等级保护二级管理要求checklist
二级管理要求(S2A2G2)
《服务器管理规范》-等级保护安全管理制度
XXX系统 管理平台 --服务器管理规范--
目录 第一章总则 (3) 第二章指导原则 (3) 第三章服务器管理规范 (3) 第四章服务器保密制度 (4) 第五章相关记录 (5) 第六章相关文件 (5) 第七章附则 (5)
第一章总则 第一条为科学有效地管理服务器,保障XXX系统平台安全的应用、高效运行,特制定本规章制度,请遵照执行。 第二条本细则适用于XXX系统平台。 第二章指导原则 第三条严格落实安全责任有效增强防范措施 积极完善应急机制确保可靠稳定运行 第四条机房管理人员依据此规范进行对服务器操作,并记录好相应记录。 第三章服务器管理规范 第五条服务器、路由器和交换机以及通信设备是网络的关键设备,须放置在机房内,不得自行配置或更换,更不能挪作它用。 第六条服务器机房要保持清洁、卫生,并由专人负责管理和维护(包括温度、湿度、电力系统、网络设备等),除系统维护时间外,要保障服务器24小时正常运行。 第七条依据《机房管理制度》,严禁易燃易爆和强磁物品及其它与机房工作无关的物品进入机房。 第八条不得在服务器上使用带有病毒和木马的软件、光盘和可移动存贮设备,使用上述设备前一定要先做好病毒检测;不得利用服务器从事工作以外的事情,无工作需 要不得擅自拆卸服务器零部件,严禁更换服务器配套设备。不得擅自删除、移动、 更改服务器数据;不得故意破坏服务器系统;不得擅自修改服务器系统时间。第九条服务器系统必须及时升级安装安全补丁,弥补系统漏洞;必须为服务器系统做好病毒及木马的实时监测,及时升级病毒库。 第十条管理员对超级账户口令应严格保密、定期修改,以保证系统安全,防止对系统的非法入侵。同时可对服务器上的管理权限、进行更新设置,防止恶意破译。 第十一条建立机房登记制度,对本地局域网的运行建立档案。未发生故障或故障隐患时当
(管理制度)信息安全等级保护管理办法(全文)
7月24日,公安部网站发布四部门联合制定的《信息安全等级保护管理办法》,全文如下: 第壹章总则 第壹条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。 第二条国家通过制定统壹的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。 第三条公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条信息系统主管部门应当依照本办法及关联标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条信息系统的运营、使用单位应当依照本办法及其关联标准规范,履行信息安全等级保护的义务和责任。 第二章等级划分和保护 第六条国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统于国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后
对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条信息系统的安全保护等级分为以下五级: 第壹级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。 第八条信息系统运营、使用单位依据本办法和关联技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。 第壹级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。 第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
机房等级保护第二级基本要求
1 第二级基本要求 1.1 技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G2) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。 1.1.1.2 物理访问控制(G2) 本项要求包括: a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。 1.1.1.3 防盗窃和防破坏(G2) 本项要求包括: a)应将主要设备放置在机房内; b)应将设备或主要部件进行固定,并设置明显的不易除去的标记; c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d)应对介质分类标识,存储在介质库或档案室中; e)主机房应安装必要的防盗报警设施。 1.1.1.4 防雷击(G2) 本项要求包括: a)机房建筑应设置避雷装置; b)机房应设置交流电源地线。 1.1.1.5 防火(G2) 机房应设置灭火设备和火灾自动报警系统。 1.1.1.6 防水和防潮(G2) 本项要求包括: a)水管安装,不得穿过机房屋顶和活动地板下; b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。 1.1.1.7 防静电(G2) 关键设备应采用必要的接地防静电措施。 1.1.1.8 温湿度控制(G2) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 1.1.1.9 电力供应(A2) 本项要求包括: a)应在机房供电线路上配置稳压器和过电压防护设备; b)应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。 1.1.1.10 电磁防护(S2)
信息安全等级保护管理办法(正式)
编订:__________________ 单位:__________________ 时间:__________________ 信息安全等级保护管理办 法(正式) Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑
文件编号:KG-AO-2156-61 信息安全等级保护管理办法(正式) 使用备注:本文档可用在日常工作场景,通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范,从而使得组织内人员按照既定标准、规范的要求进行操作,使日常工作或活动达到预期的水平。下载后就可自由编辑。 第一章总则 第一条 为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。 第二条 国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。 第三条 公安机关负责信息安全等级保护工作的监督、检
查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条 信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。 第二章等级划分与保护 第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统
网络安全等级保护管理制度模板
网络安全等级保护管理制度
目录 一.信息安全管理机构及人员职责设置制度 (4) 一、信息安全管理机构及职责 (4) 二、信息安全人员岗位及职责 (4) 三、机构之间的沟通与合作 (5) 二.信息安全岗位人员管理制度 (7) 三.计算机机房日常管理制度 (9) 一、机房区域访问规定 (9) 二、机房环境卫生规定 (9) 三、物品进出管理规定 (10) 四、机房空调管理规定 (10) 五、机房环境监控规定 (10) 四.办公环境安全管理制度 (12) 五.存储介质安全管理制度 (14) 一、介质的存放 (14) 二、介质的使用 (14) 三、介质的带出与维修 (15) 四、介质的报废或销毁 (15) 六.信息化资产安全管理制度 (16) 七.系统建设安全管理制度 (18) 一、系统定级及系统安全方案设计 (18) 二、安全产品采购和使用 (18) 三、自行软件开发 (18) 四、外包软件开发 (19) 五、工程实施 (20) 六、测试验收 (20) 七、系统交付 (20) 八、安全服务商选择 (20) 八.网络安全管理制度 (22)
九.系统运维安全管理制度 (24) 十.计算机和服务器防病毒管理制度 (27) 十一. 安全保密和密码管理制度 (28) 十二. 备份和恢复管理制度 (29) 十三. 安全事件分类及处理流程 (30) 十四. 信息安全应急预案管理制度 (32) 十五. 信息安全知识培训管理制度 (33)
一.信息安全管理机构及人员职责设置制度 一、信息安全管理机构及职责 (该单位)信息安全管理工作由局信息安全工作领导小组负责,领导小组下设办公室,设在规划科技处,规划科技处负责有关信息安全工作的组织协调,技术中心承担具体工作。 (一)领导小组职责 在局党组领导下,负责审议信息安全工作相关政策法规宣传教育及有关技术方面培训计划;审议信息安全的标准规范、规章制度等;审议信息化建设方案中关于信息安全相关内容;审议或决定信息安全重大项目建设、实施、应用、维护和管理中的重大问题;督促、指导局机关有关处室、直属事业单位按职责分工做好信息安全作。 (二)领导小组办公室职责 贯彻落实局信息安全工作领导小组的决策;研究制定信息安全各项政策、技术标准和管理制度;研究提出信息安全建设、应用、维护、管理中重大问题的解决方案和意见;研究提出信息安全重大项目建设、实施总体方案和年度维护方案建议;承办领导小组交办的具体工作。 二、信息安全人员岗位及职责 (该单位)根据信息化建设及维护工作实际,设置系统管理员、网络管理员、安全管理员、机房管理员等岗位,安全管理员不能兼任网络管理员、系统管理员、机房管理员等,关键岗位应配备多人共同管理,
信息系统安全等级保护基本要求(三级要求)
信息系统安全等级保护基本要求 1 三级基本要求 (3) 1.1 技术要求 (3) 1.1.1 物理安全 (3) 1.1.1.1 物理位置的选择(G3) (3) 1.1.1.2 物理访问控制(G3) (3) 1.1.1.3 防盗窃和防破坏(G3) (3) 1.1.1.4 防雷击(G3) (3) 1.1.1.5 防火(G3) (3) 1.1.1.6 防水和防潮(G3) (4) 1.1.1.7 防静电(G3) (4) 1.1.1.8 温湿度控制(G3) (4) 1.1.1.9 电力供应(A3) (4) 1.1.1.10 电磁防护(S3) (4) 1.1.2 网络安全 (4) 1.1.2.1 结构安全(G3) (4) 1.1.2.2 访问控制(G3) (4) 1.1.2.3 安全审计(G3) (5) 1.1.2.4 边界完整性检查(S3) (5) 1.1.2.5 入侵防范(G3) (5) 1.1.2.6 恶意代码防范(G3) (5) 1.1.2.7 网络设备防护(G3) (5) 1.1.3 主机安全 (6) 1.1.3.1 身份鉴别(S3) (6) 1.1.3.2 访问控制(S3) (6) 1.1.3.3 安全审计(G3) (6) 1.1.3.4 剩余信息保护(S3) (7) 1.1.3.5 入侵防范(G3) (7) 1.1.3.6 恶意代码防范(G3) (7) 1.1.3.7 资源控制(A3) (7) 1.1.4 应用安全 (7) 1.1.4.1 身份鉴别(S3) (7) 1.1.4.2 访问控制(S3) (8) 1.1.4.3 安全审计(G3) (8) 1.1.4.4 剩余信息保护(S3) (8) 1.1.4.5 通信完整性(S3) (8) 1.1.4.6 通信保密性(S3) (8) 1.1.4.7 抗抵赖(G3) (8) 1.1.4.8 软件容错(A3) (8) 1.1.4.9 资源控制(A3) (8) 1.1.5 数据安全及备份恢复 (9) 1.1.5.1 数据完整性(S3) (9) 1.1.5.2 数据保密性(S3) (9)
三级等保,安全管理制度,信息安全管理体系文件控制管理规定
* 主办部门:系统运维部 执笔人: 审核人: XXXXX 信息安全管理体系文件控制管理规定V0.1 XXX-XXX-XX-02001 2014年3月17日
[本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属XXXXX所有,受到有关产权及版权法保护。任何个人、机构未经XXXXX的书面授权许可,不得以任何方式复制或引用本文件的任何片断。] 文件版本信息 文件版本信息说明 记录本文件提交时当前有效的版本控制信息,当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于1.0 时,表示该版本文件为草案,仅可作为参照资料之目的。 阅送范围 内部发送部门:综合部、系统运维部、技术开发部
目录 第一章总则 (1) 第二章细则 (1) 第三章附则 (9) 附件: (10)
第一章总则 第一条为规范XXXXX信息安全管理体系文件的审批、发布、分发、更改、保管和作废等活动,根据《金融行业信息系统信息安全等级保护实施指引》(JR/T 0071—2012),结合XXXXX实际,制定本规定。 第二条本规定适用于XXXXX信息安全管理体系文件控制 过程和活动。 第三条信息安全管理体系文件是确保XXXXX信息系统正 常运转形成的文书,用于阐述需保护的资产、风险管理的方法、控制目标及方式和所需的保护程度。 第四条网络与信息安全工作领导小组办公室负责组织XXXXX信息安全管理体系各级文件的编写、审核和归档;负责组织体系各级文件的宣传推广。 第二章细则 第五条体系文件的类别 信息安全管理体系文件可分为以下四级: (一)一级文件:管理策略; (二)二级文件:管理规定; (三)三级文件:管理规范、实施细则、操作手册等; (四)四级文件:运行记录、表单、工单、记录模板等。 第六条体系文件的编写
等级保护信息安全系统管理系统规章制度
信息安全等级保护第三级要求 1 第三级基本要求 1.1技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安 装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。 1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。
1.1.1.4 防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 7.1.1.5 防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 1.1.1.7 防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 1.1.1.8 温湿度控制(G3) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 1.1.1.9 电力供应(A3) 本项要求包括:
信息安全等级保护管理办法(公通字〔2007〕43号)
信息安全等级保护管理办法(公通字[2007]43号) 作者 : 来源 : 公安部、国家保密局、国家密码管理局、 字体:大中小国务院信息工作办公室时间:2007-06-22 第一章总则 第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。 第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。 第三条公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。 第二章等级划分与保护 第六条国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条信息系统的安全保护等级分为以下五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
信息安全等级保护管理制度
信息安全等级保护 管理制度 1
?更多资料请访问.(.....) ?更多资料请访问.(.....) 2
关于开展保险业信息系统安全等级保护定级工作的通知 保监厅发〔〕45号 各保监局,各保险公司、保险资产管理公司,中国保险行业协会: 为贯彻落实国家信息安全等级保护制度,按照<关于开展全国重要信息系统安全等级保护定级工作的通知>(公信安〔〕861号)要求,中国保监会将在保险行业 3
内开展信息系统安全等级保护定级工作。现将有关事项通知如下: 一、等级保护定级工作的要求及组织方式 各单位应按照”准确定级、严格审批、及时备案、认真整改、科学测评”的要求和”自主定级、自主保护”的工作原则,成立相应的领导及实施机构,结合本单位的实际情况,准确开展信息系统等级保护定级工作。 保监会成立等级保护定级工作领导小组,统一领导、解决保险行业信息安全等级保护定级工作中的重大问题;保监会等级保护定级工作领导小组下设办公室,具体负责保监会机关信息系统等级保护定级的具体实施工作和行业定级工作的指导审核。 各保监局负责本局内独立运行的信息系统等级保护定级工作,并对各自辖区内的保险公司分支机构的等级保护定级工作进行指导审核。 各保险集团公司、保险控股公司负责本公司信息系统等级保护定级工作以及其下属子公司信息系统等级保护定级工作的组织协调和指导。各保险总公司统一部署本公司和分公司的信息系统等级保护定级工作。 二、定级工作安排及定级范围 (一)定级工作安排 为稳妥做好等级保护定级工作,拟在保险行业内分步分批实施。 保险行业第一批定级单位包括:保监会及各保监局,中国保险行业协会,中国人民保险集团公司、中国人寿保险(集团)公司、中国再保险(集团)公司、中国出口信用保险公司、民生人寿保险股份有限公司、阳光保险控股股份有限公司、中国平安保险(集团)股份有限公司、中国太平洋(集团)股份有限公司及其下属各子公司和分公司。 4
网络安全等级保护测评机构管理办法
网络安全等级保护测评机构管理办法 第一章总则 第一条为加强网络安全等级保护测评机构(以下简称“测评机构”)管理,规范测评行为,提高等级测评能力和服务水平,根据《中华人民共和国网络安全法》和网络安全等级保护制度要求,制定本办法。 第二条等级测评工作,是指测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对已定级备案的非涉及国家秘密的网络(含信息系统、数据资源等)的安全保护状况进行检测评估的活动。 测评机构,是指依据国家网络安全等级保护制度规定,符合本办法规定的基本条件,经省级以上网络安全等级保护工作领导(协调)小组办公室(以下简称“等保办”)审核推荐,从事等级测评工作的机构。 第三条测评机构实行推荐目录管理。测评机构由省级以上等保办根据本办法规定,按照统筹规划、合理布局的原则,择优推荐。 第四条测评机构联合成立测评联盟。测评联盟按照章程和有关测评规范,加强行业自律,提高测评技术能力和服务质量。测评联盟在国家等保办指导下开展工作。 第五条测评机构应按照国家有关网络安全法律法规规
定和标准规范要求,为用户提供科学、安全、客观、公正的等级测评服务。 第二章测评机构申请 第六条申请成为测评机构的单位(以下简称“申请单位”)需向省级以上等保办提出申请。 国家等保办负责受理隶属国家网络安全职能部门和重点行业主管部门的申请,对申请单位进行审核、推荐;监督管理全国测评机构。 省级等保办负责受理本省(区、直辖市)申请单位的申请,对申请单位进行审核、推荐;监督管理其推荐的测评机构。 第七条申请单位应具备以下基本条件: (一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位; (二)产权关系明晰,注册资金500万元以上,独立经营核算,无违法违规记录; (三)从事网络安全服务两年以上,具备一定的网络安全检测评估能力; (四)法人、主要负责人、测评人员仅限中华人民共和国境内的中国公民,且无犯罪记录;
电子政务外网安全等级保护基本要求(试行)
附件 2: 国家电子政务外网 安全等级保护基本要求(试行) Baseline for classified protection of National E-Government Network
国家电子政务外网管理中心二○一一年十二月 目次 前 言 .............................................................................................................................................................. (1) 引言 (2) 适用范围 (3) 2. 规范性引用文件 (3) 3. 术语和定 义 (3) 4. 政务外网资产、威胁分析和脆弱 性 (5) 4.1. 资产分析 (5) 4.2. 威胁分析 (6) 4.3. 脆弱性分析 (7)
5. 政务外网安全等级保护概述 (8) 5.1. 政务外网安全保护等 级 (8) 5.2. 不同等级的安全保护能 力 (8) 6. 第二级基本要求 (9) 6.1. IP 承载网9 6.1.1. 广域 网 (9) 6.1.2. 城域 网 (9) 6.1.3. 用户局域 网 (10) 6.2. 业务区域网 络 (10) 6.2.1. 公用网络 区 (10) 6.2.2. 互联网接入 区 (10) 6.3. 管理区域网 络 (11) 6.3.1. 网络管理 区 (11) 6.3.2. 安全管理 区 (11) 7. 第三级基本要求 (11) 7.1. IP 承载网11 7.1.1. 广域 网 (11) I 7.1.2. 城域
等级保护测评项目测评方案-2级和3级标准
信息安全等级保护测评项目 测 评 方 案 广州华南信息安全测评中心 二〇一六年
目录 第一章概述 (3) 第二章测评基本原则 (4) 一、客观性和公正性原则 (4) 二、经济性和可重用性原则 (4) 三、可重复性和可再现性原则 (4) 四、结果完善性原则 (4) 第三章测评安全目标(2级) (5) 一、技术目标 (5) 二、管理目标 (6) 第四章测评内容 (9) 一、资料审查 (10) 二、核查测试 (10) 三、综合评估 (10) 第五章项目实施 (12) 一、实施流程 (12) 二、测评工具 (13) 2.1 调查问卷 (13) 2.2 系统安全性技术检查工具 (13) 2.3 测评工具使用原则 (13) 三、测评方法 (14) 第六章项目管理 (15) 一、项目组织计划 (15) 二、项目成员组成与职责划分 (15) 三、项目沟通 (16) 3.1 日常沟通,记录和备忘录 (16) 3.2 报告 (16) 3.3 正式会议 (16) 第七章附录:等级保护评测准则 (19) 一、信息系统安全等级保护 2 级测评准则 (19) 1.1 基本要求 (19) 1.2 评估测评准则 (31) 二、信息系统安全等级保护 3 级测评准则 (88) 基本要求 (88) 评估测评准则 (108)
第一章概述 2003 年中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)以及 2004 年 9 月四部委局联合签发的《关于信息安全等级保护工作的实施意见》等信息安全等级保护的文件 明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。” 2009 年 4 月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45 号)中又再次指出,“通过深化信息安全等级保护,全面推动重要信息系统安全整改和测评工作,增强信息系统安全保护的整体性、针对性和实效性,使信息系统安全 建设更加突出重点、统一规范、科学合理,提高信息安全保障能力,维护国家安全、社会稳定和公共利益,保障和促进信息化建设”。由此可见,等级保护测评和等级保护安全整改工作已经迫在眉睫。
《信息安全等级保护测评机构管理办法》最新
信息安全等级保护测评机构管理办法 第一条为加强信息安全等级保护测评机构管理,规范等级测评行为,提高测评技术能力和服务水平,根据《信息安全等级保护管理办法》等有关规定,制定本办法。 第二条等级测评工作,是指等级测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 等级测评机构,是指依据国家信息安全等级保护制度规定,具备本办法规定的基本条件,经审核推荐,从事等级测评等信息安全服务的机构。 第三条等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针,按照“谁推荐、谁负责,谁审核、谁负责”的原则有序开展。 第四条等级测评机构应以提供等级测评服务为主,可根据信息系统运营使用单位安全保障需求,提供信息安全咨询、应急保障、安全运维、安全监理等服务。 第五条国家信息安全等级保护工作协调小组办公室(以下简称“国家等保办”)负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请,并对其推荐 1的等级测评机构进行监督管理。 省级信息安全等级保护工作协调(领导)小组办公室(以下简称“省级等保办”)负责受理本省(区、直辖市)申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。 第六条申请成为等级测评机构的单位(以下简称“申请单位”)应具备以下基本条件: (一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;
(二)产权关系明晰,注册资金100万元以上;(三)从事信息系统安全相关工作两年以上,无违法记录; (四)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录; (五)具有信息系统安全相关工作经验的技术人员,不少于10人; (六)具备必要的办公环境、设备、设施,使用的技术装备、设施应满足测评工作需求; (七)具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度; (八)自觉接受等保办的监督、检查和指导,对国家安全、社会秩序、公共利益不构成威胁; (九)不涉及信息安全产品开发、销售或信息系统安全 2集成等业务; (十)应具备的其他条件。 第七条申请时,申请单位应向等保办提交以下材料:(一)《信息安全等级保护测评机构申请表》; (二)从事信息系统安全相关工作情况; (三)检测评估工作所需软硬件及其他服务保障设施配备情况; (四)有关管理制度建设情况; (五)申请单位及其测评人员基本情况; (六)应提交的其他材料。 等保办收到申请材料后,应在10个工作日内组织初审,并出具初审结果告知书。
等级保护制度
等级保护制度 等级保护制度已经被列入国务院《关于加强信息安全保障工作的意见》之中。如何对信息系统实行分等级保护一直是社会各方关注的热点。美国,作为一直走在信息安全研究前列的大国,近几年来在计算机信息系统安全方面,突出体现了系统分类分级实施保护的发展思路,并根据有关的技术标准、指南,对国家一些重要的信息系统实现了安全分级、采用不同管理的工作模式,并形成了体系化的标准和指南性文件。一、美国信息系统分级的思路从目前的资料上看,美国在计算机信息系统的分级存在多样性,但基本的思路是一致的,只不过分级的方法不同而已,已在不同分级方法中出现的作为划分信息系统安全等级的因素主要包括:资产(包括有形资产和无形资产)(使用资产等级作为判断系统等级重要因素的文件如FIPS199,IATF,DITSCAP,NIST800-37等);威胁(使用威胁等级作为判断系统等级重要因素的文件如IATF等);破坏后对国家、社会公共利益和单位或个人的影响(使用影响等级作为判断系统等级重要因素的文件如FIPS199,IATF等);单位业务对信息系统的依赖程度(DITSCAP);根据对上述因素的不同合成方式,分别可以确定:系统强健度等级(IATF):由信息影响与威胁等级决定;系统认证级(DITSCAP):由接口模式、处理模式、业务依赖、三性、不可否认性等七个方面取权值决定;系统影响等级(FIPS199):根据信息三性的影响确定;安全认证级(NIST800-37):根据系统暴露程度与保密等级确定。由于不同的信息系统所隶属的机构不同,美国两大类主要信息系统:联邦政府机构的信息系统及国防部信息系统所参照的分级标准不尽相同,即:所有联邦政府机构按照美国国家标准与技术研究所(NIST)有关标准和指南的分级方法和技术指标;而国防部考虑到本身信息系统及所处理信息的特殊性,则是按照DoD 8500.2的技术方法进行系统分级。下面重点介绍美国联邦政府和国防部的有关标准和指南性文件。美国联邦信息处理标准(FIPS)是(NIST)制定的一类安全出版物,多为强制性标准。FIPS 199 《联邦信息和信息系统安全分类标准》(2003年12月最终版)描述了如何确定一个信息系统的安全类别。确定系统级别的落脚点在于系统中所处理、传输、存储的所有信息类型的重要性。信息和信息系统的“安全类别”是FIPS 199中提出的一种系统级别概念。该定义是建立在某些事件的发生会对机构产生潜在影响的基础之上。具体以信息和信息系统的三类安全目标(保密性、完整性和可用性)来表现,即,丧失了保密性、完整性或可用性,对机构运行、机构资产和个人产生的影响。FIPS 199定义了三种影响级:低、中、高。FIPS 199按照“确定信息类型——确定信息的安全类别——确定系统的安全类别”三个步骤进行系统最终的定级。首先,确定系统内的所有信息类型。FIPS 199指出,一个信息系统内可能包含不止一种类型的信息(例如隐私信息、合同商敏感信息、专属信息、系统安全信息等)。其次,根据三类安全目标,确定不同信息类型的潜在影响级别(低、中、高)。最后,整合系统内所有信息类型的潜在影响级,按照“取高”原则,即选择较高影响级别作为系统的影响级(低、中、高)。最终,系统安全类别(SC)的通用表达式为:SC需求系统={(保密性,影响级),(完整性,影响级),(可用性,影响级)} 为配合FIPS 199的实施,NIST分别于2004年6月推出了SP 800-60第一、二部分,《将信息和信息系统映射到安全类别的指南》及其附件。其中详细的介绍了联邦信息系统中可能运行的所有信息类型;并针对每一种信息类型,介绍了如何去选择其影响级别,并给出了推荐采用的级别。这样,系统在确定等级的第一步—确认信息类型,并确定其影响级别时,有了很好的参考意见。而美国国防部对信息系统的分级与联邦政府有所不同,主要把信息系统的信息分类为业务保障类和保密类,同时对这两类进行了分级的要求,该分
等级保护基本要求-管理要求学习资料
1.1管理要求 1.1.1安全管理制度 1.1.1.1管理制度(G3) 本项要求包括: a) 应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等; b) 应对安全管理活动中的各类管理内容建立安全管理制度; c) 应对要求管理人员或操作人员执行的日常管理操作建立操作规程; d) 应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。 1.1.1.2制定和发布(G3) 本项要求包括: a) 应指定或授权专门的部门或人员负责安全管理制度的制定; b) 安全管理制度应具有统一的格式,并进行版本控制; c) 应组织相关人员对制定的安全管理制度进行论证和审定; d) 安全管理制度应通过正式、有效的方式发布; e) 安全管理制度应注明发布范围,并对收发文进行登记。 1.1.1.3评审和修订(G3) 本项要求包括: a) 信息安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定; b) 应定期或不定期对安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度进行修订。 1.1.2安全管理机构 1.1. 2.1岗位设置(G3) 本项要求包括: a) 应设立信息安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责; b) 应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责; c) 应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权; d) 应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
安全等级保护2级和3级等保要求
二级、三级等级保护要求比较一、技术要求 技术要求项二级等保三级等保 物理位置的选择1)机房和办公场地应选择 在具有防震、防风和防雨 等能力的建筑内。 1)机房和办公场地应选择在具有防震、防 风和防雨等能力的建筑内; 2)机房场地应避免设在建筑物的高层或地 下室,以及用水设备的下层或隔壁; 3)机房场地应当避开强电场、强磁场、强 震动源、强噪声源、重度环境污染、易 发生火灾、水灾、易遭受雷击的地区。 物理访问控制1)机房出入口应有专人值 守,鉴别进入的人员身份 并登记在案; 2)应批准进入机房的来访 人员,限制和监控其活动 范围。 1)机房出入口应有专人值守,鉴别进入的 人员身份并登记在案; 2)应批准进入机房的来访人员,限制和监 控其活动范围; 3)应对机房划分区域进行管理,区域和区 域之间设置物理隔离装置,在重要区域 前设置交付或安装等过度区域; 4)应对重要区域配置电子门禁系统,鉴别 和记录进入的人员身份并监控其活动。 物理安全 防盗窃和防破坏1)应将主要设备放置在物 理受限的范围内; 2)应对设备或主要部件进 行固定,并设置明显的不 易除去的标记; 3)应将通信线缆铺设在隐 蔽处,如铺设在地下或管 道中等; 4)应对介质分类标识,存储 在介质库或档案室中; 5)应安装必要的防盗报警 设施,以防进入机房的盗 窃和破坏行为。 1)应将主要设备放置在物理受限的范围内; 2)应对设备或主要部件进行固定,并设置 明显的无法除去的标记; 3)应将通信线缆铺设在隐蔽处,如铺设在 地下或管道中等; 4)应对介质分类标识,存储在介质库或档 案室中; 5)设备或存储介质携带出工作环境时,应 受到监控和内容加密; 6)应利用光、电等技术设置机房的防盗报 警系统,以防进入机房的盗窃和破坏行 为; 7)应对机房设置监控报警系统。
《网络安全等级保护条例》
网络安全等级保护条例 (征求意见稿) 第一章总则.......................................... - 2 - 第二章支持与保障...................................... - 4 - 第三章网络的安全保护.................................. - 5 - 第四章涉密网络的安全保护............................. - 13 - 第五章密码管理....................................... - 15 - 第六章监督管理....................................... - 17 - 第七章法律责任....................................... - 21 - 第八章附则......................................... - 23 -
第一章总则 第一条【立法宗旨与依据】为加强网络安全等级保护工作,提高网络安全防范能力和水平,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,依据《中华人民共和国网络安全法》、《中华人民共和国保守国家秘密法》等法律,制定本条例。 第二条【适用范围】在中华人民共和国境内建设、运营、维护、使用网络,开展网络安全等级保护工作以及监督管理,适用本条例。个人及家庭自建自用的网络除外。 第三条【确立制度】国家实行网络安全等级保护制度,对网络实施分等级保护、分等级监管。 前款所称“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。 第四条【工作原则】网络安全等级保护工作应当按照突出重点、主动防御、综合防控的原则,建立健全网络安全防护体系,重点保护涉及国家安全、国计民生、社会公共利益的网络的基础设施安全、运行安全和数据安全。 网络运营者在网络建设过程中,应当同步规划、同步建设、同步运行网络安全保护、保密和密码保护措施。
信息系统安全等级保护基本要求
蓝色部分是操作系统安全等级划分,红色部分是四级操作系统关于网络部分的要求:) 《信息系统安全等级保护基本要求》 中华人民共和国国家标准GB/T 22239-2008 引言 依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于 加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字 [2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括: ——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南; ——GB/T CCCC-CCCC 信息安全技术信息系统安全等级保护实施指南。 本标准与GB17859-1999、GB/T 20269-2006 、GB/T 20270-2006 、GB/T 20271-2006 等标准共同构成了 信息系统安全等级保护的相关配套标准。其中GB17859-1999是基础性标准,本标准、GB/T20269-2006、 GB/T20270-2006、GB/T20271-2006等是在GB17859-1999基础上的进一步细化和扩展。 本标准在GB17859-1999、GB/T20269-2006、GB/T20270-2006、GB/T20271-2006等技术类标准的基础 上,根据现有技术的发展水平,提出和规定了不同安全保护等级信息系统的最低保护要求,即基本安全要求,基 本安全要求包括基本技术要求和基本管理要求,本标准适用于指导不同安全保护等级信息系统的安全建设和监督 管理。 在本标准文本中,黑体字表示较低等级中没有出现或增强的要求。 信息系统安全等级保护基本要求 1范围 本标准规定了不同安全保护等级信息系统的基本保护要求,包括基本技术要求和基本管理要求,适用于指导 分等级的信息系统的安全建设和监督管理。 2规范性引用文件 下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单 (不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文 件的最新版本。凡是不注明日期的引用文件,其最新版本适用于本标准。 GB/T 5271.8 信息技术词汇第8部分:安全 GB17859-1999 计算机信息系统安全保护等级划分准则 GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南 3术语和定义 GB/T 5271.8和GB 17859-1999确立的以及下列术语和定义适用于本标准。 3.1 安全保护能力 security protection ability 系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度。 4信息系统安全等级保护概述 4.1信息系统安全保护等级 信息系统根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共 利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高划分为五级,五级定义见GB/T AAAA- AAAA。 4.2不同等级的安全保护能力