gat39120xx计算机信息系统安全等级保护管理要求

gat39120xx计算机信息系统安全等级保护管理要求内容摘要：

制定安全管理计划，明确计算机信息系统的安全目标和安全范围，并经单位主 管领导批准。 安全管理计划文件在下列方面应有基本描述：安全策略、风险管理、安全措施检查、行为准则、生命周期管理、处理授权、人员安全、物理和环境安全、技术支持与运行安全、应急计划、技术文档管理、教育与培训、事件响应、访问控制、审计跟踪等。 保证计算机信息系统安全保护等级达到 GB 178591999 的本级要求。 人员与职责要求 单位主管委任安全管理人员，并赋予安全管理的权力。 安全管理人员应具有基本的专业技术水平，掌握计算机信息系统安全管理基本知识，负责组织规划有 关人员的安全意识教育和培训，组织协调有关人员对计算机信息系统的安全性进行评估，理解计算机信息系统面临的安全威胁，并对管理层、物理层、系统层、网络层和应用层有基本的风险分析，确定安全需求，制定安全计划，并负责落实和监督安全计划的实施。 通过正式授权程序委派专人负责物理安全工作。 建立物理安全规章制度。 通过科学分类对计算机信息系统的物理环境和物理设施进行分类登记。 保证计算机信息系统的物理安全达到 GA/T 3902020 计算机信息系统安全等级保护通用技术要求 中本级有关环境、设备和介质安全所提出的基本要求。 系统安全管理要求 通过正式授权程序委派专人负责系统环境安全管理。 建立操作系统和数据库的安全配置、操作系统和数据库的备份等安全管理规章制度。 保证人员能按照 GA/T 3902020 计算机信息系统安全等级保护通用技术要求、 GA/T 3882020 计算机信息系统安全等级保护操作系统技术要求和 GA/T 3892020 计算机信息系统安全等级保护数据库管理系统技术要求的基本要求，对操作系统和数据库进行安全管理。 网络安全 管理要求 通过正式授权程序委派专人负责网络环境安全工作。 建立有关网络配置安全管理制度。 保证人员能按照 GA/T 3902020 计算机信息系统安全等级保护通用技术要求和 GA/T 3872020 计算机信息系统安全等级保护网络技术要求对本级网络安全的基本要求，对网络进行安全管理。 通过正式授权程序委派专人负责应用系统环境，包括应用系统软件的安全配置、备份等安全工作。 制定有关规章制度。 保证人员能按照应用系统操作文档和应用系统有关安全要求，对应用系 统软件和应用业务数据进行安全管理。 —— 安全管理人员应协同计算机信息系统应用部门对计算机信息系统的运行进行安全管理。 建立有关安全规章制度。 —— 确保为计算机信息系统可靠运行而采取的各种检测、监控、审计、分析、备份及容错等方法和措施的正确实施。 —— 要求制定风险分析计划，制定网络安全检测、网络防病毒、网络安全事件报告、应急计划管理等制度。 制定安全意识和安全技术教育培训计划。 对运行安全进行监督检查。 明确计算机信息系统各类人员对计算机信息系统各类资源的安全责任。 明确计算机信息系统安全管理人员和计算机信息系统普通用户对计算机信息系统资源和控制系统中命名客体的访问权限。 （系统审计保护级）实施操作规程管理． 管理目标和范围 建立安全管理机构并满足第一级的管理要求外，还应进一步根据管理计划制定一系列安全操作规程，并实施计算机信息系统生命周期的全程管理。 安全操作规程文件应由单位主管领导批准，安全操作规程文件中应明确计算机信息系统的安全岗位，并指明是否需要更细致的指导，说明例外情况。 特定规程中要明确规定其适用场所、适用对 象、有效期限和规程责任人，对其中适用对象要明确适用的主体和客体。 通过管理活动保证计算机信息系统达到 GB 178591999 的本级要求。 5. 人员与职责要求 单位主管领导负责建立正式的安全管理机构，委任并授权该机构的安全管理负责人负责安全管理工作的组织和实施。 安全管理机构由单位各级主管和有关专家组成。 安全管理负责人至少从事过二年以上的计算机信息系统的技术工作，一年以上的计算机信息系统安全管理工作或经过正规院校计算机信息系统安全技术和管理的培训。 安全管理负责人 负责召集有关人员制定本单位安全计划，设立安全管理岗位，明确岗位职责；制定明确的安全管理目标和安全策略；制定计算机信息系统各层安全管理规程；制定系统管理、信息管理、网络管理、存储介质管理、操作管理、软硬件维修、审计、服务外包等安全管理规章制度，并监督执行；对关键的计算机信息系统制定风险管理计划；组织规划有关人员的安全意识教育和培训。 除满足第一级的物理安全管理要求外，应建立物理安全区域，制定专人负责物理安全区计算机信息系统场地和物理设施的日常安全管理，制定物理设施的购置计划 、设备的验收、运行、维护、处置管理制度，监督、检查物理设施安全管理制度的落实。 编制物理设施安装、运行、操作流程，制定并实施物理设施管理培训计划；所有物理设施要分类编目，指定每个物理设施安全责任人。 对计算机信息系统使用的关键设备建立严格的登记制度，保证设备购置、安装、调试、维护、维修、报废等处置活动可控。 系统安全管理要求 指定操作系统安全管理责任人，负责操作系统的日常安全管理和安全审计，对用户安全使用进行指导、登记和监视。 操作系统应使用符合 GA/T 3882020 计算机信息系统安全等级保护操作系统技术要求的本级操 作系统。 数据库应使用符合 GA/T 3892020 计算机信息系统安全等级保护数据库管理系统技术要求的本 级数据库。 依据操作规程安全使用、配置操作系统，操作系统安全管理责任人依据操作规程确定审计事件、审计内容、审计归档、审计报告。 授权用户应使用唯一的标识和口令，遵照规定的登录规程登录系统，遵照授权说明使用许可的 资源。 对操作系统中的系统工具的使用进行授权管理，并对系统工具使用情况进行审计。 对操作系统安全性进行及时维护，对操作系统的安全弱点和漏洞进行控制。 依据变更控制规程对操作系统的变更进行控制，保证变更不影响应用系统的可用性、稳定性、安全性，保证变更过程的有效性和可审计性。 应及时对操作系统资源和系统文档进行安全备份。 网络安全管理要求 除满足第一级的网络安全管理要求外，网络安全管理负责人应按照有关规程召集有关人员对计算机信息系统运行的网络安全进行定期评估，不断完善网络安全策略 39。 建立、健全网络安全管理规章制定。 制定使用网络和网络服务的策略。 依 据总体安全方针、策略制定允许提供的网络服务、制定网格访问许可和授权管理制度、保证计算机信息系统网络连接和服务的安全技术正确实施，并达到 GA／ T 3872020 计算机信息系统安全等级保护网络技术要求的要求。 制定网络安全教育和培训计划，保证计算机信息系统的各类用户熟知自己在网络安全方面的安全责任和安全规程。 建立网络访问授权制度，保证经过授权的用户才能在指定终端，使用指定的安全措施，按设定 审计路由访问许可的网络服务。 对安全区域外部移动用户的网络访问实施严格的审批制度，实施用户安全 认证和审计技术措施，保证网络连接的可靠性、保密性，保证用户对外部连接的安全性负责。 定义与外部网络连接的接口边界，建立安全规范，定期对外部网络连接接口的安全进行评估，对通过外部连接的可信计算机信息系统之间的网络信息提供加密服务，有关加密设备和算法的使用按国家有关规定执行。 对外进行公共服务的计算机信息系统，应采取严格的安全措施实施访问控制，保证外部用户对服务的访问得到控制和审计，并保证外部用户对特定服务的访问不危及内部计算机信息系统的安全，对外传输的数据和信息要经过审查，防止内部人员通过内外网的边界泄露敏感信息。 对可能从内部网络向外发起的连接资源（如拨号上网）实施严格控制，建立连接资源使用授权制度，建立检查制度防止计算机信息系统使用未经许可和授权的连接资源。 不同安全保护等级的计算机信息系统网络之间的连接按访问控制策略实施可审计的安全措施，如使用防火墙、安全路由器等，实现必要的网络隔离。 保证网络安全措施的日常管理责任到人，并对网络安全措施的使用进行审计。 按网络设施和网络服务变更控制制度执行网络配置变更控制。 建立网络安全事件、事故报告处理流程，保证事件和事 故处理过程的可审计性。 对网络连接、网络安全措施、网络设备及操作规程定期进行安全检查和评估，提交正式的网络安全报告。 指定网络安全审计人员，负责对网络安全事件的审计，对审计活动实施控制，保证网络设施提供的审计记录的完整性和可用性。 计算机信息系统的关键网络设备设施应有必要的备份。 对可用性要求高的网络指定专人进行不问断的监控，并定期对应急计划的可行性进行验证。 5. 应用系统安全管理要求 计算机信息系统的各应用单位和部门应指定专人负责应用系统的安全管理。 应用系统的安全管理要求不低于操作系统的安全管理要求。 制定并落实应用系统的安全操作规程，安全操作规程应包括安全措施的设计、部署、维护、运行和用户安全培训等。 应指定信息安全管理人员依据信息安全操作规程，负责信息的分类管理和信息的安全发布。 对任何可能超越系统或应用程序控制的实用程序和系统软件都应得到正式的授权和许可，并对使用情况进行登记。 保证对应用系统信息或软件的访问不影响其他计算机信息系统共享信息的安全性。 应用系统的内部用户，包括支持人员，应按照规定的程序办理授权许可，并 根据信息的敏感程度签署安全协议，保证应用系统信息的保密性、完整性和可用性。 应指定专人负责应用系统的审计工作。 审计人员仅从事审计工作，不参与系统的其他任务，实现审计人员和被审计人员的职能分离，保证审计日志的准确性、完整性和可用性。 组织有关人员定期或不定期对应用系统的安全性进行审查，并根据应用系统的变更或风险变化提交正式的报告，提出安全建议。 对应用系统关键岗位的工作人员实施资质管理，保证人员的可靠性和可用性。 制定切实可用的应用系统及数据的备份计划和应急计划，并由专人负责落 实和管理。 运行安全管理要求 —— 对计算机信息系统应按风险管理计划和操作规程定期对系统进行风险分析与评估，识别出可能存在的风险，并向管理层提交正式的风险分析报告。 风险分析报告中应明确管理上、技术上存在的问题与对策。 —— 对病毒防护系统的使用制定管理规定，没有得到许可，用户不能私自终止病毒防护系统的运行，操作系统安全管理责任人负责病毒防护系统的管理（安装、升级、停止），操作系统应对病毒防护系统的使用建立日志。 —— 制定应用软件安全管理规章制度，对应用软件的采购实施批准 制度，对应用软件的安全性进行调查，未获明确验证的软件不得装入运行韵操作系统。 对应用软件的使用采取授权管理制度，没有取得许可的用户不得安装、调试、运行、卸载应用软件，并对应用软件的使用进行审计。 —— 制定外部服务方对计算机信息系统访问的安全制度。 对外部服务方访问系统可能发生的安全性进行评估，采取安全措施对访问实施控制，与外部服务方签署安全保密合同，并要求有关合同不违背总的安全策略。 —— 安全管理负责人应会同计算机信息系统应用各方制定应急计划和灾难恢复计划，并制定应急计划和灾难恢复计划的实施规程 ，并实施必要验证和实际演练。 对应急计划涉及的人员进行培训，并要求应急人员具备执行应急计划的能力。 对需外部资源的应急计划要与有关各方签署正式合同，合同中应规定服务质量，并包括安全责任和保密条款。 —— 制定安全事件处理规程，保证在短时间内对安全事件进行处理。 —— 制定计算机信息系统的信息和文档的备份制度，要求指定专人负责备份管理，保证计算机信息系统自动备份和人工备份的准确性、可用性。 —— 制定设备、操作系统、数据库、应用系统、人员、服务、内外风险等变更控制制度，保证变更后的计算机信息系统 能满足既定的安全目标。 —— 制定运行安全管理检查制度，定期或不定期对所有计划和制度执行情况进行监督检查，并对安全策略和管理计划进行修订。 协助上级或国家有关部门对计算机信息系统安全进行评估，对计算机信息系统安全工作的监督和检查。 —— 根据各种变更不断修订、完善各种规章制度。 —— 建立严格的运行过程管理文档，其中包括责任书、授权书、许可证、各类策略文档、事故报告处理文档、安全配置文档、系统各类日志等，保证文档的一致性。 （安全标记保护级）实施标记制度化管理 5. 管 理目标和范围 在实现第二级管理目标的基础上，要求计算机信息系统的用户熟知计算机信息系统的安全策略和安全规程，要求用户定期确认其安全意识和安全责任，保证安全策略和安全规程的有效实施；使用自动或其他方式监视系统的安全状态，保证在已建立的安全规程中明确规定系统日志的检查、系统穿透性测试和对内与对外的安全审计；保证安全管理贯穿计算机信息系统的整个生命周期；在安全规程中明确规定如何建设系统，如何验收系统，如何对系统的使用按正式的授权过程实施。 通过对用户、系统资源进行标记，建立健全一系列的安全管理制度 ，实现制度化管理。 通过管。