1、信息安全等級保護Jenny was compiled in January 2021信息安全等級保護(二級)信息安全等級保護(二級)保要求。一、物理安全1、應具有機房和辦公場地的設計/驗收文檔（描述、建筑材料具有相應的耐火等級說明、接地防靜電措施）2、應具有有來訪人員進入機房的申請、審批記錄；來訪人員進入機房的登記記錄3資質，電子門禁系統(tǒng)運行和維護記錄4、主要設備或設備的主要部件上應設置明顯的不易除去的標記5、介質有分類標識；介質分類存放在介質庫或檔案室內(nèi)，磁介質、紙介質等分類存放6試和驗收報告；機房防盜報警系統(tǒng)的運行記錄、定期檢查和維護記錄；7系統(tǒng)的運行記錄、定期檢查和維護記錄8、應具有機房

2、建筑的避雷裝置；通過驗收或國家有關部門的技術檢測；9防雷裝置的檢測報告10、應具有自動檢測火情、自動報警、自動滅火的自動消防系統(tǒng)；自動消防系統(tǒng)的運 測合格的產(chǎn)品11、應具有除濕裝置；空調(diào)機和加濕器；溫濕度定期檢查和維護記錄12運行記錄、定期檢查和維護記錄13記錄14、應具有短期備用電力供應設備（UPS）；定期檢查和維護記錄15、應具有冗余或并行的電力電纜線路（如雙路供電方式）16、應具有備用供電系統(tǒng)（如備用發(fā)電機）；護記錄二、安全管理制度1、應具有對重要管理操作的操作規(guī)程，如系統(tǒng)維護手冊和用戶操作規(guī)程2、應具有安全管理制度的制定程序：3、應具有專門的部門或人員負責安全管理制度的制定（并進行版本

3、控制）4、應對制定的安全管理制度進行論證和審定，論證和審定方式如何（會、函審、內(nèi)部審核等），應具有管理制度評審記錄5、應具有安全管理制度的收發(fā)登記記錄，收發(fā)應通過正式、有效的方式（如正式發(fā)文、領導簽署和單位蓋章等）安全管理制度應注明發(fā)布范圍，并對收發(fā)文進行登記6期多長。（安全管理制度體系的評審記錄）7、系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術基礎結構和組織結構等發(fā)生變更時應對安全管理制度進行檢查，對需要改進的制度進行修訂。（修訂記錄）三、安全管理機構1、應設立信息安全管理工作的職能部門2、應設立安全主管、安全管理各個方面的負責人3、應設立機房管理員、系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等重

4、要崗位（確，各司其職），數(shù)量情況（管理人員名單、崗位與人員對應關系表）4、安全管理員應是專職人員5、關鍵事物需要配備 2 人或 2 人以上共同管理，人員具體配備情況如何。6、應設立指導和管理信息安全工作的委員會或領導小組（領導委任或授權的人員擔任）7、應對重要信息系統(tǒng)活動進行審批（入、重要管理制度的制定和發(fā)布、人員的配備和培訓、產(chǎn)品的采購、外部人員的訪問等），審批部門是何部門，審批人是何人。審批程序：8、應與其它部門之間及內(nèi)部各部門管理人員定期進行溝通（安全管理委員會應定期召開會議）9錄，定期：10、信息安全管理委員會或領導小組安全管理工作執(zhí)行情況的文件或工作記錄（議記錄/紀要，信息安全工作決

5、策文檔等）11、應與公安機關、電信公司和兄弟單位等的溝通合作（外聯(lián)單位聯(lián)系列表）12、應與供應商、業(yè)界專家、專業(yè)的安全公司、安全組織等建立溝通、合作機制。13安全專家作為常年的安全顧問（具有安全顧問名單或者聘請安全顧問的證明文件、具有安 全顧問參與評審的文檔或記錄）14、應組織人員定期對信息系統(tǒng)進行安全檢查（行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況）15、應定期進行全面安全檢查（行情況等方面、具有安全檢查表格，安全檢查報告，檢查結果通告記錄）四、人員安全管理1、何部門/何人負責安全管理和技術人員的錄用工作（錄用過程）2進行考核，技能考核文檔或記錄3、應與錄用后的技術人員簽署保密協(xié)議（任、協(xié)議的有效期限和責

6、任人的簽字等內(nèi)容）4署崗位安全協(xié)議。5、應及時終止離崗人員的所有訪問權限（離崗人員所有訪問權限終止的記錄）6等（交還身份證件和設備等的登記記錄）7離開（具有按照離崗程序辦理調(diào)離手續(xù)的記錄，調(diào)離人員的簽字）8求包含安全知識、安全技能等。9操作行為和社會關系等。10、應對各類人員（普通用戶、運維人員、單位領導等）安全技術培訓。11和培訓（安全教育和培訓的結果記錄，記錄應與培訓計劃一致）12、外部人員進入條件（對哪些重要區(qū)域的訪問須提出書面申請批準后方可進入外部人員進入的訪問控制（由專人全程陪同或監(jiān)督等）13、應具有外部人員訪問重要區(qū)域的書面申請14、應具有外部人員訪問重要區(qū)域的登記記錄（進入時間、

7、離開時間、訪問區(qū)域、訪問設備或信息及陪同人等）五、系統(tǒng)建設管理1、應明確信息系統(tǒng)的邊界和安全保護等級（等級）2、應具有系統(tǒng)建設/整改方案3、應授權專門的部門對信息系統(tǒng)的安全建設進行總體規(guī)劃，由何部門/何人負責4、應具有系統(tǒng)的安全建設工作計劃（安全建設計劃）5策略等相關配套文件進行論證和審定（配套文件的論證評審記錄或文檔）6整和修訂7方案等相關配套文件的維護記錄或修訂版本8、應按照國家的相關規(guī)定進行采購和使用系統(tǒng)信息安全產(chǎn)品9、安全產(chǎn)品的相關憑證，如銷售許可等，應使用符合國家有關規(guī)定產(chǎn)品10、應具有專門的部門負責產(chǎn)品的采購11單，是否定期審定和更新候選產(chǎn)品名單12、應具有產(chǎn)品選型測試結果記錄和候

8、選產(chǎn)品名單及更新記錄（檔）13或操作手冊14、對程序資源庫的修改、更新、發(fā)布應進行授權和批準15、應具有程序資源庫的修改、更新、發(fā)布文檔或記錄16、軟件交付前應依據(jù)開發(fā)協(xié)議的技術指標對軟件功能和性能等進行驗收檢測17、軟件安裝之前應檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），工具是否是第三方的商業(yè)產(chǎn)品18、應具有軟件設計的相關文檔和使用指南19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發(fā)文檔20控制21告，工程實施方案22系統(tǒng)進行獨立的安全性測試（第三方測試機構出示的系統(tǒng)安全性測試驗收報告）23、應具有工程測試驗收方案（測試驗收方案與設計方案或合同要求內(nèi)容一致）24、應具

9、有測試驗收報告25、應指定專門部門負責測試驗收工作（具有對系統(tǒng)測試驗收報告進行審定的意見）26、根據(jù)交付清單對所交接的設備、文檔、軟件等進行清點（系統(tǒng)交付清單）27、應具有系統(tǒng)交付時的技術培訓記錄28、應具有系統(tǒng)建設文檔（如系統(tǒng)建設方案）、指導用戶進行系統(tǒng)運維的文檔（務器操作規(guī)程書）以及系統(tǒng)培訓手冊等文檔。29、應指定部門負責系統(tǒng)交付工作30、應具有與產(chǎn)品供應商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運維商和等級測評機構等 相關安全服務商簽訂的協(xié)議（和責任人的簽字等內(nèi)容31、選定的安全服務商應提供一定的技術培訓和服務32、應與安全服務商簽訂的服務合同或安全責任合同書11單，是否定期審定和更新候選產(chǎn)品名單

10、12、應具有產(chǎn)品選型測試結果記錄和候選產(chǎn)品名單及更新記錄（檔）13或操作手冊14、對程序資源庫的修改、更新、發(fā)布應進行授權和批準15、應具有程序資源庫的修改、更新、發(fā)布文檔或記錄16、軟件交付前應依據(jù)開發(fā)協(xié)議的技術指標對軟件功能和性能等進行驗收檢測17、軟件安裝之前應檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），工具是否是第三方的商業(yè)產(chǎn)品18、應具有軟件設計的相關文檔和使用指南19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發(fā)文檔20控制21告，工程實施方案22系統(tǒng)進行獨立的安全性測試（第三方測試機構出示的系統(tǒng)安全性測試驗收報告）23、應具有工程測試驗收方案（測試驗收方案與設

11、計方案或合同要求內(nèi)容一致）24、應具有測試驗收報告25、應指定專門部門負責測試驗收工作（具有對系統(tǒng)測試驗收報告進行審定的意見）26、根據(jù)交付清單對所交接的設備、文檔、軟件等進行清點（系統(tǒng)交付清單）27、應具有系統(tǒng)交付時的技術培訓記錄28、應具有系統(tǒng)建設文檔（如系統(tǒng)建設方案）、指導用戶進行系統(tǒng)運維的文檔（務器操作規(guī)程書）以及系統(tǒng)培訓手冊等文檔。29、應指定部門負責系統(tǒng)交付工作30、應具有與產(chǎn)品供應商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運維商和等級測評機構等 相關安全服務商簽訂的協(xié)議（和責任人的簽字等內(nèi)容31、選定的安全服務商應提供一定的技術培訓和服務32六、系統(tǒng)運維管理1、應指定專人或部門對機房的基本

12、設施（如空調(diào)、供配電設備等）由何部門/何人負責。2記錄3、應指定部門和人員負責機房安全管理工作4、應對辦公環(huán)境保密性進行管理（態(tài)、桌面上沒有包含敏感信息的紙檔文件）5、應具有資產(chǎn)清單（覆蓋資產(chǎn)責任人、所屬級別、所處位置、所處部門等方面）6、應指定資產(chǎn)管理的責任部門或人員7、應依據(jù)資產(chǎn)的重要程度對資產(chǎn)進行標識8、介質存放于何種環(huán)境中，應對存放環(huán)境實施專人管理（介質存放在安全的環(huán)境（防潮、防盜、防火、防磁，專用存儲空間）9、應具有介質使用管理記錄，應記錄介質歸檔和使用等情況（記錄）10、對介質的物理傳輸過程應要求選擇可靠傳輸人員、嚴格介質的打包（包裝置）、選擇安全的物理傳輸途徑、雙方在場交付等環(huán)節(jié)

13、的控制11、應對介質的使用情況進行登記管理，并定期盤點（介質定期盤點的記錄）12、對送出維修或銷毀的介質如何管理，銷毀前應對數(shù)據(jù)進行凈化處理。（對帶出工 導批準）（送修記錄、帶出記錄、銷毀記錄）13、應對某些重要介質實行異地存儲，異地存儲環(huán)境是否與本地環(huán)境相同（盜、防火、防磁，專用存儲空間）14、介質上應具有分類的標識或標簽15、應對各類設施、設備指定專人或專門部門進行定期維護。16、應具有設備操作手冊17、應對帶離機房的信息處理設備經(jīng)過審批流程，由何人審批（審批記錄）18、應監(jiān)控主機、網(wǎng)絡設備和應用系統(tǒng)的運行狀況等19的運行狀況、網(wǎng)絡流量、用戶行為等進行監(jiān)測和報警20、應具有日常運維的監(jiān)控日

14、志記錄和運維交接日志記錄21、應定期對監(jiān)控記錄進行分析、評審22、應具有異?，F(xiàn)象的現(xiàn)場處理記錄和事后相關的分析報告23進行集中管理24、應指定專人負責維護網(wǎng)絡安全管理工作25、應對網(wǎng)絡設備進行過升級，更新前應對現(xiàn)有的重要文件是否進行備份（運維維護工作記錄）26、應對網(wǎng)絡進行過漏洞掃描，并對發(fā)現(xiàn)的漏洞進行及時修補。27、對設備的安全配置應遵循最小服務原則，應對配置文件進行備份（配置數(shù)據(jù)的離線備份）28、系統(tǒng)網(wǎng)絡的外聯(lián)種類（互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級部門網(wǎng)絡等）權與批準，由何人/何部門批準。應定期檢查違規(guī)聯(lián)網(wǎng)的行為。29、對便攜式和移動式設備的網(wǎng)絡接入應進行限制管理30、應具有內(nèi)部網(wǎng)絡外聯(lián)的授權

15、批準書，應具有網(wǎng)絡違規(guī)行為（如撥號上網(wǎng)等）查手段和工具。31、在安裝系統(tǒng)補丁程序前應經(jīng)過測試，并對重要文件進行備份。32、應有補丁測試記錄和系統(tǒng)補丁安裝操作記錄33、應對系統(tǒng)管理員用戶進行分類（全審計權限分離等）34、審計員應定期對系統(tǒng)審計日志進行分析（析報告）35、應對員工進行基本惡意代碼防范意識的教育，如告知應及時升級軟件版本（工的惡意代碼防范教育的相關培訓文檔）36、應指定專人對惡意代碼進行檢測，并保存記錄。37、應具有對網(wǎng)絡和主機進行惡意代碼檢測的記錄38、應對惡意代碼庫的升級情況進行記錄（代碼庫的升級記錄），上截獲的惡意代碼是否進行分析并匯總上報。是否出現(xiàn)過大規(guī)模的病毒事件，如何處理39、應具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告40、應具有變更方案評審記錄和變更過程記錄文檔。