網(wǎng)絡安基本要求第一級物理和環(huán)境安全物理位置的選擇/物理訪問控制a）機房出入口應安排專人值守或配置電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員防盜竊和防破壞a）應將機房設備或主耍部件進行固定，并設置明顯的不易除去的標記防雷擊a）應將各類機柜、設施和設備等通過接地系統(tǒng)平安接地防火a）機房應設置滅火設備防水和防潮S6都受s?防靜電/溫濕度控制a）機房應設置必要的溫、濕度控制設施，使機房溫、濕度的變化在設備運行所允許的范圍之內(nèi)電力供應a）應在機房供電線路上配置穩(wěn)壓器和過電壓防護設備電磁防護/網(wǎng)絡架構(gòu)a）應保證網(wǎng)絡設備的業(yè)務處理能力滿足基本業(yè)務需要；b）應保證接入網(wǎng)絡和核心網(wǎng)絡的帶寬滿足基本業(yè)務需要。通信傳輸a）應采用校驗碼技術(shù)保證通信過程中數(shù)據(jù)的完整性

審核和檢查/平安管理機構(gòu)和人員人員錄用a）應指定或授權(quán)專門的部門或人員負責人員錄用人員離崗a）應及時終止離崗員工的所有訪問權(quán)限，取回各種身份證件、鑰匙、徽章等以及機構(gòu)提供的軟硬件設備平安意識教育和培訓a）應對各類人員進行平安意識教育和崗位技能培訓，并告知相關的平安責任和懲戒措施外部人員a）應確保在外部人員訪問受控區(qū)訪問管理域前得到授權(quán)或?qū)徟?/p>

定級和備案a）應明確保護對象的邊界和平安保護等級平安方案設計a）應根據(jù)平安保護等級選擇基本平安措施，依據(jù)風險分析的結(jié)果補充和調(diào)整平安措施產(chǎn)品采購a）應確保信息平安產(chǎn)品采購和使和使用用符合國家的有關規(guī)定自行軟件

開發(fā)平安建設管理

b）應建立機房平安管理制度，對有關機房物理訪問，物品帶進、帶出機房和機房環(huán)境平安等方面的管理作出規(guī)定外包軟件開發(fā)/工程實施a）應指定或授權(quán)專門的部門或人員負責工程實施過程的管理測試驗收a）應進行平安性測試驗收系統(tǒng)交付a）應根據(jù)交付清單對所交接的設備、軟件和文檔等進行清點；b）鳳對負責運行維護的技術(shù)人員進行相應的技能培訓等級測評/服務供應商選擇a）應確保服務供應商的選擇符合國家的有關規(guī)定；b）應與選定的服務供應商簽訂與平安相關的協(xié)議，明確約定相關責任環(huán)境管理a）應指定專門的部門或人員負責機房平安，對機房出入進行管理，定期對機房供配電、空調(diào)、溫濕度控制、消防等設施進行維護管理；理，定期對機房供配電、空調(diào)、溫濕度控制、消防等設施進行維護管理；b）應建立機房平安管理制度，對有關機房物理訪問，物品帶進、帶出機房和機房環(huán)境平安等方面的管理作出規(guī)定資產(chǎn)管理/介質(zhì)管理a）應確保介質(zhì)存放在平安的環(huán)境中，對各類介質(zhì)進行控制和保護，實行存儲環(huán)境專人管理，并根據(jù)存檔介質(zhì)的目錄清單定期盤點設備維護管理a）應對各種設備（包括備份和冗余設備）、線路等指定專門的部門或人員定期進行維護管理漏洞和風險管理隱a）應采取必要的措施識別平安漏洞和隱患，對發(fā)現(xiàn)的平安漏洞和患及時進行修補或評估可能的影響后進行修補網(wǎng)絡和系

統(tǒng)平安管

理平安運維管理惡意代碼

防范管理a）網(wǎng)絡和系

統(tǒng)平安管

理平安運維管理惡意代碼

防范管理a）應提高所有用戶的防惡意代碼意識，告知對外來計算機或存儲設備接入系統(tǒng)前進行惡意代碼檢查等；b）應對惡意代碼防范要求做出規(guī)定，包括防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級、惡意代碼的定期查殺等配置管理個角色的責任和權(quán)限；b）應指定專門的部門或人員進行賬號管理，對申請賬號、建立賬號、刪除賬號等進行控制

密碼管理/變更管理/備份與恢復管理a）應識別需要定期備份的重要業(yè)務信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等；b）應規(guī)定備份信息的備份方式、備份頻度、存儲介質(zhì)、保存期等平安事件處置a）應報告所發(fā)現(xiàn)的平安弱點和可疑事件；b）應明確平安事件的報告和處置流程，規(guī)定平安事件的現(xiàn)場處理、事件報告和后期恢復的管理職責應急預案管理/

外包運維管理/網(wǎng)絡平安等級保護劃分一技術(shù)要求第二級第三級.a）機房場地應選擇在具有防震、防風和防雨等能a）機房場地應選擇在具有防震、防風和防力的建筑內(nèi)；雨等能力的建筑內(nèi)；b）機房場地應防止設在建筑物的頂層或地下室，b）機房場地應防止設在建筑物的頂層或地否那么應加強防水和防潮措施下室，否那么應加強防水和防潮措施a）機房出入口應配置電子門禁系統(tǒng)，控制/、鑒別和記錄進入的人員b）重要區(qū)域應配置第二道電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員a）應將通信線纜鋪設在隱蔽處，可鋪設在地下或z）應設置機房防盜報警系統(tǒng)或設置有專人

管道中。值守的視頻監(jiān)控系統(tǒng)/a）應采取措施防止感應雷，例如設置防雷保安器或過壓保護裝置等a）機房應設置火災自動消防系統(tǒng)，能夠自動檢測火情、自動報警，并自動滅火；a）應對機房劃分區(qū)域進行管理，區(qū)域和區(qū)b）機房及相關的工作房間和輔助房應采用具有耐就之間設置隔離防火措施。火等級的建筑材料a）應采取措施防止機房內(nèi)水蒸氣結(jié)露和地下積水a(chǎn)）應安裝對水敏感的檢測儀表或元件，對的轉(zhuǎn)移與滲透機房進行防水檢測和報警。a）應安裝防靜電地板并采用必要的接地防靜電a）應采用措施防止靜電的產(chǎn)生，例如采用措施靜由消除黑、佩戴防靜由羊環(huán)等Ca）機房應設置溫濕度自動調(diào)節(jié)設施，使機房溫濕/度的變化在設備運行所允許的范圍之內(nèi)a）應提供短期的備用電力供應，至少滿足設備在非黑囂或并行的電力電纜線路為計斷電情況下的正常運行要求黑懿密'供電設施。a）電源線和通信線纜應隔離鋪設，防止互相干a）應對關鍵設備或關鍵區(qū)域?qū)嵤╇姶牌帘蝍）應保證網(wǎng)絡設備的業(yè)務處理能力滿足業(yè)務高峰a）應保證網(wǎng)絡設備的業(yè)務處理能力滿足業(yè)務高峰期需要；b）應保證接入網(wǎng)絡和核心網(wǎng)絡的帶寬滿足業(yè)務高

峰期需要；c）應劃分不同的網(wǎng)絡區(qū)域，并按照方便管理和控

制的原那么為各網(wǎng)絡區(qū)域分配地址；d）應防止將重要網(wǎng)絡區(qū)域部署在網(wǎng)絡邊界處且沒

有邊界防護措施。a）應保證網(wǎng)絡各個局部的帶寬滿足業(yè)務高峰期需要；b）應提供通信線路、關鍵網(wǎng)絡設備的硬件冗余，保證系統(tǒng)可用性。c）應可按照業(yè)務服務的重要程度分配帶寬，優(yōu)先保障重要業(yè)務。a）應采用校驗碼技術(shù)或加解密技術(shù)保證通信過程中數(shù)據(jù)的完整性；b）應采用加解密技術(shù)保證通信過程中敏感信息字段或整個報文的保密性。a）應能夠?qū)Ψ鞘跈?quán)設備私自聯(lián)到內(nèi)部網(wǎng)絡的行為進行限制或檢查，并對其進行有效阻斷；b）應能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡

的行為進行限制或檢查，并對其進行有效a）應能夠?qū)Ψ鞘跈?quán)設備私自聯(lián)到內(nèi)部網(wǎng)絡的行為進行限制或檢查，并對其進行有效阻斷；b）應能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡的行為進行限制或檢查，并對其進行有效阻斷；c）應能夠?qū)B接到內(nèi)部網(wǎng)絡的設備進行可信驗證，確保接入網(wǎng)絡的設備真實可信a）應在網(wǎng)絡邊界或區(qū)域之間根據(jù)訪問控制策略設置訪問控制規(guī)那么，默認情況下除允許通信外受控多應在關鍵網(wǎng)絡節(jié)點處對進出網(wǎng)絡的信息接口拒絕所有通信；b）應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允I

許/拒絕訪問的能力，控制粒度為端口級內(nèi)容進行過濾，實現(xiàn)對內(nèi)容的訪問控制。）應不允許數(shù)據(jù)帶通用協(xié)議通過a）應在關鍵網(wǎng)絡節(jié)點處監(jiān)視網(wǎng)絡攻擊行為a）應在關鍵網(wǎng)絡節(jié)點處檢測、防止或限制從外部發(fā)起的網(wǎng)絡攻擊行為；b）應在關鍵網(wǎng)絡節(jié)點處檢測和限制從內(nèi)部發(fā)起的網(wǎng)絡攻擊行為；c）應采取技術(shù)措施對網(wǎng)絡行為進行分析，實現(xiàn)對網(wǎng)絡攻擊特別是未知的新型網(wǎng)絡攻擊的檢測和分析；d）當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事件時應提供報警a）應在關鍵網(wǎng)絡節(jié)點處對惡意代碼進行檢測和清除，并維護惡意代碼防護機制的升級和更新；b）應在關鍵網(wǎng)絡節(jié)點處對垃圾郵件進行檢測和防護，并維護垃圾郵件防護機制的升級和更新a）應在網(wǎng)絡邊界、重要網(wǎng)絡節(jié)點進行平安審計，審計覆蓋到每個用戶，對重要的用戶行為和重要平安事件進行審計；b）審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；c）應對審計記錄進行保護，定期備份，防止受到未預期的刪除、修改或覆蓋等。a）審計記錄產(chǎn)生時的時間應由系統(tǒng)范圍內(nèi)唯一確定的時鐘產(chǎn)生，以確保審計分析的正確性；b）應能對遠程訪問的用戶行為、訪問互聯(lián)網(wǎng)的用戶行為等單獨進行行為審計和數(shù)據(jù)分析a）應劃分出特定的管理區(qū)域，對分布在網(wǎng)絡中的平安設備或平安組件進行管控；b）應能夠建立一條平安的信息傳輸路徑，對網(wǎng)絡中的平安設備或平安組件進行管邊界防護a）應保證跨越邊界的訪問和數(shù)據(jù)流通過邊界防護設備提供的受控接口進行通信訪問控制a）應在網(wǎng)絡邊界根據(jù)訪問控制策略設置訪問控制規(guī)那么，默認情況下除允許通信外受控接口拒絕所有通信；b）應刪除多余或言藪的訪問控制規(guī)那么，優(yōu)化訪問控制列表，并保證訪問控制規(guī)那么數(shù)量最小化；C）應對源地址、目的地址、源端口、目的端口和協(xié)議等進行檢查，以允許/拒絕數(shù)據(jù)包進出入侵防范/惡意代碼防范/平安審計/網(wǎng)絡和通信安全理；c）應對網(wǎng)絡鏈路、平安設備、網(wǎng)絡設備和服務器等的運行狀況進行集中監(jiān)測；a）應劃分出特定的管理區(qū)域，對分布在網(wǎng)絡中的平安設備或平安組件進行管控；b）應能夠建立一條平安的信息傳輸路徑，對網(wǎng)絡中的平安設備或平安組件進行管理；c）應對網(wǎng)絡鏈路、平安設備、網(wǎng)絡設備和服務器等的運行狀況進行集中監(jiān)測；d）應對分散在各個設備上的審計數(shù)據(jù)進行收集匯總和集中分析；e）應對平安策略、惡意代碼、補丁升級等平安相關事項進行集中管理；f）應能對網(wǎng)絡中發(fā)生的各類平安事件進行識別、報警和分析。a）當進行遠程管理時，應采取必要措施，防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽。a）應采用兩種或兩種以上組合的鑒別技術(shù)對用戶進行身份鑒別。a）應對登錄的用戶分配賬號和權(quán)限；b）應重命名默認賬號或修改默認口令；c）應及時刪除或停用多余的、過期的賬號，防止共享賬號的存在d）應授予管理用戶所需的最小權(quán)限，實現(xiàn)管理用戶的權(quán)限別離a）應對登錄的用戶分配賬號和權(quán)限；b）應重命名默認賬號或修改默認口令；c）應及時刪除或停用多余的、過期的賬號，防止共享賬號的存在d）應授予管理用戶所需的最小權(quán)限，實現(xiàn)管理用戶的權(quán)限別離e）應由授權(quán)主體配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)那么；f）訪問控制的粒度應到達主體為用戶級或進程級，客體為文件、數(shù)據(jù)庫表級；g）應對敏感信息資源設置平安標記，并控制主體對有平安標記信息資源的訪問。a）應啟用平安審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要平安事件進行審計；b）審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；c）應對審計記錄進行保護，定期備份，防止受到未預期的刪除、修改或覆蓋等。a）應啟用平安審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要平安事件進行審計；b）審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；c）應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等d）應對審計進程進行保護，防止未經(jīng)授權(quán)的中斷；e）審計記錄產(chǎn)生時的時間應由系統(tǒng)范圍內(nèi)唯一確定的時鐘產(chǎn)生，以確保審計分析的正確性c）應對審計記錄進行保護，定期備份，防止受到d）應對審計進程進行保護，防止未經(jīng)授權(quán)未預期的刪除、修改或覆蓋等。未預期的刪除、修改或覆蓋等。未預期的刪除、修改或覆蓋等。的中斷；e）審計記錄產(chǎn)生時的時間應由系統(tǒng)范圍內(nèi)唯一確定的時鐘產(chǎn)生，以確保審計分析的正確性未預期的刪除、修改或覆蓋等。a）系統(tǒng)應遵循最小安裝的原那么，僅安裝需要的組件和應用程序；b）應關閉不需要的系統(tǒng)服務、默認共享和高危端口；c）應通過設定終端接入方式或網(wǎng)絡地址范圍對通過網(wǎng)絡進行管理的管理終端進行限制；d）應能發(fā)現(xiàn)可能存在的漏洞，并在經(jīng)過充分測試評估后，及時修補漏洞.a）系統(tǒng)應遵循最小安裝的原那么，僅安裝需

要的組件和應用程序；b）應關閉不需要的系統(tǒng)服務、默認共享和

高危端口；c）應通過設定終端接入方式或網(wǎng)絡地址范

圍對通過網(wǎng)絡進行管理的管理終端進行限

制；d）應能發(fā)現(xiàn)可能存在的漏洞，并在經(jīng)過充

分測試評估后，及時修補漏洞.e）應能夠檢測到對重要節(jié)點進行入侵的行為，并在發(fā)生嚴重入侵事件時提供報警。a）應安裝防惡意代碼軟件或配置具有相應功能的軟件，并定期進行升級和更新防惡意代碼庫a）應采用免受惡意代碼攻擊的技術(shù)措施或

采用可信計算技術(shù)建立從系統(tǒng)到應用的信

任鏈，實現(xiàn)系統(tǒng)運行過程中重要程序或文

件完整性檢測，并在檢測到破壞后進行恢

復。a）應限制單個用戶或進程對系統(tǒng)資源的最大使用限度a）a）應限制單個用戶或進程對系統(tǒng)資源的最大使

用限度a）應限制單個用戶或進程對系統(tǒng)資源的最大使

用限度b）應提供重要節(jié)點設備的硬件冗余，保證系統(tǒng)的可用性；c）應對重要節(jié)點進行監(jiān)視，包括監(jiān)視CPUa）應限制單個用戶或進程對系統(tǒng)資源的最大使

用限度d）應能夠?qū)χ匾?jié)點的服務水平降低到預先規(guī)定的最小值進行檢測和報警。a）應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，鑒別信息具有復雜度要求并定期更換；b）應提供并啟用登錄失敗處理功能，屢次登錄失敗后應采取必要的保護措施c）應強制用戶首次登錄時修改初始口令；d）用戶身份鑒別信息喪失或失效時，應采用鑒別信息重置或其他技術(shù)措施保證系統(tǒng)平安a）登錄用戶執(zhí)行重要操作時應再次進行身份鑒別。b）應提供并啟用登錄失敗處理功能，屢次登錄失敗后應采取必要的保護措施c）應強制用戶首次登錄時修改初始口令；d）用戶身份鑒別信息喪失或失效時，應采用鑒別信息重置或其他技術(shù)措施保證系統(tǒng)平安e）應對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別。a）應提供訪問控制功能，對登錄的用戶分配賬號和權(quán)限；b）應重命名應用系統(tǒng)默認賬號或修改這些賬號的默認口令；c）應及時刪除或停用多余的、過期的賬號，防止共享賬號的存在a）應提供訪問控制功能，對登錄的用戶分配賬號和權(quán)限；b）應重命名應用系統(tǒng)默認賬號或修改這些賬號的默認口令；c）應及時刪除或停用多余的、過期的賬號，防止共享賬號的存在d）應授予不同賬號為完成各自承當任務所需的最小權(quán)限，并在它們之間形成相互制約的關系；e）應由授權(quán)主體配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)那么；f）訪問控制的粒度應到達主體為用戶級，客體為文件、數(shù)據(jù)庫表級、記錄或字段級；g）應對敏感信息資源設置平安標記，并控制主體對有平安標記信息資源的訪問。a）應提供平安審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要平安事件進行審計；b）審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；c）應對審計記錄進行保護，定期備份，防止受到未預期的刪除、修改或覆蓋等a）應提供平安審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要平安事件進行審計；b）審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結(jié)果等；c）應對審計記錄進行保護，定期備份，避器鬃播患翱螂咯葆磐嚼集集募授權(quán)的中斷；e）審計記錄產(chǎn)生時的時間應由系統(tǒng)范圍內(nèi)唯一確定的時鐘產(chǎn)生，以確保審計分析的正確性a）應提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的內(nèi)容符合系統(tǒng)設定要求b）在故障發(fā)生時，應能夠繼續(xù)提供一局部功能，確保能夠?qū)嵤┍匾拇胧゛）應提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的內(nèi)容符合系統(tǒng)設定要求b）在故障發(fā)生時，應能夠繼續(xù)提供一局部功能，確保能夠?qū)嵤┍匾拇胧ヽ）應提供自動保護功能，當故障發(fā)生時自動保護當前所有狀態(tài)，保證系統(tǒng)能夠進行恢復。a）當通信雙方中的一方在一段時間內(nèi)未作任何響應，另一方應能夠自動結(jié)束會話；b）應能夠?qū)ο到y(tǒng)的最大并發(fā)會話連接數(shù)進行限制；c）應能夠?qū)蝹€賬號的多重并發(fā)會話進行限制a）當通信雙方中的一方在一段時間內(nèi)未作任何響應，另一方應能夠自動結(jié)束會話；b）應能夠?qū)ο到y(tǒng)的最大并發(fā)會話連接數(shù)進行限制；c）應能夠?qū)蝹€賬號的多重并發(fā)會話進行限制d）應能夠?qū)Σl(fā)進程的每個進程占用的資源分配最大限額。當通信雙方中的一方在一段時間內(nèi)未作任何響應，另一方應能夠自動結(jié)束會話；b）應能夠?qū)ο到y(tǒng)的最大并發(fā)會話連接數(shù)進行限制；c）應能夠?qū)蝹€賬號的多重并發(fā)會話進行限制任何響應，另一方應能夠自動結(jié)束會話；b）應能夠?qū)ο到y(tǒng)的最大并發(fā)會話連接數(shù)進行限制；c）應能夠?qū)蝹€賬號的多重并發(fā)會話進行限制d）應能夠?qū)Σl(fā)進程的每個進程占用的資源分配最大限額。a）應采用校驗碼技術(shù)或加解密技術(shù)保證重要數(shù)據(jù)在傳輸過程中的完整性；a）a）應采用校驗碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中

的完整性a）應采用校驗碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中

的完整性b）a）應采用校驗碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中

的完整性c）應對重要數(shù)據(jù)傳輸提供專用通信協(xié)議或平安通信協(xié)議，防止來自基于通用通信協(xié)議的攻擊破壞數(shù)據(jù)完整性a）應采用加解密技術(shù)保證重要數(shù)據(jù)在傳輸過程中的保密性；b）應采用加解密技術(shù)保證重要數(shù)據(jù)在存儲過程中的保密性；c）應對重要數(shù)據(jù)傳輸提供專用通信協(xié)議或平安通信協(xié)議，防止來自基于通用通信協(xié)議的攻擊破壞數(shù)據(jù)保密性a）應提供重要數(shù)據(jù)的本地數(shù)據(jù)備份與恢復功能b）應提供異地數(shù)據(jù)備份功能，利用通信網(wǎng)絡將重要數(shù)據(jù)定時批量傳送至備用場地a）應提供重要數(shù)據(jù)的本地數(shù)據(jù)備份與恢復功能b）應提供異地實時備份功能，利用通信網(wǎng)絡將重要數(shù)據(jù)實時備份至備份場地；c）應提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余，保證系統(tǒng)的高可用性。d）應建立異地災難備份中心，提供業(yè)務應用的實時切換a）應保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除a）應僅采集和保存業(yè)務必需的用戶個人信息;b）應禁止未授權(quán)訪問、使用用戶個人信息a）應保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除b）應保證存有敏感數(shù)據(jù)的存儲空間被釋放或重新分配前得到完全清幽a）應僅采集和保存業(yè)務必需的用戶個人信息；b）應禁止未授權(quán)訪問、使用用戶個人信息二、管理要求a）應對平安管理活動中的主要管理內(nèi)容建立平安管理制度；b）應對要求管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程第二級a）應制定信息平安工作的總體方針和平安策略，說明機構(gòu)平安工作的總體目標、范圍、原那么和平安框架等a）應對平安管理活動中的主要管理內(nèi)容建立平安管理制度；b）應對要求管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程c）應形成由平安策略、管理制度、操作規(guī)程、記錄表單等構(gòu)成的全面的信息平安管理制度體系應對應對平安管理活動中的主要管理內(nèi)容建立平安管理制度；b）應對要求管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程立平安管理制度；b）應對要求管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程c）應形成由平安策略、管理制度、操作規(guī)程、記錄表單等構(gòu)成的全面的信息平安管理制度體系a）應指定或授權(quán)專門的部門或人員負責平安管理制度的制定；b）平安管理制度應通過正式、有效的方式發(fā)布，并進行版本控制a）應定期對平安管理制度的合理性和適用性進行論證和審定，對存在缺乏或需要改進的平安管理制度講行修訂a）應設立信息平安管理工作的職能部門，設立安全主管、平安管理各個方面的負責人崗位，并定義各負責人的職責；b）應設立系統(tǒng)管理員、網(wǎng)絡管理員、平安管理員等崗位，并定義部門及各個工作崗位的職責a）應指定或授權(quán)專門的部門或人員負責安全管理制度的制定；b）平安管理制度應通過正式、有效的方式發(fā)布，并進行版本控制a）應定期對平安管理制度的合理性和適用性進行論證和審定，對存在缺乏或需要改講的平安管理制度講行修訂a）應成立指導和管理信息平安工作的委員會或領導小組，其最高領導由單位主管領導委任或授權(quán)；b）應設立系統(tǒng)管理員、網(wǎng)絡管理員、平安管理員等崗位，并定義部門及各個工作崗位的職責a）應配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡管理員、平安管理員等a）應配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡管理員、平安管理員等b）應配備專職平安管理員，不可兼任c）關鍵事務崗位應配備多人共同管理a）應根據(jù)各個部門和崗位的職責明確授權(quán)審批事項、審批部門和批準人等b）應針對系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項執(zhí)行審批過程a）應根據(jù)各個部門和崗位的職責明確授權(quán)審批事項、審批部門和批準人等b）應針對系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項建立審批程序，按照審批程序執(zhí)行審批過程，對重要活動建立逐級審批制度；c）應定期審查審批事項，及時更新需授權(quán)和審批的工程、審批部門和審批人等信息a）應加強各類管理人員之間、組織內(nèi)部機構(gòu)之間以及信息平安職能部門內(nèi)部的合作與溝通，定期召開協(xié)調(diào)會議，共同協(xié)作處理信息平安問題；b）應加強與兄弟單位、公安機關、各類供應商、業(yè)界專家及平安組織的合作與溝通；c）應建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息a）應加強各類管理人員之間、組織內(nèi)部機構(gòu)之間以及信息平安職能部門內(nèi)部的合作與溝通，定期召開協(xié)調(diào)會議，共同協(xié)作處理信息平安問題；b）應加強與兄弟單位、公安機關、各類供應商、業(yè)界專家及平安組織的合作與溝通.c）:建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息a）；應定期進行常規(guī)平安檢查，檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況a）應定期進行常規(guī)平安檢查，檢查內(nèi)容包括系統(tǒng)

日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況b）應定期進行全面平安檢查，檢查內(nèi)容包括現(xiàn)有平安技術(shù)措施的有效性、平安配置與平安a）應定期進行常規(guī)平安檢查，檢查內(nèi)容包括系統(tǒng)

日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況c）應制定平安檢查表格實施平安檢查，匯總平安檢查數(shù)據(jù)，形成平安檢查報告，并對平安檢查結(jié)果進行通報。a）應指定或授權(quán)專門的部門或人員負責人員錄用b）對被錄用人員的身份、背景、專業(yè)資格a）應指定或授權(quán)專門的部門或人員負責人員錄用和資質(zhì)等進行審查，對其所具有的技術(shù)技b）應對被錄用人員的身份、背景、專業(yè)資格和資能進行考核；質(zhì)等進行審查c）應與被錄用人員簽署保密協(xié)議，與關鍵崗位人員簽署崗位責任協(xié)議。d）應從內(nèi)部人員中選拔從事關鍵崗位的人員。a）應及時終止離崗員工的所有訪問權(quán)限，a）應及時終止離崗員工的所有訪問權(quán)限，取回各取回各種身份證件、鑰匙、徽章等以及機種身份證件、鑰匙、徽章等以及機構(gòu)提供的軟硬構(gòu)提供的軟硬件設備件設備b）應辦理嚴格的調(diào)離手續(xù)，并承諾調(diào)離后的保密義務后方可離開。a）應對各類人員進行平安意識教育和崗位技能培訓I,并告知相關的平安責任和懲戒a）應對各類人員進行平安意識教育和崗位技能培措施訓，并告知相關的平安責任和懲戒措施b）應針對不同崗位制定不同的培訓計劃，對信息平安基礎知識、崗位操作規(guī)程等進行培訓。a）應確保在外部人員物理訪問受控區(qū)域前先提出書面申請，批準后由專人全程陪同，并登記備案；b）這確保在外部人員接入網(wǎng)絡訪問系統(tǒng)前先提出書面申請，批準后由專人開設賬號、分配權(quán)限，并登記備案；c）外部人員離場后應及時清除其所有的訪問權(quán)限a）應確保在外部人員物理訪問受控區(qū)域前先提出書面申請，批準后由專人全程陪同，并登記備案；b）應確保在外部人員接入網(wǎng)絡訪問系統(tǒng)前先提出書面申請，批準后由專人開設賬號、分配權(quán)限，并登記備案；c）外部人員離場后應及時清除其所有的訪問權(quán)限d）獲得系統(tǒng)訪問授權(quán)的外部人員應簽署保密協(xié)議，不得進行非授權(quán)操作，不得復制和泄露任何敏感信息。e）對關鍵區(qū)域或關鍵系統(tǒng)不允許外部人員訪問。

a）應以書面的形式說明保護對象的邊界、平安保護等級及確定等級的方法和理由；b）應組織相關部門和有關平安技術(shù)專家對定級結(jié)果的合理性和正確性進行論證和審定；c）應確保定級結(jié)果經(jīng)過相關部門的批準；d）應將備案材料報主管部門和相應公安機關備案a）應以書面的形式說明保護對象的邊界、平安保護等級及確定等級的方法和理由；b）應組織相關部門和有關平安技術(shù)專家對定級結(jié)果的合理性和正確性進行論證和審定；c）在確保定級結(jié)果經(jīng)過相關部門的批準；d）應將備案材料報主管部門和相應公安機關備案a）應根據(jù)平安保護等級選擇基本平安措施，依據(jù)

風險分析的結(jié)果補充和調(diào)整平安措施b）應根據(jù)保護對象的平安保護等級進行平安方案

設計；c）應組織相關部門和有關平安專家對平安方案的

合理性和正確性進行論證和審定，經(jīng)過批準后才

能正式實施a）應根據(jù)平安保護等級選擇基本平安措

施，依據(jù)風險分析的結(jié)果補充和調(diào)整平安

措施b）應根據(jù)保護對象的平安保護等級及與其他級別保護對象的關系進行平安整體規(guī)劃和平安方案設計，并形成配套文件；

c）應組織相關部門和有關平安專家對平安

整體規(guī)劃及其配套文件的合理性和正確性

進行論證和審定，經(jīng)過批準后才能正式實

施。a）應確保信息平安產(chǎn)品采購和使用符合國家的有關規(guī)定b）應確保密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求a）應確保信息平安產(chǎn)品采購和使用符合國家的有關規(guī)定b）應確保密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求c）應預先對產(chǎn)品進行選型測試，確定產(chǎn)品的候選范圍，并定期審定和更新候選產(chǎn)品名單。d）應對重要部位的產(chǎn)品委托專業(yè)測評單位進行專項測試，根據(jù)測試結(jié)果選用產(chǎn)品。a）應確保開發(fā)環(huán)境與實際運行環(huán)境物理分開，測試數(shù)據(jù)和測試結(jié)果受到控制；b）應制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和人員行為準那么；a）應確保開發(fā)環(huán)境與實際運行環(huán)境物理分開，測試數(shù)據(jù)和測試結(jié)果受到控制；b）應確保在軟件開發(fā)過程中對平安a）應確保開發(fā)環(huán)境與實際運行環(huán)境物理分開，測試數(shù)據(jù)和測試結(jié)果受到控制；b）應確保在軟件開發(fā)過程中對平安性進行測試，在軟件安裝前對可能存在的惡意代碼進行檢測。員參照規(guī)范編寫代碼；d）應確保具備軟件設計的相關文檔和使用指南，并對文檔使用進行控制；e）應確保對程序資源庫的修改、更新、發(fā)布進行授權(quán)和批準，并嚴格進行版本控制；f）應確保開發(fā)人員為專職人員，開發(fā)人員的開發(fā)活動受到控制、監(jiān)視和審查。

集中管控/設備和計算安全身份鑒別a）應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換；b）應具有登錄失敗處理功能，應配置并啟用結(jié)束會話、限制非法登錄次數(shù)和當?shù)卿涍B接超時自動退出等相關措施訪問控制a）應對登錄的用戶分配賬號和權(quán)限；b）應重命名默認’賬號或修改默認口令；c）應及時刪除或自用多余的、過期的賬號，防止共享賬號的存在平安審計/a）應在軟件交付前檢測軟件質(zhì)量和其中可能存在的惡意代碼；b）應要求開發(fā)單位提供軟件設計文檔和使用指南a）應在軟件交付前檢測軟件質(zhì)量和其中可能存在的惡意代碼；b）應要求開發(fā)單位提供軟件設計文檔和使用指南c）應要求開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門和隱蔽信道a）應指定或授權(quán)專門的部門或人員負責工程實施過程的管理b）應制定工程實施方案控制平安工程實施過程a）應指定或授權(quán)專門的部門或人員負責工程實施過程的管理b）應制定工程實施方案控制平安工程實施過程c）應通過第三方工程監(jiān)理控制工程的實施過程。a）在制訂測試驗收方案，并依據(jù)測試驗收方案實施測試驗收，形成測試驗收報告；b）應進行上線前的平安性測試，并出具平安測試報告a）應根據(jù)交付清單對所交接的設備、軟件和文檔等進行清點；b）應對負責運行維護的技術(shù)人員進行相應的技能培訓Ic）應確保提供建設過程中的文檔和指導用戶進行運行維護的文檔a）應定期進行等級測評，發(fā)現(xiàn)不符合相應等級保護標準要求的及時整改；b）應在發(fā)生重大變更或級別發(fā)生變化時進行等級測評；c）應選擇具有國家相關技術(shù)資質(zhì)和平安資質(zhì)的測評單位進行等級測評a）在制訂測試驗收方案，并依據(jù)測試驗收方案實施測試驗收，形成測試驗收報告；b）應進行上線前的平安性測試，并出具安全測試報告a）應根據(jù)交付清單對所交接的設備、軟件和文檔等進行清點；b）應對負責運行維護的技術(shù)人員進行相應的技能培訓c）應確保提供建設過程中的文檔和指導用戶講行運行維護的文檔a）應定期進行等級測評，發(fā)現(xiàn)不符合相應等級保護標準要求的及時整改；b）應在發(fā)生重大變更或級別發(fā)生變化時進行等級測評；c）應選擇具有國家相關技術(shù)資質(zhì)和平安資質(zhì)的測評單位進行等級測評a）a）應確保服務供應商的選擇符合國家的有關規(guī)定；b）應與選定的服務供應商簽訂相關協(xié)議，明確整個服務供應鏈各方需履行的信息平安相關義務a）應確保服務供應商的選擇符合國家的有關規(guī)定；b）應與選定的服務供應商簽訂相關協(xié)議,明確整個服務供應鏈各方需履行的信息安全相關義務c）應定期監(jiān)視、評審和審核服務供應商提供的服務，并對其變更服務內(nèi)容加以控制a）應指定專門的部門或人員負責機房平安，對機房出入進行管理，定期對機房供配電、空調(diào)、溫濕度控制、消防等設施進行維護管理；b）應建立機房平安管理制度，對有關機房物理訪問，物品帶進、帶出機房和機房環(huán)境平安等方面的管理作出規(guī)定c）應不在重要區(qū)域接待來訪人員和桌面上沒有包含敏感信息的紙檔文件、移動介質(zhì)等a）應指定專門的部門或人員負責機房安全，對機房出入進行管理，定期對機房供配電、空調(diào)、溫濕度控制、消防等設施進行維護管理；b）應建立機房平安管理制度，對有關機房物理訪問，物品帶進、帶出機房和機房環(huán)境平安等方面的管理作出規(guī)定c）應不在重要區(qū)域接待來訪人員和桌面上沒有包含敏感信息的紙檔文件、移動介質(zhì)等d）應對出入人員進行相應級別的授權(quán)，對進入重要平安區(qū)域的人員和活動實時監(jiān)視等。濕度控制、消防等設施進行維護管理；b）應建立機房平安管理制度，對有關機房物理訪問，物品帶進、帶出機房和機房環(huán)境平安等方面的管理作出規(guī)定c）應不在重要區(qū)域接待來訪人員和桌面上沒有包含敏感信息的紙檔文件、移動介質(zhì)等b）應建立機厲平安管埋制度，對有天機房物理訪問，物品帶進、帶出機房和機房環(huán)境平安等方面的管理作出規(guī)定c）應不在重要區(qū)域接待來訪人員和桌面上沒有包含敏感信息的紙檔文件、移動介質(zhì)等d）應對出入人員進行相應級別的授權(quán)，對進入重要平安區(qū)域的人員和活動實時監(jiān)視等。a）應編制并保存與保護對象相關的資產(chǎn)清單,包括資產(chǎn)責任部門、重要程度和所處位置等內(nèi)容a）應編制并保存與保護對象相關的資產(chǎn)清單,包括資產(chǎn)責任部門、重要程度和所處位置等內(nèi)容a）應確保介質(zhì)存放在平安的環(huán)境中，對各類介質(zhì)進行控制和保護，實行存儲環(huán)境專人管理，并根據(jù)存檔介質(zhì)的目錄清單定期盤點b）應對介質(zhì)在物理傳輸過程中的人員選擇、打包、交付等情況進行控制，并對介質(zhì)的歸檔和查詢等進行登記記錄a）應編制并保存與保護對象相關的資產(chǎn)清單，包括資產(chǎn)責任部門、重要程度和所處位置等內(nèi)容b）應根據(jù)資產(chǎn)的重要程度對資產(chǎn)進行標識管理，根據(jù)資產(chǎn)的價值選擇相應的管理措施；c）應對信息分類與標識方法作出規(guī)定，并對信息的使用、傳輸和存儲等進行規(guī)范化管理。a）應確保介質(zhì)存放在平安的環(huán)境中，對各類介質(zhì)進行控制和保護，實行存儲環(huán)境專人管理，并根據(jù)存檔介質(zhì)的目錄清單定期盤點b）應對介質(zhì)在物理傳輸過程中的人員選擇、打包、交付等情況進行控制，并對介質(zhì)的歸檔和查詢等進行登記記錄a）應對各種設備（包括備份和冗余設備）、線路等指定專門的部門或人員定期進行維護管理b）應建立配套設施、軟硬件維護方面的管理制度，對其維護進行有效的管理，包括明確維護人員的責任、涉外維修和服務的審批、維修過程的監(jiān)督控制等a）應對各種設備（包括備份和冗余設備）、線路等指定專門的部門或人員定期進行維護管理b）應建立配套設施、軟硬件維護方面的管理制度，對其維護進行有效的管理，包括明確維護人員的責任、涉外維修和服務的審批、維修過程的監(jiān)督控制等c）應確保信息處理設備必須經(jīng)過審批才能帶離機房或辦公地點，含有存儲介質(zhì)的設備帶出工作環(huán)境時其中重要數(shù)據(jù)必須加密.d）含有存儲介質(zhì)的設備在報廢或重用前，應進行完全清除或被平安覆蓋，確保該設備上的敏感數(shù)據(jù)和授權(quán)軟件無法被恢復重用。a）應采取必要的措施識別平安漏洞和隱患，對發(fā)

現(xiàn)的平安漏洞和隱患及時進行修補或評估可能的

影響后進行修補a）應采取必要的措施識別平安漏洞和隱忠，對發(fā)現(xiàn)的平安漏洞和隱患及時進行修斗或評估可能的影響后進行修補b）應定期開展平安測評，形成平安測評報告，采取措施應對發(fā)現(xiàn)的平安問題。a）應劃分不同的管理員角色進行網(wǎng)絡和系統(tǒng)的運維管理，明確各個角色的責任和權(quán)限；b）應指定專門的部門或人員進行賬號管理，對申

請賬號、建立賬號、刪除賬號等進行控制c）應建立網(wǎng)絡和系統(tǒng)平安管理制度，對平安策略、賬號管理、配置管理、日志管理、日常操作、升級與打補丁、口令更新周期等方面作出規(guī)定；d）應制定重要設備的配置和操作手冊，依據(jù)手冊對設備進行平安配置和優(yōu)化配置等；e）應詳細記錄運維操作日志，包括日常巡檢工作、運行維護記錄、參數(shù)的設置和修改等內(nèi)容a）應劃分不同的管理員角色進行網(wǎng)絡和系統(tǒng)的運維管理，明確各個角色的責任和權(quán)限；b）這指定專門的部門或人員進行賬號管理，對申請賬號、建立賬號、刪除賬號等進行控制c）應建立網(wǎng)絡和系統(tǒng)平安管理制度，對安全策略、賬號管理、配置管理、日志管理、日常操作、升級與打補丁、口令更新周期等方面作出規(guī)定；d）應制定重要設備的配置和操作手冊，依據(jù)手冊對設備進行平安配置和優(yōu)化配置等；e）應詳細記錄運維操作日志，包括日常巡檢工作、運行維護記錄、參數(shù)的設置和修改等內(nèi)容。f）應嚴格控制變更性運維，經(jīng)過審批后才可改變連接、安裝系統(tǒng)組件或調(diào)整配置參數(shù)，操作過程中應保存不可更改的審計日志，操作結(jié)束后應同步更新配置信息庫；g）應嚴格控制運維工具的使用，經(jīng)過審批后才可接入進行操作，操作過程中應保存不可更改的審計日志，操作結(jié)束后應刪除工具中的敏感數(shù)據(jù)；h）應嚴格控制遠程運維的開通，經(jīng)過審批后才可開通遠程運維接口或通道，操作過程中應保存不可更改的審計日志，操作結(jié)束后立即關閉接口或通道；i）應保證所有與外部的連接均得到授權(quán)和批準，應定期檢查違反規(guī)定無線上網(wǎng)及其他違反網(wǎng)絡平安策略的行為。a）應提高所有用戶的防惡意代碼意識，告知對外來計算機或存儲設備接入系統(tǒng)前進行惡意代碼檢查等；b）應對惡意代碼防范要求做出規(guī)定，包括防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級、惡意代碼的定期查殺等a）應提高所有用戶的防惡意代碼意識，告知對外來計算機或存儲設備接入系統(tǒng)前進行惡意代碼檢查等；b）應對惡意代碼防范要求做出規(guī)定，包括防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級、惡意代碼的定期查殺等c）應定期驗證防范惡意代碼攻擊的技術(shù)措施的有效性。a）應記錄和保存基本配置信息，包括網(wǎng)絡拓撲結(jié)構(gòu)、各個設備安裝的軟件組件、軟a）應記錄和保存基本配置信息，包括網(wǎng)絡拓撲結(jié)件組件的版本和補丁信息、各個設備或軟構(gòu)、各個設備安裝的軟件組件、軟件組件的版本件組件的配置參數(shù)等和補丁信息、各個設備或軟件組件的配置參數(shù)等上）應將基本配置信息改變納入變更范疇，實施對配置信息改變的控制，并及時更新基本配置信息庫。a）應使用符合國家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品；b）應按照國家密碼管理的要求開展密碼技術(shù)和產(chǎn)品的應用a）應使用符合國家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品；b）應按照國家密碼管理的要求開展密碼技術(shù)和產(chǎn)品的應用a）應明確系統(tǒng)變更需求，變更前根據(jù)變更需求制定變更方案，變更方案經(jīng)過評審、審批后方可實施。a）應明確系統(tǒng)變更需求，變更前根據(jù)變更需求制b定變更方案，變更方案經(jīng)過評審、審批后方可實施。a）應明確系統(tǒng)變更需求，變更前根據(jù)變更需求制b定變更方案，變更方案經(jīng)過評審、審批后方可實施。a）應識別需要定期備份的重要業(yè)務信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等；b）應規(guī)定備份信息的備份方式、備份頻度、存儲介質(zhì)、保存期等c）應根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運行的影響，制定數(shù)據(jù)的備份策略和恢復策略、備份程序和恢復程序等a）應識別需要定期備份的重要業(yè)務信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等；b）應規(guī)定備份信息的備份方式、備份頻度、存儲