6.5 第五級：訪問驗證保護級

6.5.1　管理目標和范圍

本級為訪問驗證保護級，實施持續改進管理，進行專控保護。適用于涉及國家安全、社會秩序、經濟建設和公共利益的重要信息和信息系統的核心子系統，其受到破壞后，會對國家安全、社會秩序、經濟建設和公共利益造成特別嚴重損害。在實現第四級管理目標的基礎上，本級管理要求達到具有自我持續改進的安全管理措施，建立完善的信息系統安全管理制度；要求有持續完善的安全計劃、安全規程、安全措施，不斷化解信息系統的安全風險；要求能夠保護核心的局域計算環境，具有可信的網絡基礎設施與邊界，具有嚴格的用戶權限與訪問控制措施；具有防止各種手段的信息泄漏和竊取措施，確保被授權的用戶隨時可以訪問信息，確保責任（抗抵賴性，對自己的行為負責），嚴密的監控措施（強審記、異常檢測），具有較好的響應與恢復措施；對信息系統的安全實施全面質量管理。通過管理活動保證信息系統達到GB17859-1999本級的要求。（見5.1.1.1e））

6.5.2　政策和制度要求

在滿足第四級的管理要求的基礎上，本級要求如下：
a）總體安全管理策略，應包括專控保護的信息安全管理策略，必要時應征求國家指定的專門部門或機構的意見，或者共同制定，必要時安全管理策略文檔應在國家指定的專門部門或機構進行備案；（見5.1.1.2e），5.1.1.3e），5.1.1.4e））
b）安全管理規章制度，應包括制定專控保護的信息安全管理制度，應征求組織機構的保密管理部門的意見或者共同制定；（見5.1.2.1e），5.1.2.2e））
c）策略與制度文檔管理，必要時可請組織機構的保密管理部門參加文檔的評審和修訂，對文檔的保管應與相關業務部門協商制定專項控制的管理措施。（見5.1.3.1e），5.1.3.2e））

6.5.3　機構和人員管理要求

在滿足第四級的管理要求的基礎上，本級要求如下：
a）安全管理機構要求，應建立信息安全保密管理部門，加強對信息安全管理重要過程和管理人員的監督管理；信息安全領導小組應指導和檢查該部門的各項工作；（見5.2.1.1e），5.2.1.2b），5.2.1.3b））
b）信息系統安全集中管理機構對核心系統安全運行的管理，應與有關業務應用的主管部門協調，定制更高安全級別的管理方式；（見5.2.2.1a），5.2.2.2c））
c）人員管理要求，應具有針對內部人員全面控制的保證措施，實施針對所有崗位工作人員全面安全質量管理；使所有人員都能理解并有能力執行規定的安全管理要求，保證所有人員達到相應崗位的安全資質；（見5.2.3.1d），5.2.3.2e），5.2.3.3d），5.2.3.4d），5.2.3.5d），5.2.3.6c））
d）教育和培訓要求，針對所有工作人員進行相應資質管理，并使安全意識成為所有工作人員的自覺存在。（見5.2.4.1e），5.2.4.2b））

6.5.4　風險管理要求

在滿足第四級的管理要求的基礎上，本級要求如下：
a）風險管理要求和策略，應針對風險管理活動，實施全面的質量管理；（見5.3.1.1e），5.3.1.2c））
b）風險分析和評估要求，同第三級要求；（見5.3.2.1b），5.3.2.2d），5.3.2.3c），5.3.2.4c））
c）風險處理和減緩要求，同第四級要求；（見5.3.3.1c））
d）基于風險的決策要求，同第四級要求；（見5.3.4.1c），5.3.4.2b））
e）風險評估的管理要求，同第四級要求。（見5.3.5.1c），5.3.5.2c），5.3.5.3c），5.3.5.4d））

6.5.5　環境和資源管理要求

在滿足第四級的管理要求的基礎上，本級要求如下：
a）環境安全管理要求對物理安全的保障有持續的改善；對物理安全保障應定期進行監督、檢查和不斷改進；采取防止電磁泄漏保護的措施；信息系統的物理環境安全方面的設施應達到GB/T 20271-2006中6.5.1的有關要求；（見5.4.1.1e），5.4.1.2e），5.4.1.3c））
b）資源管理要求，對極為重要數據的介質可以使用數據隱藏技術進行存儲；其他同第四級要求。（見5.4.2.1c），5.4.2.2c），5.4.2.3e），5.4.2.4c））

6.5.6　操作和維護管理要求

在滿足第四級的管理要求的基礎上，本級要求如下：
a）用戶管理同第四級要求；（見5.5.1.1d），5.5.1.2c），5.5.1.3c），5.5.1.4c），5.5.1.5c））
b）運行操作管理要求，應針對所有變更進行安全評估；對變更計劃和效果持續改善采取相應保證措施；（見5.5.2.1c），5.5.2.2c），5.5.2.3d），5.5.2.4c），5.5.2.5c），5.5.2.6e），5.5.2.7d））
c）運行維護管理要求對系統運行進行全面的質量管理；對核心數據的監視應與主管部門共同制定具體的管理辦法；（見5.5.3.1d），5.5.3.2e），5.5.3.3d），5.5.3.4d））
d）外包服務管理同第四級要求；（見5.5.4.2c））
e）有關安全機制保障要求包括，身份鑒別機制管理要求進行身份鑒別和認證管理的專項控制；訪問控制策略管理要求對訪問控制進行專項審批和檢查；系統安全管理要求實施人機操作監視；網絡安全管理要求基于網絡物理隔離；應用系統安全管理要求適應環境要求，進行周期更短的安全審計和檢查；（見5.5.5.1e），5.5.5.2e），5.5.5.3e），5.5.5.4e），5.5.5.5e），5.5.5.6d），5.5.5.7b））
f）安全機制集中管理應根據核心區域網絡安全信息的需要，與有關主管部門共同制定專項的安全控制和保護措施；其他同第四級要求。（見5.5.6.1b），5.5.6.2c），5.5.6.3a），5.5.6.4a））

6.5.7　業務連續性管理要求

在滿足第四級的管理要求的基礎上，本級要求如下：
a）備份與恢復同第四級要求；（見5.6.1.1d），5.6.1.2c））
b）安全事件處理同第四級要求；（見5.6.2.1c），5.6.2.2c））
c）應急處理要求，應急處理和災難恢復要求進行持續評估和改進；對應急計劃的正確性和完整性進行檢查，不斷評估和完善。（見5.6.3.1e），5.6.3.2a），5.6.3.3e））

6.5.8　監督和檢查管理要求

在滿足第四級的管理要求的基礎上，本級要求如下：
a）符合法律要求同第四級要求；（見5.7.1.1c），5.7.1.2c），5.7.1.3a））
b）依從性檢查同第四級要求；（見5.7.2.1b），5.7.2.2c），5.7.2.3c））
c）審計及監管要求，依照國家政策法規和技術及管理標準進行自主保護，國家指定專門部門、專門機構進行專門監督；（見5.7.3.1c），5.7.3.2e））
d）責任認定同第四級要求。（見5.7.4.1 c），5.7.4.2c））

6.5.9　生存周期管理要求

在滿足第四級的管理要求的基礎上，本級要求如下：
a）規劃和立項管理，同第四級要求；（見5.8.1.1c），5.8.1.2c），5.8.1.3c））
b）建設過程管理，同第四級要求；（見5.8.2.1c），5.8.2.2d），5.8.2.3d），5.8.2.4a），5.8.2.5c））
c）系統啟用和終止管理，同第四級要求。（見5.8.3.1d），5.8.3.2c））