版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
信息系統(tǒng)安全等級(jí)測(cè)評(píng)差距分析表〔備注:請(qǐng)各醫(yī)院在〔〕中對(duì)已有的測(cè)評(píng)指標(biāo)進(jìn)展勾選,目前醫(yī)院和社區(qū)參照其次級(jí)要求進(jìn)展勾選〕《信息系統(tǒng)安全等級(jí)保護(hù)根本要求》其次級(jí)根本要求物理位置的選擇〔G2〕機(jī)房和辦公場(chǎng)地應(yīng)選擇在具有防震、防風(fēng)和防雨等力量的建筑內(nèi)?!病獭澄锢碓L問(wèn)掌握〔G2〕本項(xiàng)要求包括:機(jī)房出入口應(yīng)安排專人值守,掌握、鑒別和記錄進(jìn)入的人員;〔〕需進(jìn)入機(jī)房的來(lái)訪人員應(yīng)經(jīng)過(guò)申請(qǐng)和審批流程,并限制和監(jiān)控其活動(dòng)范圍。〔√〕防盜竊和防破壞〔G2〕本項(xiàng)要求包括:應(yīng)將主要設(shè)備放置在機(jī)房?jī)?nèi);〔√〕應(yīng)將設(shè)備或主要部件進(jìn)展固定,并設(shè)置明顯的不易除去的標(biāo)記;〔√〕應(yīng)將通信線纜鋪設(shè)在隱蔽處,可鋪設(shè)在地下或管道中;〔√〕應(yīng)對(duì)介質(zhì)分類標(biāo)識(shí),存儲(chǔ)在介質(zhì)庫(kù)或檔案室中;〔〕主機(jī)房應(yīng)安裝必要的防盜報(bào)警設(shè)施?!病獭撤览讚簟睪2〕本項(xiàng)要求包括:機(jī)房建筑應(yīng)設(shè)置避雷裝置;〔√〕機(jī)房應(yīng)設(shè)置溝通電源地線?!病獭撤阑稹睪2〕機(jī)房應(yīng)設(shè)置滅火設(shè)備和火災(zāi)自動(dòng)報(bào)警系統(tǒng)?!病獭撤浪头莱薄睪2〕本項(xiàng)要求包括:水管安裝,不得穿過(guò)機(jī)房屋頂和活動(dòng)地板下;〔√〕應(yīng)實(shí)行措施防止雨水通過(guò)機(jī)房窗戶、屋頂和墻壁滲透;〔√〕應(yīng)實(shí)行措施防止機(jī)房?jī)?nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透。〔√〕防靜電〔G2〕關(guān)鍵設(shè)備應(yīng)承受必要的接地防靜電措施?!病獭硿貪穸日莆铡睪2〕機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)整設(shè)施,使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)?!病獭畴娏┙o〔A2〕本項(xiàng)要求包括:應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備;〔〕應(yīng)供給短期的備用電力供給,至少滿足關(guān)鍵設(shè)備在斷電狀況下的正常運(yùn)行要求。〔√〕電磁防護(hù)〔S2〕電源線和通信線纜應(yīng)隔離鋪設(shè),避開(kāi)相互干擾?!病獭尘W(wǎng)絡(luò)安全構(gòu)造安全〔G2〕本項(xiàng)要求包括:應(yīng)保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理力量具備冗余空間,滿足業(yè)務(wù)頂峰期需要;〔√〕應(yīng)保證接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)的帶寬滿足業(yè)務(wù)頂峰期需要;〔√〕應(yīng)繪制與當(dāng)前運(yùn)行狀況相符的網(wǎng)絡(luò)拓?fù)錁?gòu)造圖;〔√〕應(yīng)依據(jù)各部門(mén)的工作職能、重要性和所涉及信息的重要程度等因素,劃分不同的子網(wǎng)或網(wǎng)段,并依據(jù)便利治理和掌握的原則為各子網(wǎng)、網(wǎng)段安排地址段。〔√〕訪問(wèn)掌握〔G2〕本項(xiàng)要求包括:應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)掌握設(shè)備,啟用訪問(wèn)掌握功能;〔√〕/拒絕訪問(wèn)的力量,掌握粒度為網(wǎng)段級(jí)?!病獭硲?yīng)按用戶和系統(tǒng)之間的允許訪問(wèn)規(guī)章,打算允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)展資源訪問(wèn),掌握粒度為單個(gè)用戶;〔√〕應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)限的用戶數(shù)量。〔√〕安全審計(jì)〔G2〕本項(xiàng)要求包括:應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)展日志記錄〔〕〔√〕邊界完整性檢查〔S2〕應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)中消滅的內(nèi)部用戶未通過(guò)準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)展檢查。〔√〕入侵防范〔G2〕擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲(chóng)攻擊等〔〕網(wǎng)絡(luò)設(shè)備防護(hù)〔G2〕本項(xiàng)要求包括:應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)展身份鑒別;〔√〕應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的治理員登錄地址進(jìn)展限制;〔〕網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一;〔√〕身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn),口令應(yīng)有簡(jiǎn)單度要求并定期更換;〔√〕應(yīng)具有登錄失敗處理功能,可實(shí)行完畢會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施;〔〕當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)展遠(yuǎn)程治理時(shí),應(yīng)實(shí)行必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)?!病持鳈C(jī)安全身份鑒別〔S2〕本項(xiàng)要求包括:應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)展身份標(biāo)識(shí)和鑒別;〔√〕操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)治理用戶身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn),口令應(yīng)有簡(jiǎn)單度要求并定期更換;〔√〕應(yīng)啟用登錄失敗處理功能,可實(shí)行完畢會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施;〔√〕當(dāng)對(duì)效勞器進(jìn)展遠(yuǎn)程治理時(shí),應(yīng)實(shí)行必要措施,防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng);〔〕應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶安排不同的用戶名,確保用戶名具有唯一性?!病獭吃L問(wèn)掌握〔S2〕本項(xiàng)要求包括:應(yīng)啟用訪問(wèn)掌握功能,依據(jù)安全策略掌握用戶對(duì)資源的訪問(wèn);〔√〕應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶的權(quán)限分別;〔√〕應(yīng)限制默認(rèn)帳戶的訪問(wèn)權(quán)限,重命名系統(tǒng)默認(rèn)帳戶,修改這些帳戶的默認(rèn)口令;〔√〕應(yīng)準(zhǔn)時(shí)刪除多余的、過(guò)期的帳戶,避開(kāi)共享帳戶的存在?!病獭嘲踩珜徲?jì)〔G2〕本項(xiàng)要求包括:審計(jì)范圍應(yīng)掩蓋到效勞器上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶;〔〕審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的特別使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)大事;〔√〕審計(jì)記錄應(yīng)包括大事的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等;〔〕應(yīng)保護(hù)審計(jì)記錄,避開(kāi)受到未預(yù)期的刪除、修改或掩蓋等。〔〕入侵防范〔G2〕方式保持系統(tǒng)補(bǔ)丁準(zhǔn)時(shí)得到更?!病獭硱阂獯a防范〔G2〕本項(xiàng)要求包括:應(yīng)安裝防惡意代碼軟件,并準(zhǔn)時(shí)更防惡意代碼軟件版本和惡意代碼庫(kù);〔√〕應(yīng)支持防惡意代碼軟件的統(tǒng)一治理?!病獭迟Y源掌握〔A2〕本項(xiàng)要求包括:應(yīng)通過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄;〔〕應(yīng)依據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定;〔〕應(yīng)限制單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小使用限度。〔〕應(yīng)用安全身份鑒別〔S2〕本項(xiàng)要求包括:應(yīng)供給專用的登錄掌握模塊對(duì)登錄用戶進(jìn)展身份標(biāo)識(shí)和鑒別;〔√〕應(yīng)供給用戶身份標(biāo)識(shí)唯一和鑒別信息簡(jiǎn)單度檢查功能,保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí),身份鑒別信息不易被冒用;〔〕應(yīng)供給登錄失敗處理功能,可實(shí)行完畢會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施;〔〕應(yīng)啟用身份鑒別、用戶身份標(biāo)識(shí)唯一性檢查、用戶身份鑒別信息簡(jiǎn)單度檢查以及登錄失敗處理功能,并依據(jù)安全策略配置相關(guān)參數(shù)?!病吃L問(wèn)掌握〔S2〕本項(xiàng)要求包括:應(yīng)供給訪問(wèn)掌握功能,依據(jù)安全策略掌握用戶對(duì)文件、數(shù)據(jù)庫(kù)表等客體的訪問(wèn)〔√〕;訪問(wèn)掌握的掩蓋范圍應(yīng)包括與資源訪問(wèn)相關(guān)的主體、客體及它們之間的操作;〔√〕應(yīng)由授權(quán)主體配置訪問(wèn)掌握策略,并嚴(yán)格限制默認(rèn)帳戶的訪問(wèn)權(quán)限;〔√〕應(yīng)授予不同帳戶為完成各自擔(dān)當(dāng)任務(wù)所需的最小權(quán)限,并在它們之間形成相互制約的關(guān)系?!病獭嘲踩珜徲?jì)〔G2〕本項(xiàng)要求包括:應(yīng)供給掩蓋到每個(gè)用戶的安全審計(jì)功能,對(duì)應(yīng)用系統(tǒng)重要安全大事進(jìn)展審計(jì);〔√〕應(yīng)保證無(wú)法刪除、修改或掩蓋審計(jì)記錄;〔〕審計(jì)記錄的內(nèi)容至少應(yīng)包括大事日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等?!病惩ㄐ磐暾浴睸2〕應(yīng)承受校驗(yàn)碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性?!病惩ㄐ疟C苄浴睸2〕本項(xiàng)要求包括:在通信雙方建立連接之前,應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)展會(huì)話初始化驗(yàn)證;〔√〕應(yīng)對(duì)通信過(guò)程中的敏感信息字段進(jìn)展加密?!病耻浖蒎e(cuò)〔A2〕本項(xiàng)要求包括:應(yīng)供給數(shù)據(jù)有效性檢驗(yàn)功能,保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的數(shù)據(jù)格式或長(zhǎng)度符合系統(tǒng)設(shè)定要求;〔√〕〔√〕資源掌握〔A2〕本項(xiàng)要求包括:當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng),另一方應(yīng)能夠自動(dòng)完畢會(huì)話;〔〕應(yīng)能夠?qū)?yīng)用系統(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)展限制;〔〕應(yīng)能夠?qū)蝹€(gè)帳戶的多重并發(fā)會(huì)話進(jìn)展限制?!病硵?shù)據(jù)完整性〔S2〕應(yīng)能夠檢測(cè)到鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中完整性受到破壞?!病硵?shù)據(jù)保密性〔S2〕應(yīng)承受加密或其他保護(hù)措施實(shí)現(xiàn)鑒別信息的存儲(chǔ)保密性?!病硞浞莺突謴?fù)〔A2〕本項(xiàng)要求包括:應(yīng)能夠?qū)χ匾畔⑦M(jìn)展備份和恢復(fù);〔√〕應(yīng)供給關(guān)鍵網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余,保證系統(tǒng)的可用性?!病持卫硪蟀踩卫碇贫缺卷?xiàng)要求包括:應(yīng)制定信息安全工作的總體方針和安全策略,說(shuō)明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等;〔√〕應(yīng)對(duì)安全治理活動(dòng)中重要的治理內(nèi)容建立安全治理制度;〔√〕應(yīng)對(duì)安全治理人員或操作人員執(zhí)行的重要治理操作建立操作規(guī)程。〔√〕制定和公布〔G2〕本項(xiàng)要求包括:應(yīng)指定或授權(quán)特地的部門(mén)或人員負(fù)責(zé)安全治理制度的制定;〔√〕應(yīng)組織相關(guān)人員對(duì)制定的安全治理制度進(jìn)展論證和審定;〔〕應(yīng)將安全治理制度以某種方式公布到相關(guān)人員手中。〔〕評(píng)審和修訂〔G2〕應(yīng)定期對(duì)安全治理制度進(jìn)展評(píng)審,對(duì)存在缺乏或需要改進(jìn)的安全治理制度進(jìn)展修訂。〔√〕安全治理機(jī)構(gòu)本項(xiàng)要求包括:應(yīng)設(shè)立安全主管、安全治理各個(gè)方面的負(fù)責(zé)人崗位,并定義各負(fù)責(zé)人的職責(zé);〔√〕應(yīng)設(shè)立系統(tǒng)治理員、網(wǎng)絡(luò)治理員、安全治理員等崗位,并定義各個(gè)工作崗位的職責(zé)。〔√〕人員配備〔G2〕本項(xiàng)要求包括:應(yīng)配備肯定數(shù)量的系統(tǒng)治理員、網(wǎng)絡(luò)治理員、安全治理員等;〔√〕安全治理員不能兼任網(wǎng)絡(luò)治理員、系統(tǒng)治理員、數(shù)據(jù)庫(kù)治理員等?!病呈跈?quán)和審批〔G2〕本項(xiàng)要求包括:應(yīng)依據(jù)各個(gè)部門(mén)和崗位的職責(zé)明確授權(quán)審批部門(mén)及批準(zhǔn)人,對(duì)系統(tǒng)投入運(yùn)行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪問(wèn)等關(guān)鍵活動(dòng)進(jìn)展審批;〔√〕應(yīng)針對(duì)關(guān)鍵活動(dòng)建立審批流程,并由批準(zhǔn)人簽字確認(rèn)?!病獭硿贤ê秃献鳌睪2〕本項(xiàng)要求包括:應(yīng)加強(qiáng)各類治理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門(mén)內(nèi)部的合作與溝通;〔√〕應(yīng)加強(qiáng)與兄弟單位、公安機(jī)關(guān)、電信公司的合作與溝通?!病硨徍撕蜋z查〔G2〕狀況?!病獭橙藛T安全治理本項(xiàng)要求包括:應(yīng)指定或授權(quán)特地的部門(mén)或人員負(fù)責(zé)人員錄用;〔√〕應(yīng)標(biāo)準(zhǔn)人員錄用過(guò)程,對(duì)被錄用人員的身份、背景和專業(yè)資格等進(jìn)展審查,對(duì)其所具有的技術(shù)技能進(jìn)展考核;〔〕應(yīng)與從事關(guān)鍵崗位的人員簽署保密協(xié)議?!病橙藛T離崗〔G2〕本項(xiàng)要求包括:應(yīng)標(biāo)準(zhǔn)人員離崗過(guò)程,準(zhǔn)時(shí)終止離崗員工的全部訪問(wèn)權(quán)限;〔√〕應(yīng)取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)供給的軟硬件設(shè)備;〔〕應(yīng)辦理嚴(yán)格的調(diào)離手續(xù)。〔〕人員考核〔G2〕應(yīng)定期對(duì)各個(gè)崗位的人員進(jìn)展安全技能及安全認(rèn)知的考核。〔√〕安全意識(shí)教育和培訓(xùn)〔G2〕本項(xiàng)要求包括:應(yīng)對(duì)各類人員進(jìn)展安全意識(shí)教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn);〔√〕應(yīng)告知人員相關(guān)的安全責(zé)任和懲戒措施,并對(duì)違反違反安全策略和規(guī)定的人員進(jìn)展懲戒;〔√〕應(yīng)制定安全教育和培訓(xùn)打算,對(duì)信息安全根底學(xué)問(wèn)、崗位操作規(guī)程等進(jìn)展培訓(xùn)?!病獭惩獠咳藛T訪問(wèn)治理〔G2〕備案?!病獭诚到y(tǒng)建設(shè)治理本項(xiàng)要求包括:應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí);〔√〕應(yīng)以書(shū)面的形式說(shuō)明信息系統(tǒng)確定為某個(gè)安全保護(hù)等級(jí)的方法和理由;〔√〕應(yīng)確保信息系統(tǒng)的定級(jí)結(jié)果經(jīng)過(guò)相關(guān)部門(mén)的批準(zhǔn)?!病獭嘲踩桨冈O(shè)計(jì)〔G2〕本項(xiàng)要求包括:應(yīng)依據(jù)系統(tǒng)的安全保護(hù)等級(jí)選擇根本安全措施,依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施;〔√〕應(yīng)以書(shū)面形式描述對(duì)系統(tǒng)的安全保護(hù)要求、策略和措施等內(nèi)容,形成系統(tǒng)的安全方案;〔〕應(yīng)對(duì)安全方案進(jìn)展細(xì)化,形成能指導(dǎo)安全系統(tǒng)建設(shè)、安全產(chǎn)品選購(gòu)和使用的具體設(shè)計(jì)方案;〔〕應(yīng)組織相關(guān)部門(mén)和有關(guān)安全技術(shù)專家對(duì)安全設(shè)計(jì)方案的合理性和正確性進(jìn)展論證和審定,并且經(jīng)過(guò)批準(zhǔn)后,才能正式實(shí)施?!病钞a(chǎn)品選購(gòu)和使用〔G2〕本項(xiàng)要求包括:應(yīng)確保安全產(chǎn)品選購(gòu)和使用符合國(guó)家的有關(guān)規(guī)定;〔√〕應(yīng)確保密碼產(chǎn)品選購(gòu)和使用符合國(guó)家密碼主管部門(mén)的要求;〔√〕應(yīng)指定或授權(quán)特地的部門(mén)負(fù)責(zé)產(chǎn)品的選購(gòu)。〔√〕自行軟件開(kāi)發(fā)〔G2〕本項(xiàng)要求包括:應(yīng)確保開(kāi)發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開(kāi);〔〕應(yīng)制定軟件開(kāi)發(fā)治理制度,明確說(shuō)明開(kāi)發(fā)過(guò)程的掌握方法和人員行為準(zhǔn)則;〔〕應(yīng)確保供給軟件設(shè)計(jì)的相關(guān)文檔和使用指南,并由專人負(fù)責(zé)保管?!病惩獍浖_(kāi)發(fā)〔G2〕本項(xiàng)要求包括:應(yīng)依據(jù)開(kāi)發(fā)要求檢測(cè)軟件質(zhì)量;〔〕應(yīng)確保供給軟件設(shè)計(jì)的相關(guān)文檔和使用指南;〔〕應(yīng)在軟件安裝之前檢測(cè)軟件包中可能存在的惡意代碼;〔〕應(yīng)要求開(kāi)發(fā)單位供給軟件源代碼,并審查軟件中可能存在的后門(mén)。〔〕工程實(shí)施〔G2〕本項(xiàng)要求包括:應(yīng)指定或授權(quán)特地的部門(mén)或人員負(fù)責(zé)工程實(shí)施過(guò)程的治理;〔√〕應(yīng)制定具體的工程實(shí)施方案,掌握工程實(shí)施過(guò)程。〔√〕測(cè)試驗(yàn)收〔G2〕本項(xiàng)要求包括:應(yīng)對(duì)系統(tǒng)進(jìn)展安全性測(cè)試驗(yàn)收;〔√〕在測(cè)試驗(yàn)收前應(yīng)依據(jù)設(shè)計(jì)方案或合同要求等制訂測(cè)試驗(yàn)收方案,在測(cè)試驗(yàn)收過(guò)程中應(yīng)具體記錄測(cè)試驗(yàn)收結(jié)果,并形成測(cè)試驗(yàn)收?qǐng)?bào)告;〔√〕應(yīng)組織相關(guān)部門(mén)和相關(guān)人員對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)展審定,并簽字確認(rèn)。〔√〕系統(tǒng)交付〔G2〕本項(xiàng)要求包括:應(yīng)制定系統(tǒng)交付清單,并依據(jù)交付清單對(duì)所交接的設(shè)備、軟件和文檔等進(jìn)展清點(diǎn);〔√〕應(yīng)對(duì)負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)展相應(yīng)的技能培訓(xùn);〔√〕應(yīng)確保供給系統(tǒng)建設(shè)過(guò)程中的文檔和指導(dǎo)用戶進(jìn)展系統(tǒng)運(yùn)行維護(hù)的文檔?!病獭嘲踩谏踢x擇〔G2〕本項(xiàng)要求包括:應(yīng)確保安全效勞商的選擇符合國(guó)家的有關(guān)規(guī)定;〔√〕應(yīng)與選定的安全效勞商簽訂與安全相關(guān)的協(xié)議,明確商定相關(guān)責(zé)任;〔√〕應(yīng)確保選定的安全效勞商供給技術(shù)支持和效勞承諾,必要的與其簽訂效勞合同?!病獭诚到y(tǒng)運(yùn)維治理本項(xiàng)要求包括:應(yīng)指定特地的部門(mén)或人員定期對(duì)機(jī)房供配電、空調(diào)、溫濕度掌握等設(shè)施進(jìn)展維護(hù)治理;〔√〕應(yīng)配備機(jī)房安全治理人員,對(duì)機(jī)房的出入、效勞器的開(kāi)機(jī)或關(guān)機(jī)等工作進(jìn)展治理;〔√〕應(yīng)建立機(jī)房安全治理制度,對(duì)有關(guān)機(jī)房物理訪問(wèn),物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面的治理作出規(guī)定;〔√〕應(yīng)加強(qiáng)對(duì)辦公環(huán)境的保密性治理,包括工作人員調(diào)離辦公室應(yīng)馬上交還該辦公室鑰匙和不在辦公區(qū)接待來(lái)訪人員等?!病迟Y產(chǎn)治理〔G2〕本項(xiàng)要求包括:應(yīng)編制與信息系統(tǒng)相關(guān)的資產(chǎn)清單,包括資產(chǎn)責(zé)任部門(mén)、重要程度和所處位置等內(nèi)容;〔√〕應(yīng)建立資產(chǎn)安全治理制度,規(guī)定信息系統(tǒng)資產(chǎn)治理的責(zé)任人員或責(zé)任部門(mén),并標(biāo)準(zhǔn)資產(chǎn)治理和使用的行為?!病獭辰橘|(zhì)治理〔G2〕本項(xiàng)要求包括:應(yīng)確保介質(zhì)存放在安全的環(huán)境中,對(duì)各類介質(zhì)進(jìn)展掌握和保護(hù),并實(shí)行存儲(chǔ)環(huán)境專人治理;〔√〕應(yīng)對(duì)介質(zhì)歸檔和查詢等過(guò)程進(jìn)展記錄,并依據(jù)存檔介質(zhì)的名目清單定期盤(pán)點(diǎn);〔√〕應(yīng)對(duì)需要送出修理或銷毀的介質(zhì),首先去除其中的敏感數(shù)據(jù),防止信息的非法泄漏;應(yīng)依據(jù)所承載數(shù)據(jù)和軟件的重要程度對(duì)介質(zhì)進(jìn)展分類和標(biāo)識(shí)治理。〔〕設(shè)備治理〔G2〕本項(xiàng)要求包括:應(yīng)對(duì)信息系統(tǒng)相關(guān)的各種設(shè)備〔包括備份和冗余設(shè)備〕、線路等指定特地的部門(mén)或人員定期進(jìn)展維護(hù)治理;〔√〕應(yīng)建立基于申報(bào)、審批和專人負(fù)責(zé)的設(shè)備安全治理制度,對(duì)信息系統(tǒng)的各種軟硬件設(shè)備的選型、選購(gòu)、發(fā)放和領(lǐng)用等過(guò)程進(jìn)展標(biāo)準(zhǔn)化治理;〔√〕應(yīng)對(duì)終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進(jìn)展標(biāo)準(zhǔn)化治理,按操作規(guī)程實(shí)現(xiàn)關(guān)鍵設(shè)備〔包括備份和冗余設(shè)備〕的啟動(dòng)/停頓、加電/斷電等操作;〔√〕應(yīng)確保信息處理設(shè)備必需經(jīng)過(guò)審批才能帶離機(jī)房或辦公地點(diǎn)。〔√〕網(wǎng)絡(luò)安全治理〔G2〕本項(xiàng)要求包括:應(yīng)指定人員對(duì)網(wǎng)絡(luò)進(jìn)展治理,負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息分析和處理工作;〔√〕應(yīng)建立網(wǎng)絡(luò)安全治理制度,對(duì)網(wǎng)絡(luò)安全配置、日志保存時(shí)間、安全策略、升級(jí)與打補(bǔ)丁、口令更周期等方面作出規(guī)定;〔√〕應(yīng)依據(jù)廠家供給的軟件升級(jí)版本對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)展更,并在更前對(duì)現(xiàn)有的重要文件進(jìn)展備份;〔√〕應(yīng)定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)展漏洞掃描,對(duì)覺(jué)察的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)展準(zhǔn)時(shí)的修補(bǔ);〔√〕應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的配置文件進(jìn)展定期備份;〔√〕應(yīng)保證全部與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)?!病诚到y(tǒng)安全治理〔G2〕本項(xiàng)要求包括:應(yīng)依據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問(wèn)掌握策略;〔√〕應(yīng)定期進(jìn)展漏洞掃描,對(duì)覺(jué)察的系統(tǒng)安全漏洞準(zhǔn)時(shí)進(jìn)展修補(bǔ);〔√〕應(yīng)安裝系統(tǒng)的最補(bǔ)丁程序,在安裝系統(tǒng)補(bǔ)丁前,應(yīng)首先在測(cè)試環(huán)境中測(cè)試通過(guò),并對(duì)重要文件進(jìn)展備份后,方可實(shí)施系統(tǒng)補(bǔ)丁程序的安裝;〔√〕應(yīng)建立系統(tǒng)安全治理制度,對(duì)系統(tǒng)安全策略、安全配置、日志治理和日常操作流程等方面作出規(guī)定;〔√〕應(yīng)依據(jù)操作手冊(cè)對(duì)系統(tǒng)進(jìn)展維護(hù),具體記錄操作日志,包括重要的日常操作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容,嚴(yán)禁進(jìn)展未經(jīng)授權(quán)的操作;〔√〕應(yīng)定期對(duì)運(yùn)行日志和審計(jì)數(shù)據(jù)進(jìn)展分析,以便準(zhǔn)時(shí)覺(jué)察特別行為。〔√〕惡意代碼防范治理〔G2〕本項(xiàng)要求包括:應(yīng)提高全部用戶的防病毒意識(shí),告知準(zhǔn)時(shí)升級(jí)防病毒軟件,在讀取移動(dòng)存儲(chǔ)設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件之前,先進(jìn)展病毒檢查,對(duì)外來(lái)計(jì)算機(jī)或存儲(chǔ)設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也應(yīng)進(jìn)展病毒檢查;〔√〕應(yīng)指定專人對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)展惡意代碼檢測(cè)并保存檢測(cè)記錄;〔√〕應(yīng)對(duì)防惡意代碼軟件的授權(quán)使用、惡意代碼庫(kù)升級(jí)、定期匯報(bào)等作出明確規(guī)定?!病趁艽a治理〔G2〕應(yīng)使用符合國(guó)家密碼治理規(guī)定的密碼技術(shù)和產(chǎn)品?!病匙兏卫怼睪2〕本項(xiàng)要求包括:應(yīng)確認(rèn)系統(tǒng)中要發(fā)生的重要變更,并制定相應(yīng)的變更方案;〔√〕系統(tǒng)發(fā)生重要變更前,應(yīng)向主管領(lǐng)導(dǎo)申請(qǐng),審批前方可實(shí)施變更,并在實(shí)施后向相關(guān)人員通告。〔〕備份與恢復(fù)治理〔G2〕本項(xiàng)要求包括:應(yīng)識(shí)別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等;〔√〕應(yīng)規(guī)定備份信息的備份方式、備份頻度、存儲(chǔ)介質(zhì)、保存期等;〔√〕應(yīng)依據(jù)數(shù)據(jù)的重要性及其對(duì)系統(tǒng)運(yùn)行的影響,制定數(shù)據(jù)的備份策略和恢復(fù)策略,備份策略指明備份數(shù)據(jù)的放置場(chǎng)所、文件命名規(guī)章、介質(zhì)替換頻率和數(shù)據(jù)離站運(yùn)輸方法?!病嘲踩笫绿幹谩睪2〕本項(xiàng)要求包括:應(yīng)報(bào)告所覺(jué)察的安全弱點(diǎn)和可疑大事,但任何狀況下用戶均不應(yīng)嘗試驗(yàn)證弱點(diǎn);〔√〕應(yīng)制定安全大事報(bào)告和處置治理制度,明確安全大事類型,規(guī)定安全大事的現(xiàn)場(chǎng)處理、大事報(bào)告和后期恢復(fù)的治理職責(zé);〔√〕應(yīng)依據(jù)國(guó)家相關(guān)治理部門(mén)對(duì)計(jì)算機(jī)安全大事等級(jí)劃分方法和安全大事對(duì)本系統(tǒng)產(chǎn)生的影響,對(duì)本系統(tǒng)計(jì)算機(jī)安全大事進(jìn)展等級(jí)劃分;〔√〕應(yīng)記錄并保存全部報(bào)告的安全弱點(diǎn)和可疑大事,分析大事緣由,監(jiān)視事態(tài)進(jìn)展,實(shí)行措施避開(kāi)安全大事發(fā)生?!病獭硲?yīng)急預(yù)案治理〔G2〕本項(xiàng)要求包括:應(yīng)在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同大事的應(yīng)急預(yù)案,應(yīng)急預(yù)案框架應(yīng)包括啟動(dòng)應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容;〔√〕應(yīng)對(duì)系統(tǒng)相關(guān)的人員進(jìn)展應(yīng)急預(yù)案培訓(xùn),應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次。〔√〕第三級(jí)根本要求物理位置的選擇〔G3〕本項(xiàng)要求包括:機(jī)房和辦公場(chǎng)地應(yīng)選擇在具有防震、防風(fēng)和防雨等力量的建筑內(nèi);〔〕機(jī)房場(chǎng)地應(yīng)避開(kāi)設(shè)在建筑物的高層或地下室,以及用水設(shè)備的下層或隔壁。〔〕物理訪問(wèn)掌握〔G3〕本項(xiàng)要求包括:機(jī)房出入口應(yīng)安排專人值守,掌握、鑒別和記錄進(jìn)入的人員;〔〕需進(jìn)入機(jī)房的來(lái)訪人員應(yīng)經(jīng)過(guò)申請(qǐng)和審批流程,并限制和監(jiān)控其活動(dòng)范圍;〔〕應(yīng)對(duì)機(jī)房劃分區(qū)域進(jìn)展治理,區(qū)域和區(qū)域之間設(shè)置物理隔離裝置,在重要區(qū)域前設(shè)置交付或安裝等過(guò)渡區(qū)域;〔〕重要區(qū)域應(yīng)配置電子門(mén)禁系統(tǒng),掌握、鑒別和記錄進(jìn)入的人員。〔〕防盜竊和防破壞〔G3〕本項(xiàng)要求包括:應(yīng)將主要設(shè)備放置在機(jī)房?jī)?nèi);〔〕應(yīng)將設(shè)備或主要部件進(jìn)展固定,并設(shè)置明顯的不易除去的標(biāo)記;〔〕應(yīng)將通信線纜鋪設(shè)在隱蔽處,可鋪設(shè)在地下或管道中;〔〕應(yīng)對(duì)介質(zhì)分類標(biāo)識(shí),存儲(chǔ)在介質(zhì)庫(kù)或檔案室中;〔〕應(yīng)利用光、電等技術(shù)設(shè)置機(jī)房防盜報(bào)警系統(tǒng);〔〕應(yīng)對(duì)機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)?!病撤览讚簟睪3〕本項(xiàng)要求包括:機(jī)房建筑應(yīng)設(shè)置避雷裝置;〔〕應(yīng)設(shè)置防雷保安器,防止感應(yīng)雷;〔〕機(jī)房應(yīng)設(shè)置溝通電源地線?!病撤阑稹睪3〕本項(xiàng)要求包括:機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng),能夠自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警,并自動(dòng)滅火;〔〕機(jī)房及相關(guān)的工作房間和關(guān)心房應(yīng)承受具有耐火等級(jí)的建筑材料;〔〕機(jī)房應(yīng)實(shí)行區(qū)域隔離防火措施,將重要設(shè)備與其他設(shè)備隔離開(kāi)?!病撤浪头莱薄睪3〕本項(xiàng)要求包括:水管安裝,不得穿過(guò)機(jī)房屋頂和活動(dòng)地板下;〔〕應(yīng)實(shí)行措施防止雨水通過(guò)機(jī)房窗戶、屋頂和墻壁滲透;〔〕應(yīng)實(shí)行措施防止機(jī)房?jī)?nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透;〔〕應(yīng)安裝對(duì)水敏感的檢測(cè)儀表或元件,對(duì)機(jī)房進(jìn)展防水檢測(cè)和報(bào)警?!病撤漓o電〔G3〕本項(xiàng)要求包括:主要設(shè)備應(yīng)承受必要的接地防靜電措施;〔〕機(jī)房應(yīng)承受防靜電地板?!病硿貪穸日莆铡睪3〕機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)整設(shè)施,使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)?!病畴娏┙o〔A3〕本項(xiàng)要求包括:應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備;〔〕應(yīng)供給短期的備用電力供給,至少滿足主要設(shè)備在斷電狀況下的正常運(yùn)行要求;〔〕應(yīng)設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電;〔〕應(yīng)建立備用供電系統(tǒng)。〔〕電磁防護(hù)〔S3〕本項(xiàng)要求包括:應(yīng)承受接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾;〔〕電源線和通信線纜應(yīng)隔離鋪設(shè),避開(kāi)相互干擾;〔〕應(yīng)對(duì)關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽。〔〕網(wǎng)絡(luò)安全構(gòu)造安全〔G3〕本項(xiàng)要求包括:應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理力量具備冗余空間,滿足業(yè)務(wù)頂峰期需要;〔〕應(yīng)保證網(wǎng)絡(luò)各個(gè)局部的帶寬滿足業(yè)務(wù)頂峰期需要;〔〕應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)效勞器之間進(jìn)展路由掌握建立安全的訪問(wèn)路徑;〔〕應(yīng)繪制與當(dāng)前運(yùn)行狀況相符的網(wǎng)絡(luò)拓?fù)錁?gòu)造圖;〔〕應(yīng)依據(jù)各部門(mén)的工作職能、重要性和所涉及信息的重要程度等因素,劃分不同的子網(wǎng)或網(wǎng)段,并依據(jù)便利治理和掌握的原則為各子網(wǎng)、網(wǎng)段安排地址段;〔〕應(yīng)避開(kāi)將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng),重要網(wǎng)段與其他網(wǎng)段之間實(shí)行牢靠的技術(shù)隔離手段;〔〕應(yīng)依據(jù)對(duì)業(yè)務(wù)效勞的重要次序來(lái)指定帶寬安排優(yōu)先級(jí)別,保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)?!病吃L問(wèn)掌握〔G3〕本項(xiàng)要求包括:應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)掌握設(shè)備,啟用訪問(wèn)掌握功能〔〕應(yīng)能依據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流供給明確的允許/拒絕訪問(wèn)的力量,掌握粒度為端〔〕應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)展過(guò)濾,實(shí)現(xiàn)對(duì)應(yīng)用層FTPTELNETSMTP、POP3等協(xié)議命令級(jí)的掌握〔〕應(yīng)在會(huì)話處于非活潑肯定時(shí)間或會(huì)話完畢后終止網(wǎng)絡(luò)連接〔〕應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)〔〕重要網(wǎng)段應(yīng)實(shí)行技術(shù)手段防止地址哄騙〔〕應(yīng)按用戶和系統(tǒng)之間的允許訪問(wèn)規(guī)章問(wèn),掌握粒度為單個(gè)用戶〔〕應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)限的用戶數(shù)量〔〕安全審計(jì)〔G3〕本項(xiàng)要求包括:應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)展日志記錄〔〕〔〕應(yīng)能夠依據(jù)記錄數(shù)據(jù)進(jìn)展分析,并生成審計(jì)報(bào)表〔〕應(yīng)對(duì)審計(jì)記錄進(jìn)展保護(hù),避開(kāi)受到未預(yù)期的刪除、修改或掩蓋等〔〕邊界完整性檢查〔S3〕本項(xiàng)要求包括:〔〕〔〕入侵防范〔G3〕本項(xiàng)要求包括:IP碎片攻擊和網(wǎng)絡(luò)蠕蟲(chóng)攻擊等〔〕當(dāng)檢測(cè)到攻擊行為時(shí),記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間,在發(fā)生嚴(yán)峻入侵大事時(shí)應(yīng)供給報(bào)警〔〕惡意代碼防范〔G3〕本項(xiàng)要求包括:應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)展檢測(cè)和去除〔〕應(yīng)維護(hù)惡意代碼庫(kù)的升級(jí)和檢測(cè)系統(tǒng)的更〔〕網(wǎng)絡(luò)設(shè)備防護(hù)〔G3〕本項(xiàng)要求包括:應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)展身份鑒別〔〕應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的治理員登錄地址進(jìn)展限制〔〕網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一〔〕主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來(lái)進(jìn)展身份鑒別;〔〕身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn),口令應(yīng)有簡(jiǎn)單度要求并定期更換〔〕超時(shí)自動(dòng)退出等措施〔〕〔〕應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分別〔〕主機(jī)安全身份鑒別〔S3〕本項(xiàng)要求包括:應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)展身份標(biāo)識(shí)和鑒別;〔〕操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)治理用戶身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn),口令應(yīng)有簡(jiǎn)單度要求并定期更換;〔〕應(yīng)啟用登錄失敗處理功能,可實(shí)行完畢會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施;〔〕當(dāng)對(duì)效勞器進(jìn)展遠(yuǎn)程治理時(shí),應(yīng)實(shí)行必要措施,防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng);〔〕應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶安排不同的用戶名,確保用戶名具有唯一性?!病硲?yīng)承受兩種或兩種以上組合的鑒別技術(shù)對(duì)治理用戶進(jìn)展身份鑒別?!病吃L問(wèn)掌握〔S3〕本項(xiàng)要求包括:應(yīng)啟用訪問(wèn)掌握功能,依據(jù)安全策略掌握用戶對(duì)資源的訪問(wèn);〔〕應(yīng)依據(jù)治理用戶的角色安排權(quán)限,實(shí)現(xiàn)治理用戶的權(quán)限分別,僅授予治理用戶所需的最小權(quán)限;〔〕應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶的權(quán)限分別;〔〕應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問(wèn)權(quán)限,重命名系統(tǒng)默認(rèn)帳戶,修改這些帳戶的默認(rèn)口令;〔〕應(yīng)準(zhǔn)時(shí)刪除多余的、過(guò)期的帳戶,避開(kāi)共享帳戶的存在。〔〕應(yīng)對(duì)重要信息資源設(shè)置敏感標(biāo)記;〔〕應(yīng)依據(jù)安全策略嚴(yán)格掌握用戶對(duì)有敏感標(biāo)記重要信息資源的操作;〔〕安全審計(jì)〔G3〕本項(xiàng)要求包括:審計(jì)范圍應(yīng)掩蓋到效勞器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶;〔〕審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的特別使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)大事;〔〕審計(jì)記錄應(yīng)包括大事的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等;〔〕應(yīng)能夠依據(jù)記錄數(shù)據(jù)進(jìn)展分析,并生成審計(jì)報(bào)表;〔〕應(yīng)保護(hù)審計(jì)進(jìn)程,避開(kāi)受到未預(yù)期的中斷;〔〕應(yīng)保護(hù)審計(jì)記錄,避開(kāi)受到未預(yù)期的刪除、修改或掩蓋等?!病呈S嘈畔⒈Wo(hù)〔S3〕本項(xiàng)要求包括:應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)用戶的鑒別信息所在的存儲(chǔ)空間,被釋放或再安排給其他用戶前得到完全去除,無(wú)論這些信息是存放在硬盤(pán)上還是在內(nèi)存中;〔〕應(yīng)確保系統(tǒng)內(nèi)的文件、名目和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間,被釋放或重安排給其他用戶前得到完全去除?!病橙肭址婪丁睪3〕本項(xiàng)要求包括:應(yīng)能夠檢測(cè)到對(duì)重要效勞器進(jìn)展入侵的行為,能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時(shí)間,并在發(fā)生嚴(yán)峻入侵大事時(shí)供給報(bào)警;〔〕應(yīng)能夠?qū)χ匾绦虻耐暾赃M(jìn)展檢測(cè),并在檢測(cè)到完整性受到破壞后具有恢復(fù)的措施;〔〕操作系統(tǒng)應(yīng)遵循最小安裝的原則,僅安裝需要的組件和應(yīng)用程序,并通過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁準(zhǔn)時(shí)得到更?!病硱阂獯a防范〔G3〕本項(xiàng)要求包括:應(yīng)安裝防惡意代碼軟件,并準(zhǔn)時(shí)更防惡意代碼軟件版本和惡意代碼庫(kù);〔〕主機(jī)防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫(kù);〔〕應(yīng)支持防惡意代碼的統(tǒng)一治理。〔〕資源掌握〔A3〕本項(xiàng)要求包括:應(yīng)通過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄;〔〕應(yīng)依據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定;〔〕應(yīng)對(duì)重要效勞器進(jìn)展監(jiān)視,包括監(jiān)視效勞器的CPU、硬盤(pán)、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況;〔〕應(yīng)限制單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小使用限度;〔〕應(yīng)能夠?qū)ο到y(tǒng)的效勞水平降低到預(yù)先規(guī)定的最小值進(jìn)展檢測(cè)和報(bào)警?!病硲?yīng)用安全身份鑒別〔S3〕本項(xiàng)要求包括:〔〕應(yīng)對(duì)同一用戶承受兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別;〔〕應(yīng)供給用戶身份標(biāo)識(shí)唯一和鑒別信息簡(jiǎn)單度檢查功能,保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí),身份鑒別信息不易被冒用;〔〕應(yīng)供給登錄失敗處理功能,可實(shí)行完畢會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施;〔〕應(yīng)啟用身份鑒別、用戶身份標(biāo)識(shí)唯一性檢查、用戶身份鑒別信息簡(jiǎn)單度檢查以及登錄失敗處理功能,并依據(jù)安全策略配置相關(guān)參數(shù)?!病吃L問(wèn)掌握〔S3〕本項(xiàng)要求包括:應(yīng)供給訪問(wèn)掌握功能,依據(jù)安全策略掌握用戶對(duì)文件、數(shù)據(jù)庫(kù)表等客體的訪問(wèn);〔〕訪問(wèn)掌握的掩蓋范圍應(yīng)包括與資源訪問(wèn)相關(guān)的主體、客體及它們之間的操作;〔〕應(yīng)由授權(quán)主體配置訪問(wèn)掌握策略,并嚴(yán)格限制默認(rèn)帳戶的訪問(wèn)權(quán)限;〔〕應(yīng)授予不同帳戶為完成各自擔(dān)當(dāng)任務(wù)所需的最小權(quán)限,并在它們之間形成相互制約的關(guān)系?!病硲?yīng)具有對(duì)重要信息資源設(shè)置敏感標(biāo)記的功能;〔〕應(yīng)依據(jù)安全策略嚴(yán)格掌握用戶對(duì)有敏感標(biāo)記重要信息資源的操作;〔〕安全審計(jì)〔G3〕本項(xiàng)要求包括:應(yīng)供給掩蓋到每個(gè)用戶的安全審計(jì)功能,對(duì)應(yīng)用系統(tǒng)重要安全大事進(jìn)展審計(jì);〔〕應(yīng)保證無(wú)法單獨(dú)中斷審計(jì)進(jìn)程,無(wú)法刪除、修改或掩蓋審計(jì)記錄;〔〕審計(jì)記錄的內(nèi)容至少應(yīng)包括大事的日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等;〔〕應(yīng)供給對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)展統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表的功能?!病呈S嘈畔⒈Wo(hù)〔S3〕本項(xiàng)要求包括:應(yīng)保證用戶鑒別信息所在的存儲(chǔ)空間被釋放或再安排給其他用戶前得到完全去除,無(wú)論這些信息是存放在硬盤(pán)上還是在內(nèi)存中;〔〕應(yīng)保證系統(tǒng)內(nèi)的文件、名目和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間被釋放或重安排給其他用戶前得到完全去除。〔〕通信完整性〔S3〕應(yīng)承受密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性。〔〕通信保密性〔S3〕本項(xiàng)要求包括:在通信雙方建立連接之前,應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)展會(huì)話初始化驗(yàn)證;〔〕應(yīng)對(duì)通信過(guò)程中的整個(gè)報(bào)文或會(huì)話過(guò)程進(jìn)展加密?!病晨沟仲嚒睪3〕本項(xiàng)要求包括:應(yīng)具有在懇求的狀況下為數(shù)據(jù)原發(fā)者或接收者供給數(shù)據(jù)原發(fā)證據(jù)的功能;〔〕應(yīng)具有在懇求的狀況下為數(shù)據(jù)原發(fā)者或接收者供給數(shù)據(jù)接收證據(jù)的功能?!病耻浖蒎e(cuò)〔A3〕本項(xiàng)要求包括:應(yīng)供給數(shù)據(jù)有效性檢驗(yàn)功能,保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的數(shù)據(jù)格式或長(zhǎng)度符合系統(tǒng)設(shè)定要求;〔〕應(yīng)供給自動(dòng)保護(hù)功能,當(dāng)故障發(fā)生時(shí)自動(dòng)保護(hù)當(dāng)前全部狀態(tài),保證系統(tǒng)能夠進(jìn)展恢復(fù)?!病迟Y源掌握〔A3〕本項(xiàng)要求包括:當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng),另一方應(yīng)能夠自動(dòng)完畢會(huì)話;〔〕應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)展限制;〔〕應(yīng)能夠?qū)蝹€(gè)帳戶的多重并發(fā)會(huì)話進(jìn)展限制;〔〕應(yīng)能夠?qū)σ粋€(gè)時(shí)間段內(nèi)可能的并發(fā)會(huì)話連接數(shù)進(jìn)展限制;〔〕應(yīng)能夠?qū)σ粋€(gè)訪問(wèn)帳戶或一個(gè)懇求進(jìn)程占用的資源安排最大限額和最小限額;〔〕應(yīng)能夠?qū)ο到y(tǒng)效勞水平降低到預(yù)先規(guī)定的最小值進(jìn)展檢測(cè)和報(bào)警;〔〕應(yīng)供給效勞優(yōu)先級(jí)設(shè)定功能,并在安裝后依據(jù)安全策略設(shè)定訪問(wèn)帳戶或懇求進(jìn)程的優(yōu)先級(jí),依據(jù)優(yōu)先級(jí)安排系統(tǒng)資源?!病硵?shù)據(jù)完整性〔S3〕本項(xiàng)要求包括:應(yīng)能夠檢測(cè)到系統(tǒng)治理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中完整性受到破壞,并在檢測(cè)到完整性錯(cuò)誤時(shí)實(shí)行必要的恢復(fù)措施;〔〕應(yīng)能夠檢測(cè)到系統(tǒng)治理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲(chǔ)過(guò)程中完整性受到破壞,并在檢測(cè)到完整性錯(cuò)誤時(shí)實(shí)行必要的恢復(fù)措施?!病硵?shù)據(jù)保密性〔S3〕本項(xiàng)要求包括:應(yīng)承受加密或其他有效措施實(shí)現(xiàn)系統(tǒng)治理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性;〔〕應(yīng)承受加密或其他保護(hù)措施實(shí)現(xiàn)系統(tǒng)治理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲(chǔ)保密性。〔〕備份和恢復(fù)〔A3〕本項(xiàng)要求包括:應(yīng)供給本地?cái)?shù)據(jù)備份與恢復(fù)功能,完全數(shù)據(jù)備份至少每天一次,備份介質(zhì)場(chǎng)外存放;〔〕應(yīng)供給異地?cái)?shù)據(jù)備份功能,利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備用場(chǎng)地;〔〕應(yīng)承受冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)錁?gòu)造,避開(kāi)關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障;〔〕應(yīng)供給主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余,保證系統(tǒng)的高可用性。〔〕治理要求安全治理制度本項(xiàng)要求包括:應(yīng)制定信息安全工作的總體方針和安全策略,說(shuō)明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等;〔〕應(yīng)對(duì)安全治理活動(dòng)中的各類治理內(nèi)容建立安全治理制度;〔〕應(yīng)對(duì)要求治理人員或操作人員執(zhí)行的日常治理操作建立操作規(guī)程;〔〕應(yīng)形成由安全策略、治理制度、操作規(guī)程等構(gòu)成的全面的信息安全治理制度體系?!病持贫ê凸肌睪3〕本項(xiàng)要求包括:應(yīng)指定或授權(quán)特地的部門(mén)或人員負(fù)責(zé)安全治理制度的制定;〔〕安全治理制度應(yīng)具有統(tǒng)一的格式,并進(jìn)展版本掌握;〔〕應(yīng)組織相關(guān)人員對(duì)制定的安全治理制度進(jìn)展論證和審定;〔〕安全治理制度應(yīng)通過(guò)正式、有效的方式公布;〔〕安全治理制度應(yīng)注明公布范圍,并對(duì)收發(fā)文進(jìn)展登記?!病吃u(píng)審和修訂〔G3〕本項(xiàng)要求包括:信息安全領(lǐng)導(dǎo)小組應(yīng)負(fù)責(zé)定期組織相關(guān)部門(mén)和相關(guān)人員對(duì)安全治理制度體系的合理性和適用性進(jìn)展審定;〔〕應(yīng)定期或不定期對(duì)安全治理制度進(jìn)展檢查和審定,對(duì)存在缺乏或需要改進(jìn)的安全治理制度進(jìn)展修訂?!病嘲踩卫頇C(jī)構(gòu)本項(xiàng)要求包括:應(yīng)設(shè)立信息安全治理工作的職能部門(mén),設(shè)立安全主管、安全治理各個(gè)方面的負(fù)責(zé)人崗位,并定義各負(fù)責(zé)人的職責(zé);〔〕應(yīng)設(shè)立系統(tǒng)治理員、網(wǎng)絡(luò)治理員、安全治理員等崗位,并定義各個(gè)工作崗位的職責(zé);〔〕應(yīng)成立指導(dǎo)和治理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組,其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或授權(quán);〔〕應(yīng)制定文件明確安全治理機(jī)構(gòu)各個(gè)部門(mén)和崗位的職責(zé)、分工和技能要求?!病橙藛T配備〔G3〕本項(xiàng)要求包括:應(yīng)配備肯定數(shù)量的系統(tǒng)治理員、網(wǎng)絡(luò)治理員、安全治理員等;〔〕應(yīng)配備專職安全治理員,不行兼任;〔〕關(guān)鍵事務(wù)崗位應(yīng)配備多人共同治理。〔〕授權(quán)和審批〔G3〕本項(xiàng)要求包括:應(yīng)依據(jù)各個(gè)部門(mén)和崗位的職責(zé)明確授權(quán)審批事項(xiàng)、審批部門(mén)和批準(zhǔn)人等;〔〕應(yīng)針對(duì)系統(tǒng)變更、重要操作、物理訪問(wèn)和系統(tǒng)接入等事項(xiàng)建立審批程序,依據(jù)審批程序執(zhí)行審批過(guò)程,對(duì)重要活動(dòng)建立逐級(jí)審批制度;〔〕應(yīng)定期審查審批事項(xiàng),準(zhǔn)時(shí)更需授權(quán)和審批的工程、審批部門(mén)和審批人等信息;〔〕應(yīng)記錄審批過(guò)程并保存審批文檔?!病硿贤ê秃献鳌睪3〕本項(xiàng)要求包括:應(yīng)加強(qiáng)各類治理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門(mén)內(nèi)部的合作與溝通,定期或不定期召開(kāi)協(xié)調(diào)會(huì)議,共同協(xié)作處理信息安全問(wèn)題;〔〕應(yīng)加強(qiáng)與兄弟單位、公安機(jī)關(guān)、電信公司的合作與溝通;〔〕應(yīng)加強(qiáng)與供給商、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通;〔〕應(yīng)建立外聯(lián)單位聯(lián)系列表,包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息;〔〕應(yīng)聘請(qǐng)信息安全專家作為常年的安全參謀,指導(dǎo)信息安全建設(shè),參與安全規(guī)劃和安全評(píng)審等?!病硨徍撕蜋z查〔G3〕本項(xiàng)要求包括:安全治理員應(yīng)負(fù)責(zé)定期進(jìn)展安全檢查,檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等狀況;〔〕應(yīng)由內(nèi)部人員或上級(jí)單位定期進(jìn)展全面安全檢查,檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的全都性、安全治理制度的執(zhí)行狀況等;〔〕應(yīng)制定安全檢查表格實(shí)施安全檢查,匯總安全檢查數(shù)據(jù),形成安全檢查報(bào)告,并對(duì)安全檢查結(jié)果進(jìn)展通報(bào);〔〕應(yīng)制定安全審核和安全檢查制度標(biāo)準(zhǔn)安全審核和安全檢查工作,定期依據(jù)程序進(jìn)展安全審核和安全檢查活動(dòng)?!病橙藛T安全治理本項(xiàng)要求包括:應(yīng)指定或授權(quán)特地的部門(mén)或人員負(fù)責(zé)人員錄用;〔〕應(yīng)嚴(yán)格標(biāo)準(zhǔn)人員錄用過(guò)程,對(duì)被錄用人的身份、背景、專業(yè)資格和資質(zhì)等進(jìn)展審查,對(duì)其所具有的技術(shù)技能進(jìn)展考核;〔〕應(yīng)簽署保密協(xié)議;〔〕應(yīng)從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員,并簽署崗位安全協(xié)議。〔〕人員離崗〔G3〕本項(xiàng)要求包括:應(yīng)嚴(yán)格標(biāo)準(zhǔn)人員離崗過(guò)程,準(zhǔn)時(shí)終止離崗員工的全部訪問(wèn)權(quán)限;〔〕應(yīng)取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)供給的軟硬件設(shè)備;〔〕應(yīng)辦理嚴(yán)格的調(diào)離手續(xù),關(guān)鍵崗位人員離崗須承諾調(diào)離后的保密義務(wù)前方可離開(kāi)?!病橙藛T考核〔G3〕本項(xiàng)要求包括:應(yīng)定期對(duì)各個(gè)崗位的人員進(jìn)展安全技能及安全認(rèn)知的考核;〔〕應(yīng)對(duì)關(guān)鍵崗位的人員進(jìn)展全面、嚴(yán)格的安全審查和技能考核;〔〕應(yīng)對(duì)考核結(jié)果進(jìn)展記錄并保存?!病嘲踩庾R(shí)教育和培訓(xùn)〔G3〕本項(xiàng)要求包括:應(yīng)對(duì)各類人員進(jìn)展安全意識(shí)教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn);〔〕應(yīng)對(duì)安全責(zé)任和懲戒措施進(jìn)展書(shū)面規(guī)定并告知相關(guān)人員,對(duì)違反違反安全策略和規(guī)定的人員進(jìn)展懲戒;〔〕應(yīng)對(duì)定期安全教育和培訓(xùn)進(jìn)展書(shū)面規(guī)定,針對(duì)不同崗位制定不同的培訓(xùn)打算,對(duì)信息安全根底學(xué)問(wèn)、崗位操作規(guī)程等進(jìn)展培訓(xùn);〔〕應(yīng)對(duì)安全教育和培訓(xùn)的狀況和結(jié)果進(jìn)展記錄并歸檔保存?!病惩獠咳藛T訪問(wèn)治理〔G3〕本項(xiàng)要求包括:應(yīng)確保在外部人員訪問(wèn)受控區(qū)域前先提出書(shū)面申請(qǐng),批準(zhǔn)后由專人全程伴隨或監(jiān)視,并登記備案;〔〕對(duì)外部人員允許訪問(wèn)的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容應(yīng)進(jìn)展書(shū)面的規(guī)定,并依據(jù)規(guī)定執(zhí)行?!病诚到y(tǒng)建設(shè)治理本項(xiàng)要求包括:〔〕應(yīng)以書(shū)面的形式說(shuō)明確定信息系統(tǒng)為某個(gè)安全保護(hù)等級(jí)的方法和理由;〔〕應(yīng)組織相關(guān)部門(mén)和有關(guān)安全技術(shù)專家對(duì)信息系統(tǒng)定級(jí)結(jié)果的合理性和正確性進(jìn)展論證和審定;〔〕應(yīng)確保信息系統(tǒng)的定級(jí)結(jié)果經(jīng)過(guò)相關(guān)部門(mén)的批準(zhǔn)?!病嘲踩桨冈O(shè)計(jì)〔G3〕本項(xiàng)要求包括:應(yīng)依據(jù)系統(tǒng)的安全保護(hù)等級(jí)選擇根本安全措施,并依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施;〔〕應(yīng)指定和授權(quán)特地的部門(mén)對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)展總體規(guī)劃,制定近期和遠(yuǎn)期的安全建設(shè)工作打算;〔〕應(yīng)依據(jù)信息系統(tǒng)的等級(jí)劃分狀況,統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全治理策略、總體建設(shè)規(guī)劃和具體設(shè)計(jì)方案,并形成配套文件;〔〕應(yīng)組織相關(guān)部門(mén)和有關(guān)安全技術(shù)專家對(duì)總體安全策略、安全技術(shù)框架、安全治理策略、總體建設(shè)規(guī)劃、具體設(shè)計(jì)方案等相關(guān)配套文件的合理性和正確性進(jìn)展論證和審定,并且經(jīng)過(guò)批準(zhǔn)后,才能正式實(shí)施;〔〕應(yīng)依據(jù)等級(jí)測(cè)評(píng)、安全評(píng)估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全治理策略、總體建設(shè)規(guī)劃、具體設(shè)計(jì)方案等相關(guān)配套文件。〔〕產(chǎn)品選購(gòu)和使用〔G3〕本項(xiàng)要求包括:應(yīng)確保安全產(chǎn)品選購(gòu)和使用符合國(guó)家的有關(guān)規(guī)定;〔〕應(yīng)確保密碼產(chǎn)品選購(gòu)和使用符合國(guó)家密碼主管部門(mén)的要求;〔〕〔〕應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)展選型測(cè)試,確定產(chǎn)品的候選范圍,并定期審定和更候選產(chǎn)品名單?!病匙孕熊浖_(kāi)發(fā)〔G3〕本項(xiàng)要求包括:應(yīng)確保開(kāi)發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開(kāi),開(kāi)發(fā)人員和測(cè)試人員分別,測(cè)試數(shù)據(jù)和測(cè)試結(jié)果受到掌握;〔〕應(yīng)制定軟件開(kāi)發(fā)治理制度,明確說(shuō)明開(kāi)發(fā)過(guò)程的掌握方法和人員行為準(zhǔn)則;〔〕應(yīng)制定代碼編寫(xiě)安全標(biāo)準(zhǔn),要求開(kāi)發(fā)人員參照標(biāo)準(zhǔn)編寫(xiě)代碼;〔〕應(yīng)確保供給軟件設(shè)計(jì)的相關(guān)文檔和使用指南,并由專人負(fù)責(zé)保管;〔〕應(yīng)確保對(duì)程序資源庫(kù)的修改、更、公布進(jìn)展授權(quán)和批準(zhǔn)?!病惩獍浖_(kāi)發(fā)〔G3〕本項(xiàng)要求包括:應(yīng)依據(jù)開(kāi)發(fā)需求檢測(cè)軟件質(zhì)量;〔〕應(yīng)在軟件安裝之前檢測(cè)軟件包中可能存在的惡意代碼;〔〕應(yīng)要求開(kāi)發(fā)單位供給軟件設(shè)計(jì)的相關(guān)文檔和使用指南;〔〕應(yīng)要求開(kāi)發(fā)單位供給軟件源代碼,并審查軟件中可能存在的后門(mén)?!病彻こ虒?shí)施〔G3〕本項(xiàng)要求包括:應(yīng)指定或授權(quán)特地的部門(mén)或人員負(fù)責(zé)工程實(shí)施過(guò)程的治理;〔〕應(yīng)制定具體的工程實(shí)施方案掌握實(shí)施過(guò)程〔〕應(yīng)制定工程實(shí)施方面的治理制度,明確說(shuō)明實(shí)施過(guò)程的掌握方法和人員行為準(zhǔn)則?!病硿y(cè)試驗(yàn)收〔G3〕本項(xiàng)要求包括:應(yīng)托付公正的第三方測(cè)試單位對(duì)系統(tǒng)進(jìn)展安全性測(cè)試,并出具安全性測(cè)試報(bào)告;〔〕在測(cè)試驗(yàn)收前應(yīng)依據(jù)設(shè)計(jì)方案或合同要求等制訂測(cè)試驗(yàn)收方案,在測(cè)試驗(yàn)收過(guò)程中應(yīng)具體記錄測(cè)試驗(yàn)收結(jié)果,并形成測(cè)試驗(yàn)收?qǐng)?bào)告;〔〕應(yīng)對(duì)系統(tǒng)測(cè)試驗(yàn)收的掌握方法和人員行為準(zhǔn)則進(jìn)展書(shū)面規(guī)定;〔〕應(yīng)指定或授權(quán)特地的部門(mén)負(fù)責(zé)系統(tǒng)測(cè)試驗(yàn)收的治理,并依據(jù)治理規(guī)定的要求完成系統(tǒng)測(cè)試驗(yàn)收工作;〔〕應(yīng)組織相關(guān)部門(mén)和相關(guān)人員對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)展審定,并簽字確認(rèn)。〔〕系統(tǒng)交付〔G3〕本項(xiàng)要求包括:應(yīng)制定具體的系統(tǒng)交付清單,并依據(jù)交付清單對(duì)所交接的設(shè)備、軟件和文檔等進(jìn)展清點(diǎn);〔〕應(yīng)對(duì)負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)展相應(yīng)的技能培訓(xùn);〔〕應(yīng)確保供給系統(tǒng)建設(shè)過(guò)程中的文檔和指導(dǎo)用戶進(jìn)展系統(tǒng)運(yùn)行維護(hù)的文檔;〔〕應(yīng)對(duì)系統(tǒng)交付的掌握方法和人員行為準(zhǔn)則進(jìn)展書(shū)面規(guī)定;〔〕應(yīng)指定或授權(quán)特地的部門(mén)負(fù)責(zé)系統(tǒng)交付的治理工作,并依據(jù)治理規(guī)定的要求完成系統(tǒng)交付工作。〔〕系統(tǒng)備案〔G3〕本項(xiàng)要求包括:應(yīng)指定特地的部門(mén)或人員負(fù)責(zé)治理系統(tǒng)定級(jí)的相關(guān)材料,并掌握這些材料的使用;應(yīng)將系統(tǒng)等級(jí)及相關(guān)材料報(bào)系統(tǒng)主管部門(mén)備案;〔〕應(yīng)將系統(tǒng)等級(jí)及其他要求的備案材料報(bào)相應(yīng)公安機(jī)關(guān)備案。〔〕等級(jí)測(cè)評(píng)〔G3〕本項(xiàng)要求包括:在系統(tǒng)運(yùn)行過(guò)程中,應(yīng)至少每年對(duì)系統(tǒng)進(jìn)展一次等級(jí)測(cè)評(píng),覺(jué)察不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的準(zhǔn)時(shí)整改;〔〕應(yīng)在系統(tǒng)發(fā)生變更時(shí)準(zhǔn)時(shí)對(duì)系統(tǒng)進(jìn)展等級(jí)測(cè)評(píng),覺(jué)察級(jí)別發(fā)生變化的準(zhǔn)時(shí)調(diào)整級(jí)別并進(jìn)展安全改造,覺(jué)察不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的準(zhǔn)時(shí)整改;〔〕應(yīng)選擇具有國(guó)家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測(cè)評(píng)單位進(jìn)展等級(jí)測(cè)評(píng);〔〕應(yīng)指定或授權(quán)特地的部門(mén)或人員負(fù)責(zé)等級(jí)測(cè)評(píng)的治理?!病嘲踩谏踢x擇〔G3〕本項(xiàng)要求包括:應(yīng)確保安全效勞商的選擇符合國(guó)家的有關(guān)規(guī)定;〔〕應(yīng)與選定的安全效勞商簽訂與安全相關(guān)的協(xié)議,明確商定相關(guān)責(zé)任;〔〕應(yīng)確保選定的安全效勞商供給技術(shù)培訓(xùn)和效勞承諾,必要的與其簽訂效勞合同?!病诚到y(tǒng)運(yùn)維治理本項(xiàng)要求包括:應(yīng)指定特地的部門(mén)或人員定期對(duì)機(jī)房供配電、空調(diào)、溫濕度掌握等設(shè)施進(jìn)展維護(hù)治理;〔〕應(yīng)指定部門(mén)負(fù)責(zé)機(jī)房安全,并配備機(jī)房安全治理人員,對(duì)機(jī)房的出入、效勞器的開(kāi)機(jī)或關(guān)機(jī)等工作進(jìn)展治理;〔〕應(yīng)建立機(jī)房安全治理制度,對(duì)有關(guān)機(jī)房物理訪問(wèn),物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面的治理作出規(guī)定;〔〕應(yīng)加強(qiáng)對(duì)辦公環(huán)境的保密性治理,標(biāo)準(zhǔn)辦公環(huán)境人員行為,包括工作人員調(diào)離辦公室應(yīng)馬上交還該辦公室鑰匙、不在辦公區(qū)接待來(lái)訪人員、工作人員離開(kāi)座位應(yīng)確保終端計(jì)算機(jī)退出登錄狀態(tài)和桌面上沒(méi)有包含敏感信息的紙檔文件等?!病迟Y產(chǎn)治理〔G3〕本項(xiàng)要求包括:應(yīng)編制并保存與信息系統(tǒng)相關(guān)的資產(chǎn)清單,包括資產(chǎn)責(zé)任部門(mén)、重要程度和所處位置等內(nèi)容;〔〕應(yīng)建立資產(chǎn)安全治理制度,規(guī)定信息系統(tǒng)資產(chǎn)治理的責(zé)任人員或責(zé)任部門(mén),并標(biāo)準(zhǔn)資產(chǎn)治理和使用的行為;〔〕應(yīng)依據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)展標(biāo)識(shí)治理,依據(jù)資產(chǎn)的價(jià)值選擇相應(yīng)的治理措施;〔〕應(yīng)對(duì)信息分類與標(biāo)識(shí)方法作出規(guī)定,并對(duì)信息的使用、傳輸和存儲(chǔ)等進(jìn)展標(biāo)準(zhǔn)化治理?!病辰橘|(zhì)治理〔G3〕本項(xiàng)要求包括:應(yīng)建立介質(zhì)安全治理制度,對(duì)介質(zhì)的存放環(huán)境、使用、維護(hù)和銷毀等方面作出規(guī)定;〔〕應(yīng)確保介質(zhì)存放在安全的環(huán)境中,對(duì)各類介質(zhì)進(jìn)展掌握和保護(hù),并實(shí)行存儲(chǔ)環(huán)境專人治理;〔〕應(yīng)對(duì)介質(zhì)在物理傳輸過(guò)程中的人員選擇、打包、交付等狀況進(jìn)展掌握,對(duì)介質(zhì)歸檔和查詢等進(jìn)展登記記錄,并依據(jù)存檔介質(zhì)的名目清單定期盤(pán)點(diǎn);〔〕應(yīng)對(duì)存儲(chǔ)介質(zhì)的使用過(guò)程、送出修理以及銷毀等進(jìn)展嚴(yán)格的治理,對(duì)帶出工作環(huán)境的存儲(chǔ)介質(zhì)進(jìn)展內(nèi)容加密和監(jiān)控治理,對(duì)送出修理或銷毀的介質(zhì)應(yīng)首先去除介質(zhì)中的敏感數(shù)據(jù),對(duì)保密性較高的存儲(chǔ)介質(zhì)未經(jīng)批準(zhǔn)不得自行銷毀;〔〕應(yīng)依據(jù)數(shù)據(jù)備份的需要對(duì)某些介質(zhì)實(shí)行異地存儲(chǔ),存儲(chǔ)地的環(huán)境要求和治理方法應(yīng)與本地一樣;〔〕應(yīng)對(duì)重要介質(zhì)中的數(shù)據(jù)和軟件實(shí)行加密存儲(chǔ),并依據(jù)所承載數(shù)據(jù)和軟件的重要程度對(duì)介質(zhì)進(jìn)展分類和標(biāo)識(shí)治理。〔〕設(shè)備治理〔G3〕本項(xiàng)要求包括:應(yīng)對(duì)信息系統(tǒng)相關(guān)的各種設(shè)備〔包括備份和冗余設(shè)備〕、線路等指定特地的部門(mén)或人員定期進(jìn)展維護(hù)治理;〔〕應(yīng)建立基于申報(bào)、審批和專人負(fù)責(zé)的設(shè)備安全治理制度,對(duì)信息系統(tǒng)的各種軟硬件設(shè)備的選型、選購(gòu)、發(fā)放和領(lǐng)用等過(guò)程進(jìn)展標(biāo)準(zhǔn)化治理;〔〕應(yīng)建立配套設(shè)施、軟硬件維護(hù)方面的治理制度,對(duì)其維護(hù)進(jìn)展有效的治理,包括明確維護(hù)人員的責(zé)任、涉外修理和效勞的審批、修理過(guò)程的監(jiān)視掌握等;〔〕應(yīng)對(duì)終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進(jìn)展標(biāo)準(zhǔn)化治理,按操作規(guī)程實(shí)現(xiàn)主要設(shè)備〔包括備份和冗余設(shè)備〕的啟動(dòng)/停頓、加電/斷電等操作;〔〕應(yīng)確保信息處理設(shè)備必需經(jīng)過(guò)審批才能帶離機(jī)房或辦公地點(diǎn)?!病潮O(jiān)控治理和安全治理中心〔G3〕本項(xiàng)要求包括:應(yīng)對(duì)通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)展監(jiān)測(cè)和報(bào)警,形成記錄并妥當(dāng)保存;〔〕應(yīng)組織相關(guān)人員定期對(duì)監(jiān)測(cè)和報(bào)警記錄進(jìn)展分析、評(píng)審,覺(jué)察可疑行為,形成分析報(bào)告,并實(shí)行必要的應(yīng)對(duì)措施;〔〕應(yīng)建立安全治理中心,對(duì)設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等安全相關(guān)事項(xiàng)進(jìn)展集中治理?!病尘W(wǎng)絡(luò)安全治理〔G3〕本項(xiàng)要求包括:應(yīng)指定專人對(duì)網(wǎng)絡(luò)進(jìn)展治理,負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息分析
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 早教畫(huà)籬笆美術(shù)課程設(shè)計(jì)
- 《我國(guó)農(nóng)民工子女教育問(wèn)題研究》
- 《湖北宣恩地區(qū)“八寶銅鈴舞”傳承現(xiàn)狀研究》
- 《和聲學(xué)視角下對(duì)《斯拉夫舞曲》的研究》
- 《基于半解析小波有限元法的超聲導(dǎo)波傳播特性研究》
- 網(wǎng)絡(luò)設(shè)備配置課程設(shè)計(jì)
- 《“全面二孩”政策下女職工平等就業(yè)權(quán)法律保護(hù)研究》
- 二零二五年公司間股權(quán)互換合同范本3篇
- 2025年度勞動(dòng)社會(huì)保險(xiǎn)合同(青年創(chuàng)業(yè)者)3篇
- 2025版股權(quán)激勵(lì)對(duì)賭協(xié)議書(shū)樣本3篇
- GB/T 44890-2024行政許可工作規(guī)范
- 軍工合作合同范例
- 2025年中國(guó)稀土集團(tuán)總部部分崗位社會(huì)公開(kāi)招聘管理單位筆試遴選500模擬題附帶答案詳解
- 超市柜臺(tái)長(zhǎng)期出租合同范例
- 廣東省廣州市2025屆高三上學(xué)期12月調(diào)研測(cè)試語(yǔ)文試題(含答案)
- 【8物(科)期末】合肥市第四十五中學(xué)2023-2024學(xué)年八年級(jí)上學(xué)期期末物理試題
- 統(tǒng)編版2024-2025學(xué)年三年級(jí)語(yǔ)文上冊(cè)期末學(xué)業(yè)質(zhì)量監(jiān)測(cè)試卷(含答案)
- 從0 開(kāi)始運(yùn)營(yíng)抖?音號(hào)sop 文檔
- Module7 Unit2 This little girl can't walk(Period 1) (教學(xué)實(shí)錄) -2024-2025學(xué)年外研版(三起)英語(yǔ)五年級(jí)上冊(cè)
- 2024年01月11190當(dāng)代中國(guó)政治制度期末試題答案
- 2024-2025學(xué)年深圳市初三適應(yīng)性考試模擬試卷歷史試卷
評(píng)論
0/150
提交評(píng)論