范文一:信息安全等级保护(二级)
信息安全等级保护(二级)
备注:其中黑色字体为信息安全等级保护第二级系统要求,蓝色字体为第三级系统等保要求。
一、物理安全
1、应具有机房和办公场地的设计/验收文档(机房场地的选址说明、地线连接要求的描述、建筑材料具有相应的耐火等级说明、接地防静电措施)
2、应具有有来访人员进入机房的申请、审批记录;来访人员进入机房的登记记录
3、应配置电子门禁系统(三级明确要求);电子门禁系统有验收文档或产品安全认证资质,电子门禁系统运行和维护记录
4、主要设备或设备的主要部件上应设置明显的不易除去的标记
5、介质有分类标识;介质分类存放在介质库或档案室内,磁介质、纸介质等分类存放
6、应具有摄像、传感等监控报警系统;机房防盗报警设施的安全资质材料、安装测试和验收报告;机房防盗报警系统的运行记录、定期检查和维护记录;
7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告;机房监控报警系统的运行记录、定期检查和维护记录
8、应具有机房建筑的避雷装置;通过验收或国家有关部门的技术检测;
9、应在电源和信号线上增加有资质的防雷保安器;具有防雷检测资质的检测部门对防雷装置的检测报告
10、应具有自动检测火情、自动报警、自动灭火的自动消防系统;自动消防系统的运行记录、检查和定期维护记录;消防产品有效期合格;自动消防系统是经消防检测部门检测合格的产品
11、应具有除湿装置;空调机和加湿器;温湿度定期检查和维护记录
12、应具有水敏感的检测仪表或元件;对机房进行防水检测和报警;防水检测装置的运行记录、定期检查和维护记录
13、应具有温湿度自动调节设施;温湿度自动调节设施的运行记录、定期检查和维护记录
14、应具有短期备用电力供应设备(如UPS);短期备用电力供应设备的运行记录、定期检查和维护记录
15、应具有冗余或并行的电力电缆线路(如双路供电方式)
16、应具有备用供电系统(如备用发电机);备用供电系统运行记录、定期检查和维护记录
二、安全管理制度
1、应具有对重要管理操作的操作规程,如系统维护手册和用户操作规程
2、应具有安全管理制度的制定程序:
3、应具有专门的部门或人员负责安全管理制度的制定(发布制度具有统一的格式,并进行版本控制)
4、应对制定的安全管理制度进行论证和审定,论证和审定方式如何(如召开评审会、函审、内部审核等),应具有管理制度评审记录
5、应具有安全管理制度的收发登记记录,收发应通过正式、有效的方式(如正式发文、领导签署和单位盖章等)----安全管理制度应注明发布范围,并对收发文进行登记。
6、信息安全领导小组定期对安全管理制度体系的合理性和适用性进行审定,审定周期多长。(安全管理制度体系的评审记录)
7、系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时应对安全管理制度进行检查,对需要改进的制度进行修订。(应具有安全管理制度修订记录)
三、安全管理机构
1、应设立信息安全管理工作的职能部门
2、应设立安全主管、安全管理各个方面的负责人
3、应设立机房管理员、系统管理员、网络管理员、安全管理员等重要岗位(分工明确,各司其职),数量情况(管理人员名单、岗位与人员对应关系表)
4、安全管理员应是专职人员
5、关键事物需要配备2人或2人以上共同管理,人员具体配备情况如何。
6、应设立指导和管理信息安全工作的委员会或领导小组(最高领导是否由单位主管领导委任或授权的人员担任)
7、应对重要信息系统活动进行审批(如系统变更、重要操作、物理访问和系统接入、重要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等),审批部门
是何部门,审批人是何人。审批程序:
8、应与其它部门之间及内部各部门管理人员定期进行沟通(信息安全领导小组或者安全管理委员会应定期召开会议)
9、应组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录,定期:
10、信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录(如会议记录/纪要,信息安全工作决策文档等)
11、应与公安机关、电信公司和兄弟单位等的沟通合作(外联单位联系列表) 12、应与供应商、业界专家、专业的安全公司、安全组织等建立沟通、合作机制。 13、聘请信息安全专家作为常年的安全顾问(具有安全顾问名单或者聘请安全顾问的证明文件、具有安全顾问参与评审的文档或记录)
14、应组织人员定期对信息系统进行安全检查(查看检查内容是否包括系统日常运行、系统漏洞和数据备份等情况)
15、应定期进行全面安全检查(安全检查是否包含现行技术措施有效性和管理制度执行情况等方面、具有安全检查表格,安全检查报告,检查结果通告记录)
四、人员安全管理
1、何部门/何人负责安全管理和技术人员的录用工作(录用过程)
2、应对被录用人的身份、背景、专业资格和资质进行审查,对技术人员的技术技能进行考核,技能考核文档或记录
3、应与录用后的技术人员签署保密协议(协议中有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容)
4、应设定关键岗位,对从事关键岗位的人员是否从内部人员中选拔,是否要求其签署岗位安全协议。
5、应及时终止离岗人员的所有访问权限(离岗人员所有访问权限终止的记录)
6、应及时取回离岗人员的各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等(交还身份证件和设备等的登记记录)
7、人员离岗应办理调离手续,是否要求关键岗位调离人员承诺相关保密义务后方可离开(具有按照离岗程序办理调离手续的记录,调离人员的签字)
8、对各个岗位人员应定期进行安全技能考核;具有安全技能考核记录,考核内容要求包含安全知识、安全技能等。
9、对关键岗位人员的安全审查和考核与一般岗位人员有何不同,审查内容是否包括操作行为和社会关系等。
10、应对各类人员(普通用户、运维人员、单位领导等)进行安全教育、岗位技能和安全技术培训。
11、应针对不同岗位制定不同的培训计划,并按照计划对各个岗位人员进行安全教育和培训(安全教育和培训的结果记录,记录应与培训计划一致)
12、外部人员进入条件(对哪些重要区域的访问须提出书面申请批准后方可进入),外部人员进入的访问控制(由专人全程陪同或监督等)
13、应具有外部人员访问重要区域的书面申请
14、应具有外部人员访问重要区域的登记记录(记录描述了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等)
五、系统建设管理
1、应明确信息系统的边界和安全保护等级(具有定级文档,明确信息系统安全保护等级)
2、应具有系统建设/整改方案
3、应授权专门的部门对信息系统的安全建设进行总体规划,由何部门/何人负责
4、应具有系统的安全建设工作计划(系统安全建设工作计划中明确了近期和远期的安全建设计划)
5、应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略等相关配套文件进行论证和审定(配套文件的论证评审记录或文档)
6、应对总体安全策略、安全技术框架、安全管理策略等相关配套文件应定期进行调整和修订
7、应具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本
8、应按照国家的相关规定进行采购和使用系统信息安全产品
9、安全产品的相关凭证,如销售许可等,应使用符合国家有关规定产品
10、应具有专门的部门负责产品的采购
11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单
12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)
13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册
14、对程序资源库的修改、更新、发布应进行授权和批准
15、应具有程序资源库的修改、更新、发布文档或记录
16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测
17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品
18、应具有软件设计的相关文档和使用指南
19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档
20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制
21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案
22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)
23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)
24、应具有测试验收报告
25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)
26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)
27、应具有系统交付时的技术培训记录
28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服务器操作规程书)以及系统培训手册等文档。
29、应指定部门负责系统交付工作
30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容
31、选定的安全服务商应提供一定的技术培训和服务
32、应与安全服务商签订的服务合同或安全责任合同书
11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单
12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)
13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册
14、对程序资源库的修改、更新、发布应进行授权和批准
15、应具有程序资源库的修改、更新、发布文档或记录
16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测
17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品
18、应具有软件设计的相关文档和使用指南
19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档
20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制
21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案
22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)
23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)
24、应具有测试验收报告
25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)
26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)
27、应具有系统交付时的技术培训记录
28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服务器操作规程书)以及系统培训手册等文档。
29、应指定部门负责系统交付工作
30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容
31、选定的安全服务商应提供一定的技术培训和服务
32、应与安全服务商签订的服务合同或安全责任合同书
六、系统运维管理
1、应指定专人或部门对机房的基本设施(如空调、供配电设备等)进行定期维护,由何部门/何人负责。
2、应具有机房基础设施的维护记录,空调、温湿度控制等机房设施定期维护保养的记录
3、应指定部门和人员负责机房安全管理工作
4、应对办公环境保密性进行管理(工作人员离开座位确保终端计算机退出登录状态、桌面上没有包含敏感信息的纸档文件)
5、应具有资产清单(覆盖资产责任人、所属级别、所处位置、所处部门等方面)
6、应指定资产管理的责任部门或人员
7、应依据资产的重要程度对资产进行标识
8、介质存放于何种环境中,应对存放环境实施专人管理(介质存放在安全的环境(防潮、防盗、防火、防磁,专用存储空间))
9、应具有介质使用管理记录,应记录介质归档和使用等情况(介质存放、使用管理记录)
10、对介质的物理传输过程应要求选择可靠传输人员、严格介质的打包(如采用防拆包装置)、选择安全的物理传输途径、双方在场交付等环节的控制
11、应对介质的使用情况进行登记管理,并定期盘点(介质归档和查询的记录、存档介质定期盘点的记录)
12、对送出维修或销毁的介质如何管理,销毁前应对数据进行净化处理。(对带出工作环境的存储介质是否进行内容加密并有领导批准。对保密性较高的介质销毁前是否有领导批准)(送修记录、带出记录、销毁记录)
13、应对某些重要介质实行异地存储,异地存储环境是否与本地环境相同(防潮、防盗、防火、防磁,专用存储空间)
14、介质上应具有分类的标识或标签
15、应对各类设施、设备指定专人或专门部门进行定期维护。
16、应具有设备操作手册
17、应对带离机房的信息处理设备经过审批流程,由何人审批(审批记录)
18、应监控主机、网络设备和应用系统的运行状况等
19、应有相关网络监控系统或技术措施能够对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警
20、应具有日常运维的监控日志记录和运维交接日志记录
21、应定期对监控记录进行分析、评审
22、应具有异常现象的现场处理记录和事后相关的分析报告
23、应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等相关事项进行集中管理
24、应指定专人负责维护网络安全管理工作
25、应对网络设备进行过升级,更新前应对现有的重要文件是否进行备份(网络设备运维维护工作记录)
26、应对网络进行过漏洞扫描,并对发现的漏洞进行及时修补。
27、对设备的安全配置应遵循最小服务原则,应对配置文件进行备份(具有网络设备配置数据的离线备份)
28、系统网络的外联种类(互联网、合作伙伴企业网、上级部门网络等)应都得到授权与批准,由何人/何部门批准。应定期检查违规联网的行为。
29、对便携式和移动式设备的网络接入应进行限制管理
30、应具有内部网络外联的授权批准书,应具有网络违规行为(如拨号上网等)的检查手段和工具。
31、在安装系统补丁程序前应经过测试,并对重要文件进行备份。
32、应有补丁测试记录和系统补丁安装操作记录
33、应对系统管理员用户进行分类(比如:划分不同的管理角色,系统管理权限与安全审计权限分离等)
34、审计员应定期对系统审计日志进行分析(有定期对系统运行日志和审计数据的分析报告)
35、应对员工进行基本恶意代码防范意识的教育,如告知应及时升级软件版本(对员工的恶意代码防范教育的相关培训文档)
36、应指定专人对恶意代码进行检测,并保存记录。
37、应具有对网络和主机进行恶意代码检测的记录
38、应对恶意代码库的升级情况进行记录(代码库的升级记录),对各类防病毒产品上截获的恶意代码是否进行分析并汇总上报。是否出现过大规模的病毒事件,如何处理
39、应具有恶意代码检测记录、恶意代码库升级记录和分析报告
40、应具有变更方案评审记录和变更过程记录文档。
41、重要系统的变更申请书,应具有主管领导的批准
42、系统管理员、数据库管理员和网络管理员应识别需定期备份的业务信息、系统数据及软件系统(备份文件记录)
43、应定期执行恢复程序,检查和测试备份介质的有效性
44、应有系统运维过程中发现的安全弱点和可疑事件对应的报告或相关文档
45、应对安全事件记录分析文档
46、应具有不同事件的应急预案
47、应具有应急响应小组,应具备应急设备并能正常工作,应急预案执行所需资金应做过预算并能够落实。
48、应对系统相关人员进行应急预案培训(应急预案培训记录)
49、应定期对应急预案进行演练(应急预案演练记录)
50、应对应急预案定期进行审查并更新
51、应具有更新的应急预案记录、应急预案审查记录。
范文二:信息安全等级保护二级测评控制点
信息安全等级保护二级测评控制点
一、技术类测评要求
等级保护二级技术类测评控制点(S2A2G2)
符合情况 类别 序号 测评内容 测评方法 结果记录 Y N O
访谈,检查。 物理位置的机房和办公场地应选择在具有防震、防风和防雨等能力1. 物理安全负责人,机房,办公场地,选择 的建筑内。 机房场地设计/验收文档。
机房出入口应安排专人值守,控制、鉴别和记录进入的访谈,检查。 2. 人员。 物理安全负责人,机房值守 人员,物理访问控机房,机房安全管理制度,值守记制 需进入机房的来访人员应经过申请和审批流程,并限制录,进入机房的 登记记录,来访人3. 和监控其活动范围。 员进入机房的审批记录。 物理
应将主要设备放置在机房内。 4. 安全 访谈,检查。 应将设备或主要部件进行固定,并设置明显的不易除去5. 物理安全负责人,机房维护人员, 防盗窃和防的标记。 资产管理员,机房设施,设备管理破坏 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中。 6. 制度文档,通信 线路布线文档,报应对介质分类标识,存储在介质库或档案室中。 7. 警设施的安装测试/验收报告。 8. 主机房应安装必要的防盗报警设施。
机房建筑应设置避雷装置。 9. 访谈,检查。 防雷击 机房应设置交流电源地线。 10. 物理安全负责人,机房维护人员,
等级保护二级技术类测评控制点(S2A2G2)
符合情况 类别 序号 测评内容 测评方法 结果记录 Y N O
机房设施(避雷装置,交流电源地线),
建筑防雷设 计/验收文档。
访谈,检查。
物理安全负责人,机房值守人员,机
防火 11. 房设施,机房安全管理制度,机房防机房应设置灭火设备和火灾自动报警系统。
火设计/验收 文档,火灾自动报警
系统设计/验收文档。
水管安装,不得穿过机房屋顶和活动地板下。 12. 访谈,检查。
应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。 13. 物理安全负责人,机房维护人员,防水和防潮 应采取措施防止机房内水蒸气结露和地下积水的转移机房设施(上下水装置,除湿装置),14. 与渗透。 建筑防水和防 潮设计/验收文档。
访谈,检查。
防静电 主要设备应采用必要的接地防静电措施。 15. 物理安全负责人,机房维护人员,机
房设施,防静电设计/验收文档。
访谈,检查。
应设置温、湿度自动调节设施,使机房温、湿度的变化在物理安全负责人,机房维护人员,机温湿度控制 16. 设备运行所允许的范围之内。 房设施,温湿度控制设计/验收文档,
温湿度记录、 运行记录和维护记录。
应在机房供电线路上配置稳压器和过电压防护设备。 17. 访谈,检查。
电力供应 应提供短期的备用电力供应,至少满足主要设备在断电物理安全负责人,机房维护人员,机18. 情况下的正常运行要求。 房设施(供电线路,稳压器,过电压
等级保护二级技术类测评控制点(S2A2G2)
符合情况 类别 序号 测评内容 测评方法 结果记录 Y N O
防护设备,短 期备用电源设备,电)力
供应安全设计/验收文档,检查和维
护记录。
访谈,检查。
电磁防护 电源线和通信线缆应隔离铺设,避免互相干扰。 19. 物理安全负责人,机房维护人员,机
房设施,电磁防护设计/验收文档。
应保证主要网络设备的业务处理能力具备冗余空间,满20. 足业务高峰期需要。
应保证网络各个部分的带宽满足业务高峰期需要。 访谈,检查,测试。 21. 结构安全 网络管理员,边界和网络设备,网络应绘制与当前运行情况相符的网络拓扑结构图。 22.
拓扑图,网络设计/验收文档。 应根据各部门的工作职能、重要性和所涉及信息的重要
程度等因素,划分不同的子网或网段,并按照方便管理23.
和控制的原则为各子网、网段分配地址段。
网络应在网络边界部署访问控制设备,启用访问控制功能。 24.
安全 应能根据会话状态信息为数据流提供明确的允许/拒绝访谈,检查,测试。 访问控制 25. 访问的能力,控制粒度为端口级。 安全管理员,边界网络设备。
应限制具有拨号访问权限的用户数量。 26.
应对网络系统中的网络设备运行状况、网络流量、用户27. 行为等进行日志记录。 访谈,检查,测试。 安全审计 审计员,边界和网络设备。 审计记录应包括:事件的日期和时间、用户、事件类型、28. 事件是否成功及其他与审计相关的信息。
边界完整性应能够对内部网络中出现的内部用户未通过准许私自访谈,检查,测试。 29.
等级保护二级技术类测评控制点(S2A2G2)
符合情况 类别 序号 测评内容 测评方法 结果记录 Y N O
检查 联到外部网络的行为进行检查。 安全管理员,边界完整性检查设备。
应在网络边界处监视以下攻击行为:端口扫描、强力攻访谈,检查,测试。 入侵防范 击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、30. 安全管理员,网络入侵防范设备。 IP碎片攻击和网络蠕虫攻击等。
应对登录网络设备的用户进行身份鉴别。 31. 应对网络设备的管理员登录地址进行限制。 32. 网络设备用户的标识应唯一。 33. 身份鉴别信息应具有不易被冒用的特点,口令应有复杂网络设备防访谈,检查,测试。 34. 度要求并定期更换。 护 网络管理员,边界和网络设备。 应具有登录失败处理功能,可采取结束会话、限制非法35. 登录次数和当网络登录连接超时自动退出等措施。
当对网络设备进行远程管理时,应采取必要措施防止鉴36. 别信息在网络传输过程中被窃听。
应对登录操作系统和数据库系统的用户进行身份标识37. 和鉴别。
操作系统和数据库系统管理用户身份标识应具有不易访谈,检查,测试。 38. 被冒用的特点,口令应有复杂度要求并定期更换。 主机系统管理员,数据库管理员,服务器身份鉴别 应启用登录失败处理功能,可采取结束会话、限制非法安全 操作系统、数据库,服务器操作系统39. 登录次数和自动退出等措施。 文档,数据库管理系统文档。
当对服务器进行远程管理时,应采取必要措施,防止鉴40. 别信息在网络传输过程中被窃听。
等级保护二级技术类测评控制点(S2A2G2)
符合情况 类别 序号 测评内容 测评方法 结果记录 Y N O 应为操作系统和数据库系统的不同用户分配不同的用41. 户名,确保用户名具有唯一性。
应启用访问控制功能,依据安全策略控制用户对资源的42. 访问。 访谈,检查。 应实现操作系统和数据库系统特权用户的权限分离。 43. 访问控制 服务器操作系统、数据库,服务器操应严格限制默认帐户的访问权限,重命名系统默认帐作系统文档,数据库管理系统文档。 44. 户,修改这些帐户的默认口令。
应及时删除多余的、过期的帐户,避免共享帐户的存在。 45. 审计范围应覆盖到服务器和重要客户端上的每个操作46. 系统用户和数据库用户。 访谈,检查,测试。 审计记录应包括事件的日期、时间、类型、主体标识、安全审计 安全审计员,服务器操作系统、数据47. 客体标识和结果等。 库和重要终端操作系统。 应保护审计记录,避免受到未预期的删除、修改或覆盖48. 等。
操作系统应遵循最小安装的原则,仅安装需要的组件和访谈,检查。 入侵防范 应用程序,并通过设置升级服务器等方式保持系统补丁49. 系统管理员,服务器操作系统。 及时得到更新。
应安装防恶意代码软件,并及时更新防恶意代码软件版访谈,检查。 恶意代码防50. 本和恶意代码库。 安全管理员,服务器,终端,网络防范 应支持防恶意代码的统一管理。 恶意代码产品。 51. 应通过设定终端接入方式、网络地址范围等条件限制终访谈,检查。 资源控制 52. 端登录。 服务器操作系统。
等级保护二级技术类测评控制点(S2A2G2)
符合情况 类别 序号 测评内容 测评方法 结果记录 Y N O 应根据安全策略设置登录终端的操作超时锁定。 53. 应限制单个用户对系统资源的最大或最小使用限度。 54. 应提供专用的登录控制模块对登录用户进行身份标识55. 和鉴别。
应提供用户身份标识唯一和鉴别信息复杂度检查功能,
保证应用系统中不存在重复用户身份标识,身份鉴别信56. 访谈,检查,测试。 息不易被冒用。 身份鉴别 应用系统管理员,应用系统,设计/应提供登录失败处理功能,可采取结束会话、限制非法验收文档,操作规程。 57. 登录次数和自动退出等措施。
应启用身份鉴别、用户身份标识唯一性检查、用户身份
鉴别信息复杂度检查以及登录失败处理功能,并根据安58. 全策略配置相关参数。 应用
安全 应提供访问控制功能,依据安全策略控制用户对文件、59. 数据库表等客体的访问。
访问控制的覆盖范围应包括与资源访问相关的主体、客60. 体及它们之间的操作。 访谈,检查,测试。 访问控制 应由授权主体配置访问控制策略,并严格限制默认帐户应用系统管理员,应用系统。 61. 的访问权限。
应授予不同帐户为完成各自承担任务所需的最小权限,62. 并在它们之间形成相互制约的关系。
应提供覆盖到每个用户的安全审计功能,对应用系统重访谈,检查,测试。 安全审计 63. 要安全事件进行审计。 审计员,应用系统。
等级保护二级技术类测评控制点(S2A2G2)
符合情况 类别 序号 测评内容 测评方法 结果记录 Y N O
应保证无法单独中断审计进程,无法删除、修改或覆盖64. 审计记录。
审计记录的内容至少应包括事件的日期、时间、发起者65. 信息、类型、描述和结果等。
访谈,检查,测试。
通信完整性 应采用密码技术保证通信过程中数据的完整性。 安全管理员,应用系统,设计/验收文66.
档。
访谈,检查,测试。 在通信双方建立连接之前,应用系统应利用密码技术进通信保密性 安全管理员,应用系统,相关证明材67. 行会话初始化验证。 料(证书)。
应提供数据有效性检验功能,保证通过人机接口输入或访谈,检查,测试。 软件容错 通过通信接口输入的数据格式或长度符合系统设定要68. 应用系统管理员,应用系统。 求。
当应用系统的通信双方中的一方在一段时间内未作任69. 何响应,另一方应能够自动结束会话。 访谈,检查,测试。 资源控制 应能够对系统的最大并发会话连接数进行限制。 应用系统管理员,应用系统。 70.
应能够对单个帐户的多重并发会话进行限制。 71.
访谈,检查。 数据系统管理员,网络管理员,安全管理安全应能够检测到鉴别信息和重要业务数据在传输过程中数据完整性 员,数据库管理员,应用系统,设计72.
及备完整性受到破坏。 /验收文档,相关证明性材料(如证书、
份恢检验报告等)。
等级保护二级技术类测评控制点(S2A2G2)
符合情况 类别 序号 测评内容 测评方法 结果记录 Y N O
访谈,检查,测试。 复
系统管理员,网络管理员,安全管理应采用加密或其他保护措施实现鉴别信息的存储保密数据保密性 员,数据库管理员,应用系统,设计73.
性。 /验收文档,相关证明性材料(如证书、
检验报告等)
访谈,检查,测试。
系统管理员,网络管理员,数据库管
应提供主要网络设备、通信线路和数据处理系统的硬件理员,安全管理员,主机操作系统,备份和恢复 74. 冗余,保证系统的高可用性。 网络设备操作系统,数据库管理系
统,应用系统,设计/验收文档,网络
拓扑结构。
二、管理类测评要求
等级保护二级管理类测评控制点
符合情况 类别 序号 测评内容 测评方法 结果记录 Y N O
应设立安全主管、安全管理各个方面的负责人岗位,并75. 定义各负责人的职责。 访谈,检查。安全主管,安全管理某岗位设置 应设立系统管理员、网络管理员、安全管理员等岗位, 方面的负责人,部门、岗位职责文件。76. 并定义各个工作岗位的职责。
应配备一定数量的系统管理员、网络管理员、安全管理77. 员等。 访谈,检查。安全主管,人员配备要人员配备 安全管理员不能兼任网络管理员、系统管理员、数据库求的相关文档,管理人员名单。78. 管理员等。 安全
应根据各个部门和岗位的职责明确授权审批部门及批管理准人,对系统投入运行、网络系统接入和重要资源的访79. 访谈,检查。安全主管,关键活动的授权和审批 机构 问等关键活动进行审批。 批准人,审批事项列表,审批文档。
80. 应针对关键活动建立审批流程,并由批准人签字确认。
应加强各类管理人员之间、组织内部机构之间以及信息访谈,检查。安全主管,安全管理人81. ` 安全职能部门内部的合作与沟通。 沟通和合作 员,会议文件,会议记录,外联单位
82. 说明文档。应加强与兄弟单位、公安机关、电信公司的合作与沟通。
安全管理员应负责定期进行安全检查,检查内容包括系访谈,检查。安全主管,安全员,安审核和检查 83. 全检查记录。统日常运行、系统漏洞和数据备份等情况。
管理制度 应制定信息安全工作的总体方针和安全策略,说明机构84. 访谈,检查。安全主管,总体方针、安全
等级保护二级管理类测评控制点
符合情况 类别 序号 测评内容 测评方法 结果记录 Y N O
安全工作的总体目标、范围、原则和安全框架等。 政策性文件和安全策略文件,安全管管理
应对安全管理活动中重要的管理内容建立安全管理制 理制度清单,操作规程。制度 85. 度。
应对安全管理人员或操作人员执行的重要管理操作建86. 立操作规程。
应指定或授权专门的部门或人员负责安全管理制度的87. 制定。 访谈,检查。安全主管,制度制定和
制定和发布 应组织相关人员对制定的安全管理制度进行论证和审发布要求管理文档,评审记录,安全88. 定。 管理制度。
应将安全管理制度以某种方式发布到相关人员手中。 89.
应定期对安全管理制度进行评审,对存在不足或需要改访谈,检查。安全主管,安全管理制评审和修订 90. 进的安全管理制度进行修订。 度列表,评审记录。
91. 应指定或授权专门的部门或人员负责人员录用。 人事负责人,人事工访谈,检查。
应规范人员录用过程,对被录用人员的身份、背景和专作人员,人员录用要求管理文档,人人员录用 92. 业资格等进行审查,对其所具有的技术技能进行考核。 员审查文档或记录,考核文档 或记
应与从事关键岗位的人员签署保密协议。 录,保密协议。 93. 人员
安全应规范人员离岗过程,及时终止离岗员工的所有访问权94.
管理 限。 访谈,检查。安全主管,人事工作人人员离岗 应取回各种身份证件、钥匙、徽章等以及机构提供的软 员,安全处理记录,保密承诺文档。95. 硬件设备。
应办理严格的调离手续。 96.
等级保护二级管理类测评控制点
符合情况 类别 序号 测评内容 测评方法 结果记录 Y N O
应定期对各个岗位的人员进行安全技能及安全认知的人员考核 97. 访谈。安全主管,人事工作人员。考核。
应对各类人员进行安全意识教育、岗位技能培训和相关98. 安全技术培训。 访谈,检查。安全主管,安全员,系安全意识教应告知人员相关的安全责任和惩戒措施,并对违反违背99. 统管理员,网络管理员,培训计划,育和培训 安全策略和规定的人员进行惩戒。 . 培训记录应制定安全教育和培训计划,对信息安全基础知识、岗100. 位操作规程等进行培训。
安全主管,安全管理访谈,检查。
外部人员访应确保在外部人员访问受控区域前得到授权或审批,批人员,安全责任合同书或保密协议,101. 问管理 准后由专人全程陪同或监督,并登记备案。 第三方人员访问管理文档,登 记记
录。
应指定专门的部门或人员定期对机房供配电、空调、温102. 湿度控制等设施进行维护管理。
应配备机房安全管理人员,对机房的出入、服务器的开103. 机或关机等工作进行管理。 系统应建立机房安全管理制度,对有关机房物理访问,物品访谈,检查。物理安全负责人,机房环境管理 运维带进、带出机房和机房环境安全等方面的管理作出规 104. 安全管理制度,机房进出登记表。
管理 定。
应加强对办公环境的保密性管理,包括工作人员调离办
公室应立即交还该办公室钥匙和不在办公区接待来访105.
人员等。
等级保护二级管理类测评控制点
符合情况 类别 序号 测评内容 测评方法 结果记录 Y N O
应编制与信息系统相关的资产清单,包括资产责任部106. 门、重要程度和所处位置等内容。 访谈,检查。安全主管,资产管理员,资产管理 应建立资产安全管理制度,规定信息系统资产管理的责 资产清单,资产安全管理制度,设备。107. 任人员或责任部门,并规范资产管理和使用的行为。
应确保介质存放在安全的环境中,对各类介质进行控制108. 和保护,并实行存储环境专人管理。
应对介质归档和查询等过程进行记录,并根据存档介质109. 访谈,检查。资产管理员,介质管理的目录清单定期盘点。 介质管理 记录,各类介质。应对需要送出维修或销毁的介质,首先清除其中的敏感110. 数据,防止信息的非法泄漏。
应根据所承载数据和软件的重要程度对介质进行分类111. 和标识管理。
应对信息系统相关的各种设备(包括备份和冗余设备)、112. 线路等指定专门的部门或人员定期进行维护管理。
应建立基于申报、审批和专人负责的设备安全管理制资产管理员,系统管访谈,检查。度,对信息系统的各种软硬件设备的选型、采购、发放113. 理员,审计员,服务器操作规程,设设备管理 和领用等过程进行规范化管理。 备审批、发放管理文档,设备 使用应对终端计算机、工作站、便携机、系统和网络等设备管理文档,服务器操作日志。 的操作和使用进行规范化管理,按操作规程实现关键设114. 备(包括备份和冗余设备)的启动/停止、加电/断电等
操作。
等级保护二级管理类测评控制点
符合情况 类别 序号 测评内容 测评方法 结果记录 Y N O 应确保信息处理设备必须经过审批才能带离机房或办115. 公地点。
应指定人员对网络进行管理,负责运行日志、网络监控116. 记录的日常维护和报警信息分析和处理工作。
应建立网络安全管理制度,对网络安全配置、日志保存
时间、安全策略、升级与打补丁、口令更新周期等方面117. 访谈,检查。 作出规定。 安全主管,安全管理员,网络管理员,网络安全管应根据厂家提供的软件升级版本对网络设备进行更新,网络漏洞扫描报告,网络安全管理制理 118. 并在更新前对现有的重要文件进行备份。 度,系统外联授权书,网络设备备份
应定期对网络系统进行漏洞扫描,对发现的网络系统安配置文件,网络审计日志。 119. 全漏洞进行及时的修补。
应对网络设备的配置文件进行定期备份。 120. 应保证所有与外部系统的连接均得到授权和批准。 121. 应根据业务需求和系统安全分析确定系统的访问控制122. 策略。
应定期进行漏洞扫描,对发现的系统安全漏洞及时进行访谈,检查。 123. 修补。 安全管理员,系统管理员,系统操作系统安全管手册,系统安全管理制度,详细操作应安装系统的最新补丁程序,在安装系统补丁前,应首理 先在测试环境中测试通过,并对重要文件进行备份后,日志,系统审计分析记录,系统漏洞124. 方可实施系统补丁程序的安装。 扫描报告。
应建立系统安全管理制度,对系统安全策略、安全配置、125. 日志管理和日常操作流程等方面作出规定。
等级保护二级管理类测评控制点
符合情况 类别 序号 测评内容 测评方法 结果记录 Y N O
应依据操作手册对系统进行维护,详细记录操作日志,
包括重要的日常操作、运行维护记录、参数的设置和修126.
改等内容,严禁进行未经授权的操作。
应定期对运行日志和审计数据进行分析,以便及时发现127. 异常行为。
应提高所有用户的防病毒意识,告知及时升级防病毒软
件,在读取移动存储设备上的数据以及网络上接收文件128. 或邮件之前,先进行病毒检查,对外来计算机或存储设访谈,检查。
恶意代码防备接入网络系统之前也应进行病毒检查。 安全管理员,恶意代码防范管理文
范管理 应指定专人对网络和主机进行恶意代码检测并保存检档,恶意代码检测记录,恶意代码升129. 测记录。 级记录,恶意代码分析报告。
应对防恶意代码软件的授权使用、恶意代码库升级、定130. 期汇报等作出明确规定。
访谈,检查。 密码管理 应使用符合国家密码管理规定的密码技术和产品。 131. 安全管理员,密码管理制度。
应确认系统中要发生的重要变更,并制定相应的变更方访谈,检查。 132. 案。 系统运维负责人,系统变更申请书,
变更方案,变更管理制度,变更申报变更管理 和审批程序,变更失败恢复程序文系统发生重要变更前,应向主管领导申请,审批后方可133. 档,变更方案评审记录,变更过程记实施变更,并在实施后向相关人员通告。
录文档。
备份与恢复应识别需要定期备份的重要业务信息、系统数据及软件访谈,检查。 134.
等级保护二级管理类测评控制点
符合情况 类别 序号 测评内容 测评方法 结果记录 Y N O
管理 系统等。 系统运维负责人,系统管理员,数据
库管理员,网络管理员,备份和恢复应规定备份信息的备份方式、备份频度、存储介质、保135. 存期等。 管理制度文档,备份和恢复策略文
档,备份和恢复程序文档,备份过程应根据数据的重要性及其对系统运行的影响,制定数据
记录文档,检查灾难恢复计划文档 的备份策略和恢复策略,备份策略指明备份数据的放置136. 场所、文件命名规则、介质替换频率和数据离站运输方
法。
应报告所发现的安全弱点和可疑事件,但任何情况下用137. 户均不应尝试验证弱点。
应制定安全事件报告和处置管理制度,明确安全事件类访谈,检查。 型,规定安全事件的现场处理、事件报告和后期恢复的138. 系统运维负责人,工作人员,安全事安全事件处管理职责。 件报告和处置管理制度,安全事件定置 应根据国家相关管理部门对计算机安全事件等级划分级文档,安全事件记录分析文档,安方法和安全事件对本系统产生的影响,对本系统计算机139. 全事件报告和处理程序文档。 安全事件进行等级划分。
应记录并保存所有报告的安全弱点和可疑事件,分析事140. 件原因,监督事态发展,采取措施避免安全事件发生。
应在统一的应急预案框架下制定不同事件的应急预案,访谈,检查。 应急预案框架应包括启动应急预案的条件、应急处理流141. 应急预案管系统运维负责人,应急响应预案文程、系统恢复流程、事后教育和培训等内容。 理 档,应急预案培训记录,应急预案演应对系统相关的人员进行应急预案培训,应急预案的培练记录,应急预案审查记录。 142. 训应至少每年举办一次。
等级保护二级管理类测评控制点
符合情况 类别 序号 测评内容 测评方法 结果记录 Y N O
应明确信息系统的边界和安全保护等级。 143.
应以书面的形式说明信息系统确定为某个安全保护等访谈,检查。 系统定级 144. 级的方法和理由。
应确保信息系统的定级结果经过相关部门的批准。 145.
应根据系统的安全保护等级选择基本安全措施,依据风146. 险分析的结果补充和调整安全措施。
应以书面形式描述对系统的安全保护要求、策略和措施147. 等内容,形成系统的安全方案。 安全方案设 访谈,检查。应对安全方案进行细化,形成能指导安全系统建设、安计 148. 全产品采购和使用的详细设计方案。 系统应组织相关部门和有关安全技术专家对安全设计方案
建设的合理性和正确性进行论证和审定,并且经过批准后,149.
管理 才能正式实施。
应确保安全产品采购和使用符合国家的有关规定。 150. 产品采购和应确保密码产品采购和使用符合国家密码主管部门的 访谈,检查。151. 使用 要求。
应指定或授权专门的部门负责产品的采购。 152.
应确保开发环境与实际运行环境物理分开。 153.
应制定软件开发管理制度,明确说明开发过程的控制方自行软件开154. 法和人员行为准则。 访谈,检查。发 应确保提供软件设计的相关文档和使用指南,并由专人155. 负责保管。
等级保护二级管理类测评控制点
符合情况 类别 序号 测评内容 测评方法 结果记录 Y N O 应根据开发要求检测软件质量。 156. 应确保提供软件设计的相关文档和使用指南。 157. 外包软件开 应在软件安装之前检测软件包中可能存在的恶意代码。 访谈,检查。158. 发 应要求开发单位提供软件源代码,并审查软件中可能存159. 在的后门。
应要求开发单位提供软件源代码,并审查软件中可能存160. 工程实施 在的后门。 访谈,检查。
应制定详细的工程实施方案,控制工程实施过程。 161. 应对系统进行安全性测试验收。 162. 在测试验收前应根据设计方案或合同要求等制订测试
验收方案,在测试验收过程中应详细记录测试验收结163. 测试验收 访谈,检查。果,并形成测试验收报告。
应组织相关部门和相关人员对系统测试验收报告进行164. 审定,并签字确认。
应制定系统交付清单,并根据交付清单对所交接的设165. 备、软件和文档等进行清点。
应对负责系统运行维护的技术人员进行相应的技能培 系统交付 访谈,检查。166. 训。
应确保提供系统建设过程中的文档和指导用户进行系167. 统运行维护的文档。
安全服务商应确保安全服务商的选择符合国家的有关规定。 168. 访谈,检查。选择 应与选定的安全服务商签订与安全相关的协议,明确约169.
等级保护二级管理类测评控制点
符合情况 类别 序号 测评内容 测评方法 结果记录 Y N O 定相关责任。
应确保选定的安全服务商提供技术支持和服务承诺,必170. 要的与其签订服务合同。
范文三:国家信息安全等级第二级保护制度
国家信息安全等级保护制度
(二级)
一、 技术要求
1、物理安全
1.1物理位置的选择
机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;
1.2 物理访问控制
(1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案;
(2)应批准进入机房的来访人员,限制和监控其活动范围。
1.3 防盗窃和防破坏
(1)应将主要设备放置在物理受限的范围内;
(2)应对设备或主要部件进行固定,并设置明显的不易除去的标记;
(3)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;
(4)应对介质分类标识,存储在介质库或档案室中;
(5)应安装必要的防盗报警设施,以防进入机房的盗窃和破坏行为。
1.4 防雷击
(1)机房建筑应设置避雷装置;
(2)应设置交流电源地线。
1.5 防火
应设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动报警系统的良好状态。
1.6 防水和防潮
(1)水管安装,不得穿过屋顶和活动地板下;
(2)应对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管;
(3)应采取措施防止雨水通过屋顶和墙壁渗透;
(4)应采取措施防止室内水蒸气结露和地下积水的转移与渗透。
1.7 防静电
应采用必要的接地等防静电措施
1.8 温湿度控制
应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1.9 电力供应
(1)计算机系统供电应与其他供电分开;
(2)应设置稳压器和过电压防护设备;
(3)应提供短期的备用电力供应(如UPS设备)。
1.10 电磁防护
(1)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;
(2)电源线和通信线缆应隔离,避免互相干扰。
2、网络安全
2.1结构安全与网段划分
(1)网络设备的业务处理能力应具备冗余空间,要求满足业务高峰期需要;
(2)应设计和绘制与当前运行情况相符的网络拓扑结构图;
(3)应根据机构业务的特点,在满足业务高峰期需要的基础上,合理设计网络带宽;
(4)应在业务终端与业务服务器之间进行路由控制,建立安全的访问路径;
(5)应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;
(6)重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗。
2.2 访问控制
(1)应能根据会话状态信息(包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息,并应支持地址通配符的使用),为数据流提供明确的允许/拒绝访问的能力。
(2)应在基于安全属性的允许远程用户对系统访问的规则的基础上,对系统所有资源允许或拒绝用户进行访问,控制粒度为单个用户;
(3)应限制具有拨号访问权限的用户数量。
2.3 安全审计
(1)应对网络系统中的网络设备运行状况、网络流量、用户行为等事件进行日志记录;
(2)对于每一个事件,其审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功,及其他与审计相关的信息
2.4 边界完整性检查
应能够检测内部网络中出现的内部用户未通过准许私自联到外部网络的行为(即“非法外联”行为)。
2.5 入侵防范
应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等入侵事件的发生。
2.6 恶意代码防范
(1)应在网络边界及核心业务网段处对恶意代码进行检测和清除;
(2)应维护恶意代码库的升级和检测系统的更新;
(3)应支持恶意代码防范的统一管理。
2.7 网络设备防护
(1)应对登录网络设备的用户进行身份鉴别;
(2)应对网络设备的管理员登录地址进行限制;
(3)网络设备用户的标识应唯一;
(4)身份鉴别信息应具有不易被冒用的特点,例如口令长度、复杂性和定期的更新等;
(5)应具有登录失败处理功能,如:结束会话、限制非法登录次数,当网络登录连接超时,自动退出。 3 、主机安全
3.1 身份鉴别
(1)操作系统和数据库管理系统用户的身份标识应具有唯一性;
(2)应对登录操作系统和数据库管理系统的用户进行身份标识和鉴别;
(3)操作系统和数据库管理系统身份鉴别信息应具有不易被冒用的特点,例如口令长度、复杂性和定期的更新等;
(4)应具有登录失败处理功能,如:结束会话、限制非法登录次数,当登录连接超时,自动退出。
3.2 访问控制
(1)应依据安全策略控制主体对客体的访问;
(2)自主访问控制的覆盖范围应包括与信息安全直接相关的主体、客体及它们之间的操作;
(3)自主访问控制的粒度应达到主体为用户级,客体为文件、数据库表级;
(4)应由授权主体设置对客体访问和操作的权限;
(5)应严格限制默认用户的访问权限。
3.3 安全审计
(1)安全审计应覆盖到服务器上的每个操作系统用户和数据库用户;
(2)安全审计应记录系统内重要的安全相关事件,包括重要用户行为和重要系统命令的使用等;
(3)安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等;
(4)审计记录应受到保护避免受到未预期的删除、修改或覆盖等。
3.4 剩余信息保护
(1)应保证操作系统和数据库管理系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;
(2)应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。
3.5系统保护
系统应提供在管理维护状态中运行的能力,管理维护状态只能被系统管理员使用。
3.6 恶意代码防范
(1)服务器和重要终端设备(包括移动设备)应安装实时检测和查杀恶意代码的软件产品;
(2)主机系统防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;
3.7 资源控制
(1)应限制单个用户的会话数量;
(2)应通过设定终端接入方式、网络地址范围等条件限制终端登录。
4、应用安全
4.1 身份鉴别
(1)应用系统用户的身份标识应具有唯一性;
(2)应对登录的用户进行身份标识和鉴别;
(3)系统用户身份鉴别信息应具有不易被冒用的特点,例如口令长度、复杂性和定期的更新等;
(4)应具有登录失败处理功能,如:结束会话、限制非法登录次数,当登录连接超时,自动退出。
4.2 访问控制
(1)应依据安全策略控制用户对客体的访问;
(2)自主访问控制的覆盖范围应包括与信息安全直接相关的主体、客体及它们之间的操作;
(3)自主访问控制的粒度应达到主体为用户级,客体为文件、数据库表级;
(4)应由授权主体设置用户对系统功能操作和对数据访问的权限;
(5)应实现应用系统特权用户的权限分离,例如将管理与审计的权限分配给不同的应用系统用户;
(6)权限分离应采用最小授权原则,分别授予不同用户各自为完成自己承担任务所需的最小权限,并在它们之间形成相互制约的关系;
(7)应严格限制默认用户的访问权限。
4.3 安全审计
(1)安全审计应覆盖到应用系统的每个用户;
(2)安全审计应记录应用系统重要的安全相关事件,包括重要用户行为和重要系统功能的执行等;
(3)安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等;
(4)审计记录应受到保护避免受到未预期的删除、修改或覆盖等。
4.4 剩余信息保护
(1)应保证用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;
(2)应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。
4.5 通信完整性
通信双方应约定单向的校验码算法,计算通信数据报文的校验码,在进行通信时,双方根据校验码判断对方报文的有效性。
4.6 通信保密性
(1)当通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;
(2)在通信双方建立连接之前,利用密码技术进行会话初始化验证;
(3)在通信过程中,应对敏感信息字段进行加密。
4.7软件容错
(1)应对通过人机接口输入或通过通信接口输入的数据进行有效性检验;
(2)应对通过人机接口方式进行的操作提供“回退”功能,即允许按照操作的序列进行回退;
(3)在故障发生时,应继续提供一部分功能,确保能够实施必要的措施。
4.8资源控制
(1)应限制单个用户的多重并发会话;
(2)应对应用系统的最大并发会话连接数进行限制;
(3)应对一个时间段内可能的并发会话连接数进行限制。
4.9代码安全
(1)应对应用程序代码进行恶意代码扫描;
(2)应对应用程序代码进行安全脆弱性分析。
5、数据安全及备份恢复
5.1 数据完整性
(1)应能够检测到系统管理数据、鉴别信息和用户数据在传输过程中完整性受到破坏;
(2)应能够检测到系统管理数据、鉴别信息和用户数据在存储过程中完整性受到破坏。
5.2 数据保密性
(1)网络设备、操作系统、数据库管理系统和应用系统的鉴别信息、敏感的系统管理数据和敏感的用户数据应采用加密或其他有效措施实现传输保密性;
(2)当使用便携式和移动式设备时,应加密或者采用可移动磁盘存储敏感信息。
5.3 备份和恢复
(1)应提供自动机制对重要信息进行有选择的数据备份;
(2)应提供恢复重要信息的功能;
(3)应提供重要网络设备、通信线路和服务器的硬件冗余
二、管理要求
1、安全管理机构
1.1 岗位设置
(1)应设立信息安全管理工作的职能部门,设立安全主管人、安全管理各个方面的负责人岗位,定义各负责人的职责;
(2)应设立系统管理人员、网络管理人员、安全管理人员岗位,定义各个工作岗位的职责;
(3)应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
1.2人员配置
(1)应配备一定数量的系统管理人员、网络管理人员、安全管理人员等;
(2)安全管理人员不能兼任网络管理员、系统管理员、数据库管理员等。
1.3 授权和审批
(1)应授权审批部门及批准人,对关键活动进行审批;
(2)应列表说明须审批的事项、审批部门和可批准人。
1.4沟通和合作
(1)应加强各类管理人员和组织内部机构之间的合作与沟通,定期或不定期召开协调会议,共同协助处理信息安全问题;
(2)信息安全职能部门应定期或不定期召集相关部门和人员召开安全工作会议,协调安全工作的实施;
(3)应加强与兄弟单位、公安机关、电信公司的合作与沟通,以便在发生安全事件时能够得到及时的支持。
1.5审核和检查
应由安全管理人员定期进行安全检查,检查内容包括用户账号情况、系统漏洞情况、系统审计情况等。
2、安全管理制度
2.1管理制度
(1)应制定信息安全工作的总体方针、政策性文件和安全策略等,说明机构安全工作的总体目标、范围、方针、原则、责任等;
(2)应对安全管理活动中重要的管理内容建立安全管理制度,以规范安全管理活动,约束人员的行为方式;
(3)应对要求管理人员或操作人员执行的重要管理操作,建立操作规程,以规范操作行为,防止操作失误。
2.2制定和发布
(1)应在信息安全职能部门的总体负责下,组织相关人员制定;
(2)应保证安全管理制度具有统一的格式风格,并进行版本控制;
(3)应组织相关人员对制定的安全管理进行论证和审定;
(4)安全管理制度应经过管理层签发后按照一定的程序以文件形式发布。
2.3评审和修订
应定期对安全管理制度进行评审和修订,对存在不足或需要改进的安全管理制度进行修订。
3、人员安全管理
3.1人员录用
(1)应保证被录用人具备基本的专业技术水平和安全管理知识;
(2)应对被录用人的身份、背景、专业资格和资质等进行审查;
(3)应对被录用人所具备的技术技能进行考核;
(4)应对被录用人说明其角色和职责;
(5)应签署保密协议。
3.2人员离岗
(1)应立即终止由于各种原因即将离岗的员工的所有访问权限;
(2)应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备;
(3)应经机构人事部门办理严格的调离手续,并承诺调离后的保密义务后方可离开。
3.3人员考核
(1)应定期对各个岗位的人员进行安全技能及安全认知的考核;
(2)应对关键岗位的人员进行全面、严格的安全审查;
(3)应对违背安全策略和规定的人员进行惩戒
3.4安全意识教育和培训
(1)应对各类人员进行安全意识教育;
(2)应告知人员相关的安全责任和惩戒措施;
(3)应制定安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训;
(4)应对安全教育和培训的情况和结果进行记录并归档保存。
3.5第三方人员访问管理
(1)第三方人员应在访问前与机构签署安全责任合同书或保密协议;
(2)对重要区域的访问,必须经过有关负责人的批准,并由专人陪同或监督下进行,并记录备案。
4、系统建设管理
4.1系统定级
(1)应明确信息系统划分的方法;
(2)应确定信息系统的安全等级;
(3)应以书面的形式定义确定了安全等级的信息系统的属性,包括使命、业务、网络、硬件、软件、数据、边界、人员等;
(4)应确保信息系统的定级结果经过相关部门的批准。
4.2安全方案设计
(1)应根据系统的安全级别选择基本安全措施,依据风险分析的结果补充和调整安全措施;
(2)应以书面的形式描述对系统的安全保护要求和策略、安全措施等内容,形成系统的安全方案;
(3)应对安全方案进行细化,形成能指导安全系统建设和安全产品采购的详细设计方案;
(4)应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定;
(5)应确保安全设计方案必须经过批准,才能正式实施。
4.3产品采购
(1)应确保安全产品的使用符合国家的有关规定;
(2)应确保密码产品的使用符合国家密码主管部门的要求;
(3)应指定或授权专门的部门负责产品的采购。
4.4自行软件开发
(1)应确保开发环境与实际运行环境物理分开;
(2)应确保提供软件设计的相关文档和使用指南;
(3)应确保系统开发文档由专人负责保管,系统开发文档的使用受到控制。
4.5外包软件开发
(1)应与软件开发单位签订协议,明确知识产权的归属和安全方面的要求;
(2)应根据协议的要求检测软件质量;
(3)应在软件安装之前检测软件包中可能存在的恶意代码;
(4)应确保提供软件设计的相关文档和使用指南。
4.6工程实施
(1)应与工程实施单位签订与安全相关的协议,约束工程实施单位的行为;
(2)应指定或授权专门的人员或部门负责工程实施过程的管理;
(3)应制定详细的工程实施方案控制实施过程。
4.7测试验收
(1)应对系统进行安全性测试验收;
(2)应在测试验收前根据设计方案或合同要求等制订测试验收方案,测试验收过程中详细记录测试验收结果,形成测试验收报告;
(3)应组织相关部门和相关人员对系统测试验收报告进行审定,没有疑问后由双方签字。
4.8系统交付
(1)应明确系统的交接手续,并按照交接手续完成交接工作;
(2)应由系统建设方完成对委托建设方的运维技术人员的培训;
(3)应由系统建设方提交系统建设过程中的文档和指导用户进行系统运行维护的文档;
(4)应由系统建设方进行服务承诺,并提交服务承诺书,确保对系统运行维护的支持。
4.9安全服务商选择
应确保安全服务商的选择符合国家的有关规定。
5、系统运维管理
5.1环境管理
(1)应对机房供配电、空调、温湿度控制等设施指定专人或专门的部门定期进行维护管理;
(2)应配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理;
(3)应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定;
(4)应对机房来访人员实行登记、备案管理,同时限制来访人员的活动范围;
(5)应加强对办公环境的保密性管理,包括如工作人员调离办公室应立即交还该办公室钥匙和不在办公区接待来访人员等。
5.2资产管理
(1)应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门;
(2)应编制并保存与信息系统相关的资产、资产所属关系、安全级别和所处位置等信息的资产清单;
(3)应根据资产的重要程度对资产进行定性赋值和标识管理,根据资产的价值选择相应的管理措施。
5.3介质管理
(1)应确保介质存放在安全的环境中,并对各类介质进行控制和保护,以防止被盗、被毁、被未授权的修改以及信息的非法泄漏;
(2)应有介质的存储、归档、登记和查询记录,并根据备份及存档介质的目录清单定期盘点;
(3)对于需要送出维修或销毁的介质,应首先清除介质中的敏感数据,防止信息的非法泄漏;
(4)应根据所承载数据和软件的重要程度对介质进行分类和标识管理,并实行存储环境专人管理。
5.4设备管理
(1)应对信息系统相关的各种设施、设备、线路等指定专人或专门的部门定期进行维护管理;
(2)应对信息系统的各种软硬件设备的选型、采购、发放或领用等过程建立基于申报、审批和专人负责的管理规定;
(3)应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理;
(4)应对带离机房或办公地点的信息处理设备进行控制;
(5)应按操作规程实现服务器的启动/停止、加电/断电等操作,加强对服务器操作的日志文件管理和监控管理,应按安全策略的要求对网络及设备进行配置,并对其定期进行检查。
5.5监控管理
应了解服务器的CPU、内存、进程、磁盘使用情况。
5.6网络安全管理
(1)应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作;
(2)应建立网络安全管理制度,对网络安全配置和日志等方面作出规定;
(3)应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份;
(4)应进行网络系统漏洞扫描,对发现的网络系统安全漏洞进行及时的修补;
(5)应保证所有与外部系统的连接均应得到授权和批准;
(6)应对网络设备的安全策略、授权访问、最小服务、升级与打补丁、维护记录、日志等方面做出具体要求;
(7)应规定网络审计日志的保存时间以便为可能的安全事件调查提供支持。
5.7系统安全管理
(1)应指定专人对系统进行管理,删除或者禁用不使用的系统缺省账户;
(2)应制度系统安全管理制度,对系统安全配置、系统账户以及审计日志等方面作出规定;
(3)应定期安装系统的最新补丁程序,并根据厂家提供的可能危害计算机的漏洞进行及时修补,并在安装系统补丁前对现有的重要文件进行备份;
(4)应根据业务需求和系统安全分析确定系统的访问控制策略,系统访问控制策略用于控制分配信息系统、文件及服务的访问权限;
(5)应对系统账户进行分类管理,权限设定应当遵循最小授权要求;
(6)应对系统的安全策略、授权访问、最小服务、升级与打补丁、维护记录、日志等方面做出具体要求;
(7)应规定系统审计日志的保存时间以便为可能的安全事件调查提供支持;
(8)应进行系统漏洞扫描,对发现的系统安全漏洞进行及时的修补。
5.8恶意代码防范管理
(1)应提高所用用户的防病毒意识,告知及时升级防病毒软件;
(2)应在读取移动存储设备(如软盘、移动硬盘、光盘)上的数据以及网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也要进行病毒检查;
(3)应指定专人对网络和主机的进行恶意代码检测并保存检测记录;
(4)应对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确管理规定。
5.9密码管理
密码算法和密钥的使用应符合国家密码管理规定。
5.10变更管理
(1)确认系统中要发生的变更,并制定变更方案;
(2)建立变更管理制度,重要系统变更前,应向主管领导申请,审批后方可实施变更;
(3)系统变更情况应向所有相关人员通告。
5.11备份与恢复管理
(1)应识别需要定期备份的重要业务信息、系统数据及软件系统等;
(2)应规定备份信息的备份方式(如增量备份或全备份等)、备份频度(如每日或每周等)、存储介质、保存期等;
(3)应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略,备份策略应指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法;
(4)应指定相应的负责人定期维护和检查备份及冗余设备的状况,确保需要接入系统时能够正常运行;
(5)根据备份方式,规定相应设备的安装、配置和启动的流程。
5.12安全事件处置
(1)所有用户均有责任报告自己发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点;
(2)应制定安全事件报告和处置管理制度,规定安全事件的现场处理、事件报告和后期恢复的管理职责;
(3)应分析信息系统的类型、网络连接特点和信息系统用户特点,了解本系统和同类系统已发生的安全事件,识别本系统需要防止发生的安全事件,事件可能来自攻击、错误、故障、事故或灾难;
(4)应根据国家相关管理部门对计算机安全事件等级划分方法,根据安全事件在本系统产生的影响,将本系统计算机安全事件进行等级划分;
(5)应记录并保存所有报告的安全弱点和可疑事件,分析事件原因,监督事态发展,采取措施避免安全事件发生。
5.13应急预案管理
(1)应在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程和事后教育和培训等内容;
(2)应对系统相关的人员进行培训使之了解如何及何时使用应急预案中的控制手段及恢复策略,对应急预案的培训至少每年举办一次。
范文四:信息安全等级保护
做信息安全等级保护和测评的职业前景怎么样?修改
1、技术含量不大,关键是短短几个月要对全国所有系统做等保,难免有过场之处,对企业的价值比内控低,但是这件事应该反过来想,能做SOX 的也不是小公司了,所以等保聊胜于无,对于没有构建信息安全的企业来说还是能挖掘出价值的,只要别把等保=安全就行了 行业前景很好,收钱收得简直是坑爹,旺季做等保,淡季做做渗透
不想做?你看携程又给国家送案例了
2、等保。。。技术性要求不是很高。等保的技术主要看五大方面。物理,主机,网络,数据,应用。等保还有管理一方面,制度。物理安全,我举个例子,机房防风防雨防火防盗防破坏。当然在等保上叫法更专业。从这一点看,物理上没多大技术含量,就是实地检查,或者访谈。主机安全。身份认证,恶意代码,审计。这些主要是看主机系统的配置。技术含量也有限。网络安也是,通过几条命令,看看里面有没有配置符合。做等保公司。都小,要说上千人上万人。不可能,为什么?因为利润低,加上也没那么多资源。。一般做等保都坐二级要不就是三级,一级没人做,四级更很少,五级我是没见过。反正国家有五级系统。在安全这个行业,等保的价值差不多都是透明的,一个二级四万,一个三级八万。。公司除了交税,加上人工成本(30人日),还有商务留一万或者八千的。一个三级也没几万能剩下。可能有的公司不用这么多人。用几个人日就完事了。那是不付责,纯走形式,让我的话,现场都不用去。一天就写完等保保告。当然前提是已定级备案的情况下。。有的人问了。。做一个三级能剩下几万。那多做几个就是了。员工多点,公司利润不就上来了吗?少年,我只能说,你too Yang too simple 。每个省,有资质做等保的平均六到七家。西藏,新彊少。以山东省为例。山东有七家来分山东整个市场的。山东是十七地市。算下来。。也没多少东西啊。。根据我了解的公安那边的情况。公安统计的的全省有八百个三级系统,但只有二百是到公安备案的。七家分这二百个三级?一家三十个。。连二百万的利润都不到。加上二级系统,也就二百万。。所以。纯干等保,公司不会太大。好多公司,等保只是一个业务部门。
—————————————————————————————————————————————————————————有个问我,为什么不发掘那六百个新客户。我来说一下原因。发掘是发掘,但发掘出来的很少。客户一旦定级备案了三级,每年必须要拿这八万来做。不做的话网警就要请领导喝茶谈谈了。二级没这要求。所以定级的时候。领导很慎重,一年八万。其实也不多。但好多单位对这一块的投入很少。可能就是零——————————————————————————————————————说的前景,干了几年你也会干够了。想跳槽,去安全公司吧,你会发现,你的技术很有限,渗透会吗?不会,代码审计会吗?也不会。说的自私一点,跟老板谈薪资的时候也没底气。一般这个行业,工资没有太高的。平均三四千。时间久了五千六千不少了。但想拿一万,少年,梦境有点美好。但做一会就行了,明天还要上班呢。
背熟等保,天下我有,千秋万载,一统江湖!
3、难怪都说服务商的人员流动特别大。
关注这个问题有一段时间了,几个关于这个问题的答案负能量都颇重,也可能是发家前辈们都很忙,很低调;
今年刚考到初级测评师证书,从业刚满一年;
针对楼主的几个问题回答
一、职业前景好吗?
答:不好
二、对于个人未来发展好吗?
答:好
三、这个行业大公司和小公司区别大吗?
答:大
不知道题主为何想进信息安全行业,高薪?因为人才缺口,发展形势一片大好?从职业规划上来讲,我们需要切实的分析自身才能悟出答案;
0x00 为什么找这行的工作?
如果将信息安全行业细分,通信行业本身可从事的行业选择很多;
抛开甲方安全部门不论,只针对乙方安全而言,主要为三类公司;
1)安全设备公司(绿盟科技,启明星辰、网御星云等.... )
2)服务型公司(集成商、等级保护、安全运维等.... )
3)技术产品公司(终端安全、数据加密与审计等..... )
0x01 入职这家公司的原因?
本身信息安全行业市场人才缺失,有一番志向却还是选择了留在二线城市里摸爬滚打的人,有两种:
1、能力不足以进大公司;
2、资金不足以云游四海;
0x02 等级保护面临的挑战
1、信息安全业务推动困境。
1)面临新一轮的安全服务公司成立,安全厂家品牌之下的安全服务推进较猛,且已开始低价开始扩展安全业务,并且具备一定的优势。
2)客户应付合规,工作形式化。我们并不能很好地解决这个问题,导致价值未能体现。
3)过度依赖于人力,且测评师水平参次不齐,横向表现是对信息安全体系的理解全局观不强,纵向表现是对信息安全纵深防护掌握不透。
4)测评项目机械化 ,且工作效率极低,测评结果未体现成效与价值,客户体验差。 0x03 通过工作可以学到什么?
1、以上种种的困境,我学会的知识;
1)硬技能
安全风险管理 :行业内的人总是在说:“3分技术7分管理”;而等保基本要求主要由技术层面与管理层面组成;技术层面由【物理,主机,网络,数据,应用】5个层面组成,管理层面由【安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理】5个层面组成;
2)软技能
与客户交往经验:从事等保后,你会发现很多时候并不是光是会做技术就可以混的风生水起。如果客户不配合,工作将停滞。客户关心的两点是我们实施工作的关键,1、解释自己的工作,客户需要知道你来是为了做什么!2、规避工作时造成系统瘫痪,必要时协助客户恢复系统正常运行!
文档报告编制:测评发现的很多问题,我们只是流于表面,而没有进行深入的了解与分析。实际上,客户着重需要我们解决的问题也基本存在于此。文档的描述清晰,助于体现我们工作的价值;
0x04 在职福利和发展?
在等级保护这个行业里工作,我想我们最大的福利就在于可以白盒接触到客户的网络拓扑,应用源码和技术文档;虽然很多单位的管理和开发实在是糟糕。但我们并不能以偏概全。遇
到单位将技术工作外包,我们即可接触到优秀应用程序源码和相关设计文档,集成项目实施文档,经典网络架构部署、安全设备以及常见弱点;当然也会不断地积累各类安全集成厂商、安全产品的相关人脉;对渗透测试能力、代码审计能力的提升也大有益处,毕竟白盒找问题比黑盒找问题流畅多了。
针对不同类型的安全问题进行统计,用数据分析出常见的安全问题,制定规则扩大扫描范围和更新测试方法,成功率总会比别人高一点~^o^~;
(至于工作中为啥不能学习新知识?得取决你的领导和队友们对于项目管理的把控是否合理,严肃脸?_?)
尤其是现在信息安全行业人才缺失。你掌握了足够的技术能力后有两种选择;
1、从客户群体中分析客户的需求,寻觅合作的机会。
例如我们公司从前有位前同事离职后就专职做虚拟化服务,因为早期时虚拟化技术不够成熟,客户每年支出大量服务器资源,却一直没有可靠的解决方案,他留心到这一块儿的诉求后,专职研究虚拟化技术为客户提供解决方案,毕业几年现在似乎已准备买房结婚;
2、当把等级保护的技术+管理十个层面的控制点,要求项背熟后,对于写渗透测试报告,写项目实施文档。设计安全体系框架时也可谓是【前期背书背的头晕眼花觉得没有什么用,后期翻翻笔记就觉得思如涌泉】;
学会这么多东西后,如果领导对行业的眼光和战略方向依旧没有改变,那么考虑换公司吧! 0x05 这行的待遇怎么样?
嗯,待遇应该是根据市场份额和公司领导决定的。我司待遇平均6-7K 左右,
当然二、三线城市别要求那么高。买房没指望买车还是可以考虑一下的。比如我现在的车牌子是绿源。
范文五:信息安全等级保护
信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段,作为公安部授权的第三方测评机构,为企事业单位提供免费专业的信息安全等级测评咨询服务。
信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力,一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现; 另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制,通过连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此,信息系统安全等级测评在安全控制测评的基础上,还要包括系统整体测评。
等级划分
《信息安全等级保护信息安全等级保护管理办法》规定,国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
实施原则
根据《信息系统安全等级保护实施指南》精神,山东省软件测评中心信息系统安全等级保护实施过程中,在工作手册上明确了以下基本原则:
自主保护原则:信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护等级,自行组织实施安全保护。
重点保护原则:根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。
同步建设原则:信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应。
动态调整原则:要跟踪信息系统的变化情况,调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。
政策标准
关于加强国家电子政务工程建设项目信息安全风险评估工作的通知 (发改高技
[2008]2071号)
关于进一步推进中央企业信息安全等级保护工作的通知
水利网络与信息安全体系建设基本技术要求 (2010年3月)
证券期货业信息系统安全等级保护基本要求(试行) (JR/T 0060-2010)
山西省计算机信息系统安全保护条例 (2009年1月) 广东省计算机信息系统安全保护条例 (2008年4月)
宁夏回族自治区计算机信息系统安全保护条例 (2009年10月)
徐州市计算机信息系统安全保护条例 (2009年1月)
标准规范
计算机信息系统安全等级保护划分准则 (GB 17859-1999) (基础类标准)
信息系统安全等级保护实施指南 (GB/T 25058-2010) (基础类标准)
信息系统安全保护等级定级指南 (GB/T 22240-2008) (应用类定级标准)
信息系统安全等级保护基本要求 (GB/T 22239-2008) (应用类建设标准)
信息系统通用安全技术要求 (GB/T 20271-2006) (应用类建设标准)
信息系统等级保护安全设计技术要求 (GB/T 25070-2010) (应用类建设标准)
信息系统安全等级保护测评要求 (GB/T 28448-2012)(应用类测评标准)
信息系统安全等级保护测评过程指南 (GB/T 28449-2012)(应用类测评标准)
信息系统安全管理要求 (GB/T 20269-2006) (应用类管理标准)
信息系统安全工程管理要求 (GB/T 20282-2006) (应用类管理标准)
GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求
GB/T 20270-2006 信息安全技术 网络基础安全技术要求
GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求
GB/T 20272-2006 信息安全技术 操作系统安全技术要求
GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求
GB/T 20984-2007 信息安全技术 信息安全风险评估规范
GB/T 20985-2007 信息安全技术 信息安全事件管理指南
GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南
GB/T 20988-2007 信息安全技术
信息系统灾难恢复规范
图书信息
书名:信息安全等级保护政策培训教程
作者:公安部信息安全等级保护评估中心编著
ISBN 978-7-121-10885-3
出版日期:2010年6月
定价:45.00元
开本:16开
页码:292 页
本教程共6章,主要介绍开展信息安全等级保护工作的主要内容、信息安全等级保护政策体系和标准体系、信息系统定级与备案工作、信息安全等级保护安全建设整改工作、信息安全等级保护等级测评工作、安全自查和监督检查。
本教程对信息安全等级保护工作的有关政策、标准进行解读,对主要工作环节进行解释说明,可供有关部门在开展信息安全等级保护培训中使用。
信息安全等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法,是促进信息化健康发展,维护国家安全、社会秩序和公共利益的根本保障。国务院法规和中央文件明确规定,要实行信息安全等级保护,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度。信息安全等级保护是当今发达国家保护关键信息基础设施、保障信息安全的通行做法,也是我国多年来信息安全工作经验的总结。开展信息安全等级保护工作不仅是保障重要信息系统安全的重大措施,也是一项事关国家安全、社会稳定、国家利益的重要任务。
近几年,为组织各单位、各部门开展信息安全等级保护工作,公安部根据法律授权,会同国家保密局、国家密码管理局和原国务院信息办组织开展了基础调查、等级保护试点、信息系统定级备案、安全建设整改等重要工作,出台了一系列政策文件,构成了信息安全
等级保护政策体系,为指导各地区、各部门开展等级保护工作提供了政策保障。同时,在国内有关部门、专家、企业的共同努力下,公安部和标准化工作部门组织制订了信息安全等级保护工作需要的一系列标准,形成了信息安全等级保护标准体系,为开展信息安全等级保护工作提供了标准保障。
今后一段时期,公安机关、行业主管部门和信息系统运营使用单位将组织开展等级保护培训工作。我们结合近些年的工作实践,在公安部网络安全保卫局的指导下,编写了这本教程,对开展信息安全等级保护工作的主要内容、方法、流程、政策和标准等内容进行解读,对信息系统定级备案、安全建设整改、等级测评、安全检查等工作进行详细解释说明,供读者参考、借鉴。由于水平所限,书中难免有不足之处,敬请读者指正。
本书由公安部信息安全等级保护评估中心组织编写,在编写过程中得到国家网络与信息安全信息通报中心赵林副主任的大力支持和指导,在此表示由衷地感谢。参加编写的有周左鹰、郭启全、朱建平、毕马宁、景乾元、刘伟、张秀东、祝国邦、马力、任卫红、李升、刘静等。 读者可以登录中国信息安全等级保护网,了解最新情况。
作 者
2010年5月
第1章 信息安全等级保护制度的主要内容 1
1.1 信息安全保障工作概述 1
1.1.1 加强信息安全工作的必要性和紧迫性 1
1.1.2 信息安全基本属性 2
1.1.3 我国信息安全保障工作的确立 2
1.1.4 信息安全保障工作的主要内容 3
1.1.5 保障信息安全的主要措施 3
1.1.6 北京奥运会网络安全保卫成功经验给信息安全工作带来的启示 4
1.2 信息安全等级保护的基本含义 5
1.2.1 信息安全等级保护的法律和政策依据 5
1.2.2 什么是信息安全等级保护 6
1.2.3 公安机关组织开展等级保护工作的法律、政策依据 8
1.2.4 贯彻落实信息安全等级保护制度的原则 9
1.2.5 信息系统安全保护等级的划分与监管 10
1.3 实行信息安全等级保护制度的必要性和紧迫性 11
1.3.1 为什么要强制实行信息安全等级保护制度 11
1.3.2 实施信息安全等级保护制度能解决什么问题 14
1.3.3 国外实施等级保护的经验和做法 15
1.4 信息安全等级保护制度的主要内容 17
1.4.1 等级保护工作中有关部门的责任和义务 17
1.4.2 等级保护工作的主要环节和基本要求 18
1.5 实施等级保护制度的工作情况 20
1.5.1 基础调查 20
1.5.2 等级保护试点工作 20
1.5.3 部署定级备案工作 20
1.5.4 等级测评体系建设试点工作 21
1.5.5 等级保护协调(领导) 机构和专家组建设 22
第2章 信息安全等级保护政策体系和标准体系 24
2.1 信息安全等级保护政策体系 24
2.1.1 总体方面的政策文件 24
2.1.2 具体环节的政策文件 26
2.2 信息安全等级保护标准体系 28
2.2.1 信息安全等级保护相关标准类别 28
2.2.2 相关标准与等级保护各工作环节关系 32
2.2.3 在应用有关标准中需要注意的几个问题 35
2.2.4 信息安全等级保护主要标准简要说明 36
第3章 信息系统定级与备案工作 60
3.1 信息系统安全保护等级的划分与保护 60
3.1.1 信息系统定级工作原则 60
3.1.2 信息系统安全保护等级 61
3.1.3 信息系统安全保护等级的定级要素 61
3.1.4 五级保护和监管 62
3.2 定级工作的主要步骤 62
3.2.1 开展摸底调查 62
3.2.2 确定定级对象 63
3.2.3 初步确定信息系统等级 64
3.2.4 信息系统等级评审 64
3.2.5 信息系统等级的审批 64
3.3 如何确定信息系统安全保护等级 65
3.3.1 如何理解信息系统的五个安全保护等级 65
3.3.2 定级的一般流程 66
3.4 信息系统备案工作的内容和要求 71
3.4.1 信息系统备案与受理 71
3.4.2 公安机关受理备案要求 72
3.4.3 对定级不准以及不备案情况的处理 73
第4章 信息安全等级保护安全建设整改工作 74
4.1 工作目标和工作内容 74
4.1.1 工作目标 74
4.1.2 工作范围和工作特点 75
4.1.3 工作内容 76
4.1.4 信息系统安全保护能力目标 78
4.1.5 基本要求的主要内容 81
4.2 工作方法和工作流程 85
4.2.1 工作方法 85
4.2.2 工作流程 86
4.4 安全建设 87
4.4.1 落实信息安全责任制 87
4.4.2 信息系统安全管理现状分析 89
4.4.3 制定安全管理策略和制度 89
4.4.4 落实安全管理措施 90
4.4.5 安全自查与调整 93
4.5 安全技术措施建设 93
4.5.1 信息系统安全保护技术现状分析 93
4.5.2 信息系统安全技术建设整改方案设计 95
4.5.3 安全建设整改工程实施和管理 99
4.5.4 信息系统安全建设整改方案要素 100
4.6 信息安全产品的选择使用 102
4.6.1 选择获得销售许可证的信息安全产品 102
4.6.2 产品分等级检测和使用 102
4.6.3 第三级以上信息系统使用信息安全产品问题 103
第5章 信息安全等级保护等级测评工作 104
5.1 等级测评工作概述 104
5.1.1 等级测评的基本含义 104
5.1.2 等级测评的目的 104
5.1.3 开展等级测评时机 105
5.1.4 错就错等级测评机构的选择 105
5.1.5 等级测评依据的标准 106
5.2 等级测评机构及测评人员的管理与监督 107
5.2.1 为什么要开展等级测评体系建设工作 107
5.2.2 对测评机构和测评人员的管理 108
5.2.3 等级测评机构应当具备的基本条件 108
5.2.4 测评机构的业务范围和工作要求 109
5.2.5 测评机构的的禁止行为 110
5.2.6 测评机构的申请、受理、审核、推荐流程 110
5.2.7 对测评机构的监督管理 113
5.3 等级测评的工作流程和工作内容 113
5.3.1 基本工作流程和工作方法 113
5.3.2 系统信息收集 115
5.3.3 编制测评方案 118
5.3.4 现场测评 122
5.3.5 测评结果判断 126
5.3.6 测评报告编制 128
5.4 等级测评工作中的风险控制 129
5.4.1 存在的风险 129
5.4.2 风险的规避 129
5.5 等级测评报告的主要内容 131
5.5.1 等级测评报告的构成 131
5.5.2 等级测评报告的主要内容说明 131
第6章 安全自查和监督检查 134
6.1 定期自查与督导检查 134
6.1.1 备案单位的定期自查 134
6.1.2 行业主管部门的督导检查 135
6.2 公安机关的监督检查 135
6.2.1 检查的原则和方法 135
6.2.2 检查的主要内容 135
6.2.3 检查整改要求 136
6.2.4 检查工作要求 136
附录A 关于信息安全等级保护工作的实施意见 138
附录B 信息安全等级保护管理办法 148
附录C 关于开展全国重要信息系统安全等级保护定级工作的通知 162
附录D 信息安全等级保护备案实施细则(试行) 177
附录E 公安机关信息安全等级保护检查工作规范(试行) 187
附录F 关于加强国家电子政务工程建设项目信息安全风险评估工作的通知 202 附录G 关于开展信息安全等级保护安全建设整改工作的指导意见 223
附录H 信息系统安全等级测评报告模版(试行) 228
附录I 关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知所属 250 附录J 信息安全等级保护测评工作管理规范(试行) 253
附录K 信息安全等级保护安全建设指导委员会专家名单 277
转载请注明出处范文大全网 » 信息安全等级保护(二级)