4.2.5.10? 備份與恢復管理
??? a)? 應識別需要定期備份的重要業(yè)務信息、系統(tǒng)數據及軟件系統(tǒng)等;
??? b)? 應規(guī)定備份信息的備份方式(如增量備份或全備份等)、備份頻度(如每日或每周等)、存儲介質、保存期等;
??? c)? 應根據數據的重要性和數據對系統(tǒng)運行的影響,制定數據的備份策略和恢復策略,備份策略應指明各份數據的放置場所、文件命名規(guī)則、介質替換頻率和將數據離站運輸的方法。
4.2.5.11? 安全事件處置
??? a)? 應報告所發(fā)現的安全弱點和可疑事件,但任何情況下用戶均不應嘗試驗證弱點;
??? b)? 應制定安全事件報告和處置管理制度,明確安全事件類型,規(guī)定安全事件的現場處理、事件報告和后期恢復的管理職責;
??? c)? 應根據安全事件對本網絡產生的影響,對本網絡安全事件進行等級劃分;
??? d)? 應記錄并保存所有報告的安全弱點和可疑事件,分析事件原因,監(jiān)督事態(tài)發(fā)展,采取措施避免安全事件發(fā)生。
4.2.5.12? 應急預察管理
??? a)? 應在統(tǒng)一的應急預案框架下制定不同事件的應急預案,應急預案框架應包括啟動應急預案的條件、應急處理流程、系統(tǒng)恢復流程、事后教育和培訓等內容;
? ??b)? 應對相關的人員進行應急預案培訓,應急預案的培訓應至少每年舉辦一次。
4.3? 第3.1級要求
4.3.1?安全管理制度
4.3.1.1? 管理制度
??? 除滿足4.2.1.1的要求之外,還應滿足:
??? a)? 應對安全管理活動中的各類管理內窖建立安全管理制度,以規(guī)范安全管理活動;
??? b)? 應形成由安全策略、管理制度、操作規(guī)程等構成的全面的安全管理制度體系。
4.3.1.2? 制定和發(fā)布
??? 除滿足4.2.1.2的要求之外,還應滿足:
??? a)? 安全管理制度應有統(tǒng)一的格式,并進行版本控制;
??? b)? 安全管理制度應通過正式、有效的方式發(fā)布;
??? c)? 安全管理制度應注明發(fā)布范圍,并對收發(fā)文進行登記.
4.3.1.3? 評審和修訂
??? 除滿足4.2.1.3的要求之外,還應滿足:
??? a)? 安全領導小組應負責定期組織相關部門和相關人員對安全管理制度體系的合理性和適用性進行審定;
??? b)? 應定期或不定期對安全管理制度進行檢查和審定。
4.3.2?安全管理機構
4.3.2.1? 崗位設置
??? 除滿足4.2.2.1的要求之外,還應滿足。
??? a)? 應設立安全管理工作的職能部門;
??? b)? 應成立指導和管理安全工作的委員會或領導小組,其最高領導應由單位主管領導委任或授權;
??? c)? 應制定文件明確安全管理機構各個部門和崗位的職責、分工和技能要求.
4.3.2.2? 人員配備
??? 除滿足4.2.2.2的要求之外,還應滿足:
??? a)? 應配備專職安全管理員,不可兼任;
??? b)? 關鍵事務崗位應配備多人共同管理。
4.3.2.3? 授權和審批
??? 除滿足4.2.2.3的要求之外,還應滿足:
??? a)? 應根據各個部門和崗位的職責明確授權審批事項;
??? b)? 應針對系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項建立審批程序,按照審批程序執(zhí)行審批過程,對重要活動建立逐級審批制度;
? ??c)? 應定期審查審批事項,及時更新需授權和審批的項目、審批部門和審批人等信息;
? ??d)? 應記錄審批過程并保存審批文檔。
4.3.2.4? 溝通相合作
??? 除滿足4.2.2.4的要求之外,還應滿足。
??? a)? 各類管理人員之間、組織內部機構之間以及網絡安全職能部門內部定期或不定期召開協調會議,共同協作處理網絡安全問題;
??? b)? 應建立外聯單位聯系列表,包括外聯單位名稱、合作內容、聯系人和聯系方式等信息;
??? c)? 應聘請網絡安全專家作為常年的安全顧問,指導網絡安全建設,參與安全規(guī)劃和安全評審等。
4.3.2.5? 審核和檢查
??? 除滿足4.2.2.5的要求之外,還應滿足:
??? a)? 應由內部人員或上級單位定期進行全面安全檢查,檢查內容包括現有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等;
??? b)? 應制定安全檢查表格實施安全檢查,匯總安全檢查數據,形成安全檢查報告,并對安全檢查結果進行通報;
??? c)? 應制定安全審核和安全檢查制度規(guī)范安全審核和安全檢查工作,定期按照程序進行安全審核和安全檢查活動。
4.3.3?人員安全管理
4.3.3.1? 人員錄用
? ??除滿足4.2.3.1的要求之外,還應滿足。
?? ?a)? 應嚴格規(guī)范人員錄用過程,對被錄用人的資質等進行審查;
? ??b)? 應簽署保密協議;
? ??c)? 應從內部人員中選拔從事關鍵崗位的人員,并簽署崗位安全協議。
4.3.3.2? 人員離崗
??? 除滿足4.2.3.2的要求之外,還應滿足。
??? 關鍵崗位人員離崗須承諾調離后的保密義務后方可離開。
4.3.3.3? 人員考核
??? 除滿足4.2.3.3的要求之外,還應滿足:
??? a)? 應對關鍵崗位的人員進行全面、嚴格的安全審查和技能考核;
??? b)? 應對考核結果進行記錄并保存。
4.3.3.4? 安全意識教育和培訓
??? 除滿足4.2.3.4的要求之外,還應滿足:
??? a)? 應對安全責任和懲戒措施進行書面規(guī)定;
??? b)? 應對定期安全教育和培訓進行書面規(guī)定,針對不同崗位制定不同的培訓計劃;
??? c)? 應對安全教育和培訓的情況和結果進行記錄并歸檔保存。
4.3.3.5? 外部人員訪問管理
??? 除滿足4.2.3.5的要求之外,還應滿足;
? ??a)? 應確保在外部人員訪問受控區(qū)域前先提出書面申請;
? ??b)? 對外部人員允許訪問的區(qū)域、網絡、設備、信息等內容應進行書面的規(guī)定,并按照規(guī)定執(zhí)行。
4.3.4?安全建設管理
4.3.4.1? 定級
? ??除滿足4.2.4,1的要求之外,還應滿足:
??? a)? 應組織相關部門和有關安全技術專家對網絡定級結果的合理性和正確性進行論證和審定;
??? b)? 應將網絡的定級結果分級上報至全國或地區(qū)的主管部門,主管部門對定級結果審批。
4.3.4.2? 安全方案設計
??? 除滿足4.2.4.2的要求之外,還應滿足:
??? a)? 應指定和授權專門的部門對網絡的安全建設進行總體規(guī)劃,制定近期和遠期的安全建設工作計劃;
? ??b)? 應根據網絡的等級劃分情況,統(tǒng)一考慮安全保障體系的總體安全策略、安全技術框架、安全管理策略、總體建設規(guī)劃和詳細設計方案,并形成配套文件;
??? c)? 應組織相關部門和有關安全技術專家對總體安全策略、安全技術框架、安全管理鑲略、總體建設規(guī)劃、詳細設計方案等相關配套文件的合理性和正確性進行論證和審定,并且經過批準后,才能正式實施;
? ??d)? 應根據等級測評、安全評估的結果定期調整和慘訂總體安全策略、安全技術框架、安全管理策略、總體建設規(guī)劃、詳細設計方案等相關配套文件。
4.3.4.3? 產品采購和使用
? ??除滿足4.2.4.3的要求之外,還應滿足:
? ??應預先對產品進行選型測試,確定產品的候選范圍,并定期審定和更新候選產品名單。
4.3.4.4? 自行軟件開發(fā)
??? 除滿足4.2.4.4的要求之外,還應滿足:
? ??a)? 應確保開發(fā)人員和測試人員分離,測試數據和測試結果受到控制;
? ??b)? 應制定代碼編寫安全規(guī)范,要求開發(fā)人員參照規(guī)范編寫代碼;
? ??c)? 應確保對程序資源庫的修改、更新、發(fā)布進行授權和批準。
4.3.4.5? 外包軟件開發(fā)
??? 與4.2.4.5的要求相同。
4.3.4.6? 工程實施
??? 除滿足4.2.4.6的要求之外,還應滿足:
??? a)要求工程實施單位能正確地執(zhí)行安全工程過程;
??? b)應制定工程實施方面的管理制度,明確說明實施過程的控制方法和人員行為準則。
4.3.4.7? 測試驗收
?? ?除滿足4.2.4.7的要求之外,還應滿足:
? ??a) ?應委托公正的第三方測試單位對網絡進行安全性測試,并出具安全性測試報告;
? ??b)? 應對系統(tǒng)測試驗收的控制方法和人員行為準則進行書面規(guī)定;
??? c)? 應指定或授權專門韻部門負責系統(tǒng)測試驗收的管理,并按照管理規(guī)定的要求完成系統(tǒng)測試驗收工作。
4.3.4.8? 交付
? ??除滿足4.2.4.8的要求之外,還應滿足;
? ??a)? 應對網絡交付的控制方法和人員行為準則進行書面規(guī)定;
? ??b)? 應指定或授權專門的部門負責網絡交付的管理工作,并按照管理規(guī)定的要求完成交付工作;
? ??c)在網絡正式投入使用前,應根據實際情況進行試運行,試運行期間應提供相關應急預防措施;
? ??d)? 在網絡正式投入使用后,應對開發(fā)、建設過程中涉及安全要求的配置、口令等內容重新修改、設定。
4.3.4.9? 安全服務商的選擇
??? 與4.2.4.9的要求相同。
4.3.4.10? 備案
? ??除滿足4.2.4.10的要求之外,還應滿足:
? ??應將網絡的安全等級、屬性、定級的理由等資料分級上報至全國或地區(qū)的主管部門備案。
4.3.4.11? 等級測評
??? a)? 在網絡運行過程中,應至少每年對網絡進行一次等級測評,發(fā)現不符合相應等級保護標準要求的及時整改;
??? b)? 應在網絡發(fā)生變更時及時對網絡進行等級測評,發(fā)現級別發(fā)生變化的及時調整級別并進行安全改造,發(fā)現不符合相應等級保護標準要求的及時整改;
??? c)? 應選擇具有國家相關技術資質和安全資質的測評單位進行等級測評;
??? d)? 應指定或授權專門的部門或人員負責等級測評的管理。
4.3.5?安全運維管理
4.3.5.1? 環(huán)境管理
??? 除滿足4.2.5.1的要求之外,還應滿足:
??? a)? 應有指定的部門負責機房安全,并配置電子門禁系統(tǒng),對機房來訪人員實行登記記錄和電子記錄雙重備案管理。
??? b)工作人員離開座位應確保終端計算機退出登錄狀態(tài)和桌面上沒有包含敏感信息的紙檔文件。
?4.3.5.2? 資產管理
??? 除滿足4.2.5.2的要求之外,還應滿足:
??? a)? 應根據資產的重要程度對資產進行標識管理,根據資產的價值選擇相應的管理措施;
??? b)? 應對信息分類與標識方法作出規(guī)定,并對信息的使用、傳輸和存儲等進行規(guī)范化管理。
4.3.5.3? 介質管理
??? 除滿足4.2,5.3的要求之外,還應滿足:
?? ?a)? 應建立介質安全管理制度,對介質的存放環(huán)境、使用、維護和銷毀等方面作出規(guī)定:
??? b)? 應對介質的物理傳輸過程中人員選擇、打包、交付等情況進行控制;
??? c)? 應對存儲介質的使用過程進行嚴格的管理,對帶出工作環(huán)境的存儲介質進行內容加密和監(jiān)控管理,對保密性較高的存儲介質未經批準不得自行銷毀;
??? d)? 應根據數據備份的需要對某些介質實行異地存儲,存儲地的環(huán)境要求和管理方法應與本地相同;
??? c)? 應對重要介質中的數據和軟件采取加密存儲。
4.3.5.4? 設備管理
??? 除滿足4.2.5.4的要求之外,還應滿足:
??? 應建立配套設施、軟硬件維護方面的管理制度,對其維護進行有效的管理,包括明確維護人員的責任、涉外維修和服務的審批、維修過程的監(jiān)督控制等。
4.3.5.5? 監(jiān)控管理
? ??a)? 應對通信線路、主機、網絡設備和應用軟件的運行狀況、網絡流量、用戶行為等進行監(jiān)測和報警,形成記錄并妥善保存;
? ??b)? 應組織相關人員定期對監(jiān)測和報警記錄進行分析、評審,發(fā)現可疑行為,形成分析報告,并采取必要的應對措施;
??? c)? 應建立安全管理中心,對設備狀態(tài)、惡意代碼、補丁升級、安全審計等安全相關事項進行集中管理。
4.3.5.6? 網絡安全管理
??? 除滿足4.2.5.5的要求之外,還應滿足:
??? a)? 應實現設備的最小服務配置,并對配置文件進行定期離線備份;
??? b)? 應依據安全策略允許或者拒絕便攜式和移動式設備的網絡接入:
??? c)? 應定期檢查違反規(guī)定撥號上闞或其他違反網絡安全策略的行為。
4.3.5.7? 系統(tǒng)安全管理
??? 除滿足4.2.5.6的要求之外,還應滿足:
??? 應指定專人對系統(tǒng)進行管理,劃分系統(tǒng)管理員角色,明確各個角色的權限、責任和風險,權限設定應當遵循最小授權原則。
4.3.5.8? 惡意代碼防范管理
??? 除滿足4.2.5.7的要求之外,還應滿足:
??? 應定期檢查網絡內各種產品的惡意代碼庫的升級情況并進行記錄,對主機防病毒產品、防病毒網關和郵件防病毒網關上截獲的危險病毒或惡意代碼進行及時分析處理,并形成書面的報表和總結匯報。
4.3.5.9? 密碼管理
??? 除滿足4.2.5.8的要求之外,還應滿足:
??? 應建立密碼使用管理制度。
4.3.5.10? 變更管理
??? 除滿足4.2.5.9的要求之外,還應滿足:
??? a)? 應建立變更管理制度,變更和變更方案需有評審過程;
??? b)? 應建立變更控制的申報和審批文件化程序,對變更影響進行分析并文檔化,記錄變更實施過程,并妥善保存所有文檔和記錄;
??? c)? 應建立中止變更并從失敗變更中恢復的文件化程序,明確過程控制方法和人員職責,必要時對恢復過程進行演練。
4.3.5.11? 備份與恢復管理
??? 除滿足4.2.5.10的要求之外,還應滿足:
??? a)? 應建立備份與恢復管理相關的安全管理制度;
??? b)? 應建立控制數據備份和恢復過程的程序,對備份過程進行記錄,所有文件和記錄應妥善保存;
??? c)? 應定期執(zhí)行恢復程序,檢查和測試備份介質的有效性,確??梢栽诨謴统绦蛞?guī)定的時間內完成備份的恢復。
4.3.5.12? 安全事件處置
? ??除滿足4.2.5.11的要求之外,還應滿足:
? ??a)? 應制定安全事件報告和響應處理程序,確定事件的報告流程,響應和處置的范圍、程度,以及處理方法等;
? ??b)? 應在安全事件報告和響應處理過程中,分析和鑒定事件產生的原因,收集證據,記錄處理過程,總結經驗教訓,制定防止再次發(fā)生的補救措施,過程形成的所有文件和記錄均應妥善保存;
? ??c)? 對造成系統(tǒng)中斷和造成信息泄密的安全事件應采用不同的處理程序和報告程序。
4.3.5.13? 應急預案管理
??? 除滿足4.2.5.12的要求之外,還應滿足:
??? a)? 應從人力、設備、技術和財務等方面確保應急預案的執(zhí)行有足夠的資源保障;
??? b)? 應定期對應急預案進行演練,根據不同的應急恢復內容,確定演練的周期;
??? c)? 應規(guī)定應急預案需要定期審查和根據實際情況更新的內容,并按照執(zhí)行。
4.4? 第3.2級要求
??? 與第3.1級要求相同。
4.5? 第4圾要求
??? 同第3.2級要求。
4.6? 第5級要求
??? 待補充。