您现在的位置: 首页 > 网站导航收录 > 百科知识百科知识

安全等级(安全等级划分)

安全,重要,人员安全等级(安全等级划分)

发布时间：2020-12-06加入收藏来源：互联网点击：

/

a) 当通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话；

b) 应能够对系统的最大并发会话连接数进行限制；

c) 应能够对单个账号的多重并发会话进行限制

数据完整

a) 应采用校验码技术保证重要数据在传输过程中的完整

a) ;

数据保密

/

/

数据备份恢复

a) 应提供重要数据的本地数据备份与恢复功能

a) ；

b) 应提供异地数据备份功能，利用通信网络将重要数据定时批量传送至备用场地

剩余信息保护

/

a) 应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除

个人信息保护

/

a) 应仅采集和保存业务必需的用户个人信息；

b) 应禁止未授权访问、使用用户个人信息

二、管理要求

基本要求

第一级

第二级

安全策略和管理制度

安全策略

/

/

管理制度

a) 应建立日常管理活动中常用的安全管理制度

a) 应对安全管理活动中的主要管理内容建立安全管理制度；

b) 应对要求管理人员或操作人员执行的日常管理操作建立操作规程

制定和发布

/

a) 应指定或授权专门的部门或人员负责安全管理制度的制定；

b) 安全管理制度应通过正式、有效的方式发布，并进行版本控制

评审和修订

/

a) 应定期对安全管理制度的合理和适用进行论证和审定，对存在不足或需要改进的安全管理制度进行修订

安全管理机构和人员

岗位设置

c) 应设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职责

b) 应设立信息安全管理工作的职能部门，设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责；

c) 应设立系统管理员、网络管理员、安全管理员等岗位，并定义部门及各个工作岗位的职责

人员配备

a) 应配备一定数量的系统管理员、网络管理员、安全管理员等

a) ;

授权和审批

a) 应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等

a) ；

b) 应针对系统变更、重要操作、物理访问和系统接入等事项执行审批过程

沟通和合作

/

a) 应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通，定期召开协调会议，共同协作处理信息安全问题；

b) 应加强与兄弟单位、公安机关、各类供应商、业界专家及安全组织的合作与沟通；

c) 应建立外联单位联系列表，包括外联单位名称、合作内容、联系人和联系方式等信息

审核和检查

/

a) 应定期进行常规安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况

人员录用

a) 应指定或授权专门的部门或人员负责人员录用

a) ；

b) 应对被录用人员的身份、背景、专业资格和资质等进行审查

人员离岗

a) 应及时终止离岗员工的所有访问权限，取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备

a) ;

安全意识教育和培训

a) 应对各类人员进行安全意识教育和岗位技能培训，并告知相关的安全责任和惩戒措施

a) ;

外部人员访问管理

a) 应确保在外部人员访问受控区域前得到授权或审批

a) 应确保在外部人员物理访问受控区域前先提出书面申请，批准后由专人全程陪同，并登记备案；

b) 应确保在外部人员接入网络访问系统前先提出书面申请，批准后由专人开设账号、分配权限，并登记备案；

c) 外部人员离场后应及时清除其所有的访问权限

安全建设管理

定级和备案

a) 应明确保护对象的边界和安全保护等级

a) 应以书面的形式说明保护对象的边界、安全保护等级及确定等级的方法和理由；

b) 应组织相关部门和有关安全技术专家对定级结果的合理和正确进行论证和审定；

c) 应确保定级结果经过相关部门的批准；

d) 应将备案材料报主管部门和相应公安机关备案

安全方案设计

a) 应根据安全保护等级选择基本安全措施，依据风险分析的结果补充和调整安全措施

a) ；

b) 应根据保护对象的安全保护等级进行安全方案设计；

c) 应组织相关部门和有关安全专家对安全方案的合理和正确进行论证和审定，经过批准后才能正式实施

产品采购和使用

a) 应确保信息安全产品采购和使用符合国家的有关规定

a) ；

b) 应确保密码产品采购和使用符合国家密码主管部门的要求

自行软件开发

/

a) 应确保开发环境与实际运行环境物理分开，测试数据和测试结果受到控制；

e) 应确保在软件开发过程中对安全进行测试，在软件安装前对可能存在的恶意代码进行检测。

外包软件开发

/

a) 应在软件交付前检测软件质量和其中可能存在的恶意代码；

b) 应要求开发单位提供软件设计文档和使用指南

工程实施

a) 应指定或授权专门的部门或人员负责工程实施过程的管理

a) ；

b) 应制定工程实施方案控制安全工程实施过程

测试验收

a) 应进行安全测试验收

a) 在制订测试验收方案，并依据测试验收方案实施测试验收，形成测试验收报告；

b) 应进行上线前的安全测试，并出具安全测试报告

系统交付

a) 应根据交付清单对所交接的设备、软件和文档等进行清点；

b) 应对负责运行维护的技术人员进行相应的技能培训

a) ；

b) ；

c) 应确保提供建设过程中的文档和指导用户进行运行维护的文档

等级测评

/

a) 应定期进行等级测评，发现不符合相应等级保护标准要求的及时整改；

b) 应在发生重大变更或级别发生变化时进行等级测评；

c) 应选择具有国家相关技术资质和安全资质的测评单位进行等级测评

服务供应商选择

a) 应确保服务供应商的选择符合国家的有关规定；

b) 应与选定的服务供应商签订与安全相关的协议，明确约定相关责任

a) ；

b) 应与选定的服务供应商签订相关协议，明确整个服务供应链各方需履行的信息安全相关义务

安全运维管理

环境管理

a) 应指定专门的部门或人员负责机房安全，对机房出入进行管理，定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理；

b) 应建立机房安全管理制度，对有关机房物理访问，物品带进、带出机房和机房环境安全等方面的管理作出规定

a) ；

b) ；

c) 应不在重要区域接待来访人员和桌面上没有包含敏感信息的纸档文件、移动介质等

资产管理

/

a) 应编制并保存与保护对象相关的资产清单，包括资产责任部门、重要程度和所处位置等内容

介质管理

a) 应确保介质存放在安全的环境中，对各类介质进行控制和保护，实行存储环境专人管理，并根据存档介质的目录清单定期盘点

a) ；

b) 应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制，并对介质的归档和查询等进行登记记录

 2/5   首页 上一页 1 2 3 4 5 下一页 尾页