当前位置:首页 >> 信息与通信 >>

信息系统安全等级保护2级和3级标准差异对比


要求项 物理位置的选择 (G3) 物理访问控制 (G3) 防盗窃和防破坏 (G3) 防雷击(G3) 防火(G3) 防水和防潮 (G3) 防静电(G3) 温湿度控制 (G3) 电力供应(A3) 电磁防护(S3) 结构安全(G3) 访问控制(G3) 安全审计(G3) 边界完整性检查 (S3) 网络安全 入侵防范(G3) 恶意代码防范 (G3)

第三级要求 技术要求 三级要求避免在建筑的高层或地下室、以及靠近用水 设备 三级要求区域划分及隔离,并要求配置电子门禁系统 避免机房设在高层或 二级仅要求防震、防风和防雨 地下室 电子门禁系统

第二级要求 机房建设时考虑

二级仅要求对进出人员进行管理和记录

机房日常管理

三级要求安装监控报警系统 三级要求安装设备防止感应雷

监控系统 防雷保安器

二级仅要求设备固定、标识,及必要报警设施 二级仅要求安装避雷装置及交流接地

机房日常管理 避雷针,电力线路接 地 灭火器 机房建设时考虑 机房日常管理 精密空调、温湿度检 测设施 UPS电源 机房建设时考虑

物理安全

三级要求建筑材料防火及区域防火隔离 三级要求对机房进行防水检测和报警 三级要求采用防静电地板 三级要求同二级

自动灭火装置,机房建 二级仅要求设置灭火设备和火灾报警系统 设时考虑 漏水检测设施 防静电地板 同二级要求 二级仅要求防水设计 二级仅要求必要的接地防静电 二级要求温湿度检测并控制

三级要求电路冗余及建立备用供电系统 三级要求对关键设备进行电磁屏蔽 三级要求采用可靠的技术手段隔离重要网段与外部信 息系统,并对带宽按优先级进行分配 三级要求加强访问控制,并对网络信息内容进行过 滤,同时对重要网段防止地址欺骗 三级要求对日志记录进行审计,并对审计记录进行保 护 三级要求对内部用户联接外部网络进行检查、定位, 并必要时进行有效阻断。对外部用户非法联接内部网 络进行检查、定位,并必要时进行有效阻断。 三级要求对网络边界处的攻击行为进行记录并报警 三级要求在网络边界处对恶意代码进行检测和清除。

主供电线路冗余、UPS 二级仅要求供电稳定及保护 电源 机房建设时考虑 二级仅要求电力线路和通信线路隔离铺设

网闸(信息交换与隔 二级仅要求关键网络设备、带宽具备冗余,并绘制网 离系统) 络拓扑结构图,划分网段 防火墙规则设置 二级仅要求对网络边界进行访问控制

网络日常管理

防火墙设备 上网行为管理设备

上网行为管理设备规 二级仅要求对网络设备运行状况、网络流量、用户行 则设置 为等进行日志记录 上网行为管理设备规 二级仅要求内部用户联接外部网络进行检查 则设置 入侵防御设备(设备 二级仅要求在网络边界处进行攻击行为监视 非模块) 防病毒网关设备 二级未要求网络边界处进行恶意代码防范

上网行为管理设备 防火墙设备所带入侵 防御模块 未要求

网络设备防护 (G3)

三级要求对主要网络设备用户使用至少两种技术进行 身份鉴别,并对特权用户权限分离。

堡垒主机(运维网关 二级仅要求对网络设备的用户进行身份鉴别,并对网 、安全管理平台)类 络设备的登录及管理进行控制。 设备

网络日常管理

身份鉴别(S3)

三级要求对不同主机用户进行区分识别

终端安全类产品

二级仅要求对主机的用户进行身份鉴别,并对主机的 登录及管理进行控制。

终端日常管理

访问控制(S3)

三级要求对重要信息资源的操作进行记录并审计

堡垒主机(运维网关 二级仅要求对主机资源的访问进行控制,并权限分离 、安全管理平台)类 (重要服务器) 设备 终端安全类产品 二级仅要求对主机用户的行为、系统资源使用、重要 系统命令等记录进行审计,并避免审计记录的破坏 二级未要求主机剩余信息保护

终端日常管理

安全审计(G3) 主机安全 剩余信息保护 (S3)

三级要求对审计记录分析,生成审计报表,并防止审 计进程的未预期中断 三级要求对主机硬盘及内存上的剩余信息进行保护

终端安全类产品

终端安全类产品

未要求

入侵防范(G3)

三级要求对入侵行为进行记录并报警

终端安全类产品

二级仅要求对主机操作系统的漏洞进行补丁更新

终端安全类产品、漏 洞扫描设备

恶意代码防范 (G3)

三级要求主机恶意代码防范软件与边界恶意代码防范 产品使用不同的恶意代码库(差异互补的原则)

杀毒软件与防病毒网 二级仅要求主机安装恶意代码防范软件,并支持软件 关使用不同制造商产 的统一管理 品 堡垒主机(运维网关 、安全管理平台)类 二级仅要求对主机的接入及资源消耗进行监测和管理 设备 堡垒主机(运维网关 二级仅要求对主机登录用户的身份表示和鉴别,并对 、安全管理平台)类 鉴别出的非法用户进行管控 设备

企业版杀毒软件

资源控制(A3)

三级要求对重要服务器的资源使用进行监视,对系统 服务水平进行监控和报警

终端日常管理

身份鉴别(S3)

三级要求使用至少两种技术来鉴别用户身份

应用程序开发考虑

访问控制(S3) 安全审计(G3) 剩余信息保护 (S3) 通信完整性 应用安全 (S3)

三级要求对重要信息资源的操作进行记录 三级要求对审计记录分析,生成审计报表,并防止审 计进程的未预期中断 三级要求对应用系统的剩余信息进行保护

堡垒主机(运维网关 、安全管理平台)类 二级仅要求对用户访问进行控制 设备 数据库审计、综合审 二级仅要求对应用系统的重要安全事件进行审计,并 计类产品 保证审计记录不被破坏 应用程序开发考虑 二级未要求应用系统的剩余信息保护

应用程序开发考虑 应用程序开发考虑 未要求 应用程序通信保障, 外部网络用户连接应 用系统的考虑使用VPN 加密通道技术 应用程序通信保障, 外部网络用户连接应 用系统的考虑使用VPN 加密通道技术 未要求 应用程序开发考虑 应用程序开发考虑 系统建设时考虑 系统建设时考虑 重要数据库等定期备 份

三级要求同二级

同二级要求

二级要求技术保证通信过程中数据的完整性

通信保密性 (S3) 抗抵赖(G3) 软件容错(A3) 资源控制(A3) 数据完整性 (S3) 数据安全 数据保密性 及备份恢 (S3) 复 备份和恢复 (A3)

三级要求同二级

同二级要求

二级要求技术保证通信过程中数据的保密性

二级要求能对应用系统的用户操作证据的功能 三级要求应用系统提供自动保护功能,当故障发生时 自动保护当前所有状态,保证系统能够进行恢复 三级要求对应用系统的资源使用进行优先级分配系统 资源 三级要求测到重要数据传输过程、存储中完整性受到 破坏时能采取恢复措施 三级要求采用加密或其他保护措施实现鉴别信息的传 输、存储保密性 三级要求提供异地数据备份功能,并采用冗余技术设 计网络拓扑结构

堡垒主机(运维网关 、安全管理平台)类 二级未要求应用系统的抗抵赖性 设备 二级仅要求应用系统提供数据有效性检验功能,并在 设备、系统灾备冗余 故障发生时,应用系统应能够继续提供一部分功能, 服务器虚拟化技术等 二级仅要求应用系统的会话和资源使用进行控制 系统灾备 系统灾备 二级仅要求检测到重要数据传输过程中完整性受到破 坏 二级仅要求采用加密或其他保护措施实现鉴别信息的 存储保密性

核心网络设备、重要 二级仅要求对重要信息进备份恢复,并提供关键网络 业务网络、重要服务 设备、通信线路、数据处理系统的荣誉 器等灾备冗余 管理要求

管理制度(G3)

三级要求建立信息安全管理制度体系

二级仅要求建立信息安全管理制度

安全管理 制度 制定和发布 (G3) 评审和修订 (G3)

三级要求将制定的信息安全制度通过正式的发布

二级仅要求将制定的信息安全管理制度发布给相关人 员

三级要求信息安全领导小组定期组织人员对制度体系 进行审定,并对不足之处进行修订 三级要求成立信息安全领导小组,并明确各成员岗位 职责

二级仅要求在制度存在不足时进行修订

岗位设置(G3)

二级仅要求明确信息安全管理人员岗位、职责,并设 立设立系统管理员、网络管理员、安全管理员等岗位

人员配备(G3)

三级要求配备专职安全管理员,且关键事务岗位配备 多人共同管理

二级仅要求安全管理员不得兼任网络管理员、系统管 理员、数据库管理员等

安全管理 授权和审批 机构 (G3)

三级要求对审批的过程记录并保存审批文档

二级仅要求建立审批制度及审批流程

沟通和合作 (G3) 审核和检查 (G3)

三级要求加强专业人员、单位及外联单位的合作与沟 通、并聘请专职的安全顾问 三级要求组织定期进行安全检查并形成安全报告

二级仅要求加强内部及兄弟单位、公安机关、电信公 司的合作与沟通 二级仅要求安全管理员进行定期的安全检查

人员录用(G3)

三级要求关键岗位人员应从内部人员选拔

二级仅要求对人员录用进行审查,并与关键岗位人员 签署保密协议

人员离岗(G3) 人员安全 管理 人员考核(G3)

三级要求关键岗位人员离岗前要承诺保密义务

二级仅要求人员离岗后收回各种业务关联证件、工具 及设备

三级要求对考核记录进行保存

二级仅要求定期对岗位人员进行考核

安全意识教育和 培训(G3)

三级要求对培训记录进行保存

二级仅要求定期对岗位人员进行培训

外部人员访问管 理(G3) 系统定级(G3)

三级要求对外部人员允许访问的区域、系统、设备、 信息等进行书面规定,并执行 三级要求组织相关部门和有关安全技术专家对信息系 统定级结果的合理性和正确性进行论证和审定

二级仅要求对外部人员访问需审批,专人陪同并登记

二级仅要求对信息系统定级并进过相关部门的批准

安全方案设计 (G3)

三级要求定期进行等级测评和安全评估

二级仅要求形成系统的安全方案,并对方案进行论证 、审批后正式实施

产品采购和使用 (G3)

三级要求定期对产品进行选型测试

二级仅要求指定专门部门负责产品的采购

自行软件开发 (G3)

三级要求制定软件编写安全规范,并对程序资源库的 修改、更新、发布进行审批

二级仅要求对自行软件开发的单位制定软件开发管理 制度,并提供相关文档由专人保管

系统建设 外包软件开发 (G3) 管理

三级要求同二级

二级要求外包单位提供设计文档并提供源代码,同时 在软件安装之前检测软件包中可能存在的恶意代码

工程实施(G3)

三级要求制定工程实施方面的管理制度

二级仅要求在工程实施中制定详细的工程实施方案, 控制工程实施过程

测试验收(G3)

三级要求指定专门部门负责系统测试验收的管理

二级仅要求制定系统的验收方案并形成验收报告

系统交付(G3)

三级要求指定专门部门负责系统交付的管理工作

二级仅要求系统交付时要制定系统交付清单并清点, 要对技术人员培训并提供系统相关文档 二级未对系统备案做强制要求 二级未对信息系统的等级测评工作做强制要求

系统备案(G3) 等级测评(G3)

三级要求对信息系统的等级进行备案工作 三级要求对信息系统进行等级测评工作,并由指定的 测评单位进行测评

安全服务商选择 (G3)

三级要求同二级

二级要求选定安全服务商,并与服务商签订服务协议

环境管理(G3)

三级要求由专门部门负责机房安全并对机房设施管理 、人员出入、安全管理进行控制

二级仅要求对机房设施管理、人员出入、安全管理进 行控制

资产管理(G3)

三级要求对资产的重要程度进行分类和表示,进行规 范化管理

二级仅要求编制与信息系统相关的资产清单,并规定 资产管理制度

介质管理(G3)

三级要求对介质进行定期清点管理,并对重要数据介 质进行备份

二级仅要求数据存储等介质进行分类,归档、查询、 维修、销毁等进行记录,并保护其中的敏感数据

设备管理(G3)

三级要求制定专门的设备管理制度并执行

二级仅要求对设备的维护、采购、领用、操作等进行 规范化管理

监控管理和安全 管理中心(G3)

三级要求对机房设备运行情况、用户行为等进行监控 管理并记录,同时定期对记录进行分析,并建立安全 管理中心,对安全相关事项进行集中管理

二级未对监控管理和安全管理中心作出要求

网络安全管理 (G3)

三级要求对非法接入设备及内部人员非法外联网络进 行管控

二级仅要求制定网络安全管理制度,指定人员管理、 定期维护网络,并对软硬件设备进行更新维护,定期 备份网络设备的配置文件

系统运维

系统运维 管理 二级仅要求建立系统安全管理制度,对确定系统的访 问策略,并定期对系统的运行日志及审计数据进行分 析

系统安全管理 (G3)

三级要求划分系统管理员,指定专人对系统进行管理

恶意代码防范管 理(G3)

三级要求对恶意代码防范情况进行定期的审计和分析 并形成书面的报告

二级仅要求指定专人对系统的恶意代码防范进行管理

密码管理(G3) 变更管理(G3)

三级要求建立密码使用管理制度 三级要求建立变更管理制度,并对变更过程进行控制 、记录并审计

二级仅要求使用符合国家密码管理规定的密码技术和 产品 二级仅要求制度系统变更时的变更方案,并对变更方 案进行审批

备份与恢复管理 (G3)

三级要求对数据备份和恢复过程进行记录并保存,并 定期执行恢复程序

二级仅要求定期备份重要的数据

安全事件处置 (G3)

三级要求在安全事件报告和响应处理过程中,所有文 件可记录均应妥善保存

二级仅制定安全事件报告和处置管理制度,记录并保 存所有报告的安全弱点和可疑事件

应急预案管理 (G3)

三级要求确保应急预案的执行有足够的资源保障,并 定期对应急预案进行演练

二级仅要求制定应急预案,并每年对系统相关人员进 行应急预案培训

医院现状 顶楼

二级等保建议

要求项 物理位置的选择 (G3) 物理访问控制 (G3)

标准要求

相关产品 无 无

整改建议 管理制度

顶楼

无门禁系统

没有电子门禁、没有机房进出登记

本次可暂不考虑机 房物理安全调整, 防盗窃和防破坏 无监控系统 后期机房装修或再 (G3) 建时,为后期三级 没有避雷针,避 等保考虑需增加以 防雷击(G3) 雷电源 下产品: 1)门禁系统 有灭火器和自动 2)监控系统 防火(G3) 物理安全 灭火装置 3)精密空调 防水和防潮 没有漏水检测设 4)加强UPS续航能 力 (G3) 施 5)防雷保安器 防静电(G3) 有防静电地板 6)安装漏水检测设 施 温湿度控制 7)机房监测系统 普通空调 (G3) (动环监控系统) UPS续航能力4小 时左右 强弱电没有分开 铺设 电力供应(A3) 电磁防护(S3) 结构安全(G2) 访问控制(G2) 安全审计(G2) 边界完整性检查 (S2) 网络安全 入侵防范(G2) 本次建议购置产品 及功能: 1)外网防火墙(对 终端数量:内网 外网网络边界进行 大概80,外网大 访问控制,基本的 概40,服务器数 恶意代码防范 (G2)

服务器等设备或主要部件有固定,有机房值班记录表 有做电源防雷

采用防火材料装修,配置有灭火器 采用防水防潮材料装修,未靠近用水设备 未接地防静电 使用普通空调

制定机房进出人员管 安装智能门禁系统(可 理及登记制度,对进 选) 出人员进行记录并存 档 对设备资产进行定期 无 核查记录管理 三级防雷(楼顶避雷 对防雷装置进行定期 针,电源防雷,交流及 检查并记录存档 机柜接地) 机房采用防火门,配置 对火灾报警装置及灭 火灾自动报警装置,灭 火器进行定期检查并 火器使用粉沫灭火器 记录存档 无 无 无

UPS有,服务器配电单元也有,UPS续航能力约为4小时 强弱电未隔离铺设

定期检查设备及机柜 防静电接地情况 制定机房温湿度管理 使用精密空调,配置单 制度,并对机房温湿 独的温湿度测试装置 度进行记录并存档 制定机房用电管理制 无 度并对机房电力供应 情况进行记录 无 无

1.核心交换设备无冗余,出现故障易造成网络单点故障 2.根据各部门的工作职能、重要性和所涉及信息的重要程 核心交换机 度等因素,划分不同的子网或网段,并绘制有网络拓扑 图,但机房无网络拓扑图展示 在互联网边界处已配置网神防火墙,并启用了访问控制功 防火墙 能,但未对其他网络边界进行访问控制 未对网络系统中的网络设备运行状况、网络流量、用户行 上网行为管理 为等进行日志记录 未对内部网络中出现的内部用户未通过准许私自联到外部 上网行为管理 网络的行为进行检查 在网络边界处无法监视网络攻击行为 入侵防御系统(IPS)



无 对网络及安全设备的 操作、配置、日志记 录和监控等做出规定 无 无

终端数量:内网 大概80,外网大 概40,服务器数 量:11 网络现况:电信 宽带30MB(互联 网),电信专网 4MB(一门诊) 、10MB(城北门 诊),医保电信 ADSL,电子远程 药品监空系统移 动光缆(带宽不 详) 现有应用系统: HIS、LIS、PACS 、EMR、物资资 产财务、CA认证 、医保 数据备份:没有 现有网络安全产 品:防火墙1台 (网神)在互联 网出口处;服务 器及内网终端安 装Mcafee杀毒软 件 终端安全管理产 品:没有 分支机构远程连 接:有2个分门 诊,使用Radmin 、飞秋、远程桌 面等局域网内部 远程工具 终端使用操作系 统:WinXP、 win8、win sever 2003、win sever 2008 操作系统补丁更 新:服务器与内 网终端没有更新 过 终端杀毒软件: 服务器、内网终 端安装华军软件

本次建议购置产品 及功能: 1)外网防火墙(对 外网网络边界进行 访问控制,基本的 入侵防护的,可考 虑原有网神防火墙 网络设备防护 利旧,需确认原有 (G2) 网神防火墙是否满 足需求) 2)内网防火墙(对 内部网络边界进行 访问控制,基本的 入侵防护等) 3)终端企业版杀毒 软件(服务器及终 端主机的防病毒统 身份鉴别(S3) 一管理、可进行终 端个体的漏洞扫描 及补丁更新) 4)终端安全产品 (对终端的信息安 全进行防护,后期 访问控制(S3) 可根据需求增加和 调整功能模块) 5)上网行为管理设 安全审计(G3) 备(对外网终端的 上网行为进行监 测,必要时进行管 主机安全 剩余信息保护 控) (S3) 后期三级等保可考 虑增加设备: 1)入侵防御设备 (IPS):网络边界 处 2)防病毒网关(多 功能安全网关): 网络边界处 3)入侵检测设备 (IDS):内网核心 交换机处 4)堡垒主机(运维 网关、安全管理平 台):核心交换机 处 5)网闸(信息交换 与隔离系统):内 外网边界处 6)数据库审计(综 合审计类产品):

1.可对登录网络设备的用户进行身份鉴别 2.未对网络设备的管理员登录地址进行限制 VPN设备或具有VPN功 3.网络设备用户的标识并非唯一 能的设备 4.当对网络设备进行远程管理时,未采取必要措施防止鉴 别信息在网络传输过程中被窃听

对网络及安全设备的 操作、配置、日志记 录和监控等做出规定

1.对服务器进行远程管理时,未采取必要措施,防止鉴别 1.VPN设备或具有VPN功 信息在网络传输过程中被窃听 能的设备 无 2.启用登录失败处理功能,可采取结束会话、限制非法登 2.终端安全管理系统 录次数和自动退出等措施

未启用访问控制功能,依据安全策略控制用户对资源的访 终端安全管理系统 问

无 对服务器和数据库等 的操作、配置、日志 记录和监控等做出规 定

未对服务器和数据库等的操作、配置、日志等进行记录

终端安全管理系统

入侵防范(G3)

操作系统遵循最小安装的原则,仅安装需要的组件和应用 程序,但未通过通过设置升级服务器等方式保持系统补丁 企业版防病毒软件 及时得到更新。

定期对操作系统进行 统一补丁更新管理

恶意代码防范 (G3)

安装防恶意代码软件,但无法统一管理,不能及时更新防 企业版防病毒软件 恶意代码软件版本和恶意代码库

对病毒防护系统的管 理、使用和升级等做 出规定 对终端计算机的日常 使用、软件安装,入 网、维修、报废等做 出规定 无

资源控制(A3)

1.未根据安全策略设置登录终端的操作超时锁定 2.未限制单个用户对系统资源的最大或最小使用限度

终端安全管理系统

身份鉴别(S3)

应用系统具有身份鉴别能力,并提供登录失败处理功能, 无 可采取结束会话、限制非法登录次数和自动退出等措施

新:服务器与内 网终端没有更新 过 终端杀毒软件: 服务器、内网终 端安装华军软件 园上下载的 Mcafee(单机版) 、病毒库很少更 新 无线网络分布: 部分覆盖,零散 布设,没有相应 的无线网络安全 解决方案

处 5)网闸(信息交换 与隔离系统):内 外网边界处 访问控制(S3) 6)数据库审计(综 合审计类产品): 核心交换机处 安全审计(G3) 7)重要网络设备冗 剩余信息保护 余、服务器数据容 (S3) 灾备份 8)VPN设备:如后 通信完整性 期需要则考虑 9)服务器虚拟化或 应用安全 (S3) 桌面虚拟化:虚拟 化集群,发展趋 通信保密性 势,投入较大,后 (S3) 期结合医院自身发 展综合考虑 抗抵赖(G3) 软件容错(A3) 资源控制(A3) 数据完整性 (S3) 数据安全 数据保密性 及备份恢 (S3) 复 备份和恢复 (A3)

通过注册表、系统组策略等途径进行资源的授权访问控制

终端安全管理系统 主机加固系统

无 无

未提供覆盖到每个用户的安全审计功能,对应用系统重要 终端安全管理系统 安全事件无法进行审计

应用系统采用校验码技术保证通信过程中数据的完整性





应用系统利用密码技术进行会话初始化验证,并对通信过 无 程中的敏感信息字段进行加密



在故障发生时,应用系统能够继续提供一部分功能,确保 无 能够实施必要的措施 应用系统的通信双方中的一方在一段时间内未作任何响 无 应,另一方应能够自动结束会话 能够检测到鉴别信息和重要业务数据在传输过程中完整性 无 受到破坏 应用系统采用加密措施实现鉴别信息的存储保密性 不能够对重要信息进行备份和恢复 无 数据容灾备份系统

无 无 无 无 对信息系统数据保存 、备份、使用等做出 规定

管理制度(G3)

安全管理 制度 制定和发布 (G3) 评审和修订 (G3)

a)应制定信息安全工作的总体方针和安全策略,说明机构 安全工作的总体目标、范围、原则和安全框架等; b)应对安全管理活动中重要的管理内容建立安全管理制 度; c)应对安全管理人员或操作人员执行的重要管理操作建立 操作规程。 a) 应指定或授权专门的部门或人员负责安全管理制度的制 定; b)应组织相关人员对制定的安全管理制度进行论证和审 定; c)应将安全管理制度以某种方式发布到相关人员手中。 应定期对安全管理制度进行评审,对存在不足或需要改进 的安全管理制度进行修订。 a)应设立安全主管、安全管理各个方面的负责人岗位,并 定义各负责人的职责; b)应设立系统管理员、网络管理员、安全管理员等岗位, 并定义各个工作岗位的职责。



无 对网络安全管理制度 评审流程、工作内容 等做出规定 对设立的安全管理机 构、机构职能进行规 定

岗位设置(G3)

人员配备(G3)

a)应配备一定数量的系统管理员、网络管理员、安全管理 员等; b)安全管理员不能兼任网络管理员、系统管理员、数据库 管理员等。 a)应根据各个部门和岗位的职责明确授权审批部门及批准 人,对系统投入运行、网络系统接入和重要资源的访问等 关键活动进行审批; b)应针对关键活动建立审批流程,并由批准人签字确认。 a)应加强各类管理人员之间、组织内部机构之间以及信息 安全职能部门内部的合作与沟通; b)应加强与兄弟单位、公安机关、电信公司的合作与沟通 。 安全管理员应负责定期进行安全检查,检查内容包括系统 日常运行、系统漏洞和数据备份等情况。 a)应指定或授权专门的部门或人员负责人员录用; b)应规范人员录用过程,对被录用人员的身份、背景和专 业资格等进行审查,对其所具有的技术技能进行考核; c)应与从事关键岗位的人员签署保密协议。 a)应规范人员离岗过程,及时终止离岗员工的所有访问权 限; b)应取回各种身份证件、钥匙、徽章等以及机构提供的软 硬件设备; c)应办理严格的调离手续。 应定期对各个岗位的人员进行安全技能及安全认知的考核 。 a)应对各类人员进行安全意识教育、岗位技能培训和相关 安全技术培训; b)应告知人员相关的安全责任和惩戒措施,并对违反违背 安全策略和规定的人员进行惩戒; c)应制定安全教育和培训计划,对信息安全基础知识、岗 位操作规程等进行培训。 应确保在外部人员访问受控区域前得到授权或审批,批准 后由专人全程陪同或监督,并登记备案。 a)应明确信息系统的边界和安全保护等级; b)应以书面的形式说明信息系统确定为某个安全保护等级 的方法和理由; c)应确保信息系统的定级结果经过相关部门的批准。



安全管理 授权和审批 机构 (G3)

对安全管理机构、人 员、流程、职责进行 规定

沟通和合作 (G3) 审核和检查 (G3)

无 对安全管理员日常工 作内容、时间、检测 事项进行规定 对信息系统部门的人 员录用做出规定

人员录用(G3)

人员离岗(G3) 人员安全 管理 人员考核(G3)

对信息系统部门的人 员离岗做出规定



安全意识教育和 培训(G3)

对信息系统部门人员 的教育培训做出规定

外部人员访问管 理(G3) 系统定级(G3)

对进出机房人员做出 规定 无

安全方案设计 (G3)

产品采购和使用 (G3)

自行软件开发 (G3)

系统建设 外包软件开发 (G3) 管理

工程实施(G3)

测试验收(G3)

系统交付(G3)

系统备案(G3) 等级测评(G3)

a)应根据系统的安全保护等级选择基本安全措施,依据风 险分析的结果补充和调整安全措施; b)应以书面形式描述对系统的安全保护要求、策略和措施 等内容,形成系统的安全方案; c)应对安全方案进行细化,形成能指导安全系统建设、安 全产品采购和使用的详细设计方案; d)应组织相关部门和有关安全技术专家对安全设计方案的 合理性和正确性进行论证和审定,并且经过批准后,才能 正式实施。 a)应确保安全产品采购和使用符合国家的有关规定; b)应确保密码产品采购和使用符合国家密码主管部门的要 求; c)应指定或授权专门的部门负责产品的采购。 a)应确保开发环境与实际运行环境物理分开; b)应制定软件开发管理制度,明确说明开发过程的控制方 法和人员行为准则; c)应确保提供软件设计的相关文档和使用指南,并由专人 负责保管。 a)应根据开发要求检测软件质量; b)应确保提供软件设计的相关文档和使用指南; c)应在软件安装之前检测软件包中可能存在的恶意代码; d)应要求开发单位提供软件源代码,并审查软件中可能存 在的后门。 a)应指定或授权专门的部门或人员负责工程实施过程的管 理; b)应制定详细的工程实施方案,控制工程实施过程。 a)应对系统进行安全性测试验收; b)在测试验收前应根据设计方案或合同要求等制订测试验 收方案,在测试验收过程中应详细记录测试验收结果,并 形成测试验收报告; c)应组织相关部门和相关人员对系统测试验收报告进行审 定,并签字确认。 a)应制定系统交付清单,并根据交付清单对所交接的设备 、软件和文档等进行清点; b)应对负责系统运行维护的技术人员进行相应的技能培 训; c)应确保提供系统建设过程中的文档和指导用户进行系统 运行维护的文档。















安全服务商选择 (G3)

a)应确保安全服务商的选择符合国家的有关规定; b)应与选定的安全服务商签订与安全相关的协议,明确约 定相关责任; c)应确保选定的安全服务商提供技术支持和服务承诺,必 要的与其签订服务合同。



环境管理(G3)

资产管理(G3)

介质管理(G3)

设备管理(G3)

监控管理和安全 管理中心(G3)

a)应指定专门的部门或人员定期对机房供配电、空调、温 湿度控制等设施进行维护管理; b)应配备机房安全管理人员,对机房的出入、服务器的开 机或关机等工作进行管理; c)应建立机房安全管理制度,对有关机房物理访问,物品 带进、带出机房和机房环境安全等方面的管理作出规定; d)应加强对办公环境的保密性管理,包括工作人员调离办 公室应立即交还该办公室钥匙和不在办公区接待来访人员 等。 a) 应编制与信息系统相关的资产清单,包括资产责任部门 、重要程度和所处位置等内容; b)应建立资产安全管理制度,规定信息系统资产管理的责 任人员或责任部门,并规范资产管理和使用的行为。 a)应确保介质存放在安全的环境中,对各类介质进行控制 和保护,并实行存储环境专人管理; b)应对介质归档和查询等过程进行记录,并根据存档介质 的目录清单定期盘点; c)应对需要送出维修或销毁的介质,首先清除其中的敏感 数据,防止信息的非法泄漏; d)应根据所承载数据和软件的重要程度对介质进行分类和 标识管理。 a)应对信息系统相关的各种设备(包括备份和冗余设备) 、线路等指定专门的部门或人员定期进行维护管理; b)应建立基于申报、审批和专人负责的设备安全管理制 度,对信息系统的各种软硬件设备的选型、采购、发放和 领用等过程进行规范化管理; c)应对终端计算机、工作站、便携机、系统和网络等设备 的操作和使用进行规范化管理,按操作规程实现关键设备 (包括备份和冗余设备)的启动/停止、加电/断电等操 作; d)应确保信息处理设备必须经过审批才能带离机房或办公 地点。

对机房日常运行(如 进出机房的人员和设 备,机房监控、机房 值班)及环境(如温 湿度、电力供应、防 水、防火、防盗)等 做出规定 对信息系统相关的资 产清单、分类与标识 、使用、转移、废弃 等做出规定

对介质的归档、存放 、使用、销毁等做出 规定

对设备的放置、使用 、维护、维修、报废 等做出规定

网络安全管理 (G3)

a)应指定人员对网络进行管理,负责运行日志、网络监控 记录的日常维护和报警信息分析和处理工作; b)应建立网络安全管理制度,对网络安全配置、日志保存 时间、安全策略、升级与打补丁、口令更新周期等方面作 出规定; c)应根据厂家提供的软件升级版本对网络设备进行更新, 并在更新前对现有的重要文件进行备份; d)应定期对网络系统进行漏洞扫描,对发现的网络系统安 全漏洞进行及时的修补; e)应对网络设备的配置文件进行定期备份; f)应保证所有与外部系统的连接均得到授权和批准。

对网络及安全设备的 操作、配置、日志记 录和监控等做出规定

系统运维

系统运维 管理

系统安全管理 (G3)

恶意代码防范管 理(G3)

a)应根据业务需求和系统安全分析确定系统的访问控制策 略; b)应定期进行漏洞扫描,对发现的系统安全漏洞及时进行 修补; c)应安装系统的最新补丁程序,在安装系统补丁前,应首 先在测试环境中测试通过,并对重要文件进行备份后,方 可实施系统补丁程序的安装; d)应建立系统安全管理制度,对系统安全策略、安全配置 、日志管理和日常操作流程等方面作出规定; e)应依据操作手册对系统进行维护,详细记录操作日志, 包括重要的日常操作、运行维护记录、参数的设置和修改 等内容,严禁进行未经授权的操作; f)应定期对运行日志和审计数据进行分析,以便及时发现 异常行为。 a)应提高所有用户的防病毒意识,告知及时升级防病毒软 件,在读取移动存储设备上的数据以及网络上接收文件或 邮件之前,先进行病毒检查,对外来计算机或存储设备接 入网络系统之前也应进行病毒检查; b)应指定专人对网络和主机进行恶意代码检测并保存检测 记录; c)应对防恶意代码软件的授权使用、恶意代码库升级、定 期汇报等作出明确规定。 应使用符合国家密码管理规定的密码技术和产品。 a)应确认系统中要发生的重要变更,并制定相应的变更方 案; b)系统发生重要变更前,应向主管领导申请,审批后方可 实施变更,并在实施后向相关人员通告。 a)应识别需要定期备份的重要业务信息、系统数据及软件 系统等; b)应规定备份信息的备份方式、备份频度、存储介质、保 存期等; c)应根据数据的重要性及其对系统运行的影响,制定数据 的备份策略和恢复策略,备份策略指明备份数据的放置场 所、文件命名规则、介质替换频率和数据离站运输方法。 a)应报告所发现的安全弱点和可疑事件,但任何情况下用 户均不应尝试验证弱点; b)应制定安全事件报告和处置管理制度,明确安全事件类 型,规定安全事件的现场处理、事件报告和后期恢复的管 理职责; c)应根据国家相关管理部门对计算机安全事件等级划分方 法和安全事件对本系统产生的影响,对本系统计算机安全 事件进行等级划分; d)应记录并保存所有报告的安全弱点和可疑事件,分析事 件原因,监督事态发展,采取措施避免安全事件发生。

对服务器和数据库等 的操作、配置、日志 记录和监控等做出规 定

对病毒防护系统的管 理、使用和升级等做 出规定

密码管理(G3) 变更管理(G3)

无 对信息系统的变更申 报、审批流程以及实 施等做出规定

备份与恢复管理 (G3)

对信息系统数据保存 、备份、使用等做出 规定

安全事件处置 (G3)

对网络安全检查流程 、工作内容等做出规 定

应急预案管理 (G3)

a)应在统一的应急预案框架下制定不同事件的应急预案, 应急预案框架应包括启动应急预案的条件、应急处理流程 、系统恢复流程、事后教育和培训等内容; b) 应对系统相关的人员进行应急预案培训,应急预案的 培训应至少每年举办一次。

对应急计划、处理、 实施、演练等做出规 定

整改建议 其他 后期考虑将机房迁 至楼层中部 无

无 无

无 无 设备及机柜防静电 接地 无

无 强弱电线路进行隔 离铺设 无

无 无

无 无

进行IP与MAC地址 绑定,确保网络设 备用户标识为唯一















无 无





无 无 无 无 无

建立信息安全管理 制度体系

设定专职机构

成立由院长(分管 院长)任组长的全 院信息化安全领导 小组

配备系统管理员、 网络管理员、安全 管理员











定期对信息系统岗 位人员进行考核 1.定期对信息系统 岗位人员进行教育 培训 2.制定明确的安全 教育培训计划 无 向泸州市网监大队 进行信息安全等级 保护定级报备

方案经过院相关部 门及技术专家论证

采购具有国家认证 证书的产品









系统实施完成后需 对进行维护的技术 人员进行培训并提 供相应的维护文档

















无 无








相关文章:
信息系统安全等级保护2级和3级等保要求的对比_图文.pdf
信息系统安全等级保护2级和3级等保要求的对比_信息与通信_工程科技_专业资料。信息系统安全等级保护2级和3级等保要求的对比,蓝色标记为不同处 ...
信息安全等级保护各级对比表.doc
12 4.1.1 4.1.2 4.1.3 4.1.4 4.1.5 4.2 ...使用的主要标准之一 《信息系统安全等级保护基 本...表明对系统的关注点增加,因而安全要求的级别差异就...
信息系统安全等级保护2级和3级标准差异对比_图文.xls
信息系统安全等级保护2级和3级标准差异对比_信息与通信_工程科技_专业资料。信息系统安全等级保护2级和3级标准差异对比,很全面。需要做等级保护的必看。 ...
安全等保二三级保护差异对比_图文.doc
等级保护,差异对比,信息安全 一、 技术细节比较技术...测评 后符合相应等级保护标准要求的才能投入 使用; ...安全等级保护2级和3级等... 暂无评价 32页 ...
《信息系统安全等级保护基本要求》二级、三级等级保护....doc
信息系统安全等级保护基本要求》二级三级等级保护...2) 应设置稳压器和过电压防护设备; 3) 应提供短期...测 评后符合相应等级保护标准要求的才能 投入使用; ...
安全等级保护2级和3级等保要求-蓝色为区别2._图文.doc
安全等级保护2级和3级等保要求-蓝色为区别2. - 二级、三级等级保护要求比较
安全等级保护3级和2级的区别 - long_图文.doc
安全等级保护3级和2级的区别 - long - 信息安全等级保护二级三级要求比较 (三级包含了二级的所有要求) 一、 技术要求 技术要求项 二级等保 1) 机房和办公...
安全等级保护2级和3级等保要求-蓝色为区别.doc
安全等级保护2级和3级等保要求-蓝色为区别_计算机软件及应用_IT/计算机_专业资料。等级保护2级与3级差异对比 二级、 二级、三级等级保护要求比较一、 技术要求...
安全等级保护2级和3级等保要求.doc
安全等级保护2级和3级等保要求_计算机硬件及网络_IT/计算机_专业资料。信息安全等级保护二级与三级的区别 二级、三级等级保护要求比较一、 技术要求技术要求项 物理...
等级保护测评项目测评方案-2级和3级标准.doc
等级保护测评项目测评方案-2级和3级标准_互联网_IT/计算机_专业资料。详细的...性和实效性,使信息系统安全 建设更加突出重点、统一规范、科学合理,提高信息安全...
等级保护测评项目测评方案(售前)-2级和3级标准.pdf
等级保护测评项目测评方案(售前)-2级和3级标准_计算机硬件及网络_IT/计算机_...信息安全等级保护,全面推动重要信息系统安全整改和 测评工作,增强信息系统安全保护...
等级保护二级与三级差别_图文.pdf
信息系统受到破坏后,会对公民、法人和其他组织的合法...《信息系统安全等级保护测评要求》等技术标准, 定期...安全等级保护2级和3级等... 暂无评价 32页 ...
信息系统安全等级保护三级基本要求_图文.xls
信息系统安全等级保护三级基本要求_信息通信_工程...序号1 2 3 4 5 6 7 8 9 10 11 12 13 14...发现不符合相应等级保护标准要求的及时整 改; b) ...
信息安全技术 信息系统安全等级保护实施指南.doc
信息安全技术 信息系统安全等级保护实施指南_信息与通信_工程科技_专业资料。信息安全技术 信息系统安全等级保护实施指南 前言 本标准的附录 A 是规范性附录。 本...
信息系统安全等级保护基本要求培训解读_图文.ppt
信息系统安全等级保护测 评要求》等技术标准,定期...一个3级系统,定级结果为S3A2,保护类型应该 是S3A... 标注为A类的要求可以选用2级基本要求中 的A类作为...
信息系统安全等级保护测评方法(v3)_图文.pdf
等级测评 2. 《测评要求》概述 3. 基本概念与主要内容 4. 如何编制测评方案 ...按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状 况行检测...
信息系统安全等级保护 标准体系.ppt
信息系统安全等级保护 标准体系_天文/地理_自然科学_...suansin@163.com 57 不同级别系统控制点的差异汇总...第2级安全控制测评 7.第3级安全控制测评 8.第4...
信息系统安全等级保护测评准则.doc
级、第级、第...信息系统安全等级保护测评准则 目录 1 范围......本标准规定了对信息系统安全等级保护状况进行安全测试评估的...
信息系统安全等级保护基本要求和建设_图文.ppt
(GB/T 25058-2010 ) - 信息安全技术 信息系统等级保护级保护安全设计技术要求...信息安全等级保护基本要求与建设整改 1 2 3 4 标准术语定义 基本要求概述 ...
公安部等保二三级标准差异(黑体标注).doc
公安部等保二三级标准差异(黑体标注)_计算机硬件及...为单个用户; h) 3. 安全审计本项要求包括: a) ...4. 剩余信息保护本项要求包括: a) 应保证操作系统...
更多相关标签: