GA中华人民共和国公共安全欧亿·体育（中国）有限公司标准ICS 35.020L 09GA/T 391—2002计算机信息系统安全等级保护管理要求 Management Requirementsin Computer Information System Classified Security Protection2002-07-18发布2002-07-18实施中华人民共和国公安部发布 GA/T 391—2002目次前引言 ............................................................................ III言 ............................................................................. IV1 范围................................................................................12 规范性引用文件 ...................................................................... 13 术语和定义 .......................................................................... 14 信息系统安全管理概述 ................................................................ 24.1 信息系统安全管理内涵............................................................... 24.2 主要安全要素....................................................................... 34.3 信息系统安全管理的基本原则......................................................... 44.4 安全管理的过程..................................................................... 54.5 安全管理组织....................................................................... 94.6 人员安全.......................................................................... 104.7 安全管理制度...................................................................... 115 安全等级信息系统的管理要求 ......................................................... 115.1 第一级 （用户自主保护级）实施基本的管理........................................... 125.2 第二级 （系统审计保护级）实施操作规程管理......................................... 135.3 第三级 （安全标记保护级）实施标记制度化管理....................................... 155.4 第四级 （结构化保护级）实施标准化管理............................................. 175.5 第五级 （访问验证保护级）实施安全文化管理......................................... 19附录A 安全管理等级要素........................................................... 21A.1 管理目标和范围 ................................................................... 21A.2 人员与职责要求 ................................................................... 21A.3 物理安全管理要求 ................................................................. 22A.4 系统安全要求 ..................................................................... 22A.5 网络安全管理要求 ................................................................. 23A.6 应用系统安全管理要求 ............................................................. 23A.7 运行安全管理要求 ................................................................. 24A.7.1 风险管理要求.................................................................... 24A.7.2 生命周期管理要求................................................................ 25A.7.3 安全意识教育和培训要求.......................................................... 25A.7.4 病毒防护管理要求................................................................ 25A.7.5 对第三方访问的安全管理要求...................................................