的，应承担相应的责任。


5.8 生存周期管理

5.8.1 规划和立项管理

5.8.1.1 系统规划要求

对系统规划要求，不同安全等级至少应满足以下要求的一项或多项：

a） 系统建设和发展计划：组织机构信息系统的管理者应对信息系统的建设和改造，以及近期和远期的发展制定工作计划，并应得到组织机构管理层的批准；
b） 信息系统安全策略规划：在a）的基础上，应制定安全策略规划并得到组织机构管理层的批准；安全策略规划主要包括信息系统的总体安全策略、安全保障体系的安全技术框架和安全管理策略等；能够为信息系统安全保障体系的规划、建设和改造提供依据，使管理者和使用者都了解信息系统安全防护的基本原则和策略，知道应采用的各种技术和管理措施对抗各种威胁；
c） 信息系统安全建设规划：在b）的基础上，在安全策略规划的指导下，制定安全建设和安全改造的规划，并应得到组织机构管理层的批准；在统一规划引导下，通过调整网络结构、添加保护措施和改造应用系统等，达到信息安全保障系统建设的要求，保证信息系统的正常运行和组织机构的业务稳定发展。


5.8.1.2 系统需求的提出

对系统需求的提出，不同安全等级至少应满足以下要求的一项或多项：
a） 业务应用的需求：信息系统应用部门或业务部门需要开发新的业务应用系统或更改已运行的业务应用系统时，应分析该新业务将会产生的经济效益和社会效益，确定其重要性，并以书面形式提出申请；
b） 系统安全的需求：在a）的基础上，信息系统的安全管理职能部门应根据信息系统的安全状况和存在隐患的分析，以及信息安全评估结果等提出加强系统安全的具体需求，并以书面形式提出申请。安全需求的分析和说明包括（但不限于）以下内容：
——组织机构的业务特点和需求；
——威胁、脆弱性和风险的说明；
——安全的要求和保护目标；
c） 系统规划的需求：在b）的基础上，信息系统的管理者应根据信息系统安全建设规划的要求，提出当前应进行安全建设和安全改造的具体需求，并以书面形式提出申请。


5.8.1.3 系统开发的立项

对系统开发的立项，不同安全等级至少应满足以下要求的一项或多项：

a） 系统开发立项的基本要求：接到系统需求的书面申请，必须经过主管领导的审批，或者经过管理层的讨论批准，才能正式立项；
b） 可行性论证要求：对于规模较大的项目，接到系统需求的书面申请，必须组织有关部门负责人和有关安全技术专家进行可行性论证，通过论证后由主管领导审批，或者经过管理层的讨论批准，才能正式立项；
c） 系统安全性评价要求：在b）的基础上，对于重要的项目，接到系统需求的书面申请，必须组织有关部门负责人和有关安全技术专家进行项目安全性评价，在确认项目安全性符合要求后由主管领导审批，或者经过管理层的讨论批准，才能正式立项。


5.8.2 建设过程管理

5.8.2.1 建设项目准备

对建设项目准备，不同安全等级至少应满足以下要求的一项或多项：

a） 确定项目负责人：对信息系统建设和改造项目应明确指定项目负责人，监督和管理项目的全
过程；
b） 制定项目实施计划：在a）的基础上，应制定详细的项目实施计划，作为项目管理过程的依据；
c） 制定监理管理制度：在b）的基础上，要求将安全工程项目过程有效程序化；建立工程实施监理管理制度；应明确指定项目实施监理负责人。


5.8.2.2 工程项目外包要求

对工程项目外包要求，不同安全等级至少应满足以下要求的一项或多项：

a） 具有服务资质的厂商：对信息系统工程项目外包，应选择具有服务资质的信誉较好的厂商，要求其已获得国家主管部门的资质认证并取得许可证书、能有效实施安全工程过程、有成功的实施案例；
b） 可信的具有服务资质的厂商：在a）的基础上，对重要的信息系统工程项目外包，应在主管部门指定或特定范围内选择具有服务资质的信誉较好的厂商，并应经实践证明是安全可靠的厂商；
c） 对项目的保护和控制程序：在b）的基础上，对应废止和暂停的项目，要确保相关的系统设计、文档、代码等的安全；对应销毁过程要进行安全控制；还应制定控制程序对项目进行保护，包括：
——代码的所有权和知识产权；
——软件开发过程的质量控制要求；
——代码质量检测要求；
——在安装之前进行测试以检测特洛伊代码；
d） 工程项目外包的限制：在c）的基础上，对于安全保护等级较高的信息系统工程项目，一般不应采取工程项目外包方式。


5.8.2.3 自行开发环境控制

对自行开发环境控制，不同安全等级至少应满足以下要求的一项或多项：

a） 开发环境与运行环境物理分开：对自行开发信息系统的建设和改造项目时，应明确要求开发环境与实际运行环境做到物理分开，建立完全独立的两个环境；开发及测试活动也应尽可能分开；
b） 系统开发文档和软件包的控制：在a）的基础上，系统开发文档应当受到保护和控制；必要时，经管理层的批准，才允许使用系统开发文档；系统开发文档的访问在物理或逻辑上应当与予控制；一般不鼓励对非自行开发的软件包进行修改，必须改动时应注意：
——内置的控制措施和整合过程被损害的风险；
——由于软件的改动对将来的维护带来影响；
——应保留原始软件，并在完全一样的复制件上进行改动；
——所有的改动应经过充分的测试并形成文件，以便必要时用于将来的软件升级；
c） 对程序资源库的控制：在b）的基础上，为了减少计算机程序被破坏的可能性，应严格控制对程序资源库的访问；至少可以采用以下控制措施：
—— 程序资源库不应被保存在运行系统中；
—— 技术开发人员不应具有对程序资源库不受限制的访问权；
—— 程序源库的更新和向程序员发布的程序源应经授权；
—— 应保留程序的所有版本，程序清单应被保存在一个安全的环境中；
—— 应保存对所有程序资源库访问的审计记录；
d） 系统开发保密性的控制：在c）的基础上，对于安全保护等级较高的信息系统建设项目及涉密项目，应对开发全过程采取相应的保密措施，对参与开发的有关人员进行保密教育和管理。


5.8.2.4 安全产品使用要求

a） 信息安全产品使用分级管理：信息安全产品包括构成信息系统安全保护功能的信息技术硬件、软件、固件设备，以及安全检查、检测验证工具等，应按安全等级标准要求进行设计开发和检测验证；三级以上安全产品实行定点生产备案和出口实行审批制度；信息系统使用的信息安全产品应按照相应的安全保护等级的要求选择相应等级的产品。

5.8.2.5 建设项目测试验收

对建设项目测试验收要求，不同安全等级至少应满足以下要求的一项或多项：

a） 功能和性能测试要求：应明确对信息系统建设和改造项目进行功能及性能测试，保证信息系统建设项目的可用性；进行必要的安全性测试；应指定项目测试验收负责人；
b） 安全性测试要求：在a）的基础上，应明确信息系统建设和改造项目的安全系统需要进行安全测试验收，并规定安全测试验收负责人；测试验收前，应制订测试和接收标准，并在接收前对系统进行测试；管理者应确保新系统的接收要求和标准被清晰定义并文档化；对安全系统的测试至少包括：
——对组成系统的所有部件进行安全性测试；
——对系统进行集成性安全测试；
——对业务应用进行安全测试等；
c） 进一步的验收要求：在c）的基础上，在信息系统建设和改造项目验收时至少还应考虑：
——性能和计算机容量的要求；
——错误恢复和重启程序，以及应急计划；
——制定并测试日常的操作程序以达到规定的标准；
——实施业经同意的安全控制措施；
——有效的指南程序；
——已经考虑了新系统对组织机构的整体安全产生影响的证据；
——操作和使用新系统的培训。


5.8.3 系统启用和终止管理

5.8.3.1 新系统启用管理

对新的信息系统或子系统、信息系统设备启用的管理，不同安全等级至少应满足以下要求的一项或多项：

a） 新系统启用的申报和审批：在新的信息系统或子系统、信息系统设备在启用以前，应经过正式测试验收，由使用者或管理者提出申请，经过相应领导审批才能正式投入使用，具体程序按照有关主管部门的规定执行；
b） 新系统启用前的试运行：在a）的基础上，应进行一定期限的试运行，并得到相应领导和技术负责人认可才能正式投入使用，并形成文档备案；
c） 新系统的安全评估：在b）的基础上，组织有关管理者、技术负责人、用户和安全专家，对新的信息系统或子系统、信息系统设备的试运行进行专项安全评估，得到认可并形成文档备案才能正式投入使用；
d） 新系统运行的审计跟踪：在c）的基础上，在任何新的信息系统或子系统、信息系统设备正式投入使用的一定时间内，应进行审计跟踪，定期对审计结果做出风险评价，对安全进行确认以决定是否能够继续运行，并形成文档备案。


5.8.3.2 终止运行管理

对现有信息系统或子系统、信息系统设备终止运行管理，不同安全等级至少应满足以下要求的一项或多项：

a） 终止运行的申报和审批：任何现有信息系统或子系统、信息系统设备需要终止运行时，应由使用者或管理者提出申请并说明原因及采取的保护措施，经过相应领导审批才能正式终止运行，具体程序按照有关主管部门的规定执行；
b） 终止运行的信息保护：在a）的基础上，在任何新的信息系统或子系统、信息系统设备需要终止运行以前，应进行必要数据和软件备份，对终止运行的设备进行数据清除，并得到相应领导和技术负责人认可才能正式终止运行，并形成文档备案；
c） 终止运行的安全保护：在b）的基础上，应采取必要的安全措施，并进行数据和软件备份，对终止运行的设备进行不可恢复的数据清除，如果存储设备损坏则必须采取销毁措施，在得到相应领导和技术负责人认可才能正式终止运行，并形成文档备案。


6 信息系统安全管理分等级要求

6.1 第一级：用户自主保护级

6.1.1 管理目标和范围

本级为用户自主保护级，实施基本的管理，进行自主保护。适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益。本级管理要求达到具有初步的安全管理措施，建立基本的信息系统管理制度和信息系统人员管理制度，具有自主访问控制的措施和身份鉴别功能，对用户自身所创建的数据信息进行安全保护，要求具有保护数据信息和系统的完整性不受破坏的措施，能够保证被授权的用户随时可以访问信息。通过管理活动保证信息系统安全保护等级达到GB17859-1999的本级要求。（见5.1.1.1a））

6.1.2 政策和制度要求

本级要求如下：

a） 总体安全管理策略，应包括基本的信息安全管理策略，由安全管理人员为主制定，安全管理策略文档应由分管信息安全工作的负责人签发，并向信息系统的用户传达；（见5.1.1.2a），5.1.1.3a），5.1.1.4a））
b） 安全管理规章制度，应包括基本的安全管理制度和操作规程；由安全管理人员起草，分管信息安全工作的负责人审批发布；（见5.1.2.1a），5.1.2.2a））
c） 策略与制度文档管理，由分管信息安全的负责人和安全管理人员负责文档的评审和修订；策略与制度文档由专人保管。（见5.1.3.1a），5.1.3.2a））


6.1.3 机构和人员管理要求

本级要求如下：

a） 组织机构应在管理层中有一人分管信息系统安全工作，并为信息系统的安全管理配备独立的安全管理人员；（见5.2.1.1a））
b） 对人员的管理包括，安全管理人员可以由网络管理人员兼任；对关键岗位应制定基本的管理要求；对人员录用应进行简历和专业能力检查；对人员离岗立即中止所有访问，收回证件、密钥等；定期对各个岗位人员进行安全认知技能的考核；对各类第三方人员签署有关安全责任的合同或保密协议，进入办公区域应划定范围，进入计算机房需要得到批准，进行逻辑访问时应划定范围并经过批准，且有人陪同；（见5.2.3.1a），5.2.3.2a），5.2.3.3a），5.2.3.4a），5.2.3.5a），5.2.3.6a））
c） 组织机构应对员工进行信息安全及其责任的应知应会的教育；应听取信息安全专家的建议。（见5.2.4.1a），5.2.4.2a））