6.3 第三級：安全標記保護級

6.3.1 管理目標和范圍

本級為安全標記保護級，實施制度化管理，進行監(jiān)督保護。適用于涉及國家安全、社會秩序、經濟建設和公共利益的信息和信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經濟建設和公共利益造成較大損害。在實現第二級管理目標的基礎上，本級管理要求達到具有完好定義的安全管理措施，還應建立等級保護產品采購與使用等完善的管理制度；要求信息系統(tǒng)的用戶明確安全責任；要求能夠保護核心計算環(huán)境、網絡基礎設施與邊界；具有較嚴格的用戶權限與訪問控制措施和防止信息竊取的措施，較好的保護重要信息及其處理方法的準確性和完整性；具有較好的監(jiān)控措施（審記、異常檢測）和基本的響應與恢復措施；明確規(guī)定系統(tǒng)日志的檢查、系統(tǒng)穿透性測試和對內與對外的安全審計。通過管理活動保證信息系統(tǒng)達到GB17859-1999的本級要求。（見5.1.1.1c））

6.3.2 政策和制度要求

在滿足第二級的管理要求的基礎上，本級要求如下：

a） 總體安全管理策略，應包括建立體系化的信息安全管理策略，由信息安全領導小組組織制定，組織機構負責人簽發(fā)，文檔應注明發(fā)布范圍，并有收發(fā)文登記；（見5.1.1.2c），5.1.1.3c），5.1.1.4c））
b） 安全管理規(guī)章制度，應包括體系化的安全管理制度，由信息安全職能部門負責制訂，由信息安全領導小組負責人審批發(fā)布，應注明發(fā)布范圍并有收發(fā)文登記；（見5.1.2.1c），5.1.2.2c））
c） 策略與制度文檔管理，應由信息安全領導小組和信息安全職能部門負責文檔的評審和修訂；限定借閱范圍，并經過相應級別負責人審批和登記。（見5.1.3.1c），5.1.3.2c））


6.3.3 機構和人員管理要求

在滿足第二級的管理要求的基礎上，本級要求如下：

a） 應成立信息安全領導小組，領導全組織機構的信息安全管理工作；（見5.2.1.1c），5.2.1.2a），5.2.1.3b））
b） 設立信息系統(tǒng)安全機制集中管理機構，接受管理信息安全工作的職能部門領導，配備必要的領導和技術管理人員；負責信息系統(tǒng)安全的集中控制管理，行使防范與保護、監(jiān)控與檢查、響應與處置職能，統(tǒng)一管理信息系統(tǒng)的安全，應統(tǒng)一進行信息系統(tǒng)安全機制的配置與管理；應匯集各種安全機制所獲取的與系統(tǒng)安全運行有關的信息；根據應急處理預案作出快速處理；應對安全事件和處理結果進行管理；建立安全管理控制平臺，完善管理信息系統(tǒng)安全運行的技術手段；負責接受和配合政府有關部門的信息安全監(jiān)管工作；（見5.2.2.1a），5.2.2.2a））
c） 人員管理，要求安全管理人員不可兼任；堅持關鍵崗位人員“權限分散、不得交叉覆蓋”的原則；重要部位的人員錄用可從內部符合條件人員選拔；涉密人員調離應進行離崗審計和經過脫密；對關鍵崗位人員的工作進行安全管理有效性檢查；在重要區(qū)域第三方人員訪問應有書面申請、批準和過程記錄，有專人全程陪同，并進行審計；（見5.2.3.1c），5.2.3.2c），5.2.3.3c），5.2.3.4c），5.2.3.5c），5.2.3.6b））
d） 教育和培訓要求，針對不同崗位進行安全策略和技術要求等不同培訓；對不同崗位制定和實施安全培訓計劃，并對安全培訓計劃進行維護和評估；對信息安全專家提供信息應告知其敏感性和保密性，并采取必要的安全措施，保證提供的信息在安全可控的范圍內。（見5.2.4.1c），5.2.4.2b））


6.3.4 風險管理要求

在滿足第二級的管理要求的基礎上，本級要求如下：

a） 風險管理要求和策略，應采用規(guī)范方法進行評估；應建立風險管理的監(jiān)督機制和管理程序；（見5.3.1.1c），5.3.1.2b））
b） 風險分析和評估要求，通過對信息系統(tǒng)每類資產的識別，對信息系統(tǒng)的體系特征進行描述；根據威脅源在保密性、完整性或可用性等方面造成損害，對威脅威進行詳細分析；應對信息系統(tǒng)的脆弱性進行制度化的測試和分析；在進行全面的風險評價基礎上，建立和維護風險信息庫；（見5.3.2.1b），5.3.2.2c），5.3.2.3c），5.3.2.4c））
c） 風險處理和減緩要求，根據風險評估的結果決定信息安全的控制措施，通過綜合分析形成體系化的防護控制系統(tǒng)；（見5.3.3.1c））
d） 基于風險的決策要求，對信息系統(tǒng)安全風險實施二次評估，驗證防護措施的有效性；由機構高層管理決定風險的接受，應采取相應的風險規(guī)避措施，控制信息系統(tǒng)的運行；（見5.3.4.1c），5.3.4.2b））
e） 風險評估的管理要求，涉及評估的資料只能存放指定計算機內，不得帶出指定區(qū)域；進行技術測試可由本機構人員按技術方案進行操作，評估機構技術人員進行場外指導。（見5.3.5.1b），5.3.5.2b），5.3.5.3c），5.3.5.4c））


6.3.5 環(huán)境和資源管理要求

在滿足第二級的管理要求的基礎上，本級要求如下：

a） 環(huán)境安全管理要求，對物理環(huán)境中不同安全保護等級的安全區(qū)域進行標記管理；對出入標記安全區(qū)的員工驗證標記，對出入安全區(qū)的活動進行監(jiān)視和記錄；所有物理設施要設置安全標記；設立門禁設施的監(jiān)控和記錄，應有防止繞過門禁設施的控制措施；應規(guī)定工作人員離開座位的要求；信息系統(tǒng)的物理環(huán)境安全方面的設施應達到GB/T 20271-2006中6.3.1的有關要求；（見5.4.1.1c），5.4.1.2c），5.4.1.3b））
b） 資源管理要求，業(yè)務應用系統(tǒng)應在資產清單中體現，包括每個業(yè)務應用系統(tǒng)的功能作用、業(yè)務流程和數據流程，以及其中資產擁有權、責任人、安全分類以及資產所在的位置等；以業(yè)務應用為主線描述信息資產體系框架；對重要介質的數據和軟件應進行完整性檢查，必要時可以加密存儲；對各種資產進行全面管理，提高資產安全性和使用效率；建立資產管理登記機制。（見5.4.2.1c），5.4.2.2c），5.4.2.3c），5.4.2.4c））


6.3.6 操作和維護管理要求

在滿足第二級的管理要求的基礎上，本級要求如下：

a） 用戶管理要求，應對重要業(yè)務用戶的列出清單，說明權限，開啟審計；在關鍵部位，對系統(tǒng)用戶任何操作必須兩人在場，并產生審計記錄；規(guī)定普通的重要業(yè)務應用的要求；在關鍵部位，一般不允許設置外部用戶和臨時用戶；（見5.5.1.1c），5.5.1.2c），5.5.1.3c），.5.1.4c），
5.5.1.5c））
b） 運行操作管理要求包括，服務器管理主要包括對系統(tǒng)配置和服務設定應根據安全管理機構的統(tǒng)一安全策略結合應用需求進行并定期檢查；重要部位終端計算機和便攜機要求啟用兩個以上技術組合來進行身份鑒別，對拆機箱和接入系統(tǒng)做出管理規(guī)定；網絡及安全設備應通過安全機制集中管理統(tǒng)一控制；關鍵的業(yè)務應用操作應有2人同時在場或同時操作，并進行審計；
對正式運行的信息系統(tǒng)的任何變更必須考慮全面安全事務一致性問題；對不同安全區(qū)域之間信息傳輸應有明確的要求；（見5.5.2.1c），5.5.2.2b），5.5.2.3c），5.5.2.4c），5.5.2.5c），5.5.2.6c），
5.5.2.7c））
c） 運行維護管理要求，應使用規(guī)范的方法對信息系統(tǒng)的各個方面進行風險控制；對運行狀況監(jiān)控要求安全機制集中管理控制；重要區(qū)域的軟件硬件維護要求對數據和軟件系統(tǒng)進行必要的保護，并對維修備案；針對外部服務方訪問進行風險分析和評估；（見5.5.3.1c），5.5.3.2c），5.5.3.3c），5.5.3.4c））
d） 外包服務管理要求，關鍵的或涉密的業(yè)務應用一般不應采用外包服務方式；（見5.5.4.2c））
e） 有關安全機制保障要求包括，身份鑒別機制管理應明確身份鑒別及認證系統(tǒng)的管理維護的內容和范圍；訪問控制策略管理應根據需求確定訪問控制的跟蹤審計；系統(tǒng)安全管理應基于系統(tǒng)加固措施和審計監(jiān)控；網絡安全管理應基于審計和標記，以及網絡安全審計人員的配置；
應用系統(tǒng)安全管理應基于標記信息訪問控制，以及不同備份策略的制定；要求病毒防護采取集中實施和管理；應對信息系統(tǒng)中以密碼為基礎的安全機制應按國家密碼主管部門的規(guī)定管理；（見5.5.5.1c），5.5.5.2c），5.5.5.3c），5.5.5.4c），5.5.5.5c），5.5.5.6c），5.5.5.7b））
f） 安全機制集中管理，能夠對網絡系統(tǒng)、安全設備、主機系統(tǒng)、重要應用實施集中控管；建立一體化和開放性平臺，將多家不同類型的安全產品整合到一起，進行統(tǒng)一的管理配置和監(jiān)控；能夠對網絡系統(tǒng)、網絡安全設備以及主要應用實施統(tǒng)一的安全策略、集中管理、集中審計；要求對安全機制整合，實現網絡異常流量監(jiān)控、安全事件監(jiān)控管理、脆弱性管理、安全策略管理、安全預警管理；主要工作方式包括自動處理、人工干預處理、遠程處理、輔助決策分析處理、記錄和事后處理等。（見5.5.6.1a），5.5.6.2a），5.5.6.3a），5.5.6.4a））

6.3.7 業(yè)務連續(xù)性管理要求

在滿足第二級的管理要求的基礎上，本級要求如下：

a） 備份與恢復要求，數據備份和恢復策略要求采用熱備份方式；應指定專人定期維護和檢查系統(tǒng)冗余運行狀況，并限定系統(tǒng)切換的時間；應維護檢查熱備份使用設備和系統(tǒng)冗余運行狀況，確保需要接入和切換時系統(tǒng)能夠正常運行；（見5.6.1.1c），5.6.1.2b））
b） 安全事件處理要求，明確安全事件管理責任，制定安全事件管理程序；安全事件報告和處理要求安全管理職能部門負責接報安全事件報告，并及時進行處理；（見5.6.2.1c），5.6.2.2c））
c） 應急處理要求，應急處理和災難恢復要求信息安全領導小組應有人負責或指定專人負責應急計劃和實施恢復計劃管理工作；信息系統(tǒng)安全機制集中管理機構應協(xié)助應急處理小組負責具體落實；應急計劃的實施保障要求有足夠資源的保證。（見5.6.3.1c），5.6.3.2a），5.6.3.3c））


6.3.8 監(jiān)督和檢查管理要求

在滿足第二級的管理要求的基礎上，本級要求如下：

a） 符合法律要求，加密控制規(guī)則應符合國家有關法規(guī)的要求；對關鍵業(yè)務應用，必要時應要求必須使用具有自主知識產權的軟件，以保護關鍵業(yè)務應用的安全；（見5.7.1.1c），5.7.1.2c），5.7.1.3a））
b） 依從性檢查要求，應形成制度化的檢查和改進；安全策略依從性檢查要求對機構內的所有領域內的各個崗位應進行定期檢查；技術依從性檢查應由有經驗的系統(tǒng)工程師手工或使用軟件工具進行；（見5.7.2.1b），5.7.2.2b），5.7.2.3b））
c） 審計及監(jiān)管要求，應對系統(tǒng)的審計的活動進行規(guī)劃，系統(tǒng)審計過程控制應要求審計的范圍應經過同意和得到控制；依照國家政策法規(guī)和技術及管理標準進行自主保護，信息安全監(jiān)管職能部門對其進行監(jiān)督、檢查；（見5.7.3.1b），5.7.3.2c））
d） 責任認定要求，應對審計發(fā)現的問題認定領導責任，領導層應提出問題解決辦法和責任處理意見；對審計及監(jiān)管者應對已審計過，但未能及時發(fā)現本應審計出問題而造成信息系統(tǒng)損失的承擔責任。（見5.7.4.1b），5.7.4.2b））


6.3.9 生存周期管理要求

在滿足第二級的管理要求的基礎上，本級要求如下：

a） 規(guī)劃和立項管理，信息系統(tǒng)的管理者應在安全策略規(guī)劃的指導下，制定安全建設和安全改造的規(guī)劃，并應得到組織機構管理層的批準；信息系統(tǒng)的管理者應根據信息系統(tǒng)安全建設規(guī)劃的要求，提出當前應進行安全建設和安全改造的具體需求；對于重要的項目，必須安全性評
價，在確認項目安全性符合要求后經過管理層的討論批準，才能正式立項；（見5.8.1.1c），5.8.1.2c），5.8.1.3c））
b） 建設過程管理，要求將信息系統(tǒng)建設項目過程有效程序化；建立工程實施監(jiān)理管理制度；應明確指定項目實施監(jiān)理負責人；對工程項目外包要求對應廢止和暫停的項目，要確保相關的系統(tǒng)設計、文檔、代碼等的安全；對應銷毀過程要進行安全控制；還應制定控制程序進行保護；對自行開發(fā)時應當嚴格控制對程序資源庫的訪問；對建設項目測試驗收要求，除測試外還要全面檢查；（見5.8.2.1c），5.8.2.2c），5.8.2.3c），5.8.2.4a），5.8.2.5c））
c） 系統(tǒng)啟用和終止管理，要求新的信息系統(tǒng)或子系統(tǒng)、信息系統(tǒng)設備啟用應進行試運行，并經過專項安全評估得到認可，才能正式投入使用；現有信息系統(tǒng)或子系統(tǒng)、信息系統(tǒng)設備需要終止運行，應采取必要的安全措施，進行數據和軟件備份，對終止運行的設備進行不可恢復的數據清除，如果存儲設備損壞則必須采取銷毀措施，并得到相應領導和技術負責人認可才能正式終止運行。（見5.8.3.1c），5.8.3.2c））


6.4 第四級：結構化保護級

6.4.1 管理目標和范圍

本級為結構化保護級，實施規(guī)范化管理，進行強制保護。適用于涉及國家安全、社會秩序、經濟建設和公共利益的重要信息和信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經濟建設和公共利益造成嚴重損害。在實現第三級管理目標的基礎上，本級管理要求達到具有量化控制的安全管理措施，建立完善的信息系統(tǒng)安全管理制度；對關鍵的控制措施要根據其風險制定嚴格測試計劃；對內外明顯的風險變化應立即組織風險評估；要求能夠保護核心的局域計算環(huán)境，具有可信的網絡基礎設施與邊界，具有嚴格的用戶權限與訪問控制措施；具有防止各種手段的信息泄漏和竊取措施，保證信息及其處理方法的準確性和完整性；保證被授權的用戶隨時可以訪問信息，保證責任（抗抵賴性，對自己的行為負責），具有完善的監(jiān)控措施（強審記、異常檢測）和基本的響應與恢復措施。通過定期的安全評估提示工作人員關注其相關安全責任；強制實施分權管理機制；提供可信設施管理；增強配置管理控制。保證系統(tǒng)具有強壯的抗?jié)B透能力。通過管理活動保證信息系統(tǒng)達到GB17859-1999的本級要求。（見5.1.1.1d））

6.4.2 政策和制度要求

在滿足第三級的管理要求的基礎上，本級要求如下：

a） 總體安全管理策略，應包括強制保護的信息安全管理策略，由信息安全領導小組組織并提出指導思想，由信息安全職能部門指派專人負責制定強制保護的信息系統(tǒng)安全管理策略，必要時可征求信息安全監(jiān)管職能部門的意見；安全管理策略文檔應注明密級，并在監(jiān)管部門備案；
（見5.1.1.2d），5.1.1.3d），5.1.1.4d））
b） 安全管理規(guī)章制度，應包括制定強制保護的信息安全管理制度，應由信息安全職能部門指派專人負責制訂信息系統(tǒng)安全管理制度，應注明密級并控制發(fā)布范圍；（見5.1.2.1d），5.1.2.2d））
c） 策略與制度文檔管理，應由信息安全領導小組和信息安全職能部門的專門人員負責文檔的評審和修訂，必要時可征求信息安全監(jiān)管職能部門的意見；對涉密文檔的保管應按照有關涉密文檔管理規(guī)定進行。（見5.1.3.1d），5.1.3.2d））


6.4.3 機構和人員管理要求

在滿足第三級的管理要求的基礎上，本級要求如下：

a） 安全管理機構要求，組織機構主要負責人應出任信息安全領導小組負責人；（見5.2.1.1d），5.2.1.2a），5.2.1.3b））
b） 信息系統(tǒng)安全機制集中管理機構要求對關鍵區(qū)域的安全運行進行管理，控制知曉范圍，對獲取的有關信息進行相應安全等級的保護；（見5.2.2.1a），5.2.2.2b））
c） 人員管理要求，關鍵區(qū)域或部位的安全管理人員應選用精干內行忠實可靠的人員；關鍵崗位人員處理重要事務或操作時應保持二人同時在場，關鍵事務應多人共管；應對所有安全崗位人員實施全面的背景審查和管理控制；一般不允許第三方人員進入機房或進行邏輯訪問；（見
5.2.3.1d），5.2.3.2d），5.2.3.3d），5.2.3.4d），5.2.3.5d），5.2.3.6c））
d） 教育和培訓要求，對所有員工的資質進行檢查和評估，使相應的安全教育成為組織機構工作計劃的一部分。（見5.2.4.1d），5.2.4.2b））