您现在的位置: 首页 > 网站导航收录 > 百科知识百科知识
安全等级(安全等级划分)
安全,重要,人员安全等级(安全等级划分)
发布时间:2020-12-06加入收藏来源:互联网点击:
c) 应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报。
a) ;
b) ;
c) ;
人员录用
a) ;
b) 对被录用人员的身份、背景、专业资格和资质等进行审查,对其所具有的技术技能进行考核;
c) 应与被录用人员签署保密协议,与关键岗位人员签署岗位责任协议。
a) ;
b) ;
c) ;
d) 应从内部人员中选拔从事关键岗位的人员。
人员离岗
a) ;
b) 应办理严格的调离手续,并承诺调离后的保密义务后方可离开。
a) ;
b) ;
安全意识教育和培训
a) ;
b) 应针对不同岗位制定不同的培训计划,对信息安全基础知识、岗位操作规程等进行培训。
a) ;
b) ;
外部人员访问管理
a) ;
b) ;
c) ;
d) 获得系统访问授权的外部人员应签署保密协议,不得进行非授权操作,不得复制和泄露任何敏感信息。
a) ;
b) ;
c) ;
d) ;
e) 对关键区域或关键系统不允许外部人员访问。
安全建设管理
定级和备案
a) ;
b) ;
c) ;
d) ;
a) ;
b) ;
c) ;
d) ;
安全方案设计
a) ;
b) 应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计,并形成配套文件;
c) 应组织相关部门和有关安全专家对安全整体规划及其配套文件的合理和正确进行论证和审定,经过批准后才能正式实施。
a) ;
b) ;
c) ;
产品采购和使用
a) ;
b) ;
c) 应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。
a) ;
b) ;
c) ;
d) 应对重要部位的产品委托专业测评单位进行专项测试,根据测试结果选用产品。
自行软件开发
a) ;
b) 应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则;
c) 应制定代码编写安全规范,要求开发人员参照规范编写代码;
d) 应确保具备软件设计的相关文档和使用指南,并对文档使用进行控制;
e) ;
f) 应确保对程序资源库的修改、更新、发布进行授权和批准,并严格进行版本控制;
g) 应确保开发人员为专职人员,开发人员的开发活动受到控制、监视和审查。
a) ;
b) ;
c) ;
d) ;
e) ;
f) ;
g) ;
外包软件开发
a) ;
b) ;
c) 应要求开发单位提供软件源代码,并审查软件中可能存在的后门和隐蔽信道。
a) ;
b) ;
c) ;
工程实施
a) ;
b) ;
c) 应通过第三方工程监理控制项目的实施过程。
a) ;
b) ;
c) ;
测试验收
a) ;
b) ;
a) ;
b) ;
系统交付
a) ;
b) ;
c) ;
a) ;
b) ;
c) ;
等级测评
a) ;
b) ;
c) ;
a) ;
b) ;
c) ;
服务供应商选择
a) ;
b) ;
c) 应定期监视、评审和审核服务供应商提供的服务,并对其变更服务内容加以控制。
a) ;
b) ;
c) ;
安全运维管理
环境管理
a) ;
b) ;
c) ;
a) ;
b) ;
c) ;
d) 应对出入人员进行相应级别的授权,对进入重要安全区域的人员和活动实时监视等。
资产管理
a) ;
b) 应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施;
c) 应对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。
a) ;
b) ;
c) ;
介质管理
a) ;
b) ;
a) ;
b) ;
设备维护管理
a) ;
b) ;
c) 应确保信息处理设备必须经过审批才能带离机房或办公地点,含有存储介质的设备带出工作环境时其中重要数据必须加密;
d) 含有存储介质的设备在报废或重用前,应进行完全清除或被安全覆盖,确保该设备上的敏感数据和授权软件无法被恢复重用。
a) ;
b) ;
c) ;
d) ;
漏洞和风险管理
a) ;
b) 应定期开展安全测评,形成安全测评报告,采取措施应对发现的安全问题。
a) ;
b) ;
网络和系统安全管理
a) ;
b) ;
c) ;
d) ;
e) ;
f) 应严格控制变更运维,经过审批后才可改变连接、安装系统组件或调整配置参数,操作过程中应保留不可更改的审计日志,操作结束后应同步更新配置信息库;
g) 应严格控制运维工具的使用,经过审批后才可接入进行操作,操作过程中应保留不可更改的审计日志,操作结束后应删除工具中的敏感数据;
h) 应严格控制远程运维的开通,经过审批后才可开通远程运维接口或通道,操作过程中应保留不可更改的审计日志,操作结束后立即关闭接口或通道;
i) 应保证所有与外部的连接均得到授权和批准, 应定期检查违反规定无线上网及其他违反网络安全策略的行为。
a) ;
b) ;
c) ;
d) ;
e) ;
f) ;
g) ;
h) ;
i) ;
恶意代码防范管理
a) ;
b) ;
c) 应定期验证防范恶意代码攻击的技术措施的有效。
a) ;
b) ;
c) ;
配置管理
a) ;
b) 应将基本配置信息改变纳入变更范畴,实施对配置信息改变的控制,并及时更新基本配置信息库。
a) ;
b) ;
密码管理
a) ;
a) ;
变更管理
a) ;
b) 应建立变更的申报和审批控制程序,依据程序控制所有的变更,记录变更实施过程;
c) 应建立中止变更并从失败变更中恢复的程序,明确过程控制方法和人员职责,必要时对恢复过程进行演练。
a) ;
b) ;
c) ;
备份与恢复管理
a) ;
b) ;
c) ;
a) ;
b) ;
c) ;
安全事件处置
a) ;
b) ;
c) ;
d) 对造成系统中断和造成信息泄漏的重大安全事件应采用不同的处理程序和报告程序。
a) ;
b) ;
c) ;
d) ;
应急预案管理
a) 应规定统一的应急预案框架,并在此框架下制定不同事件的应急预案,包括启动预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容;
b) ;
c) ;
d) 应定期对原有的应急预案重新评估,修订完善。
a) ;
b) ;
c) ;
d) ;
外包运维管理
a) ;
b) ;
c) 应确保选择的外包运维服务商在技术和管理方面均具有按照等级保护要求开展安全运维工作的能力,并将能力要求在签订的协议中明确;
d) 应在与外包运维服务商签订的协议中明确所有相关的安全要求。如可能涉及对敏感信息的访问、处理、存储要求,对IT基础设施中断服务的应急保障要求等。
a) ;
b) ;
c) ;
d) ;
本文到此结束,希望对大家有所帮助呢。
上一篇:李国义(李国兴为什么换脸)
下一篇:返回列表
相关链接 |
||
| 网友回复(共有 0 条回复) |