5.5.6.3 安全機(jī)制整合要求

對(duì)安全機(jī)制整合的要求，主要包括：

a） 安全機(jī)制整合的一般功能：
——資產(chǎn)信息管理：實(shí)現(xiàn)對(duì)所管轄的設(shè)備和系統(tǒng)對(duì)象的管理，包括資產(chǎn)管理、拓?fù)涔芾砗唾Y源管理；將其所轄設(shè)備資產(chǎn)信息按其重要程度分類登記入庫，并為其他安全管理提供信息接口；提供資產(chǎn)信息的維護(hù)和查詢；
——網(wǎng)絡(luò)異常流量監(jiān)控：通過實(shí)時(shí)監(jiān)控重要網(wǎng)絡(luò)鏈路的流量狀況，能夠統(tǒng)計(jì)各個(gè)網(wǎng)絡(luò)/網(wǎng)段中的流量、網(wǎng)絡(luò)資源的占用情況等，出現(xiàn)異常事件可以多種方式實(shí)現(xiàn)自動(dòng)報(bào)警；能夠?qū)δ繕?biāo)網(wǎng)絡(luò)的流量監(jiān)測(cè)和歷史數(shù)據(jù)進(jìn)行和保存輔助分析；在發(fā)現(xiàn)網(wǎng)絡(luò)異常流量時(shí)進(jìn)行威脅來源和目標(biāo)的準(zhǔn)確定位；
——安全事件監(jiān)控管理：包括系統(tǒng)狀態(tài)監(jiān)控、日志收集、實(shí)時(shí)事件監(jiān)控、實(shí)時(shí)事件報(bào)警/響應(yīng)和事件的關(guān)聯(lián)分析與報(bào)告；通過監(jiān)控網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)等日志信息，以及安全產(chǎn)品的報(bào)警信息等，及時(shí)發(fā)現(xiàn)正在和已經(jīng)發(fā)生的安全事件；通過安全響應(yīng)機(jī)制采取措施，保證網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的安全可靠運(yùn)行；審計(jì)分析包括日志查詢和統(tǒng)計(jì)、關(guān)聯(lián)分析及報(bào)告生成；
——脆弱性管理：進(jìn)行補(bǔ)丁庫管理和補(bǔ)丁檢測(cè)與分發(fā)；實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備安全脆弱性信息的收集和管理，通過遠(yuǎn)程和本地脆弱性評(píng)估工具及時(shí)收集和分析網(wǎng)絡(luò)中各個(gè)系統(tǒng)的最新安全風(fēng)險(xiǎn)動(dòng)態(tài)；
——安全策略管理：包括全局策略管理和系統(tǒng)配置管理；安全策略管理對(duì)象應(yīng)涵蓋所管轄的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)和安全設(shè)施，提供安全管理人員登錄身份鑒別和訪問控制機(jī)制；實(shí)現(xiàn)基本網(wǎng)絡(luò)安全策略模板的制訂和分發(fā)；安全策略管理內(nèi)容應(yīng)包括賬號(hào)、認(rèn)證、訪問控制、審計(jì)、應(yīng)用與軟件升級(jí)、備份和恢復(fù)等策略；
——安全預(yù)警管理：根據(jù)收集的風(fēng)險(xiǎn)數(shù)據(jù)提供網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的趨勢(shì)分析報(bào)表，包括漏洞的分布范圍、受影響的系統(tǒng)情況、可能的嚴(yán)重程度等內(nèi)容；根據(jù)監(jiān)控的安全事件提供網(wǎng)絡(luò)中主要的攻擊對(duì)象分布、攻擊類型分布等分析；能夠根據(jù)預(yù)先定義數(shù)據(jù)格式、預(yù)警信息的級(jí)別和類型等策略，自動(dòng)生成預(yù)警信息，并以預(yù)定方式通知有關(guān)系統(tǒng)管理員；預(yù)警信息應(yīng)存檔，并可提供查詢。


5.5.6.4 安全機(jī)制整合的處理方式

對(duì)安全機(jī)制整合的處理方式，主要包括：

a） 安全機(jī)制整合的主要工作方式：
——自動(dòng)處理：將能夠預(yù)料的安全問題及其處理辦法（如系統(tǒng)弱點(diǎn)漏洞、惡意攻擊方式、病毒感染方式、網(wǎng)絡(luò)故障和違規(guī)操作、防火墻與入侵檢測(cè)設(shè)備聯(lián)動(dòng)等）存入安全知識(shí)庫并形成相應(yīng)的處理規(guī)則，當(dāng)事件出現(xiàn)時(shí)，系統(tǒng)將根據(jù)處理規(guī)則進(jìn)行自動(dòng)處理；
——人工干預(yù)處理：按事件級(jí)別進(jìn)行人工干預(yù)處理，主要包括技術(shù)咨詢、數(shù)據(jù)恢復(fù)、系統(tǒng)恢復(fù)、系統(tǒng)加固、現(xiàn)場(chǎng)問題處理、跟蹤攻擊源、處理報(bào)告提交等；
——遠(yuǎn)程處理：在觀察到安全事件發(fā)生時(shí)或收到下級(jí)轉(zhuǎn)交的要求協(xié)助解決的安全故障時(shí)，可以提供處理方案，也還可以通過遠(yuǎn)程操作直接對(duì)發(fā)生故障的系統(tǒng)進(jìn)行問題診斷和處理；
——輔助決策分析處理：根據(jù)預(yù)先收集、整理安全事件的資料，以及根據(jù)事件類型、出現(xiàn)事件的設(shè)備、事件發(fā)生的頻繁度、事件的危害程度等因素進(jìn)行分析的方法存入知識(shí)庫中；運(yùn)行時(shí)將調(diào)用知識(shí)庫對(duì)實(shí)時(shí)收到的系統(tǒng)安全事件進(jìn)行輔助分析，系統(tǒng)根據(jù)事件重要程度順序自動(dòng)顯示，供人工處置或系統(tǒng)自動(dòng)處理；
——記錄和事后處理：在信息系統(tǒng)運(yùn)行時(shí)收集并記錄所有的安全事件和報(bào)警信息，記錄的事件和信息將作為事后分析的依據(jù)。


5.6 業(yè)務(wù)連續(xù)性管理

5.6.1 備份與恢復(fù)

5.6.1.1 數(shù)據(jù)備份和恢復(fù)

對(duì)數(shù)據(jù)備份和恢復(fù)，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)：

a） 數(shù)據(jù)備份的內(nèi)容和周期要求：應(yīng)明確說明需定期備份重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件等內(nèi)容和備份周期；確定重要業(yè)務(wù)信息的保存期以及其它需要保存的歸檔拷貝的保存期；采用離線備份或在線備份方案，定期進(jìn)行數(shù)據(jù)增量備份；可使用手工或軟件產(chǎn)品進(jìn)行備份和恢復(fù)；對(duì)數(shù)據(jù)備份和恢復(fù)的管理應(yīng)保證GB/T 20271-2006中6.1.2.4所采用的安全技術(shù)能達(dá)到其應(yīng)有的安全性要求；
b） 備份介質(zhì)及其恢復(fù)的檢查要求：在a）的基礎(chǔ)上，應(yīng)進(jìn)行數(shù)據(jù)和局部系統(tǒng)備份；定期檢查備份介質(zhì)，保證在緊急情況時(shí)可以使用；應(yīng)定期檢查及測(cè)試恢復(fù)程序，確保在預(yù)定的時(shí)間內(nèi)正確恢復(fù)；應(yīng)根據(jù)數(shù)據(jù)的重要程度和更新頻率設(shè)定備份周期；應(yīng)指定專人負(fù)責(zé)數(shù)據(jù)備份和恢復(fù)，并同時(shí)保存幾個(gè)版本的備份；對(duì)數(shù)據(jù)備份和恢復(fù)的管理應(yīng)保證GB/T 20271-2006中6.2.2.5所采用的安全技術(shù)能達(dá)到其應(yīng)有的安全性要求；
c） 備份和恢復(fù)措施的強(qiáng)化管理：在b）的基礎(chǔ)上，必要時(shí)應(yīng)采用熱備份方式保存數(shù)據(jù)，同時(shí)定期進(jìn)行數(shù)據(jù)增量備份和應(yīng)用環(huán)境的離線全備份；應(yīng)分別指定專人負(fù)責(zé)不同方式的數(shù)據(jù)備份和恢復(fù)，并保存必要的操作記錄；對(duì)數(shù)據(jù)備份和恢復(fù)的管理應(yīng)保證GB/T 20271-2006中6.3.2.6所采用的安全技術(shù)能達(dá)到其應(yīng)有的安全性要求；
d） 關(guān)鍵備份和恢復(fù)的操作過程監(jiān)督，在c）的基礎(chǔ)上，根據(jù)數(shù)據(jù)實(shí)時(shí)性和其他安全要求，采用本地或遠(yuǎn)地備份方式，制定適當(dāng)?shù)膫浞莺突謴?fù)方式以及操作程序，必要時(shí)對(duì)備份后的數(shù)據(jù)采取加密或數(shù)據(jù)隱藏處理，操作時(shí)要求兩名工作人員在場(chǎng)并登記備案；對(duì)數(shù)據(jù)備份和恢復(fù)的管理應(yīng)保證GB/T 20271-2006中6.4.2.6所采用的安全技術(shù)能達(dá)到其應(yīng)有的安全性要求。


5.6.1.2 設(shè)備和系統(tǒng)的備份與冗余

對(duì)設(shè)備和系統(tǒng)的備份與冗余，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)：

a） 設(shè)備備份要求：應(yīng)實(shí)現(xiàn)設(shè)備備份與容錯(cuò)；指定專人定期維護(hù)和檢查備份設(shè)備的狀況，確保需要接入系統(tǒng)時(shí)能夠正常運(yùn)行；應(yīng)根據(jù)實(shí)際需求限定備份設(shè)備接入的時(shí)間；
b） 系統(tǒng)熱備份與冗余要求：在a）的基礎(chǔ)上，應(yīng)實(shí)現(xiàn)系統(tǒng)熱備份與冗余，并指定專人定期維護(hù)和檢查熱備份和冗余設(shè)備的運(yùn)行狀況，定期進(jìn)行切換試驗(yàn)，確保需要時(shí)能正常運(yùn)行；應(yīng)根據(jù)實(shí)際需求限定系統(tǒng)熱備份和冗余設(shè)備切換的時(shí)間；
c） 系統(tǒng)遠(yuǎn)地備份要求：在b）的基礎(chǔ)上，選擇遠(yuǎn)離市區(qū)的地方或其他城市，建立系統(tǒng)遠(yuǎn)地備份中心，確保主系統(tǒng)在遭到破壞中斷運(yùn)行時(shí)，遠(yuǎn)地系統(tǒng)能替代主系統(tǒng)運(yùn)行，保證信息系統(tǒng)所支持的業(yè)務(wù)系統(tǒng)能按照需要繼續(xù)運(yùn)行。


5.6.2 安全事件處理

5.6.2.1 安全事件劃分

對(duì)安全事件劃分，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)：

a） 安全事件內(nèi)容和劃分：安全事件是指信息系統(tǒng)五個(gè)層面所發(fā)生的危害性情況，包括事故、故障、病毒、黑客攻擊性活動(dòng)、犯罪活動(dòng)、信息戰(zhàn)等；通?？赡馨ǎǖ幌抻冢┎豢煽咕艿氖录?、設(shè)備故障事件、病毒爆發(fā)事件、外部網(wǎng)絡(luò)入侵事件、內(nèi)部信息安全事件、內(nèi)部誤用和誤操作等事件。安全事件的處置需要貫穿整個(gè)安全管理的全過程，應(yīng)依據(jù)安全事件對(duì)信息系統(tǒng)的破壞程度、所造成的社會(huì)影響及涉及的范圍，確定具體信息系統(tǒng)安全事件處置等級(jí)的劃分原則；
b） 安全事件處置制度：在a）的基礎(chǔ)上，建立信息安全事件分等級(jí)響應(yīng)、處置的制度；根據(jù)不同安全保護(hù)等級(jí)的信息系統(tǒng)中發(fā)生的各類事件制定相應(yīng)的處置預(yù)案，確定事件響應(yīng)和處置的范圍、程度及適用的管理制度等；信息安全事件發(fā)生后，按預(yù)案分等級(jí)進(jìn)行響應(yīng)和處置；在發(fā)現(xiàn)或懷疑系統(tǒng)或服務(wù)出現(xiàn)安全漏洞或受到威脅時(shí)，應(yīng)按照安全事件處置要求處理；
c） 安全事件管理程序：在b）的基礎(chǔ)上，應(yīng)明確安全事件管理責(zé)任，制定相關(guān)程序，應(yīng)考慮以下要求：
——制定處理預(yù)案：針對(duì)各種可能發(fā)生的安全事件制定相應(yīng)的處理預(yù)案；
——分析原因：注意分析和鑒定事件產(chǎn)生的原因，制定防止再次發(fā)生的補(bǔ)救措施；
——收集證據(jù)：收集審計(jì)記錄和類似證據(jù)，包括內(nèi)部問題分析，用作與可能違反合同或違反規(guī)章制度的證據(jù)；
——處理過程控制：嚴(yán)格控制恢復(fù)過程和人員，只有明確確定身份和獲得授權(quán)的人員才允許訪問正在使用的系統(tǒng)和數(shù)據(jù)，詳細(xì)記錄采取的所有緊急措施，及時(shí)報(bào)告有關(guān)部門，并進(jìn)行有序的審查，以最小的延誤代價(jià)確認(rèn)業(yè)務(wù)系統(tǒng)和控制的完整性；
——總結(jié)吸取教訓(xùn)：對(duì)發(fā)生的安全事件的類型、規(guī)模和損失進(jìn)行量化和監(jiān)控；用來分析重復(fù)發(fā)生的或影響很大的事故或故障，改進(jìn)控制措施降低事故發(fā)生的頻率和損失；
——責(zé)任劃分和追究：應(yīng)對(duì)安全事件的有關(guān)管理或執(zhí)行責(zé)任或者責(zé)任范圍進(jìn)行劃分和追究，使得沒有人在其責(zé)任范圍內(nèi)所犯的錯(cuò)誤能夠逃脫檢查。


5.6.2.2 安全事件報(bào)告和響應(yīng)

對(duì)安全事件報(bào)告和響應(yīng)，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)：

a） 安全事件報(bào)告和處理程序：信息安全事件實(shí)行分等級(jí)響應(yīng)、處置的制度；安全事件應(yīng)盡快通過適當(dāng)?shù)墓芾砬缊?bào)告，制定正式的報(bào)告程序和事故響應(yīng)程序；使所有員工知道報(bào)告安全事件程序和責(zé)任；信息安全事件發(fā)生后，根據(jù)其危害和發(fā)生的部位，迅速確定事件等級(jí)，并根據(jù)等級(jí)啟動(dòng)相應(yīng)的響應(yīng)和處置預(yù)案；事件處理后應(yīng)有相應(yīng)的反饋程序；
b） 安全隱患報(bào)告和防范措施：在a）的基礎(chǔ)上，增加對(duì)安全弱點(diǎn)和可疑事件進(jìn)行報(bào)告；告知員工未經(jīng)許可測(cè)試弱點(diǎn)屬于濫用系統(tǒng)；對(duì)于還不能確定為事故或者入侵的可疑事件應(yīng)報(bào)告；對(duì)于所有安全事件的報(bào)告應(yīng)記錄在案歸檔留存；
c） 強(qiáng)化安全事件處理的責(zé)任：在b）的基礎(chǔ)上，要求安全管理機(jī)構(gòu)或職能部門負(fù)責(zé)接報(bào)安全事件報(bào)告，并及時(shí)進(jìn)行處理，注意記錄事件處理過程；對(duì)于重要區(qū)域或業(yè)務(wù)應(yīng)用發(fā)生的安全事件，應(yīng)注意控制事件的影響；應(yīng)追究安全事件發(fā)生的技術(shù)原因和管理責(zé)任，寫出處理報(bào)告，并進(jìn)行必要的評(píng)估。


5.6.3 應(yīng)急處理

5.6.3.1 應(yīng)急處理和災(zāi)難恢復(fù)

應(yīng)急處理和災(zāi)難恢復(fù)，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)：

a） 應(yīng)急處理的基本要求：應(yīng)對(duì)信息系統(tǒng)的應(yīng)急處理有明確的要求，制定具體的應(yīng)急處理措施；安全管理人員應(yīng)協(xié)助分管領(lǐng)導(dǎo)落實(shí)應(yīng)急處理措施；
b） 應(yīng)急處理的制度化要求：在a）的基礎(chǔ)上，應(yīng)制定總體應(yīng)急計(jì)劃和災(zāi)難恢復(fù)計(jì)劃并由應(yīng)急處理小組負(fù)責(zé)落實(shí)；制定針對(duì)關(guān)鍵應(yīng)用系統(tǒng)和支持系統(tǒng)的應(yīng)急計(jì)劃和災(zāi)難恢復(fù)計(jì)劃并進(jìn)行測(cè)試；
對(duì)計(jì)劃涉及人員進(jìn)行培訓(xùn)，保證這些人員具有相應(yīng)執(zhí)行能力；與應(yīng)急需要外部有關(guān)單位應(yīng)簽訂合同；制定安全事件處理制度；制定系統(tǒng)信息和文檔備份制度等等；
c） 應(yīng)急處理的檢查要求：在b）的基礎(chǔ)上，信息安全領(lǐng)導(dǎo)小組應(yīng)有人負(fù)責(zé)或指定專人負(fù)責(zé)應(yīng)急計(jì)劃和實(shí)施恢復(fù)計(jì)劃管理工作；信息系統(tǒng)安全機(jī)制集中管理機(jī)構(gòu)應(yīng)協(xié)助應(yīng)急處理小組負(fù)責(zé)具體落實(shí)；檢查或驗(yàn)證應(yīng)急計(jì)劃和災(zāi)難恢復(fù)計(jì)劃，保證應(yīng)急計(jì)劃和災(zāi)難恢復(fù)計(jì)劃能夠有效執(zhí)行；
d） 應(yīng)急處理的強(qiáng)制保護(hù)要求：在c）的基礎(chǔ)上，針對(duì)應(yīng)急計(jì)劃和災(zāi)難恢復(fù)計(jì)劃實(shí)施進(jìn)行獨(dú)立審計(jì)；針對(duì)應(yīng)急計(jì)劃和災(zāi)難恢復(fù)計(jì)劃進(jìn)行定期評(píng)估，不斷改進(jìn)和完善；
e） 應(yīng)急處理的持續(xù)改進(jìn)要求：在d）的基礎(chǔ)上，制定包括全面管理細(xì)則的應(yīng)急計(jì)劃和災(zāi)難恢復(fù)計(jì)劃；基于應(yīng)急計(jì)劃和災(zāi)難恢復(fù)計(jì)劃和安全策略，進(jìn)行可驗(yàn)證的操作過程監(jiān)督。


5.6.3.2 應(yīng)急計(jì)劃

對(duì)應(yīng)急計(jì)劃，不同安全等級(jí)應(yīng)滿足以下要求：

a） 應(yīng)急計(jì)劃框架，包括以下內(nèi)容：
——制定應(yīng)急計(jì)劃策略，明確制定應(yīng)急計(jì)劃所需的職權(quán)和相應(yīng)的管理部門；
——進(jìn)行業(yè)務(wù)影響分析，識(shí)別關(guān)鍵信息系統(tǒng)和部件，確定優(yōu)先次序；
——確定防御性控制，減小系統(tǒng)中斷的影響，提高系統(tǒng)的可用性；注意采取措施，減少應(yīng)急計(jì)劃生存周期費(fèi)用；
——制定恢復(fù)策略，確保系統(tǒng)可以在中斷后快速和有效的恢復(fù)；
——制定信息系統(tǒng)應(yīng)急計(jì)劃，包括恢復(fù)受損系統(tǒng)所需的指導(dǎo)方針和規(guī)程；
——計(jì)劃測(cè)試、培訓(xùn)和演練，發(fā)現(xiàn)計(jì)劃的不足，培訓(xùn)技術(shù)人員；
——計(jì)劃維護(hù)，有規(guī)律地更新適應(yīng)系統(tǒng)發(fā)展；
——制定災(zāi)難備份計(jì)劃，以及啟動(dòng)方式。


5.6.3.3 應(yīng)急計(jì)劃的實(shí)施保障

對(duì)應(yīng)急計(jì)劃的實(shí)施保障，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)：

a） 應(yīng)急計(jì)劃的責(zé)任要求：應(yīng)對(duì)明確應(yīng)急計(jì)劃的組織和實(shí)施人員，使其知道在應(yīng)急計(jì)劃實(shí)施過程中各自的責(zé)任；
b） 應(yīng)急計(jì)劃的能力要求：在a）的基礎(chǔ)上，對(duì)系統(tǒng)相關(guān)的人員進(jìn)行培訓(xùn)，知道如何以及何時(shí)使用應(yīng)急計(jì)劃中的控制手段及恢復(fù)策略，保證執(zhí)行應(yīng)急計(jì)劃應(yīng)具有的能力；
c） 應(yīng)急計(jì)劃的系統(tǒng)化管理：在b）的基礎(chǔ)上，進(jìn)行系統(tǒng)化管理用于實(shí)施和維護(hù)整個(gè)組織的應(yīng)急計(jì)劃體系，并記錄計(jì)劃實(shí)施過程；確保應(yīng)急計(jì)劃的執(zhí)行有足夠資源的保證；
d） 應(yīng)急計(jì)劃的監(jiān)督措施：在c）的基礎(chǔ)上，從風(fēng)險(xiǎn)評(píng)估開始，考慮所有的運(yùn)行管理過程，識(shí)別可能引起業(yè)務(wù)過程中斷的事件，應(yīng)有業(yè)務(wù)資源和業(yè)務(wù)過程管理者的參與和監(jiān)督；
e） 應(yīng)急計(jì)劃的持續(xù)改進(jìn)：在d）的基礎(chǔ)上，應(yīng)針對(duì)計(jì)劃的正確性和完整性進(jìn)行定期檢查，在計(jì)劃發(fā)生重大變化時(shí)應(yīng)立即檢查；根據(jù)業(yè)務(wù)應(yīng)用的重要程度的不同，不斷對(duì)計(jì)劃內(nèi)容和規(guī)程進(jìn)行評(píng)估和完善。


5.7 監(jiān)督和檢查管理

5.7.1 符合法律要求

5.7.1.1 知曉適用的法律

對(duì)知曉適用的法律，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)：

a） 知曉適用的法律并防止違法行為：組織機(jī)構(gòu)應(yīng)認(rèn)識(shí)對(duì)于信息系統(tǒng)應(yīng)用范疇適用的所有法律法規(guī)；對(duì)信息系統(tǒng)的設(shè)計(jì)、操作、使用和管理，及信息管理方面應(yīng)規(guī)避法律法規(guī)禁區(qū)，防止出現(xiàn)違法行為；應(yīng)保護(hù)組織機(jī)構(gòu)的數(shù)據(jù)信息和個(gè)人信息隱私；對(duì)于詳細(xì)而準(zhǔn)確的法律要求應(yīng)從組織機(jī)構(gòu)的法律顧問，或者合格的法律從業(yè)人員處獲得幫助；
b） 防止對(duì)信息處理設(shè)備的濫用：在a）的基礎(chǔ)上，應(yīng)有措施防止對(duì)信息處理設(shè)備的濫用，以免危害機(jī)構(gòu)和社會(huì)的利益；
c） 遵照法規(guī)要求使用密碼技術(shù)：在b）的基礎(chǔ)上，信息系統(tǒng)中采用的加密技術(shù)應(yīng)使用國家主管部門批準(zhǔn)的算法，采用其他密碼技術(shù)也應(yīng)符合國家有關(guān)法規(guī)的要求。


5.7.1.2 知識(shí)產(chǎn)權(quán)管理

對(duì)知識(shí)產(chǎn)權(quán)的管理，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)：

a） 知識(shí)產(chǎn)權(quán)保護(hù)的基本要求：應(yīng)當(dāng)建立關(guān)于尊重知識(shí)產(chǎn)權(quán)的策略，并形成書面文檔，涉及軟件開發(fā)的工作人員和承包商應(yīng)做到符合和遵守相關(guān)的法律、法規(guī)，應(yīng)防止發(fā)生侵犯版權(quán)的行為；
b） 重要應(yīng)用系統(tǒng)軟件的保護(hù)：在a）的基礎(chǔ)上，在信息系統(tǒng)中，如果重要應(yīng)用系統(tǒng)軟件是外包開發(fā)的，應(yīng)注意明確軟件版權(quán)有關(guān)問題，應(yīng)防止發(fā)生因軟件升級(jí)或改造引起侵犯軟件版權(quán)的行為；
c） 關(guān)鍵業(yè)務(wù)應(yīng)用的軟件版權(quán)：在b）的基礎(chǔ)上，對(duì)關(guān)鍵業(yè)務(wù)應(yīng)用，必要時(shí)應(yīng)要求必須使用具有自主知識(shí)產(chǎn)權(quán)的軟件，以保護(hù)關(guān)鍵業(yè)務(wù)應(yīng)用的安全。


5.7.1.3 保護(hù)證據(jù)記錄

對(duì)保護(hù)證據(jù)記錄，不同安全等級(jí)應(yīng)滿足以下要求：

a） 保護(hù)機(jī)構(gòu)的重要記錄：應(yīng)明確規(guī)定組織機(jī)構(gòu)的重要記錄的內(nèi)容范圍，如財(cái)務(wù)記錄、數(shù)據(jù)庫記錄、審計(jì)日志等等；應(yīng)按照法律法規(guī)的要求保護(hù)組織機(jī)構(gòu)的重要記錄，防止丟失、毀壞和被篡改；被作為證據(jù)的記錄，信息的內(nèi)容和保留的時(shí)間應(yīng)遵守國家法律法規(guī)的規(guī)定。


5.7.2 依從性檢查
5.7.2.1 檢查和改進(jìn)

對(duì)檢查和改進(jìn)，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)：

a） 檢查和改進(jìn)的基本要求：要求組織機(jī)構(gòu)定期對(duì)安全管理活動(dòng)的各個(gè)方面進(jìn)行檢查和評(píng)估工作；對(duì)照組織機(jī)構(gòu)的安全策略和管理制度做到自管、自查、自評(píng)，并應(yīng)落實(shí)責(zé)任制；
b） 制度化的檢查和改進(jìn)：在a）的基礎(chǔ)上，建立檢查和改進(jìn)制度，定期檢查實(shí)施的所有安全程序是否遵從了組織機(jī)構(gòu)制定的安全方針和政策，檢查信息系統(tǒng)在技術(shù)方面是否依從了安全標(biāo)準(zhǔn)，根據(jù)檢查過程中發(fā)現(xiàn)的不足對(duì)安全管理體系進(jìn)行不斷改進(jìn)；做到接受國家監(jiān)管和自我管理相結(jié)合。


5.7.2.2 安全策略依從性檢查

對(duì)安全策略依從性檢查，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)：

a） 對(duì)系統(tǒng)管理員的檢查：應(yīng)定期檢查安全策略的遵守情況，重點(diǎn)檢查信息系統(tǒng)的網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等系統(tǒng)管理員，保證其在應(yīng)有責(zé)任范圍內(nèi)能夠正確地執(zhí)行所有安全程序，以及能夠正確遵從組織機(jī)構(gòu)制定的安全策略；
b） 全面和系統(tǒng)化的檢查：在a）的基礎(chǔ)上，對(duì)信息系統(tǒng)各個(gè)崗位應(yīng)進(jìn)行定期檢查操作規(guī)程和管理程序的執(zhí)行情況，確保遵從組織機(jī)構(gòu)的安全策略；檢查范圍應(yīng)包括信息系統(tǒng)本身，以及系統(tǒng)供應(yīng)商、信息和信息資產(chǎn)的所有者、用戶和管理層，保證其符合安全策略和標(biāo)準(zhǔn)；
c） 操作過程監(jiān)督和持續(xù)改進(jìn)：在b）的基礎(chǔ)上，檢查有關(guān)系統(tǒng)使用情況和操作等監(jiān)控過程；根據(jù)檢查結(jié)果，對(duì)信息系統(tǒng)安全管理體系和安全管理執(zhí)行過程存在的問題進(jìn)行不斷改進(jìn)。


5.7.2.3 技術(shù)依從性檢查

對(duì)技術(shù)依從性檢查，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)：

a） 技術(shù)依從性檢查的要求，按照信息系統(tǒng)應(yīng)達(dá)到相應(yīng)安全保護(hù)等級(jí)技術(shù)要求定期進(jìn)行檢查，根據(jù)檢查信息系統(tǒng)對(duì)安全實(shí)施標(biāo)準(zhǔn)的符合情況進(jìn)行初步評(píng)價(jià)并形成意見；
b） 技術(shù)依從性檢查的手段：在a）的基礎(chǔ)上，對(duì)硬件和軟件的檢驗(yàn)，以及技術(shù)依從檢查應(yīng)由有能力的、經(jīng)過授權(quán)的人員來進(jìn)行；對(duì)于技術(shù)測(cè)試應(yīng)由有經(jīng)驗(yàn)的系統(tǒng)工程師手工或使用軟件包進(jìn)行并生成檢測(cè)結(jié)果，經(jīng)技術(shù)專家解釋并產(chǎn)生技術(shù)報(bào)告；應(yīng)根據(jù)檢查結(jié)果，對(duì)存在的缺陷進(jìn)行不斷改進(jìn)；
c） 技術(shù)依從性檢查的控制：在b）的基礎(chǔ)上，對(duì)關(guān)鍵區(qū)域或涉密系統(tǒng)的技術(shù)依從性檢查應(yīng)嚴(yán)格控制，并注意對(duì)有關(guān)檢測(cè)過程和檢測(cè)結(jié)果的安全進(jìn)行保護(hù)。


5.7.3 審計(jì)及監(jiān)管控制

5.7.3.1 審計(jì)控制

對(duì)審計(jì)監(jiān)督控制，不同安全等級(jí)應(yīng)有選擇地滿足以下要求的一項(xiàng)：

a） 審計(jì)機(jī)構(gòu)及職能：應(yīng)有獨(dú)立的審計(jì)機(jī)構(gòu)或人員對(duì)組織機(jī)構(gòu)的安全管理體系、信息系統(tǒng)的安全風(fēng)險(xiǎn)控制、管理過程的有效性和正確性進(jìn)行審計(jì)；對(duì)審計(jì)過程進(jìn)行控制，應(yīng)制定審計(jì)的工作程序和規(guī)范化工作流程，將審計(jì)活動(dòng)周期化，同時(shí)加強(qiáng)安全事件發(fā)生后的審計(jì)；
b） 系統(tǒng)審計(jì)過程要求：在a）的基礎(chǔ)上，應(yīng)對(duì)系統(tǒng)的審計(jì)活動(dòng)進(jìn)行規(guī)劃，盡量減小中斷業(yè)務(wù)流程的風(fēng)險(xiǎn)；系統(tǒng)審計(jì)過程控制要求，審計(jì)的范圍必須經(jīng)過授權(quán)并得到控制，審計(jì)所需的資源應(yīng)明確定義并保證可用性，應(yīng)審計(jì)和記錄所有的訪問，對(duì)所有的流程、需求和責(zé)任都應(yīng)文檔化；
c） 系統(tǒng)審計(jì)工具保護(hù)要求：在b）的基礎(chǔ)上，應(yīng)對(duì)系統(tǒng)審計(jì)工具進(jìn)行保護(hù)，防止誤用造成危害；審計(jì)工具應(yīng)與開發(fā)系統(tǒng)和運(yùn)行系統(tǒng)分開管理；應(yīng)明確審計(jì)工具的適用范圍，使用過程應(yīng)經(jīng)過批準(zhǔn)，應(yīng)記錄審計(jì)工具的所有使用過程，應(yīng)明確審計(jì)工具的保存方式、責(zé)任人員等。