2023年等級(jí)保護(hù)第二級(jí)基本要求

實(shí)行建議殘留問題

等級(jí)保護(hù)第二級(jí)基

礎(chǔ)規(guī)定

1.1.1物理安全

1.1.1.1物理位置選擇（G2）

本項(xiàng)規(guī)定包含：

機(jī)房和辦公場(chǎng)地應(yīng)選擇在具有防

震、防風(fēng)和防雨等能力建筑內(nèi)；

1.1.1.2物理訪問控制（G2）

a）本項(xiàng)規(guī)定包含：

b）機(jī)房出入口應(yīng)安排專員值守，控

制、判別和記錄進(jìn)入人員；

C）需進(jìn)入機(jī)房來訪人員應(yīng)通過申請(qǐng)

和審批環(huán)節(jié)，并限制和監(jiān)控其活

動(dòng)范圍；

d）需進(jìn)入機(jī)房來訪人員應(yīng)通過申請(qǐng)

和審批環(huán)節(jié)，并限制和監(jiān)控其活

動(dòng)范圍；

1.1.1.3防偷竊和防破壞（G2）

a）本項(xiàng)規(guī)定包含：

b）應(yīng)將關(guān)鍵設(shè)備放置在機(jī)房?jī)?nèi)；

c）應(yīng)將設(shè)備或關(guān)鍵部件進(jìn)行固定，

并設(shè)立顯著不易除去標(biāo)記；

d）

e）應(yīng)將通信線纜鋪設(shè)在隱蔽處，可

鋪設(shè)在地下或管道中；

f）應(yīng)對(duì)介質(zhì)分類標(biāo)記，存放在介質(zhì)

庫(kù)或檔案室中；

g）主機(jī)房應(yīng)安裝必需防盜報(bào)警設(shè)施

1.1.1.4防雷擊（G2）

a）本項(xiàng)規(guī)定包含：

b）機(jī)房建筑應(yīng)設(shè)立避雷裝置：

C）機(jī)房應(yīng)設(shè)立交流電源地線。

1.1.1.5防火(G2)

本項(xiàng)規(guī)定包含：

機(jī)房應(yīng)設(shè)立滅火設(shè)備和火災(zāi)自動(dòng)

報(bào)警系統(tǒng)

1.1.1.6防水和防潮（G2）

a）本項(xiàng)規(guī)定包含：

b）水管安裝，不得穿過機(jī)房屋頂和

活動(dòng)地板下：

c）應(yīng)采用力法防止雨水通過機(jī)房窗

戶、屋頂和墻壁滲透；

d）應(yīng)采用方法防止機(jī)房?jī)?nèi)水蒸氣結(jié)

露和地下積水轉(zhuǎn)移和滲透；

1.1.1.7防靜電（G2）

本項(xiàng)規(guī)定包含：

關(guān)鍵設(shè)備應(yīng)采用必需接地防靜電

方法；

1.1.1.8溫濕度控制（G2）

機(jī)房應(yīng)設(shè)立溫、濕度自動(dòng)調(diào)整設(shè)施，

使機(jī)房溫、濕度改變?cè)谠O(shè)備運(yùn)營(yíng)所許可范

圍之內(nèi)。

機(jī)房應(yīng)設(shè)立溫、濕度自動(dòng)調(diào)整設(shè)施，

使機(jī)房溫、濕度改變?cè)谠O(shè)備運(yùn)營(yíng)所許可范

圍之內(nèi)。

1.1.1.9電力供應(yīng)（A2）

a）本項(xiàng)規(guī)定包含：

b）應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器

和過電壓防護(hù)設(shè)備；

c）應(yīng)提供短期備用電力供應(yīng)，最少

滿足關(guān)鍵設(shè)備在斷電情況下正常

運(yùn)營(yíng)規(guī)定；

d）

1.1.1.10電磁防護(hù)（S2）

本項(xiàng)規(guī)定包含：

電源線和通信線纜應(yīng)隔離鋪設(shè)，

避免互相干擾；

電源線和通信線纜應(yīng)隔離鋪設(shè)，

避免互相干擾；

1.1.2網(wǎng)絡(luò)安全

1.1.2.1結(jié)構(gòu)安全（G2）

本項(xiàng)規(guī)定包含：

a）應(yīng)保證關(guān)鍵網(wǎng)絡(luò)設(shè)備業(yè)務(wù)解決能

力具有冗余空間，滿足業(yè)務(wù)高峰

期需要；

b）

c）應(yīng)保證接入網(wǎng)絡(luò)和關(guān)鍵網(wǎng)絡(luò)帶寬

滿足業(yè)務(wù)高峰期需要：

d）應(yīng)繪制和目前運(yùn)營(yíng)情況相符網(wǎng)絡(luò)

拓?fù)浣Y(jié)構(gòu)圖；

e）應(yīng)依據(jù)各部門工作職能、關(guān)鍵性

和所包含信息關(guān)鍵限度等因素，

劃分不同樣子網(wǎng)或網(wǎng)段，并根據(jù)

方便管理和控制標(biāo)準(zhǔn)為各子網(wǎng)、

網(wǎng)段分派地址段；

f）

1.1.2.2訪問控制（G2）

a）本項(xiàng)規(guī)定包含：

b）應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)

備，啟用訪問控制功效；

c）應(yīng)能依據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流

提供明確許可/拒絕訪問能力，控

制粒度為網(wǎng)段級(jí)；

d）應(yīng)按用戶和系統(tǒng)之間許可訪問規(guī)

則，決定許可或拒絕用戶對(duì)受控

系統(tǒng)進(jìn)行資源訪問，控制粒度為

單個(gè)用戶；

e）應(yīng)限制具有撥號(hào)訪問權(quán)限用戶數(shù)

量。

1.1.2.3安全審計(jì)（G2）

本項(xiàng)規(guī)定包含：

a）應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中網(wǎng)絡(luò)設(shè)備運(yùn)營(yíng)情

況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行

日記記錄；

b）審計(jì)記錄應(yīng)包含：事件日期和時(shí)

問、用戶、事件類型、事件是否

成功及其它和審計(jì)相關(guān)信息；

C）

1.1.2.4邊界完整性檢查（S2）

本項(xiàng)規(guī)定包含：

應(yīng)可以對(duì)內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)

行為進(jìn)行檢查。

1.1.2.5入侵防范（G2）

本項(xiàng)規(guī)定包含：

應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下襲擊行為：端口

掃描、強(qiáng)力襲擊、木馬后門襲擊、拒絕服

務(wù)襲擊、緩沖區(qū)溢出襲擊、1P碎片襲擊和

網(wǎng)絡(luò)蠕蟲襲擊等。

應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下襲擊行為：端口

掃描、強(qiáng)力襲擊、木馬后門襲擊、拒絕服

務(wù)襲擊、緩沖區(qū)溢出襲擊、IP碎片襲擊和

網(wǎng)絡(luò)蠕蟲襲擊等。

1.1.2.6網(wǎng)絡(luò)設(shè)備防護(hù)（G2）

本項(xiàng)規(guī)定包含：

a）應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備用戶進(jìn)行身份

判別：

b）應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備管理員登錄地址進(jìn)

行限制；

c）網(wǎng)絡(luò)設(shè)備用戶標(biāo)記應(yīng)唯一；

d）身份判別信息應(yīng)具有不易被冒用

特點(diǎn)，口令應(yīng)有復(fù)雜度規(guī)定并定

期更換；

e）應(yīng)具有登錄失敗解決功效，可采

用結(jié)束會(huì)話、限制非法登錄次數(shù)

和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出

等方法；

f）當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，

應(yīng)采用必需方法防止判別信息在

網(wǎng)絡(luò)傳輸過程中被竊聽：

g）當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，

應(yīng)采用必需方法防止判別信息在

網(wǎng)絡(luò)傳輸過程中被竊聽：

1.1.3主機(jī)安全

1.1.3.1身份判別（S2）

本項(xiàng)規(guī)定包含：

a）應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)

用戶進(jìn)行身份標(biāo)記和判別；

b）操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶

身份標(biāo)記應(yīng)具有不易被冒用特

點(diǎn)，口令應(yīng)有復(fù):雜度規(guī)定并定期

更換；

c）應(yīng)啟用登錄失敗解決功效，可采

用結(jié)束會(huì)話、限制非法登錄次數(shù)

和自動(dòng)退出等方法；

d）當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)

采用必需方法，防止判別信息在

網(wǎng)絡(luò)傳輸過程中被竊聽；

e）應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)不同

樣用戶分派不同樣用戶名，保證

用戶名具有唯一性。

f）應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)不同

樣用戶分派不同樣用戶名，保證

用戶名具有唯一性。

1.1.3.2訪問控制（S2）

a）本項(xiàng)規(guī)定包含：

b）應(yīng)啟用訪問控制功效，依據(jù)安全

策略控制用戶對(duì)資源訪問：

。）應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特

權(quán)用戶權(quán)限分離；

d）應(yīng)嚴(yán)格限制默認(rèn)帳戶訪問權(quán)限，

重命名系統(tǒng)默認(rèn)帳戶，修改這些

帳戶默認(rèn)口令；

應(yīng)立即刪除多余、過期帳戶，避

免共享帳戶存在3

1.1.3.3安全審計(jì)(G2)

本項(xiàng)規(guī)定包含：

a）審計(jì)范圍應(yīng)覆蓋到服務(wù)器每個(gè)操

作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶：

b）審計(jì)內(nèi)容應(yīng)包含關(guān)鍵用戶行為、

系統(tǒng)資源異常使用和關(guān)鍵系統(tǒng)命

令使用等系統(tǒng)內(nèi)關(guān)鍵安全相關(guān)事

件；

c）審計(jì)記錄應(yīng)包含事件日期、時(shí)間、

類型、主體標(biāo)記、客體標(biāo)記和結(jié)

果等；

d）應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)

期刪除、修改或覆蓋等。

e）

1.1.3.4入侵防范（G2；

本項(xiàng)規(guī)定包含：

a）操作系統(tǒng)應(yīng)遵照最小安裝標(biāo)準(zhǔn)，

僅安裝需要組件和應(yīng)用程序，并

通過設(shè)立升級(jí)服務(wù)器等方法保持

系統(tǒng)補(bǔ)丁立即得到更新.

b）

1.1.3.5惡意代碼防范（G2）

a）本項(xiàng)規(guī)定包含：

b）應(yīng)安裝防惡意代碼軟件，并立即

更新防惡意代碼軟件版本和惡意

代碼庫(kù)；

c）應(yīng)支持防惡意代碼統(tǒng)一管理。

1.1.3.6資源控制（A2；

本項(xiàng)規(guī)定包含：

a）應(yīng)通過設(shè)定終端接入方法、網(wǎng)絡(luò)

地址范圍等條件限制終端登錄；

b）應(yīng)依據(jù)安全策略設(shè)立登錄終端操

作超時(shí)鎖定；

c）應(yīng)限制單個(gè)用戶對(duì)系統(tǒng)資源最大

或最小使用限度；

d）

1.1.4應(yīng)用安全

1.1.4.1身份判別（S2）

本項(xiàng)規(guī)定包含：

a）應(yīng)提供專用登錄控制模塊對(duì)登錄

用戶進(jìn)行身份標(biāo)記和判別：

b）應(yīng)提供用戶身份標(biāo)記唯一和判別

信息復(fù)雜度檢查功效，保證應(yīng)用

系統(tǒng)中不存在反復(fù)用戶身份標(biāo)

記，身份判別信息不易被冒用；

c）

01）應(yīng)提供登錄失敗解決功效，可采

用結(jié)束會(huì)話、限制非法登錄次數(shù)

和自動(dòng)退出等方法；

e）應(yīng)啟用身份判別、用戶身份標(biāo)記

唯一性檢查、用戶身份判別信息

復(fù)雜度檢查和登錄失敗解決功

效，并依據(jù)安全策略配置相關(guān)參

數(shù)。

f）應(yīng)啟用身份判別、用戶身份標(biāo)記

唯一性檢查、用戶身份判別信息

復(fù)雜度檢查和登錄失敗解決功

效，并依據(jù)安全策略配置相關(guān)參

數(shù)。

1.1.4.2訪問控制（S2）

本項(xiàng)規(guī)定包含：

a）應(yīng)提供訪問控制功效，依據(jù)安全

策略控制用戶對(duì)文獻(xiàn)、數(shù)據(jù)庫(kù)表

等客體訪問；

b）訪問控制覆蓋范圍應(yīng)包含和資源

訪問相關(guān)主體、客體及它們之間

操作；

c）應(yīng)由授權(quán)主體配置訪問控制策

略，并嚴(yán)格限制默認(rèn)帳戶訪問權(quán)

限；

d）應(yīng)授予不同樣帳戶為完畢各自承

擔(dān)任務(wù)所需最小權(quán)限，并在它們

之間形成互相制約關(guān)系。

e）應(yīng)授予不同樣帳戶為完畢各自承

擔(dān)任務(wù)所需最小權(quán)限，并在它們

之間形成互相制約關(guān)系。

1.1.4.3安全審計(jì)（G2）

本項(xiàng)規(guī)定包含：

a）應(yīng)提供覆蓋到每個(gè)用戶安全審計(jì)

功效，相應(yīng)用系統(tǒng)關(guān)鍵安全事件

進(jìn)行審計(jì)；

b）應(yīng)保證無法刪除、修改或覆蓋審

計(jì)記錄；

C）審計(jì)記錄內(nèi)容最少應(yīng)包含事件日

期、時(shí)間、建議者信息、類型、

描述和結(jié)果等；

1.1.4.4軟件容錯(cuò)（A2）

a）本項(xiàng)規(guī)定包含：

b）應(yīng)提供數(shù)據(jù)有效性檢查功效，保

證通過人機(jī)接口輸入或通過通信

接口輸入數(shù)據(jù)格式或長(zhǎng)度符合系

統(tǒng)設(shè)定規(guī)定；

c）應(yīng)提供自動(dòng)保護(hù)功效，當(dāng)故障發(fā)

生時(shí)自動(dòng)保護(hù)目前所有狀態(tài)，保

證系統(tǒng)可以進(jìn)行恢復(fù)。

d）應(yīng)提供自動(dòng)保護(hù)功效，當(dāng)故障發(fā)

生時(shí)自動(dòng)保護(hù)目前所有狀態(tài)，保

證系統(tǒng)可以進(jìn)行恢復(fù)。

1.1.4.5資源控制（A2；

a）本項(xiàng)規(guī)定包含：

b）當(dāng)應(yīng)用系統(tǒng)通信雙方中一方在一

段時(shí)間內(nèi)未作任何響應(yīng)，另一方

應(yīng)可以自動(dòng)結(jié)束會(huì)話；

c）應(yīng)可以對(duì)系統(tǒng)最大并發(fā)會(huì)話連接

數(shù)進(jìn)行限制；

d）應(yīng)可以對(duì)單個(gè)帳戶多重并發(fā)會(huì)話

進(jìn)行限制；

1.1.5數(shù)據(jù)安全及備份恢復(fù)

1.1.5.1數(shù)據(jù)完整性（S2）

本項(xiàng)規(guī)定包含：

應(yīng)可以檢測(cè)到判別信息和關(guān)鍵業(yè)務(wù)數(shù)據(jù)在

傳輸過程中完整性受到破壞。

1.1.5.2數(shù)據(jù)保密性（S2）

本項(xiàng)規(guī)定包含：

應(yīng)采用加密或其它保護(hù)方法實(shí)現(xiàn)判別信息

存放保密性。

1.1.5.3備份和恢復(fù)（A2）

本項(xiàng)規(guī)定包含：

a）應(yīng)可以對(duì)關(guān)鍵信息進(jìn)行備份和恢

復(fù)

b)應(yīng)提供關(guān)鍵網(wǎng)絡(luò)設(shè)備、通信線路

和數(shù)據(jù)解決系統(tǒng)硬件冗余，保證

系統(tǒng)可用性。；

C)

1.2管理規(guī)定

1.2.1安全管理制度

1.2.1.1管理制度（G2）

a）本項(xiàng)規(guī)定包含：

b）應(yīng)制訂信息安全工作總體方針和

安全策略，說明機(jī)構(gòu)安全工作總

體目的、范圍、標(biāo)準(zhǔn)和安全框架

等：

c）應(yīng)對(duì)安全管理活動(dòng)中關(guān)鍵管理內(nèi)

容建立安全管理制度；

d）應(yīng)對(duì)規(guī)定管理人員或操作人員實(shí)

行平常管理操作建立操作規(guī)程；

1.2.1.2制訂和公布（G2）

a）本項(xiàng)規(guī)定包含：

b）應(yīng)指定或授權(quán)專門部門或人員負(fù)

責(zé)安全管理制度制訂；

c）應(yīng)組織相關(guān)人員對(duì)制訂安全管理

制度進(jìn)行論證和審定；

d）應(yīng)將安全管理制度以謀合方法公

布到相關(guān)人員中。

1.2,1.3評(píng)審和修訂（G2）

本項(xiàng)規(guī)定包含：

應(yīng)定期對(duì)安全管理制度進(jìn)行評(píng)審，對(duì)踩在

局限性或需求改善安全管理制度進(jìn)行修

改。

應(yīng)定期對(duì)安全管理制度進(jìn)行評(píng)審，對(duì)踩在

局限性或需求改善安全管理制度進(jìn)行修

改。

1.2.2安全管理機(jī)構(gòu)

1.2.2.1崗位設(shè)立（G2；

a）本項(xiàng)規(guī)定包含：

1.2.2.2應(yīng)設(shè)立安全主管、安全管理各

方面負(fù)責(zé)人崗位，并定義各負(fù)責(zé)人職責(zé)。

1.2.2.3應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理

員、安全管理員等崗位，并定義各個(gè)工作

崗位職責(zé)；

1.2.2.4人員配置（G2）

a）本項(xiàng)規(guī)定包含：

b）應(yīng)配置一定數(shù)量系統(tǒng)管理員、網(wǎng)

絡(luò)管理員、安全管理員等；

c）安全管理員不能兼任網(wǎng)絡(luò)管理

員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員

等；

1.2.2.5授權(quán)和審批（G2）

a）本項(xiàng)規(guī)定包含：

b）應(yīng)依據(jù)各個(gè)部門和崗位職責(zé)明確

授權(quán)審批部門及批準(zhǔn)人、對(duì)系統(tǒng)

投入運(yùn)營(yíng)、網(wǎng)絡(luò)系統(tǒng)接入和關(guān)鍵

資源訪問等關(guān)鍵活動(dòng)進(jìn)行審批；

1.2.2.6應(yīng)針對(duì)關(guān)鍵活動(dòng)建立審批環(huán)

節(jié).并由批準(zhǔn)人簽字?jǐn)M定；

1.2.2.7溝通和合作（G2）

a）本項(xiàng)規(guī)定包含：

b）應(yīng)加強(qiáng)各類管理人員之間、組織

內(nèi)部機(jī)構(gòu)之間和信息安全職能部

門內(nèi)部合作和溝通；

c）應(yīng)加強(qiáng)和弟兄單位、公安機(jī)關(guān)、

電信公司合作和溝通。

1.2,2.8審核和檢查（G2）

本項(xiàng)規(guī)定包含：

安全管理員應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查，檢

杳內(nèi)容包含系統(tǒng)平常運(yùn)營(yíng)、系統(tǒng)漏洞和數(shù)

據(jù)備份等情況；

安全管理員應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查，檢

杳內(nèi)容包含系統(tǒng)平常運(yùn)營(yíng)、系統(tǒng)漏洞和數(shù)

據(jù)備份等情況；

1.2.3人員安全管理

1.2.3.1人員錄用（G2）

a）本項(xiàng)規(guī)定包含：

b）應(yīng)指定或授權(quán)專門部門或人員負(fù)

責(zé)人員錄用；

c）應(yīng)規(guī)范人員錄用過程，對(duì)被錄用

人身份、背景、專業(yè)資格等進(jìn)行

審查，對(duì)其所具有技術(shù)技能進(jìn)行

考評(píng)；

d）應(yīng)和從事關(guān)鍵崗位人員簽署保密

協(xié)議

1.2.3.2人員離崗（G2）

a）本項(xiàng)規(guī)定包含：

b）應(yīng)規(guī)范人員離崗過程，立即終止

離崗職工所有訪問權(quán)限；

c）應(yīng)取回多種身份證件、鑰匙、徽

章等和機(jī)構(gòu)提供軟硬件設(shè)備：

d）應(yīng)辦理嚴(yán)格調(diào)離手續(xù)。

1.2.3.3人員考評(píng)（G2）

本項(xiàng)規(guī)定包含：

應(yīng)定期對(duì)各個(gè)崗位人員進(jìn)行安全技能及安

全認(rèn)知考評(píng)；

1.2.3.4安全意識(shí)教育和培訓(xùn)（G2）

a）本項(xiàng)規(guī)定包含：

b）應(yīng)對(duì)各類人員進(jìn)行安全意識(shí)教

育、崗位技能培訓(xùn)和相關(guān)安全技

術(shù)培訓(xùn)；

c）應(yīng)告知相關(guān)人員，對(duì)違反違反安

全策略和規(guī)定人員進(jìn)行懲戒：

1.2.3.5應(yīng)制訂安全教育和培訓(xùn)計(jì)劃，

對(duì)信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等進(jìn)

行培訓(xùn)；

1.2.3.6外部人員訪問管理（G2）

a）本項(xiàng)規(guī)定包含：

應(yīng)保證在外部人員訪問受控區(qū)域

前得到授權(quán)或?qū)徟?，批?zhǔn)后由專

員全程陪同或監(jiān)督，并登記備案

1.2.4系統(tǒng)建設(shè)管理

1.2.4.1系統(tǒng)定級(jí)（G2）

a）本項(xiàng)規(guī)定包含：

b）應(yīng)明確信息系統(tǒng)邊界和安全保護(hù)

等級(jí)；

c）應(yīng)以書面形式說明擬定信息系統(tǒng)

為某個(gè)安全保護(hù)等級(jí)方法和理

由；

d）應(yīng)保證信息系統(tǒng)定級(jí)結(jié)果通過相

關(guān)部門批準(zhǔn)。

1.2.4.2安全方案設(shè)計(jì)（G2）

a）本項(xiàng)規(guī)定包含：

b）應(yīng)依據(jù)系統(tǒng)安全保護(hù)等級(jí)選擇基

礎(chǔ)安全方法，并依據(jù)風(fēng)險(xiǎn)分析結(jié)

果補(bǔ)充和調(diào)整安全方法；

c）應(yīng)以書面形式描述對(duì)系統(tǒng)安全保

護(hù)規(guī)定、策略和方法等內(nèi)容，形

成系統(tǒng)安全方案3

d）應(yīng)對(duì)安全方案進(jìn)行細(xì)化，形成能

知道安全系統(tǒng)建設(shè)、安全產(chǎn)品采

購(gòu)和使用品體設(shè)計(jì)方案

e）應(yīng)組織相關(guān)部門和相關(guān)安全技術(shù)

專家對(duì)安全設(shè)計(jì)方案合理性和對(duì)

的性及進(jìn)行論證和審定，并且通

過批準(zhǔn)后，才干正式實(shí)行。

f）應(yīng)組織相關(guān)部門和相關(guān)安全技術(shù)

專家對(duì)安全設(shè)計(jì)方案合理性和對(duì)

的性及進(jìn)行論證和審定，并且通

過批準(zhǔn)后，才干正式實(shí)行。

1.2.4.3產(chǎn)品采購(gòu)和使用（G2）

a）本項(xiàng)規(guī)定包含：

b）應(yīng)保證安全產(chǎn)品采購(gòu)和使用符合

國(guó)家相關(guān)規(guī)定；

c）應(yīng)保證密碼產(chǎn)品采購(gòu)和使用符合

國(guó)家密碼主管部門規(guī)定；

d）應(yīng)指定或授權(quán)專門部門負(fù)責(zé)產(chǎn)品

采購(gòu)；

1.2.4.4自行軟件開發(fā)（G2）

a）本項(xiàng)規(guī)定包含：

b）應(yīng)保證開發(fā)環(huán)境和實(shí)際運(yùn)營(yíng)環(huán)境

物理分開

C）應(yīng)制訂軟件開發(fā)管理制度，明確

說明開發(fā)過程控制方法和人員行

為準(zhǔn)則；

1.2.4.5應(yīng)保證提供軟件設(shè)計(jì)相關(guān)文檔

和使用指南，并由專員負(fù)責(zé)保管。

1.2.4.6外包軟件開發(fā)（G2）

a）本項(xiàng)規(guī)定包含：

b）應(yīng)依據(jù)開發(fā)需求檢測(cè)軟件質(zhì)量；

c）應(yīng)保證提供軟件設(shè)計(jì)相關(guān)文檔和

使用指南。

d）應(yīng)在軟件安裝之前檢測(cè)軟件包中

也許存在惡意代碼；

1.2.4.7應(yīng)規(guī)定開發(fā)單位提供軟件源代

碼，并審查軟件中也許存在后門。

1.2.4.8工程實(shí)行（G2）

a）本項(xiàng)規(guī)定包含：

b）應(yīng)指定或授權(quán)專門部門或人員負(fù)

責(zé)工程實(shí)行過程管理；

c）應(yīng)制訂具體工程實(shí)行方案控制實(shí)

行過程；

1.2.4.9測(cè)實(shí)驗(yàn)收（G2）

a）本項(xiàng)規(guī)定包含：

b）應(yīng)對(duì)系統(tǒng)進(jìn)行安全件測(cè)實(shí)蛤收：

c）在測(cè)實(shí)驗(yàn)收前應(yīng)依據(jù)設(shè)計(jì)方案或

協(xié)議規(guī)定等制訂測(cè)實(shí)驗(yàn)收方案，

在測(cè)實(shí)驗(yàn)收過程中應(yīng)具體記錄測(cè)

實(shí)驗(yàn)收結(jié)果，并形成測(cè)實(shí)驗(yàn)收?qǐng)?bào)

告：

1.2.4.10應(yīng)組織相關(guān)部門和相關(guān)人員

對(duì)系統(tǒng)測(cè)實(shí)驗(yàn)收?qǐng)?bào)告進(jìn)行審定，并簽字?jǐn)M

定。

1.2.4.11系統(tǒng)交付（G2）

a）本項(xiàng)規(guī)定包含：

b）應(yīng)制訂系統(tǒng)交付清單，并依據(jù)交

付清單對(duì)所交接設(shè)備、軟件和文

檔等進(jìn)行清點(diǎn)；

c）應(yīng)對(duì)負(fù)責(zé)系統(tǒng)運(yùn)營(yíng)維護(hù)技術(shù)人員

進(jìn)行相應(yīng)技能培訓(xùn)；

d）應(yīng)保證提供系統(tǒng)建設(shè)過程中文檔

和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)營(yíng)維護(hù)文

檔；

1.2.4.12安全服務(wù)商選擇（G2）

本項(xiàng)規(guī)定包含：

a）應(yīng)保證安全服務(wù)商選擇符合國(guó)家

相關(guān)規(guī)定；

b）應(yīng)和選定安全服務(wù)商簽署和安全

相關(guān)協(xié)議，明確約定相關(guān)責(zé)任；

C）

d）應(yīng)保證選定安全服務(wù)商提供技術(shù)

培訓(xùn)和服務(wù)承諾，必需和其簽署

服務(wù)協(xié)議。

。）

1.2.5系統(tǒng)運(yùn)維管理

1.2.5.1環(huán)境管理（G2）

a）本項(xiàng)規(guī)定包含：

b）應(yīng)指定專門部門或人員定期對(duì)機(jī)

房供配電、空調(diào)、溫濕度控制等

設(shè)施進(jìn)行維護(hù)管理；

c）應(yīng)配置機(jī)房安全管理人員，對(duì)機(jī)

房出入、服務(wù)器開機(jī)或關(guān)機(jī)等工

作進(jìn)行管理；

d）應(yīng)建立機(jī)房安全管理制度，對(duì)相

關(guān)機(jī)房物理訪問，物品帶進(jìn)、帶

出機(jī)房和機(jī)房環(huán)境安全等方面管

理作出規(guī)定；

1.2.5.2應(yīng)加強(qiáng)對(duì)辦公環(huán)境保密性管

理，規(guī)范辦公環(huán)境人員行為，包含工作人

員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙、

不在辦公區(qū)接待來訪人員等。

1.2.5.3資產(chǎn)管理（G2）

a）本項(xiàng)規(guī)定包含：

b）應(yīng)編制并保存和信息系統(tǒng)相關(guān)資

產(chǎn)清單，包含資產(chǎn)責(zé)任部門、關(guān)

鍵限度和所處位置等內(nèi)容；

1.2.5.4應(yīng)建立資產(chǎn)安全管理制度，規(guī)

定信息系統(tǒng)資產(chǎn)管理負(fù)責(zé)人員或責(zé)任部

門，并規(guī)范資產(chǎn)管理和使用行為；

1.2.5.5介質(zhì)管理（G2；

a）本項(xiàng)規(guī)定包含：

b）應(yīng)保證介質(zhì)存放在安全環(huán)境中，

對(duì)各類介質(zhì)進(jìn)行控制和保護(hù)，并

實(shí)行存放環(huán)境專員管理；

c）應(yīng)對(duì)介質(zhì)歸檔和查詢等進(jìn)行登記

記錄，并依據(jù)存檔介質(zhì)目錄清單

定期盤點(diǎn)；

d）應(yīng)對(duì)需要送出維修或銷毀介質(zhì)，

一方面清除其中敏感數(shù)據(jù)，防止

信息非法泄露。

e）應(yīng)依據(jù)所承載數(shù)據(jù)和軟件關(guān)鍵限

度對(duì)介質(zhì)進(jìn)行分類和標(biāo)記管理。

1.2.5.6設(shè)備管理（G2；

a）本項(xiàng)規(guī)定包含：

b）應(yīng)對(duì)信息系統(tǒng)相關(guān)多種設(shè)備（包

含備份和冗余設(shè)備）、線路等指

定專門部門或人員定期進(jìn)行維護(hù)

管理；

C）應(yīng)建立基于申報(bào)、審批和專員負(fù)

責(zé)設(shè)備安全管理制度，對(duì)信息系

統(tǒng)多種軟硬件設(shè)備選型、采購(gòu)、

發(fā)放和領(lǐng)用等過程進(jìn)行規(guī)范化管

理；

d）應(yīng)對(duì)終端計(jì)算機(jī)、工作站、便攜

機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備操作和使

用進(jìn)行規(guī)范化管理，按操作規(guī)程

實(shí)現(xiàn)關(guān)鍵設(shè)備（包含備份和冗余

設(shè)備）啟動(dòng)/停上、加電/斷電等

操作；

e）應(yīng)保證信息解決設(shè)備必需通過審

批才干帶離機(jī)房或辦公地點(diǎn)。

1.2.5.7網(wǎng)絡(luò)安全管理

本項(xiàng)規(guī)定包含：

a）應(yīng)指定人員對(duì)網(wǎng)絡(luò)進(jìn)行管理，負(fù)

責(zé)運(yùn)營(yíng)日記、網(wǎng)絡(luò)監(jiān)控記錄平常

維護(hù)和報(bào)警信息分析和解決工作

b）應(yīng)建立網(wǎng)絡(luò)安全管理制度，對(duì)網(wǎng)

絡(luò)安全配置、日記保存時(shí)間、安

全策略、升級(jí)和打補(bǔ)丁、口令更

新周期等方面做出規(guī)定；

c）應(yīng)依據(jù)廠家提供軟件升級(jí)版本對(duì)

網(wǎng)絡(luò)設(shè)備進(jìn)行更新，并在更新前

對(duì)現(xiàn)相關(guān)鍵文獻(xiàn)進(jìn)行備份；

d）應(yīng)定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃

描，對(duì)發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)

行立即修補(bǔ)；

e）應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備配置文獻(xiàn)進(jìn)行定期

備份

f）應(yīng)保證所有和外部系統(tǒng)連接均得

到授權(quán)和批準(zhǔn)。

1.2.5.8系統(tǒng)安全管理（G2）

本項(xiàng)規(guī)定包含：

a）應(yīng)依據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析

擬定系統(tǒng)訪問控制策略；

b）應(yīng)定期進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)系

統(tǒng)安全漏洞立即進(jìn)行修補(bǔ)：

c）

d）應(yīng)安裝系統(tǒng)最新補(bǔ)丁程序，在安

裝系統(tǒng)補(bǔ)丁前，一方面在測(cè)試環(huán)

境中測(cè)試通過，并對(duì)關(guān)鍵文獻(xiàn)進(jìn)

行備份后，方可實(shí)行系統(tǒng)補(bǔ)丁程

序安裝；

e）

f）應(yīng)建立系統(tǒng)安全管理制度，對(duì)系

統(tǒng)安全策略、安全配置、日記管

理和平常操作環(huán)節(jié)等方面作出具

體規(guī)定；

g）應(yīng)依據(jù)操作手冊(cè)對(duì)系統(tǒng)進(jìn)行維

護(hù)，具體記錄操作日記，包含關(guān)

鍵平常操作、運(yùn)營(yíng)維護(hù)記錄、參

數(shù)設(shè)立和修改等內(nèi)容，嚴(yán)禁進(jìn)行

未經(jīng)授權(quán)操作；

h）應(yīng)定期對(duì)運(yùn)營(yíng)日記和審計(jì)數(shù)據(jù)及

進(jìn)行分析，方便立即發(fā)現(xiàn)異常行

為。

i）應(yīng)定期對(duì)運(yùn)營(yíng)日記和審計(jì)數(shù)據(jù)及

進(jìn)行分析，方便立即發(fā)現(xiàn)異常行

為。

1.2.5.9惡意代碼防范管理（G2）

a）本項(xiàng)規(guī)定包含：

b）應(yīng)提高所有用戶防病毒意識(shí)，立

即告知防病毒軟件版本，在讀取

移動(dòng)存放設(shè)備上數(shù)據(jù)和網(wǎng)絡(luò)上接

受文獻(xiàn)或郵件之前，優(yōu)異行病毒

檢查，對(duì)外來計(jì)算機(jī)或存放設(shè)備

接入網(wǎng)絡(luò)系統(tǒng)之前也應(yīng)進(jìn)行病毒

檢查；

c）應(yīng)指定專員對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡

意代碼檢測(cè)并保存檢測(cè)記錄；

d）應(yīng)對(duì)防惡意代碼軟件授權(quán)使用、

惡意代碼庫(kù)升級(jí)、定期報(bào)告等作

出明確規(guī)定；

1.2.5.10密碼管理（G2）

應(yīng)使用符合國(guó)家密碼管理規(guī)定密碼技