5.5.6.3 安全機制整合要求

對安全機制整合的要求，主要包括：

a） 安全機制整合的一般功能：
——資產(chǎn)信息管理：實現(xiàn)對所管轄的設(shè)備和系統(tǒng)對象的管理，包括資產(chǎn)管理、拓?fù)涔芾砗唾Y源管理；將其所轄設(shè)備資產(chǎn)信息按其重要程度分類登記入庫，并為其他安全管理提供信息接口；提供資產(chǎn)信息的維護和查詢；
——網(wǎng)絡(luò)異常流量監(jiān)控：通過實時監(jiān)控重要網(wǎng)絡(luò)鏈路的流量狀況，能夠統(tǒng)計各個網(wǎng)絡(luò)/網(wǎng)段中的流量、網(wǎng)絡(luò)資源的占用情況等，出現(xiàn)異常事件可以多種方式實現(xiàn)自動報警；能夠?qū)δ繕?biāo)網(wǎng)絡(luò)的流量監(jiān)測和歷史數(shù)據(jù)進行和保存輔助分析；在發(fā)現(xiàn)網(wǎng)絡(luò)異常流量時進行威脅來源和目標(biāo)的準(zhǔn)確定位；
——安全事件監(jiān)控管理：包括系統(tǒng)狀態(tài)監(jiān)控、日志收集、實時事件監(jiān)控、實時事件報警/響應(yīng)和事件的關(guān)聯(lián)分析與報告；通過監(jiān)控網(wǎng)絡(luò)設(shè)備、主機系統(tǒng)等日志信息，以及安全產(chǎn)品的報警信息等，及時發(fā)現(xiàn)正在和已經(jīng)發(fā)生的安全事件；通過安全響應(yīng)機制采取措施，保證網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的安全可靠運行；審計分析包括日志查詢和統(tǒng)計、關(guān)聯(lián)分析及報告生成；
——脆弱性管理：進行補丁庫管理和補丁檢測與分發(fā)；實現(xiàn)對網(wǎng)絡(luò)中主機系統(tǒng)和網(wǎng)絡(luò)設(shè)備安全脆弱性信息的收集和管理，通過遠程和本地脆弱性評估工具及時收集和分析網(wǎng)絡(luò)中各個系統(tǒng)的最新安全風(fēng)險動態(tài)；
——安全策略管理：包括全局策略管理和系統(tǒng)配置管理；安全策略管理對象應(yīng)涵蓋所管轄的網(wǎng)絡(luò)設(shè)備、主機系統(tǒng)和安全設(shè)施，提供安全管理人員登錄身份鑒別和訪問控制機制；實現(xiàn)基本網(wǎng)絡(luò)安全策略模板的制訂和分發(fā)；安全策略管理內(nèi)容應(yīng)包括賬號、認(rèn)證、訪問控制、審計、應(yīng)用與軟件升級、備份和恢復(fù)等策略；
——安全預(yù)警管理：根據(jù)收集的風(fēng)險數(shù)據(jù)提供網(wǎng)絡(luò)安全風(fēng)險的趨勢分析報表，包括漏洞的分布范圍、受影響的系統(tǒng)情況、可能的嚴(yán)重程度等內(nèi)容；根據(jù)監(jiān)控的安全事件提供網(wǎng)絡(luò)中主要的攻擊對象分布、攻擊類型分布等分析；能夠根據(jù)預(yù)先定義數(shù)據(jù)格式、預(yù)警信息的級別和類型等策略，自動生成預(yù)警信息，并以預(yù)定方式通知有關(guān)系統(tǒng)管理員；預(yù)警信息應(yīng)存檔，并可提供查詢。


5.5.6.4 安全機制整合的處理方式

對安全機制整合的處理方式，主要包括：

a） 安全機制整合的主要工作方式：
——自動處理：將能夠預(yù)料的安全問題及其處理辦法（如系統(tǒng)弱點漏洞、惡意攻擊方式、病毒感染方式、網(wǎng)絡(luò)故障和違規(guī)操作、防火墻與入侵檢測設(shè)備聯(lián)動等）存入安全知識庫并形成相應(yīng)的處理規(guī)則，當(dāng)事件出現(xiàn)時，系統(tǒng)將根據(jù)處理規(guī)則進行自動處理；
——人工干預(yù)處理：按事件級別進行人工干預(yù)處理，主要包括技術(shù)咨詢、數(shù)據(jù)恢復(fù)、系統(tǒng)恢復(fù)、系統(tǒng)加固、現(xiàn)場問題處理、跟蹤攻擊源、處理報告提交等；
——遠程處理：在觀察到安全事件發(fā)生時或收到下級轉(zhuǎn)交的要求協(xié)助解決的安全故障時，可以提供處理方案，也還可以通過遠程操作直接對發(fā)生故障的系統(tǒng)進行問題診斷和處理；
——輔助決策分析處理：根據(jù)預(yù)先收集、整理安全事件的資料，以及根據(jù)事件類型、出現(xiàn)事件的設(shè)備、事件發(fā)生的頻繁度、事件的危害程度等因素進行分析的方法存入知識庫中；運行時將調(diào)用知識庫對實時收到的系統(tǒng)安全事件進行輔助分析，系統(tǒng)根據(jù)事件重要程度順序自動顯示，供人工處置或系統(tǒng)自動處理；
——記錄和事后處理：在信息系統(tǒng)運行時收集并記錄所有的安全事件和報警信息，記錄的事件和信息將作為事后分析的依據(jù)。


5.6 業(yè)務(wù)連續(xù)性管理

5.6.1 備份與恢復(fù)

5.6.1.1 數(shù)據(jù)備份和恢復(fù)

對數(shù)據(jù)備份和恢復(fù)，不同安全等級應(yīng)有選擇地滿足以下要求的一項：

a） 數(shù)據(jù)備份的內(nèi)容和周期要求：應(yīng)明確說明需定期備份重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件等內(nèi)容和備份周期；確定重要業(yè)務(wù)信息的保存期以及其它需要保存的歸檔拷貝的保存期；采用離線備份或在線備份方案，定期進行數(shù)據(jù)增量備份；可使用手工或軟件產(chǎn)品進行備份和恢復(fù)；對數(shù)據(jù)備份和恢復(fù)的管理應(yīng)保證GB/T 20271-2006中6.1.2.4所采用的安全技術(shù)能達到其應(yīng)有的安全性要求；
b） 備份介質(zhì)及其恢復(fù)的檢查要求：在a）的基礎(chǔ)上，應(yīng)進行數(shù)據(jù)和局部系統(tǒng)備份；定期檢查備份介質(zhì)，保證在緊急情況時可以使用；應(yīng)定期檢查及測試恢復(fù)程序，確保在預(yù)定的時間內(nèi)正確恢復(fù)；應(yīng)根據(jù)數(shù)據(jù)的重要程度和更新頻率設(shè)定備份周期；應(yīng)指定專人負(fù)責(zé)數(shù)據(jù)備份和恢復(fù)，并同時保存幾個版本的備份；對數(shù)據(jù)備份和恢復(fù)的管理應(yīng)保證GB/T 20271-2006中6.2.2.5所采用的安全技術(shù)能達到其應(yīng)有的安全性要求；
c） 備份和恢復(fù)措施的強化管理：在b）的基礎(chǔ)上，必要時應(yīng)采用熱備份方式保存數(shù)據(jù)，同時定期進行數(shù)據(jù)增量備份和應(yīng)用環(huán)境的離線全備份；應(yīng)分別指定專人負(fù)責(zé)不同方式的數(shù)據(jù)備份和恢復(fù)，并保存必要的操作記錄；對數(shù)據(jù)備份和恢復(fù)的管理應(yīng)保證GB/T 20271-2006中6.3.2.6所采用的安全技術(shù)能達到其應(yīng)有的安全性要求；
d） 關(guān)鍵備份和恢復(fù)的操作過程監(jiān)督，在c）的基礎(chǔ)上，根據(jù)數(shù)據(jù)實時性和其他安全要求，采用本地或遠地備份方式，制定適當(dāng)?shù)膫浞莺突謴?fù)方式以及操作程序，必要時對備份后的數(shù)據(jù)采取加密或數(shù)據(jù)隱藏處理，操作時要求兩名工作人員在場并登記備案；對數(shù)據(jù)備份和恢復(fù)的管理應(yīng)保證GB/T 20271-2006中6.4.2.6所采用的安全技術(shù)能達到其應(yīng)有的安全性要求。


5.6.1.2 設(shè)備和系統(tǒng)的備份與冗余

對設(shè)備和系統(tǒng)的備份與冗余，不同安全等級應(yīng)有選擇地滿足以下要求的一項：

a） 設(shè)備備份要求：應(yīng)實現(xiàn)設(shè)備備份與容錯；指定專人定期維護和檢查備份設(shè)備的狀況，確保需要接入系統(tǒng)時能夠正常運行；應(yīng)根據(jù)實際需求限定備份設(shè)備接入的時間；
b） 系統(tǒng)熱備份與冗余要求：在a）的基礎(chǔ)上，應(yīng)實現(xiàn)系統(tǒng)熱備份與冗余，并指定專人定期維護和檢查熱備份和冗余設(shè)備的運行狀況，定期進行切換試驗，確保需要時能正常運行；應(yīng)根據(jù)實際需求限定系統(tǒng)熱備份和冗余設(shè)備切換的時間；
c） 系統(tǒng)遠地備份要求：在b）的基礎(chǔ)上，選擇遠離市區(qū)的地方或其他城市，建立系統(tǒng)遠地備份中心，確保主系統(tǒng)在遭到破壞中斷運行時，遠地系統(tǒng)能替代主系統(tǒng)運行，保證信息系統(tǒng)所支持的業(yè)務(wù)系統(tǒng)能按照需要繼續(xù)運行。


5.6.2 安全事件處理

5.6.2.1 安全事件劃分

對安全事件劃分，不同安全等級應(yīng)有選擇地滿足以下要求的一項：

a） 安全事件內(nèi)容和劃分：安全事件是指信息系統(tǒng)五個層面所發(fā)生的危害性情況，包括事故、故障、病毒、黑客攻擊性活動、犯罪活動、信息戰(zhàn)等；通?？赡馨ǎǖ幌抻冢┎豢煽咕艿氖录⒃O(shè)備故障事件、病毒爆發(fā)事件、外部網(wǎng)絡(luò)入侵事件、內(nèi)部信息安全事件、內(nèi)部誤用和誤操作等事件。安全事件的處置需要貫穿整個安全管理的全過程，應(yīng)依據(jù)安全事件對信息系統(tǒng)的破壞程度、所造成的社會影響及涉及的范圍，確定具體信息系統(tǒng)安全事件處置等級的劃分原則；
b） 安全事件處置制度：在a）的基礎(chǔ)上，建立信息安全事件分等級響應(yīng)、處置的制度；根據(jù)不同安全保護等級的信息系統(tǒng)中發(fā)生的各類事件制定相應(yīng)的處置預(yù)案，確定事件響應(yīng)和處置的范圍、程度及適用的管理制度等；信息安全事件發(fā)生后，按預(yù)案分等級進行響應(yīng)和處置；在發(fā)現(xiàn)或懷疑系統(tǒng)或服務(wù)出現(xiàn)安全漏洞或受到威脅時，應(yīng)按照安全事件處置要求處理；
c） 安全事件管理程序：在b）的基礎(chǔ)上，應(yīng)明確安全事件管理責(zé)任，制定相關(guān)程序，應(yīng)考慮以下要求：
——制定處理預(yù)案：針對各種可能發(fā)生的安全事件制定相應(yīng)的處理預(yù)案；
——分析原因：注意分析和鑒定事件產(chǎn)生的原因，制定防止再次發(fā)生的補救措施；
——收集證據(jù)：收集審計記錄和類似證據(jù)，包括內(nèi)部問題分析，用作與可能違反合同或違反規(guī)章制度的證據(jù)；
——處理過程控制：嚴(yán)格控制恢復(fù)過程和人員，只有明確確定身份和獲得授權(quán)的人員才允許訪問正在使用的系統(tǒng)和數(shù)據(jù)，詳細(xì)記錄采取的所有緊急措施，及時報告有關(guān)部門，并進行有序的審查，以最小的延誤代價確認(rèn)業(yè)務(wù)系統(tǒng)和控制的完整性；
——總結(jié)吸取教訓(xùn)：對發(fā)生的安全事件的類型、規(guī)模和損失進行量化和監(jiān)控；用來分析重復(fù)發(fā)生的或影響很大的事故或故障，改進控制措施降低事故發(fā)生的頻率和損失；
——責(zé)任劃分和追究：應(yīng)對安全事件的有關(guān)管理或執(zhí)行責(zé)任或者責(zé)任范圍進行劃分和追究，使得沒有人在其責(zé)任范圍內(nèi)所犯的錯誤能夠逃脫檢查。


5.6.2.2 安全事件報告和響應(yīng)

對安全事件報告和響應(yīng)，不同安全等級應(yīng)有選擇地滿足以下要求的一項：

a） 安全事件報告和處理程序：信息安全事件實行分等級響應(yīng)、處置的制度；安全事件應(yīng)盡快通過適當(dāng)?shù)墓芾砬缊蟾?，制定正式的報告程序和事故響?yīng)程序；使所有員工知道報告安全事件程序和責(zé)任；信息安全事件發(fā)生后，根據(jù)其危害和發(fā)生的部位，迅速確定事件等級，并根據(jù)等級啟動相應(yīng)的響應(yīng)和處置預(yù)案；事件處理后應(yīng)有相應(yīng)的反饋程序；
b） 安全隱患報告和防范措施：在a）的基礎(chǔ)上，增加對安全弱點和可疑事件進行報告；告知員工未經(jīng)許可測試弱點屬于濫用系統(tǒng)；對于還不能確定為事故或者入侵的可疑事件應(yīng)報告；對于所有安全事件的報告應(yīng)記錄在案歸檔留存；
c） 強化安全事件處理的責(zé)任：在b）的基礎(chǔ)上，要求安全管理機構(gòu)或職能部門負(fù)責(zé)接報安全事件報告，并及時進行處理，注意記錄事件處理過程；對于重要區(qū)域或業(yè)務(wù)應(yīng)用發(fā)生的安全事件，應(yīng)注意控制事件的影響；應(yīng)追究安全事件發(fā)生的技術(shù)原因和管理責(zé)任，寫出處理報告，并進行必要的評估。


5.6.3 應(yīng)急處理

5.6.3.1 應(yīng)急處理和災(zāi)難恢復(fù)

應(yīng)急處理和災(zāi)難恢復(fù)，不同安全等級應(yīng)有選擇地滿足以下要求的一項：

a） 應(yīng)急處理的基本要求：應(yīng)對信息系統(tǒng)的應(yīng)急處理有明確的要求，制定具體的應(yīng)急處理措施；安全管理人員應(yīng)協(xié)助分管領(lǐng)導(dǎo)落實應(yīng)急處理措施；
b） 應(yīng)急處理的制度化要求：在a）的基礎(chǔ)上，應(yīng)制定總體應(yīng)急計劃和災(zāi)難恢復(fù)計劃并由應(yīng)急處理小組負(fù)責(zé)落實；制定針對關(guān)鍵應(yīng)用系統(tǒng)和支持系統(tǒng)的應(yīng)急計劃和災(zāi)難恢復(fù)計劃并進行測試；
對計劃涉及人員進行培訓(xùn)，保證這些人員具有相應(yīng)執(zhí)行能力；與應(yīng)急需要外部有關(guān)單位應(yīng)簽訂合同；制定安全事件處理制度；制定系統(tǒng)信息和文檔備份制度等等；
c） 應(yīng)急處理的檢查要求：在b）的基礎(chǔ)上，信息安全領(lǐng)導(dǎo)小組應(yīng)有人負(fù)責(zé)或指定專人負(fù)責(zé)應(yīng)急計劃和實施恢復(fù)計劃管理工作；信息系統(tǒng)安全機制集中管理機構(gòu)應(yīng)協(xié)助應(yīng)急處理小組負(fù)責(zé)具體落實；檢查或驗證應(yīng)急計劃和災(zāi)難恢復(fù)計劃，保證應(yīng)急計劃和災(zāi)難恢復(fù)計劃能夠有效執(zhí)行；
d） 應(yīng)急處理的強制保護要求：在c）的基礎(chǔ)上，針對應(yīng)急計劃和災(zāi)難恢復(fù)計劃實施進行獨立審計；針對應(yīng)急計劃和災(zāi)難恢復(fù)計劃進行定期評估，不斷改進和完善；
e） 應(yīng)急處理的持續(xù)改進要求：在d）的基礎(chǔ)上，制定包括全面管理細(xì)則的應(yīng)急計劃和災(zāi)難恢復(fù)計劃；基于應(yīng)急計劃和災(zāi)難恢復(fù)計劃和安全策略，進行可驗證的操作過程監(jiān)督。


5.6.3.2 應(yīng)急計劃

對應(yīng)急計劃，不同安全等級應(yīng)滿足以下要求：

a） 應(yīng)急計劃框架，包括以下內(nèi)容：
——制定應(yīng)急計劃策略，明確制定應(yīng)急計劃所需的職權(quán)和相應(yīng)的管理部門；
——進行業(yè)務(wù)影響分析，識別關(guān)鍵信息系統(tǒng)和部件，確定優(yōu)先次序；
——確定防御性控制，減小系統(tǒng)中斷的影響，提高系統(tǒng)的可用性；注意采取措施，減少應(yīng)急計劃生存周期費用；
——制定恢復(fù)策略，確保系統(tǒng)可以在中斷后快速和有效的恢復(fù)；
——制定信息系統(tǒng)應(yīng)急計劃，包括恢復(fù)受損系統(tǒng)所需的指導(dǎo)方針和規(guī)程；
——計劃測試、培訓(xùn)和演練，發(fā)現(xiàn)計劃的不足，培訓(xùn)技術(shù)人員；
——計劃維護，有規(guī)律地更新適應(yīng)系統(tǒng)發(fā)展；
——制定災(zāi)難備份計劃，以及啟動方式。


5.6.3.3 應(yīng)急計劃的實施保障

對應(yīng)急計劃的實施保障，不同安全等級應(yīng)有選擇地滿足以下要求的一項：

a） 應(yīng)急計劃的責(zé)任要求：應(yīng)對明確應(yīng)急計劃的組織和實施人員，使其知道在應(yīng)急計劃實施過程中各自的責(zé)任；
b） 應(yīng)急計劃的能力要求：在a）的基礎(chǔ)上，對系統(tǒng)相關(guān)的人員進行培訓(xùn)，知道如何以及何時使用應(yīng)急計劃中的控制手段及恢復(fù)策略，保證執(zhí)行應(yīng)急計劃應(yīng)具有的能力；
c） 應(yīng)急計劃的系統(tǒng)化管理：在b）的基礎(chǔ)上，進行系統(tǒng)化管理用于實施和維護整個組織的應(yīng)急計劃體系，并記錄計劃實施過程；確保應(yīng)急計劃的執(zhí)行有足夠資源的保證；
d） 應(yīng)急計劃的監(jiān)督措施：在c）的基礎(chǔ)上，從風(fēng)險評估開始，考慮所有的運行管理過程，識別可能引起業(yè)務(wù)過程中斷的事件，應(yīng)有業(yè)務(wù)資源和業(yè)務(wù)過程管理者的參與和監(jiān)督；
e） 應(yīng)急計劃的持續(xù)改進：在d）的基礎(chǔ)上，應(yīng)針對計劃的正確性和完整性進行定期檢查，在計劃發(fā)生重大變化時應(yīng)立即檢查；根據(jù)業(yè)務(wù)應(yīng)用的重要程度的不同，不斷對計劃內(nèi)容和規(guī)程進行評估和完善。


5.7 監(jiān)督和檢查管理

5.7.1 符合法律要求

5.7.1.1 知曉適用的法律

對知曉適用的法律，不同安全等級應(yīng)有選擇地滿足以下要求的一項：

a） 知曉適用的法律并防止違法行為：組織機構(gòu)應(yīng)認(rèn)識對于信息系統(tǒng)應(yīng)用范疇適用的所有法律法規(guī)；對信息系統(tǒng)的設(shè)計、操作、使用和管理，及信息管理方面應(yīng)規(guī)避法律法規(guī)禁區(qū)，防止出現(xiàn)違法行為；應(yīng)保護組織機構(gòu)的數(shù)據(jù)信息和個人信息隱私；對于詳細(xì)而準(zhǔn)確的法律要求應(yīng)從組織機構(gòu)的法律顧問，或者合格的法律從業(yè)人員處獲得幫助；
b） 防止對信息處理設(shè)備的濫用：在a）的基礎(chǔ)上，應(yīng)有措施防止對信息處理設(shè)備的濫用，以免危害機構(gòu)和社會的利益；
c） 遵照法規(guī)要求使用密碼技術(shù)：在b）的基礎(chǔ)上，信息系統(tǒng)中采用的加密技術(shù)應(yīng)使用國家主管部門批準(zhǔn)的算法，采用其他密碼技術(shù)也應(yīng)符合國家有關(guān)法規(guī)的要求。


5.7.1.2 知識產(chǎn)權(quán)管理

對知識產(chǎn)權(quán)的管理，不同安全等級應(yīng)有選擇地滿足以下要求的一項：

a） 知識產(chǎn)權(quán)保護的基本要求：應(yīng)當(dāng)建立關(guān)于尊重知識產(chǎn)權(quán)的策略，并形成書面文檔，涉及軟件開發(fā)的工作人員和承包商應(yīng)做到符合和遵守相關(guān)的法律、法規(guī)，應(yīng)防止發(fā)生侵犯版權(quán)的行為；
b） 重要應(yīng)用系統(tǒng)軟件的保護：在a）的基礎(chǔ)上，在信息系統(tǒng)中，如果重要應(yīng)用系統(tǒng)軟件是外包開發(fā)的，應(yīng)注意明確軟件版權(quán)有關(guān)問題，應(yīng)防止發(fā)生因軟件升級或改造引起侵犯軟件版權(quán)的行為；
c） 關(guān)鍵業(yè)務(wù)應(yīng)用的軟件版權(quán)：在b）的基礎(chǔ)上，對關(guān)鍵業(yè)務(wù)應(yīng)用，必要時應(yīng)要求必須使用具有自主知識產(chǎn)權(quán)的軟件，以保護關(guān)鍵業(yè)務(wù)應(yīng)用的安全。


5.7.1.3 保護證據(jù)記錄

對保護證據(jù)記錄，不同安全等級應(yīng)滿足以下要求：

a） 保護機構(gòu)的重要記錄：應(yīng)明確規(guī)定組織機構(gòu)的重要記錄的內(nèi)容范圍，如財務(wù)記錄、數(shù)據(jù)庫記錄、審計日志等等；應(yīng)按照法律法規(guī)的要求保護組織機構(gòu)的重要記錄，防止丟失、毀壞和被篡改；被作為證據(jù)的記錄，信息的內(nèi)容和保留的時間應(yīng)遵守國家法律法規(guī)的規(guī)定。


5.7.2 依從性檢查
5.7.2.1 檢查和改進

對檢查和改進，不同安全等級應(yīng)有選擇地滿足以下要求的一項：

a） 檢查和改進的基本要求：要求組織機構(gòu)定期對安全管理活動的各個方面進行檢查和評估工作；對照組織機構(gòu)的安全策略和管理制度做到自管、自查、自評，并應(yīng)落實責(zé)任制；
b） 制度化的檢查和改進：在a）的基礎(chǔ)上，建立檢查和改進制度，定期檢查實施的所有安全程序是否遵從了組織機構(gòu)制定的安全方針和政策，檢查信息系統(tǒng)在技術(shù)方面是否依從了安全標(biāo)準(zhǔn)，根據(jù)檢查過程中發(fā)現(xiàn)的不足對安全管理體系進行不斷改進；做到接受國家監(jiān)管和自我管理相結(jié)合。


5.7.2.2 安全策略依從性檢查

對安全策略依從性檢查，不同安全等級應(yīng)有選擇地滿足以下要求的一項：

a） 對系統(tǒng)管理員的檢查：應(yīng)定期檢查安全策略的遵守情況，重點檢查信息系統(tǒng)的網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等系統(tǒng)管理員，保證其在應(yīng)有責(zé)任范圍內(nèi)能夠正確地執(zhí)行所有安全程序，以及能夠正確遵從組織機構(gòu)制定的安全策略；
b） 全面和系統(tǒng)化的檢查：在a）的基礎(chǔ)上，對信息系統(tǒng)各個崗位應(yīng)進行定期檢查操作規(guī)程和管理程序的執(zhí)行情況，確保遵從組織機構(gòu)的安全策略；檢查范圍應(yīng)包括信息系統(tǒng)本身，以及系統(tǒng)供應(yīng)商、信息和信息資產(chǎn)的所有者、用戶和管理層，保證其符合安全策略和標(biāo)準(zhǔn)；
c） 操作過程監(jiān)督和持續(xù)改進：在b）的基礎(chǔ)上，檢查有關(guān)系統(tǒng)使用情況和操作等監(jiān)控過程；根據(jù)檢查結(jié)果，對信息系統(tǒng)安全管理體系和安全管理執(zhí)行過程存在的問題進行不斷改進。


5.7.2.3 技術(shù)依從性檢查

對技術(shù)依從性檢查，不同安全等級應(yīng)有選擇地滿足以下要求的一項：

a） 技術(shù)依從性檢查的要求，按照信息系統(tǒng)應(yīng)達到相應(yīng)安全保護等級技術(shù)要求定期進行檢查，根據(jù)檢查信息系統(tǒng)對安全實施標(biāo)準(zhǔn)的符合情況進行初步評價并形成意見；
b） 技術(shù)依從性檢查的手段：在a）的基礎(chǔ)上，對硬件和軟件的檢驗，以及技術(shù)依從檢查應(yīng)由有能力的、經(jīng)過授權(quán)的人員來進行；對于技術(shù)測試應(yīng)由有經(jīng)驗的系統(tǒng)工程師手工或使用軟件包進行并生成檢測結(jié)果，經(jīng)技術(shù)專家解釋并產(chǎn)生技術(shù)報告；應(yīng)根據(jù)檢查結(jié)果，對存在的缺陷進行不斷改進；
c） 技術(shù)依從性檢查的控制：在b）的基礎(chǔ)上，對關(guān)鍵區(qū)域或涉密系統(tǒng)的技術(shù)依從性檢查應(yīng)嚴(yán)格控制，并注意對有關(guān)檢測過程和檢測結(jié)果的安全進行保護。


5.7.3 審計及監(jiān)管控制

5.7.3.1 審計控制

對審計監(jiān)督控制，不同安全等級應(yīng)有選擇地滿足以下要求的一項：

a） 審計機構(gòu)及職能：應(yīng)有獨立的審計機構(gòu)或人員對組織機構(gòu)的安全管理體系、信息系統(tǒng)的安全風(fēng)險控制、管理過程的有效性和正確性進行審計；對審計過程進行控制，應(yīng)制定審計的工作程序和規(guī)范化工作流程，將審計活動周期化，同時加強安全事件發(fā)生后的審計；
b） 系統(tǒng)審計過程要求：在a）的基礎(chǔ)上，應(yīng)對系統(tǒng)的審計活動進行規(guī)劃，盡量減小中斷業(yè)務(wù)流程的風(fēng)險；系統(tǒng)審計過程控制要求，審計的范圍必須經(jīng)過授權(quán)并得到控制，審計所需的資源應(yīng)明確定義并保證可用性，應(yīng)審計和記錄所有的訪問，對所有的流程、需求和責(zé)任都應(yīng)文檔化；
c） 系統(tǒng)審計工具保護要求：在b）的基礎(chǔ)上，應(yīng)對系統(tǒng)審計工具進行保護，防止誤用造成危害；審計工具應(yīng)與開發(fā)系統(tǒng)和運行系統(tǒng)分開管理；應(yīng)明確審計工具的適用范圍，使用過程應(yīng)經(jīng)過批準(zhǔn)，應(yīng)記錄審計工具的所有使用過程，應(yīng)明確審計工具的保存方式、責(zé)任人員等。