安全等级信息系统的管理要求

8.5.4　安全等级信息系统的管理要求

本标准的第五部分描述了与各安全保护等级对应的安全管理要求的细则。从细则可以看出：

第一，每一级的管理要求都从管理目标和范围、人员与职责要求、物理安全管理要求、操作系统安全管理要求、网络安全管理要求、应用系统安全管理要求、运行安全管理要求等七个方面进行描述。

第二，高等级的管理要求包含低等级的管理要求。

以下是细则的具体内容。

1．第一级（用户自主保护级）实施基本的管理

（1）管理目标和范围。

制定安全管理计划，明确计算机信息系统的安全目标和安全范围，并经单位主管领导批准。

安全管理计划文件在下列方面应有基本描述：安全策略、风险管理、安全措施检查、行为准则、生命周期管理、处理授权、人员安全、物理和环境安全、技术支持与运行安全、应急计划、技术文档管理、教育与培训、事件响应、访问控制、审计跟踪等。

保证计算机信息系统安全保护等级达到GA/T XX1-XXXX（技术要求）、GA/T XXX-XXXX（工程要求）的标准要求。

（2）人员与职责要求。

单位主管委任安全管理人员，并赋予安全管理的权力。

安全管理人员应具有基本的专业技术水平，掌握计算机信息系统安全管理基本知识，负责组织规划有关人员的安全意识教育和培训，组织协调有关人员对计算机信息系统的安全性进行评估，理解计算机信息系统面临的安全威胁，并对管理层、物理层、系统层、网络层和应用层有基本的风险分析，确定安全需求，制定安全计划，并负责落实和监督安全计划的实施。

（3）物理安全管理要求。

通过正式授权程序委派专人负责物理安全工作。

建立物理安全规章制度。通过科学分类对计算机信息系统的物理环境和物理设施进行分类登记。

保证计算机信息系统的物理安全达到GA/T XXX-XXXX（技术要求）中本级有关环境、设备和介质安全所提出的基本要求。

（4）操作系统安全管理要求。

通过正式授权程序委派专人负责系统环境安全管理。建立操作系统和数据库的安全配置、操作系统和数据库的备份等安全管理规章制度。

保证人员能按照GA/T XXX-XXXX（技术要求）、GA/T XXX-XXXX（操作系统要求）和GA/T XXX-XXXX（数据库要求）的基本要求，对操作系统和数据库进行安全管理。

（5）网络安全管理要求。

通过正式授权程序委派专人负责网络环境安全工作。建立有关网络配置安全管理制度。

保证人员能按照GA/T XXX-XXXX（技术要求）和GA/T XXX-XXXX（网络要求）对本级网络安全的基本要求，对网络进行安全管理。

（6）应用系统安全管理要求。

通过正式授权程序委派专人负责应用系统环境，包括应用系统软件的安全配置、备份等安全工作。制定有关规章制度。

保证人员能按照应用系统操作文档和应用系统有关安全要求，对应用系统软件和应用业务数据进行安全管理。

（7）运行安全管理要求。

① 安全管理人员应协同计算机信息系统应用部门对计算机信息系统的运行进行安全管理。建立有关安全规章制度。

② 确保为计算机信息系统可靠运行而采取的各种检测、监控、审计、分析、备份及容错等方法和措施的正确实施。

③ 要求制定风险分析计划，制定网络安全检测、网络防病毒、网络安全事件报告、应急计划管理等制度。制定安全意识和安全技术教育培训计划。对运行安全进行监督检查。明确计算机信息系统各类人员对计算机信息系统各类资源的安全责任。明确计算机信息系统安全管理人员和计算机信息系统普通用户对计算机信息系统资源和控制系统中命名客体的访问权限。

2．第二级（系统审计保护级）实施操作规程管理

（1）管理目标和范围。

建立安全管理机构并满足第一级的管理要求外，还应进一步根据管理计划制定一系列安全操作规程，并实施计算机信息系统生命周期的全程管理。

安全操作规程文件应由单位主管领导批准，安全操作规程文件中应明确计算机信息系统的安全岗位，并指明是否需要更细致的指导，说明例外情况。特定规程中要明确规定其适用场所、适用对象、有效期限和规程责任人，对其中适用对象要明确适用的主体和客体。

通过管理活动保证计算机信息系统达到GA/T XXX-XXXX（技术要求）、GA/T XXX-XXXX（工程要求）的本级标准。

（2）人员与职责要求。

单位主管领导负责建立正式的安全管理机构，委任并授权该机构的安全管理负责人负责安全管理工作的组织和实施。安全管理机构由单位各级主管和有关专家组成。

安全管理负责人至少从事过两年以上的计算机信息系统的技术工作，一年以上的计算机信息系统安全管理工作或经过正规院校计算机信息系统安全技术和管理的培训。

安全管理负责人负责召集有关人员制定本单位安全计划，设立安全管理岗位，明确岗位职责；制定明确的安全管理目标和安全策略；制定计算机信息系统各层安全管理规程；制定系统管理、信息管理、网络管理、存储介质管理、操作管理、软硬件维修、审计、服务外包等安全管理规章制度，并监督执行；对关键的计算机信息系统制定风险管理计划；组织规划有关人员的安全意识教育和培训。

（3）物理安全管理要求。

除满足第一级的物理安全管理要求外，应建立物理安全区域，制定专人负责物理安全区计算机信息系统场地和物理设施的日常安全管理，制定物理设施的购置计划、设备的验收、运行、维护、处置管理制度，监督、检查物理设施安全管理制度的落实。编制物理设施安装、运行、操作流程，制定并实施物理设施管理培训计划；所有物理设施要分类编目，指定每个物理设施安全责任人。

对计算机信息系统使用的关键设备建立严格的登记制度，保证设备购置、安装、调试、维护、维修、报废等处置活动可控。

（4）操作系统安全管理要求。

指定操作系统安全管理责任人，负责操作系统的日常安全管理和安全审计，对用户安全使用进行指导、登记和监视。

操作系统应使用符合GA/T XXX-XXXX（操作系统要求）的本级操作系统。

依据操作规程安全使用、配置操作系统，操作系统安全管理责任人依据操作规程确定审计事件、审计内容、审计归档、审计报告。

授权用户应使用唯一的标识和口令，遵照规定的登录规程登录系统，遵照授权说明使用许可的资源。

对操作系统中的系统工具的使用进行授权管理，并对系统工具使用情况进行审计。

对操作系统安全性进行及时维护，对操作系统的安全弱点和漏洞进行控制。

依据变更控制规程对操作系统的变更进行控制，保证变更不影响应用系统的可用性、稳定性、安全性，保证变更过程的有效性和可审计性。

应及时对操作系统资源和系统文档进行安全备份。

（5）网络安全管理要求。

除满足第一级的网络安全管理要求外，网络安全管理负责人应按照有关规程召集有关人员对计算机信息系统运行的网络安全进行定期评估，不断完善网络安全策略，建立、健全网络安全管理规章制度。

制定使用网络和网络服务的策略。依据总体安全方针、策略制定允许提供的网络服务、制定网络访问许可和授权管理制度、保证计算机信息系统网络连接和服务的安全技术正确实施，并达到GA/T XXX-XXXX（网络要求）的要求。

制定网络安全教育和培训计划，保证计算机信息系统的各类用户熟知自己在网络安全方面的安全责任和安全规程。

建立网络访问授权制度，保证经过授权的用户才能在指定终端，使用指定的安全措施，按设定的可审计路由访问许可的网络服务。

对安全区域外部移动用户的网络访问实施严格的审批制度，实施用户安全认证和审计技术措施，保证网络连接的可靠性、保密性，保证用户对外部连接的安全性负责。

定义与外部网络连接的接口边界，建立安全规范，定期对外部网络连接接口的安全进行评估，对通过外部连接的可信计算机信息系统之间的网络信息提供加密服务，有关加密设备和算法的使用按国家有关规定执行。

对外进行公共服务的计算机信息系统，应采取严格的安全措施实施访问控制，保证外部用户对服务的访问得到控制和审计，并保证外部用户对特定服务的访问不危及内部计算机信息系统的安全，对外传输的数据和信息要经过审查，防止内部人员通过内外网的边界泄露敏感信息。

对可能从内部网络向外发起的连接资源（如拨号上网）实施严格控制，建立连接资源使用授权制度，建立检查制度防止计算机信息系统使用未经许可和授权的连接资源。

不同安全保护等级的计算机信息系统网络之间的连接按访问控制策略实施可审计的安全措施，如使用防火墙、安全路由器等，实现必要的网络隔离。

保证网络安全措施的日常管理责任到人，并对网络安全措施的使用进行审计。

按网络设施和网络服务变更控制制度执行网络配置变更控制。

建立网络安全事件、事故报告处理流程，保证事件和事故处理过程的可审计性。

对网络连接、网络安全措施、网络设备及操作规程定期进行安全检查和评估，提交正式的网络安全报告。

指定网络安全审计人员，负责对网络安全事件的审计，对审计活动实施控制，保证网络设施提供的审计记录的完整性和可用性。

计算机信息系统的关键网络设备设施应有必要的备份。

对可用性要求高的网络指定专人进行不间断的监控，并定期对应急计划的可行性进行验证。

（6）应用系统安全管理要求。

计算机信息系统的各应用单位和部门应指定专人负责应用系统的安全管理。应用系统的安全管理要求不低于操作系统的安全管理要求。

制定并落实应用系统的安全操作规程，安全操作规程应包括安全措施的设计、部署、维护、运行和用户安全培训等。

应指定信息安全管理人员依据信息安全操作规程，负责信息的分类管理和信息的安全发布。

对任何可能超越系统或应用程序控制的实用程序和系统软件都应得到正式的授权和许可，并对使用情况进行登记。

保证对应用系统信息或软件的访问不影响其他计算机信息系统共享信息的安全性。

应用系统的内部用户，包括支持人员，应按照规定的程序办理授权许可，并根据信息的敏感程度签署安全协议，保证应用系统信息的保密性、完整性和可用性。

应指定专人负责应用系统的审计工作。

审计人员仅从事审计工作，不参与系统的其他任务，实现审计人员和被审计人员的职能分离，保证审计日志的准确性、完整性和可用性。

组织有关人员定期或不定期对应用系统的安全性进行审查，并根据应用系统的变更或风险变化提交正式的报告，提出安全建议。对应用系统关键岗位的工作人员实施资质管理，保证人员的可靠性和可用性。

制定切实可用的应用系统及数据的备份计划和应急计划，并由专人负责落实和管理。

（7）运行安全管理要求。

① 对计算机信息系统应按风险管理计划和操作规程定期对系统进行风险分析与评估，识别出可能存在的风险，并向管理层提交正式的风险分析报告。风险分析报告中应明确管理上、技术上存在的问题与对策。

② 对病毒防护系统的使用制定管理规定，没有得到许可，用户不能私自终止病毒防护系统的运行，操作系统安全管理责任人负责病毒防护系统的管理（安装、升级、停止），操作系统应对病毒防护系统的使用建立日志。

③ 制定应用软件安全管理规章制度，对应用软件的采购实施批准制度，对应用软件的安全性进行调查，未获明确验证的软件不得装入运行的操作系统。对应用软件的使用采取授权管理制度，没有取得许可的用户不得安装、调试、运行、卸载应用软件，并对应用软件的使用进行审计。

④ 制定外部服务方对计算机信息系统访问的安全制度。对外部服务方访问系统可能发生的安全性进行评估，采取安全措施对访问实施控制，与外部服务方签署安全保密合同，并要求有关合同不违背总的安全策略。

⑤ 安全管理负责人应会同计算机信息系统应用各方制订应急计划和灾难恢复计划，并制订应急计划和灾难恢复计划的实施规程，并实施必要验证和实际演练。对应急计划涉及的人员进行培训，并要求应急人员具备执行应急计划的能力。对需外部资源的应急计划要与有关各方签署正式合同，合同中应规定服务质量，并包括安全责任和保密条款。

⑥ 制订安全事件处理规程，保证在短时间内对安全事件进行处理。

⑦ 制定计算机信息系统的信息和文档的备份制度，要求指定专人负责备份管理，保证计算机信息系统自动备份和人工备份的准确性、可用性。

⑧ 制定设备、操作系统、数据库、应用系统、人员、服务、内外风险等变更控制制度，保证变更后的计算机信息系统能满足既定的安全目标。

⑨ 制定运行安全管理检查制度，定期或不定期对所有计划和制度执行情况进行监督检查，并对安全策略和管理计划进行修订。协助上级或国家有关部门对计算机信息系统安全进行评估，对计算机信息系统安全工作的监督和检查。

⑩ 根据各种变更不断修订、完善各种规章制度。

建立严格的运行过程管理文档，其中包括责任书、授权书、许可证、各类策略文档、事故报告处理文档、安全配置文档、系统各类日志等，保证文档的一致性。

3．第三级（安全标记保护级）实施标记制度化管理

（1）管理目标和范围。

在实现第二级管理目标的基础上，要求计算机信息系统的用户熟知计算机信息系统的安全策略和安全规程，要求用户定期确认其安全意识和安全责任，保证安全策略和安全规程的有效实施；使用自动或其他方式监视系统的安全状态，保证在已建立的安全规程中明确规定系统日志的检查、系统穿透性测试和对内与对外的安全审计；保证安全管理贯穿计算机信息系统的整个生命周期；在安全规程中明确规定如何建设系统，如何验收系统，如何对系统的使用按正式的授权过程实施。

通过对用户、系统资源进行标记，建立健全一系列的安全管理制度，实现制度化管理。

通过管理活动保证计算机信息系统达到GA/T XXX-XXXX（技术要求）、GA/T XXX-XXXX（工程要求）的本级标准。

（2）人员和职责要求。

在满足第二级要求的基础上，要求对计算机信息系统安全风险控制、管理过程的安全事务明确分工负责。对风险分析与评估、安全策略的制定、安全技术和管理的实施、安全意识培养与教育、安全审核、安全事件和事故响应、安全评估等工作指定管理责任人，分配明确的职责和权利。

对工作岗位和职责编制正式的文件，明确各岗位的职责和技能要求；对不同岗位制定和实施安全培训计划，并对安全培训计划进行维护和评估。

对计算机信息系统的工作人员、资源实施等级标记管理。

（3）物理安全管理要求。

除满足第二级的物理安全管理要求外，对安全区域实施分级标记管理，对出入标记安全区的员工验证标记，安全标记不符的人员不得出入；对出入标志安全区的活动进行监视和记录；所有物理设施要设置安全标记。

保证物理安全达到GA/T XXX-XXXX（技术要求）要求的相应等级标准。

（4）操作系统安全管理要求。

除满足第二级的要求外，安全管理负责人应按本级操作系统内置角色分别指定操作系统安全管理责任人，负责计算机信息系统可信计算基内操作系统的安全配置管理、账户管理、备份管理、打印管理和安全审计。并根据操作系统关键程度，为关键岗位制定人员备用制度。

对操作系统，指定的操作系统日常安全管理人员要对用户使用情况进行监视和登记，并验证用户的安全标记。

对使用系统工具建立使用授权、标记管理制度，并对操作系统的系统工具使用情况进行审计。对可能危及操作系统安全的系统工具进行严格的技术控制和管理控制。

制定严格的变更控制制度，保证变更不影响应用系统的可用性、安全性，保证变更过程的有效性、可审计性和可恢复性。

应及时对操作系统资源和系统文档进行标记处理、安全备份，并制定、实施应急安全计划，保证操作系统的可用性、完整性、可靠性。

（5）网络安全管理要求。

除满足第二级的要求外，对网络安全措施的使用建立严格的审计、标记制度，保证安全措施配有具体责任人，按标记等级负责网络安全措施的日常管理。

指定网络安全审计人员，负责安全事件的标记管理，网络安全事件的审计；对审计活动进行控制，保证网络设施或审计工具提供的审计记录完整性和可用性。

对可用性要求高的网络指定专人进行不间断的监控，并能及时处理安全事故。

（6）应用系统安全管理要求。

除满足第二级的要求外，要求安全管理负责人有明确管理范围、管理事务、管理规程，保证应用系统的安全措施配置正确、有效。

应用系统中的信息是应用系统安全管理的重点，应指定信息安全管理人员负责信息的分类、分级、标记管理和信息的安全发布。

制定应用软件安全管理规章制度，对应用软件的设计、开发、采购实施批准制度；对应用软件的安全性进行评估，未获明确验证的软件不得装入运行的系统；对应用软件的使用采取授权、标记管理制度。未授权用户不得安装、调试、运行、卸载应用软件，并对应用软件的使用进行审计。应用系统应安装强制标记信息访问控制的机制，按安全标记对应用系统软件和信息的访问进行控制，只对具有相应标记的授权用户开放，并对访问进行审计，对事件进行标记管理。

应指定专人负责应用系统的安全事件和安全标记的审计工作。

定期或不定期对应用系统的安全性进行评估，并根据应用系统的变更或风险变化提交正式的评估报告，提出安全建议，修订、完善有关安全管理制度和规程。

对应用系统关键岗位的工作人员实施资质调查和标记工作。

应用系统的开发人员不得从事应用系统日常运行和安全审计工作。操作系统的管理人员不得参与应用系统的安全配置管理和应用管理。

制定切实可行的应用系统及数据的备份计划和应急计划，并由专人负责落实和管理，对备份信息介质制定严格的标记制度，并按信息等级的要求制定不同的备份策略。

（7）运行安全管理要求。

除满足第二级的要求外：

① 风险管理应使用规范的方法对计算机信息系统的各个方面进行风险管理。

② 要求对关键岗位的人员实施严格的背景调查和管理控制，切实落实最小特权原则和分权制衡原则，关键安全事务要求双人共管。

③ 要求实施集中的病毒防护管理制度，要求计算机信息系统的所有操作终端能有效防范病毒或恶意代码的引入。

④ 要求定期对外部服务方访问计算机信息系统的风险进行分析和评估，对外部服务方实施严格的访问控制，并对外部服务方的访问实施监视。

⑤ 要求有专人负责应急计划和灾难恢复计划的管理工作，保证应急计划和灾难恢复计划重点突出、有效执行。

⑥ 要求系统中的关键设备和数据采取可靠的备份措施。

⑦ 要求保证安全策略、安全计划、风险管理、安全措施检查、行为准则、生命周期管理、处理授权、人员安全、物理和环境安全、技术支持与运行安全、应急计划、技术文档管理、教育与培训、应急响应、存取控制、审计跟踪等安全事务的一致性。

4．第四级（结构化保护级）实施标准化管理

（1）管理目标和范围。

在实现第三级管理目标的基础上，要求计算机信息系统的使用单位将安全策略、操作规程、规章制度和安全措施的有效性评估程序化、周期化。进行评估时采用的测试类型、频率应有正式的文件，并得到相关领导的批准，并保证按照批准的文件进行评估工作；对关键的控制措施要根据其风险制定严格测试计划；对内外明显的风险变化应立即组织风险评估；对有可能暴露系统脆弱性的安全事件记录制定例行评估制度，安全事件记录不仅包括内部安全事件或安全警告，还要考虑外部可信渠道得到的安全事件和安全警告信息；建立安全事件例行报告制度。

通过定期的安全评估提示工作人员关注其相关安全责任，表明管理层对安全管理的重视，确保人员在安全管理中的主导作用。

强制实施分权管理机制，保证系统管理员和操作员的职能分离；提供可信设施管理；增强配置管理控制。保证系统具有强壮的抗渗透能力。

通过管理活动保证计算机信息系统达到GA/T XXX-XXXX（技术要求）、GA/T XXX- XXXX（工程要求）的本级标准。

（2）人员与职责要求。

在满足第三级要求的基础上，要求安全管理渗透到计算机信息系统各级应用部门，对安全管理活动实施质量控制，建立质量管理体系文件。要求独立的审计机构对使用单位的安全管理职责体系、计算机信息系统安全风险控制、管理过程的有效性进行评审。对风险分析、安全策略、安全技术和管理的实施、安全意识培养与教育、安全审核、安全事件和事故响应、安全评估工作管理责任人进行例行考核，保证安全管理工作的有效性。

要求计算机信息系统所有用户将安全管理纳入日常工作，并定期对计算机信息系统的所有用户进行检查和评估，保证安全教育是单位工作计划的一部分。

要求对所有关键岗位的人员实施全面的背景审查和管理控制，关键安全事务应多人共管。

（3）物理安全管理要求。

除满足第三级的物理安全管理要求外，对不同安全区域实施隔离；建立出入审查、登记管理制度，保证出入得到明确授权，并且出入人员持有授权书，授权书中要明确出入的目的、操作的对象、操作的步骤和操作的结果证明；对出入标记安全区的活动进行不间断实时监视记录；建立出入安全检查制度，保证出入人员没有携带危及计算机信息系统安全的设施或物品。

保证物理安全达到GA/TXXX-XXXX（技术要求）相应等级标准。

（4）操作系统安全管理要求。

除满足第三级的要求外，安全管理机构应按本级操作系统内置角色分别指定操作系统安全管理责任人。

定期对操作系统安全性进行评估，及时对操作系统的安全弱点和漏洞进行控制；保证操作系统管理过程的可审计性。

（5）网络安全管理要求。

除满足第三级的要求外，要求建立独立的网络安全审计，对网络服务、网络安全策略、安全控制措施进行有效性检查。保证网络安全管理人员达到相应的资质。

计算机信息系统网络之间的连接实现物理或逻辑的网络隔离。

（6）应用系统安全管理要求。

除满足第三级的要求外，要求建立独立的应用安全审计，对应用系统的总体安全策略、应用系统安全措施的设计、部署、维护和运行管理进行检查。审计人员仅实施审计工作，不参与系统的其他任务。

应用系统的开发人员不应从事应用系统日常运行和安全审计工作。操作系统的管理人员不应参与应用系统的安全配置管理和应用管理，对应用系统的配置信息应进行标记。

为不同等级的应用系统制定切实可行的应用系统备份计划和应急计划，并保证监督、落实。定期对应用系统和数据的备份和应急计划进行演练和验证，保证备份的准确性、可用性，保证应急计划的可行性、有效性、完整性。对备份信息介质制定严格的分类标记制度，并按信息等级的要求制定不同的备份策略。

（7）运行安全管理要求。

除满足第三级的要求外：

① 要求建立风险管理质量管理体系文件，对风险管理过程实施独立的审计，保证安全管理过程的有效性。

② 要求计算机信息系统生命周期各个阶段的安全管理工作有明确的目标、明确的职责，并对计算机信息系统生命周期管理建立质量控制体系文件，对生命周期管理实施独立的审计，保证生命周期管理活动的有效性。

③ 要求对病毒防护管理制度实施定期和不定期的检查。

④ 要求对外部服务方每次访问计算机信息系统的风险进行控制。

⑤ 要求实施独立的审计，定期对应急计划和灾难恢复计划的管理工作进行评估，保证应急计划和灾难恢复计划的有效性。

⑥ 要求实施独立的安全审计，对使用单位的安全策略、安全计划、风险管理、安全措施检查、行为准则、生命周期管理、处理授权、人员安全、物理和环境安全、技术支持与运行安全、应急计划、技术文档管理、教育与培训、应急响应、存取控制、审计跟踪等安全事务的一致性进行检查和评估。

5．第五级（访问验证保护级）实施安全文化管理

（1）管理目标和范围。

除满足第四级的要求外，要求单位的全面安全计划成为单位文化的有机组成部分，保证有持续完善的安全计划、安全规程、安全措施。保证所有的决议有利于不断化解计算机信息系统的安全风险。要求安全脆弱性得到了很好理解，并得到切实的管理和控制。安全威胁能得到不间断的评估，对安全威胁的控制措施能适应安全环境的变化。

对计算机信息系统的安全实施全面质量管理保证体系。

通过管理活动保证计算机信息系统达到GA/T XXX-XXXX（技术要求）、GA/T XXX-XXXX（工程要求）的本级标准。

（2）人员与职责要求。

除满足第四级的要求外，计算机信息系统所有人员都能理解并有能力执行规定的安全管理要求，保证所有人员达到相应岗位的安全资质。

要求计算机信息系统的所有工作人员资质管理能得到保障。

要求对所有岗位的人员实施全面质量管理，保证内部人员的工作得到全面的控制。

（3）物理安全管理要求。

除满足第四级的要求外，要求对物理安全的保障有持续的改善。

（4）操作系统安全管理要求。

除满足第四级的要求外，要求保证操作系统的安全管理工作在多方在场并签署责任书情况下进行。

用户对操作系统的使用应经过正式授权和许可，并保证授权用户熟悉系统的操作流程，并对操作人员的操作过程实施人机操作监视。

（5）网络安全管理要求。

除满足第四级的要求外，至少有两名以上的网络安全管理人员实施网络安全管理事务，并保证网络安全管理本身的安全风险得到控制。

计算机信息系统网络之间的连接实现物理网络隔离。

（6）应用系统安全管理要求。

除满足第四级的要求外，要求对应用系统的安全状态实施周期更短的审计和检查，并保证对应用系统的安全措施能适应安全环境的变化。

（7）运行安全管理要求。

除满足第四级的要求外:

① 要求风险管理计划已成为单位业务管理的有机组成部分，并对风险管理活动实施全面的质量管理。

② 要求计算机信息系统生命周期各个阶段的安全管理已成为单位业务管理的有机组成部分，并对计算机信息系统生命周期管理实施全面的质量管理。

③ 要求制定全面的应急计划和灾难恢复计划管理细则，并通过持续评估，保证应急计划和灾难恢复计划的时效性和有效性。

④ 要求对所有变更进行安全评估，保证变更控制计划的不断完善。