?信息系統(tǒng)平安等級保護(hù)根本要求?

使用介紹目錄使用時機(jī)和主要作用保護(hù)要求分級描述的主要思想各級系統(tǒng)保護(hù)的主要內(nèi)容

一、使用時機(jī)和主要作用?管理方法?〞等級劃分和保護(hù)“第八條?管理方法?〞等級保護(hù)的實(shí)施與管理“第十二條?管理方法?〞等級保護(hù)的實(shí)施與管理“第十三條?管理方法?〞等級保護(hù)的實(shí)施與管理“第十四條?管理方法?〞等級保護(hù)的實(shí)施與管理“第十四條信息系統(tǒng)運(yùn)營、使用單位及其主管部門應(yīng)當(dāng)定期對信息系統(tǒng)平安狀況、平安保護(hù)制度及措施的落實(shí)情況進(jìn)行自查。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次自查，第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次自查，第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊平安需求進(jìn)行自查。?管理方法?〞等級保護(hù)的實(shí)施與管理“第十四條經(jīng)測評或者自查，信息系統(tǒng)平安狀況未到達(dá)平安保護(hù)等級要求的，運(yùn)營、使用單位應(yīng)當(dāng)制定方案進(jìn)行整改。信息系統(tǒng)定級信息系統(tǒng)平安建設(shè)或改建平安狀況到達(dá)等級保護(hù)要求的信息系統(tǒng)?信息平安等級保護(hù)管理方法??計算機(jī)信息系統(tǒng)平安保護(hù)等級劃分準(zhǔn)那么?〔GB17859-1999〕?信息系統(tǒng)平安等級保護(hù)實(shí)施指南??信息系統(tǒng)平安保護(hù)等級定級指南??信息系統(tǒng)平安等級保護(hù)根本要求??信息系統(tǒng)平安等級保護(hù)測評要求?等等?根本要求?的作用信息系統(tǒng)平安等級保護(hù)根本要求運(yùn)營、使用單位〔平安效勞商〕主管部門〔等級測評機(jī)構(gòu)〕平安保護(hù)測評檢查?根本要求?的定位是系統(tǒng)平安保護(hù)、等級測評的一個根本“標(biāo)尺〞，同樣級別的系統(tǒng)使用統(tǒng)一的“標(biāo)尺〞來衡量，保證權(quán)威性，是一個達(dá)標(biāo)線；每個級別的信息系統(tǒng)按照根本要求進(jìn)行保護(hù)后，信息系統(tǒng)具有相應(yīng)等級的根本平安保護(hù)能力，到達(dá)一種根本的平安狀態(tài);是每個級別信息系統(tǒng)進(jìn)行平安保護(hù)工作的一個根本出發(fā)點(diǎn)，更加貼切的保護(hù)可以通過需求分析對根本要求進(jìn)行補(bǔ)充，參考其他有關(guān)等級保護(hù)或平安方面的標(biāo)準(zhǔn)來實(shí)現(xiàn);?根本要求?的定位某級信息系統(tǒng)根本保護(hù)精確保護(hù)根本要求保護(hù)根本要求測評根本保護(hù)特殊需求補(bǔ)充措施二、保護(hù)要求分級描述的主要思想?根本要求?根本思路不同級別信息系統(tǒng)重要程度不同應(yīng)對不同威脅的能力(威脅\弱點(diǎn))具有不同的平安保護(hù)能力不同的根本要求不同級別的平安保護(hù)能力要求不同級別的平安保護(hù)能力要求各個要素之間的關(guān)系平安保護(hù)能力根本平安要求每個等級的信息系統(tǒng)根本管理措施具備包含包含滿足滿足實(shí)現(xiàn)?根本要求?核心思路某級系統(tǒng)管理要求根本要求建立平安管理體系具有某級平安保護(hù)能力的系統(tǒng)各級系統(tǒng)的保護(hù)要求差異〔宏觀〕平安保護(hù)模型PPDRR

Protection防護(hù)

PolicyDetection策略

檢測

Response響應(yīng)

Recovery恢復(fù)各級系統(tǒng)的保護(hù)要求差異〔宏觀〕一級系統(tǒng)二級系統(tǒng)三級系統(tǒng)四級系統(tǒng)防護(hù)防護(hù)/監(jiān)測策略/防護(hù)/監(jiān)測/恢復(fù)策略/防護(hù)/監(jiān)測/恢復(fù)/響應(yīng)各級系統(tǒng)的保護(hù)要求差異〔宏觀〕成功的完成業(yè)務(wù)信息保障深度防御戰(zhàn)略人操作防御網(wǎng)絡(luò)與根底設(shè)施防御飛地邊界防御計算環(huán)境支撐性根底設(shè)施平安保護(hù)模型IATF各級系統(tǒng)的保護(hù)要求差異〔宏觀〕一級系統(tǒng)二級系統(tǒng)三級系統(tǒng)四級系統(tǒng)通信/邊界〔根本〕通信/邊界/內(nèi)部〔關(guān)鍵設(shè)備〕通信/邊界/內(nèi)部〔主要設(shè)備〕通信/邊界/內(nèi)部/根底設(shè)施〔所有設(shè)備〕各級系統(tǒng)的保護(hù)要求差異〔宏觀〕一級系統(tǒng)二級系統(tǒng)三級系統(tǒng)四級系統(tǒng)方案和跟蹤〔主要制度〕方案和跟蹤〔主要制度〕良好定義〔管理活動制度化〕持續(xù)改進(jìn)〔管理活動制度化/及時改進(jìn)〕各級系統(tǒng)的保護(hù)要求差異〔微觀〕某級系統(tǒng)物理平安管理要求根本要求網(wǎng)絡(luò)平安主機(jī)平安應(yīng)用平安數(shù)據(jù)平安平安管理機(jī)構(gòu)平安管理制度人員平安管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理三、各級系統(tǒng)保護(hù)的主要內(nèi)容各級系統(tǒng)的平安保護(hù)的核心某級系統(tǒng)管理要求根本要求建立平安管理體系具有某級平安保護(hù)能力的系統(tǒng)根本要求的主要內(nèi)容根本要求的組織方式某級系統(tǒng)類管理要求根本要求類控制點(diǎn)具體要求控制點(diǎn)具體要求………………………………根本要求-組織方式某級系統(tǒng)物理平安管理要求根本要求網(wǎng)絡(luò)平安主機(jī)平安應(yīng)用平安數(shù)據(jù)平安平安管理機(jī)構(gòu)平安管理制度人員平安管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理根本要求-組織方式物理位置選擇物理平安(四級)物理訪問控制防盜竊和防破壞防雷擊防水和防潮溫濕度控制電力供給電磁防護(hù)根本要求-組織方式結(jié)構(gòu)平安和網(wǎng)段劃分網(wǎng)絡(luò)平安(四級)網(wǎng)絡(luò)訪問控制撥號訪問控制網(wǎng)絡(luò)平安審計邊界完整性檢查網(wǎng)絡(luò)入侵檢測惡意代碼防護(hù)網(wǎng)絡(luò)設(shè)備防護(hù)根本要求-組織方式身份鑒別主機(jī)系統(tǒng)平安(四級)自主訪問控制強(qiáng)制訪問控制可信路徑平安審計剩余信息保護(hù)入侵防范惡意代碼防范系統(tǒng)資源控制系統(tǒng)自我保護(hù)根本要求-組織方式身份鑒別應(yīng)用平安(四級)訪問控制通信完整性通信保密性平安審計剩余信息保護(hù)抗抵賴軟件容錯資源控制代碼平安根本要求-組織方式數(shù)據(jù)完整性數(shù)據(jù)平安(四級)數(shù)據(jù)保密性平安備份根本要求-組織方式崗位設(shè)置平安管理機(jī)構(gòu)(四級)人員配備授權(quán)和審批溝通與合作審核和檢查根本要求-組織方式管理制度平安管理制度(四級)制訂和發(fā)布評審和修訂根本要求-組織方式人員錄用人員平安管理(四級)人員離崗人員考核平安意識教育和培訓(xùn)第三方人員訪問管理根本要求-組織方式系統(tǒng)定級系統(tǒng)建設(shè)管理(四級)平安風(fēng)險評估平安方案設(shè)計產(chǎn)品采購自行軟件開發(fā)外包軟件開發(fā)工程實(shí)施測試驗(yàn)收系統(tǒng)交付平安效勞商選擇系統(tǒng)備案根本要求-組織方式環(huán)境管理系統(tǒng)運(yùn)維管理(四級)資產(chǎn)管理設(shè)備管理介質(zhì)管理運(yùn)行維護(hù)和監(jiān)控管理網(wǎng)絡(luò)平安管理系統(tǒng)平安管理惡意代碼防范管理變更管理密碼管理系統(tǒng)備案備份和恢復(fù)管理平安事件處置應(yīng)急方案管理根本要求標(biāo)注方式三類要求之間的關(guān)系通用平安保護(hù)類要求〔G〕業(yè)務(wù)信息平安類〔S〕系統(tǒng)效勞保證類〔A平安要求根本要求的選擇和使用平安保護(hù)和系統(tǒng)定級的關(guān)系安全等級信息系統(tǒng)保護(hù)要求的組合第一級S1A1G1第二級S1A2G2，S2A2G2，S2A1G2第三級S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四級S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4定級指南要求按照“業(yè)務(wù)信息〞和“系統(tǒng)效勞〞的需求確定整個系統(tǒng)的平安保護(hù)等級定級過程反映了信息系統(tǒng)的保護(hù)要求不同級別系統(tǒng)控制點(diǎn)的差異安全要求類層面一級二級三級四級技術(shù)要求物理安全7101010網(wǎng)絡(luò)安全3677主機(jī)安全4679應(yīng)用安全47911數(shù)據(jù)安全及備份恢復(fù)2333管理要求安全管理制度2333安全管理機(jī)構(gòu)4555人員安全管理4555系統(tǒng)建設(shè)管理991111系統(tǒng)運(yùn)維管理9121313合計/48667377級差//1874不同級別系統(tǒng)要求項的差異安全要求類層面一級二級三級四級技術(shù)要求物理安全9193233網(wǎng)絡(luò)安全9183332主機(jī)安全6193236應(yīng)用安全7193136數(shù)據(jù)安全及備份恢復(fù)24811管理要求安全管理制度371114安全管理機(jī)構(gòu)492020人員安全管理7111618系統(tǒng)建設(shè)管理20284548系統(tǒng)運(yùn)維管理18416270合計/85175290318級差//9011528各級系統(tǒng)平安保護(hù)要求-物理平安各級系統(tǒng)平安保護(hù)要求-物理平安控制點(diǎn)一級二級三級四級物理位置的選擇***物理訪問控制****防盜竊和防破壞****防雷擊****防火****防水和防潮****防靜電***溫濕度控制****電力供應(yīng)****電磁防護(hù)***合計7101010各級系統(tǒng)平安保護(hù)要求-物理平安各級系統(tǒng)平安保護(hù)要求-網(wǎng)絡(luò)平安網(wǎng)絡(luò)平安主要關(guān)注的方面包括：網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)邊界以及網(wǎng)絡(luò)設(shè)備自身平安等。具體的控制點(diǎn)包括：結(jié)構(gòu)平安、訪問控制、平安審計、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)等七個控制點(diǎn)。各級系統(tǒng)平安保護(hù)要求-網(wǎng)絡(luò)平安控制點(diǎn)一級二級三級四級結(jié)構(gòu)安全****訪問控制****安全審計***邊界完整性檢查***入侵防范***惡意代碼防范**網(wǎng)絡(luò)設(shè)備防護(hù)****合計3677各級系統(tǒng)平安保護(hù)要求-網(wǎng)絡(luò)平安各級系統(tǒng)平安保護(hù)要求-主機(jī)平安主機(jī)系統(tǒng)平安是包括效勞器、終端/工作站等在內(nèi)的計算機(jī)設(shè)備在操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)層面的平安。終端/工作站是帶外設(shè)的臺式機(jī)與筆記本計算機(jī)，效勞器那么包括應(yīng)用程序、網(wǎng)絡(luò)、web、文件與通信等效勞器。主機(jī)系統(tǒng)是構(gòu)成信息系統(tǒng)的主要局部，其上承載著各種應(yīng)用。因此，主機(jī)系統(tǒng)平安是保護(hù)信息系統(tǒng)平安的中堅力量。主機(jī)系統(tǒng)平安涉及的控制點(diǎn)包括：身份鑒別、平安標(biāo)記、訪問控制、可信路徑、平安審計、剩余信息保護(hù)、入侵防范、惡意代碼防范和資源控制等九個控制點(diǎn)。各級系統(tǒng)平安保護(hù)要求-主機(jī)平安控制點(diǎn)一級二級三級四級身份鑒別****安全標(biāo)記*訪問控制****可信路徑*安全審計***剩余信息保護(hù)**入侵防范****惡意代碼防范****資源控制***合計4679各級系統(tǒng)平安保護(hù)要求-主機(jī)平安各級系統(tǒng)平安保護(hù)要求-應(yīng)用平安通過網(wǎng)絡(luò)、主機(jī)系統(tǒng)的平安防護(hù)，最終應(yīng)用平安成為信息系統(tǒng)整體防御的最后一道防線。在應(yīng)用層面運(yùn)行著信息系統(tǒng)的基于網(wǎng)絡(luò)的應(yīng)用以及特定業(yè)務(wù)應(yīng)用?；诰W(wǎng)絡(luò)的應(yīng)用是形成其他應(yīng)用的根底，包括消息發(fā)送、web瀏覽等，可以說是根本的應(yīng)用。業(yè)務(wù)應(yīng)用采納根本應(yīng)用的功能以滿足特定業(yè)務(wù)的要求，如電子商務(wù)、電子政務(wù)等。由于各種根本應(yīng)用最終是為業(yè)務(wù)應(yīng)用效勞的，因此對應(yīng)用系統(tǒng)的平安保護(hù)最終就是如何保護(hù)系統(tǒng)的各種業(yè)務(wù)應(yīng)用程序平安運(yùn)行。應(yīng)用平安主要涉及的平安控制點(diǎn)包括：身份鑒別、平安標(biāo)記、訪問控制、可信路徑、平安審計、剩余信息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制等十一個控制點(diǎn)。各級系統(tǒng)平安保護(hù)要求-應(yīng)用平安控制點(diǎn)一級二級三級四級身份鑒別****安全標(biāo)記*訪問控制****可信路經(jīng)*安全審計***剩余信息保護(hù)**通信完整性****通信保密性***抗抵賴**軟件容錯****資源控制***合計47911各級系統(tǒng)平安保護(hù)要求-應(yīng)用平安各級系統(tǒng)平安保護(hù)要求-數(shù)據(jù)平安及備份恢復(fù)信息系統(tǒng)處理的各種數(shù)據(jù)〔用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)等〕在維持系統(tǒng)正常運(yùn)行上起著至關(guān)重要的作用。一旦數(shù)據(jù)遭到破壞〔泄漏、修改、毀壞〕，都會在不同程度上造成影響，從而危害到系統(tǒng)的正常運(yùn)行。由于信息系統(tǒng)的各個層面〔網(wǎng)絡(luò)、主機(jī)、應(yīng)用等〕都對各類數(shù)據(jù)進(jìn)行傳輸、存儲和處理等，因此，對數(shù)據(jù)的保護(hù)需要物理環(huán)境、網(wǎng)絡(luò)、數(shù)據(jù)庫和操作系統(tǒng)、應(yīng)用程序等提供支持。各個“關(guān)口〞把好了，數(shù)據(jù)本身再具有一些防御和修復(fù)手段，必然將對數(shù)據(jù)造成的損害降至最小。另外，數(shù)據(jù)備份也是防止數(shù)據(jù)被破壞后無法恢復(fù)的重要手段，而硬件備份等更是保證系統(tǒng)可用的重要內(nèi)容，在高級別的信息系統(tǒng)中采用異地適時備份會有效的防治災(zāi)難發(fā)生時可能造成的系統(tǒng)危害。保證數(shù)據(jù)平安和備份恢復(fù)主要從：數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復(fù)等三個控制點(diǎn)考慮。各級系統(tǒng)平安保護(hù)要求-數(shù)據(jù)平安及備份恢復(fù)控制點(diǎn)一級二級三級四級數(shù)據(jù)完整性****數(shù)據(jù)保密性***備份和恢復(fù)****合計2333各級系統(tǒng)平安保護(hù)要求-數(shù)據(jù)平安及備份恢復(fù)一級數(shù)據(jù)平安及備份恢復(fù)要求：對數(shù)據(jù)完整性用戶數(shù)據(jù)在傳輸過程提出要求，能夠檢測出數(shù)據(jù)完整性受到破壞；同時能夠?qū)χ匾畔⑦M(jìn)行備份。二級數(shù)據(jù)及備份恢復(fù)平安要求：對數(shù)據(jù)完整性的要求增強(qiáng)，范圍擴(kuò)大，要求鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中都要保證其完整性。對數(shù)據(jù)保密性要求實(shí)現(xiàn)鑒別信息存儲保密性，數(shù)據(jù)備份增強(qiáng)，要求一定的硬件冗余。三級數(shù)據(jù)及備份恢復(fù)平安要求：對數(shù)據(jù)完整性的要求增強(qiáng)，范圍擴(kuò)大，增加了系統(tǒng)管理數(shù)據(jù)的傳輸完整性，不僅能夠檢測出數(shù)據(jù)受到破壞，并能進(jìn)行恢復(fù)。對數(shù)據(jù)保密性要求范圍擴(kuò)大到實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)的傳輸和存儲的保密性，數(shù)據(jù)的備份不僅要求本地完全數(shù)據(jù)備份，還要求異地備份和冗余網(wǎng)絡(luò)拓?fù)洹Ｋ募墧?shù)據(jù)及備份恢復(fù)平安要求：為進(jìn)一步保證數(shù)據(jù)的完整性和保密性，提出使用專有的平安協(xié)議的要求。同時，備份方式增加了建立異地適時災(zāi)難備份中心，在災(zāi)難發(fā)生后系統(tǒng)能夠自動切換和恢復(fù)。各級系統(tǒng)平安保護(hù)要求-平安管理制度各級系統(tǒng)平安保護(hù)要求-平安管理制度控制點(diǎn)一級二級三級四級管理制度****制定和發(fā)布****評審和修訂***合計2333各級系統(tǒng)平安保護(hù)要求-平安管理制度一級平安管理制度要求：主要明確了制定日常常用的管理制度，并對管理制度的制定和發(fā)布提出根本要求。二級平安管理制度要求：在控制點(diǎn)上增加了評審和修訂，管理制度增加了總體方針和平安策略，和對各類重要操作建立規(guī)程的要求，并且管理制度的制定和發(fā)布要求組織論證。三級平安管理制度要求：在二級要求的根底上，要求機(jī)構(gòu)形成信息平安管理制度體系，對管理制度的制定要求和發(fā)布過程進(jìn)一步嚴(yán)格和標(biāo)準(zhǔn)。對平安制度的評審和修訂要求領(lǐng)導(dǎo)小組的負(fù)責(zé)。四級平安管理制度要求：在三級要求的根底上，主要考慮了對帶有密級的管理制度的管理和管理制度的日常維護(hù)等。各級系統(tǒng)平安保護(hù)要求-平安管理機(jī)構(gòu)平安管理，首先要建立一個健全、務(wù)實(shí)、有效、統(tǒng)一指揮、統(tǒng)一步調(diào)的完善的平安管理機(jī)構(gòu)，明確機(jī)構(gòu)成員的平安職責(zé)，這是信息平安管理得以實(shí)施、推廣的根底。在單位的內(nèi)部結(jié)構(gòu)上必須建立一整套從單位最高管理層〔董事會〕到執(zhí)行管理層以及業(yè)務(wù)運(yùn)營層的管理結(jié)構(gòu)來約束和保證各項平安管理措施的執(zhí)行。其主要工作內(nèi)容包括對機(jī)構(gòu)內(nèi)重要的信息平安工作進(jìn)行授權(quán)和審批、內(nèi)部相關(guān)業(yè)務(wù)部門和平安管理部門之間的溝通協(xié)調(diào)以及與機(jī)構(gòu)外部各類單位的合作、定期對系統(tǒng)的平安措施落實(shí)情況進(jìn)行檢查，以發(fā)現(xiàn)問題進(jìn)行改進(jìn)。平安管理機(jī)構(gòu)主要包括：崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作以及審核和檢查等五個控制點(diǎn)。各級系統(tǒng)平安保護(hù)要求-平安管理機(jī)構(gòu)控制點(diǎn)一級二級三級四級崗位設(shè)置****人員配備****授權(quán)和審批****溝通和合作****審核和檢查***合計4555各級系統(tǒng)平安保護(hù)要求-平安管理機(jī)構(gòu)一級平安管理機(jī)構(gòu)要求：主要要求對開展信息平安工作的根本工作崗位進(jìn)行配備，對機(jī)構(gòu)重要的平安活動進(jìn)行審批，加強(qiáng)對外的溝通和合作。二級平安管理機(jī)構(gòu)要求：在控制點(diǎn)上增加了審核和檢查，同時，在一級根底上，明確要求設(shè)立平安主管等重要崗位；人員配備方面提出平安管理員不可兼任其它崗位原那么；溝通與合作的范圍增加與機(jī)構(gòu)內(nèi)部及與其他部門的合作和溝通。三級平安管理機(jī)構(gòu)要求：對于崗位設(shè)置，不僅要求設(shè)置信息平安的職能部門，而且機(jī)構(gòu)上層應(yīng)有一定的領(lǐng)導(dǎo)小組全面負(fù)責(zé)機(jī)構(gòu)的信息平安全局工作。授權(quán)審批方面加強(qiáng)了授權(quán)流程控制以及階段性審查。溝通與合作方面加強(qiáng)了與外部組織的溝通和合作，并聘用平安參謀。同時對審核和檢查工作進(jìn)一步標(biāo)準(zhǔn)。四級平安管理機(jī)構(gòu)要求：同三級要求。各級系統(tǒng)平安保護(hù)要求-人員平安管理人，是信息平安中最關(guān)鍵的因素，同時也是信息平安中最薄弱的環(huán)節(jié)。很多重要的信息系統(tǒng)平安問題都涉及到用戶、設(shè)計人員、實(shí)施人員以及管理人員。如果這些與人員有關(guān)的平安問題沒有得到很好的解決，任何一個信息系統(tǒng)都不可能到達(dá)真正的平安。只有對人員進(jìn)行了正確完善的管理，才有可能降低人為錯誤、盜竊、詐騙和誤用設(shè)備的風(fēng)險，從而減小了信息系統(tǒng)遭受人員錯誤造成損失的概率。對人員平安的管理，主要涉及兩方面：對內(nèi)部人員的平安管理和對外部人員的平安管理。具體包括：人員錄用、人員離崗、人員考核、平安意識教育和培訓(xùn)和外部人員訪問管理等五個控制點(diǎn)。各級系統(tǒng)平安保護(hù)要求-人員平安管理控制點(diǎn)一級二級三級四級人員錄用****人員離崗****人員考核***安全意識教育和培訓(xùn)****外部人員訪問管理****合計4555各級系統(tǒng)平安保護(hù)要求-人員平安管理一級人員平安管理要求：對人員在機(jī)構(gòu)的工作周期〔即，錄用、日常培訓(xùn)、離崗〕的活動提出根本的管理要求。同時，對外部人員訪問要求得到授權(quán)和審批。二級人員平安管理要求：在控制點(diǎn)上增加了人員考核，對人員的錄用和離崗要求進(jìn)一步增強(qiáng)，過程性要求增加，平安教育培訓(xùn)更正規(guī)化，對外部人員的訪問活動約束其訪問行為。三級人員平安管理要求：在二級要求的根底上，增強(qiáng)了對關(guān)鍵崗位人員的錄用、離崗和考核要求，對人員的培訓(xùn)教育更具有針對性，外部人員訪問要求更具體。四級人員平安管理要求：在三級要求的根底上，提出了保密要求和關(guān)鍵區(qū)域禁止外部人員訪問的要求。各級系統(tǒng)平安保護(hù)要求-系統(tǒng)建設(shè)管理信息系統(tǒng)的平安管理貫穿系統(tǒng)的整個生命周期，系統(tǒng)建設(shè)管理主要關(guān)注的是生命周期中的前三個階段〔即，初始、采購、實(shí)施〕中各項平安管理活動。系統(tǒng)建設(shè)管理分別從工程實(shí)施建設(shè)前、建設(shè)過程以及建設(shè)完畢交付等三方面考慮，具體包括：系統(tǒng)定級、平安方案設(shè)計、產(chǎn)品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實(shí)施、測試驗(yàn)收、系統(tǒng)交付、系統(tǒng)備案、等級測評和平安效勞商選擇等十一個控制點(diǎn)。各級系統(tǒng)平安保護(hù)要求-系統(tǒng)建設(shè)管理控制點(diǎn)一級二級三級四級系統(tǒng)定級****安全方案設(shè)計****產(chǎn)品采購和使用****自行軟件開發(fā)****外包軟件開發(fā)****工程實(shí)施****測試驗(yàn)收****系統(tǒng)交付****系統(tǒng)備案***等級測評***安全服務(wù)商選擇****合計991111各級系統(tǒng)平安保護(hù)要求-系統(tǒng)建設(shè)管理一級系統(tǒng)建設(shè)管理要求：對系統(tǒng)建設(shè)整體過程所涉及的各項活動進(jìn)行根本的標(biāo)準(zhǔn)，如，先定級，方案準(zhǔn)備、平安產(chǎn)品按要求采購，軟件開發(fā)〔自行、外包〕的根本平安，實(shí)施的根本管理，建設(shè)后的平安性驗(yàn)收、交付等都進(jìn)行要求。二級系統(tǒng)建設(shè)管理要求：在控制點(diǎn)上增加了系統(tǒng)備案和平安測評，增加了某些活動的文檔化要求，如軟件開發(fā)管理制度，工程實(shí)施應(yīng)有實(shí)施方案要求等。同時，對平安方案、驗(yàn)收報告等增加了審定要求，產(chǎn)品的采購增加了密碼產(chǎn)品的采購要求等。三級系統(tǒng)建設(shè)管理要求：對建設(shè)過程的各項活動都要求進(jìn)行制度化標(biāo)準(zhǔn)，按照制度要求進(jìn)行活動的開展。對建設(shè)前的平安方案設(shè)計提出體系化要求，并加強(qiáng)了對其的論證工作。四級系統(tǒng)建設(shè)管理要求：主要對軟件開發(fā)活動進(jìn)一步加強(qiáng)了要求，以保證軟件開發(fā)的平安性。對工程實(shí)施過程提出了監(jiān)理要求。各級系統(tǒng)平安保護(hù)要求-系統(tǒng)運(yùn)維管理信息系統(tǒng)建設(shè)完成投入運(yùn)行之后，接下來就是如何維護(hù)和管理信息系統(tǒng)了。系統(tǒng)運(yùn)行涉及