【国家标准(GB)】 信息安全技术 信息系统安全管理要求

ICS35.040
中华人民共和国国家标准
GB/T20269--2006
信息安全技术
信息系统安全管理要求
Information security technologyInformation system security management requirements2006-05-31发布
中华人民共和国国家质量监督检验检疫总局数宽瞬病
中国国家标准化管理委员会
2006-12-01实施
1范围
2规范性引用文件
3术语和定义
4信息系统安全管理的一般要求
4.1信息系统安全管理的内容
4.2信息系统安全营理的原则
5信息系统安全管理要索及其强度5.1策酪和制度
信息安全管理策略
安全管理规章制度
5.1.3策略与制度文档管理
5.2机构和人员管理
5.2.1安全管理机构
安全机制集中管理机构
人员替理
教旁和培训
风险管理
风险管理要求和策略
风险分析和评估
风险控制-
基于风险的决策…
风险评估的管理·
5.4环境和资源管理··
环境安全管理
资源管理··
运行和维护管班
5. 5. 1用户管理
5.5.2运行操作管理·.
运行维护管理
5.5.4外包服务管理
5.5.5有关安全机制保障
安全集中管理·
业务连续性管理
备份与恢复
安全事件处理
应急处理·
HKNKAca
GB/T 20269—2006
+++++++ 21
GB/T20269—2006
5.7监督和检查管理·
5.7.1符合法律要求
5.7.2依从性检查
5.7.3计及监管控制-
5.7.1责任认定
5.8生存周期替理·
5.8.1规划和立项管理-
5.8.2建设过程管理..
5.8.3系统启用和终止管理
6信息系统安全管理分等级要求.6.1第一级：用户有主保护级
管理目标和范围·
政策和制度要求·
机构和人员管理要求…
风险管理要求
6.1.5环境和资源管理要求
6:1.6操作和维护管理要求·
业务连续性管理要求
监督和检查管理要求.
6.1.9生存周期管理要求
6.2第二级：系统审计保护级
管理目标利范围
政策和制度要求
6.2.3机构和人员管理要求·
6.2.4风险管理要求.
6.2.5环境和资源管理要求.
6.2.6操作和维护管理要求
6.2.7业务连续性管理要求
6.2.8监督和检查管理要求
6.2.9生存周期管理要求
6.3第三级：安全标记保扩级
管理目标和范用…
6.3.2政策和制度要求
6.3.3机构和人员管理要求
6. 3.4风险管理要求.
6.3.5环境和资源管理要求…
6.3.6操作和维护管理要求.·
6.3.7业务连续性管理要求
监督和检查管理要求·
6.3.9生存周期管理要求
6.4第四级：结构化保护级
6. 4. 1 管理月标和范围
6.4.2政策和制度要求
APPIPP
6.4.3机构和人员管理要求
6.4.4风险管理要求
6.1.5环境和资源管理要求．
6.4.6操作和维护管理要求-
6.4.?业务连续性管理要求.
6.4.8临督和检查管理要求
6.4.9生存周期管理要求.…
6.5第五级：访问验证保护级
管理目标和范画
6.5.2政策和制度要求
6.5.3机构和人员管理要求
风险管理要求·
环境和资源管现要求
操作和维护管理要求
业务连续性管理要求
监督和检查管现要求.
6.5.9生存周期管理要求
KNKAca-
GB/T 20269—2006
附录A（资料性附录）安全管理蔓素及其强度与安全管理分等级要求的对应关系+
附录B(资料性附录)
B.1主要安全因
信息系统安全管理概念说明
I3. 1. 4意外事件影响
B.1.6保护措施
B. 2安全管现的过程
安全管理过程模型
安全日标
安全保扩等级的确定
安全风险分析与评估
制定安全策略
安全需求分析
安全措施的实施
安全实施过程的监理
信息系统的安全审计
生存围期管理
参考文献
.，57
本标推的附录 A、附录 B是资料性附录。本标准由全国信息安全标准化技术委员会提山并归口。GB/T20269—2006
本标准起草单位：北京思源新创信息安全资讯有限公司，江南计算技术研究所技术服务中心。本标准主要起草人，陈冠自、王志强、吉增瑞、景乾元、宋健平。GB/T 20269—2005
HiiKAoNiKAca
信息安全等级保护从与信息系统安全相关的物理层面、网络层面，系统层面、应用层而和管理层面对信息和信息系统实施分等级安全保护。管理层面贯穿于其他层面之中，是其他层面实施分等级安全保护的保证。本标准对信息和信息系统的安全保护提山了分等级安全管理的要求：阐述了安全管理要索及其强度，并将臂要求葬实到信息安企等级保扩所规定的五个等级上，有利于对安全管理的实施、评估和检查。GB17859-1999中安全保护等级的划分是根据刘安全技术和安全风险控制的关系确定的，公通字[2001]66号文件中安全等级的划分是根据信息和信息系统受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成损害的程度确定的。两者的共同点是：安全等级越高，发生的安全技术费用和管理成本越高，从而预期能够抵御的安全威胁越人，建立起的安全信心越强，使用信息系统的风险越小。
本标准以安企管理要素作为描述安全管埋要求的基本纽件。安全管理要素是指，为实现信息案统安企等级保护所规定的安全要求，从管理而度应采取的主要控制方法和措施。根据GB17859—1999对安全保护等级的划分，不同的安全保护等级会有不间的安全管理要求，可以体现在管理要素的增加和管理强度的增强两方而。对于每个管理要素，根据特定情况分别列出不同的管理强度，最多分为5级，最少可不分级。在具体捕述中，除特别声明之外，一般高级别管理强度的描述都是在对低级别描述基础之上进行的。
信息系统是指由计算机及其相关和配套的设备，设施构成的，按照一定的应用日标和规则对信息进行存储、传输、处理的察统或者网络；信息是指在信息系统中存储.传输、处理的数字化信息。木标准涉及信息系统的管理者包括国家机关、事业单位、厂矿企业、公司、集团等各种类型不同规模的组织机构，以下统称为“组织机构”。信息系统在技术上采取何种安全机制应根抑相关技术标准确定，本标推仅提山保证这些安全机制实施的管理安求。与技术密切的管理是技术实现的组成部分，如果信息系统根据具体业务及其安全需求术采用该技术，则不需要相应的安全性理要求。对与管理描述难以分开的技术要求会出现在管要求中，只体执行需要参照相关技术标准。对于涉及国家秘密的信息和信息系统的保密管理，应按照国家有关保密的管理规定和析关标摊执行。本标准中有关信息系统安企管理要素及其强度与信息系统安企管理分等级要求的对应关系的说明参见附录A。为了帮助读者从安全管理概念角度理解和运用这些信总系统的安全管理要求，附录B给出了信息系统安全管理概念说明。1范围
信息安全技术信息系统安全管理要求GB/T 20269—2006
本标推依据G1317859一1999的五个安全保护等级的划分，规定了信息系统安全所需要的各个安全等级的管理要求。
本标准适用于按等级化要求进行的信系统安全的管理。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注期的引用文件，其随后所有的修改单（不包拆助误的内容)或修订版均不适用于本标准，然而，鼓励极据本标准达成协议的各方研究是查可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标证。GB17859—1999计算机信息系统安全保扩等级划分准则GB/T20271—2005信息安全技术信息系统通用安全技术要求3术语和定义
GB17859：-1999确立的以及下列术语和定义适用于本标准。3.1
完整性integrity
包括数据完整性和系统完整性。数据完整性表征数据所具有的特性，即无论数据形式作何变化，数据的准确性和一致性均保持不变的程度：系统完整性表征系统在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源的情况下，系统能履行其操作日的的品质。3.2
可用性aaability
表征数据或系统根据授权实体的请求可被访问与使用度的安全属性。3.3
访间控制access conirol
按确定的规则，对实体之间的访问活动进行控制的安全机制，能防止对资源的未授权使用。3.4
安全审计securityaudit
按确定规则的要求，对与安企相关的事件进行审计，以日志方式记录必要信，并作出相应处理的安全机制。
鉴别信息authentication informatian用以确认身份真实性的信息。
敏感性sensitivity
表征资源价值或再要性的特性，也可能包含这一资源的脆弱性。3.7
风险评估riskassessment
通过对信息系统的资产价值/重要性、信息系统所受到的威以及信息系统的脆弱性进行综合分1
GB/T 20269—2006
HiKNKAca
析，对信息系统及其处理、传输和存储的信息的保密性、完整性和可用性等进行科学识别和评价，确定信息系统安全风险的过程。
安舍策略security pnlicy
主要指为信息系统安全管理制定的行动方针、路线、工作方式、指导原则或程序，4信息系统安全管理的一般要求
4.1信息系统安全管理的内容
信息系统安全管理是对一个组织机构中信息系统的尘存周期全过程实施符合安全等级责任要求的替理，包括：
落实安全管理机构及安全管理人员，明确俏色与职责，制定安全规划；-开发安全策略；
实施风险管理，
制定业务持续性计划和灾难恢复计划；选摔与实施安企措施；
保证配置、变更的正确与安全；进行安全审计；
保证维护支持；
避行监控、检查，处理安全事件；安全意识与安全教育；
人员安全管理等。
4.2信息系统安全管理的原则
a）基于安全篇求原则：组织机构应根据其信息系统担负的使命，积累的信息资产的重要性，可能受到的威胁及面临的风险分析安全需求，按照信息系统等级保护要求确定相应的信息系统安全保护等级，遵从相应等级的规范要求，从全局上恰当地乎衡安全投人与效果。b）主要领导负资原则：主要领导应确立其组织统一的信息安全保障的宗旨和政策，负责提高员工的安全意识，组织有效安全保障队伍，调动并优化配置必要的资源，协调安全管理工作与各部门工作的关系，开确保其落实、有效。e）全员参与原则：信息系统所有相关人员应普追参与信息系统的安余管理，并与相炎方所协同，协调，共同保障信息系统安全。d）系统方法原则：按照系统工程的要求，识别和理解信息安全保障相关联的层面和过程，采用管理和技术结合的方法，提高实现安全保障的目标的有效性和效率。持续改进原则：安全管理是一种动态反馈过程，贯穿整个安全管理的生存周期，随着安全需求e)
和系统脆弱性的时空分布变化，威胁程度的提高，系统环境的变化以及对系统安全认识的深化等，应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级，维护和持续改进信息安全管理体系的有效性。依法管理原则：信息安全管理工作主要体现为管现行为，应保证信息系统安全管现主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理，应由授权者适时发布准确一致的有关信息，避免帮来不良的社会影响，g）分权和授权原卿：对特定职能或责任领域的管理功能实施分离、独立审计等实行分权，避免权力过分集中所带来的隐忠，以减小末授权的修改或滥用系统资源的机会。任何实体（如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必须的权限，不应享有任何多余权限。
GB/T20269--2006
h）选用或熟技术源则成熟的技术具有较好的可靠性和稳定性，采用新技术时要重视其成熟的程度，并应首先局部试点然后逐步推广，以减少或避免可能出现的失误。分级保护原则：按等级划分标准确定信息系统的安全保护等级，实行分级保护；对多个子系统i
构成的大型信息系统，确定系统的基本安全保护等级，并根据实际安全需求，分别确定各子系统的安全保护等级，实行多级安全保护。i）管理与技术并重原勋：竖持积极防御和综合防范，全面提高信息系统安全防护能力，立足国情采用管理与技术相结合，管理科学性和技术前瞻性结合的方法，保障信息系统的安全性达到所要求的标。
k）自保护和国家监管结合原则：对信息系统安全实行白保护和国家保护相结合。组织机构要对白已的信息系统安全保护负责，政府相关部门有责任对信息系统的安全进行指导、监督和检查，形成自管、白查、自评和国家监管相结舍的管理模式，挺高信息系统的安全保护能力利水平，保障国家信息安余。
5信息系统安全管理要素及其强度5.1策略和制度
5.1. 1信息安全管理策略
5.1.1.1安全管理目标与范国
信息系统的安全管理需要明确信总系统的安全管理日标和范围，不同安全等级应有选择地满足以下要求的一项！
a）基木的管理目标与范周：针对一般的信息系统应包括：制定包括系统设施利操作等内容的系统安全目标与范困计划文件：为达到相应等级技术要求提供相应的管理保证提供对信息系统进行基本安全保护的安全功能和安全管理措施，确保安全功能达到预期日标，使信息免遣非授权的泄露和破坏，基本保证信息系统安全运行。较完整的管理标与范国：针对在-定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，在a)的基础上还应包括：建文相应的安全管理机构，制定相应的安全操作规程；制定信息系统的风险管理计划；拱供对信息系统进行安全保护的比较光整的系统化安全保护的能力和比较完善的安全管理措施，从整体上保护信息免遭非授权的泄露和破坏，保证信息系统安全正常运行。
e）系统化的管理日标与范制，针对涉及国家安，社会秩序、经济建设和公共利的信息和信息系统，在b)的基础上还应包括：提供信息系统安全的口动监视和审计，提供信息系统的认证、验收及使用的授权的规定，提供对信息系统进行强制安全保护的能力和设置必要的强制性安全管理措施，确保数据信息免遵非授权的泄露和破坏，保证信息系统安全运行。d）强制保护的管理日标与范围：针对涉及国家安余、社会秩序、经济建设和公共利益的重要信息和信息系统，在c)的基础上还应包括：提供安全策略和措施的程序化、周期化的评估，以及对明显的风险变化和安全事件的评估；实施强制的分权管机制和可信管理：提供对信息系统进行整体的强制安全保护的能力和比较完普的强制性安全管理措施，保证信息系统安全运行。e）专控保护的誉理日标与范围，针对涉及国家安全，礼会秩序，经济建设和公共利益的章要信息和信息系统的核心系统，在d)的基础上还应包括：使安全管理计划与组织机构的文化有机融合，并能适应安全环境的变化实施全面，可信的安全誉理提供对信息系统进行基于可验证的强制安全保护能力和完美的强制性安全管现措施，全面保证信息系统安全运行。5.1.1.2总体安全管理策略
不同安企等级的信息系统总体安全策略应有选择地满足以下要求的一项：）基本的安全管理策略：信息系统安全管理策略包括：依照国家政策法规和技术及管理标准进行3
CB/T 20269—2006
HiKANiKAca
自主保护；阐明管理者对信息系统安全的承诺，并陈递组织机构管理信息系统安全的方法：说明信息系统安全的总体目标，范围和安全框架；中明支持信息系统安全日标和原则的管理意向，简要说明对组织机构有再大意义的安全力针，虑则、标准和符合性要求。较完整的安全管理策略：在a）的基础上，信息安全管理策略还包括：在信息安系统全监管职能b
部门的指导下，依照国家政策法规和技术及营理标准白主进行保护；明确划分信息系统（分系统/域）的安全保护等级（按区域分等级保护）：制定风险管理策略，业务连续性策略、安全培训与教育策略、审计策略等较完整的信息安全策略。e）休系化的安全管理策略：在b)的基础上，信息安全管理策略还包括：在接受倍息系统安全监管职能部门蓝督、检查的前提下，依照国家政策法规和技术及管理标准自主进行保扩；制定目标策略、规划策路、机构策略、人员策略，管理策略、安全技术策略、控制策略、生存周期策路、投资策略、质量策略等，形成体系化的信息系统安全策略。强制保护的安全管理策略：在）的基础上，信息安全管理策略还包括：在接受信息系统安全临管职能部门的强制监格检查的前提下，依照国家政策法规和技术及管理标准白主进行保护；制定体系完整的信息系统安全管理策略。令控保护的安全管理策略：在α>的基础上，信息安全管理策略还包抚：在按受国家指定的专门c
部门、专门机构的专门监的前提下，照国家政策法见和技术及管理标准自主进行保护：制定可持续改进的信息系统安全管理策略。5.1.1.3安全管理策略的制定
信息察统安全管理策略的制定，不间安全等级应有选择地满足以下要求的一项：a）基本的安全管理筑略制定：成由安全管理人员为主制定，山分管信息安全工作的负资人召集以安全管理人员为主，与相关人员一起制定考木的信息系统安全管理策略，包括总体策略和具体策略，并以文件形式表述。
b）较完整的安全管理策略制定：应由信息安企职能部门负责制定，由分管信息安全工作的负责人组织，信息安全职能部门负责制定较完整的信息系统安全管理策咯，包括总体策略和只体策略，并以文性形式表述。
c）体系化的安全管理策略制定：应由信总安全领导小组组织制定，出信息安全领导小组组织并提出措导思想，信息安全职能部门负责具体制定体系化的信息系统安全管理策略，包括总体策略和具体策略，并以文作形式表述。l）强制保护的安全管现策略制定：应由信息安全领导小组组织并提出指导思想，由信息安全职能部门指派专人负责制定强制保护的信息系统安全管理策路，包括总体策略和具体策略：并以文件形式表述；涉密系统安全策略的制定应限定在相应范闹内进行；必要时，可征求信息安全盟管职能部门的意见。
e）专招保护的安全管理策略制定：在d)的基础上，必要时应征求国家指定的专门部门或机构的意见，或者共同制定专控保扩的信息系统安全管理策略，包括总体筑略和具体策略，5.1.1.4安全管理策略的发布
信息系统安全暂现策略应以文档形式发布，不同安全等级应有选择地满足以下要求的一项：）基本的安全曾理策略的发布：安全管理策略文档应由分管信总安全工作的负责人签发，并向信息系统的用户传达，其形式应针对月标读者，并能够为读者接受和理解：较完整的安全管现策略的发布：在a)的基础上，安全管现策略文档应经过组织机构负责人签b)
发，按照有关文件管理程序发布；体系化的安全管理策略的发布：在1)的基础上，安全管理策路文档应注明发布范围，并有收发C
文登记；
强制保护的安全管理策略的发布：在c）的基础上，安全管理策路文档应注明密级，并在监管部d
门备案：
GB/T 20269—2006
c）专控保护的安全管理策略的发布：在d)的基础上，必要时安全管理策略文档应在国家指定的专门部门或机构进行备案。
5.1.2安全管理规章制度
5.1.2.1安全管理规章制度内
应根据机构的总体安企策略和业务应用需求，制定信息系统安全管理的规程和制度，不同安全等级的安全管理规章制度的内容应有选择地满足以下要求的一项：）基木的安企管理制度：应包据网络安全管理规定、系统安全管理规定、数据安全管理规定、防病现定.机房安全管理规定以及相关的操作规程等。b）较完整的安全管理制度：在a)的基础上，应增加设备使用管理规定，人员安伞管理规定。安全审计管理规定、用户管理规定、风险管理规定、信息分类分级管理规定、安全事件报告规定、事故处理规定、应急管理规定和灾难恢复管理规定等。c）体系化的安全管理制度：在b)的基础上，应制定全而的安全管现规定，他括：机房、主机设备、网络设施、物理设施分类标记等系统资源安全管理规定；安全配置、系统分发和操作、系统文档、测试和脆弱性评估、系统信息安全备份和相关的操作规程等系统和数搬库方的安全理规定；网络连接检查评估、网络使用授权、网络检测、网络设施（设备和协议)变更控制和相关的操作规程等方面的网络安全管理规定；应用安全评估、应用系统使用授权、应用系统配置管理、应用系统文档管理和相关的操作规程等方面的应用安全管理规定；人员安全管理、安全意识与安全技术教育、操作安全，操作系统和数据库安全、系统运行记录。病毒防护、系统维护、网络互联、安全律计、安全事件报告、事故处理、应管理、灾难恢复和相关的操作规程等方面的运行安全管理规定；信息分类标记、涉密信总管理，文档管理，存储介质管理，信息披露与发布审批管理、第三方访问控制和相关的操作规程等方面的信息安全管理规定等。强制保护的安全管理制度：在c)的基础上，应增加信息保密标识与管理规定，密码使用管理规d)
定、安全事件例行评估和报告规定、关键控制措施定期测试规定等；e）专控保护的安全管理制度：在d)的基础上，应增加安全管理审计监督规定等。5.1.2.2安全管理规章制度的制定安全管理制度的制定及发布，应有明剪规定的程序，不同安全等级应有选择地满定以下要求的一项
基本的安企管理制度制定：应由安全管理人员负责制订信息系统安全管理制度+并以文档形式a)
表述，由分智信息安全工作的负责人审批发布；较完整的安全管理制度制定：应由信息安全职能部门负责制订信息系统安全管理制，并以b
文档形式表述，由分管信息安伞工作的负责人审批，按照有关文档管理程序发布，c）体系化的安全管理制度制定：应出信息安全职能部门负责制订信息系统安全管理制度，并以文档形式表述，经信总安全领导小组讨论道过，由信息安全领导小组负责人审批发布，应注明发布范围井有收发文登记；免费标准下载网bzxz
d）强制保护的安全管理制度制定：应由信息安全职能部门指派专人负责制订信息系统安全管理制度，片以文档形式表选，经信总安全领导小组讨论逆过，由信息安金领导小组负责人批发布：信息系统安企管理制度文档的发布应注明密级，对泌密的信息系统安全管理制度的制定应在相应范围内进行：
e）专控保护的安全管理制度制定：在d)的基础上，必要时，应征来组织机构的保密管理部门的意见，或者共同制定，
GB/T20269—2006
5.1.3策略与制度文档管理
5.1.3.1策略与制度文档的评审和修订策略与制度文档的评审和修订，不同安全等级应有选择地满足以下要求的一项：iKNiKca
a）基木的评审和修订：应山分管信息安全的负责人和安全管理人员负责文档的评审和髂订：应通过所记录的安全事故的性质、数量以及影响检查策略和制度的有效性，评价安全管理措施对成本及应用效率的影响，以及技术变化对安全管理的影响，经评市，对存在不足或需要改进的策略和制度应逃行修订，并按规定程序发布。6）较完整的评审和修订：应由分管信息安全的负责人和信息安全职能部门负资文档的评审和修订：应定期或阶段性中查策略和制度存在的缺陷，并在发生再大安全事故、山现新的漏洞以及机构或技术基础结构发生变更肘，对策略和制度进行相应的评审和修订：对评市后需要修订的策略和制度文档，应明确指定人员限期完成并按规定发布。体系化的评审和修订：应由信息安全领导小组和信息安全职能部门负责文档的评审和修订：应对安全策略和制度的有效性进行程序化、周期性评审，并保留必要的评审记录和依据；每个策略和制度文档应有相应责任人，根据明确规定的评审和修订程序对策略进行维护。d）强制保护的评审和修订：应由信总安全领导小组和信总安全职能部门的专门人员负责文档的评审和修订，必要时可征求信息安全监管职能部门的意见；应对安全策略和制度的有效性进行程序化、周期性评审，并保留必要的评审记录和依据；每个策略和制度文档应有相应贵任人，根据明确规定的评审和修订程序对策略进行维护；对涉案的信息安全策略、规章制度和相关的操作规程文档的评审和修订应在相应范周内进行。e）专挖保护的评审和修订：在d)的基础上，必要时请组织机构的保密管理部门参加文档的评审和修订，应征求国家指定的专门部门或机构的意见；应对安企策略和制度的有效性及时进行专项的评审，并保留必要的评审记录和依据。5.1.3.2策略与制度文档的保管
对策略与制度文挡，以及相关的操作规程文档的保管，不同安全等级应有选择地满足以下要求的一项：
指定专人保管：对策略和制度文档，以及相关的操作规程文档，应指定专人保管；ay
b）借阅审批和登记：在a)的基础上，借阅策路和制度文档，以及相关的操作规程文档，应有相应级别负责人审批和登记，
限定借阅范围：在b)的基础上，借阅策略和制度文挡，以放相关的操作舰程文档，应限定借阅范围，并经过相应级别负责人审批和登记：）全而严格保管：在的基础上，对沙密的策脐和制度文档，以及相关的操作规程文挡的保替应按照有关涉密文档管理规定进行；对保管的文档以及借阅的记录定期避行检查；e）专控保护的管理：在d)的基础上，应马相关业务部门协商制定专项控制的管理措施。5.2机构和人员管理
5.2.1安全管理机构
5.2.1.1建立安全管理机构
在组织机构中应建立安企管理机构，不同安全等级的安全理机构应有选择地满足以下要求的一项：
配备安全管理人员：管理层中应有一人分管信息系统安全工作，并为信息系统的安全管理配备a)
专职或兼职的安全管理人员；
b）建立安全职能部门：在&)的基础上，应建立管理信息系统安全工作的职能部门，或者明确指定一个职能部门兼管信息安全工作，作为该部门的关键职责之一；c）成立安全领导小组：在h)的基研上，应在管现层成立信息系统安全管理委员会或信息系统安6
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。