1、/*級、三級等級保護要求比較技術要求技術要求項二級等保三級等保物理1）機房和辦公場地應選擇機房和辦公場地應選擇在具有防震、防位罟等能力的建筑內。2）機房場地應避免設在建筑物的高層或地位置下室，以及用水設備的下層或隔壁；的選擇3）機房場地應當避開強電場、強磁場、強震擇動源、強噪聲源、重度環境污染、易發生火災、水災、易遭受雷擊的地區。物理1）機房出入口應有專人值1）機房出入口應有專人值守，鑒別進入的訪問守，鑒別進入的人員身份人員身份并登記在案；控制并登記在案;2）應批準進入機房的來訪人員，限制和監2）應批準進入機房的來訪控其活動范圍；人員，限制和監控其活動3）應對機房劃分區域進行管理，區域和區范圍

2、。域之間設置物理隔離裝置，在重要區域前設置交付或安裝等過度區域；4）應對重要區域配置電子門禁系統，鑒別和記錄進入的人員身份并監控其活動。防盜1）應將主要設備放置在物1）應將主要設備放置在物理受限的范圍竊和理受限的范圍內；內；防破2）應對設備或主要部件進2）應對設備或主要部件進行固定，并設置壞行固定，并設置明顯的不明顯的無法除去的標記；易除去的標記；3）應將通信線纜鋪設在隱蔽處，如鋪設在3）應將通信線纜鋪設在隱地下或管道中等；蔽處，如鋪設在地下或管4）應對介質分類標識，存儲在介質庫或檔道中等；案室中；4）應對介質分類標識，存儲5）設備或存儲介質攜帶出工作環境時，應在介質庫或檔案室中；受到監控和內

3、容加密；5）應安裝必要的防盜報警6）應利用光、電等技術設置機房的防盜報設施，以防進入機房的盜警系統，以防進入機房的盜竊和破壞行竊和破壞行為。為；在具有防震、防風和防雨風和防雨等能力的建筑內;物理安全/*技術要求項二級等保三級等保防雷擊防火供應7）應對機房設置監控報警系統。1）2）機房建筑應設置避雷裝置;應設置交流電源地線。1）應設置滅火設備和火災自動報警系統，并保持滅火設備和火災自動報警系統的良好狀態。機房建筑應設置避雷裝置;應設置防雷保安器，防止感應雷;應設置交流電源地線。應設置火災自動消防系統，自動檢測火 情、自動報警，并自動滅火；機房及相關的工作房間和輔助房，其建筑材料應具有耐火等級;防

4、水和防潮1）水管安裝，不得穿過屋頂 和活動地板下；2）應對穿過墻壁和樓板的水管增加必要的保護措 施，如設置套管；3）應采取措施防止雨水通 過屋頂和墻壁滲透；4）應采取措施防止室內水 蒸氣結露和地下積水的 轉移與滲透。1）水管安裝，不得穿過屋頂和活動地板下；2）應對穿過墻壁和樓板的水管增加必要的 保護措施，如設置套管；3）應采取措施防止雨水通過屋頂和墻壁滲 透；4）應采取措施防止室內水蒸氣結露和地下 積水的轉移與滲透。防靜電1）應采用必要的接地等防 靜電措施1）應采用必要的接地等防靜電措施；2）應采用防靜電地板。溫濕度控制1）應設置溫、濕度自動調節 設施，使機房溫、濕度的 變化在設備運行所允許

5、的范圍之內。1）應設置恒溫恒濕系統，使機房溫、濕度的 變化在設備運行所允許的范圍之內。電力計算機系統供電應與其計算機系統供電應與其他供電分開;1）1）機房采取區域隔離防火措施，將重要設 備與其他設備隔離開。他供電分開;應設置穩壓器和過電壓防護設備;2）3）應設置穩壓器和過電壓防護設備;應提供短期的備用電力供應（如UPS設備）。應提供短期的備用電力供應（如UPS設備）；應設置冗余或并行的電力電纜線路;應建立備用供電系統（如備用發電機）以備常用供電系統停電時啟用。電磁防護1)2)網絡安全應采用接地方式防止外界電磁干擾和設備寄生耦合干擾;電源線和通信線纜應隔離，避免互相干擾。應采用接地方式防止外界電

6、磁干擾和設備寄生耦合干擾;電源線和通信線纜應隔離，避免互相干擾;對重要設備和磁介質實施電磁屏蔽。結構安全與網段劃網絡訪問控制1)2)3)4)5)6)1)網絡設備的業務處理能力應具備冗余空間，要求滿足業務咼峰期需要;應設計和繪制與當前運行情況相符的網絡拓撲結構圖;應根據機構業務的特點,在滿足業務高峰期需要的基礎上，合理設計網絡帶寬;應在業務終端與業務服務器之間進行路由控制,建立安全的訪問路徑;應根據各部門的工作職能、重要性、所涉及信息的重要程度等因素，劃分不同的子網或網段，并按照方便管理和控制的原則為各子網、網段分配地址段;重要網段應采取網絡層地址與數據鏈路層地址綁定措施，防止地址欺騙。應能根據

7、會話狀態信息(包括數據包的源地址、目的地址、源端口號、目的端口號、協議、出入的網絡設備的業務處理能力應具備冗余空間，要求滿足業務高峰期需要;應設計和繪制與當前運行情況相符的網絡拓撲結構圖;應根據機構業務的特點，在滿足業務高峰期需要的基礎上，合理設計網絡帶寬;應在業務終端與業務服務器之間進行路由控制建立安全的訪問路徑;應根據各部門的工作職能、重要性、所涉及信息的重要程度等因素，劃分不同的子網或網段，并按照方便管理和控制的原則為各子網、網段分配地址段;重要網段應采取網絡層地址與數據鏈路層地址綁定措施，防止地址欺騙;應按照對業務服務的重要次序來指定帶寬分配優先級別，保證在網絡發生擁堵的時候優先保護重

8、要業務數據主機。應能根據會話狀態信息(包括數據包的源地址、目的地址、源端口號、目的端口號、協議、出入的接口、會話序列號、發出信息的主機名等信息，并應支持地址撥號訪問控制網絡安全審計1)2)1)2)接口、會話序列號、發出信息的主機名等信息，并應支持地址通配符的使用)，為數據流提供明確的允許/拒絕訪問的能力。應在基于安全屬性的允許遠程用戶對系統訪問的規則的基礎上，對系統所有資源允許或拒絕用戶進行訪問，控制粒度為單個用戶;應限制具有撥號訪問權限的用戶數量。應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等事件進行日志記錄;對于每一個事件，其審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是

9、否成功，及其他與審計相關的信息。通配符的使用)，為數據流提供明確的允許/拒絕訪問的能力;應對進出網絡的信息內容進行過濾，實現對應用層HTTP、FTP、 TELNET、SMTP、POP3等協議命令級的控制;應依據安全策略允許或者拒絕便攜式和移動式設備的網絡接入;應在會話處于非活躍一定時間或會話結束后終止網絡連接;應限制網絡最大流量數及網絡連接數。應在基于安全屬性的允許遠程用戶對系統訪問的規則的基礎上，對系統所有資源允許或拒絕用戶進行訪問，控制粒度為單個用戶;應限制具有撥號訪問權限的用戶數量;應按用戶和系統之間的允許訪問規則,決定允許用戶對受控系統進行資源訪問。應對網絡系統中的網絡設備運行狀況、網

10、絡流量、用戶行為等進行全面的監測、記錄;對于每一個事件，其審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功，及其他與審計相關的信息;安全審計應可以根據記錄數據進行分析，并生成審計報表;安全審計應可以對特定事件，提供指定方式的實時報警;審計記錄應受到保護避免受到未預期的刪除、修改或覆蓋等。邊界完整性檢查網絡入侵防范惡意代碼防范網絡設備防護1)1)1)2)3)1)2)3)4)應能夠檢測內部網絡中出現的內部用戶未通過準許私自聯到外部網絡的行為(即 非法外聯”行為)。應在網絡邊界處監視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊、網絡蠕蟲攻擊

11、等入侵事件的發生。應在網絡邊界及核心業務網段處對惡意代碼進行檢測和清除;應維護惡意代碼庫的升級和檢測系統的更新;應支持惡意代碼防范的統一管理。應對登錄網絡設備的用戶進行身份鑒別;應對網絡設備的管理員登錄地址進行限制;網絡設備用戶的標識應唯一;身份鑒別信息應具有不易被冒用的特點，例如口應能夠檢測內部網絡中出現的內部用戶未通過準許私自聯到外部網絡的行為(即“非法外聯”行為)；應能夠對非授權設備私自聯到網絡的行為進行檢查，并準確定出位置，對其進行有效阻斷;應能夠對內部網絡用戶私自聯到外部網絡的行為進行檢測后準確定出位置，并對其進行有效阻斷。應在網絡邊界處應監視以下攻擊行為:端口掃描、強力攻擊、木馬后

12、門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊、網絡蠕蟲攻擊等入侵事件的發生;當檢測到入侵事件時，應記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發生嚴重入侵事件時提供報警。應在網絡邊界及核心業務網段處對惡意代碼進行檢測和清除;應維護惡意代碼庫的升級和檢測系統的更新;應支持惡意代碼防范的統一管理。應對登錄網絡設備的用戶進行身份鑒別;應對網絡上的對等實體進行身份鑒別;應對網絡設備的管理員登錄地址進行限制;網絡設備用戶的標識應唯一;令長度、復雜性和定期的更新等;5)應具有登錄失敗處理功能，如：結束會話、限制非法登錄次數，當網絡登錄連接超時，自動退出。身份鑒別信息應具有不易被冒用的特

13、點，例如口令長度、復雜性和定期的更新等;應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別;應具有登錄失敗處理功能，如：結束會話、限制非法登錄次數，當網絡登錄連接超時，自動退出;應實現設備特權用戶的權限分離，例如將管理與審計的權限分配給不同的網絡設備用戶。主機系統安全身份鑒別自主訪問控制1)2)3)4)1)2)操作系統和數據庫管理系統用戶的身份標識應具有唯一性;應對登錄操作系統和數據庫管理系統的用戶進行身份標識和鑒別;操作系統和數據庫管理系統身份鑒別信息應具有不易被冒用的特點,如口令長度、復雜性和定期的更新等;應具有登錄失敗處理功能，女口：結束會話、限制非法登錄次數，當登錄連接超時，自

14、動退出。應依據安全策略控制主體對客體的訪問;自主訪問控制的覆蓋范操作系統和數據庫管理系統用戶的身份標識應具有唯一性;應對登錄操作系統和數據庫管理系統的用戶進行身份標識和鑒別;應對同一用戶采用兩種或兩種以上組合的鑒別技術實現用戶身份鑒別;操作系統和數據庫管理系統用戶的身份鑒別信息應具有不易被冒用的特點，例如口令長度、復雜性和定期的更新等;應具有登錄失敗處理功能，如：結束會話、限制非法登錄次數，當登錄連接超時，自動退出;應具有鑒別警示功能;重要的主機系統應對與之相連的服務器或終端設備進行身份標識和鑒別。1)應依據安全策略控制主體對客體的訪問;強制訪問控制3)4)5)圍應包括與信息安全直接相關的主體

15、、客體及它們之間的操作;自主訪問控制的粒度應達到主體為用戶級，客體為文件、數據庫表級;應由授權主體設置對客體訪問和操作的權限;應嚴格限制默認用戶的訪問權限。安全1)安全審計應覆蓋到服務審計器上的每個操作系統用戶和數據庫用戶；2)安全審計應記錄系統內重要的安全相關事件，包括重要用戶行為和重要系統命令的使用等；3)安全相關事件的記錄應包括日期和時間、類型、自主訪問控制的覆蓋范圍應包括與信息安全直接相關的主體、客體及它們之間的操作;自主訪問控制的粒度應達到主體為用戶級，客體為文件、數據庫表級;應由授權主體設置對客體訪問和操作的權限;權限分離應采用最小授權原則，分別授予不同用戶各自為完成自己承擔任務所

16、需的最小權限，并在他們之間形成相互制約的關系;應實現操作系統和數據庫管理系統特權用戶的權限分離;應嚴格限制默認用戶的訪問權限。應對重要信息資源和訪問重要信息資源的所有主體設置敏感標記;強制訪問控制的覆蓋范圍應包括與重要信息資源直接相關的所有主體、客體及它們之間的操作;強制訪問控制的粒度應達到主體為用戶級，客體為文件、數據庫表級。安全審計應覆蓋到服務器和客戶端上的I每個操作系統用戶和數據庫用戶;安全審計應記錄系統內重要的安全相關事件，包括重要用戶行為、系統資源的異常使用和重要系統命令的使用;系統保護剩余信息保護入侵防范主體標識、客體標識、件的結果等;4)審計記錄應受到保護避免受到未預期的刪除、改

17、或覆蓋等。1)系統應提供在管理維護1)2)狀態中運行的能力，管理維護狀態只能被系統管理員使用。應保證操作系統和數據庫管理系統用戶的鑒別信息所在的存儲空間,釋放或再分配給其他用安全相關事件的記錄應包括日期和時間、類型、主體標識、客體標識、事件的結果等;安全審計應可以根據記錄數據進行分析，并生成審計報表;安全審計應可以對特定事件，提供指定方式的實時報警;審計進程應受到保護避免受到未預期的中斷;審計記錄應受到保護避免受到未預期的刪除、修改或覆蓋等。1)系統因故障或其他原因中斷后，應能夠以手動或自動方式恢復運行。應保證操作系統和數據庫管理系統用戶的鑒別信息所在的存儲空間，被釋放或戶前得到完全清除，無論

18、這些信息是存放在硬盤上還是在內存中;應確保系統內的文件、錄和數據庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除。再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內存中;應確保系統內的文件、目錄和數據庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除。1)應進行主機運行監視，包括監視主機的CPU硬盤、內存、網絡等資源的使用情況;惡意代碼防范資源控制1)2)1)2)服務器和重要終端設備(包括移動設備)應安裝實時檢測和查殺惡意代碼的軟件產品;主機系統防惡意代碼產品應具有與網絡防惡意代碼產品不同的惡意代碼庫;應限制單個用戶的會話數量;應通過設定終

19、端接入方式、網絡地址范圍等條件限制終端登錄。應設定資源報警域值，以便在資源使用超過規定數值時發出報警;應進行特定進程監控，限制操作人員運行非法進程;應進行主機賬戶監控，限制對重要賬戶的添加和更改;應檢測各種已知的入侵行為，記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發生嚴重入侵事件時提供報警;應能夠檢測重要程序完整性受到破壞,并在檢測到完整性錯誤時采取必要的恢復措施。服務器和終端設備(包括移動設備)均應安裝實時檢測和查殺惡意代碼的軟件產品;主機系統防惡意代碼產品應具有與網絡防惡意代碼產品不同的惡意代碼庫;應支持惡意代碼防范的統一管理。應限制單個用戶的多重并發會話;應對最大并發會話

20、連接數進行限制;應對一個時間段內可能的并發會話連接數進行限制;應通過設定終端接入方式、網絡地址范圍等條件限制終端登錄;應根據安全策略設置登錄終端的操作超時鎖定和鑒別失敗鎖定，并規定解鎖或終止方式;應禁止同一用戶賬號在同一時間內并發登錄;應限制單個用戶對系統資源的最大或最小使用限度;當系統的服務水平降低到預先規定的最小值時，應能檢測和報警;應根據安全策略設定主體的服務優先級，根據優先級分配系統資源， 保證優先級低的主體處理能力不會影響到優先級高的主體的處理能力。應用安全身份鑒別訪問控制1)2)3)4)1)2)3)應用系統用戶的身份標識應具有唯一性;應對登錄的用戶進行身份標識和鑒別;系統用戶身份鑒

21、別信息應具有不易被冒用的特點，例如口令長度、復雜性和定期的更新等;應具有登錄失敗處理功能，如：結束會話、限制非法登錄次數，當登錄連接超時，自動退出。應依據安全策略控制用戶對客體的訪問;自主訪問控制的覆蓋范圍應包括與信息安全直接相關的主體、客體及它們之間的操作;自主訪問控制的粒度應系統用戶的身份標識應具有唯一性;應對登錄的用戶進行身份標識和鑒別;系統用戶的身份鑒別信息應具有不易被冒用的特點，例如口令長度、復雜性和定期的更新等;應對同一用戶采用兩種或兩種以上組合的鑒別技術實現用戶身份鑒別;應具有登錄失敗處理功能，如：結束會話、限制非法登錄次數，當登錄連接超時，自動退出;應具有鑒別警示功能;應用系統

22、應及時清除存儲空間中動態使用的鑒別信息。應依據安全策略控制用戶對客體的訪問;自主訪問控制的覆蓋范圍應包括與信息安全直接相關的主體、客體及它們之間的操作;安全審計4)5)6)7)1)2)3)4)達到主體為用戶級，客體為文件、數據庫表級;應由授權主體設置用戶對系統功能操作和對數據訪問的權限;應實現應用系統特權用戶的權限分離，例如將管理與審計的權限分配給不同的應用系統用戶;權限分離應采用最小授權原則，分別授予不同用戶各自為完成自己承擔任務所需的最小權限,在它們之間形成相互制約的關系;應嚴格限制默認用戶的訪問權限。安全審計應覆蓋到應用系統的每個用戶;安全審計應記錄應用系統重要的安全相關事件,包括重要用

23、戶行為和重要系統功能的執行等;安全相關事件的記錄應包括日期和時間、類型、主體標識、客體標識、件的結果等;審計記錄應受到保護避免受到未預期的刪除、改或覆蓋等。自主訪問控制的粒度應達到主體為用戶級，客體為文件、數據庫表級;應由授權主體設置用戶對系統功能操作和對數據訪問的權限;應實現應用系統特權用戶的權限分離,例如將管理與審計的權限分配給不同的應用系統用戶;權限分離應采用最小授權原則，分別授予不同用戶各自為完成自己承擔任務所需的最小權限，并在它們之間形成相互制約的關系;應嚴格限制默認用戶的訪問權限。1)安全審計應覆蓋到應用系統的每個用戶;2)安全審計應記錄應用系統重要的安全相關事件，包括重要用戶行為

24、、系統資源的異常使用和重要系統功能的執行等;安全相關事件的記錄應包括日期和時間、類型、主體標識、客體標識、事件的結果等;安全審計應可以根據記錄數據進行分析，并生成審計報表;安全審計應可以對特定事件，提供指定方式的實時報警;審計進程應受到保護避免受到未預期的中斷;剩余信息保護通信完整性抗抵賴通信保密性1)2)1)1)2)3)應保證用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內存中;應確保系統內的文件、錄和數據庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除。通信雙方應約定單向的校驗碼算法，計算通信數據報文的校驗碼，在進

25、行通信時，雙方根據校驗碼判斷對方報文的有效性。當通信雙方中的一方在一段時間內未作任何響應，另一方應能夠自動結束會話;在通信雙方建立連接之前，利用密碼技術進行會話初始化驗證;在通信過程中，應對敏感信息字段進行加密。7)審計記錄應受到保護避免受到未預期的刪除、修改或覆蓋等。應保證用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內存中;應確保系統內的文件、目錄和數據庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除。通信雙方應約定密碼算法，計算通信數 據報文的報文驗證碼，在進行通信時，雙方根據校驗碼判斷對方報文的有效性。1)應具

26、有在請求的情況下為數據原發者或接收者提供數據原發證據的功能;2)應具有在請求的情況下為數據原發者或接收者提供數據接收證據的功能。當通信雙方中的一方在一段時間內未作任何響應，另一方應能夠自動結束會話;在通信雙方建立連接之前，利用密碼技術進行會話初始化驗證;在通信過程中，應對整個報文或會話過程進行加密;應選用符合國家有關部門要求的密碼算法。軟件容錯資源控制1)2)3)1)2)3)應對通過人機接口輸入或通過通信接口輸入的數據進行有效性檢驗;應對通過人機接口方式進行的操作提供回退功能，即允許按照操作的序列進行回退;在故障發生時，應繼續提供一部分功能，確保能夠實施必要的措施。應限制單個用戶的多重并發會話

27、;應對應用系統的最大并發會話連接數進行限制;應對一個時間段內可能的并發會話連接數進行限制。應對通過人機接口輸入或通過通信接口輸入的數據進行有效性檢驗;應對通過人機接口方式進行的操作提供“回退”功能，即允許按照操作的序列進行回退;應有狀態監測能力，當故障發生時，能實時檢測到故障狀態并報警;應有自動保護能力，當故障發生時，自動保護當前所有狀態。應限制單個用戶的多重并發會話;應對應用系統的最大并發會話連接數進行限制;應對一個時間段內可能的并發會話連接數進行限制;應根據安全策略設置登錄終端的操作超時鎖定和鑒別失敗鎖定，并規定解鎖或終止方式;應禁止同一用戶賬號在同一時間內并發登錄;應對一個訪問用戶或一個

28、請求進程占用的資源分配最大限額和最小限額;應根據安全屬性(用戶身份、訪問地址、時間范圍等)允許或拒絕用戶建立會話連接;當系統的服務水平降低到預先規定的最小值時，應能檢測和報警;應根據安全策略設定主體的服務優先級，根據優先級分配系統資源， 保證優先級低的主體處理能力不會影響到優先級代碼安全數據安全數據完整數據保密1)應對應用程序代碼進行惡意代碼掃描;2)應對應用程序代碼進行安全脆弱性分析。1)2)1)2)應能夠檢測到系統管理數據、鑒別信息和用戶數據在傳輸過程中完整性受到破壞;應能夠檢測到系統管理數據、鑒別信息和用戶數據在存儲過程中完整性受到破壞。網絡設備、操作系統、數據庫管理系統和應用系統的鑒別

29、信息、敏感的系統管理數據和敏感的用戶數據應采用加密或其他有效措施實現傳輸保密性;網絡設備、操作系統、高的主體的處理能力。應制定應用程序代碼編寫安全規范，要求開發人員參照規范編寫代碼;應對應用程序代碼進行代碼復審，識別可能存在的惡意代碼;應對應用程序代碼進行安全脆弱性分析;應對應用程序代碼進行穿透性測試。應能夠檢測到系統管理數據、鑒別信息和用戶數據在傳輸過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復措施;應能夠檢測到系統管理數據、鑒另M言息和用戶數據在存儲過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復措施;應能夠檢測到重要程序的完整性受到破壞，并在檢測到完整性錯誤時采取必

30、要的恢復措施。網絡設備、操作系統、數據庫管理系統和應用系統的鑒別信息、敏感的系統管理數據和敏感的用戶數據應采用加密或其他有效措施實現傳輸保密性;網絡設備、操作系統、數據庫管理系統和應用系統的鑒別信息、敏感的系統管理數據和敏感的用戶數據應采用加密或其據庫管理系統和應用系統的鑒別信息、敏感的系統管理數據和敏感的用他保護措施實現存儲保密性;數據備份和恢復戶數據應采用加密或其他保護措施實現存儲保密性;3)當使用便攜式和移動式設備時，應加密或者采用可移動磁盤存儲敏感信息。1)2)3)應提供自動機制對重要信息進行有選擇的數據備份;應提供恢復重要信息的功能;應提供重要網絡設備、信線路和服務器的硬件冗余管理要

31、求管理要求項二級等保安全管理機構當使用便攜式和移動式設備時，應加密或者采用可移動磁盤存儲敏感信息;用于特定業務通信的通信信道應符合相關的國家規定。應提供自動機制對重要信息進行本地和異地備份;應提供恢復重要信息的功能;應提供重要網絡設備、通信線路和服務器的硬件冗余;應提供重要業務系統的本地系統級熱備份。三級等保t-L-t £亠 岡位設置人員配備1)2)3)應設立信息安全管理工作的職能部門，設立安全主管人、安全管理各個方面的負責人崗位，定義各負責人的職責;應設立系統管理人員、網絡管理人員、安全管理人員崗位，定義各個工作崗位的職責;應制定文件明確安全管理機構各個部門和崗位的職責、分工和技能

32、要求。1)應配備一定數量的系統管理人員、網絡管理人員、安全管理人員等;應設立信息安全管理工作的職能部門,設立安全主管人、安全管理各個方面的負責人崗位，定義各負責人的職責;應設立系統管理人員、 網絡管理人員、安全管理人員崗位，定義各個工作崗位的職責;應成立指導和管理信息安全工作的委員會或領導小組，其最高領導應由單位主管領導委任或授權;應制定文件明確安全管理機構各個部門和崗位的職責、分工和技能要求。應配備一定數量的系統管理人員、網絡管理人員、安全管理人員等;應配備專職安全管理人員，不可兼任;/*管理要求項二級等保三級等保2）安全管理人員不能兼任網絡管理員、系統管理3）關鍵崗位應定期輪崗。授權1）應

33、授權審批部門及批準1）應授權審批部門及批準人，對關鍵活動和審人，對關鍵活動進行審進行審批；批批；2）應列表說明須審批的事項、審批部門和2）應列表說明須審批的事可批準人；項、審批部門和可批準3）應建立各審批事項的審批程序，按照審人。批程序執行審批過程；4）應建立關鍵活動的雙重審批制度；5）不再適用的權限應及時取消授權；6）應定期審查、更新需授權和審批的項目；7）應記錄授權過程并保存授權文檔。溝通1）應加強各類管理人員和1）應加強各類管理人員和組織內部機構之和合組織內部機構之間的合間的合作與溝通，定期或不定期召開協作作與溝通，定期或不定期調會議，共同協助處理信息安全問題；員、數據庫管理員等。信息安

34、全職能部門應定期或不定期召集召開協調會議，共同協助2）處理信息安全問題;相關部門和人員召開安全工作會議，協2）3）信息安全職能部門應定期或不定期召集相關部門和人員召開安全工作會議，協調安全工作的實施;應加強與兄弟單位、公安機關、電信公司的合作與溝通，以便在發生安全事件時能夠得到及時的支持。調安全工作的實施;信息安全領導小組或者安全管理委員會定期召開例會，對信息安全工作進行指導、決策;應加強與兄弟單位、公安機關、電信公司的合作與溝通，以便在發生安全事件時能夠得到及時的支持;應加強與供應商、業界專家、專業的安全公司、安全組織的合作與溝通， 獲取信息安全的最新發展動態，當發生緊急事件的時候能夠及時得

35、到支持和幫助;應文件說明外聯單位、合作內容和聯系方式;審核和檢安全管理制度管理制度1)1)2)3)應由安全管理人員定期進行安全檢查，檢查內容包括用戶賬號情況、系統漏洞情況、系統審計情況等。應制定信息安全工作的總體方針、政策性文件和安全策略等，說明機構安全工作的總體目標、范圍、方針、原則、責任等;應對安全管理活動中重要的管理內容建立安全管理制度，以規范安全管理活動，約束人員的行為方式;應對要求管理人員或操作人員執行的重要管理7)聘請信息安全專家，作為常年的安全顧問，指導信息安全建設，參與安全規劃和安全評審等。應由安全管理人員定期進行安全檢查,檢查內容包括用戶賬號情況、系統漏洞情況、系統審計情況等

36、;應由安全管理部門組織相關人員定期進行全面安全檢查，檢查內容包括現有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執行情況等;應由安全管理部門組織相關人員定期分析、評審異常行為的審計記錄，發現可疑行為，形成審計分析報告，并采取必要的應對措施;應制定安全檢查表格實施安全檢查，匯總安全檢查數據，形成安全檢查報告，并對安全檢查結果進行通報;應制定安全審核和安全檢查制度規范安全審核和安全檢查工作，定期按照程序進行安全審核和安全檢查活動。應制定信息安全工作的總體方針、政策性文件和安全策略等，說明機構安全工作的總體目標、范圍、方針、原則、責任等;應對安全管理活動中的各類管理內容建立安全管

37、理制度，以規范安全管理活動,約束人員的行為方式;應對要求管理人員或操作人員執行的日常管理操作，建立操作規程，以規范操作行為，防止操作失誤;操作，建立操作規程，以規范操作行為，防止操作失誤。人員安全管理應形成由安全政策、安全策略、管理制度、操作規程等構成的全面的信息安全管理制度體系;應由安全管理職能部門定期組織相關部門和相關人員對安全管理制度體系的合制定1)應在信息安全職能部門1)應在信息安全領導小組的負責下，組織和發的總體負責下，組織相關相關人員制定；布人員制定；2)應保證安全管理制度具有統一的格式風2)應保證安全管理制度具格，并進行版本控制；有統一的格式風格，并進3)應組織相關人員對制定的安

38、全管理進行行版本控制；論證和審定；3)應組織相關人員對制定4)安全管理制度應經過管理層簽發后按照的安全管理進行論證和一定的程序以文件形式發布；審定；5)安全管理制度應注明發布范圍，并對收4)安全管理制度應經過管發文進行登記。理層簽發后按照一定的程序以文件形式發布。理性和適用性進行審定。評審應定期對安全管理制度進行評審和修1)應定期對安全管理制度1)和修人員錄用1)2)進行評審和修訂，對存在不足或需要改進的安全管理制度進行修訂。應保證被錄用人具備基本的專業技術水平和安全管理知識;應對被錄用人的身份、景、專業資格和資質等進行審查;訂，對存在不足或需要改進的安全管理制度進行修訂;當發生重大安全事故、

39、出現新的安全漏洞以及技術基礎結構發生變更時，應對安全管理制度進行檢查、審定和修訂;每個制度文檔應有相應負責人或負責部門，負責對明確需要修訂的制度文檔的維護。應保證被錄用人具備基本的專業技術水平和安全管理知識;應對被錄用人的身份、背景、專業資格和資質等進行審查;應對被錄用人所具備的技術技能進行考核;人員離崗3)4)5)1)2)3)應對被錄用人所具備的技術技能進行考核;應對被錄用人說明其角色和職責;應簽署保密協議。應立即終止由于各種原因即將離崗的員工的所有訪問權限;應取回各種身份證件、匙、徽章等以及機構提供的軟硬件設備;應經機構人事部門辦理嚴格的調離手續，并承諾調離后的保密義務后方應對被錄用人說明

40、其角色和職責;應簽署保密協議;從事關鍵崗位的人員應從內部人員選拔，并定期進行信用審查;從事關鍵崗位的人員應簽署崗位安全協議。應立即終止由于各種原因即將離崗的員工的所有訪問權限;應取回各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備;應經機構人事部門辦理嚴格的調離手續，并承諾調離后的保密義務后方可離開。人員1)應定期對各個崗位的人1)應對所有人員進行全面、嚴格的安全審考核員進行安全技能及安全查；認知的考核；2)應定期對各個崗位的人員進行安全技能2)應對關鍵崗位的人員進及安全認知的考核；行全面、嚴格的安全審3)應對考核結果進行記錄并保存；查；4)應對違背安全策略和規定的人員進行懲3)應對違背安全

41、策略和規戒。定的人員進行懲戒可離開。應對各類人員進行安全意識教育;安全1)應對各類人員進行安全1)意識意識教育；2)教育2)應告知人員相關的安全和培責任和懲戒措施；3)訓3)應制定安全教育和培訓計劃，對信息安全基礎知4)識、崗位操作規程等進行5)培訓；4)應對安全教育和培訓的應告知人員相關的安全責任和懲戒措施;應制定安全教育和培訓計劃，對信息安全基礎知識、崗位操作規程等進行培訓;應針對不同崗位制定不同培訓計劃;應對安全教育和培訓的情況和結果進行記錄并歸檔保存。第三1）情況和結果進行記錄并歸檔保存。第三方人員應在訪問前第三方人員應在訪問前與機構簽署安全員訪同書或保密協議；2）對重要區域的訪問，須

42、提出書面申請，批問管2）對重要區域的訪問，必須準后由專人全程陪同或監督，并記錄備理經過有關負責人的批準，案；并由專人陪冋或監督下3）對第三方人員允許訪問的區域、系統、設進行，并記錄備案。備、信息等內容應進行書面的規定，并按照規定執行。系統系統1）應明確信息系統劃分的1）應明確信息系統劃分的方法；建設定級方法；2）應確定信息系統的安全等級；管理2）應確定信息系統的安全3）應以書面的形式定義確定了安全等級的等級；信息系統的屬性，包括使命、業務、網絡、3）應以書面的形式定義確硬件、軟件、數據、邊界、人員等；定了安全等級的信息系4）應以書面的形式說明確定一個信息系統統的屬性，包括使命、業為某個安全等級

43、的方法和理由；務、網絡、硬件、軟件、5）應組織相關部門和有關安全技術專家對數據、邊界、人員等；信息系統的定級結果的合理性和正確性4）應確保信息系統的定級進行論證和審定；結果經過相關部門的批6）應確保信息系統的定級結果經過相關部準。門的批準。安全1）應根據系統的安全級別1）應根據系統的安全級別選擇基本安全措方案選擇基本安全措施，依據施，依據風險分析的結果補充和調整安設計風險分析的結果補充和全措施；調整安全措施；2）應指定和授權專門的部門對信息系統的2）應以書面的形式描述對安全建設進行總體規劃，制定近期和遠系統的安全保護要求和期的安全建設工作計劃；策略、安全措施等內容，3）應根據信息系統的等級劃分情況，統一形成系統的安全方案；考慮安全保障體系的總體安全策略、安3）應對安