信息安全等级保护(二级)

信息安全等级保护(二级)信息安全等级保护(二级)备注:其中黑色字体为信息安全等级保护第二级系统要求,蓝色字体为第三级系统等保要求。

一、物理安全

1、应具有机房和办公场地的设计/验收文档(机房场地的选址说明、地线连接要求的描述、建筑材料具有相应的耐火等级说明、接地防静电措施)

2、应具有有来访人员进入机房的申请、审批记录;来访人员进入机房的登记记录

3、应配置电子门禁系统(三级明确要求);电子门禁系统有验收文档或产品安全认证资质,电子门禁系统运行和维护记录

4、主要设备或设备的主要部件上应设置明显的不易除去的标记

5、介质有分类标识;介质分类存放在介质库或档案室内,磁介质、纸介质等分类存放

6、应具有摄像、传感等监控报警系统;机房防盗报警设施的安全资质材料、安装测试和验收报告;机房防盗报警系统的运行记录、定期检查和维护记录;

7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告;机房监控报警系统的运行记录、定期检查和维护记录

8、应具有机房建筑的避雷装置;通过验收或国家有关部门的技术检测;

9、应在电源和信号线上增加有资质的防雷保安器;具有防雷检测资质的检测部门对防雷装置的检测报告

10、应具有自动检测火情、自动报警、自动灭火的自动消防系统;自动消防系统的运行记录、检查和定期维护记录;消防产品有效期合格;自动消防系统是经消防检测部门检测合格的产品

11、应具有除湿装置;空调机和加湿器;温湿度定期检查和维护记录

12、应具有水敏感的检测仪表或元件;对机房进行防水检测和报警;防水检测装置的运行记录、定期检查和维护记录

13、应具有温湿度自动调节设施;温湿度自动调节设施的运行记录、定期检查和维护记录

14、应具有短期备用电力供应设备(如ups);短期备用电力供应设备的运行记录、定期检查和维护记录

15、应具有冗余或并行的电力电缆线路(如双路供电方式)

2

16、应具有备用供电系统(如备用发电机);备用供电系统运行记录、定期检查和维护记录

二、安全管理制度

1、应具有对重要管理操作的操作规程,如系统维护手册和用户操作规程

2、应具有安全管理制度的制定程序:

3、应具有专门的部门或人员负责安全管理制度的制定(发布制度具有统一的格式,并进行版本控制)

4、应对制定的安全管理制度进行论证和审定,论证和审定方式如何(如召开评审会、函审、内部审核等),应具有管理制度评审记录

5、应具有安全管理制度的收发登记记录,收发应通过正式、有效的方式(如正式发文、领导签署和单位盖章等)—-安全管理制度应注明发布范围,并对收发文进行登记

6、信息安全领导小组定期对安全管理制度体系的合理性和适用性进行审定,审定周期多长。(安全管理制度体系的评审记录)

7、系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时应对安全管理制度进行检查,对需要改进的制度进行修订。(应具有安全管理制度修订记录)

三、安全管理机构

1、应设立信息安全管理工作的职能部门

2、应设立安全主管、安全管理各个方面的负责人

3、应设立机房管理员、系统管理员、网络管理员、安全管理员等重要岗位(分工明确,各司其职),数量情况(管理人员名单、岗位与人员对应关系表)

4、安全管理员应是专职人员

5、关键事物需要配备2人或2人以上共同管理,人员具体配备情况如何

6、应设立指导和管理信息安全工作的委员会或领导小组(最高领导是否由单位主管领导委任或授权的人员担任)

7、应对重要信息系统活动进行审批(如系统变更、重要操作、物理访问和系统接入、重要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等),审批部门是何部门,审批人是何人。审批程序:

8、应与其它部门之间及内部各部门管理人员定期进行沟通(信息安全领导小组或者安全管理委员会应定期召开会议)

9、应组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录,定期:

10、信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录(如会议记录/纪要,信息安全工作决策文档等)

11、应与公安机关、电信公司和兄弟单位等的沟通合作(外联单位联系列表)

12、应与供应商、业界专家、专业的安全公司、安全组织等建立沟通、合作机制

13、聘请信息安全专家作为常年的安全顾问(具有安全顾问名单或者聘请安全顾问的证明文件、具有安全顾问参与评审的文档或记录)

14、应组织人员定期对信息系统进行安全检查(查看检查内容是否包括系统日常运行、系统漏洞和数据备份等情况)

15、应定期进行全面安全检查(安全检查是否包含现行技术措施有效性和管理制度执行情况等方面、具有安全检查表格,安全检查报告,检查结果通告记录)

四、人员安全管理

1、何部门/何人负责安全管理和技术人员的录用工作(录用过程)

2、应对被录用人的身份、背景、专业资格和资质进行审查,对技术人员的技术技能进行考核,技能考核文档或记录

3、应与录用后的技术人员签署保密协议(协议中有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容)

4、应设定关键岗位,对从事关键岗位的人员是否从内部人员中选拔,是否要求其签署岗位安全协议

5、应及时终止离岗人员的所有访问权限(离岗人员所有访问权限终止的记录)

6、应及时取回离岗人员的各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等(交还身份证件和设备等的登记记录)

7、人员离岗应办理调离手续,是否要求关键岗位调离人员承诺相关保密义务后方可离开(具有按照离岗程序办理调离手续的记录,调离人员的签字)

8、对各个岗位人员应定期进行安全技能考核;具有安全技能考核记录,考核内容要求包含安全知识、安全技能等

9、对关键岗位人员的安全审查和考核与一般岗位人员有何不同,审查内容是否包括操作行为和社会关系等

10、应对各类人员(普通用户、运维人员、单位领导等)进行安全教育、岗位技能和安全技术培训

6

11、应针对不同岗位制定不同的培训计划,并按照计划对各个岗位人员进行安全教育和培训(安全教育和培训的结果记录,记录应与培训计划一致)

12、外部人员进入条件(对哪些重要区域的访问须提出书面申请批准后方可进入),外部人员进入的访问控制(由专人全程陪同或监督等)

13、应具有外部人员访问重要区域的书面申请

14、应具有外部人员访问重要区域的登记记录(记录描述了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等)

五、系统建设管理

1、应明确信息系统的边界和安全保护等级(具有定级文档,明确信息系统安全保护等级)

2、应具有系统建设/整改方案

3、应授权专门的部门对信息系统的安全建设进行总体规划,由何部门/何人负责

4、应具有系统的安全建设工作计划(系统安全建设工作计划中明确了近期和远期的安全建设计划)

5、应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略等相关配套文件进行论证和审定(配套文件的论证评审记录或文档)

6、应对总体安全策略、安全技术框架、安全管理策略等相关配套文件应定期进行调整和修订

7、应具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本

8、应按照国家的相关规定进行采购和使用系统信息安全产品

9、安全产品的相关凭证,如销售许可等,应使用符合国家有关规定产品

10、应具有专门的部门负责产品的采购

11、采购产品前应预先对产品进行选型测试确定产品的候选范围,形成候选产品清单,是否定期审定和更新候选产品名单

12、应具有产品选型测试结果记录和候选产品名单及更新记录(产品选型测试结果文档)

13、应具有软件设计相关文档,专人保管软件设计的相关文档,应具有软件使用指南或操作手册

14、对程序资源库的修改、更新、发布应进行授权和批准

8

15、应具有程序资源库的修改、更新、发布文档或记录

16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测

17、软件安装之前应检测软件中的恶意代码(该软件包的恶意代码检测报告),检测工具是否是第三方的商业产品

18、应具有软件设计的相关文档和使用指南

19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档

20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制

21、应具有工程实施过程应按照实施方案形成各种文档,如阶段性工程进程汇报报告,工程实施方案

22、在信息系统正式运行前,应委托第三方测试机构根据设计方案或合同要求对信息系统进行独立的安全性测试(第三方测试机构出示的系统安全性测试验收报告)

23、应具有工程测试验收方案(测试验收方案与设计方案或合同要求内容一致)

24、应具有测试验收报告

隐藏内容

此处内容需要权限查看

  • 普通用户特权:8.8积分
  • 会员用户特权:免费
  • 网站代理用户特权:免费推荐
会员免费查看

48、应对系统相关人员进行应急预案培训(应急预案培训记录)

49、应定期对应急预案进行演练(应急预案演练记录)50、应对应急预案定期进行审查并更新

51、应具有更新的应急预案记录、应急预案审查记录