该【2023年等级保护2.0基本要求 】是由【1772186****】上传分享,文档一共【27】页,该文档可以免费在线阅读,需要了解更多关于【2023年等级保护2.0基本要求 】的内容,可以使用淘豆网的站内搜索功能,选择自己适合的文档,以下文字是截取该文章内的部分文字,如需要获得完整电子版,请下载此文档到您的设备,方便您编辑和打印。1通用技术规定
安全物理环境
需 要 满 足 符 合 项 的
(,
(或 者 空
序号
名称
具体规定
2级
3级
1
物理位置的 选择
a)机房场地应选择在具有防震、防风和防雨等能 力的建筑内;
0
0
b)机房场地应避免设在建筑物的顶层或地下室, 否则应加强防水和防潮措施。
0
0
2
物理访问控 制
机房出入口应安排专人值守或配置电子门禁系统, 控制、鉴别和记录进入的人员。
0
回
安全管理中心
序号
名称
具体规定
2级
3级
1
系统管理
a)应对系统管理员进行身份鉴别,只允许其 通过特定的命令或操作界面进行系统管理操 作,并对这些操作进行审计;
0
0
b)应通过系统管理员对系统的资源和运营进 行配置、控制和管理,涉及用户身份、系统资 源配置、系统加载和启动、系统运营的异常解 决、数据和设备的备份与恢复等。
0
0
2
审计管理
a)应对审计管理员进行身份鉴别,只允许其 通过特定的命令或操作界面进行安全审计操 作,并对这些操作进行审计;
0
0
b)应通过审计管理员对审计记录进行分析, 并根据分析结果进行解决,涉及根据安全审 计策略对审计记录进行存储、管理和查询等。
0
0
3
安全管理
a)应对安全管理员进行身份鉴别,只允许其 通过特定的命令或操作界面进行安全管理操 作,并对这些操作进行审计;
b)应通过安全管理员对系统中的安全策略进 行配置,涉及安全参数的设立,主体、客体进 行统一安全标记,对主体进行授权,配置可 信验证策略等。
b)应通过安全管理员对系统中的安全策略进 行配置,涉及安全参数的设立,主体、客体进 行统一安全标记,对主体进行授权,配置可信 验证策略等。
回
0
4
集中管控
a)应划分出特定的管理区域,对分布在网络 中的安全设备或安全组件进行管控;
b)应可以建立一条安全的信息传输途径,对 网络中的安全设备或安全组件进行管理;
0
C)应对网络链路、安全设备、网络设备和服 务器等的运营状况进行集中监测;
d)应对分散在各个设备上的审计数据进行收 集汇总和集中分析,并保证审计记录的留存 时间符合法律法规规定;
e)应对安全策略、恶意代码、补丁升级等安 全相关事项进行集中管理;
f)应能对网络中发生的各类安全事件进行辨 认、报警和分析。
2通用管理
安全管理制度
序号
名称
具体规定
2级
3级
1
安全策略
应制定网络安全工作的总体方针和安全策略, 阐明机构安全工作的总体目的、范围、原则和 安全框架等。
0
0
2
管理制度
a)应对安全管理活动中的重要管理内容建立 安全管理制度;
0
0
b)应对管理人员或操作人员执行的平常管理 操作建立操作规程。
0
0
c)应形成由安全策略、管理制度、操作规程、 登记表单等构成的全面的安全管理制度体系。
因
0
3
制定和发布
a)应指定或授权专门的部门或人员负责安全 管理制度的制定;
0
0
b)安全管理制度应通过正式、有效的方式发 布,并进行版本控制。
0
0
4
评审和修订
应定期对安全管理制度的合理性和合用性进 行论证和审定,对存在局限性或需要改善的 安全管理制度进行修订。
0
0
安全管理机构
序号
名称
具体规定
2级
3级
1
岗位设立
a)应设立网络安全管理工作的职能部门,设 立安全主管、安全管理各个方面的负责人岗 位,并定义各负责人的职责;
0
0
b)应设立系统管理员、审计管理员和安全管 理员等岗位,并定义部门及各个工作岗位的 职责。
0
0
a)应成立指导和管理网络安全工作的委员会 或领导小组,其最高领导由单位主管领导担 任或授权;
0
2
人贝配备
应配备一定数量的系统管理员、审计管理员和 安全管理员等。
0
0
b)应配备专职安全管理员,不可兼任。
0
3
授权和审批
a)应根据各个部门和岗位的职责明确授权审 批事项、审批部门和批准人等;
0
0
b)应针对系统变更、重要操作、物理访问和 系统接入等事项执行审批过程。
0
b)应针对系统变更、重要操作、物理访问和 系统接入等事项建立审批程序,按照审批程 序执行审批过程,对重要活动建立逐级审批 制度;.
c)应定期审查审批事项,及时更新需授权和 审批的项目、审批部门和审批人等信息。
C)应定期审查审批事项,及时更新需授权和 审批的项目、审批部门和审批人等信息。
0
4
沟通和合作
a)应加强各类管理人员、组织内部机构和网
0
0
络安全管理部门之间的合作与沟通,定期召 开协调会议,共同协作解决网络安全问题;
b)应加强与网络安全职能部门、各类供应商、 业界专家及安全组织的合作与沟通;
0
0
C)应建立外联单位联系列表,涉及外联单位 名称、合作内容、联系人和联系方式等信息。
0
0
5
审核和检查
应定期进行常规安全检查,检查内容涉及系 统平常运营、系统漏洞和数据备份等情况。
0
0
b)应定期进行全面安全检查,检查内容涉及 现有安全技术措施的有效性、安全配置与安全 策略的一致性、安全管理制度的执行情况等; c)应制定安全检查表格实行安全检查,汇总 安全检查数据,形成安全检查报告,并对安 全检查结果进行通报。
C)应制定安全检查表格实行安全检查,汇总 安全检查数据,形成安全检查报告,并对安全 检查结果进行通报。
0
安全管理人员
序号
名称
具体规定
2级
3级
1
人员录用
a)应指定或授权专门的部门或人员负责人员 录用;
0
0
b)应对被录用人员的身份、安全背景、专业 资格或资质等进行审查。,对其所具有的技术 技能进行考核;
0
0
c)应与被录用人员签署保密协议,与关键岗 位人员签署岗位责任协议。.
0
2
人员离岗
应及时终止离岗人员的所有访问权限,取回
0
0
各种身份证件、钥匙、徽章等以及机构提供的 软硬件设备。
b)应办理严格的调离手续,并承诺调离后的 保密义务后方可离开。
0
3
安全意识教 育和培训
应对各类人员进行安全意识教育和岗位技能 培训,并告知相关的安全责任和惩戒措施。
0
0
b)应针对不同岗位制定不同的培训计划,对 安全基础知识、岗位操作规程等进行培训; C)应定期对不同岗位的人员进行技能考核。
0
4
外部人员访 问管理
a)应在外部人员物理访问受控区域前先提出 书面申请,批准后由专人全程陪同,并登记 备案;
0
0
b)应在外部人员接入受控网络访问系统前先 提出书面申请,批准后由专人开设账户、分派 权限,并登记备案;
0
0
c)外部人员离场后应及时清除其所有的访问 权限。
0
0
d)获得系统访问授权的外部人员应签署保密 协议,不得进行非授权操作,不得复制和泄 露任何敏感信息。
0
安全建设管理
序号
名称
具体规定
2级
3级
1
定级和备案
a)应以书面的形式说明保护对象的安全保护 等级及拟定等级的方法和理由;
0
0
b)应组织相关部门和有关安全技术专家对定 级结果的合理性和对的性进行论证和审定;
0
0
C)应保证定级结果通过相关部门的批准;
0
0
d)应将备案材料报主管部门和相应公安机关 备案。
0
0
2
安全方案设 计
a)应根据安全保护等级选择基本安全措施, 依据风险分析的结果补充和调整安全措施;
0
0
b)应根据保护对象的安全保护等级进行安全 方案设计;
0
c)应组织相关部门和有关安全专家对安全方 案的合理性和对的性进行论证和审定,通过 批准后才干正式实行。
0
b)应根据保护对象的安全保护等级及与其他 级别保护对象的关系进行安全整体规划和安 全方案设计,设计内容应包含密码技术相关 内容,并形成配套文献;
C)应组织相关部门和有关安全专家对安全整 体规划及其配套文献的合理性和对的性进行 论证和审定,通过批准后才干正式实行。
C)应组织相关部门和有关安全专家对安全整 体规划及其配套文献的合理性和对的性进行 论证和审定,通过批准后才干正式实行。
0
3
产品米购和 使用
a)应保证网络安全产品采购和使用符合国家 的有关规定;
0
0
b)应保证密码产品与服务的采购和使用符合 国家密码管理主管部门的规定。
0
0
c)应预先对产品进行选型测试,拟定产品的 候选范围,并定期审定和更新候选产品名单。
0
4
自行软件开 发
a)应将开发环境与实际运营环境物理分开, 测试数据和测试结果受到控制;
0
0
b)应在软件开发过程中对安全性进行测试, 在软件安装前对也许存在的恶意代码进行检 测。
0
0
b)应制定软件开发管理制度,明确说明开发 过程的控制方法和人员行为准则;
C)应制定代码编写安全规范,规定开发人员 参照规范编写代码;
d)应具有软件设计的相关文档和使用指南, 并对文档使用进行控制;
f)应对程序资源库的修改、更新、发布进行 授权和批准,并严格进行版本控制;
g)应保证开发人员为专职人员,开发人员的 开发活动受到控制、监视和审查。
g)应保证开发人员为专职人员,开发人员的 开发活动受到控制、监视和审查。
0
5
外包软件开 发
a)应在软件交付前检测其中也许存在的恶意 代码;
0
0
b)应保证开发单位提供软件设计文档和使用 指南。
0
0
c)应保证开发单位提供软件源代码,并审查 软件中也许存在的后门和隐蔽信道。
0
6
工程实行
a)应指定或授权专门的部门或人员负责工程 实行过程的管理;
0
0
b)应制定安全工程实行方案控制工程实行过 程。
0
0
c)应通过第三方工程监理控制项目的实行过 程。
0
7
测实验收
a)应制订测实验收方案,并依据测实验收方 案实行测实验收,形成测实验收报告;
0
0
b)应进行上线前的安全性测试,并出具安全 测试报告。安全测试报告应包含密码应用安全 性测试相关内容。
0
0
8
系统交付
a)应制定交付清单,并根据交付清单对所交 接的设备、软件和文档等进行清点;
0
0
b)应对负责运营维护的技术人员进行相应的
0
0
技能培训;
C)应提供建设过程文档和运营维护文档。
0
0
9
等级测评
a)应定期进行等级测评,发现不符合相应等 级保护标准规定的及时整改;
0
0
b)应在发生重大变更或级别发生变化时进行 等级测评;
0
0
C)应保证测评机构的选择符合国家有关规 定。
0
0
10
服务供应商 选择
a)应保证服务供应商的选择符合国家的有关 规定;
0
0
b)应与选定的服务供应商签订相关协议,明 确整个服务供应链各方需履行的网络安全相 关义务。
0
0
c)应定期监督、评审和审核服务供应商提供 的服务,并对其变更服务内容加以控制。
0
安全运维管理
序号
名称
具体规定
2级
3级
1
环境管理
a)应指定专门的部门或人员负责机房安全, 对机房出入进行管理,定期对机房供配电、空 调、温湿度控制、消防等设施进行维护管理;
0
0
b)应对机房的安全管理做出规定,涉及物理 访问、物品进出和环境安全等;
0
b)应建立机房安全管理制度,对有关物理访 间、物品带进出和环境安全等方面的管理作出 规定;
0
C)应不在重要区域接待来访人员,不随意放
0
0
置具有敏感信息的纸档文献和移动介质等。
2
资产管理
应编制并保存与保护对象相关的资产清单, 涉及资产责任部门、重要限度和所处位置等内 容。
0
0
b)应根据资产的重要限度对资产进行标记管 理,根据资产的价值选择相应的管理措施; C)应对信息分类与标记方法作出规定,并对 信息的使用、传输和存储等进行规范化管理。 C)应对信息分类与标记方法作出规定,并对 信息的使用、传输和存储等进行规范化管理。
0
3
介质管理
a)应将介质存放在安全的环境中,对各类介 质进行控制和保护,实行存储环境专人管理, 并根据存档介质的目录清单定期盘点;
0
0
b)应对介质在物理传输过程中的人员选择、 打包、交付等情况进行控制,并对介质的归档 和查询等进行登记记录。
0
0
4
设备维护管 理
a)应对各种设备(涉及备份和冗余设备)、线 路等指定专门的部门或人员定期进行维护管 理;
0
0
b)应对配套设施、软硬件维护管理做出规定, 涉及明确维护人员的责任、维修和服务的审 批、维修过程的监督控制等。
0
0
c)信息解决设备必须通过审批才干带离机房 或办公地点,具有存储介质的设备带出工作 环境时其中重要数据必须加密;
d)具有存储介质的设备在报废或重用前,应 进行完全清除或被安全覆盖,保证该设备上 的敏感数据和授权软件无法被恢复重用。
d)具有存储介质的设备在报废或重用前,应 进行完全清除或被安全覆盖,保证该设备上的 敏感数据和授权软件无法被恢复重用。
0
2023年等级保护2.0基本要求 来自淘豆网m.daumloan.com转载请标明出处.
