2、等级保护中的安全管理

2.1安全管理基本要求

等级保护制度是根据国家等级保护管理规定，等级保护包含技术和管理两个方面。其中安全管理要求分为五个方面：安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。这五个方面贯穿了信息系统的全生命周期。其具体要求内容随着安全级别越高，要求的强度越高。

(1)安全管理制度

从建立安全管理制度的角度，要求对日常管理形成管理制度，并进行适当的维护。

(2)安全管理机构

要求建立具有明确职责的信息安全管理机构，并做好具体分工。

(3)人员安全管理

对人员的录用、离岗、考核、教育及外部人员的安全进行规范。

(4)系统建设管理

从系统生命周期角度，对系统的设计、采购、实施等角度对信息系统进行安全管理。

(5)系统运维管理

在系统运维过程中，对系统运行过程中的全部安全问题进行管理。

2.2等级保护基本要求

等级保护的基本要求分为技术和管理两个方面，在实际的技术要求中，亦涉及到了管理的内容，比如在物理安全层面中对机房的管理、主机安全等层面中对安全审计的要求等，因此，等级保护中的管理与技术两大类是密不可分的，其具有相互关联性，能够在某些方面互相弥补。是一个统一的整体。

3、信息安全管理体系与等级保护管理要求的关系

信息安全管理的目标是保证信息系统资产的安全，不论是何种管理制度，其保护的对象都是信息和信息系统。因此，信息安全管理体系与等级保护的管理其最终目的都是一样的，但是等级保护要求中将管理要求与技术要求进行了区分，因此信息安全管理体系中所包含的管理内容更加全面。本文就具体内容进行分析。

信息安全管理体系中，信息安全方针的管理与等保管理要求中的“安全管理制度：管理制度”的要求相同。

在信息安全组织类中，信息安全管理的承诺对应“安全管理机构：岗位设置”、“安全管理制度：制定和发布”;信息安全协调对应“安全管理机构：沟通和合作”;信息安全职责的分配对应“安全管理机构：岗位设置”;信息处理设施的授权过程对应“系统建设管理：产品采贿私使用”，保密性协议对应“人员安全管理：人员录用”，与政府部门的联系对应“安全管理机构：沟通和合作”，与特定利益集团的联系对应“安全管理机构：沟通和合作”，信息安全的独立评审对应“安全管理制度：制定和发布”，与外部各方相关风险的识别、处理与顾客有关的安全问题对应“人员安全管理：外部人员访问管理”，处理第三方协议中的安全问题对应“系统建设管理：安全服务商选择”。

在资产管理安全类中，资产清单、资产责任人、资产的合格使用、信息分类指南、信息的标记和处理对应“系统运维管理：资产管理”。

人力资源安全类中，任用前的角色和职责对应“安全管理机构：人员配置”、“安全管理机构：岗位设置”，任用前的审查、任用条款和条件、人员任用中的管理职责对应“人员安全：人员录用”，信息安全意识、教育和培训对应“人员安全管理：安全意识教育和培训”，纪律处理过程对应“人员安全管理：人员考核”，任用终止职责、资产的归还、撤销访问权对应“人员安全管理：人员离岗”。

物理安全管理类中，大部分内容对应等级保护要求中的“物理安全”层面，其中物理安全边界、物理人口控制、办公室、房间和设施的安全保护、在安全区域工作、支持性设施、资产的移动对应“系统运维管理：环境管理”，设备维护、组织场所外的设备安全对应“系统运维管理：设备管理”，设备的安全处置和再利用对应“系统运维管理：介质管理”。

在通信和操作管理安全类中，文件化的操作程序对应“安全管理制度：管理制度”中日常操作规程的要求，变更管理对应“系统运维管理：变更管理”，系统操作的责任分割对应“安全管理机构：人员配置”，开发、测试和运行设施分离对应“系统建设管理：自行软件开发”，第三方服务交付对应“系统建设管理：系统交付”，第三方服务的监视和评审对应“系统建设管理：工程实施”中关于实施过程管理、建立等方面的要求，第三方服务的变更管理对应“系统运维管理：变更管理”中关于系统变更的控制，系统容量管理对应“系统运维管理：系统安全管理”中关于系统容量的要求，系统验收对应“系统建设管理：测试验收”和“系统建设管理：系统交付”，控制恶意代码、控制移动代码对应“系统运维管理：恶意代码防范”，信息备份对应“系统运维管理：备份与恢复管理”，网络控制对应“系统运维管理：网络安全管理”，网络服务安全对应的是等级保护技术要求中的网络安全层面，可移动介质的管理、介质的处置对应“系统运维管理：介质管理”，系统文件安全对应“系统运维管理：系统安全管理”，审计日志对应“系统运维管理：系统安全管理”，监视系统的使用对应“系统运维管理：监控管理和安全管理中心”，另外一些如日志信息的保护、管理员和操作员日志、故障日志、时钟同步、电子消息发送、业务信息系统、电子商务、在线交易等对应到等级保护要求中的“主机安全”、“应用安全”、“数据安全”等多个瑟面。

在访问控制安全类里面，大部分都对应着等级保护要求的“主机安全”、“应用安全”、“网络安全”中的“访问控制”控制点，另外，访问控制策略对应“系统运维管理：系统安全管理”，网络连接控制对应“系统运维管理：网络安全管理”。

系统安全要求分析和说明对应“系统建设管理：安全方案设计”，密钥管理对应“系统运维管理：密码管理”，变更控制程序、操作系统变更后应用的技术评审对应“系统运维管理：变更管理”，外包软件开发对应“系统建设管理：外包软件开发”，技术脆弱性的控制对应“系统运维管理：网络安全管理”和“系统运维管理：系统安全管理”中关于系统漏洞及补丁的要求。

在信息安全事件管理的安全类里面，报告信息安全事态、报告安全弱点、职责和程序、对信息安全事件的总结、证据的收集都对应着“系统运维管理：安全事件处置”。

在业务连续性管理安全类中，主要对应等级保护要求中的“系统运维管理：应急预案管理”，但是业务连续性管理中提到了要进行风险评估，并根据评估结果开发连续性计射，这与等级保护政策中开展等级测评，并根据测评结果进行信息系统改建的要求是相一致的。

在符合性要求类中，主要涉及等级保护要求中的“安全管理机构：审核和检查”及一些技术要求。

4、结束语

信息安全管理体系的建立是为了保障组织的信息和信息系统的安全，与等级保护的最终目标是一致的，虽然信息安全管理体系的名为管理，实际上涵盖了所有对技术实施方面的要求，是一个综合的管理体系。等级保护基本要求中的管理要求是按照组织实施管理过程的五个基本方面来进行约束的，对组织的信息安全、提供服务迸行保障。两者之间既有区别又有联系，但是其最终目的都是为了保障组织的信息安全。

(责任编辑：)