《多功能智能桿 信息系統(tǒng)安全管理規(guī)范》編制說明

《多功能智能桿信息系統(tǒng)安全管理要求》

（送審稿）編制說明

一、項(xiàng)目背景

“讓城市更聰明一些、更智慧一些，是推進(jìn)城市治理體系和治理

能力現(xiàn)代化的必由之路，前景廣闊?！绷?xí)近平總書記的講話為未來城

市的發(fā)展指明了道路和方向。

智慧城市是在物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)等新一代信息技術(shù)快速發(fā)

展背景下產(chǎn)生的城市發(fā)展新模式，通過“更加透徹的感知、更加深入

的計(jì)算和更加廣泛的連接”，改變著物與物之間、人與物之間的聯(lián)系

方式，改變著我們的生存環(huán)境，也深刻改變著人類的思維方式和生活

模式。

多功能智能桿作為新基建的重要組成和智慧城市建設(shè)的入口，也

是未來承載5G基站布點(diǎn)的載體，它通過深度整合城市各類資源，實(shí)

現(xiàn)資源的共享、集約和統(tǒng)籌，降低城市建設(shè)成本，提升城市運(yùn)維效率，

將為城市治理的快速發(fā)展帶來多重效益。

2018年深圳出臺(tái)《深圳市多功能智能桿建設(shè)發(fā)展行動(dòng)計(jì)劃（2018

—2020年）》，成為國(guó)內(nèi)首個(gè)政府出臺(tái)的頂層行動(dòng)計(jì)劃。

2019年9月，《深圳市人民政府關(guān)于印發(fā)率先實(shí)現(xiàn)5G基礎(chǔ)設(shè)施

全覆蓋及促進(jìn)5G產(chǎn)業(yè)高質(zhì)量發(fā)展若干措施的通知》印發(fā)，要求加快

推進(jìn)多功智能桿建設(shè)。

2020年4月國(guó)家發(fā)改委明確“新基建”范圍主要包括：包含以

5G、物聯(lián)網(wǎng)為代表的信息基礎(chǔ)設(shè)施，以大數(shù)據(jù)、人工智能等技術(shù)深度

應(yīng)用的融合基礎(chǔ)設(shè)施和以支撐科學(xué)研究、技術(shù)開發(fā)等的創(chuàng)新基礎(chǔ)設(shè)施。

1

隨著我國(guó)物聯(lián)網(wǎng)新型基礎(chǔ)設(shè)施建設(shè)的全面推進(jìn)，多功智能桿的產(chǎn)業(yè)發(fā)

展步入快車道。

2021年我國(guó)多功能智能桿建設(shè)的最大特點(diǎn)，是從北上廣深延伸到

了全國(guó)各地，2021年度共有28個(gè)?。ㄗ灾螀^(qū)、直轄市）新增了多功

能智能桿建設(shè)項(xiàng)目，新增項(xiàng)目總量達(dá)到350個(gè)，新增多功能智能桿擬

建數(shù)量達(dá)到12.8萬根。

多功能智能桿包括桿體及其搭載的感知終端（各類設(shè)備和傳感

器），它是集智慧照明、視頻監(jiān)控、交通管理、環(huán)境監(jiān)測(cè)、無線通信、

應(yīng)急求助等多功能于一體的信息基礎(chǔ)設(shè)施。梳理和分析多功能智能桿

系統(tǒng)之間的數(shù)據(jù)流通路徑，將系統(tǒng)中不同設(shè)備、軟件、數(shù)據(jù)、資源、

分不同重要等級(jí)進(jìn)行分等級(jí)保護(hù)顯得尤為重要。

近年來，數(shù)據(jù)安全形勢(shì)不容樂觀，世界各國(guó)均高度重視數(shù)據(jù)安全

及隱私保護(hù)，例如美國(guó)發(fā)布了《國(guó)家安全和個(gè)人數(shù)據(jù)保護(hù)法(草

案)》、《網(wǎng)絡(luò)安全信息共享法》等，歐盟發(fā)布了《一般數(shù)據(jù)保護(hù)法

案》、德國(guó)發(fā)布了《聯(lián)邦數(shù)據(jù)保護(hù)法》、英國(guó)發(fā)布了《數(shù)據(jù)保護(hù)法》

等；十九屆四中全會(huì)，我國(guó)首次增列“數(shù)據(jù)”作為生產(chǎn)要素，數(shù)據(jù)安

全與國(guó)家安全息息相關(guān)。我國(guó)國(guó)家數(shù)據(jù)安全相關(guān)法律法規(guī)有《中華人

民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)數(shù)據(jù)安全法》及《中華人

民共和國(guó)個(gè)人信息保護(hù)法》、《數(shù)據(jù)安全管理辦法》征求意見稿等；

國(guó)內(nèi)數(shù)據(jù)安全標(biāo)準(zhǔn)有GB/T35273-2020《信息安全技術(shù)個(gè)人信息安全

規(guī)范》、GB/T37988-2019《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》

等。

2017年6月1日正式實(shí)行的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中第

二十一條明確規(guī)定：國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)

2

當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障

網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被

竊取、篡改。

信息安全保障能力是21世紀(jì)綜合國(guó)力、經(jīng)濟(jì)競(jìng)爭(zhēng)實(shí)力和生存能

力的重要組成部分，是全世界各國(guó)奮力攀登的制高點(diǎn)。網(wǎng)絡(luò)信息安全

問題如果解決不好，將全方位地危及我國(guó)的政治、軍事、經(jīng)濟(jì)、文化、

社會(huì)生活的各個(gè)方面，使國(guó)家處于信息戰(zhàn)和高度經(jīng)濟(jì)金融風(fēng)險(xiǎn)的威脅

之中。

習(xí)近平總書記高度重視信息網(wǎng)絡(luò)安全工作，多次提出：沒有網(wǎng)絡(luò)

安全就沒有國(guó)家安全，沒有信息化就沒有現(xiàn)代化；網(wǎng)絡(luò)安全和信息

化是一體之兩翼、驅(qū)動(dòng)之雙輪，必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進(jìn)。

多功能智能桿信息系統(tǒng)是指由計(jì)算機(jī)及其相關(guān)和配套的掛載設(shè)備、

設(shè)施構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行存儲(chǔ)、傳輸、處

理的系統(tǒng)或者網(wǎng)絡(luò)；信息是指在信息系統(tǒng)中存儲(chǔ)、傳輸、處理的數(shù)字

化信息。

多功能智能桿系統(tǒng)信息安全是指在政府主導(dǎo)和社會(huì)參與下，綜合

運(yùn)用技術(shù)、法律、管理、教育等手段，在信息空間積極應(yīng)對(duì)敵對(duì)勢(shì)力

攻擊、網(wǎng)絡(luò)犯罪和意外事故等多種威脅，有效保護(hù)信息基礎(chǔ)設(shè)施、信

息系統(tǒng)、信息應(yīng)用服務(wù)和信息內(nèi)容的安全，為經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定、

國(guó)家安全、公眾權(quán)益和軍事斗爭(zhēng)提供安全保障的活動(dòng)。

為適應(yīng)深圳市多功能智能桿發(fā)展的新形勢(shì)，滿足新形勢(shì)下多功智

能桿對(duì)標(biāo)準(zhǔn)化發(fā)展的新需求，規(guī)范多功能智能桿建設(shè)與管理全過程中

的網(wǎng)絡(luò)安全、通訊安全、數(shù)據(jù)安全，根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全

法》的基本原則，結(jié)合深圳經(jīng)濟(jì)特區(qū)地域?qū)嶋H，編制地方標(biāo)準(zhǔn)《多功

3

能智能桿信息系統(tǒng)安全管理要求》十分必要。

二、工作簡(jiǎn)況

1、任務(wù)來源

根據(jù)“深圳市市場(chǎng)監(jiān)督管理局關(guān)于下達(dá)2021年第一批深圳市地

方標(biāo)準(zhǔn)計(jì)劃項(xiàng)目任務(wù)的通知”，《多功能智能桿網(wǎng)絡(luò)安全等級(jí)保護(hù)

基本要求》地方標(biāo)準(zhǔn)批準(zhǔn)立項(xiàng)。

2、主要工作過程

（一）預(yù)研階段

項(xiàng)目下達(dá)后，充分吸收來自深圳多功能智能桿多個(gè)不同領(lǐng)域內(nèi)有

能力、經(jīng)驗(yàn)和研究工作基礎(chǔ)的專家、學(xué)者、企業(yè)代表組成標(biāo)準(zhǔn)編制組，

編制組充分考慮深圳多功能智能桿信息安全潛在的風(fēng)險(xiǎn)因子，為提高系

統(tǒng)運(yùn)維管理水平，滿足相關(guān)法規(guī)的要求，從信息內(nèi)容的被泄露、被假冒、

被偽造；信息系統(tǒng)被攻擊、被入侵、被染毒；信息網(wǎng)絡(luò)被堵塞、被中斷、

被致癱；信息基礎(chǔ)設(shè)施被損傷、被破壞、被損毀等維度，確定本文件的主

要內(nèi)容，完成標(biāo)準(zhǔn)編制大綱。

（二）編制階段

1）成立起草組

充分吸收來自多功能智能桿建設(shè)與管理各個(gè)不同領(lǐng)域內(nèi)有能力、

經(jīng)驗(yàn)和研究工作基礎(chǔ)的專家、學(xué)者、企業(yè)代表等，于標(biāo)準(zhǔn)立項(xiàng)批準(zhǔn)后

立即成立標(biāo)準(zhǔn)編制組。

2022年8月15日，深圳市《多功能智能桿網(wǎng)絡(luò)安全等級(jí)保護(hù)規(guī)

范》和《多功能智能桿信息系統(tǒng)安全管理規(guī)范》地方標(biāo)準(zhǔn)編制工作

啟動(dòng)會(huì)在深圳市前海深港合作區(qū)南山街道桂灣五路123號(hào)前海大廈T2

4

棟5樓會(huì)議室隆重舉行，會(huì)議由深圳市脈山龍信息技術(shù)股份有限公

司總裁主持，市工信局信息基礎(chǔ)設(shè)施處、深圳市信息基礎(chǔ)設(shè)施投

資發(fā)展有限公司以及脈山龍、深信投、洲明科技、昂楷科技等二

十五家單位代表出席了會(huì)議。本次會(huì)議的召開，統(tǒng)一了兩項(xiàng)標(biāo)準(zhǔn)

的編制思路和原則，確定了標(biāo)準(zhǔn)編制的下一步計(jì)劃，為標(biāo)準(zhǔn)編制

工作的順利推進(jìn)奠定了基礎(chǔ)。

2）形成標(biāo)準(zhǔn)草案

2022年9月23日，深圳市《多功能智能桿網(wǎng)絡(luò)安全等級(jí)保護(hù)規(guī)

范》和《多功能智能桿信息系統(tǒng)安全管理規(guī)范》地方標(biāo)準(zhǔn)編制第二

次工作會(huì)議在深圳市新一代產(chǎn)業(yè)園深信投公司1號(hào)會(huì)議室召開。

參會(huì)專家對(duì)兩項(xiàng)地標(biāo)的標(biāo)準(zhǔn)草案做了深入研討，擬定了兩項(xiàng)地標(biāo)

修該完善的任務(wù)分工。

1.鼎鉉商用密碼測(cè)評(píng)技術(shù)（深圳）有限公司完善密碼模塊及

加密方式等內(nèi)容。

2.深圳市萬集科技股份有限公司完善密碼運(yùn)算功能接口及軟

硬件模塊內(nèi)容。

3.深圳市博通智能技術(shù)有限公司完善安全物理環(huán)境、安全管

理制度、安全管理機(jī)構(gòu)等內(nèi)容。

4.深圳市可信計(jì)算有限公司完善可信驗(yàn)證的流程圖內(nèi)容。

5.華為技術(shù)有限公司完善接入控制及接口協(xié)議等內(nèi)容。

深圳昂楷科技有限公司完善數(shù)據(jù)分類及分級(jí)保護(hù)內(nèi)容。

3）形成征求意見稿

5

2022年12月13日下午，兩項(xiàng)地標(biāo)編制第三次工作會(huì)議在深

圳市新一代產(chǎn)業(yè)園深信投公司1號(hào)會(huì)議室召開。會(huì)議對(duì)多功能智

能桿網(wǎng)絡(luò)安全、信息系統(tǒng)安全兩項(xiàng)地標(biāo)的標(biāo)準(zhǔn)草稿進(jìn)行了研討。

參會(huì)專家對(duì)照標(biāo)準(zhǔn)草稿從網(wǎng)絡(luò)安全的等級(jí)適應(yīng)范圍、密碼模塊、

網(wǎng)絡(luò)架構(gòu)、接入控制、可信計(jì)算、數(shù)據(jù)安全及系統(tǒng)安全的管理要

求等方便展開充分研討。本著保證標(biāo)準(zhǔn)的科學(xué)性、先進(jìn)性、規(guī)范

性和可操作性，完成討論稿的第三次修改。

2023年3月6日，深圳市工業(yè)和信息化局將會(huì)后修改標(biāo)準(zhǔn)

稿發(fā)給相關(guān)局征求意見，深圳市交通運(yùn)輸局、深圳市通信管理

局、深圳市水務(wù)局、深圳市氣象局、深圳大學(xué)都有書面反饋意

見。

在收到各個(gè)局的反饋意見后，對(duì)原稿再次進(jìn)行修改完善，形成現(xiàn)

在的征求意見稿。

4）形成送審稿

2023年5月28日-2023年6月30日，深圳市工業(yè)和信息化局掛

網(wǎng)公開征求意見，收到意見8條，采納7條，其中1條不采納。對(duì)原

稿再次進(jìn)行修改完善，形成現(xiàn)在的送審稿。

三、編制原則、技術(shù)依據(jù)、國(guó)際先進(jìn)標(biāo)準(zhǔn)的對(duì)標(biāo)情況

1、編制原則

遵循“科學(xué)、實(shí)用、適度”的原則，既考慮標(biāo)準(zhǔn)的前瞻性又顧及

深圳市多功能智能桿網(wǎng)絡(luò)安全等級(jí)保護(hù)發(fā)展的實(shí)際情況，充分調(diào)研深

圳市多功能智能桿信息系統(tǒng)安全管理的實(shí)際情況，信息安全的重要性

6

主要體現(xiàn)在信息內(nèi)容安全、信息系統(tǒng)安全、信息網(wǎng)絡(luò)安全、信息基礎(chǔ)

設(shè)施安全等等方面。信息內(nèi)容的被泄露、被假冒、被偽造等，信息系

統(tǒng)被攻擊、被入侵、被染毒，信息網(wǎng)絡(luò)被堵塞、被中斷、被致癱等，

信息基礎(chǔ)設(shè)施被損傷、被破壞、被損毀等等，這些都是重要的信息安

全事件，都應(yīng)該也必須引起高度重視和迅速解決。本文件以安全管理

要素作為描述安全管理要求的基本組件。

2、技術(shù)依據(jù)

1）《中華人民共和國(guó)網(wǎng)絡(luò)安全法》

第4章信息系統(tǒng)安全管理，參考《中華人民共和國(guó)網(wǎng)絡(luò)安全

法》，經(jīng)研究對(duì)體系化的安全管理制度，結(jié)合具體的場(chǎng)景應(yīng)用，給出

了“應(yīng)制定系統(tǒng)互聯(lián)評(píng)估、網(wǎng)絡(luò)使用授權(quán)、網(wǎng)絡(luò)檢測(cè)、網(wǎng)絡(luò)設(shè)施（設(shè)

備和協(xié)議）變更控制和相關(guān)的操作規(guī)程等方面的網(wǎng)絡(luò)安全管理規(guī)定?！?/p>

2）《中華人民共和國(guó)數(shù)據(jù)安全法》

GB/T37988-2019《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》

第4章信息系統(tǒng)安全管理，參考《中華人民共和國(guó)數(shù)據(jù)安全法》

和GB/T37988-2019《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》，經(jīng)

研究對(duì)基本的安全管理制度，結(jié)合具體的場(chǎng)景應(yīng)用，給出了“應(yīng)制定

系統(tǒng)互聯(lián)評(píng)估、網(wǎng)絡(luò)使用授權(quán)、網(wǎng)絡(luò)檢測(cè)、網(wǎng)絡(luò)設(shè)施（設(shè)備和協(xié)議）

變更控制和相關(guān)的操作規(guī)程等方面的網(wǎng)絡(luò)安全管理規(guī)定。”

3、《中華人民共和國(guó)個(gè)人信息保護(hù)法》

GB/T35273-2020《信息安全技術(shù)個(gè)人信息安全規(guī)范》

第7章運(yùn)維和服務(wù)管理，參考《中華人民共和國(guó)個(gè)人信息保護(hù)

法》和GB/T35273-2020《信息安全技術(shù)個(gè)人信息安全規(guī)范》，經(jīng)研

究對(duì)信息資產(chǎn)進(jìn)行分類管理，結(jié)合具體的場(chǎng)景應(yīng)用，給出了“個(gè)人隱

7

私信息、個(gè)人專有信息、公民個(gè)人可公開共享的信息”的分類管理。

3、與國(guó)內(nèi)領(lǐng)先、國(guó)際先進(jìn)標(biāo)準(zhǔn)的對(duì)標(biāo)情況

目前在國(guó)內(nèi)外，信息系統(tǒng)安全管理已有相應(yīng)的標(biāo)準(zhǔn)，未查到“多

功能智能桿信息系統(tǒng)安全管理要求”的相關(guān)標(biāo)準(zhǔn)。我們國(guó)家則在國(guó)

家、行業(yè)、地方、團(tuán)體標(biāo)準(zhǔn)等各個(gè)層面皆有信息系統(tǒng)安全管理的發(fā)布，

但基本上都是信息系統(tǒng)安全管理通用技術(shù)標(biāo)準(zhǔn)，本文件與上述標(biāo)準(zhǔn)側(cè)

重點(diǎn)不同：主要是針對(duì)智慧城市信息基礎(chǔ)設(shè)施中多功能智能桿的信息

系統(tǒng)安全管理。深圳在多功能智能桿的實(shí)踐探索，無論從深度和廣度

上都已經(jīng)遠(yuǎn)超出國(guó)內(nèi)外標(biāo)準(zhǔn)所述的范圍。本地方標(biāo)準(zhǔn)將在實(shí)踐探索中

的經(jīng)驗(yàn)融入到條款中，比國(guó)內(nèi)外的信息系統(tǒng)安全管理標(biāo)準(zhǔn)的內(nèi)容細(xì)化

和精準(zhǔn)。

國(guó)際標(biāo)準(zhǔn)

1、ISO/IEC17799-2005信息技術(shù).信息安全管理用實(shí)施規(guī)程

國(guó)家標(biāo)準(zhǔn)

1、GB/T20269-2006信息安全技術(shù)信息系統(tǒng)安全管理要求

2、GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

3、GB/T22240-2020信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南

4、GB/T25058-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南

5、GB/T25070-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)

要求

6、GB/T28448-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求

7、GB/T28449-2018信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過程指南

8、GB/T28453-2012信息安全技術(shù)信息系統(tǒng)安全管理評(píng)估要求

9、GB/T34990-2017信息安全技術(shù)信息系統(tǒng)安全管理平臺(tái)技術(shù)要求

8

和測(cè)試評(píng)價(jià)方法

10、GB/T36627-2018信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)試評(píng)估技

術(shù)指南

11、GB/T36958-2018信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全管理中

心技術(shù)要求

12、GB/T36959-2018信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)能

力要求和評(píng)估規(guī)范

13、GB/T37094-2018信息安全技術(shù)辦公信息系統(tǒng)安全管理要求

行業(yè)標(biāo)準(zhǔn)

1、GA/T713-2007信息安全技術(shù)信息系統(tǒng)安全管理測(cè)評(píng)

2、MH/T0031-2009民用航空運(yùn)輸機(jī)場(chǎng)信息系統(tǒng)安全管理規(guī)范

3、SY/T5231-2010石油工業(yè)計(jì)算機(jī)信息系統(tǒng)安全管理規(guī)范

四、各章節(jié)主要條款的說明

本文件包括7個(gè)章節(jié)分別為范圍，規(guī)范性引用文件，術(shù)語和定義，

信息系統(tǒng)安全管理內(nèi)容、原則、策略和制度，信息系統(tǒng)安全管理機(jī)構(gòu)

建設(shè)和人員管理，信息系統(tǒng)安全管理風(fēng)險(xiǎn)控制，信息系統(tǒng)安全管理通

用要求。

3術(shù)語和定義

3.1完整性

數(shù)據(jù)、系統(tǒng)或信息在存儲(chǔ)、傳輸和處理過程中保持無誤、不受損

壞、不受篡改的狀態(tài)，包括數(shù)據(jù)完整性和系統(tǒng)完整性。

3.2可用性

表征數(shù)據(jù)或系統(tǒng)根據(jù)授權(quán)實(shí)體的請(qǐng)求可被訪問與使用程度的屬性。

9

3.3訪問控制

按確定的規(guī)則防止對(duì)資源的未授權(quán)使用，對(duì)實(shí)體之間的訪問活動(dòng)

進(jìn)行控制的安全機(jī)制。

3.4安全審計(jì)

按確定規(guī)則的要求，對(duì)與安全相關(guān)的事件進(jìn)行審計(jì)，以日志方式

記錄必要信息，并作出相應(yīng)處理的安全機(jī)制。

3.5鑒別信息

用以確認(rèn)系統(tǒng)中身份真實(shí)性的過程。

3.6風(fēng)險(xiǎn)評(píng)估

通過對(duì)信息系統(tǒng)的資產(chǎn)價(jià)值/重要性、信息系統(tǒng)所受到的威脅以

及信息系統(tǒng)的脆弱性進(jìn)行綜合分析，對(duì)信息系統(tǒng)及其處理、傳輸和存

儲(chǔ)的信息的保密性、完整性和可用性等進(jìn)行科學(xué)識(shí)別和評(píng)價(jià)，確定信

息系統(tǒng)安全風(fēng)險(xiǎn)的過程。

3.7安全策略

為信息系統(tǒng)安全管理制定的行動(dòng)方針、路線、工作方式、指導(dǎo)原

則或程序。

4信息系統(tǒng)安全管理

4.1信息系統(tǒng)安全管理內(nèi)容

是對(duì)管理平臺(tái)、移動(dòng)互聯(lián)、掛載設(shè)備和公共數(shù)據(jù)的生存周期全過

程實(shí)施符合安全等級(jí)責(zé)任要求的管理全管理內(nèi)容

4.2信息系統(tǒng)安全管理原則

提出11個(gè)原則

4.3信息系統(tǒng)安全管理策略

提出5個(gè)安全管理策略

10

4.4信息系統(tǒng)安全管理制度

從五個(gè)維度提出安全管理制度

5機(jī)構(gòu)建設(shè)和人員管理

5.1建立安全管理機(jī)構(gòu)

本條規(guī)定了從“配備安全管理人員、建立安全職能部門、成立安

全領(lǐng)導(dǎo)小組、主要負(fù)責(zé)人出任領(lǐng)導(dǎo)、建立信息安全保密管理部門”5

個(gè)維度建立安全管理機(jī)構(gòu)

5.2信息安全領(lǐng)導(dǎo)小組

本條信息系統(tǒng)安全領(lǐng)導(dǎo)小組負(fù)責(zé)領(lǐng)導(dǎo)本組織機(jī)構(gòu)的信息系統(tǒng)安全

工作，規(guī)定了至少行使“安全管理的領(lǐng)導(dǎo)職能”或者“保密監(jiān)督的管

理職能”之一。

5.3信息安全職能部門

本條信息安全職能部門在信息系統(tǒng)安全領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)下，負(fù)責(zé)本

組織機(jī)構(gòu)信息系統(tǒng)安全的具體工作，規(guī)定了至少行使“基本的安全管

理職能”或者“集中的安全管理職能”之一。

5.4安全管理人員配備

本條不同安全等級(jí)的安全管理人員配備，規(guī)定了從“專職安全管

理人員”、“專職安全管理人員”、“關(guān)鍵部位的安全管理人員”中

選擇。

5.5關(guān)鍵崗位人員管理

本條不同安全等級(jí)的關(guān)鍵崗位人員管理，規(guī)定了從“基本要求”、

“兼職和輪崗要求”、“權(quán)限分散要求”、“多人共管要求”、“全

面控制要求”中進(jìn)行選擇。

5.6人員錄用管理

11

本條不同安全等級(jí)的人員錄用管理，規(guī)定了從“錄用的基本要

求”、“人員的審查與考核”、“人員的內(nèi)部選拔”、“人員的可靠

性”中進(jìn)行選擇。

5.7人員離崗管理

本條不同安全等級(jí)的人員離崗管理，規(guī)定了從“離崗的基本要

求”、“調(diào)離后的保密要求”、“離崗的審計(jì)要求”中進(jìn)行選擇。

5.8人員考核與審查

本條不同安全等級(jí)的人員考核與審查管理，規(guī)定了從“定期的人

員考核”、“定期的人員審查”、“管理有效性的審查”、“全面嚴(yán)

格的審查”中進(jìn)行選擇。

5.9人員教育和培訓(xùn)

本條不同安全等級(jí)的人員教育和培訓(xùn)，規(guī)定了從“應(yīng)知應(yīng)會(huì)要求

培訓(xùn)”、“有計(jì)劃培訓(xùn)”、“不同崗位培訓(xùn)”、“人員資質(zhì)要求培

訓(xùn)”、“安全意識(shí)自覺性培訓(xùn)”中進(jìn)行選擇。

6風(fēng)險(xiǎn)管理和控制

6.1風(fēng)險(xiǎn)管理要求

風(fēng)險(xiǎn)管理作為等級(jí)保護(hù)的手段，在保證信息等級(jí)系統(tǒng)的最低保護(hù)

能力的基礎(chǔ)上，根據(jù)風(fēng)險(xiǎn)增加某些管理要求。

6.2風(fēng)險(xiǎn)管理策略

不同安全等級(jí)的風(fēng)險(xiǎn)管理策略不同。

6.3風(fēng)險(xiǎn)分析

從資產(chǎn)識(shí)別、威脅識(shí)別和脆弱性識(shí)別提出風(fēng)險(xiǎn)分析。

6.4風(fēng)險(xiǎn)評(píng)估

應(yīng)由用戶和部分專家通過經(jīng)驗(yàn)來判斷風(fēng)險(xiǎn)，并對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估，

12

形成風(fēng)險(xiǎn)評(píng)估報(bào)告，其中必須包括風(fēng)險(xiǎn)級(jí)別、風(fēng)險(xiǎn)點(diǎn)等內(nèi)容，并確定

信息系統(tǒng)的安全風(fēng)險(xiǎn)狀況。

6.5風(fēng)險(xiǎn)控制

以信息系統(tǒng)及產(chǎn)品的安全等級(jí)標(biāo)準(zhǔn)對(duì)不同等級(jí)的技術(shù)和管理要求，

選擇相應(yīng)等級(jí)的安全技術(shù)和管理措施，決定需要實(shí)施的信息系統(tǒng)安全

控制措施。

6.6安全確認(rèn)

采用系統(tǒng)化的方法對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)實(shí)施再次評(píng)估，通過再次

評(píng)估，驗(yàn)證防護(hù)措施的有效性。