1、精選優質文檔-傾情為你奉上網絡安全等級保護基本要求 第1部分：安全通用要求一、技術要求:基本要求第一級第二級第三級第四級物理和環境安全物理位置的選擇/a)機房場地應選擇在具有防震、防風和防雨等能力的建筑內；b)機房場地應避免設在建筑物的頂層或地下室，否則應加強防水和防潮措施a) ;b) ;a) ;b) ;物理訪問控制a)機房出入口應安排專人值守或配置電子門禁系統，控制、鑒別和記錄進入的人員a)a) 機房出入口應配置電子門禁系統，控制、鑒別和記錄進入的人員a) ;b) 重要區域應配置第二道電子門禁系統，控制、鑒別和記錄進入的人員防盜竊和防破壞a)應將機房設備或主要部件進行固定，并設置明顯的不易除

2、去的標記a)；b)應將通信線纜鋪設在隱蔽處，可鋪設在地下或管道中。a)；b)；c)應設置機房防盜報警系統或設置有專人值守的視頻監控系統a) ;b) ;c) ;防雷擊a)應將各類機柜、設施和設備等通過接地系統安全接地a) a)；b)應采取措施防止感應雷，例如設置防雷保安器或過壓保護裝置等a) ;b) ;防火a)機房應設置滅火設備a)機房應設置火災自動消防系統，能夠自動檢測火情、自動報警，并自動滅火；b)機房及相關的工作房間和輔助房應采用具有耐火等級的建筑材料a)；b)；c)應對機房劃分區域進行管理，區域和區域之間設置隔離防火措施。a) ;b) ;c) ;防水和防潮a)應采取措施防止雨水通過機房窗

3、戶、屋頂和墻壁滲透a)；b)應采取措施防止機房內水蒸氣結露和地下積水的轉移與滲透a)；b)；c)應安裝對水敏感的檢測儀表或元件，對機房進行防水檢測和報警。a) ;b) ;c) ;防靜電/a) 應安裝防靜電地板并采用必要的接地防靜電措施a)；b)應采用措施防止靜電的產生，例如采用靜電消除器、佩戴防靜電手環等。a) ;b) ;溫濕度控制a)機房應設置必要的溫、濕度控制設施，使機房溫、濕度的變化在設備運行所允許的范圍之內a) 機房應設置溫濕度自動調節設施，使機房溫濕度的變化在設備運行所允許的范圍之內a) ; a) ;電力供應a)應在機房供電線路上配置穩壓器和過電壓防護設備a)；b)應提供短期的備用電

4、力供應，至少滿足設備在斷電情況下的正常運行要求a)；b)；c)應設置冗余或并行的電力電纜線路為計算機系統供電。a)；b)；c)；d)應提供應急供電設施。電磁防護/a) 電源線和通信線纜應隔離鋪設，避免互相干擾a)；b)應對關鍵設備實施電磁屏蔽。a)；b)應對關鍵設備或關鍵區域實施電磁屏蔽。網絡和通信安全網絡架構a)應保證網絡設備的業務處理能力滿足基本業務需要；b)應保證接入網絡和核心網絡的帶寬滿足基本業務需要。a)應保證網絡設備的業務處理能力滿足業務高峰期需要；b)應保證接入網絡和核心網絡的帶寬滿足業務高峰期需要； c)應劃分不同的網絡區域，并按照方便管理和控制的原則為各網絡區域分配地址；d)

5、應避免將重要網絡區域部署在網絡邊界處且沒有邊界防護措施。a)；b)應保證網絡各個部分的帶寬滿足業務高峰期需要；c)；d)；e)應提供通信線路、關鍵網絡設備的硬件冗余，保證系統的可用性。a)；c)；d)；e)；f)應可按照業務服務的重要程度分配帶寬，優先保障重要業務。通信傳輸a) 應采用校驗碼技術保證通信過程中數據的完整性a) a)應采用校驗碼技術或加解密技術保證通信過程中數據的完整性；b)應采用加解密技術保證通信過程中敏感信息字段或整個報文的保密性。a)；b)；c)應在通信前基于密碼技術對通信的雙方進行驗證或認證；d)應基于硬件設備對重要通信過程進行加解密運算和密鑰管理。邊界防護a) 應保證跨

6、越邊界的訪問和數據流通過邊界防護設備提供的受控接口進行通信a) a)；b)應能夠對非授權設備私自聯到內部網絡的行為進行限制或檢查；c)應能夠對內部用戶非授權聯到外部網絡的行為進行限制或檢查；d)應限制無線網絡的使用，確保無線網絡通過受控的邊界防護設備接入內部網絡。a)；b)應能夠對非授權設備私自聯到內部網絡的行為進行限制或檢查，并對其進行有效阻斷；c)應能夠對內部用戶非授權聯到外部網絡的行為進行限制或檢查，并對其進行有效阻斷；d)；e)應能夠對連接到內部網絡的設備進行可信驗證，確保接入網絡的設備真實可信。訪問控制a)應在網絡邊界根據訪問控制策略設置訪問控制規則，默認情況下除允許通信外受控接口拒

7、絕所有通信；b)應刪除多余或無效的訪問控制規則，優化訪問控制列表，并保證訪問控制規則數量最小化；c)應對源地址、目的地址、源端口、目的端口和協議等進行檢查，以允許/拒絕數據包進出a)應在網絡邊界或區域之間根據訪問控制策略設置訪問控制規則，默認情況下除允許通信外受控接口拒絕所有通信；b)；c)；d)應能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為端口級a)；b)；c)；d)；e)應在關鍵網絡節點處對進出網絡的信息內容進行過濾，實現對內容的訪問控制。a)；b)；c)應不允許數據帶通用協議通過。入侵防范/a) 應在關鍵網絡節點處監視網絡攻擊行為a)應在關鍵網絡節點處檢測、防止或

8、限制從外部發起的網絡攻擊行為；b)應在關鍵網絡節點處檢測和限制從內部發起的網絡攻擊行為；c)應采取技術措施對網絡行為進行分析，實現對網絡攻擊特別是未知的新型網絡攻擊的檢測和分析；d)當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發生嚴重入侵事件時應提供報警a) ;b) ;c) ;d) ; 惡意代碼防范/a)應在關鍵網絡節點處對惡意代碼進行檢測和清除，并維護惡意代碼防護機制的升級和更新；b)應在關鍵網絡節點處對垃圾郵件進行檢測和防護，并維護垃圾郵件防護機制的升級和更新a) ;b) ;安全審計/a)應在網絡邊界、重要網絡節點進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和

9、重要安全事件進行審計；b)審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；c)應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等。a)；b)；c)；d)審計記錄產生時的時間應由系統范圍內唯一確定的時鐘產生，以確保審計分析的正確性；e)應能對遠程訪問的用戶行為、訪問互聯網的用戶行為等單獨進行行為審計和數據分析a) ;b) ;c) ;d) ;集中管控/a)應劃分出特定的管理區域，對分布在網絡中的安全設備或安全組件進行管控；b)應能夠建立一條安全的信息傳輸路徑，對網絡中的安全設備或安全組件進行管理；c)應對網絡鏈路、安全設備、網絡設備和服務器等的運

10、行狀況進行集中監測；d)應對分散在各個設備上的審計數據進行收集匯總和集中分析；e)應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理；f)應能對網絡中發生的各類安全事件進行識別、報警和分析。a) ;b) ;c) ;d) ;e) ;f) ;設備和計算安全身份鑒別a)應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換；b)應具有登錄失敗處理功能，應配置并啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施a)；b)；c)當進行遠程管理時，應采取必要措施，防止鑒別信息在網絡傳輸過程中被竊聽。a)；b)；c)；d)應采用兩種或兩種以上組合的鑒

11、別技術對用戶進行身份鑒別。a) ;b) ;c) ;d) ;訪問控制a)應對登錄的用戶分配賬號和權限；b)應重命名默認賬號或修改默認口令；c)應及時刪除或停用多余的、過期的賬號，避免共享賬號的存在a)；b)；c)；d)應授予管理用戶所需的最小權限，實現管理用戶的權限分離a)；b)；c)；d)；e)應由授權主體配置訪問控制策略，訪問控制策略規定主體對客體的訪問規則；f)訪問控制的粒度應達到主體為用戶級或進程級，客體為文件、數據庫表級；g)應對敏感信息資源設置安全標記，并控制主體對有安全標記信息資源的訪問。a)；b)；c)；d)；e)；f)；g)應對所有主體、客體設置安全標記，并依據安全標記和強制訪

12、問控制規則確定主體對客體的訪問。安全審計/a)應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；b)審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；c)應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等。a)；b)；c)；d)應對審計進程進行保護，防止未經授權的中斷；e)審計記錄產生時的時間應由系統范圍內唯一確定的時鐘產生，以確保審計分析的正確性a)；b)審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等；c)；d)；e)。入侵防范a)系統應遵循最小安裝的原則，僅安裝需要的組件和應用程序；b)應關閉

13、不需要的系統服務、默認共享和高危端口a)；b)；c)應通過設定終端接入方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制；d)應能發現可能存在的漏洞，并在經過充分測試評估后，及時修補漏洞a)。b)；c)；d)；e)應能夠檢測到對重要節點進行入侵的行為，并在發生嚴重入侵事件時提供報警。a) ;b) ;c) ;d) ;e) ; 惡意代碼防范a)應安裝防惡意代碼軟件或配置具有相應功能的軟件，并定期進行升級和更新防惡意代碼庫a) ; a) 應采用免受惡意代碼攻擊的技術措施或采用可信計算技術建立從系統到應用的信任鏈，實現系統運行過程中重要程序或文件完整性檢測，并在檢測到破壞后進行恢復。a) ; 資源

14、控制/a) 應限制單個用戶或進程對系統資源的最大使用限度a)；b)應提供重要節點設備的硬件冗余，保證系統的可用性；c)應對重要節點進行監視，包括監視CPU、硬盤、內存等資源的使用情況；d)應能夠對重要節點的服務水平降低到預先規定的最小值進行檢測和報警。a) ;b) ;c) ;d) ;應用和數據安全身份鑒別a)應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，鑒別信息具有復雜度要求并定期更換；b)應提供并啟用登錄失敗處理功能，多次登錄失敗后應采取必要的保護措施a)；b)；c)應強制用戶首次登錄時修改初始口令；d)用戶身份鑒別信息丟失或失效時，應采用鑒別信息重置或其他技術措施保證系統安全a)；

15、b)；c)；d)；e)應對同一用戶采用兩種或兩種以上組合的鑒別技術實現用戶身份鑒別。a)；b)；c)；d)；e)；f)登錄用戶執行重要操作時應再次進行身份鑒別。訪問控制a)應提供訪問控制功能，對登錄的用戶分配賬號和權限；b)應重命名應用系統默認賬號或修改這些賬號的默認口令；c)應及時刪除或停用多余的、過期的賬號，避免共享賬號的存在a) ; b); c); a)；b)；c)；d)應授予不同賬號為完成各自承擔任務所需的最小權限，并在它們之間形成相互制約的關系；e)應由授權主體配置訪問控制策略，訪問控制策略規定主體對客體的訪問規則；f)訪問控制的粒度應達到主體為用戶級，客體為文件、數據庫表級、記錄或

16、字段級；g)應對敏感信息資源設置安全標記，并控制主體對有安全標記信息資源的訪問。a)；b)；c)；d)；e)；f)；g)應對所有主體、客體設置安全標記，并依據安全標記和強制訪問控制規則確定主體對客體的訪問。安全審計/a)應提供安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；b)審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；c)應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等a)；b)；c)；d)應對審計進程進行保護，防止未經授權的中斷；e)審計記錄產生時的時間應由系統范圍內唯一確定的時鐘產生，以確保審計分析的正確

17、性a)；b)審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等；c)；d)；e)。軟件容錯a)應提供數據有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的內容符合系統設定要求a)；b)在故障發生時，應能夠繼續提供一部分功能，確保能夠實施必要的措施a)；b)；c)應提供自動保護功能，當故障發生時自動保護當前所有狀態，保證系統能夠進行恢復。a) ; b) ; c) ;資源控制/a)當通信雙方中的一方在一段時間內未作任何響應，另一方應能夠自動結束會話；b)應能夠對系統的最大并發會話連接數進行限制；c)應能夠對單個賬號的多重并發會話進行限制a)；b)；c)；d)應能夠對并發進程的每

18、個進程占用的資源分配最大限額。a) ; b) ; c) ;d) ; 數據完整性a)應采用校驗碼技術保證重要數據在傳輸過程中的完整性a) ; a) 應采用校驗碼技術或加解密技術保證重要數據在傳輸過程中的完整性；b)應采用校驗碼技術或加解密技術保證重要數據在存儲過程中的完整性。a)；b)；c)應對重要數據傳輸提供專用通信協議或安全通信協議，避免來自基于通用通信協議的攻擊破壞數據完整性。數據保密性/a)應采用加解密技術保證重要數據在傳輸過程中的保密性；b)應采用加解密技術保證重要數據在存儲過程中的保密性。a)；b)；c)應對重要數據傳輸提供專用通信協議或安全通信協議，避免來自基于通用通信協議的攻擊破

19、壞數據保密性。數據備份恢復a)應提供重要數據的本地數據備份與恢復功能a)；b)應提供異地數據備份功能，利用通信網絡將重要數據定時批量傳送至備用場地a)；b)應提供異地實時備份功能，利用通信網絡將重要數據實時備份至備份場地；c)應提供重要數據處理系統的熱冗余，保證系統的高可用性。a)；b)；c)；d)應建立異地災難備份中心，提供業務應用的實時切換。剩余信息保護/a) 應保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除a)；b)應保證存有敏感數據的存儲空間被釋放或重新分配前得到完全清除。a) ; b) ;個人信息保護/a)應僅采集和保存業務必需的用戶個人信息；b)應禁止未授權訪問、使用用戶

20、個人信息a) ; b) ; a) ; b) ;二、管理要求基本要求第一級第二級第三級第四級安全策略和管理制度安全策略/a) 應制定信息安全工作的總體方針和安全策略，說明機構安全工作的總體目標、范圍、原則和安全框架等。a) ; 管理制度a) 應建立日常管理活動中常用的安全管理制度a)應對安全管理活動中的主要管理內容建立安全管理制度；b)應對要求管理人員或操作人員執行的日常管理操作建立操作規程a)；b)；c)應形成由安全策略、管理制度、操作規程、記錄表單等構成的全面的信息安全管理制度體系。a) ; b) ;c) ; 制定和發布/a)應指定或授權專門的部門或人員負責安全管理制度的制定；b)安全管理制

21、度應通過正式、有效的方式發布，并進行版本控制a) ; b) ;a) ; b) ;評審和修訂/a) 應定期對安全管理制度的合理性和適用性進行論證和審定，對存在不足或需要改進的安全管理制度進行修訂a)a) ; 安全管理機構和人員崗位設置c) 應設立系統管理員、網絡管理員、安全管理員等崗位，并定義各個工作崗位的職責b)應設立信息安全管理工作的職能部門，設立安全主管、安全管理各個方面的負責人崗位，并定義各負責人的職責；c)應設立系統管理員、網絡管理員、安全管理員等崗位，并定義部門及各個工作崗位的職責a)應成立指導和管理信息安全工作的委員會或領導小組，其最高領導由單位主管領導委任或授權；b)；c)；a)

22、 ; b) ;c) ;人員配備a) 應配備一定數量的系統管理員、網絡管理員、安全管理員等a) ; a)；b)應配備專職安全管理員，不可兼任。a) ; b) ;c) 關鍵事務崗位應配備多人共同管理授權和審批a) 應根據各個部門和崗位的職責明確授權審批事項、審批部門和批準人等a)；b)應針對系統變更、重要操作、物理訪問和系統接入等事項執行審批過程a)；b)應針對系統變更、重要操作、物理訪問和系統接入等事項建立審批程序，按照審批程序執行審批過程，對重要活動建立逐級審批制度；c)應定期審查審批事項，及時更新需授權和審批的項目、審批部門和審批人等信息。a) ; b) ;c) ;溝通和合作/a)應加強各類

23、管理人員之間、組織內部機構之間以及信息安全職能部門內部的合作與溝通，定期召開協調會議，共同協作處理信息安全問題；b)應加強與兄弟單位、公安機關、各類供應商、業界專家及安全組織的合作與溝通；c)應建立外聯單位聯系列表，包括外聯單位名稱、合作內容、聯系人和聯系方式等信息a) ; b) ; c) ;b) ;c) ;審核和檢查/a) 應定期進行常規安全檢查，檢查內容包括系統日常運行、系統漏洞和數據備份等情況a)；b)應定期進行全面安全檢查，檢查內容包括現有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執行情況等；c)應制定安全檢查表格實施安全檢查，匯總安全檢查數據，形成安全檢查報告，

24、并對安全檢查結果進行通報。a) ; b) ;c) ;人員錄用a) 應指定或授權專門的部門或人員負責人員錄用a)；b)應對被錄用人員的身份、背景、專業資格和資質等進行審查a)；b)對被錄用人員的身份、背景、專業資格和資質等進行審查，對其所具有的技術技能進行考核；c)應與被錄用人員簽署保密協議，與關鍵崗位人員簽署崗位責任協議。a)；b)；c)；d)應從內部人員中選拔從事關鍵崗位的人員。人員離崗a) 應及時終止離崗員工的所有訪問權限，取回各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備a) ; a)；b)應辦理嚴格的調離手續，并承諾調離后的保密義務后方可離開。a) ; b) ;安全意識教育和培訓a

25、) 應對各類人員進行安全意識教育和崗位技能培訓，并告知相關的安全責任和懲戒措施a) ; a)；b)應針對不同崗位制定不同的培訓計劃，對信息安全基礎知識、崗位操作規程等進行培訓。a) ; b) ;外部人員訪問管理a) 應確保在外部人員訪問受控區域前得到授權或審批a)應確保在外部人員物理訪問受控區域前先提出書面申請，批準后由專人全程陪同，并登記備案；b)應確保在外部人員接入網絡訪問系統前先提出書面申請，批準后由專人開設賬號、分配權限，并登記備案；c)外部人員離場后應及時清除其所有的訪問權限a)；b)；c)；d)獲得系統訪問授權的外部人員應簽署保密協議，不得進行非授權操作，不得復制和泄露任何敏感信息

26、。a)；b)；c)；d)；e)對關鍵區域或關鍵系統不允許外部人員訪問。安全建設管理定級和備案a) 應明確保護對象的邊界和安全保護等級a)應以書面的形式說明保護對象的邊界、安全保護等級及確定等級的方法和理由；b)應組織相關部門和有關安全技術專家對定級結果的合理性和正確性進行論證和審定；c)應確保定級結果經過相關部門的批準；d)應將備案材料報主管部門和相應公安機關備案a) ; b) ; c) ; d) ;a)；b)；c)；d)；安全方案設計a) 應根據安全保護等級選擇基本安全措施，依據風險分析的結果補充和調整安全措施a)；b)應根據保護對象的安全保護等級進行安全方案設計；c)應組織相關部門和有關安

27、全專家對安全方案的合理性和正確性進行論證和審定，經過批準后才能正式實施a)；b)應根據保護對象的安全保護等級及與其他級別保護對象的關系進行安全整體規劃和安全方案設計，并形成配套文件；c)應組織相關部門和有關安全專家對安全整體規劃及其配套文件的合理性和正確性進行論證和審定，經過批準后才能正式實施。a)；b)；c)；產品采購和使用a) 應確保信息安全產品采購和使用符合國家的有關規定a)；b)應確保密碼產品采購和使用符合國家密碼主管部門的要求a)；b)；c)應預先對產品進行選型測試，確定產品的候選范圍，并定期審定和更新候選產品名單。a)；b)；c)；d)應對重要部位的產品委托專業測評單位進行專項測試

28、，根據測試結果選用產品。自行軟件開發/a)應確保開發環境與實際運行環境物理分開，測試數據和測試結果受到控制；e)應確保在軟件開發過程中對安全性進行測試，在軟件安裝前對可能存在的惡意代碼進行檢測。a)；b)應制定軟件開發管理制度，明確說明開發過程的控制方法和人員行為準則；c)應制定代碼編寫安全規范，要求開發人員參照規范編寫代碼；d)應確保具備軟件設計的相關文檔和使用指南，并對文檔使用進行控制；e)；f)應確保對程序資源庫的修改、更新、發布進行授權和批準，并嚴格進行版本控制；g)應確保開發人員為專職人員，開發人員的開發活動受到控制、監視和審查。a)；b)；c)；d)；e)；f)；g)；外包軟件開發

29、/a)應在軟件交付前檢測軟件質量和其中可能存在的惡意代碼；b)應要求開發單位提供軟件設計文檔和使用指南a)；b)；c)應要求開發單位提供軟件源代碼，并審查軟件中可能存在的后門和隱蔽信道。a)；b)；c)；工程實施a) 應指定或授權專門的部門或人員負責工程實施過程的管理a)；b)應制定工程實施方案控制安全工程實施過程a)；b)；c)應通過第三方工程監理控制項目的實施過程。a)；b)；c)；測試驗收a) 應進行安全性測試驗收a)在制訂測試驗收方案，并依據測試驗收方案實施測試驗收，形成測試驗收報告；b)應進行上線前的安全性測試，并出具安全測試報告a) ; b) ;a)；b)；系統交付a)應根據交付清

30、單對所交接的設備、軟件和文檔等進行清點； b)應對負責運行維護的技術人員進行相應的技能培訓a)；b)；c)應確保提供建設過程中的文檔和指導用戶進行運行維護的文檔a) ; b) ;c) ; a)；b)；c)；等級測評/a)應定期進行等級測評，發現不符合相應等級保護標準要求的及時整改；b)應在發生重大變更或級別發生變化時進行等級測評；c)應選擇具有國家相關技術資質和安全資質的測評單位進行等級測評a) ; b) ;c) ;a)；b)；c)；服務供應商選擇a)應確保服務供應商的選擇符合國家的有關規定；b)應與選定的服務供應商簽訂與安全相關的協議，明確約定相關責任a)；b)應與選定的服務供應商簽訂相關協

31、議，明確整個服務供應鏈各方需履行的信息安全相關義務a)；b)；c)應定期監視、評審和審核服務供應商提供的服務，并對其變更服務內容加以控制。a)；b)；c)；安全運維管理環境管理a)應指定專門的部門或人員負責機房安全，對機房出入進行管理，定期對機房供配電、空調、溫濕度控制、消防等設施進行維護管理；b)應建立機房安全管理制度，對有關機房物理訪問，物品帶進、帶出機房和機房環境安全等方面的管理作出規定a)；b)；c)應不在重要區域接待來訪人員和桌面上沒有包含敏感信息的紙檔文件、移動介質等a) ; b) ;c) ;a)；b)；c)；d)應對出入人員進行相應級別的授權，對進入重要安全區域的人員和活動實時監

32、視等。資產管理/a) 應編制并保存與保護對象相關的資產清單，包括資產責任部門、重要程度和所處位置等內容a)；b)應根據資產的重要程度對資產進行標識管理，根據資產的價值選擇相應的管理措施；c)應對信息分類與標識方法作出規定，并對信息的使用、傳輸和存儲等進行規范化管理。a)；b)；c)；介質管理a) 應確保介質存放在安全的環境中，對各類介質進行控制和保護，實行存儲環境專人管理，并根據存檔介質的目錄清單定期盤點a)；b)應對介質在物理傳輸過程中的人員選擇、打包、交付等情況進行控制，并對介質的歸檔和查詢等進行登記記錄a) ; b) ; a)；b)；設備維護管理a) 應對各種設備（包括備份和冗余設備）、

33、線路等指定專門的部門或人員定期進行維護管理a)；b)應建立配套設施、軟硬件維護方面的管理制度，對其維護進行有效的管理，包括明確維護人員的責任、涉外維修和服務的審批、維修過程的監督控制等a)；b)；c)應確保信息處理設備必須經過審批才能帶離機房或辦公地點，含有存儲介質的設備帶出工作環境時其中重要數據必須加密；d)含有存儲介質的設備在報廢或重用前，應進行完全清除或被安全覆蓋，確保該設備上的敏感數據和授權軟件無法被恢復重用。a)；b)；c)；d)；漏洞和風險管理a) 應采取必要的措施識別安全漏洞和隱患，對發現的安全漏洞和隱患及時進行修補或評估可能的影響后進行修補a) ; a)；b)應定期開展安全測評

34、，形成安全測評報告，采取措施應對發現的安全問題。a)；b)；網絡和系統安全管理a)應劃分不同的管理員角色進行網絡和系統的運維管理，明確各個角色的責任和權限；b)應指定專門的部門或人員進行賬號管理，對申請賬號、建立賬號、刪除賬號等進行控制a)；b)；c)應建立網絡和系統安全管理制度，對安全策略、賬號管理、配置管理、日志管理、日常操作、升級與打補丁、口令更新周期等方面作出規定；d)應制定重要設備的配置和操作手冊，依據手冊對設備進行安全配置和優化配置等；e)應詳細記錄運維操作日志，包括日常巡檢工作、運行維護記錄、參數的設置和修改等內容。a)；b)；c)；d)；e)；f)應嚴格控制變更性運維，經過審批

35、后才可改變連接、安裝系統組件或調整配置參數，操作過程中應保留不可更改的審計日志，操作結束后應同步更新配置信息庫；g)應嚴格控制運維工具的使用，經過審批后才可接入進行操作，操作過程中應保留不可更改的審計日志，操作結束后應刪除工具中的敏感數據；h)應嚴格控制遠程運維的開通，經過審批后才可開通遠程運維接口或通道，操作過程中應保留不可更改的審計日志，操作結束后立即關閉接口或通道；i)應保證所有與外部的連接均得到授權和批準， 應定期檢查違反規定無線上網及其他違反網絡安全策略的行為。a)；b)；c)；d)；e)；f)；g)；h)；i)；惡意代碼防范管理a)應提高所有用戶的防惡意代碼意識，告知對外來計算機或存儲設備接入系統前進行惡意代碼檢查等；b)應對惡意代碼防范要求做出規定，包括防惡意代碼軟件的授權使用、惡意代碼庫升級、惡意代碼的定期查殺等a) ; b) ; a)；b)；c)應定期驗證防范惡意代碼攻擊的技術措施的有效性。a)；b)