6.4.4 風險管理要求

在滿足第三級的管理要求的基礎上，本級要求如下：

a） 風險管理要求和策略，應建立風險管理質量管理體系，進行獨立審計；要求機構能夠做到針對風險的變化重新啟動風險評估；（見5.3.1.1d），5.3.1.2c））
b） 風險分析和評估要求，對關鍵區(qū)域或部位進行威脅分析和評估，在業(yè)務應用許可并得到批準的條件下，應使用檢測工具在特定時間捕捉攻擊信息進行分析；其他同第三級要求；（見5.3.2.1b），5.3.2.2d），5.3.2.3c），5.3.2.4c））
c） 風險處理和減緩要求，同第三級要求；（見5.3.3.1c））
d） 基于風險的決策要求，同第三級要求；（見5.3.4.1c），5.3.4.2b））
e） 風險評估的管理要求，應按照國家主管部門有關管理規(guī)定選擇可信評估機構，必要時應由國家指定專門部門、專門機構組織進行信息系統(tǒng)風險評估；結合實際情況制定具體保密要求及實施辦法；由本機構人員進行技術測試操作并對測試結果過濾敏感或涉及國家秘密信息后再交評估方分析。（見5.3.5.1c），5.3.5.2c），5.3.5.3c），5.3.5.4d））


6.4.5 環(huán)境和資源管理要求

在滿足第三級的管理要求的基礎上，本級要求如下：

a） 環(huán)境安全管理要求，實施不同等級安全區(qū)域的隔離管理；機房使用視頻監(jiān)控和專職警衛(wèi)；規(guī)定關鍵部位辦公環(huán)境的要求；建立出入審計、登記管理制度，保證出入得到明確授權，并出
入人員持有授權書，授權書中要明確出入的目的、操作的對象、操作的步驟和操作的結果證明；對出入標記安全區(qū)的活動進行不間斷實時監(jiān)視記錄；建立出入安全檢查制度，保證出入人員沒有攜帶危及信息系統(tǒng)安全的設施或物品；信息系統(tǒng)的物理環(huán)境安全方面的設施應達到GB/T 20271-2006中6.4.1的有關要求；（見5.4.1.1d），5.4.1.2d），5.4.1.3c））
b） 資源管理要求，對重要數據的介質必須加密存儲；介質的保存和分發(fā)傳遞按照機要件管理方法處理；其他同第三級要求。（見5.4.2.1c），5.4.2.2c），5.4.2.3d），5.4.2.4c））


6.4.6 操作和維護管理要求

在滿足第三級的管理要求的基礎上，本級要求如下：

a） 用戶管理要求，應對關鍵部位用戶逐一審批和授權，定期檢查符合性，并開啟審計功能；（見5.5.1.1d），5.5.1.2c），5.5.1.3c），5.5.1.4c），5.5.1.5c））
b） 運行操作管理要求，關鍵部位的終端計算機必須啟用兩個及兩個以上身份鑒別技術的組合來進行身份鑒別，終端計算機應采用低輻射設備，每個終端計算機的管理必須由專人負責；對便攜機操作要求包括應采用低輻射設備，機內的涉及國家秘密數據應采用一定強度的加密儲存或采用隱藏技術；變更控制管理要求實施的獨立的安全審計，并進行一致性檢查；涉密信息在其安全區(qū)域之外傳輸應經過批準并明確責任，還應采取必要的安全措施；（見5.5.2.1c），5.5.2.2c），5.5.2.3d），5.5.2.4c），5.5.2.5c），5.5.2.6d），5.5.2.7d））
c） 運行維護管理要求，應對系統(tǒng)運行管理過程實施獨立的審計，保證安全管理過程的有效性；運行狀況監(jiān)控應對關鍵區(qū)域和關鍵業(yè)務應用系統(tǒng)運行的監(jiān)視；軟件硬件維護要求一般不允許外部維修人員進入關鍵區(qū)域；應對外部服務方每次訪問都應進行風險控制，必要時應不允許外部服務方的訪問；（見5.5.3.1d），5.5.3.2d），5.5.3.3d），5.5.3.4d））
d） 外包服務管理同第三級要求；（見5.5.4.2c））
e） 有關安全機制保障要求包括，身份鑒別機制管理要求進行身份鑒別和認證管理的強制保護；訪問控制策略管理要求進行訪問控制的監(jiān)控管理，檢查和保護審計數據和工具；系統(tǒng)安全管理要求基于強身份鑒別；網絡安全管理要求基于獨立安全審計；應用系統(tǒng)安全管理要求基于獨立審計和工作隔離；病毒防護管理要求進行監(jiān)督檢查；（見5.5.5.1d），5.5.5.2d），5.5.5.3d），5.5.5.4d），5.5.5.5d），5.5.5.6d），5.5.5.7b））
f） 安全機制集中管理要求，根據網絡結構要求，能夠按照分布式多層次的管理結構，進行分層級聯(lián)方式的集中安全管理；應對關鍵區(qū)域網絡安全信息的處理和訪問具有相應安全級別的控制和保護措施；對關鍵區(qū)域或涉密網絡，可限制網絡用戶非法入網，對網絡主機進行地址綁定、定位檢測等控制措施。（見5.5.6.1b），5.5.6.2b），5.5.6.3a），5.5.6.4a））


6.4.7 業(yè)務連續(xù)性管理要求

在滿足第三級的管理要求的基礎上，本級要求如下：

a） 備份與恢復要求，數據備份和恢復策略要求定制如遠地系統(tǒng)備份等適當方式和恢復方式以及操作程序，必要時對備份后的數據采取加密處理，操作時要求兩人在場并備案；建立遠地系統(tǒng)備份中心，確保主系統(tǒng)在遭到破壞時遠地系統(tǒng)能替代主系統(tǒng)運行；（見5.6.1.1d），5.6.1.2c））
b） 安全事件處理同第三級要求；（見5.6.2.1c），5.6.2.2c））
c） 應急處理要求，應急處理和災難恢復要求實施的獨立審計；應急計劃的實施保障要求進行業(yè)務連續(xù)性要求分析。（見5.6.3.1d），5.6.3.2a），5.6.3.3d））


6.4.8 監(jiān)督和檢查管理要求

在滿足第三級的管理要求的基礎上，本級要求如下：

a） 符合法律要求同第三級要求；（見5.7.1.1c），5.7.1.2c），5.7.1.3a））
b） 依從性檢查要求，安全策略依從性檢查應是持續(xù)改進過程；對關鍵區(qū)域或涉密系統(tǒng)的技術依從性檢查，應注意對有關檢測過程和檢測結果的安全進行保護；（見5.7.2.1b），5.7.2.2c），5.7.2.3c））
c） 審計及監(jiān)管要求，應對系統(tǒng)審計工具進行保護，明確審計工具的保存方式、責任人員等；應對系統(tǒng)審計活動進行規(guī)劃，減小中斷業(yè)務流程的風險，對所有的流程、需求和責任都應文檔化；依照國家政策法規(guī)和技術及管理標準進行自主保護，信息安全監(jiān)管職能部門對其進行強制監(jiān)督、檢查；（見5.7.3.1c），5.7.3.2d））
d） 責任認定要求，應對審計發(fā)現問題的處理結果進行復查，并明確復查的期限和責任；對審計及監(jiān)管者應對審計發(fā)現問題的處理結果進行跟蹤檢查，對未進行跟蹤檢查而造成損失的應承擔責任。（見5.7.4.1c），5.7.4.2c））


6.4.9 生存周期管理要求

在滿足第三級的管理要求的基礎上，本級要求如下：

a） 規(guī)劃和立項管理，同第三級要求；（見5.8.1.1c），5.8.1.2c），5.8.1.3c））
b） 建設過程管理，對于安全保護等級較高的信息系統(tǒng)工程項目，一般不應采取工程項目外包方式；對于安全保護等級較高的信息系統(tǒng)建設項目及涉密項目，應對開發(fā)全過程采取相應的保密措施，對參與開發(fā)的有關人員進行保密教育和管理；（見5.8.2.1c），5.8.2.2d），5.8.2.3d），5.8.2.4a），5.8.2.5c））
c） 系統(tǒng)啟用和終止管理，要求新的信息系統(tǒng)或子系統(tǒng)、信息系統(tǒng)設備正式投入使用的一定時間內，應進行審計跟蹤，定期對審計結果做出風險評價，對安全進行卻認決定是否能夠繼續(xù)運行，并形成文檔備案。（見5.8.3.1d），5.8.3.2c））


6.5 第五級：訪問驗證保護級

6.5.1 管理目標和范圍

本級為訪問驗證保護級，實施持續(xù)改進管理，進行?？乇Ｗo。適用于涉及國家安全、社會秩序、經濟建設和公共利益的重要信息和信息系統(tǒng)的核心子系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經濟建設和公共利益造成特別嚴重損害。在實現第四級管理目標的基礎上，本級管理要求達到具有自我持續(xù)改進的安全管理措施，建立完善的信息系統(tǒng)安全管理制度；要求有持續(xù)完善的安全計劃、安全規(guī)程、安全措施，不斷化解信息系統(tǒng)的安全風險；要求能夠保護核心的局域計算環(huán)境，具有可信的網絡基礎設施與邊界，具有嚴格的用戶權限與訪問控制措施；具有防止各種手段的信息泄漏和竊取措施，確保被授權的用戶隨時可以訪問信息，確保責任（抗抵賴性，對自己的行為負責），嚴密的監(jiān)控措施（強審記、異常檢測），具有較好的響應與恢復措施；對信息系統(tǒng)的安全實施全面質量管理。通過管理活動保證信息系統(tǒng)達到GB17859-1999本級的要求。（見5.1.1.1e））

6.5.2 政策和制度要求

在滿足第四級的管理要求的基礎上，本級要求如下：

a） 總體安全管理策略，應包括專控保護的信息安全管理策略，必要時應征求國家指定的專門部門或機構的意見，或者共同制定，必要時安全管理策略文檔應在國家指定的專門部門或機構進行備案；（見5.1.1.2e），5.1.1.3e），5.1.1.4e））
b） 安全管理規(guī)章制度，應包括制定?？乇Ｗo的信息安全管理制度，應征求組織機構的保密管理部門的意見或者共同制定；（見5.1.2.1e），5.1.2.2e））
c） 策略與制度文檔管理，必要時可請組織機構的保密管理部門參加文檔的評審和修訂，對文檔的保管應與相關業(yè)務部門協(xié)商制定專項控制的管理措施。（見5.1.3.1e），5.1.3.2e））


6.5.3 機構和人員管理要求


在滿足第四級的管理要求的基礎上，本級要求如下：

a） 安全管理機構要求，應建立信息安全保密管理部門，加強對信息安全管理重要過程和管理人員的監(jiān)督管理；信息安全領導小組應指導和檢查該部門的各項工作；（見5.2.1.1e），5.2.1.2b），5.2.1.3b））
b） 信息系統(tǒng)安全集中管理機構對核心系統(tǒng)安全運行的管理，應與有關業(yè)務應用的主管部門協(xié)調，定制更高安全級別的管理方式；（見5.2.2.1a），5.2.2.2c））
c） 人員管理要求，應具有針對內部人員全面控制的保證措施，實施針對所有崗位工作人員全面安全質量管理；使所有人員都能理解并有能力執(zhí)行規(guī)定的安全管理要求，保證所有人員達到相應崗位的安全資質；（見5.2.3.1d），5.2.3.2e），5.2.3.3d），5.2.3.4d），5.2.3.5d），5.2.3.6c））
d） 教育和培訓要求，針對所有工作人員進行相應資質管理，并使安全意識成為所有工作人員的自覺存在。（見5.2.4.1e），5.2.4.2b））


6.5.4 風險管理要求

在滿足第四級的管理要求的基礎上，本級要求如下：

a） 風險管理要求和策略，應針對風險管理活動，實施全面的質量管理；（見5.3.1.1e），5.3.1.2c））
b） 風險分析和評估要求，同第三級要求；（見5.3.2.1b），5.3.2.2d），5.3.2.3c），5.3.2.4c））
c） 風險處理和減緩要求，同第四級要求；（見5.3.3.1c））
d） 基于風險的決策要求，同第四級要求；（見5.3.4.1c），5.3.4.2b））
e） 風險評估的管理要求，同第四級要求。（見5.3.5.1c），5.3.5.2c），5.3.5.3c），5.3.5.4d））


6.5.5 環(huán)境和資源管理要求

在滿足第四級的管理要求的基礎上，本級要求如下：

a） 環(huán)境安全管理要求對物理安全的保障有持續(xù)的改善；對物理安全保障應定期進行監(jiān)督、檢查和不斷改進；采取防止電磁泄漏保護的措施；信息系統(tǒng)的物理環(huán)境安全方面的設施應達到GB/T 20271-2006中6.5.1的有關要求；（見5.4.1.1e），5.4.1.2e），5.4.1.3c））
b） 資源管理要求，對極為重要數據的介質可以使用數據隱藏技術進行存儲；其他同第四級要求。（見5.4.2.1c），5.4.2.2c），5.4.2.3e），5.4.2.4c））


6.5.6 操作和維護管理要求

在滿足第四級的管理要求的基礎上，本級要求如下：

a） 用戶管理同第四級要求；（見5.5.1.1d），5.5.1.2c），5.5.1.3c），5.5.1.4c），5.5.1.5c））
b） 運行操作管理要求，應針對所有變更進行安全評估；對變更計劃和效果持續(xù)改善采取相應保證措施；（見5.5.2.1c），5.5.2.2c），5.5.2.3d），5.5.2.4c），5.5.2.5c），5.5.2.6e），5.5.2.7d））
c） 運行維護管理要求對系統(tǒng)運行進行全面的質量管理；對核心數據的監(jiān)視應與主管部門共同制定具體的管理辦法；（見5.5.3.1d），5.5.3.2e），5.5.3.3d），5.5.3.4d））
d） 外包服務管理同第四級要求；（見5.5.4.2c））
e） 有關安全機制保障要求包括，身份鑒別機制管理要求進行身份鑒別和認證管理的專項控制；訪問控制策略管理要求對訪問控制進行專項審批和檢查；系統(tǒng)安全管理要求實施人機操作監(jiān)視；網絡安全管理要求基于網絡物理隔離；應用系統(tǒng)安全管理要求適應環(huán)境要求，進行周期更短的安全審計和檢查；（見5.5.5.1e），5.5.5.2e），5.5.5.3e），5.5.5.4e），5.5.5.5e），5.5.5.6d），5.5.5.7b））
f） 安全機制集中管理應根據核心區(qū)域網絡安全信息的需要，與有關主管部門共同制定專項的安全控制和保護措施；其他同第四級要求。（見5.5.6.1b），5.5.6.2c），5.5.6.3a），5.5.6.4a））


6.5.7 業(yè)務連續(xù)性管理要求

在滿足第四級的管理要求的基礎上，本級要求如下：

a） 備份與恢復同第四級要求；（見5.6.1.1d），5.6.1.2c））
b） 安全事件處理同第四級要求；（見5.6.2.1c），5.6.2.2c））
c） 應急處理要求，應急處理和災難恢復要求進行持續(xù)評估和改進；對應急計劃的正確性和完整性進行檢查，不斷評估和完善。（見5.6.3.1e），5.6.3.2a），5.6.3.3e））


6.5.8 監(jiān)督和檢查管理要求

在滿足第四級的管理要求的基礎上，本級要求如下：

a） 符合法律要求同第四級要求；（見5.7.1.1c），5.7.1.2c），5.7.1.3a））
b） 依從性檢查同第四級要求；（見5.7.2.1b），5.7.2.2c），5.7.2.3c））
c） 審計及監(jiān)管要求，依照國家政策法規(guī)和技術及管理標準進行自主保護，國家指定專門部門、專門機構進行專門監(jiān)督；（見5.7.3.1c），5.7.3.2e））
d） 責任認定同第四級要求。（見5.7.4.1 c），5.7.4.2c））


6.5.9 生存周期管理要求

在滿足第四級的管理要求的基礎上，本級要求如下：

a） 規(guī)劃和立項管理，同第四級要求；（見5.8.1.1c），5.8.1.2c），5.8.1.3c））
b） 建設過程管理，同第四級要求；（見5.8.2.1c），5.8.2.2d），5.8.2.3d），5.8.2.4a），5.8.2.5c））
c） 系統(tǒng)啟用和終止管理，同第四級要求。（見5.8.3.1d），5.8.3.2c））