6.1.4 風(fēng)險(xiǎn)管理要求

本級要求如下：

a） 風(fēng)險(xiǎn)管理要求和策略，能夠進(jìn)行基本的風(fēng)險(xiǎn)管理，包括編制資產(chǎn)清單，重要性分析，威脅的初步分析，用工具掃描進(jìn)行脆弱性分析，能夠簡單分析安全風(fēng)險(xiǎn)和選擇安全措施；（見5.3.1.1a））
b） 風(fēng)險(xiǎn)分析和評估要求，應(yīng)對信息系統(tǒng)的資產(chǎn)進(jìn)行統(tǒng)計(jì)和分類，根據(jù)重要程度對資產(chǎn)進(jìn)行標(biāo)識；根據(jù)以往的安全事件和經(jīng)驗(yàn)對威脅進(jìn)行基本分析；通過掃描器等工具來獲得對系統(tǒng)脆弱性的認(rèn)識；分析和編制脆弱性列表；可以由用戶和專家通過經(jīng)驗(yàn)對風(fēng)險(xiǎn)進(jìn)行評價(jià)，形成評估報(bào)告；
（見5.3.2.1a），5.3.2.2a），5.3.2.3a），5.3.2.4a））
c） 風(fēng)險(xiǎn)控制要求，用基線選擇的方法決定安全控制措施；（見5.3.3.1a））
d） 基于風(fēng)險(xiǎn)的決策要求，應(yīng)形成殘余風(fēng)險(xiǎn)分析報(bào)告，并由組織機(jī)構(gòu)高層管理決定風(fēng)險(xiǎn)的接受；基于這一判斷決定是否允許信息系統(tǒng)運(yùn)行；（見5.3.4.1a），5.3.4.2a））
e） 風(fēng)險(xiǎn)評估的管理要求，根據(jù)資質(zhì)和信譽(yù)選擇評估機(jī)構(gòu)；要求評估機(jī)構(gòu)人員簽署保密協(xié)議；提交評估資料應(yīng)規(guī)定交接手續(xù)；進(jìn)行技術(shù)測試必須經(jīng)過授權(quán)。（見5.3.5.1a），5.3.5.2a），5.3.5.3a），5.3.5.4a））


6.1.5 環(huán)境和資源管理要求

本級要求如下：

a） 環(huán)境安全管理要求，組織機(jī)構(gòu)應(yīng)通過正式授權(quán)程序委派責(zé)任部門或?qū)Ｈ素?fù)責(zé)物理安全工作，需要建立有關(guān)規(guī)章制度，包括對機(jī)房安全管理規(guī)定基本要求；信息系統(tǒng)的物理環(huán)境安全方面的設(shè)施應(yīng)達(dá)到GB/T 20271-2006中6.1.1的有關(guān)要求；（見5.4.1.1a），5.4.1.2a））
b） 資源管理要求，組織機(jī)構(gòu)應(yīng)編制并維護(hù)與信息系統(tǒng)相關(guān)的資產(chǎn)清單；對資產(chǎn)進(jìn)行重要性標(biāo)識；規(guī)定存放重要數(shù)據(jù)和軟件的介質(zhì)管理的基本要求；對設(shè)備管理要求，各種軟硬件設(shè)備的選型、采購、發(fā)放或領(lǐng)用，使用者應(yīng)提出申請，報(bào)經(jīng)相應(yīng)領(lǐng)導(dǎo)審批，才可以實(shí)施；設(shè)備的選型、采
購、使用和保管應(yīng)有責(zé)任人。（見5.4.2.1a），5.4.2.2a），5.4.2.3a），5.4.2.4a））


6.1.6 操作和維護(hù)管理要求

本級要求如下：

a） 用戶管理包括對用戶分類管理，編制用戶分類清單，依據(jù)清單建立用戶和分配權(quán)限；要求系統(tǒng)用戶堅(jiān)持最小授權(quán)原則；規(guī)定普通用戶的基本要求；對組織機(jī)構(gòu)外部用戶要有合法使用的聲明；要求臨時(shí)用戶的設(shè)置與刪除必須經(jīng)過審批和記錄備案；（見5.5.1.1a），5.5.1.2a），5.5.1.3a），5.5.1.4a），5.5.1.5a））
b） 運(yùn)行操作管理包括，要求對服務(wù)器操作應(yīng)注意啟動(dòng)/停止、配置保護(hù)、口令方式的身份鑒別等基本管理；對終端計(jì)算機(jī)應(yīng)設(shè)置開機(jī)、屏幕保護(hù)等口令，軟件安裝等要求；制定便攜機(jī)操作的基本要求；對網(wǎng)絡(luò)及安全設(shè)備操作的管理員身份鑒別的要求；對業(yè)務(wù)應(yīng)用操作進(jìn)行訪問權(quán)限控制；要求在正式運(yùn)行系統(tǒng)中任何變更控制必須經(jīng)過申報(bào)和審批；信息發(fā)布必須符合國家有關(guān)政策法規(guī)的要求；（見5.5.2.1a），5.5.2.2a），5.5.2.3a），5.5.2.4a），5.5.2.5a），5.5.2.6a），5.5.2.7a））
c） 運(yùn)行維護(hù)管理包括，通過正式授權(quán)程序委派專人負(fù)責(zé)系統(tǒng)運(yùn)行及其安全；安全管理人員應(yīng)協(xié)同應(yīng)用部門對信息系統(tǒng)運(yùn)行進(jìn)行安全管理；對運(yùn)行狀況監(jiān)控應(yīng)進(jìn)行日志保護(hù)和查閱管理；軟件硬件維護(hù)要求明確維護(hù)人員及其責(zé)任，并規(guī)定維修時(shí)限；對外部服務(wù)方訪問必須經(jīng)過審批；（見5.5.3.1a），5.5.3.2a），5.5.3.3a），5.5.3.4a））
d） 對外包服務(wù)的管理應(yīng)包括外包服務(wù)的風(fēng)險(xiǎn)識別、相應(yīng)安全制度的制定與實(shí)施，并以此為依據(jù)簽署正式的書面合同；應(yīng)選擇有資質(zhì)且信譽(yù)好的外包服務(wù)商；對外包服務(wù)的業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行應(yīng)進(jìn)行監(jiān)控和檢查；（見5.5.4.1a），5.5.4.2a），5.5.4.3a））
e） 有關(guān)安全機(jī)制的保障包括，應(yīng)對系統(tǒng)管理員和普通用戶明確使用和保護(hù)身份鑒別機(jī)制的責(zé)任；
對訪問控制策略管理要求應(yīng)明確訪問控制策略的定義和授權(quán)管理；對操作系統(tǒng)指定安全管理的責(zé)任人，進(jìn)行正確的用戶管理配置；制定有關(guān)網(wǎng)絡(luò)系統(tǒng)安全管理和配置的規(guī)定；對應(yīng)用系統(tǒng)指定安全責(zé)任人，進(jìn)行正確的配置；應(yīng)指定人員檢查網(wǎng)絡(luò)和主機(jī)的病毒檢測并保存記錄。（見5.5.5.1a），5.5.5.2a），5.5.5.3a），5.5.5.4a），5.5.5.5a），5.5.5.6a））


6.1.7 業(yè)務(wù)連續(xù)性管理要求

本級要求如下：

a） 業(yè)務(wù)連續(xù)性管理包括，數(shù)據(jù)備份和恢復(fù)策略要求規(guī)定不同業(yè)務(wù)應(yīng)用的系統(tǒng)層面和應(yīng)用層面需要備份的內(nèi)容和周期；確定采用離線備份或在線備份方案；（見5.6.1.1a））
b） 安全事件處理要求，根據(jù)組織機(jī)構(gòu)自身的實(shí)際情況對安全事件劃分成不同的安全等級，為事件的報(bào)告和處理提供依據(jù)；應(yīng)規(guī)定正式的報(bào)告程序和事故響應(yīng)程序；要求所有員工知道報(bào)告安全事件程序和責(zé)任；事件處理后應(yīng)有適當(dāng)?shù)姆答伋绦?；（?.6.2.1a），5.6.2.2a））
c） 應(yīng)急處理要求，應(yīng)規(guī)定應(yīng)急處理和災(zāi)難恢復(fù)要求，對信息系統(tǒng)的應(yīng)急處理有明確的程序，制定具體的應(yīng)急處理措施；按照應(yīng)急計(jì)劃框架要求制定應(yīng)急處理計(jì)劃；為應(yīng)急計(jì)劃的實(shí)施保障要求明確應(yīng)急計(jì)劃的組織和實(shí)施人員及其責(zé)任；安全管理人員應(yīng)協(xié)助分管領(lǐng)導(dǎo)落實(shí)應(yīng)急處理措施。（見5.6.3.1a），5.6.3.2a），5.6.3.3a））


6.1.8 監(jiān)督和檢查管理要求

本級要求如下：

a） 應(yīng)知曉適用的法律并防止違法行為；建立關(guān)于尊重知識產(chǎn)權(quán)的策略，并形成書面文檔；保護(hù)證據(jù)記錄，要求保護(hù)機(jī)構(gòu)的重要記錄，明確需要保護(hù)的內(nèi)容范圍；（見5.7.1.1a），5.7.1.2a），5.7.1.3a））
b） 監(jiān)督控制要求，依照國家政策法規(guī)和技術(shù)及管理標(biāo)準(zhǔn)進(jìn)行自主保護(hù)。（見5.7.3.2a））


6.1.9 生存周期管理要求

本級要求如下：

a） 規(guī)劃和立項(xiàng)管理，信息系統(tǒng)的管理者應(yīng)建立信息系統(tǒng)建設(shè)和發(fā)展計(jì)劃；應(yīng)用部門或業(yè)務(wù)部門可以提出業(yè)務(wù)應(yīng)用的需求，必須經(jīng)過主管領(lǐng)導(dǎo)的審批或者經(jīng)過管理層的討論批準(zhǔn)，才能正式立項(xiàng)；（見5.8.1.1a），5.8.1.2a），5.8.1.3a））
b） 建設(shè)過程管理，要求信息系統(tǒng)建設(shè)項(xiàng)目明確指定項(xiàng)目負(fù)責(zé)人；信息系統(tǒng)工程項(xiàng)目外包，應(yīng)選擇具有服務(wù)資質(zhì)的信譽(yù)較好的廠商；對自行開發(fā)的應(yīng)明確要求開發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開；對安全產(chǎn)品使用要求應(yīng)按照相應(yīng)的安全保護(hù)等級的要求選擇相應(yīng)等級的產(chǎn)品；對建設(shè)項(xiàng)目測試驗(yàn)收要求進(jìn)行功能和性能測試，指定建設(shè)項(xiàng)目測試驗(yàn)收負(fù)責(zé)人；（見5.8.2.1a），5.8.2.2a），5.8.2.3a），5.8.2.4a），5.8.2.5a））
c） 系統(tǒng)啟用和終止管理，要求新的信息系統(tǒng)或子系統(tǒng)、信息系統(tǒng)設(shè)備啟用應(yīng)經(jīng)過相應(yīng)領(lǐng)導(dǎo)審批才能正式投入使用；現(xiàn)有信息系統(tǒng)或子系統(tǒng)、信息系統(tǒng)設(shè)備需要終止運(yùn)行，應(yīng)說明原因及采取的保護(hù)措施，經(jīng)過相應(yīng)領(lǐng)導(dǎo)審批才能正式終止運(yùn)行。（見5.8.3.1a），5.8.3.2a））


6.2 第二級：系統(tǒng)審計(jì)保護(hù)級

6.2.1 管理目標(biāo)和范圍

本級為系統(tǒng)審計(jì)保護(hù)級，實(shí)施操作規(guī)程管理，進(jìn)行指導(dǎo)保護(hù)。適用于一定程度上涉及國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息系統(tǒng)，其受到破壞后，會(huì)對國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成一定損害。在滿足第一級的管理要求的基礎(chǔ)上，本級管理要求達(dá)到具有基于操作規(guī)程的安全管理措施，還應(yīng)建立信息管理制度、信息安全產(chǎn)品采購與使用等必須的管理制度；具有基本的網(wǎng)絡(luò)基礎(chǔ)設(shè)施與邊界保護(hù)；具有更細(xì)粒度的自主訪問控制措施，能夠解決非授權(quán)的訪問；要求基本保護(hù)信息不被非法竊取，具有保護(hù)數(shù)據(jù)信息和系統(tǒng)的完整性不受破壞的措施；被授權(quán)的用戶隨時(shí)可以訪問信息并對自己的行為負(fù)責(zé)；具有初步的監(jiān)控措施和初步的響應(yīng)與恢復(fù)措施，并實(shí)施信息系統(tǒng)生存周期的全程管理。通過管理活動(dòng)保證信息系統(tǒng)達(dá)到GB17859-1999的本級要求。（見5.1.1.1b））

6.2.2 政策和制度要求

在滿足第一級的管理要求的基礎(chǔ)上，本級要求如下：

a） 總體安全管理策略，應(yīng)包括較完整的安全管理策略，由信息安全職能部門負(fù)責(zé)制定，安全管理策略文檔應(yīng)由組織機(jī)構(gòu)負(fù)責(zé)人簽發(fā)，按照有關(guān)文件管理程序發(fā)布；（見5.1.1.2b），5.1.1.3b），5.1.1.4b））
b） 安全管理規(guī)章制度，應(yīng)包括制定較完整的安全管理制度和操作規(guī)程，由信息安全職能部門負(fù)責(zé)制定，分管信息安全工作的負(fù)責(zé)人簽發(fā)，按有關(guān)文件管理程序發(fā)布；（見5.1.2.1b），5.1.2.2b））
c） 策略與制度文檔管理，對策略與制度文檔應(yīng)應(yīng)由分管信息安全的負(fù)責(zé)人和信息安全職能部門負(fù)責(zé)文檔的評審和修訂，需要借閱應(yīng)有相應(yīng)級別負(fù)責(zé)人審批和登記。（見5.1.3.1b），5.1.3.2b））


6.2.3 機(jī)構(gòu)和人員管理要求

在滿足第一級的管理要求的基礎(chǔ)上，本級要求如下：

a） 組織機(jī)構(gòu)應(yīng)建立管理信息安全工作的職能部門；負(fù)責(zé)起草信息系統(tǒng)的安全策略和發(fā)展規(guī)劃，管理安全日常事務(wù)，負(fù)責(zé)安全措施的實(shí)施或組織實(shí)施，組織并參加對安全重要事件的處理；監(jiān)控信息系統(tǒng)安全總體狀況，指導(dǎo)和檢查各部門和下級單位信息系統(tǒng)安全工作；（見5.2.1.1b），5.2.1.3a））
b） 人員管理要求，應(yīng)提出安全管理人員和其他關(guān)鍵崗位人員的兼職限制要求；對關(guān)鍵崗位人員采取定期輪崗；人員錄用時(shí)應(yīng)進(jìn)行必要的審查與考核；關(guān)鍵崗位人員調(diào)離崗位應(yīng)承諾保密義務(wù)；應(yīng)定期對關(guān)鍵崗位人員進(jìn)行審查；（見5.2.3.1b），5.2.3.2b），5.2.3.3b），5.2.3.4b），5.2.3.5b），5.2.3.6a））
c） 教育和培訓(xùn)要求，有計(jì)劃培養(yǎng)員工安全意識，以及對安全策略和操作規(guī)程的培訓(xùn)。（見5.2.4.1b），5.2.4.2a））


6.2.4 風(fēng)險(xiǎn)管理要求

在滿足第一級的管理要求的基礎(chǔ)上，本級要求如下：

a） 風(fēng)險(xiǎn)管理要求和策略，針對關(guān)鍵系統(tǒng)資源的定期風(fēng)險(xiǎn)分析和評估；制定基本的風(fēng)險(xiǎn)管理策略，給予必要的組織和資源保證；（見5.3.1.1b），5.3.1.2a））
b） 風(fēng)險(xiǎn)分析和評估要求，增加針對每個(gè)或者每類資產(chǎn)的威脅列表；應(yīng)對信息系統(tǒng)進(jìn)行脆弱性人工分析和滲透測試，對各種指標(biāo)進(jìn)行綜合分析，得到脆弱性的等級；進(jìn)行全面的風(fēng)險(xiǎn)評價(jià)，判斷風(fēng)險(xiǎn)的優(yōu)先級，建議處理風(fēng)險(xiǎn)的措施，最終形成風(fēng)險(xiǎn)評估報(bào)告和有關(guān)中間結(jié)果；（見5.3.2.1a），5.3.2.2b），5.3.2.3b），5.3.2.4b））
c） 風(fēng)險(xiǎn)處理和減緩要求，根據(jù)風(fēng)險(xiǎn)評估的結(jié)果決定信息安全的控制措施；（見5.3.3.1b））
d） 基于風(fēng)險(xiǎn)的決策要求，應(yīng)形成殘余風(fēng)險(xiǎn)分析報(bào)告，并密切注意殘余風(fēng)險(xiǎn)的變化，及時(shí)處理；由機(jī)構(gòu)高層管理決定風(fēng)險(xiǎn)的接受，應(yīng)采取相應(yīng)的風(fēng)險(xiǎn)規(guī)避措施，控制信息系統(tǒng)的運(yùn)行；（見5.3.4.1b），5.3.4.2b））
e） 風(fēng)險(xiǎn)評估的管理要求，應(yīng)在經(jīng)過本行業(yè)主管認(rèn)可或上級行政領(lǐng)導(dǎo)部門批準(zhǔn)的范圍內(nèi)選擇具有國家主管部門認(rèn)可的安全服務(wù)資質(zhì)的評估機(jī)構(gòu)；應(yīng)監(jiān)督檢查評估機(jī)構(gòu)的保密協(xié)議執(zhí)行情況；
提交評估資料必要時(shí)可以隱藏或替換敏感參數(shù)；進(jìn)行技術(shù)測試應(yīng)在監(jiān)督下按技術(shù)方案進(jìn)行。（見5.3.5.1b），5.3.5.2b），5.3.5.3b），5.3.5.4b））


6.2.5 環(huán)境和資源管理要求

在滿足第一級的管理要求的基礎(chǔ)上，本級要求如下：

a） 環(huán)境安全管理要求，應(yīng)對物理環(huán)境劃分不同等級安全區(qū)域進(jìn)行管理；規(guī)定對來訪人員的控制措施；規(guī)定辦公環(huán)境安全管理的基本要求；指定專人負(fù)責(zé)物理安全區(qū)和物理設(shè)施的日常安全管理，制定設(shè)施購置計(jì)劃、驗(yàn)收、運(yùn)行、維護(hù)、處置管理制度，監(jiān)督、檢查物理設(shè)施安全管理制度的落實(shí)。所有物理設(shè)施要分類編目，指定物理設(shè)施安全責(zé)任人；信息系統(tǒng)的物理環(huán)境安全方面的設(shè)施應(yīng)達(dá)到GB/T 20271-2006中6.2.1的有關(guān)要求；（見5.4.1.1b），5.4.1.2b），5.4.1.3a））
b） 資源管理要求，應(yīng)編制詳細(xì)的資產(chǎn)清單，包括資產(chǎn)擁有權(quán)、責(zé)任人、安全分類以及資產(chǎn)所在的位置等；根據(jù)信息資產(chǎn)分類方式對信息資產(chǎn)進(jìn)行分類管理；對數(shù)據(jù)和軟件介質(zhì)進(jìn)行標(biāo)識和分類存儲(chǔ)在由專人管理的介質(zhì)庫或檔案室中，要求重要介質(zhì)異地存儲(chǔ)；通過對資產(chǎn)清單的管理，記錄資產(chǎn)的狀況和使用、轉(zhuǎn)移、廢棄及其授權(quán)過程，保證設(shè)備的完好率。（見5.4.2.1b），5.4.2.2b），5.4.2.3b），5.4.2.4b））


6.2.6 操作和維護(hù)管理要求

在滿足第一級的管理要求的基礎(chǔ)上，本級要求如下：

a） 用戶管理要求，應(yīng)編制特權(quán)用戶清單，說明權(quán)限，并進(jìn)行審計(jì)；對系統(tǒng)用戶應(yīng)責(zé)任到人；對普通用戶應(yīng)規(guī)定處理敏感信息的要求；對外部特定外部用戶應(yīng)采用專用通信通道，端口，協(xié)議，專用設(shè)備等措施；對主要部位的臨時(shí)用戶應(yīng)進(jìn)行審計(jì)；（見5.5.1.1b），5.5.1.2b），5.5.1.3b），
5.5.1.4b），5.5.1.5b））
b） 運(yùn)行操作管理要求，對服務(wù)器應(yīng)注意日志文件管理和監(jiān)控系統(tǒng)性能；便攜機(jī)應(yīng)規(guī)定遠(yuǎn)程操作等限制要求；對網(wǎng)絡(luò)及安全設(shè)備應(yīng)進(jìn)行策略配置符合性的檢查；重要的業(yè)務(wù)應(yīng)用操作應(yīng)根據(jù)上級的指令要求執(zhí)行并進(jìn)行審計(jì)；對變更控制管理應(yīng)制度化，建立管理文檔；組織機(jī)構(gòu)之間進(jìn)行信息交換應(yīng)建立包括安全條件的協(xié)議；（見5.5.2.1b），5.5.2.2a），5.5.2.3b），5.5.2.4b），5.5.2.5b），5.5.2.6b），5.5.2.7b））
c） 運(yùn)行維護(hù)管理要求，應(yīng)實(shí)行系統(tǒng)運(yùn)行的制度化管理；對運(yùn)行狀況監(jiān)控要求監(jiān)視服務(wù)器系統(tǒng)性能；設(shè)備外出維修應(yīng)審批，磁盤數(shù)據(jù)必須刪除；外部維修人員進(jìn)入機(jī)房應(yīng)經(jīng)過審批并專人陪同；對外部服務(wù)方訪問進(jìn)行制度化管理；（見5.5.3.1b），5.5.3.2b），5.5.3.3b），5.5.3.4b））
d） 外包服務(wù)管理要求，應(yīng)在行業(yè)認(rèn)可或上級批準(zhǔn)的范圍內(nèi)選擇外包服務(wù)商；對外包服務(wù)的業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行應(yīng)定期評估，出現(xiàn)重大安全問題應(yīng)及時(shí)處理，直至停止外包服務(wù)；（見5.5.4.1a），5.5.4.2b），5.5.4.3b））
e） 有關(guān)安全機(jī)制的保障要求包括，應(yīng)對身份鑒別機(jī)制有強(qiáng)度要求，并指定安全管理人員定期進(jìn)行檢查；應(yīng)根據(jù)實(shí)際情況選擇合適的訪問控制管理模式，并保證最高管理層對訪問控制管理的掌握；系統(tǒng)安全管理要求包括操作系統(tǒng)配置、使用的審計(jì)等；網(wǎng)絡(luò)安全管理要求進(jìn)行針對網(wǎng)絡(luò)使用的審計(jì)監(jiān)控和評估；應(yīng)用系統(tǒng)安全要求基于安全操作規(guī)程的管理和信息的分類管理；
要求進(jìn)行制度化的病毒防護(hù)管理；密碼管理要求必須符合國家法律規(guī)定，對密碼算法和密鑰實(shí)施分等級管理。（見5.5.5.1b），5.5.5.2b），5.5.5.3b），5.5.5.4b），5.5.5.5b），5.5.5.6b），5.5.5.7a））


6.2.7 業(yè)務(wù)連續(xù)性管理要求

在滿足第一級的管理要求的基礎(chǔ)上，本級要求如下：

a） 備份與恢復(fù)要求，數(shù)據(jù)備份和恢復(fù)策略要求對備份介質(zhì)和恢復(fù)功能定期檢查；設(shè)備和系統(tǒng)冗余策略要求專人定期檢查備用設(shè)備，并限定系統(tǒng)恢復(fù)的時(shí)間；（見5.6.1.1b），5.6.1.2a））
b） 安全事件處理要求，具有完善的安全事件處置制度，安全事件報(bào)告和處理要求對安全弱點(diǎn)和可疑事件，以及還不能確定為事故或者入侵的可疑事件應(yīng)報(bào)告；（見5.6.2.1b），5.6.2.2b））
c） 應(yīng)急處理要求，應(yīng)急處理和災(zāi)難恢復(fù)要求進(jìn)行制度化管理并由應(yīng)急處理小組負(fù)責(zé)落實(shí)；進(jìn)行系統(tǒng)化管理用于開發(fā)和維護(hù)整個(gè)組織的應(yīng)急計(jì)劃體系；為保證應(yīng)急計(jì)劃的執(zhí)行應(yīng)對系統(tǒng)相關(guān)的人員進(jìn)行培訓(xùn)。（見5.6.3.1b），5.6.3.2a），5.6.3.3b））


6.2.8 監(jiān)督和檢查管理要求

在滿足第一級的管理要求的基礎(chǔ)上，本級要求如下：

a） 符合法律要求，機(jī)構(gòu)應(yīng)有措施防止對信息處理設(shè)備的濫用；對重要應(yīng)用系統(tǒng)軟件，應(yīng)防止發(fā)生因軟件升級或改造引起侵犯軟件版權(quán)的行為；（見5.7.1.1b），5.7.1.2b），5.7.1.3a））
b） 依從性檢查要求，應(yīng)定期對安全管理進(jìn)行檢查和評估，安全策略依從性要求檢查信息系統(tǒng)的管理者對安全策略的遵守情況；技術(shù)依從性要求定期檢查系統(tǒng)安全保障措施與安全實(shí)施標(biāo)準(zhǔn)的符合性；（見5.7.2.1a），5.7.2.2a），5.7.2.3a））
c） 審計(jì)及監(jiān)管要求，應(yīng)有獨(dú)立的審計(jì)機(jī)構(gòu)對組織機(jī)構(gòu)的安全管理職責(zé)體系、信息系統(tǒng)的安全風(fēng)險(xiǎn)控制等進(jìn)行審計(jì)；在信息安全監(jiān)管職能部門指導(dǎo)下依照國家政策法規(guī)和技術(shù)及管理標(biāo)準(zhǔn)進(jìn)行自主保護(hù)；（見5.7.3.1a），5.7.3.2b））
d） 責(zé)任認(rèn)定要求，應(yīng)對監(jiān)督和審查發(fā)現(xiàn)的問題限期解決，并認(rèn)定技術(shù)責(zé)任和管理責(zé)任以及責(zé)任當(dāng)事人，有關(guān)部門提出問題解決辦法和責(zé)任處理意見；對監(jiān)管者逾期未進(jìn)行解決，促使本應(yīng)避免問題造成信息系統(tǒng)損失的應(yīng)承擔(dān)相應(yīng)責(zé)任。（見5.7.4.1a），5.7.4.2a））


6.2.9 生存周期管理要求

在滿足第一級的管理要求的基礎(chǔ)上，本級要求如下：

a） 規(guī)劃和立項(xiàng)管理，信息系統(tǒng)的管理者應(yīng)建立安全策略規(guī)劃；安全管理職能部門應(yīng)、提出加強(qiáng)系統(tǒng)安全的具體需求，進(jìn)行可行性論證，經(jīng)過管理層的批準(zhǔn)后正式立項(xiàng)；（見5.8.1.1b），5.8.1.2b），5.8.1.3b））
b） 建設(shè)過程管理，要求信息系統(tǒng)建設(shè)項(xiàng)目應(yīng)制定詳細(xì)的項(xiàng)目實(shí)施計(jì)劃，作為項(xiàng)目管理的依據(jù)；對重要的信息系統(tǒng)工程項(xiàng)目外包，應(yīng)選擇經(jīng)實(shí)踐證明是安全可靠的廠商；系統(tǒng)開發(fā)文檔應(yīng)當(dāng)受到保護(hù)和控制；對項(xiàng)目測試驗(yàn)收要求，應(yīng)明確項(xiàng)目的安全系統(tǒng)需要進(jìn)行安全測試驗(yàn)收；（見
5.8.2.1b），5.8.2.2b），5.8.2.3b），5.8.2.4a），5.8.2.5b））
c） 系統(tǒng)啟用和終止管理，要求新的信息系統(tǒng)或子系統(tǒng)、信息系統(tǒng)設(shè)備啟用應(yīng)進(jìn)行一定的試運(yùn)行，并得到相應(yīng)領(lǐng)導(dǎo)和技術(shù)負(fù)責(zé)人認(rèn)可，才能正式投入使用；現(xiàn)有信息系統(tǒng)或子系統(tǒng)、信息系統(tǒng)設(shè)備需要終止運(yùn)行，應(yīng)進(jìn)行必要數(shù)據(jù)和軟件備份，對終止運(yùn)行的設(shè)備進(jìn)行數(shù)據(jù)清除，并得到
相應(yīng)領(lǐng)導(dǎo)和技術(shù)負(fù)責(zé)人認(rèn)可才能正式終止運(yùn)行。（見5.8.3.1b），5.8.3.2b））