GBT202692006信息系统安全管理要求.doc

《GBT202692006信息系统安全管理要求.doc》由会员分享，可在线阅读，更多相关《GBT202692006信息系统安全管理要求.doc（72页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、【精品文档】如有侵权，请联系网站删除，仅供学习与交流GBT202692006信息系统安全管理要求.精品文档.ICS 35.040L 80中 华 人 民 共 和 国 国 家 标 准GB/T 202692006信息安全技术 信息系统安全管理要求Information security technologyInformation system security management requirements2006 -5-31 发布2006-12-1 实施中 华 人 民 共 和 国 国 家 质 量 监 督 检 验 检 疫 总 局发 布中 国 国 家 标 准 化 管 理 委 员 会GB/T 20269

2、2006目次 前 言 .V 引 言 .VI 1 范围 .1 2 规范性引用文件 .1 3 术语和定义 .1 4 信息系统安全管理的一般要求 .14.1 信息系统安全管理的内容 .14.2 信息系统安全管理的原则 .2 5 信息系统安全管理要素及其强度 .35.1 策略和制度 .35.1.1 信息安全管理策略 .35.1.2 安全管理规章制度 .45.1.3 策略与制度文档管理 .55.2 机构和人员管理 .65.2.1 安全管理机构 .65.2.2 安全机制集中管理机构 .75.2.3 人员管理 .75.2.4 教育和培训 .95.3 风险管理 .105.3.1 风险管理要求和策略 .105.

3、3.2 风险分析和评估 .105.3.3 风险控制 .115.3.4 基于风险的决策 .115.3.5 风险评估的管理 .125.4 环境和资源管理 .135.4.1 环境安全管理 .135.4.2 资源管理 .145.5 运行和维护管理 .155.5.1 用户管理 .155.5.2 运行操作管理 .165.5.3 运行维护管理 .195.5.4 外包服务管理 .215.5.5 有关安全机制保障 .215.5.6 安全集中管理 .255.6 业务连续性管理 .265.6.1 备份与恢复 .265.6.2 安全事件处理 .275.6.3 应急处理 .285.7 监督和检查管理 .295.7.1

4、符合法律要求 .29IIGB/T 202692006 5.7.2 依从性检查29 5.7.3 审计及监管控制30 5.7.4 责任认定31 5.8 生存周期管理31 5.8.1 规划和立项管理31 5.8.2 建设过程管理32 5.8.3 系统启用和终止管理34 6 信息系统安全管理分等级要求34 6.1 第一级：用户自主保护级34 6.1.1 管理目标和范围34 6.1.2 政策和制度要求34 6.1.3 机构和人员管理要求35 6.1.4 风险管理要求35 6.1.5 环境和资源管理要求35 6.1.6 操作和维护管理要求35 6.1.7 业务连续性管理要求36 6.1.8 监督和检查管理

5、要求36 6.1.9 生存周期管理要求36 6.2 第二级：系统审计保护级37 6.2.1 管理目标和范围37 6.2.2 政策和制度要求37 6.2.3 机构和人员管理要求37 6.2.4 风险管理要求37 6.2.5 环境和资源管理要求38 6.2.6 操作和维护管理要求38 6.2.7 业务连续性管理要求39 6.2.8 监督和检查管理要求39 6.2.9 生存周期管理要求39 6.3 第三级：安全标记保护级39 6.3.1 管理目标和范围39 6.3.2 政策和制度要求40 6.3.3 机构和人员管理要求40 6.3.4 风险管理要求40 6.3.5 环境和资源管理要求41 6.3.6

6、 操作和维护管理要求41 6.3.7 业务连续性管理要求42 6.3.8 监督和检查管理要求42 6.3.9 生存周期管理要求42 6.4 第四级：结构化保护级42 6.4.1 管理目标和范围42 6.4.2 政策和制度要求43 6.4.3 机构和人员管理要求43 6.4.4 风险管理要求43IIIGB/T 202692006 6.4.5 环境和资源管理要求44 6.4.6 操作和维护管理要求44 6.4.7 业务连续性管理要求44 6.4.8 监督和检查管理要求45 6.4.9 生存周期管理要求45 6.5 第五级：访问验证保护级45 6.5.1 管理目标和范围45 6.5.2 政策和制度要

7、求45 6.5.3 机构和人员管理要求45 6.5.4 风险管理要求46 6.5.5 环境和资源管理要求46 6.5.6 操作和维护管理要求46 6.5.7 业务连续性管理要求46 6.5.8 监督和检查管理要求47 6.5.9 生存周期管理要求47 附 录 A（资料性附录）安全管理要素及其强度与安全管理分等级要求的对应关系48 附 录 B（资料性附录）信息系统安全管理概念说明51 B.1 主要安全因素51 B.1.1 资产51 B.1.2 威胁51 B.1.3 脆弱性52 B.1.4 意外事件影响52 B.1.5 风险52 B.1.6 保护措施52 B.2 安全管理的过程52 B.2.1 安

8、全管理过程模型52 B.2.2 安全目标53 B.2.3 安全保护等级的确定53 B.2.4 安全风险分析与评估53 B.2.5 制定安全策略53 B.2.6 安全需求分析54 B.2.7 安全措施的实施54 B.2.8 安全实施过程的监理55 B.2.9 信息系统的安全审计55 B.2.10 生存周期管理56参考文献57IVGB/T 202692006 言 （略）VGB/T 202692006 言 信息安全等级保护从与信息系统安全相关的物理层面、网络层面、系统层面、应用层面和管理层面对信息和信息系统实施分等级安全保护。管理层面贯穿于其他层面之中，是其他层面实施分等级安全保护的保证。本标准对信

9、息和信息系统的安全保护提出了分等级安全管理的要求，阐述了安全管理要素及其强度，并将管理要求落实到信息安全等级保护所规定的五个等级上，有利于对安全管理的实施、评估 和检查。GB17859-1999 中安全保护等级的划分是根据对安全技术和安全风险控制的关系确定的，公通 字200466 号文件中安全等级的划分是根据信息和信息系统受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成损害的程度确定的。两者的共同点是：安全等级越高，发生的安全技术费用和管理成本越高，从而预期能够抵御的安全威胁越大，建立起安全信心越强，使用信息系统的风险越小。本标准以安全管理要素作为描述安全管理要求的基本组件。安全管理

10、要素是指，为实现信息系统安 全等级保护所规定的安全要求，从管理角度应采取的主要控制方法和措施。根据GB17859-1999对安全 保护等级的划分，不同的安全保护等级会有不同的安全管理要求，可以体现在管理要素的增加和管理强 度的增强两方面。对于每个管理要素，根据特定情况分别列出不同的管理强度，最多分为5级，最少可 不分级。在具体描述中，除特别声明之外，一般高级别管理强度的描述都是在对低级别描述基础之上进 行的。信息系统是指由计算机及其相关和配套的设备、设施构成的，按照一定的应用目标和规则对信息进 行存储、传输、处理的系统或者网络；信息是指在信息系统中存储、传输、处理的数字化信息。本标准 涉及信息

11、系统的管理者包括国家机关、事业单位、厂矿企业、公司、集团等各种类型和不同规模的组织 机构，以下统称为“组织机构”。信息系统在技术上采取何种安全机制应根据相关技术标准确定，本标准仅提出保证这些安全机制实 施的管理要求。与技术密切的管理是技术实现的组成部分，如果信息系统根据具体业务及其安全需求未 采用该技术，则不需要相应的安全管理要求。对与管理描述难以分开的技术要求会出现在管理要求中， 具体执行需要参照相关技术标准。对于涉及国家秘密的信息和信息系统的保密管理，应按照国家有关保 密的管理规定和相关标准执行。本标准中有关信息系统安全管理要素及其强度与信息系统安全管理分等级要求的对应关系的说明 参见附录

12、A。为了帮助读者从安全管理概念角度理解和运用这些信息系统的安全管理要求，附录B给出了信息系统安全管理概念说明。VIGB/T 202692006信息安全技术信息系统安全管理要求1 范围本标准依据GB17859-1999的五个安全保护等级的划分，规定了信息系统安全所需要的各个安全等级的管理要求。本标准适用于按等级化要求进行的信息系统安全的管理。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究 是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版

13、本适用于本标准。GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求3 术语和定义GB 17859-1999 确立的以及下列术语和定义适用于本标准。3.1完整性 integrity包括数据完整性和系统完整性。数据完整性表征数据所具有的特性，即无论数据形式作何变化，数 据的准确性和一致性均保持不变的程度；系统完整性表征系统在防止非授权用户修改或使用资源和防止 授权用户不正确地修改或使用资源的情况下，系统能履行其操作目的的品质。3.2可用性 availability表征数据或系统根据授权实体的请求可被访问与使用程度的安

14、全属性。3.3访问控制 access control按确定的规则，对实体之间的访问活动进行控制的安全机制，能防止对资源的未授权使用。3.4安全审计 security audit按确定规则的要求，对与安全相关的事件进行审计，以日志方式记录必要信息，并作出相应处理的 安全机制。3.5鉴别信息 authentication information用以确认身份真实性的信息。3.6敏感性 sensitivity表征资源价值或重要性的特性，也可能包含这一资源的脆弱性。3.7风险评估 risk assessment通过对信息系统的资产价值/重要性、信息系统所受到的威胁以及信息系统的脆弱性进行综合分析，对信息

15、系统及其处理、传输和存储的信息的保密性、完整性和可用性等进行科学识别和评价，确定信息 系统安全风险的过程。3.8安全策略 security policy主要指为信息系统安全管理制定的行动方针、路线、工作方式、指导原则或程序。4 信息系统安全管理的一般要求4.1 信息系统安全管理的内容1GB/T 202692006信息系统安全管理是对一个组织机构中信息系统的生存周期全过程实施符合安全等级责任要求的 管理，包括：落实安全管理机构及安全管理人员，明确角色与职责，制定安全规划； 开发安全策略； 实施风险管理；制定业务持续性计划和灾难恢复计划； 选择与实施安全措施； 保证配置、变更的正确与安全； 进行安

16、全审计； 保证维护支持； 进行监控、检查，处理安全事件； 安全意识与安全教育； 人员安全管理等。4.2 信息系统安全管理的原则a） 基于安全需求原则：组织机构应根据其信息系统担负的使命，积累的信息资产的重要性，可能 受到的威胁及面临的风险分析安全需求，按照信息系统等级保护要求确定相应的信息系统安全 保护等级，遵从相应等级的规范要求，从全局上恰当地平衡安全投入与效果；b） 主要领导负责原则：主要领导应确立其组织统一的信息安全保障的宗旨和政策，负责提高员工 的安全意识，组织有效安全保障队伍，调动并优化配置必要的资源，协调安全管理工作与各部 门工作的关系，并确保其落实、有效；c） 全员参与原则：信息

17、系统所有相关人员应普遍参与信息系统的安全管理，并与相关方面协同、 协调，共同保障信息系统安全；d） 系统方法原则：按照系统工程的要求，识别和理解信息安全保障相互关联的层面和过程，采用 管理和技术结合的方法，提高实现安全保障的目标的有效性和效率；e） 持续改进原则：安全管理是一种动态反馈过程，贯穿整个安全管理的生存周期，随着安全需求 和系统脆弱性的时空分布变化，威胁程度的提高，系统环境的变化以及对系统安全认识的深化 等，应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安 全管理等级，维护和持续改进信息安全管理体系的有效性；f） 依法管理原则：信息安全管理工作主要体现为

18、管理行为，应保证信息系统安全管理主体合法、 管理行为合法、管理内容合法、管理程序合法。对安全事件的处理，应由授权者适时发布准确 一致的有关信息，避免带来不良的社会影响；g） 分权和授权原则：对特定职能或责任领域的管理功能实施分离、独立审计等实行分权，避免权 力过分集中所带来的隐患，以减小未授权的修改或滥用系统资源的机会。任何实体（如用户、 管理员、进程、应用或系统）仅享有该实体需要完成其任务所必须的权限，不应享有任何多余 权限；h） 选用成熟技术原则：成熟的技术具有较好的可靠性和稳定性，采用新技术时要重视其成熟的程 度，并应首先局部试点然后逐步推广，以减少或避免可能出现的失误；i） 分级保护原

19、则：按等级划分标准确定信息系统的安全保护等级，实行分级保护；对多个子系统 构成的大型信息系统，确定系统的基本安全保护等级，并根据实际安全需求，分别确定各子系 统的安全保护等级，实行多级安全保护；j） 管理与技术并重原则：坚持积极防御和综合防范，全面提高信息系统安全防护能力，立足国情， 采用管理与技术相结合，管理科学性和技术前瞻性结合的方法，保障信息系统的安全性达到所 要求的目标；2GB/T 202692006k） 自保护和国家监管结合原则：对信息系统安全实行自保护和国家保护相结合。组织机构要对自己的信息系统安全保护负责，政府相关部门有责任对信息系统的安全进行指导、监督和检查， 形成自管、自查、

20、自评和国家监管相结合的管理模式，提高信息系统的安全保护能力和水平，保障国家信息安全。5 信息系统安全管理要素及其强度5.1 策略和制度5.1.1 信息安全管理策略5.1.1.1 安全管理目标与范围信息系统的安全管理需要明确信息系统的安全管理目标和范围，不同安全等级应有选择地满足以下要求的一项：a） 基本的管理目标与范围：针对一般的信息系统应包括：制定包括系统设施和操作等内容的系 统安全目标与范围计划文件；为达到相应等级技术要求提供相应的管理保证；提供对信息系 统进行基本安全保护的安全功能和安全管理措施，确保安全功能达到预期目标，使信息免遭 非授权的泄露和破坏，基本保证信息系统安全运行；b） 较

21、完整的管理目标与范围：针对在一定程度上涉及国家安全、社会秩序、经济建设和公共利 益的一般信息和信息系统，在a）的基础上还应包括：建立相应的安全管理机构，制定相应的 安全操作规程；制定信息系统的风险管理计划；提供对信息系统进行安全保护的比较完整的系统化安全保护的能力和比较完善的安全管理措施，从整体上保护信息免遭非授权的泄露和破坏，保证信息系统安全正常运行；c） 系统化的管理目标与范围：针对涉及国家安全、社会秩序、经济建设和公共利益的信息和信 息系统，在b）的基础上还应包括：提供信息系统安全的自动监视和审计；提供信息系统的认 证、验收及使用的授权的规定；提供对信息系统进行强制安全保护的能力和设置必

22、要的强制 性安全管理措施，确保数据信息免遭非授权的泄露和破坏，保证信息系统安全运行；d） 强制保护的管理目标与范围：针对涉及国家安全、社会秩序、经济建设和公共利益的重要信 息和信息系统，在c）的基础上还应包括：提供安全策略和措施的程序化、周期化的评估，以 及对明显的风险变化和安全事件的评估；实施强制的分权管理机制和可信管理；提供对信息 系统进行整体的强制安全保护的能力和比较完善的强制性安全管理措施，保证信息系统安全运行；e） 专控保护的管理目标与范围：针对涉及国家安全、社会秩序、经济建设和公共利益的重要信 息和信息系统的核心系统，在d）的基础上还应包括：使安全管理计划与组织机构的文化有机 融合

23、，并能适应安全环境的变化；实施全面、可信的安全管理；提供对信息系统进行基于可 验证的强制安全保护能力和完善的强制性安全管理措施，全面保证信息系统安全运行。5.1.1.2 总体安全管理策略不同安全等级的信息系统总体安全策略应有选择地满足以下要求的一项：a） 基本的安全管理策略：信息系统安全管理策略包括：依照国家政策法规和技术及管理标准进 行自主保护；阐明管理者对信息系统安全的承诺，并陈述组织机构管理信息系统安全的方法；说明信息系统安全的总体目标、范围和安全框架；申明支持信息系统安全目标和原则的管理意向；简要说明对组织机构有重大意义的安全方针、原则、标准和符合性要求；b） 较完整的安全管理策略：在

24、 a）的基础上，信息安全管理策略还包括：在信息安系统全监管职能部门的指导下，依照国家政策法规和技术及管理标准自主进行保护；明确划分信息系统（分 系统/域）的安全保护等级（按区域分等级保护）；制定风险管理策略、业务连续性策略、安全培训与教育策略、审计策略等较完整的信息安全策略；c） 体系化的安全管理策略：在 b）的基础上，信息安全管理策略还包括：在接受信息系统安全监管职能部门监督、检查的前提下，依照国家政策法规和技术及管理标准自主进行保护；制3GB/T 202692006定目标策略、规划策略、机构策略、人员策略、管理策略、安全技术策略、控制策略、生存周期策略、投资策略、质量策略等，形成体系化的信

25、息系统安全策略；d） 强制保护的安全管理策略：在 c）的基础上，信息安全管理策略还包括：在接受信息系统安全监管职能部门的强制监督、检查的前提下，依照国家政策法规和技术及管理标准自主进行保护；制定体系完整的信息系统安全管理策略；e） 专控保护的安全管理策略：在 d）的基础上，信息安全管理策略还包括：在接受国家指定的专门部门、专门机构的专门监督的前提下，依照国家政策法规和技术及管理标准自主进行保护；制定可持续改进的信息系统安全管理策略。5.1.1.3 安全管理策略的制定信息系统安全管理策略的制定，不同安全等级应有选择地满足以下要求的一项：a） 基本的安全管理策略制定：应由安全管理人员为主制定，由分

26、管信息安全工作的负责人召集， 以安全管理人员为主，与相关人员一起制定基本的信息系统安全管理策略，包括总体策略和 具体策略，并以文件形式表述；b） 较完整的安全管理策略制定：应由信息安全职能部门负责制定，由分管信息安全工作的负责 人组织，信息安全职能部门负责制定较完整的信息系统安全管理策略，包括总体策略和具体 策略，并以文件形式表述；c） 体系化的安全管理策略制定：应由信息安全领导小组组织制定，由信息安全领导小组组织并 提出指导思想，信息安全职能部门负责具体制定体系化的信息系统安全管理策略，包括总体 策略和具体策略，并以文件形式表述；d） 强制保护的安全管理策略制定：应由信息安全领导小组组织并提

27、出指导思想，由信息安全职 能部门指派专人负责制定强制保护的信息系统安全管理策略，包括总体策略和具体策略，并 以文件形式表述；涉密系统安全策略的制定应限定在相应范围内进行；必要时，可征求信息 安全监管职能部门的意见；e） 专控保护的安全管理策略制定：在 d）的基础上，必要时应征求国家指定的专门部门或机构 的意见，或者共同制定专控保护的信息系统安全管理策略，包括总体策略和具体策略。5.1.1.4 安全管理策略的发布信息系统安全管理策略应以文档形式发布，不同安全等级应有选择地满足以下要求的一项：a） 基本的安全管理策略的发布：安全管理策略文档应由分管信息安全工作的负责人签发，并向 信息系统的用户传达

28、，其形式应针对目标读者，并能够为读者接受和理解；b） 较完整的安全管理策略的发布：在 a）的基础上，安全管理策略文档应经过组织机构负责人签 发，按照有关文件管理程序发布；c） 体系化的安全管理策略的发布：在 b）的基础上，安全管理策略文档应注明发布范围，并有收发文登记；d） 强制保护的安全管理策略的发布：在 c）的基础上，安全管理策略文档应注明密级，并在监管部门备案；e） 专控保护的安全管理策略的发布：在 d）的基础上，必要时安全管理策略文档应在国家指定的专门部门或机构进行备案。5.1.2 安全管理规章制度5.1.2.1 安全管理规章制度内容应根据机构的总体安全策略和业务应用需求，制定信息系统

29、安全管理的规程和制度，不同安全等级 的安全管理规章制度的内容应有选择地满足以下要求的一项：a） 基本的安全管理制度：应包括网络安全管理规定，系统安全管理规定，数据安全管理规定， 防病毒规定，机房安全管理规定，以及相关的操作规程等；b） 较完整的安全管理制度：在 a）的基础上，应增加设备使用管理规定，人员安全管理规定，安4GB/T 202692006全审计管理规定，用户管理规定，风险管理规定，信息分类分级管理规定，安全事件报告规 定，事故处理规定，应急管理规定和灾难恢复管理规定等；c） 体系化的安全管理制度：在 b）的基础上，应制定全面的安全管理规定，包括：机房、主机 设备、网络设施、物理设施分

30、类标记等系统资源安全管理规定；安全配置、系统分发和操作、 系统文档、测试和脆弱性评估、系统信息安全备份和相关的操作规程等系统和数据库方面的 安全管理规定；网络连接检查评估、网络使用授权、网络检测、网络设施（设备和协议）变 更控制和相关的操作规程等方面的网络安全管理规定；应用安全评估、应用系统使用授权、 应用系统配置管理、应用系统文档管理和相关的操作规程等方面的应用安全管理规定；人员 安全管理、安全意识与安全技术教育、操作安全、操作系统和数据库安全、系统运行记录、 病毒防护、系统维护、网络互联、安全审计、安全事件报告、事故处理、应急管理、灾难恢 复和相关的操作规程等方面的运行安全管理规定；信息分

31、类标记、涉密信息管理、文档管理、 存储介质管理、信息披露与发布审批管理、第三方访问控制和相关的操作规程等方面的信息 安全管理规定等；d） 强制保护的安全管理制度：在 c）的基础上，应增加信息保密标识与管理规定，密码使用管理 规定，安全事件例行评估和报告规定，关键控制措施定期测试规定等；e） 专控保护的安全管理制度：在 d）的基础上，应增加安全管理审计监督规定等。5.1.2.2 安全管理规章制度的制定安全管理制度的制定及发布，应有明确规定的程序，不同安全等级应有选择地满足以下要求的一项： a） 基本的安全管理制度制定：应由安全管理人员负责制订信息系统安全管理制度，并以文档形式表述，由分管信息安全

32、工作的负责人审批发布；b） 较完整的安全管理制度制定：应由信息安全职能部门负责制订信息系统安全管理制度，并以 文档形式表述，由分管信息安全工作的负责人审批，按照有关文档管理程序发布；c） 体系化的安全管理制度制定：应由信息安全职能部门负责制订信息系统安全管理制度，并以 文档形式表述，经信息安全领导小组讨论通过，由信息安全领导小组负责人审批发布，应注 明发布范围并有收发文登记；d） 强制保护的安全管理制度制定：应由信息安全职能部门指派专人负责制订信息系统安全管理 制度，并以文档形式表述，经信息安全领导小组讨论通过，由信息安全领导小组负责人审批 发布；信息系统安全管理制度文档的发布应注明密级，对涉

33、密的信息系统安全管理制度的制 定应在相应范围内进行；e） 专控保护的安全管理制度制定：在 d）的基础上，必要时，应征求组织机构的保密管理部门 的意见，或者共同制定。5.1.3 策略与制度文档管理5.1.3.1 策略与制度文档的评审和修订策略与制度文档的评审和修订，不同安全等级应有选择地满足以下要求的一项：a） 基本的评审和修订：应由分管信息安全的负责人和安全管理人员负责文档的评审和修订；应 通过所记录的安全事故的性质、数量以及影响检查策略和制度的有效性，评价安全管理措施 对成本及应用效率的影响，以及技术变化对安全管理的影响；经评审，对存在不足或需要改 进的策略和制度应进行修订，并按规定程序发布

34、；b） 较完整的评审和修订：应由分管信息安全的负责人和信息安全职能部门负责文档的评审和修 订；应定期或阶段性审查策略和制度存在的缺陷，并在发生重大安全事故、出现新的漏洞以 及机构或技术基础结构发生变更时，对策略和制度进行相应的评审和修订；对评审后需要修 订的策略和制度文档，应明确指定人员限期完成并按规定发布；c） 体系化的评审和修订：应由信息安全领导小组和信息安全职能部门负责文档的评审和修订； 应对安全策略和制度的有效性进行程序化、周期性评审，并保留必要的评审记录和依据；每5GB/T 202692006个策略和制度文档应有相应责任人，根据明确规定的评审和修订程序对策略进行维护；d） 强制保护的

35、评审和修订：应由信息安全领导小组和信息安全职能部门的专门人员负责文档的评审和修订，必要时可征求信息安全监管职能部门的意见；应对安全策略和制度的有效性进行程序化、周期性评审，并保留必要的评审记录和依据；每个策略和制度文档应有相应责任人，根据明确规定的评审和修订程序对策略进行维护；对涉密的信息安全策略、规章制度和相关的操作规程文档的评审和修订应在相应范围内进行；e） 专控保护的评审和修订：在 d）的基础上，必要时可请组织机构的保密管理部门参加文档的评审和修订，应征求国家指定的专门部门或机构的意见；应对安全策略和制度的有效性及时进行专项的评审，并保留必要的评审记录和依据。5.1.3.2 策略与制度文

36、档的保管对策略与制度文档，以及相关的操作规程文档的保管，不同安全等级应有选择地满足以下要求的一项：a） 指定专人保管：对策略和制度文档，以及相关的操作规程文档，应指定专人保管；b） 借阅审批和登记：在 a）的基础上，借阅策略和制度文档，以及相关的操作规程文档，应有相 应级别负责人审批和登记；c） 限定借阅范围：在 b）的基础上，借阅策略和制度文档，以及相关的操作规程文档，应限定 借阅范围，并经过相应级别负责人审批和登记；d） 全面严格保管：在 c）的基础上，对涉密的策略和制度文档，以及相关的操作规程文档的保管 应按照有关涉密文档管理规定进行；对保管的文档以及借阅的记录定期进行检查；e） 专控保

37、护的管理：在 d）的基础上，应与相关业务部门协商制定专项控制的管理措施。5.2 机构和人员管理5.2.1 安全管理机构5.2.1.1 建立安全管理机构在组织机构中应建立安全管理机构，不同安全等级的安全管理机构应有选择地满足以下要求的一项：a） 配备安全管理人员：管理层中应有一人分管信息系统安全工作，并为信息系统的安全管理配 备专职或兼职的安全管理人员；b） 建立安全职能部门：在 a）的基础上，应建立管理信息系统安全工作的职能部门，或者明确指 定一个职能部门兼管信息安全工作，作为该部门的关键职责之一；c） 成立安全领导小组：在 b）的基础上，应在管理层成立信息系统安全管理委员会或信息系统 安全领导小组（以下统称信息安全领导小组），对覆盖全国或跨地区的组织机构，应在总部和 下级单位建立各级信息系统安全领导小组，在基层至少要有一位专职的安全管理人员负责信息系统安全工作；d） 主要负责人出任领导：在 c）的基础上，应由组织机构的主要负责人出任信息系统安全领导小组负责人；e） 建立信息安全保密管理部门：在 d）的基础上，应建立信息系统安全保密监督管理的职能部 门，或对原有保密部门明确信息安全保密管理责任，加强