5.4 環境和資源管理

5.4.1　環境安全管理

5.4.1.1 環境安全管理要求

對環境安全管理，不同安全等級應有選擇地滿足以下要求的一項：
a）環境安全的基本要求：應配置物理環境安全的責任部門和管理人員；建立有關物理環境安全方面的規章制度；物理安全方面應達到GB/T 20271-2006中6.1.1的有關要求；
b）較完整的制度化管理：在a）的基礎上，應對物理環境劃分不同保護等級的安全區域進行管理；應制定對物理安全設施進行檢驗、配置、安裝、運行的有關制度和保障措施；實行關鍵物理設施的登記制度；物理安全方面應達到GB/T 20271-2006中6.2.1的有關要求；
c）安全區域標記管理：在b）的基礎上，應對物理環境中所有安全區域進行標記管理，包括不同安全保護等級的辦公區域、機房、介質庫房等；介質庫房的管理可以參照同等級的機房的要求；物理安全方面應達到GB/T 20271-2006中6.3.1的有關要求；
d）安全區域隔離和監視：在c）的基礎上，應實施不同保護等級安全區域的隔離管理；出入人員應經過相應級別的授權并有監控措施；對重要安全區域的活動應實時監視和記錄；物理安全方面應達到GB/T 20271-2006中6.4.1的有關要求；
e）安全保障的持續改善：在d）的基礎上，應對物理安全保障定期進行監督、檢查和不斷改進，實現持續改善；物理安全方面應達到GB/T 20271-2006中6.5.1的有關要求。

5.4.1.2 機房安全管理要求

對機房安全管理，不同安全等級應有選擇地滿足以下要求的一項：
a）機房安全管理的基本要求：應明確機房安全管理的責任人，機房出入應有指定人員負責，未經允許的人員不準進入機房；獲準進入機房的來訪人員，其活動范圍應受到限制，并有接待人員陪同；機房鑰匙由專人管理，未經批準，不準任何人私自復制機房鑰匙或服務器開機鑰匙；沒有指定管理人員的明確準許，任何記錄介質、文件材料及各種被保護品均不準帶出機房，與工作無關的物品均不準帶入機房；機房內嚴禁吸煙及帶入火種和水源；
b）加強對來訪人員的控制：在a）的基礎上，要求所有來訪人員應經過正式批準，登記記錄應妥善保存以備查；獲準進入機房的來訪人員，一般應禁止攜帶個人計算機等電子設備進入機房，其活動范圍和操作行為應受到限制，并有機房接待人員負責和陪同；
c）增強門禁控制手段：在b）的基礎上，任何進出機房的人員應經過門禁設施的監控和記錄，應有防止繞過門禁設施的手段；門禁系統的電子記錄應妥善保存以備查；進入機房的人員應佩戴相應證件；未經批準，禁止任何物理訪問；未經批準，禁止任何人移動計算機相關設備或帶離機房；
d）使用視頻監控和專職警衛：在c）的基礎上，機房所在地應有專職警衛，通道和入口處應設置視頻監控點，24小時值班監視；所有來訪人員的登記記錄、門禁系統的電子記錄以及監視錄像記錄應妥善保存以備查；禁止攜帶移動電話、電子記事本等具有移動互連功能的個人物品進入機房；
e）采取防止電磁泄漏保護：在d）的基礎上，對需要防止電磁泄漏的計算機設備配備電磁干擾設備，在被保護的計算機設備工作時電磁干擾設備不準關機；必要時可以使用屏蔽機房。屏蔽機房應隨時關閉屏蔽門；不得在屏蔽墻上打釘鉆孔，不得在波導管以外或不經過過濾器對屏蔽機房內外連接任何線纜；應經常測試屏蔽機房的泄漏情況并進行必要的維護。

5.4.1.3 辦公環境安全管理要求

對辦公環境的安全管理，不同安全等級應有選擇地滿足以下要求的一項：
a）辦公環境安全管理基本要求：設置有網絡終端的辦公環境，是信息系統環境的組成部分，應防止利用終端系統竊取敏感信息或非法訪問；工作人員下班后，終端計算機應關閉；存放敏感文件或信息載體的文件柜應上鎖或設置密碼；工作人員調離部門或更換辦公室時，應立即交還辦公室鑰匙；設立獨立的會客接待室，不在辦公環境接待來訪人員；
b）辦公環境安全管理增強要求：在a）的基礎上，工作人員離開座位應將桌面上含有敏感信息的紙件文檔放在抽屜或文件柜內；工作人員離開座位，終端計算機應退出登錄狀態、采用屏幕保護口令保護或關機；
c）關鍵部位辦公環境的要求：在b）的基礎上，在關鍵區域或部位，應使相應的辦公環境與機房的物理位置在一起，以便進行統一的物理保護。

5.4.2　資源管理

5.4.2.1 資產清單管理

對資產清單的管理，不同安全等級應有選擇地滿足以下要求的一項：
a）一般資產清單：應編制并維護與信息系統相關的資產清單，至少包括以下內容：
——信息資產：應用數據、系統數據、安全數據等數據庫和數據文檔、系統文件、用戶手冊、培訓資料、操作和支持程序、持續性計劃、備用系統安排、存檔信息；
——軟件資產：應用軟件、系統軟件、開發工具和實用程序；
——有形資產：計算機設備（處理器、監視器、膝上形電腦、調制解調器），通信設備（路由器、數字程控交換機、傳真機、應答機），磁媒體（磁帶和軟盤），其他技術裝備（電源，空調設備），家具和機房；
——應用業務相關資產：由信息系統控制的或與信息系統密切相關的應用業務的各類資產，由于信息系統或信息的泄露或破壞，這些資產會受到相應的損壞；
——服務：計算和通信服務，通用設備如供暖、照明、供電和空調等；
b）詳細的資產清單：在a）的基礎上，應清晰識別每項資產的擁有權、責任人、安全分類以及資產所在的位置等；
c）業務應用系統清單：在b）的基礎上，應清晰識別業務應用系統資產的擁有權、責任人、安全分類以及資產所在的位置等；必要時應該包括主要業務應用系統處理流程和數據流的描述，以及業務應用系統用戶分類說明。

5.4.2.2 資產的分類與標識要求

對資產的分類與標識，不同安全等級應有選擇地滿足以下要求的一項：
a）資產標識：應根據資產的價值/重要性對資產進行標識，以便可以基于資產的價值選擇保護措施和進行資產管理等相關工作；
b）資產分類管理：在a）的基礎上，應對信息資產進行分類管理，對信息系統內分屬不同業務范圍的各類信息，按其對安全性的不同要求分類加以標識。對于信息資產，通常信息系統數據可以分為系統數據和用戶數據兩類，其重要性一般與其所在的系統或子系統的安全保護等級相關；用戶數據的重要性還應考慮自身保密性分類，如：
——國家秘密信息：秘密、機密、絕密信息；
——其他秘密信息：受國家法律保護的商業秘密和個人隱私信息；
——專有信息：國家或組織機構內部共享、內部受限、內部專控信息，以及公民個人專有信息；
——公開信息：國家公開共享的信息、組織機構公開共享的信息、公民個人可公開共享的信息；
組織機構應根據業務應用的具體情況進行分類分級和標識，納入規范化管理；不同安全等級的信息應當本著“知所必需、用所必需、共享必需、公開必需、互聯通信必需”的策略進行訪問控制和信息交換管理；
c）資產體系架構：在b）的基礎上，以業務應用為主線，用體系架構的方法描述信息資產；資產體系架構不是簡單的資產清單，而是通過對各個資產之間有機的聯系和關系的結構性描述。

5.4.2.3 介質管理

對介質管理，不同安全等級應有選擇地滿足以下要求的一項：
a）介質管理基本要求：對脫機存放的各類介質（包括信息資產和軟件資產的介質）進行控制和保護，以防止被盜、被毀、被修改以及信息的非法泄漏；介質的歸檔和查詢應有記錄，對存檔介質的目錄清單應定期盤點；介質應儲放在安全的環境中防止損壞；對于需要送出維修或銷毀的介質，應防止信息的非法泄漏；對各類介質的保管應參照5.1.3.2相應要求執行；
b）介質異地存放要求：在a）的基礎上，根據所承載的數據和軟件的重要程度對介質進行標識和分類，存放在由專人管理的介質庫中，防止被盜、被毀以及信息的非法泄漏；對存儲保密性要求較高的信息的介質，其借閱、拷貝、傳輸須經相應級別的領導批準后方可執行，并登記在冊；存儲介質的銷毀必須經批準并按指定方式進行，不得自行銷毀；介質應保留2個以上的副本，而且要求介質異地存儲，存儲地的環境要求和管理方法應與本地相同；
c）完整性檢查的要求：在b）的基礎上，對重要介質的數據和軟件必要時可以加密存儲；對重要的信息介質的借閱、拷貝、分發傳遞須經相應級別的領導的書面審批后方可執行，并各種處理過程應登記在冊，介質的分發傳遞采取保護措施；對于需要送出維修或銷毀的介質，應首先刪除信息，再重復寫操作進行覆蓋，防止數據恢復和信息泄漏；需要帶出工作環境的介質，其信息應受到保護；對存放在介質庫中的介質應定期進行完整性和可用性檢查，確認其數據或軟件沒有受到損壞或丟失；
d）加密存儲的要求：在c）的基礎上，對介質中的重要數據必須使用加密技術或數據隱藏技術進行存儲；介質的保存和分發傳遞應有嚴格的規定并進行登記；介質受損但無法執行刪除操作的，必須銷毀；介質銷毀在經主管領導審批后應由兩人完成，一人執行銷毀一人負責監銷，銷毀過程應記錄；
e）高強度加密存儲的要求：在d）的基礎上，對極為重要數據的介質應該使用高強度的加密技術或數據隱藏技術進行存儲，并對有關密鑰和數據隱藏處理程序嚴格保管。

5.4.2.4 設備管理要求

對設備管理要求，不同安全等級應有選擇地滿足以下要求的一項：
a）申報和審批要求：對于信息系統的各種軟硬件設備的選型、采購、發放或領用，使用者應提出申請，報經相應領導審批，才可以實施；設備的選型、采購、使用和保管應明確責任人；
b）系統化管理：在a）的基礎上，要求設備有專人負責，實行分類管理；通過對資產清單（見5.4.2.1）的管理，記錄資產的狀況和資產使用、轉移、廢棄及其授權過程，保證設備的完好率；
c）建立資產管理信息登記機制：在b）的基礎上，對各種資產進行全面管理，提高資產安全性和使用效率；建立資產管理登記系統，提供資產分類標識、授權與訪問控制、變更管理、系統安全審計等功能，為整個系統提供基礎技術支撐。