《教育信息安全检查实施方案》由会员分享,可在线阅读,更多相关《教育信息安全检查实施方案(18页珍藏版)》请在金锄头文库上搜索。
1、附件2国家信息安全等级保护二级标准自查模板安全管理机构1自查项目序 号控制点基本要求自查结果备注是否不适用1岗位设置a)应设立安全主管、安全管 理各个方面的负责人岗位, 并定义各负责人的职责;b)应设立系统管理员、网络 管理员、安全管理员等岗位, 并定义各个工作岗位的职 责;2人员配备a)应配备一疋数量的系统管 理员、网络管理员、安全管 理员等;b)安全管理员不能兼任网络 管理员、系统管理员、数据 库管理员等。3授权和审批a)应根据各个部门和岗位的 职责明确授权审批部门及批 准人,对系统投入运行、网 络系统接入和重要资源的访 问等关键活动进行审批;b)应针对关键活动建立审批 流程,并由批准人签
2、字确认。4沟通和合作a)应加强各类管理人员之 间、组织内部机构之间以及 信息安全职能部门内部的合 作与沟通;b)应加强与兄弟单位、公安 机关、电信公司的合作与沟 通。5审核和检查a)安全管理员应负责定期进 行安全检查,检查内容包括 系统日常运行、系统漏洞和 数据备份等情况。安全管理制度2自查项目序 号控制点基本要求自查结果备注是否不适用1管理制度a)应制定信息安全工作的总 体方针和安全策略,说明机 构安全工作的总体目标、范 围、原则和安全框架等;b)应对安全管理活动中重要 的管理内容建立安全管理制 度;c)应对安全管理人员或操作 人员执行的重要管理操作建 立操作规程。2制定和发布a)应指定或授
3、权专门的部门 或人员负责安全管理制度的 制定;b)应组织相关人员对制定的 安全管理制度进行论证和审疋;c)应将安全管理制度以某种 方式发布到相关人员手中。3评审和修订a)应定期对安全管理制度进 行评审,对存在不足或需要 改进的安全管理制度进行修 订。人员安全管理3自查项目序 号控制点基本要求自查结果备注是否不适用1人员录 用a)应指定或授权专门的部 门或人员负责人员录用;b)应规氾人员录用过程,对 被录用人员的身份、背景和 专业资格等进行审查,对其 所具有的技术技能进行考 核;c)应与从事关键岗位的人 员签署保密协议。2人员离岗a)应规范人员离岗过程,及 时终止离岗员工的所有访问权限;b)应取
4、回各种身份证件、 钥 匙、徽章等以及机构提供的 软硬件设备;c)应办理严格的调离手续。3人员考核a)应定期对各个岗位的人 员进行安全技能及安全认 知的考核。4安全意 识教育 和培训a)应对各类人员进行安全 意识教育、岗位技能培训和 相关安全技术培训;b)应告知人员相关的安全 责任和惩戒措施,并对违反 违背安全策略和规定的人 员进行惩戒;c)应制定安全教育和培训 计划,对信息安全基础知 识、冈位操作规程等进仃培 训。5外部人 员访问 管理a)应确保在外部人员访问 受控区域前得到授权或审 批,批准后由专人全程陪同 或监督,并登记备案。数据安全及备份恢复4自查项目序 号控制点基本要求自查结果备注是否
5、不适用1数据完整性a)应能够检测到鉴别信息 和重要业务数据在传输过 程中完整性受到破坏。2数据保密性a)应米用加密或其他保护 措施实现鉴别信息的存储 保密性。a)应能够对重要信息进行 备份和恢复;3备份和恢复b)应提供关键网络设备、通 信线路和数据处理系统的 硬件冗余,保证系统的可用 性;网络安全5自查项目序 号控制点基本要求自查结果备注是否一不适用1结构安全a)应保证关键网络设备的业 务处理能力具备冗余空间, 满足业务高峰期需要;b)应保证接入网络和核心网 络的带宽满足业务高峰期需 要;C)应绘制与当前运行情况相 符的网络拓扑结构图;d)应根据各部门的工作职 能、重要性和所涉及信息的 重要程
6、度等因素,划分不冋 的子网或网段,并按照方便 管理和控制的原则为各子 网、网段分配地址段;2访问控制a)应在网络边界部署访冋控 制设备,启用访问控制功能;b)应能根据会话状态信息为 数据流提供明确的允许/拒 绝访问的能力,控制粒度为 网段级;C)应按用户和系统之间的允 许访问规则,决定允许或拒 绝用户对受控系统进行资源 访问,控制粒度为单个用户;d)应限制具有拨号访问权限 的用户数量。3安全审计a)应对网络系统中的网络设 备运行状况、网络流量、用 户行为等进行日志记录;b)审计记录应包括:事件的 日期和时间、用户、事件类 型、事件是否成功及其他与 审计相关的信息;4边界完 整性检 查a)应能够
7、对内部网络中出现 的内部用户未通过准许私自 联到外部网络的行为进行检 查。5入侵防 范a)应在网络边界处监视以下 攻击行为:端口扫描、强力 攻击、木马后门攻击、拒绝 服务攻击、缓冲区溢出攻击、 IP碎片攻击和网络蠕虫攻击 等;6网络设 备防护a)应对登录网络设备的用户 进行身份鉴别;b)应对网络设备的管理员登 录地址进行限制;c)网络设备用户的标识应唯;d)身份鉴别信息应具有不易 被冒用的特点,口令应有复 杂度要求并定期更换;e)应具有登录失败处理功 能,可采取结束会话、限制 非法登录次数和当网络登录 连接超时自动退出等措施;f)当对网络设备进行远程管 理时,应采取必要措施防止 鉴别信息在网络
8、传输过程中 被窃听;物理安全6自查项目序 号控制点基本要求自查结果备注是否不适用1物理位 置的选 择a)机房和办公场地应选择 在具有防震、防风和防雨等 能力的建筑内。2物理访 问控制a)机房出入口应安排专人 值守,控制、鉴别和记录进 入的人员;b)需进入机房的来访人员 应经过申请和审批流程, 并 限制和监控其活动范围;3防盗窃 和防破 坏a)应将主要设备放置在机 房内;b)应将设备或主要部件进 行固定,并设置明显的不易 除去的标记;c)应将通信线缆铺设在隐 敝处,可铺设在地下或管道 中;d)应对介质分类标识,存储 在介质库或档案至中;e)主机房应安装必要的防 盗报警设施;4防雷击a)机房建筑应
9、设置避雷装 置;b)机房应设置交流电源地 线。5防火a)机房应设置火火设备和 火灾自动报警系统;6防水和防潮a)水管安装,不得穿过机房 屋顶和活动地板下;b)应采取措施防止雨水通 过机房窗户、屋顶和墙壁渗 透;c)应采取措施防止机房内 水蒸气结露和地下积水的 转移与渗透;7防静电a)关键设备应采用必要的 接地防静电措施。8温湿度控制a)机房应设置温、湿度自动 调节设施,使机房温、湿度 的变化在设备运行所允许 的范围之内。9电力供应a)应在机房供电线路上配 置稳压器和过电压防护设 备;b)应提供短期的备用电力 供应,至少满足关键设备在 断电情况下的正常运行要 求。10电磁防护a)电源线和通信线缆
10、应隔 离铺设,避免互相干扰。系统建设管理7自查项目序 号控制点基本要求自查结果备注是否不适用1系统定级a)应明确信息系统的边界和 安全保护等级;b)应以书面的形式说明信息 系统确定为某个安全保护等 级的方法和理由;c)应确保信息系统的定级结 果经过相关部门的批准。2安全方案设计a)应根据系统的安全保护等 级选择基本安全措施,依据 风险分析的结果补充和调整 安全措施;b)应以书面形式描述对系统 的安全保护要求、策略和措 施等内容,形成系统的安全 万案;c)应对安全方案进行细化, 形成能指导安全系统建设、 安全产品采购和使用的详细 设计方案;d)应组织相关部门和有关安 全技术专家对安全设计方案 的
11、合理性和正确性进行论证 和审定,并且经过批准后, 才能正式实施。3产品采 购和使 用a)应确保安全产品采购和使 用符合国家的有关规定;b)应确保密码产品采购和使 用符合国家密码主管部门的 要求;C)应指定或授权专门的部门 负责产品的采购。4自行软 件开发a)应确保开发环境与实际运 行环境物理分开;b)应制定软件开发管理制 度,明确说明开发过程的控 制方法和人员行为准则;c)应确保提供软件设计的相 关文档和使用指南,并由专 人负责保管。5外包软件开发a)应根据开发要求检测软件 质量;b)应确保提供软件设计的相 关文档和使用指南;C)应在软件安装之前检测软 件包中可能存在的恶意代 码;d)应要求开
12、发单位提供软件 源代码,并审查软件中可能 存在的后门。6工程实 施a)应指定或授权专门的部门 或人员负责工程实施过程的 管理;b)应制定详细的工程实施方 案,控制工程实施过程。7测试验 收a)应对系统进行安全性测试 验收;b)在测试验收前应根据设计 方案或合冋要求等制订测试 验收方案,在测试验收过程 中应详细记录测试验收结 果,并形成测试验收报告;C)应组织相关部门和相关人 员对系统测试验收报告进行 审定,并签字确认。8系统交付a)应制定系统父付清单,并 根据交付清单对所交接的设 备、软件和文档等进行清点;b)应对负责系统运行维护的 技术人员进行相应的技能培 训;c)应确保提供系统建设过程 中的文档和指导用户进行系 统运行维护的文档。9安全服 务商选 择a)应确保安全服务商的选择 符合国家的有关规定;
