文档介绍:该【2025年信息安全等级保护 】是由【小屁孩】上传分享,文档一共【14】页,该文档可以免费在线阅读,需要了解更多关于【2025年信息安全等级保护 】的内容,可以使用淘豆网的站内搜索功能,选择自己适合的文档,以下文字是截取该文章内的部分文字,如需要获得完整电子版,请下载此文档到您的设备,方便您编辑和打印。 : .
太上有立德,其次有立功,其次有立言,虽久不废,此谓不朽。——《左传》
信息安全等级保护二级
信息安全等级保护二级
备注:其中黑色字体为信息安全等级保护第二级系统要求 ,蓝色字体为第三级系统等保
要求.
一、物理安全
1、应具有机房和办公场地的设计/验收文档机房场地的选址说明、地线连接要求的描
述、建筑材料具有相应的耐火等级说明、接地防静电措施
2、应具有有来访人员进入机房的申请、审批记录;来访人员进入机房的登记记录
3、应配置电子门禁系统三级明确要求;电子门禁系统有验收文档或产品安全认证资质,
电子门禁系统运行和维护记录
4、主要设备或设备的主要部件上应设置明显的不易除去的标记
5、介质有分类标识;介质分类存放在介质库或档案室内,磁介质、纸介质等分类存放
6、应具有摄像、传感等监控报警系统;机房防盗报警设施的安全资质材料、安装测试
和验收报告;机房防盗报警系统的运行记录、定期检查和维护记录;
7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告;机房监控报警系
统的运行记录、定期检查和维护记录
8、应具有机房建筑的避雷装置;通过验收或国家有关部门的技术检测; : .
志不强者智不达,言不信者行不果。——墨翟
9、应在电源和信号线上增加有资质的防雷保安器;具有防雷检测资质的检测部门对防
雷装置的检测报告
10、应具有自动检测火情、自动报警、自动灭火的自动消防系统;自动消防系统的运
行记录、检查和定期维护记录;消防产品有效期合格;自动消防系统是经消防检测部门检
测合格的产品
11、应具有除湿装置;空调机和加湿器;温湿度定期检查和维护记录
12、应具有水敏感的检测仪表或元件;对机房进行防水检测和报警;防水检测装置的
运行记录、定期检查和维护记录
13、应具有温湿度自动调节设施;温湿度自动调节设施的运行记录、定期检查和维护
记录
14、应具有短期备用电力供应设备如 UPS;短期备用电力供应设备的运行记录、定期检
查和维护记录
15、应具有冗余或并行的电力电缆线路如双路供电方式
16、应具有备用供电系统如备用发电机;备用供电系统运行记录、定期检查和维护记
录
二、安全管理制度
1、应具有对重要管理操作的操作规程,如系统维护手册和用户操作规程
2、应具有安全管理制度的制定程序: : .
以铜为镜,可以正衣冠;以古为镜,可以知兴替;以人为镜,可以明得失。——《旧唐书·魏征列传》
3、应具有专门的部门或人员负责安全管理制度的制定发布制度具有统一的格式,并进
行版本控制
4、应对制定的安全管理制度进行论证和审定,论证和审定方式如何如召开评审会、函
审、内部审核等,应具有管理制度评审记录
5、应具有安全管理制度的收发登记记录,收发应通过正式、有效的方式如正式发文、
领导签署和单位盖章等----安全管理制度应注明发布范围,并对收发文进行登记.
6、信息安全领导小组定期对安全管理制度体系的合理性和适用性进行审定,审定周期
7、系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变
更时应对安全管理制度进行检查,
录
三、安全管理机构
1、应设立信息安全管理工作的职能部门
2、应设立安全主管、安全管理各个方面的负责人
3、应设立机房管理员、系统管理员、网络管理员、安全管理员等重要岗位分工明确 ,
各司其职,数量情况管理人员名单、岗位与人员对应关系表
4、安全管理员应是专职人员
5、关键事物需要配备 2 人或 2 人以上共同管理,人员具体配备情况如何. : .
其身正,不令而行;其身不正,虽令不从。——《论语》
6、应设立指导和管理信息安全工作的委员会或领导小组最高领导是否由单位主管领导
委任或授权的人员担任
7、应对重要信息系统活动进行审批如系统变更、重要操作、物理访问和系统接入、重
要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等 ,审批部门
是何部门 ,:
8、应与其它部门之间及内部各部门管理人员定期进行沟通信息安全领导小组或者安全
管理委员会应定期召开会议
9、应组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录,
定期:
10、信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录如会议
记录/纪要,信息安全工作决策文档等
11、应与公安机关、电信公司和兄弟单位等的沟通合作外联单位联系列表12、应与供
应商、业界专家、专业的安全公司、安全组织等建立沟通、合作机制 .13、聘请信息安全专
家作为常年的安全顾问具有安全顾问名单或者聘请安全顾问的证明文件、具有安全顾问参
与评审的文档或记录
14、应组织人员定期对信息系统进行安全检查查看检查内容是否包括系统日常运行、
系统漏洞和数据备份等情况
15、应定期进行全面安全检查安全检查是否包含现行技术措施有效性和管理制度执行
情况等方面、具有安全检查表格 ,安全检查报告 ,检查结果通告记录
四、人员安全管理 : .
古之立大事者,不惟有超世之才,亦必有坚忍不拔之志。——苏轼
1、何部门/何人负责安全管理和技术人员的录用工作录用过程
2、应对被录用人的身份、背景、专业资格和资质进行审查,对技术人员的技术技能进
行考核,技能考核文档或记录
3、应与录用后的技术人员签署保密协议协议中有保密范围、保密责任、违约责任、协
议的有效期限和责任人的签字等内容
4、应设定关键岗位 ,对从事关键岗位的人员是否从内部人员中选拔,是否要求其签署岗
位安全协议.
5、应及时终止离岗人员的所有访问权限离岗人员所有访问权限终止的记录
6、应及时取回离岗人员的各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等
交还身份证件和设备等的登记记录
7、人员离岗应办理调离手续,是否要求关键岗位调离人员承诺相关保密义务后方可离
开具有按照离岗程序办理调离手续的记录,调离人员的签字
8、对各个岗位人员应定期进行安全技能考核;具有安全技能考核记录,考核内容要求
包含安全知识、安全技能等.
9、对关键岗位人员的安全审查和考核与一般岗位人员有何不同 ,审查内容是否包括操
作行为和社会关系等.
10、应对各类人员普通用户、运维人员、单位领导等进行安全教育、岗位技能和安全
技术培训 . : .
好学近乎知,力行近乎仁,知耻近乎勇。——《中庸》
11、应针对不同岗位制定不同的培训计划 ,并按照计划对各个岗位人员进行安全教育和
培训安全教育和培训的结果记录,记录应与培训计划一致
12、外部人员进入条件对哪些重要区域的访问须提出书面申请批准后方可进入,外部人
员进入的访问控制由专人全程陪同或监督等
13、应具有外部人员访问重要区域的书面申请
14、应具有外部人员访问重要区域的登记记录记录描述了外部人员访问重要区域的进
入时间、离开时间、访问区域、访问设备或信息及陪同人等
五、系统建设管理
1、应明确信息系统的边界和安全保护等级具有定级文档,明确信息系统安全保护等级
2、应具有系统建设/整改方案
3、应授权专门的部门对信息系统的安全建设进行总体规划,由何部门/何人负责
4、应具有系统的安全建设工作计划系统安全建设工作计划中明确了近期和远期的安全
建设计划
5、应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策
略等相关配套文件进行论证和审定配套文件的论证评审记录或文档
6、应对总体安全策略、安全技术框架、安全管理策略等相关配套文件应定期进行调整
和修订
7、应具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方
案等相关配套文件的维护记录或修订版本 : .
好学近乎知,力行近乎仁,知耻近乎勇。——《中庸》
8、应按照国家的相关规定进行采购和使用系统信息安全产品
9、安全产品的相关凭证,如销售许可等,应使用符合国家有关规定产品
10、应具有专门的部门负责产品的采购
11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,
是否定期审定和更新候选产品名单
12、应具有产品选型测试结果记录和候选产品名单及更新记录产品选型测试结果文档
13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或
操作手册
14、对程序资源库的修改、更新、发布应进行授权和批准
15、应具有程序资源库的修改、更新、发布文档或记录
16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测
17、软件安装之前应检测软件中的恶意代码该软件包的恶意代码检测报告,检测工具是
否是第三方的商业产品
18、应具有软件设计的相关文档和使用指南
19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档
20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量
控制 : .
子曰:“知者不惑,仁者不忧,勇者不惧。” ——《论语》
21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,
工程实施方案
22、在信息系统正式运行前 ,应委托第三方测试机构根据设计方案或合同要求对信息系
统进行独立的安全性测试第三方测试机构出示的系统安全性测试验收报告
23、应具有工程测试验收方案测试验收方案与设计方案或合同要求内容一致
24、应具有测试验收报告
25、应指定专门部门负责测试验收工作具有对系统测试验收报告进行审定的意见
26、根据交付清单对所交接的设备、文档、软件等进行清点系统交付清单
27、应具有系统交付时的技术培训记录
28、应具有系统建设文档如系统建设方案、指导用户进行系统运维的文档如服务器操
作规程书以及系统培训手册等文档.
29、应指定部门负责系统交付工作
30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等
相关安全服务商签订的协议文档中有保密范围、安全责任、违约责任、协议的有效期限和
责任人的签字等内容
31、选定的安全服务商应提供一定的技术培训和服务
32、应与安全服务商签订的服务合同或安全责任合同书 : .
饭疏食,饮水,曲肱而枕之,乐亦在其中矣。不义而富且贵,于我如浮云。——《论语》
11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,
是否定期审定和更新候选产品名单
12、应具有产品选型测试结果记录和候选产品名单及更新记录产品选型测试结果文档
13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或
操作手册
14、对程序资源库的修改、更新、发布应进行授权和批准
15、应具有程序资源库的修改、更新、发布文档或记录
16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测
17、软件安装之前应检测软件中的恶意代码该软件包的恶意代码检测报告,检测工具是
否是第三方的商业产品
18、应具有软件设计的相关文档和使用指南
19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档
20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量
控制
21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,
工程实施方案
22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系
统进行独立的安全性测试第三方测试机构出示的系统安全性测试验收报告 : .
天将降大任于斯人也,必先苦其心志,劳其筋骨,饿其体肤,空乏其身,行拂乱其所为。——《孟子》
、应具有工程测试验收方案测试验收方案与设计方案或合同要求内容一致
24、应具有测试验收报告
25、应指定专门部门负责测试验收工作具有对系统测试验收报告进行审定的意见
26、根据交付清单对所交接的设备、文档、软件等进行清点系统交付清单
27、应具有系统交付时的技术培训记录
28、应具有系统建设文档如系统建设方案、指导用户进行系统运维的文档如服务器操
作规程书以及系统培训手册等文档.
29、应指定部门负责系统交付工作
30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等
相关安全服务商签订的协议文档中有保密范围、安全责任、违约责任、协议的有效期限和
责任人的签字等内容
31、选定的安全服务商应提供一定的技术培训和服务
32、应与安全服务商签订的服务合同或安全责任合同书
六、系统运维管理
1、应指定专人或部门对机房的基本设施如空调、供配电设备等进行定期维护 ,由何部
门/何人负责.
2、应具有机房基础设施的维护记录,空调、温湿度控制等机房设施定期维护保养的记
录 : .
先天下之忧而忧,后天下之乐而乐。——范仲淹
、应指定部门和人员负责机房安全管理工作
4、应对办公环境保密性进行管理工作人员离开座位确保终端计算机退出登录状态、桌
面上没有包含敏感信息的纸档文件
5、应具有资产清单覆盖资产责任人、所属级别、所处位置、所处部门等方面
6、应指定资产管理的责任部门或人员
7、应依据资产的重要程度对资产进行标识
8、介质存放于何种环境中,应对存放环境实施专人管理介质存放在安全的环境防潮、
防盗、防火、防磁,专用存储空间
9、应具有介质使用管理记录,应记录介质归档和使用等情况介质存放、使用管理记录
10、对介质的物理传输过程应要求选择可靠传输人员、严格介质的打包如采用防拆包
装置、选择安全的物理传输途径、双方在场交付等环节的控制
11、应对介质的使用情况进行登记管理,并定期盘点介质归档和查询的记录、存档介质
定期盘点的记录