單位信息安全等級(jí)保護(hù)

單位名稱我們畢業(yè)啦其實(shí)是答辯的標(biāo)題地方信息安全等級(jí)保護(hù)工作匯報(bào)2016-01-18當(dāng)前，我國(guó)信息化發(fā)展正進(jìn)入全面深化的新階段。新型信息技術(shù)發(fā)展應(yīng)用，給我國(guó)網(wǎng)絡(luò)與信息安全保障工作提出了新任務(wù)。前言法律法規(guī)：《信息安全等級(jí)保護(hù)管理辦法》（公通字［2007］43號(hào)）《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《廣東省計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》最高人民法院、最高人民檢察院2015年10月30日聯(lián)合發(fā)布《關(guān)于執(zhí)行〈中華人民共和國(guó)刑法〉確定罪名的補(bǔ)充規(guī)定(六)》對(duì)適用刑法的部分罪名進(jìn)行了補(bǔ)充或修改，其中增加了拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪、非法利用信息網(wǎng)絡(luò)罪、幫助信息網(wǎng)絡(luò)犯罪活動(dòng)罪。一、等級(jí)保護(hù)背景二、等級(jí)保護(hù)概念三、等保評(píng)定內(nèi)容四、推進(jìn)等保工作的一些探討五、本單位的問題和建議目錄一、等級(jí)保護(hù)背景等保背景中央網(wǎng)信辦2016年第1期網(wǎng)絡(luò)安全信息與動(dòng)態(tài)周報(bào)(12月28日--01月03日)等保背景當(dāng)前面臨的安全威脅：

獨(dú)立黑客：黑客攻擊越來越頻繁，影響企事業(yè)正常的業(yè)務(wù)運(yùn)作。內(nèi)部員工：1、信息安全意識(shí)薄弱的員工誤用、濫用等；2、管理員權(quán)限過大，如：系統(tǒng)管理員越權(quán)訪問數(shù)據(jù)；3、不穩(wěn)定、情緒不滿的員工。如：?jiǎn)T工離職帶走企業(yè)秘密。競(jìng)爭(zhēng)對(duì)手：法制環(huán)境不健全，行業(yè)不正當(dāng)競(jìng)爭(zhēng)（如：竊取機(jī)密）。國(guó)外政府或機(jī)構(gòu)：法制環(huán)境不健全，行業(yè)不正當(dāng)競(jìng)爭(zhēng)（如：竊取機(jī)密，破壞企業(yè)的業(yè)務(wù)服務(wù)）。等保背景2014年8月1日，浙江溫州有線數(shù)字電視被攻擊，電視屏幕疊加反動(dòng)字幕和圖片，50萬用戶、80萬機(jī)頂盒受影響。等保背景等保背景重要網(wǎng)站和信息系統(tǒng)被植入木馬后門等保背景網(wǎng)絡(luò)病毒和網(wǎng)絡(luò)攻擊已形成一個(gè)黑色產(chǎn)業(yè)鏈，侵害政府公信力、社會(huì)公共安全、公民個(gè)人利益和隱私。破壞數(shù)據(jù)、應(yīng)用、服務(wù)、硬件；盜取數(shù)據(jù)、資金；對(duì)外傳播危害信息，對(duì)內(nèi)傳播木馬擴(kuò)大危害范圍；利用被控制的電腦從事犯罪活動(dòng)。等保背景一個(gè)巴掌拍不響！外因是條件，內(nèi)因才是根本。全省3523個(gè)重點(diǎn)網(wǎng)站安全技術(shù)檢測(cè)結(jié)果：存在安全漏洞的網(wǎng)站2621個(gè)，占被檢網(wǎng)站數(shù)量74.4%；其中高危網(wǎng)站1633個(gè)，占檢測(cè)網(wǎng)站的46.35%；發(fā)現(xiàn)安全漏洞數(shù)量93760個(gè)，其中高危漏洞25578個(gè)。平均1個(gè)網(wǎng)站有26個(gè)漏洞，7個(gè)高危漏洞。本行業(yè)的漏洞，本單位網(wǎng)站漏洞：詳見粵等保辦[2014]13號(hào)2014年上半年我省重點(diǎn)網(wǎng)站安全檢測(cè)情況通報(bào)等保背景安全意識(shí)薄弱人、財(cái)、物等保障不到位；重建設(shè)、重應(yīng)用、輕安全、輕管理；系統(tǒng)建設(shè)與安全建設(shè)不同步，有的廢棄后仍未關(guān)停，有的服務(wù)器長(zhǎng)期未打補(bǔ)丁，有的雖然配備安全設(shè)備但配置不科學(xué)。等保背景等保背景信息安全責(zé)任不清未成立領(lǐng)導(dǎo)機(jī)構(gòu)、未明確責(zé)任、缺乏追責(zé)制度等。缺乏長(zhǎng)遠(yuǎn)信息安全規(guī)劃安全策略不當(dāng)、安全措施不合理、沒有數(shù)據(jù)備份和恢復(fù)等。監(jiān)測(cè)預(yù)警和應(yīng)急處理能力欠缺缺乏人員、技術(shù)、系統(tǒng)和預(yù)案、演練，各單位發(fā)現(xiàn)問題、處理問題能力有待提高。二、等級(jí)保護(hù)概念等保概念什么是信息安全等級(jí)保護(hù)工作？概念：信息安全等級(jí)保護(hù)是指對(duì)國(guó)家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。

信息安全等級(jí)保護(hù)的核心是對(duì)信息系統(tǒng)分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。等保概念什么是信息安全等級(jí)保護(hù)工作？意義：信息安全等級(jí)保護(hù)制度是國(guó)家信息安全保障的基本制度、基本策略、基本方法；是當(dāng)今發(fā)達(dá)國(guó)家的通行做法，也是我國(guó)多年來信息安全工作經(jīng)驗(yàn)的總結(jié)。開展信息安全等級(jí)保護(hù)工作：有利于同步建設(shè)；有利于指導(dǎo)和服務(wù)；有利于保障重點(diǎn)；有利于明確責(zé)任；有利于企事業(yè)單位保護(hù)商業(yè)秘密和知識(shí)產(chǎn)權(quán)。等保概念實(shí)施等級(jí)保護(hù)工作的基本原則：自主保護(hù)原則：信息系統(tǒng)運(yùn)營(yíng)、使用單位及其主管部門按照國(guó)家相關(guān)法規(guī)和標(biāo)準(zhǔn)，自主確定信息系統(tǒng)的安全保護(hù)等級(jí)，自行組織實(shí)施安全保護(hù)。重點(diǎn)保護(hù)原則：根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn)，通過劃分不同安全保護(hù)等級(jí)的信息系統(tǒng)，實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)，集中資源優(yōu)先保護(hù)涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。同步建設(shè)原則：信息系統(tǒng)在新建、改建、擴(kuò)建時(shí)應(yīng)當(dāng)同步規(guī)劃和設(shè)計(jì)安全方案，投入一定比例的資金建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相適應(yīng)。動(dòng)態(tài)調(diào)整原則：要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護(hù)措施。由于信息系統(tǒng)的應(yīng)用類型、范圍等條件的變化及其他原因，安全保護(hù)等級(jí)需要變更的，應(yīng)當(dāng)根據(jù)等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，重新確定信息系統(tǒng)的安全保護(hù)等級(jí)，根據(jù)信息系統(tǒng)安全保護(hù)等級(jí)的調(diào)整情況，重新實(shí)施安全保護(hù)。等保概念信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)：第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益；第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全；第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害；第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害；第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。等保概念信息安全等級(jí)保護(hù)工作定級(jí)備案檢查等級(jí)測(cè)評(píng)安全建設(shè)整改《關(guān)于開展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》（公通字[2007]861號(hào)）《信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則》（公信安[2007]1360號(hào)）《關(guān)于開展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》（公信安[2009]1429號(hào)）《關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》（發(fā)改高技[2008]2071號(hào)）《關(guān)于推動(dòng)信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和開展等級(jí)測(cè)評(píng)工作的通知》（公信安[2010]303號(hào)）《公安機(jī)關(guān)信息安全等級(jí)保護(hù)檢查工作規(guī)范（試行）》（公信安[2008]736號(hào)）《信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告模版（試行）》（公信安[2009]1487號(hào)）《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)）《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》（公通字[2004]66號(hào)）《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國(guó)務(wù)院147號(hào)令）《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號(hào)）等保概念等級(jí)保護(hù)實(shí)施過程中涉及的角色和職責(zé)：等保概念等級(jí)保護(hù)實(shí)施的基本流程：三、等保評(píng)定內(nèi)容評(píng)定內(nèi)容等級(jí)測(cè)評(píng)內(nèi)容：物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理評(píng)定內(nèi)容等級(jí)測(cè)評(píng)內(nèi)容：物理位置選擇物理安全(三級(jí))物理訪問控制防盜竊

和防破壞防雷擊防火防水和防潮溫濕度控制電力供應(yīng)電磁防護(hù)防靜電物理層面構(gòu)成組件包括信息系統(tǒng)工作的設(shè)施環(huán)境以及構(gòu)成信息系統(tǒng)的硬件設(shè)備和介質(zhì)等。評(píng)定內(nèi)容物理安全解讀基本要求指標(biāo)項(xiàng)實(shí)施建議重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。對(duì)安裝網(wǎng)絡(luò)與重要服務(wù)器等核心設(shè)備的機(jī)房或區(qū)域應(yīng)配置門禁系統(tǒng)，并采用密碼或指紋識(shí)別技術(shù)。應(yīng)將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記；標(biāo)記應(yīng)明確服務(wù)對(duì)象、IP地址、固定資產(chǎn)編號(hào)、物理位置、設(shè)備維護(hù)責(zé)任人等信息，并粘貼在明顯的位置。應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中；在線纜的兩端做好標(biāo)記。應(yīng)對(duì)機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)。應(yīng)在機(jī)房入口、機(jī)柜走道、重要服務(wù)器等位置安裝攝像頭和圖像存儲(chǔ)、監(jiān)控系統(tǒng)。評(píng)定內(nèi)容物理安全解讀2基本要求指標(biāo)項(xiàng)實(shí)施建議機(jī)房應(yīng)采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)備隔離開。政務(wù)外網(wǎng)的重要設(shè)備如廣域網(wǎng)核心路由器、城域網(wǎng)核心交換機(jī)等，應(yīng)與其他網(wǎng)絡(luò)和應(yīng)用設(shè)備隔離放置，并按消防要求采取相應(yīng)的防火措施。應(yīng)采取措施防止機(jī)房?jī)?nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透；在機(jī)房?jī)?nèi)做好隔熱層，并注意樓層之間的溫差不要太大。機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。一般機(jī)房日常溫度應(yīng)控制在10～28℃，濕度30～70%。應(yīng)具有聯(lián)網(wǎng)監(jiān)控和自動(dòng)報(bào)警、并及時(shí)通知相關(guān)運(yùn)維人員等功能。電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干擾；電源線和通信線應(yīng)隔離鋪設(shè)，平行超過30米時(shí)，其鋪設(shè)間隔應(yīng)大于200毫米。評(píng)定內(nèi)容等級(jí)測(cè)評(píng)內(nèi)容：結(jié)構(gòu)安全和網(wǎng)段劃分網(wǎng)絡(luò)安全(三級(jí))網(wǎng)絡(luò)訪問控制網(wǎng)絡(luò)安全審計(jì)邊界完整性檢查網(wǎng)絡(luò)入侵檢測(cè)惡意代碼防護(hù)網(wǎng)絡(luò)設(shè)備防護(hù)評(píng)定內(nèi)容網(wǎng)絡(luò)安全解讀基本要求指標(biāo)項(xiàng)實(shí)施建議應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；拓?fù)鋱D應(yīng)與實(shí)際部署一致，其各類安全設(shè)備也應(yīng)標(biāo)注在圖上，建議拓?fù)鋱D掛在機(jī)房?jī)?nèi)，以便故障處置，有利于運(yùn)維人員直觀、便捷的查看應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接網(wǎng)絡(luò)應(yīng)有實(shí)時(shí)監(jiān)控功能，對(duì)會(huì)話處于非活躍30分鐘以上或會(huì)話結(jié)束后及時(shí)終止網(wǎng)絡(luò)連接應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問，控制粒度為單個(gè)用戶；可在應(yīng)用服務(wù)器前設(shè)置防火墻、認(rèn)證網(wǎng)關(guān)或授權(quán)管理系統(tǒng)，對(duì)單個(gè)用戶的訪問進(jìn)行策略控制。應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；對(duì)數(shù)據(jù)進(jìn)行分析時(shí)，應(yīng)能發(fā)現(xiàn)異常并主動(dòng)告警，審計(jì)報(bào)表應(yīng)能根據(jù)用戶需要修改，相關(guān)信息應(yīng)能上報(bào)到安全管理系統(tǒng)。評(píng)定內(nèi)容網(wǎng)絡(luò)安全解讀2基本要求指標(biāo)項(xiàng)實(shí)施建議應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。審計(jì)記錄應(yīng)保存至少半年以上。當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警應(yīng)部署安全管理系統(tǒng)（SOC)，

對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行綜合分析，對(duì)發(fā)現(xiàn)有嚴(yán)重入侵事件時(shí)應(yīng)實(shí)時(shí)告警。身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；用戶口令應(yīng)不少于12位，數(shù)字和字母組成，至少3個(gè)月更換一次。應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施；當(dāng)一次登錄密碼錯(cuò)誤次數(shù)超過6次，應(yīng)能自動(dòng)關(guān)閉并告警。評(píng)定內(nèi)容等級(jí)測(cè)評(píng)內(nèi)容：身份鑒別主機(jī)系統(tǒng)安全(三級(jí))訪問控制安全審計(jì)剩余信息保護(hù)入侵防范惡意代碼防范資源控制評(píng)定內(nèi)容主機(jī)安全解讀基本要求指標(biāo)項(xiàng)實(shí)施建議應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別；對(duì)網(wǎng)絡(luò)管理系統(tǒng)和安全管理系統(tǒng)的管理員登陸地址應(yīng)進(jìn)行限制，禁止在內(nèi)部網(wǎng)絡(luò)中的任何終端均可登陸到管理系統(tǒng)，應(yīng)在管理系統(tǒng)前的防火墻上做好訪問控制。操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；系統(tǒng)管理員的登錄身份標(biāo)識(shí)應(yīng)唯一，口令應(yīng)至少12位以上，且數(shù)字和字母大小寫組合，每半年應(yīng)更改一次。應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；當(dāng)?shù)卿洿螖?shù)錯(cuò)誤超過6次，應(yīng)自動(dòng)退出并告警評(píng)定內(nèi)容主機(jī)安全解讀2基本要求指標(biāo)項(xiàng)實(shí)施建議應(yīng)及時(shí)刪除多余的、過期的帳戶，避免共享帳戶的存在。應(yīng)定期（每半年）清理服務(wù)器中多余、過期的賬戶。應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；審計(jì)分析系統(tǒng)應(yīng)具有這些功能，并對(duì)異常行為實(shí)時(shí)告警。應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。審計(jì)記錄至少應(yīng)保存半年。評(píng)定內(nèi)容等級(jí)測(cè)評(píng)內(nèi)容：身份鑒別應(yīng)用安全(三級(jí))訪問控制通信完整性通信保密性安全審計(jì)剩余信息保護(hù)抗抵賴軟件容錯(cuò)資源控制評(píng)定內(nèi)容應(yīng)用安全解讀基本要求指標(biāo)項(xiàng)實(shí)施建議應(yīng)提供專用的登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別可采用堡壘機(jī)等方式，對(duì)登錄用戶的身份進(jìn)行標(biāo)識(shí)和鑒別。應(yīng)由授權(quán)主體配置訪問控制策略，并嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限；在應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器前部署網(wǎng)關(guān)或授權(quán)管理系統(tǒng)，對(duì)主體配置訪問控制策略。當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話；如果通信雙方中有一方在10分鐘內(nèi)未作任何響應(yīng)，則應(yīng)自動(dòng)結(jié)束會(huì)話，釋放網(wǎng)絡(luò)連接。應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警；在網(wǎng)絡(luò)管理系統(tǒng)或安全管理系統(tǒng)中，對(duì)重要服務(wù)器運(yùn)行狀況設(shè)定門限值，實(shí)時(shí)監(jiān)測(cè)，低于門限值時(shí)，應(yīng)及時(shí)告警。評(píng)定內(nèi)容等級(jí)測(cè)評(píng)內(nèi)容：數(shù)據(jù)完整性數(shù)據(jù)安全(三級(jí))數(shù)據(jù)保密性安全備份評(píng)定內(nèi)容數(shù)據(jù)安全解讀基本要求指標(biāo)項(xiàng)實(shí)施建議應(yīng)采用加密或其他保護(hù)措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲(chǔ)保密性。在數(shù)據(jù)存儲(chǔ)前，增設(shè)安全加密網(wǎng)關(guān)設(shè)備，通過密碼技術(shù)對(duì)重要數(shù)據(jù)實(shí)現(xiàn)加密存儲(chǔ)。應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場(chǎng)外存放；對(duì)網(wǎng)絡(luò)管理和安全管理系統(tǒng)等重要信息系統(tǒng)應(yīng)提供本地的數(shù)據(jù)備份和恢復(fù)功能，并按要求備份。應(yīng)提供異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備用場(chǎng)地；對(duì)重要信息系統(tǒng)的數(shù)據(jù)，應(yīng)提供異地?cái)?shù)據(jù)備份的功能，定時(shí)批量或增量備份，數(shù)據(jù)異地備份至少每月一次。應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。廣域網(wǎng)和城域網(wǎng)的關(guān)鍵設(shè)備應(yīng)采用雙電源、雙引擎，通信線路應(yīng)采用環(huán)型或雙鏈路等手段，保證網(wǎng)絡(luò)的高可用性。評(píng)定內(nèi)容等級(jí)測(cè)評(píng)內(nèi)容：崗

位設(shè)置安全管理機(jī)構(gòu)(三級(jí))人員配備授權(quán)和審批溝

通與合作審核和檢查評(píng)定內(nèi)容等級(jí)測(cè)評(píng)內(nèi)容：管理制度安全管理制度(三級(jí))制訂和發(fā)布評(píng)審和修訂

安全管理制度一般是文檔化的，被正式制定、評(píng)審、發(fā)布和修訂，內(nèi)容包括策略、制度、規(guī)程、表格和記錄等，構(gòu)成一個(gè)塔式結(jié)構(gòu)的文檔體系。評(píng)定內(nèi)容等級(jí)測(cè)評(píng)內(nèi)容：人員錄用人員安全管理(三級(jí))人員離崗人員考核安全意識(shí)教育和培訓(xùn)外部人員訪問管理評(píng)定內(nèi)容等級(jí)測(cè)評(píng)內(nèi)容：系統(tǒng)定級(jí)系統(tǒng)建設(shè)管理(三級(jí))安全方案設(shè)計(jì)產(chǎn)品采購(gòu)和使用自行軟件開發(fā)外包軟件開發(fā)工程實(shí)施測(cè)試驗(yàn)收系統(tǒng)交付安全服務(wù)商選擇系統(tǒng)備案評(píng)定內(nèi)容等級(jí)測(cè)評(píng)內(nèi)容：環(huán)境管理系統(tǒng)運(yùn)維管理(三級(jí))資產(chǎn)管理設(shè)備管理介質(zhì)管理運(yùn)行管理和監(jiān)控管理網(wǎng)絡(luò)安全管理系統(tǒng)安全管理惡意代