B.2 安全管理的過程

B.2.1　安全管理過程模型

安全管理是一個不斷發展、不斷修正的過程，貫穿于信息系統生存周期，涉及到信息系統管理層面、物理層面、網絡層面、操作系統層面、應用系統層面的安全風險、安全措施、安全運行、安全配置等管理。對信息系統上述幾個層面的安全管理是保證信息系統安全技術、安全工程、安全運行正確、安全、有效的基礎。
在安全管理過程模型中，每個階段的管理工作重點不同，要求不同。
安全管理過程模型如圖B.2所示。

B.2.2　安全目標

防止涉密信息的失密、泄密和竊密，以及敏感或涉及國家秘密信息的丟失和泄露，防止數據的非授權修改、丟失和破壞，防止系統能力的喪失、降低，防止欺騙，保證信息及系統的可信度和資產的安全。

B.2.3　安全保護等級的確定

信息系統的使用單位主管應根據國家有關法律法規、信息系統所處理信息的安全要求和運行安全要求確定信息系統的保護需求，并確定保證等級，并按照GB/T 20271-2006(信息系統技術要求)和本標準的管理要求實施不同階段、不同等級的安全保護。

B.2.4　安全風險分析與評估

1）目的
識別需要控制和可接受的風險，并形成風險分析評估報告。
2）原則
安全風險分析時應依據有關的信息系統安全標準和規定，采用多層面、多角度的系統分析方法，制定詳細的分析計劃和分析步驟，避免遺漏，以保證結果的可靠和科學，并形成文檔，做到有據可查。
3）內容與范圍
信息系統安全組織、制度和人員情況，信息系統的體系結構，策略與技術運用，安全設施布控及外包服務狀況，動態安全運行狀況等。
4）分析過程，包括：
——資產識別和分析：包括信息及信息系統的分類、識別要保護的資產及價值、分析信息資產之間的相互依賴性等
——威脅識別和分析：分析系統存在的威脅
——脆弱性識別和分析：分析系統存在的脆弱性
——風險分析和評估分析：包括可能的入侵者和入侵活動的影響、編制安全風險分析報告等

B.2.5　制定安全策略

1）目的
為保證信息系統的安全提供框架，提供安全管理的方法，規定各部門要遵守的規范及應負的責任，為信息系統的安全具體實施提供依據和基礎。以調動、協調和組織各方面的資源共同保障信息系統的安全。
2）原則
安全策略應由信息系統使用單位的相關部門負責制定，該部門由使用單位的主管成員和專業安全技術人員以及來自該單位不同部門的相關成員組成。有條件的部門，可聘請安全專家。安全策略在制定時應兼顧結構上的系統性、內容上的可理解性、技術上的可實現性、管理上的可執行性。安全策略應與時俱進，定期加以調整和更新。
3）內容，包括：
——信息系統中要保護的所有資產以及每件資產的重要性，對信息系統中的要素或資產進行分類，分類應體現各類資產的重要程度，所面臨的主要威脅，并規定它們的受保護等級；
——明確每個人在信息安全保護中的責任和義務，以便有效地組織全員協同工作；
——確定保護信息系統中各類資產的具體方法，如對于實體可以采用隔離、防輻射、防自然災害的措施，對于數據信息可以采用授權訪問控制技術，對于網絡傳輸可以采用安全隧道技術等；
——為了確保任務的落實，提高安全意識和警惕性，應規定相關的獎懲條款，并建立監管機制，以保證各項條款的嚴格執行。

B.2.6　安全需求分析

1）目的
提高信息系統安全服務和安全機制等安全保障措施的有效性和針對性，并形成安全需求分析報告。
2）原則，包括：
——結合實際：針對信息系統的實際環境和安全目標提出安全要求；
——依據標準：為了保證質量，做到有據可查，安全需求分析應符合有關標準；
——分層分析：從涉及的策略、體系結構、技術、管理等各個層次逐次進行分析；
——動態反饋：安全需求分析是一個不斷發展的過程，隨著系統更新換代或功能擴展、內部環境和外部環境的變化，安全需求隨之發生變化。安全需求分析應保持結果的有效性、適應性，保證分析方法的科學性和系統性，安全需求分析過程應與系統發展過程同步。
3）內容，包括：
——管理層面：根據組織和機構的實際情況，確定管理機構或部門的形態和規模，并明確其目標、原則、任務、功能和人員配置等；
——物理層面：根據組織或機構的實際情況，確定各類實體財產的安全級別，以及需要保護的程度和方法；
——系統層面：明確操作平臺應具備的安全級別，以及為達到所要求的級別，應選用的操作系統等；
——網絡層面：根據信息系統的業務方向，分析系統的網絡，特別是網絡邊界的安全需求，確定應采用的防護體系；
——應用層面：基于網絡的應用以及應用供應商的多樣性和復雜性，相應的安全防護體系和技術措施不盡相同，需要根據實際情況來確定、選擇其安全需求。

B.2.7　安全措施的實施

1）目的
實現安全防護體系，保證達到工程要求。
2）原則，包括：
——遵從保質、經濟、高效的原則，正確選擇實施單位，依據一份詳細、準確、完備的文檔化實施計劃或方案，對實施過程進行嚴格控制；
——對方案要詳細說明安全過程各個階段的建設目標、工作內容、施工人員、任務分工、進度安排、產品選型、產品采購、資金投入等情況，并給出每一項的依據和理由，分析每項工作的作用、意義和局限性，明確實施各方的工作關系、責權和協調協同機制；
——對實施方案進行評審時既要兼顧整體，又要注意細節，嚴格對照組織或機構的安全策略、安全需求和實際情況進行檢驗，并對所有的備選方案進行認真的分析比較，確保選中的方案達到設想的要求和標準；
——在安全措施實施過程中，所采用的技術與產品應經過嚴格的測試選型，符合國家信息安全方面的法律法規，特別是涉及密碼技術的產品，應嚴格按照國家和主管部門的有關規定選型和采購；
——實施應按照有關工程要求進行；
——如本單位沒有實施條件，應選擇具備相應資質和合適、可靠的實施單位來實施信息系統安全措施。

B.2.8　安全實施過程的監理

1）目的
在安全實施過程中建立安全監理制度，檢驗施工單位的質量水平和責任心，保證工程各階段的質量。
2）原則，包括：
——從實施的規范、流程、進度等方面進行監督與檢查，確保各環節的質量；
——安全監理單位或個人應是經過有關部門批準的第三方中立機構或具有相應資質的個人，保證安全措施實施按照合理的流程與技術標準進行，保證實施過程的有效性；
——實施前的監理：對所選安全產品的真實性、質量、到貨時間進行檢查；對工程實施人員進行身份及資質審查；對實施單位的具體實施步驟及每個步驟中的具體實施計劃文檔進行審查；對實施單位開始實施工程的時間和完工的時間進行事前記錄；
——實施中的監理：對工程實施進度進行計劃和督促，防止延誤工期；對工程實施過程的真實性和與方案的符合性進行監督；對工程實施人員的身份在實施過程中進行再檢查;對軟硬件產品在工程實施中的完好性和真實性進行檢查；對工程實施中已完成的部分進行局部驗收，發現問題令其及時糾正；對實施人員的能力和態度進行審查；對于敏感性、關鍵性信息系統，應由該組織或機構委派專人在現場實施全過程監控，負責零事故的安全保障；
——實施后的監理：對是否達到相應的安全級別進行嚴格驗收；對產品配置的合理性、有效性進行驗收；對安全配置是否影響系統的性能進行驗收；對實施的進度進行驗收；對信息系統的安全現狀進行測試與評估；聘請安全專家或有關安全部門對信息系統的安全現狀進行評估；
——安全措施實施過程檢查的結果應由實施和檢查單位法人代表和檢查人員簽字，以便有關部門和使用單位檢查。

B.2.9　信息系統的安全審計

1）目的
檢驗、監督安全工作的落實情況，確保信息系統達到GB17859-1999要求的相應安全等級。
2）原則，包括：
——根據國家有關部門的具體規定實施信息系統的安全檢查工作，實施獨立審計；
——信息系統的各應用單位有關人員或組織除實施自查外，應積極配合國家有關部門對所用系統實施安全檢查；
——對技術上的安全措施要通過其使用、配置情況，檢查它們是否達到了有關的要求。檢查的方法有多種，例如，通過查看系統的日志，分析出系統在運行過程中遇到的意外情況以及使用情況；或者對安全措施進行測試，查看它們能否達到規定的安全水平等；
——對安全管理的檢查，可以通過審閱有關機構或人員的工作記錄，規定他們定期進行總結匯報，并對檢查的結果進行核實，還可以發動單位內的所有人員對管理機構的運作進行監督；
——對人員安全意識的檢查可以通過問卷、座談等方式進行，并建立定期考核制度；
——建立不定期的抽查制度，避免作弊行為或虛假的檢查結果。
3）內容，包括：
——安全策略的檢查：檢查結構上的系統性、內容上的可理解性、技術上的可實現性、管理上的可執行性；
——技術措施的檢查：根據有關的技術標準，結合實際情況，分析安全措施的保護能力及能夠滿足需求的程度，并進一步研究該項措施在當前環境和將來環境中的作用以及可行性；涉及多個技術領域時，檢查過程中需要聘請相關專業專家共同參與，并將檢查結果形成詳細準確的報告，再由小組進行論證評審，以確定該措施當前的有效性；涉及密碼技術時，檢查密碼體制、密碼產品和密鑰管理體系的使用和管理是否符合國家有關部門的規定；
——管理措施的檢查：主要是檢查安全管理機構是否健全，管理職能和管理職責是否明確，有關的政策、法規、制度、規定是否完善，人員的安全意識如何，相關的安全教育和培訓工作開展的怎樣，效果如何。

B.2.10　生存周期管理

1）目的
對信息系統實施生存周期全程管理。
2）原則
——計劃階段：通過風險分析明確安全需求，確定安全目標，制定安全策略，擬定安全要求的性能指標；
——實施階段：依據安全要求選擇相應的安全措施，采購或設計安全系統，根據工程要求實施和部署，并對安全措施進行驗證、驗收；
——運行維護階段：通過檢查、檢測、審計和對風險變更的監視和評估保證運行安全；
——生存周期結束階段：對信息系統的信息進行安全處置。