等保2.0已經發布很久了,文字版内容非常多,我幫大家用表格的方式整理出幹貨,方便記憶或查詢。
從技術要求和管理要求兩個方面,對第一級、第二級,第三級和第四級的具體要求進行了比較。
一、技術要求:
|
基本要求 |
第一級 |
第二級 | ||||
|
物理和環境安全 |
物理位置的選擇 |
/ |
a) 機房場地應選擇在具有防震、防風和防雨等能力的建築内; 網絡和通信安全 |
網絡架構 |
a) 應保證網絡設備的業務處理能力滿足基本業務需要; b) 應保證接入網絡和核心網絡的帶寬滿足基本業務需要。 |
a) 應保證網絡設備的業務處理能力滿足業務高峰期需要; b) 應保證接入網絡和核心網絡的帶寬滿足業務高峰期需要; c) 應劃分不同的網絡區域,并按照方便管理和控制的原則為各網絡區域分配地址; d) 應避免将重要網絡區域部署在網絡邊界處且沒有邊界防護措施。 |
|
通信傳輸 |
a) 應采用校驗碼技術保證通信過程中數據的完整性 |
a) | ||||
|
邊界防護 |
a) 應保證跨越邊界的訪問和數據流通過邊界防護設備提供的受控接口進行通信 |
a) | ||||
|
訪問控制 |
a) 應在網絡邊界根據訪問控制策略設置訪問控制規則,默認情況下除允許通信外受控接口拒絕所有通信; b) 應删除多餘或無效的訪問控制規則,優化訪問控制列表,并保證訪問控制規則數量最小化; c) 應對源地址、目的地址、源端口、目的端口和協議等進行檢查,以允許/拒絕數據包進出 |
a) 應在網絡邊界或區域之間根據訪問控制策略設置訪問控制規則,默認情況下除允許通信外受控接口拒絕所有通信; b) ; c) ; d) 應能根據會話狀态信息為數據流提供明确的允許/拒絕訪問的能力,控制粒度為端口級 | ||||
|
入侵防範 |
/ |
a) 應在關鍵網絡節點處監視網絡攻擊行為 | ||||
|
惡意代碼防範 |
/ | |||||
|
安全審計 |
/ |
a) 應在網絡邊界、重要網絡節點進行安全審計,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計; b) 審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息; c) 應對審計記錄進行保護,定期備份,避免受到未預期的删除、修改或覆蓋等。 | ||||
|
集中管控 |
/ | |||||
|
設備和計算安全 |
身份鑒别 |
a) 應對登錄的用戶進行身份标識和鑒别,身份标識具有唯一性,身份鑒别信息具有複雜度要求并定期更換; b) 應具有登錄失敗處理功能,應配置并啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施 |
a) ; b) ; c) 當進行遠程管理時,應采取必要措施,防止鑒别信息在網絡傳輸過程中被竊聽。 | |||
|
訪問控制 |
a) 應對登錄的用戶分配賬号和權限; b) 應重命名默認賬号或修改默認口令; c) 應及時删除或停用多餘的、過期的賬号,避免共享賬号的存在 |
a) ; b) ; c) ; d) 應授予管理用戶所需的最小權限,實現管理用戶的權限分離 | ||||
|
安全審計 |
/ |
a) 應啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計; b) 審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息; c) 應對審計記錄進行保護,定期備份,避免受到未預期的删除、修改或覆蓋等。 | ||||
|
入侵防範 |
a) 系統應遵循最小安裝的原則,僅安裝需要的組件和應用程序; b) 應關閉不需要的系統服務、默認共享和高危端口 |
a) ; b) ; c) 應通過設定終端接入方式或網絡地址範圍對通過網絡進行管理的管理終端進行限制; d) 應能發現可能存在的漏洞,并在經過充分測試評估後,及時修補漏洞 | ||||
|
惡意代碼防範 |
a) 應安裝防惡意代碼軟件或配置具有相應功能的軟件,并定期進行升級和更新防惡意代碼庫 |
a) ; | ||||
|
資源控制 |
/ |
a) 應限制單個用戶或進程對系統資源的最大使用限度 | ||||
|
應用和數據安全 |
身份鑒别 |
a) 應對登錄的用戶進行身份标識和鑒别,身份标識具有唯一性,鑒别信息具有複雜度要求并定期更換; b) 應提供并啟用登錄失敗處理功能,多次登錄失敗後應采取必要的保護措施 |
a) ; b) ; c) 應強制用戶首次登錄時修改初始口令; d) 用戶身份鑒别信息丢失或失效時,應采用鑒别信息重置或其他技術措施保證系統安全 | |||
|
訪問控制 |
a) 應提供訪問控制功能,對登錄的用戶分配賬号和權限; b) 應重命名應用系統默認賬号或修改這些賬号的默認口令; c) 應及時删除或停用多餘的、過期的賬号,避免共享賬号的存在 |
a) ; b); c); | ||||
|
安全審計 |
/ |
a) 應提供安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計; b) 審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息; c) 應對審計記錄進行保護,定期備份,避免受到未預期的删除、修改或覆蓋等 | ||||
|
軟件容錯 |
a) 應提供數據有效性檢驗功能,保證通過人機接口輸入或通過通信接口輸入的内容符合系統設定要求 |
a) ; b) 在故障發生時,應能夠繼續提供一部分功能,确保能夠實施必要的措施 | ||||
|
資源控制 |
/ |
a) 當通信雙方中的一方在一段時間内未作任何響應,另一方應能夠自動結束會話; b) 應能夠對系統的最大并發會話連接數進行限制; c) 應能夠對單個賬号的多重并發會話進行限制 | ||||
|
數據完整性 |
a) 應采用校驗碼技術保證重要數據在傳輸過程中的完整性 |
a) ; | ||||
|
數據保密性 |
/ |
/ | ||||
|
數據備份恢複 |
a) 應提供重要數據的本地數據備份與恢複功能 |
a) ; b) 應提供異地數據備份功能,利用通信網絡将重要數據定時批量傳送至備用場地 | ||||
|
剩餘信息保護 |
/ |
a) 應保證鑒别信息所在的存儲空間被釋放或重新分配前得到完全清除 | ||||
|
個人信息保護 |
/ |
a) 應僅采集和保存業務必需的用戶個人信息; b) 應禁止未授權訪問、使用用戶個人信息 | ||||
二、管理要求
|
基本要求 |
第一級 |
第二級 | |
|
安全策略和管理制度 |
安全策略 |
/ |
/ |
|
管理制度 |
a) 應建立日常管理活動中常用的安全管理制度 |
a) 應對安全管理活動中的主要管理内容建立安全管理制度; b) 應對要求管理人員或操作人員執行的日常管理操作建立操作規程 | |
|
制定和發布 |
/ |
a) 應指定或授權專門的部門或人員負責安全管理制度的制定; b) 安全管理制度應通過正式、有效的方式發布,并進行版本控制 | |
|
評審和修訂 |
/ |
a) 應定期對安全管理制度的合理性和适用性進行論證和審定,對存在不足或需要改進的安全管理制度進行修訂 | |
|
安全管理機構和人員 |
崗位設置 |
c) 應設立系統管理員、網絡管理員、安全管理員等崗位,并定義各個工作崗位的職責 |
b) 應設立信息安全管理工作的職能部門,設立安全主管、安全管理各個方面的負責人崗位,并定義各負責人的職責; c) 應設立系統管理員、網絡管理員、安全管理員等崗位,并定義部門及各個工作崗位的職責 |
|
人員配備 |
a) 應配備一定數量的系統管理員、網絡管理員、安全管理員等 |
a) ; | |
|
授權和審批 |
a) 應根據各個部門和崗位的職責明确授權審批事項、審批部門和批準人等 |
a) ; b) 應針對系統變更、重要操作、物理訪問和系統接入等事項執行審批過程 | |
|
溝通和合作 |
/ |
a) 應加強各類管理人員之間、組織内部機構之間以及信息安全職能部門内部的合作與溝通,定期召開協調會議,共同協作處理信息安全問題; b) 應加強與兄弟單位、公安機關、各類供應商、業界專家及安全組織的合作與溝通; c) 應建立外聯單位聯系列表,包括外聯單位名稱、合作内容、聯系人和聯系方式等信息 | |
|
審核和檢查 |
/ |
a) 應定期進行常規安全檢查,檢查内容包括系統日常運行、系統漏洞和數據備份等情況 | |
|
人員錄用 |
a) 應指定或授權專門的部門或人員負責人員錄用 |
a) ; b) 應對被錄用人員的身份、背景、專業資格和資質等進行審查 | |
|
人員離崗 |
a) 應及時終止離崗員工的所有訪問權限,取回各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備 |
a) ; | |
|
安全意識教育和培訓 |
a) 應對各類人員進行安全意識教育和崗位技能培訓,并告知相關的安全責任和懲戒措施 |
a) ; | |
|
外部人員訪問管理 |
a) 應确保在外部人員訪問受控區域前得到授權或審批 |
a) 應确保在外部人員物理訪問受控區域前先提出書面申請,批準後由專人全程陪同,并登記備案; b) 應确保在外部人員接入網絡訪問系統前先提出書面申請,批準後由專人開設賬号、分配權限,并登記備案; c) 外部人員離場後應及時清除其所有的訪問權限 | |
|
安全建設管理 |
定級和備案 |
a) 應明确保護對象的邊界和安全保護等級 |
a) 應以書面的形式說明保護對象的邊界、安全保護等級及确定等級的方法和理由; b) 應組織相關部門和有關安全技術專家對定級結果的合理性和正确性進行論證和審定; c) 應确保定級結果經過相關部門的批準; d) 應将備案材料報主管部門和相應公安機關備案 |
|
安全方案設計 |
a) 應根據安全保護等級選擇基本安全措施,依據風險分析的結果補充和調整安全措施 |
a) ; b) 應根據保護對象的安全保護等級進行安全方案設計; c) 應組織相關部門和有關安全專家對安全方案的合理性和正确性進行論證和審定,經過批準後才能正式實施 | |
|
産品采購和使用 |
a) 應确保信息安全産品采購和使用符合國家的有關規定 |
a) ; b) 應确保密碼産品采購和使用符合國家密碼主管部門的要求 | |
|
自行軟件開發 |
/ |
a) 應确保開發環境與實際運行環境物理分開,測試數據和測試結果受到控制; e) 應确保在軟件開發過程中對安全性進行測試,在軟件安裝前對可能存在的惡意代碼進行檢測。 | |
|
外包軟件開發 |
/ |
a) 應在軟件交付前檢測軟件質量和其中可能存在的惡意代碼; b) 應要求開發單位提供軟件設計文檔和使用指南 | |
|
工程實施 |
a) 應指定或授權專門的部門或人員負責工程實施過程的管理 |
a) ; b) 應制定工程實施方案控制安全工程實施過程 | |
|
測試驗收 |
a) 應進行安全性測試驗收 |
a) 在制訂測試驗收方案,并依據測試驗收方案實施測試驗收,形成測試驗收報告; b) 應進行上線前的安全性測試,并出具安全測試報告 | |
|
系統交付 |
a) 應根據交付清單對所交接的設備、軟件和文檔等進行清點; b) 應對負責運行維護的技術人員進行相應的技能培訓 |
a) ; b) ; c) 應确保提供建設過程中的文檔和指導用戶進行運行維護的文檔 | |
|
等級測評 |
/ |
a) 應定期進行等級測評,發現不符合相應等級保護标準要求的及時整改; b) 應在發生重大變更或級别發生變化時進行等級測評; c) 應選擇具有國家相關技術資質和安全資質的測評單位進行等級測評 | |
|
服務供應商選擇 |
a) 應确保服務供應商的選擇符合國家的有關規定; b) 應與選定的服務供應商簽訂與安全相關的協議,明确約定相關責任 |
a) ; b) 應與選定的服務供應商簽訂相關協議,明确整個服務供應鍊各方需履行的信息安全相關義務 | |
|
安全運維管理 |
環境管理 |
a) 應指定專門的部門或人員負責機房安全,對機房出入進行管理,定期對機房供配電、空調、溫濕度控制、消防等設施進行維護管理; b) 應建立機房安全管理制度,對有關機房物理訪問,物品帶進、帶出機房和機房環境安全等方面的管理作出規定 |
a) ; b) ; c) 應不在重要區域接待來訪人員和桌面上沒有包含敏感信息的紙檔文件、移動介質等 |
|
資産管理 |
/ |
a) 應編制并保存與保護對象相關的資産清單,包括資産責任部門、重要程度和所處位置等内容 | |
|
介質管理 |
a) 應确保介質存放在安全的環境中,對各類介質進行控制和保護,實行存儲環境專人管理,并根據存檔介質的目錄清單定期盤點 |
a) ; b) 應對介質在物理傳輸過程中的人員選擇、打包、交付等情況進行控制,并對介質的歸檔和查詢等進行登記記錄 | |
|
設備維護管理 |
a) 應對各種設備(包括備份和冗餘設備)、線路等指定專門的部門或人員定期進行維護管理 |
a) ; b) 應建立配套設施、軟硬件維護方面的管理制度,對其維護進行有效的管理,包括明确維護人員的責任、涉外維修和服務的審批、維修過程的監督控制等 | |
|
漏洞和風險管理 |
a) 應采取必要的措施識别安全漏洞和隐患,對發現的安全漏洞和隐患及時進行修補或評估可能的影響後進行修補 |
a) ; | |
|
網絡和系統安全管理 |
a) 應劃分不同的管理員角色進行網絡和系統的運維管理,明确各個角色的責任和權限; b) 應指定專門的部門或人員進行賬号管理,對申請賬号、建立賬号、删除賬号等進行控制 |
a) ; b) ; c) 應建立網絡和系統安全管理制度,對安全策略、賬号管理、配置管理、日志管理、日常操作、升級與打補丁、口令更新周期等方面作出規定; d) 應制定重要設備的配置和操作手冊,依據手冊對設備進行安全配置和優化配置等; e) 應詳細記錄運維操作日志,包括日常巡檢工作、運行維護記錄、參數的設置和修改等内容。 | |
|
惡意代碼防範管理 |
a) 應提高所有用戶的防惡意代碼意識,告知對外來計算機或存儲設備接入系統前進行惡意代碼檢查等; b) 應對惡意代碼防範要求做出規定,包括防惡意代碼軟件的授權使用、惡意代碼庫升級、惡意代碼的定期查殺等 |
a) ; b) ; | |
|
配置管理 |
/ |
a) 應記錄和保存基本配置信息,包括網絡拓撲結構、各個設備安裝的軟件組件、軟件組件的版本和補丁信息、各個設備或軟件組件的配置參數等 | |
|
密碼管理 |
/ |
a) 應使用符合國家密碼管理規定的密碼技術和産品; b) 應按照國家密碼管理的要求開展密碼技術和産品的應用 | |
|
變更管理 |
/ |
a) 應明确系統變更需求,變更前根據變更需求制定變更方案,變更方案經過評審、審批後方可實施。 | |
|
備份與恢複管理 |
a) 應識别需要定期備份的重要業務信息、系統數據及軟件系統等; b) 應規定備份信息的備份方式、備份頻度、存儲介質、保存期等 |
a) ; b) ; c) 應根據數據的重要性和數據對系統運行的影響,制定數據的備份策略和恢複策略、備份程序和恢複程序等 | |
|
安全事件處置 |
a) 應報告所發現的安全弱點和可疑事件; b) 應明确安全事件的報告和處置流程,規定安全事件的現場處理、事件報告和後期恢複的管理職責 |
a) ; b) 應制定安全事件報告和處置管理制度,明确不同安全事件的報告、處置和響應流程,規定安全事件的現場處理、事件報告和後期恢複的管理職責等; c) 應在安全事件報告和響應處理過程中,分析和鑒定事件産生的原因,收集證據,記錄處理過程,總結經驗教訓 | |
|
應急預案管理 |
/ |
a) 應制定重要事件的應急預案,包括應急處理流程、系統恢複流程等内容; b) 應從人力、設備、技術和财務等方面确保應急預案的執行有足夠的資源保障; c) 應定期對系統相關的人員進行應急預案培訓,并進行應急預案的演練 | |
|
外包運維管理 |
/ |
a) 應确保外包運維服務商的選擇符合國家的有關規定; b) 應與選定的外包運維服務商簽訂相關的協議,明确約定外包運維的範圍、工作内容 | |
一、技術要求:
|
基本要求 |
第三級 |
第四級 | |
|
物理和環境安全 |
物理位置的選擇 |
a) ; b) ; |
a) ; b) ; |
|
物理訪問控制 |
a) 機房出入口應配置電子門禁系統,控制、鑒别和記錄進入的人員 |
a) ; b) 重要區域應配置第二道電子門禁系統,控制、鑒别和記錄進入的人員 | |
|
防盜竊和防破壞 |
a) ; b) ; c) 應設置機房防盜報警系統或設置有專人值守的視頻監控系統 |
a) ; b) ; c) ; | |
|
防雷擊 |
a) ; b) 應采取措施防止感應雷,例如設置防雷保安器或過壓保護裝置等 |
a) ; b) ; | |
|
防火 |
a) ; b) ; c) 應對機房劃分區域進行管理,區域和區域之間設置隔離防火措施。 |
a) ; b) ; c) ; | |
|
防水和防潮 |
a) ; b) ; c) 應安裝對水敏感的檢測儀表或元件,對機房進行防水檢測和報警。 |
a) ; b) ; c) ; | |
|
防靜電 |
a) ; b) 應采用措施防止靜電的産生,例如采用靜電消除器、佩戴防靜電手環等。 |
a) ; b) ; | |
|
溫濕度控制 |
a) ; |
a) ; | |
|
電力供應 |
a) ; b) ; c) 應設置冗餘或并行的電力電纜線路為計算機系統供電。 |
a) ; b) ; c) ; d) 應提供應急供電設施。 | |
|
電磁防護 |
a) ; b) 應對關鍵設備實施電磁屏蔽。 |
a) ; b) 應對關鍵設備或關鍵區域實施電磁屏蔽。 | |
|
網絡和通信安全 |
網絡架構 |
a) ; b) 應保證網絡各個部分的帶寬滿足業務高峰期需要; c) ; d) ; e) 應提供通信線路、關鍵網絡設備的硬件冗餘,保證系統的可用性。 |
a) ; c) ; d) ; e) ; f) 應可按照業務服務的重要程度分配帶寬,優先保障重要業務。 |
|
通信傳輸 |
a) 應采用校驗碼技術或加解密技術保證通信過程中數據的完整性; b) 應采用加解密技術保證通信過程中敏感信息字段或整個報文的保密性。 |
a) ; b) ; c) 應在通信前基于密碼技術對通信的雙方進行驗證或認證; d) 應基于硬件設備對重要通信過程進行加解密運算和密鑰管理。 | |
|
邊界防護 |
a) ; b) 應能夠對非授權設備私自聯到内部網絡的行為進行限制或檢查; c) 應能夠對内部用戶非授權聯到外部網絡的行為進行限制或檢查; d) 應限制無線網絡的使用,确保無線網絡通過受控的邊界防護設備接入内部網絡。 |
a) ; b) 應能夠對非授權設備私自聯到内部網絡的行為進行限制或檢查,并對其進行有效阻斷; c) 應能夠對内部用戶非授權聯到外部網絡的行為進行限制或檢查,并對其進行有效阻斷; d) ; e) 應能夠對連接到内部網絡的設備進行可信驗證,确保接入網絡的設備真實可信。 | |
|
訪問控制 |
a) ; b) ; c) ; d) ; e) 應在關鍵網絡節點處對進出網絡的信息内容進行過濾,實現對内容的訪問控制。 |
a) ; b) ; c) 應不允許數據帶通用協議通過。 | |
|
入侵防範 |
a) 應在關鍵網絡節點處檢測、防止或限制從外部發起的網絡攻擊行為; b) 應在關鍵網絡節點處檢測和限制從内部發起的網絡攻擊行為; c) 應采取技術措施對網絡行為進行分析,實現對網絡攻擊特别是未知的新型網絡攻擊的檢測和分析; d) 當檢測到攻擊行為時,記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間,在發生嚴重入侵事件時應提供報警 |
a) ; b) ; c) ; d) ; | |
|
惡意代碼防範 |
a) 應在關鍵網絡節點處對惡意代碼進行檢測和清除,并維護惡意代碼防護機制的升級和更新; b) 應在關鍵網絡節點處對垃圾郵件進行檢測和防護,并維護垃圾郵件防護機制的升級和更新 |
a) ; b) ; | |
|
安全審計 |
a) ; b) ; c) ; d) 審計記錄産生時的時間應由系統範圍内唯一确定的時鐘産生,以确保審計分析的正确性; e) 應能對遠程訪問的用戶行為、訪問互聯網的用戶行為等單獨進行行為審計和數據分析 |
a) ; b) ; c) ; d) ; | |
|
集中管控 |
a) 應劃分出特定的管理區域,對分布在網絡中的安全設備或安全組件進行管控; b) 應能夠建立一條安全的信息傳輸路徑,對網絡中的安全設備或安全組件進行管理; c) 應對網絡鍊路、安全設備、網絡設備和服務器等的運行狀況進行集中監測; d) 應對分散在各個設備上的審計數據進行收集彙總和集中分析; e) 應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理; f) 應能對網絡中發生的各類安全事件進行識别、報警和分析。 |
a) ; b) ; c) ; d) ; e) ; f) ; | |
|
設備和計算安全 |
身份鑒别 |
a) ; b) ; c) ; d) 應采用兩種或兩種以上組合的鑒别技術對用戶進行身份鑒别。 |
a) ; b) ; c) ; d) ; |
|
訪問控制 |
a) ; b) ; c) ; d) ; e) 應由授權主體配置訪問控制策略,訪問控制策略規定主體對客體的訪問規則; f) 訪問控制的粒度應達到主體為用戶級或進程級,客體為文件、數據庫表級; g) 應對敏感信息資源設置安全标記,并控制主體對有安全标記信息資源的訪問。 |
a) ; b) ; c) ; d) ; e) ; f) ; g) 應對所有主體、客體設置安全标記,并依據安全标記和強制訪問控制規則确定主體對客體的訪問。 | |
|
安全審計 |
a) ; b) ; c) ; d) 應對審計進程進行保護,防止未經授權的中斷; e) 審計記錄産生時的時間應由系統範圍内唯一确定的時鐘産生,以确保審計分析的正确性 |
a) ; b) 審計記錄應包括事件的日期、時間、類型、主體标識、客體标識和結果等; c) ; d) ; e) 。 | |
|
入侵防範 |
a) 。 b) ; c) ; d) ; e) 應能夠檢測到對重要節點進行入侵的行為,并在發生嚴重入侵事件時提供報警。 |
a) ; b) ; c) ; d) ; e) ; | |
|
惡意代碼防範 |
a) 應采用免受惡意代碼攻擊的技術措施或采用可信計算技術建立從系統到應用的信任鍊,實現系統運行過程中重要程序或文件完整性檢測,并在檢測到破壞後進行恢複。 |
a) ; | |
|
資源控制 |
a) ; b) 應提供重要節點設備的硬件冗餘,保證系統的可用性; c) 應對重要節點進行監視,包括監視CPU、硬盤、内存等資源的使用情況; d) 應能夠對重要節點的服務水平降低到預先規定的最小值進行檢測和報警。 |
a) ; b) ; c) ; d) ; | |
|
應用和數據安全 |
身份鑒别 |
a) ; b) ; c) ; d) ; e) 應對同一用戶采用兩種或兩種以上組合的鑒别技術實現用戶身份鑒别。 |
a) ; b) ; c) ; d) ; e) ; f) 登錄用戶執行重要操作時應再次進行身份鑒别。 |
|
訪問控制 |
a) ; b) ; c) ; d) 應授予不同賬号為完成各自承擔任務所需的最小權限,并在它們之間形成相互制約的關系; e) 應由授權主體配置訪問控制策略,訪問控制策略規定主體對客體的訪問規則; f) 訪問控制的粒度應達到主體為用戶級,客體為文件、數據庫表級、記錄或字段級; g) 應對敏感信息資源設置安全标記,并控制主體對有安全标記信息資源的訪問。 |
a) ; b) ; c) ; d) ; e) ; f) ; g) 應對所有主體、客體設置安全标記,并依據安全标記和強制訪問控制規則确定主體對客體的訪問。 | |
|
安全審計 |
a) ; b) ; c) ; d) 應對審計進程進行保護,防止未經授權的中斷; e) 審計記錄産生時的時間應由系統範圍内唯一确定的時鐘産生,以确保審計分析的正确性 |
a) ; b) 審計記錄應包括事件的日期、時間、類型、主體标識、客體标識和結果等; c) ; d) ; e) 。 | |
|
軟件容錯 |
a) ; b) ; c) 應提供自動保護功能,當故障發生時自動保護當前所有狀态,保證系統能夠進行恢複。 |
a) ; b) ; c) ; | |
|
資源控制 |
a) ; b) ; c) ; d) 應能夠對并發進程的每個進程占用的資源分配最大限額。 |
a) ; b) ; c) ; d) ; | |
|
數據完整性 |
a) 應采用校驗碼技術或加解密技術保證重要數據在傳輸過程中的完整性; b) 應采用校驗碼技術或加解密技術保證重要數據在存儲過程中的完整性。 |
a) ; b) ; c) 應對重要數據傳輸提供專用通信協議或安全通信協議,避免來自基于通用通信協議的攻擊破壞數據完整性。 | |
|
數據保密性 |
a) 應采用加解密技術保證重要數據在傳輸過程中的保密性; b) 應采用加解密技術保證重要數據在存儲過程中的保密性。 |
a) ; b) ; c) 應對重要數據傳輸提供專用通信協議或安全通信協議,避免來自基于通用通信協議的攻擊破壞數據保密性。 | |
|
數據備份恢複 |
a) ; b) 應提供異地實時備份功能,利用通信網絡将重要數據實時備份至備份場地; c) 應提供重要數據處理系統的熱冗餘,保證系統的高可用性。 |
a) ; b) ; c) ; d) 應建立異地災難備份中心,提供業務應用的實時切換。 | |
|
剩餘信息保護 |
a) ; b) 應保證存有敏感數據的存儲空間被釋放或重新分配前得到完全清除。 |
a) ; b) ; | |
|
個人信息保護 |
a) ; b) ; |
a) ; b) ; | |
二、管理要求
|
基本要求 |
第三級 |
第四級 | |
|
安全策略和管理制度 |
安全策略 |
a) 應制定信息安全工作的總體方針和安全策略,說明機構安全工作的總體目标、範圍、原則和安全框架等。 |
a) ; |
|
管理制度 |
a) ; b) ; c) 應形成由安全策略、管理制度、操作規程、記錄表單等構成的全面的信息安全管理制度體系。 |
a) ; b) ; c) ; | |
|
制定和發布 |
a) ; b) ; |
a) ; b) ; | |
|
評審和修訂 |
a) |
a) ; | |
|
安全管理機構和人員 |
崗位設置 |
a) 應成立指導和管理信息安全工作的委員會或領導小組,其最高領導由單位主管領導委任或授權; b) ; c) ; |
a) ; b) ; c) ; |
|
人員配備 |
a) ; b) 應配備專職安全管理員,不可兼任。 |
a) ; b) ; c) 關鍵事務崗位應配備多人共同管理 | |
|
授權和審批 |
a) ; b) 應針對系統變更、重要操作、物理訪問和系統接入等事項建立審批程序,按照審批程序執行審批過程,對重要活動建立逐級審批制度; c) 應定期審查審批事項,及時更新需授權和審批的項目、審批部門和審批人等信息。 |
a) ; b) ; c) ; | |
|
溝通和合作 |
a) ; b) ; c) ; |
b) ; c) ; | |
|
審核和檢查 |
a) ; b) 應定期進行全面安全檢查,檢查内容包括現有安全技術措施的有效性、安全配置與安全策略的一緻性、安全管理制度的執行情況等; c) 應制定安全檢查表格實施安全檢查,彙總安全檢查數據,形成安全檢查報告,并對安全檢查結果進行通報。 |
a) ; b) ; c) ; | |
|
人員錄用 |
a) ; b) 對被錄用人員的身份、背景、專業資格和資質等進行審查,對其所具有的技術技能進行考核; c) 應與被錄用人員簽署保密協議,與關鍵崗位人員簽署崗位責任協議。 |
a) ; b) ; c) ; d) 應從内部人員中選拔從事關鍵崗位的人員。 | |
|
人員離崗 |
a) ; b) 應辦理嚴格的調離手續,并承諾調離後的保密義務後方可離開。 |
a) ; b) ; | |
|
安全意識教育和培訓 |
a) ; b) 應針對不同崗位制定不同的培訓計劃,對信息安全基礎知識、崗位操作規程等進行培訓。 |
a) ; b) ; | |
|
外部人員訪問管理 |
a) ; b) ; c) ; d) 獲得系統訪問授權的外部人員應簽署保密協議,不得進行非授權操作,不得複制和洩露任何敏感信息。 |
a) ; b) ; c) ; d) ; e) 對關鍵區域或關鍵系統不允許外部人員訪問。 | |
|
安全建設管理 |
定級和備案 |
a) ; b) ; c) ; d) ; |
a) ; b) ; c) ; d) ; |
|
安全方案設計 |
a) ; b) 應根據保護對象的安全保護等級及與其他級别保護對象的關系進行安全整體規劃和安全方案設計,并形成配套文件; c) 應組織相關部門和有關安全專家對安全整體規劃及其配套文件的合理性和正确性進行論證和審定,經過批準後才能正式實施。 |
a) ; b) ; c) ; | |
|
産品采購和使用 |
a) ; b) ; c) 應預先對産品進行選型測試,确定産品的候選範圍,并定期審定和更新候選産品名單。 |
a) ; b) ; c) ; d) 應對重要部位的産品委托專業測評單位進行專項測試,根據測試結果選用産品。 | |
|
自行軟件開發 |
a) ; b) 應制定軟件開發管理制度,明确說明開發過程的控制方法和人員行為準則; c) 應制定代碼編寫安全規範,要求開發人員參照規範編寫代碼; d) 應确保具備軟件設計的相關文檔和使用指南,并對文檔使用進行控制; e) ; f) 應确保對程序資源庫的修改、更新、發布進行授權和批準,并嚴格進行版本控制; g) 應确保開發人員為專職人員,開發人員的開發活動受到控制、監視和審查。 |
a) ; b) ; c) ; d) ; e) ; f) ; g) ; | |
|
外包軟件開發 |
a) ; b) ; c) 應要求開發單位提供軟件源代碼,并審查軟件中可能存在的後門和隐蔽信道。 |
a) ; b) ; c) ; | |
|
工程實施 |
a) ; b) ; c) 應通過第三方工程監理控制項目的實施過程。 |
a) ; b) ; c) ; | |
|
測試驗收 |
a) ; b) ; |
a) ; b) ; | |
|
系統交付 |
a) ; b) ; c) ; |
a) ; b) ; c) ; | |
|
等級測評 |
a) ; b) ; c) ; |
a) ; b) ; c) ; | |
|
服務供應商選擇 |
a) ; b) ; c) 應定期監視、評審和審核服務供應商提供的服務,并對其變更服務内容加以控制。 |
a) ; b) ; c) ; | |
|
安全運維管理 |
環境管理 |
a) ; b) ; c) ; |
a) ; b) ; c) ; d) 應對出入人員進行相應級别的授權,對進入重要安全區域的人員和活動實時監視等。 |
|
資産管理 |
a) ; b) 應根據資産的重要程度對資産進行标識管理,根據資産的價值選擇相應的管理措施; c) 應對信息分類與标識方法作出規定,并對信息的使用、傳輸和存儲等進行規範化管理。 |
a) ; b) ; c) ; | |
|
介質管理 |
a) ; b) ; |
a) ; b) ; | |
|
設備維護管理 |
a) ; b) ; c) 應确保信息處理設備必須經過審批才能帶離機房或辦公地點,含有存儲介質的設備帶出工作環境時其中重要數據必須加密; d) 含有存儲介質的設備在報廢或重用前,應進行完全清除或被安全覆蓋,确保該設備上的敏感數據和授權軟件無法被恢複重用。 |
a) ; b) ; c) ; d) ; | |
|
漏洞和風險管理 |
a) ; b) 應定期開展安全測評,形成安全測評報告,采取措施應對發現的安全問題。 |
a) ; b) ; | |
|
網絡和系統安全管理 |
a) ; b) ; c) ; d) ; e) ; f) 應嚴格控制變更性運維,經過審批後才可改變連接、安裝系統組件或調整配置參數,操作過程中應保留不可更改的審計日志,操作結束後應同步更新配置信息庫; g) 應嚴格控制運維工具的使用,經過審批後才可接入進行操作,操作過程中應保留不可更改的審計日志,操作結束後應删除工具中的敏感數據; h) 應嚴格控制遠程運維的開通,經過審批後才可開通遠程運維接口或通道,操作過程中應保留不可更改的審計日志,操作結束後立即關閉接口或通道; i) 應保證所有與外部的連接均得到授權和批準, 應定期檢查違反規定無線上網及其他違反網絡安全策略的行為。 |
a) ; b) ; c) ; d) ; e) ; f) ; g) ; h) ; i) ; | |
|
惡意代碼防範管理 |
a) ; b) ; c) 應定期驗證防範惡意代碼攻擊的技術措施的有效性。 |
a) ; b) ; c) ; | |
|
配置管理 |
a) ; b) 應将基本配置信息改變納入變更範疇,實施對配置信息改變的控制,并及時更新基本配置信息庫。 |
a) ; b) ; | |
|
密碼管理 |
a) ; |
a) ; | |
|
變更管理 |
a) ; b) 應建立變更的申報和審批控制程序,依據程序控制所有的變更,記錄變更實施過程; c) 應建立中止變更并從失敗變更中恢複的程序,明确過程控制方法和人員職責,必要時對恢複過程進行演練。 |
a) ; b) ; c) ; | |
|
備份與恢複管理 |
a) ; b) ; c) ; |
a) ; b) ; c) ; | |
|
安全事件處置 |
a) ; b) ; c) ; d) 對造成系統中斷和造成信息洩漏的重大安全事件應采用不同的處理程序和報告程序。 |
a) ; b) ; c) ; d) ; | |
|
應急預案管理 |
a) 應規定統一的應急預案框架,并在此框架下制定不同事件的應急預案,包括啟動預案的條件、應急處理流程、系統恢複流程、事後教育和培訓等内容; b) ; c) ; d) 應定期對原有的應急預案重新評估,修訂完善。 |
a) ; b) ; c) ; d) ; | |
|
外包運維管理 |
a) ; b) ; c) 應确保選擇的外包運維服務商在技術和管理方面均具有按照等級保護要求開展安全運維工作的能力,并将能力要求在簽訂的協議中明确; d) 應在與外包運維服務商簽訂的協議中明确所有相關的安全要求。如可能涉及對敏感信息的訪問、處理、存儲要求,對IT基礎設施中斷服務的應急保障要求等。 |
a) ; b) ; c) ; d) ; | |
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
