1. 网络与信息安全管理要做到总体策划，确保安全的总体目标和所遵循的原则。

2. 建立相关组织机构，要明确责任部门，落实具体实施部门。

3. 做好信息资产分类与控制，达到员工安全、物理环境安全和业务连续性管理等。

4. 使用技术方法解决通信与操作的安全、访问控制、系统开发与维护，以支撑安全目标、安全策略和安全内容的实施。

5. 实施检查安全管理的措施与审计，主要用于检查安全措施的效果，评估安全措施执行的情况和实施效果。

1. 安全运行组织应包括主管领导、信息中心和业务应用等相关部门，领导是核心，信息中心是实体，业务部门是使用者。

2. 安全管理制度要明确安全职责，制定安全管理细则，做到多人负责、***有限、职责分离的原则。

3. 应急响应机制是主要由管理人员和技术人员共同参与的内部机制，要提出应急响应的计划和程序，提供对安全事件的技术支持和指导，提供安全漏洞或隐患信息的通告、分析和安全事件处理等相关培训。

1||| 信息安全策略

2||| 信息安全角色与职责

3||| 职责分离

4||| 管理职责

5||| 威胁情报

6||| 身份管理

7||| 访问控制

8||| 与政府机构的联系

9||| 与特殊利益群体的联系

10||| 项目信息安全

11||| 信息和相关资产清单

12||| 信息和相关资产的可接受使用

13||| 资产归还

14||| 信息分类

15||| 信息标签

16||| 信息传输

17||| 认证信息

18||| 访问权限

19||| 供应商信息安全

20||| 解决供应商协议中的信息安全问题

21||| 管理ICT供应链中的信息安全

22||| 供应商服务的监控、审查和变更管理

23||| 云服务的信息安全

24||| 信息安全事件的评估和决策

25||| 信息安全事件响应

26||| 信息安全事件总结

27||| 收集证据

28||| 中断期间的信息安全

29||| ICT业务连续性

30||| 法律、法规、监管和合同要求

31||| 知识产权

32||| 记录保护

33||| 个人身份信息的隐私和保护

34||| 信息安全独立审查

35||| 遵守信息安全政策、规则和标准

36||| 记录操作程序

1||| 筛选

2||| 雇佣

3||| 信息安全意识、教育和培训

4||| 保密或保密协议

5||| 远程办公

6||| 安全纪律

7||| 劳动合同与协议

8||| 惩戒程序

9||| 劳动终止或变更后的责任

10||| 远程工作

11||| 信息安全事件报告

1||| 物理安全边界

2||| 物理入口

3||| 物理安全监控

4||| 防范物理和环境威胁

5||| 设备选址和保护

6||| 存储介质

7||| 布线安全

8||| 设备维护

9||| 安全区域保护

10||| 桌面和屏幕清理

11||| 场外资产的安全

12||| 配套设施

13||| 设备安全处置或再利用

1||| 用户终端设备

2||| 特殊访问权限

3||| 信息访问限制

4||| 访问源代码

5||| 身份验证

6||| 容量管理

7||| 恶意代码与软件防范

8||| 技术漏洞管理

9||| 配置管理

10||| 信息删除

11||| 数据屏蔽

12||| 数据泄露预防

13||| 网络安全和信息备份

14||| 信息处理设施的冗余

15||| 日志

16||| 监控活动

17||| 时钟同步

18||| 特殊程序使用

19||| 软件安装

20||| 网络安全

21||| 网络服务的安全

22||| 网络隔离

23||| 网页过滤

24||| 密码使用

25||| 开发生命周期安全

26||| 应用程序安全要求

27||| 系统安全架构和工程原理

28||| 安全编码

29||| 安全测试

30||| 外包开发

31||| 开发、测试和生产环境分离

32||| 变更管理

33||| 测试信息

34||| 在审核测试期间的信息系统保护

1. 落实安全管理机构及安全管理人员，明确角色与职责，制定安全规划；

2. 开发安全策略；

3. 实施风险管理；

4. 制订业务持续性计划和灾难恢复计划；

5. 选择与实施安全措施；

6. 保证配置、变更的正确与安全；

7. 进行安全审计；

8. 保证维护支持；

9. 进行监控、检查，处理安全事件；

10. 安全意识与安全教育；

11. 人员安全管理等。

1. 配备安全管理人员。

2. 建立安全职能部门。

3. 成立安全领导小组。

4. 主要负责人出任领导。

5. 建立信息安全保密管理部门。

（1） 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

（2） 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。

（3） 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。

（4） 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。

（5） 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。

（1） 第一级安全保护能力：应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难，以及其他相当危害程度的威胁所造成的关键资源损害，在自身遭到损害后，能够恢复部分功能。

（2） 第二级安全保护能力：应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难，以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和处置安全事件，在自身遭到损害后，能够在一段时间内恢复部分功能。

（3） 第三级安全保护能力：应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难，以及其他相当程度的威胁所造成的主要资源损害，能够及时发现、监测攻击行为和处置安全事件，在自身遭到损害后，能够较快恢复绝大部分功能。

（4） 第四级安全保护能力；应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难，以及其他相当危害程度的威胁所造成的资源损害，能够及时发现、监测攻击行为和处置安全事件，在自身遭到损害后，能够迅速恢复所有功能。

（5） 第五级安全保护能力：略。

1. 将风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等重点措施全部纳入等级保护制度并实施；

2. 将网络基础设施、信息系统、网站、数据资源、云计算、物联网、移动互联网、工控系统、公众服务平台、智能设备等全部纳入等级保护和安全监管；

3. 将互联网企业的网络、系统、大数据等纳入等级保护管理，保护互联网企业健康发展。

1. 物理和环境安全实质性变更

2. 网络和通信安全实质性变更

3. 设备和计算安全实质性变更

4. 应用和数据安全实质性变更

1. 安全策略和管理制度实质性变更

2. 安全管理机构和人员实质性变更

3. 安全建设管理实质性变更

4. 安全运维管理实质性变更

安全技术体系架构由从外到内的纵深防御体系构成。纵深防御体系根据等级保护的体系框架设计。

X轴是“安全机制”。

Y轴是“OSI网络参考模型”。

Z轴是“安全服务”。

由X、Y、Z三个轴形成的信息安全系统三维空间就是信息系统的“安全空间”。

包括机房安全、场地安全、设施安全、动力系统安 全、灾难预防与恢复等。

包括操作系统漏洞检测与修复、网络基础设施漏洞检测与修 复、通用基础应用程序漏洞检测与修复、网络安全产品部署等。

包括介质与载体安全保护、数据访问控制、数据完整性、数据可用性、数据监控和审计、数据存储与备份安全等。

包括通信线路和网络基础设施安全性测试与优化、安装网络加密设施、设置通信加密软件、设置身份鉴别机制、设置并测试安全通道、测试各项网络协议运行漏洞等。

包括业务软件的程序安全性测试(Bug分析)、业务交往的防抵赖测试、业务资源的访问控制验证测试、业务实体的身份鉴别检测、业务现场的备份与恢复机制检查，以及业务数据的唯一性与一致性及防冲突检测、业务数据的保密性测试、业务系统的可靠性测试、业务系统的可用性测试等。

包括应急处置机制和配套服务、网络系统安全性监测、网络安全产品运行监测、定期检查和评估、系统升级和补丁提供、跟踪最新安全漏洞及通报、灾难恢复机制与预防、系统改造管理、网络安全专业技术咨询服务等。

包括人员管理、培训管理、应用系统管理、软件管理、设备 管理、文档管理、数据管理、操作管理、运行管理、机房管理等。

授权安全是指以向用户和应用程序提供权限管理和授权服务为目标，主要负责向业务应用系统提供授权服务管理，提供用户身份到应用授权的映射功能，实现与实际应用处理模式相对应的、与具体应用系统开发和管理无关的访问控制机制。

组织安全防范体系的建立，就是使得组织具有较强的应急事件处理能力，其核心是实现组织信息安全资源的综合管理，即 EISRM(Enterprise Information Security Resource Management)。

组织安全防范体系的建立可以更好地发挥以下6项能力，包括预警(Warn)、保护(Protect)、检测(Detect)、反应(Response)、恢复(Recover)和反击(Counter-attack),即综合的 WPDRRC信息安全保障体系。

（1） 带恢复功能的链接方式数据完整性；

（2） 不带恢复功能的链接方式数据完整性；

（3） 选择字段链接方式数据完整性；

（4） 选择字段无链接方式数据完整性；

（5） 无链接方式数据完整性。

1. 全生命期，包括工程开发、运行、维护和终止；

2. 管理、组织和工程活动等的组织；

3. 与其他规范(如系统、软件、硬件、人的因素、测试工程、系统管理、运行和维护等)并行的相互作用；

4. 与其他组织(包括获取、系统管理、认证、认可和评估组织)的相互作用。

（1） 工程过程(Engineering Process)

（2） 风险过程(Risk Process)

（3） 保证过程(Assurance Process)

域维汇集了定义信息安全系统工程的所有实施活动，这些实施活动被称为过程域。

ISSE包括6个基本实施，这些基本实施被组织成11个信息安全工程过程域，这些过程域 覆盖了信息安全系统工程的所有主要领域。

一个过程域通常需要满足：

基本实施的特性包括：

由基本实施组成的11个安全工程过程域包括：

ISSE-CMM还包括11个与项目和组织实施有关的过程域：

通用实施(Generic Practices,GP)由被称为公共特性的逻辑域组成。

公共特性分为5个级别，依次表示增强的组织能力。

公共特性的成熟度等级定义如表

能力级别代表工程组织的成熟度级别的5级模型

5级能力级别的重点及能力特点如表