收藏 分享(赏)
下载资源 加入VIP,免费下载

等级保护测评表单(三级应用系统_安全管理).txt

上传人:jmydc 文档编号:4063756 上传时间:2018-12-06 格式:TXT 页数:4 大小:14.34KB
下载 相关 举报
等级保护测评表单(三级应用系统_安全管理).txt_第1页
第1页 / 共4页
等级保护测评表单(三级应用系统_安全管理).txt_第2页
第2页 / 共4页
等级保护测评表单(三级应用系统_安全管理).txt_第3页
第3页 / 共4页
等级保护测评表单(三级应用系统_安全管理).txt_第4页
第4页 / 共4页
亲,该文档总共4页,全部预览完了,如果喜欢就下载吧!
资源描述

1、 本文由bookkid贡献xls文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。信息系统安全等级保护基本要求a) 应制定信息安全工作的总体方针和安全策略, 说明机构安全工作的总体目标、范围、原则和安全框 架等; b) 应对安全管理活动中的各类管理内容建立安全 管理制度; c) 应对要求管理人员或操作人员执行的日常管理 操作建立操作规程; d) 应形成由安全策略、管理制度、操作规程等构 成的全面的信息安全管理制度体系。 a) 应指定或授权专门的部门或人员负责安全管理 制度的制定; b) 安全管理制度应具有统一的格式,并进行版本 控制; c) 应组织相关人员对制定的安

2、全管理制度进行论 证和审定; d) 安全管理制度应通过正式、有效的方式发布; e) 安全管理制度应 明发布范围,并对 发文进 行 。 a) 信息安全组应负责定 组织相关部门和 相关人员对安全管理制度体系的 理 和 进行 审定; b) 应定或不定 对安全管理制度进行 查和审 定,对 在不 或 要 进的安全管理制度进行 。 a) 应 立信息安全管理工作的 能部门, 立安 全 管、安全管理各 方面的负责人 ,并定 各 负责人的 责;b) 应 立系统管理员、 管理员、安全管理员 等 ,并定 各 工作 的 责; c) 应成立指 和管理信息安全工作的 员 或 组, 由 管 或授权; d) 应制定文件明安全

3、管理机构各 部门和 的 责、工和能要求。 a) 应一定currency1的系统管理员、 管理员、 安全管理员等; b) 应专 安全管理员,不可“; c) 关 应fi人fl 管理。 a) 应各 部门和 的 责明授权审 、审部门和 人等; b) 应针对系统、要操作、理”和系统 等建立审程 , 审程 执行审过 程,对要活动建立级审制度; c) 应定 审查审, 授权和审 的目、审部门和审人等信息; d) 应 审过程并保 审文档。 a) 应各类管理人员 、组织内部机构 信息安全 能部门内部的 作 通,定或不 定 议,fl 作 理信息安全 ;2.1.1 管理制度 G3 2.1 安全管理 制度2.1.2 制

4、定和发 布 G3 2.1.3 审和 G3 2.2.1 G3 2.2.2 人员 G3 2.2.3 授权和审 G3 2.2 安全管理 机构2.2.4 通和 作 G3 2.2.5 审 和 查 G3 2.3.1 人员 G3 2.3.2 人员 G3 2.3 人员安全 管理2.3.3 人员 G3 2.3.4 安全 和 G3 2.3.5 部人员b) 应 、 安机关、 信 的 作 通; c) 应 应、专、专的安全 、安全组织的 作 通; d) 应建立 系 , 、 作内容、 系人和 系方式等信息; e) 应 信息安全专作常 的安全 ,指 信息安全建 ,安全规和安全 审等。 a) 安全管理员应负责定 进行安全 查

5、, 查内 容 系统日常行、系统 和currency1 等 ; b) 应由内部人员或上级 定 进行全面安全 查, 查内容 现有安全术措施的有效 、安全 安全策略的一致 、安全管理制度的执行 等; c) 应制定安全 查 格实施安全 查,汇总安全 查currency1,形成安全 查报告,并对安全 查结果进 行通报; d) 应制定安全审 和安全 查制度规范安全审 和安全 查工作,定 程 进行安全审 和安全 查活动。 a) 应指定或授权专门的部门或人员负责人员 ; b) 应严格规范人员 过程,对被 人的身 、背景、专资格和资质等进行审查,对 所具有的 术能进行 ; c) 应签署保密议; d) 应从内部人

6、员中选拔从关 的人员,并 签署 安全议。 a) 应严格规范人员 过程,终止 员工 的所有”权限; b) 应取回各种身 证件、钥匙、徽章等机构 提 的软硬件 ; c) 应办理严格的 手续,关 人员须 承诺 后的保密 后方可 。 a) 应定 对各 的人员进行安全能安全 认知的 ;b) 应对关 的人员进行全面、严格的安全审 查和能 ; c) 应对 结果进行 并保 。 a)应对各类人员进行安全 、 能 和相关安全术 ; b) 应对安全责和惩戒措施进行书面规定并告知 相关人员,对违反违背安全策略和规定的人员进行惩 戒; c) 应对定 安全 和 进行书面规定,针对 不 制定不 的 计,对信息安全基础知 、

7、 操作规程等进行 ; d) 应对安全 和 的 和结果进行 并 归档保 。 a) 应保在部人员”受控区域前先提出书面 申 , 后由专人全程陪 或监督,并 案;”管理 G3 2.4.1 系统定级 G3 2.4.2 安全方案 计 G3 2.4.3 产品采购 和使 G3 2.4.4 自行软件 发 G3 b) 对部人员允许”的区域、系统、 、信 息等内容应进行书面的规定,并 规定执行。 a) 应明信息系统的边和安全保护等级; b) 应书面的形式说明定信息系统某 安全 保护等级的方法和理由; c) 应组织相关部门和有关安全术专对信息系 统定级结果的 理 和正 进行论证和审定;d) 应保信息系统的定级结果经

8、过相关部门的 。 a) 应系统的安全保护等级选择基本安全措 施,并依风险析的结果补充和整安全措施; b) 应指定和授权专门的部门对信息系统的安全建 进行总体规,制定近 和远 的安全建 工作计 ; c) 应信息系统的等级 ,统一 虑安 全保障体系的总体安全策略、安全术框架、安全管 理策略、总体建 规和详细 计方案,并形成套 文件; d)应组织相关部门和有关安全术专对总体安 全策略、安全术框架、安全管理策略、总体建 规 、详细计方案等相关套文件的 理 和正 进行论证和审定,并且经过 后,才能正式实施; e) 应等级测 、安全 估的结果定 整和 总体安全策略、安全术框架、安全管理策略、 总体建 规、

9、详细 计方案等相关套文件。 a) 应保安全产品采购和使 符 国的有关规 定; b) 应保密码产品采购和使 符 国密码 管 部门的要求; c) 应指定或授权专门的部门负责产品的采购; d) 应预先对产品进行选型测试,定产品的候选 范围,并定 审定和候选产品。 a) 应保发环境实际行环境理, 发人员和测试人员 ,测试currency1和测试结果受到控 制; b) 应制定软件发管理制度,明说明发过程 的控制方法和人员行 则; c) 应制定代码编写安全规范,要求发人员 规范编写代码; d) 应保提 软件 计的相关文档和使 指南, 并由专人负责保管; e) 应保对程 资源库的、发布进行 授权和 。 a)

10、 应发 求 测软件质;2.4 系统建 b) 应在软件安装前 测软件 中可能 在的恶 2.4.5 软件 代码; 发 G3 c) 应要求发 提 软件 计的相关文档和使 指南; d) 应要求发 提 软件源代码,并审查软件 中可能 在的后门。2.4 系统建 管理a) 应指定或授权专门的部门或人员负责工程实施 过程的管理; 2.4.6 工程实施 b) 应制定详细的工程实施方案控制实施过程,并 G3 要求工程实施 能正式地执行安全工程过程; c) 应制定工程实施方面的管理制度,明说明实 施过程的控制方法和人员行 则。 a) 应 托 正的第三方测试 对系统进行安全 测试,并出具安全 测试报告; b) 在测试

11、验 前应 计方案或 要求等制 测试验方案,在测试验 过程中应详细 测试 验 结果,并形成测试验 报告; 2.4.7 测试验 c) 应对系统测试验 的控制方法和人员行 则 G3 进行书面规定; d) 应指定或授权专门的部门负责系统测试验 的 管理,并 管理规定的要求完成系统测试验 工 作; e) 应组织相关部门和相关人员对系统测试验 报 告进行审定,并签字认。 a) 应制定详细的系统交付清,并交付清 对所交的 、软件和文档等进行清点; b) 应对负责系统行维护的术人员进行相应的 能 ; 2.4.8 系统交付c) 应保提 系统建 过程中的文档和指 户 G3 进行系统行维护的文档; d) 应对系统交

12、付的控制方法和人员行 则进行 书面规定; e) 应指定或授权专门的部门负责系统交付的管理 工作,并 管理规定的要求完成系统交付工作。 a) 应指定专门的部门或人员负责管理系统定级的相 关材料,并控制这材料的使 ; 2.4.9 系统案 b) 应 系统等级相关材料报系统 管部门案; G3 c) 应 系统等级 要求的案材料报相应 安 机关案。 a) 在系统行过程中,应 对系统进行一 等级测 ,发现不符 相应等级保护标 要求的 整 ; b) 应在系统发 对系统进行等级测 2.4.10 等级测 ,发现级 发 的整级 并进行安全 G3 ,发现不符 相应等级保护标 要求的整 ; c) 应选择具有国相关术资质

13、和安全资质的测 进行等级测 ; d) 应指定或授权专门的部门或人员负责等级测 的管理。 a) 应保安全 的选择符 国的有关规 定; 应选定的安全 签 安全相关的 2.4.11 安全 b) 选择 G3 议,明 定相关责; c) 应保选定的安全 提 术 和 承诺, 要的 签 。2.5.1 环境管理 G3 2.5.2 资产管理 G3 2.5.3 质管理 G3 2.5.4 管理 G3 a) 应指定专门的部门或人员定 对机 、 、 度控制等 施进行维护管理; b) 应指定部门负责机 安全,并机 安全管 理人员,对机 的出、 的机或关机等工作 进行管理; c)应建立机 安全管理制度,对有关机 理” ,品

14、进、 出机 和机 环境安全等方面的管 理作出规定; d) 应对办 环境的保密 管理,规范办 环 境人员行, 工作人员 办 应立 交 办 钥匙、不在办 区 ”人员、工作人员 应保终端计 机 出 和 面上有 信息的档文件等。 a) 应编制并保 信息系统相关的资产清, 资产责部门、要程度和所 等内容; b) 应建立资产安全管理制度,规定信息系统资产 管理的责人员或责部门,并规范资产管理和使 的行; c) 应资产的要程度对资产进行标 管理, 资产的选择相应的管理措施; d) 应对信息类标 方法作出规定,并对信息 的使 、currency1和 “等进行规范 管理。 a) 应建立 质安全管理制度,对 质的

15、 环境 、使 、维护和等方面作出规定; b) 应保 质 在安全的环境中,对各类 质 进行控制和保护,并实行 “环境专人管理; c) 应对 质在理currency1过程中的人员选择、fi 、交付等 进行控制,对 质归档和查fl等进行 ,并 档 质的目清定 点; d) 应对 “ 质的使 过程、出维 等进行严格的管理,对 出工作环境的 “ 质进行内容密和监控管理,对出维 或的 质应 先清 质中的currency1,对保密 的 “ 质 经 不自行; e) 应currency1 的 要对某 质实行地 “, “地的环境要求和管理方法应本地相 ; f) 应对要 质中的currency1和软件采取密 “, 并

16、所承载currency1和软件的要程度对 质进行类 和标 管理。 a)应对信息系统相关的各种 和 、”等指定专门的部门或人员定 进行维 护管理; b) 应建立基申报、审和专人负责的 安全 管理制度,对信息系统的各种软硬件 的选型、采 购、发和 等过程进行规范 管理; c) 应建立套 施、软硬件维护方面的管理制 度,对 维护进行有效的管理, 明维护人员的 责、维 和 的审、维 过程的监督控制 等;2.5 系统维 管理d) 应对终端计 机、工作 、 机、系统和 等 的操作和使 进行规范 管理,操作规程 实现 要 和 的动/止 、 / 等操作; e) 应保信息 理 须经过审才能 机 或办 地点。 a

17、) 应对通信”、 机、 和应 软件的 行 、 、户行等进行监测和报, 形成 并保 ; 应组织相关人员定 对监测和报 进行 2.5.5监控管理 b) 和安全管理中 析、 审,发现可 行,形成析报告,并采取 G3 要的应对措施;c) 应建立安全管理中,对 、恶 代码 、补级、安全审计等安全相关进行 中管理 。 a) 应指定专人对 进行管理,负责行日、 监控 的日常维护和报信息析和 理工 作; b) 应建立 安全管理制度,对 安全 、 日保 、安全策略、级fi补、 等方面作出规定; c) 应 提 的软件级版本对 进 行,并在前对现有的要文件进行 ; 应定 对 系统进行 ,对发现的 2.5.6 安全

18、d) 管理 G3 系统安全 进行的 补; e) 应实现 的 ,并对 文件进 行定 ” ; f) 应保证所有部系统的 到授权和 ; g) 应依安全策略允许或 式和 动式 的 ;h) 应定 查违反规定 上 或 违反 安全策略的行。 a) 应 求和系统安全析定系统的” 控制策略; b) 应定 进行 ,对发现的系统安全 进行 补; c) 应安装系统的 补程 ,在安装系统补 前,先在测试环境中测试通过,并对要文件进行 后,方可实施系统补程 的安装; d) 应建立系统安全管理制度,对系统安全策略、 2.5.7 系统安全 安全 、日管理和日常操作程等方面作出具体 管理 G3 规定; e) 应指定专人对系统进

19、行管理,系统管理员 ,明各 的权限、责和风险,权限 定 应 授权原则; f) 应依操作手对系统进行维护,详细 操 作日, 要的日常操作、行维护 、currency1 的 和 等内容,严 进行 经授权的操作; g) 应定 对行日和审计currency1进行析, 发现常行。a) 应提 所有 户的 ,告知 软件版本,在 取 动 “ 上的currency1 上 文件或 件前,先进行 查,对 计 机或 “ 系统前应进行 查;b) 应指定专人对 和 机进行恶 代码 测并 2.5.8 恶 代码 保 测 ; 范管理 G3 c)应对恶 代码软件的授权使 、恶 代码库 级、定 汇报等作出明规定; d) 应定 查信

20、息系统内各种产品的恶 代码库 的级 并进行 ,对 机 产品、 关和 件 关上的险 或恶 代码 进行析 理,并形成书面的报 和总结汇报。 2.5.9 密码管理 应建立密码使管理制度,使 符 国密码管理规 G3 定的密码术和产品。 a) 应认系统中要发 的,并制定方 案; b) 应建立管理制度,系统发 前, 管 申 ,和方案经过 审、审后方可 实施,并在实施后 相关人员通告; 2.5.10 管 c) 应建立控制的申报和审文件 程 ,对 理 G3 进行析并文档 , 实施过程,并 保 所有文档和 ; d) 应建立中止并从 中 的文件 程 ,明过程控制方法和人员 责, 要对 过程进行 。 a) 应 要定

21、 的要信息、系统currency1 软件系统等; b) 应建立 管理相关的安全管理制度, 对 信息的 方式、 度、 “ 质和保 等进行规范; c) 应currency1的要 和currency1对系统行的 2.5.11 ,制定currency1的 策略和 策略,策略须指 管理 G3 明 currency1的 所、文件 规则、 质 和 currency1 的方法; d) 应建立控制currency1 和 过程的程 ,对 过程进行 ,所有文件和 应保 ; e) 应定 执行 程 , 查和测试 质的 有效 ,保可在 程 规定的 内完成 的 。a) 应报告所发现的安全点和可 件, 下 户 不应 试验证点

22、; b) 应制定安全件报告和 管理制度,明安 全件的类型,规定安全件的现 理、件报告 和后 的管理 责; c) 应国相关管理部门对计 机安全件等 级方法和安全件对本系统产 的 ,对本系 统计机安全件进行等级; 2.5.12 安全 d) 应制定安全件报告和 应 理程 ,定 件 G3 件的报告程, 应和 的范围、程度, 理 方法等;2.5.13 应 预 案管理 G3 e) 应在安全件报告和 应 理过程中,析和 鉴定件产 的原因, 证, 理过程,总 结经验 ,制定止再 发 的补救措施,过程形 成的所有文件和 应保 ; f) 对 成系统中和 成信息泄密的安全件应 采 不 的 理程 和报告程 。 a) 应在统一的应 预案框架下制定不 件的应 预案,应 预案框架应 动应 预案的条件、 应 理程、系统 程、后 和 等内 容; b) 应从人力、 、术和财等方面保应 预案的执行有 够的资源保障; c) 应对系统相关的人员进行应 预案 ,应 预案的 应 举办一 ; d) 应定 对应 预案进行 ,不 的应 内容,定 的 ; 应规定应 预案 要定 审查和实际 的 内容,并 执行。填写负责 符 符 估说明 证说明差 理 说明 进方案 计

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 实用文档 > 统计图表

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报