6.1 第一級：用戶自主保護級

6.1.1　管理目標和范圍

本級為用戶自主保護級，實施基本的管理，進行自主保護。適用于一般的信息和信息系統，其受到破壞后，會對公民、法人和其他組織的權益有一定影響，但不危害國家安全、社會秩序、經濟建設和公共利益。本級管理要求達到具有初步的安全管理措施，建立基本的信息系統管理制度和信息系統人員管理制度，具有自主訪問控制的措施和身份鑒別功能，對用戶自身所創建的數據信息進行安全保護，要求具有保護數據信息和系統的完整性不受破壞的措施，能夠保證被授權的用戶隨時可以訪問信息。通過管理活動保證信息系統安全保護等級達到GB17859-1999的本級要求。（見5.1.1.1a））

6.1.2　政策和制度要求

本級要求如下：
a）總體安全管理策略，應包括基本的信息安全管理策略，由安全管理人員為主制定，安全管理策略文檔應由分管信息安全工作的負責人簽發，并向信息系統的用戶傳達；（見5.1.1.2a），5.1.1.3a），5.1.1.4a））
b）安全管理規章制度，應包括基本的安全管理制度和操作規程；由安全管理人員起草，分管信息安全工作的負責人審批發布；（見5.1.2.1a），5.1.2.2a））
c）策略與制度文檔管理，由分管信息安全的負責人和安全管理人員負責文檔的評審和修訂；策略與制度文檔由專人保管。（見5.1.3.1a），5.1.3.2a））

6.1.3　機構和人員管理要求

本級要求如下：
a）組織機構應在管理層中有一人分管信息系統安全工作，并為信息系統的安全管理配備獨立的安全管理人員；（見5.2.1.1a））
b）對人員的管理包括，安全管理人員可以由網絡管理人員兼任；對關鍵崗位應制定基本的管理要求；對人員錄用應進行簡歷和專業能力檢查；對人員離崗立即中止所有訪問，收回證件、密鑰等；定期對各個崗位人員進行安全認知技能的考核；對各類第三方人員簽署有關安全責任的合同或保密協議，進入辦公區域應劃定范圍，進入計算機房需要得到批準，進行邏輯訪問時應劃定范圍并經過批準，且有人陪同；（見5.2.3.1a），5.2.3.2a），5.2.3.3a），5.2.3.4a），5.2.3.5a），5.2.3.6a））
c）組織機構應對員工進行信息安全及其責任的應知應會的教育；應聽取信息安全專家的建議。（見5.2.4.1a），5.2.4.2a））

6.1.4　風險管理要求

本級要求如下：
a）風險管理要求和策略，能夠進行基本的風險管理，包括編制資產清單，重要性分析，威脅的初步分析，用工具掃描進行脆弱性分析，能夠簡單分析安全風險和選擇安全措施；（見5.3.1.1a））
b）風險分析和評估要求，應對信息系統的資產進行統計和分類，根據重要程度對資產進行標識；根據以往的安全事件和經驗對威脅進行基本分析；通過掃描器等工具來獲得對系統脆弱性的認識；分析和編制脆弱性列表；可以由用戶和專家通過經驗對風險進行評價，形成評估報告；（見5.3.2.1a），5.3.2.2a），5.3.2.3a），5.3.2.4a））
c）風險控制要求，用基線選擇的方法決定安全控制措施；（見5.3.3.1a））
d）基于風險的決策要求，應形成殘余風險分析報告，并由組織機構高層管理決定風險的接受；基于這一判斷決定是否允許信息系統運行；（見5.3.4.1a），5.3.4.2a））
e）風險評估的管理要求，根據資質和信譽選擇評估機構；要求評估機構人員簽署保密協議；提交評估資料應規定交接手續；進行技術測試必須經過授權。（見5.3.5.1a），5.3.5.2a），5.3.5.3a），5.3.5.4a））

6.1.5　環境和資源管理要求

本級要求如下：
a）環境安全管理要求，組織機構應通過正式授權程序委派責任部門或專人負責物理安全工作，需要建立有關規章制度，包括對機房安全管理規定基本要求；信息系統的物理環境安全方面的設施應達到GB/T 20271-2006中6.1.1的有關要求；（見5.4.1.1a），5.4.1.2a））
b）資源管理要求，組織機構應編制并維護與信息系統相關的資產清單；對資產進行重要性標識；規定存放重要數據和軟件的介質管理的基本要求；對設備管理要求，各種軟硬件設備的選型、采購、發放或領用，使用者應提出申請，報經相應領導審批，才可以實施；設備的選型、采購、使用和保管應有責任人。（見5.4.2.1a），5.4.2.2a），5.4.2.3a），5.4.2.4a））

6.1.6　操作和維護管理要求

本級要求如下：
a）用戶管理包括對用戶分類管理，編制用戶分類清單，依據清單建立用戶和分配權限；要求系統用戶堅持最小授權原則；規定普通用戶的基本要求；對組織機構外部用戶要有合法使用的聲明；要求臨時用戶的設置與刪除必須經過審批和記錄備案；（見5.5.1.1a），5.5.1.2a），5.5.1.3a），5.5.1.4a），5.5.1.5a））
b）運行操作管理包括，要求對服務器操作應注意啟動/停止、配置保護、口令方式的身份鑒別等基本管理；對終端計算機應設置開機、屏幕保護等口令，軟件安裝等要求；制定便攜機操作的基本要求；對網絡及安全設備操作的管理員身份鑒別的要求；對業務應用操作進行訪問權限控制；要求在正式運行系統中任何變更控制必須經過申報和審批；信息發布必須符合國家有關政策法規的要求；（見5.5.2.1a），5.5.2.2a），5.5.2.3a），5.5.2.4a），5.5.2.5a），5.5.2.6a），5.5.2.7a））
c）運行維護管理包括，通過正式授權程序委派專人負責系統運行及其安全；安全管理人員應協同應用部門對信息系統運行進行安全管理；對運行狀況監控應進行日志保護和查閱管理；軟件硬件維護要求明確維護人員及其責任，并規定維修時限；對外部服務方訪問必須經過審批；（見5.5.3.1a），5.5.3.2a），5.5.3.3a），5.5.3.4a））
d）對外包服務的管理應包括外包服務的風險識別、相應安全制度的制定與實施，并以此為依據簽署正式的書面合同；應選擇有資質且信譽好的外包服務商；對外包服務的業務應用系統運行應進行監控和檢查；（見5.5.4.1a），5.5.4.2a），5.5.4.3a））
e）有關安全機制的保障包括，應對系統管理員和普通用戶明確使用和保護身份鑒別機制的責任；對訪問控制策略管理要求應明確訪問控制策略的定義和授權管理；對操作系統指定安全管理的責任人，進行正確的用戶管理配置；制定有關網絡系統安全管理和配置的規定；對應用系統指定安全責任人，進行正確的配置；應指定人員檢查網絡和主機的病毒檢測并保存記錄。（見5.5.5.1a），5.5.5.2a），5.5.5.3a），5.5.5.4a），5.5.5.5a），5.5.5.6a））

6.1.7　業務連續性管理要求

本級要求如下：
a）業務連續性管理包括，數據備份和恢復策略要求規定不同業務應用的系統層面和應用層面需要備份的內容和周期；確定采用離線備份或在線備份方案；（見5.6.1.1a））
b）安全事件處理要求，根據組織機構自身的實際情況對安全事件劃分成不同的安全等級，為事件的報告和處理提供依據；應規定正式的報告程序和事故響應程序；要求所有員工知道報告安全事件程序和責任；事件處理后應有適當的反饋程序；（見5.6.2.1a），5.6.2.2a））
c）應急處理要求，應規定應急處理和災難恢復要求，對信息系統的應急處理有明確的程序，制定具體的應急處理措施；按照應急計劃框架要求制定應急處理計劃；為應急計劃的實施保障要求明確應急計劃的組織和實施人員及其責任；安全管理人員應協助分管領導落實應急處理措施。（見5.6.3.1a），5.6.3.2a），5.6.3.3a））

6.1.8　監督和檢查管理要求

本級要求如下：
a）應知曉適用的法律并防止違法行為；建立關于尊重知識產權的策略，并形成書面文檔；保護證據記錄，要求保護機構的重要記錄，明確需要保護的內容范圍；（見5.7.1.1a），5.7.1.2a），5.7.1.3a））
b）監督控制要求，依照國家政策法規和技術及管理標準進行自主保護。（見5.7.3.2a））

6.1.9　生存周期管理要求

本級要求如下：
a）規劃和立項管理，信息系統的管理者應建立信息系統建設和發展計劃；應用部門或業務部門可以提出業務應用的需求，必須經過主管領導的審批或者經過管理層的討論批準，才能正式立項；（見5.8.1.1a），5.8.1.2a），5.8.1.3a））
b）建設過程管理，要求信息系統建設項目明確指定項目負責人；信息系統工程項目外包，應選擇具有服務資質的信譽較好的廠商；對自行開發的應明確要求開發環境與實際運行環境物理分開；對安全產品使用要求應按照相應的安全保護等級的要求選擇相應等級的產品；對建設項目測試驗收要求進行功能和性能測試，指定建設項目測試驗收負責人；（見5.8.2.1a），5.8.2.2a），5.8.2.3a），5.8.2.4a），5.8.2.5a））
c）系統啟用和終止管理，要求新的信息系統或子系統、信息系統設備啟用應經過相應領導審批才能正式投入使用；現有信息系統或子系統、信息系統設備需要終止運行，應說明原因及采取的保護措施，經過相應領導審批才能正式終止運行。（見5.8.3.1a），5.8.3.2a））