信息安全等級保護(hù)二級

1、 備注：其中黑色字體為信息安全等級保護(hù)第二級系統(tǒng)要求，藍(lán)色字體為第三級系統(tǒng)等保要求。 一、物理安全 1、應(yīng)具有機(jī)房和辦公場地的設(shè)計 /驗收文檔（機(jī)房場地的選址說明、地線連接要求的描述、建筑材料 具有相應(yīng)的耐火等級說明、接地防靜電措施） 2、應(yīng)具有有來訪人員進(jìn)入機(jī)房的申請、審批記錄；來訪人員進(jìn)入機(jī)房的登記記錄 3、 應(yīng)配置電子門禁系統(tǒng) （三級明確要求 ）；電子門禁系統(tǒng)有驗收文檔或產(chǎn)品安全認(rèn)證資質(zhì)， 電子門禁系 統(tǒng)運行和維護(hù)記錄 4、主要設(shè)備或設(shè)備的主要部件上應(yīng)設(shè)置明顯的不易除去的標(biāo)記 5、介質(zhì)有分類標(biāo)識；介質(zhì)分類存放在介質(zhì)庫或檔案室內(nèi)，磁介質(zhì)、紙介質(zhì)等分類存放 6、應(yīng)具有攝像、傳感等監(jiān)控報警系統(tǒng)

2、；機(jī)房防盜報警設(shè)施的安全資質(zhì)材料、安裝測試和驗收報告； 機(jī)房防盜報警系統(tǒng)的運行記錄、定期檢查和維護(hù)記錄； 7、應(yīng)具有機(jī)房監(jiān)控報警設(shè)施的安全資質(zhì)材料、 安裝測試和驗收報告； 機(jī)房監(jiān)控報警系統(tǒng)的運行記錄、 定期檢查和維護(hù)記錄 8、應(yīng)具有機(jī)房建筑的避雷裝置；通過驗收或國家有關(guān)部門的技術(shù)檢測； 9、 應(yīng)在電源和信號線上增加有資質(zhì)的防雷保安器； 具有防雷檢測資質(zhì)的檢測部門對防雷裝置的檢測 報告 10、應(yīng)具有自動檢測火情、自動報警、 自動滅火 的自動消防系統(tǒng)；自動消防系統(tǒng)的運行記錄、檢查和 定期維護(hù)記錄；消防產(chǎn)品有效期合格；自動消防系統(tǒng)是經(jīng)消防檢測部門檢測合格的產(chǎn)品 11、應(yīng)具有除濕裝置；空調(diào)機(jī)和加濕器；

3、溫濕度定期檢查和維護(hù)記錄 12、應(yīng)具有水敏感的檢測儀表或元件；對機(jī)房進(jìn)行防水檢測和報警；防水檢測裝置的運行記錄、定期 檢查和維護(hù)記錄 13、應(yīng)具有溫濕度自動調(diào)節(jié)設(shè)施；溫濕度自動調(diào)節(jié)設(shè)施的運行記錄、定期檢查和維護(hù)記錄 14、 應(yīng)具有短期備用電力供應(yīng)設(shè)備（如 UPS）;短期備用電力供應(yīng)設(shè)備的運行記錄、定期檢查和維護(hù) 記錄 15、 應(yīng)具有冗余或并行的電力電纜線路（如雙路供電方式） 16、 應(yīng)具有備用供電系統(tǒng)（如備用發(fā)電機(jī)）;備用供電系統(tǒng)運行記錄、定期檢查和維護(hù)記錄 二、安全管理制度 信息安全 級保護(hù)（ 級） 1、應(yīng)具有對重要管理操作的操作規(guī)程，如系統(tǒng)維護(hù)手冊和用戶操作規(guī)程 2、應(yīng)具有安全管理制度的制

4、定程序： 3、應(yīng)具有專門的部門或人員負(fù)責(zé)安全管理制度的制定 （發(fā)布制度具有統(tǒng)一的格式， 并進(jìn)行版本控制） 4、應(yīng)對制定的安全管理制度進(jìn)行論證和審定，論證和審定方式如何（如召開評審會、函審、內(nèi)部審 核等），應(yīng)具有管理制度評審記錄 5、應(yīng)具有安全管理制度的收發(fā)登記記錄，收發(fā)應(yīng)通過正式、有效的方式（如正式發(fā)文、領(lǐng)導(dǎo)簽署和 單位蓋章等） - 安全管理制度應(yīng)注明發(fā)布范圍，并對收發(fā)文進(jìn)行登記。 6、信息安全領(lǐng)導(dǎo)小組 定期對安全管理制度體系的合理性和適用性進(jìn)行審定， 審定周期多長。 （安全管 理制度體系的評審記錄） 7、系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時應(yīng)對安全 管

5、理制度進(jìn)行檢查，對需要改進(jìn)的制度進(jìn)行修訂。 （應(yīng)具有安全管理制度修訂記錄） 三、安全管理機(jī)構(gòu) 1、應(yīng)設(shè)立信息安全管理工作的職能部門 2、應(yīng)設(shè)立安全主管、安全管理各個方面的負(fù)責(zé)人 3、應(yīng)設(shè)立機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位（分工明確，各司其職）， 數(shù)量情況（管理人員名單、崗位與人員對應(yīng)關(guān)系表） 4、安全管理員應(yīng)是專職人員 5、關(guān)鍵事物需要配備 2 人或 2 人以上共同管理，人員具體配備情況如何。 6、應(yīng)設(shè)立指導(dǎo)和管理信息安全工作的委員會或領(lǐng)導(dǎo)小組（最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)委任或授權(quán) 的人員擔(dān)任） 7、應(yīng)對重要信息系統(tǒng)活動進(jìn)行審批（如系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入

6、、重要管理制度 的制定和發(fā)布、人員的配備和培訓(xùn)、產(chǎn)品的采購、外部人員的訪問等），審批部門是何部門，審批人 是何人。審批程序： 8、 應(yīng)與其它部門之間及內(nèi)部各部門管理人員定期進(jìn)行溝通 （信息安全領(lǐng)導(dǎo)小組或者安全管理委員會 應(yīng)定期召開會議） 9、應(yīng)組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部的安全工作會議文件或會議記錄，定期： 10、信息安全管理委員會或領(lǐng)導(dǎo)小組安全管理工作執(zhí)行情況的文件或工作記錄（如會議記錄 /紀(jì)要， 信息安全工作決策文檔等） 11、應(yīng)與公安機(jī)關(guān)、電信公司和兄弟單位等的溝通合作（外聯(lián)單位聯(lián)系列表） 12、應(yīng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織等建立溝通、合作機(jī)制。 13、聘請

7、信息安全專家作為常年的安全顧問（具有安全顧問名單或者聘請安全顧問的證明文件、具 有安全顧問參與評審的文檔或記錄） 14、應(yīng)組織人員定期對信息系統(tǒng)進(jìn)行安全檢查（查看檢查內(nèi)容是否包括系統(tǒng)日常運行、系統(tǒng)漏洞和 數(shù)據(jù)備份等情況） 15、應(yīng)定期進(jìn)行全面安全檢查（安全檢查是否包含現(xiàn)行技術(shù)措施有效性和管理制度執(zhí)行情況等方面、 具有安全檢查表格，安全檢查報告，檢查結(jié)果通告記錄） 四、人員安全管理 1、何部門 /何人負(fù)責(zé)安全管理和技術(shù)人員的錄用工作（錄用過程） 2、應(yīng)對被錄用人的身份、背景、專業(yè)資格和資質(zhì)進(jìn)行審查，對技術(shù)人員的技術(shù)技能進(jìn)行考核，技能 考核文檔或記錄 3、應(yīng)與錄用后的技術(shù)人員簽署保密協(xié)議（協(xié)議中有

8、保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期 限和責(zé)任人的簽字等內(nèi)容） 4、應(yīng)設(shè)定關(guān)鍵崗位， 對從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔， 是否要求其簽署崗位安全協(xié)議。 5、應(yīng)及時終止離崗人員的所有訪問權(quán)限（離崗人員所有訪問權(quán)限終止的記錄） 6、應(yīng)及時取回離崗人員的各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備等（交還身份證 件和設(shè)備等的登記記錄） 7、人員離崗應(yīng)辦理調(diào)離手續(xù)，是否要求關(guān)鍵崗位調(diào)離人員承諾相關(guān)保密義務(wù)后方可離開（具有按照 離崗程序辦理調(diào)離手續(xù)的記錄，調(diào)離人員的簽字） 8、對各個崗位人員應(yīng)定期進(jìn)行安全技能考核； 具有安全技能考核記錄， 考核內(nèi)容要求包含安全知識、 安全技能等。 9

9、、對關(guān)鍵崗位人員的安全審查和考核與一般崗位人員有何不同，審查內(nèi)容是否包括操作行為和社會 10、應(yīng)對各類人員（普通用戶、運維人員、單位領(lǐng)導(dǎo)等）進(jìn)行安全教育、崗位技能和安全技術(shù)培訓(xùn)。 11、應(yīng)針對不同崗位制定不同的培訓(xùn)計劃， 并按照計劃對各個崗位人員進(jìn)行安全教育和培訓(xùn) （安全教 育和培訓(xùn)的結(jié)果記錄，記錄應(yīng)與培訓(xùn)計劃一致） 12、外部人員進(jìn)入條件（對哪些重要區(qū)域的訪問須提出書面申請批準(zhǔn)后方可進(jìn)入），外部人員進(jìn)入的 訪問控制（由專人全程陪同或監(jiān)督等） 13、應(yīng)具有外部人員訪問重要區(qū)域的書面申請 14、應(yīng)具有外部人員訪問重要區(qū)域的登記記錄 （記錄描述了外部人員訪問重要區(qū)域的進(jìn)入時間、 離開 時間、訪問區(qū)

10、域、訪問設(shè)備或信息及陪同人等） 五、系統(tǒng)建設(shè)管理 1、應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級（具有定級文檔，明確信息系統(tǒng)安全保護(hù)等級） 2、應(yīng)具有系統(tǒng)建設(shè) /整改方案 3、應(yīng)授權(quán)專門的部門對信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，由何部門 /何人負(fù)責(zé) 4、應(yīng)具有系統(tǒng)的安全建設(shè)工作計劃（系統(tǒng)安全建設(shè)工作計劃中明確了近期和遠(yuǎn)期的安全建設(shè)計劃） 5、應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套 文件進(jìn)行論證和審定（配套文件的論證評審記錄或文檔） 6、應(yīng)對總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件應(yīng)定期進(jìn)行調(diào)整和修訂 7、應(yīng)具有總體安全策略、安全技術(shù)框架、安全管

11、理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計方案等相關(guān)配套 文件的維護(hù)記錄或修訂版本 8、應(yīng)按照國家的相關(guān)規(guī)定進(jìn)行采購和使用系統(tǒng)信息安全產(chǎn)品 9、安全產(chǎn)品的相關(guān)憑證，如銷售許可等，應(yīng)使用符合國家有關(guān)規(guī)定產(chǎn)品 10、應(yīng)具有專門的部門負(fù)責(zé)產(chǎn)品的采購 11、采購產(chǎn)品前應(yīng)預(yù)先對產(chǎn)品進(jìn)行選型測試確定產(chǎn)品的候選范圍， 形成候選產(chǎn)品清單， 是否定期審定 和更新候選產(chǎn)品名單 12、應(yīng)具有產(chǎn)品選型測試結(jié)果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測試結(jié)果文檔） 13、應(yīng)具有軟件設(shè)計相關(guān)文檔，專人保管軟件設(shè)計的相關(guān)文檔，應(yīng)具有軟件使用指南或操作手冊 14、對程序資源庫的修改、更新、發(fā)布應(yīng)進(jìn)行授權(quán)和批準(zhǔn) 15、應(yīng)具有程序資源庫的修改

12、、更新、發(fā)布文檔或記錄 16、軟件交付前應(yīng)依據(jù)開發(fā)協(xié)議的技術(shù)指標(biāo)對軟件功能和性能等進(jìn)行驗收檢測 17、軟件安裝之前應(yīng)檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三 方的商業(yè)產(chǎn)品 18、應(yīng)具有軟件設(shè)計的相關(guān)文檔和使用指南 19、應(yīng)具有需求分析說明書、軟件設(shè)計說明書、軟件操作手冊等開發(fā)文檔 20、應(yīng)指定專門部門或人員按照工程實施方案的要求對工程實施過程進(jìn)行進(jìn)度和質(zhì)量控制 21、應(yīng)具有工程實施過程應(yīng)按照實施方案形成各種文檔， 如階段性工程進(jìn)程匯報報告， 工程實施方案 22、在信息系統(tǒng)正式運行前， 應(yīng)委托第三方測試機(jī)構(gòu)根據(jù)設(shè)計方案或合同要求對信息系統(tǒng)進(jìn)行獨立的 安全性測試（第三

13、方測試機(jī)構(gòu)出示的系統(tǒng)安全性測試驗收報告） 23、應(yīng)具有工程測試驗收方案（測試驗收方案與設(shè)計方案或合同要求內(nèi)容一致） 24、應(yīng)具有測試驗收報告 25、應(yīng)指定專門部門負(fù)責(zé)測試驗收工作（具有對系統(tǒng)測試驗收報告進(jìn)行審定的意見） 26、根據(jù)交付清單對所交接的設(shè)備、文檔、軟件等進(jìn)行清點（系統(tǒng)交付清單） 27、應(yīng)具有系統(tǒng)交付時的技術(shù)培訓(xùn)記錄 28、應(yīng)具有系統(tǒng)建設(shè)文檔 （如系統(tǒng)建設(shè)方案） 、指導(dǎo)用戶進(jìn)行系統(tǒng)運維的文檔 （如服務(wù)器操作規(guī)程書） 以及系統(tǒng)培訓(xùn)手冊等文檔。 29、應(yīng)指定部門負(fù)責(zé)系統(tǒng)交付工作 30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運維商和等級測評機(jī)構(gòu)等相關(guān)安全服務(wù)商 簽訂的協(xié)議（文檔中

14、有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容 31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù) 32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書 六、系統(tǒng)運維管理 1、應(yīng)指定專人或部門對機(jī)房的基本設(shè)施（如空調(diào)、供配電設(shè)備等）進(jìn)行定期維護(hù)，由何部門 /何人負(fù) 責(zé)。 2、應(yīng)具有機(jī)房基礎(chǔ)設(shè)施的維護(hù)記錄，空調(diào)、溫濕度控制等機(jī)房設(shè)施定期維護(hù)保養(yǎng)的記錄 3、應(yīng)指定部門和人員負(fù)責(zé)機(jī)房安全管理工作 4、應(yīng)對辦公環(huán)境保密性進(jìn)行管理（工作人員離開座位確保終端計算機(jī)退出登錄狀態(tài)、桌面上沒有包 含敏感信息的紙檔文件） 5、應(yīng)具有資產(chǎn)清單（覆蓋資產(chǎn)責(zé)任人、所屬級別、所處位置、所處部門等方面） 6

15、、應(yīng)指定資產(chǎn)管理的責(zé)任部門或人員 7、應(yīng)依據(jù)資產(chǎn)的重要程度對資產(chǎn)進(jìn)行標(biāo)識 8、介質(zhì)存放于何種環(huán)境中，應(yīng)對存放環(huán)境實施專人管理（介質(zhì)存放在安全的環(huán)境（防潮、防盜、防 火、防磁，專用存儲空間） 9、應(yīng)具有介質(zhì)使用管理記錄，應(yīng)記錄介質(zhì)歸檔和使用等情況（介質(zhì)存放、使用管理記錄） 10、對介質(zhì)的物理傳輸過程應(yīng)要求選擇可靠傳輸人員、嚴(yán)格介質(zhì)的打包（如采用防拆包裝置）、選擇 安全的物理傳輸途徑、雙方在場交付等環(huán)節(jié)的控制 11、應(yīng)對介質(zhì)的使用情況進(jìn)行登記管理，并定期盤點（介質(zhì)歸檔和查詢的記錄、存檔介質(zhì)定期盤點的 記錄） 12、對送出維修或銷毀的介質(zhì)如何管理，銷毀前應(yīng)對數(shù)據(jù)進(jìn)行凈化處理。 （對帶出工作環(huán)境的存儲

16、介 質(zhì)是否進(jìn)行內(nèi)容加密并有領(lǐng)導(dǎo)批準(zhǔn)。對保密性較高的介質(zhì)銷毀前是否有領(lǐng)導(dǎo)批準(zhǔn)） （送修記錄、帶出 記錄、銷毀記錄） 13、應(yīng)對某些重要介質(zhì)實行異地存儲， 異地存儲環(huán)境是否與本地環(huán)境相同 （防潮、 防盜、防火、 防磁， 專用存儲空間） 14、介質(zhì)上應(yīng)具有分類的標(biāo)識或標(biāo)簽 15、應(yīng)對各類設(shè)施、設(shè)備指定專人或?qū)ｉT部門進(jìn)行定期維護(hù)。 16、應(yīng)具有設(shè)備操作手冊 17、應(yīng)對帶離機(jī)房的信息處理設(shè)備經(jīng)過審批流程，由何人審批（審批記錄） 18、應(yīng)監(jiān)控主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的運行狀況等 19、應(yīng)有相關(guān) 網(wǎng)絡(luò)監(jiān)控系統(tǒng) 或技術(shù)措施能夠?qū)νㄐ啪€路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運行狀況、網(wǎng) 絡(luò)流量、用戶行為等進(jìn)行監(jiān)測和報警

17、 20、應(yīng)具有日常運維的監(jiān)控日志記錄和運維交接日志記錄 21、應(yīng)定期對監(jiān)控記錄進(jìn)行分析、評審 22、應(yīng)具有異常現(xiàn)象的現(xiàn)場處理記錄和事后相關(guān)的分析報告 23、應(yīng)建立安全管理中心，對設(shè)備狀態(tài)、惡意代碼、補丁升級、安全審計等相關(guān)事項進(jìn)行集中管理 24、應(yīng)指定專人負(fù)責(zé)維護(hù)網(wǎng)絡(luò)安全管理工作 25、應(yīng)對網(wǎng)絡(luò)設(shè)備進(jìn)行過升級， 更新前應(yīng)對現(xiàn)有的重要文件是否進(jìn)行備份 （網(wǎng)絡(luò)設(shè)備運維維護(hù)工作記 錄） 26、應(yīng)對網(wǎng)絡(luò)進(jìn)行過漏洞掃描，并對發(fā)現(xiàn)的漏洞進(jìn)行及時修補。 27、對設(shè)備的安全配置應(yīng)遵循最小服務(wù)原則， 應(yīng)對配置文件進(jìn)行備份 （具有網(wǎng)絡(luò)設(shè)備配置數(shù)據(jù)的離線 備份） 28、系統(tǒng)網(wǎng)絡(luò)的外聯(lián)種類（互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上

18、級部門網(wǎng)絡(luò)等）應(yīng)都得到授權(quán)與批準(zhǔn)，由何 人/何部門批準(zhǔn)。應(yīng)定期檢查違規(guī)聯(lián)網(wǎng)的行為。 29、對便攜式和移動式設(shè)備的網(wǎng)絡(luò)接入應(yīng)進(jìn)行限制管理 30、應(yīng)具有內(nèi)部網(wǎng)絡(luò)外聯(lián)的授權(quán)批準(zhǔn)書，應(yīng)具有網(wǎng)絡(luò)違規(guī)行為（如撥號上網(wǎng)等）的檢查手段和工具。 31、在安裝系統(tǒng)補丁程序前應(yīng)經(jīng)過測試，并對重要文件進(jìn)行備份。 32、應(yīng)有補丁測試記錄和系統(tǒng)補丁安裝操作記錄 33、應(yīng)對系統(tǒng)管理員用戶進(jìn)行分類（比如：劃分不同的管理角色，系統(tǒng)管理權(quán)限與安全審計權(quán)限分離 等） 34、審計員應(yīng)定期對系統(tǒng)審計日志進(jìn)行分析（有定期對系統(tǒng)運行日志和審計數(shù)據(jù)的分析報告） 35、應(yīng)對員工進(jìn)行基本惡意代碼防范意識的教育， 如告知應(yīng)及時升級軟件版本 （對員工的惡意代碼防 范教育的相關(guān)培訓(xùn)文檔） 36、應(yīng)指定專人對惡意代碼進(jìn)行檢測，并保存記錄。 37、應(yīng)具有對網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測的記錄 38、應(yīng)對惡意代碼庫的升級情況進(jìn)行記錄（代碼庫的升級記錄），對各類防病毒產(chǎn)品上截獲的惡意代 碼是否進(jìn)行分析并匯總上報。是否出現(xiàn)過大規(guī)模的病毒事件，如何處理 39、應(yīng)具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告 40、應(yīng)具有變更方案評審記錄和變更過程記錄文檔。 41、重要系統(tǒng)的變更申請書，應(yīng)具有主管領(lǐng)導(dǎo)的批準(zhǔn) 42、系統(tǒng)管理