《等保0二级通用测评要求.docx》由会员分享,可在线阅读,更多相关《等保0二级通用测评要求.docx(22页珍藏版)》请在三一办公上搜索。
1、平安物理环境1.1 物理地点选择本项要求包含:a)机房场所应选择在拥有防震、防风和防雨等水平的建筑内;b)机房场所应预防设在建筑物的顶层或地下室, 不然应增强防水和防潮举措.1. 2物理接见限制机房进出口应安排专人值守或配置电子门禁系统,限制、鉴识和记录进入的人员.L3防偷窃和防损坏本项要求包含:a)应将设备或主要零件进行固定,并设置显然的不易除掉的表记;b)应将通讯线缆铺设在隐蔽平安处.1.1 4防雷击应将各种机柜、设备和设备等经过接地系统平安接地.1.5 防火本项要求包含:a)机房应设置火灾自动消防系统,可以自动检测火情、自动报警,并自动灭火;b)机房及有关的工作房间和协 助房应采纳拥有耐
2、火等级的建筑资料.本项要求包含:8)应采纳举措防范雨水经过机房窗户、屋顶和墙壁浸透;5)应采纳举措防范机房内水蒸气结露和地下积水的转移与浸透.1/141.7 防静电应采纳防静电地板或地面并采纳必需的接地防静电举措.L 8温湿度限制应设置温湿度自动调理设备,使机房温 湿度的变化在设备运转所同意的范圜以内.1.9 电力供应本项要求包含:a)应在机房供电线路上配置稳压器和过电压防范设备;b)应供应短期的备用电力供应,起码知足设备在断电状况下的正常运转要求.1.10 电磁防范电源线和通讯线缆应隔绝铺设,预防相互扰乱.平安通讯网络1. 1网络架构本项要求包含:a)应区分不一样的网络地区,并依照方便治理和
3、限制的原那么为各网络地区分派地点;b)应预防将重要络地区 部署在界限处,重要网络地区与其余网络地区之间应采纳靠谱的技术隔绝手段.2. 2通讯传输应采纳校验技术保证通讯过程中数据的完好性.2. 3可信考证可鉴于可信根对通讯设备的系统指引程序、系统程序、重要配置参数和通讯应用程序等进行可信 考证,并在检测到其可信性遇到损坏后进行报警,并将考证结果形成审计记录送至平安治理中央.3 平安地区界限2/143.1界限防范应保证超越界限的接见和数据流经过界限设备供应的受控接口进行通讯.3. 2接见限制本项要求包含:a)应在网络界限或地区之间依据接见限制策略设置接见限制规那么,默认状况下除同意通讯外受控接口拒
4、绝全部 通讯;b)应删除剩余或无效的接见限制规那么,优化接见限制列表,并保证接见限制规那么数目最小化;c)应付源地点、目的地点、源端口、目的端口和协议等进行检查,以同意拒绝数据包进出;d)应能依据会话状态信息为进出数据流供应明确的同意/拒绝接见的水平.3. 3入侵防范应在重点网络节点处监督网络攻击行为.3.4 恶意代码防范.应在重点网络节点处对恶意代码进行检测和消除,并保护恶意代码防范体制的升级和更新.3.5 平安审计本项要求包含:a)应在网络界限、重要网络节点进行平安审计,审计覆盖到每个用户,对重要的用户行为和重要平安事件进行审计;b)审计记录应包含事件的日期和时间、用户、事件种类、事件能否
5、成功及其余与审计有关的信息;c)应付审计记录进行保护,按期备份,预防遇到未预期的删除、改正或覆盖等.3.6 可信考证可鉴于可信根对界限设备的系统指引程序、系统程序、重要配置参数和界限防范应用程序等进行可信考证,并在 检测到其可信性遇到损坏后进行报警,并将考证结果形成审计记录送至平安治理中央.4平安计算环境3.7 身份鉴识本项要求包含:a)应付登录的用户进行身份表记和鉴识,身份表记拥有独一性,身份鉴识信息拥有复杂度要求并按期改换;b)应拥有登录失败办理功能,应配置并启用结束会话、限制非法登录次数和当登录连结超时自动退出等有关举 措;c)当进行远程治理时,应采纳必需举措防范鉴识信息在网络传输过程中
6、被窃听.4. 2接见限制本项要求包含:a)应付登录的用户分派账户和权限:b)应重命名或删除默认账户,改正默认账户的默认口令;.c)应实时删除或停用剩余的、过期的账户,预防共享账户的存在;d)应授与治理用户所需的最小权限,实现治理用户的权限分别.4. 3平安审计本项要求包含:a)应启用平安审计功能,审计覆盖到每个用户,对重要的用户行为和重要平安事件进行审计;b)审计记录应包含事件的日期和时间、用户、事件种类、事件能否成功及其余与审计有关的信息;c)应付审计记录进行保护,按期备份,预防遇到未预期的删除、改正或覆盖等.4.4入侵防范.本项要求包含:a)应依照最小安装的原那么,仅安装需要的组件和应用程
7、序;b)应封闭不需要的系统效劳、默认共享和高危端口;c)应经过设定终端接入方式或网络地点范围对经过网络进行治理的治理终端进行限制;d)应供应数占有效性 查验功能,保证经过人机接口输入或经过通讯接口输入的内容切合系统设定要求;e)应能发现可能存在的破绽,并在经过充足测试评估后,实时修理破绽.4. 5恶意代码防范应安装防恶意代码软件或配置拥有相应功能的软件,并按期进行升级和更新防恶意代码库.4. 6可信考证可鉴于可信根对计算设备的系统指引程序、系统程序、重要配置参数和应用程序等进行可信考证,并在检测到其 可信性遇到损坏后进行报警,并将考证结果形成审计记录送至平安治理中央.1 .7数据完好性应采纳校
8、验技术保证重要数据在传输过程中的完好性.4. 8数据备份恢复本项要求包含:5/14a)应供应重要数据的当地数据备份与恢复功能;b)应供应异地数据备份功能,利用通讯网络将重要数据准时批量传递至备用处所.4 . 9节余信息保护应保证鉴识信息所在的储存空间被开释或从头分派前获得完好消除.4. 10个人信息保护本项要求包含:a)应仅采集和保存业务必需的用户个人信息;b)应严禁未受权接见和非法使用用户个人信息.平安治理中央5.1 系统治理本项要求包含:a)应付系统治理员进行身份鉴识,只同意其经过特定的命令或操作界面进行系统治理操作,并对这些操作进行 审 计;b)应经过系统治理员对系统的资源和运转进行配置
9、、限制和治理,包含用户身份、系统资源配置、系统加载和启动、系统运转的异样办理、数据和设备的备份与恢复等.5.2 审计治理本项要求包含:a)应付审计治理员进行身份鉴识,只同意其经过特定的命令或操作界面进行平安审计操作,并对这些操作进行 审 计;b)应经过审计治理员对审计记录进行剖析,并依据剖析结果进行办理,包含依据平安审计策略对审计记录进行 储存、治理和查问等.平安治理制度1.1 平安策略应拟订网络平安工作的整体目标和平安策略,说明机构平安工作的整体目标、范围、原那么和平安框架等.1.2 治理制度本项要求包含:a)应付平安治理活动中的主要治理内容成立平安治理制度;.b)应付治理人员或操作人员执行
10、的平时治理操作成立操作规程.6. 3拟订和公布本项要求包含:a)应指定或受权特意的部门或人员负责平安治理制度的拟订;b)平安治理制度应经过正式、有效的方式公布,并 进行版本限制.6. 4评审和订正应按期对平安治理制度的合理性和合用性进行论证和判定,对存在缺乏或需要改进的平安治理制度进行订正.7平 安治理机构7.1岗位设置本项要求包含:a)应建立网络平安治理工作的职能部门,建立平安主管、平安治理各个方面的负责人岗位,并定义各负责人的责任;b)应建立系统治理员、审计治理员和平安治理员等岗位,并定义部门及各个工作岗位的责任.7. 2人员装备7/14应装备必定数目的系统治理员、审计治理员和平安治理员等
11、.7. 3受权和审批本项要求包含:a)应依据各个部门和岗位的责任明确受权审批事项、审批部门和同意人等;b)应针对系统更改、重要操作.物理接见和系统接入等事项执行审批过程.7. 4交流和合作本项要求包含:a)应增强各种治理人员、组织内部机构和网络平安治理部门之间的合作与交流,按期召开协调会议,共同协作办 理网络平安问题;b)应增强与网络平安职能部门、各种供应商、业界专家及平安组织的合作与交流;c)应成立外联单位联系列 表,包含外联单位名称、合作内容,联系人和联系方式等信息.7. 5审察和检查应按期进行惯例平安检查,检查内容包含系统平时运转、系统破绽和数据备份等状况.平安治理人员8.1人员录取本项
12、要求包含:a)应指定或受权特意的部门或人员负责人员录取:b)应付被录取人员的身份、平安背景、专业资格或资质等进行审察.8.2人员离岗8/14应实时停止离岗人员的全部接见权限,取回各样身份证件、钥匙、微章等以及机构供应的软硬件设备.8. 3平安意识教育和培训应付各种人员进行平安意识教育和岗位技术培,并见告有关的平安责任和惩戒举措.8. 4外面人员接见治理本项要求包含:a)应在外面人员物理接见受控地区前先提出版面申请,同意后由专人全程陪伴,并登记存案;b)应在外面人员接入受控网络接见系统前先提出版面申请,同意后由专人开设账户、分派权限,并登记存案;c)外面人员离场后应实时消除其全部的接见权限.平安
13、建设治理9.1定级和存案本项要求包含:a)应以书面的形式说明保护对象的平安保护等级及确立等级的方法和理由;b)应组织有关部门和有关平安技术专家对定级结果的合理性和正确性进行论证和判定;c)应保证定级结果经 过有关部门的同意;d)应将存案资料报主管部门和相应公安机关存案.9. 2平安方案设计本项要求包含:a)应依据平安保护等级选择根本平安举措,依照风险剖析的结果增补和调整平安举措;b)应依据保护对象的平安保护等级进行平安方案设计;c)应组织有关部门和有关平安专家对平安方案的合理性和正确性进行论证和判定,经过同意后才能正式实行.9. 3产品采买和使用本项要求包含:a)应保证网络平安产品采买和使用切
14、合国家的有关规定;b)应保证密码产品与效劳的采买和使用切合国家密码治理主管部门的要 求.9.4自行软件开发本项要求包含:a)应将开发环境与实质运转环境物理分开,测试数据和测试结果遇到控 制;b)应在软件开发过程中对平安性进行测试,在软件安装前对可能存在的恶意代码进行检测.9. 5外包软件开发本项要求包含:a)应在软件交托前检测此中可能存在的恶意代码;10. 保证开发单位供应软件设计文档和使用指南.9.6工程实行本项要求包含:a)应指定或受权特意的部门或人员负责工程实行过程的治理;b)应拟订平安工程实行方案限制工程实行过程.9.7 测试查收本项要求包含:10/14a)应制定测试查收方案,并依照测
15、试查收方案实行测试查收,形成测试查收报告;b)应进行上线前的平安性测 试,并出具平安测试报告.9.8 系统交托本项要求包含:a)应拟订交托清单,并依据交托清单对所交接的设备、软件和文档等进行盘点;b)应付负责运转保护的技术 人员进行相应的技术培训;c)应供应建设过程文档和运转保护文档.9. 9等级测评本项要求包含:a)应按期进行等级测评,发现不切合相应等级保护标准要求的实时整顿;b)应在发生重要更改或级别发生变 化时进行等级测评;c)应保证测评机构的选择切合国家有关规定.9.10效劳供应商选择本项要求包含:a)应保证效劳供应商的选择切合国家的有关规定;b)应与选定的效劳供应商签署有关协议,明确
16、整个效劳供应链各方需执行的网络平安有关义务.10平安运维 治理10.1环境治理本项要求包含:a)应指定特意的部门或人员负责机房平安,对机房出人进行治理,按期对机房供配电、空调、温湿度限制、消 防等设备进行保护治理;b)应付机房的平安治理做出规定,包含物理接见、物件进出和环境平安应不在重要地区招待来访人员,不任意搁置含有敏感信息的纸档文件和挪动介质等.10. 2财产治理应编制并保存与保护对象有关的财产清单,包含财产责任部门、重要程度和所处地点等内容.10. 3介质治理本项要求包含:a)应将介质存放在平安的环境中,对各种介质进行限制和保护,推行储存环境专人治理,并依据存档介质的目录 清单按期盘点;
17、b)应付介质在物理传输过程中的人员选择、打包、交托等状况进行限制,并对介质的归档和查问等进行登记记 录.10. 4设备保护治理本项要求包含:a)应付各样设备(包含备份和冗余设备)、线路等指定特意的部门或人员按期进行保护治理;b)应付配套设 备、软硬件保护治理做出规定,包含明保证护人员的责任、维修和效劳的审批.维修过程的监察限制等.10. 5破绽微风险治理应采纳必需的举措区分平安破绽和隐患,对发现的平安破绽和隐患实时进行修理或评估可能的影响后进行修理.10. 6网络和系统平安治理.本项要求包含:a)应区分不一样的治理员角色进行网络和系统的运维治理,明确各个角色的责任和权限;b)应指定特意的 部门
18、或人员进行账户治理,对申请账户、成立账户、删除账户等进行限制;C)应成立网络和系统平安治理制度, 对平安策略、账户治理、配置治理、日记治理、平时操作、升级与打补丁、口令更新周期等方面作出规定;12/14d)应拟订重要设备的配置和操作手册,依照手册对设备进行平安配置和优化配置等;e)应详尽记录运维操作 日记,包含平时巡检工作、运转保护记录、参数的设置和改正等内容.10. 7恶意代码防范治理本项要求包含:a)应提升所实用户的防恶意代码意识,对外来计算机或储存设备接人系统行进行恶意代码检查等;b)应付恶意代码防范要求做出规定,包含防恶意代码软件的受权使用、恶意代码库升级、恶意代码的按期查杀 等;c)
19、应按期检查恶意代码库的升级状况,对截获的恶意代码进行实时剖析处理.10. 8配置治理应记录和保存根本配置信息,包含网络拓扑构造、各个设备安装的软件组件、软件组件的版本和补丁信息、各 个设备或软件组件的配置参数等.1.1 9密码治理本项要求包含:a)应依照密码有关国家标准和行业标准;b)应使用国家密码治理主管部门认证同意的密码技术和产品.10.10 更改治理应明确更改需求,更改前依据更改需求拟订更改方案,更改方案经过评审、审批前方可实行.10.11 备份与恢复治理本项要求包含:a)应区分需要按期备份的重要业务信息、系统数据及软件系统 b)应规定备份信息的备份方式、备份频度、 等; 拟订数据的备份
20、策略和恢复策略、备份程序 储存介质保存期等;C)应依据数据的重要性和数据对系统运转的影响,和恢复程序等.10.12 平安事件处理本项要求包含:a)应实时向平安治理部门报告所发现的平安短处和可疑事件;b)应拟订平安事件报告和处理治理制度,明确不一样平安事件的报告、处理和响应流程,规定平安事件的现场办理、事 件报告和后期恢复的治理责任等;c)应在平安事件报告和响应办理过程中,剖析和判定事件产生的原由,采集凭证,记录办理过程,总结经验教 训.10.13 应急方案治理本项要求包含:a)应拟订重要事件的应急方案,包含应急办理流程、系统恢复流程等内容;b)应按期对系统有关的人员进行应急方案培训I,并进行应急方案的操练.10.14外包运维治理本项要求包含:a)应保证外包运维效劳商的选择切合国家的有关规定;b)应与选定的外包运维效劳商签署有关的协议,明确商定外包运维的范围、工作内容.14/14
