引 言

信息安全等級保護從與信息系統(tǒng)安全相關的物理層面、網(wǎng)絡層面、系統(tǒng)層面、應用層面和管理層面對信息和信息系統(tǒng)實施分等級安全保護。管理層面貫穿于其他層面之中，是其他層面實施分等級安全保護的保證。本標準對信息和信息系統(tǒng)的安全保護提出了分等級安全管理的要求，闡述了安全管理要素及其強度，并將管理要求落實到信息安全等級保護所規(guī)定的五個等級上，有利于對安全管理的實施、評估和檢查。GB17859-1999中安全保護等級的劃分是根據(jù)對安全技術和安全風險控制的關系確定的，公通字[2004]66號文件中安全等級的劃分是根據(jù)信息和信息系統(tǒng)受到破壞后，會對國家安全、社會秩序、經(jīng)濟建設和公共利益造成損害的程度確定的。兩者的共同點是：安全等級越高，發(fā)生的安全技術費用和管理成本越高，從而預期能夠抵御的安全威脅越大，建立起安全信心越強，使用信息系統(tǒng)的風險越小。 本標準以安全管理要素作為描述安全管理要求的基本組件。安全管理要素是指，為實現(xiàn)信息系統(tǒng)安全等級保護所規(guī)定的安全要求，從管理角度應采取的主要控制方法和措施。根據(jù)GB17859-1999對安全
保護等級的劃分，不同的安全保護等級會有不同的安全管理要求，可以體現(xiàn)在管理要素的增加和管理強度的增強兩方面。對于每個管理要素，根據(jù)特定情況分別列出不同的管理強度，最多分為5級，最少可不分級。在具體描述中，除特別聲明之外，一般高級別管理強度的描述都是在對低級別描述基礎之上進行的。
信息系統(tǒng)是指由計算機及其相關和配套的設備、設施構成的，按照一定的應用目標和規(guī)則對信息進行存儲、傳輸、處理的系統(tǒng)或者網(wǎng)絡；信息是指在信息系統(tǒng)中存儲、傳輸、處理的數(shù)字化信息。本標準涉及信息系統(tǒng)的管理者包括國家機關、事業(yè)單位、廠礦企業(yè)、公司、集團等各種類型和不同規(guī)模的組織機構，以下統(tǒng)稱為“組織機構”。
信息系統(tǒng)在技術上采取何種安全機制應根據(jù)相關技術標準確定，本標準僅提出保證這些安全機制實施的管理要求。與技術密切的管理是技術實現(xiàn)的組成部分，如果信息系統(tǒng)根據(jù)具體業(yè)務及其安全需求未采用該技術，則不需要相應的安全管理要求。對與管理描述難以分開的技術要求會出現(xiàn)在管理要求中，具體執(zhí)行需要參照相關技術標準。對于涉及國家秘密的信息和信息系統(tǒng)的保密管理，應按照國家有關保密的管理規(guī)定和相關標準執(zhí)行。
本標準中有關信息系統(tǒng)安全管理要素及其強度與信息系統(tǒng)安全管理分等級要求的對應關系的說明參見附錄A。為了幫助讀者從安全管理概念角度理解和運用這些信息系統(tǒng)的安全管理要求，附錄B給出了信息系統(tǒng)安全管理概念說明。



信息安全技術 信息系統(tǒng)安全管理要求

1 范圍

本標準依據(jù)GB17859-1999的五個安全保護等級的劃分，規(guī)定了信息系統(tǒng)安全所需要的各個安全等級的管理要求。
本標準適用于按等級化要求進行的信息系統(tǒng)安全的管理。

2 規(guī)范性引用文件

下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標準，然而，鼓勵根據(jù)本標準達成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。
GB 17859-1999 計算機信息系統(tǒng)安全保護等級劃分準則
GB/T 20271-2006 信息安全技術 信息系統(tǒng)通用安全技術要求

3 術語和定義

GB 17859-1999確立的以及下列術語和定義適用于本標準。

3.1

完整性 integrity
包括數(shù)據(jù)完整性和系統(tǒng)完整性。數(shù)據(jù)完整性表征數(shù)據(jù)所具有的特性，即無論數(shù)據(jù)形式作何變化，數(shù)據(jù)的準確性和一致性均保持不變的程度；系統(tǒng)完整性表征系統(tǒng)在防止非授權用戶修改或使用資源和防止授權用戶不正確地修改或使用資源的情況下，系統(tǒng)能履行其操作目的的品質(zhì)。

3.2

可用性 availability
表征數(shù)據(jù)或系統(tǒng)根據(jù)授權實體的請求可被訪問與使用程度的安全屬性。

3.3

訪問控制 access control
按確定的規(guī)則，對實體之間的訪問活動進行控制的安全機制，能防止對資源的未授權使用。

3.4

安全審計 security audit
按確定規(guī)則的要求，對與安全相關的事件進行審計，以日志方式記錄必要信息，并作出相應處理的安全機制。

3.5

鑒別信息 authentication information
用以確認身份真實性的信息。

3.6

敏感性 sensitivity
表征資源價值或重要性的特性，也可能包含這一資源的脆弱性。

3.7

風險評估 risk assessment
通過對信息系統(tǒng)的資產(chǎn)價值/重要性、信息系統(tǒng)所受到的威脅以及信息系統(tǒng)的脆弱性進行綜合分析，對信息系統(tǒng)及其處理、傳輸和存儲的信息的保密性、完整性和可用性等進行科學識別和評價，確定信息系統(tǒng)安全風險的過程。

3.8

安全策略 security policy
主要指為信息系統(tǒng)安全管理制定的行動方針、路線、工作方式、指導原則或程序。

4 信息系統(tǒng)安全管理的一般要求

4.1 信息系統(tǒng)安全管理的內(nèi)容


信息系統(tǒng)安全管理是對一個組織機構中信息系統(tǒng)的生存周期全過程實施符合安全等級責任要求的管理，包括：
——落實安全管理機構及安全管理人員，明確角色與職責，制定安全規(guī)劃；
——開發(fā)安全策略；
——實施風險管理；
——制定業(yè)務持續(xù)性計劃和災難恢復計劃；
——選擇與實施安全措施；
——保證配置、變更的正確與安全；
——進行安全審計；
——保證維護支持；
——進行監(jiān)控、檢查，處理安全事件；
——安全意識與安全教育；
——人員安全管理等。

4.2 信息系統(tǒng)安全管理的原則

a） 基于安全需求原則：組織機構應根據(jù)其信息系統(tǒng)擔負的使命，積累的信息資產(chǎn)的重要性，可能受到的威脅及面臨的風險分析安全需求，按照信息系統(tǒng)等級保護要求確定相應的信息系統(tǒng)安全保護等級，遵從相應等級的規(guī)范要求，從全局上恰當?shù)仄胶獍踩度肱c效果；
b） 主要領導負責原則：主要領導應確立其組織統(tǒng)一的信息安全保障的宗旨和政策，負責提高員工的安全意識，組織有效安全保障隊伍，調(diào)動并優(yōu)化配置必要的資源，協(xié)調(diào)安全管理工作與各部門工作的關系，并確保其落實、有效；
c） 全員參與原則：信息系統(tǒng)所有相關人員應普遍參與信息系統(tǒng)的安全管理，并與相關方面協(xié)同、協(xié)調(diào)，共同保障信息系統(tǒng)安全；
d） 系統(tǒng)方法原則：按照系統(tǒng)工程的要求，識別和理解信息安全保障相互關聯(lián)的層面和過程，采用管理和技術結合的方法，提高實現(xiàn)安全保障的目標的有效性和效率；
e） 持續(xù)改進原則：安全管理是一種動態(tài)反饋過程，貫穿整個安全管理的生存周期，隨著安全需求和系統(tǒng)脆弱性的時空分布變化，威脅程度的提高，系統(tǒng)環(huán)境的變化以及對系統(tǒng)安全認識的深化等，應及時地將現(xiàn)有的安全策略、風險接受程度和保護措施進行復查、修改、調(diào)整以至提升安全管理等級，維護和持續(xù)改進信息安全管理體系的有效性；
f） 依法管理原則：信息安全管理工作主要體現(xiàn)為管理行為，應保證信息系統(tǒng)安全管理主體合法、管理行為合法、管理內(nèi)容合法、管理程序合法。對安全事件的處理，應由授權者適時發(fā)布準確一致的有關信息，避免帶來不良的社會影響；
g） 分權和授權原則：對特定職能或責任領域的管理功能實施分離、獨立審計等實行分權，避免權力過分集中所帶來的隱患，以減小未授權的修改或濫用系統(tǒng)資源的機會。任何實體（如用戶、管理員、進程、應用或系統(tǒng)）僅享有該實體需要完成其任務所必須的權限，不應享有任何多余權限；
h） 選用成熟技術原則：成熟的技術具有較好的可靠性和穩(wěn)定性，采用新技術時要重視其成熟的程度，并應首先局部試點然后逐步推廣，以減少或避免可能出現(xiàn)的失誤；
i） 分級保護原則：按等級劃分標準確定信息系統(tǒng)的安全保護等級，實行分級保護；對多個子系統(tǒng)構成的大型信息系統(tǒng)，確定系統(tǒng)的基本安全保護等級，并根據(jù)實際安全需求，分別確定各子系統(tǒng)的安全保護等級，實行多級安全保護；
j） 管理與技術并重原則：堅持積極防御和綜合防范，全面提高信息系統(tǒng)安全防護能力，立足國情，采用管理與技術相結合，管理科學性和技術前瞻性結合的方法，保障信息系統(tǒng)的安全性達到所要求的目標；
k） 自保護和國家監(jiān)管結合原則：對信息系統(tǒng)安全實行自保護和國家保護相結合。組織機構要對自己的信息系統(tǒng)安全保護負責，政府相關部門有責任對信息系統(tǒng)的安全進行指導、監(jiān)督和檢查，形成自管、自查、自評和國家監(jiān)管相結合的管理模式，提高信息系統(tǒng)的安全保護能力和水平，保障國家信息安全。


5 信息系統(tǒng)安全管理要素及其強度

5.1 策略和制度

5.1.1 信息安全管理策略

5.1.1.1 安全管理目標與范圍

信息系統(tǒng)的安全管理需要明確信息系統(tǒng)的安全管理目標和范圍，不同安全等級應有選擇地滿足以下要求的一項：

a） 基本的管理目標與范圍：針對一般的信息系統(tǒng)應包括：制定包括系統(tǒng)設施和操作等內(nèi)容的系統(tǒng)安全目標與范圍計劃文件；為達到相應等級技術要求提供相應的管理保證；提供對信息系統(tǒng)進行基本安全保護的安全功能和安全管理措施，確保安全功能達到預期目標，使信息免遭非授權的泄露和破壞，基本保證信息系統(tǒng)安全運行；
b） 較完整的管理目標與范圍：針對在一定程度上涉及國家安全、社會秩序、經(jīng)濟建設和公共利益的一般信息和信息系統(tǒng)，在a）的基礎上還應包括：建立相應的安全管理機構，制定相應的安全操作規(guī)程；制定信息系統(tǒng)的風險管理計劃；提供對信息系統(tǒng)進行安全保護的比較完整的系統(tǒng)化安全保護的能力和比較完善的安全管理措施，從整體上保護信息免遭非授權的泄露和破壞，保證信息系統(tǒng)安全正常運行；
c） 系統(tǒng)化的管理目標與范圍：針對涉及國家安全、社會秩序、經(jīng)濟建設和公共利益的信息和信息系統(tǒng)，在b）的基礎上還應包括：提供信息系統(tǒng)安全的自動監(jiān)視和審計；提供信息系統(tǒng)的認證、驗收及使用的授權的規(guī)定；提供對信息系統(tǒng)進行強制安全保護的能力和設置必要的強制性安全管理措施，確保數(shù)據(jù)信息免遭非授權的泄露和破壞，保證信息系統(tǒng)安全運行；
d） 強制保護的管理目標與范圍：針對涉及國家安全、社會秩序、經(jīng)濟建設和公共利益的重要信息和信息系統(tǒng)，在c）的基礎上還應包括：提供安全策略和措施的程序化、周期化的評估，以及對明顯的風險變化和安全事件的評估；實施強制的分權管理機制和可信管理；提供對信息系統(tǒng)進行整體的強制安全保護的能力和比較完善的強制性安全管理措施，保證信息系統(tǒng)安全運行；
e） 專控保護的管理目標與范圍：針對涉及國家安全、社會秩序、經(jīng)濟建設和公共利益的重要信息和信息系統(tǒng)的核心系統(tǒng)，在d）的基礎上還應包括：使安全管理計劃與組織機構的文化有機融合，并能適應安全環(huán)境的變化；實施全面、可信的安全管理；提供對信息系統(tǒng)進行基于可驗證的強制安全保護能力和完善的強制性安全管理措施，全面保證信息系統(tǒng)安全運行。


5.1.1.2 總體安全管理策略

不同安全等級的信息系統(tǒng)總體安全策略應有選擇地滿足以下要求的一項：

a） 基本的安全管理策略：信息系統(tǒng)安全管理策略包括：依照國家政策法規(guī)和技術及管理標準進行自主保護；闡明管理者對信息系統(tǒng)安全的承諾，并陳述組織機構管理信息系統(tǒng)安全的方法；說明信息系統(tǒng)安全的總體目標、范圍和安全框架；申明支持信息系統(tǒng)安全目標和原則的管理意向；簡要說明對組織機構有重大意義的安全方針、原則、標準和符合性要求；
b） 較完整的安全管理策略：在a）的基礎上，信息安全管理策略還包括：在信息安系統(tǒng)全監(jiān)管職能部門的指導下，依照國家政策法規(guī)和技術及管理標準自主進行保護；明確劃分信息系統(tǒng)（分系統(tǒng)/域）的安全保護等級（按區(qū)域分等級保護）；制定風險管理策略、業(yè)務連續(xù)性策略、安全培訓與教育策略、審計策略等較完整的信息安全策略；
c） 體系化的安全管理策略：在b）的基礎上，信息安全管理策略還包括：在接受信息系統(tǒng)安全監(jiān)管職能部門監(jiān)督、檢查的前提下，依照國家政策法規(guī)和技術及管理標準自主進行保護；制定目標策略、規(guī)劃策略、機構策略、人員策略、管理策略、安全技術策略、控制策略、生存周期策略、投資策略、質(zhì)量策略等，形成體系化的信息系統(tǒng)安全策略；
d） 強制保護的安全管理策略：在c）的基礎上，信息安全管理策略還包括：在接受信息系統(tǒng)安全監(jiān)管職能部門的強制監(jiān)督、檢查的前提下，依照國家政策法規(guī)和技術及管理標準自主進行保護；制定體系完整的信息系統(tǒng)安全管理策略；
e） ?？乇Ｗo的安全管理策略：在d）的基礎上，信息安全管理策略還包括：在接受國家指定的專門部門、專門機構的專門監(jiān)督的前提下，依照國家政策法規(guī)和技術及管理標準自主進行保護；制定可持續(xù)改進的信息系統(tǒng)安全管理策略。


5.1.1.3 安全管理策略的制定

信息系統(tǒng)安全管理策略的制定，不同安全等級應有選擇地滿足以下要求的一項：

a） 基本的安全管理策略制定：應由安全管理人員為主制定，由分管信息安全工作的負責人召集，以安全管理人員為主，與相關人員一起制定基本的信息系統(tǒng)安全管理策略，包括總體策略和具體策略，并以文件形式表述；
b） 較完整的安全管理策略制定：應由信息安全職能部門負責制定，由分管信息安全工作的負責人組織，信息安全職能部門負責制定較完整的信息系統(tǒng)安全管理策略，包括總體策略和具體策略，并以文件形式表述；
c） 體系化的安全管理策略制定：應由信息安全領導小組組織制定，由信息安全領導小組組織并提出指導思想，信息安全職能部門負責具體制定體系化的信息系統(tǒng)安全管理策略，包括總體策略和具體策略，并以文件形式表述；
d） 強制保護的安全管理策略制定：應由信息安全領導小組組織并提出指導思想，由信息安全職能部門指派專人負責制定強制保護的信息系統(tǒng)安全管理策略，包括總體策略和具體策略，并以文件形式表述；涉密系統(tǒng)安全策略的制定應限定在相應范圍內(nèi)進行；必要時，可征求信息安全監(jiān)管職能部門的意見；
e） ?？乇Ｗo的安全管理策略制定：在d）的基礎上，必要時應征求國家指定的專門部門或機構的意見，或者共同制定?？乇Ｗo的信息系統(tǒng)安全管理策略，包括總體策略和具體策略。


5.1.1.4 安全管理策略的發(fā)布

信息系統(tǒng)安全管理策略應以文檔形式發(fā)布，不同安全等級應有選擇地滿足以下要求的一項：

a） 基本的安全管理策略的發(fā)布：安全管理策略文檔應由分管信息安全工作的負責人簽發(fā)，并向信息系統(tǒng)的用戶傳達，其形式應針對目標讀者，并能夠為讀者接受和理解；
b） 較完整的安全管理策略的發(fā)布：在a）的基礎上，安全管理策略文檔應經(jīng)過組織機構負責人簽發(fā)，按照有關文件管理程序發(fā)布；
c） 體系化的安全管理策略的發(fā)布：在b）的基礎上，安全管理策略文檔應注明發(fā)布范圍，并有收發(fā)文登記；
d） 強制保護的安全管理策略的發(fā)布：在c）的基礎上，安全管理策略文檔應注明密級，并在監(jiān)管部門備案；
e） ?？乇Ｗo的安全管理策略的發(fā)布：在d）的基礎上，必要時安全管理策略文檔應在國家指定的專門部門或機構進行備案。


5.1.2 安全管理規(guī)章制度

5.1.2.1 安全管理規(guī)章制度內(nèi)容

應根據(jù)機構的總體安全策略和業(yè)務應用需求，制定信息系統(tǒng)安全管理的規(guī)程和制度，不同安全等級的安全管理規(guī)章制度的內(nèi)容應有選擇地滿足以下要求的一項：

a） 基本的安全管理制度：應包括網(wǎng)絡安全管理規(guī)定，系統(tǒng)安全管理規(guī)定，數(shù)據(jù)安全管理規(guī)定，防病毒規(guī)定，機房安全管理規(guī)定，以及相關的操作規(guī)程等；
b） 較完整的安全管理制度：在a）的基礎上，應增加設備使用管理規(guī)定，人員安全管理規(guī)定，安全審計管理規(guī)定，用戶管理規(guī)定，風險管理規(guī)定，信息分類分級管理規(guī)定，安全事件報告規(guī)定，事故處理規(guī)定，應急管理規(guī)定和災難恢復管理規(guī)定等；
c） 體系化的安全管理制度：在b）的基礎上，應制定全面的安全管理規(guī)定，包括：機房、主機設備、網(wǎng)絡設施、物理設施分類標記等系統(tǒng)資源安全管理規(guī)定；安全配置、系統(tǒng)分發(fā)和操作、系統(tǒng)文檔、測試和脆弱性評估、系統(tǒng)信息安全備份和相關的操作規(guī)程等系統(tǒng)和數(shù)據(jù)庫方面的安全管理規(guī)定；網(wǎng)絡連接檢查評估、網(wǎng)絡使用授權、網(wǎng)絡檢測、網(wǎng)絡設施（設備和協(xié)議）變更控制和相關的操作規(guī)程等方面的網(wǎng)絡安全管理規(guī)定；應用安全評估、應用系統(tǒng)使用授權、應用系統(tǒng)配置管理、應用系統(tǒng)文檔管理和相關的操作規(guī)程等方面的應用安全管理規(guī)定；人員安全管理、安全意識與安全技術教育、操作安全、操作系統(tǒng)和數(shù)據(jù)庫安全、系統(tǒng)運行記錄、病毒防護、系統(tǒng)維護、網(wǎng)絡互聯(lián)、安全審計、安全事件報告、事故處理、應急管理、災難恢復和相關的操作規(guī)程等方面的運行安全管理規(guī)定；信息分類標記、涉密信息管理、文檔管理、存儲介質(zhì)管理、信息披露與發(fā)布審批管理、第三方訪問控制和相關的操作規(guī)程等方面的信息安全管理規(guī)定等；
d） 強制保護的安全管理制度：在c）的基礎上，應增加信息保密標識與管理規(guī)定，密碼使用管理規(guī)定，安全事件例行評估和報告規(guī)定，關鍵控制措施定期測試規(guī)定等；
e） ?？乇Ｗo的安全管理制度：在d）的基礎上，應增加安全管理審計監(jiān)督規(guī)定等。


5.1.2.2 安全管理規(guī)章制度的制定

安全管理制度的制定及發(fā)布，應有明確規(guī)定的程序，不同安全等級應有選擇地滿足以下要求的一項：

a） 基本的安全管理制度制定：應由安全管理人員負責制訂信息系統(tǒng)安全管理制度，并以文檔形式表述，由分管信息安全工作的負責人審批發(fā)布；
b） 較完整的安全管理制度制定：應由信息安全職能部門負責制訂信息系統(tǒng)安全管理制度，并以文檔形式表述，由分管信息安全工作的負責人審批，按照有關文檔管理程序發(fā)布；
c） 體系化的安全管理制度制定：應由信息安全職能部門負責制訂信息系統(tǒng)安全管理制度，并以文檔形式表述，經(jīng)信息安全領導小組討論通過，由信息安全領導小組負責人審批發(fā)布，應注明發(fā)布范圍并有收發(fā)文登記；
d） 強制保護的安全管理制度制定：應由信息安全職能部門指派專人負責制訂信息系統(tǒng)安全管理制度，并以文檔形式表述，經(jīng)信息安全領導小組討論通過，由信息安全領導小組負責人審批發(fā)布；信息系統(tǒng)安全管理制度文檔的發(fā)布應注明密級，對涉密的信息系統(tǒng)安全管理制度的制定應在相應范圍內(nèi)進行；
e） 專控保護的安全管理制度制定：在d）的基礎上，必要時，應征求組織機構的保密管理部門的意見，或者共同制定。


5.1.3 策略與制度文檔管理

5.1.3.1 策略與制度文檔的評審和修訂

策略與制度文檔的評審和修訂，不同安全等級應有選擇地滿足以下要求的一項：

a） 基本的評審和修訂：應由分管信息安全的負責人和安全管理人員負責文檔的評審和修訂；應通過所記錄的安全事故的性質(zhì)、數(shù)量以及影響檢查策略和制度的有效性，評價安全管理措施對成本及應用效率的影響，以及技術變化對安全管理的影響；經(jīng)評審，對存在不足或需要改進的策略和制度應進行修訂，并按規(guī)定程序發(fā)布；
b） 較完整的評審和修訂：應由分管信息安全的負責人和信息安全職能部門負責文檔的評審和修訂；應定期或階段性審查策略和制度存在的缺陷，并在發(fā)生重大安全事故、出現(xiàn)新的漏洞以及機構或技術基礎結構發(fā)生變更時，對策略和制度進行相應的評審和修訂；對評審后需要修訂的策略和制度文檔，應明確指定人員限期完成并按規(guī)定發(fā)布；
c） 體系化的評審和修訂：應由信息安全領導小組和信息安全職能部門負責文檔的評審和修訂；應對安全策略和制度的有效性進行程序化、周期性評審，并保留必要的評審記錄和依據(jù)；每個策略和制度文檔應有相應責任人，根據(jù)明確規(guī)定的評審和修訂程序?qū)Σ呗赃M行維護；
d） 強制保護的評審和修訂：應由信息安全領導小組和信息安全職能部門的專門人員負責文檔的評審和修訂，必要時可征求信息安全監(jiān)管職能部門的意見；應對安全策略和制度的有效性進行程序化、周期性評審，并保留必要的評審記錄和依據(jù)；每個策略和制度文檔應有相應責任人，根據(jù)明確規(guī)定的評審和修訂程序?qū)Σ呗赃M行維護；對涉密的信息安全策略、規(guī)章制度和相關的操作規(guī)程文檔的評審和修訂應在相應范圍內(nèi)進行；
e） ?？乇Ｗo的評審和修訂：在d）的基礎上，必要時可請組織機構的保密管理部門參加文檔的評審和修訂，應征求國家指定的專門部門或機構的意見；應對安全策略和制度的有效性及時進行專項的評審，并保留必要的評審記錄和依據(jù)。


5.1.3.2 策略與制度文檔的保管

對策略與制度文檔，以及相關的操作規(guī)程文檔的保管，不同安全等級應有選擇地滿足以下要求的一項：
a） 指定專人保管：對策略和制度文檔，以及相關的操作規(guī)程文檔，應指定專人保管；
b） 借閱審批和登記：在a）的基礎上，借閱策略和制度文檔，以及相關的操作規(guī)程文檔，應有相應級別負責人審批和登記；
c） 限定借閱范圍：在b）的基礎上，借閱策略和制度文檔，以及相關的操作規(guī)程文檔，應限定借閱范圍，并經(jīng)過相應級別負責人審批和登記；
d） 全面嚴格保管：在c）的基礎上，對涉密的策略和制度文檔，以及相關的操作規(guī)程文檔的保管應按照有關涉密文檔管理規(guī)定進行；對保管的文檔以及借閱的記錄定期進行檢查；
e） ?？乇Ｗo的管理：在d）的基礎上，應與相關業(yè)務部門協(xié)商制定專項控制的管理措施。


5.2 機構和人員管理

5.2.1 安全管理機構

5.2.1.1 建立安全管理機構

在組織機構中應建立安全管理機構，不同安全等級的安全管理機構應有選擇地滿足以下要求的一項：

a） 配備安全管理人員：管理層中應有一人分管信息系統(tǒng)安全工作，并為信息系統(tǒng)的安全管理配備專職或兼職的安全管理人員；
b） 建立安全職能部門：在a）的基礎上，應建立管理信息系統(tǒng)安全工作的職能部門，或者明確指定一個職能部門兼管信息安全工作，作為該部門的關鍵職責之一；
c） 成立安全領導小組：在b）的基礎上，應在管理層成立信息系統(tǒng)安全管理委員會或信息系統(tǒng)安全領導小組（以下統(tǒng)稱信息安全領導小組），對覆蓋全國或跨地區(qū)的組織機構，應在總部和下級單位建立各級信息系統(tǒng)安全領導小組，在基層至少要有一位專職的安全管理人員負責信息系統(tǒng)安全工作；
d） 主要負責人出任領導：在c）的基礎上，應由組織機構的主要負責人出任信息系統(tǒng)安全領導小組負責人；
e） 建立信息安全保密管理部門：在d）的基礎上，應建立信息系統(tǒng)安全保密監(jiān)督管理的職能部門，或?qū)υ斜Ｃ懿块T明確信息安全保密管理責任，加強對信息系統(tǒng)安全管理重要過程和管理人員的保密監(jiān)督管理。