5.5.4.2 外包服務商

對外包服務商，不同安全等級應有選擇地滿足以下要求的一項：

a） 外包服務商的基本要求：應選擇具有相應服務資質并信譽好的外包服務商；
b） 在既定的范圍內選擇外包服務商：對較為重要的業(yè)務應用，應在行業(yè)認可或者是經過上級主管部門批準的范圍內，選擇具有相應服務資質并信譽好的可信的外包服務商；
c） 外包服務的限制要求：關鍵的或涉密的業(yè)務應用，一般不應采用外包服務方式。


5.5.4.3 外包服務的運行管理

外包服務的運行管理，不同安全等級應有選擇地滿足以下要求的一項：

a） 外包服務的監(jiān)控：對外包服務的業(yè)務應用系統(tǒng)運行的安全狀況應進行監(jiān)控和檢查，出現(xiàn)問題應遵照合同規(guī)定及時處理和報告；
b） 外包服務的評估：在a）的基礎上，對外包服務的業(yè)務應用系統(tǒng)運行的安全狀況應定期進行評估，當出現(xiàn)重大安全問題或隱患時應進行重新評估，提出改進意見，直至停止外包服務。


5.5.5 有關安全機制保障

5.5.5.1 身份鑒別機制管理要求

對身份鑒別機制的管理，不同安全等級應有選擇地滿足以下要求的一項：

a） 身份鑒別機制管理基本要求：對網絡、操作系統(tǒng)、數據庫系統(tǒng)等系統(tǒng)管理員和應用系統(tǒng)管理員以及普通用戶，應明確使用和保護身份鑒別機制的責任；應指定安全管理人員定期進行檢查，對身份鑒別機制的管理應保證GB/T 20271-2006中6.1.3.1所采用的安全技術能達到其應有的安全性要求；
b） 身份鑒別機制增強要求：在a）的基礎上，應采用不可偽造的鑒別信息進行身份鑒別；鑒別信息應進行相應的保護；對身份鑒別機制的管理應保證GB/T 20271-2006中6.2.3.1所采用的安全技術能達到其應有的安全性要求；
c） 身份鑒別和認證系統(tǒng)的管理維護：在b）的基礎上，應采用有關身份鑒別和認證系統(tǒng)的管理維護措施；對身份鑒別機制的管理應保證GB/T 20271-2006中6.3.3.1所采用的安全技術能達到其應有的安全性要求；
d） 身份鑒別和認證管理的強制保護：在c）的基礎上，應采用多鑒別機制進行身份鑒別，操作過程需要留有操作記錄和審批記錄，必要時應兩人以上在場才能進行；對身份鑒別機制的管理應保證GB/T 20271-2006中6.4.3.1所采用的安全技術能達到其應有的安全性要求；
e） 身份鑒別和認證管理的專項管理：在d）的基礎上，與相關業(yè)務部門共同制定專項管理措施；對身份鑒別機制的管理應保證GB/T 20271-2006中6.5.3.1所采用的安全技術能達到其應有的安全性要求。


5.5.5.2 訪問控制機制管理要求

對訪問控制機制的管理，不同安全等級應有選擇地滿足以下要求的一項：
a） 自主訪問控制機制的管理：應根據自主訪問控制機制的要求，由授權用戶為主、客體設置相應訪問的參數；
b） 自主訪問控制審計管理：在a）基礎上，應將自主訪問控制與審計密切結合，實現(xiàn)對自主訪問控制過程的審計，使訪問者必須為自己的行為負責；并保證最高管理層對自主訪問控制管理的掌握；
c） 強制訪問控制的管理：在b）基礎上，應將強制訪問控制與審計密切結合，實現(xiàn)對強制訪問控制過程的審計；應根據強制訪問控制機制的要求，由授權的安全管理人員通過專用方式為主、客體設置標記信息；可采用集中式、分布式和混合式等基本的訪問控制管理模式，對分布在信息系統(tǒng)的不同計算機系統(tǒng)上實施同一安全策略的訪問控制機制，設置一致的主、客體標記信息；應根據信息系統(tǒng)的安全需求，確定實施系統(tǒng)級、應用級、用戶級的審計跟蹤；
d） 訪問控制的監(jiān)控管理：在c）基礎上，對訪問控制進行監(jiān)控管理，對系統(tǒng)、用戶或環(huán)境進行持續(xù)性檢查；對實時性強的活動加強監(jiān)控，包括每日或每周對審計跟蹤（如有關非法登錄嘗試）的檢查；注意保護和檢查審計跟蹤數據，以及用于審計跟蹤分析的工具；
e） 訪問控制的專項控制：在d）基礎上，應具有嚴格的用戶授權與訪問控制措施；對訪問控制機制的設置進行專項審批，并由獨立的安全管理人員對網絡、系統(tǒng)和應用等方面的訪問控制機制進行獨立的有效性評估和檢查。


5.5.5.3 系統(tǒng)安全管理要求

對操作系統(tǒng)和數據庫管理系統(tǒng)的安全管理，不同安全等級應有選擇地滿足以下要求的一項：

a） 系統(tǒng)安全管理基本要求：應對不同安全級別的操作系統(tǒng)和數據庫管理系統(tǒng)按其安全技術和機制的不同要求實施相應的安全管理；應通過正式授權程序委派專人負責系統(tǒng)安全管理；建立系統(tǒng)安全配置、備份等安全管理規(guī)章制度；按規(guī)章制度的要求進行正確的系統(tǒng)安全配置、備份等操作，及時進行補丁升級；
b） 基于審計的系統(tǒng)安全管理：在a）的基礎上，應對系統(tǒng)進行日常安全管理，包括對用戶安全使用進行指導和審計等；應依據操作規(guī)程確定審計事件、審計內容、審計歸檔、審計報告；對授權用戶應采用相應身份鑒別機制（見5.5.5.1）進行鑒別，并遵照規(guī)定的登錄規(guī)程登錄系統(tǒng)和使用許可的資源；應對系統(tǒng)工具的使用進行授權管理和審計；應對系統(tǒng)的安全弱點和漏洞進行控制；應依據變更控制規(guī)程對系統(tǒng)的變更進行控制；應及時對系統(tǒng)資源和系統(tǒng)文檔進行安全備份；
c） 基于標記的系統(tǒng)安全管理：在b）的基礎上，應根據訪問控制安全策略的要求，全面考慮和統(tǒng)一設置、維護用戶及主、客體的標記信息；設置和維護標記信息的操作應由授權的系統(tǒng)安全員通過系統(tǒng)提供的安全員操作界面實施；對可能危及系統(tǒng)安全的系統(tǒng)工具進行嚴格的控制；
應制定嚴格的變更控制制度，保證變更不影響應用系統(tǒng)的可用性、安全性，保證變更過程的有效性、可審計性和可恢復性；應對操作系統(tǒng)資源和系統(tǒng)文檔進行標記、安全備份，并制定、實施應急安全計劃；
d） 基于強制的系統(tǒng)安全管理：在c）的基礎上，應按系統(tǒng)內置角色強制指定系統(tǒng)安全管理責任人；應保證系統(tǒng)管理過程的可審計性；應定期對操作系統(tǒng)安全性進行評估；
e） 基于?？氐南到y(tǒng)安全管理：在d）的基礎上，應保證系統(tǒng)的安全管理工作在多方在場并簽署責任書情況下進行；應使用經過驗證的系統(tǒng)軟件，確保使用者熟悉系統(tǒng)的操作流程，并對操作人員的操作過程實施監(jiān)視。


5.5.5.4 網絡安全管理要求

對網絡系統(tǒng)的安全管理，不同安全等級應有選擇地滿足以下要求的一項：

a） 網絡安全管理基本要求：應對不同安全級別的網絡按其安全技術和機制的不同要求實施相應的安全管理；應通過正式授權程序指定網絡安全管理人員；應制定有關網絡系統(tǒng)安全管理和配置的規(guī)定，保證安全管理人員按相應規(guī)定對網絡進行安全管理；
b） 基于規(guī)程的網絡安全管理：在a）的基礎上，應按有關規(guī)程對網絡安全進行定期評估，不斷完善網絡安全策略，建立、健全網絡安全管理規(guī)章制度，包括：
——制定使用網絡和網絡服務的策略。依據總體安全方針、策略制定允許提供的網絡服務、制定網絡訪問許可和授權管理制度、保證信息系統(tǒng)網絡連接和服務的安全技術正確實施；
——制定網絡安全教育和培訓計劃，保證信息系統(tǒng)的各類用戶熟知自己在網絡安全方面的安全責任和安全規(guī)程；
——建立網絡訪問授權制度，保證經過授權的用戶才能在指定終端，使用指定的安全措施，按設定的可審計路由訪問許可的網絡服務；
——對安全區(qū)域外部移動用戶的網絡訪問實施嚴格的審批制度，實施用戶安全認證和審計技術措施，保證網絡連接的可靠性、保密性，保證用戶對外部連接的安全性負責；
——定義與外部網絡連接的接口邊界，建立安全規(guī)范，定期對外部網絡連接接口的安全進行評估，對通過外部連接的可信信息系統(tǒng)之間的網絡信息提供加密服務，有關加密設備和算法的使用按國家有關規(guī)定執(zhí)行；
——對外進行公共服務的信息系統(tǒng)，應采取嚴格的安全措施實施訪問控制，保證外部用戶對服務的訪問得到控制和審計，并保證外部用戶對特定服務的訪問不危及內部信息系統(tǒng)的安全，對外傳輸的數據和信息要經過審查，防止內部人員通過內外網的邊界泄露敏感信息；
——對可能從內部網絡向外發(fā)起的連接資源（如Modem撥號接入Internet）實施嚴格控制，建立連接資源使用授權制度，建立檢查制度防止信息系統(tǒng)使用未經許可和授權的連接資源；
——不同安全保護等級的信息系統(tǒng)網絡之間的連接按訪問控制策略實施可審計的安全措施，如使用防火墻、安全路由器等，實現(xiàn)必要的網絡隔離；
——保證網絡安全措施的日常管理責任到人，并對網絡安全措施的使用進行審計；
——按網絡設施和網絡服務變更控制制度執(zhí)行網絡配置變更控制；
——建立網絡安全事件、事故報告處理流程，保證事件和事故處理過程的可審計性；
——對網絡連接、網絡安全措施、網絡設備及操作規(guī)程定期進行安全檢查和評估，提交正式的網絡安全報告；
——信息系統(tǒng)的關鍵網絡設備設施應有必要的備份；
c） 基于標記的網絡安全管理：在b）的基礎上，針對網絡安全措施的使用建立嚴格的審計、標記制度，保證安全措施配有具體責任人負責網絡安全措施的日常管理；指定網絡安全審計人員，負責安全事件的標記管理，網絡安全事件的審計；對審計活動進行控制，保證網絡設施或審計工具提供的審計記錄完整性和可用性；對可用性要求高的網絡指定專人進行不間斷的監(jiān)控，并能及時處理安全事故；
d） 基于強制監(jiān)督的網絡安全管理：在c）的基礎上，建立的獨立安全審計，對網絡服務、網絡安全策略、安全控制措施進行有效性檢查和監(jiān)督；保證網絡安全管理人員達到相應的資質；信息系統(tǒng)網絡之間的連接應使用可信路徑；
e） 基于?？氐木W絡安全管理：在d）的基礎上，要求至少有兩名以上的網絡安全管理人員實施網絡安全管理事務，并保證網絡安全管理本身的安全風險得到控制；信息系統(tǒng)網絡之間的連接嚴格控制在可信的物理環(huán)境范圍內。


5.5.5.5 應用系統(tǒng)安全管理要求

對應用系統(tǒng)安全管理，不同安全等級應有選擇地滿足以下要求的一項：

a） 應用系統(tǒng)安全管理基本要求：應對不同安全級別的應用系統(tǒng)按其安全技術和機制的不同要求實施相應的安全管理；應通過正式授權程序委派專人負責應用系統(tǒng)的安全管理，應明確管理范圍、管理事務、管理規(guī)程，以及應用系統(tǒng)軟件的安全配置、備份等安全工作；應結合業(yè)務需求制定相關規(guī)章制度，并嚴格按照規(guī)章制度的要求實施應用系統(tǒng)安全管理；
b） 基于操作規(guī)程的應用系統(tǒng)安全管理：在a）的基礎上，應制定并落實應用系統(tǒng)的安全操作規(guī)程，包括：
——指定信息安全管理人員，依據信息安全操作規(guī)程，負責信息的分類管理和發(fā)布；
——對任何可能超越系統(tǒng)或應用程序控制的實用程序和系統(tǒng)軟件都應得到正式的授權和許可，并對使用情況進行登記。保證對應用系統(tǒng)信息或軟件的訪問不影響其他信息系統(tǒng)共享信息的安全性；
——應用系統(tǒng)的內部用戶，包括支持人員，應按照規(guī)定的程序辦理授權許可，并根據信息的敏感程度簽署安全協(xié)議，保證應用系統(tǒng)數據的保密性、完整性和可用性；
——應指定專人負責應用系統(tǒng)的審計工作，保證審計日志的準確性、完整性和可用性；
——組織有關人員定期或不定期對應用系統(tǒng)的安全性進行審查，并根據應用系統(tǒng)的變更或風險變化提交正式的報告，提出安全建議；
——對應用系統(tǒng)關鍵崗位的工作人員實施資質管理，保證人員的可靠性和可用性；
——制定切實可用的應用系統(tǒng)及數據的備份計劃和應急計劃，并由專人負責落實和管理；
——制定應用軟件安全管理規(guī)章制度，包括應用軟件的開發(fā)和使用等管理；（見5.8）
c） 基于標記的應用系統(tǒng)安全管理：在b）的基礎上，應對應用軟件的使用采取授權、標記管理制度；未授權用戶不得安裝、調試、運行、卸載應用軟件，并對應用軟件的使用進行審計；
應定期或不定期對應用系統(tǒng)的安全性進行評估，并根據應用系統(tǒng)的變更或風險變化提交正式的評估報告，提出安全建議，修訂、完善有關安全管理制度和規(guī)程；應用系統(tǒng)的開發(fā)人員不得從事應用系統(tǒng)日常運行和安全審計工作；操作系統(tǒng)的管理人員不得參與應用系統(tǒng)的安全配置管理和應用管理；
d） 基于強制的應用系統(tǒng)安全管理：在c）的基礎上，要求建立獨立的應用安全審計，對應用系統(tǒng)的總體安全策略、應用系統(tǒng)安全措施的設計、部署、維護和運行管理進行檢查；審計人員僅實施審計工作，不參與系統(tǒng)的其它任務，確保授權用戶范圍內的使用，防止信息的泄漏；
e） 基于?？氐膽孟到y(tǒng)安全管理：在d）的基礎上，應對應用系統(tǒng)的安全狀態(tài)實施周期更短的審計、檢查和操作過程監(jiān)督，并保證對應用系統(tǒng)的安全措施能適應安全環(huán)境的變化；應與應用系統(tǒng)主管部門共同制定專項安全措施。


5.5.5.6 病毒防護管理要求

對病毒防護管理，不同安全等級應有選擇地滿足以下要求的一項：

a） 病毒防護管理基本要求：通過正式授權程序對病毒防護委派專人負責檢查網絡和主機的病毒檢測并保存記錄；使用外部移動存儲設備之前應進行病毒檢查；要求從不信任網絡上所接收的文件或郵件，在使用前應首先檢查是否有病毒；及時升級防病毒軟件；定期進行總結匯報病毒安全狀況；
b） 基于制度化的病毒防護管理，在a）的基礎上，制定并執(zhí)行病毒防護系統(tǒng)使用管理、應用軟件使用授權安全管理等有關制度；應檢查網絡內計算機病毒庫的升級情況并進行記錄；對非在線, 的內部計算機設備及其它移動存儲設備，以及外來或新增計算機做到入網前進行殺毒和補丁檢測；
c） 基于集中實施的病毒防護管理：在b）的基礎上，實行整體網絡統(tǒng)一策略、定期統(tǒng)一升級、統(tǒng)一控制，緊急情況下增加升級次數；對檢測或截獲的各種高風險病毒進行及時分析處理，提供相應的報表和總結匯報；采取對系統(tǒng)所有終端有效防范病毒或惡意代碼引入的措施；
d） 基于監(jiān)督檢查的病毒防護管理：在c）的基礎上，針對病毒防護管理制度執(zhí)行情況，以及病毒防護的安全情況，進行定期或不定期檢查。


5.5.5.7 密碼管理要求

對密碼管理，不同安全等級應有選擇地滿足以下要求的一項：

a） 密碼算法和密鑰管理：應按國家密碼主管部門的規(guī)定，對信息系統(tǒng)中使用的密碼算法和密鑰進行管理；應按國家有關法律法規(guī)要求，對信息系統(tǒng)中包含密碼的軟、硬件信息處理模塊的進、出口進行管理；應按國家密碼主管部門的規(guī)定，對密碼算法和密鑰實施分等級管理；
b） 以密碼為基礎的安全機制的管理：在a）的基礎上，應對信息系統(tǒng)中以密碼為基礎的安全機制實施分等級管理。


5.5.6 安全集中管理

5.5.6.1 安全機制集中控管

對安全機制集中控管，不同安全等級應有選擇地滿足以下要求的一項：

a） 安全機制集中控管基本要求：能夠對信息系統(tǒng)所涉及的計算機、網絡以及應用系統(tǒng)的安全機制實施統(tǒng)一管理、統(tǒng)一監(jiān)控、統(tǒng)一審計、協(xié)同防護，發(fā)揮安全機制的整體作用，提高安全防護的等級和水平，主要包括：
——建立一體化和開放性平臺，將多家不同類型的安全產品整合到一起，進行統(tǒng)一的管理配置和監(jiān)控；能夠提供標準的接口，兼容所在信息系統(tǒng)的不同廠商產品的管理、訪問和連接問題，使第三方產品能夠整合到系統(tǒng)中；
——根據安全策略生成的安全規(guī)則，提供整個信息系統(tǒng)安全策略的統(tǒng)一管理和實施，具備對被管安全設施的配置/性能/故障等基本的管理功能，具備對安全資源(安全補丁/攻擊模式庫/安全策略等)管理能力，集中管理和審計能力；
——安全機制整合主要包括安全事件管理、風險管理以及安全策略管理；
b） 安全機制分層分級聯(lián)和控管：在a）的基礎上，根據網絡結構，按照分布式多層次的管理結構，進行分層分級聯(lián)合方式的集中安全管理。


5.5.6.2 安全信息集中管理

對安全信息的集中管理，不同安全等級應有選擇地滿足以下要求的一項：

a） 安全信息集中管理的基本要求：主要包括：
——將信息系統(tǒng)所涉及的計算機、網絡以及應用系統(tǒng)的安全信息實施統(tǒng)一管理、綜合分析，發(fā)揮安全信息的整體作用；
——具有集中分析、瀏覽和匯集存儲從各安全組件傳送來的經初步處理過的安全數據的功能，提供可視化報表和安全事件分析過程，以及安全事件的管理與輔助分析機制；
b） 對關鍵區(qū)域安全信息的集中管理：在a）的基礎上，通過對關鍵區(qū)域安全信息的集中管理，應能夠對關鍵區(qū)域的安全信息的處理，采用相應安全級別的訪問控制和保護措施；
c） 對核心區(qū)域安全信息的集中管理：在b）的基礎上，應根據核心區(qū)域安全信息的需要，通過對安全信息的集中管理，與有關主管部門共同制定專項的安全控制和保護措施。