6.3 第三級(jí)：安全標(biāo)記保護(hù)級(jí)

6.3.1 管理目標(biāo)和范圍

本級(jí)為安全標(biāo)記保護(hù)級(jí)，實(shí)施制度化管理，進(jìn)行監(jiān)督保護(hù)。適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成較大損害。在實(shí)現(xiàn)第二級(jí)管理目標(biāo)的基礎(chǔ)上，本級(jí)管理要求達(dá)到具有完好定義的安全管理措施，還應(yīng)建立等級(jí)保護(hù)產(chǎn)品采購(gòu)與使用等完善的管理制度；要求信息系統(tǒng)的用戶(hù)明確安全責(zé)任；要求能夠保護(hù)核心計(jì)算環(huán)境、網(wǎng)絡(luò)基礎(chǔ)設(shè)施與邊界；具有較嚴(yán)格的用戶(hù)權(quán)限與訪問(wèn)控制措施和防止信息竊取的措施，較好的保護(hù)重要信息及其處理方法的準(zhǔn)確性和完整性；具有較好的監(jiān)控措施（審記、異常檢測(cè)）和基本的響應(yīng)與恢復(fù)措施；明確規(guī)定系統(tǒng)日志的檢查、系統(tǒng)穿透性測(cè)試和對(duì)內(nèi)與對(duì)外的安全審計(jì)。通過(guò)管理活動(dòng)保證信息系統(tǒng)達(dá)到GB17859-1999的本級(jí)要求。（見(jiàn)5.1.1.1c））

6.3.2 政策和制度要求

在滿(mǎn)足第二級(jí)的管理要求的基礎(chǔ)上，本級(jí)要求如下：

a） 總體安全管理策略，應(yīng)包括建立體系化的信息安全管理策略，由信息安全領(lǐng)導(dǎo)小組組織制定，組織機(jī)構(gòu)負(fù)責(zé)人簽發(fā)，文檔應(yīng)注明發(fā)布范圍，并有收發(fā)文登記；（見(jiàn)5.1.1.2c），5.1.1.3c），5.1.1.4c））
b） 安全管理規(guī)章制度，應(yīng)包括體系化的安全管理制度，由信息安全職能部門(mén)負(fù)責(zé)制訂，由信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)人審批發(fā)布，應(yīng)注明發(fā)布范圍并有收發(fā)文登記；（見(jiàn)5.1.2.1c），5.1.2.2c））
c） 策略與制度文檔管理，應(yīng)由信息安全領(lǐng)導(dǎo)小組和信息安全職能部門(mén)負(fù)責(zé)文檔的評(píng)審和修訂；限定借閱范圍，并經(jīng)過(guò)相應(yīng)級(jí)別負(fù)責(zé)人審批和登記。（見(jiàn)5.1.3.1c），5.1.3.2c））


6.3.3 機(jī)構(gòu)和人員管理要求

在滿(mǎn)足第二級(jí)的管理要求的基礎(chǔ)上，本級(jí)要求如下：

a） 應(yīng)成立信息安全領(lǐng)導(dǎo)小組，領(lǐng)導(dǎo)全組織機(jī)構(gòu)的信息安全管理工作；（見(jiàn)5.2.1.1c），5.2.1.2a），5.2.1.3b））
b） 設(shè)立信息系統(tǒng)安全機(jī)制集中管理機(jī)構(gòu)，接受管理信息安全工作的職能部門(mén)領(lǐng)導(dǎo)，配備必要的領(lǐng)導(dǎo)和技術(shù)管理人員；負(fù)責(zé)信息系統(tǒng)安全的集中控制管理，行使防范與保護(hù)、監(jiān)控與檢查、響應(yīng)與處置職能，統(tǒng)一管理信息系統(tǒng)的安全，應(yīng)統(tǒng)一進(jìn)行信息系統(tǒng)安全機(jī)制的配置與管理；應(yīng)匯集各種安全機(jī)制所獲取的與系統(tǒng)安全運(yùn)行有關(guān)的信息；根據(jù)應(yīng)急處理預(yù)案作出快速處理；應(yīng)對(duì)安全事件和處理結(jié)果進(jìn)行管理；建立安全管理控制平臺(tái)，完善管理信息系統(tǒng)安全運(yùn)行的技術(shù)手段；負(fù)責(zé)接受和配合政府有關(guān)部門(mén)的信息安全監(jiān)管工作；（見(jiàn)5.2.2.1a），5.2.2.2a））
c） 人員管理，要求安全管理人員不可兼任；堅(jiān)持關(guān)鍵崗位人員“權(quán)限分散、不得交叉覆蓋”的原則；重要部位的人員錄用可從內(nèi)部符合條件人員選拔；涉密人員調(diào)離應(yīng)進(jìn)行離崗審計(jì)和經(jīng)過(guò)脫密；對(duì)關(guān)鍵崗位人員的工作進(jìn)行安全管理有效性檢查；在重要區(qū)域第三方人員訪問(wèn)應(yīng)有書(shū)面申請(qǐng)、批準(zhǔn)和過(guò)程記錄，有專(zhuān)人全程陪同，并進(jìn)行審計(jì)；（見(jiàn)5.2.3.1c），5.2.3.2c），5.2.3.3c），5.2.3.4c），5.2.3.5c），5.2.3.6b））
d） 教育和培訓(xùn)要求，針對(duì)不同崗位進(jìn)行安全策略和技術(shù)要求等不同培訓(xùn)；對(duì)不同崗位制定和實(shí)施安全培訓(xùn)計(jì)劃，并對(duì)安全培訓(xùn)計(jì)劃進(jìn)行維護(hù)和評(píng)估；對(duì)信息安全專(zhuān)家提供信息應(yīng)告知其敏感性和保密性，并采取必要的安全措施，保證提供的信息在安全可控的范圍內(nèi)。（見(jiàn)5.2.4.1c），5.2.4.2b））


6.3.4 風(fēng)險(xiǎn)管理要求

在滿(mǎn)足第二級(jí)的管理要求的基礎(chǔ)上，本級(jí)要求如下：

a） 風(fēng)險(xiǎn)管理要求和策略，應(yīng)采用規(guī)范方法進(jìn)行評(píng)估；應(yīng)建立風(fēng)險(xiǎn)管理的監(jiān)督機(jī)制和管理程序；（見(jiàn)5.3.1.1c），5.3.1.2b））
b） 風(fēng)險(xiǎn)分析和評(píng)估要求，通過(guò)對(duì)信息系統(tǒng)每類(lèi)資產(chǎn)的識(shí)別，對(duì)信息系統(tǒng)的體系特征進(jìn)行描述；根據(jù)威脅源在保密性、完整性或可用性等方面造成損害，對(duì)威脅威進(jìn)行詳細(xì)分析；應(yīng)對(duì)信息系統(tǒng)的脆弱性進(jìn)行制度化的測(cè)試和分析；在進(jìn)行全面的風(fēng)險(xiǎn)評(píng)價(jià)基礎(chǔ)上，建立和維護(hù)風(fēng)險(xiǎn)信息庫(kù)；（見(jiàn)5.3.2.1b），5.3.2.2c），5.3.2.3c），5.3.2.4c））
c） 風(fēng)險(xiǎn)處理和減緩要求，根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果決定信息安全的控制措施，通過(guò)綜合分析形成體系化的防護(hù)控制系統(tǒng)；（見(jiàn)5.3.3.1c））
d） 基于風(fēng)險(xiǎn)的決策要求，對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)實(shí)施二次評(píng)估，驗(yàn)證防護(hù)措施的有效性；由機(jī)構(gòu)高層管理決定風(fēng)險(xiǎn)的接受，應(yīng)采取相應(yīng)的風(fēng)險(xiǎn)規(guī)避措施，控制信息系統(tǒng)的運(yùn)行；（見(jiàn)5.3.4.1c），5.3.4.2b））
e） 風(fēng)險(xiǎn)評(píng)估的管理要求，涉及評(píng)估的資料只能存放指定計(jì)算機(jī)內(nèi)，不得帶出指定區(qū)域；進(jìn)行技術(shù)測(cè)試可由本機(jī)構(gòu)人員按技術(shù)方案進(jìn)行操作，評(píng)估機(jī)構(gòu)技術(shù)人員進(jìn)行場(chǎng)外指導(dǎo)。（見(jiàn)5.3.5.1b），5.3.5.2b），5.3.5.3c），5.3.5.4c））


6.3.5 環(huán)境和資源管理要求

在滿(mǎn)足第二級(jí)的管理要求的基礎(chǔ)上，本級(jí)要求如下：

a） 環(huán)境安全管理要求，對(duì)物理環(huán)境中不同安全保護(hù)等級(jí)的安全區(qū)域進(jìn)行標(biāo)記管理；對(duì)出入標(biāo)記安全區(qū)的員工驗(yàn)證標(biāo)記，對(duì)出入安全區(qū)的活動(dòng)進(jìn)行監(jiān)視和記錄；所有物理設(shè)施要設(shè)置安全標(biāo)記；設(shè)立門(mén)禁設(shè)施的監(jiān)控和記錄，應(yīng)有防止繞過(guò)門(mén)禁設(shè)施的控制措施；應(yīng)規(guī)定工作人員離開(kāi)座位的要求；信息系統(tǒng)的物理環(huán)境安全方面的設(shè)施應(yīng)達(dá)到GB/T 20271-2006中6.3.1的有關(guān)要求；（見(jiàn)5.4.1.1c），5.4.1.2c），5.4.1.3b））
b） 資源管理要求，業(yè)務(wù)應(yīng)用系統(tǒng)應(yīng)在資產(chǎn)清單中體現(xiàn)，包括每個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)的功能作用、業(yè)務(wù)流程和數(shù)據(jù)流程，以及其中資產(chǎn)擁有權(quán)、責(zé)任人、安全分類(lèi)以及資產(chǎn)所在的位置等；以業(yè)務(wù)應(yīng)用為主線(xiàn)描述信息資產(chǎn)體系框架；對(duì)重要介質(zhì)的數(shù)據(jù)和軟件應(yīng)進(jìn)行完整性檢查，必要時(shí)可以加密存儲(chǔ)；對(duì)各種資產(chǎn)進(jìn)行全面管理，提高資產(chǎn)安全性和使用效率；建立資產(chǎn)管理登記機(jī)制。（見(jiàn)5.4.2.1c），5.4.2.2c），5.4.2.3c），5.4.2.4c））


6.3.6 操作和維護(hù)管理要求

在滿(mǎn)足第二級(jí)的管理要求的基礎(chǔ)上，本級(jí)要求如下：

a） 用戶(hù)管理要求，應(yīng)對(duì)重要業(yè)務(wù)用戶(hù)的列出清單，說(shuō)明權(quán)限，開(kāi)啟審計(jì)；在關(guān)鍵部位，對(duì)系統(tǒng)用戶(hù)任何操作必須兩人在場(chǎng)，并產(chǎn)生審計(jì)記錄；規(guī)定普通的重要業(yè)務(wù)應(yīng)用的要求；在關(guān)鍵部位，一般不允許設(shè)置外部用戶(hù)和臨時(shí)用戶(hù)；（見(jiàn)5.5.1.1c），5.5.1.2c），5.5.1.3c），.5.1.4c），
5.5.1.5c））
b） 運(yùn)行操作管理要求包括，服務(wù)器管理主要包括對(duì)系統(tǒng)配置和服務(wù)設(shè)定應(yīng)根據(jù)安全管理機(jī)構(gòu)的統(tǒng)一安全策略結(jié)合應(yīng)用需求進(jìn)行并定期檢查；重要部位終端計(jì)算機(jī)和便攜機(jī)要求啟用兩個(gè)以上技術(shù)組合來(lái)進(jìn)行身份鑒別，對(duì)拆機(jī)箱和接入系統(tǒng)做出管理規(guī)定；網(wǎng)絡(luò)及安全設(shè)備應(yīng)通過(guò)安全機(jī)制集中管理統(tǒng)一控制；關(guān)鍵的業(yè)務(wù)應(yīng)用操作應(yīng)有2人同時(shí)在場(chǎng)或同時(shí)操作，并進(jìn)行審計(jì)；
對(duì)正式運(yùn)行的信息系統(tǒng)的任何變更必須考慮全面安全事務(wù)一致性問(wèn)題；對(duì)不同安全區(qū)域之間信息傳輸應(yīng)有明確的要求；（見(jiàn)5.5.2.1c），5.5.2.2b），5.5.2.3c），5.5.2.4c），5.5.2.5c），5.5.2.6c），
5.5.2.7c））
c） 運(yùn)行維護(hù)管理要求，應(yīng)使用規(guī)范的方法對(duì)信息系統(tǒng)的各個(gè)方面進(jìn)行風(fēng)險(xiǎn)控制；對(duì)運(yùn)行狀況監(jiān)控要求安全機(jī)制集中管理控制；重要區(qū)域的軟件硬件維護(hù)要求對(duì)數(shù)據(jù)和軟件系統(tǒng)進(jìn)行必要的保護(hù)，并對(duì)維修備案；針對(duì)外部服務(wù)方訪問(wèn)進(jìn)行風(fēng)險(xiǎn)分析和評(píng)估；（見(jiàn)5.5.3.1c），5.5.3.2c），5.5.3.3c），5.5.3.4c））
d） 外包服務(wù)管理要求，關(guān)鍵的或涉密的業(yè)務(wù)應(yīng)用一般不應(yīng)采用外包服務(wù)方式；（見(jiàn)5.5.4.2c））
e） 有關(guān)安全機(jī)制保障要求包括，身份鑒別機(jī)制管理應(yīng)明確身份鑒別及認(rèn)證系統(tǒng)的管理維護(hù)的內(nèi)容和范圍；訪問(wèn)控制策略管理應(yīng)根據(jù)需求確定訪問(wèn)控制的跟蹤審計(jì)；系統(tǒng)安全管理應(yīng)基于系統(tǒng)加固措施和審計(jì)監(jiān)控；網(wǎng)絡(luò)安全管理應(yīng)基于審計(jì)和標(biāo)記，以及網(wǎng)絡(luò)安全審計(jì)人員的配置；
應(yīng)用系統(tǒng)安全管理應(yīng)基于標(biāo)記信息訪問(wèn)控制，以及不同備份策略的制定；要求病毒防護(hù)采取集中實(shí)施和管理；應(yīng)對(duì)信息系統(tǒng)中以密碼為基礎(chǔ)的安全機(jī)制應(yīng)按國(guó)家密碼主管部門(mén)的規(guī)定管理；（見(jiàn)5.5.5.1c），5.5.5.2c），5.5.5.3c），5.5.5.4c），5.5.5.5c），5.5.5.6c），5.5.5.7b））
f） 安全機(jī)制集中管理，能夠?qū)W(wǎng)絡(luò)系統(tǒng)、安全設(shè)備、主機(jī)系統(tǒng)、重要應(yīng)用實(shí)施集中控管；建立一體化和開(kāi)放性平臺(tái)，將多家不同類(lèi)型的安全產(chǎn)品整合到一起，進(jìn)行統(tǒng)一的管理配置和監(jiān)控；能夠?qū)W(wǎng)絡(luò)系統(tǒng)、網(wǎng)絡(luò)安全設(shè)備以及主要應(yīng)用實(shí)施統(tǒng)一的安全策略、集中管理、集中審計(jì)；要求對(duì)安全機(jī)制整合，實(shí)現(xiàn)網(wǎng)絡(luò)異常流量監(jiān)控、安全事件監(jiān)控管理、脆弱性管理、安全策略管理、安全預(yù)警管理；主要工作方式包括自動(dòng)處理、人工干預(yù)處理、遠(yuǎn)程處理、輔助決策分析處理、記錄和事后處理等。（見(jiàn)5.5.6.1a），5.5.6.2a），5.5.6.3a），5.5.6.4a））

6.3.7 業(yè)務(wù)連續(xù)性管理要求

在滿(mǎn)足第二級(jí)的管理要求的基礎(chǔ)上，本級(jí)要求如下：

a） 備份與恢復(fù)要求，數(shù)據(jù)備份和恢復(fù)策略要求采用熱備份方式；應(yīng)指定專(zhuān)人定期維護(hù)和檢查系統(tǒng)冗余運(yùn)行狀況，并限定系統(tǒng)切換的時(shí)間；應(yīng)維護(hù)檢查熱備份使用設(shè)備和系統(tǒng)冗余運(yùn)行狀況，確保需要接入和切換時(shí)系統(tǒng)能夠正常運(yùn)行；（見(jiàn)5.6.1.1c），5.6.1.2b））
b） 安全事件處理要求，明確安全事件管理責(zé)任，制定安全事件管理程序；安全事件報(bào)告和處理要求安全管理職能部門(mén)負(fù)責(zé)接報(bào)安全事件報(bào)告，并及時(shí)進(jìn)行處理；（見(jiàn)5.6.2.1c），5.6.2.2c））
c） 應(yīng)急處理要求，應(yīng)急處理和災(zāi)難恢復(fù)要求信息安全領(lǐng)導(dǎo)小組應(yīng)有人負(fù)責(zé)或指定專(zhuān)人負(fù)責(zé)應(yīng)急計(jì)劃和實(shí)施恢復(fù)計(jì)劃管理工作；信息系統(tǒng)安全機(jī)制集中管理機(jī)構(gòu)應(yīng)協(xié)助應(yīng)急處理小組負(fù)責(zé)具體落實(shí)；應(yīng)急計(jì)劃的實(shí)施保障要求有足夠資源的保證。（見(jiàn)5.6.3.1c），5.6.3.2a），5.6.3.3c））


6.3.8 監(jiān)督和檢查管理要求

在滿(mǎn)足第二級(jí)的管理要求的基礎(chǔ)上，本級(jí)要求如下：

a） 符合法律要求，加密控制規(guī)則應(yīng)符合國(guó)家有關(guān)法規(guī)的要求；對(duì)關(guān)鍵業(yè)務(wù)應(yīng)用，必要時(shí)應(yīng)要求必須使用具有自主知識(shí)產(chǎn)權(quán)的軟件，以保護(hù)關(guān)鍵業(yè)務(wù)應(yīng)用的安全；（見(jiàn)5.7.1.1c），5.7.1.2c），5.7.1.3a））
b） 依從性檢查要求，應(yīng)形成制度化的檢查和改進(jìn)；安全策略依從性檢查要求對(duì)機(jī)構(gòu)內(nèi)的所有領(lǐng)域內(nèi)的各個(gè)崗位應(yīng)進(jìn)行定期檢查；技術(shù)依從性檢查應(yīng)由有經(jīng)驗(yàn)的系統(tǒng)工程師手工或使用軟件工具進(jìn)行；（見(jiàn)5.7.2.1b），5.7.2.2b），5.7.2.3b））
c） 審計(jì)及監(jiān)管要求，應(yīng)對(duì)系統(tǒng)的審計(jì)的活動(dòng)進(jìn)行規(guī)劃，系統(tǒng)審計(jì)過(guò)程控制應(yīng)要求審計(jì)的范圍應(yīng)經(jīng)過(guò)同意和得到控制；依照國(guó)家政策法規(guī)和技術(shù)及管理標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，信息安全監(jiān)管職能部門(mén)對(duì)其進(jìn)行監(jiān)督、檢查；（見(jiàn)5.7.3.1b），5.7.3.2c））
d） 責(zé)任認(rèn)定要求，應(yīng)對(duì)審計(jì)發(fā)現(xiàn)的問(wèn)題認(rèn)定領(lǐng)導(dǎo)責(zé)任，領(lǐng)導(dǎo)層應(yīng)提出問(wèn)題解決辦法和責(zé)任處理意見(jiàn)；對(duì)審計(jì)及監(jiān)管者應(yīng)對(duì)已審計(jì)過(guò)，但未能及時(shí)發(fā)現(xiàn)本應(yīng)審計(jì)出問(wèn)題而造成信息系統(tǒng)損失的承擔(dān)責(zé)任。（見(jiàn)5.7.4.1b），5.7.4.2b））


6.3.9 生存周期管理要求

在滿(mǎn)足第二級(jí)的管理要求的基礎(chǔ)上，本級(jí)要求如下：

a） 規(guī)劃和立項(xiàng)管理，信息系統(tǒng)的管理者應(yīng)在安全策略規(guī)劃的指導(dǎo)下，制定安全建設(shè)和安全改造的規(guī)劃，并應(yīng)得到組織機(jī)構(gòu)管理層的批準(zhǔn)；信息系統(tǒng)的管理者應(yīng)根據(jù)信息系統(tǒng)安全建設(shè)規(guī)劃的要求，提出當(dāng)前應(yīng)進(jìn)行安全建設(shè)和安全改造的具體需求；對(duì)于重要的項(xiàng)目，必須安全性評(píng)
價(jià)，在確認(rèn)項(xiàng)目安全性符合要求后經(jīng)過(guò)管理層的討論批準(zhǔn)，才能正式立項(xiàng)；（見(jiàn)5.8.1.1c），5.8.1.2c），5.8.1.3c））
b） 建設(shè)過(guò)程管理，要求將信息系統(tǒng)建設(shè)項(xiàng)目過(guò)程有效程序化；建立工程實(shí)施監(jiān)理管理制度；應(yīng)明確指定項(xiàng)目實(shí)施監(jiān)理負(fù)責(zé)人；對(duì)工程項(xiàng)目外包要求對(duì)應(yīng)廢止和暫停的項(xiàng)目，要確保相關(guān)的系統(tǒng)設(shè)計(jì)、文檔、代碼等的安全；對(duì)應(yīng)銷(xiāo)毀過(guò)程要進(jìn)行安全控制；還應(yīng)制定控制程序進(jìn)行保護(hù)；對(duì)自行開(kāi)發(fā)時(shí)應(yīng)當(dāng)嚴(yán)格控制對(duì)程序資源庫(kù)的訪問(wèn)；對(duì)建設(shè)項(xiàng)目測(cè)試驗(yàn)收要求，除測(cè)試外還要全面檢查；（見(jiàn)5.8.2.1c），5.8.2.2c），5.8.2.3c），5.8.2.4a），5.8.2.5c））
c） 系統(tǒng)啟用和終止管理，要求新的信息系統(tǒng)或子系統(tǒng)、信息系統(tǒng)設(shè)備啟用應(yīng)進(jìn)行試運(yùn)行，并經(jīng)過(guò)專(zhuān)項(xiàng)安全評(píng)估得到認(rèn)可，才能正式投入使用；現(xiàn)有信息系統(tǒng)或子系統(tǒng)、信息系統(tǒng)設(shè)備需要終止運(yùn)行，應(yīng)采取必要的安全措施，進(jìn)行數(shù)據(jù)和軟件備份，對(duì)終止運(yùn)行的設(shè)備進(jìn)行不可恢復(fù)的數(shù)據(jù)清除，如果存儲(chǔ)設(shè)備損壞則必須采取銷(xiāo)毀措施，并得到相應(yīng)領(lǐng)導(dǎo)和技術(shù)負(fù)責(zé)人認(rèn)可才能正式終止運(yùn)行。（見(jiàn)5.8.3.1c），5.8.3.2c））


6.4 第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)

6.4.1 管理目標(biāo)和范圍

本級(jí)為結(jié)構(gòu)化保護(hù)級(jí)，實(shí)施規(guī)范化管理，進(jìn)行強(qiáng)制保護(hù)。適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成嚴(yán)重?fù)p害。在實(shí)現(xiàn)第三級(jí)管理目標(biāo)的基礎(chǔ)上，本級(jí)管理要求達(dá)到具有量化控制的安全管理措施，建立完善的信息系統(tǒng)安全管理制度；對(duì)關(guān)鍵的控制措施要根據(jù)其風(fēng)險(xiǎn)制定嚴(yán)格測(cè)試計(jì)劃；對(duì)內(nèi)外明顯的風(fēng)險(xiǎn)變化應(yīng)立即組織風(fēng)險(xiǎn)評(píng)估；要求能夠保護(hù)核心的局域計(jì)算環(huán)境，具有可信的網(wǎng)絡(luò)基礎(chǔ)設(shè)施與邊界，具有嚴(yán)格的用戶(hù)權(quán)限與訪問(wèn)控制措施；具有防止各種手段的信息泄漏和竊取措施，保證信息及其處理方法的準(zhǔn)確性和完整性；保證被授權(quán)的用戶(hù)隨時(shí)可以訪問(wèn)信息，保證責(zé)任（抗抵賴(lài)性，對(duì)自己的行為負(fù)責(zé)），具有完善的監(jiān)控措施（強(qiáng)審記、異常檢測(cè)）和基本的響應(yīng)與恢復(fù)措施。通過(guò)定期的安全評(píng)估提示工作人員關(guān)注其相關(guān)安全責(zé)任；強(qiáng)制實(shí)施分權(quán)管理機(jī)制；提供可信設(shè)施管理；增強(qiáng)配置管理控制。保證系統(tǒng)具有強(qiáng)壯的抗?jié)B透能力。通過(guò)管理活動(dòng)保證信息系統(tǒng)達(dá)到GB17859-1999的本級(jí)要求。（見(jiàn)5.1.1.1d））

6.4.2 政策和制度要求

在滿(mǎn)足第三級(jí)的管理要求的基礎(chǔ)上，本級(jí)要求如下：

a） 總體安全管理策略，應(yīng)包括強(qiáng)制保護(hù)的信息安全管理策略，由信息安全領(lǐng)導(dǎo)小組組織并提出指導(dǎo)思想，由信息安全職能部門(mén)指派專(zhuān)人負(fù)責(zé)制定強(qiáng)制保護(hù)的信息系統(tǒng)安全管理策略，必要時(shí)可征求信息安全監(jiān)管職能部門(mén)的意見(jiàn)；安全管理策略文檔應(yīng)注明密級(jí)，并在監(jiān)管部門(mén)備案；
（見(jiàn)5.1.1.2d），5.1.1.3d），5.1.1.4d））
b） 安全管理規(guī)章制度，應(yīng)包括制定強(qiáng)制保護(hù)的信息安全管理制度，應(yīng)由信息安全職能部門(mén)指派專(zhuān)人負(fù)責(zé)制訂信息系統(tǒng)安全管理制度，應(yīng)注明密級(jí)并控制發(fā)布范圍；（見(jiàn)5.1.2.1d），5.1.2.2d））
c） 策略與制度文檔管理，應(yīng)由信息安全領(lǐng)導(dǎo)小組和信息安全職能部門(mén)的專(zhuān)門(mén)人員負(fù)責(zé)文檔的評(píng)審和修訂，必要時(shí)可征求信息安全監(jiān)管職能部門(mén)的意見(jiàn)；對(duì)涉密文檔的保管應(yīng)按照有關(guān)涉密文檔管理規(guī)定進(jìn)行。（見(jiàn)5.1.3.1d），5.1.3.2d））


6.4.3 機(jī)構(gòu)和人員管理要求

在滿(mǎn)足第三級(jí)的管理要求的基礎(chǔ)上，本級(jí)要求如下：

a） 安全管理機(jī)構(gòu)要求，組織機(jī)構(gòu)主要負(fù)責(zé)人應(yīng)出任信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)人；（見(jiàn)5.2.1.1d），5.2.1.2a），5.2.1.3b））
b） 信息系統(tǒng)安全機(jī)制集中管理機(jī)構(gòu)要求對(duì)關(guān)鍵區(qū)域的安全運(yùn)行進(jìn)行管理，控制知曉范圍，對(duì)獲取的有關(guān)信息進(jìn)行相應(yīng)安全等級(jí)的保護(hù)；（見(jiàn)5.2.2.1a），5.2.2.2b））
c） 人員管理要求，關(guān)鍵區(qū)域或部位的安全管理人員應(yīng)選用精干內(nèi)行忠實(shí)可靠的人員；關(guān)鍵崗位人員處理重要事務(wù)或操作時(shí)應(yīng)保持二人同時(shí)在場(chǎng)，關(guān)鍵事務(wù)應(yīng)多人共管；應(yīng)對(duì)所有安全崗位人員實(shí)施全面的背景審查和管理控制；一般不允許第三方人員進(jìn)入機(jī)房或進(jìn)行邏輯訪問(wèn)；（見(jiàn)
5.2.3.1d），5.2.3.2d），5.2.3.3d），5.2.3.4d），5.2.3.5d），5.2.3.6c））
d） 教育和培訓(xùn)要求，對(duì)所有員工的資質(zhì)進(jìn)行檢查和評(píng)估，使相應(yīng)的安全教育成為組織機(jī)構(gòu)工作計(jì)劃的一部分。（見(jiàn)5.2.4.1d），5.2.4.2b））