收藏
下载资源

信息安全等级保护

上传人:桔**** 文档编号:547695575 上传时间:2022-10-29 格式:DOCX 页数:16 大小:15.99KB
返回 下载 相关 举报
信息安全等级保护_第1页
第1页 / 共16页
信息安全等级保护_第2页
第2页 / 共16页
信息安全等级保护_第3页
第3页 / 共16页
信息安全等级保护_第4页
第4页 / 共16页
信息安全等级保护_第5页
第5页 / 共16页
点击查看更多>>
资源描述

《信息安全等级保护》由会员分享,可在线阅读,更多相关《信息安全等级保护(16页珍藏版)》请在金锄头文库上搜索。

1、信息安全等级保护Jenny was compiled in January 2021信息安全等级保护(二级)信息安全等级保护(二级) 备注:其中黑色字体为信息安全等级保护第二级系统要求,蓝色字体为第三级系统等保要求。一、物理安全1、应具有机房和办公场地的设计/验收文档(机房场地的选址说明、地线连接要求的描述、建筑材料具有相应的耐火等级说明、接地防静电措施)2、应具有有来访人员进入机房的申请、审批记录;来访人员进入机房的登记记录3、应配置电子门禁系统(三级明确要求);电子门禁系统有验收文档或产品安全认证资质,电子门禁系统运行和维护记录4、主要设备或设备的主要部件上应设置明显的不易除去的标记5、介

2、质有分类标识;介质分类存放在介质库或档案室内,磁介质、纸介质等分类存放6、应具有摄像、传感等监控报警系统;机房防盗报警设施的安全资质材料、安装测试和验收报告;机房防盗报警系统的运行记录、定期检查和维护记录;7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告;机房监控报警系统的运行记录、定期检查和维护记录8、应具有机房建筑的避雷装置;通过验收或国家有关部门的技术检测;9、应在电源和信号线上增加有资质的防雷保安器;具有防雷检测资质的检测部门对 防雷装置的检测报告10、应具有自动检测火情、自动报警、自动灭火的自动消防系统;自动消防系统的运 行记录、检查和定期维护记录;消防产品有效期合格;自

3、动消防系统是经消防检测部门检 测合格的产品11、应具有除湿装置;空调机和加湿器;温湿度定期检查和维护记录12、应具有水敏感的检测仪表或元件;对机房进行防水检测和报警;防水检测装置的 运行记录、定期检查和维护记录13、应具有温湿度自动调节设施;温湿度自动调节设施的运行记录、定期检查和维护 记录14、应具有短期备用电力供应设备(如UPS);短期备用电力供应设备的运行记录、 定期检查和维护记录15、应具有冗余或并行的电力电缆线路(如双路供电方式)16、应具有备用供电系统(如备用发电机);备用供电系统运行记录、定期检查和维 护记录二、安全管理制度1、应具有对重要管理操作的操作规程,如系统维护手册和用户

4、操作规程2、应具有安全管理制度的制定程序:3、应具有专门的部门或人员负责安全管理制度的制定(发布制度具有统一的格式, 并进行版本控制)4、应对制定的安全管理制度进行论证和审定,论证和审定方式如何(如召开评审 会、函审、内部审核等),应具有管理制度评审记录5、应具有安全管理制度的收发登记记录,收发应通过正式、有效的方式(如正式发 文、领导签署和单位盖章等)安全管理制度应注明发布范围,并对收发文进行登记。6、信息安全领导小组定期对安全管理制度体系的合理性和适用性进行审定,审定周 期多长。(安全管理制度体系的评审记录)7、系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生 变更时

5、应对安全管理制度进行检查,对需要改进的制度进行修订。(应具有安全管理制度 修订记录)三、安全管理机构1、应设立信息安全管理工作的职能部门2、应设立安全主管、安全管理各个方面的负责人3、应设立机房管理员、系统管理员、网络管理员、安全管理员等重要岗位(分工明 确,各司其职),数量情况(管理人员名单、岗位与人员对应关系表)4、安全管理员应是专职人员5、关键事物需要配备 2人或2人以上共同管理,人员具体配备情况如何。6、应设立指导和管理信息安全工作的委员会或领导小组(最高领导是否由单位主管 领导委任或授权的人员担任)7、应对重要信息系统活动进行审批(如系统变更、重要操作、物理访问和系统接 入、重要管理

6、制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问 等),审批部门是何部门,审批人是何人。审批程序:8、应与其它部门之间及内部各部门管理人员定期进行沟通(信息安全领导小组或者安全管理委员会应定期召开会议)9、应组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记 录,定期:10、信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录(如会议记录/纪要,信息安全工作决策文档等)11、应与公安机关、电信公司和兄弟单位等的沟通合作(外联单位联系列表)12、应 与供应商、业界专家、专业的安全公司、安全组织等建立沟通、合作机制。13、聘请信息 安全专家作为常年的安全顾

7、问(具有安全顾问名单或者聘请安全顾问的证明文件、具有安 全顾问参与评审的文档或记录)14、应组织人员定期对信息系统进行安全检查(查看检查内容是否包括系统日常运行、系统漏洞和数据备份等情况)15、应定期进行全面安全检查(安全检查是否包含现行技术措施有效性和管理制度执行情况等方面、具有安全检查表格,安全检查报告,检查结果通告记录)四、人员安全管理1、何部门/何人负责安全管理和技术人员的录用工作(录用过程)2、应对被录用人的身份、背景、专业资格和资质进行审查,对技术人员的技术技能 进行考核,技能考核文档或记录3、应与录用后的技术人员签署保密协议(协议中有保密范围、保密责任、违约责 任、协议的有效期限

8、和责任人的签字等内容)4、应设定关键岗位,对从事关键岗位的人员是否从内部人员中选拔,是否要求其签 署岗位安全协议。5、应及时终止离岗人员的所有访问权限(离岗人员所有访问权限终止的记录)6、应及时取回离岗人员的各种身份证件、钥匙、徽章等以及机构提供的软硬件设备 等(交还身份证件和设备等的登记记录)7、人员离岗应办理调离手续,是否要求关键岗位调离人员承诺相关保密义务后方可 离开(具有按照离岗程序办理调离手续的记录,调离人员的签字)8、对各个岗位人员应定期进行安全技能考核;具有安全技能考核记录,考核内容要 求包含安全知识、安全技能等。9、对关键岗位人员的安全审查和考核与一般岗位人员有何不同,审查内容

9、是否包括 操作行为和社会关系等。10、应对各类人员(普通用户、运维人员、单位领导等)进行安全教育、岗位技能和 安全技术培训。11、应针对不同岗位制定不同的培训计划,并按照计划对各个岗位人员进行安全教育和培训(安全教育和培训的结果记录,记录应与培训计划一致)12、外部人员进入条件(对哪些重要区域的访问须提出书面申请批准后方可进入),外部人员进入的访问控制(由专人全程陪同或监督等)13、应具有外部人员访问重要区域的书面申请14、应具有外部人员访问重要区域的登记记录(记录描述了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等)五、系统建设管理1、应明确信息系统的边界和安全

10、保护等级(具有定级文档,明确信息系统安全保护等级)2、应具有系统建设/整改方案3、应授权专门的部门对信息系统的安全建设进行总体规划,由何部门/何人负责4、应具有系统的安全建设工作计划(系统安全建设工作计划中明确了近期和远期的安全建设计划)5、应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略等相关配套文件进行论证和审定(配套文件的论证评审记录或文档)6、应对总体安全策略、安全技术框架、安全管理策略等相关配套文件应定期进行调 整和修订7、应具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计 方案等相关配套文件的维护记录或修订版本8、应按照国家的相关规定进

11、行采购和使用系统信息安全产品9、安全产品的相关凭证,如销售许可等,应使用符合国家有关规定产品10、应具有专门的部门负责产品的采购11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清 单,是否定期审定和更新候选产品名单12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文 档)13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南 或操作手册14、对程序资源库的修改、更新、发布应进行授权和批准15、应具有程序资源库的修改、更新、发布文档或记录16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测17、软件安装之前应

12、检测软件中的恶意代码(该软件包的恶意代码检测报告),检测 工具是否是第三方的商业产品18、应具有软件设计的相关文档和使用指南19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量 控制21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报 告,工程实施方案22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息 系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)24、应具有测试

13、验收报告25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)27、应具有系统交付时的技术培训记录28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服 务器操作规程书)以及系统培训手册等文档。29、应指定部门负责系统交付工作30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等 相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限 和责任人的签字等内容31、选定的安全服务商应提供一定的技术培训和服务32、应与安全服务商签订的服务合同

14、或安全责任合同书11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清 单,是否定期审定和更新候选产品名单12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文 档)13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南 或操作手册14、对程序资源库的修改、更新、发布应进行授权和批准15、应具有程序资源库的修改、更新、发布文档或记录16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测 工具是否是第三方的商业产品18、应具有软件设计的相关文

15、档和使用指南19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量 控制21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报 告,工程实施方案22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息 系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)24、应具有测试验收报告25、应指定专门部门负责测试验收工作(具有对系统测试验收报告进行审定的意见)26、根据交付清单对所交接的设备、文档、软件等进行清点(系统交付清单)27、应具有系统交付时的技术培训记录28、应具有系统建设文档(如系统建设方案)、指导用户进行系统运维的文档(如服 务器操作规程书)以及系统培训手册等文档。29、应指定部门负责系统交付工作30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等 相关安全服务商签订的协议(文档中有保密范围、安全责任、违约责任、协议的有效期限 和责任人的签字等内容31、选定的安全服务商应提供一定的技术培训和服务32、应与安全服务商签订的

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 学术论文 > 其它学术论文

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号