2002-GAT 391-2002 关于《计算机信息系统安全等级保护管理要求》的行业标准

ICS 35.020 L 09 GA 中华人民共和国公共安全行业标准 w. co m GA/T 391—2002 计算机信息系统安全等级保护管理要求 fx Management Requirements ww w. bz in Computer Information System Classified Security Protection 2002-07-18 发布中华人民共和国公安部 2002-07-18 实施发布 GA/T 391—2002 目次 ww w. bz fx w. co m 前言 ............................................................................ III 引言 ............................................................................. IV 1 范围 ................................................................................ 1 2 规范性引用文件 ...................................................................... 1 3 术语和定义 .......................................................................... 1 4 信息系统安全管理概述 ................................................................ 2 4.1 信息系统安全管理内涵 ............................................................... 2 4.2 主要安全要素....................................................................... 3 4.3 信息系统安全管理的基本原则 ......................................................... 4 4.4 安全管理的过程..................................................................... 5 4.5 安全管理组织....................................................................... 9 4.6 人员安全.......................................................................... 10 4.7 安全管理制度...................................................................... 11 5 安全等级信息系统的管理要求 ......................................................... 11 5.1 第一级（用户自主保护级）实施基本的管理 ........................................... 12 5.2 第二级（系统审计保护级）实施操作规程管理 ......................................... 13 5.3 第三级（安全标记保护级）实施标记制度化管理 ....................................... 15 5.4 第四级（结构化保护级）实施标准化管理 ............................................. 17 5.5 第五级（访问验证保护级）实施安全文化管理 ......................................... 19 附录 A 安全管理等级要素 ........................................................... 21 A.1 管理目标和范围 ................................................................... 21 A.2 人员与职责要求 ................................................................... 21 A.3 物理安全管理要求 ................................................................. 22 A.4 系统安全要求 ..................................................................... 22 A.5 网络安全管理要求 ................................................................. 23 A.6 应用系统安全管理要求 ............................................................. 23 A.7 运行安全管理要求 ................................................................. 24 A.7.1 风险管理要求 .................................................................... 24 A.7.2 生命周期管理要求 ................................................................ 25 A.7.3 安全意识教育和培训要求 .......................................................... 25 A.7.4 病毒防护管理要求 ................................................................ 25 A.7.5 对第三方访问的安全管理要求 ...................................................... 26 A.7.6 应急计划和灾难恢复计划安全管理要求 .............................................. 26 A.7.7 变更控制管理要求 ................................................................ 26 A.8 人员安全管理要求 ................................................................. 27 参考文献 ............................................................................. 28 图 1 主要安全要素与关系................................................................ 3 图 2 计算机信息系统安全管理过程模型 .................................................... 6 I GA/T 391—2002 图 3 安全管理组织结构................................................................. 10 21 21 22 22 23 23 24 24 25 25 25 26 26 26 27 ww w. bz fx w. co m 表 1 安全目标与范围等级要求 ........................................................... 表 2 人员与职责等级要求............................................................... 表 3 物理安全管理等级要求 ............................................................. 表 4 系统安全管理等级要求 ............................................................. 表 5 网络安全管理等级要求 ............................................................. 表 6 应用系统安全管理等级要求 ......................................................... 表 7 运行安全管理等级要求 ............................................................. 表 8 风险管理等级要求................................................................. 表 9 生命周期管理等级要求 ............................................................. 表 10 安全意识教育和培训等级要求 ...................................................... 表 11 病毒防护管理等级要求 ............................................................ 表 12 对第三方访问的安全管理等级要求 .................................................. 表 13 应急计划和灾难恢复计划安全管理等级要求 .......................................... 表 14