当前位置:文档之家 › 信息安全等级保护安全建设培训-信息安全管理-2

信息安全等级保护安全建设培训-信息安全管理-2

  • 格式:pdf
  • 大小:42.67 MB
  • 文档页数:64

下载文档原格式

  / 64

合集下载

信息安全等级保护培训试题集

信息安全等级保护培训试题集

信息安全等级保护培训试题集一、法律法规一、单选题1.根据《信息安全等级保护管理办法》,(A)负责信息安全等级保护工作的监督、检查、指导。

A.公安机关B.保密工作部门C.密码管理部门2.根据《信息安全等级保护管理办法》,(D)应当依照相关规和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。

A.公安机关B.保密工作部门C.密码管理部门D.信息系统的主管部门3.计算机信息系统安全保护等级根据计算机信息系统在安全、经济建设、社会生活中的_______,计算机信息系统受到破坏后对安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定。

(B)A.经济价值经济损失B.重要程度危害程度C.经济价值危害程度D.重要程度经济损失4.对拟确定为(D)以上信息系统的,运营、使用单位或者主管部门应当请信息安全保护等级专家评审委员会评审。

A.第一级B.第二级C.第三级D.第四级5.一般来说,二级信息系统,适用于(D)A.乡镇所属信息系统、县级某些单位中不重要的信息系统。

小型个体、私营企业中的信息系统。

中小学中的信息系统。

B.适用于地市级以上机关、企业、事业单位部重要的信息系统;重要领域、重要部门跨省、跨市或全国(省)联网运行的信息系统;跨省或全国联网运行重要信息系统在省、地市的分支系统;各部委官;跨省(市)联接的信息网络等。

C.适用于重要领域、重要部门三级信息系统中的部分重要系统。

例如全国铁路、民航、电力等调度系统,银行、证券、保险、税务、海关等部门中的核心系统。

D.地市级以上机关、企业、事业单位部一般的信息系统。

例如小的局域网,非涉及秘密、敏感信息的办公系统等。

6.信息系统建设完成后,(A)的信息系统的运营使用单位应当选择符合规定的测评机构进行测评合格可投入使用。

A.二级以上B.三级以上C.四级以上D.五级以上7.安全测评报告由(D)报地级以上市公安机关公共信息网络安全监察部门。

二级等保安全管理制度

二级等保安全管理制度

一、总则为加强本单位信息安全保障工作,确保信息安全,依据《中华人民共和国网络安全法》、《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)等相关法律法规,结合本单位实际情况,特制定本制度。

二、适用范围本制度适用于本单位所有信息系统,包括但不限于网络、数据库、应用系统等。

三、安全等级保护本单位信息系统按照《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)的要求,划分为二级安全保护等级。

四、组织机构及职责1. 信息安全工作领导小组负责统一领导本单位信息安全工作,制定信息安全政策,审批信息安全重大事项,监督信息安全工作的实施。

2. 信息安全管理部门负责本制度的组织实施,制定信息安全管理制度,组织信息安全培训,开展信息安全检查和评估,处理信息安全事件。

3. 信息系统管理部门负责信息系统的安全建设、运维和管理,确保信息系统符合安全等级保护要求。

4. 员工遵守信息安全管理制度,履行信息安全职责,保护信息系统安全。

五、安全管理制度1. 物理安全(1)信息系统设备应放置在安全区域,防止非法侵入和破坏。

(2)信息系统设备应定期进行维护和保养,确保设备正常运行。

(3)加强对信息系统设备的安全监控,防止设备被盗、损坏或被非法接入。

2. 网络安全(1)网络设备应配置防火墙、入侵检测系统等安全设备,防止网络攻击和非法访问。

(2)定期对网络设备进行安全检查和更新,确保网络设备安全稳定运行。

(3)严格控制网络访问权限,防止非法用户访问信息系统。

3. 数据安全(1)数据存储设备应采取加密措施,防止数据泄露和篡改。

(2)定期对数据备份,确保数据安全。

(3)严格管理数据访问权限,防止非法用户获取敏感数据。

4. 应用安全(1)应用系统应定期进行安全漏洞扫描和修复,防止安全漏洞被利用。

(2)加强对应用系统的安全审计,及时发现和处置安全事件。

(3)严格审查第三方应用,确保其符合安全要求。

信息安全等级保护管理办法范文(二篇)

信息安全等级保护管理办法范文(二篇)

信息安全等级保护管理办法范文一、概述信息安全是保障国家信息化建设、经济社会发展和国家安全的重要保障。

为了保护信息系统的安全,提高信息系统防护能力,制定信息安全等级保护管理办法。

二、适用范围本管理办法适用于所有具有信息系统的单位和个人。

三、基本原则1. 法律依据:依法进行信息安全保护,遵守国家相关法律法规。

2. 防范为主:以防范为主要手段,采取技术、物理和管理等措施防止信息安全事件发生或降低事件的危害。

3. 分级保护:根据信息系统的重要性和敏感程度,将其分为不同的等级,并采取相应的保护措施。

4. 综合治理:综合考虑技术、管理和法律等方面的因素,建立信息安全保护的综合治理体系。

四、等级划分根据信息系统的重要性和敏感程度,将其分为三个等级:一级、二级和三级。

1. 一级:对国家安全和人民群众生命财产安全具有重大影响的信息系统。

2. 二级:对国家安全和人民群众生命财产安全具有较大影响的信息系统。

3. 三级:对国家安全和人民群众生命财产安全影响较小的信息系统。

五、保护措施根据信息系统的等级划分,采取相应的保护措施。

1. 一级信息系统:(1)网络安全:采取防火墙、入侵检测系统等网络安全设备进行防护,建立安全的网络边界。

(2)数据安全:对关键数据进行加密存储和传输,确保数据的机密性和完整性。

(3)访问控制:建立严格的身份认证和访问控制机制,只允许授权人员访问相关系统。

(4)事件响应:建立紧急事件响应机制,及时处置安全事件,保障系统的稳定运行。

2. 二级信息系统:(1)网络安全:加强网络安全设备和监控系统的部署,及时发现和阻止网络攻击。

(2)数据安全:建立数据备份和恢复机制,及时恢复受损数据。

(3)访问控制:加强用户权限管理,确保只有授权用户才能访问系统。

(4)事件响应:建立应急预案和演练机制,提高事件响应速度和效率。

3. 三级信息系统:(1)网络安全:加强网络设备配置和漏洞修复,提高系统的抗攻击能力。

(2)数据安全:建立数据备份机制,防止因数据丢失造成的业务中断。

XXX信息系统网络安全等级保护建设方案(二级)

XXX信息系统网络安全等级保护建设方案(二级)

XXX信息系统网络安全等级保护建设方案2020年7月1、技术方案1.1建设背景面对我国信息安全的严峻形势,自2006年以来,以公安部、工信部、国家保密局等单位牵头,在全国范围内陆续发布了等级保护、分级保护等信息安全政策和执行标准。

2014年2月27日,中央网络安全与信息化领导小组成立,该领导小组着眼国家安全和长远发展,统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息化重大问题,研究制定网络安全和信息化发展战略、宏观规划和重大政策,推动国家网络安全和信息化法治建设,不断增强安全保障能力。

2017年《中华人民共和国网络安全法》颁布实施,该法案明确规定国家实行网络安全等级保护制度。

网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改;对网络运营者不履行规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

2019年5月13日,公安部正式发布了网络安全等级保护制度2.0标准,并于2019年12月1日开始按照2.0标准实施,该标准是在网络安全领域又一规范性条例,在操作性、指导性和强制性力度更强。

XXXX目前的主要业务系统是XX系统、XX系统等系统,系统涉及到参保结算人员的各方面信息,按照《网络安全法》和等保2.0标准对被定义成国家关键信息基础设施的网络、业务系统需要按照等级保护标准建设,XXXX需要结合实际情况,对照国家及相关监管单位要求,理清安全现状,并对现有的信息系统按照等保2.0标准二级安全要求建设。

1.2建设依据本次方案设计严格按照国家有关网络安全等级保护、信息安全保密方面的各项标准、规范、指南和管理部分要求,紧紧围绕国家信息安全发展战略进行规划设计。

国家相关文件及法律政策:《网络安全等级保护条例》《中华人民共和国网络安全法》《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发[2012]23号)《国务院关于印发“十三五”国家信息化规划的通知》(国发[2016]73号)《“健康中国2030”规划纲要》《“十三五”深化医药卫生体制改革规划》《“十三五”全国人口健康信息化发展规划》《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》《国务院办公厅关于促进”互联网+医疗健康“发展的意见》《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函[2011]1126号)卫生部《基于健康档案与区域卫生信息平台的妇幼保健信息系统技术解决方案(征求意见稿)》;《卫生部办公厅关于印发2010年基于电子健康档案、电子病历、门诊统筹管理的基层医疗卫生信息系统试点项目管理方案的通知》;《2010年基于电子健康档案、电子病历、门诊统筹管理的基层医疗卫生信息系统试点项目技术方案》等。

信息安全等级保护培训

信息安全等级保护培训
23
八、定级工作完成后需要开展哪 些工作
一是开展安全建设和整改。 二是开展等级测评。 三是开展自查。
24
九、开展安全等级保护工作依据的主
要标准有哪些
1、基础标准-划分准则(GB17859) 2、基线标准- 《信息系统安全等级保护基本要求》 3、辅助标准-定级指南、实施指南、测评准则 4、目标标准- 《信息系统通用安全技术要求》(GB/T20271) 《网络基础安全技术要求》(GB/T20270) 《操作系统安全技术要求》(GB/T20272) 《数据库管理系统安全技术要求》(GB/T20273) 《终端计算机系统安全等级技术要求》(GA/T671) 《信息系统安全管理要求》(GB/T20269) 《信息系统安全工程管理要求》(GB/T20282) 5、产品标准-防火墙、入侵检测、终端设备隔离部件等
20
第六步,备案
第二级以上信息系统,在安全保护等级确定后 30日内,由其运营、使用单位到所在地设区的市级 以上公安机关办理备案手续。隶属于中央的在京单 位,其跨省或者全国统一联网运行并由主管部门统 一定级的信息系统,由主管部门向公安部办理备案 手续。跨省或者全国统一联网运行的信息系统在各 地运行、应用的分支系统,应当向当地设区的市级 以上公安机关备案。定级工作的结果是以备案完成 为标志。基础信息网络和重要信息系统的定级、备 案工作9月底前完成。
15
安全保护等级的划分
对相应客体的侵害程度
业务信息安全被破坏时所侵害的客

一般损害 严重损害 特别严重损害
公民、法人和其他组织的合法权益 第一级 第二级 第二级
社会秩序、公共利益 国家安全
第二级 第三级
第三级 第四级 第四级 第五级
16
五级监管

信息系统安全等级保护及二级、三级审核内容和相关制度

信息系统安全等级保护及二级、三级审核内容和相关制度

《信息安全等级保护管理办法》规定,国家信息安全等级保护坚持自主定级、自主保护的原则。

信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

信息系统的安全保护等级分为以下五级,一至五级等级逐级增高:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。

第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。

国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。

第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。

国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。

第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。

国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。

第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。

国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。

中华人民共和国计算机信息系统安全保护条例(1994年国务院147号令)(“第九条计算机信息系统实行安全等级保护。

安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”)计算机信息系统安全保护等级划分准则(GB 17859-1999)(“第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级”)国家信息化领导小组关于加强信息安全保障工作的意见(中办发[2003]27号)关于信息安全等级保护工作的实施意见(公通字[2004]66号)信息安全等级保护管理办法(公通字[2007]43号)关于开展全国重要信息系统安全等级保护定级工作的通知(公信安[2007]861号)关于开展信息安全等级保护安全建设整改工作的指导意见(公信安[2009]1429号)中华人民共和国网络安全法(2017年6月1日发布)十大重要标准计算机信息系统安全等级保护划分准则(GB 17859-1999)(基础类标准)信息系统安全等级保护实施指南(GB/T 25058-2010)(基础类标准)信息系统安全保护等级定级指南(GB/T 22240-2008)(应用类定级标准)信息系统安全等级保护基本要求(GB/T 22239-2008)(应用类建设标准)信息系统通用安全技术要求(GB/T 20271-2006)(应用类建设标准)信息系统等级保护安全设计技术要求(GB/T 25070-2010)(应用类建设标准)信息系统安全等级保护测评要求(GB/T 28448-2012)(应用类测评标准)信息系统安全等级保护测评过程指南(GB/T 28449-2012)(应用类测评标准)信息系统安全管理要求(GB/T 20269-2006)(应用类管理标准)信息系统安全工程管理要求(GB/T 20282-2006)(应用类管理标准)其它相关标准GB/T 21052-2007 信息安全技术信息系统物理安全技术要求GB/T 20270-2006 信息安全技术网络基础安全技术要求GB/T 20271-2006 信息安全技术信息系统通用安全技术要求GB/T 20272-2006 信息安全技术操作系统安全技术要求GB/T 20273-2006 信息安全技术数据库管理系统安全技术要求GB/T 20984-2007 信息安全技术信息安全风险评估规范GB/T 20985-2007 信息安全技术信息安全事件管理指南GB/Z 20986-2007 信息安全技术信息安全事件分类分级指南GB/T 20988-2007 信息安全技术信息系统灾难恢复规范信息系统安全等级保护三、二级评测内容等级保护自上而下分别为:类、控制点和项。

《信息安全等级保护管理办法》(全文)

《信息安全等级保护管理办法》(全文)

7月24日,公安部网站发布四部门联合制定的《信息安全等级保护管理办法》,全文如下:第一章总则第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。

第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理.第三条公安机关负责信息安全等级保护工作的监督、检查、指导.国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。

国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。

涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。

国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。

第四条信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作.第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。

第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。

信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

第七条信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益.第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全.第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。

信息系统安全等级保护培训课件(PPT 36页)

信息系统安全等级保护培训课件(PPT 36页)

区域边界保护
保护计算环境
保护计算环境
实现集中安全管理
落实安全管理措施
三级系统安全管理措施
- 建立全面的安全管理制度,并安排专人负责并监控执行情况; - 建立全面的人员管理体系,制定严格的考核标准 - 建设过程的各项活动都要求进行制度化规范,按照制度要求进行 活动的开展 - 实现严格的保密性管理 - 成立安全运维小组,对安全维护的责任落实到具体的人 - 引入第三方专业安全服务
物理安 • 需要到物理机房实地检查,请提前申请进入机房的相关手续,并协调查看机房管理相关管理记录 全
网络安 • 需要登录网络设备、安全设备检查相关配置及漏洞扫描,请分配可接入的网络端口及地址,提供配置文件
全 主机安 • 需要登录相关主机设备检查相关配置及漏洞扫描,请分配可接入的网络端口及地址 全 应用安 • 请提供应用系统访问地址,以及访问该应用所需的网络地址,帐户名称、口令以及其它鉴别方式所需软硬件设备 全
分级保护系列标准规范
《涉及国家秘密的计算机信息系统分级保 护技术要求》BMB17-2006 《涉及国家秘密计算机信息系统安全保密 方案设计指南》 BMB23-2008 涉密信息系统安全保障建设 《涉及国家秘密计算机信息系统分级保护 指南 管理规范》BMB20-2007 《涉及国家秘密的信息系统分级保护测评 指南》BMB22—2007 《涉及国家秘密计算机信息系统分级保护 管理办法 》国家保密局16号
管理制 • 请提供安全管理制度电子档或纸质版本,以及相关记录文件

1、最灵繁的人也看不见自己的背脊。——非洲 2、最困难的事情就是认识自己。——希腊 3、勇猛、大胆和坚定的决心能够抵得上武器的精良。——达· 芬奇 4、与肝胆人共事,无字句处读书。——周恩来 5、一个人即使已登上顶峰,也仍要自强不息。——罗素· 贝克 6、一切节省,归根到底都归结为时间的节省。——马克思 7、自知之明是最难得的知识。——西班牙 8、勇气通往天堂,怯懦通往地狱。——塞内加 9、有时候读书是一种巧妙地避开思考的方法。——赫尔普斯 10、阅读一切好书如同和过去最杰出的人谈话。——笛卡儿 11、有勇气承担命运这才是英雄好汉。——黑塞 12、只有把抱怨环境的心情,化为上进的力量,才是成功的保证。——罗曼· 罗兰 13、知人者智,自知者明。胜人者有力,自胜者强。——老子 14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。——歌德 15、最具挑战性的挑战莫过于提升自我。——迈克尔· F· 斯特利 16、业余生活要有意义,不要越轨。——华盛顿 17、意志是一个强壮的盲人,倚靠在明眼的跛子肩上。——叔本华 18、最大的挑战和突破在于用人,而用人最大的突破在于信任人。——马云 19、我这个人走得很慢,但是我从不后退。——亚伯拉罕· 林肯 20、要掌握书,莫被书掌握;要为生而读,莫为读而生。——布尔沃 21、要知道对好事的称颂过于夸大,也会招来人们的反感轻蔑和嫉妒。——培根 22、业精于勤,荒于嬉;行成于思,毁于随。——韩愈 23、最大的骄傲于最大的自卑都表示心灵的最软弱无力。——斯宾诺莎 24、知之者不如好之者,好之者不如乐之者。——孔子 25、学习是劳动,是充满思想的劳动。——乌申斯基 26、要使整个人生都过得舒适、愉快,这是不可能的,因为人类必须具备一种能应付逆境的态度。——卢梭 27、越是无能的人,越喜欢挑剔别人的错儿。——爱尔兰 28、意志命运往往背道而驰,决心到最后会全部推倒。——莎士比亚 29、越是没有本领的就越加自命不凡。——邓拓 30、阅读使人充实,会谈使人敏捷,写作使人精确。——培根

CISP官方信息安全管理章节练习二

CISP官方信息安全管理章节练习二

CISP信息安全管理章节练习二一、单选题。

(共101题,共100分,每题0.990099009901分)1. 下哪项不是信息安全策略变更的原因?a、每年至少一次管理评审b、业务发生重大变更c、管理机构发生变更d、设备发生变更最佳答案是:d2. “通知相关人员ISMS的变更”是建立信息安全管理体系哪个阶段的活动?a、规划和建立b、实施和运行c、监视和评审d、保持和改进最佳答案是:d3. 在信息安全管理体系中,带有高层目标的信息安全策略是被描述在a、信息安全管理手册b、信息安全管理制度c、信息安全指南和手册d、信息安全记录文档最佳答案是:a4. 信息安全应急响应计划的制定是一个周而复始的.持续改进的过程,以下哪个阶段不在其中?a、应急响应需求分析和应急响应策略的制定b、编制应急响应计划文档c、应急响应计划的测试、培训、演练和维护d、应急响应计划的废弃与存档最佳答案是:d5. 以下哪一个不是我国信息安全事件分级的分级要素?a、信息系统的重要程度b、系统损失c、系统保密级别d、社会影响最佳答案是:c6. 某制造类公司欲建自动化发票支付系统,要求该系统在复核和授权控制上花费相当少的时间,同时能识别出需要深入追究的错误,以下哪一项措施能最好地满足上述需求?a、建立一个与供应商相联的内部客户机用及服务器网络以提升效率b、将其外包给一家专业的自动化支付和账务收发处理公司c、与重要供应商建立采用标准格式的、计算机对计算机的电子业务文档和交易处理用EDI 系统d、重组现有流程并重新设计现有系统最佳答案是:c7. 某机构通过一张网络拓扑图为甲方编写了信息安全规划并实施,其后发现实施后出现诸多安全隐患并影响业务运行效率,其根本的原因是a、设计方技术能力不够b、没有参照国家相关要求建立规划设计c、没有和用户共同确立安全需求d、没有成熟实施团队和实施计划最佳答案是:c8. 信息安全风险评估是信息安全管理体系建立的基础,以下说法错误的是?a、信息安全管理体系的建立需要确定信息安全需求,而信息安全需求获取的主要手段就是信息安全风险评估b、风险评估可以对信息资产进行鉴定和评估,然后对信息资产面对的各种威胁和脆弱性进行评估c、风险评估可以确定需要实施的具体安全控制措施d、风险评估的结果应进行相应的风险处置,本质上,风险处置的最佳集合就是信息安全管理体系的控制措施集合。

等保2.0 安全管理要求

等保2.0 安全管理要求

等保2.0 安全管理要求一、引言(200-300字)等保2.0(信息系统安全等级保护2.0)是我国针对信息系统的安全保护提出的一项重要标准,旨在进一步提升信息系统安全保护水平。

等保2.0安全管理要求是等保2.0的核心部分,涵盖了企业在信息系统安全管理过程中应遵循的一系列要求和规范。

本文将一步一步回答等保2.0安全管理要求,帮助读者更好地了解并应用这一标准。

二、等保2.0安全管理范围和目标(300-500字)等保2.0安全管理要求的范围包括了信息系统的整个生命周期,从规划和设计到实施和运维,覆盖了信息系统的所有方面。

其主要目标是确保信息系统在设计、运维和使用过程中的安全性、可靠性和可用性。

具体而言,等保2.0安全管理要求主要涉及以下几个方面:1. 安全管理体系建设:要求企业建立健全的安全管理体系,包括安全管理组织、安全文化塑造、安全培训等。

2. 信息系统安全策略和规划:要求企业制定信息系统安全策略和规划,明确安全目标和安全保障措施。

3. 安全风险管理:要求企业进行全面的安全风险评估和管理,包括对信息系统的威胁、漏洞、风险进行分析和评估,并采取相应的控制措施。

4. 安全事件管理:要求企业建立健全的安全事件管理机制,包括安全事件的预防、监测、响应和应急处置等。

5. 安全审计和监控:要求企业建立有效的安全审计和监控机制,对信息系统进行实时监测和日志记录,及时发现和响应安全事件。

6. 安全域划分和边界保护:要求企业对信息系统进行合理的安全域划分和边界保护,确保各安全域之间的安全隔离和边界防护。

7. 安全运维和维护:要求企业建立规范的安全运维和维护机制,包括安全设备的管理和维护、安全补丁的及时更新等。

8. 安全监管与评估:要求企业进行定期的安全监管和评估,包括自查自评、第三方安全评估等,确保信息系统的安全性得到持续改进。

三、等保2.0安全管理要求的实施步骤(2000-5000字)1. 安全管理体系建设第一步:确定安全管理组织架构和职责分工。

等保培训PPT课件

等保培训PPT课件

21
各级系统的保护要求差异
一级系统
计划和跟踪(主要制度)
二级系统
计划和跟踪(主要制度)
三级系统
良好定义(管理活动制度化)
四级系统
持续改进(管理活动制度化/及时改进)
22
构建系统模型_技术模型
应用系统
医疗
教育
科研
管理
主机系统
网络系统 物理环境
Web 服务 Mail 服务 数据库 多媒体平台 中间件 ……
32
物理安全
公通字[2007]43号文 测评周期要求 ➢ 第三级信息系统应当每年至少进行一次等级测评; ➢ 第四级信息系统应当每半年至少进行一次等级测评; ➢ 第五级信息系统应当依据特殊安全需求进行等级测评。 自查周期要求 ➢ 第三级信息系统应当每年至少进行一次自查; ➢ 第四级信息系统应当每半年至少进行一次自查; ➢ 第五级信息系统应当依据特殊安全需求进行自查。 根据测评、自查情况制定整改方案并实施。
除外); (三)从事相关检测评估工作两年以上,无违法记录; (四)工作人员仅限于中国公民; (五)法人及主要业务、技术人员无犯罪记录; (六)使用的技术装备、设施应当符合本办法对信息安全产品的要求; (七)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全
管理制度; (八)对国家安全、社会秩序、公共利益不构成威胁。
目录
□等级保护基本知识介绍 □等级保护基本要求的具体介绍 □信息安全等级保护检查问题发现和总结
1
等级保护基本知识介绍
□等级保护的政策依据 □等级保护的关键环节(流程) □等级保护的现实意义 □等级保护的相关标准 □《基本要求》核心思想解读
2
等级保护政策依据
✓ 《国家信息化领导小组关于加强信息安全保障工作的意见 》(中办发[2003]27号 )

信息安全等级保护二级

信息安全等级保护二级

信息安全等级保护二级信息安全等级保护二级是指在信息系统中对信息进行保密、完整性和可用性进行一定程度的保护的安全等级。

在当前信息化社会的背景下,信息安全已成为国家安全和发展的重要组成部分。

信息安全等级保护二级的实施主要包括以下几个方面:首先,建立健全安全管理体系。

企业或组织应该建立一个完善的信息安全管理体系,包括制定安全政策和制度、明确责任分工、建立规范操作流程等。

只有建立健全的安全管理体系,才能有效地管理和控制信息安全风险,确保信息系统的安全运行。

其次,加强信息系统的边界防护。

信息系统的边界防护是保护信息安全的第一道防线。

通过使用防火墙、入侵检测系统等技术手段,对外部网络攻击进行阻挡和检测,确保信息系统的安全可靠。

再次,加强对内部威胁的监控和管理。

内部员工是信息泄露和攻击的主要威胁源,因此对内部人员进行安全意识培训,建立权限管理制度,并加强对内部人员的监控与审计,可以有效地减少内部威胁对信息系统的危害。

此外,加强信息系统的安全运维。

在信息系统的运营过程中,需要定期对系统进行安全巡检和漏洞扫描,及时修补系统漏洞和弱点,并建立日志审计和事件响应机制,以及时发现并应对系统安全事件。

同时,建立灾备和业务连续性计划,确保信息系统在灾害发生时能够快速恢复运行。

最后,加强对信息的保密性和完整性的保护。

通过采用加密算法、访问控制、数据备份等手段,保证信息在存储、传输和使用过程中不被未经授权的人员获取和篡改,以确保信息的保密性和完整性。

信息安全等级保护二级的实施对于企事业单位来说具有重要的指导意义。

在实施信息安全等级保护二级时,需要坚持科学、系统、标准的原则,根据实际情况制定相应的安全措施,并做好相关人员的培训和宣传工作。

只有在建立了良好的信息安全保护体系的基础上,才能更好地防范信息泄露和攻击,保护国家和个人的信息安全。

信息安全等级保护培训考试试题集

信息安全等级保护培训考试试题集

信息安全等级保护培训考试试题集CKBOOD was revised in the early morning of December 17, 2020.信息安全等级保护培训试题集一、法律法规一、单选题1.根据《信息安全等级保护管理办法》,(A)负责信息安全等级保护工作的监督、检查、指导。

A.公安机关B.国家保密工作部门C.国家密码管理部门2.根据《信息安全等级保护管理办法》,(D)应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。

A.公安机关B.国家保密工作部门C.国家密码管理部门D.信息系统的主管部门3.计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的_______,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定。

(B)A.经济价值经济损失B.重要程度危害程度C.经济价值危害程度D.重要程度经济损失4.对拟确定为(D)以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。

A.第一级B.第二级C.第三级D.第四级5.一般来说,二级信息系统,适用于(D)A.乡镇所属信息系统、县级某些单位中不重要的信息系统。

小型个体、私营企业中的信息系统。

中小学中的信息系统。

B.适用于地市级以上国家机关、企业、事业单位内部重要的信息系统;重要领域、重要部门跨省、跨市或全国(省)联网运行的信息系统;跨省或全国联网运行重要信息系统在省、地市的分支系统;各部委官方网站;跨省(市)联接的信息网络等。

C.适用于重要领域、重要部门三级信息系统中的部分重要系统。

例如全国铁路、民航、电力等调度系统,银行、证券、保险、税务、海关等部门中的核心系统。

D.地市级以上国家机关、企业、事业单位内部一般的信息系统。

例如小的局域网,非涉及秘密、敏感信息的办公系统等。

信息安全等级保护培训课程(PDF 99页)

信息安全等级保护培训课程(PDF 99页)

方 法 指 导
基线要求
信息系统安全等级保护基本要求的行业细则






























信息系统安全等级保护基本要求
技术类
信息系统通用安全
管理类
信息系统安全
产品类
操作系统安全技术
目录
有关的概念、政策和标准回顾 安全建设整改的具体要求和工作流程 安全建设整改的内容和方法
第四级 S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,
S4A2G4,S4A1G4
第五级 S1A5G5,S2A5G5,S3A5G5,S4A5G5,S5A5G5,
S5A4G5,S5A3G5,S5A2G5,S5A1G5
安全保护能力
系统能够抵御威胁、发现安全事件以及在系 统遭到损害后能够恢复先前状态等的程度
2008
信息安全技术
信息系安全统技安术全等级信保息护系基统本通要用求安全技术要求
3 GB/T 21052-2006 信息安全技术 信息系统物理安全技术要求
6
GB/T 244856-GB/T 2009
2信02息7安0-全20技0术6
信息系安全统技等术级保护网安络全基设础计安技全术技要术求要求
5 GB/T 20272-2006 信息安全技术 操作系统安全技术要求
指对国家秘密信息、法人和其他组织及公民的专有 信息以及公开信息和存储、传输、处理这些信息的 信息系统分等级实行安全保护;

信息安全管理体系培训课件全文

信息安全管理体系培训课件全文

企业内部信息安全管理制度建设
制度建设的重要性
强调企业内部信息安全管理制度建设的重要性,包括保障 企业信息安全、提高企业竞争力等。
制度建设的内容
介绍企业内部信息安全管理制度建设的主要内容,如信息 安全管理策略、安全管理制度、安全操作规程等。
制度建设的实施与监督
阐述如何实施企业内部信息安全管理制度,包括制定实施 计划、进行培训、监督执行等,以及如何对制度的有效性 进行评估和改进。
防火墙技术应用及案例分析
防火墙技术概述
防火墙分类
案例分析
防火墙是网络安全领域的重要设备, 通过设置访问控制规则,对进出网络 的数据包进行过滤和拦截,从而保护 网络免受攻击和入侵。
根据工作原理和实现方式,防火墙可 分为包过滤防火墙和应用层网关防火 墙。包过滤防火墙根据数据包头信息 进行过滤,而应用层网关防火墙则基 于应用程序进行过滤。
信息安全管理体系培训课件全文
汇报人:可编辑 2023-12-21
• 信息安全管理体系概述 • 信息安全管理体系标准与规范 • 信息安全风险评估与应对策略 • 信息安全技术应用与实践案例分析 • 信息安全意识培养与行为规范引导 • 总结回顾与未来展望
01
信息安全管理体系概述
定义与目标
定义
信息安全管理体系(ISMS)是一个综合性的框架,用于组织 管理、控制和指导其信息安全的各个方面。它包括策略制定 、组织管理、技术实施和持续改进等环节,旨在保护组织的 资产和信息免受威胁和攻击。
战,确保组织的信息资产得到充分保护。
培训意义
培训对于组织和个人都具有重要意义。对于组织而言,通过培训可以提高员工的信息安 全意识和技能水平,降低信息安全风险,确保组织的业务连续性和竞争优势。对于个人 而言,培训可以提高个人的职业素养和综合能力,为未来的职业发展打下坚实的基础。

信息安全等级保护(二级)建设设计实施方案

信息安全等级保护(二级)建设设计实施方案

信息安全等级保护(二级)建设方案目录1.项目概述 (5)1.1. 项目建设目标 (5)1.2. 项目参考标准 (6)1.3. 方案设计原则 (9)2. 系统现状分析 (10)2.1. 系统定级情况说明 (10)2.2. 业务系统说明 (11)2.3. 网络结构说明 (11)3. 安全需求分析 (12)3.1. 物理安全需求分析 (12)3.2. 网络安全需求分析 (12)3.3. 主机安全需求分析 (13)3.4. 应用安全需求分析 (13)3.5. 数据安全需求分析 (13)3.6. 安全管理制度需求分析 (14)4. 总体方案设计 (14)4.1. 总体设计目标 (14)4.2. 总体安全体系设计 (14)4.3. 总体网络架构设计 (18)4.4. 安全域划分说明 (18)5. 详细方案设计技术部分 (19)5.1. 物理安全 (19)5.2. 网络安全 (19)5.2.1.安全域边界隔离技术 (19)5.2.2.入侵防范技术 (20)5.2.3.网页防篡改技术 (20)5.2.4.链路负载均衡技术 (20)5.2.5.网络安全审计 (20)5.3. 主机安全 (21)5.3.1.数据库安全审计 (21)5.3.2.运维堡垒主机 (22)5.3.3.主机防病毒技术 (23)5.4. 应用安全 (23)6. 详细方案设计管理部分 (24)6.1. 总体安全方针与安全策略 (24)6.2. 信息安全管理制度 (25)6.3. 安全管理机构 (26)6.4. 人员安全管理 (26)6.5. 系统建设管理 (27)6.6. 系统运维管理 (27)6.7. 安全管理制度汇总 (30)7. 咨询服务和系统测评 (31)7.1. 系统定级服务 (31)7.2. 风险评估和安全加固服务 (32)7.2.1.漏洞扫描 (32)7.2.2.渗透测试 (32)7.2.3.配置核查 (32)7.2.4.安全加固 (32)7.2.5.安全管理制度编写 (35)7.2.6.安全培训 (35)7.3. 系统测评服务 (35)8. 项目预算与配置清单 (35)8.1. 项目预算一期(等保二级基本要求) (35)8.2. 利旧安全设备使用说明 (37)1.项目概述1.1.项目建设目标为了进一步贯彻落实教育行业信息安全等级保护制度,推进学校信息安全等级保护工作,依照国家《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全保护等级定级指南》等标准,对学校的网络和信息系统进行等级保护定级,按信息系统逐个编制定级报告和定级备案表,并指导学校信息化人员将定级材料提交当地公安机关备案。

信息安全管理培训

信息安全管理培训

第三方安全建议
识别所有相关第三方:服务提供商,设备提供商,咨询顾问 ,审计机构,物业,保洁等。 识别所有与第三方相关的安全风险,无论是牵涉到物理访问 还是逻辑访问。 在没有采取必要控制措施,包括签署相关协议之前,不应该 授权给外部伙伴访问。应该让外部伙伴意识到其责任和必须遵 守的规定。 在与第三方签订协议时特别提出信息安全方面的要求,特别 是访问控制要求。 对第三方实施有效的监督,定期Review服务交付。
信息安全管理的几个关注点
物理安全 第三方安全 内部人员安全 重要信息的保密 介质安全 口令安全 信息交换及备份 漏洞管理与恶意代 码 应急与业务连续性 法律和政策
案例
案例一: 2003年,上海某家为银行提供ATM服务的公司,软件工程师 苏强。利用自助网点安装调试的机会,绕过加密程序Bug,编写 并植入一个监视软件,记录用户卡号、磁条信息和密码,一个 月内,记录下7000条。然后拷贝到自己电脑上,删掉植入的程 序。后来苏强去读研究生,买了白卡和读卡器,伪造银行卡, 两年内共提取6万元。只是因为偶然原因被发现,公安机关通过 检查网上查询客户信息的IP地址追查到苏强,破坏案件。 案例二: 北京移动电话充值卡事件
案例4 案例 案例3 2 网络钓鱼,通过大量发送声称来自于银行或其他知名机构的 2004年 7月19 日,恶意网站伪装成联想的主页 2009 变身一夜情网站。云安 2007年 年7 3月 月14 14日,土耳其使馆遭黑客攻击 日,灰鸽子木马团伙调动上万台“肉鸡”组成的 全中心最新的监测数据显示, 14日土耳其驻华大使馆的官网受到两个 欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、 “僵尸网络”,对金山毒霸官方网站进行疯狂的攻击,造成浏览金 不同的黑客团伙同时攻击,结果沦为两个团伙的“聊天室”。 山毒霸网站的用户被挟持到幕后黑手指定的网站。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

应确保信息处理设备必须经过审批才能 带离机房或办公地点
设备带出的审批规程 1)设备带离机房应经过审批。 2)保留审批记录
系统运维管理
监控管理和安全管理中心- a(1)
应对通信线路、主机、网络设备和应用软件的 运行状况、网络流量、用户行为等进行监测和 报警,形成记录并妥善保存
监控措施及记录 1)对主机、网络设备和应用系统的运行状况进行监 测和报警。 2)监控内容完整,包括通信线路、主机、网络设备 和应用软件的运行状况、网络流量、用户行为 3)保留监控运维记录,并按分类归档和保管
系统运维管理
介质管理- a(0.5)
应建立介质安全管理制度,对介质的存 放环境、使用、维护和销毁等方面作出规 定
介质安全管理制度 1)已建立介质管理制度 2)制度内容全面,覆盖介质的存放、使用、 维修、销毁等过程的操作。
系统运维管理
介质管理- b(0.2)
应确保介质存放在安全的环境中,对各 类介质进行控制和保护,实行存储环境专 人管理
更新及备份措施 1)升级软件或补丁来源可靠; 2)当前使用软件为更新版本; 3)软件版本升级的工作记录表明升级前已对重要内 容进行备份;
系统运维管理
网络安全管理- d(0.5)
应定期对网络系统进行漏洞扫描,对发现的网 络系统安全漏洞进行及时的修补
定期漏扫的设备或措施 1)具有网络漏洞扫描报告,描述了系统存在的漏洞、 严重级别、原因分析和改进意见等方面内容; 2)具有对发现漏洞进行修补的文档记录; 3)报告表明漏洞扫描工作定期进行;
系统运维管理
介质管理- d(0.5)
应对存储介质的使用过程、送出维修以及销毁 等进行严格的管理,对带出工作环境的存储介质 进行内容加密和监控管理,对送出维修或销毁的 介质应首先清除介质中的敏感数据,对保密性较 高的存储介质未经批准不得自行销毁
1)销毁前对数据进行净化处理。 2)介质安全管理制度中包括对存储介质的使用过程、 送出维修以及销毁等进行严格管理的方法和对带出工 作环境的存储介质进行内容加密和监控管理的方法。 3)对保密性较高的介质销毁前经领导批准。 4)有存储介质的送修、带出或销毁记录。
资产安全管理制度 1)已建立资产管理制度 2)制度内容全面,包括职责划分、资产使用 及维护等方面相关管理活动系统运维管理源自 资产管理- c(0.2)
应根据资产的重要程度对资产进行标识管理, 根据资产的价值选择相应的管理措施
依据资产的重要程度对资产进行分类和标识管理,不 同类别的资产是否采取不同的管理措施 1)明确按重要程度对资产进行标识的方法 2)明确不同重要程度资产的管理策略(措施) 3)现场查看资产清单中设备的资产标识情况,符合 相关规定
信息安全等级保护基本要求-管理篇
系统运维管理
环境管理 资产管理 介质管理 设备管理 监控管理和安全 管理中心
网络安全管理 系统安全管理 恶意代码防范管理 密码管理 变更管理 备份与恢复管理 安全事件处置 应急预案管理
系统运维管理
环境管理- a(0.5)
定期检查的管理规定 1)具有检查违反规定拨号上网或其他违反网络安全 策略行为的工作记录; 2)具有检查违反规定拨号上网或其他违反网络安全 策略行为的工具和手段,并留存相关检查结果;
系统运维管理
系统安全管理- a(1)
应根据业务需求和系统安全分析确定系统的访 问控制策略
系统访问控制策略,控制分配信息系统、文件及服务 的访问权限 1)具有系统安全访问控制策略说明文档,规定了根据 业务需求和系统安全分析制定系统的访问控制策略, 控制分配文件及服务的访问权限; 2)访问控制策略覆盖全面。
系统运维管理
介质管理- e(0.2)
应根据数据备份的需要对某些介质实行异地存 储,存储地的环境要求和管理方法应与本地相同
异地数据备份管理 1)介质异地存放环境条件满足安全要求。
系统运维管理
介质管理- f(0.5)
应对重要介质中的数据和软件采取加密 存储,并根据所承载数据和软件的重要程 度对介质进行分类和标识管理
系统运维管理
设备管理- d(0.2)
应对终端计算机、工作站、便携机、系统和网络 等设备的操作和使用进行规范化管理,按操作规 程实现设备(包括备份和冗余设备)的启动/停止、 加电/断电等操作
操作规程 1)有终端计算机、工作站、便携机、系统和网络等 设备的操作手册
系统运维管理
设备管理- e(0.2)
系统运维管理
设备管理- b(0.5)
应建立基于申报、审批和专人负责的设备安全 管理制度,对信息系统的各种软硬件设备的选 型、采购、发放和领用等过程进行规范化管理
设备安全管理制度 1)建立了设备安全管理制度 2)制度覆盖全面,包括了设备选用的各个环节(选 型、采购、发放等)的管理规定。 3)设备选型、采购、发放等环节的申报和审批过程 保留记录。
系统运维管理
设备管理- c(0.5)
应建立配套设施、软硬件维护方面的管理制度, 对其维护进行有效的管理,包括明确维护人员 的责任、涉外维修和服务的审批、维修过程的 监督控制等
维护管理制度 设备涉外维修的审批 1)建立了设备维护管理方面的管理制度 2)制度覆盖全面,包括了维护人员的责任、涉外维 修和服务的审批、维修过程的监督控制等方面。 3)涉外维修和服务的审批、维修过程保留记录
加密存储 1)重要介质中的数据和软件加密存放 2)介质的重要性标识符合管理规定
系统运维管理
设备管理- a(0.2)
应对信息系统相关的各种设备(包括备份和冗 余设备)、线路等指定专门的部门或人员定期进 行维护管理
设备维护规定 各类测试工具进行有效性检查 1)指定专人或专门部门对各类设施、设备进行定期 维护。 2)部门或人员岗位职责文档中明确规定了设备维护 管理的责任部门
应指定专门的部门或人员定期对机房供配电、 空调、温湿度控制等设施进行维护管理
机房运维人员、维护频率、维护内容 1)有专人或部门负责对机房设施的维护 2)有机房维护记录 3)记录内容完整,维护日期、维护人、维护设备、 故障原因、维护结果等
系统运维管理
环境管理- b(0.5)
应指定部门负责机房安全,并配备机房安全管 理人员,对机房的出入、服务器的开机或关机 等工作进行管理
机房运维人员、管理规定 1)有专门部门负责对机房安全管理工作 2)有岗位职责文档描述机房安全责任部门和岗位职 责
系统运维管理
环境管理- c(0.2)
应建立机房安全管理制度,对有关机房物理访 问,物品带进、带出机房和机房环境安全等方 面的管理作出规定
机房安全管理制度 1)建立了机房安全管理制度 2)制度内容覆盖机房物理访问、物品带进、带出机 房和机房环境安全等方面。 3)现场观察机房安全管理实际情况符合制度规定
应建立安全管理中心,对设备状态、恶意代码、 补丁升级、安全审计等安全相关事项进行集中管 理
集中管理措施 1)对设备状态、恶意代码、补丁升级、安全审计等 相关事项进行集中管理。 2)采用相关工具进行安全集中管理。
系统运维管理
网络安全管理- a(1)
应指定专人对网络进行管理,负责运行日志、 网络监控记录的日常维护和报警信息分析和处 理工作
系统运维管理
监控管理和安全管理中心- b(1)
应组织相关人员定期对监测和报警记录进行分析、 评审,发现可疑行为,形成分析报告,并采取必 要的应对措施
安全分析报告 1)定期对监控记录进行分析、评审。 2)形成异常现象及处理措施的分析报告
系统运维管理
监控管理和安全管理中心- c(1)
网络安全管理制度 1)建立了网络安全管理制度; 2)网络安全管理制度内容全面,涵盖了网络安全配 置、日志保存时间、安全策略、升级与打补丁、口令 更新周期等方面内容; 3)现场具有相应的工作记录表明实施了相应工作;
系统运维管理
网络安全管理- c(0.5)
应根据厂家提供的软件升级版本对网络设备进 行更新,并在更新前对现有的重要文件进行备 份
网络管理员 1)有专人或部门负责对网络进行维护; 2)具有网络安全管理角色的职责文档,职责内容包 括日志、网络监控记录的日常维护和报警信息分析和 处理工作; 3)有工作记录表明相应人员履行了职责工作;
系统运维管理
网络安全管理- b(0.5)
应建立网络安全管理制度,对网络安全配置、 日志保存时间、安全策略、升级与打补丁、口令 更新周期等方面作出规定
系统运维管理
资产管理- a(0.2)
应编制并保存与信息系统相关的资产清 单,包括资产责任部门、重要程度和所处 位置等内容
1)已建立资产清单 2)资产清单内容全面,覆盖资产责任人、所 属级别、所处位置、所处部门等方面。
系统运维管理
资产管理- b(0.5)
应建立资产安全管理制度,规定信息系 统资产管理的责任人员或责任部门,并规 范资产管理和使用的行为
系统运维管理
网络安全管理- f(0.5)
应保证所有与外部系统的连接均得到授权和批 准
外联的授权和审批流程、记录 1)所有外部连接均具有授权批准记录; 2)具有定期检查违规联网的工作记录;
系统运维管理
网络安全管理- g(1)
应依据安全策略允许或者拒绝便携式和移动式设 备的网络接入
系统运维管理
环境管理- d(0.2)
应加强对办公环境的保密性管理,规范办公环 境人员行为,包括工作人员调离办公室应立即 交还该办公室钥匙、不在办公区接待来访人员、 工作人员离开座位确保终端计算机退出登录状 态和桌面上没有包含敏感信息的纸档文件等
1)制度中有对办公环境保密性进行管理、规范人员 行为的相关内容。 2)管理内容全面,包括人员离岗管理、来访人管理、 终端桌面保密管理等 3)现场观察办公桌面及终端屏保情况。