5.7 監督和檢查管理

5.7.1　符合法律要求

5.7.1.1 知曉適用的法律

對知曉適用的法律，不同安全等級應有選擇地滿足以下要求的一項：
a）知曉適用的法律并防止違法行為：組織機構應認識對于信息系統應用范疇適用的所有法律法規；對信息系統的設計、操作、使用和管理，以及信息管理方面應規避法律法規禁區，防止出現違法行為；應保護組織機構的數據信息和個人信息隱私；對于詳細而準確的法律要求應從組織機構的法律顧問，或者合格的法律從業人員處獲得幫助；
b）防止對信息處理設備的濫用：在a）的基礎上，應有措施防止對信息處理設備的濫用，以免危害機構和社會的利益；
c）遵照法規要求使用密碼技術：在b）的基礎上，信息系統中采用的加密技術應使用國家主管部門批準的算法，采用其他密碼技術也應符合國家有關法規的要求。

5.7.1.2 知識產權管理

對知識產權的管理，不同安全等級應有選擇地滿足以下要求的一項：
a）知識產權保護的基本要求：應當建立關于尊重知識產權的策略，并形成書面文檔，涉及軟件開發的工作人員和承包商應做到符合和遵守相關的法律、法規，應防止發生侵犯版權的行為；
b）重要應用系統軟件的保護：在a）的基礎上，在信息系統中，如果重要應用系統軟件是外包開發的，應注意明確軟件版權有關問題，應防止發生因軟件升級或改造引起侵犯軟件版權的行為；
c）關鍵業務應用的軟件版權：在b）的基礎上，對關鍵業務應用，必要時應要求必須使用具有自主知識產權的軟件，以保護關鍵業務應用的安全。

5.7.1.3 保護證據記錄

對保護證據記錄，不同安全等級應滿足以下要求：
a）保護機構的重要記錄：應明確規定組織機構的重要記錄的內容范圍，如財務記錄、數據庫記錄、審計日志等等；應按照法律法規的要求保護組織機構的重要記錄，防止丟失、毀壞和被篡改；被作為證據的記錄，信息的內容和保留的時間應遵守國家法律法規的規定。

5.7.2　依從性檢查

5.7.2.1 檢查和改進

對檢查和改進，不同安全等級應有選擇地滿足以下要求的一項：
a）檢查和改進的基本要求：要求組織機構定期對安全管理活動的各個方面進行檢查和評估工作；對照組織機構的安全策略和管理制度做到自管、自查、自評，并應落實責任制；
b）制度化的檢查和改進：在a）的基礎上，建立檢查和改進制度，定期檢查實施的所有安全程序是否遵從了組織機構制定的安全方針和政策，檢查信息系統在技術方面是否依從了安全標準，根據檢查過程中發現的不足對安全管理體系進行不斷改進；做到接受國家監管和自我管理相結合。

5.7.2.2 安全策略依從性檢查

對安全策略依從性檢查，不同安全等級應有選擇地滿足以下要求的一項：
a）對系統管理員的檢查：應定期檢查安全策略的遵守情況，重點檢查信息系統的網絡、操作系統、數據庫系統等系統管理員，保證其在應有責任范圍內能夠正確地執行所有安全程序，以及能夠正確遵從組織機構制定的安全策略；
b）全面和系統化的檢查：在a）的基礎上，對信息系統各個崗位應進行定期檢查操作規程和管理程序的執行情況，確保遵從組織機構的安全策略；檢查范圍應包括信息系統本身，以及系統供應商、信息和信息資產的所有者、用戶和管理層，保證其符合安全策略和標準；
c）操作過程監督和持續改進：在b）的基礎上，檢查有關系統使用情況和操作等監控過程；根據檢查結果，對信息系統安全管理體系和安全管理執行過程存在的問題進行不斷改進。

5.7.2.3 技術依從性檢查

對技術依從性檢查，不同安全等級應有選擇地滿足以下要求的一項：
a）技術依從性檢查的要求，按照信息系統應達到相應安全保護等級技術要求定期進行檢查，根據檢查信息系統對安全實施標準的符合情況進行初步評價并形成意見；
b）技術依從性檢查的手段：在a）的基礎上，對硬件和軟件的檢驗，以及技術依從檢查應由有能力的、經過授權的人員來進行；對于技術測試應由有經驗的系統工程師手工或使用軟件包進行并生成檢測結果，經技術專家解釋并產生技術報告；應根據檢查結果，對存在的缺陷進行不斷改進；
c）技術依從性檢查的控制：在b）的基礎上，對關鍵區域或涉密系統的技術依從性檢查應嚴格控制，并注意對有關檢測過程和檢測結果的安全進行保護。

5.7.3　審計及監管控制

5.7.3.1 審計控制

對審計監督控制，不同安全等級應有選擇地滿足以下要求的一項：
a）審計機構及職能：應有獨立的審計機構或人員對組織機構的安全管理體系、信息系統的安全風險控制、管理過程的有效性和正確性進行審計；對審計過程進行控制，應制定審計的工作程序和規范化工作流程，將審計活動周期化，同時加強安全事件發生后的審計；
b）系統審計過程要求：在a）的基礎上，應對系統的審計活動進行規劃，盡量減小中斷業務流程的風險；系統審計過程控制要求，審計的范圍必須經過授權并得到控制，審計所需的資源應明確定義并保證可用性，應審計和記錄所有的訪問，對所有的流程、需求和責任都應文檔化；
c）系統審計工具保護要求：在b）的基礎上，應對系統審計工具進行保護，防止誤用造成危害；審計工具應與開發系統和運行系統分開管理；應明確審計工具的適用范圍，使用過程應經過批準，應記錄審計工具的所有使用過程，應明確審計工具的保存方式、責任人員等。

5.7.3.2 監管控制

組織機構應接受和協助政府有關部門對不同安全保護級別的信息和信息系統實行不同強度的監管控制，不同安全等級應有選擇地滿足以下要求的一項：
a）自主保護：依照國家有關法規和GB17859-1999第一級的要求進行自主保護；
b）指導保護：在信息安全監管職能部門指導下依照國家有關法規和GB17859-1999第二級的要求進行自主保護；
c）監督保護：依照國家有關法規和GB17859-1999第三級的要求進行自主保護，信息安全監管職能部門對其進行監督、檢查；
d）強制保護：依照國有關法規和GB17859-1999第四級的要求進行自主保護，信息安全監管職能部門對其進行強制監督、檢查；
e）專控保護：依照國家有關法規和GB17859-1999第五級的要求進行自主保護，國家指定專門部門、專門機構進行專門監督。

5.7.4　責任認定

5.7.4.1 審計結果的責任認定

對審計結果的責任認定，不同安全等級應有選擇地滿足以下要求的一項：
a）明確審計結果的責任：對于5.7.1、5.7.2、5.7.3審計及監管過程發現的問題應限期解決，同時要認定技術責任和管理責任，明確責任當事人，會同有關部門提出問題解決辦法和責任處理意見；
b）明確審計結果中的領導責任：在a）的基礎上，應對審計及監管過程發現的問題認定相關領導者的責任，組織機構領導層應就此提出問題解決辦法和責任處理意見，以及監督問題解決情況；
c）明確審計結果處理的復查責任：在b）的基礎上，應對審計及監管過程發現問題的處理結果進行必要的復查，并明確進行審計及監管復查的期限和責任。

5.7.4.2 審計及監管者責任的認定

對審計及監管者責任的認定，不同安全等級應有選擇地滿足以下要求的一項：
a）按規定要求定期審計的責任：審計及監管者應按有關監督和檢查的規定定期進行審計，逾期未進行審計及監管，使本應審計的問題因未審計而造成信息系統損失，應承擔相應的責任；
b）審計及監管不得力的責任：在a）的基礎上，審計及監管者雖能夠按有關監督和檢查的規定進行審計，但因未能及時發現本應審計出問題而造成信息系統損失的，應承擔相應的責任；
c）審計結果處理的跟蹤責任：在b）的基礎上，審計及監管者應對審計及監管過程發現問題的處理結果進行必要的跟蹤檢查直至問題的解決，如因未進行跟蹤檢查而造成損失的，應承擔相應的責任。