6.3 第三級：安全標記保護級

6.3.1　管理目標和范圍

本級為安全標記保護級，實施制度化管理，進行監督保護。適用于涉及國家安全、社會秩序、經濟建設和公共利益的信息和信息系統，其受到破壞后，會對國家安全、社會秩序、經濟建設和公共利益造成較大損害。在實現第二級管理目標的基礎上，本級管理要求達到具有完好定義的安全管理措施，還應建立等級保護產品采購與使用等完善的管理制度；要求信息系統的用戶明確安全責任；要求能夠保護核心計算環境、網絡基礎設施與邊界；具有較嚴格的用戶權限與訪問控制措施和防止信息竊取的措施，較好的保護重要信息及其處理方法的準確性和完整性；具有較好的監控措施（審記、異常檢測）和基本的響應與恢復措施；明確規定系統日志的檢查、系統穿透性測試和對內與對外的安全審計。通過管理活動保證信息系統達到GB17859-1999的本級要求。（見5.1.1.1c））

6.3.2　政策和制度要求

在滿足第二級的管理要求的基礎上，本級要求如下：
a）總體安全管理策略，應包括建立體系化的信息安全管理策略，由信息安全領導小組組織制定，組織機構負責人簽發，文檔應注明發布范圍，并有收發文登記；（見5.1.1.2c），5.1.1.3c），5.1.1.4c））
b）安全管理規章制度，應包括體系化的安全管理制度，由信息安全職能部門負責制訂，由信息安全領導小組負責人審批發布，應注明發布范圍并有收發文登記；（見5.1.2.1c），5.1.2.2c））
c）策略與制度文檔管理，應由信息安全領導小組和信息安全職能部門負責文檔的評審和修訂；限定借閱范圍，并經過相應級別負責人審批和登記。（見5.1.3.1c），5.1.3.2c））

6.3.3　機構和人員管理要求

在滿足第二級的管理要求的基礎上，本級要求如下：
a）應成立信息安全領導小組，領導全組織機構的信息安全管理工作；（見5.2.1.1c），5.2.1.2a），5.2.1.3b））
b）設立信息系統安全機制集中管理機構，接受管理信息安全工作的職能部門領導，配備必要的領導和技術管理人員；負責信息系統安全的集中控制管理，行使防范與保護、監控與檢查、響應與處置職能，統一管理信息系統的安全，應統一進行信息系統安全機制的配置與管理；應匯集各種安全機制所獲取的與系統安全運行有關的信息；根據應急處理預案作出快速處理；應對安全事件和處理結果進行管理；建立安全管理控制平臺，完善管理信息系統安全運行的技術手段；負責接受和配合政府有關部門的信息安全監管工作；（見5.2.2.1a），5.2.2.2a））
c）人員管理，要求安全管理人員不可兼任；堅持關鍵崗位人員“權限分散、不得交叉覆蓋”的原則；重要部位的人員錄用可從內部符合條件人員選拔；涉密人員調離應進行離崗審計和經過脫密；對關鍵崗位人員的工作進行安全管理有效性檢查；在重要區域第三方人員訪問應有書面申請、批準和過程記錄，有專人全程陪同，并進行審計；（見5.2.3.1c），5.2.3.2c），5.2.3.3c），5.2.3.4c），5.2.3.5c），5.2.3.6b））
d）教育和培訓要求，針對不同崗位進行安全策略和技術要求等不同培訓；對不同崗位制定和實施安全培訓計劃，并對安全培訓計劃進行維護和評估；對信息安全專家提供信息應告知其敏感性和保密性，并采取必要的安全措施，保證提供的信息在安全可控的范圍內。（見5.2.4.1c），5.2.4.2b））

6.3.4　風險管理要求

在滿足第二級的管理要求的基礎上，本級要求如下：
a）風險管理要求和策略，應采用規范方法進行評估；應建立風險管理的監督機制和管理程序；（見5.3.1.1c），5.3.1.2b））
b）風險分析和評估要求，通過對信息系統每類資產的識別，對信息系統的體系特征進行描述；根據威脅源在保密性、完整性或可用性等方面造成損害，對威脅威進行詳細分析；應對信息系統的脆弱性進行制度化的測試和分析；在進行全面的風險評價基礎上，建立和維護風險信息庫；（見5.3.2.1b），5.3.2.2c），5.3.2.3c），5.3.2.4c））
c）風險處理和減緩要求，根據風險評估的結果決定信息安全的控制措施，通過綜合分析形成體系化的防護控制系統；（見5.3.3.1c））
d）基于風險的決策要求，對信息系統安全風險實施二次評估，驗證防護措施的有效性；由機構高層管理決定風險的接受，應采取相應的風險規避措施，控制信息系統的運行；（見5.3.4.1c），5.3.4.2b））
e）風險評估的管理要求，涉及評估的資料只能存放指定計算機內，不得帶出指定區域；進行技術測試可由本機構人員按技術方案進行操作，評估機構技術人員進行場外指導。（見5.3.5.1b），5.3.5.2b），5.3.5.3c），5.3.5.4c））

6.3.5　環境和資源管理要求

在滿足第二級的管理要求的基礎上，本級要求如下：
a）環境安全管理要求，對物理環境中不同安全保護等級的安全區域進行標記管理；對出入標記安全區的員工驗證標記，對出入安全區的活動進行監視和記錄；所有物理設施要設置安全標記；設立門禁設施的監控和記錄，應有防止繞過門禁設施的控制措施；應規定工作人員離開座位的要求；信息系統的物理環境安全方面的設施應達到GB/T 20271-2006中6.3.1的有關要求；（見5.4.1.1c），5.4.1.2c），5.4.1.3b））
b）資源管理要求，業務應用系統應在資產清單中體現，包括每個業務應用系統的功能作用、業務流程和數據流程，以及其中資產擁有權、責任人、安全分類以及資產所在的位置等；以業務應用為主線描述信息資產體系框架；對重要介質的數據和軟件應進行完整性檢查，必要時可以加密存儲；對各種資產進行全面管理，提高資產安全性和使用效率；建立資產管理登記機制。（見5.4.2.1c），5.4.2.2c），5.4.2.3c），5.4.2.4c））

6.3.6　操作和維護管理要求

在滿足第二級的管理要求的基礎上，本級要求如下：
a）用戶管理要求，應對重要業務用戶的列出清單，說明權限，開啟審計；在關鍵部位，對系統用戶任何操作必須兩人在場，并產生審計記錄；規定普通的重要業務應用的要求；在關鍵部位，一般不允許設置外部用戶和臨時用戶；（見5.5.1.1c），5.5.1.2c），5.5.1.3c），5.5.1.4c），5.5.1.5c））
b）運行操作管理要求包括，服務器管理主要包括對系統配置和服務設定應根據安全管理機構的統一安全策略結合應用需求進行并定期檢查；重要部位終端計算機和便攜機要求啟用兩個以上技術組合來進行身份鑒別，對拆機箱和接入系統做出管理規定；網絡及安全設備應通過安全機制集中管理統一控制；關鍵的業務應用操作應有2人同時在場或同時操作，并進行審計；對正式運行的信息系統的任何變更必須考慮全面安全事務一致性問題；對不同安全區域之間信息傳輸應有明確的要求；（見5.5.2.1c），5.5.2.2b），5.5.2.3c），5.5.2.4c），5.5.2.5c），5.5.2.6c），5.5.2.7c））
c）運行維護管理要求，應使用規范的方法對信息系統的各個方面進行風險控制；對運行狀況監控要求安全機制集中管理控制；重要區域的軟件硬件維護要求對數據和軟件系統進行必要的保護，并對維修備案；針對外部服務方訪問進行風險分析和評估；（見5.5.3.1c），5.5.3.2c），5.5.3.3c），5.5.3.4c））
d）外包服務管理要求，關鍵的或涉密的業務應用一般不應采用外包服務方式；（見5.5.4.2c））
e）有關安全機制保障要求包括，身份鑒別機制管理應明確身份鑒別及認證系統的管理維護的內容和范圍；訪問控制策略管理應根據需求確定訪問控制的跟蹤審計；系統安全管理應基于系統加固措施和審計監控；網絡安全管理應基于審計和標記，以及網絡安全審計人員的配置；應用系統安全管理應基于標記信息訪問控制，以及不同備份策略的制定；要求病毒防護采取集中實施和管理；應對信息系統中以密碼為基礎的安全機制應按國家密碼主管部門的規定管理；（見5.5.5.1c），5.5.5.2c），5.5.5.3c），5.5.5.4c），5.5.5.5c），5.5.5.6c），5.5.5.7b））
f）安全機制集中管理，能夠對網絡系統、安全設備、主機系統、重要應用實施集中控管；建立一體化和開放性平臺，將多家不同類型的安全產品整合到一起，進行統一的管理配置和監控；能夠對網絡系統、網絡安全設備以及主要應用實施統一的安全策略、集中管理、集中審計；要求對安全機制整合，實現網絡異常流量監控、安全事件監控管理、脆弱性管理、安全策略管理、安全預警管理；主要工作方式包括自動處理、人工干預處理、遠程處理、輔助決策分析處理、記錄和事后處理等。（見5.5.6.1a），5.5.6.2a），5.5.6.3a），5.5.6.4a））

6.3.7　業務連續性管理要求

在滿足第二級的管理要求的基礎上，本級要求如下：
a）備份與恢復要求，數據備份和恢復策略要求采用熱備份方式；應指定專人定期維護和檢查系統冗余運行狀況，并限定系統切換的時間；應維護檢查熱備份使用設備和系統冗余運行狀況，確保需要接入和切換時系統能夠正常運行；（見5.6.1.1c），5.6.1.2b））
b）安全事件處理要求，明確安全事件管理責任，制定安全事件管理程序；安全事件報告和處理要求安全管理職能部門負責接報安全事件報告，并及時進行處理；（見5.6.2.1c），5.6.2.2c））
c）應急處理要求，應急處理和災難恢復要求信息安全領導小組應有人負責或指定專人負責應急計劃和實施恢復計劃管理工作；信息系統安全機制集中管理機構應協助應急處理小組負責具體落實；應急計劃的實施保障要求有足夠資源的保證。（見5.6.3.1c），5.6.3.2a），5.6.3.3c））

6.3.8　監督和檢查管理要求

在滿足第二級的管理要求的基礎上，本級要求如下：
a）符合法律要求，加密控制規則應符合國家有關法規的要求；對關鍵業務應用，必要時應要求必須使用具有自主知識產權的軟件，以保護關鍵業務應用的安全；（見5.7.1.1c），5.7.1.2c），5.7.1.3a））
b）依從性檢查要求，應形成制度化的檢查和改進；安全策略依從性檢查要求對機構內的所有領域內的各個崗位應進行定期檢查；技術依從性檢查應由有經驗的系統工程師手工或使用軟件工具進行；（見5.7.2.1b），5.7.2.2b），5.7.2.3b））
c）審計及監管要求，應對系統的審計的活動進行規劃，系統審計過程控制應要求審計的范圍應經過同意和得到控制；依照國家政策法規和技術及管理標準進行自主保護，信息安全監管職能部門對其進行監督、檢查；（見5.7.3.1b），5.7.3.2c））
d）責任認定要求，應對審計發現的問題認定領導責任，領導層應提出問題解決辦法和責任處理意見；對審計及監管者應對已審計過，但未能及時發現本應審計出問題而造成信息系統損失的承擔責任。（見5.7.4.1b），5.7.4.2b））

6.3.9　生存周期管理要求

在滿足第二級的管理要求的基礎上，本級要求如下：
a）規劃和立項管理，信息系統的管理者應在安全策略規劃的指導下，制定安全建設和安全改造的規劃，并應得到組織機構管理層的批準；信息系統的管理者應根據信息系統安全建設規劃的要求，提出當前應進行安全建設和安全改造的具體需求；對于重要的項目，必須安全性評價，在確認項目安全性符合要求后經過管理層的討論批準，才能正式立項；（見5.8.1.1c），5.8.1.2c），5.8.1.3c））
b）建設過程管理，要求將信息系統建設項目過程有效程序化；建立工程實施監理管理制度；應明確指定項目實施監理負責人；對工程項目外包要求對應廢止和暫停的項目，要確保相關的系統設計、文檔、代碼等的安全；對應銷毀過程要進行安全控制；還應制定控制程序進行保護；對自行開發時應當嚴格控制對程序資源庫的訪問；對建設項目測試驗收要求，除測試外還要全面檢查；（見5.8.2.1c），5.8.2.2c），5.8.2.3c），5.8.2.4a），5.8.2.5c））
c）系統啟用和終止管理，要求新的信息系統或子系統、信息系統設備啟用應進行試運行，并經過專項安全評估得到認可，才能正式投入使用；現有信息系統或子系統、信息系統設備需要終止運行，應采取必要的安全措施，進行數據和軟件備份，對終止運行的設備進行不可恢復的數據清除，如果存儲設備損壞則必須采取銷毀措施，并得到相應領導和技術負責人認可才能正式終止運行。（見5.8.3.1c），5.8.3.2c））