版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
ICS35.040
CCSL80
DB4403
深圳市地方標(biāo)準(zhǔn)
DB4403/TXXX—XXXX
多功能智能桿信息系統(tǒng)安全管理規(guī)范
Multifunctionalsmartpole—Securitymanagementrequirementsfor
informationsystem
(送審稿)
在提交反饋意見時,請將您知道的相關(guān)專利連同支持性文件一并附上。
XXXX-XX-XX發(fā)布XXXX-XX-XX實施
深圳市市場監(jiān)督管理局發(fā)布
DB4403/TXXX—XXXX
多功能智能桿信息系統(tǒng)安全管理規(guī)范
1范圍
本文件規(guī)定了多功能智能桿信息系統(tǒng)安全管理的內(nèi)容、原則、策略、制度、機(jī)構(gòu)建設(shè)、人
員管理、風(fēng)險管理和控制、運維和服務(wù)管理。
本文件適用于指導(dǎo)多功能智能桿信息系統(tǒng)安全管理工作,涉密多功能智能桿信息系統(tǒng)的建
設(shè)管理依據(jù)相關(guān)國家保密法規(guī)和標(biāo)準(zhǔn)要求實施。
2規(guī)范性引用文件
下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中,注日期的
引用文件,僅該日期對應(yīng)的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有
的修改單)適用于本文件。
GB/T20271—2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求
GB/T25069—2022信息安全技術(shù)術(shù)語
GB/T37095—2018信息安全技術(shù)辦公信息系統(tǒng)安全基本技術(shù)要求
GB50016—2014建筑設(shè)計防火規(guī)范
3術(shù)語和定義
GB/T25069—2022和GB/T37095—2018界定的以及下列術(shù)語和定義適用于本文件。
3.1
完整性integrity
數(shù)據(jù)、系統(tǒng)或信息在存儲、傳輸和處理過程中保持無誤、不受損壞、不受篡改的狀態(tài),包
括數(shù)據(jù)完整性和系統(tǒng)完整性。
注1:數(shù)據(jù)完整性:數(shù)據(jù)在存儲、傳輸和處理過程中保持準(zhǔn)確、完整和可信的狀態(tài)。
注2:系統(tǒng)完整性:系統(tǒng)在非授權(quán)用戶修改或使用資源和授權(quán)用戶不正確地修改或使用資源的情況下,保
持其正??煽窟\行的狀態(tài)。
3.2
可用性availability
表征數(shù)據(jù)或系統(tǒng)根據(jù)授權(quán)實體的請求可被訪問與使用程度的屬性。
3.3
訪問控制accesscontrol
按確定的規(guī)則防止對資源的未授權(quán)使用,對實體之間的訪問活動進(jìn)行控制的安全機(jī)制。
3.4
安全審計securityaudit
按確定規(guī)則的要求,對與安全相關(guān)的事件進(jìn)行審計,以日志方式記錄必要信息,并作出相
應(yīng)處理的安全機(jī)制。
1
DB4403/TXXX—XXXX
3.5
鑒別信息authenticationinformation
用以確認(rèn)系統(tǒng)中身份真實性的過程。
3.6
風(fēng)險評估riskassessment
通過對信息系統(tǒng)的資產(chǎn)價值/重要性、信息系統(tǒng)所受到的威脅以及信息系統(tǒng)的脆弱性進(jìn)行綜
合分析,對信息系統(tǒng)及其處理、傳輸和存儲的信息的保密性、完整性和可用性等進(jìn)行科學(xué)識別
和評價,確定信息系統(tǒng)安全風(fēng)險的過程。
3.7
安全策略securitypolicy
為信息系統(tǒng)安全管理制定的行動方針、路線、工作方式、指導(dǎo)原則或程序。
4信息系統(tǒng)安全管理
4.1信息系統(tǒng)安全管理內(nèi)容
多功能智能桿信息系統(tǒng)安全管理是對管理平臺、移動互聯(lián)、掛載設(shè)備和公共數(shù)據(jù)的生存周
期全過程實施符合安全等級責(zé)任要求的管理,包括但不限于以下內(nèi)容:
a)落實安全管理機(jī)構(gòu)及安全管理人員,明確角色與職責(zé),制定安全規(guī)劃;
b)開發(fā)安全策略;
c)實施風(fēng)險管理;
d)制定業(yè)務(wù)持續(xù)性計劃和災(zāi)難恢復(fù)計劃;
e)選擇與實施安全措施;
f)保證配置、變更的正確與安全;
g)進(jìn)行安全審計;
h)保證維護(hù)支持;
i)進(jìn)行監(jiān)控、檢查,處理安全事件;
j)安全意識與安全教育;
k)人員安全管理等。
4.2信息系統(tǒng)安全管理原則
4.2.1基于安全需求原則
組織機(jī)構(gòu)應(yīng)根據(jù)其信息系統(tǒng)擔(dān)負(fù)的使命,積累的信息資產(chǎn)的重要性,可能受到的威脅及面
臨的風(fēng)險分析安全需求,按照信息系統(tǒng)等級保護(hù)要求確定相應(yīng)的信息系統(tǒng)安全保護(hù)等級,遵從
相應(yīng)等級的規(guī)范要求,從全局上恰當(dāng)?shù)仄胶獍踩度肱c效果。
4.2.2主要領(lǐng)導(dǎo)負(fù)責(zé)原則
主要領(lǐng)導(dǎo)應(yīng)確立其組織統(tǒng)一的信息安全保障的宗旨和政策,負(fù)責(zé)提高員工的安全意識,組
織有效安全保障隊伍,調(diào)動并優(yōu)化配置必要的資源,協(xié)調(diào)安全管理工作與各部門工作的關(guān)系,
并確保其落實、有效。
4.2.3全員參與原則
2
DB4403/TXXX—XXXX
信息系統(tǒng)所有相關(guān)人員應(yīng)普遍參與信息系統(tǒng)的安全管理,并與相關(guān)方面協(xié)同、協(xié)調(diào),共同
保障信息系統(tǒng)安全。
4.2.4系統(tǒng)方法原則
按照系統(tǒng)工程的要求,識別和理解信息安全保障相互關(guān)聯(lián)的層面和過程,采用管理和技術(shù)
結(jié)合的方法,提高實現(xiàn)安全保障的目標(biāo)的有效性和效率。
4.2.5持續(xù)改進(jìn)原則
安全管理是一種動態(tài)反饋過程,貫穿整個安全管理的生存周期,隨著安全需求和系統(tǒng)脆弱
性的時空分布變化,威脅程度的提高,系統(tǒng)環(huán)境的變化以及對系統(tǒng)安全認(rèn)識的深化等,應(yīng)及時
地將現(xiàn)有的安全策略、風(fēng)險接受程度和保護(hù)措施進(jìn)行復(fù)査、修改、調(diào)整以至提升安全管理等級,
維護(hù)和持續(xù)改進(jìn)信息安全管理體系的有效性。
4.2.6依法管理原則
信息安全管理工作主要體現(xiàn)為管理行為,應(yīng)保證信息系統(tǒng)安全管理主體合法、管理行為合
法、管理內(nèi)容合法、管理程序合法。對安全事件的處理,應(yīng)由授權(quán)者適時發(fā)布準(zhǔn)確一致的有關(guān)
信息,避免帶來不良的社會影響。
4.2.7分權(quán)和授權(quán)原則
對特定職能或責(zé)任領(lǐng)域的管理功能實施分離、準(zhǔn)入審批、獨立審計等實行分權(quán),避免權(quán)力
過分集中所帶來的隱患,以減小未授權(quán)的修改或濫用系統(tǒng)資源的機(jī)會。任何實體(如用戶、管
理員、進(jìn)程、應(yīng)用或系統(tǒng))僅享有該實體需要完成其任務(wù)所必須的權(quán)限,不應(yīng)享有任何多余權(quán)
限。
4.2.8選用成熟技術(shù)原則
成熟的技術(shù)具有較好的可靠性和穩(wěn)定性,采用新技術(shù)時要重視其成熟的程度,并應(yīng)首先局
部試點然后逐步推廣,以減少或避免可能出現(xiàn)的失誤。
4.2.9分級保護(hù)原則
按等級劃分標(biāo)準(zhǔn)確定信息系統(tǒng)的安全保護(hù)等級,實行分級保護(hù);對多個子系統(tǒng)構(gòu)成的大型
信息系統(tǒng),確定系統(tǒng)的基本安全保護(hù)等級,并根據(jù)實際安全需求,分別確定各子系統(tǒng)的安全保
護(hù)等級,實行多級安全保護(hù)。
4.2.10管理與技術(shù)并重原則
堅持積極防御和綜合防范,全面提高信息系統(tǒng)安全防護(hù)能力,立足國情,采用管理與技術(shù)
相結(jié)合,管理科學(xué)性和技術(shù)前瞻性結(jié)合的方法,保障信息系統(tǒng)的安全性達(dá)到所要求的目標(biāo)。
4.2.11自保護(hù)和國家監(jiān)管結(jié)合原則
對信息系統(tǒng)安全實行自保護(hù)和國家保護(hù)相結(jié)合。組織機(jī)構(gòu)要對自己的信息系統(tǒng)安全保護(hù)負(fù)
責(zé),政府相關(guān)部門有責(zé)任對信息系統(tǒng)的安全進(jìn)行指導(dǎo)、監(jiān)督和檢查,形成自管、自查、自評和
國家監(jiān)管相結(jié)合的管理模式,提高信息系統(tǒng)的安全保護(hù)能力和水平,保障國家信息安全。
3
DB4403/TXXX—XXXX
4.3信息系統(tǒng)安全管理策略
4.3.1基本的安全管理策略
應(yīng)制定信息系統(tǒng)安全管理工作的總體方針和安全策略,闡明機(jī)構(gòu)安全工作的總體目標(biāo)、范
圍、原則和安全框架等。
信息系統(tǒng)安全管理策略包括:依照國家政策法規(guī)和技術(shù)及管理標(biāo)準(zhǔn)進(jìn)行自主保護(hù);闡明管
理者對信息系統(tǒng)安全的承諾,并陳述組織機(jī)構(gòu)管理信息系統(tǒng)安全的方法;說明信息系統(tǒng)安全的
總體目標(biāo)、范圍和安全框架;申明支持信息系統(tǒng)安全目標(biāo)和原則的管理意向;簡要說明對組織
機(jī)構(gòu)有重大意義的安全方針、原則、標(biāo)準(zhǔn)和符合性要求。
4.3.2完整的安全管理策略
在基本的安全管理策略的基礎(chǔ)上,完整的信息安全管理策略還包括:在信息安系統(tǒng)全監(jiān)管
職能部門的指導(dǎo)下,依照國家政策法規(guī)和技術(shù)及管理標(biāo)準(zhǔn)自主進(jìn)行保護(hù);明確劃分信息系統(tǒng)(分
系統(tǒng)/域)的安全保護(hù)等級(按區(qū)域分等級保護(hù));制定風(fēng)險管理策略、業(yè)務(wù)連續(xù)性策略、安全
培訓(xùn)與教育策略、審計策略等較完整的信息安全策略。
4.3.3體系化的安全管理策略
在完整的安全管理策略的基礎(chǔ)上,體系化的信息安全管理策略還包括:在接受信息系統(tǒng)安
全監(jiān)管職能部門監(jiān)督、檢查的前提下,依照國家政策法規(guī)和技術(shù)及管理標(biāo)準(zhǔn)自主進(jìn)行保護(hù);制
定目標(biāo)策略、規(guī)劃策略、機(jī)構(gòu)策略、人員策略、管理策略、安全技術(shù)策略、控制策略、生存周
期策略、投資策略、質(zhì)量策略等,形成體系化的信息系統(tǒng)安全策略。
4.3.4強(qiáng)制保護(hù)的安全管理策略
在體系化的安全管理策略的基礎(chǔ)上,強(qiáng)制保護(hù)的信息安全管理策略還包括:在接受信息系
統(tǒng)安全監(jiān)管職能部門的強(qiáng)制監(jiān)督、檢查的前提下,依照國家政策法規(guī)和技術(shù)及管理標(biāo)準(zhǔn)自主進(jìn)
行保護(hù);制定體系完整的信息系統(tǒng)安全管理策略。
4.3.5??乇Wo(hù)的安全管理策略
在強(qiáng)制保護(hù)的安全管理策略的基礎(chǔ)上,專控保護(hù)的信息安全管理策略還包括:在接受國家
指定的專門部門、專門機(jī)構(gòu)的專門監(jiān)督的前提下,依照國家政策法規(guī)和技術(shù)及管理標(biāo)準(zhǔn)自主進(jìn)
行保護(hù);制定可持續(xù)改進(jìn)的信息系統(tǒng)安全管理策略。
4.4信息系統(tǒng)安全管理制度
4.4.1基本的安全管理制度
應(yīng)對多功能智能桿的管理平臺、移動互聯(lián)、掛載設(shè)備和公共數(shù)據(jù)安全管理活動中的各類管
理內(nèi)容建立安全管理制度;從安全組織、安全責(zé)任、訪問控制、系統(tǒng)設(shè)計、系統(tǒng)建設(shè)、系統(tǒng)驗
收、系統(tǒng)運維、應(yīng)急處置、人員管理、文件檔案管理、審核檢查等方面規(guī)范各項網(wǎng)絡(luò)安全管理
工作。
4.4.2完整的安全管理制度
4
DB4403/TXXX—XXXX
在基本的安全管理制度的基礎(chǔ)上,應(yīng)增加人員安全管理規(guī)定、安全審計管理規(guī)定、用戶管
理規(guī)定、風(fēng)險管理規(guī)定、信息分類分級管理規(guī)定、安全事件報告規(guī)定、事故處理規(guī)定、應(yīng)急管
理規(guī)定和災(zāi)難恢復(fù)管理規(guī)定等制度。
4.4.3體系化的安全管理制度
4.4.3.1應(yīng)制定安全管理規(guī)定,包括:機(jī)房、主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)施、物理設(shè)施分類標(biāo)記等系統(tǒng)
資源安全管理規(guī)定。
4.4.3.2應(yīng)制定安全配置、系統(tǒng)分發(fā)和操作、系統(tǒng)文檔、測試和脆弱性評估、系統(tǒng)信息安全備
份和相關(guān)的操作規(guī)程等系統(tǒng)和數(shù)據(jù)庫方面的安全管理規(guī)定。
4.4.3.3應(yīng)制定系統(tǒng)互聯(lián)評估、網(wǎng)絡(luò)使用授權(quán)、網(wǎng)絡(luò)檢測、網(wǎng)絡(luò)設(shè)施(設(shè)備和協(xié)議)變更控制
和相關(guān)的操作規(guī)程等方面的網(wǎng)絡(luò)安全管理規(guī)定。
4.4.3.4應(yīng)制定系統(tǒng)安全評估、應(yīng)用系統(tǒng)使用授權(quán)、應(yīng)用系統(tǒng)配置管理、應(yīng)用系統(tǒng)文檔管理和
相關(guān)的操作規(guī)程等方面的應(yīng)用安全管理規(guī)定。
4.4.3.5應(yīng)制定人員安全管理、安全意識與安全技術(shù)教育、操作安全、操作系統(tǒng)和數(shù)據(jù)庫安全、
系統(tǒng)運行記錄、病毒防護(hù)、系統(tǒng)維護(hù)、網(wǎng)絡(luò)互聯(lián)、安全審計、安全事件報告、事故處理、應(yīng)急
管理、災(zāi)難恢復(fù)和相關(guān)的操作規(guī)程等方面的運行安全管理規(guī)定。
4.4.3.6應(yīng)制定信息分類標(biāo)記、涉密信息管理、文檔管理、存儲介質(zhì)管理、信息披露與發(fā)布審
批管理、第三方訪問控制和相關(guān)的操作規(guī)程等方面的信息安全管理規(guī)定。
4.4.4強(qiáng)制保護(hù)的安全管理制度
在體系化的安全管理制度的基礎(chǔ)上,應(yīng)制定信息保密標(biāo)識與管理規(guī)定、密碼使用管理規(guī)定、
安全事件例行評估和報告規(guī)定、關(guān)鍵控制措施定期測試規(guī)定等制度。
4.4.5專控保護(hù)的安全管理制度
在強(qiáng)制保護(hù)的安全管理制度的基礎(chǔ)上,應(yīng)制定安全管理審計監(jiān)督規(guī)定等制度。
5機(jī)構(gòu)建設(shè)和人員管理
5.1建立安全管理機(jī)構(gòu)
不同安全等級建立的安全管理機(jī)構(gòu),有選擇地滿足以下要求的一項:
a)配備安全管理人員:管理層中應(yīng)有一人分管信息系統(tǒng)安全工作,并為信息系統(tǒng)的安全
管理配備專職或兼職的安全管理人員;
b)建立安全職能部門:在a)的基礎(chǔ)上,應(yīng)建立管理信息系統(tǒng)安全工作的職能部門,或
者明確指定一個職能部門兼管信息安全工作,作為該部門的關(guān)鍵職責(zé)之一;
c)成立安全領(lǐng)導(dǎo)小組:在b)的基礎(chǔ)上,應(yīng)在管理層成立信息系統(tǒng)安全管理委員會或信
息系統(tǒng)安全領(lǐng)導(dǎo)小組,對覆蓋全國或跨地區(qū)的組織機(jī)構(gòu),應(yīng)在總部和下級單位建立各
級信息系統(tǒng)安全領(lǐng)導(dǎo)小組,在基層至少要有一位專職的安全管理人員負(fù)責(zé)信息系統(tǒng)安
全工作;
d)主要負(fù)責(zé)人出任領(lǐng)導(dǎo):在c)的基礎(chǔ)上,應(yīng)由組織機(jī)構(gòu)的主要負(fù)責(zé)人出任信息系統(tǒng)安
全領(lǐng)導(dǎo)小組負(fù)責(zé)人;
5
DB4403/TXXX—XXXX
e)建立信息安全保密管理部門:在d)的基礎(chǔ)上,應(yīng)建立信息系統(tǒng)安全保密監(jiān)督管理的
職能部門,或?qū)υ斜C懿块T明確信息安全保密管理責(zé)任,加強(qiáng)對信息系統(tǒng)安全管理
重要過程和管理人員的保密監(jiān)督管理。
5.2信息安全領(lǐng)導(dǎo)小組
信息系統(tǒng)安全領(lǐng)導(dǎo)小組負(fù)責(zé)領(lǐng)導(dǎo)本組織機(jī)構(gòu)的信息系統(tǒng)安全工作,至少行使以下管理職能
之一:
a)安全管理的領(lǐng)導(dǎo)職能:根據(jù)國家和行業(yè)有關(guān)信息安全的政策、法律和法規(guī),批準(zhǔn)機(jī)構(gòu)
信息系統(tǒng)的安全策略和發(fā)展規(guī)劃;確定各有關(guān)部門在信息系統(tǒng)安全工作中的職責(zé),領(lǐng)
導(dǎo)安全工作的實施;監(jiān)督安全措施的執(zhí)行,并對重要安全事件的處理進(jìn)行決策;指導(dǎo)
和檢查信息系統(tǒng)安全職能部門及應(yīng)急處理小組的各項工作;建設(shè)和完善信息系統(tǒng)安全
的集中控管的組織體系和管理機(jī)制;
b)保密監(jiān)督的管理職能:在a)的基礎(chǔ)上,對保密管理部門進(jìn)行有關(guān)信息系統(tǒng)安全保密
監(jiān)督管理方面的指導(dǎo)和檢查。
5.3信息安全職能部門
信息安全職能部門在信息系統(tǒng)安全領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)下,負(fù)責(zé)本組織機(jī)構(gòu)信息系統(tǒng)安全的具體
工作,至少應(yīng)行使以下管理職能之一:
a)基本的安全管理職能:根據(jù)國家和行業(yè)有關(guān)信息安全的政策法規(guī),起草組織機(jī)構(gòu)信息
系統(tǒng)的安全策略和發(fā)展規(guī)劃;管理機(jī)構(gòu)信息系統(tǒng)安全日常事務(wù),檢查和指導(dǎo)下級單位
信息系統(tǒng)安全工作;負(fù)責(zé)安全措施的實施或組織實施,組織并參加對安全重要事件的
處理;監(jiān)控信息系統(tǒng)安全總體狀況,提出安全分析報告;指導(dǎo)和檢查各部門和下級單
位信息系統(tǒng)安全人員及要害崗位人員的信息系統(tǒng)安全工作;應(yīng)與有關(guān)部門共同組成應(yīng)
急處理小組或協(xié)助有關(guān)部門建立應(yīng)急處理小組實施相關(guān)應(yīng)急處理工作;
b)集中的安全管理職能:在基本的安全管理職能的基礎(chǔ)上,管理信息系統(tǒng)安全機(jī)制集中
管理機(jī)構(gòu)的各項工作,實現(xiàn)信息系統(tǒng)安全的集中控制管理;完成信息系統(tǒng)安全領(lǐng)導(dǎo)小
組交辦的工作,并向領(lǐng)導(dǎo)小組報告機(jī)構(gòu)的信息系統(tǒng)安全工作。
5.4安全管理人員配備
不同安全等級的安全管理人員配備,有選擇地滿足以下要求的一項:
a)可配備兼職安全管理人員:安全管理人員可以由網(wǎng)絡(luò)管理人員兼任;
b)安全管理人員的兼職限制:安全管理人員不能兼任網(wǎng)絡(luò)管理人員、系統(tǒng)管理員、數(shù)據(jù)
庫管理員等;
c)配備專職安全管理人員:安全管理人員不可兼任,屬于專職人員,應(yīng)具有安全管理工
作權(quán)限和能力;
d)關(guān)鍵部位的安全管理人員:在c)的基礎(chǔ)上,安全管理人員還應(yīng)按照機(jī)要人員條件配
備。
5.5關(guān)鍵崗位人員管理
不同安全等級的關(guān)鍵崗位人員管理,可有選擇地滿足以下要求的一項或多項:
6
DB4403/TXXX—XXXX
a)基本要求:應(yīng)對安全管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、重要業(yè)務(wù)開
發(fā)人員、系統(tǒng)維護(hù)人員、重要業(yè)務(wù)應(yīng)用操作人員等信息系統(tǒng)關(guān)鍵崗位人員進(jìn)行統(tǒng)一管
理;允許一人多崗,但業(yè)務(wù)應(yīng)用操作人員不能由其他關(guān)鍵崗位人員兼任;關(guān)鍵崗位人
員應(yīng)定期接受安全培訓(xùn),加強(qiáng)安全意識和風(fēng)險防范意識;
b)兼職和輪崗要求:業(yè)務(wù)開發(fā)人員和系統(tǒng)維護(hù)人員不能兼任或擔(dān)負(fù)安全管理員、系統(tǒng)管
理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、重要業(yè)務(wù)應(yīng)用操作人員等崗位或工作;必要時關(guān)
鍵崗位人員應(yīng)釆取定期輪崗制度;
c)權(quán)限分散要求:在b)的基礎(chǔ)上,應(yīng)堅持關(guān)鍵崗位人員“權(quán)限分散、不應(yīng)交叉覆蓋”
的原則,系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員不能相互兼任崗位或工作;
d)多人共管要求:在c)的基礎(chǔ)上,關(guān)鍵崗位人員處理重要事務(wù)或操作時,應(yīng)保持二人
同時在場,關(guān)鍵事務(wù)應(yīng)多人共管;
e)全面控制要求:在d)的基礎(chǔ)上,應(yīng)采取對內(nèi)部人員全面控制的安全保證措施,對所
有崗位工作人員實施全面安全管理。
5.6人員錄用管理
不同安全等級的人員錄用管理,可有選擇地滿足以下要求的一項:
a)人員錄用的基本要求:對應(yīng)聘者進(jìn)行審查,確認(rèn)其具有基本的專業(yè)技術(shù)水平,接受過
安全意識教育和培訓(xùn),能夠掌握安全管理基本知識;對信息系統(tǒng)關(guān)鍵崗位的人員還應(yīng)
注重思想品質(zhì)方面的考察;
b)人員的審查與考核:在a)的基礎(chǔ)上,應(yīng)由單位人事部門進(jìn)行人員背景、資質(zhì)審查,
技能考核等,合格者還要簽署保密協(xié)議方可上崗;安全管理人員應(yīng)具有基本的系統(tǒng)安
全風(fēng)險分析和評估能力;
c)人員的內(nèi)部選拔:在b)的基礎(chǔ)上,重要區(qū)域或部位的安全管理人員一般可從內(nèi)部符
合條件人員選拔,應(yīng)做到認(rèn)真負(fù)責(zé)和保守秘密;
d)人員的可靠性:在c)的基礎(chǔ)上,關(guān)鍵區(qū)域或部位的安全管理人員應(yīng)選用實踐證明精
干、內(nèi)行、忠實、可靠的人員,必要時可按機(jī)要人員條件配備。
5.7人員離崗管理
不同安全等級對人員離崗的管理,有選擇地滿足以下要求的一項:
a)離崗的基本要求:立即中止被解雇的、退休的、辭職的或其他原因離開的人員的所有
訪問權(quán)限;收回所有相關(guān)證件、徽章、密鑰、訪問控制標(biāo)記等;收回機(jī)構(gòu)提供的設(shè)備
等;
b)調(diào)離后的保密要求:在a)的基礎(chǔ)上,管理層和信息系統(tǒng)關(guān)鍵崗位人員調(diào)離崗位,應(yīng)
經(jīng)單位人事部門嚴(yán)格辦理調(diào)離手續(xù),承諾其調(diào)離后的保密要求;
c)離崗的審計要求:在b)的基礎(chǔ)上,涉及組織機(jī)構(gòu)管理層和信息系統(tǒng)關(guān)鍵崗位的人員
調(diào)離單位,必須進(jìn)行離崗安全審查,在規(guī)定的脫密期限后,方可調(diào)離;
d)關(guān)鍵部位人員的離崗要求:在c)的基礎(chǔ)上,關(guān)鍵部位的信息系統(tǒng)安全管理人員離崗,
應(yīng)按照機(jī)要人員管理辦法辦理。
5.8人員考核與審查
不同安全等級的人員考核與審查管理,有選擇地滿足以下要求的一項:
7
DB4403/TXXX—XXXX
a)定期的人員考核:應(yīng)定期對各個崗位的人員進(jìn)行不同側(cè)重的安全認(rèn)知和安全技能的考
核,作為人員是否適合當(dāng)前崗位的參考;
b)定期的人員審查:在人員考核的基礎(chǔ)上,對關(guān)鍵崗位人員,應(yīng)定期進(jìn)行審査,如發(fā)現(xiàn)
其違反安全規(guī)定,應(yīng)控制使用;
c)管理有效性的審查:在定期人員審查的基礎(chǔ)上,對關(guān)鍵崗位人員的工作,應(yīng)通過例行
考核進(jìn)行審查,保證安全管理的有效性;并保留審査結(jié)果;
d)全面嚴(yán)格的審查:在有效性審查的基礎(chǔ)上,對所有安全崗位人員的工作,應(yīng)通過全面
考核進(jìn)行審查,如發(fā)現(xiàn)其違反安全規(guī)定,應(yīng)采取必要的應(yīng)對措施。
5.9人員教育和培訓(xùn)
不同安全等級的人員教育和培訓(xùn),有選擇地滿足以下要求的一項:
a)應(yīng)知應(yīng)會要求培訓(xùn):應(yīng)讓信息系統(tǒng)相關(guān)員工知曉信息的敏感性和信息安全的重要性,
認(rèn)識其自身的責(zé)任和安全違例會受到紀(jì)律懲罰,以及應(yīng)掌握的信息安全基本知識和技
能等;
b)有計劃培訓(xùn):在應(yīng)知應(yīng)會要求的基礎(chǔ)上,應(yīng)制定并實施安全教育和培訓(xùn)計劃,培養(yǎng)信
息系統(tǒng)各類人員安全意識,并提供對安全政策和操作規(guī)程的認(rèn)知教育和訓(xùn)練等;
c)針對不同崗位培訓(xùn):在計劃培訓(xùn)的基礎(chǔ)上,針對不同崗位,制定不同的專業(yè)培訓(xùn)計劃,
包括安全知識、安全技術(shù)、安全標(biāo)準(zhǔn)、安全要求、法律責(zé)任和業(yè)務(wù)控制措施等;
d)按人員資質(zhì)要求培訓(xùn):在崗位培訓(xùn)的基礎(chǔ)上,對所有工作人員的安全資質(zhì)進(jìn)行定期檢
查和評估,使相應(yīng)的安全教育成為組織機(jī)構(gòu)工作計劃的一部分;
e)安全意識自覺性培訓(xùn):在資質(zhì)培訓(xùn)的基礎(chǔ)上,對所有工作人員進(jìn)行相應(yīng)的安全資質(zhì)管
理,并使安全意識成為所有工作人員的自覺行動。
6風(fēng)險管理和控制
6.1風(fēng)險管理要求
風(fēng)險管理作為等級保護(hù)的手段,在保證信息等級系統(tǒng)的最低保護(hù)能力的基礎(chǔ)上,可根據(jù)風(fēng)
險確定增加某些管理要求。
不同安全等級的風(fēng)險管理,有選擇地滿足以下要求的一項:
a)基本風(fēng)險管理:組織機(jī)構(gòu)應(yīng)進(jìn)行基本的風(fēng)險管理活動,包括編制資產(chǎn)清單,對資產(chǎn)價
值/重要性進(jìn)行分析,對信息系統(tǒng)面臨的威脅進(jìn)行初步分析,通過工具掃描的方式對
信息系統(tǒng)的脆弱性進(jìn)行分析,以簡易的方式分析安全風(fēng)險、選擇安全措施;
b)定期風(fēng)險評估:在基本風(fēng)險管理的基礎(chǔ)上,針對關(guān)鍵的系統(tǒng)資源進(jìn)行定期風(fēng)險分析和
評估;產(chǎn)生風(fēng)險分析報告并向管理層提交;
c)規(guī)范風(fēng)險評估:在定期風(fēng)險評估的基礎(chǔ)上,在風(fēng)險管理中,使用規(guī)范方法和經(jīng)過必要
的工作流程,進(jìn)行規(guī)范化的風(fēng)險評估,產(chǎn)生風(fēng)險分析報告和留存重要過程文檔,并向
管理層提交;
d)獨立審計的風(fēng)險管理:在規(guī)范風(fēng)險評估的基礎(chǔ)上,建立風(fēng)險管理體系文件;針對風(fēng)險
管理過程,實施獨立審計,確保風(fēng)險管理的有效性;
e)全面風(fēng)險管理:在獨立審計風(fēng)險管理的基礎(chǔ)上,使風(fēng)險管理成為信息系統(tǒng)安全管理的
有機(jī)組成部分,貫穿信息系統(tǒng)安全管理的全過程,并具有可驗證性。
8
DB4403/TXXX—XXXX
6.2風(fēng)險管理策略
不同安全等級的風(fēng)險管理策略,有選擇地滿足以下要求的一項:
a)基本的風(fēng)險管理策略:應(yīng)定期進(jìn)行風(fēng)險評估,安全風(fēng)險分析和評估活動程序應(yīng)至少包
括信息安全風(fēng)險管理和業(yè)務(wù)應(yīng)用風(fēng)險管理密切相關(guān)的內(nèi)容,信息安全風(fēng)險管理的基本
觀念和方法,以及風(fēng)險管理的組織和資源保證等;
b)風(fēng)險管理的監(jiān)督機(jī)制:在基本的風(fēng)險管理策略的基礎(chǔ)上,應(yīng)建立風(fēng)險管理的監(jiān)督機(jī)制,
對所有風(fēng)險管理相關(guān)過程的活動和影響進(jìn)行評估和監(jiān)控;應(yīng)建立指導(dǎo)風(fēng)險管理監(jiān)督過
程的指導(dǎo)性文檔;
c)風(fēng)險評估的重新啟動:在風(fēng)險管理監(jiān)督機(jī)制的基礎(chǔ)上,應(yīng)明確規(guī)定重新啟動風(fēng)險評估
的條件,機(jī)構(gòu)應(yīng)能針對風(fēng)險的變化重新啟動風(fēng)險評估。
6.3風(fēng)險分析
6.3.1資產(chǎn)識別和分析
不同安全等級的資產(chǎn)識別和分析,有選擇地滿足以下要求的一項:
a)信息系統(tǒng)的資產(chǎn)統(tǒng)計和分類:確定信息系統(tǒng)的資產(chǎn)范圍,進(jìn)行統(tǒng)計和編制資產(chǎn)清單(詳
見7.2.1),并進(jìn)行資產(chǎn)分類和重要性標(biāo)識;
b)信息系統(tǒng)的體系特征描述:在資產(chǎn)統(tǒng)計和分類的基礎(chǔ)上,根據(jù)對信息系統(tǒng)的硬件、軟
件、系統(tǒng)接口、數(shù)據(jù)和信息、人員等方面的分析和識別,對信息系統(tǒng)的體系特征進(jìn)行
描述,至少應(yīng)闡明信息系統(tǒng)的使命、邊界、功能,以及系統(tǒng)和數(shù)據(jù)的關(guān)鍵性、敏感性
等內(nèi)容。
6.3.2威脅識別和分析
不同安全等級的威脅識別和分析,有選擇地滿足以下要求的一項:
a)威脅的基本分析:應(yīng)根據(jù)以往發(fā)生的安全事件、外部提供的資料和積累的經(jīng)驗等,對
威脅進(jìn)行粗略的分析;
b)威脅的列表分析:在基本分析的基礎(chǔ)上,結(jié)合業(yè)務(wù)應(yīng)用、系統(tǒng)結(jié)構(gòu)特點以及訪問流程
等因素,建立并維護(hù)威脅列表;由于不同業(yè)務(wù)系統(tǒng)面臨的威脅是不同的,應(yīng)針對每個
或者每類資產(chǎn)有一個威脅列表;
c)威脅的詳細(xì)分析:在列表分析的基礎(chǔ)上,考慮威脅源在保密性、完整性或可用性等方
面造成損害,對威脅的可能性和影響等屬性進(jìn)行分析,從而得到威脅的等級;威脅等
級也可通過綜合威脅的可能性和強(qiáng)度的評價獲得;
d)使用檢測工具捕捉攻擊:在基本分析詳細(xì)的基礎(chǔ)上,對關(guān)鍵區(qū)域或部位進(jìn)行威脅分析
和評估,在業(yè)務(wù)應(yīng)用許可并得到批準(zhǔn)的條件下,可使用檢測工具在特定時間捕捉攻擊
信息進(jìn)行威脅分析。
6.3.3脆弱性識別和分析
不同安全等級的脆弱性識別和分析,有選擇地滿足以下要求的一項:
a)脆弱性工具掃描:應(yīng)通過掃描器等工具來獲得對系統(tǒng)脆弱性的認(rèn)識,包括對管理平臺、
網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備、掛載設(shè)備和安全設(shè)備的脆弱性掃描,并編制脆弱性列表,作為
9
DB4403/TXXX—XXXX
系統(tǒng)加固、改進(jìn)和安全項目建設(shè)的依據(jù);可以針對資產(chǎn)組合、資產(chǎn)分類編制脆弱性列
表和脆弱性檢查表;
b)脆弱性分析和滲透測試:在掃描的基礎(chǔ)上,脆弱性的分析應(yīng)使用滲透測試分別從管理
平臺、網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備、掛載設(shè)備、安全設(shè)備選擇不同的接入點進(jìn)行;應(yīng)了解測
試可能帶來的后果,并做好充分準(zhǔn)備;針對不同的資產(chǎn)和資產(chǎn)組合,綜合應(yīng)用人工評
估、工具掃描、滲透性測試等方法對系統(tǒng)的脆弱性進(jìn)行分析和評估;對不同的方法和
工具所得出的評估結(jié)果,應(yīng)進(jìn)行綜合分析,從而得到脆弱性的等級;
c)制度化脆弱性評估:在滲透測試的基礎(chǔ)上,堅持制度化脆弱性評估,應(yīng)明確規(guī)定進(jìn)行
脆弱性評估的時間和系統(tǒng)范圍、人員和責(zé)任、評估結(jié)果的分析和報告程序,以及報告
中包括新發(fā)現(xiàn)的漏洞、己修補(bǔ)的漏洞、漏洞趨勢分析等。
6.4風(fēng)險評估
不同安全等級的風(fēng)險評估,有選擇地滿足以下要求的一項:
a)經(jīng)驗的風(fēng)險評估:應(yīng)由用戶和部分專家通過經(jīng)驗來判斷風(fēng)險,并對風(fēng)險進(jìn)行評估,形
成風(fēng)險評估報告,其中必須包括風(fēng)險級別、風(fēng)險點等內(nèi)容,并確定信息系統(tǒng)的安全風(fēng)
險狀況;
b)全面的風(fēng)險評估:在經(jīng)驗風(fēng)險評估的基礎(chǔ)上,應(yīng)采用多層面、多角度的系統(tǒng)分析方法,
由用戶和專家對資產(chǎn)、威脅和脆弱性等方面進(jìn)行定性綜合評估,建議處理和減緩風(fēng)險
的措施,形成風(fēng)險評估報告;除風(fēng)險狀況外,在風(fēng)險評估的各項步驟中還應(yīng)生成信息
系統(tǒng)體系特征報告、威脅評估報告、脆弱性評估報告和安全措施分析報告等;基于這
些報告,評估者應(yīng)對安全措施提出建議;
c)建立和維護(hù)風(fēng)險信息庫:在全面風(fēng)險評估的基礎(chǔ)上,應(yīng)將風(fēng)險評估中的信息資產(chǎn)、威
脅、脆弱性、防護(hù)措施等評估項信息綜合到一個數(shù)據(jù)庫中進(jìn)行管理;組織機(jī)構(gòu)應(yīng)當(dāng)在
后續(xù)的項目和工具中持續(xù)地維護(hù)該數(shù)據(jù)庫。
6.5風(fēng)險控制
不同安全等級的風(fēng)險控制,有選擇地滿足以下要求的一項:
a)基于安全等級標(biāo)準(zhǔn)選擇控制措施:以信息系統(tǒng)及產(chǎn)品的安全等級標(biāo)準(zhǔn)對不同等級的技
術(shù)和管理要求,選擇相應(yīng)等級的安全技術(shù)和管理措施,決定需要實施的信息系統(tǒng)安全
控制措施;
b)基于風(fēng)險評估選擇控制措施:在a)項的基礎(chǔ)上,根據(jù)風(fēng)險評估的結(jié)果,結(jié)合組織機(jī)
構(gòu)對于信息系統(tǒng)安全的需求,決定信息系統(tǒng)安全的控制措施;
c)基于風(fēng)險評估形成防護(hù)控制系統(tǒng):在b)項的基礎(chǔ)上,根據(jù)風(fēng)險評估的結(jié)果,結(jié)合機(jī)
構(gòu)對于信息系統(tǒng)安全的需求,決定信息系統(tǒng)安全的控制措施;對相關(guān)的各種控制措施
進(jìn)行綜合分析,得出緊迫性、優(yōu)先級、投資比重等評價,形成體系化的防護(hù)控制系統(tǒng)。
6.6安全確認(rèn)
不同安全等級的安全確認(rèn),有選擇地滿足a+b或者a+c其中兩項:
a)殘余風(fēng)險接受:針對信息系統(tǒng)的資產(chǎn)清單、威脅列表、脆弱性列表,結(jié)合已采用的安
全控制措施,分析存在的殘余風(fēng)險;應(yīng)形成殘余風(fēng)險分析報告,并由組織機(jī)構(gòu)的高層
管理人員決定殘余風(fēng)險是否可接受;
10
DB4403/TXXX—XXXX
b)殘余風(fēng)險監(jiān)視:在a)的基礎(chǔ)上,應(yīng)編制出信息系統(tǒng)殘余風(fēng)險清單,并密切監(jiān)視殘余
風(fēng)險可能誘發(fā)的安全事件,并及時采取防護(hù)措施;
c)安全風(fēng)險再評估:在b)的基礎(chǔ)上,采用系統(tǒng)化的方法對信息系統(tǒng)安全風(fēng)險實施再次
評估,通過再次評估,驗證防護(hù)措施的有效性。
7運維和服務(wù)管理
7.1物理環(huán)境管理
7.1.1物理環(huán)境要求
物理環(huán)境要求如下:
a)物理位置選擇:機(jī)房場地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi);機(jī)房場地
應(yīng)避免設(shè)在建筑物的頂層或地下室,否則應(yīng)加強(qiáng)防水和防潮措施;
b)防盜竊和防破壞:應(yīng)將機(jī)房設(shè)備或主要部件進(jìn)行固定,并設(shè)置明顯的不易除去的標(biāo)識;
應(yīng)將通信線纜鋪設(shè)在隱蔽處,可鋪設(shè)在地下或管道中;應(yīng)設(shè)置機(jī)房防盜報警系統(tǒng)或設(shè)
置有專人值守的視頻監(jiān)控系統(tǒng);
c)防雷擊:應(yīng)將各類機(jī)柜、設(shè)施和設(shè)備等通過接地系統(tǒng)安全接地;應(yīng)采取措施防止感應(yīng)
雷,例如設(shè)置防雷保安器或過壓保護(hù)裝置等;
d)防火:應(yīng)符合GB50016—2014的相關(guān)要求;
e)防水和防潮:應(yīng)采取措施防止雨水通過機(jī)房窗戶、屋頂和墻壁滲透;應(yīng)采取措施防止
機(jī)房內(nèi)水蒸氣結(jié)露、水管泄漏和地下積水的轉(zhuǎn)移與滲透;機(jī)房應(yīng)安裝對水敏感的檢測
儀表或元件,對機(jī)房進(jìn)行防水檢測和報警;
f)防靜電:應(yīng)安裝防靜電地板或地面并采用必要的接地防靜電措施;應(yīng)采用措施防止靜
電的產(chǎn)生,例如采用靜電消除器、佩戴防靜電手環(huán)等;
g)溫濕度控制:機(jī)房應(yīng)設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施;機(jī)房的溫度范圍應(yīng)在18°C?26°C
之內(nèi),第四級網(wǎng)絡(luò)所在機(jī)房的溫度范圍應(yīng)在19°C?25°C之內(nèi);機(jī)房的濕度范圍應(yīng)
在35%?65%之內(nèi),第四級網(wǎng)絡(luò)所在機(jī)房的濕度范圍應(yīng)在40%?60%之內(nèi);
h)電力供應(yīng):應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過電壓防護(hù)設(shè)備;應(yīng)提供短期的備用電
力供應(yīng),至少滿足設(shè)備在斷電情況下的正常運行要求;應(yīng)設(shè)置冗余或并行的電力電纜
線路為系統(tǒng)供電;三級及以上網(wǎng)絡(luò)應(yīng)接入兩路外電,其中至少一路宜為專線,當(dāng)一路
外電發(fā)生故障時,另一路外電不應(yīng)同時受到損害;
i)電磁防護(hù):電源線和通信線纜應(yīng)隔離鋪設(shè),避免互相干擾;三級及以上網(wǎng)絡(luò)應(yīng)對關(guān)鍵
設(shè)備或關(guān)鍵區(qū)域?qū)嵤╇姶牌帘巍?/p>
7.1.2不同安全等級的選擇要求
不同安全等級的物理環(huán)境安全管理,有選擇地滿足以下要求的一項:
a)物理環(huán)境安全的基本要求:應(yīng)配置物理環(huán)境安全的責(zé)任部門和管理人員;建立有關(guān)物
理環(huán)境安全方面的規(guī)章制度;物理安全方面應(yīng)達(dá)到GB/T20271—2006中6.1.1的有
關(guān)要求;
b)較完整的制度化管理:在a)的基礎(chǔ)上,應(yīng)對物理環(huán)境劃分不同保護(hù)等級的安全區(qū)域
進(jìn)行管理;應(yīng)制定對物理安全設(shè)施進(jìn)行檢驗、配置、安裝、運行的有關(guān)制度和保障措
11
DB4403/TXXX—XXXX
施;實行關(guān)鍵物理設(shè)施的登記制度;物理安全方面應(yīng)達(dá)到GB/T20271—2006中6.2.1
的有關(guān)要求;
c)安全區(qū)域標(biāo)記管理:在b)的基礎(chǔ)上,應(yīng)對物理環(huán)境中所有安全區(qū)域進(jìn)行標(biāo)記管理,
包括不同安全保護(hù)等級的辦公區(qū)域、機(jī)房、介質(zhì)庫房等;介質(zhì)庫房的管理可以參照同
等級的機(jī)房的要求;物理安全方面應(yīng)達(dá)到GB/T20271—2006中6.3.1的有關(guān)要求;
d)安全區(qū)域隔離和監(jiān)視:在c)的基礎(chǔ)上,應(yīng)實施不同保護(hù)等級安全區(qū)域的隔離管理;
出入人員應(yīng)經(jīng)過相應(yīng)級別的授權(quán)并有監(jiān)控措施;對重要安全區(qū)域的活動應(yīng)實時監(jiān)視和
記錄;物理安全方面應(yīng)達(dá)到GB/T20271—2006中6.4.1的有關(guān)要求;
e)安全保障的持續(xù)改善:在d)的基礎(chǔ)上,應(yīng)對物理安全保障定期進(jìn)行監(jiān)督、檢查和不
斷改進(jìn),實現(xiàn)持續(xù)改善;物理安全方面應(yīng)達(dá)到GB/T20271—2006中6.5.1的有關(guān)要
求。
7.1.3機(jī)房安全管理要求
不同安全等級的機(jī)房安全管理,有選擇地滿足以下要求的一項:
a)機(jī)房安全管理的基本要求:應(yīng)明確機(jī)房安全管理的責(zé)任人,機(jī)房出入應(yīng)有指定人員負(fù)
責(zé),未經(jīng)允許的人員不準(zhǔn)進(jìn)入機(jī)房;獲準(zhǔn)進(jìn)入機(jī)房的來訪人員,其活動范圍應(yīng)受到限
制,并有接待人員陪同;機(jī)房鑰匙由專人管理,未經(jīng)批準(zhǔn),不準(zhǔn)任何人私自復(fù)制機(jī)房
鑰匙或服務(wù)器開機(jī)鑰匙;沒有指定管理人員的明確準(zhǔn)許,任何記錄介質(zhì)、文件材料及
各種被保護(hù)品均不準(zhǔn)帶出機(jī)房,與工作無關(guān)的物品均不準(zhǔn)帶入機(jī)房;機(jī)房內(nèi)嚴(yán)禁吸煙
及帶入火種和水源;
b)加強(qiáng)對來訪人員的控制:在a)的基礎(chǔ)上,要求所有來訪人員應(yīng)經(jīng)過正式批準(zhǔn),登記
記錄應(yīng)妥善保存;獲準(zhǔn)進(jìn)入機(jī)房的來訪人員,一般應(yīng)禁止攜帶個人計算機(jī)等電子設(shè)備
進(jìn)入機(jī)房,其活動范圍和操作行為應(yīng)受到限制,并有機(jī)房接待人員負(fù)責(zé)和陪同;
c)增強(qiáng)門禁控制手段:在b)的基礎(chǔ)上,任何進(jìn)出機(jī)房的人員應(yīng)經(jīng)過門禁設(shè)施的監(jiān)控和
記錄,應(yīng)有防止繞過門禁設(shè)施的手段;門禁系統(tǒng)的電子記錄應(yīng)妥善保存以備查;進(jìn)入
機(jī)房的人員應(yīng)佩戴相應(yīng)證件;未經(jīng)批準(zhǔn),禁止任何物理訪問;未經(jīng)批準(zhǔn),禁止任何人
移動計算機(jī)相關(guān)設(shè)備或帶離機(jī)房;
d)使用視頻監(jiān)控和專職警衛(wèi):在c)的基礎(chǔ)上,機(jī)房所在地應(yīng)有專職警衛(wèi),通道和入口
處應(yīng)設(shè)置視頻監(jiān)控點,24小時值班監(jiān)視;所有來訪人員的登記記錄、門禁系統(tǒng)的電子
記錄以及監(jiān)視錄像記錄應(yīng)妥善保存以備查;禁止攜帶移動電話、電子記事本等具有移
動互連功能的個人物品進(jìn)入機(jī)房;
e)釆取防止電磁泄漏措施:在d)的基礎(chǔ)上,對需要防止電磁泄漏的計算機(jī)設(shè)備配備電
磁干擾設(shè)備,在被保護(hù)的計算機(jī)設(shè)備工作時電磁干擾設(shè)備不準(zhǔn)關(guān)機(jī);必要時可以使用
屏蔽機(jī)房。屏蔽機(jī)房應(yīng)隨時關(guān)閉屏蔽門;不應(yīng)在屏蔽墻上隨意打孔,不應(yīng)在波導(dǎo)管以
外或不經(jīng)過過濾器對屏蔽機(jī)房內(nèi)外連接任何線纜;應(yīng)經(jīng)常測試屏蔽機(jī)房的泄漏情況并
進(jìn)行必要的維護(hù)。
7.1.4辦公環(huán)境安全管理要求
不同安全等級的辦公環(huán)境安全管理,有選擇地滿足以下要求的一項:
a)辦公環(huán)境安全管理基本要求:設(shè)置有網(wǎng)絡(luò)終端的辦公環(huán)境,是信息系統(tǒng)環(huán)境的組成部
分,應(yīng)防止利用終端系統(tǒng)竊取敏感信息或非法訪問;工作人員下班后,終端計算機(jī)應(yīng)
12
DB4403/TXXX—XXXX
關(guān)閉;存放敏感文件或信息載體的文件柜應(yīng)上鎖或設(shè)置密碼;工作人員調(diào)離部門或更
換辦公室時,應(yīng)立即交還辦公室鑰匙;設(shè)立獨立的會客接待室,不在辦公環(huán)境接待來
訪人員;
b)辦公環(huán)境安全管理增強(qiáng)要求:在a)的基礎(chǔ)上,工作人員離開座位時,應(yīng)將桌面上含
有敏感信息的文件放在抽屜或文件柜內(nèi);工作人員離開座位時,終端計算機(jī)應(yīng)退出登
錄狀態(tài)、采用屏幕保護(hù)口令保護(hù)或關(guān)機(jī);
c)關(guān)鍵部位辦公環(huán)境的要求:在b)的基礎(chǔ)上,在關(guān)鍵區(qū)域或部位,應(yīng)使相應(yīng)的辦公環(huán)
境與機(jī)房的物理位置在一起,以便進(jìn)行統(tǒng)一的物理保護(hù)。
7.2系統(tǒng)資源管理
7.2.1資產(chǎn)清單管理
不同安全等級的資產(chǎn)清單管理,有選擇地滿足以下要求的一項:
a)一般資產(chǎn)清單:應(yīng)編制并維護(hù)與信息系統(tǒng)相關(guān)的資產(chǎn)清單,包括但不限于以下內(nèi)容:
1)信息資產(chǎn):應(yīng)用數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、安全數(shù)據(jù)等數(shù)據(jù)庫和數(shù)據(jù)文檔、系統(tǒng)文件、用
戶手冊、培訓(xùn)資料、操作和支持程序、持續(xù)性計劃、備用系統(tǒng)安排、存檔信息;
2)軟件資產(chǎn):應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和實用程序;
3)有形資產(chǎn):計算機(jī)設(shè)備(處理器、監(jiān)視器、膝上型電腦、調(diào)制解調(diào)器),通信設(shè)
備(路由器、數(shù)字程控交換機(jī)、傳真機(jī)、應(yīng)答機(jī)),磁媒體(磁帶和軟盤),其
他技術(shù)裝備(電源、空調(diào)設(shè)備),家具和機(jī)房;
4)應(yīng)用業(yè)務(wù)相關(guān)資產(chǎn):由信息系統(tǒng)控制的或與信息系統(tǒng)密切相關(guān)的應(yīng)用業(yè)務(wù)的各類
資產(chǎn),由于信息系統(tǒng)或信息的泄露或破壞,這些資產(chǎn)會受到相應(yīng)的損壞;
5)服務(wù):計算和通信服務(wù),通用設(shè)備如供暖、照明、供電和空調(diào)等;
b)詳細(xì)的資產(chǎn)清單:在a)的基礎(chǔ)上,應(yīng)清晰識別每項資產(chǎn)的擁有權(quán)、責(zé)任人、安全分
類以及資產(chǎn)所在的位置等;
c)業(yè)務(wù)應(yīng)用系統(tǒng)清單:在b)的基礎(chǔ)上,應(yīng)清晰識別業(yè)務(wù)應(yīng)用系統(tǒng)資產(chǎn)的擁有權(quán)、責(zé)任
人、安全分類以及資產(chǎn)所在的位置等;必要時應(yīng)該包括主要業(yè)務(wù)應(yīng)用系統(tǒng)處理流程和
數(shù)據(jù)流的描述,以及業(yè)務(wù)應(yīng)用系統(tǒng)用戶分類說明。
7.2.2資產(chǎn)的分類與標(biāo)識要求
不同安全等級的資產(chǎn)的分類與標(biāo)識,有選擇地滿足以下要求的一項:
a)資產(chǎn)標(biāo)識:應(yīng)根據(jù)資產(chǎn)的價值/重要性對資產(chǎn)進(jìn)行標(biāo)識,以便可以基于資產(chǎn)的價值選
擇保護(hù)措施和進(jìn)行資產(chǎn)管理等相關(guān)工作;
b)資產(chǎn)分類管理:在a)的基礎(chǔ)上,應(yīng)對信息資產(chǎn)進(jìn)行分類管理,對信息系統(tǒng)內(nèi)分屬不
同業(yè)務(wù)范圍的各類信息,按其對安全性的不同要求分類加以標(biāo)識。對于信息資產(chǎn),通
常信息系統(tǒng)數(shù)據(jù)可以分為系統(tǒng)數(shù)據(jù)和用戶數(shù)據(jù)兩類,其重要性一般與其所在的系統(tǒng)或
子系統(tǒng)的安全保護(hù)等級相關(guān);用戶數(shù)據(jù)的重要性還應(yīng)考慮自身保密性分類,如:
1)國家秘密信息:秘密、機(jī)密、絕密信息;
2)其他秘密信息:受國家法律保護(hù)的商業(yè)秘密和個人隱私信息;
3)專有信息:國家或組織機(jī)構(gòu)內(nèi)部共享、內(nèi)部受限、內(nèi)部??匦畔?,以及公民個人
專有信息;
13
DB4403/TXXX—XXXX
4)公開信息:國家公開共享的信息、組織機(jī)構(gòu)公開共享的信息、公民個人可公開共
享的信息;組織機(jī)構(gòu)應(yīng)根據(jù)業(yè)務(wù)應(yīng)用的具體情況進(jìn)行分類分級和標(biāo)識,納入規(guī)范
化管理;不同安全等級的信息應(yīng)當(dāng)本著“知所必需、用所必需、共享必需、公開
必需、互聯(lián)通信必需”的策略進(jìn)行訪問控制和信息交換管理;
c)資產(chǎn)體系架構(gòu):在b)的基礎(chǔ)上,以業(yè)務(wù)應(yīng)用為主線,用體系架構(gòu)的方法描述信息資
產(chǎn);資產(chǎn)體系架構(gòu)不是簡單的資產(chǎn)清單,而是通過對各個資產(chǎn)之間有機(jī)的聯(lián)系和關(guān)系
的結(jié)構(gòu)性描述。
7.2.3介質(zhì)管理
不同安全等級的介質(zhì)管理,有選擇地滿足以下要求的一項:
a)介質(zhì)管理基本要求:對脫機(jī)存放的各類介質(zhì)(包括信息資產(chǎn)和軟件資產(chǎn)的介質(zhì))進(jìn)行
控制和保護(hù),以防止被盜、被毀、被修改以及信息的非法泄漏;介質(zhì)的歸檔和查詢應(yīng)
有記錄,對存檔介質(zhì)的目錄清單應(yīng)定期盤點;介質(zhì)應(yīng)儲放在安全的環(huán)境中防止損壞;
對于需要送出維修或銷毀的介質(zhì),應(yīng)防止信息的非法泄漏;對各類介質(zhì)的保管應(yīng)指定
專人保管;
b)介質(zhì)異地存放要求:在a)的基礎(chǔ)上,根據(jù)所承載的數(shù)據(jù)和軟件的重要程度對介質(zhì)進(jìn)
行標(biāo)識和分類,存放在由專人管理的介質(zhì)庫中,防止被盜、被毀以及信息的非法泄漏;
對存儲保密性要求較高的信息的介質(zhì),其借閱、拷貝、傳輸須經(jīng)相應(yīng)級別的領(lǐng)導(dǎo)批準(zhǔn)
后方可執(zhí)行,并登記在冊;存儲介質(zhì)的銷毀必須經(jīng)批準(zhǔn)并按指定方式進(jìn)行,不應(yīng)自行
銷毀;介質(zhì)應(yīng)保留2個以上的副本,而且要求介質(zhì)異地存儲,存儲地的環(huán)境要求和管
理方法應(yīng)與本地相同;
c)完整性檢查的要求:在b)的基礎(chǔ)上,對重要介質(zhì)的數(shù)據(jù)和軟件必要時可以加密存儲;
對重要的信息介質(zhì)的借閱、拷貝、分發(fā)傳遞須經(jīng)相應(yīng)級別的領(lǐng)導(dǎo)的書面審批后方可執(zhí)
行,各種處理過程應(yīng)登記在冊,介質(zhì)的分發(fā)傳遞采取保護(hù)措施;對于需要送出維修或
銷毀的介質(zhì),應(yīng)首先刪除信息,再重復(fù)寫操作進(jìn)行覆蓋,防止數(shù)據(jù)恢復(fù)和信息泄漏;
需要帶出工作環(huán)境的介質(zhì),其信息應(yīng)受到保護(hù);對存放在介質(zhì)庫中的介質(zhì)應(yīng)定期進(jìn)行
完整性和可用性的檢査,確認(rèn)其數(shù)據(jù)或軟件沒有受到損壞或丟失;
d)加密存儲的要求:在c)的基礎(chǔ)上,對介質(zhì)中的重要數(shù)據(jù)必須使用加密技術(shù)或數(shù)據(jù)隱
藏技術(shù)進(jìn)行存儲;介質(zhì)的保存和分發(fā)傳遞應(yīng)有嚴(yán)格的規(guī)定并進(jìn)行登記;介質(zhì)受損但無
法執(zhí)行刪除操作的,必須銷毀;介質(zhì)銷毀在經(jīng)主管領(lǐng)導(dǎo)審批后應(yīng)由兩人完成,一人執(zhí)
行銷毀一人負(fù)責(zé)監(jiān)銷,銷毀過程應(yīng)記錄;
e)高強(qiáng)度加密存儲的要求:在d)的基礎(chǔ)上,對極為重要數(shù)據(jù)的介質(zhì)應(yīng)該使用高強(qiáng)度的
加密技術(shù)或數(shù)據(jù)隱藏技術(shù)進(jìn)行存儲,并對有關(guān)密鑰和數(shù)據(jù)隱藏處理程序嚴(yán)格保管。
7.2.4掛載設(shè)備管理要求
7.2.4.1多功能智能桿應(yīng)能為掛載設(shè)備提供桿上必要條件,包括各類掛載設(shè)備的安裝固定、線
纜接入和布設(shè)、網(wǎng)絡(luò)接入、接地與防雷保護(hù)等功能。
7.2.4.2多功能智能桿應(yīng)能為掛載設(shè)備提供所需交流或直流供電接口,宜具備漏電監(jiān)測、供電
監(jiān)測、遠(yuǎn)程控制、傾斜監(jiān)測、積水監(jiān)測、艙門開關(guān)監(jiān)測等功能。
7.2.4.3多功能智能桿的設(shè)置應(yīng)統(tǒng)籌用地、建筑、景觀、道路空間等規(guī)劃設(shè)計的管控要求,滿
足所在場景空間的服務(wù)功能需求。
14
DB4403/TXXX—XXXX
7.2.4.4多功能智能桿外觀設(shè)計應(yīng)與當(dāng)?shù)爻鞘幸?guī)劃設(shè)計和所處場景相融合,符合城市規(guī)劃中對
城市風(fēng)貌的要求。
7.2.4.5多功能智能桿桿體結(jié)構(gòu)和功能設(shè)置應(yīng)綜合考慮搭載設(shè)備的工作環(huán)境、安裝空間、結(jié)構(gòu)
承載能力、服務(wù)功能穩(wěn)定性、耐久性(結(jié)構(gòu)、設(shè)備、涂裝)等因素,技術(shù)參數(shù)指標(biāo)應(yīng)滿足桿體
所搭載設(shè)備正常工作需求。
7.2.4.6應(yīng)在經(jīng)過充分測試評估后,在不影響關(guān)鍵掛載設(shè)備、邊緣控制器安全穩(wěn)定運行的情況
下進(jìn)行補(bǔ)丁、固件更新等工作。
7.2.4.7關(guān)鍵掛載設(shè)備、邊緣控制器應(yīng)通過安全傳輸通道進(jìn)行固件與補(bǔ)丁更新,在檢測到異常
時應(yīng)能將結(jié)果上報至安全管理中心。
7.2.4.8應(yīng)對掛載設(shè)備狀態(tài)進(jìn)行監(jiān)測,當(dāng)發(fā)現(xiàn)不明設(shè)備入侵時應(yīng)及時定位處理。
7.2.4.9應(yīng)保證只有授權(quán)的多功能智能桿掛載設(shè)備可以接入。
7.2.4.10應(yīng)能夠限制與多功能智能桿掛載設(shè)備通信的目的地址,以免來自陌生地址的攻擊行
為;
7.2.4.11應(yīng)能夠限制于多功能智能桿場景中與網(wǎng)關(guān)節(jié)點通信的目的地址,以避免對陌生地址
的攻擊行為。
7.2.4.12連接多功能智能桿的邊緣控制器應(yīng)具備對合法連接設(shè)備(多功能智能桿掛載設(shè)備、
路由節(jié)點、數(shù)據(jù)處理中心)進(jìn)行標(biāo)識和鑒別的能力,至少支持基于網(wǎng)絡(luò)標(biāo)識、MAC地址、通信
協(xié)議、通信端口的身份鑒別機(jī)制。
7.2.4.13連接多功能智能桿的邊緣控制器應(yīng)具備過濾非法節(jié)點和偽造接地所發(fā)送的數(shù)據(jù)的能
力;當(dāng)檢測到流量異常時,應(yīng)能限制該端口的流量或關(guān)閉該端口,并上報異常信息。在異常消
除后,應(yīng)能自動恢復(fù)該端口的正常功能。
7.2.4.14連接多功能智能桿的邊緣控制器應(yīng)具備對合法連接設(shè)備(多功能智能桿掛載設(shè)備、
路由節(jié)點、數(shù)據(jù)處理中心)進(jìn)行脆弱性(系統(tǒng)漏洞、弱口令)掃描。
7.2.4.15連接多功能智能桿的邊緣控制器檢測到攻擊行為時,應(yīng)上報攻擊源IP、攻擊類型、
攻擊時間等信息。
7.3用戶操作管理
7.3.1用戶管理要求
7.3.1.1用戶分類管理
不同安全等級的用戶分類管理,有選擇地滿足以下要求的一項:
a)用戶分類清單:應(yīng)按審查和批準(zhǔn)的用戶分類清單建立用戶和分配權(quán)限。用戶分類清單
應(yīng)包括信息系統(tǒng)的所有用戶的清單,以及各類用戶的權(quán)限;用戶權(quán)限發(fā)生變化時應(yīng)及
時更改用戶清單內(nèi)容;
b)必要時可以對有關(guān)用戶開啟審計功能,用戶分類清單應(yīng)包括:
1)系統(tǒng)用戶:指系統(tǒng)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員和系統(tǒng)運行操作員等特權(quán)
用戶;
2)普通用戶:指OA和各種業(yè)務(wù)應(yīng)用系統(tǒng)的用戶;
3)外部客戶用戶:指組織機(jī)構(gòu)的信息系統(tǒng)對外服務(wù)的客戶用戶;
4)臨時用戶:指系統(tǒng)維護(hù)測試和第三方人員使用的用戶;
15
DB4403/TXXX—XXXX
c)特權(quán)用戶管理:在a)的基礎(chǔ)上,應(yīng)對信息系統(tǒng)的所有特權(quán)用戶列出清單,說明各個
特權(quán)用戶的權(quán)限,以及特權(quán)用戶的責(zé)任人員和授權(quán)記錄;定期檢查特權(quán)用戶的實際分
配權(quán)限是否與特權(quán)用戶清單符合;對特權(quán)用戶開啟審計功能;
d)重要業(yè)務(wù)用戶管理:在b)的基礎(chǔ)上,應(yīng)對信息系統(tǒng)的所有重要業(yè)務(wù)用戶的列出清單,
說明各個用戶的權(quán)限,以及用戶的責(zé)任人員和授權(quán)記錄;定期檢查重要業(yè)務(wù)用戶的實
際分配權(quán)限是否與用戶清單符合;對重要業(yè)務(wù)用戶開啟審計功能;
e)關(guān)鍵部位用戶管理:在c)的基礎(chǔ)上,應(yīng)對關(guān)鍵部位用戶采取逐一審批和授權(quán)的程序,
并記錄備案;定期檢查這些用戶的實際分配權(quán)限是否與授權(quán)符合,對這些用戶開啟審
計功能。
7.3.1.2系統(tǒng)用戶要求
不同安全等級的系統(tǒng)用戶,有選擇地滿足以下要求的一項:
a)最小授權(quán)要求:系統(tǒng)用戶應(yīng)由信息系統(tǒng)的主管領(lǐng)導(dǎo)指定,授權(quán)應(yīng)以滿足其工作需要的
最小權(quán)限為原則;系統(tǒng)用戶應(yīng)接受審計;
b)責(zé)任到人要求:在a)的基礎(chǔ)上,對重要信息系統(tǒng)的系統(tǒng)用戶,應(yīng)進(jìn)行人員的嚴(yán)格審
查,符合要求的人員才能給予授權(quán);對系統(tǒng)用戶應(yīng)能區(qū)分責(zé)任到個人,不應(yīng)以部門或
組作為責(zé)任人;
c)監(jiān)督性保護(hù)要求:在b)的基礎(chǔ)上,在關(guān)鍵信息系統(tǒng)中,對系統(tǒng)用戶的授權(quán)操作,必
須有兩人在場,并經(jīng)雙重認(rèn)可后方可操作;操作過程應(yīng)自動產(chǎn)生不可更改的審計日志。
7.3.1.3普通用戶要求
不同安全等級的普通用戶,有選擇地滿足以下要求的一項:
a)普通用戶的基本要求:應(yīng)保護(hù)好口令等身份鑒別信息;發(fā)現(xiàn)系統(tǒng)的漏洞、濫用或違背
安全行為應(yīng)及時報告;不應(yīng)透露與組織機(jī)構(gòu)有關(guān)的非公開信息;不應(yīng)故意進(jìn)行違規(guī)的
操作;
b)處理敏感信息的要求:在a)的基礎(chǔ)上,不應(yīng)在不符合敏感信息保護(hù)要求的系統(tǒng)中保
存和處理高敏感度的信息;不應(yīng)使用各種非正版軟件和不可信的自由軟件;
c)重要業(yè)務(wù)應(yīng)用的要求:在b)的基礎(chǔ)上,應(yīng)在系統(tǒng)規(guī)定的權(quán)限內(nèi)進(jìn)行操作,必要時某
些重要操作應(yīng)得到批準(zhǔn);用戶應(yīng)保管好自己的身份鑒別信息載體,不應(yīng)轉(zhuǎn)借他人。
7.3.1.4機(jī)構(gòu)外部用戶要求
不同安全等級的機(jī)構(gòu)外部用戶,有選擇地滿足以下要求的一項:
a)外部用戶一般要求:應(yīng)對外部用戶明確說明使用者的責(zé)任、義務(wù)和風(fēng)險,并要求提供
合法使用的聲明;外部用戶應(yīng)保護(hù)口令等身份鑒別信息;外部用戶只能是應(yīng)用層的用
戶;
b)外部特定用戶要求:在a)的基礎(chǔ)上,可對特定外部用戶提供專用通信通道,端口,
特定的應(yīng)用或數(shù)據(jù)協(xié)議,以及專用設(shè)備等;
c)外部用戶的限制:在b)的基礎(chǔ)上,在關(guān)鍵部位,一般不允許設(shè)置外部用戶。
7.3.1.5臨時用戶要求
不同安全等級的臨時用戶,有選擇地滿足以下要求的一項:
16
DB4403/TXXX—XXXX
a)臨時用戶的設(shè)置與刪除:臨時用戶的設(shè)置和期限必須經(jīng)過審批,使用完畢或到期應(yīng)及
時刪除,設(shè)置與刪除均應(yīng)記錄備案;
b)臨時用戶的審計:在設(shè)置與刪除的基礎(chǔ)上,對主要部位的臨時用戶應(yīng)進(jìn)行審計,并在
刪除前進(jìn)行風(fēng)險評估;
c)臨時用戶的限制:在審計的基礎(chǔ)上,在關(guān)鍵部位,一般不允許設(shè)置臨時用戶。
7.3.2運行操作管理要求
7.3.2.1服務(wù)器操作管理要求
不同安全等級的服務(wù)器操作管理,有選擇地滿足以下要求的一項:
a)服務(wù)器操作管理基本要求:對服務(wù)器的操作應(yīng)由授權(quán)的系統(tǒng)管理員實施;應(yīng)按操作規(guī)
程實現(xiàn)服務(wù)器的啟動/停止、加電/斷電等操作;維護(hù)服務(wù)器的運行環(huán)境及配置和服務(wù)
設(shè)定;按7.3.1.1的相關(guān)要求實現(xiàn)操作的身份鑒別管理;
b)日志文件和監(jiān)控管理:在a)的基礎(chǔ)上,加強(qiáng)日志文件管理和監(jiān)控管理。日志管理包
括對操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)以及業(yè)務(wù)系統(tǒng)等日志的管理和維護(hù);監(jiān)控管理包括監(jiān)控系
統(tǒng)性能,如監(jiān)測CPU和內(nèi)存的利用率、檢測進(jìn)程運行及磁盤使用情況等;
c)配置文件管理:在b)的基礎(chǔ)上,加強(qiáng)配置文件管理,包括服務(wù)器的系統(tǒng)配置和服務(wù)
設(shè)定的配置文件的管理,定期對系統(tǒng)安全性進(jìn)行有效性評估和檢查,及時發(fā)現(xiàn)系統(tǒng)的
新增缺陷或漏洞。
7.3.2.2終端計算機(jī)操作管理要求
不同安全等級的終端計算機(jī)操作管理,有選擇地滿足以下要求的一項:
a)終端計算機(jī)操作管理基本要求:用戶在使用自己的終端計算機(jī)時,應(yīng)設(shè)置開機(jī)、屏幕
保護(hù)、目錄共享口令;非組織機(jī)構(gòu)配備的終端計算機(jī)未獲批準(zhǔn),不能在辦公場所使用;
及時安裝經(jīng)過許可的軟件和補(bǔ)丁程序,不應(yīng)自行安裝及使用其它軟件和自由下載軟件;
未獲批準(zhǔn),嚴(yán)禁使用Modem撥號、無線網(wǎng)卡等方式或另辟通路接入其它網(wǎng)絡(luò);身份鑒
別機(jī)制應(yīng)按照7.3.1.1相關(guān)要求處理;
b)重要部位的終端計算機(jī)管理:在a)的基礎(chǔ)上,應(yīng)有措施防止終端計算機(jī)機(jī)箱私自開
啟,如需拆機(jī)箱應(yīng)在獲得批準(zhǔn)后由相關(guān)管理部門執(zhí)行;接入保密性較高的業(yè)務(wù)系統(tǒng)的
終端計算機(jī)不應(yīng)直接接入低級別系統(tǒng)或網(wǎng)絡(luò);
c)關(guān)鍵部位的終端計算機(jī)管理:在b)的基礎(chǔ)上,終端計算機(jī)必須啟用兩個及兩個以上
身份鑒別技術(shù)的組合來進(jìn)行身份鑒別;終端計算機(jī)應(yīng)釆用低輻射設(shè)備;每個終端計算
機(jī)的管理必須由專人負(fù)責(zé),如果多人共用一個終端計算機(jī),應(yīng)保證各人只能以自己的
身份登錄,并采用的身份鑒別機(jī)制。
7.3.2.3網(wǎng)絡(luò)及安全設(shè)備操作管理要求
不同安全等級的網(wǎng)絡(luò)及安全設(shè)備操作的管理,有選擇地滿足以下要求的一項:
a)網(wǎng)絡(luò)及安全設(shè)備操作基本要求:對網(wǎng)絡(luò)及安全設(shè)備的操作應(yīng)由授權(quán)的系統(tǒng)管理員實施;
應(yīng)按操作規(guī)程實現(xiàn)網(wǎng)絡(luò)設(shè)備和安全設(shè)備的接入/斷開、啟動/停止、加電/斷電等操作;
維護(hù)網(wǎng)絡(luò)和安全設(shè)備的運行環(huán)境及配置和服務(wù)設(shè)定;對實施網(wǎng)絡(luò)及安全設(shè)備操作的管
理員應(yīng)按7.3.1.1的要求進(jìn)行身份鑒別;
17
DB4403/TXXX—XXXX
b)策略配置及檢查:在a)的基礎(chǔ)上,管理員應(yīng)按照安全策略要求進(jìn)行網(wǎng)絡(luò)及設(shè)備配置;
應(yīng)定期檢查實際配置與安全策略要求的符合性;
c)安全機(jī)制集中管理控制:在b)的基礎(chǔ)上,應(yīng)通過安全管理控制平臺等設(shè)施對網(wǎng)絡(luò)及
安全設(shè)備的安全機(jī)制進(jìn)行統(tǒng)一控制、統(tǒng)一管理、統(tǒng)一策略,保障網(wǎng)絡(luò)正常運行。
7.3.2.4業(yè)務(wù)應(yīng)用操作管理要求
不同安全等級的業(yè)務(wù)應(yīng)用操作管理,有選擇地滿足以下要求的一項:
a)業(yè)務(wù)應(yīng)用操作程序和權(quán)限控制:業(yè)務(wù)應(yīng)用系統(tǒng)應(yīng)按7.3.1.1的要求對操作人員進(jìn)行身
份鑒別;掛載設(shè)備的安全管理應(yīng)符合7.2.4的要求;業(yè)務(wù)應(yīng)用系統(tǒng)應(yīng)能夠以菜單等方
式限制操作人員的訪問權(quán)限;業(yè)務(wù)應(yīng)用操作程序應(yīng)形成正式文檔,需要進(jìn)行改動時應(yīng)
得到管理層授權(quán);這些操作步驟應(yīng)指明具體執(zhí)行每個作業(yè)的指令,包括但不限于以下
內(nèi)容:
1)指定需要處理和使用的信息;
2)明確操作步驟,包括與其它系統(tǒng)的相互依賴性、操作起始和結(jié)束的時間;
3)說明處理錯誤或其它異常情況的指令,系統(tǒng)岀現(xiàn)故障時進(jìn)行重新啟動和恢復(fù)的措
施,以及在出現(xiàn)意外的操作或技術(shù)問題時需要技術(shù)支持的聯(lián)系方法。
b)業(yè)務(wù)應(yīng)用操作的限制:在a)的基礎(chǔ)上,對重要的業(yè)務(wù)應(yīng)用操作應(yīng)根據(jù)特別許可的權(quán)
限執(zhí)行;業(yè)務(wù)應(yīng)用操作應(yīng)進(jìn)行審計;
c)業(yè)務(wù)應(yīng)用操作的監(jiān)督:在b)的基礎(chǔ)上,關(guān)鍵的業(yè)務(wù)應(yīng)用操作應(yīng)有2人同時在場或同
時操作,并對操作過程進(jìn)行記錄。
7.3.2.5變更控制和重用管理要求
不同安全等級的變更控制和重用管理,有選擇地滿足以下要求的一項:
a)變更控制的申報和審批:任何變更控制和設(shè)備重用必須經(jīng)過申報和審批才能進(jìn)行,同
時還應(yīng)注意以下要求:
1)注意識別重大變更,并進(jìn)行記錄;
2)評估這些變更的潛在影響;
3)向所有相關(guān)人員通報變更細(xì)節(jié);
4)明確中止變更并從失敗變更中恢復(fù)的責(zé)任和處理方法;
5)重用設(shè)備中原有信息的清除。
b)制度化的變更控制:在a)的基礎(chǔ)上,制度化的變更控制和設(shè)備重用還應(yīng)包括:對操
作系統(tǒng)、數(shù)據(jù)庫
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2024-2030年中國城市公共汽車客運行業(yè)發(fā)展前景及投資規(guī)劃研究報告版
- 2024-2030年中國地毯行業(yè)競爭格局及未來投資趨勢分析報告
- 2024-2030年中國國際貨代行業(yè)未來發(fā)展趨勢及投資風(fēng)險分析報告
- 2024年度物聯(lián)網(wǎng)(IoT)設(shè)備控制系統(tǒng)軟件開發(fā)合同技術(shù)集成與擴(kuò)展2篇
- 茂名職業(yè)技術(shù)學(xué)院《國學(xué)》2023-2024學(xué)年第一學(xué)期期末試卷
- 2024年深圳子女撫養(yǎng)權(quán)協(xié)議書樣本3篇
- 中國日報2019年9月25日
- 馬鞍山職業(yè)技術(shù)學(xué)院《美術(shù)基礎(chǔ)與欣賞》2023-2024學(xué)年第一學(xué)期期末試卷
- 呂梁學(xué)院《信息安全綜合》2023-2024學(xué)年第一學(xué)期期末試卷
- 2024年度醫(yī)院護(hù)工工作環(huán)境與職業(yè)健康保護(hù)協(xié)議下載3篇
- 簡單離婚協(xié)議書范本
- 中圖版高中地理選擇性必修2模塊綜合測試
- 2024不銹鋼玻璃地彈門工程合同書
- 10以內(nèi)加減法口算題(13套100道題直接打印)
- 顱腦和脊髓先天畸形
- 部編版五年級語文上冊期末試卷(含答案)-
- 關(guān)鍵崗位人員安全職責(zé)的明確與落實策略探討
- 石文化與寶玉石鑒賞智慧樹知到期末考試答案2024年
- MOOC 國際金融-天津財經(jīng)大學(xué) 中國大學(xué)慕課答案
- 中學(xué)水電維修工工作職責(zé)(3篇)
- 婚禮準(zhǔn)備流程
評論
0/150
提交評論