《2022年安全等级保护2级和3级等保要求-蓝色为区别.docx》由会员分享,可在线阅读,更多相关《2022年安全等级保护2级和3级等保要求-蓝色为区别.docx(32页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、二级、三级等级爱护要求比较一、 技术要求技术要求项二级等保三级等保物理1) 机房和办公场地应挑选安全在具有防震、 防风和防雨物理等才能的建筑内;位置的挑选物理1) 机房出入口应有专人值拜访守,鉴别进入的人员身份掌握并登记在案;2) 应批准进入机房的来访 人员,限制和监控其活动范畴;防盗1) 应将主要设备放置在物窃和理受限的范畴内;防破2) 应对设备或主要部件进坏行固定, 并设置明显的不易除去的标记;3) 应将通信线缆铺设在隐 蔽处,如铺设在地下或管道中等;4) 应对介质分类标识, 储备在介质库或档案室中;5) 应安装必要的防盗报警 设施,以防进入机房的盗窃和破坏行为;1) 机房和办公场地应挑选
2、在具有防震、防风和防雨等才能的建筑内;2) 机房场地应防止设在建筑物的高层或地下室,以及用水设备的下层或隔壁;3) 机房场地应当躲开强电场、强磁场、强震惊源、强噪声源、重度环境污染、易发生火灾、水灾、易遭受雷击的地区;1) 机房出入口应有专人值守,鉴别进入的人员身份并登记在案;2) 应批准进入机房的来访人员,限制和监控其活动范畴;3) 应对机房划分区域进行治理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过度区域;4) 应对重要区域配置电子门禁系统,鉴别和记录进入的人员身份并监控其活动;1) 应将主要设备放置在物理受限的范畴内;2) 应对设备或主要部件进行固定,并设置明显的无法
3、除去的标记;3) 应将通信线缆铺设在隐藏处,如铺设在地下或管道中等;4) 应对介质分类标识,储备在介质库或档案室中;5) 设备或储备介质携带出工作环境时,应受到监控和内容加密;6) 应利用光、电等技术设置机房的防盗报警系统,以防进入机房的盗窃和破坏行为;技术要求项二级等保三级等保7)应对机房设置监控报警系统;防雷1)机房建筑应设置避雷装1)机房建筑应设置避雷装置;击置;2)应设置防雷保安器,防止感应雷;2)应设置沟通电源地线;3)应设置沟通电源地线;防火1)应设置灭火设备和火灾1)应设置火灾自动消防系统,自动检测火自动报警系统, 并保持灭情、自动报警,并自动灭火;火设备和火灾自动报警2)机房及
4、相关的工作房间和帮助房,其建系统的良好状态;筑材料应具有耐火等级;3)机房实行区域隔离防火措施,将重要设备与其他设备隔离开;防水1)水管安装, 不得穿过屋顶1)水管安装, 不得穿过屋顶和活动地板下;和防和活动地板下;2)应对穿过墙壁和楼板的水管增加必要的潮2)应对穿过墙壁和楼板的爱护措施,如设置套管;水管增加必要的爱护措3)应实行措施防止雨水通过屋顶和墙壁渗施,如设置套管;透;3)应实行措施防止雨水通4)应实行措施防止室内水蒸气结露和地下过屋顶和墙壁渗透;积水的转移与渗透;4)应实行措施防止室内水蒸气结露和地下积水的转移与渗透;防静电1)应采纳必要的接地等防静电措施1)2)应采纳必要的接地等防
5、静电措施;应采纳防静电地板;温湿1)应设置温、 湿度自动调剂1)应设置恒温恒湿系统,使机房温、湿度度控设施, 使机房温、 湿度的的变化在设备运行所答应的范畴之内;制变化在设备运行所答应的范畴之内;电力1)电脑系统供电应与其他1)电脑系统供电应与其他供电分开;供应供电分开;2)应设置稳压器和过电压防护设备;2)应设置稳压器和过电压3)应供应短期的备用电力供应如UPS 设防护设备;备;3)应供应短期的备用电力供应如 UPS 设备;4)5)应设置冗余或并行的电力电缆线路;应建立备用供电系统如备用发电机,以备常用供电系统停电时启用;技术要求项二级等保三级等保电磁防护网络 结构安全 安全与网段划分网络拜
6、访掌握1) 应采纳接地方式防止外界电磁干扰和设备寄生耦合干扰;2) 电源线和通信线缆应隔离,防止相互干扰;1) 网络设备的业务处理能 力应具备冗余空间, 要求满意业务高峰期需要;2) 应设计和绘制与当前运行情形相符的网络拓扑结构图;3) 应依据机构业务的特点, 在满意业务高峰期需要 的基础上, 合理设计网络带宽;4) 应在业务终端与业务服 务器之间进行路由掌握, 建立安全的拜访路径;5) 应依据各部门的工作职 能、重要性、 所涉及信息的重要程度等因素, 划分不同的子网或网段, 并依据便利治理和掌握的原 就为各子网、 网段安排地址段;6) 重要网段应实行网络层地址与数据链路层地址绑定措施,防止地
7、址欺诈;1) 应能依据会话状态信息包括数据包的源地址、目的地址、 源端口号、 目的端口号、 协议、 出入的1) 应采纳接地方式防止外界电磁干扰和设备寄生耦合干扰;2) 电源线和通信线缆应隔离,防止相互干扰;3) 对重要设备和磁介质实施电磁屏蔽;1) 网络设备的业务处理才能应具备冗余空间,要求满意业务高峰期需要;2) 应设计和绘制与当前运行情形相符的网络拓扑结构图;3) 应依据机构业务的特点,在满意业务高 峰期需要的基础上, 合理设计网络带宽;4) 应在业务终端与业务服务器之间进行路由掌握建立安全的拜访路径;5) 应依据各部门的工作职能、重要性、所涉及信息的重要程度等因素,划分不同的子网或网段,
8、并依据便利治理和掌握的原就为各子网、网段安排地址段;6) 重要网段应实行网络层地址与数据链路层地址绑定措施,防止地址欺诈;7) 应依据对业务服务的重要次序来指定带宽安排优先级别,保证在网络发生拥堵的时候优先爱护重要业务数据主机;1) 应能依据会话状态信息包括数据包的 源地址、目的地址、源端口号、目的端 口号、协议、出入的接口、会话序列号、发出信息的主机名等信息,并应支持地技术要求项二级等保三级等保接口、会话序列号、 发出信息的主机名等信息, 并应支持地址通配符的使 用,为数据流供应明确 的 允 许 / 拒 绝 访 问 的 才能;拨号1) 应在基于安全属性的允拜访许远程用户对系统拜访掌握的规章的
9、基础上, 对系统全部资源答应或拒绝用 户进行拜访, 掌握粒度为单个用户;2) 应限制具有拨号拜访权限的用户数量;网络1) 应对网络系统中的网络安全设备运行状况、网络流审计量、用户行为等大事进行日志记录;2) 对于每一个大事, 其审计记录应包括: 大事的日期和时间、用户、大事类型、大事是否胜利, 及其他与审计相关的信息;址通配符的使用 ,为数据流供应明确的答应/拒绝拜访的才能;2) 应对进出网络的信息内容进行过滤,实现对应用层HTTP 、 FTP、 TELNET 、SMTP 、POP3 等协议命令级的掌握; 3) 应依据安全策略答应或者拒绝便携式和移动式设备的网络接入;4) 应在会话处于非活跃肯
10、定时间或会话终止后终止网络连接;5) 应限制网络最大流量数及网络连接数;1) 应在基于安全属性的答应远程用户对系统拜访的规章的基础上,对系统全部资源答应或拒绝用户进行拜访,掌握粒度为单个用户;2) 应限制具有拨号拜访权限的用户数量;3) 应按用户和系统之间的答应拜访规章, 打算答应用户对受控系统进行资源访 问;1) 应对网络系统中的网络设备运行状况、 网络流量、 用户行为等进行全面的监测、记录;2) 对于每一个大事,其审计记录应包括: 大事的日期和时间、用户、大事类型、大事是否胜利,及其他与审计相关的信息;3) 安全审计应可以依据记录数据进行分析,并生成审计报表;4) 安全审计应可以对特定大事
11、,供应指定方式的实时报警;5) 审计记录应受到爱护防止受到未预期的删除、修改或掩盖等;技术要求项二级等保三级等保边界1)应能够检测内部网络中完整显现的内部用户未通过性检准许私自联到外部网络查的行为即 “非法外联 ”行为;1) 应能够检测内部网络中显现的内部用户未通过准许私自联到外部网络的行为即“非法外联”行为;2) 应能够对非授权设备私自联到网络的行为进行检查,并精确定出位置,对其进行有效阻断;3) 应能够对内部网络用户私自联到外部网络的行为进行检测后精确定出位置,并对其进行有效阻断;网络1)应在网络边界处监视以入侵下攻击行为:端口扫描、防范强力攻击、木马后门攻击、拒绝服务攻击、 缓冲区溢出攻
12、击、 IP碎片攻击、网络蠕虫攻击等入侵大事的发生;恶意代码1)应在网络边界及核心业务网段处对恶意代码进防范行检测和清除;2)应爱护恶意代码库的升级和检测系统的更新;3)应支持恶意代码防范的统一治理;网络设备1)应对登录网络设备的用户进行身份鉴别;防护2)应对网络设备的治理员登录地址进行限制;3)网络设备用户的标识应1) 应在网络边界处应监视以下攻击行为: 端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击、网络蠕虫攻击等入侵大事的发生;2) 当检测到入侵大事时,应记录入侵的源IP 、攻击的类型、攻击的目的、攻击的时间,并在发生严峻入侵大事时供应报警;1) 应在网络边
13、界及核心业务网段处对恶意代码进行检测和清除;2) 应爱护恶意代码库的升级和检测系统的更新;3) 应支持恶意代码防范的统一治理;1) 应对登录网络设备的用户进行身份鉴别;2) 应对网络上的对等实体进行身份鉴别;3) 应对网络设备的治理员登录地址进行限技术要求项二级等保三级等保唯独;4) 身份鉴别信息应具有不 易被冒用的特点, 例如口令长度、复杂性和定期的更新等;5) 应具有登录失败处理功 能,如:终止会话、限制非法登录次数, 当网络登录连接超时,自动退出;制;4) 网络设备用户的标识应唯独;5) 身份鉴别信息应具有不易被冒用的特 点,例如口令长度、复杂性和定期的更新等;6) 应对同一用户挑选两种
14、或两种以上组合的鉴别技术来进行身份鉴别;7) 应具有登录失败处理功能,如:终止会话、限制非法登录次数,当网络登录连接超时,自动退出;8) 应实现设备特权用户的权限别离,例如将治理与审计的权限安排给不同的网络设备用户;主机身份1)操作系统和数据库治理系统鉴别系统用户的身份标识应安全具有唯独性;2)应对登录操作系统和数据库治理系统的用户进行身份标识和鉴别;3)操作系统和数据库治理系统身份鉴别信息应具有不易被冒用的特点, 例1) 操作系统和数据库治理系统用户的身份标识应具有唯独性;2) 应对登录操作系统和数据库治理系统的用户进行身份标识和鉴别;如口令长度、 复杂性和定期的更新等;4) 应具有登录失败
15、处理功能,如: 终止会话、 限制非法登录次数, 当登录连接超时,自动退出;3) 应对同一用户采纳两种或两种以上组合的鉴别技术实现用户身份鉴别;4) 操作系统和数据库治理系统用户的身份鉴别信息应具有不易被冒用的特点,例如口令长度、复杂性和定期的更新等;5) 应具有登录失败处理功能,如:终止会话、限制非法登录次数,当登录连接超时,自动退出;6) 应具有鉴别警示功能;7) 重要的主机系统应对与之相连的服务器或终端设备进行身份标识和鉴别;自主1) 应依据安全策略掌握主1) 应依据安全策略掌握主体对客体的访拜访体对客体的拜访;掌握2)自主拜访掌握的掩盖范围应包括与信息安全直接相关的主体、 客体及它们之间
16、的操作;3)自主拜访掌握的粒度应到达主体为用户级, 客体为文件、数据库表级;4)应由授权主体设置对客体拜访和操作的权限;5)应严格限制默认用户的拜访权限;技术要求项二级等保三级等保问;2) 自主拜访掌握的掩盖范畴应包括与信息安全直接相关的主体、客体及它们之间的操作;3) 自主拜访掌握的粒度应到达主体为用户级,客体为文件、数据库表级;4) 应由授权主体设置对客体拜访和操作的权限;5) 权限别离应采纳最小授权原就,分别授予不同用户各自为完成自己承担任务所需的最小权限,并在他们之间形成相互制约的关系;6) 应实现操作系统和数据库治理系统特权用户的权限别离;7) 应严格限制默认用户的拜访权限;强制无1
17、) 应对重要信息资源和拜访重要信息资源拜访的全部主体设置敏锐标记;掌握2) 强制拜访掌握的掩盖范畴应包括与重要信息资源直接相关的全部主体、客体及它们之间的操作;3) 强制拜访掌握的粒度应到达主体为用户安全1) 安全审计应掩盖到服务审计器上的每个操作系统用户和数据库用户;2) 安全审计应记录系统内 重要的安全相关大事, 包括重要用户行为和重要 系统命令的使用等;3) 安全相关大事的记录应级,客体为文件、数据库表级;1) 安全审计应掩盖到服务器和客户端上的每个操作系统用户和数据库用户;2) 安全审计应记录系统内重要的安全相关大事,包括重要用户行为、系统资源的反常使用和重要系统命令的使用;3) 安全
18、相关大事的记录应包括日期和时技术要求项二级等保三级等保包括日期和时间、类型、主体标识、 客体标识、 大事的结果等;4) 审计记录应受到爱护防 止受到未预期的删除、 修改或掩盖等;间、类型、主体标识、客体标识、大事的结果等;4) 安全审计应可以依据记录数据进行分析,并生成审计报表;5) 安全审计应可以对特定大事,供应指定方式的实时报警;6) 审计进程应受到爱护防止受到未预期的中断;7) 审计记录应受到爱护防止受到未预期的删除、修改或掩盖等;系统1) 系统应供应在治理爱护爱护状态中运行的才能, 治理1) 系统因故障或其他缘由中断后,应能够以手动或自动方式复原运行;爱护状态只能被系统管理员使用;剩余
19、信息1)应保证操作系统和数据库治理系统用户的鉴别爱护信息所在的储备空间,被释放或再安排给其他用1) 应保证操作系统和数据库治理系统用户的鉴别信息所在的储备空间,被释放或再安排给其他用户前得到完全清除,无户前得到完全清除, 无论这些信息是存放在硬盘 上仍是在内存中;2) 应确保系统内的文件、 目录和数据库记录等资源 所在的储备空间, 被释放或重新安排给其他用户 前得到完全清除;论这些信息是存放在硬盘上仍是在内存中;2) 应确保系统内的文件、目录和数据库记录等资源所在的储备空间,被释放或重新安排给其他用户前得到完全清除;入侵无1) 应进行主机运行监视,包括监视主机的防范CPU、硬盘、内存、网络等资
20、源的使用情况;2) 应设定资源报警域值,以便在资源使用超过规定数值时发出报警;技术要求项二级等保三级等保3) 应进行特定进程监控,限制操作人员运行非法进程;4) 应进行主机账户监控,限制对重要账户的添加和更换;5) 应检测各种已知的入侵行为,记录入侵的源 IP 、攻击的类型、攻击的目的、攻击的时间,并在发生严峻入侵大事时供应报警;6) 应能够检测重要程序完整性受到破坏, 并在检测到完整性错误时实行必要的复原措施;恶意代码1)服务器和重要终端设备包括移动设备 应安装防范实时检测和查杀恶意代码的软件产品;2)主机系统防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;资源掌握1)应限制单个用
21、户的会话数量;2)应通过设定终端接入方式、网络地址范畴等条件限制终端登录;1) 服务器和终端设备包括移动设备均应安装实时检测和查杀恶意代码的软件产品;2) 主机系统防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;3) 应支持恶意代码防范的统一治理;1) 应限制单个用户的多重并发会话;2) 应对最大并发会话连接数进行限制;3) 应对一个时间段内可能的并发会话连接数进行限制;4) 应通过设定终端接入方式、网络地址范围等条件限制终端登录;5) 应依据安全策略设置登录终端的操作超时锁定和鉴别失败锁定,并规定解锁或终止方式;6) 应禁止同一用户账号在同一时间内并发登录;技术要求项二级等保三级等
22、保7) 应限制单个用户对系统资源的最大或最小使用限度;8) 当系统的服务水平降低到预先规定的最小值时,应能检测和报警;9) 应依据安全策略设定主体的服务优先 级,依据优先级安排系统资源,保证优先级低的主体处理才能不会影响到优先级高的主体的处理才能;应用身份1)应用系统用户的身份标安全鉴别识应具有唯独性;2)应对登录的用户进行身份标识和鉴别;3)系统用户身份鉴别信息应具有不易被冒用的特点,例如口令长度、 复杂性和定期的更新等;4)应具有登录失败处理功能,如:终止会话、限制非法登录次数, 当登录连接超时,自动退出;1) 系统用户的身份标识应具有唯独性;2) 应对登录的用户进行身份标识和鉴别;3)
23、系统用户的身份鉴别信息应具有不易被冒用的特点,例如口令长度、复杂性和定期的更新等;4) 应对同一用户采纳两种或两种以上组合的鉴别技术实现用户身份鉴别;5) 应具有登录失败处理功能,如:终止会话、限制非法登录次数,当登录连接超时,自动退出;6) 应具有鉴别警示功能;拜访1) 应依据安全策略掌握用掌握户对客体的拜访;2) 自主拜访掌握的掩盖范 围应包括与信息安全直 接相关的主体、 客体及它们之间的操作;3) 自主拜访掌握的粒度应 到达主体为用户级, 客体为文件、数据库表级;4) 应由授权主体设置用户7) 应用系统应准时清除储备空间中动态使用的鉴别信息;1) 应依据安全策略掌握用户对客体的拜访;2)
24、 自主拜访掌握的掩盖范畴应包括与信息安全直接相关的主体、客体及它们之间的操作;3) 自主拜访掌握的粒度应到达主体为用户级,客体为文件、数据库表级;4) 应由授权主体设置用户对系统功能操作技术要求项二级等保三级等保对系统功能操作和对数据拜访的权限;5) 应实现应用系统特权用 户的权限别离, 例如将治理与审计的权限安排给 不同的应用系统用户;6) 权限别离应采纳最小授 权原就, 分别授予不同用户各自为完成自己承担 任务所需的最小权限, 并在它们之间形成相互制约的关系;7)应严格限制默认用户的拜访权限;安全1)安全审计应掩盖到应用审计系统的每个用户;2)安全审计应记录应用系统重要的安全相关大事,包括
25、重要用户行为和重要系统功能的执行等;3)安全相关大事的记录应包括日期和时间、类型、主体标识、 客体标识、 事件的结果等;4)审计记录应受到爱护防止受到未预期的删除、 修改或掩盖等;和对数据拜访的权限;5) 应实现应用系统特权用户的权限别离, 例如将治理与审计的权限安排给不同的应用系统用户;6) 权限别离应采纳最小授权原就,分别授予不同用户各自为完成自己承担任务所需的最小权限,并在它们之间形成相互制约的关系;7) 应严格限制默认用户的拜访权限;1) 安全审计应掩盖到应用系统的每个用户;2) 安全审计应记录应用系统重要的安全相关大事,包括重要用户行为、系统资源的反常使用和重要系统功能的执行等;3)
26、 安全相关大事的记录应包括日期和时 间、类型、主体标识、客体标识、大事的结果等;4) 安全审计应可以依据记录数据进行分析,并生成审计报表;5) 安全审计应可以对特定大事,供应指定方式的实时报警;6) 审计进程应受到爱护防止受到未预期的中断;7) 审计记录应受到爱护防止受到未预期的删除、修改或掩盖等;剩余1) 应保证用户的鉴别信息1) 应保证用户的鉴别信息所在的储备空技术要求项二级等保三级等保信息所在的储备空间, 被释放爱护或再安排给其他用户前 得到完全清除, 无论这些信息是存放在硬盘上仍 是在内存中;2) 应确保系统内的文件、 目间,被释放或再安排给其他用户前得到完全清除,无论这些信息是存放在
27、硬盘上仍是在内存中;2) 应确保系统内的文件、目录和数据库记录等资源所在的储备空间,被释放或重录和数据库记录等资源新安排给其他用户前得到完全清除;所在的储备空间, 被释放或重新安排给其他用户前得到完全清除;通信完整1)通信双方应商定单向的校验码算法, 运算通信数1)通信双方应商定密码算法,运算通信数据报文的报文验证码,在进行通信时,性据报文的校验码, 在进行双方依据校验码判定对方报文的有效通信时, 双方依据校验码性;判定对方报文的有效性;抗抵无1)应具有在恳求的情形下为数据原发者或赖接收者供应数据原发证据的功能;2) 应具有在恳求的情形下为数据原发者或接收者供应数据接收证据的功能;通信保密1)
28、当通信双方中的一方在一段时间内未作任何响性应,另一方应能够自动结束会话;2)在通信双方建立连接之前,利用密码技术进行会话初始化验证;3)在通信过程中, 应对敏锐信息字段进行加密;软件容错1)应对通过人机接口输入或通过通信接口输入的数据进行有效性检验;2)应对通过人机接口方式1) 当通信双方中的一方在一段时间内未作 任何响应, 另一方应能够自动终止会话;2) 在通信双方建立连接之前,利用密码技术进行会话初始化验证;3) 在通信过程中,应对整个报文或会话过程进行加密;4) 应选用符合国家有关部门要求的密码算法;1) 应对通过人机接口输入或通过通信接口输入的数据进行有效性检验;2) 应对通过人机接口
29、方式进行的操作供应“回退”功能,即答应依据操作的序列技术要求项二级等保三级等保进行的操作供应“回退 ” 功能,即答应依据操作的 序列进行回退;3) 在故障发生时, 应连续供应一部分功能, 确保能够实施必要的措施;资源掌握1)应限制单个用户的多重并发会话;2)应对应用系统的最大并发会话连接数进行限制;3)应对一个时间段内可能的并发会话连接数进行限制;代码1) 应对应用程序代码进行安全恶意代码扫描;2) 应对应用程序代码进行进行回退;3) 应有状态监测才能,当故障发生时,能实时检测到故障状态并报警;4) 应有自动爱护才能,当故障发生时,自动爱护当前全部状态;1) 应限制单个用户的多重并发会话;2)
30、 应对应用系统的最大并发会话连接数进行限制;3) 应对一个时间段内可能的并发会话连接数进行限制;4) 应依据安全策略设置登录终端的操作超时锁定和鉴别失败锁定,并规定解锁或终止方式;5) 应禁止同一用户账号在同一时间内并发登录;6) 应对一个拜访用户或一个恳求进程占用的资源安排最大限额和最小限额;7) 应依据安全属性用户身份、拜访地址、时间范畴等答应或拒绝用户建立会话连接;8) 当系统的服务水平降低到预先规定的最小值时,应能检测和报警;9) 应依据安全策略设定主体的服务优先 级,依据优先级安排系统资源,保证优先级低的主体处理才能不会影响到优先级高的主体的处理才能;1) 应制定应用程序代码编写安全
31、标准,要求开发人员参照标准编写代码;2) 应对应用程序代码进行代码复审,识别技术要求项二级等保三级等保安全脆弱性分析;可能存在的恶意代码;3) 应对应用程序代码进行安全脆弱性分析;4) 应对应用程序代码进行穿透性测试;数据数据安全完整性1) 应能够检测到系统治理 数据、鉴别信息和用户数据在传输过程中完整性 受到破坏;2) 应能够检测到系统治理 数据、鉴别信息和用户数据在储备过程中完整性 受到破坏;1) 应能够检测到系统治理数据、鉴别信息和用户数据在传输过程中完整性受到破坏, 并在检测到完整性错误时实行必要的复原措施;2) 应能够检测到系统治理数据、鉴别信息和用户数据在储备过程中完整性受到破坏,
32、 并在检测到完整性错误时实行必要的复原措施;3) 应能够检测到重要程序的完整性受到破坏,并在检测到完整性错误时实行必要的复原措施;数据1) 网络设备、 操作系统、 数保密据库治理系统和应用系性统的鉴别信息、 敏锐的系统治理数据和敏锐的用 户数据应采纳加密或其 他有效措施实现传输保 密性;2) 网络设备、 操作系统、 数据库治理系统和应用系统的鉴别信息、 敏锐的系统治理数据和敏锐的用 户数据应采纳加密或其 他爱护措施实现储备保 密性;3) 当使用便携式和移动式 设备时, 应加密或者采纳1) 网络设备、操作系统、数据库治理系统和应用系统的鉴别信息、敏锐的系统治理数据和敏锐的用户数据应采纳加密或其他
33、有效措施实现传输保密性;2) 网络设备、操作系统、数据库治理系统和应用系统的鉴别信息、敏锐的系统治理数据和敏锐的用户数据应采纳加密或其他爱护措施实现储备保密性;3) 当使用便携式和移动式设备时,应加密或者采纳可移动磁盘储备敏锐信息;4) 用于特定业务通信的通信信道应符合相关的国家规定;可移动磁盘储备敏锐信息;数据备份1)应供应自动机制对重要信息进行有挑选的数据和恢备份;复2)应供应复原重要信息的功能;3)应供应重要网络设备、信线路和服务器的硬件通冗余二、治理要求技术要求项二级等保三级等保1) 应供应自动机制对重要信息进行本地和异地备份;2) 应供应复原重要信息的功能;3) 应供应重要网络设备、
34、通信线路和服务器的硬件冗余;4) 应供应重要业务系统的本地系统级热备份;治理要求项二级等保三级等保安全岗位1)应设立信息安全治理工1)应设立信息安全治理工作的职能部门,治理设置作的职能部门, 设立安全设立安全主管人、安全治理各个方面的机构主管人、安全治理各个方负责人岗位,定义各负责人的职责;面的负责人岗位, 定义各2)应设立系统治理人员、网络治理人员、负责人的职责;安全治理人员岗位,定义各个工作岗位2)应设立系统治理人员、 网的职责;络治理人员、 安全治理人3)应成立指导和治理信息安全工作的委员员岗位, 定义各个工作岗会或领导小组,其最高领导应由单位主位的职责;管领导委任或授权;3)应制定文件
35、明确安全管4)应制定文件明确安全治理机构各个部门理机构各个部门和岗位和岗位的职责、分工和技能要求;的职责、分工和技能要求;人员1)应配备肯定数量的系统1)应配备肯定数量的系统治理人员、网络配备治理人员、网络治理人治理人员、安全治理人员等;员、安全治理人员等;2)应配备专职安全治理人员,不行兼任;2)安全治理人员不能兼任网络治理员、系统治理3)关键岗位应定期轮岗;员、数据库治理员等;授权1)应授权审批部门及批准1)应授权审批部门及批准人,对关键活动和审人,对关键活动进行审进行审批;治理要求项二级等保三级等保批批;2)应列表说明须审批的事项、审批部门和2)应列表说明须审批的事可批准人;项、审批部门
36、和可批准3)应建立各审批事项的审批程序,依据审人;4)批程序执行审批过程;应建立关键活动的双重审批制度;5)不再适用的权限应准时取消授权;6)应定期审查、 更新需授权和审批的项目;沟通1)应加强各类治理人员和7)1)应记录授权过程并储存授权文档;应加强各类治理人员和组织内部机构之和合组织内部机构之间的合间的合作与沟通,定期或不定期召开协作作与沟通, 定期或不定期调会议,共同帮助处理信息安全问题;召开和谐会议, 共同帮助2)信息安全职能部门应定期或不定期召集处理信息安全问题;相关部门和人员召开安全工作会议,协2)信息安全职能部门应定调安全工作的实施;期或不定期召集相关部3)信息安全领导小组或者安
37、全治理委员会门和人员召开安全工作定期召开例会,对信息安全工作进行指会议,和谐安全工作的实导、决策;施;4)应加强与兄弟单位、公安机关、电信公3)应加强与兄弟单位、 公安司的合作与沟通,以便在发生安全大事机关、电信公司的合作与时能够得到准时的支持;沟通,以便在发生安全事5)应加强与供应商、业界专家、专业的安件时能够得到准时的支全公司、安全组织的合作与沟通,猎取持;信息安全的最新进展动态,当发生紧急大事的时候能够准时得到支持和帮忙;6)应文件说明外联单位、合作内容和联系方式;7)聘请信息安全专家,作为常年的安全参谋,指导信息安全建设,参加安全规划和安全评审等;审核1)应由安全治理人员定期1)应由安
38、全治理人员定期进行安全检查,和检进行安全检查, 检查内容检查内容包括用户账号情形、系统漏洞查包括用户账号情形、 系统情形、系统审计情形等;漏洞情形、 系统审计情形2)应由安全治理部门组织相关人员定期进治理要求项二级等保三级等保等;行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一样性、安全治理制度的执行情3)况等;应由安全治理部门组织相关人员定期分析、评审反常行为的审计记录,发觉可疑行为,形成审计分析报告,并实行必要的应对措施;4)应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报;5)应制定安全审核和安全检查制度标准安全审核
39、和安全检查工作,定期依据程序进行安全审核和安全检查活动;安全治理1)应制定信息安全工作的1)应制定信息安全工作的总体方针、政策治理制度总体方针、 政策性文件和性文件和安全策略等,说明机构安全工制度安全策略等, 说明机构安作的总体目标、范畴、方针、原就、责全工作的总体目标、范任等;围、方针、原就、责任等;2)应对安全治理活动中的各类治理内容建2)应对安全治理活动中重立安全治理制度, 以标准安全治理活动,要的治理内容建立安全约束人员的行为方式;治理制度, 以标准安全管3)应对要求治理人员或操作人员执行的日理活动, 约束人员的行为常治理操作,建立操作规程,以标准操方式;作行为,防止操作失误;3)应对要求治理人员或操作人员执行的重要治理4)应形成由安全政策、安全策略、治理制度、操作规程等构成的全面的信息安全操作, 建立操作规程, 以治理制度体系;标准操作行为, 防止操作5)应由安全治理职能部门定期组织相关部失误;门和相关人员对安全治理制度体系的合理性和适用性进行审定;制定1)应在信息安全职能部门1)应在信息安全领导小组的负责下,组织和发的总体负