GBT 20274.2-2026《网络安全技术 信息系统安全保障评估框架 第2部分：安全保障要求》

1网络安全技术信息系统安全保障评估框架第2部分：安全保障要求本文件确立了信息系统安全保障评估框架和安全保障能力等级，规定了技术保障组件和管理保障组件的要求。本文件适用于指导信息系统建设者、运营者和评估者等开展信息系统安全保障相关工作。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T20274.1信息安全技术信息系统安全保障评估框架第1部分：简介和一般模型GB/T35273信息安全技术个人信息安全规范GB/T37964信息安全技术个人信息去标识化指南GB/T37988信息安全技术数据安全能力成熟度模型GB/T42460信息安全技术个人信息去标识化效果评估指南GB/T43697数据安全技术数据分类分级规则GB50174数据中心设计规范3术语和定义基本实践basepractices在信息系统安全保障过程中，为了达成特定目标而执行一系列标准、规范或其他相关基础的活动。4信息系统安全保障评估框架4.1安全保障评估模型在GB/T20274.1给出的信息系统安全保障模型的基础上，细化了保障要素，完善了信息系统安全保障评估框架，如图1所示。25持5持续改进级4量化控制级3充分定义级2计划跟踪级1基本执行级保障要素物理与环境安全类规划管理合规检查攻防演练系统与通信保护类[数据安全类生存周期图1信息系统安全保障评估模型保障要素贯穿于生存周期的全过程，基于原有技术、管理和工程三个层面划分为技术保障组件和管理保障组件两大类。b)管理保障组件主要侧重组织在规划、建设或运营信息系统时应具备的保障能力组件描述，在组织建设、制度流程、技术工具、人员能力及数据资源等五个能力维度的基础上从安全管理类、安全工程类和安全运营类对管理保障组件进行了描述。保障组件的描述采用类-族-组件的形式表示，表示方式符合以下规定。a)每个类都有一个唯一的名称，类别信息由三个字符的简称组成，类的简称也用于该类中族的简称规范中。c)每个族包含一个或多个组件，每个组件也有一个唯一的名称，名称反映了组件的用途，组件的简称是在类名和族名简称基础上补充阿拉伯数字进行标识，反映出组件所属的类和族，以及在族中组件的编号。保障能力等级是指组织在保护其信息系统免受各种安全威胁方面所具备的能力水平和发展程度，反映了组织在信息系统安全保障方面的综合实力，是评价信息系统安全保障能力的一个重要指标。保障能力等级划分为五个等级，从低到高依次为：基本执行级、计划跟踪级、充分定义级、量化控制级和持续改进级。保障能力等级的基本特征见表1。表1保障能力等级基本特征能力成熟度等级随机、无序、被动地实现基本实践，依赖个人经验，无法复制建立了量化目标，基本实践的实现能进行度量与预测能根据组织的整体目标，不断改进和优化实现基本实践4.2保障能力等级确定针对不同类型的特定信息系统，建设者或运营者可依据其系统特点、环境因素及风险要素等方面综合分析，形成特定信息系统的安全保障目的，依据安全保障目的分别从技术保障组件中抽取适用于特定信息系统的组件并进行相应的赋值和选择等操作，形成特定信息系统安全技术保障要求。同时基于安全保障目的从管理保障组件抽取适用的保障能力等级组件形成特定信息系统安全管理保障要求。如已有技术保障组件和管理保障组件不能满足特定信息系统的安全保障要求，建设者或运营者可在类和族的框架下扩展相应的族和组件，补充形成特定信息系统安全保障要求，如图2所示。特定信息系统安全保障能力等级的确定需要综合两方面因素，一是依据特定信息系统技术保障要求，评估其技术保障的充分性，二是依据特定信息系统管理保障要求，评估其管理保障的符合性。两方面都达到要求，才可认定信息系统满足相应的保障能力等级。扩展组件抽取抽取图2特定信息系统安全保障能力等级确定45信息系统安全保障能力等级5.1能力维度5.1.1能力维度构成信息系统安全保障能力维度包含：c)技术工具：信息系统安全保障能力的成功执行依赖的一系列技术和工具；d)人员能力：组织承担信息系统保障的人员应具备的安全意识及专业能力；e)数据资源：信息系统安全保障能力执行过程中所产生或消费的安全数据、知识和信息。5.1.2组织建设a)组织架构对组织业务的适用性；b)组织承担的工作职责的明确性；c)组织运作、沟通协调的有效性。5.1.3制度流程a)信息系统安全保障关键控制节点授权审批流程的明确性；b)相关制度流程的制定、发布、修订的规范性；c)制度流程实施的一致性和有效性。从组织用于开展信息系统安全保障工作的安全技术、应用系统和工具出发，根据以下方面进行能力等级区分：a)网络安全技术在信息系统安全保障活动中的利用情况，应对网络安全风险的能力；b)利用技术工具对信息系统安全保障工作的自动化支持能力，对信息系统安全保障制度流程固化执行的实现能力。5.1.5人员能力a)人员所具备的信息系统安全保障技能满足实现安全保障目标的能力要求(对信息系统安全保障业务的理解程度以及专业能力);b)信息系统安全保障人员的信息安全意识以及对关键岗位员工网络安全能力的培养。5.1.6数据资源从组织开展信息系统安全保障工作所需关注的安全数据、知识、信息的状态出发，根据以下方面进行能力等级区分：5a)信息系统安全保障数据资源记录与收集的完整性、可利用性和关联性；5.2基本执行级5.2.1能力等级描述信息系统安全保障的基本实践通常被执行，但基本实践的执行可能未经严格的计划和跟踪，而是基于个人的知识和努力。安全管理、工程、运营、技术保障基本实践的实施缺乏系统性和规范性。b)缺乏系统性和规范性：信息系统安全保障的一致性、性能和质量会因缺乏适当控制而存在极大的差异。5.2.2组织建设仅在部分业务场景中根据临时需求建立信息系统安全保障的临时岗位和人员，未形成成熟和稳定的专职/兼职的岗位和人员。安全保障的组织机构未经严格的计划和跟踪。5.2.3制度流程仅在部分业务场景中根据临时需求建立信息系统安全保障的制度流程，未形成成熟和稳定的安全保障制度流程，多为对特定业务需求的响应而触发。安全保障的制度流程未经严格的计划和跟踪。5.2.4技术工具仅在部分业务场景中根据临时需求部署信息系统安全保障的技术工具，未形成成熟和稳定的技术工具来支撑信息系统安全保障工作，执行效果未经规范化的测量或验证。从事信息系统安全保障工作的临时人员具备普通安全保障意识，仅能支撑部分业务场景工作，人员能力未得到有效保障，未对人员能力进行考核验证。5.2.6数据资源5.3计划跟踪级5.3.1能力等级描述信息系统安全保障基本实践的执行是经过计划并被跟踪的，并对实践情况进行验证。组织机构初步建立了部分文档化规程体系，制定了一些初步的目标。安全管理、工程、运营、技术保障基本实践开始具有一定的计划性和跟踪性，但仍需进一步完善。该能力级别与基本执行级的主要区别是基本实践过程的执行被规范地计划和管理。该能力级别公共特征如下。a)规划执行：对过程执行进行规划，涉及分配资源、指派责任、编制过程文档、提供工具、实施培6训、计划过程，为规范化的过程执行提供了最根本的基础。b)规范化执行：对过程执行进行规范化管理，使用过程执行计划、执行标准和规程，实施配置管理。d)跟踪执行：跟踪过程实施、采取修正措施，包括：执行计划、组织架构、制度流程、技术工具及人员能力等的变更和调整。5.3.2组织建设基于信息系统安全保障的内容，规划并设立规范化的安全保障机构及安全保障岗位，该岗位人员负责制定和落实组织机构内部的安全保障要求。5.3.3制度流程建立信息系统安全保障制度流程，将安全保障制度流程形成标准化文档，并按规划方式执行，并使用文档化的计划、标准指导执行过程。将安全保障制度流程实施管理，进行版本控制和/或变更控制，并对制度流程进行验证，定期检查跟踪制度流程执行的状态，并建立对制度流程的测量历史记录。5.3.4技术工具为执行安全保障提供合适的技术工具，并基于版本控制和配置管理确保安全保障过程的自动化执行。同时应对技术工具进行验证，定期进行跟踪，检查技术工具的状态，并建立对技术工具的测量历史记录。对安全保障人员规划适当的培训，使其具备安全保障风险管理知识，以及规范化执行安全保障过程的能力。制定人员能力的验证计划，对人员能力定期进行考核。5.3.6数据资源制定数据资源收集与利用的方法和流程，配备数据资源收集与利用所需的基础设施，按照组织既定计划实施数据资源记录与收集，基本实现由技术手段进行自动化采集分析和关联处置。同时应对数据资源收集与利用进行验证，定期进行跟踪，检查收集方法以及数据分析手段、利用情况，并建立对数据资源收集分析利用的历史记录。5.4充分定义级5.4.1能力等级描述信息安全保障基本实践已形成体系化、规范化的文档规程作为工作指导，定期主动开展安全检查，并且建立了业务系统内、各业务系统之间、组织机构外部活动的协调机制。安全管理、工程、运营、技术保障基本实践已经形成了明确的规范和标准，并得到了有效执行。该能力级别与计划跟踪级的主要区别是使用组织范围的标准的过程来计划和管理过程。该能力级别公共特征如下。7c)协调安全实践：对不同业务系统和组织活动间的安全保障过程建立协调机制，包括执行组内协调、执行组间协调、执行外部协调机制。5.4.2组织建设组织设立了明确的系统安全保障机构、岗位和人员，实现对安全保障机构、人员的角色及其职责分配，并建立完备有效的工作考核机制。安全保障人员主要负责建立有效的安全保障机制，包括但不限于建立组织机构统一的安全管理策略、制度和流程，并提供面向组织机构整体的技术标准解决方案。安全保障人员与具体网络安全相关的部门(如业务部门、数据安全部门、保密部门等),以及与组织机构外部共同合作，建立有效的沟通和推进机制，保证安全保障组织机构相关标准的统一执行。5.4.3制度流程参考相关的安全管理体系，建立了适用于组织机构自身的与安全保障相关的制度流程。包括但不限于：与组织机构结构和业务相一致的安全策略、具有明确管控要求的制度、用于相关管控要求的流程、指导整体工作执行的实施指南等。组织机构针对安全保障相关制度流程建立标准的培训和宣传方案，保证与具体安全保障过程相关的人员在对制度流程的理解上的一致性，并针对制度流程进行专门的缺陷复查和规避。安全保障的制度流程能协调业务系统内、组织机构的不同业务系统之间以及与组织机构外部之间以统一的标准来进行安全保障。5.4.4技术工具建立安全保障过程相关的在线化技术工具，固化并记录相关的流程。在组织机构内部建设、部署安全保障技术产品，强化安全控制，并基于具体的业务场景实现对安全保障技术产品的有效运营，以保证产品功能对组织机构的业务场景的适用性。安全保障的技术工具能协调业务系统内、组织机构的不同业务系统之间以及与组织机构外部之间以统一的标准来实现信息系统安全保障。5.4.5人员能力安全保障人员应具备信息系统安全保障资质和工程实践经验，充分理解组织机构在具体安全保障过程中面临的安全风险，具备风险控制和改进方案的能力，能有效执行已定义的安全保障过程，并通过考核、复查和培训等方式，对能力上的不足进行补齐。5.4.6数据资源制定信息系统安全保障数据资源收集与利用的标准规范，能实现信息系统安全保障数据资源收集的系统化、标准化，实现由技术手段进行统一的采集分析和关联处置。数据资源收集应满足以下要求。8b)规范收集方法的专业性：掌握多种专业的数据收集技术和工具，如网络爬虫、数据采集器、传感器技术等，能根据不同的数据来源和特点选择合适的收集方法，确保数据的准确性和及时性。c)注重数据质量的管控：在数据收集过程中，严格遵循数据质量标准，采用数据验证、数据清洗等技术手段，及时发现并纠正数据中的错误和异常，确保收集到的数据具有较高的质量。5.5.1能力等级描述该能力级别与充分定义级的主要区别是量化地理解和控制既定的过程。该能力级别公共特征如下。b)客观地管理执行：量化地确定已定义过程的过程能力，在过程的执行没有达到其过程能力的情况下采取适当的纠正措施。5.5.2组织建设组织机构应明确定量的信息系统安全保障要求，将安全目标分解落实到安全保障相关的机构职责及岗位职责中，以利于安全目标的可测量、可执行。5.5.3制度流程在制度流程中制定收集和评估安全保障的方法，对各项安全保障工作的执行情况及其效果进行客观的评估。当制度流程未按定义执行时，识别出现偏差的原因，并制定出适当的纠正、预防措施，提出何时和采取何种修正行动，从而反馈到相关制度流程的内容修订上。5.5.4技术工具根据定量的安全目标，对技术工具提出相应的功能和性能需求。在已有的技术工具的基础上实现对关键安全保障能力的量化控制。技术工具应支持在安全保障活动过程中自动化、智能化，并对结果进行展示。当技术工具未按定义执行时，识别出现偏差的原因，从安全要求、工具执行的有效性方面进行持续的跟踪和效果评估，从而反馈到相关技术工具的完善和更新上。对安全保障人员能力建立量化的衡量指标，定期进行培训、考核等。岗位的安全保障人员应具备客观地量化执行安全保障工作的意识，具备采用相关方法和工具开展安全保障工作的资质及能力。5.5.6数据资源对数据资源的收集利用建立可量化的安全目标，明确具体的数据资源收集的准确性、及时性、完整95.6持续改进级5.6.1能力等级描述信息系统安全保障基本实践重点根据量化验证反馈来保证对安全目标进行持续过程改进。基本实践更多引入自动化机制，持续优化调整信息系统安全保障工作体系和文档规程，并能根据实际情况动态灵活调整。安全管理、工程、技术保障基本实践已经形成了一个持续改进和优化的闭环，能不断适应外部环境的变化和内部需求的发展。该能力级别与量化控制级的主要区别是根据量化理解这些过程变更的影响和原因，连续地细化和改进既定过程和标准过程，以改善流程绩效，达成已建立的量化流程改善目标。该能力级别公共特征如下。a)改进组织能力：关注标准过程在整个组织机构范围内的使用情况，分析和标识产生缺陷的原因，寻求对组织架构的变更和能力提升，以更好地适应业务目标和规划。b)改进过程有效性：对标准过程的持续监控和有效性评价，实施缺陷的原因分析，消除已定义过程缺陷的根源，持续改进已定义过程。5.6.2组织建设能分析和消除组织架构的设置上的不足，通过分析与国内外领先的信息系统安全保障管理理念的差距，提出对组织架构的可能改进目标，并持续改进组织架构的设置，进行及时调整以促进业务发展。5.6.3制度流程持续跟踪信息系统安全保障领域的最佳实践和业务的最新动向，预先判断信息系统所面临的风险，并在制度流程上进行持续性的优化，从而提高过程有效性。对制度流程进行持续监控，并对制度流程的执行效果进行有效性评价，分析并消除制度流程上的缺陷，并提出持续改进的制度流程。5.6.4技术工具能分析技术工具执行效果上的不足，建立改进目标，标识出对技术工具的改进点，分析对技术工具的可能变更。基于信息系统安全保障的最新进展以及组织机构积累的安全保障技术能力，结合业务发展的实际情况引入先进的智能化技术工具提升安全保障的有效性。5.6.5人员能力能分析人员能力上的不足，标识出对人员能力的改进点，建立改进目标，针对性开展人员专业技能培训等。5.6.6数据资源能突破常规思维，挖掘数据资源的潜在价值，创新推动数据资源的高效利用，持续探索数据资源之间的关联性，促进组织业务安全发展。技术保障组件侧重信息系统自身具备的安全功能描述，是信息系统安全保障不可或缺的一个方面，体现的是信息系统自身具备的安全防护能力。技术保障组件分为系统与通信保护类、访问控制类、标识与鉴别类、数据安全类、安全审计类、物理与环境安全类等六类。6.2系统与通信保护类(SCP)6.2.1边界防护(SCP_BSP)SCP_BSP.1受控接口通信SCP_BSP.2规范边界防护SCP_BSP.3通信监控与处置SCP_BSP.3.3网络安全边界防护设备应对内部用户非授权联到外部网络的行为进行[选择：限制、检查]。SCP_SZP.1基本安全域划分SCP_SZP.2安全域隔离SCP_SZP.3分级安全域划分SCP_MCP.1恶意代码防范管理SCP_MCP.2恶意代码检测SCP_MCP.4恶意SCP_MCP.5恶意代码更新SCP_MCP.6高级威胁防护SCP_IPS.1入侵检测功能SCP_IPS.2入侵防御功能止网络攻击行为。SCP_IPS.3入侵响应机制SCP_IPS.4访问控制SCP_IPS.5补丁管理SCP_IPS.6端口管理SCP_IPS.7最小化安装SCP_CPP.1通信完整性保护SCP_CPP.2通信机密性保护SCP_CPP.3通信身份认证和通信会话真实性进行验证。SCP_CAM.1使用和管理SCP_CAM.2密码应用安全性评估SCP_VTS.1虚拟化监控器保护SCP_VTS.2虚拟机安全SCP_VTS.2.1应为虚拟机的执行提供一个虚拟安全域，保证虚拟域不被不可信主体或外部IT实体干扰和篡改。SCP_VTS.3虚拟化通信安全6.3访问控制类(FAC)6.3.1账号管理(FAC_ATD)FAC_ATD.1账户属性定义FAC_ATD.1.2系统应确保账户属性信息的完整性和保密性，防止未授权修改或泄露。FAC_ATD.2账户信息管理FAC_ATD.2.4创建账户的请求应获得[赋值：组织定义的人员或角色]的批准。FAC_ATD.3自动化账户管理FAC_ATD.4账户监控管理6.3.2访问控制(FAC_ACT)FAC_ACT.1安全属性访问控制FAC_ACT.2信息流控制[赋值：其他信息流控制规则]]控制信息流。FAC_ACT.3基于角色的访问控制FAC_ACT.3.1系统应基于[选择：定义角色及其对应的权限集、将用户分配到适当的角色、[赋值：角色继承或冲突解决策略]]实现基于角色的访问控制机制。FAC_ACT.4.3系统在基本业务或功能不需要时，应禁用无线功能，降低恶意人员利用无线技术进行威胁的可能性。FAC_ACT.4.4系统在基本业务或功能需要使用无线技术时，应建立无线接入的配置要求、连接要求和实施指南；在允许此类连接之前，授权每种类型的无线接入系统；使用[选择：用户；设备]的身份验证和加密来保护对系统的无线访问；识别并明确授权用户独立配置无线网络功能。FAC_ACT.5设备访问限制FAC_ACT.6远程访问6.3.3权限管理(FAC_MOF)FAC_MOF.1安全功能管理FAC_MOF.2安全数据管理FAC_MOF.2.2系统应记录访问控制策略数据访问和修改的审计信息。FAC_MOF.3安全属性管理FAC_RUC.1资源利用控制6.4标识与鉴别类(FIA)6.4.1用户标识(FIA_UID)FIA_UID.1用户标识的时机FIA_UID.2用户标识关联FIA_UID.3用户标识安全FIA_UID.3.2应提供访问[选择(一个或多个):特权账户、非特权账户]的抗重放身份验证机制。6.4.2身份鉴别(FIA_UAU)FIAUAU.1鉴别的时机FIA_UAU.2鉴别信息的安全FIA_UAU.3多重鉴别FIA_UAU.4受保护的鉴别反馈FIA_SOS.1秘密规范的验证和生成FIA_SOS.1.1应提供一种机制以验证秘密满足[赋值：一个既定的质量度量要求],如基于口令的鉴别数据的长度、复杂度等强度要求，基于硬件令牌的鉴别数据的令牌安全质量要求等。FIA_SOS.1.2应提供一种机制以生成满足[赋值：一个既定的质量度量]的秘密[赋值：秘密机FIA_SSM.1会话锁定或终止FIA_SSM.2并发会话建立6.4.6设备标识与鉴别(FIA_DIA)FIA_DIA.1设备标识与鉴别处理6.5数据安全类(FDS)FDS_DCG.1.2能对[选择：结构化数据，半结构化数据，非结构化数据，[赋值：其他数据类型]]数据类型进行内容识别。FDS_DCG.2数据分类分级6.5.2数据安全监测与审计(FDS_DMA)FDS_DMA.1安全监测FDS_DMA.2安全分析FDS_DMA.3安全响应FDS_DMA.4数据安全监测与审计处理FDS_DMA.4.2数据安全监测与审计提供开放、标准、可机读的数据输出接口/格式，满足第三方[选择：在线、离线]获取审计数据的要求6.5.3数据加密(FDS_DEN)FDS_DEN.1加密算法FDS_DEN.2密钥管理FDS_DEN.2.2密钥长度、复杂度、安全保障符合国家密码管理局相关规定。FDS_DEN.3数据加密处理FDS_DSB.1隔离防护FDS_DSB.1.1沙箱运行环境应与宿主系统隔离，防止宿主系统进程非法访问沙箱。FDS_DSB.2沙箱访问控制FDS_DSB.3数据安全沙箱审计FDS_DSB.4数据安全沙箱处理6.5.5数据脱敏(FDS_DDE)FDS_DDE.1数据分类分级FDS_DDE.2脱敏算法FDS_DDE.3脱敏响应FDS_DDE.4数据脱敏处理6.5.6数据防泄露(FDS_DLP)FDS_DLP.2安全响应FDS_DLP.2.1应对数据采取安全响应措施，基于数据分类分级对数据采取措施[选择：记录日志、FDS_DLP.3数据防泄露处理6.5.7去标识化与匿名化(FDS_DID)FDS_DID.1数据识别FDS_DID.3匿名化响应FDS_DID.4去标识化和匿名化处理FDS_PCO.1隐私计算方法FDS_PCO.2算法与模型安全6.5.9数据备份与恢复(FDS_DBR)FDS_DBR.2备份数据安全FDS_DBR.3数据恢复安全FDS_DBR.3.1应保持数据恢复的可恢复性，定期进行数据恢复测试，验证备份数据的可恢复性和恢复流程的有效性。FDS_DBR.3.2数据恢复的过程进行安全审计，记录数据恢复过程中的所有关键操作和事件[选择：6.5.10数据销毁(FDS_DDT)FDS_DDT.1数据销毁方法FDS_DDT.2数据销毁安全控制FDS_DDT.2.3通过数据恢复技术对已销毁的数据进行恢复，验证数据销毁的有效性。FDS_DDT.3数据销毁处理6.6安全审计类(FAU)6.6.1安全审计记录(FAU_GEN)FAU_GEN.1审计数据产生a)审计功能的开启和关闭；b)[赋值：对信息系统定义的可审计事件],如系统管理操作行为、安全事件等；FAU_GEN.1.3对于已标识身份的用户的行为所产生的审计数据，能将每个可审计事件与引起该事件的用户身份相关联。FAU_GEN.2审计失败响应6.6.2安全审计事件存储(FAU_STG)FAU_STG.1审计数据存储FAU_STG.2审计数据保护6.6.3安全审计查阅(FAU_SAR)FAU_SAR.1审计查阅FAU_SAR.2审计事件选择FAU_SAR.2.1能根据以下属性从所有审计事件集合中选择可审计的事件：b)[赋值：审计选择所依据的附加属性表]。6.6.4安全审计分析(FAU_SAA)FAU_SAA.1.2当检测到潜在的安全侵害时，应进行[赋值：执行措施]。和分析，以发现[赋值：已定义的不当或异常活动],并进行[赋值：执行措施],如向相关人员或角色FAU_SAA.1.4可提供审计分析报告。FAU_STM.1可靠的时间戳6.7物理与环境安全类(FPE)6.7.1场地安全(FPE_FSM)FPE_FSM.1机房选址要求FPE_FSM.2机房规划要求FPE_FSM.3户外设备位置要求FPE_FSM.4基础设施位置要求6.7.2环境控制(FPE_ECM)[赋值：指定的用户或角色]。FPE_ECM.4FPEECM.4.2应提供[赋值：组织定义的应急供电措施]满足设备在断电情况下的正常运行要FPE_ECM.4.6应配备和维护自动应急照明系统，在停电时自启动，并覆盖紧急出口和疏散路线。6.7.3设备安全(FPE_DSM)FPE_DSM.1设备防护FPE_DSM.1.2应保护机房内设备、电力电缆和通信线缆免受损坏和破坏，应将机房内设备或主要部件进行固定，并设置明显的不易除去的标识。FPE_DSM.2静电防护FPE_DSM.3雷电防护FPE_DSM.4电磁防护6.7.4物理访问控制(FPE_ACM)FPE_ACM.1访问控制授权定义的运营区域]的授权人员名单。FPE_ACM.2访问控制措施FPE_MAM.1监控报警6.7.6物理攻击保护(FPE_PAP)FPE_PAP.1物理攻击的被动检测FPE_PAP.2物理攻击报告FPE_PAP.3物理攻击抵抗FPE_PAP.3.1系统应通过自动响应以抵抗对[赋值：系统设备/元件列表]的[赋值：物理侵害管理保障组件侧重组织层面保障信息系统安全的保障要素，围绕组织建设、制度流程、技术工具、人员能力和数据资源等能力维度划分为五个不同的能力等级。高能力等级要求在满足低能力等级要求的基础上开展，信息系统整体的保障能力等级通过综合技术保障组件的充分性与管理保障组件的符合性进行判定。7.2安全管理类(ASM)ASM_PM.1基本执行ASM_PM.2计划跟踪ASM_PM.2.1组织建设：组建固定安全规划团队，由专人负责规划的全周期跟踪，明确团队内部分工，并建立跨部门协作机制。ASM_PM.2.2制度流程：制定安全规划管理制度和流程，明确规划周期、内容框架及评审流程，建立规划版本控制机制，记录规划变更决策过程。ASM_PM.3充分定义ASM_PM.3.3技术工具：部署定制开发的规划管理系统，集成需求分析、风险评估与资源分配模块，对业务部门和信息技术部门的网络及数据安全需求进行深入分析和评估，形成需求分析报告，为规划制定提供有力支持。临时开展专业培训。ASM_PM.4量化控制ASM_PM.4.1组织建设：成立战略规划委员会，定期评审规划与业务目标的匹配性，量化评估规划执行偏差率。ASM_PM.4.2制度流程：建立安全规划执行情况的动态监测体系，实时收集和分析相关数据，对规划执行过程中的偏差和问题进行及时预警和处理，确保规划的顺利实施。ASM_PM.4.3技术工具：部署自动化安全规划平台，支持实时数据采集、动态调整及风险预警等功能，运用数据分析和预测模型，对安全趋势进行预测和分析，为规划的调整和优化提供科学依据，提高规划的前瞻性和适应性。ASM_PM.4.4人员能力：团队成员具有全面的网络安全知识及安全规划经验，每季度开展专业培训，内容涵盖新技术趋势、规划方法论及工具操作。ASM_PM.5持续优化ASM_PM.5.1组织建设：成立跨领域优化委员会，统筹技术、业务及安全部门协同创新，设立外部专家咨询委员会，引入行业权威参与规划评审。ASM_PM.5.2制度流程：建立动态规划调整机制，实现安全策略与业务变化的实时协同，建立闭环优化流程，结合反馈机制定期修订规划方案。ASM_PM.5.3技术工具：建设智能化决策平台，实现安全规划管理的动态优化、威胁预判与自演进能力，推动从人工经验驱动向数智融合决策。ASM_PM.5.5数据资源：建设行业规划共享数据库，实现跨组织威胁情报交换，设立专项创新基金，支持新技术试点及国际合作项目。ASM_SAM.1基本执行ASM_SAM.1.2制度流程：基于事件驱动，临时性开展资产识别活动或判定资产的重要性等级，未形成固定流程，无明确资产分类标准，仅形成基本的资产登记表。ASM_SAM.1.5数据资源：基于人工操作收集记录的资产信息，包括资产的基本属性和资产重要性等级。ASM_SAM.2计划跟踪a)初步具备基本的资产管理团队，可专职或兼职，明确团队成员职责；b)团队中明确资产识别负责人、分类分级负责人、变更控制负责人。a)制定资产识别机制，明确识别对象、方法和内容，识别和确认资产指纹信息，明确资产重要性判定规则；c)制定资产变更控制流程，明确资产变更各环节的控制措施，对资产信息变更风险进行评估。ASM_SAM.2.3技术工具：a)运用开源工具识别和管理资产，识别资产常规的指纹信息；b)运用开源工具定期维护资产信息变更，具备判断资产信息变更的能力。ASM_SAM.3充分定义b)资产管理部门与安全运营团队联合制定资产安全基线。ASM_SAM.3.2制度流程：a)制定资产管理制度，规范资产识别、管理和使用的行为，具备规范完善的分类分级标准与标识要求，覆盖规划、开发、运维、废弃的资产c)在计划的时间间隔或发生重大变化时及时开展资产识别工作，确保资产的安全性和合规性；d)制定资产变更管理要求，明确各类资产变更事项执行和审批流程，变更管理应覆盖资产全生命周期；e)根据资产的重要程度对资产进行标识管理，根据资产的价值选择相应的管理措施。ASM_SAM.3.3技术工具：a)使用定制化系统或平台识别和管理资产，如资产探测系统或平台；a)定期进行对资产管理专职人员系统知识及技能培训；b)资产管理专职人员具备自动化工具操作能力，熟悉资产全生命周期管理要求；c)具备资产数据分析能力，熟悉资产探测识别相关技术。ASM_SAM.3.5数据资源：ASM_SAM.4.1组织建设：a)设定识别准确率、识别效率等量化目标，持续开展资产识别准确率、识别效率等指标的跟踪与优化；b)建立动态调整机制与定期审查流程，跟踪资产和信息系统的变更情况，定期评估资产识别结果的准确性并组织开展资产再识别工作，确保资产管理的持续改进；d)定期审查并更新资产管理相关的制度，记录审核意见和变更日志。ASM_SAM.4.3技术工具：b)使用资产管理平台对资产进行动态监测，具备动态更新资产清单的能力，辅助开展资产全生命周期的管理。ASM_SAM.5持续改进ASM_SAM.5.1组织建设：设立资产战略规划岗，专职研究行业资产管理最佳实践与新兴技术，制定三年资产管理技术升级路线图。ASM_SAM.5.2制度流程：a)结合组织的整体安全目标、业务需求等因素优化资产识别机制，确保识别的针对性和有效性；b)建立资产管理问题反馈机制，梳理在资产管理中发现的问题，定期改进现有资产识别和管理制度、计划和措施、调整人才配置等制度问题；c)通过技术手段建立信息系统所支撑业务与资产的对应关系，动态识别业务依赖的资产变更情况；b)资产安全运营管理平台支持与网络安全运营平台进行数据联动，具备自主事件预警与应急响应能力。b)战略规划岗人员具备资产管理战略规划能力，能制定技术升级路线，并协调资源推动实施。7.2.3配置管理(ASM_ACM)ASM_ACM.1基本执行ASM_ACM.1.1组织建设：基线配置任务主要由临时调配的人员负责执行。ASM_ACM.1.2制度流程：配置管理主要依赖个人经验和习惯进行操作。ASM_ACM.1.3技术工具：使用手动方式记录配置信息，依赖基础文档工具进行管理。ASM_ACM.2计划跟踪a)指定专人负责配置管理工作；b)建立基础跨部门沟通渠道(如定期会议)。a)制定简单的配置管理流程，明确基线范围，包括服务器、网络设备等资产；b)识别和减少互联网和内网资产暴露面，如互联网协议地址、端口、应用服务等，压缩互联网出口数量；c)变更人工审批，针对关键变更有日志留存；d)不在公共存储空间(例如：代码托管平台、文库、网盘等)存储可能被攻击者利用的技术文a)引入版本控制工具或配置管理脚本，实现配置变更的版本化管理；b)建立和维护信息系统的基线配置和清单，包括硬件、软件、固件、网络结构等信息资产的配置参数。a)针对配置管理相关岗位人员进行基础技能培训；b)配置管理人员具备规范执行配置管理工作的能力；c)配置管理人员已掌握工具操作方法，能独立进行基线配置操作。a)集中存储基线配置数据；b)具有配置专项存储空间。ASM_ACM.3充分定义a)具有配置管理专职岗位；b)制定跨部门协作机制，如变更审批小组；c)针对系统基线配置形成三线防御体系(操作/监督/审计职责分离)。ASM_ACM.3.2制度流程：a)制定基线配置管理规范和详细流程，内容包含安全配置、性能阈值等；c)定期针对系统配置基线进行合规性检查；d)对变更日志、测试报告、审批记录等进行结构化存储。a)引入自动化配置系统；b)根据组织的安全策略要求，制定信息系统的安全配置基线，为系统资产(网络安全设备、网络设备、操作系统和中间件等)设定安全配置策略，形成安全基线配置指导文档；c)集成配置管理数据库；d)对配置数据建立访问权限管理机制；e)对敏感配置项实施加密保护。a)对基线配置管理人员进行全面的基线配置培训；b)人员具备基线设计与审计能力。ASM_ACM.3.5数据资源：配备专用服务器，构建配置管理数据库系统，实现配置项全生命周期管理。7.2.3.4ASM_ACM.4a)建立专门的配置管理机构，并定义其职责，设置专门的配置管理岗位和职责；b)周期性审查配置达标情况。ASM_ACM.4.2制度流程：a)针对配置管理的基线合规率、修复及时率具有明确的量化考核指标；c)配置管理机构定期评审配置管理流程有效性。a)具备配置管理系统，且与CI/CD工具、版本控制系统、配置管理数据库等深度集成；b)通过工具自动校验配置变更是否符合安全基线要求；c)可实时展示配置变更状态、合规性报告及异常告警；d)采用基于角色的访问控制机制，实现研发、运维与基线配置团队的权限隔离，确保各角色仅具备最小必要权限。a)基线配置管理人员具备基线优化能力；b)定期对基线配置人员进行配置管理相关培训，并进行培训效果考核。ASM_ACM.4.5数据资源：a)部署数据分析平台，实现配置数据智能分析；b)建设配置数据容灾备份系统。ASM_ACM.5持续改进a)具备自适应基线机制，能根据业务需求自动生成新基线；7.2.4脆弱性管理(ASM_SVM)ASM_SVM.1基本执行ASM_SVM.2计划跟踪ASM_SVM.2.1组织建设：设立专职团队，成员分工明确，如漏洞管理、威胁情报、脆弱性评估等小组，团队内部沟通协作顺畅。ASM_SVM.3充ASM_SVM.3.1组织建设：组织构建完善的组织架构，不仅有专职团队和明确分工，还应建立跨部门协作机制，信息安全团队与业务、开发、运维等部门紧密配合，共同推进脆弱性管理工作。ASM_SVM.3.2制度流程：脆弱性管理流程充分定义，与业务流程深度融合，涵盖评估标准、修复流程、情报收集与分析等详细制度，且明确各环节责任人和时间节点。ASM_SVM.3.4人员能力：人员具备深厚的信息安全专业知识和丰富的实践经验，熟悉各种安全技术和工具，能深入理解业务需求和系统架构，将脆弱性管理与业务运营紧密结合。ASM_SVM.3.5数据资源：建立专业的数据仓库，数据来源广泛且可靠，包括内部系统日志、漏洞扫描结果、威胁情报、业务数据等，能进行高效的数据查询和分析，同时建立数据质量和安全保护机制，确保数据的准确性、完整性和保密性。ASM_SVM.4量化控制ASM_SVM.4.2制度流程：脆弱性管理流程实现量化控制，通过数据驱动优化管理流程，制定量化评估指标体系、修复优先级划分标准和情报价值评估方法等。ASM_SVM.4.3技术工具：实现量化控制，能对脆弱性管理的各个环节进行精确的量化分析，如漏洞扫描工具可量化评估漏洞风险等级和影响范围，工具间高度集成，形成智能化的管理技术平台。弱性进行量化分析和评估，能根据结果制定科学合理的管理策略和计划。ASM_SVM.4.5数据资源：脆弱性数据实现量化控制，数据收集、存储和分析过程遵循严格的质量控制标准，通过对数据的量化分析，能发现脆弱性的趋势和规律，为信息安全保障策略提供有力支持，同时确保数据的保密性、完整性和可用性。ASM_SVM.5持续改进ASM_SVM.5.1组织建设：组织形成持续改进的文化和机制，建立跨部门的持续改进团队，鼓励员工积极参与持续改进活动，对有效改进建议给予奖励和表彰。ASM_SVM.5.3技术工具：工具持续升级和创新，密切关注信息安全技术发展趋势，及时引入新兴技术安全工具，如云安全防护平台、大数据安全分析工具等，同时不断优化工具配置和使用，确保最佳效能。ASM_SVM.5.5数据资源：充分挖掘数据潜力，通过对数据的深入分析和挖掘，发现隐藏在数据中的脆弱性趋势和规律，预测潜在安全威胁，积极探索新的数据来源和利用方式，如利用外部数据、用户行为数据等，丰富数据信息维度和深度，提高脆弱性管理前瞻性和有效性。ASM_SCM.1基本执行ASM_SCM.2计划跟踪ASM_SCM.2.2制度流程：a)制定供应链管理流程，流程变更需人工审批，针对关键变更有日志留存；b)根据专业知识、历史合作记录等预先验证供应商资格，再根据自身需求选择供应商；c)与选定的服务供应商签订相关协议，明确整个服务供应链各方面需履行的责任和义务；d)在执行产品、技术和服务采购过程中，将供应链安全风险纳入考虑；e)对信息系统的发布和交付建立安全可控的发布渠道；f)信息系统发布前审查所有安全开发活动的执行结果，确认已满足安全需求、合规要求；g)对供应商交付的信息系统在交付上线前执行软件供应链安全检测，检验信息系统的软件供应链安全。ASM_SCM.2.3技术工具：a)建立供应商清单，包括供应商名称、提供的产品或服务、负责人及联系方式、服务周期性等内容；b)供应链管理岗位负责对应商交付的信息系统组织开展软件供应链安全检测，并将检测结果反馈给供应商进行跟踪修复。ASM_SCM.3充分定义ASM_SCM.3.1组织建设：a)明确供应链管理人员的职责范围，提供保障供应链管理所需的资源(如有关资金、场地等),并在预算管理过程中予以考虑；b)明确供应链管理的供应链安全检测范围和检测内容，组织并保障内外部资源开展必要的供应链安全检测工作。a)依据国家法律法规和相关标准要求建立供应链安全管理制度和规范，对供应商、供应链风险以及产品、技术和服务的采购等进行安全管理；b)建立针对开源组件和第三方库的管理机制；c)采购安全可信的信息技术产品和服务，采购通过国家检测认证的网络关键设备和网络安全专用产品和密码产品；d)每年定期/不定期组织开展已上线系统的供应链安全检测，识别供应链安全风险，验证信息系统的安全性是否满足供应链管理要求；e)持续监测供应商在提供产品和服务等过程中的安全风险，跟踪记录由于供应商和其他依赖关系造成的重大网络安全风险及其解决情况；a)构建供应链管理信息化系统，包括供应商管理系统、沟通系统、文件管理系统等；b)人员能证明其对自身角色和职责的理解。ASM_SCM.3.5数据资源：配备专用服务器，实现供应链管理信息的全生命周期管理。ASM_SCM.4.1组织建设：b)设置供应链管理的评价指标体系，对组织开展供应链管理工作进行量化控制。a)持续跟踪供应商及其产品和服务的相关情况，定期监督、评审和审核服务供应商提供的服务，并对其变更服务内容加以控制；b)根据供应商及其服务的变更情况、供应链安全事件或安全威胁信息、供应商的监督评审结果等进行供应链信息更新。a)将供应链管理职责写入现有的岗位说明书，明确角色、职责和岗位能力；b)通过正式和非正式的培训和指导对人员提供支持；a)建立供应商目录，尽可能实现相同产品、服务的供应商多元化，以防范供应商出现因政治、外交、贸易等非技术因素导致产品和服务供应中断的风险；b)提供应对当前和未来风险和机遇的信息，并就突发事件进行识别和策划。ASM_SCM.5持续改进ASM_SCM.5.1组织建设：持续跟踪国家与行业有关信息系统供应链安全管理的政策要求与发展趋势，不断优化完善组织有关信息系统的供应链管理工作体系和工作能力。ASM_SCM.5.5数据资源：建立共享平台，与相关主体共享供应链安全事件或安全威胁信息。ASM_OPM.1基本执行ASM_OPM.1.1组织建设：人员录用由临时人员负责或其他人员兼任。a)确保相关人员了解信息系统安全基本的法律法规要求；b)根据临时需求或针对特定的信息系统，对相关人员开展基础培训，如系统安全基础培训，应用安全基础培训，网络安全基础培训，数据安全基础培训等。ASM_OPM.2计划跟踪b)针对核心的信息系统，明确相关人员信息系统安全培训计划，按照培训计划对相关人员执行信息系统安全培训，包括系统安全、应用安全、网络安全、数据安全等培训内容。ASM_OPM.2.5数据资源：以纸质版的方式留存人员培训记录、考核记录、离岗记录、保密协议、审批记录等各类文档。ASM_OPM.3充分定义ASM_OPM.3.1组织建设：应设置专门的安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查。ASM_OPM.3.2制度流程：信息系统人员安全管理制度应至少包括对被录用人员的基本要求、背景审查及人员日常管理计划。ASM_OPM.3.3技术工具：人员管理系统应建立访问权限管理机制，非授权人员不允许登录。a)定期对相关从业人员进行网络安全教育、技术培训和技能考核；b)对关键岗位的人员开展反间谍安全防范教育、培训、测评，提高防范意识和能力；c)定期对相关人员进行考核和评估，提升相关人员的信息系统安全意识能力；d)相关人员具备信息系统安全方案的定制化能力，基于业务需要制定有效的方案；e)相关人员具备依据合规要求对信息系统实施安全保障措施。ASM_OPM.3.5数据资源：ASM_OPM.4.2制度流程：信息系统人员安全管理制度应定期进行修订。ASM_OPM.4.3技术工具：人员管理系统个人的敏感信息应进行加密处理。ASM_OPM.4.4人员能力：b)定期对相关人员进行考核和评估，包括安全意识能力、信息系统安全方案能力、安全保障措施有效性等；c)相关人员具备发现信息系统安全风险的能力，并对安全风险采取相应的措施。ASM_OPM.4.5数据资源：人员管理系统仅采集和保存必需的个人信息。ASM_OPM.5持续改进ASM_OPM.5.2数据资源：构建人员管理中心，实现人员全周期的数字化和智能化管理。7.3安全工程类(ASE)7.3.1系统设计(ASE_NSD)ASE_NSD.1.2制度流程：有简单的系统设计文档，但未形成体系化，仅考虑部分关键安全措施，如身份验证系统，访问控制权限最小化原则，重要数据的加密保护等。ASE_NSD.2计划跟踪a)有简单的系统设计管理制度，能保证初步采用标准化的设计方法，开始关注安全的可行性和实施路径，针对一些核心模块进行安全设计；a)采用专用工具进行系统设计管理；ASE_NSD.3充分定义b)应聘用专业的设计机构进行安全设计。a)有详细的系统设计管理制度、流程和记录，系统设计管理工作规范化；b)有详细的系统需求分析报告和安全需求分析报告，将所有关键模块都纳入安全考虑；b)引入风险评估方法，分析设计中潜在的安全风险，并制定相应的控制措施。ASE_NSD.3.4人员能力：a)安全设计人员能完全理解系统安全设计要求，并进行详细的设计；b)用户方对接人员能提出明确的组织安全需求。ASE_NSD.3.5数据资源：a)建立设计文档库，按项目分类存储；ASE_NSD.4量化控制分析，并提供可操作的改进建议。ASE_NSD.4.3技术工具：ASE_NSD.5持续改进a)随着技术、威胁环境和业务需求的变化，安全需求不断更新和改进，安全设计能根据变化及时调整，调整需经过评审；b)安全设计文档不仅覆盖完整的系统生命周期，而且能根据新的设计方案和安全事件进行动态更新，保持文档的时效性。a)采用自适应的设计方法，根据安全评估结果和运营反馈实时优化系统设计，持续改进设计流程和方法；ASE_NSD.5.3人员能力：设计人员应具备威胁建模和攻击面分析能力，持续更新系统设计中的安全控制，增强系统对新兴威胁的防护能力。ASE_PIM.1基本执行ASE_PIM.1.1制度流程：系统建设过程中根据业务需求和个人经验分配相关资源，并实施建设。ASE_PIM.1.2技术工具：无明确安全测试相关流程和技术工具，依据经验开展安全测试。ASE_PIM.2计划跟踪ASE_PIM.2.1组织建设：指定机构部门和岗位负责系统建设管理以及实施过程中的沟通协调与资源分配。a)制定并执行项目实施与安全计划，明确每个阶段的安全任务与目标(如网络防护、访问控制、数据加密等),依据计划进行系统建设并保留相关记录；b)制定代码开发管理制度等，规范自行软件开发、外包软件开发过程中的控制方法、人员行为准则以及代码安全编写规范等；c)形成初步的风险管理框架，用于识别和解决项目中的凸显性安全问题，并对实施过程中的关键操作(如服务器配置、数据库部署等)进行安全审查和风险评估。用的技术或工具可能非最佳实践。ASE_PIM.2.5数据资源：为系统建设提供充足的资源保障，包括人员、资金和设施等。ASE_PIM.3充分定义ASE_PIM.3.1组织机构：a)将项目实施工作分解为具体的任务和子目标，明确项目实施过程中各岗位人员的责任和任务；b)建立项目实施常态化沟通机制，由组织的实施管理部门定期召开安全协调会议，确保实施团队、运维团队和安全团队之间的有效沟通和合作；c)指定专门的负责工程实施审核人员定期[赋值：组织定义的周期]对系统建设情况进行审查和更新，并形成审查记录，以确保项目的每一个实施阶段都能追踪安全目标的实现情况，并根据实际情况进行调整安全设计方案；d)由聘请的第三方监理机构或人员，或组织内部具备能力的团队或人员对整个工程的实施过程进行控制，具有监理报告。a)依据有关法律法规、行业要求、标准规范制定系统建设管理制度等管理制度体系，明确系统建设过程中的安全要求和措施；c)安全设计方案的合理性和正确性经过有关专家的论证和审定，并通过内部安全管理审批机构批准后正式实施；d)在系统建设完成后开展安全测试，具有专门的安全测试流程规范，明确测试方法和测试内容，内容包括但不限于包括静态分析、渗透测试、代码审计等，并形成安全测试报告；e)保留相关记录文档，对设计、实施和测试过程的所有的安全实施步骤和控制措施进行记录。ASE_PIM.3.3技术工具：根据项目需求自行开发或使用安全成熟的项目管理工具进行项目实施管理，包括源代码保存和实施过程管理。ASE_PIM.4量化控制ASE_PIM.4.1组织建设：指定专门机构负责工程实施量化考核工作，设定监控对象和指标，制定项目实施人员和职责清单，开展对工程实施人员的量化考核工作。a)依据安全需求和项目目标制定项目实施定量考核指标，明确所有的设计、实施和测试等环节的量化指标，并进行工程实施量化指标评估，确定各岗位或环节的关键绩效指标(KPI),以保证项目实施效果；c)能通过对历史数据的分析，预测安全风险，并在工程实施前期就采取相应的防护措施。a)使用安全成熟项目管理技术工具或产品实施管理一体化机制，实现项目一体化自动管理，包括但不限于项目实施整体目标、阶段目标的管理和考核，实施人员的培训考核，项目沟通协调机制、程序代码迭代更新管理等；ASE_PIM.4.4人员能力：根据实施需要对重要实施人员开展专业培训和考核。ASE_PIM.4.5数据资源：及时更新工程信息库，为工程实施量化控制和分析提供数据支撑。ASE_PIM.5持续改进a)使用技术工具建立自动持续的偏离纠正机制，当技术参数表明出现问题或实际结果偏离计划时自动调整安全策略和控制措施，纠正优化工程实施规划并进行资源重新分配；b)利用机器学习、深度学习等新技术建立高度智能化的项目实施管理机制。ASE_PIM.5.3数据资源：实时收集跟踪工程实施状态信息、实施过程中存在的问题以及最新相关技术信息，为工程自适应机制建设提供数据支撑。ASE_SDM.1基本执行ASE_SDM.1.1组织建设：没有专人负责系统交付验收工作，人员都是临时负责。a)具备系统设计和工程实施过程中的部分建设文档；b)提供了初步的系统验收测试报告。ASE_SDM.2计划跟踪ASE_SDM.2.2制度流程：制定系统交付计划，根据交付计划，逐步实施安全检查，并确保相关人员执行相应的安全任务。a)组织开展交付验收测试，出具安全测试报告，并依据测试结果进行必要的修复和调整；ASE_SDM.3充分定义ASE_SDM.3.1组织建设：应有专门的部门负责系统交付验收，并指定专门的人员负责相应的工作。ASE_SDM.3.2制度流程：应有系统交付清单，包括硬件、软件和文档等，详细记录交付系统的安全配置，包括但不限于网络拓朴结构、结合布线图、各类权限、访问策略、运维操作手册等。a)应进行上线前的全面安全测试与评估，确保系统的各个方面都符合安全要求，并通过专业的安全工具进行渗透测试和漏洞扫描；d)定级为网络安全等级保护三级及以上的信息系统应委托有资质的测评机构开展等级保护测评。ASE_SDM.4量化控制a)验收工作应有具体的量化指标，确保合规性、安全性通过数据和指标进行量化分析，定期自动生成合规性报告，减少人工干预；ASE_SDM.4.3人员能力：应对运维人员进行系统地培训，运维人员应具备熟练的系统运维能力和工具使用能力。ASE_SDM.5持续改进a)应有系统工程实施管理系统，将所有的交付验收工作纳入到管理系统中，对交付验收进行自动化管理；b)应有自动化的配置管理工具，保证系统的各项配置管理工作及时、有效，保证系统持续更新、稳定；ASE_SDM.5.2人员能力：对运维人员进行系统培训，运维人员应具备运维数据分析能力，能分析并发现系统的安全隐患和风险。a)应建立系统文档和知识库，并不断完善，所有安全事件、补丁更新和系统变更都有详细记录，支持持续的学习和知识共享；b)应提供资金，保障系统工程交付后系统能持续改进。7.4安全运营类(ASO)7.4.1监测预警(ASO_SSW)ASO_SSW.2.1组织建设：初步具备基本的安全监测团队，可以是专职或兼职人员，明确团队成员职责。a)建立监测预警管理制度规范，明确监测的目标、范围和频率，规定监测预警流程；ASO_SSW.2.3技术工具：a)运用基础的监测工具与平台，识别常见安全安全风险，制定了基础的工具与平台使用规范；b)定期收集并分析数据，具备初步预警信息研判能力，生成包含风险可能影响范围等基础信息的风险报告。ASO_SSW.2.4人员能力：监测团队人员接受了基础的培训，具备基本的监测工具操作、安全风险分析、预警通报执行等能力。ASO_SSW.2.5数据资源：主动拓展威胁情报收集渠道，对所收集情报依据攻击类型(如病毒、木马、DDoS攻击等)进行分类整理，依据威胁情报内容对风险监测重点与策略进行适度调整优化。ASO_SSW.3充分定义b)建立威胁信息共享机制，与监管部门共享高级持续威胁(APT)间谍活动、境外攻击入侵指标(IoC)等情报，具备预警信息研判和应急响应能力，生成较为完备的风险报告；a)定期进行监测预警岗位人员系统知识及技能培训；b)监测岗位人员熟悉监控工具和技术，具备日志分析、网络流量分析、自动化脚本编写等能力；c)研判岗位人员具备威胁情报利用、漏洞管理、恶意代码分析、威胁与事件研判等能力；d)处置岗位可制定并执行针对安全事件的响应计划和流程设计、灾难恢复实施等能力。ASO_SSW.3.5数据资源：a)打造内部专业威胁情报库，对所收集情报实施标准化处理；b)定期更新情报库内容，并依据威胁情报自动动态调整风险监测策略与预警触发阈值，达成威胁情报驱动型风险监测模式，显著提升监测效率与精准度。a)预警通报系统与风险态势量化评估系统深度融合，依据风险量化等级自动触发对应级别预警通报机制，实现智能化、自动化预警推送；b)与相关机构建立威胁信息会商研判机制，具备的预警信息研判能力，生成完备的风险报告。ASO_SSW.4.2技术工具：a)基于实时风险监测数据和历史风险数据，结合数据分析算法建立风险态势量化评估模型，对风险发生概率与可能导致的损失开展量化评估，达成对风险态势的量化监测和持续跟踪目标，并结合业务价值评估体系确定风险量化损失程度；b)能对风险监测系统开展自我评估与优化迭代，依据量化监测结果动态调整监测指标权重与监测策略；c)利用人工智能技术，持续改进风险监测模型架构与算法参数，使其能自主学习并适应新型风险类型与动态变化的业务环境。ASO_SSW.5持续优化a)预警通报机制与应急响应体系实现融合，形成闭环管理；依据应急响应实际效果与反馈信息，持续改进预警通报内容结构、传递方式与流程环节，确保预警通报能最大程度契合应急响应需求并有效支持风险处置全过程；ASO_SSW.5.2技术工具：利用人工智能技术优化监测预警评估体系，如优化威胁建模指标，实现持续自主的智能化事件评估，基于多方信息改进决策过程，结合自动化工具实时检测策略执行情况并动态调整，生成工作流程监督和改进报告。ASO_SSW.5.3数据资源：构建全球化威胁情报生态网络体系，运用大数据分析与人工智能技术对威胁情报进行深度挖掘与价值再造，持续改进威胁情报从收集、分析、共享到应用实践的全生命周期管理流程，不断提升威胁情报管理的科学性、高效性与创新性。7.4.2应急响应(ASO_CIR)ASO_CIR.2计划跟踪a)在管理制度中规定应急响应相关要求，设置专门的应急响应流程；c)应急处置后，进一步跟踪网络安全事件产生的影响，分析产生网络安全事件的原因。ASO_CIR.2.5数据资源：为应急响应设置换门的威胁情报库，实时采集安全边界设备、安全监测设备等数据持续丰富数据来源。ASO_CIR.3充分定义ASO_CIR.3.1组织建设：设立网络安全应急响应组织架构，至少包括应急指挥小组、执行团队两级，负责网络安全事件管理和应急响应的规划统筹、指挥调度和具体执行。a)建立完善的网络安全事件应急响应管理制度和应急预案，定义网络安全事件类型，明确不同类型安全事件的处置流程和方法；b)根据应急预案定期开展应急演练活动；c)应与国家网络安全职能部门对接，建立信息通报与共享渠道，明确网络安全事件的联合研判、协同处置流程，形成高效的联动工作机制。ASO_CIR.3.3技术工具：a)建立统一的网络安全事件管理系统，对网络安全事件处置过程进行全程跟踪；c)具有网络攻击分析和恶意代码特征检测工具，用于网络攻击行为和恶意代码分析；d)采用相关技术手段对网络攻击活动开展溯源，对攻击者进行画像，为案件侦查、事件调查、完善防护策略和措施提供支持。a)明确两级应急响应团队能力要求，并根据技术发展趋势更新；ASO_CIR.3.5数据资源：建立威胁情报平台，通过整合外部威胁信息来增强对安全事件的响应ASO_CIR.4量化控制ASO_CIR.5持续优化7.4.3业务连续性(ASO_BCM)ASO_BCM.1.1组织建设：未设立业务连续性岗位和人员，临时指派或由其他岗位兼职进行业务连续性工作。a)在发生网络事件或事故时，指派临时团队或人员维持和恢复系统和网络主要功能；b)采取非正式的方式记录恢复过程。ASO_BCM.1.3技术工具：对重要数据进行本地备份。ASO_BCM.2计划跟踪a)制定业务连续性管理制度规范，明确业务中断处置流程和资源；b)制定基本的业务连续性计划，为关键业务功能制定详细的恢复计划，包括应急响应、短期恢复和长期恢复措施等，对计划的执行进行跟踪。a)配备常用备份工具与应急资源，如数据储备份工具与介质、备用网络设备等，保障业务连续性，制定简单工具使用规范与资源管理办法；b)采用技术手段识别可能对业务造成中断的风险，评估这些风险的可能性和影响程度，并制定相应的缓解策略。ASO_BCM.2.4人员能力：业务连续性的岗位人员具备基本的业务恢复知识，掌握工具使用技能。ASO_BCM.2.5数据资源：识别需要进行业务连续性管理的关键业务和功能，识别所依赖的其他外部业务和其他信息通信网络单元，以及其对于网络和系统运行和提供服务的重要性，将其纳入影响业务连续性的相关因素考虑，并在备份和恢复方案中予以明确。ASO_BCM.3充分定义ASO_BCM.3.1组织建设：设立业务连续性中断响应组织架构，包括统筹指挥团队、业务执行团队等，确定人员分工及职责。a)识别业务连续性风险和需求，建立业务连续性计划和灾难恢复计划，明确明确恢复时间目标和恢复点目标等有关要求；b)建立标准和规范化的备份恢复工作流程和指南等文档，对过程中的关键重要环节进行充分详细的定义，明确各环节的目标、任务、操作方法和要求；c)建立业务连续性管理工作机制，能有效协调组织内部人员以及外部相关人员，促进各方协同作业，共同完成灾备恢复任务。a)建立重要通信线路、关键网络设备、服务器、数据库等的冗余；b)具备对系统和应用性能进行监控与管理、日志管理、容量规划与管理、自动化运维等与业务连续性相关的工具；c)采用具有生产系统和异地灾备系统的高可用技术平台，实现实时数据传输及完整设备支持。ASO_BCM.3.4人员能力：a)针对相关人员进行基础知识培训和专业技能培训；b)业务连续性指挥人员掌握制度流程规范的要求，执行人员具备数据分析和研判能力。ASO_BCM.3.5数据资源：梳理全部网络和系统的业务情况，识别所依赖的其他外部业务和其他信息通信网络单元，以及其对于网络和系统运行和提供服务的重要性，将其纳入影响业务连续性的相关因素考虑，并在备份和恢复方案中予以明确。ASO_BCM.4量化控制a)每年定期开展业务连续性演练，检验和评估备份和恢复方案的有效性；ASO_BCM.5持续优化a)定期回顾业务连续性建设目标和绩效指标达成情况，并适时调整；行剖析，识别对标准过程的其他潜在改进方向，提高灾备恢复相关政策、标准和流程的有效性。ASO_BCM.5.2数据资源：持续跟踪研究国内外组织备份和恢复的优秀解决方案，吸收采纳并优化备份和恢复工作。ASO_SCI.1.1组织建设：未设立安全合规检查岗位和人员，临时指派人员处理合规事务，或在其他部门内部检查中包含部分安全合规内容。ASO_SCI.1.3技术工具：使用基础办公软件(如电子表格软件、文字处理软件等)记录检查结果。ASO_SCI.2计划跟踪ASO_SCI.2.1组织建设：设立安全合规管理岗位或人员，可专职或兼职，明确岗位职责。a)根据组织的安全策略要求，依据具体法律法规、标准规范