当前位置:首页 >> 信息与通信 >>

机房2级和3级等保要求


二级、三级等级保护要求比较
一、 技术要求
技术要求项 物理 安全 物理 位置 的选 择 二级等保 1) 机房和办公场地应选择 在具有防震、 防风和防雨 等能力的建筑内。 三级等保 1) 机房和办公场地应选择在具有防震、防 风和防雨等能力的建筑内; 2) 机房场地应避免设在建筑物的高层或地 下室,以及用水设备的下层或隔壁; 3) 机房场地应当避开强电场、强磁场、强 震动源、强噪声源、重度环境污染、易 发生火灾、水灾、易遭受雷击的地区。 物理 访问 控制 1) 机房出入口应有专人值 守, 鉴别进入的人员身份 并登记在案; 2) 应批准进入机房的来访 人员, 限制和监控其活动 范围。 1) 机房出入口应有专人值守,鉴别进入的 人员身份并登记在案; 2) 应批准进入机房的来访人员,限制和监 控其活动范围; 3) 应对机房划分区域进行管理,区域和区 域之间设置物理隔离装置,在重要区域 前设置交付或安装等过度区域; 4) 应对重要区域配置电子门禁系统,鉴别 和记录进入的人员身份并监控其活动。 防盗 窃和 防破 坏 1) 应将主要设备放置在物 理受限的范围内; 2) 应对设备或主要部件进 行固定, 并设置明显的不 易除去的标记; 3) 应将通信线缆铺设在隐 蔽处, 如铺设在地下或管 道中等; 4) 应对介质分类标识, 存储 在介质库或档案室中; 5) 应安装必要的防盗报警 设施, 以防进入机房的盗 窃和破坏行为。 1) 应将主要设备放置在物理受限的范围 内; 2) 应对设备或主要部件进行固定,并设置 明显的无法除去的标记; 3) 应将通信线缆铺设在隐蔽处,如铺设在 地下或管道中等; 4) 应对介质分类标识,存储在介质库或档 案室中; 5) 设备或存储介质携带出工作环境时,应 受到监控和内容加密; 6) 应利用光、电等技术设置机房的防盗报 警系统,以防进入机房的盗窃和破坏行 为;

技术要求项

二级等保

三级等保 7) 应对机房设置监控报警系统。

防雷 击

1) 机房建筑应设置避雷装 置; 2) 应设置交流电源地线。

1) 机房建筑应设置避雷装置; 2) 应设置防雷保安器,防止感应雷; 3) 应设置交流电源地线。 1) 应设置火灾自动消防系统,自动检测火 情、自动报警,并自动灭火; 2) 机房及相关的工作房间和辅助房,其建 筑材料应具有耐火等级; 3) 机房采取区域隔离防火措施,将重要设 备与其他设备隔离开。

防火

1) 应设置灭火设备和火灾 自动报警系统, 并保持灭 火设备和火灾自动报警 系统的良好状态。

防水 和防 潮

1) 水管安装, 不得穿过屋顶 和活动地板下; 2) 应对穿过墙壁和楼板的 水管增加必要的保护措 施,如设置套管; 3) 应采取措施防止雨水通 过屋顶和墙壁渗透; 4) 应采取措施防止室内水 蒸气结露和地下积水的 转移与渗透。

1) 水管安装,不得穿过屋顶和活动地板下; 2) 应对穿过墙壁和楼板的水管增加必要的 保护措施,如设置套管; 3) 应采取措施防止雨水通过屋顶和墙壁渗 透; 4) 应采取措施防止室内水蒸气结露和地下 积水的转移与渗透。

防静 电 温湿 度控 制

1) 应采用必要的接地等防 静电措施 1) 应设置温、 湿度自动调节 设施,使机房温、湿度的 变化在设备运行所允许 的范围之内。

1) 应采用必要的接地等防静电措施; 2) 应采用防静电地板。 1) 应设置恒温恒湿系统,使机房温、湿度 的变化在设备运行所允许的范围之内。

电力 供应

1) 计算机系统供电应与其 他供电分开; 2) 应设置稳压器和过电压 防护设备; 3) 应提供短期的备用电力 供应(如 UPS 设备) 。

1) 计算机系统供电应与其他供电分开; 2) 应设置稳压器和过电压防护设备; 3) 应提供短期的备用电力供应(如 UPS 设 备) ; 4) 应设置冗余或并行的电力电缆线路; 5) 应建立备用供电系统(如备用发电机) , 以备常用供电系统停电时启用。

技术要求项

二级等保 1) 应采用接地方式防止外

三级等保 1) 应采用接地方式防止外界电磁干扰和设 备寄生耦合干扰; 2) 电源线和通信线缆应隔离,避免互相干 扰; 3) 对重要设备和磁介质实施电磁屏蔽。 1) 网络设备的业务处理能力应具备冗余空 间,要求满足业务高峰期需要; 2) 应设计和绘制与当前运行情况相符的网 络拓扑结构图; 3) 应根据机构业务的特点,在满足业务高 峰期需要的基础上,合理设计网络带宽;

电磁 防护

界电磁干扰和设备寄生 耦合干扰; 2) 电源线和通信线缆应隔 离,避免互相干扰。

网络 安全

结构 安全 与网 段划 分

1) 网络设备的业务处理能 力应具备冗余空间, 要求 满足业务高峰期需要; 2) 应设计和绘制与当前运 行情况相符的网络拓扑 结构图;

3) 应根据机构业务的特点, 4) 应在业务终端与业务服务器之间进行路 在满足业务高峰期需要 的基础上, 合理设计网络 带宽; 4) 应在业务终端与业务服 务器之间进行路由控制, 建立安全的访问路径; 5) 应根据各部门的工作职 能、重要性、所涉及信息 的重要程度等因素, 划分 不同的子网或网段, 并按 照方便管理和控制的原 则为各子网、 网段分配地 址段; 6) 重要网段应采取网络层 地址与数据链路层地址 绑定措施,防止地址欺 骗。 网络 访问 控制 1) 应能根据会话状态信息 (包括数据包的源地址、 目的地址、源端口号、目 的端口号、协议、出入的 1) 应能根据会话状态信息(包括数据包的 源地址、目的地址、源端口号、目的端 口号、协议、出入的接口、会话序列号、 发出信息的主机名等信息,并应支持地 由控制建立安全的访问路径; 5) 应根据各部门的工作职能、重要性、所 涉及信息的重要程度等因素,划分不同 的子网或网段,并按照方便管理和控制 的原则为各子网、网段分配地址段; 6) 重要网段应采取网络层地址与数据链路 层地址绑定措施,防止地址欺骗; 7) 应按照对业务服务的重要次序来指定带 宽分配优先级别,保证在网络发生拥堵 的时候优先保护重要业务数据主机。

技术要求项

二级等保 接口、会话序列号、发出 信息的主机名等信息, 并 应支持地址通配符的使 用) ,为数据流提供明确 的允许/拒绝访问的能 力。

三级等保 址通配符的使用) ,为数据流提供明确的 允许/拒绝访问的能力; 2) 应对进出网络的信息内容进行过滤,实 现对应用层 HTTP 、 FTP 、 TELNET 、 SMTP、POP3 等协议命令级的控制; 3) 应依据安全策略允许或者拒绝便携式和 移动式设备的网络接入; 4) 应在会话处于非活跃一定时间或会话结 束后终止网络连接; 5) 应限制网络最大流量数及网络连接数。

拨号 访问 控制

1) 应在基于安全属性的允 许远程用户对系统访问 的规则的基础上, 对系统 所有资源允许或拒绝用 户进行访问, 控制粒度为 单个用户; 2) 应限制具有拨号访问权 限的用户数量。

1) 应在基于安全属性的允许远程用户对系 统访问的规则的基础上,对系统所有资 源允许或拒绝用户进行访问,控制粒度 为单个用户; 2) 应限制具有拨号访问权限的用户数量; 3) 应按用户和系统之间的允许访问规则, 决定允许用户对受控系统进行资源访 问。

网络 安全 审计

1) 应对网络系统中的网络 设备运行状况、网络流 量、 用户行为等事件进行 日志记录; 2) 对于每一个事件, 其审计 记录应包括: 事件的日期 和时间、 用户、 事件类型、 事件是否成功, 及其他与 审计相关的信息。

1) 应对网络系统中的网络设备运行状况、 网络流量、用户行为等进行全面的监测、 记录; 2) 对于每一个事件,其审计记录应包括: 事件的日期和时间、用户、事件类型、 事件是否成功,及其他与审计相关的信 息; 3) 安全审计应可以根据记录数据进行分 析,并生成审计报表; 4) 安全审计应可以对特定事件,提供指定 方式的实时报警; 5) 审计记录应受到保护避免受到未预期的 删除、修改或覆盖等。

技术要求项 边界 完整 性检 查

二级等保 1) 应能够检测内部网络中 出现的内部用户未通过 准许私自联到外部网络 的行为 (即“非法外联”行 为) 。

三级等保 1) 应能够检测内部网络中出现的内部用户 未通过准许私自联到外部网络的行为 (即“非法外联”行为); 2) 应能够对非授权设备私自联到网络的行 为进行检查,并准确定出位置,对其进 行有效阻断; 3) 应能够对内部网络用户私自联到外部网 络的行为进行检测后准确定出位置,并 对其进行有效阻断。

网络 入侵 防范

1) 应在网络边界处监视以 下攻击行为:端口扫描、 强力攻击、木马后门攻 击、拒绝服务攻击、缓冲 区溢出攻击、 IP 碎片攻 击、 网络蠕虫攻击等入侵 事件的发生。

1) 应在网络边界处应监视以下攻击行为: 端口扫描、强力攻击、木马后门攻击、 拒绝服务攻击、缓冲区溢出攻击、 IP碎 片攻击、网络蠕虫攻击等入侵事件的发 生; 2) 当检测到入侵事件时,应记录入侵的源 IP、攻击的类型、攻击的目的、攻击的 时间,并在发生严重入侵事件时提供报 警。

恶意 代码 防范

1) 应在网络边界及核心业 务网段处对恶意代码进 行检测和清除; 2) 应维护恶意代码库的升 级和检测系统的更新; 3) 应支持恶意代码防范的 统一管理。

1) 应在网络边界及核心业务网段处对恶意 代码进行检测和清除; 2) 应维护恶意代码库的升级和检测系统的 更新; 3) 应支持恶意代码防范的统一管理。

网络 设备 防护

1) 应对登录网络设备的用 户进行身份鉴别; 2) 应对网络设备的管理员 登录地址进行限制; 3) 网络设备用户的标识应

1) 应对登录网络设备的用户进行身份鉴 别; 2) 应对网络上的对等实体进行身份鉴别; 3) 应对网络设备的管理员登录地址进行限

技术要求项

二级等保 唯一; 4) 身份鉴别信息应具有不 易被冒用的特点, 例如口 令长度、 复杂性和定期的 更新等; 5) 应具有登录失败处理功 能,如:结束会话、限制 非法登录次数, 当网络登 制;

三级等保

4) 网络设备用户的标识应唯一; 5) 身份鉴别信息应具有不易被冒用的特 点,例如口令长度、复杂性和定期的更 新等; 6) 应对同一用户选择两种或两种以上组合 的鉴别技术来进行身份鉴别;

录连接超时,自动退出。 7) 应具有登录失败处理功能,如:结束会 话、限制非法登录次数,当网络登录连 接超时,自动退出; 8) 应实现设备特权用户的权限分离,例如 将管理与审计的权限分配给不同的网络 设备用户。 主机 系统 安全 身份 鉴别 1) 操作系统和数据库管理 系统用户的身份标识应 具有唯一性; 2) 应对登录操作系统和数 据库管理系统的用户进 行身份标识和鉴别; 3) 操作系统和数据库管理 系统身份鉴别信息应具 有不易被冒用的特点, 例 如口令长度、 复杂性和定 期的更新等; 4) 应具有登录失败处理功 能,如:结束会话、限制 非法登录次数, 当登录连 接超时,自动退出。 1) 操作系统和数据库管理系统用户的身份 标识应具有唯一性; 2) 应对登录操作系统和数据库管理系统的 用户进行身份标识和鉴别; 3) 应对同一用户采用两种或两种以上组合 的鉴别技术实现用户身份鉴别; 4) 操作系统和数据库管理系统用户的身份 鉴别信息应具有不易被冒用的特点,例 如口令长度、复杂性和定期的更新等; 5) 应具有登录失败处理功能,如:结束会 话、限制非法登录次数,当登录连接超 时,自动退出; 6) 应具有鉴别警示功能; 7) 重要的主机系统应对与之相连的服务器 或终端设备进行身份标识和鉴别。 自主 1) 应依据安全策略控制主 1) 应依据安全策略控制主体对客体的访

技术要求项 访问 控制

二级等保 体对客体的访问; 2) 自主访问控制的覆盖范 围应包括与信息安全直 接相关的主体、 客体及它 们之间的操作; 3) 自主访问控制的粒度应 达到主体为用户级, 客体 为文件、数据库表级; 4) 应由授权主体设置对客 体访问和操作的权限; 5) 应严格限制默认用户的 访问权限。 问;

三级等保

2) 自主访问控制的覆盖范围应包括与信息 安全直接相关的主体、客体及它们之间 的操作; 3) 自主访问控制的粒度应达到主体为用户 级,客体为文件、数据库表级; 4) 应由授权主体设置对客体访问和操作的 权限; 5) 权限分离应采用最小授权原则,分别授 予不同用户各自为完成自己承担任务所 需的最小权限,并在他们之间形成相互 制约的关系; 6) 应实现操作系统和数据库管理系统特权 用户的权限分离; 7) 应严格限制默认用户的访问权限。

强制 访问 控制



1) 应对重要信息资源和访问重要信息资源 的所有主体设置敏感标记; 2) 强制访问控制的覆盖范围应包括与重要 信息资源直接相关的所有主体、客体及 它们之间的操作; 3) 强制访问控制的粒度应达到主体为用户 级,客体为文件、数据库表级。

安全 审计

1) 安全审计应覆盖到服务 器上的每个操作系统用 户和数据库用户; 2) 安全审计应记录系统内 重要的安全相关事件, 包 括重要用户行为和重要 系统命令的使用等; 3) 安全相关事件的记录应

1) 安全审计应覆盖到服务器和客户端上的 每个操作系统用户和数据库用户; 2) 安全审计应记录系统内重要的安全相关 事件,包括重要用户行为、系统资源的 异常使用和重要系统命令的使用; 3) 安全相关事件的记录应包括日期和时

技术要求项

二级等保 包括日期和时间、类型、 主体标识、客体标识、事 件的结果等; 4) 审计记录应受到保护避 免受到未预期的删除、 修 改或覆盖等。

三级等保 间、类型、主体标识、客体标识、事件 的结果等; 4) 安全审计应可以根据记录数据进行分 析,并生成审计报表; 5) 安全审计应可以对特定事件,提供指定 方式的实时报警; 6) 审计进程应受到保护避免受到未预期的 中断; 7) 审计记录应受到保护避免受到未预期的 删除、修改或覆盖等。

系统 保护

1) 系统应提供在管理维护 状态中运行的能力, 管理 维护状态只能被系统管 理员使用。

1) 系统因故障或其他原因中断后,应能够 以手动或自动方式恢复运行。

剩余 信息 保护

1) 应保证操作系统和数据 库管理系统用户的鉴别 信息所在的存储空间, 被 释放或再分配给其他用 户前得到完全清除, 无论 这些信息是存放在硬盘 上还是在内存中; 2) 应确保系统内的文件、 目 录和数据库记录等资源 所在的存储空间, 被释放 或重新分配给其他用户 前得到完全清除。

1) 应保证操作系统和数据库管理系统用户 的鉴别信息所在的存储空间,被释放或 再分配给其他用户前得到完全清除,无 论这些信息是存放在硬盘上还是在内存 中; 2) 应确保系统内的文件、目录和数据库记 录等资源所在的存储空间,被释放或重 新分配给其他用户前得到完全清除。

入侵 防范



1) 应进行主机运行监视,包括监视主机的 CPU、硬盘、内存、网络等资源的使用情 况; 2) 应设定资源报警域值,以便在资源使用 超过规定数值时发出报警;

技术要求项

二级等保

三级等保 3) 应进行特定进程监控,限制操作人员运 行非法进程; 4) 应进行主机账户监控,限制对重要账户 的添加和更改; 5) 应检测各种已知的入侵行为,记录入侵 的源IP、攻击的类型、攻击的目的、攻 击的时间,并在发生严重入侵事件时提 供报警; 6) 应能够检测重要程序完整性受到破坏, 并在检测到完整性错误时采取必要的恢 复措施。

恶意 代码 防范

1) 服务器和重要终端设备 (包括移动设备) 应安装 实时检测和查杀恶意代 码的软件产品; 2) 主机系统防恶意代码产 品应具有与网络防恶意 代码产品不同的恶意代 码库;

1) 服务器和终端设备(包括移动设备)均 应安装实时检测和查杀恶意代码的软件 产品; 2) 主机系统防恶意代码产品应具有与网络 防恶意代码产品不同的恶意代码库; 3) 应支持恶意代码防范的统一管理。

资源 控制

1) 应限制单个用户的会话 数量; 2) 应通过设定终端接入方 式、 网络地址范围等条件 限制终端登录。

1) 应限制单个用户的多重并发会话; 2) 应对最大并发会话连接数进行限制; 3) 应对一个时间段内可能的并发会话连接 数进行限制; 4) 应通过设定终端接入方式、网络地址范 围等条件限制终端登录; 5) 应根据安全策略设置登录终端的操作超 时锁定和鉴别失败锁定,并规定解锁或 终止方式; 6) 应禁止同一用户账号在同一时间内并发 登录;

技术要求项

二级等保

三级等保 7) 应限制单个用户对系统资源的最大或最 小使用限度; 8) 当系统的服务水平降低到预先规定的最 小值时,应能检测和报警; 9) 应根据安全策略设定主体的服务优先 级,根据优先级分配系统资源,保证优 先级低的主体处理能力不会影响到优先 级高的主体的处理能力。

应用 安全

身份 鉴别

1) 应用系统用户的身份标 识应具有唯一性; 2) 应对登录的用户进行身 份标识和鉴别; 3) 系统用户身份鉴别信息 应具有不易被冒用的特 点,例如口令长度、复杂 性和定期的更新等; 4) 应具有登录失败处理功 能,如:结束会话、限制 非法登录次数, 当登录连 接超时,自动退出。

1) 系统用户的身份标识应具有唯一性; 2) 应对登录的用户进行身份标识和鉴别; 3) 系统用户的身份鉴别信息应具有不易被 冒用的特点,例如口令长度、复杂性和 定期的更新等; 4) 应对同一用户采用两种或两种以上组合 的鉴别技术实现用户身份鉴别; 5) 应具有登录失败处理功能,如:结束会 话、限制非法登录次数,当登录连接超 时,自动退出; 6) 应具有鉴别警示功能; 7) 应用系统应及时清除存储空间中动态使 用的鉴别信息。

访问 控制

1) 应依据安全策略控制用 户对客体的访问; 2) 自主访问控制的覆盖范 围应包括与信息安全直 接相关的主体、 客体及它 们之间的操作; 3) 自主访问控制的粒度应 达到主体为用户级, 客体 为文件、数据库表级; 4) 应由授权主体设置用户

1) 应依据安全策略控制用户对客体的访 问; 2) 自主访问控制的覆盖范围应包括与信息 安全直接相关的主体、客体及它们之间 的操作; 3) 自主访问控制的粒度应达到主体为用户 级,客体为文件、数据库表级; 4) 应由授权主体设置用户对系统功能操作

技术要求项

二级等保 对系统功能操作和对数 据访问的权限; 5) 应实现应用系统特权用 户的权限分离, 例如将管 理与审计的权限分配给 不同的应用系统用户; 6) 权限分离应采用最小授 权原则, 分别授予不同用 户各自为完成自己承担 任务所需的最小权限, 并 在它们之间形成相互制 约的关系; 7) 应严格限制默认用户的 访问权限。

三级等保 和对数据访问的权限; 5) 应实现应用系统特权用户的权限分离, 例如将管理与审计的权限分配给不同的 应用系统用户; 6) 权限分离应采用最小授权原则,分别授 予不同用户各自为完成自己承担任务所 需的最小权限,并在它们之间形成相互 制约的关系; 7) 应严格限制默认用户的访问权限。

安全 审计

1) 安全审计应覆盖到应用 系统的每个用户; 2) 安全审计应记录应用系 统重要的安全相关事件, 包括重要用户行为和重 要系统功能的执行等; 3) 安全相关事件的记录应 包括日期和时间、类型、 主体标识、客体标识、事 件的结果等; 4) 审计记录应受到保护避 免受到未预期的删除、 修 改或覆盖等。

1) 安全审计应覆盖到应用系统的每个用 户; 2) 安全审计应记录应用系统重要的安全相 关事件,包括重要用户行为、系统资源 的异常使用和重要系统功能的执行等; 3) 安全相关事件的记录应包括日期和时 间、类型、主体标识、客体标识、事件 的结果等; 4) 安全审计应可以根据记录数据进行分 析,并生成审计报表; 5) 安全审计应可以对特定事件,提供指定 方式的实时报警; 6) 审计进程应受到保护避免受到未预期的 中断; 7) 审计记录应受到保护避免受到未预期的 删除、修改或覆盖等。

剩余

1) 应保证用户的鉴别信息

1) 应保证用户的鉴别信息所在的存储空

技术要求项 信息 保护

二级等保 所在的存储空间, 被释放 或再分配给其他用户前 得到完全清除, 无论这些 信息是存放在硬盘上还 是在内存中; 2) 应确保系统内的文件、 目 录和数据库记录等资源 所在的存储空间, 被释放 或重新分配给其他用户 前得到完全清除。

三级等保 间,被释放或再分配给其他用户前得到 完全清除,无论这些信息是存放在硬盘 上还是在内存中; 2) 应确保系统内的文件、目录和数据库记 录等资源所在的存储空间,被释放或重 新分配给其他用户前得到完全清除。

通信 完整 性

1) 通信双方应约定单向的 校验码算法, 计算通信数 据报文的校验码, 在进行 通信时, 双方根据校验码 判断对方报文的有效性。

1) 通信双方应约定密码算法,计算通信数 据报文的报文验证码,在进行通信时, 双方根据校验码判断对方报文的有效 性。

抗抵 赖



1) 应具有在请求的情况下为数据原发者或 接收者提供数据原发证据的功能; 2) 应具有在请求的情况下为数据原发者或 接收者提供数据接收证据的功能。

通信 保密 性

1) 当通信双方中的一方在 一段时间内未作任何响 应, 另一方应能够自动结 束会话; 2) 在通信双方建立连接之 前, 利用密码技术进行会 话初始化验证; 3) 在通信过程中, 应对敏感 信息字段进行加密。

1) 当通信双方中的一方在一段时间内未作 任何响应,另一方应能够自动结束会话; 2) 在通信双方建立连接之前,利用密码技 术进行会话初始化验证; 3) 在通信过程中,应对整个报文或会话过 程进行加密; 4) 应选用符合国家有关部门要求的密码算 法。 1) 应对通过人机接口输入或通过通信接口 输入的数据进行有效性检验; 2) 应对通过人机接口方式进行的操作提供 “回退”功能,即允许按照操作的序列

软件 容错

1) 应对通过人机接口输入 或通过通信接口输入的 数据进行有效性检验; 2) 应对通过人机接口方式

技术要求项

二级等保 进行的操作提供 “ 回退 ” 功能, 即允许按照操作的 序列进行回退; 3) 在故障发生时, 应继续提 供一部分功能, 确保能够 实施必要的措施。 进行回退;

三级等保

3) 应有状态监测能力,当故障发生时,能 实时检测到故障状态并报警; 4) 应有自动保护能力,当故障发生时,自 动保护当前所有状态。 1) 应限制单个用户的多重并发会话; 2) 应对应用系统的最大并发会话连接数进 行限制; 3) 应对一个时间段内可能的并发会话连接 数进行限制; 4) 应根据安全策略设置登录终端的操作超 时锁定和鉴别失败锁定,并规定解锁或 终止方式; 5) 应禁止同一用户账号在同一时间内并发 登录; 6) 应对一个访问用户或一个请求进程占用 的资源分配最大限额和最小限额; 7) 应根据安全属性(用户身份、访问地址、 时间范围等)允许或拒绝用户建立会话 连接; 8) 当系统的服务水平降低到预先规定的最 小值时,应能检测和报警; 9) 应根据安全策略设定主体的服务优先 级,根据优先级分配系统资源,保证优 先级低的主体处理能力不会影响到优先 级高的主体的处理能力。

资源 控制

1) 应限制单个用户的多重 并发会话; 2) 应对应用系统的最大并 发会话连接数进行限制; 3) 应对一个时间段内可能 的并发会话连接数进行 限制。

代码 安全

1) 应对应用程序代码进行 恶意代码扫描; 2) 应对应用程序代码进行

1) 应制定应用程序代码编写安全规范,要 求开发人员参照规范编写代码; 2) 应对应用程序代码进行代码复审,识别

技术要求项

二级等保 安全脆弱性分析。

三级等保 可能存在的恶意代码; 3) 应对应用程序代码进行安全脆弱性分 析; 4) 应对应用程序代码进行穿透性测试。

数据 安全

数据 完整 性

1) 应能够检测到系统管理 数据、 鉴别信息和用户数 据在传输过程中完整性 受到破坏; 2) 应能够检测到系统管理 数据、 鉴别信息和用户数 据在存储过程中完整性 受到破坏。

1) 应能够检测到系统管理数据、鉴别信息 和用户数据在传输过程中完整性受到破 坏,并在检测到完整性错误时采取必要 的恢复措施; 2) 应能够检测到系统管理数据、鉴别信息 和用户数据在存储过程中完整性受到破 坏,并在检测到完整性错误时采取必要 的恢复措施; 3) 应能够检测到重要程序的完整性受到破 坏,并在检测到完整性错误时采取必要 的恢复措施。

数据 保密 性

1) 网络设备、操作系统、数 据库管理系统和应用系 统的鉴别信息、 敏感的系 统管理数据和敏感的用 户数据应采用加密或其 他有效措施实现传输保 密性; 2) 网络设备、操作系统、数 据库管理系统和应用系 统的鉴别信息、 敏感的系 统管理数据和敏感的用 户数据应采用加密或其 他保护措施实现存储保 密性; 3) 当使用便携式和移动式 设备时, 应加密或者采用

1) 网络设备、操作系统、数据库管理系统 和应用系统的鉴别信息、敏感的系统管 理数据和敏感的用户数据应采用加密或 其他有效措施实现传输保密性; 2) 网络设备、操作系统、数据库管理系统 和应用系统的鉴别信息、敏感的系统管 理数据和敏感的用户数据应采用加密或 其他保护措施实现存储保密性; 3) 当使用便携式和移动式设备时,应加密 或者采用可移动磁盘存储敏感信息; 4) 用于特定业务通信的通信信道应符合相 关的国家规定。

技术要求项

二级等保 可移动磁盘存储敏感信 息。

三级等保

数据 备份 和恢 复

1) 应提供自动机制对重要 信息进行有选择的数据 备份; 2) 应提供恢复重要信息的 功能; 3) 应提供重要网络设备、 通 信线路和服务器的硬件 冗余

1) 应提供自动机制对重要信息进行本地和 异地备份; 2) 应提供恢复重要信息的功能; 3) 应提供重要网络设备、通信线路和服务 器的硬件冗余; 4) 应提供重要业务系统的本地系统级热备 份。

二、 管理要求
管理要求项 安全 管理 机构 岗位 设置 二级等保 1) 应设立信息安全管理工 作的职能部门, 设立安全 主管人、 安全管理各个方 面的负责人岗位, 定义各 负责人的职责; 2) 应设立系统管理人员、 网 络管理人员、 安全管理人 员岗位, 定义各个工作岗 位的职责; 3) 应制定文件明确安全管 理机构各个部门和岗位 的职责、分工和技能要 求。 人员 配备 1) 应配备一定数量的系统 管理人员、网络管理人 员、安全管理人员等; 2) 安全管理人员不能兼任 网络管理员、系统管理 员、数据库管理员等。 授权 和审 1) 应授权审批部门及批准 人,对关键活动进行审 1) 应授权审批部门及批准人,对关键活动 进行审批; 1) 应配备一定数量的系统管理人员、网络 管理人员、安全管理人员等; 2) 应配备专职安全管理人员,不可兼任; 3) 关键岗位应定期轮岗。 三级等保 1) 应设立信息安全管理工作的职能部门, 设立安全主管人、安全管理各个方面的 负责人岗位,定义各负责人的职责; 2) 应设立系统管理人员、网络管理人员、 安全管理人员岗位,定义各个工作岗位 的职责; 3) 应成立指导和管理信息安全工作的委员 会或领导小组,其最高领导应由单位主 管领导委任或授权; 4) 应制定文件明确安全管理机构各个部门 和岗位的职责、分工和技能要求。

管理要求项 批 批;

二级等保

三级等保 2) 应列表说明须审批的事项、审批部门和 可批准人; 3) 应建立各审批事项的审批程序,按照审 批程序执行审批过程; 4) 应建立关键活动的双重审批制度; 5) 不再适用的权限应及时取消授权; 6) 应定期审查、更新需授权和审批的项目; 7) 应记录授权过程并保存授权文档。

2) 应列表说明须审批的事 项、审批部门和可批准 人。

沟通 和合 作

1) 应加强各类管理人员和 组织内部机构之间的合 作与沟通, 定期或不定期 召开协调会议, 共同协助 处理信息安全问题; 2) 信息安全职能部门应定 期或不定期召集相关部 门和人员召开安全工作 会议, 协调安全工作的实 施; 3) 应加强与兄弟单位、 公安 机关、 电信公司的合作与 沟通, 以便在发生安全事 件时能够得到及时的支 持。

1) 应加强各类管理人员和组织内部机构之 间的合作与沟通,定期或不定期召开协 调会议,共同协助处理信息安全问题; 2) 信息安全职能部门应定期或不定期召集 相关部门和人员召开安全工作会议,协 调安全工作的实施; 3) 信息安全领导小组或者安全管理委员会 定期召开例会,对信息安全工作进行指 导、决策; 4) 应加强与兄弟单位、公安机关、电信公 司的合作与沟通,以便在发生安全事件 时能够得到及时的支持; 5) 应加强与供应商、业界专家、专业的安 全公司、安全组织的合作与沟通,获取 信息安全的最新发展动态,当发生紧急 事件的时候能够及时得到支持和帮助; 6) 应文件说明外联单位、合作内容和联系 方式; 7) 聘请信息安全专家,作为常年的安全顾 问,指导信息安全建设,参与安全规划 和安全评审等。

审核 和检 查

1) 应由安全管理人员定期 进行安全检查, 检查内容 包括用户账号情况、 系统 漏洞情况、 系统审计情况

1) 应由安全管理人员定期进行安全检查, 检查内容包括用户账号情况、系统漏洞 情况、系统审计情况等; 2) 应由安全管理部门组织相关人员定期进

管理要求项 等。

二级等保

三级等保 行全面安全检查,检查内容包括现有安 全技术措施的有效性、安全配置与安全 策略的一致性、安全管理制度的执行情 况等; 3) 应由安全管理部门组织相关人员定期分 析、评审异常行为的审计记录,发现可 疑行为,形成审计分析报告,并采取必 要的应对措施; 4) 应制定安全检查表格实施安全检查,汇 总安全检查数据,形成安全检查报告, 并对安全检查结果进行通报; 5) 应制定安全审核和安全检查制度规范安 全审核和安全检查工作,定期按照程序 进行安全审核和安全检查活动。

安全 管理 制度

管理 制度

1) 应制定信息安全工作的 总体方针、 政策性文件和 安全策略等, 说明机构安 全工作的总体目标、范

1) 应制定信息安全工作的总体方针、政策 性文件和安全策略等,说明机构安全工 作的总体目标、范围、方针、原则、责 任等;

围、 方针、 原则、 责任等; 2) 应对安全管理活动中的各类管理内容建 2) 应对安全管理活动中重 要的管理内容建立安全 管理制度, 以规范安全管 理活动, 约束人员的行为 方式; 3) 应对要求管理人员或操 作人员执行的重要管理 操作,建立操作规程,以 规范操作行为, 防止操作 失误。 立安全管理制度,以规范安全管理活动, 约束人员的行为方式; 3) 应对要求管理人员或操作人员执行的日 常管理操作,建立操作规程,以规范操 作行为,防止操作失误; 4) 应形成由安全政策、安全策略、管理制 度、操作规程等构成的全面的信息安全 管理制度体系; 5) 应由安全管理职能部门定期组织相关部 门和相关人员对安全管理制度体系的合 理性和适用性进行审定。 制定 和发 布 1) 应在信息安全职能部门 的总体负责下, 组织相关 人员制定; 1) 应在信息安全领导小组的负责下,组织 相关人员制定; 2) 应保证安全管理制度具有统一的格式风

管理要求项

二级等保 2) 应保证安全管理制度具 有统一的格式风格, 并进 行版本控制; 3) 应组织相关人员对制定 的安全管理进行论证和 审定; 4) 安全管理制度应经过管 理层签发后按照一定的 程序以文件形式发布。

三级等保 格,并进行版本控制; 3) 应组织相关人员对制定的安全管理进行 论证和审定; 4) 安全管理制度应经过管理层签发后按照 一定的程序以文件形式发布; 5) 安全管理制度应注明发布范围,并对收 发文进行登记。

评审 和修 订

1) 应定期对安全管理制度 进行评审和修订, 对存在 不足或需要改进的安全 管理制度进行修订。

1) 应定期对安全管理制度进行评审和修 订,对存在不足或需要改进的安全管理 制度进行修订; 2) 当发生重大安全事故、出现新的安全漏 洞以及技术基础结构发生变更时,应对 安全管理制度进行检查、审定和修订; 3) 每个制度文档应有相应负责人或负责部 门,负责对明确需要修订的制度文档的 维护。

人员 安全 管理

人员 录用

1) 应保证被录用人具备基 本的专业技术水平和安 全管理知识; 2) 应对被录用人的身份、 背 景、 专业资格和资质等进 行审查; 3) 应对被录用人所具备的 技术技能进行考核; 4) 应对被录用人说明其角 色和职责; 5) 应签署保密协议。

1) 应保证被录用人具备基本的专业技术水 平和安全管理知识; 2) 应对被录用人的身份、背景、专业资格 和资质等进行审查; 3) 应对被录用人所具备的技术技能进行考 核; 4) 应对被录用人说明其角色和职责; 5) 应签署保密协议; 6) 从事关键岗位的人员应从内部人员选 拔,并定期进行信用审查; 7) 从事关键岗位的人员应签署岗位安全协 议。

人员 离岗

1) 应立即终止由于各种原 因即将离岗的员工的所 有访问权限;

1) 应立即终止由于各种原因即将离岗的员 工的所有访问权限; 2) 应取回各种身份证件、钥匙、徽章等以

管理要求项

二级等保 2) 应取回各种身份证件、 钥 匙、 徽章等以及机构提供 的软硬件设备; 3) 应经机构人事部门办理 严格的调离手续, 并承诺 调离后的保密义务后方 可离开。

三级等保 及机构提供的软硬件设备; 3) 应经机构人事部门办理严格的调离手 续,并承诺调离后的保密义务后方可离 开。

人员 考核

1) 应定期对各个岗位的人 员进行安全技能及安全 认知的考核; 2) 应对关键岗位的人员进 行全面、严格的安全审 查; 3) 应对违背安全策略和规 定的人员进行惩戒

1) 应对所有人员进行全面、严格的安全审 查; 2) 应定期对各个岗位的人员进行安全技能 及安全认知的考核; 3) 应对考核结果进行记录并保存; 4) 应对违背安全策略和规定的人员进行惩 戒。

安全 意识 教育 和培 训

1) 应对各类人员进行安全 意识教育; 2) 应告知人员相关的安全 责任和惩戒措施; 3) 应制定安全教育和培训 计划, 对信息安全基础知 识、 岗位操作规程等进行 培训; 4) 应对安全教育和培训的 情况和结果进行记录并 归档保存。

1) 应对各类人员进行安全意识教育; 2) 应告知人员相关的安全责任和惩戒措 施; 3) 应制定安全教育和培训计划,对信息安 全基础知识、岗位操作规程等进行培训; 4) 应针对不同岗位制定不同培训计划; 5) 应对安全教育和培训的情况和结果进行 记录并归档保存。

第三 方人 员访 问管 理

1) 第三方人员应在访问前 与机构签署安全责任合 同书或保密协议; 2) 对重要区域的访问, 必须 经过有关负责人的批准, 并由专人陪同或监督下 进行,并记录备案。

1) 第三方人员应在访问前与机构签署安全 责任合同书或保密协议; 2) 对重要区域的访问,须提出书面申请, 批准后由专人全程陪同或监督,并记录 备案; 3) 对第三方人员允许访问的区域、系统、 设备、信息等内容应进行书面的规定,

管理要求项

二级等保

三级等保 并按照规定执行。

系统 建设 管理

系统 定级

1) 应明确信息系统划分的 方法; 2) 应确定信息系统的安全 等级; 3) 应以书面的形式定义确 定了安全等级的信息系 统的属性,包括使命、业

1) 应明确信息系统划分的方法; 2) 应确定信息系统的安全等级; 3) 应以书面的形式定义确定了安全等级的 信息系统的属性,包括使命、业务、网 络、硬件、软件、数据、边界、人员等; 4) 应以书面的形式说明确定一个信息系统 为某个安全等级的方法和理由;

务、网络、硬件、软件、 5) 应组织相关部门和有关安全技术专家对 数据、边界、人员等; 4) 应确保信息系统的定级 结果经过相关部门的批 准。 安全 方案 设计 1) 应根据系统的安全级别 选择基本安全措施, 依据 风险分析的结果补充和 调整安全措施; 2) 应以书面的形式描述对 系统的安全保护要求和 信息系统的定级结果的合理性和正确性 进行论证和审定; 6) 应确保信息系统的定级结果经过相关部 门的批准。 1) 应根据系统的安全级别选择基本安全措 施,依据风险分析的结果补充和调整安 全措施; 2) 应指定和授权专门的部门对信息系统的 安全建设进行总体规划,制定近期和远 期的安全建设工作计划;

策略、安全措施等内容, 3) 应根据信息系统的等级划分情况,统一 形成系统的安全方案; 3) 应对安全方案进行细化, 形成能指导安全系统建 设和安全产品采购的详 细设计方案; 4) 应组织相关部门和有关 安全技术专家对安全设 计方案的合理性和正确 性进行论证和审定; 5) 应确保安全设计方案必 须经过批准, 才能正式实 施。 考虑安全保障体系的总体安全策略、安 全技术框架、安全管理策略、总体建设 规划和详细设计方案,并形成配套文件; 4) 应组织相关部门和有关安全技术专家对 总体安全策略、安全技术框架、安全管 理策略、总体建设规划、详细设计方案 等相关配套文件的合理性和正确性进行 论证和审定; 5) 应确保总体安全策略、安全技术框架、 安全管理策略、总体建设规划、详细设 计方案等文件必须经过批准,才能正式 实施; 6) 应根据安全测评、安全评估的结果定期

管理要求项

二级等保

三级等保 调整和修订总体安全策略、安全技术框 架、安全管理策略、总体建设规划、详 细设计方案等相关配套文件。

产品 采购

1) 应确保安全产品的使用 符合国家的有关规定; 2) 应确保密码产品的使用 符合国家密码主管部门 的要求; 3) 应指定或授权专门的部 门负责产品的采购。

1) 应确保安全产品的使用符合国家的有关 规定; 2) 应确保密码产品的使用符合国家密码主 管部门的要求; 3) 应指定或授权专门的部门负责产品的采 购; 4) 应制定产品采购方面的管理制度明确说 明采购过程的控制方法和人员行为准 则; 5) 应预先对产品进行选型测试,确定产品 的候选范围,并定期审定和更新候选产 品名单。

自行 软件 开发

1) 应确保开发环境与实际 运行环境物理分开; 2) 应确保提供软件设计的 相关文档和使用指南; 3) 应确保系统开发文档由 专人负责保管, 系统开发 文档的使用受到控制。

1) 应确保开发环境与实际运行环境物理分 开; 2) 应确保系统开发文档由专人负责保管, 系统开发文档的使用受到控制; 3) 应制定开发方面的管理制度明确说明开 发过程的控制方法和人员行为准则; 4) 应确保开发人员和测试人员的分离,测 试数据和测试结果受到控制; 5) 应确保提供软件设计的相关文档和使用 指南; 6) 应确保对程序资源库的修改、更新、发 布进行授权和批准。

外包 软件 开发

1) 应与软件开发单位签订 协议, 明确知识产权的归 属和安全方面的要求; 2) 应根据协议的要求检测 软件质量; 3) 应在软件安装之前检测

1) 应与软件开发单位签订协议,明确知识 产权的归属和安全方面的要求; 2) 应根据协议的要求检测软件质量; 3) 应在软件安装之前检测软件包中可能存 在的恶意代码; 4) 应要求开发单位提供技术培训和服务承

管理要求项

二级等保 软件包中可能存在的恶 意代码; 4) 应确保提供软件设计的 相关文档和使用指南。 诺;

三级等保

5) 应要求开发单位提供软件设计的相关文 档和使用指南。

工程 实施

1) 应与工程实施单位签订 与安全相关的协议, 约束 工程实施单位的行为; 2) 应指定或授权专门的人 员或部门负责工程实施 过程的管理; 3) 应制定详细的工程实施 方案控制实施过程。

1) 应与工程实施单位签订与安全相关的协 议,约束工程实施单位的行为; 2) 应指定或授权专门的人员或部门负责工 程实施过程的管理; 3) 应制定详细的工程实施方案控制实施过 程,并要求工程实施单位能正式地执行 安全工程过程; 4) 应制定工程实施方面的管理制度,明确 说明实施过程的控制方法和人员行为准 则。

测试 验收

1) 应对系统进行安全性测 试验收; 2) 应在测试验收前根据设 计方案或合同要求等制 订测试验收方案, 测试验 收过程中详细记录测试 验收结果, 形成测试验收 报告; 3) 应组织相关部门和相关 人员对系统测试验收报 告进行审定, 没有疑问后 由双方签字。

1) 应对系统进行安全性测试验收; 2) 应在测试验收前根据设计方案或合同要 求等制订测试验收方案,测试验收过程 中详细记录测试验收结果,形成测试验 收报告; 3) 应委托公正的第三方测试单位对系统进 行测试,并出具测试报告; 4) 应制定系统测试验收方面的管理制度明 确说明系统测试验收的控制方法和人员 行为准则; 5) 应指定或授权专门的部门负责系统测试 验收的管理,并按照管理制度的要求完 成系统测试验收工作; 6) 应组织相关部门和相关人员对系统测试 验收报告进行审定,没有疑问后由双方 签字。

系统 交付

1) 应明确系统的交接手续, 1) 应明确系统的交接手续,并按照交接手 并按照交接手续完成交 接工作; 续完成交接工作; 2) 应由系统建设方完成对委托建设方的运

管理要求项

二级等保 2) 应由系统建设方完成对 委托建设方的运维技术 人员的培训; 3) 应由系统建设方提交系 统建设过程中的文档和 指导用户进行系统运行 维护的文档; 4) 应由系统建设方进行服 务承诺, 并提交服务承诺 书, 确保对系统运行维护 的支持。

三级等保 维技术人员的培训; 3) 应由系统建设方提交系统建设过程中的 文档和指导用户进行系统运行维护的文 档; 4) 应由系统建设方进行服务承诺,并提交 服务承诺书,确保对系统运行维护的支 持; 5) 应制定系统交付方面的管理制度明确说 明系统交付的控制方法和人员行为准 则; 6) 应指定或授权专门的部门负责系统交付 的管理工作,并按照管理制度的要求完 成系统交付工作。

系统 备案



1) 应将系统定级、系统属性等材料指定专 门的人员或部门负责管理,并控制这些 材料的使用; 2) 应将系统等级和系统属性等资料报系统 主管部门备案; 3) 应将系统等级、系统属性、等级划分理 由及其他要求的备案材料报相应公安机 关备案。

安全 测评



1) 应在系统投入运行前进行安全测评,测 评后符合相应等级保护标准要求的才能 投入使用; 2) 应在系统运行过程中定期对系统进行安 全测评,发现不符合相应等级保护标准 要求的及时整改; 3) 应在系统发生变更时及时对系统进行安 全测评,发现级别发生变化的及时调整 级别并进行安全改造;发现不符合相应 等级保护标准要求的及时整改; 4) 应选择具有国家相关技术资质和安全资 质的测评单位进行安全测评;

管理要求项

二级等保

三级等保 5) 应与测评单位签订与安全相关的协议, 约束测评单位的行为; 6) 应指定或授权专门的人员或部门负责安 全测评的管理。

安全 服务 商选 择 系统 运维 管理 环境 管理

1) 应确保安全服务商的选 择符合国家的有关规定。

1) 应确保安全服务商的选择符合国家的有 关规定。

1) 应对机房供配电、空调、 1) 应对机房供配电、空调、温湿度控制等 温湿度控制等设施指定 专人或专门的部门定期 进行维护管理; 2) 应配备机房安全管理人 员,对机房的出入、服务 器的开机或关机等工作 进行管理; 3) 应建立机房安全管理制 度,对有关机房物理访 问,物品带进、带出机房 和机房环境安全等方面 的管理作出规定; 4) 应对机房来访人员实行 登记、备案管理,同时限 设施指定专人或专门的部门定期进行维 护管理; 2) 应配备机房安全管理人员,对机房的出 入、服务器的开机或关机等工作进行管 理; 3) 应建立机房安全管理制度,对有关机房 物理访问,物品带进、带出机房和机房 环境安全等方面的管理作出规定; 4) 加强对办公环境的保密性管理,包括如 工作人员调离办公室应立即交还该办公 室钥匙和不在办公区接待来访人员等; 5) 应有指定的部门负责机房安全,并配置 电子门禁系统,对机房来访人员实行登 记记录和电子记录双重备案管理;

制来访人员的活动范围; 6) 应对办公环境的人员行为,如工作人员 5) 加强对办公环境的保密 性管理, 包括如工作人员 调离办公室应立即交还 该办公室钥匙和不在办 公区接待来访人员等。 资产 管理 1) 应建立资产安全管理制 度, 规定信息系统资产管 理的责任人员或责任部 门; 1) 应建立资产安全管理制度,规定信息系 统资产管理的责任人员或责任部门,并 规范资产管理和使用的行为; 2) 应编制并保存与信息系统相关的资产、 离开座位应确保终端计算机退出登录状 态和桌面上没有包含敏感信息的纸档文 件等作出规定。

管理要求项

二级等保 2) 应编制并保存与信息系 统相关的资产、 资产所属 关系、 安全级别和所处位 置等信息的资产清单; 3) 应根据资产的重要程度 对资产进行定性赋值和 标识管理, 根据资产的价 值选择相应的管理措施。

三级等保 资产所属关系、安全级别和所处位置等 信息的资产清单; 3) 应根据资产的重要程度对资产进行定性 赋值和标识管理,根据资产的价值选择 相应的管理措施; 4) 应确定信息分类与标识的原则和方法, 并对信息的使用、传输和存储作出规定。

介质 管理

1) 应确保介质存放在安全 的环境中, 并对各类介质 进行控制和保护, 以防止 被盗、被毁、被未授权的 修改以及信息的非法泄 漏; 2) 应有介质的存储、归档、 登记和查询记录, 并根据 备份及存档介质的目录 清单定期盘点; 3) 对于需要送出维修或销 毁的介质, 应首先清除介 质中的敏感数据, 防止信 息的非法泄漏; 4) 应根据所承载数据和软 件的重要程度对介质进 行分类和标识管理, 并实 行存储环境专人管理。

1) 应建立介质安全管理制度,对介质的存 放环境、使用、维护和销毁等方面作出 规定; 2) 应有介质的归档和查询记录,并对存档 介质的目录清单定期盘点; 3) 对于需要送出维修或销毁的介质,应首 先清除介质中的敏感数据,防止信息的 非法泄漏; 4) 应根据数据备份的需要对某些介质实行 异地存储,存储地的环境要求和管理方 法应与本地相同; 5) 应根据所承载数据和软件的重要程度对 介质进行分类和标识管理,并实行存储 环境专人管理; 6) 应对介质的物理传输过程中人员选择、 打包、交付等情况进行控制; 7) 应对存储介质的使用过程、送出维修以 及销毁进行严格的管理,保密性较高的 信息存储介质未经批准不得自行销毁; 8) 必要时应对重要介质的数据和软件采取 加密存储,对带出工作环境的存储介质 进行内容加密和监控管理; 9) 应对存放在介质库中的介质定期进行完 整性和可用性检查,确认其数据或软件 没有受到损坏或丢失。

管理要求项 设备 管理

二级等保 1) 应对信息系统相关的各 种设施、设备、线路等指 定专人或专门的部门定 期进行维护管理; 2) 应对信息系统的各种软 硬件设备的选型、采购、 发放或领用等过程建立 基于申报、 审批和专人负 责的管理规定; 3) 应对终端计算机、工作 站、便携机、系统和网络 等设备的操作和使用进 行规范化管理; 4) 应对带离机房或办公地 点的信息处理设备进行 控制; 5) 应按操作规程实现服务 器的启动 / 停止、加电 / 断电等操作, 加强对服务 器操作的日志文件管理 和监控管理, 应按安全策 略的要求对网络及设备 进行配置, 并对其定期进 行检查。

三级等保 1) 应对信息系统相关的各种设备、线路等 指定专人或专门的部门定期进行维护管 理; 2) 应对信息系统的各种软硬件设备的选 型、采购、发放或领用等过程建立基于 申报、审批和专人负责的管理规定; 3) 应对终端计算机、工作站、便携机、系 统和网络等设备的操作和使用进行规范 化管理; 4) 应对带离机房或办公地点的信息处理设 备进行控制; 5) 应按操作规程实现服务器的启动/停止、 加电/断电等操作,加强对服务器操作的 日志文件管理和监控管理,并对其定期 进行检查; 6) 应建立配套设施、软硬件维护方面的管 理制度,对其维护进行有效的管理,包 括明确维护人员的责任、涉外维修和服 务的审批、维修过程的监督控制等; 7) 应在安全管理机构统一安全策略下对服 务器进行系统配置和服务设定,并实施 配置管理。

监控 管理

1) 应了解服务器的 CPU、内 存、 进程、 磁盘使用情况。

1) 应进行主机运行监视,包括监视主机的 CPU、硬盘、内存、网络等资源的使用情 况; 2) 应对分散或集中的安全管理系统的访问 授权、操作记录、日志等方面进行有效 管理; 3) 应严格管理运行过程文档,其中包括责 任书、授权书、许可证、各类策略文档、 事故报告处理文档、安全配置文档、系

管理要求项

二级等保

三级等保 统各类日志等,并确保文档的完整性和 一致性。

网络 安全 管理

1) 应指定专人对网络进行 管理,负责运行日志、网 络监控记录的日常维护 和报警信息分析和处理 工作; 2) 应建立网络安全管理制 度, 对网络安全配置和日 志等方面作出规定; 3) 应根据厂家提供的软件 升级版本对网络设备进 行更新, 并在更新前对现 有的重要文件进行备份; 4) 应进行网络系统漏洞扫 描, 对发现的网络系统安 全漏洞进行及时的修补; 5) 应保证所有与外部系统 的连接均应得到授权和 批准; 6) 应对网络设备的安全策

1) 赢指定专人对网络进行管理,负责运行 日志、网络监控记录的日常维护和报警 信息分析和处理工作; 2) 应根据厂家提供的软件升级版本对网络 设备进行更新,并在更新前对现有的重 要文件进行备份; 3) 应进行网络系统漏洞扫描,对发现的网 络系统安全漏洞进行及时的修补; 4) 应保证所有与外部系统的连接均应得到 授权和批准; 5) 应建立网络安全管理制度,对网络安全 配置、网络用户以及日志等方面作出规 定; 6) 应对网络设备的安全策略、授权访问、 最小服务、升级与打补丁、维护记录、 日志以及配置文件的生成、备份、变更 审批、符合性检查等方面做出具体规定; 7) 应规定网络审计日志的保存时间以便为 可能的安全事件调查提供支持;

略、 授权访问、 最小服务、 8) 应明确各类用户的责任、义务和风险, 升级与打补丁、维护记 录、 日志等方面做出具体 要求; 7) 应规定网络审计日志的 保存时间以便为可能的 安全事件调查提供支持。 并按照机构制定的审查和批准程序建立 用户和分配权限,定期检查用户实际权 限与分配权限的符合性; 9) 应对日志的备份、授权访问、处理、保 留时间等方面做出具体规定,使用统一 的网络时间,以确保日志记录的准确; 10)应通过身份鉴别、访问控制等严格的规 定限制远程管理账户的操作权限和登录 行为; 11)应定期检查违反规定拨号上网或其他违 反网络安全策略的行为。

管理要求项 系统 安全 管理

二级等保 1) 应指定专人对系统进行 管理, 删除或者禁用不使 用的系统缺省账户; 2) 应制度系统安全管理制 度,对系统安全配置、系 统账户以及审计日志等 方面作出规定; 3) 应定期安装系统的最新 补丁程序, 并根据厂家提 供的可能危害计算机的 漏洞进行及时修补, 并在 安装系统补丁前对现有 的重要文件进行备份; 4) 应根据业务需求和系统 安全分析确定系统的访 问控制策略, 系统访问控 制策略用于控制分配信 息系统、 文件及服务的访 问权限; 5) 应对系统账户进行分类 管理, 权限设定应当遵循 最小授权要求; 6) 应对系统的安全策略、 授 权访问、最小服务、升级 与打补丁、维护记录、日

三级等保 1) 应指定专人对系统进行管理,删除或者 禁用不使用的系统缺省账户; 2) 应制定系统安全管理制度,对系统安全 配置、系统账户以及审计日志等方面作 出规定; 3) 应对能够使用系统工具的人员及数量进 行限制和控制; 4) 应定期安装系统的最新补丁程序,并根 据厂家提供的可能危害计算机的漏洞进 行及时修补,并在安装系统补丁前对现 有的重要文件进行备份; 5) 应根据业务需求和系统安全分析确定系 统的访问控制策略,系统访问控制策略 用于控制分配信息系统、文件及服务的 访问权限; 6) 应对系统账户进行分类管理,权限设定 应当遵循最小授权要求; 7) 应对系统的安全策略、授权访问、最小 服务、升级与打补丁、维护记录、日志 以及配置文件的生成、备份、变更审批、 符合性检查等方面做出具体规定; 8) 应规定系统审计日志的保存时间以便为 可能的安全事件调查提供支持; 9) 应进行系统漏洞扫描,对发现的系统安 全漏洞进行及时的修补;

志等方面做出具体要求; 10)应明确各类用户的责任、义务和风险, 7) 应规定系统审计日志的 保存时间以便为可能的 安全事件调查提供支持; 8) 应进行系统漏洞扫描, 对 发现的系统安全漏洞进 行及时的修补。 对系统账户的登记造册、用户名分配、 初始口令分配、用户权限及其审批程序、 系统资源分配、注销等作出规定; 11)应对于账户安全管理的执行情况进行检 查和监督,定期审计和分析用户账户的 使用情况,对发现的问题和异常情况进 行相关处理。

管理要求项 恶意 代码 防范 管理

二级等保 1) 应提高所用用户的防病 毒意识, 告知及时升级防 病毒软件; 2) 应在读取移动存储设备 (如软盘、移动硬盘、光 盘) 上的数据以及网络上 接收文件或邮件之前, 先 进行病毒检查, 对外来计 算机或存储设备接入网 络系统之前也要进行病 毒检查; 3) 应指定专人对网络和主 机的进行恶意代码检测 并保存检测记录; 4) 应对防恶意代码软件的 授权使用、 恶意代码库升 级、 定期汇报等作出明确 管理规定。

三级等保 1) 应提高所有用户的防病毒意识,告知及 时升级防病毒软件; 2) 应在读取移动存储设备(如软盘、移动 硬盘、光盘)上的数据以及网络上接收 文件或邮件之前,先进行病毒检查,对 外来计算机或存储设备接入网络系统之 前也要进行病毒检查; 3) 应指定专人对网络和主机的进行恶意代 码检测并保存检测记录; 4) 应对防恶意代码软件的授权使用、恶意 代码库升级、定期汇报等作出明确管理 规定; 5) 应建立恶意代码集中防护的安全管理中 心,确保整个网络统一配置、统一升级、 统一控制; 6) 应定期检查信息系统内各种产品的恶意 代码库的升级情况并进行记录,对主机 防病毒产品、防病毒网关和邮件防病毒 网关上截获的危险病毒或恶意代码进行 及时分析处理,并形成书面的报表和总 结汇报。

密码 管理

1) 密码算法和密钥的使用 应符合国家密码管理规 定。

1) 应建立密码使用管理制度,密码算法和 密钥的使用应符合国家密码管理规定。

变更 管理

2) 确认系统中要发生的变 更,并制定变更方案; 3) 建立变更管理制度, 重要 系统变更前, 应向主管领 导申请, 审批后方可实施 变更; 4) 系统变更情况应向所有 相关人员通告。

5) 确认系统中要发生的变更,并制定变更 方案; 6) 建立变更管理制度,重要系统变更前, 应向主管领导申请,变更和变更方案经 过评审、审批后方可实施变更; 7) 系统变更情况应向所有相关人员通告; 8) 应建立变更控制的申报和审批文件化程 序,变更影响分析应文档化,变更实施 过程应记录,所有文档记录应妥善保存;

管理要求项

二级等保

三级等保 9) 中止变更并从失败变更中恢复程序应文 档化,应明确过程控制方法和人员职责, 必要时恢复过程应经过演练。

备份 与恢 复管 理

1) 应识别需要定期备份的 重要业务信息、 系统数据 及软件系统等; 2) 应规定备份信息的备份 方式 (如增量备份或全备 份等)、备份频度(如每 日或每周等) 、 存储介质、 保存期等; 3) 应根据数据的重要性和 数据对系统运行的影响, 制定数据的备份策略和 恢复策略, 备份策略应指 明备份数据的放置场所、 文件命名规则、 介质替换 频率和将数据离站运输 的方法; 4) 应指定相应的负责人定 期维护和检查备份及冗 余设备的状况, 确保需要 接入系统时能够正常运 行; 5) 根据备份方式, 规定相应 设备的安装、 配置和启动 的流程。

1) 应识别需要定期备份的重要业务信息、 系统数据及软件系统等; 2) 应规定备份信息的备份方式(如增量备 份或全备份等)、备份频度(如每日或 每周等)、存储介质、保存期等; 3) 应根据数据的重要性和数据对系统运行 的影响,制定数据的备份策略和恢复策 略,备份策略应指明备份数据的放置场 所、文件命名规则、介质替换频率和将 数据离站运输的方法; 4) 应指定相应的负责人定期维护和检查备 份及冗余设备的状况,确保需要接入系 统时能够正常运行; 5) 应建立控制数据备份和恢复过程的程 序,备份过程应记录,所有文件和记录 应妥善保存; 6) 应根据系统级备份所采用的方式和产 品,建立备份及冗余设备的安装、配置、 启动、操作及维护过程控制的程序,记 录设备运行过程状况,所有文件和记录 应妥善保存; 7) 应定期执行恢复程序,检查和测试备份 介质的有效性,确保可以在恢复程序规 定的时间内完成备份的恢复。 1) 所有用户均有责任报告自己发现的安全 弱点和可疑事件,但任何情况下用户均 不应尝试验证弱点; 2) 应制定安全事件报告和处置管理制度, 规定安全事件的现场处理、事件报告和 后期恢复的管理职责;

安全 事件 处置

1) 所有用户均有责任报告 自己发现的安全弱点和 可疑事件, 但任何情况下 用户均不应尝试验证弱 点; 2) 应制定安全事件报告和

管理要求项

二级等保 处置管理制度, 规定安全 事件的现场处理、 事件报 告和后期恢复的管理职 责; 3) 应分析信息系统的类型、 网络连接特点和信息系 统用户特点, 了解本系统 和同类系统已发生的安 全事件, 识别本系统需要 防止发生的安全事件, 事 件可能来自攻击、错误、 故障、事故或灾难; 4) 应根据国家相关管理部 门对计算机安全事件等 级划分方法, 根据安全事 件在本系统产生的影响, 将本系统计算机安全事 件进行等级划分; 5) 应记录并保存所有报告 的安全弱点和可疑事件, 分析事件原因, 监督事态 发展, 采取措施避免安全 事件发生。

三级等保 3) 应分析信息系统的类型、网络连接特点 和信息系统用户特点,了解本系统和同 类系统已发生的安全事件,识别本系统 需要防止发生的安全事件,事件可能来 自攻击、错误、故障、事故或灾难; 4) 应根据国家相关管理部门对计算机安全 事件等级划分方法,根据安全事件在本 系统产生的影响,将本系统计算机安全 事件进行等级划分; 5) 应制定的安全事件报告和响应处理程 序,确定事件的报告流程,响应和处置 的范围、程度,以及处理方法等; 6) 应在安全事件报告和响应处理过程中, 分析和鉴定事件产生的原因,收集证据, 记录处理过程,总结经验教训,制定防 止再次发生的补救措施,过程形成的所 有文件和记录均应妥善保存; 7) 对造成系统中断和造成信息泄密的安全 事件应采用不同的处理程序和报告程 序。

应急 预案 管理

1) 应在统一的应急预案框 架下制定不同事件的应 急预案, 应急预案框架应 包括启动应急预案的条 件、应急处理流程、系统 恢复流程和事后教育和 培训等内容; 2) 应对系统相关的人员进 行培训使之了解如何及 何时使用应急预案中的

1) 应在统一的应急预案框架下制定不同事 件的应急预案,应急预案框架应包括启 动应急预案的条件、应急处理流程、系 统恢复流程和事后教育和培训等内容; 2) 应从人力、设备、技术和财务等方面确 保应急预案的执行有足够的资源保障; 3) 应对系统相关的人员进行培训使之了解 如何及何时使用应急预案中的控制手段 及恢复策略,对应急预案的培训至少每 年举办一次;

管理要求项

二级等保 控制手段及恢复策略, 对 应急预案的培训至少每 年举办一次。

三级等保 4) 应急预案应定期演练,根据不同的应急 恢复内容,确定演练的周期; 5) 应规定应急预案需要定期审查和根据实 际情况更新内容,并按照执行。


赞助商链接
相关文章:
安全等级保护2级和3级等保要求
安全等级保护2级和3级等保要求_计算机硬件及网络_IT/计算机_专业资料。信息安全...二级等保 1) 机房和办公场地应选择 在具有防震、 防风和防雨 等能力的建筑内...
等保基本要求二三级对比表
等保基本要求二三级对比表_互联网_IT/计算机_专业资料。列出了等保基本要求二三级之间的差距。技术部分分类 子类 基本要求(二级) 机房和办公场地应选择在具有防震、...
安全等级保护3级和2级的区别 - long_图文
安全等级保护3级和2级的区别 - long - 信息安全等级保护二级三级要求比较 (三级包含了二级的所有要求) 一、 技术要求 技术要求二级等保 1) 机房和办公...
《信息系统安全等级保护基本要求》二级、三级等级保护-...
1) 机房建筑应设置避雷装置; 2) 应设置防雷保安器,防止感应雷; 应经过申请和审批流程, 3) 应对机房划分区域进行管理,区域和区 技术要求二级等保 2) 机房...
---机房等保三级要求
---机房等保三级要求_计算机硬件及网络_IT/计算机_专业资料。1.1 技术要求 ....机房2级和3级等保要求 852人阅读 32页 2下载券 LANDesk等保三级规范 331人...
软件等保二级基本要求
安全等保二级基本要求 1.1 1.1.1 技术要求 物理安全 1.1.1.1 1.1.1.2 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; ...
机房建设等级保护二级要求
机房建设等级保护二级要求_信息与通信_工程科技_专业...安全等级保护2级和3级等... 32页 1下载券 高职...等级保护二级74项表格 9页 免费 等保三级系统整改示例...
机房等级及等保_图文
机房等级及等保_信息与通信_工程科技_专业资料。2.机房建设标准 电子信息机房 ...消 防喷洒排水、 管道排水 3、三级等保建设要求 机房建设机房物理安全建设内容。...
安全等保第三级基本要求
安全等保第三级基本要求_计算机硬件及网络_IT/计算机...本项要求包括: a) 机房和办公场地应选择在具有防震...安全等级保护2级和3级等... 32页 1下载券 ...
等保二级基本要求
等保二级基本要求 - 1 1.1 第二级基本要求 技术要求 物理安全 1.1.1.1 1.1.1.2 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的...
更多相关标签: