GBT 20269-2006 信息安全技术 信息系统安全管理要求

信息系统安全管理是对一个组织机构中信息系统的生存周期全过程实施符合安全等级责任要求的 管理，包括： 落实安全管理机构及安全管理人员，明确角色与职责，制定安全规划； 一开发安全策略； 实施风险管理； 制定业务持续性计划和灾难恢复计划； 选择与实施安全措施； 保证配置、变更的正确与安全； 进行安全审计； 保证维护支持； 进行监控、检查，处理安全事件； 安全意识与安全教育； 人员安全管理等，

信息系统安全管理是对一个组织机构中信息系 理，包括： 落实安全管理机构及安全管理人员，明确 一开发安全策略； 实施风险管理； 制定业务持续性计划和灾难恢复计划； 选择与实施安全措施； 保证配置、变更的正确与安全； 进行安全审计； 保证维护支持； 进行监控、检查，处理安全事件； 安全意识与安全教育； 人员安全管理等。

4.2信息系统安全管理的原则

5信息系统安全管理要素及其强度

工程计价标准规范范本5.1.1信息安全管理策略

信息系统的安全管理需要明确信息系统的安全管理目标和范围，不同安全等级应有选择地满足以 要求的一项： a）基本的管理目标与范围：针对一般的信息系统应包括：制定包括系统设施和操作等内容的系统 安全目标与范围计划文件；为达到相应等级技术要求提供相应的管理保证；提供对信息系统进 行基本安全保护的安全功能和安全管理措施，确保安全功能达到预期目标，使信息免遭非授权 的泄露和破坏，基本保证信息系统安全运行。 D 较完整的管理目标与范围：针对在一定程度上涉及国家安全、社会秩序、经济建设和公共利益 的一般信息和信息系统，在a)的基础上还应包括：建立相应的安全管理机构，制定相应的安全 操作规程；制定信息系统的风险管理计划；提供对信息系统进行安全保护的比较完整的系统化 安全保护的能力和比较完善的安全管理措施，从整体上保护信息免遭非授权的泄露和破坏，保 证信息系统安全正常运行。 c）系统化的管理目标与范围：针对涉及国家安全、社会秩序、经济建设和公共利益的信息和信息 系统，在b)的基础上还应包括：提供信息系统安全的自动监视和审计；提供信息系统的认证、 验收及使用的授权的规定；提供对信息系统进行强制安全保护的能力和设置必要的强制性安 全管理措施，确保数据信息免遭非授权的泄露和破坏，保证信息系统安全运行。 d）强制保护的管理目标与范围：针对涉及国家安全、社会秩序、经济建设和公共利益的重要信息 和信息系统，在c)的基础上还应包括：提供安全策略和措施的程序化、周期化的评估，以及对 明显的风险变化和安全事件的评估；实施强制的分权管理机制和可信管理；提供对信息系统进 行整体的强制安全保护的能力和比较完善的强制性安全管理措施，保证信息系统安全运行。 e）专控保护的管理目标与范围：针对涉及国家安全、社会秩序、经济建设和公共利益的重要信息 和信息系统的核心系统，在d)的基础上还应包括：使安全管理计划与组织机构的文化有机融 合，并能适应安全环境的变化；实施全面、可信的安全管理；提供对信息系统进行基于可验证的 强制安全保护能力和完善的强制性安全管理措施， 全面保证信息系统安全运行。

5.1.1.2总体安全管理策略

同安全等级的信息系统总体安全策略应有选择地满足以下要求的一项： 基本的安全管理策略：信息系统安全管理策略包括：依照国家政策法规和技术及管理标准进行

自主保护；阐明管理者对信息系统安全的承诺，并陈述组织机构管理信息系统安全的万法；说 明信息系统安全的总体目标、范围和安全框架；申明支持信息系统安全目标和原则的管理意 向；简要说明对组织机构有重大意义的安全方针、原则、标准和符合性要求。 b) 较完整的安全管理策路：在a)的基础上，信息安全管理策略还包括：在信息安系统全监管职能 部门的指导下，依照国家政策法规和技术及管理标准自主进行保护；明确划分信息系统（分系 统/域)的安全保护等级（按区域分等级保护)；制定风险管理策略、业务连续性策路、安全培训 与教育策略、审计策略等较完整的信息安全策略。 c) 体系化的安全管理策略：在b)的基础上，信息安全管理策略还包括：在接受信息系统安全监管 职能部门监督、检查的前提下，依照国家政策法规和技术及管理标准自主进行保护；制定目标 策略、规划策略、机构策略、人员策路、管理策略、安全技术策略、控制策略、生存周期策略、投资 策略、质量策略等，形成体系化的信息系统安全策略。 d) 强制保护的安全管理策略：在c)的基础上，信息安全管理策略还包括：在接受信息系统安全监 管职能部门的强制监督、检查的前提下，依照国家政策法规和技术及管理标准自主进行保护 制定体系完整的信息系统安全管理策略。 e) 专控保护的安全管理策略：在d)的基础上，信息安全管理策路还包括：在接受国家指定的专门 部门、专门机构的专门监督的前提下，依照国家政策法规和技术及管理标准自主进行保护；制 定可持绕改进的信息系统安全管理策略

5.1.1.3安全管理策略的制员

6.1.1.4安全管理策略的发布

信息系统安全管理策略应以文档形式发布，不同安全等级应有选择地满足以 a）基本的安全管理策略的发布：安全管理策略文档应由分管信息安全工作的负责人签发，并向信 息系统的用户传达，其形式应针对目标读者，并能够为读者接受和理解； b 较完整的安全管理策略的发布：在a)的基础上，安全管理策略文档应经过组织机构负责人签 发，按照有关文件管理程序发布； C） 体系化的安全管理策略的发布：在b)的基础上，安全管理策略文档应注明发布范围，并有收发 文登记； d) 强制保护的安全管理策略的发布：在c)的基础上，安全管理策路文档应注明密级，并在监管部

a）基本的安全管理策略的发布：安全管理策略文档应由分管信息安全工作的负责人签发，并向信 息系统的用户传达，其形式应针对目标读者，并能够为读者接受和理解； b 较完整的安全管理策略的发布：在a)的基础上，安全管理策略文档应经过组织机构负责人签 发，按照有关文件管理程序发布； C） 体系化的安全管理策略的发布：在b)的基础上，安全管理策略文档应注明发布范围，并有收发 文登记； d） 强制保护的安全管理策略的发布：在c)的基础上，安全管理策路文档应注明密级，并在监管部

门备案； e）专控保护的安全管理策略的发布：在d)的基础上，必要时安全管理策略文档应在国家指定的 专门部门或机构进行备案。

5.1.2安全管理规章制度

应根据机构的总体安全策略和业务应用需求，制定信息系统安全管理的规程和制度，不同安全等级 的安全管理规章制度的内容应有选择地满足以下要求的一项： ） 基本的安全管理制度：应包括网络安全管理规定、系统安全管理规定、数据安全管理规定、防病 毒规定、机房安全管理规定以及相关的操作规程等。 b）较完整的安全管理制度：在a)的基础上，应增加设备使用管理规定、人员安全管理规定、安全 审计管理规定、用户管理规定、风险管理规定、信息分类分级管理规定、安全事件报告规定、事 故处理规定、应急管理规定和灾难恢复管理规定等。 c）体系化的安全管理制度：在b)的基础上，应制定全面的安全管理规定，包括：机房、主机设备、 网络设施、物理设施分类标记等系统资源安全管理规定；安全配置、系统分发和操作、系统文 档、测试和脆弱性评估、系统信息安全备份和相关的操作规程等系统和数据库方面的安全管理 规定；网络连接检查评估、网络使用授权、网络检测、网络设施（设备和协议)变更控制和相关的 操作规程等方面的网络安全管理规定；应用安全评估、应用系统使用授权、应用系统配置管理、 应用系统文档管理和相关的操作规程等方面的应用安全管理规定；人员安全管理、安全意识与 安全技术教育、操作安全、操作系统和数据库安全、系统运行记录、病毒防护、系统维护、网络互 联、安全审计、安全事件报告、事故处理、应急管理、灾难恢复和相关的操作规程等方面的运行 安全管理规定；信息分类标记、涉密信息管理、文档管理、存储介质管理、信息披露与发布审批 管理、第三方访问控制和相关的操作规程等方面的信息安全管理规定等。 强制保护的安全管理制度：在c)的基础上，应增加信息保密标识与管理规定、密码使用管理规 定、安全事件例行评估和报告规定、关键控制措施定期测试规定等； e 专控保护的安全管理制度：在d)的基础上，应增加安全管理审计监督规定等。

5. 1. 2. 2 安全管理规章制度的制定

5.1.3策略与制度文档管理

5.1.3.2策略与制度文档的保管

项： a） 指定专人保管：对策略和制度文档，以及相关的操作规程文档，应指定专人保管； b） 借阅审批和登记：在a)的基础上，借阅策路和制度文档，以及相关的操作规程文档，应有相应 级别负责人审批和登记； CJ 限定借阅范围：在b)的基础上，借阅策略和制度文档，以及相关的操作规程文档，应限定借阅 范围，并经过相应级别负责人审批和登记； d) 全面严格保管：在c)的基础上，对涉密的策略和制度文档，以及相关的操作规程文档的保管应 按照有关涉密文档管理规定进行；对保管的文档以及借阅的记录定期进行检查； e）专控保护的管理：在d)的基础上，应与相关业务部门协商制定专项控制的管理措施。

5.2.1.3信息安全职能部门

5.2.2安全机制集中管理机构

5.2.2.2集中管理机构职能

信息系统安全运行的统一管理：集中管理机构主要行使以下技术职能： 防范与保护：建立物理、支撑系统、网络、应用、管理等五个层面的安全控制机制，构成系统 有机整体安全控制机制；统一进行信息系统安全机制的配置与管理，确保各个安全机制按 照设计要求运行。

GB/T 20269—2006

监控与检查：对服务器、路由器、防火墙等网络部件、系统安全运行性状态、信息（包括有害 内容)的监控和检查；汇集各种安全机制所获取的与系统安全运行有关的信息，对所获取 的信息进行综合分析，及时发现系统运行中的安全问题和隐惠，提出解决的对策和方法。 一响应与处置：事件发现、响应、处置、应急恢复，根据应急处理预案，作出快速处理；应对各 种事件和处理结果有详细的记载并进行档案化管理，作为对后续事件分析的参考和可查 性的依据。 安全机制集中管理控制（详见5.5.6），完善管理信息系统安全运行的技术手段，进行信息 系统安全的集中控制管理。 一负责接受和配合政府有关部门的信息安全监管工作。 关键区域安全运行管理：在a)的基础上，集中管理机构对关键区域的安全运行进行管理，控制 知晓范围，对获取的有关信息进行相应安全等级的保护。 核心系统安全运行管理：在b)的基础上，集中管理机构应与有关业务应用的主管部门协调，定 制更高安全级别的管理方式。

5. 2. 3 人员管理

5.2.3.1安全管理人员配备

5.2.3.2关键岗位人员管理

5.2.3.3人员录用管理

对人员录用的管理，不同安全等级应有选择地满足以下要求的一项： a） 人员录用的基本要求：对应聘者进行审查，确认其具有基本的专业技术水平，接受过安全意识 教育和培训，能够掌握安全管理基本知识；对信息系统关键岗位的人员还应注重思想品质方面 的考察。 b）人员的审查与考核：在a)的基础上，应由单位人事部门进行人员背景、资质审查，技能考核等，

合格者还要签署保密协议方可上岗；安全管理人员应具有基本的系统安全风险分析和评估 能力。 入员的内部选拔：在b)的基础上，重要区域或部位的安全管理人员一般可从内部符合条件人 员选拔，应做到认真负责和保守秘密。 人员的可靠性：在c)的基础上，关键区域或部位的安全管理人员应选用实践证明精干、内行 忠实、可靠的人员，必要时可按机要人员条件配备。

5. 2. 3. 4人员离岗

对人员离岗的管理，不同安全等级应有选择地满足以下要求的一项： a 离岗的基本要求：立即中止被解雇的、退休的、辞职的或其他原因离开的人员的所有访权限； 收回所有相关证件、微章、密钥、访间控制标记等；收回机构提供的设备等。 b) 调离后的保密要求：在a)的基础上，管理层和信息系统关键岗位人员调离岗位，必须经单位人 事部门产格办理调离手续，承诺其调离后的保密要求。 c) 离岗的审计要求：在b)的基础上，涉及组织机构管理层和信息系统关键岗位的人员调离单位， 必须进行离岗安全审查，在规定的脱密期限后，方可调离。 d) 关键部位人员的离岗要求：在c)的基础上，关键部位的信息系统安全管理人员离岗，应按照机 要人员管理办法办理。

5.2.3.5人员考核与审查

对人员考核与审查的管理，不同安全等级应有选择地满足以下要求的一项： a）定期的人员考核：应定期对各个岗位的人员进行不同侧重的安全认知和安全技能的考核，作为 人员是否适合当前岗位的参考； b) 定期的人员审查：在a)的基础上，对关键岗位人员，应定期进行审查，如发现其违反安全规定 应控制使用； c) 管理有效性的审查：在b)的基础上，对关键岗位人员的工作，应通过例行考核进行审查，保证 安全管理的有效性，并保留审查结果； d）全面严格的审查：在c)的基础上，对所有安全岗位人员的工作，应通过全面考核进行审查，如 发现其违反安全规定，应采取必要的应对措施。

5.2.3.6第三方人员管理

对第三方人员的管理，不同安全等级应有选择地满足以下要求的一项： a）基本管理要求：应对硬件和软件维护人员、咨询人员、临时性的短期职位人员，以及辅助人员和 外部服务人员等第三方人员签署包括不同安全责任的合同书或保密协议；规定各类人员的活 动范围，进入计算机房需要得到批准，并有专人负责；第三方人员必须进行逻辑访问时，应划定 范围并经过负责人批准，必要时应有人监督或陪同。 b) 重要区域管理要求：在重要区域，第三方人员必须进入或进行逻辑访问（包括近程访问和远程 访问等)均应有书面申请、批准和过程记录，并有专人全程监督或陪同；进行逻辑访问应使用专 门设置的临时用户，并进行审计。 c）关键区域管理要求：在关键区域，一般不允许第三方人员进人或进行逻辑访问；如确有必要，除 有书面审请外，可采取由机构内部人员带为操作的方式，对结果进行必要的过滤后再提供第三 方人员，并进行审计；必要时对上述过程进行风险评估和记录备案，并对相应风险来取必要的 安全补救措施。

信息安全教育包括信息安全意识的培养教育和安全技术培训，不同安全等级应有选择地满足！ 求的一项：

a）应知应会要求：应让信息系统相关员工知晓信息的敏感性和信息安全的重要性，认识其自身的 责任和安全违例会受到纪律惩罚，以及应掌握的信息安全基本知识和技能等； b）有计划培训：在a)的基础上，应制定并实施安全教育和培训计划，培养信息系统各类人员安全 意识，并提供对安全政策和操作规程的认知教育和训练等； c） 针对不同岗位培训：在b)的基础上，针对不同岗位，制定不同的专业培训计划，包括安全知识、 安全技术、安全标准、安全要求、法律责任和业务控制措施等； 按人员资质要求培训：在c)的基础上，对所有工作人员的安全资质进行定期检查和评估，使相 应的安全教育成为组织机构工作计划的一部分； e 培养安全意识自觉性：在d)的基础上，对所有工作人员进行相应的安全资质管理，并使安全意 识成为所有工作人员的自觉存在

5.2.4.2停息安全专家

可邀请或聘用信息安全专家，不同安全等级应有选择地满足以下要求的一项： a）听取信息安全专家建议：听取信息安全专家对于组织机构的信息系统安全方面的建议；组织专 家参与安全威胁的评估，提供安全控制措施的建议，进行信息安全有效性评判，对安全事件给 予专业指导和原因调查等。 6） 对信息安全专家的管理：在a)的基础上，对于邀请或聘用信息安全专家可以提供必要的组织 机构内部信息，同时应告知专家这些信息的敏感性和保密性，并应采取必要的安全措施，保证 提供的信息在安全可控的范围内，

风险管理作为等级保护的手段，在保证信息等级系统的最低保护能力的基础上，可根据风险确定增 某些管理要求。对风险管理，不同安全等级应有选择地满足以下要求的一项： a）基本风险管理：组织机构应进行基本的风险管理活动，包括编制资产清单，对资产价值/重要性 进行分析，对信息系统面临的威胁进行初步分析，通过工具扫描的方式对信息系统的脆弱性进 行分析，以简易的方式分析安全风险、选择安全措施。 b）定期风险评估：在a)的基础上，针对关键的系统资源进行定期风险分析和评估；产生风险分析 报告并向管理层提交。 c) 规范风险评估：在b)的基础上，在风险管理中，使用规范方法和经过必要的工作流程，进行规 范化的风险评估，产生风险分析报告和留存重要过程文档，并向管理层提交。 d) 独立审计的风险管理：在c)的基础上，建立风险管理体系文件；针对风险管理过程，实施独立 审计，确保风险管理的有效性。 e) 全面风险管理：在d)的基础上，使风险管理成为信息系统安全管理的有机组成部分，贯穿信息 系统安全管理的全过程，并具有可验证性

5.3.1.2风险管理策略

对风险管理策略，不同安全等级应有选择地满足以下要求的一项： a）基本的风险管理策略：应定期进行风险评估，安全风险分析和评估活动程序应至少包括信息安 全风险管理和业务应用风险管理密切相关的内容，信息安全风险管理的基本观念和方法，以及 风险管理的组织和资源保证等； b 风险管理的监督机制：在a)的基础上，应建立风险管理的监督机制，对所有风险管理相关过程 的活动和影响进行评估和监控；应建立指导风险管理监督过程的指导性文档 c） 风险评估的重新启动：在b)的基础上，应明确规定重新启动风险评估的条件，机构应能针对风 险的变化重新启动风险评估，

5.3.2风险分析和评估

对资产识别和分析，不同安全等级应有选择地满足以下要求的一项： a）信息系统的资产统计和分类：确定信息系统的资产范围，进行统计和编制资产清单（详见5.4. 2.1），并进行资产分类和重要性标识； b 信息系统的体系特征描述：在a)的基础上，根据对信息系统的硬件、软件、系统接口、数据和信 息、人员等方面的分析和识别，对信息系统的体系特征进行描述，至少应阐明信息系统的使命、 边界、功能，以及系统和数据的关键性、敏感性等内容。

5.3.2.2威胁识别和分析

对威胁的识别和分析，不同安全等级应有选择地满足以下要求的项： a）威胁的基本分析：应根据以往发生的安全事件、外部提供的资料和积累的经验等，对威胁进行 粗略的分析。 b） 威胁列表：在a)的基础上，结合业务应用、系统结构特点以及访问流程等因索，建立并维护威 胁列表；由于不同业务系统面临的威胁是不同的，应针对每个或者每类资产有一个威胁列表。 c) 威胁的详细分析：在b)的基础上，考虑威胁源在保密性、完整性或可用性等方面造成损害，对 威胁的可能性和影响等属性进行分析，从而得到威胁的等级；威胁等级也可通过综合威胁的可 能性和强度的评价获得。 d) 使用检测工具捕捉攻击：在c)的基础上，对关键区域或部位进行威胁分析和评估，在业务应用 许可并得到批准的条件下，可使用检测工，

5.3.2.3脆弱性识别和

对脆弱性识别和分析，不同安全等级应有选择地满足以下要求的一项： 脆弱性工具扫描：应通过扫描器等工具来获得对系统脆弱性的认识，包括对网络设备、主机设 备、安全设备的脆弱性扫描，并编制脆弱性列表，作为系统加固、改进和安全项目建设的依据； 可以针对资产组合、资产分类编制脆弱性列表和脆弱性检查表。 6） 脆弱性分析和渗透测试：在a)的基础上，脆弱性的人工分析至少应进行网络设备、安全设备以 及主机系统配置检查、用户管理检查、系统日志和审计检查等；使用渗透测试应根据需要分别 从组织机构的网络内部和网络外部选择不同的接人点进行；应了解测试可能带来的后果，并做 好充分准备；针对不同的资产和资产组合，综合应用人工评估、工具扫描、渗透性测试等方法对 系统的脆弱性进行分析和评估；对不同的方法和工具所得出的评估结果，应进行综合分析，从 而得到脆弱性的等级。 制度化脆弱性评估：在b)的基础上，坚持制度化脆弱性评估，应明确规定进行脆弱性评估的时 间和系统范围、人员和责任、评估结果的分析和报告程序，以及报告中包括新发现的漏洞、已修 补的漏洞、漏洞趋垫分析等，

5.3.2.4风险分析和评估要求

对风险分析和评估，不同安全等级应有选择地满足以下要求的一项： a 经验的风险评估：应由用户和部分专家通过经验来判断风险，并对风险进行评估，形成风险评 估报告，其中必须包括风险级别、风险点等内容，并确定信息系统的安全风险状况。 b）全 全面的风险评估：在a)的基础上，应采用多层面、多角度的系统分析方法，由用户和专家对资 产、威胁和脆弱性等方面进行定性综合评估，建议处理和减缓风险的措施，形成风险评估报告； 除风险状况外，在风险评估的各项步骤中还应生成信息系统体系特征报告、威胁评估报告、脆 弱性评估报告和安全措施分析报告等；基于这些报告，评估者应对安全措施提出建议。 C 建立和维护风险信息库：在b)的基础上，应将风险评估中的信息资产、威胁、脆弱性、防护措施 等评估项信息综合到一个数据库中进行管理；组织机构应当在后续的项目和工具中持续地维

对选择和实施风险控制措施，不同安全等级应有选择地满足以下要求的一项： a）基于安全等级标准选择控制措施：以信息系统及产品的安全等级标准对不同等级的技术和管 理要求，选择相应等级的安全技术和管理措施，决定需要实施的信息系统安全控制措施； b）基于风险评估选择控制措施：在a)的基础上，根据风险评估的结果，结合组织机构对于信息系 统安全的需求，决定信息系统安全的控制措施 c） 基于风险评估形成防护控制系统：在b)的基础上，根据风险评估的结果，结合机构对于信息系 统安全的需求，决定信息系统安全的控制措施；对相关的各种控制措施进行综合分析，得出紧 追性、优先级、投资比重等评价，形成体系化的防护控制系统。

5.3.4基于风险的决策

应对信息系统定期进行安全确认。对安全确认，不同安全等级应有选择地满足以下要求的一项： 残余风险接受：针对信息系统的资产清单、威胁列表、脆弱性列表，结合已采用的安全控制措 施，分析存在的残余风险；应形成残余风险分析报告，并由组织机构的高层管理人员决定残余 风险是否可接受。 b) 残余风险监视：在a)的基础上，应编制出信息系统残余风险清单，并密切监视残余风险可能诱 发的安全事件，并及时采取防护措施。 安全风险再评估：在b)的基础上，采用系统化的方法对信息系统安全风险实施再次评估，通过 再次评估，验证防护措施的有效性

5.3.4.2信息系统运行的决策

对信息系统运行的决策，不同安全等级应有选择地满足以下要求的一项： a）信息系统运行的决定：信息系统的主管者或运营者应根据安全确认的结果，判断残余风险是否 处在可接受的水平之内，并决定是否允许信息系统继续运行； b） 信息系统受控运行：在a)的基础上，如果信息系统的残余风险不可接受，而现实情况又要求系 统必须投人运行，且当前没有其他资源能胜任组织机构的使命，经过组织机构管理层的审批， 可以临时批准信息系统投入运行，同时应采取相应的风险规避和监测控制措施，并明确风险一 且发生的责任陈述，

5.3.5风险评估的管理

5.3.5.2评估机构保密要求

对评估机构的保密要求，不同安全等级应有选择地满足以下要求的一项： a）签署保密协议：评估机构人员应按照第三方人员管理要求（详见5.2.3.6)签署保密协议； b）专人监督检查：在a)的基础上，应有专人在整个评估过程中监督检查评估机构对保密协议的

GB/T202692006

GB/T202692006

执行情况； 制定具体办法：在b)的基础上，对专门评估组的保密要求应参照《中华人民共和国保守国家秘 密法》的要求，结合实际情况制定具体实施办法，

5. 3. 5. 3评估信息的管理

对评估信息的管理，不同安全等级应有选择地满足以下要求的一项： a） 规定交接手续：提交涉及评估需要的资料、数据等各种信息，应规定办理交接手续，防止丢失； b） 替换敏感参数：在a)的基础上，提交涉及评估需要的资料、数据等各种信息，必要时可以隐藏 或替换核心的或敏感的参数； c）不得带出指定区域：在b)的基础上，所有提交涉及评估需要的资料、数据等各种信息，只能存 放在被评估方指定的计算机内，不得带出指定办公区域。

5.3.5.4技术测试过程管理

新投人运行的信息系统或经过风险评估对安全机制有较大变动的信息系统应进行技术测试。对技 测试过程的管理，不同安全等级应有选择地满足以下要求的一项： a) 必须经过授权：使用工具或手工进行技术测试，应事先提交测试的技术方案，并得到授权方可 进行； b）在监督下进行：在a)的基础上，使用工具或手工进行技术测试，应在被测试方专人监督下按技 术方案进行； c 由被评估方操作：在b)的基础上，使用工具或手工进行技术测试，可以采用由被评估方技术人 员按技术方案进行操作，评估机构技术人员进行场外指导； d) 过滤测试结果：在c)的基础上，使用工具或手工进行技术测试，应由被评估方技术人员按技术 方案进行操作，对测试结果过滤敏感或涉及国家秘密信息后再交评估方分析。

5.4.1.2机房安全管理要求

机房安全管理的基本要求：应明确机房安全管理的责任人，机房出入应有指定人员负责，未经 允许的人员不准进入机房；获准进人机房的来访人员，其活动范围应受到限制，并有接待人员 陪同；机房钥匙由专人管理，未经批准，不准任何人私自复制机房钥匙或服务器开机钥匙；没有

5.4.1.3办公环境安全管理要求

办公环境安全管理基本要求：设置有网络终端的办公环境，是信息系统环境的组成部分，应防 止利用终端系统窃取敏感信息或非法访问；工作人员下班后，终端计算机应关闭；存放敏感文 件或信息载体的文件柜应上锁或设置密码；工作人员调离部门或更换办公室时，应立即交还办 公室钥匙；设立独立的会客接待室，不在办公环境接待来访人员。 b） 办公环境安全管理增强要求：在a)的基础上，工作人员离开座位应将桌面上含有敏感信息的 纸件文档放在抽屉或文件柜内；工作人员离开座位，终端计算机应退出登录状态、采用屏幕保 护口令保护或关机。 c）关键部位办公环境的要求：在b)的基础上，在关键区域或部位，应使相应的办公环境与机房的 物理位置在一起园林造价，以便进行统一的物理保护

对资产清单的管理，不安全等级应有选择地满足以下要求的一项： a）一般资产清单：应编制并维护与信息系统相关的资产清单，至少包括以下内容： 信息资产：应用数据、系统数据、安全数据等数据库和数据文档、系统文件、用户手册、培训 资料、操作和支持程序、持续性计划、备用系统安排、存档信息； 一 一软件资产：应用软件、系统软件、开发工具和实用程序； 一有形资产：计算机设备（处理器、监视器、膝上形电脑、调制解调器），通信设备（路由器、数 字程控交换机、传真机、应答机），磁媒体（磁带和软盘），其他技术装备（电源，空调设备）， 家具和机房； 应用业务相关资产：由信息系统控制的或与信息系统密切相关的应用业务的各类资产，由 于信息系统或信息的泄露或破坏，这些资产会受到相应的损坏； 服务：计算和通信服务，通用设备如供暖、照明、供电和空调等； b) 详细的资产清单：在a)的基础上，应清晰识别每项资产的拥有权、责任人、安全分类以及资产 所在的位置等：

c）业务应用系统清单：在b)的基础上，应清晰识别业务应用系统资产的拥有权、责任人、安全分 类以及资产所在的位置等；必要时应该包括主要业务应用系统处理流程和数据流的描述，以 及业务应用系统用户分类说明。

5.4.2.2资产的分类与标识要求

对资产的分类与标识，不同安全等级应有选择地满足以下要求的一项： a）资产标识：应根据资产的价值/重要性对资产进行标识，以便可以基于资产的价值选择保护措 施和进行资产管理等相关工作。 b) 资产分类管理：在a)的基础上，应对信息资产进行分类管理，对信息系统内分属不同业务范围 的各类信息，按其对安全性的不同要求分类加以标识。对于信息资产，通常信息系统数据可 以分为系统数据和用户数据两类，其重要性一般与其所在的系统或子系统的安全保护等级相 关；用户数据的重要性还应考虑自身保密性分类，如： 一国家秘密信息：秘密、机密、绝密信息； 一其他秘密信息：受国家法律保护的商业秘密和个人隐私信息； 一专有信息：国家或组织机构内部共享、内部受限、内部专控信息，以及公民个人专有信息； 公开信息：国家公开共享的信息、组织机构公开共享的信息、公民个人可公开共享的信 息；组织机构应根据业务应用的具体情况进行分类分级和标识，纳人规范化管理；不同安全等 级的信息应当本着“知所必需、用所必需、共享必需、公开必需、互联通信必需”的策略进行访 问控制和信息交换管理。 资产体系架构：在b)的基础上，以业务应用为主线，用体系架构的方法描述信息资产，资产体 系架构不是简单的资产清单，而是通过对 关系的绪构性描述

锅炉标准5. 4. 2.3介质管理

5.4.2.4设备管理要求