制度體系之信息安全管理制度實(shí)施指南

1、薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄

2、蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅

3、蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅

4、蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃

5、螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄

6、莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄

7、莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂

8、蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃

9、葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄

10、蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁

11、薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂

12、薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃

13、蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁

14、蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁

15、蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂

16、螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀

17、莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀

18、莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁

19、蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿

20、蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿

21、薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇

22、薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋

23、薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿

24、蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)赝L羂膅膆蒞螅肁膅蕆羈羇膄蕿螃袃膃螂薆芁膂蒁袂膇膁薄蚄肅膁蚆袀罿膀莆蚃裊艿蒈袈膄羋薀蟻肀芇螞袆肆芆蒂蠆羂芅薄羅袈芅蚇螈膆芄莆羃肂芃葿螆羈莂薁羈襖莁蚃螄膃莀莃薇腿荿薅螂肅荿蚈蚅羈莈莇袁袇莇蒀蚄膅莆薂衿肁蒅蚄螞羇蒄莄袇袃蒄蒆蝕節(jié)蒃蚈袆膈蒂螁螈肄蒁蒀羄羀肇薃螇袆?wù)?/p>

25、蚅羂膅膆蒞螅肁膅蕆羈羇 制度體系之 - 信息安全管理制度實(shí)施指南1策略管理61.1安全策略和管理制度61.1.1信息安全策略61.1.2信息安全管理制度61.1.3行為規(guī)范71.2安全規(guī)劃71.2.1系統(tǒng)安全規(guī)劃71.2.2系統(tǒng)安全規(guī)劃的更新81.2.3階段性行動(dòng)計(jì)劃82組織管理82.1組織機(jī)構(gòu)82.1.1信息安全管理機(jī)構(gòu)82.1.2信息安全管理人員92.2人員安全92.2.1工作崗位風(fēng)險(xiǎn)分級(jí)92.2.2人員審查92.2.3人員工作合同終止102.2.4人員調(diào)動(dòng)102.2.5工作協(xié)議和條款102.2.6第三方人員安全112.2.7人員處罰112.3安全意識(shí)和培訓(xùn)112.3.1安全意識(shí)112.3

26、.2安全培訓(xùn)122.3.3安全培訓(xùn)記錄123運(yùn)行管理133.1風(fēng)險(xiǎn)評(píng)估和認(rèn)證認(rèn)可133.1.1安全分類133.1.2風(fēng)險(xiǎn)評(píng)估133.1.3風(fēng)險(xiǎn)評(píng)估更新143.1.4安全認(rèn)證143.1.5安全認(rèn)可143.1.6持續(xù)監(jiān)控153.2系統(tǒng)與服務(wù)采購153.2.1資源分配153.2.2生命周期支持163.2.3采購163.2.4信息系統(tǒng)文件163.2.5軟件使用限制163.2.6用戶安裝的軟件173.2.7安全設(shè)計(jì)原則173.2.8外包信息系統(tǒng)服務(wù)173.2.9開發(fā)配置管理183.2.10開發(fā)安全測(cè)試評(píng)估183.3配置管理183.3.1基線配置193.3.2配置變更控制193.3.3監(jiān)督配置變更203.

27、3.4變更訪問限制203.3.5配置策略設(shè)置203.3.6功能最小化203.4應(yīng)急計(jì)劃和事件響應(yīng)213.4.1應(yīng)急計(jì)劃213.4.2應(yīng)急響應(yīng)培訓(xùn)213.4.3應(yīng)急和事件響應(yīng)計(jì)劃測(cè)試213.4.4應(yīng)急和事件響應(yīng)計(jì)劃更新223.4.5事件處理223.4.6事件監(jiān)控223.4.7事件報(bào)告233.4.8事件響應(yīng)支持233.5系統(tǒng)管理與維護(hù)233.5.1安全管理技術(shù)243.5.2常規(guī)維護(hù)243.5.3維護(hù)工具管理243.5.4遠(yuǎn)程維護(hù)243.5.5維護(hù)人員253.5.6維護(hù)及時(shí)性254技術(shù)管理254.1標(biāo)識(shí)鑒別254.1.1身份標(biāo)識(shí)和鑒別254.1.2設(shè)備標(biāo)識(shí)和鑒別264.1.3標(biāo)識(shí)管理264.1.4鑒

28、別管理274.1.5登錄和鑒別反饋274.2訪問控制284.2.1賬戶管理284.2.2強(qiáng)制訪問294.2.3信息流控制294.2.4職責(zé)分離304.2.5最小權(quán)限304.2.6不成功登錄嘗試304.2.7系統(tǒng)使用情況314.2.8最近登錄情況314.2.9并發(fā)會(huì)話控制324.2.10會(huì)話鎖定324.2.11會(huì)話終止324.2.12對(duì)訪問控制的監(jiān)督和審查334.2.13不需鑒別或認(rèn)證的行為334.2.14自動(dòng)化標(biāo)記334.2.15遠(yuǎn)程訪問控制344.2.16無線接入訪問控制344.2.17便攜式移動(dòng)設(shè)備的訪問控制344.2.18個(gè)人信息系統(tǒng)354.3系統(tǒng)與信息完整性354.3.1漏洞修補(bǔ)354

29、.3.2防惡意代碼攻擊364.3.3輸入信息的限制364.3.4錯(cuò)誤處理364.3.5輸出信息的處理和保存374.4系統(tǒng)與通信保護(hù)374.4.1應(yīng)用系統(tǒng)分區(qū)374.4.2安全域劃分384.4.3拒絕服務(wù)保護(hù)384.4.4邊界保護(hù)384.4.5網(wǎng)絡(luò)連接終止384.4.6公共訪問保護(hù)384.4.7移動(dòng)代碼394.5介質(zhì)保護(hù)394.5.1介質(zhì)訪問394.5.2介質(zhì)保存394.5.3信息徹底清除404.5.4介質(zhì)的廢棄404.6物理和環(huán)境保護(hù)404.6.1物理訪問授權(quán)414.6.2物理訪問控制414.6.3顯示介質(zhì)訪問控制414.6.4物理訪問監(jiān)視414.6.5來訪人員控制424.6.6來訪記錄424

30、.6.7環(huán)境安全424.7檢測(cè)和響應(yīng)424.7.1事件審計(jì)434.7.2審計(jì)記錄的內(nèi)容444.7.3審計(jì)處理444.7.4審計(jì)的監(jiān)控、分析和報(bào)告444.7.5審計(jì)信息保護(hù)454.7.6審計(jì)保留454.7.7入侵檢測(cè)454.7.8漏洞掃描454.7.9安全告警和響應(yīng)464.8備份與恢復(fù)464.8.1信息系統(tǒng)備份464.8.2備份存儲(chǔ)地點(diǎn)474.8.3備份處理地點(diǎn)474.8.4信息系統(tǒng)恢復(fù)與重建471 策略管理安全策略是高層管理層決定的一個(gè)全面的聲明 ，它規(guī)定在組織中安全問題扮演什么樣的角色。組織安全策略為機(jī)構(gòu)內(nèi)部未來的所有安全活動(dòng)提供了范圍和方向。1.1 安全策略和管理制度對(duì)各級(jí)部門制定總體的信

31、息安全策略、信息安全管理制度和相應(yīng)的行為規(guī)范，指導(dǎo)信息安全保障工作更好的開展。1.1.1 信息安全策略信息安全策略是高級(jí)管理層決定的一個(gè)全面的聲明，它規(guī)定在組織中安全問題扮演什么樣的角色。它能夠?yàn)樾畔踩峁┓蠘I(yè)務(wù)要求和相關(guān)法律法規(guī)的管理指導(dǎo)和支持。要求對(duì)各級(jí)部門制定總體信息安全策略，詳細(xì)闡述目標(biāo)、范圍、角色、責(zé)任以及合規(guī)性等；制定高層信息安全策略，部門級(jí)安全策略，系統(tǒng)級(jí)安全策略；開發(fā)、發(fā)布、并定期更新信息安全策略；內(nèi)容信息安全策略的內(nèi)容要覆蓋安全規(guī)劃、組織機(jī)構(gòu)、人員安全、安全意識(shí)和培訓(xùn)、風(fēng)險(xiǎn)評(píng)估、認(rèn)證認(rèn)可、系統(tǒng)與服務(wù)采購、配置管理、應(yīng)急計(jì)劃、事件響應(yīng)、系統(tǒng)維護(hù)、標(biāo)識(shí)鑒別、訪問控制、系統(tǒng)與信

32、息完整性、系統(tǒng)與通信保護(hù)、抗抵賴、介質(zhì)保護(hù)、物理和環(huán)境保護(hù)、檢測(cè)響應(yīng)恢復(fù)等各方面；信息安全策略定義了明確所要保護(hù)的總體安全目標(biāo)與范圍；信息安全策略經(jīng)過本級(jí)主管信息工作的領(lǐng)導(dǎo)批準(zhǔn)，正式頒布，并定期根據(jù)實(shí)施效果進(jìn)行修訂。1.1.2 信息安全管理制度信息安全管理制度是為了更好地保證系統(tǒng)的信息安全，是信息安全策略的進(jìn)一步實(shí)施的具體化。要求制定嚴(yán)格的規(guī)范化的信息安全管理制度，以促進(jìn)信息安全策略的實(shí)施；內(nèi)容對(duì)信息的生成、存儲(chǔ)、查看、傳輸、復(fù)制、備份、歸檔、銷毀等制定嚴(yán)格的管理制度；對(duì)信息系統(tǒng)中設(shè)備與系統(tǒng)的接入、運(yùn)行、維護(hù)、管理的規(guī)定；有安全管理值班制度與事故報(bào)告處理制度，應(yīng)急響應(yīng)預(yù)案以及各種應(yīng)用系統(tǒng)用戶授

33、權(quán)管理與系統(tǒng)運(yùn)行管理規(guī)定等；根據(jù)管理制度的執(zhí)行情況定期審核，修訂。1.1.3 行為規(guī)范行為規(guī)范規(guī)定了系統(tǒng)的各類使用和管理人員的崗位職責(zé)，規(guī)定了各類人員的責(zé)任和所允許信息系統(tǒng)的權(quán)利。要求對(duì)信息系統(tǒng)的各類使用和管理人員的崗位職責(zé)、行為規(guī)范制定管理規(guī)定，并描述其責(zé)任和所允許的訪問信息和信息系統(tǒng)的正當(dāng)行為；所有用戶在被授權(quán)訪問信息系統(tǒng)之前，應(yīng)以書面簽認(rèn)方式確認(rèn)其已經(jīng)知悉、理解并愿意遵守相關(guān)的規(guī)范。內(nèi)容管理制度印發(fā)給有關(guān)管理和應(yīng)用人員，并抽查，以驗(yàn)證其是否了解應(yīng)遵守的行為規(guī)范。1.2 安全規(guī)劃制定較為完整的信息安全規(guī)劃，以指導(dǎo)信息安全保障工作的開展。安全規(guī)劃包括系統(tǒng)安全規(guī)劃、系統(tǒng)安全規(guī)劃的更新、階段性行

34、動(dòng)計(jì)劃。1.2.1 系統(tǒng)安全規(guī)劃系統(tǒng)安全規(guī)劃是對(duì)信息系統(tǒng)安全一個(gè)全面的規(guī)劃，用來描述系統(tǒng)的安全要求和滿足安全規(guī)劃采用的安全控制措施。要求為信息系統(tǒng)制定并實(shí)施安全規(guī)劃，對(duì)系統(tǒng)的安全要求以及滿足這些安全需求的在用的或計(jì)劃采用的安全控制措施進(jìn)行描述；高層領(lǐng)導(dǎo)應(yīng)審核、批準(zhǔn)安全規(guī)劃，并采用統(tǒng)一規(guī)劃、分步實(shí)施的原則貫徹執(zhí)行。內(nèi)容結(jié)合xxxx的信息系統(tǒng)安全的總體目標(biāo)和安全需求，制定針對(duì)性的信息安全規(guī)劃；1.2.2 系統(tǒng)安全規(guī)劃的更新系統(tǒng)安全是一個(gè)動(dòng)態(tài)的過程，系統(tǒng)安全規(guī)劃要定期審核并修訂，當(dāng)發(fā)生重大變更時(shí)，要用時(shí)對(duì)系統(tǒng)安全規(guī)劃進(jìn)行更新。要求定期審核并修訂信息系統(tǒng)安全規(guī)劃，以解決在計(jì)劃實(shí)施中或安全控制評(píng)估中發(fā)現(xiàn)

35、的問題，以及應(yīng)對(duì)信息系統(tǒng)或組織的變更。內(nèi)容定期或發(fā)生重大變更時(shí)，對(duì)信息安全規(guī)劃進(jìn)行審核和修訂；信息安全規(guī)劃的修改要嚴(yán)格遵守相關(guān)的策略和流程，并得到主管領(lǐng)導(dǎo)的批準(zhǔn)。1.2.3 階段性行動(dòng)計(jì)劃信息系統(tǒng)的生命周期有不同的階段，在每一個(gè)階段信息系統(tǒng)的安全需求是不同的，要對(duì)每個(gè)階段編制、開發(fā)或更新信息系統(tǒng)的行動(dòng)計(jì)劃。要求編制開發(fā)和更新信息系統(tǒng)的活動(dòng)和里程碑計(jì)劃，并將已計(jì)劃的、已實(shí)施的、和經(jīng)過評(píng)估的行為文件化，以減少或消除系統(tǒng)中已知的脆弱性。內(nèi)容有相應(yīng)的活動(dòng)和里程碑計(jì)劃；活動(dòng)和里程碑計(jì)劃是在安全控制措施評(píng)估結(jié)果、安全影響分析和持續(xù)性監(jiān)控活動(dòng)的基礎(chǔ)上進(jìn)行更新的。2 組織管理2.1 組織機(jī)構(gòu)2.1.1 信息安

36、全管理機(jī)構(gòu)要求組建本單位的信息安全管理機(jī)構(gòu)，該機(jī)構(gòu)應(yīng)由主管本單位信息安全工作的領(lǐng)導(dǎo)、負(fù)責(zé)具體工作的網(wǎng)絡(luò)、安全管理人員組成，責(zé)任到人，具有領(lǐng)導(dǎo)信息安全工作、制定安全策略、監(jiān)督管理等職能。內(nèi)容組建信息安全管理機(jī)構(gòu)及其機(jī)構(gòu)組成，人員設(shè)置,并文件化；組建的信息安全管理機(jī)構(gòu)有明確的信息安全管理職能（包括物理安全管理、身份鑒別管理、訪問控制管理、安全審計(jì)管理、安全教育與培訓(xùn)等）；組建的信息安全管理機(jī)構(gòu)是自上而下，分級(jí)負(fù)責(zé)的。2.1.2 信息安全管理人員要求信息安全管理機(jī)構(gòu)中的安全管理人員應(yīng)分權(quán)負(fù)責(zé)，以限制具有超級(jí)權(quán)限的人員存在。內(nèi)容信息安全管理機(jī)構(gòu)中的管理人員分權(quán)負(fù)責(zé)，系統(tǒng)管理員、安全管理員、安全審計(jì)員等

37、分別都是由不同的人員擔(dān)任；各種設(shè)備與系統(tǒng)由相關(guān)的管理責(zé)任人，具有信息資產(chǎn)清單，并明文規(guī)定責(zé)任人的職責(zé)，責(zé)任人對(duì)其管理的設(shè)備及責(zé)任清楚。2.2 人員安全人員安全主要包括工作崗位風(fēng)險(xiǎn)分級(jí)、人員審查、人員工作合同終止、人員調(diào)動(dòng)、工作協(xié)議和條款、第三方人員安全以及人員處罰等幾個(gè)方面。2.2.1 工作崗位風(fēng)險(xiǎn)分級(jí)要求對(duì)工作崗位進(jìn)行風(fēng)險(xiǎn)分級(jí)，并制定針對(duì)在各級(jí)崗位工作的人員審查機(jī)制；定期復(fù)核和修訂不同工作崗位的風(fēng)險(xiǎn)分級(jí)。內(nèi)容制定并實(shí)施工作崗位風(fēng)險(xiǎn)分級(jí)的制度；定期復(fù)核、修訂工作崗位的風(fēng)險(xiǎn)分級(jí)。2.2.2 人員審查要求結(jié)合自身的業(yè)務(wù)需求、相關(guān)的法律法規(guī)、被訪問信息的分類及面臨風(fēng)險(xiǎn)等因素，對(duì)工作人員、合作者、第三

38、方人員進(jìn)行人員背景審查；在授權(quán)之前對(duì)需要訪問信息和信息系統(tǒng)的人員進(jìn)行審查；制定人員審查流程，流程應(yīng)描述進(jìn)行人員審查的方式和限制條件，如規(guī)定誰有資格進(jìn)行審查，在何時(shí)，通過什么方式，因?yàn)槭裁丛騺磉M(jìn)行審查等等。內(nèi)容制定有關(guān)人員背景審查的制度和流程，并依此進(jìn)行人員審查、核實(shí)工作。2.2.3 人員工作合同終止要求當(dāng)人員工作合同終止時(shí)，應(yīng)終止人員對(duì)信息系統(tǒng)的訪問，并確保其歸還所擁有與組織相關(guān)的資產(chǎn)；制定員工注冊(cè)和注銷流程，來授予和撤銷員工對(duì)信息系統(tǒng)和服務(wù)的訪問權(quán)限。內(nèi)容明確規(guī)定和指派職責(zé)，以處理人員工作合同終止事宜；及時(shí)移除或封堵工作合同終止的人員對(duì)信息和信息處理系統(tǒng)的訪問權(quán)限，包括物理和邏輯訪問；及時(shí)

39、更改工作合同終止人員所知曉的賬戶密碼。2.2.4 人員調(diào)動(dòng)要求當(dāng)工作人員被重新分配或調(diào)動(dòng)到單位其它工作崗位時(shí)，應(yīng)復(fù)查信息系統(tǒng)和設(shè)施的訪問授權(quán)，并采取適當(dāng)?shù)拇胧ㄈ缰匦掳l(fā)放身份卡，關(guān)閉原有賬戶的同時(shí)創(chuàng)建新賬戶，更改系統(tǒng)的訪問授權(quán)等）。內(nèi)容對(duì)人員調(diào)動(dòng)采取適當(dāng)?shù)陌踩胧?.2.5 工作協(xié)議和條款要求在對(duì)需要訪問信息和信息系統(tǒng)的人員進(jìn)行訪問授權(quán)之前，簽署適當(dāng)?shù)墓ぷ鲄f(xié)議和條款（如，保密協(xié)議、按規(guī)定進(jìn)行使用的協(xié)議、行為規(guī)范等）。內(nèi)容制定和簽署相關(guān)的工作協(xié)議和條款。2.2.6 第三方人員安全要求建立針對(duì)第三方人員（如服務(wù)機(jī)構(gòu)、合作方、信息系統(tǒng)開發(fā)商、信息技術(shù)服務(wù)、應(yīng)用系統(tǒng)外包、網(wǎng)絡(luò)和安全管理等）的安全要求

40、，并不斷監(jiān)督其遵從安全要求的情況以確保足夠安全。內(nèi)容明確第三方參與的業(yè)務(wù)過程對(duì)信息和信息處理設(shè)施帶來的風(fēng)險(xiǎn)，并采取適當(dāng)?shù)目刂拼胧?；同第三方簽訂的安全協(xié)議中，覆蓋第三方在訪問、處理、通信、管理組織信息或信息處理設(shè)施、增加產(chǎn)品或服務(wù)等活動(dòng)中所有相關(guān)的安全要求，并清晰定義了其安全角色和責(zé)任。2.2.7 人員處罰要求建立正規(guī)的程序，處罰或制裁未遵守信息安全策略和流程的員工。內(nèi)容在信息安全策略和程序文檔中制定了關(guān)于人員處罰的相關(guān)程序。2.3 安全意識(shí)和培訓(xùn)安全意識(shí)和培訓(xùn)的目標(biāo)是確保用戶清楚信息安全威脅和利害關(guān)系。在安全程序、設(shè)備和信息系統(tǒng)的使用過程中培訓(xùn)工作人員，使工作人員有良好的安全意識(shí)，以降低可能的

41、安全風(fēng)險(xiǎn)。安全意識(shí)和培訓(xùn)涉及以下內(nèi)容：安全意識(shí)、安全培訓(xùn)、安全培訓(xùn)記錄。2.3.1 安全意識(shí)要求根據(jù)信息系統(tǒng)的特定安全要求，制定具有針對(duì)性的安全意識(shí)培訓(xùn)內(nèi)容，確保所有人員（包括領(lǐng)導(dǎo)和普通工作人員）在被授權(quán)訪問信息系統(tǒng)之前進(jìn)行了基本的信息安全意識(shí)培訓(xùn)，并且定期進(jìn)行培訓(xùn)。內(nèi)容相關(guān)人員具備基本的信息安全意識(shí)。2.3.2 安全培訓(xùn)要求制定安全培訓(xùn)計(jì)劃，并且定期按照計(jì)劃進(jìn)行培訓(xùn)；確定每個(gè)工作人員在信息系統(tǒng)中的安全角色和職責(zé)，將這些角色和職責(zé)文檔化，在工作人員被授權(quán)訪問系統(tǒng)之前提供適合的信息系統(tǒng)安全培訓(xùn)；依據(jù)自身的特定要求和工作人員授權(quán)訪問的信息系統(tǒng)的不同，制定針對(duì)性較強(qiáng)的安全培訓(xùn)內(nèi)容；確保系統(tǒng)管理員，管

42、理者和其他有權(quán)訪問系統(tǒng)層軟件的人員在從事本職工作之前進(jìn)行了必要的技術(shù)培訓(xùn)。內(nèi)容根據(jù)安全培訓(xùn)計(jì)劃和安全培訓(xùn)教材以及工作人員的安全角色和職責(zé)制定針對(duì)性較強(qiáng)的信息安全培訓(xùn)；根據(jù)安全培訓(xùn)記錄并結(jié)合安全培訓(xùn)計(jì)劃，在適當(dāng)?shù)臅r(shí)間，對(duì)相關(guān)各類人員進(jìn)行了必要的信息安全培訓(xùn)。2.3.3 安全培訓(xùn)記錄要求記錄并監(jiān)督工作人員的信息系統(tǒng)安全培訓(xùn)過程，包括一些基本安全意識(shí)和安全技能培訓(xùn)，并應(yīng)形成相關(guān)的培訓(xùn)記錄。內(nèi)容有相應(yīng)的安全培訓(xùn)記錄。3 運(yùn)行管理3.1 風(fēng)險(xiǎn)評(píng)估和認(rèn)證認(rèn)可風(fēng)險(xiǎn)評(píng)估是對(duì)信息和信息處理設(shè)施所面臨的威脅及其影響以及信息系統(tǒng)脆弱性及其發(fā)生可能性的評(píng)估。3.1.1 安全分類 在于對(duì)不同類別的信息和信息系統(tǒng)提供出不

43、同等級(jí)的安全保護(hù)。要求對(duì)信息系統(tǒng)及其處理、加工和存儲(chǔ)的信息進(jìn)行分類，并對(duì)不同類別的信息和信息系統(tǒng)應(yīng)達(dá)到的提出安全保護(hù)要求；將安全分類作為涉及整個(gè)單位的一項(xiàng)工作，并將安全分類的依據(jù)和結(jié)果記錄形成文件，由主管領(lǐng)導(dǎo)審核并批準(zhǔn)。內(nèi)容根據(jù)法律要求，對(duì)敏感性和關(guān)鍵性等因素對(duì)信息及信息系統(tǒng)進(jìn)行分類。3.1.2 風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估應(yīng)包括評(píng)價(jià)風(fēng)險(xiǎn)程度的系統(tǒng)化的方法（風(fēng)險(xiǎn)分析）以及將估計(jì)的風(fēng)險(xiǎn)與風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較從而確定風(fēng)險(xiǎn)重要程度的過程（風(fēng)險(xiǎn)評(píng)估）。要求標(biāo)識(shí)信息系統(tǒng)的資產(chǎn)價(jià)值，識(shí)別信息系統(tǒng)面臨的自然和人為的威脅，識(shí)別信息系統(tǒng)的脆弱性，分析各種威脅發(fā)生的可能性，并定量或定性的描述可能造成的損失、評(píng)估系統(tǒng)的風(fēng)險(xiǎn)級(jí)別；定

44、期進(jìn)行風(fēng)險(xiǎn)評(píng)估，以定期審核系統(tǒng)的安全風(fēng)險(xiǎn)和已實(shí)施的安全控制的效果。內(nèi)容對(duì)系統(tǒng)的資產(chǎn)價(jià)值進(jìn)行了分級(jí)，信息系統(tǒng)面臨的自然和人為的威脅有所定義，信息系統(tǒng)的脆弱性所在，對(duì)威脅發(fā)生的可能性有相對(duì)準(zhǔn)確的分級(jí)，定量或定性描述結(jié)果符合系統(tǒng)的現(xiàn)狀；在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，選擇的服務(wù)商有相關(guān)的資質(zhì)證明，其所依據(jù)的評(píng)估流程、評(píng)估方法是有效的和規(guī)范的；對(duì)安全控制的措施以及現(xiàn)有控制措施正確實(shí)施的程度是按照計(jì)劃實(shí)施、產(chǎn)生的，其輸出的結(jié)果滿足系統(tǒng)的安全需求。3.1.3 風(fēng)險(xiǎn)評(píng)估更新信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估處于一個(gè)動(dòng)態(tài)平衡狀態(tài)，當(dāng)系統(tǒng)內(nèi)部有所變化，相對(duì)應(yīng)的風(fēng)險(xiǎn)級(jí)別發(fā)生新的更新以符合新的風(fēng)險(xiǎn)狀態(tài)。要求當(dāng)信息系統(tǒng)發(fā)生重大變更時(shí)，應(yīng)重新進(jìn)行風(fēng)

45、險(xiǎn)評(píng)估；制定相關(guān)規(guī)定，說明哪些是信息系統(tǒng)的重大變動(dòng)。內(nèi)容當(dāng)信息系統(tǒng)發(fā)生重大變更時(shí)，如設(shè)備改變或其它影響系統(tǒng)安全狀態(tài)時(shí)，進(jìn)行了風(fēng)險(xiǎn)評(píng)估更新，并對(duì)以前的風(fēng)險(xiǎn)評(píng)估有更新記錄；有針對(duì)風(fēng)險(xiǎn)評(píng)估更新而制定的具體標(biāo)準(zhǔn)。3.1.4 安全認(rèn)證保障信息系統(tǒng)安全技術(shù)產(chǎn)品具有可靠的安全保障能力。要求當(dāng)前投入使用的信息系統(tǒng)安全技術(shù)產(chǎn)品應(yīng)該按照有關(guān)法律法規(guī)得到國家權(quán)威機(jī)構(gòu)的測(cè)評(píng)和認(rèn)證，以確定信息安全技術(shù)產(chǎn)品的功能和性能可以滿足系統(tǒng)的安全需求；邀請(qǐng)國家權(quán)威機(jī)構(gòu)對(duì)本單位信息系統(tǒng)進(jìn)行測(cè)評(píng)和認(rèn)證，以確定信息系統(tǒng)的技術(shù)控制措施，安全管理規(guī)章和工程建設(shè)過程可以為系統(tǒng)的安全提供充分的保障；安全認(rèn)證應(yīng)結(jié)合到系統(tǒng)開發(fā)的生命周期（sdlc）

46、中,并貫穿在生命周期的各個(gè)階段。內(nèi)容當(dāng)前使用的信息安全產(chǎn)品得到中國信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心、公安部、國家保密局等國家權(quán)威部門的相關(guān)認(rèn)證；通過國家權(quán)威機(jī)構(gòu)對(duì)信息系統(tǒng)的安全保障能力的測(cè)評(píng)認(rèn)證；認(rèn)證結(jié)果對(duì)于當(dāng)前系統(tǒng)是有效的（認(rèn)證結(jié)果距檢查時(shí)間不超過兩年，得到認(rèn)證后沒有對(duì)系統(tǒng)進(jìn)行較大的改動(dòng)）。3.1.5 安全認(rèn)可保障信息系統(tǒng)的安全運(yùn)行。要求信息系統(tǒng)運(yùn)行之前，以及信息安全產(chǎn)品投入正式使用之前需得到國家權(quán)威機(jī)構(gòu)和上級(jí)主管部門的認(rèn)可。內(nèi)容信息系統(tǒng)的技術(shù)控制措施，安全管理規(guī)章和工程建設(shè)過程符合有關(guān)規(guī)定，并通過了有關(guān)的評(píng)估和認(rèn)證；當(dāng)前使用的信息安全產(chǎn)品符合相關(guān)規(guī)定，并通過了有關(guān)的評(píng)估和認(rèn)證。3.1.6 持續(xù)監(jiān)控

47、保障信息系統(tǒng)安全的持續(xù)性、穩(wěn)定性。要求監(jiān)控信息系統(tǒng)現(xiàn)有的安全控制措施，有計(jì)劃地持續(xù)進(jìn)行配置管理、信息系統(tǒng)組件控制、系統(tǒng)變更后的安全影響分析、現(xiàn)有安全控制措施評(píng)估和狀態(tài)匯報(bào)等工作。內(nèi)容制定并實(shí)施有關(guān)的規(guī)定，取得相應(yīng)的認(rèn)證認(rèn)可，對(duì)系統(tǒng)的安全控制措施和安全保障能力進(jìn)行持續(xù)的監(jiān)控。3.2 系統(tǒng)與服務(wù)采購系統(tǒng)和服務(wù)采購涉及到資源分配、生命周期支持、信息系統(tǒng)文件、軟件使用限制、用戶安裝的軟件、安全設(shè)計(jì)原則、外包信息系統(tǒng)服務(wù)、開發(fā)人員配置管理、開發(fā)人員安全測(cè)試十個(gè)項(xiàng)目?jī)?nèi)容。3.2.1 資源分配要求定義投資控制過程所需的保護(hù)信息系統(tǒng)資源的范圍；在信息系統(tǒng)規(guī)劃中要確定安全要求；規(guī)劃和預(yù)算文件中，要建立信息系統(tǒng)安

48、全項(xiàng)目，將主要的規(guī)劃和投資控制過程整合到一起。內(nèi)容定義投資控制的范圍；信息系統(tǒng)規(guī)劃中定義了相應(yīng)的安全要求。3.2.2 生命周期支持要求管理信息系統(tǒng)要有其相應(yīng)的生命周期；為系統(tǒng)開發(fā)生命周期安全考慮提供相應(yīng)的實(shí)施指南。內(nèi)容在相關(guān)的信息管理系統(tǒng)中明確關(guān)于系統(tǒng)生命周期的說明；有對(duì)應(yīng)系統(tǒng)開發(fā)周期的相應(yīng)的實(shí)施指南。3.2.3 采購要求采購合同中要明確定義相關(guān)的安全要求、安全規(guī)范和基于風(fēng)險(xiǎn)評(píng)估的信息系統(tǒng)要求；在信息系統(tǒng)所要求的文檔中要包括安全配置說明和安全實(shí)施指南。內(nèi)容采購合同滿足該行業(yè)相關(guān)的安全需求；在信息系統(tǒng)所要求的文檔中包括了相應(yīng)的安全配置說明和安全實(shí)施指南。3.2.4 信息系統(tǒng)文件要求確保信息系統(tǒng)擁

49、有完整齊全的文檔，包括系統(tǒng)的詳細(xì)設(shè)計(jì)方案和實(shí)施方案，配置、安裝和運(yùn)行信息系統(tǒng)且能正確配置系統(tǒng)安全特性的指南；保證全部文檔可用，并受到保護(hù)；提供描述信息系統(tǒng)中安全控制的功能屬性文件。內(nèi)容信息系統(tǒng)文件（如安全設(shè)計(jì)方案、建設(shè)方案、管理員和用戶指南、系統(tǒng)安全配置參考文件等）完整，清晰地定義了文檔的授權(quán)級(jí)別。3.2.5 軟件使用限制要求對(duì)軟件的使用進(jìn)行限制；軟件和所用相關(guān)文檔與合同協(xié)商和法律版本一致；對(duì)軟件和相關(guān)的文檔的數(shù)量進(jìn)行相應(yīng)的許可保護(hù)，并對(duì)軟件的復(fù)制和分發(fā)進(jìn)行控制。內(nèi)容制定軟件使用政策，遵守軟件許可協(xié)議，禁止使用盜版軟件；控制用戶可訪問的范圍，監(jiān)控異常情況。例如：進(jìn)行url限制，關(guān)注異常流量等，

50、對(duì)可疑問題是否及時(shí)上報(bào)；工作人員接收權(quán)威發(fā)布部門發(fā)布的軟件的相關(guān)信息，不接收和傳播未經(jīng)確認(rèn)的信息。3.2.6 用戶安裝的軟件要求對(duì)軟件的下載和安裝要有明確的規(guī)定；對(duì)軟件的類型進(jìn)行識(shí)別和分類，確認(rèn)哪些是可以下載和安裝的，哪些是被禁止的。內(nèi)容有軟件下載和安裝的規(guī)定；安全軟件的升級(jí)過程有相應(yīng)的變更控制流程進(jìn)行控制。3.2.7 安全設(shè)計(jì)原則要求使用安全工程原則設(shè)計(jì)和實(shí)施信息系統(tǒng)。內(nèi)容組織機(jī)構(gòu)采用信息系統(tǒng)安全工程原則來設(shè)計(jì)、開發(fā)和實(shí)施信息系統(tǒng)。3.2.8 外包信息系統(tǒng)服務(wù)要求執(zhí)行和維護(hù)在服務(wù)協(xié)議中規(guī)定的信息安全服務(wù)提供級(jí)別；對(duì)第三方的服務(wù)提供進(jìn)行管理；對(duì)第三方的服務(wù)的監(jiān)控和審核進(jìn)行管理；對(duì)第三方服務(wù)變更

51、進(jìn)行管理。(由于所涉及的業(yè)務(wù)系統(tǒng)，業(yè)務(wù)過程和風(fēng)險(xiǎn)再評(píng)估的重要性，要對(duì)服務(wù)的變更過程進(jìn)行管理，包括為改進(jìn)現(xiàn)有的信息安全策略，流程和控制措施所實(shí)施的變更)。內(nèi)容驗(yàn)證協(xié)議的執(zhí)行情況，監(jiān)控實(shí)際操作與協(xié)議的符合程度，對(duì)與協(xié)議不符的地方進(jìn)行相應(yīng)的管理，來確保第三方所提供的服務(wù)達(dá)到了協(xié)議中的要求；第三方實(shí)施了在第三方服務(wù)提供中所規(guī)定的安全控制措施，服務(wù)定義和提供服務(wù)的級(jí)別。3.2.9 開發(fā)配置管理要求對(duì)信息系統(tǒng)的開發(fā)要建立和實(shí)施配置管理計(jì)劃，控制在開發(fā)過程中的變更，跟蹤安全錯(cuò)誤，要進(jìn)行變更授權(quán)，提供計(jì)劃和實(shí)施文檔。內(nèi)容為信息系統(tǒng)開發(fā)建立和實(shí)施了相應(yīng)的配置管理計(jì)劃；在控制可發(fā)過程之中的變更有記錄。3.2.10

52、 開發(fā)安全測(cè)試評(píng)估要求對(duì)信息系統(tǒng)開發(fā)要建立安全測(cè)試和評(píng)估計(jì)劃，并實(shí)施相應(yīng)的計(jì)劃，將相應(yīng)的計(jì)劃文檔化。開發(fā)安全測(cè)試和評(píng)估結(jié)果應(yīng)提交用于信息系統(tǒng)交付的安全認(rèn)證和認(rèn)可過程。內(nèi)容開發(fā)的、在行業(yè)網(wǎng)上使用并涉及行業(yè)關(guān)鍵信息和數(shù)據(jù)的軟件系統(tǒng)進(jìn)行了安全評(píng)估，并通過了安全審核；對(duì)測(cè)試應(yīng)用系統(tǒng)實(shí)施了訪問控制；系統(tǒng)真實(shí)運(yùn)行的信息復(fù)制到測(cè)試應(yīng)用系統(tǒng)前先經(jīng)過了正式授權(quán)；對(duì)系統(tǒng)真實(shí)運(yùn)行的信息和使用情況進(jìn)行了記錄，以便審核追蹤。3.3 配置管理配置管理是信息系統(tǒng)運(yùn)行管理的一個(gè)重要組成部分。對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、應(yīng)用系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的配置進(jìn)行正確有效的管理，是保證信息系統(tǒng)正常運(yùn)行和消除系統(tǒng)安全風(fēng)險(xiǎn)最基本，最必要的手

53、段。信息系統(tǒng)的管理和維護(hù)人員要在明確安全需求的基礎(chǔ)上，熟悉各個(gè)軟硬件設(shè)備的當(dāng)前配置情況，并在信息系統(tǒng)出現(xiàn)變更時(shí)按照配置管理策略和配置管理流程對(duì)配置進(jìn)行及時(shí)的修改和記錄。信息系統(tǒng)的管理和維護(hù)人員應(yīng)該編制系統(tǒng)資產(chǎn)清單和當(dāng)前系統(tǒng)的基線配置來記載系統(tǒng)中所有軟硬件設(shè)備的基本信息（包括系統(tǒng)中各軟硬件的生產(chǎn)廠商，產(chǎn)品類別，序列號(hào)，版本號(hào)以及該資產(chǎn)在系統(tǒng)中的物理位置和邏輯位置）和當(dāng)前的配置情況。要將對(duì)資產(chǎn)清單和基線配置的更新作為系統(tǒng)更新或擴(kuò)展的一項(xiàng)必要工作，保證資產(chǎn)清單和基線配置能反映系統(tǒng)當(dāng)前的真實(shí)情況。并逐步使用自動(dòng)化的工具（網(wǎng)管系統(tǒng)、安全集中管理平臺(tái)等）自動(dòng)生成和維護(hù)資產(chǎn)清單和基線配置。3.3.1 基線配

54、置要求編制系統(tǒng)資產(chǎn)清單和當(dāng)前系統(tǒng)的基線配置；對(duì)資產(chǎn)清單和基線配置的更新作為系統(tǒng)更新或擴(kuò)展的一項(xiàng)必要工作；使用自動(dòng)化工具自動(dòng)生成和維護(hù)資產(chǎn)清單和基線配置。內(nèi)容通過資產(chǎn)調(diào)查，確定系統(tǒng)中所有資產(chǎn)的基本信息；基線配置文檔的完整性和準(zhǔn)確性；實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備和安全設(shè)備的集中管理，具備自動(dòng)生成網(wǎng)絡(luò)設(shè)備和安全設(shè)備的基線配置的能力。3.3.2 配置變更控制要求對(duì)配置的變更進(jìn)行記錄和控制；使用自動(dòng)化的工具來記錄和控制配置變更。內(nèi)容對(duì)配置變更進(jìn)行記錄；配置變更遵循科學(xué)規(guī)范的流程；使用了對(duì)配置變更進(jìn)行控制和記錄的自動(dòng)化工具。3.3.3 監(jiān)督配置變更要求對(duì)配置變更的全過程進(jìn)行跟蹤，避免配置變更對(duì)系統(tǒng)原有的安全功能造成不可接

55、受的負(fù)面影響；建立配置變更審計(jì)系統(tǒng)。內(nèi)容指定專門的人員對(duì)配置變更的過程進(jìn)行監(jiān)督，并在配置變更之后檢驗(yàn)配置變更對(duì)系統(tǒng)原有的安全性產(chǎn)生的影響；建立了實(shí)用的審計(jì)系統(tǒng)。3.3.4 變更訪問限制要求確保只有被授權(quán)和批準(zhǔn)的人員才能對(duì)信息系統(tǒng)配置進(jìn)行變更，升級(jí)和修改；采取管理和技術(shù)的手段對(duì)配置變更行為的發(fā)生進(jìn)行限制。內(nèi)容制定對(duì)系統(tǒng)配置的訪問控制策略；采用物理和邏輯的訪問控制手段，對(duì)配置變更進(jìn)行訪問限制。3.3.5 配置策略設(shè)置要求對(duì)信息系統(tǒng)中使用的各種信息技術(shù)產(chǎn)品制定統(tǒng)一要求的配置策略文件，并強(qiáng)制執(zhí)行；根據(jù)系統(tǒng)的安全需求，以合理的方式對(duì)系統(tǒng)中的設(shè)施進(jìn)行安全配置。內(nèi)容對(duì)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備、安全設(shè)備和重要服務(wù)器依據(jù)配置策略進(jìn)行了合理的配置。3.3.6 功能最小化要求通過配置，使系統(tǒng)中的設(shè)施只實(shí)現(xiàn)需要實(shí)現(xiàn)的功能。內(nèi)容目前系統(tǒng)的配置已經(jīng)禁用了不必要的軟件，功能，端口，協(xié)議和服務(wù)。3.4 應(yīng)急計(jì)劃和事件響應(yīng)應(yīng)急計(jì)劃是在信息系統(tǒng)發(fā)生緊急安全事件（包括入侵事件，軟硬件故障，網(wǎng)絡(luò)病毒，自然災(zāi)害等）之后，為盡快恢復(fù)系統(tǒng)正常運(yùn)