ICS 35.020 L 09 GA 中华人民共和国公共安全行业标准 GA/T 391—2002 计算机信息系统安全等级保护管理要求 Management Requirements in Computer Information System Classified Security Protection 2002-07-18 发布 2002-07-18实施 中华人民共和国公安部发布 GA/T 391—2002 目 次 前 言 III 引 言 IV 1范围. 2规范性引用文件 3术语和定义 4信息系统安全管理概述 4.1信息系统安全管理内涵 4.2主要安全要素.. 4.3信息系统安全管理的基本原则. 4.4安全管理的过程 4.5安全管理组织. 4.6人员安全. 10 4.7安全管理制度. 5安全等级信息系统的管理要求 5.1第一级 （用户自主保护级）实施基本的管理. 12 5.2第二级 （系统审计保护级）实施操作规程管理。 13 5.3第三级 （安全标记保护级）实施标记制度化管理.. 15 5.4第四级 （结构化保护级）实施标准化管理 5.5第五级 （访问验证保护级）实施安全文化管理 19 附‧录A安全管理等级要素 A.1管理目标和范围 21 A.2人员与职责要求. 21 A.3物理安全管理要求 22 A.4系统安全要求. 22 A.5网络安全管理要求 23 A.6应用系统安全管理要求 23 A.7运行安全管理要求 24 A.7.1风险管理要求. 24 A.7.2生命周期管理要求. 25 A.7.3安全意识教育和培训要求 25 A.7.4病毒防护管理要求.. 25 A.7.5对第三方访问的安全管理要求 26 A.7.6应急计划和灾难恢复计划安全管理要求. A.7.7变更控制管理要求 26 A.8人员安全管理要求 27 参考文献 28 图1主要安全要素与关系. 图2计算机信息系统安全管理过程模型 1 GA/T 391—2002 图3安全管理组织结构. 10 表1安全目标与范围等级要求 21 表2人员与职责等级要求. 21 表3物理安全管理等级要求. 22 表4系统安全管理等级要求. 22 表5网络安全管理等级要求. 23 表6应用系统安全管理等级要求. 23 表7运行安全管理等级要求 24 表8风险管理等级要求. 24 表9生命周期管理等级要求 25 表10安全意识教育和培训等级要求. 25 表11病毒防护管理等级要求， 25 表12对第三方访问的安全管理等级要求. 26 表13应急计划和灾难恢复计划安全管理等级要求. 26 表14变更控制管理等级要求 26 表15人员安全管理等级要求， 27 II