沟通和合作 / a) 应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通,定期召开协调会议,共同协作处理信息安全问题; b) 应加强与兄弟单位、公安机关、各类供应商、业界专家及安全组织的合作与沟通; c) 应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息 a) 应定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况 a) ; b) ; c) ; b) ; c) ; 审核和检查 / a) 应指定或授权专门的部门或人员负责人员录用 人员录用 a) ; b) 应对被录用人员的身份、背景、专业资格和资质等进行审查 人员离岗 a) 应及时终止离岗员工的所有a) ; 访问权限,取回各种身份证件、a) ; b) 应定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等; c) 应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报。 a) ; b) 对被录用人员的身份、背景、专业资格和资质等进行审查,对其所具有的技术技能进行考核; c) 应与被录用人员签署保密协议,与关键岗位人员签署岗位责任协议。 a) ; b) 应办理严格的调离手续,a) ; b) ; c) ; a) ; b) ; c) ; d) 应从内部人员中选拔从事关键岗位的人员。 a) ; b) ; 安全意识教育和培训 钥匙、徽章等以及机构提供的软硬件设备 a) 应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施 a) ; a) 应确保在外部人员访问受控区域前得到授权或审批 外部人员访问管理 a) 应明确保护对象的边界和安全保护等级 定级和备案 安全建设管理 a) 应根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施 安全方案设计 a) 应确保在外部人员物理访问受控区域前先提出书面申请,批准后由专人全程陪同,并登记备案; b) 应确保在外部人员接入网络访问系统前先提出书面申请,批准后由专人开设账号、分配权限,并登记备案; c) 外部人员离场后应及时清除其所有的访问权限 a) 应以书面的形式说明保护对象的边界、安全保护等级及确定等级的方法和理由; b) 应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定; c) 应确保定级结果经过相关部门的批准; d) 应将备案材料报主管部门和相应公安机关备案 a) ; b) 应根据保护对象的安全保护等级进行安全方案设计; c) 应组织相关部门和有关安全专家对安全方案的合理性和并承诺调离后的保密义务后方可离开。 a) ; b) 应针对不同岗位制定不同的培训计划,对信息安全基础知识、岗位操作规程等进行培训。 a) ; b) ; c) ; d) 获得系统访问授权的外部人员应签署保密协议,不得进行非授权操作,不得复制和泄露任何敏感信息。 a) ; b) ; a) ; b) ; c) ; d) ; e) 对关键区域或关键系统不允许外部人员访问。 a) ; b) ; c) ; d) ; a) b) c) d) ; ; ; ; a) ; a) ; b) 应根据保护对象的安全保b) ; 护等级及与其他级别保护对象c) ; 的关系进行安全整体规划和安全方案设计,并形成配套文件; 正确性进行论证和审定,经过批准后才能正式实施 a) 应确保信息安全产品采购和使用符合国家的有关规定 产品采购和使用 a) ; b) 应确保密码产品采购和使用符合国家密码主管部门的要求 a) 应确保开发环境与实际运行环境物理分开,测试数据和测试结果受到控制; e) 应确保在软件开发过程中对安全性进行测试,在软件安装前对可能存在的恶意代码进行检测。 自行软件开发 / 外包软件开发 / a) 应在软件交付前检测软件质量和其中可能存在的恶意代码; b) 应要求开发单位提供软件c) 应组织相关部门和有关安全专家对安全整体规划及其配套文件的合理性和正确性进行论证和审定,经过批准后才能正式实施。 a) ; b) ; c) 应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。 a) ; b) 应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则; c) 应制定代码编写安全规范,要求开发人员参照规范编写代码; d) 应确保具备软件设计的相关文档和使用指南,并对文档使用进行控制; e) ; f) 应确保对程序资源库的修改、更新、发布进行授权和批准,并严格进行版本控制; g) 应确保开发人员为专职人员,开发人员的开发活动受到控制、监视和审查。 a) ; b) ; c) 应要求开发单位提供软件源代码,并审查软件中可能存a) ; b) ; c) ; d) 应对重要部位的产品委托专业测评单位进行专项测试,根据测试结果选用产品。 a) ; b) ; c) ; d) ; e) ; f) ; g) ; a) ; b) ; c) ; 工程实施 a) 应指定或授权专门的部门或人员负责工程实施过程的管理 设计文档和使用指南 a) ; b) 应制定工程实施方案控制安全工程实施过程 a) 在制订测试验收方案,并依据测试验收方案实施测试验收,形成测试验收报告; b) 应进行上线前的安全性测试,并出具安全测试报告 a) ; b) ; c) 应确保提供建设过程中的文档和指导用户进行运行维护的文档 a) 应定期进行等级测评,发现不符合相应等级保护标准要求的及时整改; b) 应在发生重大变更或级别发生变化时进行等级测评; c) 应选择具有国家相关技术资质和安全资质的测评单位进行等级测评 a) ; b) 应与选定的服务供应商签订相关协议,明确整个服务供应链各方需履行的信息安全相关义务 a) ; b) ; c) 应不在重要区域接待来访人员和桌面上没有包含敏感信a) 应进行安全性测试验收 测试验收 在的后门和隐蔽信道。 a) ; b) ; c) 应通过第三方工程监理控制项目的实施过程。 a) ; b) ; a) ; b) ; c) ; a) ; b) ; 系统交付 a) 应根据交付清单对所交接的设备、软件和文档等进行清点; b) 应对负责运行维护的技术人员进行相应的技能培训 a) ; b) ; c) ; a) ; b) ; c) ; a) ; b) ; c) ; a) ; b) ; c) ; 等级测评 / 服务供应商选择 安全运维管理 环境管理 a) 应确保服务供应商的选择符合国家的有关规定; b) 应与选定的服务供应商签订与安全相关的协议,明确约定相关责任 a) 应指定专门的部门或人员负责机房安全,对机房出入进行管理,定期对机房供配电、空调、温湿度控制、消防等设a) ; b) ; c) 应定期监视、评审和审核服务供应商提供的服务,并对其变更服务内容加以控制。 a) ; b) ; c) ; a) ; b) ; c) ; a) b) c) d) ; ; ; 应对出入人员进行相应级施进行维护管理; b) 应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定 息的纸档文件、移动介质等 别的授权,对进入重要安全区域的人员和活动实时监视等。 资产管理 / a) 应编制并保存与保护对象相关的资产清单,包括资产责任部门、重要程度和所处位置等内容 介质管理 a) 应确保介质存放在安全的环境中,对各类介质进行控制和保护,实行存储环境专人管理,并根据存档介质的目录清单定期盘点 a) 应对各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理 设备维护管理 a) ; b) 应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,并对介质的归档和查询等进行登记记录 a) ; b) 应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等 a) ; b) 应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施; c) 应对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。 a) ; b) ; a) ; b) ; c) ; a) ; b) ; 漏洞和风险管理 a) 应采取必要的措施识别安全漏洞和隐患,对发现的安全漏a) ; a) ; b) ; c) 应确保信息处理设备必须经过审批才能带离机房或办公地点,含有存储介质的设备带出工作环境时其中重要数据必须加密; d) 含有存储介质的设备在报废或重用前,应进行完全清除或被安全覆盖,确保该设备上的敏感数据和授权软件无法被恢复重用。 a) ; b) 应定期开展安全测评,形a) b) c) d) ; ; ; ; a) ; b) ;
网络安全等级保护2.0-通用要求-表格版
