《多功能智能桿信息系統(tǒng)安全管理要求》

（送審稿）編制說明

一、項目背景

“讓城市更聰明一些、更智慧一些，是推進(jìn)城市治理體系和治理

能力現(xiàn)代化的必由之路，前景廣闊?！绷?xí)近平總書記的講話為未來城

市的發(fā)展指明了道路和方向。

智慧城市是在物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等新一代信息技術(shù)快速發(fā)

展背景下產(chǎn)生的城市發(fā)展新模式，通過“更加透徹的感知、更加深入

的計算和更加廣泛的連接”，改變著物與物之間、人與物之間的聯(lián)系

方式，改變著我們的生存環(huán)境，也深刻改變著人類的思維方式和生活

模式。

多功能智能桿作為新基建的重要組成和智慧城市建設(shè)的入口，也

是未來承載5G基站布點(diǎn)的載體，它通過深度整合城市各類資源，實

現(xiàn)資源的共享、集約和統(tǒng)籌，降低城市建設(shè)成本，提升城市運(yùn)維效率，

將為城市治理的快速發(fā)展帶來多重效益。

2018年深圳出臺《深圳市多功能智能桿建設(shè)發(fā)展行動計劃（2018

—2020年）》，成為國內(nèi)首個政府出臺的頂層行動計劃。

2019年9月，《深圳市人民政府關(guān)于印發(fā)率先實現(xiàn)5G基礎(chǔ)設(shè)施

全覆蓋及促進(jìn)5G產(chǎn)業(yè)高質(zhì)量發(fā)展若干措施的通知》印發(fā)，要求加快

推進(jìn)多功智能桿建設(shè)。

2020年4月國家發(fā)改委明確“新基建”范圍主要包括：包含以

5G、物聯(lián)網(wǎng)為代表的信息基礎(chǔ)設(shè)施，以大數(shù)據(jù)、人工智能等技術(shù)深度

應(yīng)用的融合基礎(chǔ)設(shè)施和以支撐科學(xué)研究、技術(shù)開發(fā)等的創(chuàng)新基礎(chǔ)設(shè)施。

1

隨著我國物聯(lián)網(wǎng)新型基礎(chǔ)設(shè)施建設(shè)的全面推進(jìn)，多功智能桿的產(chǎn)業(yè)發(fā)

展步入快車道。

2021年我國多功能智能桿建設(shè)的最大特點(diǎn)，是從北上廣深延伸到

了全國各地，2021年度共有28個?。ㄗ灾螀^(qū)、直轄市）新增了多功

能智能桿建設(shè)項目，新增項目總量達(dá)到350個，新增多功能智能桿擬

建數(shù)量達(dá)到12.8萬根。

多功能智能桿包括桿體及其搭載的感知終端（各類設(shè)備和傳感

器），它是集智慧照明、視頻監(jiān)控、交通管理、環(huán)境監(jiān)測、無線通信、

應(yīng)急求助等多功能于一體的信息基礎(chǔ)設(shè)施。梳理和分析多功能智能桿

系統(tǒng)之間的數(shù)據(jù)流通路徑，將系統(tǒng)中不同設(shè)備、軟件、數(shù)據(jù)、資源、

分不同重要等級進(jìn)行分等級保護(hù)顯得尤為重要。

近年來，數(shù)據(jù)安全形勢不容樂觀，世界各國均高度重視數(shù)據(jù)安全

及隱私保護(hù)，例如美國發(fā)布了《國家安全和個人數(shù)據(jù)保護(hù)法(草

案)》、《網(wǎng)絡(luò)安全信息共享法》等，歐盟發(fā)布了《一般數(shù)據(jù)保護(hù)法

案》、德國發(fā)布了《聯(lián)邦數(shù)據(jù)保護(hù)法》、英國發(fā)布了《數(shù)據(jù)保護(hù)法》

等；十九屆四中全會，我國首次增列“數(shù)據(jù)”作為生產(chǎn)要素，數(shù)據(jù)安

全與國家安全息息相關(guān)。我國國家數(shù)據(jù)安全相關(guān)法律法規(guī)有《中華人

民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》及《中華人

民共和國個人信息保護(hù)法》、《數(shù)據(jù)安全管理辦法》征求意見稿等；

國內(nèi)數(shù)據(jù)安全標(biāo)準(zhǔn)有GB/T35273-2020《信息安全技術(shù)個人信息安全

規(guī)范》、GB/T37988-2019《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》

等。

2017年6月1日正式實行的《中華人民共和國網(wǎng)絡(luò)安全法》中第

二十一條明確規(guī)定：國家實行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)

2

當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障

網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被

竊取、篡改。

信息安全保障能力是21世紀(jì)綜合國力、經(jīng)濟(jì)競爭實力和生存能

力的重要組成部分，是全世界各國奮力攀登的制高點(diǎn)。網(wǎng)絡(luò)信息安全

問題如果解決不好，將全方位地危及我國的政治、軍事、經(jīng)濟(jì)、文化、

社會生活的各個方面，使國家處于信息戰(zhàn)和高度經(jīng)濟(jì)金融風(fēng)險的威脅

之中。

習(xí)近平總書記高度重視信息網(wǎng)絡(luò)安全工作，多次提出：沒有網(wǎng)絡(luò)

安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化；網(wǎng)絡(luò)安全和信息

化是一體之兩翼、驅(qū)動之雙輪，必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進(jìn)。

多功能智能桿信息系統(tǒng)是指由計算機(jī)及其相關(guān)和配套的掛載設(shè)備、

設(shè)施構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行存儲、傳輸、處

理的系統(tǒng)或者網(wǎng)絡(luò)；信息是指在信息系統(tǒng)中存儲、傳輸、處理的數(shù)字

化信息。

多功能智能桿系統(tǒng)信息安全是指在政府主導(dǎo)和社會參與下，綜合

運(yùn)用技術(shù)、法律、管理、教育等手段，在信息空間積極應(yīng)對敵對勢力

攻擊、網(wǎng)絡(luò)犯罪和意外事故等多種威脅，有效保護(hù)信息基礎(chǔ)設(shè)施、信

息系統(tǒng)、信息應(yīng)用服務(wù)和信息內(nèi)容的安全，為經(jīng)濟(jì)發(fā)展、社會穩(wěn)定、

國家安全、公眾權(quán)益和軍事斗爭提供安全保障的活動。

為適應(yīng)深圳市多功能智能桿發(fā)展的新形勢，滿足新形勢下多功智

能桿對標(biāo)準(zhǔn)化發(fā)展的新需求，規(guī)范多功能智能桿建設(shè)與管理全過程中

的網(wǎng)絡(luò)安全、通訊安全、數(shù)據(jù)安全，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全

法》的基本原則，結(jié)合深圳經(jīng)濟(jì)特區(qū)地域?qū)嶋H，編制地方標(biāo)準(zhǔn)《多功

3

能智能桿信息系統(tǒng)安全管理要求》十分必要。

二、工作簡況

1、任務(wù)來源

根據(jù)“深圳市市場監(jiān)督管理局關(guān)于下達(dá)2021年第一批深圳市地

方標(biāo)準(zhǔn)計劃項目任務(wù)的通知”，《多功能智能桿網(wǎng)絡(luò)安全等級保護(hù)

基本要求》地方標(biāo)準(zhǔn)批準(zhǔn)立項。

2、主要工作過程

（一）預(yù)研階段

項目下達(dá)后，充分吸收來自深圳多功能智能桿多個不同領(lǐng)域內(nèi)有

能力、經(jīng)驗和研究工作基礎(chǔ)的專家、學(xué)者、企業(yè)代表組成標(biāo)準(zhǔn)編制組，

編制組充分考慮深圳多功能智能桿信息安全潛在的風(fēng)險因子，為提高系

統(tǒng)運(yùn)維管理水平，滿足相關(guān)法規(guī)的要求，從信息內(nèi)容的被泄露、被假冒、

被偽造；信息系統(tǒng)被攻擊、被入侵、被染毒；信息網(wǎng)絡(luò)被堵塞、被中斷、

被致癱；信息基礎(chǔ)設(shè)施被損傷、被破壞、被損毀等維度，確定本文件的主

要內(nèi)容，完成標(biāo)準(zhǔn)編制大綱。

（二）編制階段

1）成立起草組

充分吸收來自多功能智能桿建設(shè)與管理各個不同領(lǐng)域內(nèi)有能力、

經(jīng)驗和研究工作基礎(chǔ)的專家、學(xué)者、企業(yè)代表等，于標(biāo)準(zhǔn)立項批準(zhǔn)后

立即成立標(biāo)準(zhǔn)編制組。

2022年8月15日，深圳市《多功能智能桿網(wǎng)絡(luò)安全等級保護(hù)規(guī)

范》和《多功能智能桿信息系統(tǒng)安全管理規(guī)范》地方標(biāo)準(zhǔn)編制工作

啟動會在深圳市前海深港合作區(qū)南山街道桂灣五路123號前海大廈T2

4

棟5樓會議室隆重舉行，會議由深圳市脈山龍信息技術(shù)股份有限公

司總裁主持，市工信局信息基礎(chǔ)設(shè)施處、深圳市信息基礎(chǔ)設(shè)施投

資發(fā)展有限公司以及脈山龍、深信投、洲明科技、昂楷科技等二

十五家單位代表出席了會議。本次會議的召開，統(tǒng)一了兩項標(biāo)準(zhǔn)

的編制思路和原則，確定了標(biāo)準(zhǔn)編制的下一步計劃，為標(biāo)準(zhǔn)編制

工作的順利推進(jìn)奠定了基礎(chǔ)。

2）形成標(biāo)準(zhǔn)草案

2022年9月23日，深圳市《多功能智能桿網(wǎng)絡(luò)安全等級保護(hù)規(guī)

范》和《多功能智能桿信息系統(tǒng)安全管理規(guī)范》地方標(biāo)準(zhǔn)編制第二

次工作會議在深圳市新一代產(chǎn)業(yè)園深信投公司1號會議室召開。

參會專家對兩項地標(biāo)的標(biāo)準(zhǔn)草案做了深入研討，擬定了兩項地標(biāo)

修該完善的任務(wù)分工。

1.鼎鉉商用密碼測評技術(shù)（深圳）有限公司完善密碼模塊及

加密方式等內(nèi)容。

2.深圳市萬集科技股份有限公司完善密碼運(yùn)算功能接口及軟

硬件模塊內(nèi)容。

3.深圳市博通智能技術(shù)有限公司完善安全物理環(huán)境、安全管

理制度、安全管理機(jī)構(gòu)等內(nèi)容。

4.深圳市可信計算有限公司完善可信驗證的流程圖內(nèi)容。

5.華為技術(shù)有限公司完善接入控制及接口協(xié)議等內(nèi)容。

深圳昂楷科技有限公司完善數(shù)據(jù)分類及分級保護(hù)內(nèi)容。

3）形成征求意見稿

5

2022年12月13日下午，兩項地標(biāo)編制第三次工作會議在深

圳市新一代產(chǎn)業(yè)園深信投公司1號會議室召開。會議對多功能智

能桿網(wǎng)絡(luò)安全、信息系統(tǒng)安全兩項地標(biāo)的標(biāo)準(zhǔn)草稿進(jìn)行了研討。

參會專家對照標(biāo)準(zhǔn)草稿從網(wǎng)絡(luò)安全的等級適應(yīng)范圍、密碼模塊、

網(wǎng)絡(luò)架構(gòu)、接入控制、可信計算、數(shù)據(jù)安全及系統(tǒng)安全的管理要

求等方便展開充分研討。本著保證標(biāo)準(zhǔn)的科學(xué)性、先進(jìn)性、規(guī)范

性和可操作性，完成討論稿的第三次修改。

2023年3月6日，深圳市工業(yè)和信息化局將會后修改標(biāo)準(zhǔn)

稿發(fā)給相關(guān)局征求意見，深圳市交通運(yùn)輸局、深圳市通信管理

局、深圳市水務(wù)局、深圳市氣象局、深圳大學(xué)都有書面反饋意

見。

在收到各個局的反饋意見后，對原稿再次進(jìn)行修改完善，形成現(xiàn)

在的征求意見稿。

4）形成送審稿

2023年5月28日-2023年6月30日，深圳市工業(yè)和信息化局掛

網(wǎng)公開征求意見，收到意見8條，采納7條，其中1條不采納。對原

稿再次進(jìn)行修改完善，形成現(xiàn)在的送審稿。

三、編制原則、技術(shù)依據(jù)、國際先進(jìn)標(biāo)準(zhǔn)的對標(biāo)情況

1、編制原則

遵循“科學(xué)、實用、適度”的原則，既考慮標(biāo)準(zhǔn)的前瞻性又顧及

深圳市多功能智能桿網(wǎng)絡(luò)安全等級保護(hù)發(fā)展的實際情況，充分調(diào)研深

圳市多功能智能桿信息系統(tǒng)安全管理的實際情況，信息安全的重要性

6

主要體現(xiàn)在信息內(nèi)容安全、信息系統(tǒng)安全、信息網(wǎng)絡(luò)安全、信息基礎(chǔ)

設(shè)施安全等等方面。信息內(nèi)容的被泄露、被假冒、被偽造等，信息系

統(tǒng)被攻擊、被入侵、被染毒，信息網(wǎng)絡(luò)被堵塞、被中斷、被致癱等，

信息基礎(chǔ)設(shè)施被損傷、被破壞、被損毀等等，這些都是重要的信息安

全事件，都應(yīng)該也必須引起高度重視和迅速解決。本文件以安全管理

要素作為描述安全管理要求的基本組件。

2、技術(shù)依據(jù)

1）《中華人民共和國網(wǎng)絡(luò)安全法》

第4章信息系統(tǒng)安全管理，參考《中華人民共和國網(wǎng)絡(luò)安全

法》，經(jīng)研究對體系化的安全管理制度，結(jié)合具體的場景應(yīng)用，給出

了“應(yīng)制定系統(tǒng)互聯(lián)評估、網(wǎng)絡(luò)使用授權(quán)、網(wǎng)絡(luò)檢測、網(wǎng)絡(luò)設(shè)施（設(shè)

備和協(xié)議）變更控制和相關(guān)的操作規(guī)程等方面的網(wǎng)絡(luò)安全管理規(guī)定?！?/p>

2）《中華人民共和國數(shù)據(jù)安全法》

GB/T37988-2019《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》

第4章信息系統(tǒng)安全管理，參考《中華人民共和國數(shù)據(jù)安全法》

和GB/T37988-2019《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》，經(jīng)

研究對基本的安全管理制度，結(jié)合具體的場景應(yīng)用，給出了“應(yīng)制定

系統(tǒng)互聯(lián)評估、網(wǎng)絡(luò)使用授權(quán)、網(wǎng)絡(luò)檢測、網(wǎng)絡(luò)設(shè)施（設(shè)備和協(xié)議）

變更控制和相關(guān)的操作規(guī)程等方面的網(wǎng)絡(luò)安全管理規(guī)定?！?/p>

3、《中華人民共和國個人信息保護(hù)法》

GB/T35273-2020《信息安全技術(shù)個人信息安全規(guī)范》

第7章運(yùn)維和服務(wù)管理，參考《中華人民共和國個人信息保護(hù)

法》和GB/T35273-2020《信息安全技術(shù)個人信息安全規(guī)范》，經(jīng)研

究對信息資產(chǎn)進(jìn)行分類管理，結(jié)合具體的場景應(yīng)用，給出了“個人隱

7

私信息、個人專有信息、公民個人可公開共享的信息”的分類管理。

3、與國內(nèi)領(lǐng)先、國際先進(jìn)標(biāo)準(zhǔn)的對標(biāo)情況

目前在國內(nèi)外，信息系統(tǒng)安全管理已有相應(yīng)的標(biāo)準(zhǔn)，未查到“多

功能智能桿信息系統(tǒng)安全管理要求”的相關(guān)標(biāo)準(zhǔn)。我們國家則在國

家、行業(yè)、地方、團(tuán)體標(biāo)準(zhǔn)等各個層面皆有信息系統(tǒng)安全管理的發(fā)布，

但基本上都是信息系統(tǒng)安全管理通用技術(shù)標(biāo)準(zhǔn)，本文件與上述標(biāo)準(zhǔn)側(cè)

重點(diǎn)不同：主要是針對智慧城市信息基礎(chǔ)設(shè)施中多功能智能桿的信息

系統(tǒng)安全管理。深圳在多功能智能桿的實踐探索，無論從深度和廣度

上都已經(jīng)遠(yuǎn)超出國內(nèi)外標(biāo)準(zhǔn)所述的范圍。本地方標(biāo)準(zhǔn)將在實踐探索中

的經(jīng)驗融入到條款中，比國內(nèi)外的信息系統(tǒng)安全管理標(biāo)準(zhǔn)的內(nèi)容細(xì)化

和精準(zhǔn)。

國際標(biāo)準(zhǔn)

1、ISO/IEC17799-2005信息技術(shù).信息安全管理用實施規(guī)程

國家標(biāo)準(zhǔn)

1、GB/T20269-2006信息安全技術(shù)信息系統(tǒng)安全管理要求

2、GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求

3、GB/T22240-2020信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南

4、GB/T25058-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)實施指南

5、GB/T25070-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計技術(shù)

要求

6、GB/T28448-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求

7、GB/T28449-2018信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評過程指南

8、GB/T28453-2012信息安全技術(shù)信息系統(tǒng)安全管理評估要求

9、GB/T34990-2017信息安全技術(shù)信息系統(tǒng)安全管理平臺技術(shù)要求

8

和測試評價方法

10、GB/T36627-2018信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測試評估技

術(shù)指南

11、GB/T36958-2018信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)安全管理中

心技術(shù)要求

12、GB/T36959-2018信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評機(jī)構(gòu)能

力要求和評估規(guī)范

13、GB/T37094-2018信息安全技術(shù)辦公信息系統(tǒng)安全管理要求

行業(yè)標(biāo)準(zhǔn)

1、GA/T713-2007信息安全技術(shù)信息系統(tǒng)安全管理測評

2、MH/T0031-2009民用航空運(yùn)輸機(jī)場信息系統(tǒng)安全管理規(guī)范

3、SY/T5231-2010石油工業(yè)計算機(jī)信息系統(tǒng)安全管理規(guī)范

四、各章節(jié)主要條款的說明

本文件包括7個章節(jié)分別為范圍，規(guī)范性引用文件，術(shù)語和定義，

信息系統(tǒng)安全管理內(nèi)容、原則、策略和制度，信息系統(tǒng)安全管理機(jī)構(gòu)

建設(shè)和人員管理，信息系統(tǒng)安全管理風(fēng)險控制，信息系統(tǒng)安全管理通

用要求。

3術(shù)語和定義

3.1完整性

數(shù)據(jù)、系統(tǒng)或信息在存儲、傳輸和處理過程中保持無誤、不受損

壞、不受篡改的狀態(tài)，包括數(shù)據(jù)完整性和系統(tǒng)完整性。

3.2可用性

表征數(shù)據(jù)或系統(tǒng)根據(jù)授權(quán)實體的請求可被訪問與使用程度的屬性。

9

3.3訪問控制

按確定的規(guī)則防止對資源的未授權(quán)使用，對實體之間的訪問活動

進(jìn)行控制的安全機(jī)制。

3.4安全審計

按確定規(guī)則的要求，對與安全相關(guān)的事件進(jìn)行審計，以日志方式

記錄必要信息，并作出相應(yīng)處理的安全機(jī)制。

3.5鑒別信息

用以確認(rèn)系統(tǒng)中身份真實性的過程。

3.6風(fēng)險評估

通過對信息系統(tǒng)的資產(chǎn)價值/重要性、信息系統(tǒng)所受到的威脅以

及信息系統(tǒng)的脆弱性進(jìn)行綜合分析，對信息系統(tǒng)及其處理、傳輸和存

儲的信息的保密性、完整性和可用性等進(jìn)行科學(xué)識別和評價，確定信

息系統(tǒng)安全風(fēng)險的過程。

3.7安全策略

為信息系統(tǒng)安全管理制定的行動方針、路線、工作方式、指導(dǎo)原

則或程序。

4信息系統(tǒng)安全管理

4.1信息系統(tǒng)安全管理內(nèi)容

是對管理平臺、移動互聯(lián)、掛載設(shè)備和公共數(shù)據(jù)的生存周期全過

程實施符合安全等級責(zé)任要求的管理全管理內(nèi)容

4.2信息系統(tǒng)安全管理原則

提出11個原則

4.3信息系統(tǒng)安全管理策略

提出5個安全管理策略

10

4.4信息系統(tǒng)安全管理制度

從五個維度提出安全管理制度

5機(jī)構(gòu)建設(shè)和人員管理

5.1建立安全管理機(jī)構(gòu)

本條規(guī)定了從“配備安全管理人員、建立安全職能部門、成立安

全領(lǐng)導(dǎo)小組、主要負(fù)責(zé)人出任領(lǐng)導(dǎo)、建立信息安全保密管理部門”5

個維度建立安全管理機(jī)構(gòu)

5.2信息安全領(lǐng)導(dǎo)小組

本條信息系統(tǒng)安全領(lǐng)導(dǎo)小組負(fù)責(zé)領(lǐng)導(dǎo)本組織機(jī)構(gòu)的信息系統(tǒng)安全

工作，規(guī)定了至少行使“安全管理的領(lǐng)導(dǎo)職能”或者“保密監(jiān)督的管

理職能”之一。

5.3信息安全職能部門

本條信息安全職能部門在信息系統(tǒng)安全領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)下，負(fù)責(zé)本

組織機(jī)構(gòu)信息系統(tǒng)安全的具體工作，規(guī)定了至少行使“基本的安全管

理職能”或者“集中的安全管理職能”之一。

5.4安全管理人員配備

本條不同安全等級的安全管理人員配備，規(guī)定了從“專職安全管

理人員”、“專職安全管理人員”、“關(guān)鍵部位的安全管理人員”中

選擇。

5.5關(guān)鍵崗位人員管理

本條不同安全等級的關(guān)鍵崗位人員管理，規(guī)定了從“基本要求”、

“兼職和輪崗要求”、“權(quán)限分散要求”、“多人共管要求”、“全

面控制要求”中進(jìn)行選擇。

5.6人員錄用管理

11

本條不同安全等級的人員錄用管理，規(guī)定了從“錄用的基本要

求”、“人員的審查與考核”、“人員的內(nèi)部選拔”、“人員的可靠

性”中進(jìn)行選擇。

5.7人員離崗管理

本條不同安全等級的人員離崗管理，規(guī)定了從“離崗的基本要

求”、“調(diào)離后的保密要求”、“離崗的審計要求”中進(jìn)行選擇。

5.8人員考核與審查

本條不同安全等級的人員考核與審查管理，規(guī)定了從“定期的人

員考核”、“定期的人員審查”、“管理有效性的審查”、“全面嚴(yán)

格的審查”中進(jìn)行選擇。

5.9人員教育和培訓(xùn)

本條不同安全等級的人員教育和培訓(xùn)，規(guī)定了從“應(yīng)知應(yīng)會要求

培訓(xùn)”、“有計劃培訓(xùn)”、“不同崗位培訓(xùn)”、“人員資質(zhì)要求培

訓(xùn)”、“安全意識自覺性培訓(xùn)”中進(jìn)行選擇。

6風(fēng)險管理和控制

6.1風(fēng)險管理要求

風(fēng)險管理作為等級保護(hù)的手段，在保證信息等級系統(tǒng)的最低保護(hù)

能力的基礎(chǔ)上，根據(jù)風(fēng)險增加某些管理要求。

6.2風(fēng)險管理策略

不同安全等級的風(fēng)險管理策略不同。

6.3風(fēng)險分析

從資產(chǎn)識別、威脅識別和脆弱性識別提出風(fēng)險分析。

6.4風(fēng)險評估

應(yīng)由用戶和部分專家通過經(jīng)驗來判斷風(fēng)險，并對風(fēng)險進(jìn)行評估，

12

形成風(fēng)險評估報告，其中必須包括風(fēng)險級別、風(fēng)險點(diǎn)等內(nèi)容，并確定

信息系統(tǒng)的安全風(fēng)險狀況。

6.5風(fēng)險控制

以信息系統(tǒng)及產(chǎn)品的安全等級標(biāo)準(zhǔn)對不同等級的技術(shù)和管理要求，

選擇相應(yīng)等級的安全技術(shù)和管理措施，決定需要實施的信息系統(tǒng)安全

控制措施。

6.6安全確認(rèn)

采用系統(tǒng)化的方法對信息系統(tǒng)安全風(fēng)險實施再次評估，通過再次

評估，驗證防護(hù)措施的有效性。