信息安全等级保护(二级)

备注：其中黑色字体为信息安全等级保护第二级系统要求，蓝色字体为第三级系统等保要求。

一、物理安全

1、应具有机房和办公场地的设计/验收文档（机房场地的选址说明、地线连接要求的描述、建筑材料具有相应的耐火等级说明、接地防静电措施）

2、应具有有来访人员进入机房的申请、审批记录；来访人员进入机房的登记记录

3、应配置电子门禁系统(三级明确要求)；电子门禁系统有验收文档或产品安全认证资质，电子门禁系统运行和维护记录

4、主要设备或设备的主要部件上应设置明显的不易除去的标记

5、介质有分类标识；介质分类存放在介质库或档案室内，磁介质、纸介质等分类存放

6、应具有摄像、传感等监控报警系统；机房防盗报警设施的安全资质材料、安装测试和验收报告；机房防盗报警系统的运行记录、定期检查和维护记录；

7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告；机房监控报警系统的运行记录、定期检查和维护记录

8、应具有机房建筑的避雷装置；通过验收或国家有关部门的技术检测；

9、应在电源和信号线上增加有资质的防雷保安器；具有防雷检测资质的检测部门对防雷装置的检测报告

10、应具有自动检测火情、自动报警、自动灭火的自动消防系统；自动消防系统的运行记录、检查和定期维护记录；消防产品有效期合格；自动消防系统是经消防检测部门检测合格的产品

11、应具有除湿装置；空调机和加湿器；温湿度定期检查和维护记录

12、应具有水敏感的检测仪表或元件；对机房进行防水检测和报警；防水检测装置的运行记录、定期检查和维护记录

13、应具有温湿度自动调节设施；温湿度自动调节设施的运行记录、定期检查和维护记录

14、应具有短期备用电力供应设备（如UPS）；短期备用电力供应设备的运行记录、定期检查和维护记录

15、应具有冗余或并行的电力电缆线路（如双路供电方式）

16、应具有备用供电系统（如备用发电机）；备用供电系统运行记录、定期检查和维护记录

二、安全管理制度

1、应具有对重要管理操作的操作规程，如系统维护手册和用户操作规程

2、应具有安全管理制度的制定程序：

3、应具有专门的部门或人员负责安全管理制度的制定（发布制度具有统一的格式，并进行版本控制）

4、应对制定的安全管理制度进行论证和审定，论证和审定方式如何（如召开评审会、函审、内部审核等），应具有管理制度评审记录

5、应具有安全管理制度的收发登记记录，收发应通过正式、有效的方式（如正式发文、领导签署和单位盖章等）----安全管理制度应注明发布范围，并对收发文进行登记。

6、信息安全领导小组定期对安全管理制度体系的合理性和适用性进行审定，审定周期多长。（安全管理制度体系的评审记录）

7、系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时应对安全管理制度进行检查，对需要改进的制度进行修订。（应具有安全管理制度修订记录）

三、安全管理机构

1、应设立信息安全管理工作的职能部门

2、应设立安全主管、安全管理各个方面的负责人

3、应设立机房管理员、系统管理员、网络管理员、安全管理员等重要岗位（分工明确，各司其职），数量情况（管理人员名单、岗位与人员对应关系表）

4、安全管理员应是专职人员

5、关键事物需要配备2人或2人以上共同管理，人员具体配备情况如何。

6、应设立指导和管理信息安全工作的委员会或领导小组（最高领导是否由单位主管领导委任或授权的人员担任）

7、应对重要信息系统活动进行审批（如系统变更、重要操作、物理访问和系统接入、重要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等），审批部门是何部门，审批人是何人。审批程序：

8、应与其它部门之间及内部各部门管理人员定期进行沟通（信息安全领导小组或者安全管理委员会应定期召开会议）

9、应组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录，定期：

10、信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作记录（如会议记录/纪要，信息安全工作决策文档等）

11、应与机关、电信公司和兄弟单位等的沟通合作（外联单位联系列表） 12、应与供应商、业界专家、专业的安全公司、安全组织等建立沟通、合作机制。 13、聘请信息安全专家作为常年的安全顾问（具有安全顾问名单或者聘请安全顾问的证明文件、具有安全顾问参与评审的文档或记录）

14、应组织人员定期对信息系统进行安全检查（查看检查内容是否包括系统日常运行、系统漏洞和数据备份等情况）

15、应定期进行全面安全检查（安全检查是否包含现行技术措施有效性和管理制度执行情况等方面、具有安全检查表格，安全检查报告，检查结果通告记录）

四、人员安全管理

1、何部门/何人负责安全管理和技术人员的录用工作（录用过程）

2、应对被录用人的身份、背景、专业资格和资质进行审查，对技术人员的技术技能进行考核，技能考核文档或记录

3、应与录用后的技术人员签署保密协议（协议中有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容）

4、应设定关键岗位，对从事关键岗位的人员是否从内部人员中选拔，是否要求其签署岗位安全协议。

5、应及时终止离岗人员的所有访问权限（离岗人员所有访问权限终止的记录）

6、应及时取回离岗人员的各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等（交还身份证件和设备等的登记记录）

7、人员离岗应办理调离手续，是否要求关键岗位调离人员承诺相关保密义务后方可离开（具有按照离岗程序办理调离手续的记录，调离人员的签字）

8、对各个岗位人员应定期进行安全技能考核；具有安全技能考核记录，考核内容要求包含安全知识、安全技能等。

9、对关键岗位人员的安全审查和考核与一般岗位人员有何不同，审查内容是否包括操作行为和社会关系等。

10、应对各类人员（普通用户、运维人员、单位领导等）进行安全教育、岗位技能和安全技术培训。

11、应针对不同岗位制定不同的培训计划，并按照计划对各个岗位人员进行安全教育和培训（安全教育和培训的结果记录，记录应与培训计划一致）

12、外部人员进入条件（对哪些重要区域的访问须提出书面申请批准后方可进入），外部人员进入的访问控制（由专人全程陪同或监督等）

13、应具有外部人员访问重要区域的书面申请

14、应具有外部人员访问重要区域的登记记录（记录描述了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等）

五、系统建设管理

1、应明确信息系统的边界和安全保护等级（具有定级文档，明确信息系统安全保护等级）

2、应具有系统建设/整改方案

3、应授权专门的部门对信息系统的安全建设进行总体规划，由何部门/何人负责

4、应具有系统的安全建设工作计划（系统安全建设工作计划中明确了近期和远期的安全建设计划）

5、应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略等相关配套文件进行论证和审定（配套文件的论证评审记录或文档）

6、应对总体安全策略、安全技术框架、安全管理策略等相关配套文件应定期进行调整和修订

7、应具有总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的维护记录或修订版本

8、应按照国家的相关规定进行采购和使用系统信息安全产品

9、安全产品的相关凭证，如销售许可等，应使用符合国家有关规定产品

10、应具有专门的部门负责产品的采购

11、采购产品前应预先对产品进行选型测试确定产品的候选范围，形成候选产品清单，是否定期审定和更新候选产品名单

12、应具有产品选型测试结果记录和候选产品名单及更新记录（产品选型测试结果文档）

13、应具有软件设计相关文档，专人保管软件设计的相关文档，应具有软件使用指南或操作手册

14、对程序资源库的修改、更新、发布应进行授权和批准

15、应具有程序资源库的修改、更新、发布文档或记录

16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测

17、软件安装之前应检测软件中的恶意代码（该软件包的恶意代码检测报告），检测工具是否是第三方的商业产品

18、应具有软件设计的相关文档和使用指南

19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档

20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制

21、应具有工程实施过程应按照实施方案形成各种文档，如阶段性工程进程汇报报告，工程实施方案

22、在信息系统正式运行前，应委托第三方测试机构根据设计方案或合同要求对信息系统进行的安全性测试（第三方测试机构出示的系统安全性测试验收报告）

23、应具有工程测试验收方案（测试验收方案与设计方案或合同要求内容一致）

24、应具有测试验收报告

25、应指定专门部门负责测试验收工作（具有对系统测试验收报告进行审定的意见）

26、根据交付清单对所交接的设备、文档、软件等进行清点（系统交付清单）

27、应具有系统交付时的技术培训记录

28、应具有系统建设文档（如系统建设方案）、指导用户进行系统运维的文档（如服务器操作规程书）以及系统培训手册等文档。

29、应指定部门负责系统交付工作

30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议（文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容

31、选定的安全服务商应提供一定的技术培训和服务

32、应与安全服务商签订的服务合同或安全责任合同书

11、采购产品前应预先对产品进行选型测试确定产品的候选范围，形成候选产品清单，是否定期审定和更新候选产品名单

12、应具有产品选型测试结果记录和候选产品名单及更新记录（产品选型测试结果文档）

13、应具有软件设计相关文档，专人保管软件设计的相关文档，应具有软件使用指南或操作手册

14、对程序资源库的修改、更新、发布应进行授权和批准

15、应具有程序资源库的修改、更新、发布文档或记录

16、软件交付前应依据开发协议的技术指标对软件功能和性能等进行验收检测

17、软件安装之前应检测软件中的恶意代码（该软件包的恶意代码检测报告），检测工具是否是第三方的商业产品

18、应具有软件设计的相关文档和使用指南

19、应具有需求分析说明书、软件设计说明书、软件操作手册等开发文档

20、应指定专门部门或人员按照工程实施方案的要求对工程实施过程进行进度和质量控制

21、应具有工程实施过程应按照实施方案形成各种文档，如阶段性工程进程汇报报告，工程实施方案

22、在信息系统正式运行前，应委托第三方测试机构根据设计方案或合同要求对信息系统进行的安全性测试（第三方测试机构出示的系统安全性测试验收报告）

23、应具有工程测试验收方案（测试验收方案与设计方案或合同要求内容一致）

24、应具有测试验收报告

25、应指定专门部门负责测试验收工作（具有对系统测试验收报告进行审定的意见）

26、根据交付清单对所交接的设备、文档、软件等进行清点（系统交付清单）

27、应具有系统交付时的技术培训记录

28、应具有系统建设文档（如系统建设方案）、指导用户进行系统运维的文档（如服务器操作规程书）以及系统培训手册等文档。

29、应指定部门负责系统交付工作

30、应具有与产品供应商、软件开发商、系统集成商、系统运维商和等级测评机构等相关安全服务商签订的协议（文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等内容

31、选定的安全服务商应提供一定的技术培训和服务

32、应与安全服务商签订的服务合同或安全责任合同书

六、系统运维管理

1、应指定专人或部门对机房的基本设施（如空调、供配电设备等）进行定期维护，由何部门/何人负责。

2、应具有机房基础设施的维护记录，空调、温湿度控制等机房设施定期维护保养的记录

3、应指定部门和人员负责机房安全管理工作

4、应对办公环境保密性进行管理（工作人员离开座位确保终端计算机退出登录状态、桌面上没有包含敏感信息的纸档文件）

5、应具有资产清单（覆盖资产责任人、所属级别、所处位置、所处部门等方面）

6、应指定资产管理的责任部门或人员

7、应依据资产的重要程度对资产进行标识

8、介质存放于何种环境中，应对存放环境实施专人管理（介质存放在安全的环境（防潮、防盗、防火、防磁，专用存储空间））

9、应具有介质使用管理记录，应记录介质归档和使用等情况（介质存放、使用管理记录）

10、对介质的物理传输过程应要求选择可靠传输人员、严格介质的打包（如采用防拆包装置）、选择安全的物理传输途径、双方在场交付等环节的控制

11、应对介质的使用情况进行登记管理，并定期盘点（介质归档和查询的记录、存档介质定期盘点的记录）

12、对送出维修或销毁的介质如何管理，销毁前应对数据进行净化处理。（对带出工作环境的存储介质是否进行内容加密并有领导批准。对保密性较高的介质销毁前是否有领导批准）（送修记录、带出记录、销毁记录）

13、应对某些重要介质实行异地存储，异地存储环境是否与本地环境相同（防潮、防盗、防火、防磁，专用存储空间）

14、介质上应具有分类的标识或标签

15、应对各类设施、设备指定专人或专门部门进行定期维护。

16、应具有设备操作手册

17、应对带离机房的信息处理设备经过审批流程，由何人审批（审批记录）

18、应监控主机、网络设备和应用系统的运行状况等

19、应有相关网络监控系统或技术措施能够对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警

20、应具有日常运维的监控日志记录和运维交接日志记录

21、应定期对监控记录进行分析、评审

22、应具有异常现象的现场处理记录和事后相关的分析报告

23、应建立安全管理中心，对设备状态、恶意代码、补丁升级、安全审计等相关事项进行集中管理

24、应指定专人负责维护网络安全管理工作

25、应对网络设备进行过升级，更新前应对现有的重要文件是否进行备份（网络设备运维维护工作记录）

26、应对网络进行过漏洞扫描，并对发现的漏洞进行及时修补。

27、对设备的安全配置应遵循最小服务原则，应对配置文件进行备份（具有网络设备配置数据的离线备份）

28、系统网络的外联种类（互联网、合作伙伴企业网、上级部门网络等）应都得到授权与批准，由何人/何部门批准。应定期检查违规联网的行为。

29、对便携式和移动式设备的网络接入应进行管理

30、应具有内部网络外联的授权批准书，应具有网络违规行为（如拨号上网等）的检查手段和工具。

31、在安装系统补丁程序前应经过测试，并对重要文件进行备份。

32、应有补丁测试记录和系统补丁安装操作记录

33、应对系统管理员用户进行分类（比如：划分不同的管理角色，系统管理权限与安全审计权限分离等）

34、审计员应定期对系统审计日志进行分析（有定期对系统运行日志和审计数据的分析报告）

35、应对员工进行基本恶意代码防范意识的教育，如告知应及时升级软件版本（对员工的恶意代码防范教育的相关培训文档）

36、应指定专人对恶意代码进行检测，并保存记录。

37、应具有对网络和主机进行恶意代码检测的记录

38、应对恶意代码库的升级情况进行记录（代码库的升级记录），对各类防病毒产品上截获的恶意代码是否进行分析并汇总上报。是否出现过大规模的病毒事件，如何处理

39、应具有恶意代码检测记录、恶意代码库升级记录和分析报告

40、应具有变更方案评审记录和变更过程记录文档。

41、重要系统的变更申请书，应具有主管领导的批准

42、系统管理员、数据库管理员和网络管理员应识别需定期备份的业务信息、系统数据及软件系统（备份文件记录）

43、应定期执行恢复程序，检查和测试备份介质的有效性

44、应有系统运维过程中发现的安全弱点和可疑事件对应的报告或相关文档

45、应对安全事件记录分析文档

46、应具有不同事件的应急预案

47、应具有应急响应小组，应具备应急设备并能正常工作，应急预案执行所需资金应做过预算并能够落实。

48、应对系统相关人员进行应急预案培训（应急预案培训记录）

49、应定期对应急预案进行演练（应急预案演练记录）

50、应对应急预案定期进行审查并更新

51、应具有更新的应急预案记录、应急预案审查记录。下载本文