(完整word版)网络安全等级保护2.0-通用要求-表格版1.pdf

《(完整word版)网络安全等级保护2.0-通用要求-表格版1.pdf》由会员分享，可在线阅读，更多相关《(完整word版)网络安全等级保护2.0-通用要求-表格版1.pdf（59页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络安全等级保护基本要求网络安全等级保护基本要求 第第 1 1 部分：安全通用要求部分：安全通用要求一、技术要求一、技术要求:基本要求基本要求第一级第一级第二级第二级第三级第三级第四级第四级a)机房场地应选择在机房场地应选择在a);具有防震、防风和防雨具有防震、防风和防雨物理物理和环和环物理位置的选物理位置的选/境安境安全全择择b)b)机房场地应避免设机房场地应避免设在建筑物的顶层或地下在建筑物的顶层或地下室，否则应加强防水和室，否则应加强防水和防潮措施防潮措施b);等能力的建筑内；等能力的建筑内；a);b);a)机房出入口应安排专人值守或配置电子门物理访问控制物理访问控制禁系统，控制、鉴别和

2、记录进入的人员a)a)机房出入口 应配置应配置a);电子门禁系统电子门禁系统，控制、鉴别和记录进入的人员b)b)重要区域应配置第重要区域应配置第二道电子门禁系统，控二道电子门禁系统，控制、鉴别和记录进入的制、鉴别和记录进入的人员人员a)应将机房设备或主要部件进行固定，并设a)；a)；a);b);b)应将通信线缆铺设应将通信线缆铺设b)；防盗窃和防破防盗窃和防破置明显的不易除去的标在隐蔽处，可铺设在地在隐蔽处，可铺设在地坏坏记下或管道中下或管道中。c)应设置机房防盗报应设置机房防盗报c);警系统或设置有专人值警系统或设置有专人值守的视频监控系统守的视频监控系统a)应将各类机柜、设施 a)和设备等

3、通过接地系统防雷击防雷击安全接地a)；a);b)应采取措施防止感应采取措施防止感b);应雷，例如设置防雷保应雷，例如设置防雷保安器或过压保护装置等安器或过压保护装置等a)机房应设置灭火设备a)机房应设置火灾自机房应设置火灾自a)；动消防系统，能够自动动消防系统，能够自动检测火情、自动报警，检测火情、自动报警，b)；a);b);防火防火进行管理，区域和区域进行管理，区域和区域b)b)机房及相关的工作机房及相关的工作房间和辅助房应采用具房间和辅助房应采用具施。施。有耐火等级的建筑材料有耐火等级的建筑材料之之间间设设置置隔隔离离防防火火措措并自动灭火；并自动灭火；c)c)应对机房划分区域应对机房划分

4、区域c);a)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透防水和防潮防水和防潮a)；a)；a);b);b)应采取措施防止机应采取措施防止机b)；房内水蒸气结露和地下房内水蒸气结露和地下c)c)应安装对水敏感的应安装对水敏感的c);积水的转移与渗透积水的转移与渗透检测仪表或元件，对机检测仪表或元件，对机房房进进行行防防水水检检测测和和报报警。警。a)a)应安装防静电地板应安装防静电地板a)；并采用必要的接地并采用必要的接地a);b)b)应采用措施防止静应采用措施防止静b);防静电防静电/防静电措施防静电措施电的产生，例如采用静电的产生，例如采用静电消除器、佩戴防静电电消除器、佩戴防静电手环等。

5、手环等。a)机房应设置必要的a)机房应设置 温湿度温湿度a);a);温、湿度控制设施，使自动调节设施自动调节设施，使机房温湿度控制温湿度控制机房温、湿度的变化在温湿度的变化在设备运设备运行所允许的范围行所允许的范围之内之内a)应在机房供电线路上配置稳压器和过电压a)；a)；a)；b)；b)应提供短期的备用应提供短期的备用b)；防护设备电力供应电力供应电力供应，至少满足设电力供应，至少满足设c)c)应设置冗余或并行应设置冗余或并行c)；备在断电情况下的正常备在断电情况下的正常的电力电缆线路为计算的电力电缆线路为计算运行要求运行要求机系统供电机系统供电。施。施。d)d)应提供应急供电设应提供应急供

6、电设a)a)电源线和通信线缆电源线和通信线缆a)；应隔离铺设，应隔离铺设，避免互避免互相干扰相干扰a)；电磁防护电磁防护/b)b)应对关键设备实施应对关键设备实施b)应对关键设备 或关或关电磁屏蔽。电磁屏蔽。键区域键区域实施电磁屏蔽。a)应保证网络设备的a)应保证网络设备的a)；a)；业务处理能力满足基本业务处理能力满足业务满足业务业务需要；网络网络和通和通网络架构网络架构信安信安全全b)应保证接入网络和高峰期需要高峰期需要；b)应保证 网络各个部网络各个部c)；分的带宽满足业务高峰分的带宽满足业务高峰d)；e)；c)；f)f)应可按照业务服务应可按照业务服务d)；的重要程度分配带宽，的重要程

7、度分配带宽，b)应保证接入网络和期需要期需要；核心网络的带宽满足基核心网络的带宽满足业满足业本业务需要。务高峰期需要务高峰期需要；c)应划分不同的网络应划分不同的网络关关 优先保障重要业务。优先保障重要业务。区域，并按照方便管理区域，并按照方便管理e)e)应提供通信线路、应提供通信线路、和控制的原则为各网络和控制的原则为各网络键键网网络络设设备备的的硬硬件件冗冗区域分配地址；区域分配地址；d)d)应避免将重要网络应避免将重要网络区域部署在网络边界处区域部署在网络边界处且没有边界防护措施且没有边界防护措施。余，余，保证系统的可用性。保证系统的可用性。a)应采用校验码技术保证通信过程中数据的完整性

8、通信传输通信传输a)a)应采用校验码技术a)；或加解密技术或加解密技术保证通信b)；过程中数据的完整性；c)c)应在通信前基于密应在通信前基于密b)b)应采用加解密技术应采用加解密技术码技术对通信的双方进码技术对通信的双方进保证通信过程中敏感信保证通信过程中敏感信行验证或认证；行验证或认证；息字段或整个报文的保息字段或整个报文的保密性。密性。d)d)应基于硬件设备对应基于硬件设备对重要通信过程进行加解重要通信过程进行加解密运算和密钥管理。密运算和密钥管理。a)a)；a)；b)b)应能够对非授权设应能够对非授权设b)应能够对非授权设备私自联到内部网络的备私自联到内部网络的备私自联到内部网络的行为

9、进行限制或检查；行为进行限制或检查；行为进行限制或检查，a)应保证跨越边界的访问和数据流通过边界边界防护边界防护防护设备提供的受控接口进行通信c)c)应能够对内部用户应能够对内部用户非授权联到外部网络的非授权联到外部网络的c)应能够对内部用户行为进行限制或检查；行为进行限制或检查；非授权联到外部网络的d)d)应限制无线网络的应限制无线网络的使用，确保无线网络通使用，确保无线网络通并对其进行有效阻断并对其进行有效阻断；行为进行限制或检查，并对其进行有效阻断并对其进行有效阻断；过受控的边界防护设备过受控的边界防护设备d)；接入内部网络接入内部网络。e)e)应能够对连接到内应能够对连接到内部网络的设

10、备进行可信部网络的设备进行可信验证，确保接入网络的验证，确保接入网络的设备真实可信。设备真实可信。a)应在网络边界根据a)应在网络边界或区网络边界或区a)；b)；a)；b)；c)c)应不允许数据带通应不允许数据带通用协议通过。用协议通过。访问控制策略设置访问域之间域之间根据访问控制策控制规则，默认情况下略设置访问控制规则，除允许通信外受控接口默认情况下除允许通信c)；拒绝所有通信；访问控制访问控制b)应删除多余或无效外受控接口拒绝所有通信；e)e)应在关键网络节点应在关键网络节点处对进出网络的信息内处对进出网络的信息内容进行过滤，实现对内容进行过滤，实现对内容的访问控制容的访问控制。d)应能根

11、据会话状态应能根据会话状态d)；的访问控制规则，优化b)；访问控制列表，并保证c)；访问控制规则数量最小化；c)应对源地址、目的地 信息为数据流提供明确信息为数据流提供明确址、源端口、目的端口的允许的允许/拒绝访问的能拒绝访问的能和协议等进行检查，以力，控制粒度为端口级力，控制粒度为端口级允许/拒绝数据包进出a)a)应在关键网络节点应在关键网络节点a)a)应在关键网络节点应在关键网络节点a);处监视网络攻击行处监视网络攻击行处检测、防止或限制从处检测、防止或限制从为为外部发起的网络攻击行外部发起的网络攻击行为；为；c);b);入侵防范入侵防范/b)b)应在关键网络节点应在关键网络节点d);处检

12、测和限制从内部发处检测和限制从内部发起的网络攻击行为；起的网络攻击行为；c)c)应采取技术措施对应采取技术措施对网络行为进行分析，实网络行为进行分析，实现对网络攻击特别是未现对网络攻击特别是未知的新型网络攻击的检知的新型网络攻击的检测和分析；测和分析；d)d)当检测到攻击行为当检测到攻击行为时，记录攻击源时，记录攻击源IPIP、攻、攻击类型、攻击目的、攻击类型、攻击目的、攻击时间，在发生严重入击时间，在发生严重入侵事件时应提供报警侵事件时应提供报警a)a)应在关键网络节点应在关键网络节点a);处对恶意代码进行检测处对恶意代码进行检测恶意代码防范恶意代码防范/b);和清除，并维护恶意代和清除，并

13、维护恶意代码防护机制的升级和更码防护机制的升级和更新；新；b)b)应在关键网络节点应在关键网络节点处对垃圾邮件进行检测处对垃圾邮件进行检测和防护，并维护垃圾邮和防护，并维护垃圾邮件防护机制的升级和更件防护机制的升级和更新新a)应在网络边界、应在网络边界、重要重要 a)；网网络络节节点点进进行行安安全全审审计，审计覆盖到每个用计，审计覆盖到每个用户，对重要的用户行为户，对重要的用户行为c)；安全审计安全审计/和重要安全事件进行审和重要安全事件进行审计；计；b)；a);b);c);d)d)审计记录产生时的审计记录产生时的d);时间应由系统范围内唯时间应由系统范围内唯b)b)审计记录应包括事审计记录

14、应包括事一确定的时钟产生，以一确定的时钟产生，以件的日期和时间、件的日期和时间、用户、用户、确确保保审审计计分分析析的的正正确确事件类型、事件是否成事件类型、事件是否成性；性；功及其他与审计相关的功及其他与审计相关的信息；信息；e)e)应能对远程访问的应能对远程访问的用户行为、访问互联网用户行为、访问互联网c)c)应对审计记录进行应对审计记录进行的用户行为等单独进行的用户行为等单独进行保护，定期备份，避免保护，定期备份，避免行为审计和数据分析行为审计和数据分析受到未预期的删除、修受到未预期的删除、修改或覆盖等改或覆盖等。a)a)应划分出特定的管应划分出特定的管a);理区域，对分布在网络理区域，

15、对分布在网络中的安全设备或安全组中的安全设备或安全组b);c);集中管控集中管控/件进行管控；件进行管控；b)b)应能够建立一条安应能够建立一条安d);全的信息传输路径，对全的信息传输路径，对网络中的安全设备或安网络中的安全设备或安e);全组件进行管理；全组件进行管理；c)c)应对网络链路、应对网络链路、安全安全设备、网络设备和服务设备、网络设备和服务器等的运行状况进行集器等的运行状况进行集中监测；中监测；d)d)应对分散在各个设应对分散在各个设备上的审计数据进行收备上的审计数据进行收集汇总和集中分析；集汇总和集中分析；e)e)应对安全策略、应对安全策略、恶意恶意代码、补丁升级等安全代码、补丁

16、升级等安全相相关关事事项项进进行行集集中中管管理；理；f);f)f)应能对网络中发生应能对网络中发生的各类安全事件进行识的各类安全事件进行识别、报警和分析。别、报警和分析。a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身设备设备和计和计身份鉴别身份鉴别算安算安全全b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施a)；b)；a)；b)；a);b);c);份鉴别信息具有复杂度c)当进行远程管理时，当进行远程管理时，c)；要求并定期更换；应采取必要措施，防止应采取必要措施，防止d)d)应采用两种或两种应采用两种或两种d);鉴别信息在网络

17、传输过鉴别信息在网络传输过以上组合的鉴别技术对以上组合的鉴别技术对程中被窃听程中被窃听。用户进行身份鉴别。用户进行身份鉴别。a)应对登录的用户分配账号和权限；b)应重命名默认账号a)；b)；c)；a)；b)；c)；a)；b)；c)；d)；或修改默认口令；d)应授予管理用户所应授予管理用户所d)；c)应及时删除或停用需的最小权限，实现管需的最小权限，实现管多余的、过期的账号，访问控制访问控制避免共享账号的存在理用户的权限分离理用户的权限分离e)e)应由授权主体配置应由授权主体配置e)；访问控制策略，访问控访问控制策略，访问控f)；制策略规定主体对客体制策略规定主体对客体的访问规则；的访问规则；f

18、)f)访问控制的粒度应访问控制的粒度应达到主体为用户级或进达到主体为用户级或进程级，客体为文件、数程级，客体为文件、数g)g)应对所有主体、应对所有主体、客体客体设置安全标记，并依据设置安全标记，并依据安全标记和强制访问控安全标记和强制访问控制规则确定主体对客体制规则确定主体对客体的访问的访问。据库表级；据库表级；g)g)应对敏感信息资源应对敏感信息资源设置安全标记，并控制设置安全标记，并控制主体对有安全标记信息主体对有安全标记信息资源的访问。资源的访问。a)应启用安全审计功应启用安全审计功a)；能，审计覆盖到每个用能，审计覆盖到每个用b)；户，对重要的用户行为户，对重要的用户行为和重要安全事

19、件进行审和重要安全事件进行审c)；安全审计安全审计/计；计；a)；b)审计记录应包括事件的日期、时间、类型、主体标识、客体标识主体标识、客体标识和d)d)应对审计进程进行应对审计进程进行结果等；c)；b)b)审计记录应包括事审计记录应包括事保护，防止未经授权的保护，防止未经授权的件的日期和时间、件的日期和时间、用户、用户、中断；中断；事件类型、事件是否成事件类型、事件是否成功及其他与审计相关的功及其他与审计相关的e)e)审计记录产生时的审计记录产生时的d)；信息；信息；c)c)应对审计记录进行应对审计记录进行保护，定期备份，避免保护，定期备份，避免受到未预期的删除、修受到未预期的删除、修改或覆

20、盖等改或覆盖等。时间应由系统范围内唯时间应由系统范围内唯一确定的时钟产生，以一确定的时钟产生，以确保审计分析的正确性确保审计分析的正确性e)。a)系统应遵循最小安装的原则，仅安装需要的组件和应用程序；入侵防范入侵防范b)应关闭不需要的系统服务、默认共享和高危端口a)；b)；a)。b)；a);b);c);d);c)应通过设定终端接应通过设定终端接c)；入方式或网络地址范围入方式或网络地址范围d)；对通过网络进行管理的对通过网络进行管理的管理终端进行限制；管理终端进行限制；e)e)应能够检测到对重应能够检测到对重e);d)d)应能发现可能存在应能发现可能存在要要节节点点进进行行入入侵侵的的行行的漏

21、洞，并在经过充分的漏洞，并在经过充分为，并在发生严重入侵为，并在发生严重入侵测试评估后，及时修补测试评估后，及时修补事件时提供报警。事件时提供报警。漏洞漏洞a)应安装防恶意代码软件或配置具有相应功能的软件，并定期进行升级和更新防恶意代码恶意代码防范恶意代码防范库a);a)应采用免受恶意代应采用免受恶意代a);码攻击的技术措施或采码攻击的技术措施或采用可信计算技术建立从用可信计算技术建立从系统到应用的信任链，系统到应用的信任链，实现系统运行过程中重实现系统运行过程中重要程序或文件完整性检要程序或文件完整性检测，并在检测到破坏后测，并在检测到破坏后进行恢复进行恢复。a)a)应限制单个用户或应限制单

22、个用户或a)；进程对系统资源的进程对系统资源的最大使用限度最大使用限度a);b)b)应提供重要节点设应提供重要节点设b);备的硬件冗余，保证系备的硬件冗余，保证系c);统的可用性；统的可用性；d);c)c)应对重要节点进行应对重要节点进行监视，包括监视监视，包括监视 CPUCPU、硬盘、内存等资源的使硬盘、内存等资源的使用情况；用情况；d)d)应能够对重要节点应能够对重要节点的服务水平降低到预先的服务水平降低到预先规定的最小值进行检测规定的最小值进行检测和报警。和报警。资源控制资源控制/a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，鉴a)；b)；a)；b)；a)；b)；c)；d)；

23、别信息具有复杂度要求c)应强制用户首次登应强制用户首次登c)；并定期更换；身份鉴别身份鉴别应用应用和数和数据安据安全全b)应提供并启用登录d)d)用户身份鉴别信息用户身份鉴别信息录时修改初始口令；录时修改初始口令；d)；e)e)应对同一用户采用应对同一用户采用e)；两种或两种以上组合的两种或两种以上组合的f)登录用户执行重要登录用户执行重要鉴别技术实现用户身份鉴别技术实现用户身份鉴别。鉴别。操作时应再次进行身份操作时应再次进行身份鉴别鉴别。失败处理功能，多次登丢失或失效时，应采用丢失或失效时，应采用录失败后应采取必要的鉴别信息重置或其他技鉴别信息重置或其他技保护措施术措施保证系统安全术措施保证

24、系统安全a)应提供访问控制功访问控制访问控制能，对登录的用户分配a);b);a)；b)；a)；b)；账号和权限；b)应重命名应用系统默认账号或修改这些账号的默认口令；c)应及时删除或停用多余的、过期的账号，避免共享账号的存在c);c)；c)；d)d)应授予不同账号为应授予不同账号为d)；完成各自承担任务所需完成各自承担任务所需的最小权限，并在它们的最小权限，并在它们之间形成相互制约的关之间形成相互制约的关f)；系；系；g)g)应对所有主体、应对所有主体、客体客体e)；e)e)应由授权主体配置应由授权主体配置设置安全标记，并依据设置安全标记，并依据访问控制策略，访问控访问控制策略，访问控安全标记

25、和强制访问控安全标记和强制访问控制策略规定主体对客体制策略规定主体对客体制规则确定主体对客体制规则确定主体对客体的访问规则；的访问规则；f)f)访问控制的粒度应访问控制的粒度应达到主体为用户级，客达到主体为用户级，客体为文件、体为文件、数据库表级、数据库表级、的访问。的访问。记录或字段级；记录或字段级；g)g)应对敏感信息资源应对敏感信息资源设置安全标记，并控制设置安全标记，并控制主体对有安全标记信息主体对有安全标记信息资源的访问。资源的访问。a)应提供安全审计功应提供安全审计功a)；能，审计覆盖到每个用能，审计覆盖到每个用b)；户，对重要的用户行为户，对重要的用户行为和重要安全事件进行审和重

26、要安全事件进行审c)；安全审计安全审计/计；计；a)；b)审计记录应包括事件的日期、时间、类型、主体标识、客体标识主体标识、客体标识和d)d)应对审计进程进行应对审计进程进行结果等；c)；b)b)审计记录应包括事审计记录应包括事保护，防止未经授权的保护，防止未经授权的件的日期和时间、件的日期和时间、用户、用户、中断；中断；事件类型、事件是否成事件类型、事件是否成功及其他与审计相关的功及其他与审计相关的e)e)审计记录产生时的审计记录产生时的d)；信息；信息；c)c)应对审计记录进行应对审计记录进行保护，定期备份，避免保护，定期备份，避免受到未预期的删除、修受到未预期的删除、修改或覆盖等改或覆盖

27、等时间应由系统范围内唯时间应由系统范围内唯一确定的时钟产生，以一确定的时钟产生，以确保审计分析的正确性确保审计分析的正确性e)。a)；a)应提供数据有效性检验功能，保证通过人软件容错软件容错机接口输入或通过通信a)；b)；b)在故障发生时，在故障发生时，应能应能够够继继续续提提供供一一部部分分功功a);b);c)c)应提供自动保护功应提供自动保护功c);接口输入的内容符合系能，确保能够实施必要能，确保能够实施必要能，当故障发生时自动能，当故障发生时自动统设定要求的措施的措施保护当前所有状态，保保护当前所有状态，保证系统能够进行恢复证系统能够进行恢复。a)当通信双方中的一当通信双方中的一a)；方

28、在一段时间内未作任方在一段时间内未作任何响应，另一方应能够何响应，另一方应能够自动结束会话；自动结束会话；c)；b)；a);b);c);b)b)应能够对系统的最应能够对系统的最d)d)应能够对并发进程应能够对并发进程d);资源控制资源控制/大并发会话连接数进行大并发会话连接数进行的每个进程占用的资源的每个进程占用的资源限制；限制；c)c)应能够对单个账号应能够对单个账号的多重并发会话进行限的多重并发会话进行限制制分配最大限额。分配最大限额。数据完整性数据完整性a)应采用校验码技术保证重要数据在传输过a);a)应采用校验码技术a)；或加解密技术或加解密技术保证重要程中的完整性数据在传输过程中的完

29、b)；整性；c)c)应对重要数据传输应对重要数据传输b)b)应采用校验码技术应采用校验码技术提供专用通信协议或安提供专用通信协议或安或加解密技术保证重要或加解密技术保证重要全通信协议，避免来自全通信协议，避免来自数据在存储过程中的完数据在存储过程中的完基于通用通信协议的攻基于通用通信协议的攻整性。整性。击破坏数据完整性。击破坏数据完整性。a)a)应采用加解密技术应采用加解密技术a)；保证重要数据在传输过保证重要数据在传输过程中的保密性；程中的保密性；数据保密性数据保密性/b)b)应采用加解密技术应采用加解密技术保证重要数据在存储过保证重要数据在存储过程中的保密性。程中的保密性。c)c)应对重要

30、数据传输应对重要数据传输提供专用通信协议或安提供专用通信协议或安全通信协议，避免来自全通信协议，避免来自基于通用通信协议的攻基于通用通信协议的攻b)；击破坏数据保密性。击破坏数据保密性。a)；a)；a)；a)应提供重要数据的b)应提供异地数据备应提供异地数据备b)应提供异地 实时备实时备b)；份功能份功能，利用通信网络c)；将重要数据实时备份至实时备份至备份场地备份场地；c)c)应提供重要数据处应提供重要数据处的实时切换的实时切换。理系统的热冗余，保证理系统的热冗余，保证系统的高可用性系统的高可用性。d)d)应建立异地灾难备应建立异地灾难备份中心，提供业务应用份中心，提供业务应用数据备份恢复数

31、据备份恢复本地数据备份与恢复功份功能，利用通信网络份功能，利用通信网络能将重要数据定时批量传将重要数据定时批量传送至备用场地送至备用场地a)a)应保证鉴别信息所应保证鉴别信息所a)；在的存储空间被释在的存储空间被释a);剩余信息保护剩余信息保护/b)b)应保证存有敏感数应保证存有敏感数b);放或重新分配前得放或重新分配前得到完全清除到完全清除据的存储空间被释放或据的存储空间被释放或重新分配前得到完全清重新分配前得到完全清除。除。a)应仅采集和保存业应仅采集和保存业a);务务必必需需的的用用户户个个人人信信个人信息保护个人信息保护/息；息；b)b)应禁止未授权访问、应禁止未授权访问、使用用户个人

32、信息使用用户个人信息a);b);b);二、管理要求二、管理要求基本要求基本要求第一级第一级第二级第二级第三级第三级第四级第四级a)a)应制定信息安全工应制定信息安全工a);作的总体方针和安全策作的总体方针和安全策安全策略安全策略/略，说明机构安全工作略，说明机构安全工作的总体目标、范围、原的总体目标、范围、原安全安全策略策略a)应对安全管理活动应对安全管理活动a)；和管和管中的主要管理内容建立中的主要管理内容建立理制理制度度管理制度管理制度a)应建立日常管理活安全管理制度；安全管理制度；c)c)应形成由安全策略、应形成由安全策略、c);管理制度、操作规程、管理制度、操作规程、度或操作人员执行的

33、日常或操作人员执行的日常管理操作建立操作规程管理操作建立操作规程记录表单等构成的全面记录表单等构成的全面的信息安全管理制度体的信息安全管理制度体系。系。b)；b);a);则和安全框架等。则和安全框架等。动中常用的安全管理制b)b)应对要求管理人员应对要求管理人员a)应指定或授权专门应指定或授权专门a);的部门或人员负责安全的部门或人员负责安全管理制度的制定；管理制度的制定；制定和发布制定和发布/b)b)安全管理制度应通安全管理制度应通过正式、有效的方式发过正式、有效的方式发布，并进行版本控制布，并进行版本控制a)a);b);b);a)a)应定期对安全管理应定期对安全管理a);制度的合理性和适用

34、性制度的合理性和适用性评审和修订评审和修订/进行论证和审定，对存进行论证和审定，对存在不足或需要改进的安在不足或需要改进的安全管理制度进行修订全管理制度进行修订c)应设立系统管理员、b)应设立信息安全管应设立信息安全管a)应成立指导和管理应成立指导和管理a);网络管理员、安全管理理工作的职能部门，设理工作的职能部门，设信息安全工作的委员会信息安全工作的委员会员等岗位，并定义各个立安全主管、安全管理立安全主管、安全管理或领导小组，其最高领或领导小组，其最高领工作岗位的职责安全安全管理管理机构机构和人和人员员各各个个方方面面的的负负责责人人岗岗 导由单位主管领导委任导由单位主管领导委任c);位，并

35、定义各负责人的位，并定义各负责人的或授权或授权；岗位设置岗位设置职责职责；c)应设立系统管理员、网络管理员、安全管理员等岗位，并定义部门定义部门及各个工作岗位的职责b)；c)；b);a)应配备一定数量的人员配备人员配备系统管理员、网络管理a);a)；a);b)b)应配备专职安全管应配备专职安全管b);员、安全管理员等理员，不可兼任。理员，不可兼任。c)关键事务岗位应配关键事务岗位应配备多人共同管理备多人共同管理a)应根据各个部门和岗位的职责明确授权审a)；a)；a);b)应针对系统变更、应针对系统变更、重重 b)应针对系统变更、重 b);批事项、审批部门和批准人等要操作、物理访问和系要操作、物

36、理访问和系要操作、物理访问和系c);统接入等事项执行审批统接入等事项执行审批统接入等事项建立审批过程过程程序，按照审批程序执按照审批程序执行审批过程，对重要活行审批过程，对重要活动建立逐级审批制度；动建立逐级审批制度；c)c)应定期审查审批事应定期审查审批事项，及时更新需授权和项，及时更新需授权和审批的项目、审批部门审批的项目、审批部门授权和审批授权和审批和审批人等信息和审批人等信息。a)应加强各类管理人应加强各类管理人a);员之间、组织内部机构员之间、组织内部机构b);之间以及信息安全职能之间以及信息安全职能部部门门内内部部的的合合作作与与沟沟c);通，通，定期召开协调会议，定期召开协调会议

37、，共同协作处理信息安全共同协作处理信息安全沟通和合作沟通和合作/问题；问题；b)b)应加强与兄弟单位、应加强与兄弟单位、公安机关、公安机关、各类供应商、各类供应商、业界专家及安全组织的业界专家及安全组织的合作与沟通；合作与沟通；c)c)应建立外联单位联应建立外联单位联b);c);系列表，包括外联单位系列表，包括外联单位名称、合作内容、联系名称、合作内容、联系人和联系方式等信息人和联系方式等信息a)应定期进行常规安应定期进行常规安a)；全检查，检查内容包括全检查，检查内容包括系统日常运行、系统漏系统日常运行、系统漏洞和数据备份等情况洞和数据备份等情况a);b)b)应定期进行全面安应定期进行全面安

38、b);全检查，检查内容包括全检查，检查内容包括c);现有安全技术措施的有现有安全技术措施的有效性、安全配置与安全效性、安全配置与安全策略的一致性、安全管策略的一致性、安全管理制度的执行情况等；理制度的执行情况等；c)c)应制定安全检查表应制定安全检查表格实施安全检查，汇总格实施安全检查，汇总安全检查数据，形成安安全检查数据，形成安审核和检查审核和检查/全检查报告，并对安全全检查报告，并对安全检查结果进行通报检查结果进行通报。a)应指定或授权专门的部门或人员负责人员a)；a)；a)；b)应对被录用人员的应对被录用人员的b)对被录用人员的身b)；录用身份、背景、专业资格身份、背景、专业资格份、背景

39、、专业资格和c)；和资质等进行审查和资质等进行审查人员录用人员录用考核；考核；c)c)应与被录用人员签应与被录用人员签署保密协议，与关键岗署保密协议，与关键岗位人员签署岗位责任协位人员签署岗位责任协议。议。资质等进行审查，对其，对其所具有的技术技能进行所具有的技术技能进行d)d)应从内部人员中选应从内部人员中选拔拔从从事事关关键键岗岗位位的的人人员。员。a)应及时终止离岗员工的所有访问权限，取人员离岗人员离岗回各种身份证件、钥匙、徽章等以及机构提供的a);a)；a);b)b)应办理严格的调离应办理严格的调离b);手续，并承诺调离后的手续，并承诺调离后的保密义务后方可离开。保密义务后方可离开。软

40、硬件设备a)应对各类人员进行安全意识教育和岗位技a);a)；a);b)b)应针对不同岗位制应针对不同岗位制b);安全意识教育安全意识教育能培训，并告知相关的和培训和培训安全责任和惩戒措施定不同的培训计划，对定不同的培训计划，对信息安全基础知识、岗信息安全基础知识、岗位位操操作作规规程程等等进进行行培培训。训。a)应确保在外部人员a)应确保在外部人员应确保在外部人员a)；b)；a)；b)；c)；访问受控区域前得到授物理访问受控区域前先物理访问受控区域前先权或审批提出书面申请，批准后提出书面申请，批准后由专人全程陪同，并登由专人全程陪同，并登c)；记备案；记备案；d)d)获得系统访问授权获得系统访

41、问授权d)；e)e)对关键区域或关键对关键区域或关键系统不允许外部人员访系统不允许外部人员访问。问。b)b)应确保在外部人员应确保在外部人员的外部人员应签署保密的外部人员应签署保密外部人员访问外部人员访问管理管理接入网络访问系统前先接入网络访问系统前先协议，不得进行非授权协议，不得进行非授权提出书面申请，批准后提出书面申请，批准后操作，不得复制和泄露操作，不得复制和泄露由专人开设账号、分配由专人开设账号、分配任何敏感信息。任何敏感信息。权限，并登记备案；权限，并登记备案；c)c)外部人员离场后应外部人员离场后应及时清除其所有的访问及时清除其所有的访问权限权限a)应明确保护对象的边界和安全保护等

42、级a)a)应以书面的形式说应以书面的形式说a);明保护对象的边界、安明保护对象的边界、安全保护等级及确定等级全保护等级及确定等级的方法和理由；的方法和理由；c);b);a)；b)；c)；d)；b)b)应组织相关部门和应组织相关部门和d);安全安全建设建设管理管理有关安全技术专家对定有关安全技术专家对定定级和备案定级和备案级结果的合理性和正确级结果的合理性和正确性进行论证和审定；性进行论证和审定；c)c)应确保定级结果经应确保定级结果经过相关部门的批准；过相关部门的批准；d)d)应将备案材料报主应将备案材料报主管部门和相应公安机关管部门和相应公安机关备案备案a)应根据安全保护等级选择基本安全措施

43、，a)；a)；a)；b)应根据保护对象的应根据保护对象的b)应根据保护对象的b)；依据风险分析的结果补安全保护等级进行安全安全保护等级进行安全安全保护等级及与其他及与其他充和调整安全措施c)；方案设计；方案设计；c)c)应组织相关部门和应组织相关部门和安全方案设计安全方案设计方案设计，并形成配套并形成配套有关安全专家对安全方有关安全专家对安全方案的合理性和正确性进案的合理性和正确性进文件文件；级别保护对象的关系进级别保护对象的关系进行安全整体规划行安全整体规划和安全行论证和审定，经过批行论证和审定，经过批c)应组织相关部门和准后才能正式实施准后才能正式实施有关安全专家对安全整安全整体规划及其配

44、套文件的体规划及其配套文件的合理性和正确性进行论证和审定，经过批准后才能正式实施。a)应确保信息安全产品采购和使用符合国家a)；a)；a)；b)；b)应确保密码产品采应确保密码产品采b)；的有关规定购和使用符合国家密码购和使用符合国家密码产品采购和使产品采购和使用用c)c)应预先对产品进行应预先对产品进行c)；主管部门的要求主管部门的要求选型测试，确定产品的选型测试，确定产品的候选范围，并定期审定候选范围，并定期审定和更新候选产品名单。和更新候选产品名单。行专项测试，根据测试行专项测试，根据测试结果选用产品。结果选用产品。d)d)应对重要部位的产应对重要部位的产品委托专业测评单位进品委托专业测

45、评单位进a)应确保开发环境与应确保开发环境与a)；自行软件开发自行软件开发/实实际际运运行行环环境境物物理理分分开，测试数据和测试结开，测试数据和测试结a)；b)b)应制定软件开发管应制定软件开发管b)；理制度，明确说明开发理制度，明确说明开发果受到控制；果受到控制；e)e)应确保在软件开发应确保在软件开发过程的控制方法和人员过程的控制方法和人员c)；行为准则；行为准则；d)；e)；f)；过程中对安全性进行测过程中对安全性进行测c)c)应制定代码编写安应制定代码编写安试，在软件安装前对可试，在软件安装前对可全规范，要求开发人员全规范，要求开发人员能存在的恶意代码进行能存在的恶意代码进行参照规范

46、编写代码；参照规范编写代码；检测检测。d)d)应确保具备软件设应确保具备软件设g)；计的相关文档和使用指计的相关文档和使用指南，并对文档使用进行南，并对文档使用进行控制；控制；e)；f)f)应确保对程序资源应确保对程序资源库的修改、更新、发布库的修改、更新、发布进行授权和批准，并严进行授权和批准，并严格进行版本控制；格进行版本控制；g)g)应确保开发人员为应确保开发人员为专职人员，开发人员的专职人员，开发人员的开发活动受到控制、监开发活动受到控制、监视和审查。视和审查。a)应在软件交付前检应在软件交付前检a)；测软件质量和其中可能测软件质量和其中可能b)；存在的恶意代码；存在的恶意代码；外包软

47、件开发外包软件开发/b)b)应要求开发单位提应要求开发单位提供软件源代码，并审查供软件源代码，并审查供软件设计文档和使用供软件设计文档和使用指南指南软件中可能存在的后门软件中可能存在的后门和隐蔽信道。和隐蔽信道。a)；b)；c)c)应要求开发单位提应要求开发单位提c)；a)应指定或授权专门的部门或人员负责工程工程实施工程实施实施过程的管理a)；a)；a)；b)；b)应制定工程实施方应制定工程实施方b)；案控制安全工程实施过案控制安全工程实施过c)c)应通过第三方工程应通过第三方工程c)；程程监理控制项目的实施过监理控制项目的实施过程。程。a)应进行安全性测试验收测试验收测试验收a)在制订测试验

48、收方在制订测试验收方a);案，并依据测试验收方案，并依据测试验收方案实施测试验收，形成案实施测试验收，形成测试验收报告；测试验收报告；b)b)应进行上线前的安应进行上线前的安全性测试，并出具安全全性测试，并出具安全b);a)；b)；测试报告测试报告a)应根据交付清单对所交接的设备、软件和a)；b)；a);b);a)；b)；c)；文档等进行清点；系统交付系统交付b)应对负责运行维护程中的文档和指导用户程中的文档和指导用户的技术人员进行相应的进行运行维护的文档进行运行维护的文档技能培训c)应确保提供建设过应确保提供建设过c);a)a)应定期进行等级测应定期进行等级测a);评，发现不符合相应等评，发

49、现不符合相应等等级测评等级测评/级保护标准要求的及时级保护标准要求的及时整改；整改；b)b)应在发生重大变更应在发生重大变更c);b);a)；b)；c)；或级别发生变化时进行或级别发生变化时进行等级测评；等级测评；c)c)应选择具有国家相应选择具有国家相关技术资质和安全资质关技术资质和安全资质的测评单位进行等级测的测评单位进行等级测评评a)应确保服务供应商的选择符合国家的有关服务供应商选服务供应商选择择b)应与选定的服务供规定；a)；a)；a)；b)；b)应与选定的服务供应与选定的服务供b)；应商签订相关协议，明应商签订相关协议，明c)c)应定期监视、应定期监视、评审和评审和 c)；确整个服务

50、供应链各方确整个服务供应链各方审核服务供应商提供的审核服务供应商提供的服务，并对其变更服务服务，并对其变更服务内容加以控制。内容加以控制。应商签订与安全相关的需履行的信息安全相关需履行的信息安全相关协议，明确约定相关责义务义务任a)应指定专门的部门或人员负责机房安全，a)；b)；a);b);a)；b)；c)；d)d)应对出入人员进行应对出入人员进行相应级别的授权，对进相应级别的授权，对进入重要安全区域的人员入重要安全区域的人员和活动实时监视等。和活动实时监视等。对机房出入进行管理，定期对机房供配电、空c)c)应不在重要区域接应不在重要区域接c);安全安全运维运维管理管理环境管理环境管理调、温湿