当前位置:文档之家 › 等保二级管理系统要求

等保二级管理系统要求

  • 格式:doc
  • 大小:39.00 KB
  • 文档页数:9

下载文档原格式

  / 9

合集下载

网络安全二级等保要求

网络安全二级等保要求

网络安全二级等保要求网络安全是当今信息时代面临的重要问题之一,为了保障国家和个人的信息安全,中国国家计算机网络和信息化安全管理中心制定了网络安全等级保护(二级)的相关要求。

网络安全等级保护是一种针对网络系统安全的分类和分级保护方法,旨在根据信息的重要性和对安全的要求,划分出不同的安全等级,并制定相应的安全要求。

网络安全等级保护(二级)要求主要包括以下几个方面:1. 系统管理要求:要求所有网络系统都要建立完善的安全管理和操作规范,包括安全管理制度、密码管理制度、用户权限管理制度等。

同时,要求对网络系统进行定期的安全检查和漏洞修复,并建立应急响应机制,及时应对各种安全事件和攻击行为。

2. 安全策略要求:要求网络系统要建立合理的安全策略,包括网络边界控制、访问控制、传输加密以及防火墙和入侵检测系统的配置等。

网络边界控制主要是通过防火墙和入侵检测系统等技术手段,对外部访问和通信进行监控和控制,防止未经授权的访问和攻击行为。

3. 身份认证要求:要求网络系统要建立有效的身份认证和访问控制机制,确保只有经过授权的用户才能访问和使用系统。

身份认证可以采用多种方式,如用户名和密码、指纹识别、数字证书等。

此外,还要求对用户访问进行完整性和可追溯性的记录,以便发现和应对安全事件和威胁。

4. 数据保护要求:要求网络系统要加强对数据的保护,包括数据备份、加密和完整性校验等措施。

数据备份是为了防止数据丢失或损坏时能够及时恢复,确保数据的可用性。

数据加密可以通过对数据进行加密算法运算,使其在传输和存储过程中不易被窃取和篡改。

数据完整性校验则是通过技术手段确保数据在传输和存储过程中不被篡改和损坏。

5. 安全事件管理要求:要求网络系统建立健全的安全事件管理和响应机制,及时发现、报告和处置各种安全事件和威胁。

安全事件管理主要包括事件收集和日志记录、事件分析和漏洞补丁管理、威胁情报搜集和安全通告等。

通过及时响应和处理安全事件,可以减少安全风险,并提高系统的安全性和稳定性。

等保二级 管理制度

等保二级 管理制度

等保二级管理制度等保二级管理制度是指我国信息安全等级保护制度中的一种级别。

信息安全等级保护制度是我国在网络安全领域的一个重要措施,旨在对各类信息系统进行安全等级评估,并为不同等级的信息系统制定相应的安全保护措施和管理规定,保障国家信息系统的安全性和可靠性。

等保二级管理制度是我国信息保护制度的中间级别,相对于一级和三级来说,它在安全性和保护措施方面具有平衡的特点。

等保二级管理制度要求对信息系统的安全管理进行全面的覆盖,包括物理安全、人员安全、网络安全、应用系统安全等多个方面。

首先,等保二级管理制度对物理安全的要求非常严格。

物理安全是信息系统安全的第一道防线,它关乎到信息系统设备和环境的安全性。

在等保二级管理制度下,对信息系统的机房、设备、存储介质等进行了详细的物理安全要求。

例如,要求机房必须有安全可靠的门禁系统,仅限授权人员进出;要求服务器和存储设备必须进行严密的密封和管理,防止非法入侵和信息泄露等。

其次,等保二级管理制度对人员安全的要求也是十分严格的。

人员是信息系统安全的重要环节,一个合格的管理制度必须通过人员安全控制来保障信息系统的安全。

在等保二级管理制度下,要求对从事信息系统管理与运维的人员必须进行严格的背景审查和岗前培训,确保其具备相关的技术和安全意识。

另外,制度还明确了对人员的权限管理、岗位分工和监督机制等细节要求,以减少内部人员对信息系统的滥用和损害。

此外,等保二级管理制度还对网络安全提出了全面的要求。

网络安全是信息系统安全的关键环节,它涉及到信息系统与外界环境的信任问题。

在等保二级管理制度下,要求建立健全的网络设备与拓扑结构,保障信息通信的安全和可靠性。

同时,要求对网络入侵和攻击进行及时检测和响应,建立实时监控和日志审计机制,确保对网络安全事件的追溯和防范。

最后,等保二级管理制度还对应用系统安全提出了具体要求。

应用系统是信息系统的核心组成部分,它直接面向用户,并处理和存储各类敏感信息。

二级等保管理要求

二级等保管理要求

二级等保管理要求一、等级介绍等保是指信息系统安全等级保护,是国家对信息系统安全的管理和评估制度。

等保管理分为五个等级,分别为一级、二级、三级、四级和五级,等级从高到低递减。

二级等保要求是指对于中等风险的信息系统所需要满足的安全管理要求。

下面将详细介绍二级等保管理要求。

二、涉及范围三、管理措施1.安全管理体系要求:建立健全信息系统安全管理体系,包括制定安全管理制度、制定安全管理规范、组织安全工作培训、落实安全管理责任等。

2.安全策略与管理要求:制定信息系统安全策略,明确信息系统的保密、完整性和可用性要求,确保信息系统各项措施的连续和有效执行。

3.安全风险管理要求:建立信息系统安全风险管理制度,包括风险评估、风险处理、风险监控等,确保及时识别、分析和处理信息系统安全风险。

4.安全审计与评估要求:建立信息系统安全审计和评估制度,包括内部审计、外部评估和安全漏洞扫描等,确保对信息系统的安全性进行定期检查和评估。

5.安全运维要求:建立信息系统安全运维制度,包括安全设备管理、安全事件管理、日志管理等,确保信息系统在正常运行过程中的安全性。

6.安全技术要求:采取必要的安全技术措施,包括访问控制、传输加密、身份认证、数据备份等,确保信息系统的安全性和可靠性。

7.应急管理要求:建立信息系统安全应急管理制度,包括应急预案编制、应急演练、应急响应等,确保及时有效地应对信息系统安全事件。

8.人员安全要求:加强对人员的安全教育和培训,确保人员对信息系统安全的认识和意识,并制定相应的人员管理制度,包括离职人员的安全处理等。

四、保密要求1.隐私信息保护:对于涉及个人隐私信息的系统,需要采取必要的措施进行保护,包括数据加密、访问控制等。

2.保密通信要求:对于涉密通信,需要使用加密通信工具进行传输,避免信息泄露。

3.保密操作要求:对于操作涉密信息的人员,需要签订保密协议,并进行严格的监管和管理。

5.信息输出控制:对于涉密信息的输出,需要进行严格的控制,包括打印记录、传输记录等。

二级等保的架构要求

二级等保的架构要求

二级等保的架构要求一、物理安全方面。

1. 位置选择。

机房的位置可不能随随便便。

得选个安全的地儿,远离那些容易发生火灾、水灾或者其他灾害的地方。

比如说,不能挨着化学工厂或者容易发大水的河边。

就像你不会把宝贝藏在危险的悬崖边一样。

2. 物理访问控制。

机房可不是谁想进就能进的。

得有严格的门禁系统,就像进高档俱乐部得有会员卡一样。

只有授权的人员才能进去,而且还得记录谁什么时候进去过,出来过。

这就好比家里的日记,得清楚地记着谁啥时候来过家里。

3. 防盗窃和破坏。

机房里的设备可都是宝贝,得防止被偷或者被破坏。

要有监控摄像头,就像有一双双眼睛盯着一样。

设备还得固定好,不能让人轻易搬走,这就像把贵重的花瓶放在牢固的架子上,而不是随随便便放在桌子边。

二、网络安全方面。

1. 结构安全。

网络结构得清晰合理。

就像搭积木一样,不同功能的部分得有规划地放好。

内部网络和外部网络要分开,这就像把家里的生活区和工作区分开,不能混在一起。

有个明确的网络拓扑图,就像房子的设计图一样,让人一看就明白网络是怎么个架构。

2. 访问控制。

网络访问得管得严严实实的。

哪些人能访问哪些资源,得规定得清清楚楚。

就像在餐馆里,只有厨师能进厨房,顾客只能在餐厅用餐。

得有防火墙、访问控制列表这些东西,把不该进来的东西都挡在外面。

3. 网络安全审计。

网络上发生的事情都得记下来,就像记流水账一样。

谁访问了什么网站,什么时候传输了什么数据,都得有记录。

这样要是出了问题,就能像侦探查案一样,根据这些记录找到原因。

三、主机安全方面。

1. 身份鉴别。

主机得能认出谁是谁。

就像门卫能认出小区里的居民一样。

要有用户名和密码,而且密码不能太简单,不能是像“123456”这种谁都能猜到的。

最好还有多因素认证,比如再加上手机验证码之类的,这就像给门上加了两把锁。

2. 访问控制。

主机里的文件和资源也不是谁都能乱动的。

得给不同的用户设置不同的权限,就像家里的房间,主人能进所有房间,客人只能在客厅活动。

软件等保二级基本要求

软件等保二级基本要求

软件等保二级基本要求软件等级保护(Software Security Protection,以下简称等保)是指国家对软件产品(包括系统软件、应用软件、数据库及其他与计算机信息系统安全有关的软件)的安全达到的标准要求和控制要求。

等保二级是等保的一种等级分类,是对软件产品安全性的基本要求。

下面将详细解释等保二级的基本要求。

一、密码要求:密码是保证信息安全的重要手段。

在等保二级基本要求中,包括了对密码的安全性要求。

具体要求包括:密码应该由至少8个字符组成,包含大小写字母、数字和特殊字符;密码应该经过定期变更,一般要求为90天;密码不应该与用户账号、个人信息或常见字词相关;不能出现弱密码或强迫用户使用密码的规则。

二、用户管理:用户管理是保证信息安全的一个重要环节。

在等保二级基本要求中,用户管理的要求包括:系统应该实行企业级用户账号管理,包括账号的新增、设置、变更和删除;对于离职用户,应该及时取消其访问权限;用户账号过期应该自动停用,并及时对停用的账号进行删除;对于敏感操作,应该限制访问权限,包括对重要信息的修改、删除和备份等操作。

三、访问控制:访问控制是保证信息安全的核心要求之一、在等保二级基本要求中,访问控制要求包括:对不同等级的用户实行不同的访问控制策略,包括不同用户组别、角色和权限的划分;对于重要信息和敏感数据,应该将访问权限控制在最小范围内;对于系统管理员等特权用户,应该特别加强访问控制,实行严格审计和监控。

四、事件响应:事件响应是保证信息安全的一个重要环节。

在等保二级基本要求中,事件响应的要求包括:建立完善的事件响应机制和流程,包括事件的收集、处理、跟踪和报告等过程;建立事件监测和预警机制,及时发现和应对安全事件;对于重要的安全事件,应该及时通知相关人员,采取紧急措施并进行快速恢复。

五、日志管理:日志管理是保证信息安全的一个重要手段。

在等保二级基本要求中,日志管理的要求包括:对于重要系统和应用软件,应该记录关键操作和事件的日志,包括用户登陆、系统配置变更、异常访问、安全事件等;日志应该具备完整性和不可篡改性;对于日志的存储,需要建立合理的存储周期和备份机制。

软件系统等保二级的要求

软件系统等保二级的要求

软件系统等保二级的要求
软件系统等保二级是指根据国家相关法律法规以及相关标准和规范,对软件系
统的安全性进行评估和等级划分的一项工作。

根据国家《信息安全等级保护管理办法》规定,软件系统等保二级要求满足以下内容:
1. 安全策略管理:软件系统等保二级要求建立健全的安全策略管理机制,明确
安全策略的制定、变更和评审等流程,并定期对策略进行审查和更新。

2. 访问控制管理:软件系统等保二级要求采取多因素身份验证的方式,对用户
的身份进行验证,确保只有经过认证的用户才能访问系统,并根据用户的权限级别对其进行访问控制。

3. 安全审计管理:软件系统等保二级要求具备完善的安全审计功能,能够对系
统的操作进行日志记录和审计,以便追踪和分析系统的安全事件。

4. 系统通信安全:软件系统等保二级要求对系统间的数据传输进行加密和认证,确保数据在传输过程中不被篡改和窃取,同时要求建立安全的网络隔离机制,防止未授权的访问。

5. 安全更新管理:软件系统等保二级要求建立安全漏洞和补丁管理机制,及时
更新和修复系统中的安全漏洞,确保系统不受已知的安全威胁。

6. 系统备份与恢复:软件系统等保二级要求建立完备的数据备份和灾难恢复机制,能够及时恢复正常运行,保证系统数据的完整性和可用性。

以上是软件系统等保二级的基本要求,通过严格遵守这些要求,能够有效保护
软件系统的安全性,降低安全风险,保护用户的信息安全。

等保二级 管理制度

等保二级管理制度1. 概述等保二级管理制度是指在网络信息系统安全保护中,为了满足等级保护要求,确保信息系统安全防护措施的科学性、合理性和有效性,制定的一套具体管理措施和规定,以保障信息系统的安全性和可靠性。

该管理制度的实施旨在建立一套完整的管理体系,明确各级人员的职责和权限,确保信息系统在技术、制度和管理上的全面保护。

2. 管理范围等保二级管理制度适用于所有涉及到等保二级的网络信息系统,包括政府机关、企事业单位、科研院所等各类组织。

对于涉密信息系统和重要的公共信息基础设施,更是要严格执行等保二级管理制度。

3. 级别划分根据等级保护要求,等保二级管理制度将信息系统安全划分为不同的级别,包括网络安全技术措施、网络安全管理措施、密码管理、物理安全等方面的要求。

各级别的要求根据实际情况进行了细化,确保了信息系统的全面安全。

4. 制度要求4.1 网络安全技术措施等保二级管理制度要求在信息系统中采用安全可靠的技术措施,包括网络边界防护、访问控制、应用安全、数据安全等方面的防护措施。

这些措施的具体要求是根据等保要求以及信息系统的实际情况而定的。

4.2 网络安全管理措施等保二级管理制度要求建立科学的网络安全管理机制,包括建立网络安全责任制、规范管理权限、完善信息安全培训和管理制度等。

管理措施的实施要求全员参与,各部门和人员要合作配合,形成协同作战的态势。

4.3 密码管理等保二级管理制度对密码管理提出了严格的要求,包括密码复杂度、密码更改周期、密码传输方式等方面的规定。

同时,还要求建立密码管理和审计机制,确保密码安全的可靠性和不被盗用的风险。

4.4 物理安全除了技术和管理措施外,等保二级管理制度还要求加强对信息系统物理设备的保护。

这包括物理访问控制、设备布线安全、设备运维管理等方面的要求,确保物理设备的安全可靠。

5. 管理制度评估和改进为了确保等保二级管理制度的有效性和适用性,需要定期对管理制度进行评估和改进。

评估可以采用自查和第三方验收的方式,发现问题并及时修正。

等保二级说明

等保二级说明等保(Information Security Protection)是指信息安全保护的一种国家级评估认证体系,由中国信息安全测评中心(CNITSEC)负责实施。

等保二级是等保体系中的一级,对信息系统的安全性和可信度进行评估和认证,是保障信息系统安全的重要手段之一。

等保二级的评估依据主要包括信息系统的安全策略、安全管理、安全技术、安全事件管理等方面的要求。

下面将对这些要求进行详细说明。

一、安全策略等保二级要求信息系统应制定完善的安全策略,明确信息系统安全的目标和原则。

安全策略应包括信息安全管理体系、安全目标、安全政策、安全组织、安全人员等方面的内容。

二、安全管理等保二级要求信息系统应建立健全的安全管理体系,包括安全管理制度、安全培训教育、安全检查和安全评估等方面。

安全管理制度应明确安全责任、安全权限和安全流程,确保信息系统安全管理的连续性和有效性。

三、安全技术等保二级要求信息系统应采用先进的安全技术措施,包括网络安全技术、主机安全技术、数据库安全技术等方面。

网络安全技术包括防火墙、入侵检测系统、安全网关等;主机安全技术包括操作系统安全配置、入侵防护系统等;数据库安全技术包括访问控制、数据加密等。

四、安全事件管理等保二级要求信息系统应建立健全的安全事件管理机制,包括安全事件的发现、报告、处置和后续处理等方面。

安全事件管理应能及时发现和处理安全事件,减少安全事件对信息系统的影响,确保信息系统的持续运行。

在实施等保二级评估时,评估机构将根据上述要求进行评估和认证。

评估过程包括对信息系统的安全策略、安全管理、安全技术和安全事件管理等方面的审查和检测。

评估结果将根据等保评估规范进行评定,评定结果分为合格和不合格两种情况。

对于通过等保二级评估的信息系统,应定期进行安全检查和评估,确保信息系统的安全性和可信度。

同时,应加强安全管理,提高安全意识,加强安全培训和教育,提升信息系统安全保护能力。

等保二级是对信息系统安全性和可信度的评估和认证,对信息系统的安全保护起到了重要的推动作用。

等保二级管理制度

等保二级管理制度随着信息技术的快速发展和广泛应用,网络安全问题日益突显。

为了保护国家、企事业单位的重要信息系统,我国制定了等级保护制度,对信息系统进行等级划分和相应的安全保护措施要求。

等保二级管理制度是其中的重要组成部分,下面将对其进行详细介绍。

一、等保二级管理制度的基本概念等保二级管理制度是指针对等级保护二级的信息系统所制定并实施的一系列管理措施和规定。

其目的是确保信息系统在技术、制度和人员三方面同时具备较高的安全保障能力,以满足国家和单位的安全需求。

二、等保二级管理制度的重要性1. 提升信息系统的安全性。

等保二级管理制度要求信息系统采取多层面的安全防护措施,包括物理安全、网络安全、数据安全等多个方面,可以有效防范各类网络攻击和安全威胁,为信息系统的正常运行提供了坚实保障。

2. 保障国家利益和社会稳定。

等保二级管理制度的实施,在一定程度上能够保护国家重要机密信息不被泄漏、不被篡改,维护国家安全和社会稳定。

特别是涉及到金融、电力、通信等关键行业的信息系统,其安全性对国计民生至关重要。

3. 增强企事业单位的竞争力。

信息安全已经成为企事业单位发展的重要支撑条件,只有保障信息系统的安全,才能更好地保护企业自身的核心机密信息,提高自身的竞争力和市场地位。

三、等保二级管理制度的主要内容1. 组织管理措施。

包括建立完善的信息安全管理机构、明确责任和权限、制定安全管理制度、开展安全培训和教育等。

通过组织管理的方式,确保等保二级管理制度的有效实施。

2. 系统防护措施。

包括基础设施的安全保护、网络安全设施的配置、应用系统的安全控制等。

通过系统防护的手段,提高信息系统的安全性和防护能力。

3. 数据保护措施。

包括对重要数据进行分类划分、数据备份和恢复、数据传输加密等。

通过对数据的保护措施,确保数据的完整性、可用性和机密性。

4. 安全事件处理措施。

包括安全事件的监测和检测、安全事件的处置措施、安全事件的调查和分析等。

通过有效的安全事件处理,及时发现和回应安全事件,最大程度地减少安全事故的影响。

等保二级 管理制度

等保二级管理制度一、引言随着信息化的快速发展,网络安全问题日益突出。

为了保障国家信息系统的安全运行,我国逐渐建立起了一套完善的网络安全保护体系,其中等级保护制度是其中重要的一环。

等保二级管理制度作为等级保护制度的重要组成部分,为企业、组织提供了一系列信息安全管理方面的要求和指导。

本文将对等保二级管理制度的内容和重要性进行详细介绍。

二、等保二级管理制度的背景近年来,我国网络安全形势日益严峻,各类黑客攻击、病毒入侵等事件频繁发生,给国家的安全和经济发展带来了严重的威胁。

因此,我国出台了网络安全等级保护制度,旨在通过等级保护制度的实施,加强对信息系统的安全保护,提高信息系统的抵御能力。

三、等保二级管理制度的基本要求1.信息系统安全风险管理等保二级管理制度要求企业、组织对信息系统进行全面的安全风险评估,制定相应的安全措施,并定期进行风险评估和修订,以应对安全风险的动态变化。

2.安全策略与机制等保二级管理制度要求企业、组织制定完善的安全策略与机制,包括网络安全策略、应急响应机制、安全控制措施等,以确保信息系统的安全运行。

3.权限管理等保二级管理制度要求企业、组织对信息系统中的用户进行严格的权限管理,确保不同用户拥有相应的权限,并及时调整权限设置,确保信息的保密性和完整性。

4.安全运维管理等保二级管理制度要求企业、组织建立健全的安全运维管理流程,包括安全巡检、事件监测与处理等,以及安全运维人员的培训与管理,保障信息系统的持续稳定运行。

5.安全事件响应等保二级管理制度要求企业、组织建立完善的安全事件响应机制,及时发现和处理各类安全事件,确保信息系统的安全性和可用性。

四、等保二级管理制度的重要性1.系统化的管理等保二级管理制度提供了一套系统化的管理要求和指南,帮助企业、组织建立起完善的信息安全管理体系,实现对信息系统的全面管理。

2.提高信息安全保障能力等保二级管理制度要求企业、组织在信息安全风险管理、安全策略与机制、权限管理等方面做到科学、规范,有力地提高了信息安全保障能力,降低了安全风险。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

1.1 管理要求1.1.1 安全管理制度1.1.1.1 管理制度(G2)本项要求包括:a) 应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、围、原则和安全框架等;b) 应对安全管理活动中重要的管理容建立安全管理制度;c) 应对安全管理人员或操作人员执行的重要管理操作建立操作规程。

1.1.1.2 制定和发布(G2)本项要求包括:a) 应指定或授权专门的部门或人员负责安全管理制度的制定;b) 应组织相关人员对制定的安全管理制度进行论证和审定;c) 应将安全管理制度以某种方式发布到相关人员手中。

1.1.1.3 评审和修订(G2)应定期对安全管理制度进行评审,对存在不足或需要改进的安全管理制度进行修订。

1.1.2 安全管理机构1.1.2.1 岗位设置(G2)本项要求包括:a) 应设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;b) 应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责。

1.1.2.2 人员配备(G2)本项要求包括:a) 应配备一定数量的系统管理员、网络管理员、安全管理员等;b) 安全管理员不能兼任网络管理员、系统管理员、数据库管理员等。

1.1.2.3 授权和审批(G2)本项要求包括:a) 应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批;b) 应针对关键活动建立审批流程,并由批准人签字确认。

1.1.2.4 沟通和合作(G2)本项要求包括:a) 应加强各类管理人员之间、组织部机构之间以及信息安全职能部门部的合作与沟通;b) 应加强与兄弟单位、公安机关、电信公司的合作与沟通。

1.1.2.5 审核和检查(G2)安全管理员应负责定期进行安全检查,检查容包括系统日常运行、系统漏洞和数据备份等情况。

1.1.3 人员安全管理1.1.3.1 人员录用(G2)本项要求包括:a) 应指定或授权专门的部门或人员负责人员录用;b) 应规人员录用过程,对被录用人员的身份、背景和专业资格等进行审查,对其所具有的技术技能进行考核;c) 应与从事关键岗位的人员签署协议。

1.1.3.2 人员离岗(G2)本项要求包括:a) 应规人员离岗过程,及时终止离岗员工的所有访问权限;b) 应取回各种件、钥匙、徽章等以及机构提供的软硬件设备;c) 应办理严格的调离手续。

1.1.3.3 人员考核(G2)应定期对各个岗位的人员进行安全技能及安全认知的考核。

1.1.3.4 安全意识教育和培训(G2)本项要求包括:a) 应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训;b) 应告知人员相关的安全责任和惩戒措施,并对违反违背安全策略和规定的人员进行惩戒;c) 应制定安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训。

1.1.3.5 外部人员访问管理(G2)应确保在外部人员访问受控区域前得到授权或审批,批准后由专人全程陪同或监督,并登记备案。

1.1.4 系统建设管理1.1.4.1 系统定级(G2)本项要求包括:a) 应明确信息系统的边界和安全保护等级;b) 应以书面的形式说明信息系统确定为某个安全保护等级的方法和理由;c) 应确保信息系统的定级结果经过相关部门的批准。

1.1.4.2 安全方案设计(G2)本项要求包括:a) 应根据系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施;b) 应以书面形式描述对系统的安全保护要求、策略和措施等容,形成系统的安全方案;c) 应对安全方案进行细化,形成能指导安全系统建设、安全产品采购和使用的详细设计方案;d) 应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施。

1.1.4.3 产品采购和使用(G2)本项要求包括:a) 应确保安全产品采购和使用符合国家的有关规定;b) 应确码产品采购和使用符合国家密码主管部门的要求;c) 应指定或授权专门的部门负责产品的采购。

1.1.4.4 自行软件开发(G2)本项要求包括:a) 应确保开发环境与实际运行环境物理分开;b) 应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则;c) 应确保提供软件设计的相关文档和使用指南,并由专人负责保管。

1.1.4.5 外包软件开发(G2)本项要求包括:a) 应根据开发要求检测软件质量;b) 应确保提供软件设计的相关文档和使用指南;c) 应在软件安装之前检测软件包中可能存在的恶意代码;d) 应要求开发单位提供软件源代码,并审查软件中可能存在的后门。

1.1.4.6 工程实施(G2)本项要求包括:a) 应指定或授权专门的部门或人员负责工程实施过程的管理;b) 应制定详细的工程实施方案,控制工程实施过程。

1.1.4.7 测试验收(G2)本项要求包括:a) 应对系统进行安全性测试验收;b) 在测试验收前应根据设计方案或合同要求等制订测试验收方案,在测试验收过程中应详细记录测试验收结果,并形成测试验收报告;c) 应组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认。

1.1.4.8 系统交付(G2)本项要求包括:a) 应制定系统交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点;b) 应对负责系统运行维护的技术人员进行相应的技能培训;c) 应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档。

1.1.4.9 安全服务商选择(G2)本项要求包括:a) 应确保安全服务商的选择符合国家的有关规定;b) 应与选定的安全服务商签订与安全相关的协议,明确约定相关责任;c) 应确保选定的安全服务商提供技术支持和服务承诺,必要的与其签订服务合同。

1.1.5 系统运维管理1.1.5.1 环境管理(G2)本项要求包括:a) 应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理;b) 应配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理;c) 应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定;d) 应加强对办公环境的性管理,包括工作人员调离办公室应立即交还该办公室钥匙和不在办公区接待来访人员等。

1.1.5.2 资产管理(G2)本项要求包括:a) 应编制与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等容;b) 应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,并规资产管理和使用的行为。

1.1.5.3 介质管理(G2)本项要求包括:a) 应确保介质存放在安全的环境中,对各类介质进行控制和保护,并实行存储环境专人管理;b) 应对介质归档和查询等过程进行记录,并根据存档介质的目录清单定期盘点;c) 应对需要送出维修或销毁的介质,首先清除其中的敏感数据,防止信息的非法泄漏;d) 应根据所承载数据和软件的重要程度对介质进行分类和标识管理。

1.1.5.4 设备管理(G2)本项要求包括:a) 应对信息系统相关的各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理;b) 应建立基于申报、审批和专人负责的设备安全管理制度,对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规化管理;c) 应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规化管理,按操作规程实现关键设备(包括备份和冗余设备)的启动/停止、加电/断电等操作;d) 应确保信息处理设备必须经过审批才能带离机房或办公地点。

1.1.5.5 网络安全管理(G2)本项要求包括:a) 应指定人员对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作;b) 应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定;c) 应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份;d) 应定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补;e) 应对网络设备的配置文件进行定期备份;f) 应保证所有与外部系统的连接均得到授权和批准。

1.1.5.6 系统安全管理(G2)本项要求包括:a) 应根据业务需求和系统安全分析确定系统的访问控制策略;b) 应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补;c) 应安装系统的最新补丁程序,在安装系统补丁前,应首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装;d) 应建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程等方面作出规定;e) 应依据操作手册对系统进行维护,详细记录操作日志,包括重要的日常操作、运行维护记录、参数的设置和修改等容,严禁进行未经授权的操作;f) 应定期对运行日志和审计数据进行分析,以便及时发现异常行为。

1.1.5.7 恶意代码防管理(G2)本项要求包括:a) 应提高所有用户的防病毒意识,告知及时升级防病毒软件,在读取移动存储设备上的数据以及网络上接收文件或之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也应进行病毒检查;b) 应指定专人对网络和主机进行恶意代码检测并保存检测记录;c) 应对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确规定。

1.1.5.8 密码管理(G2)应使用符合国家密码管理规定的密码技术和产品。

1.1.5.9 变更管理(G2)本项要求包括:a) 应确认系统中要发生的重要变更,并制定相应的变更方案;b) 系统发生重要变更前,应向主管领导申请,审批后方可实施变更,并在实施后向相关人员通告。

1.1.5.10 备份与恢复管理(G2)本项要求包括:a) 应识别需要定期备份的重要业务信息、系统数据及软件系统等;b) 应规定备份信息的备份方式、备份频度、存储介质、保存期等;c) 应根据数据的重要性及其对系统运行的影响,制定数据的备份策略和恢复策略,备份策略指明备份数据的放置场所、文件命名规则、介质替换频率和数据离站运输方法。

1.1.5.11 安全事件处置(G2)本项要求包括:a) 应报告所发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点;b) 应制定安全事件报告和处置管理制度,明确安全事件类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责;c) 应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响,对本系统计算机安全事件进行等级划分;d) 应记录并保存所有报告的安全弱点和可疑事件,分析事件原因,监督事态发展,采取措施避免安全事件发生。

1.1.5.12 应急预案管理(G2)本项要求包括:a) 应在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等容;b) 应对系统相关的人员进行应急预案培训,应急预案的培训应至少每年举办一次。