信息安全等級(jí)保護(hù)

1、信息安全等級(jí)保護(hù)Jenny was compiled in January 2021信息安全等級(jí)保護(hù)(二級(jí))信息安全等級(jí)保護(hù)(二級(jí))保要求。一、物理安全1、應(yīng)具有機(jī)房和辦公場(chǎng)地的設(shè)計(jì)/驗(yàn)收文檔（描述、建筑材料具有相應(yīng)的耐火等級(jí)說(shuō)明、接地防靜電措施）2、應(yīng)具有有來(lái)訪(fǎng)人員進(jìn)入機(jī)房的申請(qǐng)、審批記錄；來(lái)訪(fǎng)人員進(jìn)入機(jī)房的登記記錄3資質(zhì)，電子門(mén)禁系統(tǒng)運(yùn)行和維護(hù)記錄4、主要設(shè)備或設(shè)備的主要部件上應(yīng)設(shè)置明顯的不易除去的標(biāo)記5、介質(zhì)有分類(lèi)標(biāo)識(shí)；介質(zhì)分類(lèi)存放在介質(zhì)庫(kù)或檔案室內(nèi)，磁介質(zhì)、紙介質(zhì)等分類(lèi)存放6試和驗(yàn)收?qǐng)?bào)告；機(jī)房防盜報(bào)警系統(tǒng)的運(yùn)行記錄、定期檢查和維護(hù)記錄；7系統(tǒng)的運(yùn)行記錄、定期檢查和維護(hù)記錄8、應(yīng)具有機(jī)房

2、建筑的避雷裝置；通過(guò)驗(yàn)收或國(guó)家有關(guān)部門(mén)的技術(shù)檢測(cè)；9防雷裝置的檢測(cè)報(bào)告10、應(yīng)具有自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警、自動(dòng)滅火的自動(dòng)消防系統(tǒng)；自動(dòng)消防系統(tǒng)的運(yùn) 測(cè)合格的產(chǎn)品11、應(yīng)具有除濕裝置；空調(diào)機(jī)和加濕器；溫濕度定期檢查和維護(hù)記錄12運(yùn)行記錄、定期檢查和維護(hù)記錄13記錄14、應(yīng)具有短期備用電力供應(yīng)設(shè)備（UPS）；定期檢查和維護(hù)記錄15、應(yīng)具有冗余或并行的電力電纜線(xiàn)路（如雙路供電方式）16、應(yīng)具有備用供電系統(tǒng)（如備用發(fā)電機(jī)）；護(hù)記錄二、安全管理制度1、應(yīng)具有對(duì)重要管理操作的操作規(guī)程，如系統(tǒng)維護(hù)手冊(cè)和用戶(hù)操作規(guī)程2、應(yīng)具有安全管理制度的制定程序：3、應(yīng)具有專(zhuān)門(mén)的部門(mén)或人員負(fù)責(zé)安全管理制度的制定（并進(jìn)行版本

3、控制）4、應(yīng)對(duì)制定的安全管理制度進(jìn)行論證和審定，論證和審定方式如何（會(huì)、函審、內(nèi)部審核等），應(yīng)具有管理制度評(píng)審記錄5、應(yīng)具有安全管理制度的收發(fā)登記記錄，收發(fā)應(yīng)通過(guò)正式、有效的方式（如正式發(fā)文、領(lǐng)導(dǎo)簽署和單位蓋章等）安全管理制度應(yīng)注明發(fā)布范圍，并對(duì)收發(fā)文進(jìn)行登記6期多長(zhǎng)。（安全管理制度體系的評(píng)審記錄）7、系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時(shí)應(yīng)對(duì)安全管理制度進(jìn)行檢查，對(duì)需要改進(jìn)的制度進(jìn)行修訂。（修訂記錄）三、安全管理機(jī)構(gòu)1、應(yīng)設(shè)立信息安全管理工作的職能部門(mén)2、應(yīng)設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人3、應(yīng)設(shè)立機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等重

4、要崗位（確，各司其職），數(shù)量情況（管理人員名單、崗位與人員對(duì)應(yīng)關(guān)系表）4、安全管理員應(yīng)是專(zhuān)職人員5、關(guān)鍵事物需要配備 2 人或 2 人以上共同管理，人員具體配備情況如何。6、應(yīng)設(shè)立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組（領(lǐng)導(dǎo)委任或授權(quán)的人員擔(dān)任）7、應(yīng)對(duì)重要信息系統(tǒng)活動(dòng)進(jìn)行審批（入、重要管理制度的制定和發(fā)布、人員的配備和培訓(xùn)、產(chǎn)品的采購(gòu)、外部人員的訪(fǎng)問(wèn)等），審批部門(mén)是何部門(mén)，審批人是何人。審批程序：8、應(yīng)與其它部門(mén)之間及內(nèi)部各部門(mén)管理人員定期進(jìn)行溝通（安全管理委員會(huì)應(yīng)定期召開(kāi)會(huì)議）9錄，定期：10、信息安全管理委員會(huì)或領(lǐng)導(dǎo)小組安全管理工作執(zhí)行情況的文件或工作記錄（議記錄/紀(jì)要，信息安全工作決

5、策文檔等）11、應(yīng)與公安機(jī)關(guān)、電信公司和兄弟單位等的溝通合作（外聯(lián)單位聯(lián)系列表）12、應(yīng)與供應(yīng)商、業(yè)界專(zhuān)家、專(zhuān)業(yè)的安全公司、安全組織等建立溝通、合作機(jī)制。13安全專(zhuān)家作為常年的安全顧問(wèn)（具有安全顧問(wèn)名單或者聘請(qǐng)安全顧問(wèn)的證明文件、具有安 全顧問(wèn)參與評(píng)審的文檔或記錄）14、應(yīng)組織人員定期對(duì)信息系統(tǒng)進(jìn)行安全檢查（行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況）15、應(yīng)定期進(jìn)行全面安全檢查（行情況等方面、具有安全檢查表格，安全檢查報(bào)告，檢查結(jié)果通告記錄）四、人員安全管理1、何部門(mén)/何人負(fù)責(zé)安全管理和技術(shù)人員的錄用工作（錄用過(guò)程）2進(jìn)行考核，技能考核文檔或記錄3、應(yīng)與錄用后的技術(shù)人員簽署保密協(xié)議（任、協(xié)議的有效期限和責(zé)

6、任人的簽字等內(nèi)容）4署崗位安全協(xié)議。5、應(yīng)及時(shí)終止離崗人員的所有訪(fǎng)問(wèn)權(quán)限（離崗人員所有訪(fǎng)問(wèn)權(quán)限終止的記錄）6等（交還身份證件和設(shè)備等的登記記錄）7離開(kāi)（具有按照離崗程序辦理調(diào)離手續(xù)的記錄，調(diào)離人員的簽字）8求包含安全知識(shí)、安全技能等。9操作行為和社會(huì)關(guān)系等。10、應(yīng)對(duì)各類(lèi)人員（普通用戶(hù)、運(yùn)維人員、單位領(lǐng)導(dǎo)等）安全技術(shù)培訓(xùn)。11和培訓(xùn)（安全教育和培訓(xùn)的結(jié)果記錄，記錄應(yīng)與培訓(xùn)計(jì)劃一致）12、外部人員進(jìn)入條件（對(duì)哪些重要區(qū)域的訪(fǎng)問(wèn)須提出書(shū)面申請(qǐng)批準(zhǔn)后方可進(jìn)入外部人員進(jìn)入的訪(fǎng)問(wèn)控制（由專(zhuān)人全程陪同或監(jiān)督等）13、應(yīng)具有外部人員訪(fǎng)問(wèn)重要區(qū)域的書(shū)面申請(qǐng)14、應(yīng)具有外部人員訪(fǎng)問(wèn)重要區(qū)域的登記記錄（進(jìn)入時(shí)間、

7、離開(kāi)時(shí)間、訪(fǎng)問(wèn)區(qū)域、訪(fǎng)問(wèn)設(shè)備或信息及陪同人等）五、系統(tǒng)建設(shè)管理1、應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí)（等級(jí)）2、應(yīng)具有系統(tǒng)建設(shè)/整改方案3、應(yīng)授權(quán)專(zhuān)門(mén)的部門(mén)對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，由何部門(mén)/何人負(fù)責(zé)4、應(yīng)具有系統(tǒng)的安全建設(shè)工作計(jì)劃（安全建設(shè)計(jì)劃）5策略等相關(guān)配套文件進(jìn)行論證和審定（配套文件的論證評(píng)審記錄或文檔）6整和修訂7方案等相關(guān)配套文件的維護(hù)記錄或修訂版本8、應(yīng)按照國(guó)家的相關(guān)規(guī)定進(jìn)行采購(gòu)和使用系統(tǒng)信息安全產(chǎn)品9、安全產(chǎn)品的相關(guān)憑證，如銷(xiāo)售許可等，應(yīng)使用符合國(guó)家有關(guān)規(guī)定產(chǎn)品10、應(yīng)具有專(zhuān)門(mén)的部門(mén)負(fù)責(zé)產(chǎn)品的采購(gòu)11單，是否定期審定和更新候選產(chǎn)品名單12、應(yīng)具有產(chǎn)品選型測(cè)試結(jié)果記錄和候

8、選產(chǎn)品名單及更新記錄（檔）13或操作手冊(cè)14、對(duì)程序資源庫(kù)的修改、更新、發(fā)布應(yīng)進(jìn)行授權(quán)和批準(zhǔn)15、應(yīng)具有程序資源庫(kù)的修改、更新、發(fā)布文檔或記錄16、軟件交付前應(yīng)依據(jù)開(kāi)發(fā)協(xié)議的技術(shù)指標(biāo)對(duì)軟件功能和性能等進(jìn)行驗(yàn)收檢測(cè)17、軟件安裝之前應(yīng)檢測(cè)軟件中的惡意代碼（該軟件包的惡意代碼檢測(cè)報(bào)告），工具是否是第三方的商業(yè)產(chǎn)品18、應(yīng)具有軟件設(shè)計(jì)的相關(guān)文檔和使用指南19、應(yīng)具有需求分析說(shuō)明書(shū)、軟件設(shè)計(jì)說(shuō)明書(shū)、軟件操作手冊(cè)等開(kāi)發(fā)文檔20控制21告，工程實(shí)施方案22系統(tǒng)進(jìn)行獨(dú)立的安全性測(cè)試（第三方測(cè)試機(jī)構(gòu)出示的系統(tǒng)安全性測(cè)試驗(yàn)收?qǐng)?bào)告）23、應(yīng)具有工程測(cè)試驗(yàn)收方案（測(cè)試驗(yàn)收方案與設(shè)計(jì)方案或合同要求內(nèi)容一致）24、應(yīng)具

9、有測(cè)試驗(yàn)收?qǐng)?bào)告25、應(yīng)指定專(zhuān)門(mén)部門(mén)負(fù)責(zé)測(cè)試驗(yàn)收工作（具有對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定的意見(jiàn)）26、根據(jù)交付清單對(duì)所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)（系統(tǒng)交付清單）27、應(yīng)具有系統(tǒng)交付時(shí)的技術(shù)培訓(xùn)記錄28、應(yīng)具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用戶(hù)進(jìn)行系統(tǒng)運(yùn)維的文檔（務(wù)器操作規(guī)程書(shū)）以及系統(tǒng)培訓(xùn)手冊(cè)等文檔。29、應(yīng)指定部門(mén)負(fù)責(zé)系統(tǒng)交付工作30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開(kāi)發(fā)商、系統(tǒng)集成商、系統(tǒng)運(yùn)維商和等級(jí)測(cè)評(píng)機(jī)構(gòu)等 相關(guān)安全服務(wù)商簽訂的協(xié)議（和責(zé)任人的簽字等內(nèi)容31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書(shū)11單，是否定期審定和更新候選產(chǎn)品名單

10、12、應(yīng)具有產(chǎn)品選型測(cè)試結(jié)果記錄和候選產(chǎn)品名單及更新記錄（檔）13或操作手冊(cè)14、對(duì)程序資源庫(kù)的修改、更新、發(fā)布應(yīng)進(jìn)行授權(quán)和批準(zhǔn)15、應(yīng)具有程序資源庫(kù)的修改、更新、發(fā)布文檔或記錄16、軟件交付前應(yīng)依據(jù)開(kāi)發(fā)協(xié)議的技術(shù)指標(biāo)對(duì)軟件功能和性能等進(jìn)行驗(yàn)收檢測(cè)17、軟件安裝之前應(yīng)檢測(cè)軟件中的惡意代碼（該軟件包的惡意代碼檢測(cè)報(bào)告），工具是否是第三方的商業(yè)產(chǎn)品18、應(yīng)具有軟件設(shè)計(jì)的相關(guān)文檔和使用指南19、應(yīng)具有需求分析說(shuō)明書(shū)、軟件設(shè)計(jì)說(shuō)明書(shū)、軟件操作手冊(cè)等開(kāi)發(fā)文檔20控制21告，工程實(shí)施方案22系統(tǒng)進(jìn)行獨(dú)立的安全性測(cè)試（第三方測(cè)試機(jī)構(gòu)出示的系統(tǒng)安全性測(cè)試驗(yàn)收?qǐng)?bào)告）23、應(yīng)具有工程測(cè)試驗(yàn)收方案（測(cè)試驗(yàn)收方案與設(shè)

11、計(jì)方案或合同要求內(nèi)容一致）24、應(yīng)具有測(cè)試驗(yàn)收?qǐng)?bào)告25、應(yīng)指定專(zhuān)門(mén)部門(mén)負(fù)責(zé)測(cè)試驗(yàn)收工作（具有對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定的意見(jiàn)）26、根據(jù)交付清單對(duì)所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)（系統(tǒng)交付清單）27、應(yīng)具有系統(tǒng)交付時(shí)的技術(shù)培訓(xùn)記錄28、應(yīng)具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用戶(hù)進(jìn)行系統(tǒng)運(yùn)維的文檔（務(wù)器操作規(guī)程書(shū)）以及系統(tǒng)培訓(xùn)手冊(cè)等文檔。29、應(yīng)指定部門(mén)負(fù)責(zé)系統(tǒng)交付工作30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開(kāi)發(fā)商、系統(tǒng)集成商、系統(tǒng)運(yùn)維商和等級(jí)測(cè)評(píng)機(jī)構(gòu)等 相關(guān)安全服務(wù)商簽訂的協(xié)議（和責(zé)任人的簽字等內(nèi)容31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)32六、系統(tǒng)運(yùn)維管理1、應(yīng)指定專(zhuān)人或部門(mén)對(duì)機(jī)房的基本

12、設(shè)施（如空調(diào)、供配電設(shè)備等）由何部門(mén)/何人負(fù)責(zé)。2記錄3、應(yīng)指定部門(mén)和人員負(fù)責(zé)機(jī)房安全管理工作4、應(yīng)對(duì)辦公環(huán)境保密性進(jìn)行管理（態(tài)、桌面上沒(méi)有包含敏感信息的紙檔文件）5、應(yīng)具有資產(chǎn)清單（覆蓋資產(chǎn)責(zé)任人、所屬級(jí)別、所處位置、所處部門(mén)等方面）6、應(yīng)指定資產(chǎn)管理的責(zé)任部門(mén)或人員7、應(yīng)依據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)8、介質(zhì)存放于何種環(huán)境中，應(yīng)對(duì)存放環(huán)境實(shí)施專(zhuān)人管理（介質(zhì)存放在安全的環(huán)境（防潮、防盜、防火、防磁，專(zhuān)用存儲(chǔ)空間）9、應(yīng)具有介質(zhì)使用管理記錄，應(yīng)記錄介質(zhì)歸檔和使用等情況（記錄）10、對(duì)介質(zhì)的物理傳輸過(guò)程應(yīng)要求選擇可靠傳輸人員、嚴(yán)格介質(zhì)的打包（包裝置）、選擇安全的物理傳輸途徑、雙方在場(chǎng)交付等環(huán)節(jié)

13、的控制11、應(yīng)對(duì)介質(zhì)的使用情況進(jìn)行登記管理，并定期盤(pán)點(diǎn)（介質(zhì)定期盤(pán)點(diǎn)的記錄）12、對(duì)送出維修或銷(xiāo)毀的介質(zhì)如何管理，銷(xiāo)毀前應(yīng)對(duì)數(shù)據(jù)進(jìn)行凈化處理。（對(duì)帶出工 導(dǎo)批準(zhǔn)）（送修記錄、帶出記錄、銷(xiāo)毀記錄）13、應(yīng)對(duì)某些重要介質(zhì)實(shí)行異地存儲(chǔ)，異地存儲(chǔ)環(huán)境是否與本地環(huán)境相同（盜、防火、防磁，專(zhuān)用存儲(chǔ)空間）14、介質(zhì)上應(yīng)具有分類(lèi)的標(biāo)識(shí)或標(biāo)簽15、應(yīng)對(duì)各類(lèi)設(shè)施、設(shè)備指定專(zhuān)人或?qū)ｉT(mén)部門(mén)進(jìn)行定期維護(hù)。16、應(yīng)具有設(shè)備操作手冊(cè)17、應(yīng)對(duì)帶離機(jī)房的信息處理設(shè)備經(jīng)過(guò)審批流程，由何人審批（審批記錄）18、應(yīng)監(jiān)控主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的運(yùn)行狀況等19的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶(hù)行為等進(jìn)行監(jiān)測(cè)和報(bào)警20、應(yīng)具有日常運(yùn)維的監(jiān)控日

14、志記錄和運(yùn)維交接日志記錄21、應(yīng)定期對(duì)監(jiān)控記錄進(jìn)行分析、評(píng)審22、應(yīng)具有異常現(xiàn)象的現(xiàn)場(chǎng)處理記錄和事后相關(guān)的分析報(bào)告23進(jìn)行集中管理24、應(yīng)指定專(zhuān)人負(fù)責(zé)維護(hù)網(wǎng)絡(luò)安全管理工作25、應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行過(guò)升級(jí)，更新前應(yīng)對(duì)現(xiàn)有的重要文件是否進(jìn)行備份（運(yùn)維維護(hù)工作記錄）26、應(yīng)對(duì)網(wǎng)絡(luò)進(jìn)行過(guò)漏洞掃描，并對(duì)發(fā)現(xiàn)的漏洞進(jìn)行及時(shí)修補(bǔ)。27、對(duì)設(shè)備的安全配置應(yīng)遵循最小服務(wù)原則，應(yīng)對(duì)配置文件進(jìn)行備份（配置數(shù)據(jù)的離線(xiàn)備份）28、系統(tǒng)網(wǎng)絡(luò)的外聯(lián)種類(lèi)（互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級(jí)部門(mén)網(wǎng)絡(luò)等）權(quán)與批準(zhǔn)，由何人/何部門(mén)批準(zhǔn)。應(yīng)定期檢查違規(guī)聯(lián)網(wǎng)的行為。29、對(duì)便攜式和移動(dòng)式設(shè)備的網(wǎng)絡(luò)接入應(yīng)進(jìn)行限制管理30、應(yīng)具有內(nèi)部網(wǎng)絡(luò)外聯(lián)的授權(quán)

15、批準(zhǔn)書(shū)，應(yīng)具有網(wǎng)絡(luò)違規(guī)行為（如撥號(hào)上網(wǎng)等）查手段和工具。31、在安裝系統(tǒng)補(bǔ)丁程序前應(yīng)經(jīng)過(guò)測(cè)試，并對(duì)重要文件進(jìn)行備份。32、應(yīng)有補(bǔ)丁測(cè)試記錄和系統(tǒng)補(bǔ)丁安裝操作記錄33、應(yīng)對(duì)系統(tǒng)管理員用戶(hù)進(jìn)行分類(lèi)（全審計(jì)權(quán)限分離等）34、審計(jì)員應(yīng)定期對(duì)系統(tǒng)審計(jì)日志進(jìn)行分析（析報(bào)告）35、應(yīng)對(duì)員工進(jìn)行基本惡意代碼防范意識(shí)的教育，如告知應(yīng)及時(shí)升級(jí)軟件版本（工的惡意代碼防范教育的相關(guān)培訓(xùn)文檔）36、應(yīng)指定專(zhuān)人對(duì)惡意代碼進(jìn)行檢測(cè)，并保存記錄。37、應(yīng)具有對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測(cè)的記錄38、應(yīng)對(duì)惡意代碼庫(kù)的升級(jí)情況進(jìn)行記錄（代碼庫(kù)的升級(jí)記錄），上截獲的惡意代碼是否進(jìn)行分析并匯總上報(bào)。是否出現(xiàn)過(guò)大規(guī)模的病毒事件，如何處理39、應(yīng)具有惡意代碼檢測(cè)記錄、惡意代碼庫(kù)升級(jí)記錄和分析報(bào)告40、應(yīng)具有變更方案評(píng)審記錄和變更過(guò)程記錄文檔。