第二級信息系統驗收檢查項序號層面控制點要求項1.物理安全物理訪問控制（G2）a）機房出入口應安排專人值守，控制、鑒別和記錄進入的人員。2.物理安全電力供應（A2）b）應提供短期的備用電力供應，至少滿足關鍵設備在斷電情況下的正常運行要求。3.網絡安全結構安全（G2）a）應保證關鍵網絡設備的業務處理能力具備冗余空間，滿足業務高峰期需要；4.網絡安全結構安全（G2）d）應根據各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網或網段，并按照方便管理和控制的原則為各子網、網段分配地址段；5.網絡安全訪問控制（G2）a）應在網絡邊界部署訪問控制設備，啟用訪問控制功能；6.網絡安全訪問控制（G2）b）應能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為網段級；7.網絡安全安全審計（G2）a）應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄；8.網絡安全邊界完整性檢查（S2）應能夠對內部網絡中出現的內部用戶未通過準許私自聯到外部網絡的行為進行檢查。9.網絡安全入侵防范（G2）應在網絡邊界處監視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等。10.網絡安全網絡設備防護（G2）d）身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換；11.網絡安全網絡設備防護（G2）f）當對網絡設備進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽。12.主機安全身份鑒別（S2）b）操作系統和數據庫系統管理用戶身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換；13.主機安全身份鑒別（S2）d) 當對服務器進行遠程管理時，應采取必要措施，防止鑒別信息在網絡傳輸過程中被竊聽；14.主機安全訪問控制（S2）b) 應實現操作系統和數據庫系統特權用戶的權限分離；15.主機安全安全審計（G2）a) 審計范圍應覆蓋到服務器上的每個操作系統用戶和數據庫用戶；16.主機安全安全審計（G2）b) 審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件；17.主機安全入侵防范（G2）操作系統遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等方式保持系統補丁及時得到更新。18.主機安全惡意代碼防范（G2）a) 應安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫；19.應用安全身份鑒別（S2）b) 應提供用戶身份標識唯一和鑒別信息復雜度檢查功能，保證應用系統中不存在重復用戶身份標識，身份鑒別信息不易被冒用；20.應用安全訪問控制（S2）c) 應由授權主體配置訪問控制策略，并嚴格限制默認帳戶的訪問權限；21.應用安全訪問控制（S2）d) 應授予不同帳戶為完成各自承擔任務所需的最小權限，并在它們之間形成相互制約的關系。22.應用安全安全審計（G2）a) 應提供覆蓋到每個用戶的安全審計功能，對應用系統重要安全事件進行審計；23.應用安全通信保密性（S2）b) 應對通信過程中的敏感信息字段進行加密。24.應用安全軟件容錯（A2）a) 應提供數據有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數據格式或長度符合系統設定要求；25.數據安全及備份恢復數據保密性（S2）b) 應采用加密或其他保護措施實現鑒別信息的存儲保密性。26.數據安全及備份恢復備份和恢復（A2）b) 應提供關鍵網絡設備、通信線路和數據處理系統的硬件冗余，保證系統的可用性。27.安全管理制度管理制度（G2）b）應對安全管理活動中重要的管理內容建立安全管理制度。28.安全管理機構崗位設置（G2）a）應設立安全主管、安全管理各個方面的負責人崗位，并定義各負責人的職責。29.安全管理機構人員配備（G2）a）應配備一定數量的系統管理員、網絡管理員、安全管理員等。30.安全管理機構審核和檢查（G2）安全管理員應負責定期進行安全檢查，檢查內容包括系統日常運行、系統漏洞和數據備份等情況。31.人員安全管理人員錄用（G2）b）應規范人員錄用過程，對被錄用人的身份、背景和專業資格等進行審查，對其所具有的技術技能進行考核。32.人員安全管理人員錄用（G2）c）應與從事關鍵崗位的人員簽署保密協議。33.人員安全管理安全意識教育和培訓（G2）a）應對各類人員進行安全意識教育、崗位技能培訓和相關安全技術培訓。34.人員安全管理安全意識教育和培訓（G2）c）應制定安全教育和培訓計劃，對信息安全基礎知識、崗位操作規程等進行培訓。35.系統建設管理安全方案設計（G2）b）應以書面形式描述對系統的安全保護要求、策略和措施等內容，形成系統的安全方案；36.系統建設管理安全方案設計（G2）c）應對安全方案進行細化，形成能指導安全系統建設和安全產品采購和使用的詳細設計方案；37.系統建設管理自行軟件開發（G2）a）應確保開發環境與實際運行環境物理分開；38.系統建設管理外包軟件開發（G2）a）應根據開發要求檢測軟件質量。39.系統建設管理外包軟件開發（G2）c）應在軟件安裝之前檢測軟件包中可能存在的惡意代碼。40.系統運維管理網絡安全管理（G2）a）應指定人員對網絡進行管理，負責運行日志、網絡監控記錄的日常維護和報警信息分析和處理工作。41.系統運維管理網絡安全管理（G2）d）應定期對網絡系統進行漏洞掃描，對發現的網絡系統安全漏洞進行及時的修補。42.系統運維管理系統安全管理（G2）a）應根據業務需求和系統安全分析確定系統的訪問控制策略。43.系統運維管理系統安全管理（G2）b）應定期進行漏洞掃描，對發現的系統安全漏洞及時進行修補。44.系統運維管理系統安全管理（G2）c）應安裝系統的最新補丁程序，在安裝系統補丁前，應首先在測試環境中測試通過，并對重要文件進行備份后，方可實施系統補丁程序的安裝。45.系統運維管理安全事件處置（G2）b）應制定安全事件報告和處置管理制度，明確安全事件類型，規定安全事件的現場處理、事件報告和后期恢復的管理職責。46.系統運維管理安全事件處置（G2）d）應記錄并保存所有報告的安全弱點和可疑事件，分析事件原因，監督事態發展，采取措施避免安全事件發生。47.系統運維管理應急預案管理（G2）a）應在統一的應急預案框架下制定不同事件的應急預案，應急預案框架應包括啟動應急預案的條件、應急處理流程、系統恢復流程、事后教育和培訓等內容。48.系統運維管理應急預案管理（G2）b）應對系統相關的人員進行應急預案培訓，應急預案的培訓應至少每年舉辦一次。第三級信息系統驗收檢查項序號層面控制點要求項1.物理安全物理訪問控制d）重要區域應配置電子門禁系統，控制、鑒別和記錄進入的人員。2.物理安全電力供應c）應設置冗余或并行的電力電纜線路為計算機系統供電。3.物理安全電力供應d）應建立備用供電系統。4.物理安全電磁防護c）應對關鍵設備和磁介質實施電磁屏蔽。5.網絡安全結構安全a) 應保證主要網絡設備的業務處理能力具備冗余空間，滿足業務高峰期需要；6.網絡安全結構安全c) 應在業務終端與業務服務器之間進行路由控制建立安全的訪問路徑；7.網絡安全結構安全e) 應根據各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網或網段，并按照方便管理和控制的原則為各子網、網段分配地址段；8.網絡安全訪問控制b) 應能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；9.網絡安全訪問控制c) 應對進出網絡的信息內容進行過濾，實現對應用層HTTP、FTP、TELNET、SMTP、POP3等協議命令級的控制；10.網絡安全安全審計a) 應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄；11.網絡安全安全審計c) 應能夠根據記錄數據進行分析，并生成審計報表；12.網絡安全邊界完整性檢查a) 應能夠對非授權設備私自聯到內部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷；13.網絡安全邊界完整性檢查b) 應能夠對內部網絡用戶私自聯到外部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷。14.網絡安全入侵防范a) 應在網絡邊界處監視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等；15.網絡安全惡意代碼防范a) 應在網絡邊界處對惡意代碼進行檢測和清除；16.網絡安全網絡設備防護d) 主要網絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別；17.網絡安全網絡設備防護e) 身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換；18.主機安全身份鑒別b) 操作系統和數據庫系統管理用戶身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換；19.主機安全身份鑒別d) 當對服務器進行遠程管理時，應采取必要措施，防止鑒別信息在網絡傳輸過程中被竊聽；20.主機安全身份鑒別f）應采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別。21.主機安全訪問控制c) 應實現操作系統和數據庫系統特權用戶的權限分離；22.主機安全訪問控制f）應對重要信息資源設置敏感標記；23.主機安全訪問控制g）應依據安全策略嚴格控制用戶對有敏感標記重要信息資源的操作。24.主機安全安全審計a) 安全審計應覆蓋到服務器和重要客戶端上的每個操作系統用戶和數據庫用戶；25.主機安全安全審計d）應能夠根據記錄數據進行分析，并生成審計報表；26.主機安全入侵防范b）應能夠對重要程序完整性進行檢測，并在檢測到完整性受到破壞后具有恢復的措施；27.主機安全惡意代碼防范a) 應安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫；28.應用安全身份鑒別b) 應對同一用戶采用兩種或兩種以上組合的鑒別技術實現用戶身份鑒別；29.應用安全身份鑒別c) 應提供用戶身份標識唯一和鑒別信息復雜度檢查功能，保證應用系統中不存在重復用戶身份標識，身份鑒別信息不易被冒用；30.應用安全訪問控制d) 應授予不同帳戶為完成各自承擔任務所需的最小權限，并在它們之間形成相互制約的關系。31.應用安全訪問控制e) 應具有對重要信息資源設置敏感標記的功能；32.應用安全訪問控制f) 應依據安全策略嚴格控制用戶對有敏感標記重要信息資源的操作；33.應用安全安全審計a) 應提供覆蓋到每個用戶的安全審計功能，對應用系統重要安全事件進行審計；34.應用安全安全審計d) 應提供對審計記錄數據進行統計、查詢、分析及生成審計報表的功能。35.應用安全通信保密性b) 應對通信過程中的整個報文或會話過程進行加密。36.應用安全軟件容錯a) 應提供數據有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數據格式或長度符合系統設定要求；37.數據安全及備份恢復數據保密性a) 應采用加密或其他有效措施實現系統管理數據、鑒別信息和重要業務數據傳輸保密性；38.數據安全及備份恢復數據保密性b) 應采用加密或其他保護措施實現系統管理數據、鑒別信息和重要業務數據存儲保密性。39.數據安全及備份恢復備份和恢復c) 應采用冗余技術設計網絡拓撲結構，避免關鍵節點存在單點故障；40.數據安全及備份恢復備份和恢復d) 應提供主要網絡設備、通信線路和數據處理系統的硬件冗余，保證系統的高可用性。41.安全管理制度管理制度d）應形成由安全政策、管理制度、操作規程等構成的全面的信息安全管理制度體系。42.安全管理機構崗位設置a）應設立信息安全管理工作的職能部門，設立安全主管、安全管理各個方面的負責人崗位，并定義各負責人的職責。43.安全管理機構人員配備a）應配備一定數量的系統管理員、網絡管理員、安全管理員等。44.安全管理機構審核和檢查a）安全管理員應負責定期進行安全檢查，檢查內容包括系統日常運行、系統漏洞和數據備份等情況。45.人員安全管理人員錄用b）應嚴格規范人員錄用過程，對被錄用人的身份、背景、專業資格和資質等進行審查，對其所具有的技術技能進行考核。46.人員安全管理人員錄用c）應簽署保密協議。47.人員安全管理人員考核b）應對關鍵崗位的人員進行全面、嚴格的安全審查和技能考核。48.人員安全管理安全意識教育和培訓a）應對各類人員進行安全意識教育、崗位技能培訓和相關安全技術培訓。49.人員安全管理安全意識教育和培訓c）應對安全教育和培訓進行書面規定，針對不同崗位制定不同的培訓計劃，對信息安全基礎知識、崗位操作規程等進行培訓。50.系統建設管理安全方案設計b）應指定和授權專門的部門對信息系統的安全建設進行總體規劃，制定近期和遠期的安全建設工作計劃。51.系統建設管理安全方案設計c）應根據信息系統的等級劃分情況，統一考慮安全保障體系的總體安全策略、安全技術框架、安全管理策略、總體建設規劃和詳細設計方案，并形成配套文件。52.系統建設管理自行軟件開發a）應確保開發環境與實際運行環境物理分開，開發人員和測試人員分離，測試數據和測試結果受到控制。53.系統建設管理自行軟件開發e）應確保對程序資源庫的修改、更新、發布進行授權和批準。54.系統建設管理外包軟件開發a）應根據開發需求檢測軟件質量。55.系統建設管理外包軟件開發b）應在軟件安裝之前檢測軟件包中可能存在的惡意代碼。56.系統建設管理等級測評a）在系統運行過程中，應至少每年對系統進行一次等級測評，發現不符合相應等級保護標準要求的及時整改。57.系統建設管理等級測評b）應在系統發生變更時及時對系統進行等級測評，發現級別發生變化的及時調整級別并進行安全改造，發現不符合相應等級保護標準要求的及時整改。58.系統運維管理監控管理和安全管理中心a）應對通信線路、主機、網絡設備和應用軟件的運行狀況、網絡流量、用戶行為等進行監測和報警，形成記錄并妥善保存。59.系統運維管理監控管理和安全管理中心b）應組織相關人員定期對監測和報警記錄進行分析、評審，發現可疑行為，形成分析報告，并采取必要的應對措施。60.系統運維管理監控管理和安全管理中心c）應建立安全管理中心，對設備狀態、惡意代碼、補丁升級、安全審計等安全相關事項進行集中管理