国家信息安全等级第二级保护制度
2级等保的内容描述
2级等保的内容描述2级等保是指在信息系统安全等级保护工作中,属于较高的保护等级。
以下是2级等保的内容描述:1. 风险分析与评估:进行针对性的风险分析和评估,确定系统面临的威胁和风险,并提出相应的保护措施。
2. 安全策略和规划:制定信息系统安全策略和规划,明确安全目标和安全控制措施,并建立相应的安全管理制度和流程。
3. 安全意识培训与教育:组织开展安全意识培训和教育活动,提高员工的安全意识和安全技能,增强整体安全防护能力。
4. 系统安全设计与开发:在系统设计和开发过程中,采用安全设计原则和安全编码规范,确保系统具备良好的安全性能和防护能力。
5. 身份认证与访问控制:建立完善的身份认证和访问控制机制,确保只有授权用户可以访问系统,并对其进行有效的身份验证和授权管理。
6. 数据保护与备份:采取安全的数据加密和存储措施,确保数据的机密性和完整性,同时建立定期备份和灾难恢复机制,以应对意外数据丢失或系统故障。
7. 系统运维与安全监控:建立系统运维和安全监控机制,及时发现和应对安全事件和漏洞,对系统进行定期审查和安全评估,确保系统的稳定和安全性。
8. 应急响应与管理:建立应急响应和管理机制,指定应急响应小组,并制定应急预案和应急处置流程,以迅速响应和处理安全事件,最大限度地减少损失。
9. 外部合作与评估:与相关外部机构或安全专家合作,进行安全评估和审查工作,及时发现和修复安全漏洞,提升系统的安全性和抗攻击能力。
10. 安全日志与审计:建立安全日志和审计机制,记录系统的安全事件和活动,并进行定期审计和分析,及时发现和防止安全威胁和攻击。
总之,2级等保要求对信息系统进行全面的安全管理,包括风险评估、安全策略制定、安全意识培训、系统开发和运维、身份认证与访问控制、数据保护与备份、应急响应与管理等方面的工作,以确保系统的安全性和可靠性。
业务信息安全保护等级
业务信息安全保护等级
业务信息安全保护等级是指根据业务的重要性、风险程度和保密性需求等因素,对业务信息的安全性等级进行划分和评定。
在国家信息安全等级保护制度中,业务信息安全保护等级分为一级保密、二级保密、三级保密和非保密四个等级。
一级保密是指国家最高机密级别的业务信息,通常只有少数高级单位或高层人员可以接触和管理,对外绝密。
这类业务信息的泄露可能对国家安全、国家利益或公民个人安全产生重大影响。
二级保密是指国家秘密级别的业务信息,需要较高的保密措施和管理,只有经过授权的人员可以接触和管理,对外保密。
这类业务信息的泄露可能对国家安全、国家利益或公民个人安全产生较大影响。
三级保密是指限制级别的业务信息,需要一定的保密措施和管理,只有特定的人员可以接触和管理,对外限制。
这类业务信息的泄露可能对组织的业务运作和经济利益产生一定影响。
非保密是指一般级别的业务信息,不需要特殊的保密措施和管理,可以对外公开。
这类业务信息的泄露可能对组织的声誉和形象造成一定影响,但对组织的业务运作和经济利益影响较小。
企业在处理业务信息时,需要根据实际情况对业务信息进行安全保护等级划分,并采取相应的安全措施和管理措施,确保业务信息的安全性和可靠性。
信息安全等级保护二级与三级的区别
信息安全等级保护二级与三级的区别
信息安全等级保护二级与三级的区别
1、定级规定不同
便是测评定级规定不同,二级对行为主体对象的干扰和危害小于三级。
此外,二级保护测评当定级对象受损时,不会对国防安全造成危害。
而等保三级定级对象的破坏可能会对国防安全造成危害。
2.可用场景不同
三级信息和数据信息覆盖范围更广,跨度也更高:
二级信息系统适用于市级以上公司、事业单位的一般信息系统、小型局域网、不涉及秘密和敏感信息的协作办公系统。
就公司而言,一般网站评审填写公安局备案信息时,可参照社区论坛、新浪微博、博客填写二级;所有其他类型的网站都可以填写三级。
三级信息系统适用于地市以上公司、机关、事业单位的内部关键信息系统、跨地区或者全国各地连接的网络经营性的系统等。
3、级别测评抗压强度不同
级别测评抗压强度测评深度和深度的叙述:测评深度越大,类别越大,包括测评对象越大,测评具体资本投入水平越高。
测评越深越重,越必须在关键点上进行,测评具体资本投入水平也越高。
4、级别测评抗压强度
就高度而言,二级测评不需要进行实验认证,而三级是进行实验认证,而就检测类别而言,三级测评对象越来越多,越来越全面,而二级只进行多类型取样测评。
等保二级测评每2年进行一次,等保三级测评,是每年进行一次。
二级等保管理要求
二级等保管理要求一、等级介绍等保是指信息系统安全等级保护,是国家对信息系统安全的管理和评估制度。
等保管理分为五个等级,分别为一级、二级、三级、四级和五级,等级从高到低递减。
二级等保要求是指对于中等风险的信息系统所需要满足的安全管理要求。
下面将详细介绍二级等保管理要求。
二、涉及范围三、管理措施1.安全管理体系要求:建立健全信息系统安全管理体系,包括制定安全管理制度、制定安全管理规范、组织安全工作培训、落实安全管理责任等。
2.安全策略与管理要求:制定信息系统安全策略,明确信息系统的保密、完整性和可用性要求,确保信息系统各项措施的连续和有效执行。
3.安全风险管理要求:建立信息系统安全风险管理制度,包括风险评估、风险处理、风险监控等,确保及时识别、分析和处理信息系统安全风险。
4.安全审计与评估要求:建立信息系统安全审计和评估制度,包括内部审计、外部评估和安全漏洞扫描等,确保对信息系统的安全性进行定期检查和评估。
5.安全运维要求:建立信息系统安全运维制度,包括安全设备管理、安全事件管理、日志管理等,确保信息系统在正常运行过程中的安全性。
6.安全技术要求:采取必要的安全技术措施,包括访问控制、传输加密、身份认证、数据备份等,确保信息系统的安全性和可靠性。
7.应急管理要求:建立信息系统安全应急管理制度,包括应急预案编制、应急演练、应急响应等,确保及时有效地应对信息系统安全事件。
8.人员安全要求:加强对人员的安全教育和培训,确保人员对信息系统安全的认识和意识,并制定相应的人员管理制度,包括离职人员的安全处理等。
四、保密要求1.隐私信息保护:对于涉及个人隐私信息的系统,需要采取必要的措施进行保护,包括数据加密、访问控制等。
2.保密通信要求:对于涉密通信,需要使用加密通信工具进行传输,避免信息泄露。
3.保密操作要求:对于操作涉密信息的人员,需要签订保密协议,并进行严格的监管和管理。
5.信息输出控制:对于涉密信息的输出,需要进行严格的控制,包括打印记录、传输记录等。
国家的信息安全系统等级第二级保护规章制度
国家信息安全等级保护制度(二级)一、技术要求1、物理安全1.1物理位置的选择机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;1.2 物理访问控制(1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案;(2)应批准进入机房的来访人员,限制和监控其活动范围。
1.3 防盗窃和防破坏(1)应将主要设备放置在物理受限的范围内;(2)应对设备或主要部件进行固定,并设置明显的不易除去的标记;(3)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;(4)应对介质分类标识,存储在介质库或档案室中;(5)应安装必要的防盗报警设施,以防进入机房的盗窃和破坏行为。
1.4 防雷击(1)机房建筑应设置避雷装置;(2)应设置交流电源地线。
1.5 防火应设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动报警系统的良好状态。
1.6 防水和防潮(1)水管安装,不得穿过屋顶和活动地板下;(2)应对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管;(3)应采取措施防止雨水通过屋顶和墙壁渗透;(4)应采取措施防止室内水蒸气结露和地下积水的转移与渗透。
1.7 防静电应采用必要的接地等防静电措施1.8 温湿度控制应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1.9 电力供应(1)计算机系统供电应与其他供电分开;(2)应设置稳压器和过电压防护设备;(3)应提供短期的备用电力供应(如UPS设备)。
1.10 电磁防护(1)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;(2)电源线和通信线缆应隔离,避免互相干扰。
2、网络安全2.1结构安全与网段划分(1)网络设备的业务处理能力应具备冗余空间,要求满足业务高峰期需要;(2)应设计和绘制与当前运行情况相符的网络拓扑结构图;(3)应根据机构业务的特点,在满足业务高峰期需要的基础上,合理设计网络带宽;(4)应在业务终端与业务服务器之间进行路由控制,建立安全的访问路径;(5)应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;(6)重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗。
二级等保标准
二级等保标准信息安全是当今社会中不可忽视的重要问题,随着互联网的发展和普及,网络安全问题也日益凸显。
为了保护国家的重要信息基础设施和关键信息系统,我国制定了一系列的信息安全标准和规范,其中二级等保标准就是其中之一。
二级等保标准是指信息系统按照国家有关信息安全等级保护的要求,采取相应的安全防护措施,保障信息系统安全运行的标准。
它是我国信息安全等级保护制度中的一个重要环节,也是信息系统安全保护的基本要求之一。
二级等保标准主要包括了信息系统的安全管理、安全技术措施、安全保密管理和应急响应等内容。
在信息系统的安全管理方面,要求建立健全的安全管理制度和安全管理组织,明确安全管理的责任和权限,加强对信息系统安全的监控和评估。
在安全技术措施方面,要求采取有效的网络安全防护措施,包括网络边界防护、主机防护、安全接入控制等,确保信息系统不受到恶意攻击和非法入侵。
在安全保密管理方面,要求建立完善的信息保密制度,对重要信息进行分类保护和加密传输,防止信息泄露和篡改。
在应急响应方面,要求建立健全的信息安全事件应急响应机制,及时发现和处置安全事件,减少安全事件对信息系统的损害。
二级等保标准的实施对于提高信息系统的安全等级、保障国家重要信息基础设施和关键信息系统的安全运行具有重要意义。
它不仅可以有效防范和抵御各类网络安全威胁,保护国家的信息安全,还可以提升我国信息安全保护水平,增强国家的网络安全防护能力。
总的来说,二级等保标准是我国信息安全领域的一项重要标准,它的实施对于保障信息系统的安全运行具有重要意义。
我们应当认真学习和贯彻执行二级等保标准,加强信息安全意识,提高信息安全保护能力,共同维护国家的信息安全。
只有这样,才能更好地推动信息化建设,实现经济社会的可持续发展。
信息安全等级保护二级标准
信息安全等级保护二级标准
信息安全等级保护(简称等保)是指根据信息系统对信息的重要性、完整性、可用性等方面的要求,划分不同等级,采取相应的技术、管理和物理安全措施,对信息系统实施等级保护的活动。
信息安全等级保护的二级标准主要包括以下方面:
安全管理制度:建立健全信息安全管理体系,确保信息系统的安全管理规范、程序和制度的合理实施。
安全设计与实现:在信息系统的设计与实施过程中,充分考虑系统的安全性,采取相应的技术手段确保系统的稳定和安全运行。
系统运行维护:对信息系统的运行状态进行监测和维护,及时发现和解决系统运行中的安全问题,确保系统的连续可用性。
身份鉴别与访问控制:确保信息系统对用户的身份鉴别和访问控制具有高效性和严密性,防范未授权访问。
数据保护:采取有效措施对重要数据进行加密、备份和恢复,确保数据的完整性和可用性。
安全审计:建立完善的安全审计机制,对信息系统的操作和事件进行审计,及时发现并纠正存在的问题。
网络安全防护:针对网络通信过程中的安全隐患,采取有效的防护手段,确保信息的机密性和完整性。
应急响应与恢复:建立健全的信息安全应急响应机制,能够及时、有效地应对各类安全事件,保障系统的稳定运行。
外包服务安全管理:在使用外包服务时,确保外包服务商有相应
的信息安全管理体系,加强对外包服务的监督和管理。
安全培训与教育:对系统操作人员和管理人员进行定期的安全培训与教育,提高其安全意识和应对能力。
信息安全等级保护二级标准的实施,有助于提高信息系统的整体安全水平,保障信息的安全性、完整性和可用性。
信息安全等级保护制度
第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
第三条公安机关负责信息安全等级保护工作的监督、检查、指导。
国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。
国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。
国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
国家信息安全等级保护制度(二级)一、技术要求1、物理安全1.1物理位置的选择机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;1.2 物理访问控制(1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案;(2)应批准进入机房的来访人员,限制和监控其活动范围。
1.3 防盗窃和防破坏(1)应将主要设备放置在物理受限的范围内;(2)应对设备或主要部件进行固定,并设置明显的不易除去的标记;(3)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;(4)应对介质分类标识,存储在介质库或档案室中;(5)应安装必要的防盗报警设施,以防进入机房的盗窃和破坏行为。
1.4 防雷击(1)机房建筑应设置避雷装置;(2)应设置交流电源地线。
1.5 防火应设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动报警系统的良好状态。
1.6 防水和防潮(1)水管安装,不得穿过屋顶和活动地板下;(2)应对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管;(3)应采取措施防止雨水通过屋顶和墙壁渗透;(4)应采取措施防止室内水蒸气结露和地下积水的转移与渗透。
1.7 防静电应采用必要的接地等防静电措施1.8 温湿度控制应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1.9 电力供应(1)计算机系统供电应与其他供电分开;(2)应设置稳压器和过电压防护设备;(3)应提供短期的备用电力供应(如UPS设备)。
1.10 电磁防护(1)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;(2)电源线和通信线缆应隔离,避免互相干扰。
2、网络安全2.1结构安全与网段划分(1)网络设备的业务处理能力应具备冗余空间,要求满足业务高峰期需要;(2)应设计和绘制与当前运行情况相符的网络拓扑结构图;(3)应根据机构业务的特点,在满足业务高峰期需要的基础上,合理设计网络带宽;(4)应在业务终端与业务服务器之间进行路由控制,建立安全的访问路径;(5)应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;(6)重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗。
2.2 访问控制(1)应能根据会话状态信息(包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息,并应支持地址通配符的使用),为数据流提供明确的允许/拒绝访问的能力。
(2)应在基于安全属性的允许远程用户对系统访问的规则的基础上,对系统所有资源允许或拒绝用户进行访问,控制粒度为单个用户;(3)应限制具有拨号访问权限的用户数量。
2.3 安全审计(1)应对网络系统中的网络设备运行状况、网络流量、用户行为等事件进行日志记录;(2)对于每一个事件,其审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功,及其他与审计相关的信息2.4 边界完整性检查应能够检测内部网络中出现的内部用户未通过准许私自联到外部网络的行为(即“非法外联”行为)。
2.5 入侵防范应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等入侵事件的发生。
2.6 恶意代码防范(1)应在网络边界及核心业务网段处对恶意代码进行检测和清除;(2)应维护恶意代码库的升级和检测系统的更新;(3)应支持恶意代码防范的统一管理。
2.7 网络设备防护(1)应对登录网络设备的用户进行身份鉴别;(2)应对网络设备的管理员登录地址进行限制;(3)网络设备用户的标识应唯一;(4)身份鉴别信息应具有不易被冒用的特点,例如口令长度、复杂性和定期的更新等;(5)应具有登录失败处理功能,如:结束会话、限制非法登录次数,当网络登录连接超时,自动退出。
3 、主机安全3.1 身份鉴别(1)操作系统和数据库管理系统用户的身份标识应具有唯一性;(2)应对登录操作系统和数据库管理系统的用户进行身份标识和鉴别;(3)操作系统和数据库管理系统身份鉴别信息应具有不易被冒用的特点,例如口令长度、复杂性和定期的更新等;(4)应具有登录失败处理功能,如:结束会话、限制非法登录次数,当登录连接超时,自动退出。
3.2 访问控制(1)应依据安全策略控制主体对客体的访问;(2)自主访问控制的覆盖范围应包括与信息安全直接相关的主体、客体及它们之间的操作;(3)自主访问控制的粒度应达到主体为用户级,客体为文件、数据库表级;(4)应由授权主体设置对客体访问和操作的权限;(5)应严格限制默认用户的访问权限。
3.3 安全审计(1)安全审计应覆盖到服务器上的每个操作系统用户和数据库用户;(2)安全审计应记录系统内重要的安全相关事件,包括重要用户行为和重要系统命令的使用等;(3)安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等;(4)审计记录应受到保护避免受到未预期的删除、修改或覆盖等。
3.4 剩余信息保护(1)应保证操作系统和数据库管理系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;(2)应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。
3.5系统保护系统应提供在管理维护状态中运行的能力,管理维护状态只能被系统管理员使用。
3.6 恶意代码防范(1)服务器和重要终端设备(包括移动设备)应安装实时检测和查杀恶意代码的软件产品;(2)主机系统防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;3.7 资源控制(1)应限制单个用户的会话数量;(2)应通过设定终端接入方式、网络地址范围等条件限制终端登录。
4、应用安全4.1 身份鉴别(1)应用系统用户的身份标识应具有唯一性;(2)应对登录的用户进行身份标识和鉴别;(3)系统用户身份鉴别信息应具有不易被冒用的特点,例如口令长度、复杂性和定期的更新等;(4)应具有登录失败处理功能,如:结束会话、限制非法登录次数,当登录连接超时,自动退出。
4.2 访问控制(1)应依据安全策略控制用户对客体的访问;(2)自主访问控制的覆盖范围应包括与信息安全直接相关的主体、客体及它们之间的操作;(3)自主访问控制的粒度应达到主体为用户级,客体为文件、数据库表级;(4)应由授权主体设置用户对系统功能操作和对数据访问的权限;(5)应实现应用系统特权用户的权限分离,例如将管理与审计的权限分配给不同的应用系统用户;(6)权限分离应采用最小授权原则,分别授予不同用户各自为完成自己承担任务所需的最小权限,并在它们之间形成相互制约的关系;(7)应严格限制默认用户的访问权限。
4.3 安全审计(1)安全审计应覆盖到应用系统的每个用户;(2)安全审计应记录应用系统重要的安全相关事件,包括重要用户行为和重要系统功能的执行等;(3)安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等;(4)审计记录应受到保护避免受到未预期的删除、修改或覆盖等。
4.4 剩余信息保护(1)应保证用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;(2)应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。
4.5 通信完整性通信双方应约定单向的校验码算法,计算通信数据报文的校验码,在进行通信时,双方根据校验码判断对方报文的有效性。
4.6 通信保密性(1)当通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;(2)在通信双方建立连接之前,利用密码技术进行会话初始化验证;(3)在通信过程中,应对敏感信息字段进行加密。
4.7软件容错(1)应对通过人机接口输入或通过通信接口输入的数据进行有效性检验;(2)应对通过人机接口方式进行的操作提供“回退”功能,即允许按照操作的序列进行回退;(3)在故障发生时,应继续提供一部分功能,确保能够实施必要的措施。
4.8资源控制(1)应限制单个用户的多重并发会话;(2)应对应用系统的最大并发会话连接数进行限制;(3)应对一个时间段内可能的并发会话连接数进行限制。
4.9代码安全(1)应对应用程序代码进行恶意代码扫描;(2)应对应用程序代码进行安全脆弱性分析。
5、数据安全及备份恢复5.1 数据完整性(1)应能够检测到系统管理数据、鉴别信息和用户数据在传输过程中完整性受到破坏;(2)应能够检测到系统管理数据、鉴别信息和用户数据在存储过程中完整性受到破坏。
5.2 数据保密性(1)网络设备、操作系统、数据库管理系统和应用系统的鉴别信息、敏感的系统管理数据和敏感的用户数据应采用加密或其他有效措施实现传输保密性;(2)当使用便携式和移动式设备时,应加密或者采用可移动磁盘存储敏感信息。
5.3 备份和恢复(1)应提供自动机制对重要信息进行有选择的数据备份;(2)应提供恢复重要信息的功能;(3)应提供重要网络设备、通信线路和服务器的硬件冗余二、管理要求1、安全管理机构1.1 岗位设置(1)应设立信息安全管理工作的职能部门,设立安全主管人、安全管理各个方面的负责人岗位,定义各负责人的职责;(2)应设立系统管理人员、网络管理人员、安全管理人员岗位,定义各个工作岗位的职责;(3)应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
1.2人员配置(1)应配备一定数量的系统管理人员、网络管理人员、安全管理人员等;(2)安全管理人员不能兼任网络管理员、系统管理员、数据库管理员等。
1.3 授权和审批(1)应授权审批部门及批准人,对关键活动进行审批;(2)应列表说明须审批的事项、审批部门和可批准人。
1.4沟通和合作(1)应加强各类管理人员和组织内部机构之间的合作与沟通,定期或不定期召开协调会议,共同协助处理信息安全问题;(2)信息安全职能部门应定期或不定期召集相关部门和人员召开安全工作会议,协调安全工作的实施;(3)应加强与兄弟单位、公安机关、电信公司的合作与沟通,以便在发生安全事件时能够得到及时的支持。
1.5审核和检查应由安全管理人员定期进行安全检查,检查内容包括用户账号情况、系统漏洞情况、系统审计情况等。
2、安全管理制度2.1管理制度(1)应制定信息安全工作的总体方针、政策性文件和安全策略等,说明机构安全工作的总体目标、范围、方针、原则、责任等;(2)应对安全管理活动中重要的管理内容建立安全管理制度,以规范安全管理活动,约束人员的行为方式;(3)应对要求管理人员或操作人员执行的重要管理操作,建立操作规程,以规范操作行为,防止操作失误。
2.2制定和发布(1)应在信息安全职能部门的总体负责下,组织相关人员制定;(2)应保证安全管理制度具有统一的格式风格,并进行版本控制;(3)应组织相关人员对制定的安全管理进行论证和审定;(4)安全管理制度应经过管理层签发后按照一定的程序以文件形式发布。