信息系統(tǒng)安全等級保護基本要求規(guī)范

GB/TXXXX–XXXX

目次前言...............................................................................IX引言................................................................................X1范圍................................................................................12規(guī)范性引用文件......................................................................13術(shù)語和定義..........................................................................14信息系統(tǒng)安全等級保護歸納............................................................14.1信息系統(tǒng)安全保護等級..............................................................14.2不相同樣級的安全保護能力............................................................14.3基本技術(shù)要求和基本管理要求........................................................24.4基本技術(shù)要求的三各種類............................................................25第一級基本要求......................................................................25.1技術(shù)要求..........................................................................2物理安全........................................................................2物理接見控制（G1）............................................................2防盜竊和防破壞（G1）..........................................................2防雷擊（G1）..................................................................3防火（G1）....................................................................3防水和防潮（G1）..............................................................3溫濕度控制（G1）..............................................................3電力供應(yīng)（A1）................................................................3網(wǎng)絡(luò)安全........................................................................3結(jié)構(gòu)安全（G1）................................................................3接見控制（G1）................................................................3網(wǎng)絡(luò)設(shè)施防范（G1）............................................................3主機安全........................................................................3身份鑒別（S1）................................................................3接見控制（S1）................................................................3入侵防范（G1）................................................................4惡意代碼防范（G1）............................................................4應(yīng)用安全........................................................................4身份鑒別（S1）................................................................4接見控制（S1）................................................................4通信圓滿性（S1）..............................................................4軟件容錯（A1）................................................................4數(shù)據(jù)安全及備份恢復(fù)..............................................................4數(shù)據(jù)圓滿性（S1）..............................................................4備份和恢復(fù)（A1）..............................................................45.2管理要求..........................................................................4安全管理制度....................................................................4管理制度（G1）................................................................4擬訂和宣布（G1）..............................................................4安全管理機構(gòu)....................................................................4I

GB/TXXXX–XXXX

崗位設(shè)置（G1）4

人員裝備（G1）4

授權(quán)和審批（G1）4

溝通和合作（G1）5

人員安全管理5

人員錄取（G1）5

人員離崗（G1）5

安全意識教育和培訓(xùn)（G1）5

外面人員接見管理（G1）5

系統(tǒng)建設(shè)管理5

系統(tǒng)定級（G1）5

安全方案設(shè)計（G1）5

產(chǎn)品采買和使用（G1）5

自行軟件開發(fā)（G1）5

外包軟件開發(fā)（G1）5

工程推行（G1）6

測試查收（G1）6

系統(tǒng)交付（G1）6

安全服務(wù)商選擇（G1）6

系統(tǒng)運維管理6

環(huán)境管理（G1）6

財富管理（G1）6

介質(zhì)管理（G1）6

設(shè)施管理（G1）6

網(wǎng)絡(luò)安全管理（G1）7

系統(tǒng)安全管理（G1）7

惡意代碼防范管理（G1）7

備份與恢復(fù)管理（G1）7

安全事件辦理（G1）7

6第二級基本要求7

6.1技術(shù)要求7

物理安全7

物理地址的選擇（G2）7

物理接見控制（G2）7

防盜竊和防破壞（G2）7

防雷擊（G2）8

防火（G2）8

防水和防潮（G2）8

防靜電（G2）8

溫濕度控制（G2）8

電力供應(yīng)（A2）8

電磁防范（S2）8

網(wǎng)絡(luò)安全8

結(jié)構(gòu)安全（G2）8

II

GB/TXXXX–XXXX

接見控制（G2）8

安全審計（G2）9

界線圓滿性檢查（S2）9

入侵防范（G2）9

網(wǎng)絡(luò)設(shè)施防范（G2）9

主機安全9

身份鑒別（S2）9

接見控制（S2）9

安全審計（G2）9

入侵防范（G2）10

惡意代碼防范（G2）10

資源控制（A2）10

應(yīng)用安全10

身份鑒別（S2）10

接見控制（S2）10

安全審計（G2）10

通信圓滿性（S2）10

通信保密性（S2）10

軟件容錯（A2）11

資源控制（A2）11

數(shù)據(jù)安全及備份恢復(fù)11

數(shù)據(jù)圓滿性（S2）11

數(shù)據(jù)保密性（S2）11

備份和恢復(fù)（A2）11

6.2管理要求11

安全管理制度11

管理制度（G2）11

擬訂和宣布（G2）11

評審和校正（G2）11

安全管理機構(gòu)11

崗位設(shè)置（G2）11

人員裝備（G2）12

授權(quán)和審批（G2）12

溝通和合作（G2）12

審查和檢查（G2）12

人員安全管理12

人員錄?。℅2）12

人員離崗（G2）12

人員核查（G2）12

安全意識教育和培訓(xùn)（G2）12

外面人員接見管理（G2）12

系統(tǒng)建設(shè)管理13

系統(tǒng)定級（G2）13

安全方案設(shè)計（G2）13

III

GB/TXXXX–XXXX產(chǎn)品采買和使用（G2）.........................................................13自行軟件開發(fā)（G2）...........................................................13外包軟件開發(fā)（G2）...........................................................13工程推行（G2）...............................................................13測試查收（G2）...............................................................13系統(tǒng)交付（G2）...............................................................14安全服務(wù)商選擇（G2）.........................................................14系統(tǒng)運維管理...................................................................14環(huán)境管理（G2）...............................................................14財富管理（G2）...............................................................14介質(zhì)管理（G2）...............................................................14設(shè)施管理（G2）...............................................................14網(wǎng)絡(luò)安全管理（G2）...........................................................15系統(tǒng)安全管理（G2）...........................................................15惡意代碼防范管理（G2）.......................................................15密碼管理（G2）...............................................................15更正管理（G2）...............................................................15備份與恢復(fù)管理（G2）........................................................16安全事件辦理（G2）..........................................................16應(yīng)急方案管理（G2）..........................................................167第三級基本要求.....................................................................167.1技術(shù)要求.........................................................................16物理安全.......................................................................16物理地址的選擇（G3）.........................................................16物理接見控制（G3）...........................................................16防盜竊和防破壞（G3）.........................................................16防雷擊（G3）.................................................................17防火（G3）...................................................................17防水和防潮（G3）.............................................................17防靜電（G3）.................................................................17溫濕度控制（G3）.............................................................17電力供應(yīng)（A3）...............................................................17電磁防范（S3）..............................................................17網(wǎng)絡(luò)安全.......................................................................18結(jié)構(gòu)安全（G3）...............................................................18接見控制（G3）...............................................................18安全審計（G3）...............................................................18界線圓滿性檢查（S3）.........................................................18入侵防范（G3）...............................................................19惡意代碼防范（G3）...........................................................19網(wǎng)絡(luò)設(shè)施防范（G3）...........................................................19主機安全.......................................................................19身份鑒別（S3）...............................................................19接見控制（S3）...............................................................19IV

GB/TXXXX–XXXX

安全審計（G3）20

節(jié)余信息保護（S3）20

入侵防范（G3）20

惡意代碼防范（G3）20

資源控制（A3）20

應(yīng)用安全20

身份鑒別（S3）21

接見控制（S3）21

安全審計（G3）21

節(jié)余信息保護（S3）21

通信圓滿性（S3）21

通信保密性（S3）21

抗狡辯（G3）21

軟件容錯（A3）22

資源控制（A3）22

數(shù)據(jù)安全及備份恢復(fù)22

數(shù)據(jù)圓滿性（S3）22

數(shù)據(jù)保密性（S3）22

備份和恢復(fù)（A3）22

7.2管理要求22

安全管理制度22

管理制度（G3）22

擬訂和宣布（G3）23

評審和校正（G3）23

安全管理機構(gòu)23

崗位設(shè)置（G3）23

人員裝備（G3）23

授權(quán)和審批（G3）23

溝通和合作（G3）24

審查和檢查（G3）24

人員安全管理24

人員錄?。℅3）24

人員離崗（G3）24

人員核查（G3）24

安全意識教育和培訓(xùn)（G3）24

外面人員接見管理（G3）25

系統(tǒng)建設(shè)管理25

系統(tǒng)定級（G3）25

安全方案設(shè)計（G3）25

產(chǎn)品采買和使用（G3）25

自行軟件開發(fā)（G3）25

外包軟件開發(fā)（G3）26

工程推行（G3）26

測試查收（G3）26

V

GB/TXXXX–XXXX系統(tǒng)交付（G3）...............................................................26系統(tǒng)備案（G3）...............................................................26等級測評（G3）..............................................................27安全服務(wù)商選擇（G3）........................................................27系統(tǒng)運維管理...................................................................27環(huán)境管理（G3）...............................................................27財富管理（G3）...............................................................27介質(zhì)管理（G3）...............................................................27設(shè)施管理（G3）...............................................................28監(jiān)控管理和安全管理中心（G3）.................................................28網(wǎng)絡(luò)安全管理（G3）...........................................................28系統(tǒng)安全管理（G3）...........................................................29惡意代碼防范管理（G3）.......................................................29密碼管理（G3）...............................................................29更正管理（G3）..............................................................29備份與恢復(fù)管理（G3）........................................................29安全事件辦理（G3）..........................................................30應(yīng)急方案管理（G3）..........................................................308第四級基本要求.....................................................................308.1技術(shù)要求.........................................................................30物理安全.......................................................................30物理地址的選擇（G4）.........................................................30物理接見控制（G4）...........................................................30防盜竊和防破壞（G4）.........................................................31防雷擊（G4）.................................................................31防火（G4）...................................................................31防水和防潮（G4）.............................................................31防靜電（G4）.................................................................31溫濕度控制（G4）.............................................................31電力供應(yīng)（A4）...............................................................31電磁防范（S4）..............................................................32網(wǎng)絡(luò)安全.......................................................................32結(jié)構(gòu)安全（G4）...............................................................32接見控制（G4）...............................................................32安全審計（G4）...............................................................32界線圓滿性檢查（S4）.........................................................33入侵防范（G4）...............................................................33惡意代碼防范（G4）...........................................................33網(wǎng)絡(luò)設(shè)施防范（G4）...........................................................33主機安全.......................................................................33身份鑒別（S4）...............................................................33安全標記（S4）...............................................................34接見控制（S4）...............................................................34可信路徑（S4）...............................................................34VI

GB/TXXXX–XXXX

安全審計（G4）...............................................................34節(jié)余信息保護（S4）...........................................................34入侵防范（G4）...............................................................34惡意代碼防范（G4）...........................................................35資源控制（A4）...............................................................35應(yīng)用安全.......................................................................35身份鑒別（S4）...............................................................35安全標記（S4）...............................................................35接見控制（S4）...............................................................35可信路徑（S4）...............................................................35安全審計（G4）...............................................................36節(jié)余信息保護（S4）...........................................................36通信圓滿性（S4）.............................................................36通信保密性（S4）.............................................................36抗狡辯（G4）.................................................................36軟件容錯（A4）..............................................................36資源控制（A4）..............................................................36數(shù)據(jù)安全及備份恢復(fù).............................................................37數(shù)據(jù)圓滿性（S4）.............................................................37數(shù)據(jù)保密性（S4）.............................................................37備份和恢復(fù)（A4）.............................................................378.2管理要求.........................................................................37安全管理制度...................................................................37管理制度（G4）...............................................................37擬訂和宣布（G4）.............................................................37評審和校正（G4）.............................................................38安全管理機構(gòu)...................................................................38崗位設(shè)置（G4）...............................................................38人員裝備（G4）...............................................................38授權(quán)和審批（G4）.............................................................38溝通和合作（G4）.............................................................38審查和檢查（G4）.............................................................39人員安全管理...................................................................39人員錄?。℅4）...............................................................39人員離崗（G4）...............................................................39人員核查（G4）...............................................................39安全意識教育和培訓(xùn)（G4）.....................................................39外面人員接見管理（G4）.......................................................40系統(tǒng)建設(shè)管理...................................................................40系統(tǒng)定級（G4）...............................................................40安全方案設(shè)計（G4）...........................................................40產(chǎn)品采買和使用（G4）.........................................................40自行軟件開發(fā)（G4）...........................................................40外包軟件開發(fā)（G4）...........................................................41VII

GB/TXXXX–XXXX工程推行（G4）...............................................................41測試查收（G4）...............................................................41系統(tǒng)交付（G4）...............................................................41系統(tǒng)備案（G4）...............................................................41等級測評（G4）..............................................................42安全服務(wù)商選擇（G4）........................................................42系統(tǒng)運維管理...................................................................42環(huán)境管理（G4）...............................................................42財富管理（G4）...............................................................42介質(zhì)管理（G4）...............................................................42設(shè)施管理（G4）...............................................................43監(jiān)控管理和安全管理中心（G4）.................................................43網(wǎng)絡(luò)安全管理（G4）...........................................................43系統(tǒng)安全管理（G4）...........................................................44惡意代碼防范管理（G4）.......................................................44密碼管理（G4）...............................................................44更正管理（G4）..............................................................44備份與恢復(fù)管理（G4）........................................................45安全事件辦理（G4）..........................................................45應(yīng)急方案管理（G4）..........................................................459第五級基本要求.....................................................................46

附錄A（規(guī)范性附錄）關(guān)于信息系統(tǒng)整體安全保護能力的要求.................錯誤!不決義書簽。

附錄B（規(guī)范性附錄）基本安全要求的選擇和使用...........................錯誤!不決義書簽。

參照文件.............................................................................51

VIII

GB/TXXXX–XXXX

序言

本標準的附錄A和附錄B是規(guī)范性附錄。

本標準由公安部和全國信息安全標準化技術(shù)委員會提出。

本標準由全國信息安全標準化技術(shù)委員會歸口。

本標準起草單位：公安部信息安全等級保護評估中心。

本標準主要起草人：馬力、任衛(wèi)紅、李明、袁靜、謝朝海、曲潔、李升、陳雪秀、朱建平、黃洪、劉靜、羅崢、畢馬寧。

IX

GB/TXXXX–XXXX

序言

依照《中華人民共和國計算機信息系統(tǒng)安全保護條例》（國務(wù)院147命令）、《國家信息化領(lǐng)導(dǎo)小組

關(guān)于加強信息安全保障工作的建議》（中辦發(fā)[2003]27號）、《關(guān)于信息安全等級保護工作的推行建議》

（公通字[2004]66號）和《信息安全等級保護管理方法》（公通字[2007]43號），擬訂本標準。

本標準是信息安全等級保護相關(guān)系列標準之一。

與本標準相關(guān)的系列標準包括：

——GB/TAAAA-AAAA信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南；——GB/TCCCC-CCCC信息安全技術(shù)信息系統(tǒng)安全等級保護推行指南。

本標準與GB17859-1999、GB/T20269-2006、GB/T20270-2006、GB/T20271-2006等標準共同構(gòu)

成了信息系統(tǒng)安全等級保護的相關(guān)配套標準。其中GB17859-1999是基礎(chǔ)性標準，本標準、

GB/T20269-2006、GB/T20270-2006、GB/T20271-2006等是在GB17859-1999基礎(chǔ)上的進一步細化和擴展。

本標準在GB17859-1999、GB/T20269-2006、GB/T20270-2006、GB/T20271-2006等技術(shù)類標準的基

礎(chǔ)上，依照現(xiàn)有技術(shù)的發(fā)展水平，提出和規(guī)定了不相同安全保護等級信息系統(tǒng)的最低保護要求，即基本安

全要求，基本安全要求包括基本技術(shù)要求和基本管理要求，本標準適用于指導(dǎo)不相同安全保護等級信息系

統(tǒng)的安全建設(shè)和督查管理。

在本標準文本中，黑體字表示較低等級中沒有出現(xiàn)或加強的要求。

X

GB/TXXXX–XXXX

信息系統(tǒng)安全等級保護基本要求

1范圍

本標準規(guī)定了不相同安全保護等級信息系統(tǒng)的基本保護要求，包括基本技術(shù)要求和基本管理要求，適

用于指導(dǎo)分等級的信息系統(tǒng)的安全建設(shè)和督查管理。

2規(guī)范性引用文件

以下文件中的條款經(jīng)過在本標準的引用而成為本標準的條款。凡是注日期的引用文件，其隨后所有

的更正單（不包括勘誤的內(nèi)容）或校正版均不適用于本標準，可是，激勵依照本標準完成協(xié)議的各方研

究可否使用這些文件的最新版本。凡是不注明日期的引用文件，其最新版本適用于本標準。

GB/T5271.8信息技術(shù)詞匯第8部分：安全

GB17859-1999計算機信息系統(tǒng)安全保護等級劃分準則

GB/TAAAA-AAAA信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南

術(shù)語和定義

GB/T5271.8和GB17859-1999確立的以及以下術(shù)語和定義適用于本標準。

3.1

安全保護能力securityprotectionability

系統(tǒng)能夠抵擋威脅、發(fā)現(xiàn)安全事件以及在系統(tǒng)碰到損害后能夠恢復(fù)先前狀態(tài)等的程度。

信息系統(tǒng)安全等級保護歸納

4.1信息系統(tǒng)安全保護等級

信息系統(tǒng)依照其在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，碰到破壞后對國家安全、社會秩

序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等，由低到高劃分為五級，五級定義見

GB/TAAAA-AAAA。

4.2不相同樣級的安全保護能力

不相同樣級的信息系統(tǒng)應(yīng)具備的基本安全保護能力以下：

第一級安全保護能力：應(yīng)能夠防范系統(tǒng)免受來自個人的、擁有很少資源的威脅源提議的惡意攻擊、

一般的自然災(zāi)禍、以及其他相當危害程度的威脅所造成的重點資源損害，在系統(tǒng)碰到損害后，能夠恢復(fù)

部分功能。

第二級安全保護能力：應(yīng)能夠防范系統(tǒng)免受來自外面小型組織的、擁有少量資源的威脅源提議的惡

意攻擊、一般的自然災(zāi)禍、以及其他相當危害程度的威脅所造成的重要資源損害，能夠發(fā)現(xiàn)重要的安全

漏洞和安全事件，在系統(tǒng)碰到損害后，能夠在一段時間內(nèi)恢復(fù)部分功能。

第三級安全保護能力：應(yīng)能夠在一致安全策略下防范系統(tǒng)免受來自外面有組織的集體、擁有較為豐

富資源的威脅源提議的惡意攻擊、較為嚴重的自然災(zāi)禍、以及其他相當危害程度的威脅所造成的主要資

源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)碰到損害后，能夠較快恢復(fù)絕大多數(shù)功能。

1

GB/TXXXX–XXXX第四級安全保護能力：應(yīng)能夠在一致安全策略下防范系統(tǒng)免受來自國家級其他、敵對組織的、擁有豐富資源的威脅源提議的惡意攻擊、嚴重的自然災(zāi)禍、以及其他相當危害程度的威脅所造成的資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)碰到損害后，能夠迅速恢復(fù)所有功能。第五級安全保護能力：（略）。4.3基本技術(shù)要求和基本管理要求信息系統(tǒng)安全等級保護應(yīng)依照信息系統(tǒng)的安全保護等級情況保證它們擁有相應(yīng)等級的基本安全保護能力，不相同安全保護等級的信息系統(tǒng)要求擁有不相同的安全保護能力?；景踩笫轻槍Σ幌嗤踩Ｗo等級信息系統(tǒng)應(yīng)該擁有的基本安全保護能力提出的安全要求，根據(jù)實現(xiàn)方式的不相同，基本安全要求分為基本技術(shù)要求和基本管理要求兩大類。技術(shù)類安全要求與信息系統(tǒng)供應(yīng)的技術(shù)安全系統(tǒng)相關(guān)，主要經(jīng)過在信息系統(tǒng)中部署軟硬件并正確的配置其安全功能來實現(xiàn)；管理類安全要求與信息系統(tǒng)中各種角色參加的活動相關(guān)，主要經(jīng)過控制各種角色的活動，從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來實現(xiàn)?；炯夹g(shù)要求從物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全幾個層面提出；基本管理要求從安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理幾個方面提出，基本技術(shù)要求和基本管理要求是保證信息系統(tǒng)安全不能夠切割的兩個部分?；景踩髲母鱾€層面或方面提出了系統(tǒng)的每個組件應(yīng)該滿足的安全要求，信息系統(tǒng)擁有的整體安全保護能力經(jīng)過不相同組件實現(xiàn)基本安全要求來保證。除了保證系統(tǒng)的每個組件滿足基本安全要求外，還要考慮組件之間的互相關(guān)系，來保證信息系統(tǒng)的整體安全保護能力。關(guān)于信息系統(tǒng)整體安全保護能力的說明見附錄A。關(guān)于涉及國家神奇的信息系統(tǒng)，應(yīng)依照國家保密工作部門的相關(guān)規(guī)定和標準進行保護。關(guān)于涉及密碼的使用和管理，應(yīng)依照國家密碼管理的相關(guān)規(guī)定和標準推行。4.4基本技術(shù)要求的三各種類依照保護重視點的不相同，技術(shù)類安全要求進一步細分為：保護數(shù)據(jù)在積蓄、傳輸、辦理過程中不被泄漏、破壞和免受未授權(quán)的更正的信息安全類要求（簡記為S）；保護系統(tǒng)連續(xù)正常的運行，免受對系統(tǒng)的未授權(quán)更正、破壞而以致系統(tǒng)不能夠用的服務(wù)保證類要求（簡記為A）；通用安全保護類要求（簡記為G）。本標準中對基本安全要求使用了標記，其中的字母表示安全要求的種類，數(shù)字表示適用的安全保護等級。關(guān)于各種安全要求的選擇和使用見附錄B。

第一級基本要求

5.1技術(shù)要求

物理安全

物理接見控制（G1）

機房出入應(yīng)安排專人負責(zé)，控制、鑒別和記錄進入的人員。

防盜竊和防破壞（G1）

本項要求包括：

應(yīng)將主要設(shè)施放置在機房內(nèi)；

應(yīng)將設(shè)施或主要部件進行固定，并設(shè)置明顯的不易除掉的標記。

2

GB/TXXXX–XXXX

防雷擊（G1）

機房建筑應(yīng)設(shè)置避雷裝置。

防火（G1）

機房應(yīng)設(shè)置滅火設(shè)施。

防水和防潮（G1）

本項要求包括：

對付穿過機房墻壁和樓板的水管增加必要的保護措施；

應(yīng)采用措施防范雨水經(jīng)過機房窗戶、屋頂和墻壁浸透。

溫濕度控制（G1）

機房應(yīng)設(shè)置必要的溫、濕度控制設(shè)施，使機房溫、濕度的變化在設(shè)施運行所同意的范圍之內(nèi)。

電力供應(yīng)（A1）

應(yīng)在機房供電線路上配置穩(wěn)壓器和過電壓防范設(shè)施。

網(wǎng)絡(luò)安全

結(jié)構(gòu)安全（G1）

本項要求包括：

應(yīng)保證重點網(wǎng)絡(luò)設(shè)施的業(yè)務(wù)辦理能力滿足基本業(yè)務(wù)需要；

應(yīng)保證接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)的帶寬滿足基本業(yè)務(wù)需要；

應(yīng)繪制與當前運行情況切合的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖。

接見控制（G1）

本項要求包括：

應(yīng)在網(wǎng)絡(luò)界線部署接見控制設(shè)施，啟用接見控制功能；

b)應(yīng)依照接見控制列表對源地址、目的地址、源端口、目的端口和協(xié)議等進行檢查，以同意/拒

絕數(shù)據(jù)包出入；

應(yīng)經(jīng)過接見控制列表對系統(tǒng)資源實現(xiàn)同意或拒絕用戶接見，控制粒度最少為用戶組。

網(wǎng)絡(luò)設(shè)施防范（G1）

本項要求包括：

對付登錄網(wǎng)絡(luò)設(shè)施的用戶進行身份鑒別；

應(yīng)擁有登錄失敗辦理功能，可采用結(jié)束會話、限制非法登錄次數(shù)和當網(wǎng)絡(luò)登錄連接超時自動退出等措施；

當對網(wǎng)絡(luò)設(shè)施進行遠程管理時，應(yīng)采用必要措施防范鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。

主機安全

身份鑒別（S1）

對付登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份表記和鑒別。

接見控制（S1）

本項要求包括：

應(yīng)啟用接見控制功能，依照安全策略控制用戶對資源的接見；

應(yīng)限制默認帳戶的接見權(quán)限，重命名系統(tǒng)默認帳戶，更正這些帳戶的默認口令；

應(yīng)實時刪除節(jié)余的、過期的帳戶，防范共享帳戶的存在。

3

GB/TXXXX–XXXX

入侵防范（G1）

操作系統(tǒng)應(yīng)依照最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并保持系統(tǒng)補丁實時獲得更新。

惡意代碼防范（G1）

應(yīng)安裝防惡意代碼軟件，并實時更新防惡意代碼軟件版本和惡意代碼庫。

應(yīng)用安全

身份鑒別（S1）

本項要求包括：

應(yīng)供應(yīng)專用的登錄控制模塊對登錄取戶進行身份表記和鑒別；

應(yīng)供應(yīng)登錄失敗辦理功能，可采用結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；

應(yīng)啟用身份鑒別和登錄失敗辦理功能，并依照安全策略配置相關(guān)參數(shù)。

接見控制（S1）

本項要求包括：

應(yīng)供應(yīng)接見控制功能控制用戶組/用戶對系統(tǒng)功能和用戶數(shù)據(jù)的接見；

應(yīng)由授權(quán)主體配置接見控制策略，并嚴格限制默認用戶的接見權(quán)限。

通信圓滿性（S1）

應(yīng)采用約定通信會話方式的方法保證通信過程中數(shù)據(jù)的圓滿性。

軟件容錯（A1）

應(yīng)供應(yīng)數(shù)據(jù)有效性檢驗功能，保證經(jīng)過人機接口輸入或經(jīng)過通信接口輸入的數(shù)據(jù)格式或長度切合系

統(tǒng)設(shè)定要求。

數(shù)據(jù)安全及備份恢復(fù)

數(shù)據(jù)圓滿性（S1）

應(yīng)能夠檢測到重要用戶數(shù)據(jù)在傳輸過程中圓滿性碰到破壞。

備份和恢復(fù)（A1）

應(yīng)能夠?qū)χ匾畔⑦M行備份和恢復(fù)。

5.2管理要求

安全管理制度

管理制度（G1）

應(yīng)成立平常管理活動中常用的安全管理制度。

擬訂和宣布（G1）

本項要求包括：

應(yīng)指定或授權(quán)特意的人員負責(zé)安全管理制度的擬訂；

應(yīng)將安全管理制度以某種方式宣布到相關(guān)人員手中。

安全管理機構(gòu)

崗位設(shè)置（G1）

應(yīng)成立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并定義各個工作崗位的職責(zé)。

人員裝備（G1）

應(yīng)裝備必定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等。

授權(quán)和審批（G1）

4

GB/TXXXX–XXXX

應(yīng)依照各個部門和崗位的職責(zé)明確授權(quán)審批部門及同意人，對系統(tǒng)投入運行、網(wǎng)絡(luò)系統(tǒng)接入和重要

資源的接見等重點活動進行審批。

溝通和合作（G1）

應(yīng)加強與兄弟單位、公安機關(guān)、電信公司的合作與溝通。

人員安全管理

人員錄取（G1）

本項要求包括：

應(yīng)指定或授權(quán)特意的部門或人員負責(zé)人員錄?。?/p>

對付被錄取人員的身份和專業(yè)資格等進行審查，并保證其擁有基本的專業(yè)技術(shù)水平和安全管理知識。

人員離崗（G1）

本項要求包括：

應(yīng)馬上停止由于各種原因離崗員工的所有接見權(quán)限；

應(yīng)取回各種身份證件、鑰匙、徽章等以及機構(gòu)供應(yīng)的軟硬件設(shè)施。

安全意識教育和培訓(xùn)（G1）

本項要求包括：

對付各種人員進行安全意識教育和崗位技術(shù)培訓(xùn)；

應(yīng)見告人員相關(guān)的安全責(zé)任和懲戒措施。

外面人員接見管理（G1）

應(yīng)保證在外面人員接見受控地域前獲得授權(quán)或?qū)徟?/p>

系統(tǒng)建設(shè)管理

系統(tǒng)定級（G1）

本項要求包括：

應(yīng)明確信息系統(tǒng)的界線和安全保護等級；

應(yīng)以書面的形式說明信息系統(tǒng)確立為某個安全保護等級的方法和原因；

應(yīng)保證信息系統(tǒng)的定級結(jié)果經(jīng)過相關(guān)部門的同意。

安全方案設(shè)計（G1）

本項要求包括：

應(yīng)依照系統(tǒng)的安全保護等級選擇基本安全措施，依照風(fēng)險剖析的結(jié)果補充和調(diào)整安全措施；

應(yīng)以書面的形式描述對系統(tǒng)的安全保護要求和策略、安全措施等內(nèi)容，形成系統(tǒng)的安全方案；

對付安全方案進行細化，形成能指導(dǎo)安全系統(tǒng)建設(shè)、安全產(chǎn)品采買和使用的詳細設(shè)計方案。

產(chǎn)品采買和使用（G1）

應(yīng)保證安全產(chǎn)品采買和使用切合國家的相關(guān)規(guī)定。

自行軟件開發(fā)（G1）

本項要求包括：

應(yīng)保證開發(fā)環(huán)境與實質(zhì)運行環(huán)境物理分開；

應(yīng)保證軟件設(shè)計相關(guān)文檔由專人負責(zé)保留。

外包軟件開發(fā)（G1）

5

GB/TXXXX–XXXX

本項要求包括：

應(yīng)依照開發(fā)要求檢測軟件質(zhì)量；

應(yīng)在軟件安裝從前檢測軟件包中可能存在的惡意代碼；

應(yīng)保證供應(yīng)軟件設(shè)計的相關(guān)文檔和使用指南。

工程推行（G1）

應(yīng)指定或授權(quán)特意的部門或人員負責(zé)工程推行過程的管理。

測試查收（G1）

本項要求包括：

對付系統(tǒng)進行安全性測試查收；

在測試查收前應(yīng)依照設(shè)計方案或合同要求等擬訂測試查收方案，在測試查收過程中應(yīng)詳細記錄測試查收結(jié)果，并形成測試查收報告。

系統(tǒng)交付（G1）

本項要求包括：

應(yīng)擬訂系統(tǒng)交付清單，并依照交付清單對所交接的設(shè)施、軟件和文檔等進行清點；

對付負責(zé)系統(tǒng)運行保護的技術(shù)人員進行相應(yīng)的技術(shù)培訓(xùn)；

應(yīng)保證供應(yīng)系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進行系統(tǒng)運行保護的文檔。

安全服務(wù)商選擇（G1）

本項要求包括：

應(yīng)保證安全服務(wù)商的選擇切合國家的相關(guān)規(guī)定；

應(yīng)與選定的安全服務(wù)商簽署與安全相關(guān)的協(xié)議，明確約定相關(guān)責(zé)任。

系統(tǒng)運維管理

環(huán)境管理（G1）

本項要求包括：

應(yīng)指定特意的部門或人員如期對機房供配電、空調(diào)、溫濕度控制等設(shè)施進行保護管理；

對付機房的出入、服務(wù)器的開機或關(guān)機等工作進行管理；

應(yīng)成立機房安全管理制度，對相關(guān)機房物理接見，物品帶進、帶出機房和機房環(huán)境安全等方面的管理作出規(guī)定。

財富管理（G1）

應(yīng)編制與信息系統(tǒng)相關(guān)的財富清單，包括財富責(zé)任部門、重要程度和所處地址等內(nèi)容。

介質(zhì)管理（G1）

本項要求包括：

應(yīng)保證介質(zhì)存放在安全的環(huán)境中，對各種介質(zhì)進行控制和保護；

對付介質(zhì)歸檔和盤問等過程進行記錄，并依照存檔介質(zhì)的目錄清單如期清點。

設(shè)施管理（G1）

本項要求包括：

對付信息系統(tǒng)相關(guān)的各種設(shè)施、線路等指定特意的部門或人員如期進行保護管理；

應(yīng)成立基于申報、審批和專人負責(zé)的設(shè)施安全管理制度，對信息系統(tǒng)的各種軟硬件設(shè)施的選型、采買、發(fā)放和領(lǐng)用等過程進行規(guī)范化管理。

6

GB/TXXXX–XXXX

網(wǎng)絡(luò)安全管理（G1）

本項要求包括：

應(yīng)指定人員對網(wǎng)絡(luò)進行管理，負責(zé)運行日志、網(wǎng)絡(luò)監(jiān)控記錄的平常保護和報警信息剖析和辦理工作；

應(yīng)如期進行網(wǎng)絡(luò)系統(tǒng)漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進行實時的維修。

系統(tǒng)安全管理（G1）

本項要求包括：

應(yīng)依照業(yè)務(wù)需求和系統(tǒng)安全剖析確立系統(tǒng)的接見控制策略；

應(yīng)如期進行漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞進行實時的維修；

應(yīng)安裝系統(tǒng)的最新補丁程序，并在安裝系統(tǒng)補丁前對現(xiàn)有的重要文件進行備份。

惡意代碼防范管理（G1）

應(yīng)提高所適用戶的防病毒意識，見告實時升級防病毒軟件，在讀取搬動積蓄設(shè)施上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件從前，先進行病毒檢查，對外來計算機或積蓄設(shè)施接入網(wǎng)絡(luò)系統(tǒng)從前也應(yīng)進行病毒檢查。

備份與恢復(fù)管理（G1）

本項要求包括：

應(yīng)鑒別需要如期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等；

應(yīng)規(guī)定備份信息的備份方式、備份頻度、積蓄介質(zhì)、保留期等。

安全事件辦理（G1）

本項要求包括：

應(yīng)報告所發(fā)現(xiàn)的安全缺點和可疑事件，但任何情況下用戶均不應(yīng)試一試考據(jù)缺點；

應(yīng)擬訂安全事件報告和辦理管理制度，規(guī)定安全事件的現(xiàn)場辦理、事件報告和后期恢復(fù)的管理職責(zé)。

第二級基本要求

6.1技術(shù)要求

物理安全

物理地址的選擇（G2）

機房和辦公場所應(yīng)選擇在擁有防震、防風(fēng)和防雨等能力的建筑內(nèi)。

物理接見控制（G2）

本項要求包括：

機房出入口應(yīng)安排專人值守，控制、鑒別和記錄進入的人員；

需進入機房的來訪人員應(yīng)經(jīng)過申請和審批流程，并限制和監(jiān)控其活動范圍。

防盜竊和防破壞（G2）

本項要求包括：

應(yīng)將主要設(shè)施放置在機房內(nèi)；

應(yīng)將設(shè)施或主要部件進行固定，并設(shè)置明顯的不易除掉的標記；

應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中；

7

GB/TXXXX–XXXX

對付介質(zhì)分類表記，積蓄在介質(zhì)庫或檔案室中；

主機房應(yīng)安裝必要的防盜報警設(shè)施。

防雷擊（G2）

本項要求包括：

機房建筑應(yīng)設(shè)置避雷裝置；

機房應(yīng)設(shè)置溝通電源地線。

防火（G2）

機房應(yīng)設(shè)置滅火設(shè)施和火災(zāi)自動報警系統(tǒng)。

防水和防潮（G2）

本項要求包括：

水管安裝，不得穿過機房屋頂和活動地板下；

應(yīng)采用措施防范雨水經(jīng)過機房窗戶、屋頂和墻壁浸透；

應(yīng)采用措施防范機房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與浸透。

防靜電（G2）

重點設(shè)施應(yīng)采用必要的接地防靜電措施。

溫濕度控制（G2）

機房應(yīng)設(shè)置溫、濕度自動調(diào)治設(shè)施，使機房溫、濕度的變化在設(shè)施運行所同意的范圍之內(nèi)。

電力供應(yīng)（A2）

本項要求包括：

應(yīng)在機房供電線路上配置穩(wěn)壓器和過電壓防范設(shè)施；

應(yīng)供應(yīng)短期的備用電力供應(yīng)，最少滿足重點設(shè)施在斷電情況下的正常運行要求。

電磁防范（S2）

電源線和通信線纜應(yīng)間隔鋪設(shè)，防范互相攪亂。

網(wǎng)絡(luò)安全

結(jié)構(gòu)安全（G2）

本項要求包括：

a)應(yīng)保證重點網(wǎng)絡(luò)設(shè)施的業(yè)務(wù)辦理能力具備冗余空間，滿足業(yè)務(wù)巔峰期需要；

應(yīng)保證接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)的帶寬滿足業(yè)務(wù)巔峰期需要；

應(yīng)繪制與當前運行情況切合的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖；

應(yīng)依照各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不相同的子網(wǎng)或網(wǎng)段，并依照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段。

接見控制（G2）

本項要求包括：

應(yīng)在網(wǎng)絡(luò)界線部署接見控制設(shè)施，啟用接見控制功能；

b)應(yīng)能依照會話狀態(tài)信息為數(shù)據(jù)流供應(yīng)明確的同意/拒絕接見的能力，控制粒度為網(wǎng)段級。

c)應(yīng)按用戶和系統(tǒng)之間的同意接見規(guī)則，決定同意或拒絕用戶對受控系統(tǒng)進行資源接見，控制粒

度為單個用戶；

d)應(yīng)限制擁有撥號接見權(quán)限的用戶數(shù)量。

8

GB/TXXXX–XXXX

安全審計（G2）

本項要求包括：

對付網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)施運行情況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄；

b)審計記錄應(yīng)包括事件的日期和時間、用戶、事件種類、事件可否成功及其他與審計相關(guān)的信息。

界線圓滿性檢查（S2）

應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未經(jīng)過同意私自聯(lián)到外面網(wǎng)絡(luò)的行為進行檢查。

入侵防范（G2）

應(yīng)在網(wǎng)絡(luò)界線處督查以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)

溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。

網(wǎng)絡(luò)設(shè)施防范（G2）

本項要求包括：

對付登錄網(wǎng)絡(luò)設(shè)施的用戶進行身份鑒別；

對付網(wǎng)絡(luò)設(shè)施的管理員登錄地址進行限制；

網(wǎng)絡(luò)設(shè)施用戶的表記應(yīng)唯一；

身份鑒別信息應(yīng)擁有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并如期更換；

應(yīng)擁有登錄失敗辦理功能，可采用結(jié)束會話、限制非法登錄次數(shù)和當網(wǎng)絡(luò)登錄連接超時自動退出等措施；

當對網(wǎng)絡(luò)設(shè)施進行遠程管理時，應(yīng)采用必要措施防范鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。

主機安全

身份鑒別（S2）

本項要求包括：

對付登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份表記和鑒別；

b)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份表記應(yīng)擁有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定

期更換；

c)應(yīng)啟用登錄失敗辦理功能，可采用結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；

當對服務(wù)器進行遠程管理時，應(yīng)采用必要措施，防范鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；

應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不相同用戶分配不相同的用戶名，保證用戶名擁有唯一性。

接見控制（S2）

本項要求包括：

應(yīng)啟用接見控制功能，依照安全策略控制用戶對資源的接見；

應(yīng)實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分別；

應(yīng)限制默認帳戶的接見權(quán)限，重命名系統(tǒng)默認帳戶，更正這些帳戶的默認口令；

應(yīng)實時刪除節(jié)余的、過期的帳戶，防范共享帳戶的存在。

安全審計（G2）

本項要求包括：

審計范圍應(yīng)覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；

審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；

9

GB/TXXXX–XXXX

審計記錄應(yīng)包括事件的日期、時間、種類、主體表記、客體表記和結(jié)果等；

應(yīng)保護審計記錄，防范碰到未預(yù)期的刪除、更正或覆蓋等。

入侵防范（G2）

操作系統(tǒng)應(yīng)依照最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并經(jīng)過設(shè)置升級服務(wù)器等方式保

持系統(tǒng)補丁實時獲得更新。

惡意代碼防范（G2）

本項要求包括：

應(yīng)安裝防惡意代碼軟件，并實時更新防惡意代碼軟件版本和惡意代碼庫；

應(yīng)支持防惡意代碼軟件的一致管理。

資源控制（A2）

本項要求包括：

應(yīng)經(jīng)過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；

應(yīng)依照安全策略設(shè)置登錄終端的操作超時鎖定；

應(yīng)限制單個用戶對系統(tǒng)資源的最大或最小使用限度。

應(yīng)用安全

身份鑒別（S2）

本項要求包括：

應(yīng)供應(yīng)專用的登錄控制模塊對登錄取戶進行身份表記和鑒別；

應(yīng)供應(yīng)用戶身份表記唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份表記，身份鑒別信息不易被冒用；

應(yīng)供應(yīng)登錄失敗辦理功能，可采用結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；

應(yīng)啟用身份鑒別、用戶身份表記唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗辦理功能，并依照安全策略配置相關(guān)參數(shù)。

接見控制（S2）

本項要求包括：

a)應(yīng)供應(yīng)接見控制功能，依照安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的接見；

接見控制的覆蓋范圍應(yīng)包括與資源接見相關(guān)的主體、客體及它們之間的操作；

應(yīng)由授權(quán)主體配置接見控制策略，并嚴格限制默認帳戶的接見權(quán)限；

應(yīng)授予不相同帳戶為完成各自擔(dān)當當務(wù)所需的最小權(quán)限，并在它們之間形成互相限制的關(guān)系。

安全審計（G2）

本項要求包括：

應(yīng)供應(yīng)覆蓋到每個用戶的安全審計功能，對應(yīng)用系統(tǒng)重要安全事件進行審計；

應(yīng)保證無法刪除、更正或覆蓋審計記錄；

審計記錄的內(nèi)容最少應(yīng)包括事件日期、時間、提議者信息、種類、描述和結(jié)果等。

通信圓滿性（S2）

應(yīng)采用校驗碼技術(shù)保證通信過程中數(shù)據(jù)的圓滿性。

通信保密性（S2）

本項要求包括：

10

GB/TXXXX–XXXX

在通信雙方成立連接從前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進行會話初始化考據(jù)；

對付通信過程中的敏感信息字段進行加密。

軟件容錯（A2）

本項要求包括：

應(yīng)供應(yīng)數(shù)據(jù)有效性檢驗功能，保證經(jīng)過人機接口輸入或經(jīng)過通信接口輸入的數(shù)據(jù)格式或長度切合系統(tǒng)設(shè)定要求；

在故障發(fā)生時，應(yīng)用系統(tǒng)應(yīng)能夠連續(xù)供應(yīng)一部分功能，保證能夠推行必要的措施。

資源控制（A2）

本項要求包括：

當應(yīng)用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動結(jié)束會話；

應(yīng)能夠?qū)?yīng)用系統(tǒng)的最大并發(fā)會話連接數(shù)進行限制；

應(yīng)能夠?qū)蝹€帳戶的多重并發(fā)會話進行限制。

數(shù)據(jù)安全及備份恢復(fù)

數(shù)據(jù)圓滿性（S2）

應(yīng)能夠檢測到鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中圓滿性碰到破壞。

數(shù)據(jù)保密性（S2）

應(yīng)采用加密或其他保護措施實現(xiàn)鑒別信息的積蓄保密性。

備份和恢復(fù)（A2）

本項要求包括：

應(yīng)能夠?qū)χ匾畔⑦M行備份和恢復(fù)；

應(yīng)供應(yīng)重點網(wǎng)絡(luò)設(shè)施、通信線路和數(shù)據(jù)辦理系統(tǒng)的硬件冗余，保證系統(tǒng)的可用性。

6.2管理要求

安全管理制度

管理制度（G2）

本項要求包括：

a)應(yīng)擬訂信息安全工作的整體目標和安全策略，說明機構(gòu)安全工作的整體目標、范圍、原則和安

全框架等；

對付安全管理活動中重要的管理內(nèi)容成立安全管理制度；

對付安全管理人員或操作人員執(zhí)行的重要管理操作成立操作規(guī)程。

擬訂和宣布（G2）

本項要求包括：

應(yīng)指定或授權(quán)特意的部門或人員負責(zé)安全管理制度的擬訂；

應(yīng)組織相關(guān)人員對擬訂的安全管理制度進行論證和判斷；

應(yīng)將安全管理制度以某種方式宣布到相關(guān)人員手中。

評審和校正（G2）

應(yīng)如期對安全管理制度進行評審，對存在不足或需要改進的安全管理制度進行校正。

安全管理機構(gòu)

崗位設(shè)置（G2）

11

GB/TXXXX–XXXX

本項要求包括：

a)應(yīng)成立安全主管、安全管理各個方面的負責(zé)人崗位，并定義各負責(zé)人的職責(zé)；

應(yīng)成立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并定義各個工作崗位的職責(zé)。

人員裝備（G2）

本項要求包括：

應(yīng)裝備必定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等；

安全管理員不能夠兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等。

授權(quán)和審批（G2）

本項要求包括：

a)應(yīng)依照各個部門和崗位的職責(zé)明確授權(quán)審批部門及同意人，對系統(tǒng)投入運行、網(wǎng)絡(luò)系統(tǒng)接入和

重要資源的接見等重點活動進行審批；

應(yīng)針對重點活動成立審批流程，并由同意人簽字確認。

溝通和合作（G2）

本項要求包括：

a)應(yīng)加強各種管理人員之間、組織內(nèi)部機構(gòu)之間以及信息安全職能部門內(nèi)部的合作與溝通；

應(yīng)加強與兄弟單位、公安機關(guān)、電信公司的合作與溝通。

審查和檢查（G2）

安全管理員應(yīng)負責(zé)如期進行安全檢查，檢查內(nèi)容包括系統(tǒng)平常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。

人員安全管理

人員錄取（G2）

本項要求包括：

應(yīng)指定或授權(quán)特意的部門或人員負責(zé)人員錄?。?/p>

應(yīng)規(guī)范人員錄取過程，對被錄取人員的身份、背景和專業(yè)資格等進行審查，對其所擁有的技術(shù)技術(shù)進行核查；

應(yīng)與從事重點崗位的人員簽署保密協(xié)議。

人員離崗（G2）

本項要求包括：

應(yīng)規(guī)范人員離崗過程，實時停止離崗員工的所有接見權(quán)限；

應(yīng)取回各種身份證件、鑰匙、徽章等以及機構(gòu)供應(yīng)的軟硬件設(shè)施；

應(yīng)辦理嚴格的調(diào)離手續(xù)。

人員核查（G2）

應(yīng)如期對各個崗位的人員進行安全技術(shù)及安全認知的核查。

安全意識教育和培訓(xùn)（G2）

本項要求包括：

a)對付各種人員進行安全意識教育、崗位技術(shù)培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)；

b)應(yīng)見告人員相關(guān)的安全責(zé)任和懲戒措施，并對違反違反安全策略和規(guī)定的人員進行懲戒；

c)應(yīng)擬訂安全教育和培訓(xùn)計劃，對信息安全基礎(chǔ)知識、崗位操作規(guī)程等進行培訓(xùn)。

外面人員接見管理（G2）

12

GB/TXXXX–XXXX

應(yīng)保證在外面人員接見受控地域前獲得授權(quán)或?qū)徟夂笥蓪Ｈ巳膛阃蚨讲?，并登記備案?/p>

系統(tǒng)建設(shè)管理

系統(tǒng)定級（G2）

本項要求包括：

應(yīng)明確信息系統(tǒng)的界線和安全保護等級；

應(yīng)以書面的形式說明信息系統(tǒng)確立為某個安全保護等級的方法和原因；

應(yīng)保證信息系統(tǒng)的定級結(jié)果經(jīng)過相關(guān)部門的同意。

安全方案設(shè)計（G2）

本項要求包括：

應(yīng)依照系統(tǒng)的安全保護等級選擇基本安全措施，依照風(fēng)險剖析的結(jié)果補充和調(diào)整安全措施；

應(yīng)以書面形式描述對系統(tǒng)的安全保護要求、策略和措施等內(nèi)容，形成系統(tǒng)的安全方案；

對付安全方案進行細化，形成能指導(dǎo)安全系統(tǒng)建設(shè)、安全產(chǎn)品采買和使用的詳細設(shè)計方案；

d)應(yīng)組織相關(guān)部門和相關(guān)安全技術(shù)專家對安全設(shè)計方案的合理性和正確性進行論證和判斷，并且

經(jīng)過同意后，才能正式推行。

產(chǎn)品采買和使用（G2）

本項要求包括：

應(yīng)保證安全產(chǎn)品采買和使用切合國家的