基本要求
第一级
第二级
|
安全策略和管理制度
安全策略
/
/
|
管理制度
a) 应建立日常管理活动中常用的安全管理制度
a) 应对安全管理活动中的主要管理内容建立安全管理制度;
b) 应对要求管理人员或操作人员执行的日常管理操作建立操作规程
|
制定和发布
/
a) 应指定或授权专门的部门或人员负责安全管理制度的制定;
b) 安全管理制度应通过正式、有效的方式发布,并进行版本控制
|
评审和修订
/
a) 应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订
|
安全管理机构和人员
岗位设置
c) 应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责
b) 应设立信息安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;
c) 应设立系统管理员、网络管理员、安全管理员等岗位,并定义部门及各个工作岗位的职责
|
人员配备
a) 应配备一定数量的系统管理员、网络管理员、安全管理员等
a) ;
|
授权和审批
a) 应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等
a) ;
b) 应针对系统变更、重要操作、物理访问和系统接入等事项执行审批过程
|
沟通和合作
/
a) 应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通,定期召开协调会议,共同协作处理信息安全问题;
b) 应加强与兄弟单位、公安机关、各类供应商、业界专家及安全组织的合作与沟通;
c) 应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息
|
审核和检查
/
a) 应定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况
|
人员录用
a) 应指定或授权专门的部门或人员负责人员录用
a) ;
b) 应对被录用人员的身份、背景、专业资格和资质等进行审查
|
人员离岗
a) 应及时终止离岗员工的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备
a) ;
|
安全意识教育和培训
a) 应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施
a) ;
|
外部人员访问管理
a) 应确保在外部人员访问受控区域前得到授权或审批
a) 应确保在外部人员物理访问受控区域前先提出书面申请,批准后由专人全程陪同,并登记备案;
b) 应确保在外部人员接入网络访问系统前先提出书面申请,批准后由专人开设账号、分配权限,并登记备案;
c) 外部人员离场后应及时清除其所有的访问权限
|
安全建设管理
定级和备案
a) 应明确保护对象的边界和安全保护等级
a) 应以书面的形式说明保护对象的边界、安全保护等级及确定等级的方法和理由;
b) 应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定;
c) 应确保定级结果经过相关部门的批准;
d) 应将备案材料报主管部门和相应公安机关备案
|
安全方案设计
a) 应根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施
a) ;
b) 应根据保护对象的安全保护等级进行安全方案设计;
c) 应组织相关部门和有关安全专家对安全方案的合理性和正确性进行论证和审定,经过批准后才能正式实施
|
产品采购和使用
a) 应确保信息安全产品采购和使用符合国家的有关规定
a) ;
b) 应确保密码产品采购和使用符合国家密码主管部门的要求
|
自行软件开发
/
a) 应确保开发环境与实际运行环境物理分开,测试数据和测试结果受到控制;
e) 应确保在软件开发过程中对安全性进行测试,在软件安装前对可能存在的恶意代码进行检测。
|
外包软件开发
/
a) 应在软件交付前检测软件质量和其中可能存在的恶意代码;
b) 应要求开发单位提供软件设计文档和使用指南
|
工程实施
a) 应指定或授权专门的部门或人员负责工程实施过程的管理
a) ;
b) 应制定工程实施方案控制安全工程实施过程
|
测试验收
a) 应进行安全性测试验收
a) 在制订测试验收方案,并依据测试验收方案实施测试验收,形成测试验收报告;
b) 应进行上线前的安全性测试,并出具安全测试报告
|
系统交付
a) 应根据交付清单对所交接的设备、软件和文档等进行清点;
b) 应对负责运行维护的技术人员进行相应的技能培训
a) ;
b) ;
c) 应确保提供建设过程中的文档和指导用户进行运行维护的文档
|
等级测评
/
a) 应定期进行等级测评,发现不符合相应等级保护标准要求的及时整改;
b) 应在发生重大变更或级别发生变化时进行等级测评;
c) 应选择具有国家相关技术资质和安全资质的测评单位进行等级测评
|
服务供应商选择
a) 应确保服务供应商的选择符合国家的有关规定;
b) 应与选定的服务供应商签订与安全相关的协议,明确约定相关责任
a) ;
b) 应与选定的服务供应商签订相关协议,明确整个服务供应链各方需履行的信息安全相关义务
|
安全运维管理
环境管理
a) 应指定专门的部门或人员负责机房安全,对机房出入进行管理,定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理;
b) 应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定
a) ;
b) ;
c) 应不在重要区域接待来访人员和桌面上没有包含敏感信息的纸档文件、移动介质等
|
资产管理
/
a) 应编制并保存与保护对象相关的资产清单,包括资产责任部门、重要程度和所处位置等内容
|
介质管理
a) 应确保介质存放在安全的环境中,对各类介质进行控制和保护,实行存储环境专人管理,并根据存档介质的目录清单定期盘点
a) ;
b) 应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,并对介质的归档和查询等进行登记记录
|
设备维护管理
a) 应对各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理
a) ;
b) 应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等
|
漏洞和风险管理
a) 应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补
a) ;
|
网络和系统安全管理
a) 应划分不同的管理员角色进行网络和系统的运维管理,明确各个角色的责任和权限;
b) 应指定专门的部门或人员进行账号管理,对申请账号、建立账号、删除账号等进行控制
a) ;
b) ;
c) 应建立网络和系统安全管理制度,对安全策略、账号管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面作出规定;
d) 应制定重要设备的配置和操作手册,依据手册对设备进行安全配置和优化配置等;
e) 应详细记录运维操作日志,包括日常巡检工作、运行维护记录、参数的设置和修改等内容。
|
恶意代码防范管理
a) 应提高所有用户的防恶意代码意识,告知对外来计算机或存储设备接入系统前进行恶意代码检查等;
b) 应对恶意代码防范要求做出规定,包括防恶意代码软件的授权使用、恶意代码库升级、恶意代码的定期查杀等
a) ;
b) ;
|
配置管理
/
a) 应记录和保存基本配置信息,包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等
|
密码管理
/
a) 应使用符合国家密码管理规定的密码技术和产品;
b) 应按照国家密码管理的要求开展密码技术和产品的应用
|
变更管理
/
a) 应明确系统变更需求,变更前根据变更需求制定变更方案,变更方案经过评审、审批后方可实施。
|
备份与恢复管理
a) 应识别需要定期备份的重要业务信息、系统数据及软件系统等;
b) 应规定备份信息的备份方式、备份频度、存储介质、保存期等
a) ;
b) ;
c) 应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略、备份程序和恢复程序等
|
安全事件处置
a) 应报告所发现的安全弱点和可疑事件;
b) 应明确安全事件的报告和处置流程,规定安全事件的现场处理、事件报告和后期恢复的管理职责
a) ;
b) 应制定安全事件报告和处置管理制度,明确不同安全事件的报告、处置和响应流程,规定安全事件的现场处理、事件报告和后期恢复的管理职责等;
c) 应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训
|
应急预案管理
/
a) 应制定重要事件的应急预案,包括应急处理流程、系统恢复流程等内容;
b) 应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障;
c) 应定期对系统相关的人员进行应急预案培训,并进行应急预案的演练
|
外包运维管理
/
a) 应确保外包运维服务商的选择符合国家的有关规定;
b) 应与选定的外包运维服务商签订相关的协议,明确约定外包运维的范围、工作内容
|
