信息安全等級保護系統(tǒng)驗收檢查項

1、精選優(yōu)質(zhì)文檔-傾情為你奉上第二級信息系統(tǒng)驗收檢查項序號層面控制點要求項1.物理安全物理訪問控制（G2）a）機房出入口應(yīng)安排專人值守，控制、鑒別和記錄進入的人員。2.物理安全電力供應(yīng)（A2）b）應(yīng)提供短期的備用電力供應(yīng)，至少滿足關(guān)鍵設(shè)備在斷電情況下的正常運行要求。3.網(wǎng)絡(luò)安全結(jié)構(gòu)安全（G2）a）應(yīng)保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；4.網(wǎng)絡(luò)安全結(jié)構(gòu)安全（G2）d）應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；5.網(wǎng)絡(luò)安全訪問控制（G2）a）應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制

2、功能；6.網(wǎng)絡(luò)安全訪問控制（G2）b）應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為網(wǎng)段級；7.網(wǎng)絡(luò)安全安全審計（G2）a）應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄；8.網(wǎng)絡(luò)安全邊界完整性檢查（S2）應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過準許私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查。9.網(wǎng)絡(luò)安全入侵防范（G2）應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。10.網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備防護（G2）d）身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換；11.網(wǎng)絡(luò)安全網(wǎng)絡(luò)

3、設(shè)備防護（G2）f）當(dāng)對網(wǎng)絡(luò)設(shè)備進行遠程管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。12.主機安全身份鑒別（S2）b）操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換；13.主機安全身份鑒別（S2）d) 當(dāng)對服務(wù)器進行遠程管理時，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；14.主機安全訪問控制（S2）b) 應(yīng)實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離；15.主機安全安全審計（G2）a) 審計范圍應(yīng)覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；16.主機安全安全審計（G2）b) 審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重

4、要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；17.主機安全入侵防范（G2）操作系統(tǒng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補丁及時得到更新。18.主機安全惡意代碼防范（G2）a) 應(yīng)安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫；19.應(yīng)用安全身份鑒別（S2）b) 應(yīng)提供用戶身份標識唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標識，身份鑒別信息不易被冒用；20.應(yīng)用安全訪問控制（S2）c) 應(yīng)由授權(quán)主體配置訪問控制策略，并嚴格限制默認帳戶的訪問權(quán)限；21.應(yīng)用安全訪問控制（S2）d) 應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需

5、的最小權(quán)限，并在它們之間形成相互制約的關(guān)系。22.應(yīng)用安全安全審計（G2）a) 應(yīng)提供覆蓋到每個用戶的安全審計功能，對應(yīng)用系統(tǒng)重要安全事件進行審計；23.應(yīng)用安全通信保密性（S2）b) 應(yīng)對通信過程中的敏感信息字段進行加密。24.應(yīng)用安全軟件容錯（A2）a) 應(yīng)提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求；25.數(shù)據(jù)安全及備份恢復(fù)數(shù)據(jù)保密性（S2）b) 應(yīng)采用加密或其他保護措施實現(xiàn)鑒別信息的存儲保密性。26.數(shù)據(jù)安全及備份恢復(fù)備份和恢復(fù)（A2）b) 應(yīng)提供關(guān)鍵網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的可用性。27.安全管理制度管理制

6、度（G2）b）應(yīng)對安全管理活動中重要的管理內(nèi)容建立安全管理制度。28.安全管理機構(gòu)崗位設(shè)置（G2）a）應(yīng)設(shè)立安全主管、安全管理各個方面的負責(zé)人崗位，并定義各負責(zé)人的職責(zé)。29.安全管理機構(gòu)人員配備（G2）a）應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等。30.安全管理機構(gòu)審核和檢查（G2）安全管理員應(yīng)負責(zé)定期進行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。31.人員安全管理人員錄用（G2）b）應(yīng)規(guī)范人員錄用過程，對被錄用人的身份、背景和專業(yè)資格等進行審查，對其所具有的技術(shù)技能進行考核。32.人員安全管理人員錄用（G2）c）應(yīng)與從事關(guān)鍵崗位的人員簽署保密協(xié)議。33.人員

7、安全管理安全意識教育和培訓(xùn)（G2）a）應(yīng)對各類人員進行安全意識教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)。34.人員安全管理安全意識教育和培訓(xùn)（G2）c）應(yīng)制定安全教育和培訓(xùn)計劃，對信息安全基礎(chǔ)知識、崗位操作規(guī)程等進行培訓(xùn)。35.系統(tǒng)建設(shè)管理安全方案設(shè)計（G2）b）應(yīng)以書面形式描述對系統(tǒng)的安全保護要求、策略和措施等內(nèi)容，形成系統(tǒng)的安全方案；36.系統(tǒng)建設(shè)管理安全方案設(shè)計（G2）c）應(yīng)對安全方案進行細化，形成能指導(dǎo)安全系統(tǒng)建設(shè)和安全產(chǎn)品采購和使用的詳細設(shè)計方案；37.系統(tǒng)建設(shè)管理自行軟件開發(fā)（G2）a）應(yīng)確保開發(fā)環(huán)境與實際運行環(huán)境物理分開；38.系統(tǒng)建設(shè)管理外包軟件開發(fā)（G2）a）應(yīng)根據(jù)開發(fā)要求檢測軟

8、件質(zhì)量。39.系統(tǒng)建設(shè)管理外包軟件開發(fā)（G2）c）應(yīng)在軟件安裝之前檢測軟件包中可能存在的惡意代碼。40.系統(tǒng)運維管理網(wǎng)絡(luò)安全管理（G2）a）應(yīng)指定人員對網(wǎng)絡(luò)進行管理，負責(zé)運行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護和報警信息分析和處理工作。41.系統(tǒng)運維管理網(wǎng)絡(luò)安全管理（G2）d）應(yīng)定期對網(wǎng)絡(luò)系統(tǒng)進行漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進行及時的修補。42.系統(tǒng)運維管理系統(tǒng)安全管理（G2）a）應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略。43.系統(tǒng)運維管理系統(tǒng)安全管理（G2）b）應(yīng)定期進行漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞及時進行修補。44.系統(tǒng)運維管理系統(tǒng)安全管理（G2）c）應(yīng)安裝系統(tǒng)的最新補丁程序，在

9、安裝系統(tǒng)補丁前，應(yīng)首先在測試環(huán)境中測試通過，并對重要文件進行備份后，方可實施系統(tǒng)補丁程序的安裝。45.系統(tǒng)運維管理安全事件處置（G2）b）應(yīng)制定安全事件報告和處置管理制度，明確安全事件類型，規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復(fù)的管理職責(zé)。46.系統(tǒng)運維管理安全事件處置（G2）d）應(yīng)記錄并保存所有報告的安全弱點和可疑事件，分析事件原因，監(jiān)督事態(tài)發(fā)展，采取措施避免安全事件發(fā)生。47.系統(tǒng)運維管理應(yīng)急預(yù)案管理（G2）a）應(yīng)在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)包括啟動應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容。48.系統(tǒng)運維管理應(yīng)急預(yù)案管理（G2）b

10、）應(yīng)對系統(tǒng)相關(guān)的人員進行應(yīng)急預(yù)案培訓(xùn)，應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次。第三級信息系統(tǒng)驗收檢查項序號層面控制點要求項1.物理安全物理訪問控制d）重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員。2.物理安全電力供應(yīng)c）應(yīng)設(shè)置冗余或并行的電力電纜線路為計算機系統(tǒng)供電。3.物理安全電力供應(yīng)d）應(yīng)建立備用供電系統(tǒng)。4.物理安全電磁防護c）應(yīng)對關(guān)鍵設(shè)備和磁介質(zhì)實施電磁屏蔽。5.網(wǎng)絡(luò)安全結(jié)構(gòu)安全a) 應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；6.網(wǎng)絡(luò)安全結(jié)構(gòu)安全c) 應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進行路由控制建立安全的訪問路徑；7.網(wǎng)絡(luò)安全結(jié)構(gòu)安全e) 應(yīng)根據(jù)各部門的工作職能

11、、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；8.網(wǎng)絡(luò)安全訪問控制b) 應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；9.網(wǎng)絡(luò)安全訪問控制c) 應(yīng)對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制；10.網(wǎng)絡(luò)安全安全審計a) 應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄；11.網(wǎng)絡(luò)安全安全審計c) 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；12.網(wǎng)絡(luò)安全邊界完整性檢查a) 應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進

12、行檢查，準確定出位置，并對其進行有效阻斷；13.網(wǎng)絡(luò)安全邊界完整性檢查b) 應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查，準確定出位置，并對其進行有效阻斷。14.網(wǎng)絡(luò)安全入侵防范a) 應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；15.網(wǎng)絡(luò)安全惡意代碼防范a) 應(yīng)在網(wǎng)絡(luò)邊界處對惡意代碼進行檢測和清除；16.網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備防護d) 主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進行身份鑒別；17.網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備防護e) 身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換；18.主機

13、安全身份鑒別b) 操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換；19.主機安全身份鑒別d) 當(dāng)對服務(wù)器進行遠程管理時，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；20.主機安全身份鑒別f）應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進行身份鑒別。21.主機安全訪問控制c) 應(yīng)實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離；22.主機安全訪問控制f）應(yīng)對重要信息資源設(shè)置敏感標記；23.主機安全訪問控制g）應(yīng)依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息資源的操作。24.主機安全安全審計a) 安全審計應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個操作系統(tǒng)用戶和

14、數(shù)據(jù)庫用戶；25.主機安全安全審計d）應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；26.主機安全入侵防范b）應(yīng)能夠?qū)χ匾绦蛲暾赃M行檢測，并在檢測到完整性受到破壞后具有恢復(fù)的措施；27.主機安全惡意代碼防范a) 應(yīng)安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫；28.應(yīng)用安全身份鑒別b) 應(yīng)對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別；29.應(yīng)用安全身份鑒別c) 應(yīng)提供用戶身份標識唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標識，身份鑒別信息不易被冒用；30.應(yīng)用安全訪問控制d) 應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相

15、互制約的關(guān)系。31.應(yīng)用安全訪問控制e) 應(yīng)具有對重要信息資源設(shè)置敏感標記的功能；32.應(yīng)用安全訪問控制f) 應(yīng)依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息資源的操作；33.應(yīng)用安全安全審計a) 應(yīng)提供覆蓋到每個用戶的安全審計功能，對應(yīng)用系統(tǒng)重要安全事件進行審計；34.應(yīng)用安全安全審計d) 應(yīng)提供對審計記錄數(shù)據(jù)進行統(tǒng)計、查詢、分析及生成審計報表的功能。35.應(yīng)用安全通信保密性b) 應(yīng)對通信過程中的整個報文或會話過程進行加密。36.應(yīng)用安全軟件容錯a) 應(yīng)提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求；37.數(shù)據(jù)安全及備份恢復(fù)數(shù)據(jù)保密性a) 應(yīng)采用

16、加密或其他有效措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性；38.數(shù)據(jù)安全及備份恢復(fù)數(shù)據(jù)保密性b) 應(yīng)采用加密或其他保護措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲保密性。39.數(shù)據(jù)安全及備份恢復(fù)備份和恢復(fù)c) 應(yīng)采用冗余技術(shù)設(shè)計網(wǎng)絡(luò)拓撲結(jié)構(gòu)，避免關(guān)鍵節(jié)點存在單點故障；40.數(shù)據(jù)安全及備份恢復(fù)備份和恢復(fù)d) 應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。41.安全管理制度管理制度d）應(yīng)形成由安全政策、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系。42.安全管理機構(gòu)崗位設(shè)置a）應(yīng)設(shè)立信息安全管理工作的職能部門，設(shè)立安全主管、安全管理各個方面的負責(zé)

17、人崗位，并定義各負責(zé)人的職責(zé)。43.安全管理機構(gòu)人員配備a）應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等。44.安全管理機構(gòu)審核和檢查a）安全管理員應(yīng)負責(zé)定期進行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。45.人員安全管理人員錄用b）應(yīng)嚴格規(guī)范人員錄用過程，對被錄用人的身份、背景、專業(yè)資格和資質(zhì)等進行審查，對其所具有的技術(shù)技能進行考核。46.人員安全管理人員錄用c）應(yīng)簽署保密協(xié)議。47.人員安全管理人員考核b）應(yīng)對關(guān)鍵崗位的人員進行全面、嚴格的安全審查和技能考核。48.人員安全管理安全意識教育和培訓(xùn)a）應(yīng)對各類人員進行安全意識教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)。4

18、9.人員安全管理安全意識教育和培訓(xùn)c）應(yīng)對安全教育和培訓(xùn)進行書面規(guī)定，針對不同崗位制定不同的培訓(xùn)計劃，對信息安全基礎(chǔ)知識、崗位操作規(guī)程等進行培訓(xùn)。50.系統(tǒng)建設(shè)管理安全方案設(shè)計b）應(yīng)指定和授權(quán)專門的部門對信息系統(tǒng)的安全建設(shè)進行總體規(guī)劃，制定近期和遠期的安全建設(shè)工作計劃。51.系統(tǒng)建設(shè)管理安全方案設(shè)計c）應(yīng)根據(jù)信息系統(tǒng)的等級劃分情況，統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細設(shè)計方案，并形成配套文件。52.系統(tǒng)建設(shè)管理自行軟件開發(fā)a）應(yīng)確保開發(fā)環(huán)境與實際運行環(huán)境物理分開，開發(fā)人員和測試人員分離，測試數(shù)據(jù)和測試結(jié)果受到控制。53.系統(tǒng)建設(shè)管理自行軟件開發(fā)e）

19、應(yīng)確保對程序資源庫的修改、更新、發(fā)布進行授權(quán)和批準。54.系統(tǒng)建設(shè)管理外包軟件開發(fā)a）應(yīng)根據(jù)開發(fā)需求檢測軟件質(zhì)量。55.系統(tǒng)建設(shè)管理外包軟件開發(fā)b）應(yīng)在軟件安裝之前檢測軟件包中可能存在的惡意代碼。56.系統(tǒng)建設(shè)管理等級測評a）在系統(tǒng)運行過程中，應(yīng)至少每年對系統(tǒng)進行一次等級測評，發(fā)現(xiàn)不符合相應(yīng)等級保護標準要求的及時整改。57.系統(tǒng)建設(shè)管理等級測評b）應(yīng)在系統(tǒng)發(fā)生變更時及時對系統(tǒng)進行等級測評，發(fā)現(xiàn)級別發(fā)生變化的及時調(diào)整級別并進行安全改造，發(fā)現(xiàn)不符合相應(yīng)等級保護標準要求的及時整改。58.系統(tǒng)運維管理監(jiān)控管理和安全管理中心a）應(yīng)對通信線路、主機、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行監(jiān)測和報警，形成記錄并妥善保存。59.系統(tǒng)運維管理監(jiān)控管理和安全管理中心b）應(yīng)組織相關(guān)人員定期對監(jiān)測和報警記錄進行分析、評審，發(fā)現(xiàn)可疑行為，形成分析報告，并采取必要的應(yīng)對措施。60.系統(tǒng)運維管理監(jiān)控管理和安全管理中心c）應(yīng)建立安全管理中心，對設(shè)備狀態(tài)、惡意代碼、補丁升級、安全審計等安全相關(guān)事項進行集中管理。61.系統(tǒng)