1、企业体系建设信息安全管理制度实施指南编 制： 审 核： 批 准： 版 本 号: ESZAQDGF001 编 制： 审 核： 批 准： 版 本 号: 目 录1策略管理61.1安全策略和管理制度6信息安全策略6信息安全管理制度6行为规范71.2安全规划7系统安全规划7系统安全规划的更新8阶段性行动计划82组织管理82.1组织机构8信息安全管理机构8信息安全管理人员92.2人员安全9工作岗位风险分级9人员审查9人员工作合同终止10人员调动10工作协议和条款10第三方人员安全11人员处罚112.3安全意识和培训11安全意识11安全培训12安全培训记录123运行管理133.1风险评估和认证认可13安全分2、类13风险评估13风险评估更新14安全认证14安全认可14持续监控153.2系统与服务采购15资源分配15生命周期支持16采购16信息系统文件16软件使用限制16用户安装的软件17安全设计原则17外包信息系统服务17开发配置管理18开发安全测试评估183.3配置管理18基线配置19配置变更控制19监督配置变更20变更访问限制20配置策略设置20功能最小化203.4应急计划和事件响应21应急计划21应急响应培训21应急和事件响应计划测试21应急和事件响应计划更新22事件处理223.4.6事件监控22事件报告23事件响应支持233.5系统管理与维护23安全管理技术24常规维护24维护工具管理24远3、程维护24维护人员25维护及时性254技术管理254.1标识鉴别25身份标识和鉴别25设备标识和鉴别26标识管理26鉴别管理27登录和鉴别反馈274.2访问控制28账户管理28强制访问29信息流控制29职责分离30最小权限30不成功登录尝试30系统使用情况31最近登录情况31并发会话控制32会话锁定32会话终止32对访问控制的监督和审查33不需鉴别或认证的行为33自动化标记33远程访问控制34无线接入访问控制34便携式移动设备的访问控制34个人信息系统354.3系统与信息完整性35漏洞修补35防恶意代码攻击36输入信息的限制36错误处理36输出信息的处理和保存374.4系统与通信保护37应用系4、统分区37安全域划分38拒绝服务保护38边界保护38网络连接终止38公共访问保护38移动代码394.5介质保护39介质访问39介质保存39信息彻底清除40介质的废弃404.6物理和环境保护40物理访问授权41物理访问控制41显示介质访问控制41物理访问监视41来访人员控制42来访记录42环境安全424.7检测和响应42事件审计43审计记录的内容44审计处理44审计的监控、分析和报告44审计信息保护45审计保留45入侵检测45漏洞扫描45安全告警和响应464.8备份与恢复46信息系统备份46备份存储地点47备份处理地点47信息系统恢复与重建471 策略管理安全策略是高层管理层决定的一个全面的声明5、 ，它规定在组织中安全问题扮演什么样的角色。组织安全策略为机构内部未来的所有安全活动提供了范围和方向。1.1 安全策略和管理制度对各级部门制定总体的信息安全策略、信息安全管理制度和相应的行为规范，指导信息安全保障工作更好的开展。1.1.1 信息安全策略信息安全策略是高级管理层决定的一个全面的声明，它规定在组织中安全问题扮演什么样的角色。它能够为信息安全提供符合业务要求和相关法律法规的管理指导和支持。要求对各级部门制定总体信息安全策略，详细阐述目标、范围、角色、责任以及合规性等；制定高层信息安全策略，部门级安全策略，系统级安全策略；开发、发布、并定期更新信息安全策略；内容信息安全策略的内容要覆盖6、安全规划、组织机构、人员安全、安全意识和培训、风险评估、认证认可、系统与服务采购、配置管理、应急计划、事件响应、系统维护、标识鉴别、访问控制、系统与信息完整性、系统与通信保护、抗抵赖、介质保护、物理和环境保护、检测响应恢复等各方面；信息安全策略定义了明确所要保护的总体安全目标与范围；信息安全策略经过本级主管信息工作的领导批准，正式颁布，并定期根据实施效果进行修订。1.1.2 信息安全管理制度信息安全管理制度是为了更好地保证系统的信息安全，是信息安全策略的进一步实施的具体化。要求制定严格的规范化的信息安全管理制度，以促进信息安全策略的实施；内容对信息的生成、存储、查看、传输、复制、备份、归档、销7、毁等制定严格的管理制度；对信息系统中设备与系统的接入、运行、维护、管理的规定；有安全管理值班制度与事故报告处理制度，应急响应预案以及各种应用系统用户授权管理与系统运行管理规定等；根据管理制度的执行情况定期审核，修订。1.1.3 行为规范行为规范规定了系统的各类使用和管理人员的岗位职责，规定了各类人员的责任和所允许信息系统的权利。要求对信息系统的各类使用和管理人员的岗位职责、行为规范制定管理规定，并描述其责任和所允许的访问信息和信息系统的正当行为；所有用户在被授权访问信息系统之前，应以书面签认方式确认其已经知悉、理解并愿意遵守相关的规范。内容管理制度印发给有关管理和应用人员，并抽查，以验证其是否8、了解应遵守的行为规范。1.2 安全规划制定较为完整的信息安全规划，以指导信息安全保障工作的开展。安全规划包括系统安全规划、系统安全规划的更新、阶段性行动计划。1.2.1 系统安全规划系统安全规划是对信息系统安全一个全面的规划，用来描述系统的安全要求和满足安全规划采用的安全控制措施。要求为信息系统制定并实施安全规划，对系统的安全要求以及满足这些安全需求的在用的或计划采用的安全控制措施进行描述；高层领导应审核、批准安全规划，并采用统一规划、分步实施的原则贯彻执行。内容结合xxxx的信息系统安全的总体目标和安全需求，制定针对性的信息安全规划；1.2.2 系统安全规划的更新系统安全是一个动态的过程，系9、统安全规划要定期审核并修订，当发生重大变更时，要用时对系统安全规划进行更新。要求定期审核并修订信息系统安全规划，以解决在计划实施中或安全控制评估中发现的问题，以及应对信息系统或组织的变更。内容定期或发生重大变更时，对信息安全规划进行审核和修订；信息安全规划的修改要严格遵守相关的策略和流程，并得到主管领导的批准。1.2.3 阶段性行动计划信息系统的生命周期有不同的阶段，在每一个阶段信息系统的安全需求是不同的，要对每个阶段编制、开发或更新信息系统的行动计划。要求编制开发和更新信息系统的活动和里程碑计划，并将已计划的、已实施的、和经过评估的行为文件化，以减少或消除系统中已知的脆弱性。内容有相应的活动10、和里程碑计划；活动和里程碑计划是在安全控制措施评估结果、安全影响分析和持续性监控活动的基础上进行更新的。2 组织管理2.1 组织机构2.1.1 信息安全管理机构要求组建本单位的信息安全管理机构，该机构应由主管本单位信息安全工作的领导、负责具体工作的网络、安全管理人员组成，责任到人，具有领导信息安全工作、制定安全策略、监督管理等职能。内容组建信息安全管理机构及其机构组成，人员设置,并文件化；组建的信息安全管理机构有明确的信息安全管理职能（包括物理安全管理、身份鉴别管理、访问控制管理、安全审计管理、安全教育与培训等）；组建的信息安全管理机构是自上而下，分级负责的。2.1.2 信息安全管理人员要求信11、息安全管理机构中的安全管理人员应分权负责，以限制具有超级权限的人员存在。内容信息安全管理机构中的管理人员分权负责，系统管理员、安全管理员、安全审计员等分别都是由不同的人员担任；各种设备与系统由相关的管理责任人，具有信息资产清单，并明文规定责任人的职责，责任人对其管理的设备及责任清楚。2.2 人员安全人员安全主要包括工作岗位风险分级、人员审查、人员工作合同终止、人员调动、工作协议和条款、第三方人员安全以及人员处罚等几个方面。2.2.1 工作岗位风险分级要求对工作岗位进行风险分级，并制定针对在各级岗位工作的人员审查机制；定期复核和修订不同工作岗位的风险分级。内容制定并实施工作岗位风险分级的制度；定12、期复核、修订工作岗位的风险分级。2.2.2 人员审查要求结合自身的业务需求、相关的法律法规、被访问信息的分类及面临风险等因素，对工作人员、合作者、第三方人员进行人员背景审查；在授权之前对需要访问信息和信息系统的人员进行审查；制定人员审查流程，流程应描述进行人员审查的方式和限制条件，如规定谁有资格进行审查，在何时，通过什么方式，因为什么原因来进行审查等等。内容制定有关人员背景审查的制度和流程，并依此进行人员审查、核实工作。2.2.3 人员工作合同终止要求当人员工作合同终止时，应终止人员对信息系统的访问，并确保其归还所拥有与组织相关的资产；制定员工注册和注销流程，来授予和撤销员工对信息系统和服务的13、访问权限。内容明确规定和指派职责，以处理人员工作合同终止事宜；及时移除或封堵工作合同终止的人员对信息和信息处理系统的访问权限，包括物理和逻辑访问；及时更改工作合同终止人员所知晓的账户密码。2.2.4 人员调动要求当工作人员被重新分配或调动到单位其它工作岗位时，应复查信息系统和设施的访问授权，并采取适当的措施（如重新发放身份卡，关闭原有账户的同时创建新账户，更改系统的访问授权等）。内容对人员调动采取适当的安全措施。2.2.5 工作协议和条款要求在对需要访问信息和信息系统的人员进行访问授权之前，签署适当的工作协议和条款（如，保密协议、按规定进行使用的协议、行为规范等）。内容制定和签署相关的工作协议14、和条款。2.2.6 第三方人员安全要求建立针对第三方人员（如服务机构、合作方、信息系统开发商、信息技术服务、应用系统外包、网络和安全管理等）的安全要求，并不断监督其遵从安全要求的情况以确保足够安全。内容明确第三方参与的业务过程对信息和信息处理设施带来的风险，并采取适当的控制措施；同第三方签订的安全协议中，覆盖第三方在访问、处理、通信、管理组织信息或信息处理设施、增加产品或服务等活动中所有相关的安全要求，并清晰定义了其安全角色和责任。2.2.7 人员处罚要求建立正规的程序，处罚或制裁未遵守信息安全策略和流程的员工。内容在信息安全策略和程序文档中制定了关于人员处罚的相关程序。2.3 安全意识和培训15、安全意识和培训的目标是确保用户清楚信息安全威胁和利害关系。在安全程序、设备和信息系统的使用过程中培训工作人员，使工作人员有良好的安全意识，以降低可能的安全风险。安全意识和培训涉及以下内容：安全意识、安全培训、安全培训记录。2.3.1 安全意识要求根据信息系统的特定安全要求，制定具有针对性的安全意识培训内容，确保所有人员（包括领导和普通工作人员）在被授权访问信息系统之前进行了基本的信息安全意识培训，并且定期进行培训。内容相关人员具备基本的信息安全意识。2.3.2 安全培训要求制定安全培训计划，并且定期按照计划进行培训；确定每个工作人员在信息系统中的安全角色和职责，将这些角色和职责文档化，在工作人16、员被授权访问系统之前提供适合的信息系统安全培训；依据自身的特定要求和工作人员授权访问的信息系统的不同，制定针对性较强的安全培训内容；确保系统管理员，管理者和其他有权访问系统层软件的人员在从事本职工作之前进行了必要的技术培训。内容根据安全培训计划和安全培训教材以及工作人员的安全角色和职责制定针对性较强的信息安全培训；根据安全培训记录并结合安全培训计划，在适当的时间，对相关各类人员进行了必要的信息安全培训。2.3.3 安全培训记录要求记录并监督工作人员的信息系统安全培训过程，包括一些基本安全意识和安全技能培训，并应形成相关的培训记录。内容有相应的安全培训记录。3 运行管理3.1 风险评估和认证认可17、风险评估是对信息和信息处理设施所面临的威胁及其影响以及信息系统脆弱性及其发生可能性的评估。3.1.1 安全分类 在于对不同类别的信息和信息系统提供出不同等级的安全保护。要求对信息系统及其处理、加工和存储的信息进行分类，并对不同类别的信息和信息系统应达到的提出安全保护要求；将安全分类作为涉及整个单位的一项工作，并将安全分类的依据和结果记录形成文件，由主管领导审核并批准。内容根据法律要求，对敏感性和关键性等因素对信息及信息系统进行分类。3.1.2 风险评估风险评估应包括评价风险程度的系统化的方法（风险分析）以及将估计的风险与风险准则进行比较从而确定风险重要程度的过程（风险评估）。要求标识信息系统的18、资产价值，识别信息系统面临的自然和人为的威胁，识别信息系统的脆弱性，分析各种威胁发生的可能性，并定量或定性的描述可能造成的损失、评估系统的风险级别；定期进行风险评估，以定期审核系统的安全风险和已实施的安全控制的效果。内容对系统的资产价值进行了分级，信息系统面临的自然和人为的威胁有所定义，信息系统的脆弱性所在，对威胁发生的可能性有相对准确的分级，定量或定性描述结果符合系统的现状；在进行风险评估时，选择的服务商有相关的资质证明，其所依据的评估流程、评估方法是有效的和规范的；对安全控制的措施以及现有控制措施正确实施的程度是按照计划实施、产生的，其输出的结果满足系统的安全需求。3.1.3 风险评估更新19、信息系统的风险评估处于一个动态平衡状态，当系统内部有所变化，相对应的风险级别发生新的更新以符合新的风险状态。要求当信息系统发生重大变更时，应重新进行风险评估；制定相关规定，说明哪些是信息系统的重大变动。内容当信息系统发生重大变更时，如设备改变或其它影响系统安全状态时，进行了风险评估更新，并对以前的风险评估有更新记录；有针对风险评估更新而制定的具体标准。3.1.4 安全认证保障信息系统安全技术产品具有可靠的安全保障能力。要求当前投入使用的信息系统安全技术产品应该按照有关法律法规得到国家权威机构的测评和认证，以确定信息安全技术产品的功能和性能可以满足系统的安全需求；邀请国家权威机构对本单位信息系统20、进行测评和认证，以确定信息系统的技术控制措施，安全管理规章和工程建设过程可以为系统的安全提供充分的保障；安全认证应结合到系统开发的生命周期（SDLC）中,并贯穿在生命周期的各个阶段。内容当前使用的信息安全产品得到中国信息安全产品测评认证中心、公安部、国家保密局等国家权威部门的相关认证；通过国家权威机构对信息系统的安全保障能力的测评认证；认证结果对于当前系统是有效的（认证结果距检查时间不超过两年，得到认证后没有对系统进行较大的改动）。3.1.5 安全认可保障信息系统的安全运行。要求信息系统运行之前，以及信息安全产品投入正式使用之前需得到国家权威机构和上级主管部门的认可。内容信息系统的技术控制措施21、，安全管理规章和工程建设过程符合有关规定，并通过了有关的评估和认证；当前使用的信息安全产品符合相关规定，并通过了有关的评估和认证。3.1.6 持续监控保障信息系统安全的持续性、稳定性。要求监控信息系统现有的安全控制措施，有计划地持续进行配置管理、信息系统组件控制、系统变更后的安全影响分析、现有安全控制措施评估和状态汇报等工作。内容制定并实施有关的规定，取得相应的认证认可，对系统的安全控制措施和安全保障能力进行持续的监控。3.2 系统与服务采购系统和服务采购涉及到资源分配、生命周期支持、信息系统文件、软件使用限制、用户安装的软件、安全设计原则、外包信息系统服务、开发人员配置管理、开发人员安全测试22、十个项目内容。3.2.1 资源分配要求定义投资控制过程所需的保护信息系统资源的范围；在信息系统规划中要确定安全要求；规划和预算文件中，要建立信息系统安全项目，将主要的规划和投资控制过程整合到一起。内容定义投资控制的范围；信息系统规划中定义了相应的安全要求。3.2.2 生命周期支持要求管理信息系统要有其相应的生命周期；为系统开发生命周期安全考虑提供相应的实施指南。内容在相关的信息管理系统中明确关于系统生命周期的说明；有对应系统开发周期的相应的实施指南。3.2.3 采购要求采购合同中要明确定义相关的安全要求、安全规范和基于风险评估的信息系统要求；在信息系统所要求的文档中要包括安全配置说明和安全实施23、指南。内容采购合同满足该行业相关的安全需求；在信息系统所要求的文档中包括了相应的安全配置说明和安全实施指南。3.2.4 信息系统文件要求确保信息系统拥有完整齐全的文档，包括系统的详细设计方案和实施方案，配置、安装和运行信息系统且能正确配置系统安全特性的指南；保证全部文档可用，并受到保护；提供描述信息系统中安全控制的功能属性文件。内容信息系统文件（如安全设计方案、建设方案、管理员和用户指南、系统安全配置参考文件等）完整，清晰地定义了文档的授权级别。3.2.5 软件使用限制要求对软件的使用进行限制；软件和所用相关文档与合同协商和法律版本一致；对软件和相关的文档的数量进行相应的许可保护，并对软件的复24、制和分发进行控制。内容制定软件使用政策，遵守软件许可协议，禁止使用盗版软件；控制用户可访问的范围，监控异常情况。例如：进行URL限制，关注异常流量等，对可疑问题是否及时上报；工作人员接收权威发布部门发布的软件的相关信息，不接收和传播未经确认的信息。3.2.6 用户安装的软件要求对软件的下载和安装要有明确的规定；对软件的类型进行识别和分类，确认哪些是可以下载和安装的，哪些是被禁止的。内容有软件下载和安装的规定；安全软件的升级过程有相应的变更控制流程进行控制。3.2.7 安全设计原则要求使用安全工程原则设计和实施信息系统。内容组织机构采用信息系统安全工程原则来设计、开发和实施信息系统。3.2.8 25、外包信息系统服务要求执行和维护在服务协议中规定的信息安全服务提供级别；对第三方的服务提供进行管理；对第三方的服务的监控和审核进行管理；对第三方服务变更进行管理。(由于所涉及的业务系统，业务过程和风险再评估的重要性，要对服务的变更过程进行管理，包括为改进现有的信息安全策略，流程和控制措施所实施的变更)。内容验证协议的执行情况，监控实际操作与协议的符合程度，对与协议不符的地方进行相应的管理，来确保第三方所提供的服务达到了协议中的要求；第三方实施了在第三方服务提供中所规定的安全控制措施，服务定义和提供服务的级别。3.2.9 开发配置管理要求对信息系统的开发要建立和实施配置管理计划，控制在开发过程中的26、变更，跟踪安全错误，要进行变更授权，提供计划和实施文档。内容为信息系统开发建立和实施了相应的配置管理计划；在控制可发过程之中的变更有记录。3.2.10 开发安全测试评估要求对信息系统开发要建立安全测试和评估计划，并实施相应的计划，将相应的计划文档化。开发安全测试和评估结果应提交用于信息系统交付的安全认证和认可过程。内容开发的、在行业网上使用并涉及行业关键信息和数据的软件系统进行了安全评估，并通过了安全审核；对测试应用系统实施了访问控制；系统真实运行的信息复制到测试应用系统前先经过了正式授权；对系统真实运行的信息和使用情况进行了记录，以便审核追踪。3.3 配置管理配置管理是信息系统运行管理的一个27、重要组成部分。对网络设备、安全设备、操作系统、应用系统和数据库系统的配置进行正确有效的管理，是保证信息系统正常运行和消除系统安全风险最基本，最必要的手段。信息系统的管理和维护人员要在明确安全需求的基础上，熟悉各个软硬件设备的当前配置情况，并在信息系统出现变更时按照配置管理策略和配置管理流程对配置进行及时的修改和记录。信息系统的管理和维护人员应该编制系统资产清单和当前系统的基线配置来记载系统中所有软硬件设备的基本信息（包括系统中各软硬件的生产厂商，产品类别，序列号，版本号以及该资产在系统中的物理位置和逻辑位置）和当前的配置情况。要将对资产清单和基线配置的更新作为系统更新或扩展的一项必要工作，保证28、资产清单和基线配置能反映系统当前的真实情况。并逐步使用自动化的工具（网管系统、安全集中管理平台等）自动生成和维护资产清单和基线配置。3.3.1 基线配置要求编制系统资产清单和当前系统的基线配置；对资产清单和基线配置的更新作为系统更新或扩展的一项必要工作；使用自动化工具自动生成和维护资产清单和基线配置。内容通过资产调查，确定系统中所有资产的基本信息；基线配置文档的完整性和准确性；实现网络设备和安全设备的集中管理，具备自动生成网络设备和安全设备的基线配置的能力。3.3.2 配置变更控制要求对配置的变更进行记录和控制；使用自动化的工具来记录和控制配置变更。内容对配置变更进行记录；配置变更遵循科学规范29、的流程；使用了对配置变更进行控制和记录的自动化工具。3.3.3 监督配置变更要求对配置变更的全过程进行跟踪，避免配置变更对系统原有的安全功能造成不可接受的负面影响；建立配置变更审计系统。内容指定专门的人员对配置变更的过程进行监督，并在配置变更之后检验配置变更对系统原有的安全性产生的影响；建立了实用的审计系统。3.3.4 变更访问限制要求确保只有被授权和批准的人员才能对信息系统配置进行变更，升级和修改；采取管理和技术的手段对配置变更行为的发生进行限制。内容制定对系统配置的访问控制策略；采用物理和逻辑的访问控制手段，对配置变更进行访问限制。3.3.5 配置策略设置要求对信息系统中使用的各种信息技术30、产品制定统一要求的配置策略文件，并强制执行；根据系统的安全需求，以合理的方式对系统中的设施进行安全配置。内容对系统中的网络设备、安全设备和重要服务器依据配置策略进行了合理的配置。3.3.6 功能最小化要求通过配置，使系统中的设施只实现需要实现的功能。内容目前系统的配置已经禁用了不必要的软件，功能，端口，协议和服务。3.4 应急计划和事件响应应急计划是在信息系统发生紧急安全事件（包括入侵事件，软硬件故障，网络病毒，自然灾害等）之后，为尽快恢复系统正常运行，降低安全事件的负面影响而制定的策略和流程。应急计划工作应该包括应急计划的编写，针对应急计划的培训，应急计划的测试以及应急计划的更新。3.4.131、 应急计划要求为信息系统制定并实施应急计划；应急计划中应描述人员角色、职责、联络人、联络信息以及如何将中断或失效的系统进行恢复；主管领导应审核并批准应急计划，并下发关键的应急责任人员。内容信息系统是否针对各种紧急事件制定应急计划和处理程序，检查其完整性，合理性和可执行性。3.4.2 应急响应培训要求根据应急响应计划中人员角色和职责制定详细的培训计划，并定期进行更新和培训，并作记录；定期考察工作人员应对紧急事件的意识和技能；对事件响应的内容、处理方式和预防措施进行相关的培训。内容按照应急响应计划的总体要求制定应急响应培训计划；有对事件响应的内容、处理方式和预防措施进行相关的培训；有应急培训记录。32、3.4.3 应急和事件响应计划测试要求通过测试来检验信息系统应急计划的有效性，以及检验本单位是否已就绪并能够应对紧急事件。内容有测试记录和报告。3.4.4 应急和事件响应计划更新要求测试后，应及时记录测试结果并总结测试中发现的问题，以对应急计划进行必要更新和修正，使其得到持续的完善。内容安全策略中有关于应急计划更新的策略和流程；不同的应急计划以及更新记录。3.4.5 事件处理要求具备安全事故的处理能力，包括准备、检测、分析、遏制、根除和恢复能力；积极总结以往安全事故处理中的经验和教训，整合到事件处理流程中来，并正确地依照流程进行实施。内容具备处理安全事故的能力；采用自动化的机制来支持事故处理过33、程。3.4.6 事件监控要求对所发生的安全事件进行跟踪并记录；使用相应机制（如防火墙、IDS等相关日志信息），来帮助追踪安全事故，搜集和分析事件信息。内容对所发生的安全事件进行追踪并记录；使用相应机制（如防火墙、IDS等相关日志信息），来帮助追踪安全事故，搜集和分析事件信息。3.4.7 事件报告要求对发生的事故，有正式的报告程序和事件反应程序，描述接到事故报告后要采取的措施；对汇报事件的类型、内容、及时性以及汇报对象的要求，符合法律法规、行业的信息安全策略及相关规定。内容对发生的事故，有正式的报告程序和事件的反应程序;对汇报事件的类型、内容、及时性以及汇报对象的要求，符合法律法规、行业的信息安34、全策略及相关规定。3.4.8 事件响应支持要求建立事故响应的支持力量（如故障电话、专家队伍等），为信息系统用户关于如何处理和汇报安全事故提供建议和帮助（该资源是事故响应综合能力的重要组成部分）；保证并促进与事故响应相关的信息和支持资源的可用性。内容提供事故响应支持力量。3.5 系统管理与维护系统维护是指在信息系统投入正式运行后，定期或不定期的检查系统的脆弱性，并采取技术措施弥补这些脆弱性的活动（防御性维护）；以及在系统出现故障或错误时，检查故障或错误原因，并通过技术手段消除故障或错误的活动（响应性维护）。系统维护是保证系统正常高效运行的重要手段。信息系统的管理和维护人员应制定系统维护的策略和流35、程，并按照策略和流程对系统进行维护。维护的执行者必须是得到正式授权的人员，维护的执行过程必须遵守系统维护的策略和流程。3.5.1 安全管理技术要求利用先进的管理技术和平台对整个网络和信息系统进行统一、有效管理。内容建立网络管理与监控系统，对网络和网上运行的业务系统进行有效的管理；采用适当的安全管理技术将信息系统中的各种安全产品进行集成；安全技术措施与设备进入常规运行，并发挥其在安全策略与安全建设方案中所设定的作用。3.5.2 常规维护要求根据技术规范和相关要求定期对信息系统的各个部件进行预防性的或常规性的维护;编制系统维护记录，对维护日期、维护人员、维护项目以及移除或替代的设备清单等进行记录。36、内容制定系统运行维护规程，描述维护的方法和内容；有系统维护记录；3.5.3 维护工具管理要求对系统维护工具的使用进行严格的监督和控制。内容有对系统维护工具进行管理的制度；规定申请和授权使用可能具有危害性的系统维护工具的流程。3.5.4 远程维护要求维护人员在进行远程维护前得到系统管理者正式的批准；通过管理和技术手段对远程维护进行严格的监督和控制。内容信息安全策略中有关于对于远程维护进行管理的内容，对远程维护的授权、监督与控制进行了详细的规定。3.5.5 维护人员要求保证只有具备足够的技术能力并得到授权的人员可以对系统进行维护。内容编制获得授权可以对信息系统进行维护的人员名单；对本单位维护人员进37、行定期的培训和考核的计划和记录；有对外单位人员进行系统维护的控制和监督措施。3.5.6 维护及时性要求对于信息系统中的重要软硬件设施，规定在发生故障后及时维护响应及有关备件支持的要求，保证系统不间断运行或尽量缩短中断时间。内容信息安全策略中规定发生系统故障后及时维护响应和备品备件要求；当维护工作由外单位或公司负责时，是在合同售后服务条款或安全服务合同中明确了的有关日常维护和紧急事件响应的内容。4 技术管理4.1 标识鉴别信息系统必须事先定义用户的标识和鉴别，所有用户(包括技术支持的人员、操作员、网络管理员、系统程序员和数据库管理员等)要有唯一用户ID，以确保其活动或者事件的发生可以最终追溯到相38、关的责任人，用户的标识和鉴别要经过相关部门的批准，并形成相关的文件；4.1.1 身份标识和鉴别身份识别和鉴别是验证某些事物的过程，是用户进入系统的第一道防线。通过标识和鉴别确保用户联接上了正确的安全属性(如，身份，组，角色，安全级，或是完整性类)。要求信息系统应对用户身份进行唯一地标识和鉴别；身份标识和鉴别应通过静态口令、一次性口令、令牌、生物特征，或多种方式相结合的方法来实现；采用组成复杂、不易猜测的口令，一般应是大小写英文字母、数字和特殊字符中的两者以上组合；保证口令文件安全及口令存放载体的物理安全，口令应加密存储，在网络中必须加密传输。内容信息系统形成身份标识和鉴别文件，并经过相关部门的39、批准；客户机、服务器、数据库、网络设备和应用系统的鉴别口令符合要求；口令文件是加密存储;通过数据监听等方式检查口令加密传输；服务器、客户机口令文件的访问、修改、删除、拷贝由专门授权人员执行；日志文件记录了对口令文件的任何操作；存储和记录口令的介质存放安全。4.1.2 设备标识和鉴别要求信息系统的特定设备在建立连接前，应对其进行标识和鉴别；信息系统通常使用已知的共享信息（如MAC地址、IP地址）或采取鉴别方案（如IEEE802.1X，EAP，Radius）对局域网、广域网设备进行标识和鉴别。内容信息系统事先定义了设备标识，形成设备标识和鉴别文件，并经过相关部门的批准；信息系统采取了技术措施（如网40、管系统、数字证书签名认证等）对设备进行鉴别。4.1.3 标识管理要求对每个用户进行唯一的标识，并核实用户真实身份；用户标识的发布得到适当人员的授权，并确保用户标识确实发放到当事人手中；用户标识如经过一段时间（如一个月，三个月）未被使用，应将其中止；用户标识应进行存档。内容对信息系统制定标识管理制度，并采取技术措施实现标识管理功能。4.1.4 鉴别管理按照用户授权给予其访问信息系统或服务的权力前验证用户身份的常用手段。要求制定管理规章制度对信息系统的认证鉴别方式(包括令牌、PKI证书,生物特征,口令等)进行管理，包括认证方式的初始分发、丢失、泄露、损害，以及撤销等方面的管理；在安装信息系统时，更41、改缺省的认证内容设置，对认证内容进行初始化定义；对基于口令的认证方式，应保护口令在存储和传输过程中免于泄露或被修改，防止口令在输入时显示，制定口令最大和最小生命周期限制，并禁止口令生成若干次后的重用；对基于PKI的认证方式，应建立可信路径以核实证书的真实性，加强用户对其私钥的管理，并实现被鉴别的身份同用户账户的一一映射；用户在规定的时间段内没有做任何操作和访问，系统应提供重鉴别机制。内容操作系统、应用系统等的身份鉴别机制采用了静态口令、令牌、一次性口令、生理特征等身份鉴别措施；重要信息系统的口令长度不少于8个字符，更换周期小于60天；服务器和客户端系统设置了重鉴别机制，切断了超时会话，设置了屏42、幕保护等。4.1.5 登录和鉴别反馈确保授权用户的访问，预防信息系统的非授权访问。要求采用安全的登陆规程以控制对信息系统的访问；当用户试图进行登录鉴别时,提供有关的反馈信息给用户，反馈信息不能暴露鉴别机制；在用户进行鉴别的过程中,信息系统将反馈的鉴别信息进行模糊处理（如进行系统登录时，将输入密码显示为星号）内容用户鉴别尝试失败次数连续达到5次后，系统锁定该用户帐号，只有适当的安全管理人员有权恢复或重建该帐号，将有关信息生成审计事件；输入口令是回显。4.2 访问控制访问控制是信息系统技术类的重要部分，它的目的是对系统中信息的访问进行控制。在对系统进行访问控制时，应按照业务及安全要求控制信息及业务43、程序的访问，并把信息发布及授权的策略内容加入到考虑范围之内。访问策略文件应清楚写明每个用户或每组用户应有的访问控制规定及权限，用户及服务提供商都应有一份这样的文件，明白访问控制要达到什么业务需求。访问控制涉及以下内容：账户管理、强制访问、信息流控制、职责分离、最小特权、不成功登录、系统使用情况、最近登录情况、当前会话控制、会话锁定、会话终止、对访问控制的监督和审查、不需鉴别或认证的行为、自动化标记、自动化标签、远程访问控制、无线接入访问控制、可携便式移动设备的访问、私人信息系统。4.2.1 账户管理对信息系统的所有用户设立账户管理文档，账户管理应包括用户访问生命周期的所有阶段。它的目的是确保授44、权用户的访问，并预防信息系统的非授权访问。要求制定正式的账户管理文档，管理信息系统的账号，包括建立账户、激活账户、修改账户、检查账户、中止账户和删除账户；覆盖用户帐号生命周期的所有阶段，从注册新用户到最后注销那些不再需要访问信息安全及服务的用户；该特别注意控制分配特级访问权限，防止特级权限让用户越过系统的控制。内容制定正式的账户管理文档，管理信息系统的账号，包括建立账户、激活账户、修改账户、检查账户、中止账户和删除账户；账户管理包括用户访问生命周期的所有阶段；有控制分配特级访问权限。4.2.2 强制访问对信息系统的重要系统进行访问时，要使用强制访问控制手段加强对信息系统的用户和客体的管理。它的45、目的是保护信息系统的重要应用系统。要求对需要认证访问的系统应该使用强制访问方法；采用硬件、软件或固件实现。内容使用以下访问控制策略来加强对信息系统的用户和客体的管理：基于身份的策略；基于角色的策略；基于规则的策略。使用以下强制访问机制来加强对信息系统的用户和客体的管理：访问控制列表；访问控制矩阵；加密。4.2.3 信息流控制信息流是对信息系统的内部及外部联网服务的访问控制，可通过在防火墙上设置过滤策略，或在路由器上设置访问控制策略实现。它的目的是控制内部及外部联网服务的访问，保护网络服务的安全。要求控制内部及外部联网服务的访问，确保可以访问网络或网络服务的用户不会破坏这些网络服务的安全；根据信46、息流的特征（如IP地址、端口、传输协议等）对信息流进行控制。内容有对内部及外部联网服务的访问控制措施；采用基于信息特征的信息流控制方法和强制访问机制，加强对相互连接的系统间信息流的访问控制。4.2.4 职责分离职责分离是一种降低未授权访问、无意识修改或滥用职权的方法。它的目的是减少偶然的或故意的系统误用风险。要求采用职责分离原则，降低意外或蓄意误用系统所带来风险的。不让未授权的个人访问，修改或使用系统资源。内容建立职责分离制度；把信息系统按使用的不同分类，划分不同的角色（如系统管理员,系统编程员,质量管理员/测试员,配置管理员,网络安全管理员等）；不同的个体执行信息系统的不同的职能(例如系统管47、理，系统编程，质量管理/测试，配置管理，网络安全等)；执行存取控制作用的安全人员不执行审计作用。4.2.5 最小权限最小权限是限制和控制特权的使用和分配。它的目的是防止授权用户访问超越其职能管理的范围，导致系统故障或安全违规。要求严格限制特权的分配和使用，对系统特权的不当使用是导致系统被攻破的一个主要因素；系统必须通过正式的授权程序来控制对特权的分配。内容确定与系统产品例如操作系统、数据库管理系统和应用软件相联系的特权和需要分派的任务类别相对应；特权的分配建立在必要基础上；有授权程序和分配特权的记录；特权用户身份与常规用户身份分离。4.2.6 不成功登录尝试不成功登录尝试是用户连续的试图进入系48、统的不成功的尝试。它的目的是防止非授权用户对系统的访问。要求当用户连续的试图登录次数超过系统规定的最大次数时,系统应该能够自动锁定帐户或延迟帐户下一次登录的时间。系统限制登录程序的最长及最短时间，如果超过，系统将终止登录。内容直到登录成功完成，才显示系统的标识符；限制登录失败的次数，记录不成功的登录；强制在继续登录尝试前有时间间隔，或者在没有特定授权之下拒绝任何登录尝试；限制登录程序的最长及最短时间。4.2.7 系统使用情况系统使用情况用来描述系统的使用状况、系统的近期和目前的安全状况、当异常状态发生时能立即自动报警。它的目的是监视、记录和审计系统的使用状况。要求系统能够显示系统的使用情况；系49、统应能够监视、记录和审计系统的使用情况；系统能够在用户登录系统之前，通知用户使用个人策略和安全策略。内容采用信息审计产品对系统的使用状况进行监视和管理；当出现系统异常时，系统能够自动报警。4.2.8 最近登录情况最近登录情况用来描述系统最近时期的用户登录次数、时间。它的目的是防止非法用户访问信息系统。要求信息系统在用户成功登录后，通知用户最近登录的日期和时间，以及不成功登录的次数。内容系统能够在用户成功登录后，通知用户最近登录的日期和时间，以及不成功的登录的次数。4.2.9 并发会话控制并发会话控制是对用户并发会话的次数有一个最大值限定，当超过最大值时，系统应该自动向管理员报警。它的目的是防止50、非授权用户对系统进行访问和拒绝服务攻击。要求信息系统应该限制用户并发会话的数量。内容当用户并发会话的次数超过系统规定的最大次数时，系统能够自动向管理员报警；当用户并发会话的次数超过系统规定的最大次数时，系统能够锁定此用户的帐号。4.2.10 会话锁定会话锁定是当用户对系统进行长时间的访问时，系统有适当的鉴别机制和认证程序使用户再次建立有效的会话。它的目的是防止非授权用户对系统进行访问。要求系统为了防止用户使用初始的会话锁对系统进行更多的访问，使用适当的鉴别和认证程序使用户再次建立有效的会话锁。内容当定义的静止状态发生后，系统能够自动激活会话锁；有合适的锁定机制（例如有口令的屏幕保护）。4.2.51、11 会话终止会话终止是当系统会话结束后或系统处于静止状态一段时间后，系统能够自动终止会话。它的目的是保护PC或终端不被非法使用。要求在静止状态发生一段时间后，系统能够自动终止会话。内容系统在会话结束后退出登录主机（即不仅仅是关闭PC或终端）；当PC或终端不用时，系统能保护它们不被非法使用，例如使用密钥锁或等同的安全机制，如口令访问。4.2.12 对访问控制的监督和审查对访问控制的监督和审查是对用户的行为进行监督和审查。它的目的是加强对系统的访问控制。要求对用户的行为进行监督和审查，以此来加强对系统的访问控制；定期审查系统信息，当发现异常情况时，适当调整访问控制策略；对系统特权用户的行为定期进52、行重点审查；内容有与访问控制策略不符的审计记录；当发现异常信息时，调整访问控制措施；对系统特权用户定期进行重点审查。4.2.13 不需鉴别或认证的行为不需鉴别或认证的行为是不需要鉴别或认证就可执行的用户行为，如一些公共网站、公开可用信息。它的目的是方便用户对公开信息的访问。要求定义不需要鉴别或认证就能够执行的用户行为，比如公共网站，公开可用信息系统。内容明确定义不需要鉴别或认证就能够执行的用户行为。4.2.14 自动化标记自动化标记是对系统的物理或电子格式的信息资产进行分类标记。它的目的是方便信息的安全处理、储存、传播或发送。要求信息系统标记产品使用标准命名惯例，以方便传播、处理或发送指示；信53、息被分类来确认保护的要求和优先级。内容信息被分类来确认保护的要求和优先级；制定合适的程序来标注及处理信息。4.2.15 远程访问控制远程访问控制是对远程用户对系统的访问进行控制。它的目的是对远程用户进行鉴别是否为系统的合法用户。要求建立对远程访问控制的相关文件；对远程访问进行监控；使用加密来保护远程访问会话的机密性；使用访问控制管理中心管理远程访问。内容编写对远程访问控制的相关文件；采取远程访问控制管理手段,对远程访问进行管理和监控；采用加密技术保护远程会话信息4.2.16 无线接入访问控制无线接入访问控制是对无线接入用户的访问控制。它的目的是对无线接入用户进行鉴别是否为系统的合法用户。要求对54、无线接入进行限制，制定相关的文件；对无线访问进行监视和控制；在使用无线接入时有正式的授权；使用认证和加密技术保护无线访问系统。内容在无线接入前已经进行认证；使用无线传输信息时对信息进行加密处理；使用IEEE802.1X标准使用IEEE802.11b标准或蓝牙标准；4.2.17 便携式移动设备的访问控制便携式移动设备的访问控制是对便携式移动设备的使用进行访问控制。它的目的是对系统的重要信息进行保护，防止非法用户获取。要求建立对便携式移动设备使用的限制，制定相关的文件；对便携式移动设备访问进行监视和控制；对存储于便携式移动设备中重要信息使用加密技术进行保护。内容编写便携式移动设备使用限制的文件；当55、使用便携式移动设备时，有以下相应的安全措施：扫描恶意代码；更新病毒库，检测重要软件的更新、打补丁；对主操作系统完整性检查；卸载不用的硬件4.2.18 个人信息系统对个人信息系统进行访问控制是限制个人信息参与组织信息相关的处理、存储及传输过程。它的目的是限制个人信息系统在系统中的使用。要求限制个人信息系统参与组织信息相关的处理，存储以及传输过程。内容建立对使用个人信息系统的限制；在物理上有足够的安全控制。4.3 系统与信息完整性系统和信息的完整性是指信息系统中的操作系统，应用系统，数据库系统等软件工具的功能和配置以及在信息系统中存储的信息保持正确的状态，不被非法篡改。为保持系统和信息的完整性，系56、统管理和维护人员要制定相应的策略和流程，并按照制定的策略和流程使用技术手段和管理手段修补系统中存在的漏洞，消除系统中的恶意代码，并对输入输出信息系统的信息进行控制和校验。4.3.1 漏洞修补跟踪最新发布的漏洞公告，及时对操作系统、应用系统、数据库系统进行漏洞补丁加固。要求及时的发现，报告并修补系统中的漏洞。内容运行维护规程对漏洞修补工作进行了详细的规定;有漏洞修补的相关记录。4.3.2 防恶意代码攻击部署恶意代码（病毒、蠕虫、木马、间谍软件等）保护机制，并具备自动更新能力；目的是为了保护操作系统、应用系统、数据库系统的安全，以至不出现系统崩溃、数据丢失等危险。要求利用管理和技术手段防止恶意代码57、（病毒，蠕虫，木马等）对系统的破坏。内容系统中部署了防病毒系统；制定了防病毒的相关管理规定。4.3.3 输入信息的限制防止未经授权的人向应用程序和数据库输入信息，改变系统与信息的完整性。要求保证只有经过授权的人可以向信息系统中输入数据。内容利用访问控制设备，应用程序本身的配置和相应的管理手段防止未经授权的人向应用程序和数据库输入信息。4.3.4 错误处理通过错误处理使系统管理员和系统维护人员能快速辨别和处理错误。要求信息系统具备快速辨别和处理错误的能力内容在应用系统的开发过程中充分考虑报错信息的形式和内容；在系统中出现错误后及时地提供有关错误的有用信息；有报错信息能为攻击者提供系统中的敏感信息58、和有关系统脆弱性的信息；报错信息只显示给拥有授权的用户如系统管理员和系统维护人员。4.3.5 输出信息的处理和保存通过信息的处理和保存，确保信息的真实性、合理性、完整性、精确性。要求对应用系统输出的信息进行妥善的处理和保存，保证输出和储存信息的过程合理。内容对系统输出的信息的真实性进行校验，保证输出信息的合理性；为信息的阅读者或输出信息的接收系统提供充足的信息，以确定输出信息的真实性，完整性，精确性和类别；对输出信息的去向和储存方式作详细的记录。4.4 系统与通信保护 系统和通信保护是信息系统正常运行的重要保障，它的目的是确保信息处理设备运作正确及安全。建立管理及运行所有信息处理设备的责任及程59、序，包括制定适当的运行指示及事故反应响应程序。系统与通信保护涉及以下内容：应用分类、安全域划分、残余信息、拒绝服务保护、资源的优先权、边界保护、传输完整性、网络断开、密钥的建立和管理、使用有效的加密系统、公共访问保护、安全参数传输、公钥证书、移动代码、Voip技术。4.4.1 应用系统分区应用系统分区是把用户功能与信息系统管理功能分离。它的目的是防止授权或非授权用户访问要求信息系统应该把用户功能(包括用户接口服务)与信息系统管理功能进行分隔。内容系统将用户接口服务(如，公共网页)与信息存储和管理服务(如，数据库管理)在物理或逻辑上进行分隔。4.4.2 安全域划分要求按行业计算机网络与信息系统的60、网络结构、具体的应用以及安全等级的需求，进行安全域的划分。内容安全域划分符合系统访问控制策略（如按核心业务应用、办公自动化、公共信息服务和关键部门来进行安全域划分），分析安全域的划分是否符合要求并进行验证。4.4.3 拒绝服务保护要求系统能够阻止拒绝服务攻击。内容采用一些技术限定或消除拒绝服务攻击。如：网络边界设备（防火墙）通过过滤特定类型的包来保护内部网络。4.4.4 边界保护要求监视、控制系统内部关键边界和外部边界系统的通信。内容采用如下方法对边界进行保护：代理，网关，路由器，防火墙，加密隧道等。4.4.5 网络连接终止要求在会话结束或处于一段时间非活动状态后终止网络连接。内容具备网络连接61、终止的机制。4.4.6 公共访问保护要求对公共可用系统，保护信息的完整性和可用性。内容保护电子发布信息的完整性，以免被非法更改，导致行业的声誉受损；在信息公开使用前，有一套正式的授权程序；电子公布系统，特别是需要反馈的及可直接输入的信息，受保护控制。4.4.7 移动代码要求当使用授权的移动代码时，确保其符合所明确定义的安全策略，防止执行未授权移动代码；探测，防护和恢复控制防止恶意代码，并实施正确的用户意识。内容使用加密控制、鉴别移动代码；使用的移动代码不包含恶意代码；有探测，防护和恢复控制，防止恶意代码的控制措施。4.5 介质保护介质是信息静态的载体，包括纸质的文件文档和硬盘、光盘、U盘等以数62、字形式储存信息的介质。对介质进行适当的访问控制，以合理的方式进行介质的保存，传送和废弃是保证信息的机密性、完整性和可用性的必要手段。首先要通过门禁，密码鉴别，人员看守等各种访问控制措施保证只有经过授权的人可以访问储存有敏感信息的各种介质。其次要为重要的介质设置标识，例如贴上打印的纸条，纸条上要印有介质的编号，名称，类别，负责看管和使用的人员或部门，该介质的使用范围的限制和操作中的注意事项等，有条件时可以用激光条码给介质编号。4.5.1 介质访问防止未授权人员通过各种介质访问系统信息。要求保证只有经过授权的人可以访问储存有敏感信息的各种介质；内容设置必要的访问控制措施保证，没有经过授权的人不能使63、用重要的介质。4.5.2 介质保存介质保存目的在于防止数据的丢失。要求妥善地保存重要信息的存储介质。内容有专人对重要介质进行保管；制定了介质保存的相关规定，明确介质保存的环境指标和相应原则。4.5.3 信息彻底清除信息彻底清除的目的在于防止敏感信息泄露给未授权人员。要求使用经过系统管理人员核准的设备，技术或软件对储存介质中储存的涉密信息进行彻底清除。内容制定相关规定来明确什么样的信息需要彻底清除；彻底清除信息的工具符合国家保密部门的有关规定；信息的清除是有效的。4.5.4 介质的废弃建立介质安全销毁的正式程序，以最小化敏感信息泄露给未授权人员的风险。要求在系统储存介质被废弃时清除其储存的信息或64、把它销毁，防止未经授权的人通过废弃的介质得到其中的信息。内容介质销毁工具是符合国家保密部门相关规定的。4.6 物理和环境保护省级局（公司）、工业公司、重点工业企业的机房应达到国家A级以上标准，分公司的机房应达到国家B级标准。满足国家标准GB50174-1993电子计算机机房设计规范、GB2887-2000电子计算机场地通用规范、GB9361-1998计算机场地安全要求的要求。4.6.1 物理访问授权要求制定和维护当前被授权访问信息系统、设施的人员名单，并且发放适当的访问许可，如徽章、身份卡、智能卡等；指定专人定期复查、批准权限清单和授权许可，对于不再需要进行访问的人员应从清单中移除。内容制定物65、理访问授权的相关规定，检查有关的清单和授权许可。4.6.2 物理访问控制要求控制所有信息系统、设施的物理访问进出点，在允许访问之前核实人员的访问许可；根据风险评估的结果，控制对某些公共区域的访问；进入安全区的权限列表必须被定期检查与更新，及时撤消列表中不必要的人员。内容有门卫制度、登记制度，没有预约的访客必须严格审查，登记日期和时间；所有的员工，合作者及第三方人员及访客都佩带胸卡，以便及时发现非授权进入者；服务器、网络设备、备份系统等放置在有安全措施的专用机房。4.6.3 显示介质访问控制要求严格控制对显示信息设备的物理接触，以防止未经授权的人员浏览显示内容。内容制定并实施针对显示介质的访问控66、制措施。4.6.4 物理访问监视要求对信息系统的物理访问活动进行监视，检测并应对紧急事件。定期检查物理访问记录，调查明显的安全违规行为和可疑的物理访问活动，并且采取补救措施。内容组织安装、并实时监视入侵警报和监视设备。4.6.5 来访人员控制要求在授权来访人员访问信息系统、设施前进行身份鉴别；安排专人陪同来访人员，并监视其活动。内容有针对来访人员的控制措施；4.6.6 来访记录要求对来访人员进行登记，安排专人定期审查登记记录；来访人员记录应包括来访者姓名，单位，签字，身份证件，来访日起，进出时间，来访事由，接待人员和部门等。内容有来访人员登记记录。4.6.7 环境安全要求信息系统中心机房应满足67、国家标准GB50174-1993电子计算机机房设计规范、GB2887-2000电子计算机场地通用规范、GB9361-1998计算机场地安全要求的要求。内容机房在场地、防火、防水、防烟尘、抗震、电力、布线、配电、温湿度、防雷、防电磁辐射、防静电等方面达到A类或B类机房标准。4.7 检测和响应在事件审计中，对与安全事件有关的审计日志要进行相应的记录；审计日志必须保留一段时间，以便将来帮助重新调查，并严格控制访问的权限。在审计记录中，系统管理员和相关的操作人员必须形成相关的审计记录。记录要包括：事件发生的结果（成功的和失败的）；对进入系统的人员名单的记录，(如管理员或一般操作人员的帐号的记录)；相关68、处理的记录，(如文件的删除等)；系统的启动和停机时间；系统报错和与之对应的纠正措施；数据和信息的正确处理和输出。对操作员的登录情况必须定期地、独立地对照操作程序进行核查。在处理涉密系统时，必须检测并记录侵犯系统的事件和各种违规操作，并及时自动告警要定义异常事件，如：猜测口令。要设定告警条件；要及时自动告警并提醒安全保密管理人员有安全事件发生。对于审计记录和内容，及存储设施必须给予保护(如一些文档的记录或者存储设备)，来防止试图和非授权的访问。要建立与审计相关的监控程序，以确保只能进行已经明确规定的授权活动。要定期回顾监控活动的结果。每项记录要有详细的保留期限和储存媒体类型，例如：纸、缩微胶片、69、磁和光；必须考虑储存记录用媒体可能出现的老化；在选择电子储存媒体时，要包括在整个保存期间确保能访问数据（媒体和格式可读性）的程序，以保护记录免遭由于将来技术变动而造成的丢失；储存和处理的系统必须确保能够清楚地识别记录。必须保护系统审核工具，即软件或数据文件的访问，以防止有可能发生的错误使用或损坏。必须定期备份审计日志。储存和处理的审计日志必须确保已经清楚地进行了识别记录及它们的保留期；在过期以后，如果不再需要，必须采取适当的措施，如销毁这些记录。4.7.1 事件审计要求对审计的事件必须生成相关的审计报告；必须说明信息系统的组成部分（如软件和硬件）以及其执行审计的活动；审计的活动要反映信息系统的70、执行情况；必须根据所作的风险评估，在保持业务连续性的基础上，对特殊情形的响应情况，决定需要审计的事件；必须定义要审计的事件，以便在发生信息安全事件或者是在犯罪之后能够对此进行调查和取证。内容采取了监控的方式来发现非授权访问的活动。4.7.2 审计记录的内容要求在审计记录中，必须描述一些充分的信息和证据，以确定发生了什么事件、事件发生的来源和事件发生后的结果以及预期的结果；大部分的审计记录包括：事件发生的日期和时间；信息安全事件发生时，对信息系统的组件，如软件和硬件等的审计记录；事件的类型及事件的成功或失败的结果；审计记录的内容中必须记录一些额外的和更详细的信息，如事件的类型、事件发生的地点和事71、件发生的主体等；对审计记录的内容要集中管理。内容审计日志严格记录了每个用户的每次活动（访问时间、地址、数据、设备等）以及系统出错和配置修改等信息；审计日志中记录审计事件发生的日期和时间、主体身份、事件类型、事件结果（成功或失败）；记录以下重要审计事件：鉴别失败、系统配置修改、用户权限修改等。4.7.3 审计处理要求审计失败或者是超过其审计容量允许的存储大小时，必须采取适当的报警措施以及一些如关机、停止正在生成的审计记录等措施；必须定义其最大的审计存储容量，同时当存储的审计日志和记录超过其存储大小时，必须提供报警。内容系统安全保密管理人员定期进行系统日志审查；安全保密管理人员定期的查看审计日志，72、并有所记录。4.7.4 审计的监控、分析和报告要求对于非正常的活动，要进行有规则的和有计划的回顾、分析，以便调查其它一些可疑的行为，并及时报告，采取必要的措施；对于调查和响应的一些可疑的活动，相关的人员要采取自动化的机制，结合审计监控、分析和报告进行全面的处理。内容对所有入侵系统的、系统登录异常的监控警报有所记录；对监控的结果进行了分析、记录并及时报告。4.7.5 审计信息保护要求对于一些非授权的访问、修改和删除，信息系统必须保护其审计信息和审计工具。内容对重要的审计记录进行了相应的保护，使之免于丢失、损坏和伪造。4.7.6 审计保留要求保留审计日志的记录，以提供对信息安全事件之后的调查取证。73、内容制订审计记录，用来明确记录审计的类型和要保留的时间周期。4.7.7 入侵检测要求使用工具和技术以监控信息系统的事件，检测攻击，识别对系统的非授权使用。内容使用入侵检测和信息系统监控工具（如IDS，病毒防护软件，日志监控软件），提供对近乎实时的事件分析功能以检测系统级的攻击。4.7.8 漏洞扫描要求使用正确的脆弱性扫描工具和技术，对影响系统的关键资产进行相关的脆弱性扫描；相关的工作人员对其脆弱性工具使用的熟练程度是否满足脆弱性扫描的要求；脆弱性扫描工具的软件版本定期更新；针对信息系统脆弱性结果，对重要信息系统进行更新和改进；在对信息系统和其组件扫描时，考虑其行为对系统的威胁。内容对所选择的人74、员进行培训，使之能够使用和维护脆弱性扫描工具和技术；从脆弱性扫描工具中获取的信息和其他相关人员进行共享，帮助其它系统排除相似的脆弱性；对客户端软件和应用的脆弱性分析采取具体的方式（例如：应用脆弱性扫描工具，源代码检查，源代码静态分析），提供网络安全测试指南，提供安全补丁操作指南；组织机构根据脆弱性的结果对相关系统进行改进和加固；脆弱性扫描流程确保包括适当的重复扫描方式，包括脆弱性核查和信息系统组件扫描；确保在脆弱性扫描的过程中，对信息系统的威胁是可控的。4.7.9 安全告警和响应要求定期接收信息系统安全告警和报告，并发布给适当人员，以采取行动做出响应。内容定期接收信息系统安全告警和报告，制定相75、关规定，描述收到告警后应采取的行动。4.8 备份与恢复建设全面的数据备份与恢复系统，是信息安全的长远目标之一。各省级单位应根据目前的条件筹划并开始建立数据备份与恢复系统。数据备份与恢复系统的建设工作可以从备份存储站点，备份处理站点，备份通信线路，信息系统备份和信息系统恢复与重建五个方面来考虑。备份储存站点是指除了运行系统自身的信息存储设备，建立另一个站点来储存系统的备份信息。根据自身的特点与数据存储的重要性制定备份存储策略（包括选择全备份、增量备份等备份方式，选择备份数据的时间，选择备份数据地点等）并制定相应的操作规程。备份处理站点是指除了运行系统自身的信息处理软硬件工具外，建立另外的一个备份76、站点，在运行系统遭到严重破坏不能正常运行时，启用备用的处理设备和应用系统来处理信息。4.8.1 信息系统备份保持信息和信息处理设施的完整性和可用性。要求对用户级和系统级的重要信息进行备份，将备份的信息储存在备份储存站点；定期检查备份信息，保证备份存储介质的可靠性和备份信息的完整性。内容有信息备份的记录，备份工作是符合本单位信息备份策略的规定；对备份信息进行检查的记录。4.8.2 备份存储地点根据备份策略设置备份存储地点。要求根据自身特点与数据存储的重要性制定备份存储策略；根据备份存储策略建设备份存储站点。内容制定了符合自身特点的备份存储策略；按照备份储存策略为重要业务信息和系统信息建立备份存储77、站点，并对站点进行合理的配置，在需要进行数据恢复时站点可以及时有效的运行。4.8.3 备份处理地点进行双向备份，目的在于主备份失效后备用备份能充当主备份的功能，保证业务的持续性。要求根据自身特点，建立备份处理站点，当重要的信息处理能力失效后，可以自动启动备份的处理设备，及时地对重要业务信息进行处理。内容根据自身的业务特点，为重要的应用系统或重要信息建立了备份处理站点；对备份处理站点进行测试或检查备份处理站点的测试报告，备份处理站点有效。4.8.4 信息系统恢复与重建保障信息系统、业务的持续性、全面性、合理性。要求采取技术措施并建立相应的流程，保证重要的业务系统在遭到破坏后可以迅速的恢复或重建。内容应急响应计划或业务可持续性计划中关于信息系统恢复与重建的内容的是全面的和合理的。