5.1 策略和制度

5.1.1　信息安全管理策略

5.1.1.1 安全管理目標與范圍

信息系統的安全管理需要明確信息系統的安全管理目標和范圍，不同安全等級應有選擇地滿足以下要求的一項：
a）基本的管理目標與范圍：針對一般的信息系統應包括：制定包括系統設施和操作等內容的系統安全目標與范圍計劃文件；為達到相應等級技術要求提供相應的管理保證；提供對信息系統進行基本安全保護的安全功能和安全管理措施，確保安全功能達到預期目標，使信息免遭非授權的泄露和破壞，基本保證信息系統安全運行；
b）較完整的管理目標與范圍：針對在一定程度上涉及國家安全、社會秩序、經濟建設和公共利益的一般信息和信息系統，在a）的基礎上還應包括：建立相應的安全管理機構，制定相應的安全操作規程；制定信息系統的風險管理計劃；提供對信息系統進行安全保護的比較完整的系統化安全保護的能力和比較完善的安全管理措施，從整體上保護信息免遭非授權的泄露和破壞，保證信息系統安全正常運行；
c）系統化的管理目標與范圍：針對涉及國家安全、社會秩序、經濟建設和公共利益的信息和信息系統，在b）的基礎上還應包括：提供信息系統安全的自動監視和審計；提供信息系統的認證、驗收及使用的授權的規定；提供對信息系統進行強制安全保護的能力和設置必要的強制性安全管理措施，確保數據信息免遭非授權的泄露和破壞，保證信息系統安全運行；
d）強制保護的管理目標與范圍：針對涉及國家安全、社會秩序、經濟建設和公共利益的重要信息和信息系統，在c）的基礎上還應包括：提供安全策略和措施的程序化、周期化的評估，以及對明顯的風險變化和安全事件的評估；實施強制的分權管理機制和可信管理；提供對信息系統進行整體的強制安全保護的能力和比較完善的強制性安全管理措施，保證信息系統安全運行；
e）專控保護的管理目標與范圍：針對涉及國家安全、社會秩序、經濟建設和公共利益的重要信息和信息系統的核心系統，在d）的基礎上還應包括：使安全管理計劃與組織機構的文化有機融合，并能適應安全環境的變化；實施全面、可信的安全管理；提供對信息系統進行基于可驗證的強制安全保護能力和完善的強制性安全管理措施，全面保證信息系統安全運行。

5.1.1.2 總體安全管理策略

不同安全等級的信息系統總體安全策略應有選擇地滿足以下要求的一項：
a）基本的安全管理策略：信息系統安全管理策略包括：依照國家政策法規和技術及管理標準進行自主保護；闡明管理者對信息系統安全的承諾，并陳述組織機構管理信息系統安全的方法；說明信息系統安全的總體目標、范圍和安全框架；申明支持信息系統安全目標和原則的管理意向；簡要說明對組織機構有重大意義的安全方針、原則、標準和符合性要求；
b）較完整的安全管理策略：在a）的基礎上，信息安全管理策略還包括：在信息安系統全監管職能部門的指導下，依照國家政策法規和技術及管理標準自主進行保護；明確劃分信息系統（分系統/域）的安全保護等級（按區域分等級保護）；制定風險管理策略、業務連續性策略、安全培訓與教育策略、審計策略等較完整的信息安全策略；
c）體系化的安全管理策略：在b）的基礎上，信息安全管理策略還包括：在接受信息系統安全監管職能部門監督、檢查的前提下，依照國家政策法規和技術及管理標準自主進行保護；制定目標策略、規劃策略、機構策略、人員策略、管理策略、安全技術策略、控制策略、生存周期策略、投資策略、質量策略等，形成體系化的信息系統安全策略；
d）強制保護的安全管理策略：在c）的基礎上，信息安全管理策略還包括：在接受信息系統安全監管職能部門的強制監督、檢查的前提下，依照國家政策法規和技術及管理標準自主進行保護；制定體系完整的信息系統安全管理策略；
e）專控保護的安全管理策略：在d）的基礎上，信息安全管理策略還包括：在接受國家指定的專門部門、專門機構的專門監督的前提下，依照國家政策法規和技術及管理標準自主進行保護；制定可持續改進的信息系統安全管理策略。

5.1.1.3 安全管理策略的制定

信息系統安全管理策略的制定，不同安全等級應有選擇地滿足以下要求的一項：
a）基本的安全管理策略制定：應由安全管理人員為主制定，由分管信息安全工作的負責人召集，以安全管理人員為主，與相關人員一起制定基本的信息系統安全管理策略，包括總體策略和具體策略，并以文件形式表述；
b）較完整的安全管理策略制定：應由信息安全職能部門負責制定，由分管信息安全工作的負責人組織，信息安全職能部門負責制定較完整的信息系統安全管理策略，包括總體策略和具體策略，并以文件形式表述；
c）體系化的安全管理策略制定：應由信息安全領導小組組織制定，由信息安全領導小組組織并提出指導思想，信息安全職能部門負責具體制定體系化的信息系統安全管理策略，包括總體策略和具體策略，并以文件形式表述；
d）強制保護的安全管理策略制定：應由信息安全領導小組組織并提出指導思想，由信息安全職能部門指派專人負責制定強制保護的信息系統安全管理策略，包括總體策略和具體策略，并以文件形式表述；涉密系統安全策略的制定應限定在相應范圍內進行；必要時，可征求信息安全監管職能部門的意見；
e）專控保護的安全管理策略制定：在d）的基礎上，必要時應征求國家指定的專門部門或機構的意見，或者共同制定專控保護的信息系統安全管理策略，包括總體策略和具體策略。

5.1.1.4 安全管理策略的發布

信息系統安全管理策略應以文檔形式發布，不同安全等級應有選擇地滿足以下要求的一項：
a）基本的安全管理策略的發布：安全管理策略文檔應由分管信息安全工作的負責人簽發，并向信息系統的用戶傳達，其形式應針對目標讀者，并能夠為讀者接受和理解；
b）較完整的安全管理策略的發布：在a）的基礎上，安全管理策略文檔應經過組織機構負責人簽發，按照有關文件管理程序發布；
c）體系化的安全管理策略的發布：在b）的基礎上，安全管理策略文檔應注明發布范圍，并有收發文登記；
d）強制保護的安全管理策略的發布：在c）的基礎上，安全管理策略文檔應注明密級，并在監管部門備案；
e）專控保護的安全管理策略的發布：在d）的基礎上，必要時安全管理策略文檔應在國家指定的專門部門或機構進行備案。

5.1.2　安全管理規章制度

5.1.2.1 安全管理規章制度內容

應根據機構的總體安全策略和業務應用需求，制定信息系統安全管理的規程和制度，不同安全等級的安全管理規章制度的內容應有選擇地滿足以下要求的一項：
a）基本的安全管理制度：應包括網絡安全管理規定，系統安全管理規定，數據安全管理規定，防病毒規定，機房安全管理規定，以及相關的操作規程等；
b）較完整的安全管理制度：在a）的基礎上，應增加設備使用管理規定，人員安全管理規定，安全審計管理規定，用戶管理規定，風險管理規定，信息分類分級管理規定，安全事件報告規定，事故處理規定，應急管理規定和災難恢復管理規定等；
c）體系化的安全管理制度：在b）的基礎上，應制定全面的安全管理規定，包括：機房、主機設備、網絡設施、物理設施分類標記等系統資源安全管理規定；安全配置、系統分發和操作、系統文檔、測試和脆弱性評估、系統信息安全備份和相關的操作規程等系統和數據庫方面的安全管理規定；網絡連接檢查評估、網絡使用授權、網絡檢測、網絡設施（設備和協議）變更控制和相關的操作規程等方面的網絡安全管理規定；應用安全評估、應用系統使用授權、應用系統配置管理、應用系統文檔管理和相關的操作規程等方面的應用安全管理規定；人員安全管理、安全意識與安全技術教育、操作安全、操作系統和數據庫安全、系統運行記錄、病毒防護、系統維護、網絡互聯、安全審計、安全事件報告、事故處理、應急管理、災難恢復和相關的操作規程等方面的運行安全管理規定；信息分類標記、涉密信息管理、文檔管理、存儲介質管理、信息披露與發布審批管理、第三方訪問控制和相關的操作規程等方面的信息安全管理規定等；
d）強制保護的安全管理制度：在c）的基礎上，應增加信息保密標識與管理規定，密碼使用管理規定，安全事件例行評估和報告規定，關鍵控制措施定期測試規定等；
e）專控保護的安全管理制度：在d）的基礎上，應增加安全管理審計監督規定等。

5.1.2.2 安全管理規章制度的制定

安全管理制度的制定及發布，應有明確規定的程序，不同安全等級應有選擇地滿足以下要求的一項：
a）基本的安全管理制度制定：應由安全管理人員負責制訂信息系統安全管理制度，并以文檔形式表述，由分管信息安全工作的負責人審批發布；
b）較完整的安全管理制度制定：應由信息安全職能部門負責制訂信息系統安全管理制度，并以文檔形式表述，由分管信息安全工作的負責人審批，按照有關文檔管理程序發布；
c）體系化的安全管理制度制定：應由信息安全職能部門負責制訂信息系統安全管理制度，并以文檔形式表述，經信息安全領導小組討論通過，由信息安全領導小組負責人審批發布，應注明發布范圍并有收發文登記；
d）強制保護的安全管理制度制定：應由信息安全職能部門指派專人負責制訂信息系統安全管理制度，并以文檔形式表述，經信息安全領導小組討論通過，由信息安全領導小組負責人審批發布；信息系統安全管理制度文檔的發布應注明密級，對涉密的信息系統安全管理制度的制定應在相應范圍內進行；
e）專控保護的安全管理制度制定：在d）的基礎上，必要時，應征求組織機構的保密管理部門的意見，或者共同制定。

5.1.3　策略與制度文檔管理

5.1.3.1 策略與制度文檔的評審和修訂

策略與制度文檔的評審和修訂，不同安全等級應有選擇地滿足以下要求的一項：
a）基本的評審和修訂：應由分管信息安全的負責人和安全管理人員負責文檔的評審和修訂；應通過所記錄的安全事故的性質、數量以及影響檢查策略和制度的有效性，評價安全管理措施對成本及應用效率的影響，以及技術變化對安全管理的影響；經評審，對存在不足或需要改進的策略和制度應進行修訂，并按規定程序發布；
b）較完整的評審和修訂：應由分管信息安全的負責人和信息安全職能部門負責文檔的評審和修訂；應定期或階段性審查策略和制度存在的缺陷，并在發生重大安全事故、出現新的漏洞以及機構或技術基礎結構發生變更時，對策略和制度進行相應的評審和修訂；對評審后需要修訂的策略和制度文檔，應明確指定人員限期完成并按規定發布；
c）體系化的評審和修訂：應由信息安全領導小組和信息安全職能部門負責文檔的評審和修訂；應對安全策略和制度的有效性進行程序化、周期性評審，并保留必要的評審記錄和依據；每個策略和制度文檔應有相應責任人，根據明確規定的評審和修訂程序對策略進行維護；
d）強制保護的評審和修訂：應由信息安全領導小組和信息安全職能部門的專門人員負責文檔的評審和修訂，必要時可征求信息安全監管職能部門的意見；應對安全策略和制度的有效性進行程序化、周期性評審，并保留必要的評審記錄和依據；每個策略和制度文檔應有相應責任人，根據明確規定的評審和修訂程序對策略進行維護；對涉密的信息安全策略、規章制度和相關的操作規程文檔的評審和修訂應在相應范圍內進行；
e）專控保護的評審和修訂：在d）的基礎上，必要時可請組織機構的保密管理部門參加文檔的評審和修訂，應征求國家指定的專門部門或機構的意見；應對安全策略和制度的有效性及時進行專項的評審，并保留必要的評審記錄和依據。

5.1.3.2 策略與制度文檔的保管

對策略與制度文檔，以及相關的操作規程文檔的保管，不同安全等級應有選擇地滿足以下要求的一項：
a）指定專人保管：對策略和制度文檔，以及相關的操作規程文檔，應指定專人保管；
b）借閱審批和登記：在a）的基礎上，借閱策略和制度文檔，以及相關的操作規程文檔，應有相應級別負責人審批和登記；
c）限定借閱范圍：在b）的基礎上，借閱策略和制度文檔，以及相關的操作規程文檔，應限定借閱范圍，并經過相應級別負責人審批和登記；
d）全面嚴格保管：在c）的基礎上，對涉密的策略和制度文檔，以及相關的操作規程文檔的保管應按照有關涉密文檔管理規定進行；對保管的文檔以及借閱的記錄定期進行檢查；
e）專控保護的管理：在d）的基礎上，應與相關業務部門協商制定專項控制的管理措施。