5.2.1.2 信息安全領(lǐng)導(dǎo)小組

信息系統(tǒng)安全領(lǐng)導(dǎo)小組負(fù)責(zé)領(lǐng)導(dǎo)本組織機(jī)構(gòu)的信息系統(tǒng)安全工作，至少應(yīng)行使以下管理職能之一：

a） 安全管理的領(lǐng)導(dǎo)職能：根據(jù)國(guó)家和行業(yè)有關(guān)信息安全的政策、法律和法規(guī)，批準(zhǔn)機(jī)構(gòu)信息系統(tǒng)的安全策略和發(fā)展規(guī)劃；確定各有關(guān)部門(mén)在信息系統(tǒng)安全工作中的職責(zé)，領(lǐng)導(dǎo)安全工作的實(shí)施；監(jiān)督安全措施的執(zhí)行，并對(duì)重要安全事件的處理進(jìn)行決策；指導(dǎo)和檢查信息系統(tǒng)安全職能部門(mén)及應(yīng)急處理小組的各項(xiàng)工作；建設(shè)和完善信息系統(tǒng)安全的集中控管的組織體系和管理機(jī)制；
b） 保密監(jiān)督的管理職能：在a）的基礎(chǔ)上，對(duì)保密管理部門(mén)進(jìn)行有關(guān)信息系統(tǒng)安全保密監(jiān)督管理方面的指導(dǎo)和檢查。


5.2.1.3 信息安全職能部門(mén)

信息安全職能部門(mén)在信息系統(tǒng)安全領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)下，負(fù)責(zé)本組織機(jī)構(gòu)信息系統(tǒng)安全的具體工作，至少應(yīng)行使以下管理職能之一：

a） 基本的安全管理職能：根據(jù)國(guó)家和行業(yè)有關(guān)信息安全的政策法規(guī)，起草組織機(jī)構(gòu)信息系統(tǒng)的安全策略和發(fā)展規(guī)劃；管理機(jī)構(gòu)信息系統(tǒng)安全日常事務(wù)，檢查和指導(dǎo)下級(jí)單位信息系統(tǒng)安全工作；負(fù)責(zé)安全措施的實(shí)施或組織實(shí)施，組織并參加對(duì)安全重要事件的處理；監(jiān)控信息系統(tǒng)安全總體狀況，提出安全分析報(bào)告；指導(dǎo)和檢查各部門(mén)和下級(jí)單位信息系統(tǒng)安全人員及要害崗位人員的信息系統(tǒng)安全工作；應(yīng)與有關(guān)部門(mén)共同組成應(yīng)急處理小組或協(xié)助有關(guān)部門(mén)建立應(yīng)急處理小組實(shí)施相關(guān)應(yīng)急處理工作；
b） 集中的安全管理職能：在a）的基礎(chǔ)上，管理信息系統(tǒng)安全機(jī)制集中管理機(jī)構(gòu)的各項(xiàng)工作，實(shí)現(xiàn)信息系統(tǒng)安全的集中控制管理；完成信息系統(tǒng)安全領(lǐng)導(dǎo)小組交辦的工作，并向領(lǐng)導(dǎo)小組報(bào)告機(jī)構(gòu)的信息系統(tǒng)安全工作。


5.2.2 安全機(jī)制集中管理機(jī)構(gòu)

5.2.2.1 設(shè)置集中管理機(jī)構(gòu)

信息系統(tǒng)安全機(jī)制集中管理機(jī)構(gòu)（以下簡(jiǎn)稱集中管理機(jī)構(gòu)）既是技術(shù)實(shí)體，也是管理實(shí)體，應(yīng)按照以下方式設(shè)立：

a） 集中管理機(jī)構(gòu)人員和職責(zé)：應(yīng)配備必要的領(lǐng)導(dǎo)和技術(shù)管理人員，應(yīng)選用熟悉安全技術(shù)、網(wǎng)絡(luò)技術(shù)、系統(tǒng)應(yīng)用等方面技術(shù)人員，明確責(zé)任協(xié)同工作，統(tǒng)一管理信息系統(tǒng)的安全運(yùn)行，進(jìn)行安全機(jī)制的配置與管理，對(duì)與安全有關(guān)的信息進(jìn)行匯集與分析，對(duì)與安全有關(guān)的事件進(jìn)行響應(yīng)與處置；應(yīng)對(duì)分布在信息系統(tǒng)中有關(guān)的安全機(jī)制進(jìn)行集中管理；應(yīng)接受信息安全職能部門(mén)的直接領(lǐng)導(dǎo)。


5.2.2.2 集中管理機(jī)構(gòu)職能

a） 信息系統(tǒng)安全運(yùn)行的統(tǒng)一管理：集中管理機(jī)構(gòu)主要行使以下技術(shù)職能：
——防范與保護(hù)：建立物理、支撐系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用、管理等五個(gè)層面的安全控制機(jī)制，構(gòu)成系統(tǒng)有機(jī)整體安全控制機(jī)制；統(tǒng)一進(jìn)行信息系統(tǒng)安全機(jī)制的配置與管理，確保各個(gè)安全機(jī)制按照設(shè)計(jì)要求運(yùn)行；
——監(jiān)控與檢查：對(duì)服務(wù)器、路由器、防火墻等網(wǎng)絡(luò)部件、系統(tǒng)安全運(yùn)行性狀態(tài)、信息（包括有害內(nèi)容）的監(jiān)控和檢查；匯集各種安全機(jī)制所獲取的與系統(tǒng)安全運(yùn)行有關(guān)的信息，對(duì)所獲取的信息進(jìn)行綜合分析，及時(shí)發(fā)現(xiàn)系統(tǒng)運(yùn)行中的安全問(wèn)題和隱患，提出解決的對(duì)策和方法；
——響應(yīng)與處置：事件發(fā)現(xiàn)、響應(yīng)、處置、應(yīng)急恢復(fù)，根據(jù)應(yīng)急處理預(yù)案，作出快速處理；應(yīng)對(duì)各種事件和處理結(jié)果有詳細(xì)的記載并進(jìn)行檔案化管理，作為對(duì)后續(xù)事件分析的參考和可查性的依據(jù)；
——安全機(jī)制集中管理控制（詳見(jiàn)5.5.6），完善管理信息系統(tǒng)安全運(yùn)行的技術(shù)手段，進(jìn)行信息系統(tǒng)安全的集中控制管理；
——負(fù)責(zé)接受和配合政府有關(guān)部門(mén)的信息安全監(jiān)管工作；
b） 關(guān)鍵區(qū)域安全運(yùn)行管理：在a）的基礎(chǔ)上，集中管理機(jī)構(gòu)對(duì)關(guān)鍵區(qū)域的安全運(yùn)行進(jìn)行管理，控制知曉范圍，對(duì)獲取的有關(guān)信息進(jìn)行相應(yīng)安全等級(jí)的保護(hù)；
c） 核心系統(tǒng)安全運(yùn)行管理：在b）的基礎(chǔ)上，集中管理機(jī)構(gòu)應(yīng)與有關(guān)業(yè)務(wù)應(yīng)用的主管部門(mén)協(xié)調(diào)，定制更高安全級(jí)別的管理方式。


5.2.3 人員管理
5.2.3.1 安全管理人員配備

對(duì)安全管理人員配備的管理，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)：

a） 可配備兼職安全管理人員：安全管理人員可以由網(wǎng)絡(luò)管理人員兼任；
b） 安全管理人員的兼職限制：安全管理人員不能兼任網(wǎng)絡(luò)管理人員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員等；
c） 配備專職安全管理人員：安全管理人員不可兼任，屬于專職人員，應(yīng)具有安全管理工作權(quán)限和能力；
d） 關(guān)鍵部位的安全管理人員：在c）的基礎(chǔ)上，安全管理人員還應(yīng)按照機(jī)要人員條件配備。


5.2.3.2 關(guān)鍵崗位人員管理

對(duì)信息系統(tǒng)關(guān)鍵崗位人員的管理，不同安全等級(jí)應(yīng)滿足以下要求的一項(xiàng)或多項(xiàng)：

a） 基本要求：應(yīng)對(duì)安全管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)管理員、重要業(yè)務(wù)開(kāi)發(fā)人員、系統(tǒng)維護(hù)人員、重要業(yè)務(wù)應(yīng)用操作人員等信息系統(tǒng)關(guān)鍵崗位人員進(jìn)行統(tǒng)一管理；允許一人多崗，但業(yè)務(wù)應(yīng)用操作人員不能由其他關(guān)鍵崗位人員兼任；關(guān)鍵崗位人員應(yīng)定期接受安全培訓(xùn)，加強(qiáng)安全意識(shí)和風(fēng)險(xiǎn)防范意識(shí)；
b） 兼職和輪崗要求：業(yè)務(wù)開(kāi)發(fā)人員和系統(tǒng)維護(hù)人員不能兼任或擔(dān)負(fù)安全管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)管理員、重要業(yè)務(wù)應(yīng)用操作人員等崗位或工作；必要時(shí)關(guān)鍵崗位人員應(yīng)采取定期輪崗制度；
c） 權(quán)限分散要求：在b）的基礎(chǔ)上，應(yīng)堅(jiān)持關(guān)鍵崗位人員“權(quán)限分散、不得交叉覆蓋”的原則，系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)管理員不能相互兼任崗位或工作；
d） 多人共管要求：在c）的基礎(chǔ)上，關(guān)鍵崗位人員處理重要事務(wù)或操作時(shí)，應(yīng)保持二人同時(shí)在場(chǎng)，關(guān)鍵事務(wù)應(yīng)多人共管；
e） 全面控制要求：在d）的基礎(chǔ)上，應(yīng)采取對(duì)內(nèi)部人員全面控制的安全保證措施，對(duì)所有崗位工作人員實(shí)施全面安全管理。


5.2.3.3 人員錄用管理

對(duì)人員錄用的管理，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)：

a） 人員錄用的基本要求：對(duì)應(yīng)聘者進(jìn)行審查，確認(rèn)其具有基本的專業(yè)技術(shù)水平，接受過(guò)安全意識(shí)教育和培訓(xùn)，能夠掌握安全管理基本知識(shí)；對(duì)信息系統(tǒng)關(guān)鍵崗位的人員還應(yīng)注重思想品質(zhì)方面的考察；
b） 人員的審查與考核：在a）的基礎(chǔ)上，應(yīng)由單位人事部門(mén)進(jìn)行人員背景、資質(zhì)審查，技能考核等，合格者還要簽署保密協(xié)議方可上崗；安全管理人員應(yīng)具有基本的系統(tǒng)安全風(fēng)險(xiǎn)分析和評(píng)估能力；
c） 人員的內(nèi)部選拔：在b）的基礎(chǔ)上，重要區(qū)域或部位的安全管理人員一般可從內(nèi)部符合條件人員選拔，應(yīng)做到認(rèn)真負(fù)責(zé)和保守秘密；
d） 人員的可靠性：在c）的基礎(chǔ)上，關(guān)鍵區(qū)域或部位的安全管理人員應(yīng)選用實(shí)踐證明精干、內(nèi)行、忠實(shí)、可靠的人員，必要時(shí)可按機(jī)要人員條件配備。


5.2.3.4 人員離崗

對(duì)人員離崗的管理，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)：

a） 離崗的基本要求：立即中止被解雇的、退休的、辭職的或其他原因離開(kāi)的人員的所有訪問(wèn)權(quán)限；收回所有相關(guān)證件、徽章、密鑰、訪問(wèn)控制標(biāo)記等；收回機(jī)構(gòu)提供的設(shè)備等；
b） 調(diào)離后的保密要求：在a）的基礎(chǔ)上，管理層和信息系統(tǒng)關(guān)鍵崗位人員調(diào)離崗位，必須經(jīng)單位人事部門(mén)嚴(yán)格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密要求；
c） 離崗的審計(jì)要求：在b）的基礎(chǔ)上，涉及組織機(jī)構(gòu)管理層和信息系統(tǒng)關(guān)鍵崗位的人員調(diào)離單位，必須進(jìn)行離崗安全審查，在規(guī)定的脫密期限后，方可調(diào)離；
d） 關(guān)鍵部位人員的離崗要求：在c）的基礎(chǔ)上，關(guān)鍵部位的信息系統(tǒng)安全管理人員離崗，應(yīng)按照機(jī)要人員管理辦法辦理。


5.2.3.5 人員考核與審查

對(duì)人員考核與審查的管理，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)：

a） 定期的人員考核：應(yīng)定期對(duì)各個(gè)崗位的人員進(jìn)行不同側(cè)重的安全認(rèn)知和安全技能的考核，作為人員是否適合當(dāng)前崗位的參考；
b） 定期的人員審查：在a）的基礎(chǔ)上，對(duì)關(guān)鍵崗位人員，應(yīng)定期進(jìn)行審查，如發(fā)現(xiàn)其違反安全規(guī)定，應(yīng)控制使用；
c） 管理有效性的審查：在b）的基礎(chǔ)上，對(duì)關(guān)鍵崗位人員的工作，應(yīng)通過(guò)例行考核進(jìn)行審查，保證安全管理的有效性；并保留審查結(jié)果；
d） 全面嚴(yán)格的審查：在c）的基礎(chǔ)上，對(duì)所有安全崗位人員的工作，應(yīng)通過(guò)全面考核進(jìn)行審查，如發(fā)現(xiàn)其違反安全規(guī)定，應(yīng)采取必要的應(yīng)對(duì)措施。


5.2.3.6 第三方人員管理

對(duì)第三方人員的管理，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)：

a） 基本管理要求：應(yīng)對(duì)硬件和軟件維護(hù)人員，咨詢?nèi)藛T，臨時(shí)性的短期職位人員，以及輔助人員和外部服務(wù)人員等第三方人員簽署包括不同安全責(zé)任的合同書(shū)或保密協(xié)議；規(guī)定各類(lèi)人員的活動(dòng)范圍，進(jìn)入計(jì)算機(jī)房需要得到批準(zhǔn)，并有專人負(fù)責(zé)；第三方人員必須進(jìn)行邏輯訪問(wèn)時(shí)，應(yīng)劃定范圍并經(jīng)過(guò)負(fù)責(zé)人批準(zhǔn)，必要時(shí)應(yīng)有人監(jiān)督或陪同；
b） 重要區(qū)域管理要求：在重要區(qū)域，第三方人員必須進(jìn)入或進(jìn)行邏輯訪問(wèn)（包括近程訪問(wèn)和遠(yuǎn)程訪問(wèn)等）均應(yīng)有書(shū)面申請(qǐng)、批準(zhǔn)和過(guò)程記錄，并有專人全程監(jiān)督或陪同；進(jìn)行邏輯訪問(wèn)應(yīng)使用專門(mén)設(shè)置的臨時(shí)用戶，并進(jìn)行審計(jì)；
c） 關(guān)鍵區(qū)域管理要求：在關(guān)鍵區(qū)域，一般不允許第三方人員進(jìn)入或進(jìn)行邏輯訪問(wèn)；如確有必要，除有書(shū)面申請(qǐng)外，可采取由機(jī)構(gòu)內(nèi)部人員帶為操作的方式，對(duì)結(jié)果進(jìn)行必要的過(guò)濾后再提供第三方人員，并進(jìn)行審計(jì)；必要時(shí)對(duì)上述過(guò)程進(jìn)行風(fēng)險(xiǎn)評(píng)估和記錄備案，并對(duì)相應(yīng)風(fēng)險(xiǎn)采取必要的安全補(bǔ)救措施。


5.2.4 教育和培訓(xùn)

5.2.4.1 信息安全教育

信息安全教育包括信息安全意識(shí)的培養(yǎng)教育和安全技術(shù)培訓(xùn)，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)：

a） 應(yīng)知應(yīng)會(huì)要求：應(yīng)讓信息系統(tǒng)相關(guān)員工知曉信息的敏感性和信息安全的重要性，認(rèn)識(shí)其自身的責(zé)任和安全違例會(huì)受到紀(jì)律懲罰，以及應(yīng)掌握的信息安全基本知識(shí)和技能等；
b） 有計(jì)劃培訓(xùn)：在a）的基礎(chǔ)上，應(yīng)制定并實(shí)施安全教育和培訓(xùn)計(jì)劃，培養(yǎng)信息系統(tǒng)各類(lèi)人員安全意識(shí)，并提供對(duì)安全政策和操作規(guī)程的認(rèn)知教育和訓(xùn)練等；
c） 針對(duì)不同崗位培訓(xùn)：在b）的基礎(chǔ)上，針對(duì)不同崗位，制定不同的專業(yè)培訓(xùn)計(jì)劃，包括安全知識(shí)、安全技術(shù)、安全標(biāo)準(zhǔn)、安全要求、法律責(zé)任和業(yè)務(wù)控制措施等；
d） 按人員資質(zhì)要求培訓(xùn)：在c）的基礎(chǔ)上，對(duì)所有工作人員的安全資質(zhì)進(jìn)行定期檢查和評(píng)估，使相應(yīng)的安全教育成為組織機(jī)構(gòu)工作計(jì)劃的一部分；
e） 培養(yǎng)安全意識(shí)自覺(jué)性：在d）的基礎(chǔ)上，對(duì)所有工作人員進(jìn)行相應(yīng)的安全資質(zhì)管理，并使安全意識(shí)成為所有工作人員的自覺(jué)存在。


5.2.4.2 信息安全專家

可邀請(qǐng)或聘用信息安全專家，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)：

a） 聽(tīng)取信息安全專家建議：聽(tīng)取信息安全專家對(duì)于組織機(jī)構(gòu)的信息系統(tǒng)安全方面的建議；組織專家參與安全威脅的評(píng)估，提供安全控制措施的建議，進(jìn)行信息安全有效性評(píng)判，對(duì)安全事件給予專業(yè)指導(dǎo)和原因調(diào)查等；
b） 對(duì)信息安全專家的管理：在a）的基礎(chǔ)上，對(duì)于邀請(qǐng)或聘用信息安全專家可以提供必要的組織機(jī)構(gòu)內(nèi)部信息，同時(shí)應(yīng)告知專家這些信息的敏感性和保密性，并應(yīng)采取必要的安全措施，保證提供的信息在安全可控的范圍內(nèi)。


5.3 風(fēng)險(xiǎn)管理

5.3.1 風(fēng)險(xiǎn)管理要求和策略

5.3.1.1 風(fēng)險(xiǎn)管理要求

風(fēng)險(xiǎn)管理作為等級(jí)保護(hù)的手段，在保證信息等級(jí)系統(tǒng)的最低保護(hù)能力的基礎(chǔ)上，可根據(jù)風(fēng)險(xiǎn)確定增加某些管理要求。對(duì)風(fēng)險(xiǎn)管理，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)：

a） 基本風(fēng)險(xiǎn)管理：組織機(jī)構(gòu)應(yīng)進(jìn)行基本的風(fēng)險(xiǎn)管理活動(dòng)，包括編制資產(chǎn)清單，對(duì)資產(chǎn)價(jià)值/重要性進(jìn)行分析，對(duì)信息系統(tǒng)面臨的威脅進(jìn)行初步分析，通過(guò)工具掃描的方式對(duì)信息系統(tǒng)的脆弱性進(jìn)行分析，以簡(jiǎn)易的方式分析安全風(fēng)險(xiǎn)、選擇安全措施；
b） 定期風(fēng)險(xiǎn)評(píng)估：在a）的基礎(chǔ)上，針對(duì)關(guān)鍵的系統(tǒng)資源進(jìn)行定期風(fēng)險(xiǎn)分析和評(píng)估；產(chǎn)生風(fēng)險(xiǎn)分析報(bào)告并向管理層提交；
c） 規(guī)范風(fēng)險(xiǎn)評(píng)估：在b）的基礎(chǔ)上，在風(fēng)險(xiǎn)管理中，使用規(guī)范方法和經(jīng)過(guò)必要的工作流程，進(jìn)行規(guī)范化的風(fēng)險(xiǎn)評(píng)估，產(chǎn)生風(fēng)險(xiǎn)分析報(bào)告和留存重要過(guò)程文檔，并向管理層提交；
d） 獨(dú)立審計(jì)的風(fēng)險(xiǎn)管理：在c）的基礎(chǔ)上，建立風(fēng)險(xiǎn)管理體系文件；針對(duì)風(fēng)險(xiǎn)管理過(guò)程，實(shí)施獨(dú)立審計(jì)，確保風(fēng)險(xiǎn)管理的有效性；
e） 全面風(fēng)險(xiǎn)管理：在d）的基礎(chǔ)上，使風(fēng)險(xiǎn)管理成為信息系統(tǒng)安全管理的有機(jī)組成部分，貫穿信息系統(tǒng)安全管理的全過(guò)程，并具有可驗(yàn)證性。


5.3.1.2 風(fēng)險(xiǎn)管理策略

對(duì)風(fēng)險(xiǎn)管理策略，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)：

a） 基本的風(fēng)險(xiǎn)管理策略：應(yīng)定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，安全風(fēng)險(xiǎn)分析和評(píng)估活動(dòng)程序應(yīng)至少包括信息安全風(fēng)險(xiǎn)管理和業(yè)務(wù)應(yīng)用風(fēng)險(xiǎn)管理密切相關(guān)的內(nèi)容，信息安全風(fēng)險(xiǎn)管理的基本觀念和方法，以及風(fēng)險(xiǎn)管理的組織和資源保證等；
b） 風(fēng)險(xiǎn)管理的監(jiān)督機(jī)制：在a）的基礎(chǔ)上，應(yīng)建立風(fēng)險(xiǎn)管理的監(jiān)督機(jī)制，對(duì)所有風(fēng)險(xiǎn)管理相關(guān)過(guò)程的活動(dòng)和影響進(jìn)行評(píng)估和監(jiān)控；應(yīng)建立指導(dǎo)風(fēng)險(xiǎn)管理監(jiān)督過(guò)程的指導(dǎo)性文檔；
c） 風(fēng)險(xiǎn)評(píng)估的重新啟動(dòng)：在b）的基礎(chǔ)上，應(yīng)明確規(guī)定重新啟動(dòng)風(fēng)險(xiǎn)評(píng)估的條件，機(jī)構(gòu)應(yīng)能針對(duì)風(fēng)險(xiǎn)的變化重新啟動(dòng)風(fēng)險(xiǎn)評(píng)估。


5.3.2 風(fēng)險(xiǎn)分析和評(píng)估

5.3.2.1 資產(chǎn)識(shí)別和分析

對(duì)資產(chǎn)識(shí)別和分析，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)：

a） 信息系統(tǒng)的資產(chǎn)統(tǒng)計(jì)和分類(lèi)：確定信息系統(tǒng)的資產(chǎn)范圍，進(jìn)行統(tǒng)計(jì)和編制資產(chǎn)清單（詳見(jiàn)5.4.2.1），并進(jìn)行資產(chǎn)分類(lèi)和重要性標(biāo)識(shí)；
b） 信息系統(tǒng)的體系特征描述：在a）的基礎(chǔ)上，根據(jù)對(duì)信息系統(tǒng)的硬件、軟件、系統(tǒng)接口、數(shù)據(jù)和信息、人員等方面的分析和識(shí)別，對(duì)信息系統(tǒng)的體系特征進(jìn)行描述，至少應(yīng)闡明信息系統(tǒng)的使命、邊界、功能，以及系統(tǒng)和數(shù)據(jù)的關(guān)鍵性、敏感性等內(nèi)容。


5.3.2.2 威脅識(shí)別和分析

對(duì)威脅的識(shí)別和分析，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)：

a） 威脅的基本分析：應(yīng)根據(jù)以往發(fā)生的安全事件、外部提供的資料和積累的經(jīng)驗(yàn)等，對(duì)威脅進(jìn)行粗略的分析；
b） 威脅列表：在a）的基礎(chǔ)上，結(jié)合業(yè)務(wù)應(yīng)用、系統(tǒng)結(jié)構(gòu)特點(diǎn)以及訪問(wèn)流程等因素，建立并維護(hù)威脅列表；由于不同業(yè)務(wù)系統(tǒng)面臨的威脅是不同的，應(yīng)針對(duì)每個(gè)或者每類(lèi)資產(chǎn)有一個(gè)威脅列表；
c） 威脅的詳細(xì)分析：在b）的基礎(chǔ)上，考慮威脅源在保密性、完整性或可用性等方面造成損害，對(duì)威脅的可能性和影響等屬性進(jìn)行分析，從而得到威脅的等級(jí)；威脅等級(jí)也可通過(guò)綜合威脅的可能性和強(qiáng)度的評(píng)價(jià)獲得；
d） 使用檢測(cè)工具捕捉攻擊：在c）的基礎(chǔ)上，對(duì)關(guān)鍵區(qū)域或部位進(jìn)行威脅分析和評(píng)估，在業(yè)務(wù)應(yīng)用許可并得到批準(zhǔn)的條件下，可使用檢測(cè)工具在特定時(shí)間捕捉攻擊信息進(jìn)行威脅分析。


5.3.2.3 脆弱性識(shí)別和分析

對(duì)脆弱性識(shí)別和分析，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)：

a） 脆弱性工具掃描：應(yīng)通過(guò)掃描器等工具來(lái)獲得對(duì)系統(tǒng)脆弱性的認(rèn)識(shí)，包括對(duì)網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備、安全設(shè)備的脆弱性掃描，并編制脆弱性列表，作為系統(tǒng)加固、改進(jìn)和安全項(xiàng)目建設(shè)的依據(jù)；可以針對(duì)資產(chǎn)組合、資產(chǎn)分類(lèi)編制脆弱性列表和脆弱性檢查表；
b） 脆弱性分析和滲透測(cè)試：在a）的基礎(chǔ)上，脆弱性的人工分析至少應(yīng)進(jìn)行網(wǎng)絡(luò)設(shè)備、安全設(shè)備以及主機(jī)系統(tǒng)配置檢查、用戶管理檢查、系統(tǒng)日志和審計(jì)檢查等；使用滲透測(cè)試應(yīng)根據(jù)需要分別從組織機(jī)構(gòu)的網(wǎng)絡(luò)內(nèi)部和網(wǎng)絡(luò)外部選擇不同的接入點(diǎn)進(jìn)行；應(yīng)了解測(cè)試可能帶來(lái)的后果，并做好充分準(zhǔn)備；針對(duì)不同的資產(chǎn)和資產(chǎn)組合，綜合應(yīng)用人工評(píng)估、工具掃描、滲透性測(cè)試等方法對(duì)系統(tǒng)的脆弱性進(jìn)行分析和評(píng)估；對(duì)不同的方法和工具所得出的評(píng)估結(jié)果，應(yīng)進(jìn)行綜合分析，從而得到脆弱性的等級(jí)；
c） 制度化脆弱性評(píng)估：在b）的基礎(chǔ)上，堅(jiān)持制度化脆弱性評(píng)估，應(yīng)明確規(guī)定進(jìn)行脆弱性評(píng)估的時(shí)間和系統(tǒng)范圍、人員和責(zé)任、評(píng)估結(jié)果的分析和報(bào)告程序，以及報(bào)告中包括新發(fā)現(xiàn)的漏洞、已修補(bǔ)的漏洞、漏洞趨勢(shì)分析等。


5.3.2.4 風(fēng)險(xiǎn)分析和評(píng)估要求

對(duì)風(fēng)險(xiǎn)分析和評(píng)估，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)：

a） 經(jīng)驗(yàn)的風(fēng)險(xiǎn)評(píng)估：應(yīng)由用戶和部分專家通過(guò)經(jīng)驗(yàn)來(lái)判斷風(fēng)險(xiǎn)，并對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估，形成風(fēng)險(xiǎn)評(píng)估報(bào)告，其中必須包括風(fēng)險(xiǎn)級(jí)別、風(fēng)險(xiǎn)點(diǎn)等內(nèi)容，并確定信息系統(tǒng)的安全風(fēng)險(xiǎn)狀況；
b） 全面的風(fēng)險(xiǎn)評(píng)估：在a）的基礎(chǔ)上，應(yīng)采用多層面、多角度的系統(tǒng)分析方法，由用戶和專家對(duì)資產(chǎn)、威脅和脆弱性等方面進(jìn)行定性綜合評(píng)估，建議處理和減緩風(fēng)險(xiǎn)的措施，形成風(fēng)險(xiǎn)評(píng)估報(bào)告；除風(fēng)險(xiǎn)狀況外，在風(fēng)險(xiǎn)評(píng)估的各項(xiàng)步驟中還應(yīng)生成信息系統(tǒng)體系特征報(bào)告、威脅評(píng)估報(bào)告、脆弱性評(píng)估報(bào)告和安全措施分析報(bào)告等；基于這些報(bào)告，評(píng)估者應(yīng)對(duì)安全措施提出建議；
c） 建立和維護(hù)風(fēng)險(xiǎn)信息庫(kù)：在b）的基礎(chǔ)上，應(yīng)將風(fēng)險(xiǎn)評(píng)估中的信息資產(chǎn)、威脅、脆弱性、防護(hù)措施等評(píng)估項(xiàng)信息綜合到一個(gè)數(shù)據(jù)庫(kù)中進(jìn)行管理；組織機(jī)構(gòu)應(yīng)當(dāng)在后續(xù)的項(xiàng)目和工具中持續(xù)地維護(hù)該數(shù)據(jù)庫(kù)。