信息系统安全等级保护基本要求-二级
《信息系统安全等级保护基本要求》二级三级等级保护要求比较
《信息系统安全等级保护基本要求》二级三级等级保护要求比较信息系统安全等级保护是指根据信息系统的安全风险等级,对信息系统进行分级管理,制定相应的安全保护要求和技术措施。
我将对二级和三级等级保护要求进行比较。
一、安全管理要求1.1二级等级保护要求:有完善的信息系统安全管理规章制度,明确的安全运维责任,健全的安全组织机构和安全管理人员。
实施定期的安全教育培训,对安全事件、漏洞、威胁进行分析和处理。
建立安全审计体系,对安全事件进行追踪和溯源。
1.2三级等级保护要求:在二级的基础上,要求建立风险管理体系,对信息系统的风险进行评估和控制。
建立信息安全委员会或安全管理领导小组,参与信息系统的安全决策和规划。
实施日志和审计记录的收集和分析,监测安全事件并及时响应。
二、物理安全要求2.1二级等级保护要求:要求建立信息系统的物理安全管理责任制,对关键设备和场所进行安全防护和监控。
设立访问控制措施,限制物理访问权限。
对物理环境进行监控和巡视,防止未经授权的人员进入设备和设施。
2.2三级等级保护要求:在二级的基础上,要求建立设备和设施的防护体系,确保信息系统的可靠性和连续性。
加强对场所、机房、环境等的安全控制,加强监控和预警能力,及时发现并应对风险事件。
三、网络安全要求3.1二级等级保护要求:要求建立网络安全管理机构和网络安全责任制,健全网络边界防护机制。
采取合理的网络隔离措施,确保内外网之间的安全通信。
建立访问控制机制,限制外部访问权限。
定期检查和维护网络设备和系统,防止网络攻击。
3.2三级等级保护要求:在二级的基础上,要求提高网络安全防护能力,完善网络入侵检测和防御系统。
建立网络安全事件管理和响应机制,加强对入侵和攻击的监测和处置。
加强对网络设备和系统的安全管理,规范网络配置和管理。
四、数据安全要求4.1二级等级保护要求:要求建立数据安全管理制度和数据分类管理机制,确保敏感数据的保护和隐私的保密。
采取加密和安全传输措施,保护数据的完整性和可用性。
信息系统安全等级保护基本要求
信息系统安全等级保护基本要求一级要求主要涵盖了最基本的保护要求,主要针对信息系统对外交换的基本要求进行了规定。
其中包括:1.信息系统的身份认证和授权要求。
要求对系统用户的身份进行认证和授权,并限制不同用户对系统资源的访问权限。
2.信息系统的访问控制要求。
要求确保只有经过认证和授权的用户才能访问系统资源,并对访问进行审计记录。
3.信息系统的数据保护要求。
要求对系统中的敏感数据进行加密传输和存储,防止数据泄露或篡改。
4.信息系统的安全审计要求。
要求对系统的安全事件进行监控和记录,并及时发现和报告安全事件。
二级要求在一级要求的基础上进一步要求了信息系统的安全性能和安全管理的要求,包括:1.信息系统的安全配置要求。
要求对系统软件和硬件进行安全配置,确保系统能够按照安全策略工作。
2.信息系统的故障处理要求。
要求对系统故障进行及时处理和修复,以确保系统的可用性和可靠性。
3.信息系统的备份和恢复要求。
要求对系统的重要数据进行定期备份,并能够在发生灾难时进行快速恢复。
4.信息系统的安全管理要求。
要求建立完善的安全管理体系,包括安全策略、安全培训和安全审计等。
三级要求在二级要求的基础上进一步要求了信息系统的安全保护措施和重要业务的安全管理要求,包括:1.信息系统的网络安全要求。
要求对网络进行安全隔离,防止入侵和攻击,并对网络流量进行实时监测和分析。
2.信息系统的业务安全要求。
要求对信息系统的关键业务进行安全管理,并确保业务的连续性和可靠性。
3.信息系统的安全事件响应要求。
要求建立完善的安全事件响应机制,对安全事件进行及时处置和调查。
4.信息系统的安全评估要求。
要求对信息系统进行定期的安全评估和测试,及时发现系统的安全漏洞和风险。
总而言之,信息系统安全等级保护基本要求包括了一级、二级、三级三个等级。
通过合理的安全保护措施和管理措施,确保信息系统的安全性能和安全管理达到相应的要求,可以有效地保护信息系统的完整性、可用性、可信度等安全属性。
计算机信息系统等级保护二级
计算机信息系统等级保护二级
计算机信息系统等级保护是指根据我国《中华人民共和国网络
安全法》和《计算机信息系统安全保护等级保护管理办法》的规定,对计算机信息系统按照其重要程度和安全性要求进行分级保护的制度。
根据《办法》,计算机信息系统等级保护分为四个等级,分别
是一级、二级、三级和四级,其中一级为最低级别,四级为最高级别。
对于计算机信息系统等级保护二级,它主要适用于对国家重要
部门、重要行业和关键领域的计算机信息系统进行保护。
具体来说,对于等级保护二级的计算机信息系统,需要具备以下特点和要求:
1. 安全保护措施更加严格,相较于一级保护,二级保护需要在
网络安全、数据安全、系统安全等方面采取更加严格的措施,确保
系统的安全性和完整性。
2. 风险防范能力更强,二级保护的计算机信息系统需要具备更
强的风险防范和应急响应能力,能够及时发现和应对各类安全威胁
和攻击。
3. 信息安全管理更加规范,对于二级保护的系统,需要建立健
全的信息安全管理制度,包括权限管理、日志审计、安全培训等,
以确保系统的安全运行。
4. 安全保护技术更先进,二级保护的系统需要采用更加先进的
安全保护技术,包括加密技术、访问控制技术、安全认证技术等,
以提高系统的安全性和可靠性。
总的来说,计算机信息系统等级保护二级需要在安全保护措施、风险防范能力、信息安全管理和安全保护技术等方面达到更高的要求,以确保系统能够抵御各种安全威胁和风险,保障系统的安全稳
定运行。
计算机信息系统等级保护二级基本要求
测试验收包括功能测试、性能测试、安全测试等方面,以确保系统的稳定性和安全性。
测试验收过程中需要编写相应的测试用例和测试报告,并记录测试结果和问题。
测试验收通过后,需要进行系统移交和试运行,确保系统能够正常运行并满足用户需求。
系统运维管理
岗位设置:根据系统等级保护要求,设置相应的运维岗位,并明确岗位职责。
目的:降低成本、提高开发效率、专注于核心业务。
注意事项:选择合适的软件公司或团队、确保信息安全、建立有效的沟通机制。
适用范围:适用于需要快速开发软件或缺乏足够的技术资源的企业或组织。
制定系统建设方案
采购和配置硬件和软件
开发、安装和调试系统
制定系统运行和维护计划
测试验收的目的是确保系统建设符合国家相关标准和用户需求。
培训内容应涵盖安全政策、法律法规、技术防范措施等
培训对象应包括全体员工和第三方人员
培训效果应进行评估和记录
系统建设管理
确定安全需求和目标
实施安全措施和管理
设计安全体系架构
制定安全策略和规范
采购:应确保产品符合等级保护要求,并经过安全检测和认证
使用:应建立产品管理制度,包括使用权限、配置管理、维护保养等
要求:在二级基本要求中,安全区域边界应采取有效的安全措施,如防火墙、入侵检测系统等,以防止未经授权的访问和攻击。
注意事项:在设置安全区域边界时,应充分考虑系统的实际需求和安全风险,选择合适的安全措施和技术,并进行定期的安全审计和评估。
身份鉴别:采用多因素身份鉴别技术,确保用户身份的真实性。
访问控制:根据用户角色和权限,限制对资源的访问和操作。
建立安全审计机制,记录网络运行状况和安全事件,以便分析和追溯。
二级系统安全等级保护测评基本要求和测评要求
二级系统安全等级保护测评基本要求和测评要求一、基本要求1.系统安全性能要求:系统必须具备完整性、可靠性和可用性等基本的安全性能要求,能够保护系统不被恶意攻击、未授权访问或数据篡改。
2.系统安全管理要求:系统必须建立完善的安全管理制度,包括安全策略、安全标准、安全管理流程等,保证系统的安全管理工作能够规范、有序进行。
3.安全监控要求:系统必须具备安全监控和警告机制,能够及时发现和报警异常行为或攻击事件,及时采取相应的应对措施。
4.安全保密要求:系统必须保证敏感信息的保密性,对于涉密信息必须采取加密等措施进行保护,同时确保信息的传输和存储是安全可靠的。
5.安全培训要求:系统必须定期组织安全培训和演练,提高系统用户和管理人员的安全意识和技能,使其具备较强的应对安全事件的能力。
二、测评要求1.系统安全性评估:对系统的安全性进行全面评估,包括系统的安全策略、安全架构、安全防护机制等,确认系统是否满足二级保护等级的安全要求。
2.安全审计:对系统的操作日志进行审计和分析,检查系统是否存在异常行为或安全漏洞,并跟踪追溯攻击事件,找出系统的安全弱点。
3.风险评估:对系统可能存在的安全风险进行评估和分析,包括系统的物理安全、网络安全、数据安全等方面,找出系统的安全隐患和风险点。
4.安全防护测试:对系统的安全防护机制进行测试,包括系统的防火墙、入侵检测与防御系统、访问控制机制等,验证系统的安全性能。
5.安全运维评估:对系统的安全运维管理进行评估,包括安全巡检、安全备份、补丁管理等,验证系统的安全管理工作是否规范和有效。
6.安全隐患整改:针对测评中发现的安全隐患和问题,制定整改措施,并跟踪整改情况,确保系统的安全问题得到及时解决和修复。
7.测评报告编写:根据测评的结果和分析,编写测评报告,包括系统安全性评估报告、安全防护测试报告、安全风险评估报告等,为系统的安全改进提供依据。
总结起来,二级系统安全等级保护测评的基本要求包括系统安全性能、安全管理、安全监控、安全保密和安全培训等方面;而测评要求包括系统安全性评估、安全审计、风险评估、安全防护测试、安全运维评估、安全隐患整改和测评报告编写等方面。
国家信息安全等级保护制度第二级要求
国家信息安全等级保护制度第二级要求
国家信息安全等级保护制度第二级是一种中等安全保护级别,适用于含有国家秘密的信息系统和非国家秘密级别但需要较高安全级别的信息系统。
该级别的要求主要包括以下几个方面:
一、系统管理
1、制定健全的信息安全管理规定。
2、建立信息安全管理组织,明确职责和权限。
3、建立信息安全检测机制,定期检测系统漏洞和安全性。
4、制定应急预案,并定期演练。
5、规范用户权限管理,限制用户对系统的访问权限。
6、保证系统管理人员的经常性培训。
二、物理安全
1、采用防火、防盗、防水等物理防护措施,确保系统物理安全。
2、配备适当的备份设备,备份数据定期进行。
3、设备摆放合理,设备运行环境应满足标准要求。
4、对出入系统的人员身份进行身份验证,并记录相关信息。
三、网络安全
1、采用有效的网络安全控制设备和技术,如防火墙、VPN等。
2、加强对外网的防护,限制外网与系统的连接。
3、规范网络访问控制,限制访问权限。
4、建立监管机制,收集、分析网络安全日志。
5、使用加密技术保证信息在传输过程中的保密性。
四、应用安全
1、对系统业务进行分级,为不同级别的业务设置不同的安全保护措施。
2、对重要数据进行加密,确保其机密性。
4、加强软件管理和维护,及时打补丁、升级版本。
五、人员安全
1、对系统操作人员进行背景调查,并进行协议保密。
2、系统操作人员保证工作区不闲置,离开时必须上锁,不得随意携带介质。
3、加强系统操作人员的培训和教育,提高其安全意识。
二级系统安全等级保护基本要求及测评要求内容
二级系统安全等级保护基本要求及测评要求内容二级系统安全等级保护是我国国家保密局对信息系统进行安全等级评定的一项标准。
其目的是为了保护重要信息系统,确保信息在传输、存储和处理过程中不被泄露、被篡改和被破坏。
以下是二级系统安全等级保护的基本要求及测评要求内容。
一、基本要求:1.规范安全建设:对于进行二级系统安全等级保护的单位,需要建立健全安全管理机构,并确保安全管理制度得以有效贯彻。
同时,要明确安全管理职责,进行安全备案和安全审计,建立完善的安全控制策略和技术措施。
2.安全培训和意识教育:对系统安全等级保护的相关人员进行合理、全面、持续的安全培训和意识教育,提高其安全意识和技能水平,确保其能够有效地识别和应对安全风险。
3.安全防护措施:要建立有效的安全防护措施,包括网络安全防护、入侵检测与防御、数据加密和存储等方面。
此外,还要对系统进行定期的漏洞扫描和安全演练,找出系统存在的安全风险并进行及时修复。
4.安全审计:进行定期的安全审计,对系统进行安全评估和漏洞扫描,挖掘和解决可能存在的安全问题,保障系统的安全性能。
5.应急处理:建立完善的安全应急处理机制,及时响应和处理安全事件,采取有效的措施进行事故处置和恢复,最大限度减少损失,并追究相关责任。
二、测评要求内容:1.安全策略:对系统的安全策略进行评估,包括安全性目标的设定、安全策略的制定和实施效果的评估。
2.身份认证和访问控制:评估系统的用户身份认证和访问控制机制,检查是否存在弱密码、默认口令等安全漏洞。
3.系统配置管理:评估系统配置的合规性,包括操作系统、数据库、网络设备和应用系统的配置管理,确保系统的配置符合安全要求。
4.网络安全防护:评估系统的网络安全防护措施,包括入侵检测与防御、防火墙、反病毒等网络安全设备的配置和使用情况。
5.数据保护与备份:评估系统对重要数据的保护措施,包括数据加密、数据备份和数据恢复措施的合规性和有效性。
6.安全审计与日志管理:评估系统的安全审计机制和日志管理情况,包括日志收集、存储和分析等方面,确保系统安全事件的追溯性和可靠性。
信息系统安全等级保护基本要求
信息系统安全等级保护基本要求1. 引言信息系统在当今社会中扮演着重要的角色,人们依赖着信息系统来进行各种各样的工作、交流和娱乐活动。
随着信息系统的发展和普及,系统的安全性也变得越来越重要。
为了确保信息系统的安全性,信息系统安全等级保护基本要求被制定出来,以指导开发人员、系统管理员和用户对信息系统进行安全保护。
2. 安全等级分类根据信息系统的安全需求和对安全性的要求,信息系统可以分为不同的安全等级。
通常情况下,信息系统可以被分为以下几个等级:2.1. 一级安全等级一级安全等级是指最低等级的信息系统,一般用于非重要的信息处理和存储。
对于一级安全等级的信息系统,主要的安全要求包括防止未经授权的访问、防止信息泄露和防止数据意外损坏或丢失等。
2.2. 二级安全等级二级安全等级是指次低等级的信息系统,通常用于一般的商业和行政应用。
对于二级安全等级的信息系统,除了满足一级安全等级的要求外,还需要提供更强大的安全性保护,例如安全审计、用户身份认证和访问控制等。
2.3. 三级安全等级三级安全等级是指中等等级的信息系统,通常用于对机密信息进行处理和存储。
对于三级安全等级的信息系统,除了满足一级和二级安全等级的要求外,还需要提供加密通信和数据完整性验证等更高级别的安全保护。
2.4. 四级安全等级四级安全等级是指最高等级的信息系统,通常用于对绝密信息进行处理和存储。
对于四级安全等级的信息系统,除了满足前面三个等级的要求外,还需要提供更严格的访问控制、密钥管理和身份认证等安全保护。
3. 信息系统安全等级保护基本要求为了对不同等级的信息系统进行安全保护,以下是信息系统安全等级保护的基本要求:3.1. 风险评估在开发或部署信息系统时,应对系统进行全面的风险评估,确定系统可能面临的安全威胁和风险,并采取相应的措施来降低风险。
3.2. 访问控制对于所有等级的信息系统,都应实施严格的访问控制措施,确保只有经授权的用户可以访问系统和数据,并且用户访问的权限应该与其职责和需要相符合。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
等保第二级要求:技术要求物理安全物理位置选择(G2)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
物理访问控制(G2)a.机房出入口应安排专人值守,控制、鉴别和记录进入的人员b.需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围防盗窃和防破坏a.应将主要设备放置在机房内b.应将设备或主要部件进行固定,并设置明显的不易除去的标记c.应将通信线缆铺设在隐藏处,可铺设在地下或管道中d.应对介质分类标识,存储在介质库或档案室中e.主机房应安装必要的防盗报警设施防雷击a.机房建筑应设置避雷装置b.机房应设置交流电源地线防火机房应设置灭火设置和火灾自动报警系统防水和防潮a.水管安装,不得穿过机房屋顶和活动地板下b.采取措施防止雨水通过机房窗户、屋顶和墙壁渗透c.采取措施防止机房内水蒸气结露和地下积水的转移与渗透防静电关键设备应采用必要的接地防静电措施温湿度控制机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内电力供应(A2)a.在机房供电线路上配置稳压器和过电压防护设备b.提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求电磁防护(S2)电源线和通信线缆应隔离铺设,避免互相干扰网络安全结构安全(G2)a.保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要b.保证接入网络和核心网络的带宽满足业务高峰期需要c.绘制与当前运行情况相符的网络拓扑结构图d.根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。
访问控制a.在网络边界部署访问控制设备,启用访问控制功能b.根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级。
c.应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户。
d.应限制具有拨号访问权限的用户数量安全审计a.对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录b.审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息边界完整性检查(S2)能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。
入侵防范应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。
网络设备防护a.对登录网络设备的用户进行身份鉴别b.对网络设备的管理员登录地址进行限制c.网络设备用户的标识应唯一d.身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换e.具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施f.当对网络设备进行远程管理时,采取必要措施防止鉴别信息在传输过程中被窃听主机安全身份鉴别(S2)a.对登录操作系统和数据库系统的用户进行身份标识和鉴别b.操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换c.应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施d.当对服务器进行远程管理时,采取必要措施,防止鉴别信息在传输过程中被窃听e.为操作系统和数据库系统的不同用户,分配不同用户名,确保用户名唯一性访问控制(S2)a.启用访问控制功能,依据安全策略控制用户对资源的访问b.应实现操作系统和数据库系统特权用户的权限分离c.限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令d.及时删除多余的、过期的账户,避免共享账户的存在安全审计(G2)a.审计范围应覆盖到服务器上每个操作系统用户和数据库用户b.审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件c.审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等d.应保护审计记录,避免受到未预期的删除、修改或覆盖等入侵防范操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,通过设置升级服务器等方式保持系统补丁及时得到更新。
恶意代码防范(G2)a.应安装防恶意代码软件,及时更新防恶意代码软件版本和恶意代码库b.支持防恶意代码软件的统一管理资源控制a.通过设定终端接入方式、网络地址范围等条件限制终端登录b.根据安全策略设置登录终端的操作超时锁定c.限制单个用户对系统资源的最大或最小使用限度应用安全身份鉴别(S2)a.提供专用的登录控制模块对登录用户进行身份标识和鉴别b.提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用c.应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施d.启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。
访问控制(S2)a.提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问b.访问控制的覆盖范围包括与资源访问相关的主体、客体及它们间的操作c.应由授权主体配置访问控制策略,并严格限制默认账户的访问权限d.应授予不同账户为完成各自承担任务所需的最小权限,并在它们这间形成相互制约的关系安全审计(G2)a.提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计b.保证无法删除、修改或覆盖审计记录c.审讯记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等通信完整性(S2)应采用检验码技术保证通信过程中数据的完整性通信保密性(S2)a.通信双方建立连接前,应用系统先利用密码技术做会话初始化验证b.对通信过程中的敏感信息字段进行加密软件容错(A2)a.提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求。
b.在故障发生时,应用系统应能够继续提供一部分功能,确保能够实施必要的措施资源控制(A2)a.当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话b.应能够对应用系统的最大并发会话连接数进行限制c.应能够对单个账户的多重并发会话进行限制数据安全及备份恢复数据完整性(S2)能检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏数据保密性(S2)应采用加密或其他保护措施实现鉴别信息的存储保密性备份和恢复(A2)a.能够对重要信息进行备份和恢复b.提供关键网络设备、通信线路和数据处理系统的硬件冗余,保证系统的可用性管理要求安全管理制度管理制度(G2)a.制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等。
b.对安全管理活动中重要的管理内容建立安全管理制度c.对安全管理人员或操作人员执行的重要管理操作建立操作规程制定和发布(G2)a.指定或授权专门的部门或人员负责安全管理制度的制定b.组织相关人员对制定的安全管理制度进行论证和审定c.应将安全管理制度以某种方式发布到相关人员手中评审和修订(G2)应定期对安全管理制度进行评审,对存在不足或需要改进的安全管理制度进行修订安全管理机构岗位设置a.设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责b.应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责。
人员配备(G2)a.应配备一定数量的系统管理员、网络管理员、安全管理员等b.安全管理员不能兼任网络管理员、系统管理员、数据库管理员等。
授权和审批a.应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批b.应针对关键活动建立审批流程,并由批准人签字确认。
沟通和合作(G2)a.应加强各娄管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通b.应加强与兄弟单位、公安机关、电信公司的合作与沟通。
审核和检查(G2)安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。
人员安全管理人员录用(G2)本项要求包括:a.应指定或授权专门的部门或人员负责人员录用b.应规范人员录用过程,对被录用人员的身份、背景和专业资格等进行审查,对其所具有的技术技能进行考核c.应与从事关键岗位的人员签署保密协议。
人员离岗(G2)a.应规范人员离岗过程,及时终止离岗员工的所有访问权限b.应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备c.应办理严格的调离手续人员考核(G2)应定期对各个岗位的人员进行安全技能及安全认知的考核安全意识教育和培训(G2)a.对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训b.告知人员相关的安全责任和惩戒措施,对违反违背安全策略和规定的人员进行惩戒c.制定安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训外部人员访问管理(G2)确保在外部人员访问受控区域前得到授权或审批,批准后由专人全程陪同或监督,并登记备案系统建设管理系统定级(G2)a.明确信息系统的边界和安全保护等级b.以书面的形式说明信息系统确定为某个安全保护等级的方法和理由c.确保信息系统的定级结果经过相关部门的批准安全方案设计(G2)a.根据系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施b.以书面形式描述对系统的安全保护要求、策略和措施等内容,形成系统的安全方案c.对安全方案进行细化,形成能指导安全系统建设、安全产品采购和使用的详细设计方案d.组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施产品采购和使用(G2)a.确保安全产品采购和使用符合国家的有关规定b.应确保密码产品采购和使用符合国家密码主管部门的要求c.指定或授权专门的部门负责产品的采购自行软件开发a.开发环境与实际运行环境物理分开b.制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则c.确保提供软件设计的相关文档和使用指南,由专人负责保管外包软件开发(G2)a.指定或授权专门的部门或人员负责工程实施过程的管理b.制定详细的工程实施方案,控制工程实施过程测试验收a.对系统进行安全性测试验收b.测试验收前根据设计方案或合同要求等制订测试验收方案,在测试验收过程中详细记录测试验收结果,形成测试验收报告c.组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认。
系统交付a.制定系统交付清单,根据交付清单对所交接的设备、软件和文档等进行清点b.对负责系统运行维护的技术人员进行相应的技能培训c.确保提供系统建议过程中的文档和指导用户进行系统运行维护的文档安全服务商选择a.确保安全服务商的选择符合国家的有关规定b.与选定的安全服务商签订与安全相关的协议,明确约定相关责任c.确保选定的安全服务商提供技术支持和服务承诺,必要的与其签订服务合同。