等級(jí)保護(hù)基本要求培訓(xùn)ppt課件

1、信息系統(tǒng)平安等級(jí)維護(hù)根本要求.目錄.等級(jí)維護(hù)等級(jí).等級(jí)維護(hù)重要規(guī)范GB 17859-1999 計(jì)算機(jī)信息系統(tǒng) 平安維護(hù)等級(jí)劃分準(zhǔn)那么GB/T 222392021 信息系統(tǒng)平安等級(jí)維護(hù)根本要求GB/T 222402021 信息系統(tǒng)平安等級(jí)維護(hù)定級(jí)指南信息系統(tǒng)平安等級(jí)維護(hù)測(cè)評(píng)過(guò)程指南國(guó)標(biāo)報(bào)批稿信息系統(tǒng)平安等級(jí)維護(hù)測(cè)評(píng)要求國(guó)標(biāo)報(bào)批稿GB/T 25058-2021信息系統(tǒng)平安等級(jí)維護(hù)實(shí)施指南GB/T 25070-2021信息系統(tǒng)等級(jí)維護(hù)平安設(shè)計(jì)技術(shù)要求.等級(jí)維護(hù)相關(guān)規(guī)范GA/T 708-2007 信息系統(tǒng)平安等級(jí)維護(hù)體系框架GA/T 7092007 信息系統(tǒng)平安等級(jí)維護(hù)根本模型GA/T 710-200

2、7 信息系統(tǒng)平安等級(jí)維護(hù)根本配置GA/T 711-2007 運(yùn)用軟件系統(tǒng)平安等級(jí)維護(hù)通用技術(shù)指南GA/T 7122007 運(yùn)用軟件系統(tǒng)平安等級(jí)維護(hù)通用測(cè)試指南GA/T 713-2007 信息系統(tǒng)平安管理測(cè)評(píng)GB/T 180182007 路由器平安技術(shù)要求GB/T 202692006 信息系統(tǒng)平安管理要求GB/T 202702006 網(wǎng)絡(luò)根底平安技術(shù)要求GB/T 202712006 信息系統(tǒng)平安通用技術(shù)要求GB/T 202722006 操作系統(tǒng)平安技術(shù)要求GB/T 202732006 數(shù)據(jù)庫(kù)管理系統(tǒng)平安技術(shù)要求GB/T 202752006 入侵檢測(cè)系統(tǒng)技術(shù)要求和測(cè)試評(píng)價(jià)方法GB/T 202782

3、006 網(wǎng)絡(luò)脆弱性掃描產(chǎn)品技術(shù)要求GB/T 202792006 網(wǎng)絡(luò)和終端設(shè)備隔離部件平安技術(shù)要求GB/T 202812006 防火墻技術(shù)要求和測(cè)試評(píng)價(jià)方法GB/T 202822006 信息系統(tǒng)平安工程管理要求GB/T 209792007 虹膜識(shí)別系統(tǒng)技術(shù)要求GB/T 209842007 信息平安風(fēng)險(xiǎn)評(píng)價(jià)規(guī)范GB/T 209882007 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范GB/T 210282007 效力器平安技術(shù)要求GB/T 210522007 信息系統(tǒng)物理平安技術(shù)要求GB/T 210532007 公鑰根底設(shè)備 PKI系統(tǒng)平安等級(jí)維護(hù)技術(shù)要求GB/Z 209852007 信息平安事件管理指南 YD/TGB

4、/Z 209862007 信息平安事件分類分級(jí)指南.定級(jí)流程G=MAX(S,A)SA.平安維護(hù)和系統(tǒng)定級(jí)的關(guān)系安全等級(jí)信息系統(tǒng)保護(hù)要求的組合第一級(jí)S1A1G1第二級(jí)S1A2G2，S2A2G2，S2A1G2第三級(jí)S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四級(jí)S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4.目錄.等級(jí)維護(hù)根本要求作用.等級(jí)劃分和維護(hù)“第八條信息系統(tǒng)運(yùn)營(yíng)、運(yùn)用單位根據(jù)本方法和相關(guān)技術(shù)規(guī)范對(duì)信息系統(tǒng)進(jìn)展維護(hù)，國(guó)家有關(guān)信息平安職能部門對(duì)其信息平安等級(jí)維護(hù)任務(wù)進(jìn)展監(jiān)視管理。.等級(jí)維護(hù)的實(shí)施與管理“第十二條在信息系

5、統(tǒng)建立過(guò)程中，運(yùn)營(yíng)、運(yùn)用單位該當(dāng)按照GB17859-1999、等技術(shù)規(guī)范，參照等技術(shù)規(guī)范同步建立符合該等級(jí)要求的信息平安設(shè)備。.等級(jí)維護(hù)的實(shí)施與管理“第十三條運(yùn)營(yíng)、運(yùn)用單位該當(dāng)參照GB/T20269-2006、GB/T20282-2006、等管理規(guī)范，制定并落實(shí)符合本系統(tǒng)平安維護(hù)等級(jí)要求的平安管理制度。 .等級(jí)維護(hù)的實(shí)施與管理“第十四條信息系統(tǒng)建立完成后，運(yùn)營(yíng)、運(yùn)用單位或者其主管部門應(yīng)中選擇符合本方法規(guī)定條件的測(cè)評(píng)單位，根據(jù)等技術(shù)規(guī)范，定期對(duì)信息系統(tǒng)平安等級(jí)情況開展等級(jí)測(cè)評(píng)。第三級(jí)信息系統(tǒng)該當(dāng)每年至少進(jìn)展一次等級(jí)測(cè)評(píng)，第四級(jí)信息系統(tǒng)該當(dāng)每半年至少進(jìn)展一次等級(jí)測(cè)評(píng)，第五級(jí)信息系統(tǒng)該當(dāng)根據(jù)特殊平安

6、需求進(jìn)展等級(jí)測(cè)評(píng)。.等級(jí)維護(hù)的實(shí)施與管理“第十四條信息系統(tǒng)運(yùn)營(yíng)、運(yùn)用單位及其主管部門該當(dāng)定期對(duì)信息系統(tǒng)平安情況、平安維護(hù)制度及措施的落實(shí)情況進(jìn)展自查。第三級(jí)信息系統(tǒng)該當(dāng)每年至少進(jìn)展一次自查，第四級(jí)信息系統(tǒng)該當(dāng)每半年至少進(jìn)展一次自查，第五級(jí)信息系統(tǒng)該當(dāng)根據(jù)特殊平安需求進(jìn)展自查。.等級(jí)維護(hù)的實(shí)施與管理“第十四條經(jīng)測(cè)評(píng)或者自查，信息系統(tǒng)平安情況未到達(dá)平安維護(hù)等級(jí)要求的，運(yùn)營(yíng)、運(yùn)用單位該當(dāng)制定方案進(jìn)展整改。.技術(shù)規(guī)范和管理規(guī)范的作用技術(shù)規(guī)范和管理規(guī)范信息系統(tǒng)定級(jí)信息系統(tǒng)平安建立或改建平安情況到達(dá)等級(jí)維護(hù)要求的信息系統(tǒng).的定位是系統(tǒng)平安維護(hù)、等級(jí)測(cè)評(píng)的一個(gè)根本“標(biāo)尺，同樣級(jí)別的系統(tǒng)運(yùn)用一致的“標(biāo)尺來(lái)衡量

7、，保證權(quán)威性，是一個(gè)達(dá)標(biāo)線；每個(gè)級(jí)別的信息系統(tǒng)按照根本要求進(jìn)展維護(hù)后，信息系統(tǒng)具有相應(yīng)等級(jí)的根本平安維護(hù)才干，到達(dá)一種根本的平安形狀;是每個(gè)級(jí)別信息系統(tǒng)進(jìn)展平安維護(hù)任務(wù)的一個(gè)根本出發(fā)點(diǎn)，更加貼切的維護(hù)可以經(jīng)過(guò)需求分析對(duì)根本要求進(jìn)展補(bǔ)充，參考其他有關(guān)等級(jí)維護(hù)或平安方面的規(guī)范來(lái)實(shí)現(xiàn);.根本要求和其他規(guī)范關(guān)系.等級(jí)維護(hù)根本要求效果.的定位某級(jí)信息系統(tǒng)根本維護(hù)準(zhǔn)確維護(hù)根本要求維護(hù)根本要求測(cè)評(píng)補(bǔ)充的平安措施GB17859-1999通用技術(shù)要求平安管理要求高級(jí)別的根本要求等級(jí)維護(hù)其他規(guī)范平安方面相關(guān)規(guī)范等等根本維護(hù)特殊需求補(bǔ)充措施.目錄.根本思緒.不同級(jí)別的平安維護(hù)才干要求第一級(jí)平安維護(hù)才干應(yīng)可以防護(hù)系統(tǒng)

8、免受來(lái)自個(gè)人的、擁有很少資源如利用公開可獲取的工具等的要挾源發(fā)起的惡意攻擊、普通的自然災(zāi)難災(zāi)難發(fā)生的強(qiáng)度弱、繼續(xù)時(shí)間很短等以及其他相當(dāng)危害程度的要挾無(wú)意失誤、技術(shù)缺點(diǎn)等所呵斥的關(guān)鍵資源損害，在系統(tǒng)遭到損害后，可以恢復(fù)部分功能。第二級(jí)平安維護(hù)才干應(yīng)可以防護(hù)系統(tǒng)免受來(lái)自外部小型組織的如自發(fā)的三兩人組成的黑客組織、擁有少量資源如個(gè)他人員才干、公開可獲或特定開發(fā)的工具等的要挾源發(fā)起的惡意攻擊、普通的自然災(zāi)難災(zāi)難發(fā)生的強(qiáng)度普通、繼續(xù)時(shí)間短、覆蓋范圍小等以及其他相當(dāng)危害程度的要挾無(wú)意失誤、技術(shù)缺點(diǎn)等所呵斥的重要資源損害，可以發(fā)現(xiàn)重要的平安破綻和平安事件，在系統(tǒng)遭到損害后，可以在一段時(shí)間內(nèi)恢復(fù)部分功能。.不

9、同級(jí)別的平安維護(hù)才干要求第三級(jí)平安維護(hù)才干應(yīng)可以在一致平安戰(zhàn)略下防護(hù)系統(tǒng)免受來(lái)自外部有組織的團(tuán)體如一個(gè)商業(yè)情報(bào)組織或犯罪組織等，擁有較為豐富資源包括人員才干、計(jì)算才干等的要挾源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)難災(zāi)難發(fā)生的強(qiáng)度較大、繼續(xù)時(shí)間較長(zhǎng)、覆蓋范圍較廣等以及其他相當(dāng)危害程度的要挾內(nèi)部人員的惡意要挾、無(wú)意失誤、較嚴(yán)重的技術(shù)缺點(diǎn)等所呵斥的主要資源損害，可以發(fā)現(xiàn)平安破綻和平安事件，在系統(tǒng)遭到損害后，可以較快恢復(fù)絕大部分功能。 第四級(jí)平安維護(hù)才干應(yīng)可以在一致平安戰(zhàn)略下防護(hù)系統(tǒng)免受來(lái)自國(guó)家級(jí)別的、敵對(duì)組織的、擁有豐富資源的要挾源發(fā)起的惡意攻擊、嚴(yán)重的自然災(zāi)難災(zāi)難發(fā)生的強(qiáng)度大、繼續(xù)時(shí)間長(zhǎng)、覆蓋范圍廣等

10、以及其他相當(dāng)危害程度的要挾內(nèi)部人員的惡意要挾、無(wú)意失誤、嚴(yán)重的技術(shù)缺點(diǎn)等所呵斥的資源損害，可以發(fā)現(xiàn)平安破綻和平安事件，在系統(tǒng)遭到損害后，可以迅速恢復(fù)一切功能。 .各個(gè)要素之間的關(guān)系平安維護(hù)才干根本平安要求每個(gè)等級(jí)的信息系統(tǒng)根本技術(shù)措施根本管理措施具備包含包含滿足滿足實(shí)現(xiàn).中心思緒某級(jí)系統(tǒng)技術(shù)要求管理要求根本要求建立平安技術(shù)體系建立平安管理體系具有某級(jí)平安維護(hù)才干的系統(tǒng).各級(jí)系統(tǒng)的維護(hù)要求差別宏觀平安維護(hù)模型PPDRR Protection防護(hù) Policy Detection 戰(zhàn)略 檢測(cè) Response 呼應(yīng) Recovery恢復(fù).各級(jí)系統(tǒng)的維護(hù)要求差別宏觀一級(jí)系統(tǒng)二級(jí)系統(tǒng)三級(jí)系統(tǒng)四級(jí)系統(tǒng)防

11、護(hù)防護(hù)/監(jiān)測(cè)戰(zhàn)略/防護(hù)/監(jiān)測(cè)/恢復(fù)戰(zhàn)略/防護(hù)/監(jiān)測(cè)/恢復(fù)/呼應(yīng).各級(jí)系統(tǒng)的維護(hù)要求差別宏觀勝利的完成業(yè)務(wù)信息保證深度防御戰(zhàn)略人技術(shù)操作防御網(wǎng)絡(luò)與根底設(shè)備防御飛地邊境防御計(jì)算環(huán)境支撐性根底設(shè)備平安維護(hù)模型IATF.各級(jí)系統(tǒng)的維護(hù)要求差別宏觀一級(jí)系統(tǒng)二級(jí)系統(tǒng)三級(jí)系統(tǒng)四級(jí)系統(tǒng)通訊/邊境根本通訊/邊境/內(nèi)部關(guān)鍵設(shè)備通訊/邊境/內(nèi)部主要設(shè)備通訊/邊境/內(nèi)部/根底設(shè)備一切設(shè)備.才干成熟度模型CMM.各級(jí)系統(tǒng)的維護(hù)要求差別宏觀一級(jí)系統(tǒng)二級(jí)系統(tǒng)三級(jí)系統(tǒng)四級(jí)系統(tǒng)方案和跟蹤主要制度方案和跟蹤主要制度良好定義管理活動(dòng)制度化繼續(xù)改良管理活動(dòng)制度化/及時(shí)改良.各級(jí)系統(tǒng)的維護(hù)要求差別微觀某級(jí)系統(tǒng)物理平安技術(shù)要求管理要求根

12、本要求網(wǎng)絡(luò)平安主機(jī)平安運(yùn)用平安數(shù)據(jù)平安平安管理機(jī)構(gòu)平安管理制度人員平安管理系統(tǒng)建立管理系統(tǒng)運(yùn)維管理.目錄.根本要求的主要內(nèi)容由9個(gè)章節(jié)2個(gè)附錄構(gòu)成1.適用范圍2.規(guī)范性援用文件3術(shù)語(yǔ)和定義4.等級(jí)維護(hù)概述5. 根本要求附錄A 關(guān)于信息系統(tǒng)整體平安維護(hù)才干的要求附錄B 根本平安要求的選擇和運(yùn)用.根本要求的組織方式某級(jí)系統(tǒng)類技術(shù)要求管理要求根本要求類控制點(diǎn)詳細(xì)要求控制點(diǎn)詳細(xì)要求.根本要求舉例技術(shù)要求 網(wǎng)絡(luò)平安類 訪問(wèn)控制(G2) 控制點(diǎn)本項(xiàng)要求包括: 詳細(xì)要求a) 應(yīng)在網(wǎng)絡(luò)邊境部署訪問(wèn)控制設(shè)備,啟用訪問(wèn)控制功能; b) 應(yīng)能根據(jù)會(huì)話形狀信息為數(shù)據(jù)流提供明確的允許/回絕訪問(wèn)的才干,控制粒度為網(wǎng)段級(jí)。

13、c) 應(yīng)按用戶和系統(tǒng)之間的允許訪問(wèn)規(guī)那么,決議允許或回絕用戶對(duì)受控系統(tǒng)進(jìn)展資源訪問(wèn),控制粒度為單個(gè)用戶; d) 應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)限的用戶數(shù)量。.根本要求舉例技術(shù)要求 網(wǎng)絡(luò)平安類 訪問(wèn)控制(G3)本項(xiàng)要求包括:a) 應(yīng)在網(wǎng)絡(luò)邊境部署訪問(wèn)控制設(shè)備,啟用訪問(wèn)控制功能; b) 應(yīng)能根據(jù)會(huì)話形狀信息為數(shù)據(jù)流提供明確的允許/回絕訪問(wèn)的才干,控制粒度為端口級(jí);c) 應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)展過(guò)濾,實(shí)現(xiàn)對(duì)運(yùn)用層 、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制; d) 應(yīng)在會(huì)話處于非活潑一定時(shí)間或會(huì)話終了后終止網(wǎng)絡(luò)銜接; e) 應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)銜接數(shù); f) 重要網(wǎng)段應(yīng)采取技術(shù)手段防

14、止地址欺騙; g) 應(yīng)按用戶和系統(tǒng)之間的允許訪問(wèn)規(guī)那么,決議允許或回絕用戶對(duì)受控系統(tǒng)進(jìn)展資源訪問(wèn),控制粒度為單個(gè)用戶; h) 應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)限的用戶數(shù)量。.根本要求標(biāo)注方式根本要求技術(shù)要求管理要求要求標(biāo)注業(yè)務(wù)信息平安類要求標(biāo)志為S類系統(tǒng)效力保證類要求標(biāo)志為A類通用平安維護(hù)類要求標(biāo)志為G類 .三類要求之間的關(guān)系通用平安維護(hù)類要求G業(yè)務(wù)信息平安類S系統(tǒng)效力保證類A平安要求.根本要求的選擇和運(yùn)用一個(gè)3級(jí)系統(tǒng),定級(jí)結(jié)果為S3A2，維護(hù)類型應(yīng)該是S3A2G3第1步:選擇規(guī)范中3級(jí)根本要求的技術(shù)要求和管理要求;第2步:要求中標(biāo)注為S類和G類的不變;標(biāo)注為A類的要求可以選用2級(jí)根本要求中的A類作為根本

15、要求;.平安維護(hù)和系統(tǒng)定級(jí)的關(guān)系安全等級(jí)信息系統(tǒng)保護(hù)要求的組合第一級(jí)S1A1G1第二級(jí)S1A2G2，S2A2G2，S2A1G2第三級(jí)S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四級(jí)S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4定級(jí)指南要求按照“業(yè)務(wù)信息和“系統(tǒng)效力的需求確定整個(gè)系統(tǒng)的平安維護(hù)等級(jí)定級(jí)過(guò)程反映了信息系統(tǒng)的維護(hù)要求.電力控制(A):一級(jí):計(jì)算機(jī)系統(tǒng)供電應(yīng)與其他供電分開;應(yīng)設(shè)置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備 。二級(jí):應(yīng)提供短期的備用電力供應(yīng)(如:UPS設(shè)備)。三級(jí):應(yīng)具備冗余或并行的電力電纜線路;備用供電系統(tǒng)(如備用

16、發(fā)電機(jī)) 。四級(jí):與三級(jí)要求一樣。.電磁防護(hù)(S)一級(jí):無(wú)此要求。二級(jí):要求具有根本的電磁防護(hù)才干,如電源線和通訊線纜應(yīng)隔離鋪設(shè)等。三級(jí):除二級(jí)要求外,加強(qiáng)了防護(hù)才干,要求可以做到關(guān)鍵設(shè)備和磁介質(zhì)的電磁屏蔽。四級(jí):在三級(jí)要求的根底上,要求屏蔽范圍擴(kuò)展關(guān)鍵區(qū).不同級(jí)別系統(tǒng)控制點(diǎn)的差別安全要求類層面一級(jí)二級(jí)三級(jí)四級(jí)技術(shù)要求物理安全7101010網(wǎng)絡(luò)安全3677主機(jī)安全4679應(yīng)用安全47911數(shù)據(jù)安全及備份恢復(fù)2333管理要求安全管理制度2333安全管理機(jī)構(gòu)4555人員安全管理4555系統(tǒng)建設(shè)管理991111系統(tǒng)運(yùn)維管理9121313合計(jì)/48667377級(jí)差/1874.不同級(jí)別系統(tǒng)要求項(xiàng)的差別安

17、全要求類層面一級(jí)二級(jí)三級(jí)四級(jí)技術(shù)要求物理安全9193233網(wǎng)絡(luò)安全9183332主機(jī)安全6193236應(yīng)用安全7193136數(shù)據(jù)安全及備份恢復(fù)24811管理要求安全管理制度371114安全管理機(jī)構(gòu)492021人員安全管理7111618系統(tǒng)建設(shè)管理20284548系統(tǒng)運(yùn)維管理18416270合計(jì)/85175290319級(jí)差/9011529.根本要求組織方式.根本要求-組織方式某級(jí)系統(tǒng)物理平安技術(shù)要求管理要求根本要求網(wǎng)絡(luò)平安主機(jī)平安運(yùn)用平安數(shù)據(jù)平安平安管理機(jī)構(gòu)平安管理制度人員平安管理系統(tǒng)建立管理系統(tǒng)運(yùn)維管理.技術(shù)要求-物理平安.技術(shù)要求-網(wǎng)絡(luò)平安.技術(shù)要求-主機(jī)平安.技術(shù)要求-運(yùn)用平安.技術(shù)要求-

18、數(shù)據(jù)平安.根本要求-組織方式某級(jí)系統(tǒng)物理平安技術(shù)要求管理要求根本要求網(wǎng)絡(luò)平安主機(jī)平安運(yùn)用平安數(shù)據(jù)平安平安管理機(jī)構(gòu)平安管理制度人員平安管理系統(tǒng)建立管理系統(tǒng)運(yùn)維管理.管理要求-平安管理機(jī)構(gòu)崗位設(shè)置人員配備授權(quán)和審批溝通和協(xié)作審核和檢查管理要求平安管理機(jī)構(gòu)平安管理制度人員平安管理系統(tǒng)建立管理系統(tǒng)運(yùn)維管理.根本要求-平安管理制度管理制度制定和發(fā)布評(píng)審和修訂管理要求平安管理機(jī)構(gòu)平安管理制度人員平安管理系統(tǒng)建立管理系統(tǒng)運(yùn)維管理.根本要求-人員平安管理人員錄用人員離崗人員考核平安認(rèn)識(shí)教育和培訓(xùn)外部人員訪問(wèn)管理管理要求平安管理機(jī)構(gòu)平安管理制度人員平安管理系統(tǒng)建立管理系統(tǒng)運(yùn)維管理.根本要求-系統(tǒng)建立管理系統(tǒng)定級(jí)

19、等級(jí)測(cè)評(píng)平安方案設(shè)計(jì)產(chǎn)品采購(gòu)和運(yùn)用自行軟件開發(fā)外包軟件開發(fā)工程實(shí)施測(cè)實(shí)驗(yàn)收系統(tǒng)交付系統(tǒng)備案平安效力商選擇管理要求平安管理機(jī)構(gòu)平安管理制度人員平安管理系統(tǒng)建立管理系統(tǒng)運(yùn)維管理.根本要求-系統(tǒng)運(yùn)維管理環(huán)境管理資產(chǎn)管理介質(zhì)管理設(shè)備管理監(jiān)控管理和平安管理中心網(wǎng)絡(luò)平安管理系統(tǒng)平安管理惡意代碼防備管理密碼管理變卦管理備份與恢復(fù)管理平安事件處置應(yīng)急預(yù)案管理管理要求平安管理機(jī)構(gòu)平安管理制度人員平安管理系統(tǒng)建立管理系統(tǒng)運(yùn)維管理.各級(jí)系統(tǒng)平安維護(hù)要求-物理平安物理平安主要涉及的方面包括環(huán)境平安防火、防水、防雷擊等設(shè)備和介質(zhì)的防盜竊防破壞等方面。詳細(xì)包括：物理位置的選擇、物理訪問(wèn)控制、防盜竊和防破壞、防雷擊、防火、

20、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護(hù)等十個(gè)控制點(diǎn)。.各級(jí)系統(tǒng)平安維護(hù)要求-物理平安控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)物理位置的選擇G*物理訪問(wèn)控制G*防盜竊和防破壞G*防雷擊G*防火G*防水和防潮G*防靜電G*溫濕度控制G*電力供應(yīng)A*電磁防護(hù)S*合計(jì)7101010.各級(jí)系統(tǒng)平安維護(hù)要求-物理平安一級(jí)物理平安要求：主要要求對(duì)物理環(huán)境進(jìn)展根本的防護(hù)，對(duì)出入進(jìn)展根本控制，環(huán)境平安可以對(duì)自然要挾進(jìn)展根本的防護(hù)，電力那么要求提供供電電壓的正常。二級(jí)物理平安要求：對(duì)物理平安進(jìn)展了進(jìn)一步的防護(hù)，不僅對(duì)出入進(jìn)展根本的控制，對(duì)進(jìn)入后的活動(dòng)也要進(jìn)展控制；物理環(huán)境方面，那么加強(qiáng)了各方面的防護(hù)，采取更細(xì)的要求來(lái)多

21、方面進(jìn)展防護(hù)。三級(jí)物理平安要求：對(duì)出入加強(qiáng)了控制，做到人、電子設(shè)備共同監(jiān)控；物理環(huán)境方面，進(jìn)一步采取各種控制措施來(lái)進(jìn)展防護(hù)。如，防火要求，不僅要求自動(dòng)消防系統(tǒng)，而且要求區(qū)域隔離防火，建筑資料防火等方面，將防火的范圍增大，從而使火災(zāi)發(fā)生的幾率和損失降低。四級(jí)物理平安要求：對(duì)機(jī)房出入的要求進(jìn)一步加強(qiáng)，要求多道電子設(shè)備監(jiān)控；物理環(huán)境方面，要求采用一定的防護(hù)設(shè)備進(jìn)展防護(hù)，如靜電消除安裝等。 .各級(jí)系統(tǒng)平安維護(hù)要求-網(wǎng)絡(luò)平安網(wǎng)絡(luò)平安主要關(guān)注的方面包括：網(wǎng)絡(luò)構(gòu)造、網(wǎng)絡(luò)邊境以及網(wǎng)絡(luò)設(shè)備本身平安等。詳細(xì)的控制點(diǎn)包括：構(gòu)造平安、訪問(wèn)控制、平安審計(jì)、邊境完好性檢查、入侵防備、惡意代碼防備、網(wǎng)絡(luò)設(shè)備防護(hù)等七個(gè)控制點(diǎn)

22、。.各級(jí)系統(tǒng)平安維護(hù)要求-網(wǎng)絡(luò)平安控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)結(jié)構(gòu)安全G*訪問(wèn)控制G*安全審計(jì)G*邊界完整性檢查S*入侵防范G*惡意代碼防范G*網(wǎng)絡(luò)設(shè)備防護(hù)G*合計(jì)3677.各級(jí)系統(tǒng)平安維護(hù)要求-網(wǎng)絡(luò)平安一級(jí)網(wǎng)絡(luò)平安要求：主要提供網(wǎng)絡(luò)平安運(yùn)轉(zhuǎn)的根本保證，包括網(wǎng)絡(luò)構(gòu)造可以根本滿足業(yè)務(wù)運(yùn)轉(zhuǎn)需求，網(wǎng)絡(luò)邊境處對(duì)進(jìn)出的數(shù)據(jù)包頭進(jìn)展根本過(guò)濾等訪問(wèn)控制措施。二級(jí)網(wǎng)絡(luò)平安要求：不僅要滿足網(wǎng)絡(luò)平安運(yùn)轉(zhuǎn)的根本保證，同時(shí)還要思索網(wǎng)絡(luò)處置才干要滿足業(yè)務(wù)極限時(shí)的需求。對(duì)網(wǎng)絡(luò)邊境的訪問(wèn)控制粒度進(jìn)一步加強(qiáng)。同時(shí)，加強(qiáng)了網(wǎng)絡(luò)邊境的防護(hù)，添加了平安審計(jì)、邊境完好性檢查、入侵防備等控制點(diǎn)。對(duì)網(wǎng)絡(luò)設(shè)備的防護(hù)不僅局限于簡(jiǎn)單的身份鑒別，同時(shí)

23、對(duì)標(biāo)識(shí)和鑒別信息都有了相應(yīng)的要求。三級(jí)網(wǎng)絡(luò)平安要求：對(duì)網(wǎng)絡(luò)處置才干添加了“優(yōu)先級(jí)思索，保證重要主機(jī)可以在網(wǎng)絡(luò)擁堵時(shí)仍可以正常運(yùn)轉(zhuǎn)；網(wǎng)絡(luò)邊境的訪問(wèn)控制擴(kuò)展到運(yùn)用層，網(wǎng)絡(luò)邊境的其他防護(hù)措施進(jìn)一步加強(qiáng)，不僅可以被動(dòng)的“防，還應(yīng)可以自動(dòng)發(fā)出一些動(dòng)作，如報(bào)警、阻斷等。網(wǎng)絡(luò)設(shè)備的防護(hù)手段要求兩種身份鑒別技術(shù)綜合運(yùn)用。四級(jí)網(wǎng)絡(luò)平安要求：對(duì)網(wǎng)絡(luò)邊境的訪問(wèn)控制做出了更為嚴(yán)厲的要求，制止遠(yuǎn)程撥號(hào)訪問(wèn)，不允許數(shù)據(jù)帶通用協(xié)議經(jīng)過(guò)；邊境的其他防護(hù)措施也加強(qiáng)了要求。網(wǎng)絡(luò)平安審計(jì)著眼于全局，做到集中審計(jì)分析，以便得到更多的綜合信息。網(wǎng)絡(luò)設(shè)備的防護(hù)，在身份鑒別手段上除要求兩種技術(shù)外，其中一種鑒別技術(shù)必需是不可偽造的，進(jìn)一步加

24、強(qiáng)了對(duì)網(wǎng)絡(luò)設(shè)備的防護(hù)。.各級(jí)系統(tǒng)平安維護(hù)要求-主機(jī)平安主機(jī)系統(tǒng)平安是包括效力器、終端/任務(wù)站等在內(nèi)的計(jì)算機(jī)設(shè)備在操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)層面的平安。終端/任務(wù)站是帶外設(shè)的臺(tái)式機(jī)與筆記本計(jì)算機(jī)，效力器那么包括運(yùn)用程序、網(wǎng)絡(luò)、web、文件與通訊等效力器。主機(jī)系統(tǒng)是構(gòu)成信息系統(tǒng)的主要部分，其上承載著各種運(yùn)用。因此，主機(jī)系統(tǒng)平安是維護(hù)信息系統(tǒng)平安的中堅(jiān)力量。主機(jī)系統(tǒng)平安涉及的控制點(diǎn)包括：身份鑒別、平安標(biāo)志、訪問(wèn)控制、可信途徑、平安審計(jì)、剩余信息維護(hù)、入侵防備、惡意代碼防備和資源控制等九個(gè)控制點(diǎn)。 .各級(jí)系統(tǒng)平安維護(hù)要求-主機(jī)平安控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)身份鑒別S*安全標(biāo)記S*訪問(wèn)控制G*可信路徑S*安全審計(jì)

25、G*剩余信息保護(hù)S*入侵防范G*惡意代碼防范G*資源控制A*合計(jì)4679.各級(jí)系統(tǒng)平安維護(hù)要求-主機(jī)平安一級(jí)主機(jī)系統(tǒng)平安要求：對(duì)主機(jī)進(jìn)展根本的防護(hù)，要求主機(jī)做到簡(jiǎn)單的身份鑒別，粗粒度的訪問(wèn)控制以及重要主機(jī)可以進(jìn)展惡意代碼防備。二級(jí)主機(jī)系統(tǒng)平安要求：在控制點(diǎn)上添加了平安審計(jì)和資源控制等。同時(shí)，對(duì)身份鑒別和訪問(wèn)控制都進(jìn)一步加強(qiáng)，鑒別的標(biāo)識(shí)、信息等都提出了詳細(xì)的要求；訪問(wèn)控制的粒度進(jìn)展了細(xì)化等，惡意代碼添加了一致管理等。三級(jí)主機(jī)系統(tǒng)平安要求：在控制點(diǎn)上添加了剩余信息維護(hù)，即，訪問(wèn)控制添加了設(shè)置敏感標(biāo)志等，力度變強(qiáng)。同樣，身份鑒別的力度進(jìn)一步加強(qiáng)，要求兩種以上鑒別技術(shù)同時(shí)運(yùn)用。平安審計(jì)已不滿足于對(duì)平安

26、事件的記錄，而要進(jìn)展分析、生成報(bào)表。對(duì)惡意代碼的防備綜合思索網(wǎng)絡(luò)上的防備措施，做到二者相互補(bǔ)充。對(duì)資源控制的添加了對(duì)效力器的監(jiān)視和最小效力程度的監(jiān)測(cè)和報(bào)警等。四級(jí)主機(jī)系統(tǒng)平安要求：在控制點(diǎn)上添加了平安標(biāo)志和可信途徑，其他控制點(diǎn)在強(qiáng)度上也分別加強(qiáng)，如，身份鑒別要求運(yùn)用不可偽造的鑒別技術(shù)，訪問(wèn)控制要求部分按照強(qiáng)迫訪問(wèn)控制的力度實(shí)現(xiàn)，平安審計(jì)可以做到一致集中審計(jì)等。.各級(jí)系統(tǒng)平安維護(hù)要求-運(yùn)用平安經(jīng)過(guò)網(wǎng)絡(luò)、主機(jī)系統(tǒng)的平安防護(hù)，最終運(yùn)用平安成為信息系統(tǒng)整體防御的最后一道防線。在運(yùn)用層面運(yùn)轉(zhuǎn)著信息系統(tǒng)的基于網(wǎng)絡(luò)的運(yùn)用以及特定業(yè)務(wù)運(yùn)用?；诰W(wǎng)絡(luò)的運(yùn)用是構(gòu)成其他運(yùn)用的根底，包括音訊發(fā)送、web閱讀等，可以說(shuō)

27、是根本的運(yùn)用。業(yè)務(wù)運(yùn)用采用根本運(yùn)用的功能以滿足特定業(yè)務(wù)的要求，如電子商務(wù)、電子政務(wù)等。由于各種根本運(yùn)用最終是為業(yè)務(wù)運(yùn)用效力的，因此對(duì)運(yùn)用系統(tǒng)的平安維護(hù)最終就是如何維護(hù)系統(tǒng)的各種業(yè)務(wù)運(yùn)用程序平安運(yùn)轉(zhuǎn)。運(yùn)用平安主要涉及的平安控制點(diǎn)包括：身份鑒別、平安標(biāo)志、訪問(wèn)控制、可信途徑、平安審計(jì)、剩余信息維護(hù)、通訊完好性、通訊嚴(yán)密性、抗抵賴、軟件容錯(cuò)、資源控制等十一個(gè)控制點(diǎn)。.各級(jí)系統(tǒng)平安維護(hù)要求-運(yùn)用平安控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)身份鑒別S*安全標(biāo)記S*訪問(wèn)控制S*可信路經(jīng)S*安全審計(jì)G*剩余信息保護(hù)S*通信完整性S*通信保密性S*抗抵賴G*軟件容錯(cuò)A*資源控制A*合計(jì)47911.各級(jí)系統(tǒng)平安維護(hù)要求-運(yùn)用平安

28、一級(jí)運(yùn)用平安要求：對(duì)運(yùn)用進(jìn)展根本的防護(hù)，要求做到簡(jiǎn)單的身份鑒別，粗粒度的訪問(wèn)控制以及數(shù)據(jù)有效性檢驗(yàn)等根本防護(hù)。二級(jí)運(yùn)用平安要求：在控制點(diǎn)上添加了平安審計(jì)、通訊嚴(yán)密性和資源控制等。同時(shí)，對(duì)身份鑒別和訪問(wèn)控制都進(jìn)一步加強(qiáng)，鑒別的標(biāo)識(shí)、信息等都提出了詳細(xì)的要求。訪問(wèn)控制的粒度進(jìn)展了細(xì)化，對(duì)通訊過(guò)程的完好性維護(hù)提出了特定的校驗(yàn)碼技術(shù)。運(yùn)用軟件本身的平安要求進(jìn)一步加強(qiáng)，軟件容錯(cuò)才干加強(qiáng)。三級(jí)運(yùn)用平安要求：在控制點(diǎn)上添加了剩余信息維護(hù)和抗抵賴等。同時(shí)，身份鑒別的力度進(jìn)一步加強(qiáng)，要求組合鑒別技術(shù)，訪問(wèn)控制添加了敏感標(biāo)志功能，平安審計(jì)已不滿足于對(duì)平安事件的記錄，而要進(jìn)展分析等。對(duì)通訊過(guò)程的完好性維護(hù)提出了特定

29、的密碼技術(shù)。運(yùn)用軟件本身的平安要求進(jìn)一步加強(qiáng)，軟件容錯(cuò)才干加強(qiáng)，添加了自動(dòng)維護(hù)功能。四級(jí)運(yùn)用平安要求：在控制點(diǎn)上添加了平安標(biāo)志和可信途徑等。部分控制點(diǎn)在強(qiáng)度上進(jìn)一步加強(qiáng)，如，身份鑒別要求運(yùn)用不可偽造的鑒別技術(shù)，平安審計(jì)可以做到一致平安戰(zhàn)略提供集中審計(jì)接口等，軟件應(yīng)具有自動(dòng)恢復(fù)的才干等。.各級(jí)系統(tǒng)平安維護(hù)要求-數(shù)據(jù)平安及備份恢復(fù)信息系統(tǒng)處置的各種數(shù)據(jù)用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)等在維持系統(tǒng)正常運(yùn)轉(zhuǎn)上起著至關(guān)重要的作用。一旦數(shù)據(jù)遭到破壞走漏、修正、毀壞，都會(huì)在不同程度上呵斥影響，從而危害到系統(tǒng)的正常運(yùn)轉(zhuǎn)。由于信息系統(tǒng)的各個(gè)層面網(wǎng)絡(luò)、主機(jī)、運(yùn)用等都對(duì)各類數(shù)據(jù)進(jìn)展傳輸、存儲(chǔ)和處置等，因此，對(duì)數(shù)據(jù)的維護(hù)

30、需求物理環(huán)境、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)和操作系統(tǒng)、運(yùn)用程序等提供支持。各個(gè)“關(guān)口把好了，數(shù)據(jù)本身再具有一些防御和修復(fù)手段，必然將對(duì)數(shù)據(jù)呵斥的損害降至最小。另外，數(shù)據(jù)備份也是防止數(shù)據(jù)被破壞后無(wú)法恢復(fù)的重要手段，而硬件備份等更是保證系統(tǒng)可用的重要內(nèi)容，在高級(jí)別的信息系統(tǒng)中采用異地適時(shí)備份會(huì)有效的防治災(zāi)難發(fā)生時(shí)能夠呵斥的系統(tǒng)危害。保證數(shù)據(jù)平安和備份恢復(fù)主要從：數(shù)據(jù)完好性、數(shù)據(jù)嚴(yán)密性、備份和恢復(fù)等三個(gè)控制點(diǎn)思索。.各級(jí)系統(tǒng)平安維護(hù)要求-數(shù)據(jù)平安及備份恢復(fù)控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)數(shù)據(jù)完整性S*數(shù)據(jù)保密性S*備份和恢復(fù)A*合計(jì)2333.各級(jí)系統(tǒng)平安維護(hù)要求-數(shù)據(jù)平安及備份恢復(fù)一級(jí)數(shù)據(jù)平安及備份恢復(fù)要求：對(duì)數(shù)據(jù)完好性用戶

31、數(shù)據(jù)在傳輸過(guò)程提出要求，可以檢測(cè)出數(shù)據(jù)完好性遭到破壞；同時(shí)可以對(duì)重要信息進(jìn)展備份。二級(jí)數(shù)據(jù)及備份恢復(fù)平安要求：對(duì)數(shù)據(jù)完好性的要求加強(qiáng)，范圍擴(kuò)展，要求鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中都要保證其完好性。對(duì)數(shù)據(jù)嚴(yán)密性要?jiǎng)?wù)虛現(xiàn)鑒別信息存儲(chǔ)嚴(yán)密性，數(shù)據(jù)備份加強(qiáng)，要求一定的硬件冗余。三級(jí)數(shù)據(jù)及備份恢復(fù)平安要求：對(duì)數(shù)據(jù)完好性的要求加強(qiáng)，范圍擴(kuò)展，添加了系統(tǒng)管理數(shù)據(jù)的傳輸完好性，不僅可以檢測(cè)出數(shù)據(jù)遭到破壞，并能進(jìn)展恢復(fù)。對(duì)數(shù)據(jù)嚴(yán)密性要求范圍擴(kuò)展到實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)的傳輸和存儲(chǔ)的嚴(yán)密性，數(shù)據(jù)的備份不僅要求本地完全數(shù)據(jù)備份，還要求異地備份和冗余網(wǎng)絡(luò)拓?fù)洹Ｋ募?jí)數(shù)據(jù)及備份恢復(fù)平安要求：為進(jìn)一步

32、保證數(shù)據(jù)的完好性和嚴(yán)密性，提出運(yùn)用專有的平安協(xié)議的要求。同時(shí)，備份方式添加了建立異地適時(shí)災(zāi)難備份中心，在災(zāi)難發(fā)生后系統(tǒng)可以自動(dòng)切換和恢復(fù)。.各級(jí)系統(tǒng)平安維護(hù)要求-平安管理制度在信息平安中，最活潑的要素是人，對(duì)人的管理包括法律、法規(guī)與政策的約束、平安指南的協(xié)助、平安認(rèn)識(shí)的提高、平安技藝的培訓(xùn)、人力資源管理措施以及企業(yè)文化的熏陶，這些功能的實(shí)現(xiàn)都是以完備的平安管理政策和制度為前提。這里所說(shuō)的平安管理制度包括信息平安任務(wù)的總體方針、戰(zhàn)略、規(guī)范各種平安管理活動(dòng)的管理制度以及管理人員或操作人員日常操作的操作規(guī)程。平安管理制度主要包括：管理制度、制定和發(fā)布、評(píng)審和修訂三個(gè)控制點(diǎn)。.各級(jí)系統(tǒng)平安維護(hù)要求-平

33、安管理制度控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)管理制度*制定和發(fā)布*評(píng)審和修訂*合計(jì)2333.各級(jí)系統(tǒng)平安維護(hù)要求-平安管理制度一級(jí)平安管理制度要求：主要明確了制定日經(jīng)常用的管理制度，并對(duì)管理制度的制定和發(fā)布提出根本要求。二級(jí)平安管理制度要求：在控制點(diǎn)上添加了評(píng)審和修訂，管理制度添加了總體方針和平安戰(zhàn)略，和對(duì)各類重要操作建立規(guī)程的要求，并且管理制度的制定和發(fā)布要求組織論證。三級(jí)平安管理制度要求：在二級(jí)要求的根底上，要求機(jī)構(gòu)構(gòu)成信息平安管理制度體系，對(duì)管理制度的制定要求和發(fā)布過(guò)程進(jìn)一步嚴(yán)厲和規(guī)范。對(duì)平安制度的評(píng)審和修訂要求指點(diǎn)小組的擔(dān)任。四級(jí)平安管理制度要求：在三級(jí)要求的根底上，主要思索了對(duì)帶有密級(jí)的管理制度

34、的管理和管理制度的日常維護(hù)等。.各級(jí)系統(tǒng)平安維護(hù)要求-平安管理機(jī)構(gòu)平安管理，首先要建立一個(gè)健全、務(wù)虛、有效、一致指揮、一致步伐的完善的平安管理機(jī)構(gòu)，明確機(jī)構(gòu)成員的平安職責(zé)，這是信息平安管理得以實(shí)施、推行的根底。在單位的內(nèi)部構(gòu)造上必需建立一整套從單位最高管理層董事會(huì)到執(zhí)行管理層以及業(yè)務(wù)運(yùn)營(yíng)層的管理構(gòu)造來(lái)約束和保證各項(xiàng)平安管理措施的執(zhí)行。其主要任務(wù)內(nèi)容包括對(duì)機(jī)構(gòu)內(nèi)重要的信息平安任務(wù)進(jìn)展授權(quán)和審批、內(nèi)部相關(guān)業(yè)務(wù)部門和平安管理部門之間的溝通協(xié)調(diào)以及與機(jī)構(gòu)外部各類單位的協(xié)作、定期對(duì)系統(tǒng)的平安措施落實(shí)情況進(jìn)展檢查，以發(fā)現(xiàn)問(wèn)題進(jìn)展改良。平安管理機(jī)構(gòu)主要包括：崗位設(shè)置、人員配備、授權(quán)和審批、溝通和協(xié)作以及審核

35、和檢查等五個(gè)控制點(diǎn)。.各級(jí)系統(tǒng)平安維護(hù)要求-平安管理機(jī)構(gòu)控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)崗位設(shè)置*人員配備*授權(quán)和審批*溝通和合作*審核和檢查*合計(jì)4555.各級(jí)系統(tǒng)平安維護(hù)要求-平安管理機(jī)構(gòu)一級(jí)平安管理機(jī)構(gòu)要求：主要要求對(duì)開展信息平安任務(wù)的根本任務(wù)崗位進(jìn)展配備，對(duì)機(jī)構(gòu)重要的平安活動(dòng)進(jìn)展審批，加強(qiáng)對(duì)外的溝通和協(xié)作。二級(jí)平安管理機(jī)構(gòu)要求：在控制點(diǎn)上添加了審核和檢查，同時(shí)，在一級(jí)根底上，明確要求設(shè)立平安主管等重要崗位；人員配備方面提出平安管理員不可兼任其它崗位原那么；溝通與協(xié)作的范圍添加與機(jī)構(gòu)內(nèi)部及與其他部門的協(xié)作和溝通。三級(jí)平安管理機(jī)構(gòu)要求：對(duì)于崗位設(shè)置，不僅要求設(shè)置信息平安的職能部門，而且機(jī)構(gòu)上層應(yīng)有一

36、定的指點(diǎn)小組全面擔(dān)任機(jī)構(gòu)的信息平安全局任務(wù)。授權(quán)審批方面加強(qiáng)了授權(quán)流程控制以及階段性審查。溝通與協(xié)作方面加強(qiáng)了與外部組織的溝通和協(xié)作，并聘用平安顧問(wèn)。同時(shí)對(duì)審核和檢查任務(wù)進(jìn)一步規(guī)范。四級(jí)平安管理機(jī)構(gòu)要求：同三級(jí)要求。.各級(jí)系統(tǒng)平安維護(hù)要求-人員平安管理人，是信息平安中最關(guān)鍵的要素，同時(shí)也是信息平安中最薄弱的環(huán)節(jié)。很多重要的信息系統(tǒng)平安問(wèn)題都涉及到用戶、設(shè)計(jì)人員、實(shí)施人員以及管理人員。假設(shè)這些與人員有關(guān)的平安問(wèn)題沒(méi)有得到很好的處理，任何一個(gè)信息系統(tǒng)都不能夠到達(dá)真正的平安。只需對(duì)人員進(jìn)展了正確完善的管理，才有能夠降低人為錯(cuò)誤、盜竊、詐騙和誤用設(shè)備的風(fēng)險(xiǎn)，從而減小了信息系統(tǒng)蒙受人員錯(cuò)誤呵斥損失的概率

37、。對(duì)人員平安的管理，主要涉及兩方面：對(duì)內(nèi)部人員的平安管理和對(duì)外部人員的平安管理。詳細(xì)包括：人員錄用、人員離崗、人員考核、平安認(rèn)識(shí)教育和培訓(xùn)和外部人員訪問(wèn)管理等五個(gè)控制點(diǎn)。.各級(jí)系統(tǒng)平安維護(hù)要求-人員平安管理控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)人員錄用*人員離崗*人員考核*安全意識(shí)教育和培訓(xùn)*外部人員訪問(wèn)管理*合計(jì)4555.各級(jí)系統(tǒng)平安維護(hù)要求-人員平安管理一級(jí)人員平安管理要求：對(duì)人員在機(jī)構(gòu)的任務(wù)周期即，錄用、日常培訓(xùn)、離崗的活動(dòng)提出根本的管理要求。同時(shí)，對(duì)外部人員訪問(wèn)要求得到授權(quán)和審批。二級(jí)人員平安管理要求：在控制點(diǎn)上添加了人員考核，對(duì)人員的錄用和離崗要求進(jìn)一步加強(qiáng)，過(guò)程性要求添加，平安教育培訓(xùn)更正規(guī)化，對(duì)

38、外部人員的訪問(wèn)活動(dòng)約束其訪問(wèn)行為。三級(jí)人員平安管理要求：在二級(jí)要求的根底上，加強(qiáng)了對(duì)關(guān)鍵崗位人員的錄用、離崗和考核要求，對(duì)人員的培訓(xùn)教育更具有針對(duì)性，外部人員訪問(wèn)要求更詳細(xì)。四級(jí)人員平安管理要求：在三級(jí)要求的根底上，提出了嚴(yán)密要求和關(guān)鍵區(qū)域制止外部人員訪問(wèn)的要求。.各級(jí)系統(tǒng)平安維護(hù)要求-系統(tǒng)建立管理信息系統(tǒng)的平安管理貫穿系統(tǒng)的整個(gè)生命周期，系統(tǒng)建立管理主要關(guān)注的是生命周期中的前三個(gè)階段即，初始、采購(gòu)、實(shí)施中各項(xiàng)平安管理活動(dòng)。系統(tǒng)建立管理分別從工程實(shí)施建立前、建立過(guò)程以及建立終了交付等三方面思索，詳細(xì)包括：系統(tǒng)定級(jí)、平安方案設(shè)計(jì)、產(chǎn)品采購(gòu)和運(yùn)用、自行軟件開發(fā)、外包軟件開發(fā)、工程實(shí)施、測(cè)實(shí)驗(yàn)收、系

39、統(tǒng)交付、系統(tǒng)備案、等級(jí)測(cè)評(píng)和平安效力商選擇等十一個(gè)控制點(diǎn)。.各級(jí)系統(tǒng)平安維護(hù)要求-系統(tǒng)建立管理控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)系統(tǒng)定級(jí)*安全方案設(shè)計(jì)*產(chǎn)品采購(gòu)和使用*自行軟件開發(fā)*外包軟件開發(fā)*工程實(shí)施*測(cè)試驗(yàn)收*系統(tǒng)交付*系統(tǒng)備案*等級(jí)測(cè)評(píng)*安全服務(wù)商選擇*合計(jì)991111.各級(jí)系統(tǒng)平安維護(hù)要求-系統(tǒng)建立管理一級(jí)系統(tǒng)建立管理要求：對(duì)系統(tǒng)建立整體過(guò)程所涉及的各項(xiàng)活動(dòng)進(jìn)展根本的規(guī)范，如，先定級(jí)，方案預(yù)備、平安產(chǎn)品按要求采購(gòu)，軟件開發(fā)自行、外包的根本平安，實(shí)施的根本管理，建立后的平安性驗(yàn)收、交付等都進(jìn)展要求。二級(jí)系統(tǒng)建立管理要求：在控制點(diǎn)上添加了系統(tǒng)備案和平安測(cè)評(píng)，添加了某些活動(dòng)的文檔化要求，如軟件開發(fā)管理制度，工程實(shí)施應(yīng)有實(shí)施方案要求等。同時(shí)，對(duì)平安方案、驗(yàn)收?qǐng)?bào)告等添加了審定要求，產(chǎn)品的采購(gòu)添加了密碼產(chǎn)品的采購(gòu)要求等。三級(jí)系統(tǒng)建立管理要求：對(duì)建立過(guò)程的各項(xiàng)活動(dòng)都要求進(jìn)展制