信息安全等級(jí)保護(hù)與實(shí)施策略課件

1、信息安全等級(jí)保護(hù)與實(shí)施策略信息安全現(xiàn)狀日益增長(zhǎng)的安全威脅攻擊技術(shù)越來(lái)越復(fù)雜入侵條件越來(lái)越簡(jiǎn)單國(guó)家互聯(lián)網(wǎng)應(yīng)急中心互聯(lián)網(wǎng)安全威脅報(bào)告怎么辦？系統(tǒng)使用單位工作人員安全廠商政府 信息安全等級(jí)保護(hù)有利于明確國(guó)家、法人和其他組織、公民的安全責(zé)任，強(qiáng)化政府監(jiān)管職能，共同落實(shí)各項(xiàng)安全建設(shè)和安全管理措施，提高安全水平信息安全等級(jí)保護(hù)的發(fā)展歷程1994年，國(guó)務(wù)院頒布計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例明確了計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)1999年，頒布計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則，2000年實(shí)施2003年，國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)（中辦發(fā)200327號(hào)）明確提出“實(shí)行信息安全等級(jí)保護(hù)”2004

2、年，全國(guó)信息安全保障工作會(huì)議：專門(mén)將信息安全等級(jí)保護(hù)工作作為信息安全保障工作的一項(xiàng)重要任務(wù)來(lái)部署 信息安全等級(jí)保護(hù)的發(fā)展歷程2004年9月，四部門(mén)出臺(tái)了關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)（公通字200466號(hào)），構(gòu)建了等級(jí)保護(hù)工作的基本框架，標(biāo)志著信息安全等級(jí)保護(hù)工作正式啟動(dòng)1999-2008年，制定了50多個(gè)國(guó)標(biāo)和行標(biāo)，初步形成了信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系：計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB17859-1999）、信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南、信息系統(tǒng)安全等級(jí)保護(hù)基本要求、信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南、信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求等信息安全等級(jí)保護(hù)的發(fā)展歷程2006年，下發(fā)等級(jí)保護(hù)管理辦

3、法（征求意見(jiàn)稿），并全面組織開(kāi)展計(jì)算機(jī)信息系統(tǒng)基礎(chǔ)調(diào)查2007年6月，四部門(mén)聯(lián)合發(fā)布 信息安全等級(jí)保護(hù)管理辦法（公通文200743號(hào)）：明確了信息安全等級(jí)保護(hù)制度的基本內(nèi)容、流程及工作要求，明確了有關(guān)方面的職責(zé)、任務(wù)，為開(kāi)展信息安全等級(jí)保護(hù)工作提供了規(guī)范保障2007年，下發(fā)關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知（公通文2007861號(hào)），全面開(kāi)展定級(jí)備案工作信息安全等級(jí)保護(hù)的發(fā)展歷程2009年，下發(fā)關(guān)于開(kāi)展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見(jiàn)（公信20091429號(hào)），部署開(kāi)展等級(jí)測(cè)評(píng)和建設(shè)整改工作。2010，下發(fā)了關(guān)于開(kāi)展信息安全等級(jí)保護(hù)專項(xiàng)監(jiān)督檢查工作的通知（公信2010

4、1175號(hào)） 2014年10月27日，教育部辦公廳印發(fā)了教育行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指南（試行），對(duì)教育行業(yè)信息系統(tǒng)等級(jí)保護(hù)定級(jí)工作提供指導(dǎo)信息安全等級(jí)保護(hù)政策體系信息安全等級(jí)保護(hù)技術(shù)體系信息安全等級(jí)保護(hù)技術(shù)標(biāo)準(zhǔn)信息安全等級(jí)保護(hù)實(shí)施基本原則自主保護(hù)原則 按照國(guó)家相關(guān)法規(guī)和標(biāo)準(zhǔn)，自主確定信息系統(tǒng)的安全保護(hù)等級(jí)，自行組織實(shí)施安全保護(hù)。 重點(diǎn)保護(hù)原則 根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn)，通過(guò)劃分不同安全保護(hù)等級(jí)的信息系統(tǒng)，實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)，集中資源優(yōu)先保護(hù)涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。 同步建設(shè)原則 信息系統(tǒng)在新建、改建、擴(kuò)建時(shí)應(yīng)當(dāng)同步規(guī)劃和設(shè)計(jì)安全方案，投入一定比例的資金建設(shè)信

5、息安全設(shè)施，保障信息安全與信息化建設(shè)相適應(yīng)。 動(dòng)態(tài)調(diào)整原則 要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護(hù)措施。信息安全等級(jí)保護(hù)實(shí)施流程定級(jí)總體安全規(guī)劃安全設(shè)計(jì)與實(shí)施安全運(yùn)行與維護(hù)等級(jí)測(cè)評(píng)系統(tǒng)終止信息安全服務(wù)機(jī)構(gòu)信息安全產(chǎn)品供應(yīng)商測(cè)評(píng)機(jī)構(gòu)實(shí)施運(yùn)營(yíng)使用單位配合信息安全服務(wù)機(jī)構(gòu)支持運(yùn)營(yíng)單位自主定級(jí)信息安全服務(wù)機(jī)構(gòu)支持運(yùn)營(yíng)單位自主備案測(cè)評(píng)機(jī)構(gòu)協(xié)助系統(tǒng)備案運(yùn)營(yíng)單位自查公安機(jī)關(guān)檢查信息安全等級(jí)保護(hù)定級(jí)教育行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指南（試行）2014年10月教育行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指南（試行）2014年10月教育行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指南（試行）2014年10月信息系統(tǒng)應(yīng)具備的基本安

6、全保護(hù)能力信息安全等級(jí)保護(hù)基本要求基本要求安全技術(shù)物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全及備份恢復(fù)安全管理安全管理制度安全管理機(jī)構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理信息安全等級(jí)保護(hù)基本要求項(xiàng)目 要求第一級(jí)第二級(jí)第三級(jí)物理安全物理訪問(wèn)控制機(jī)房出入應(yīng)安排專人負(fù)責(zé)，控制、鑒別和記錄進(jìn)入的人員機(jī)房出入口應(yīng)安排專人值守，控制、鑒別和記錄進(jìn)入的人員需進(jìn)入機(jī)房的來(lái)訪人員應(yīng)經(jīng)過(guò)申請(qǐng)和審批流程，并限制和監(jiān)控其活動(dòng)范圍應(yīng)對(duì)機(jī)房劃分區(qū)域進(jìn)行管理重要區(qū)域應(yīng)配置電子門(mén)禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員防盜竊和防破壞主要設(shè)備放置在機(jī)房?jī)?nèi)設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記應(yīng)對(duì)介質(zhì)分類標(biāo)識(shí)，存儲(chǔ)在介質(zhì)庫(kù)或

7、檔案室中； 主機(jī)房應(yīng)安裝必要的防盜報(bào)警設(shè)施應(yīng)利用光、電等技術(shù)設(shè)置機(jī)房防盜報(bào)警系統(tǒng) 應(yīng)對(duì)機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)防雷擊機(jī)房建筑應(yīng)設(shè)置避雷裝置機(jī)房應(yīng)設(shè)置交流電源地線應(yīng)設(shè)置防雷保安器，防止感應(yīng)雷防火機(jī)房應(yīng)設(shè)置滅火設(shè)備機(jī)房應(yīng)設(shè)置滅火設(shè)備和火災(zāi)自動(dòng)報(bào)警系統(tǒng)自動(dòng)檢測(cè)、報(bào)警、滅火采用耐火建筑材料重要設(shè)備與其他設(shè)備隔離信息安全等級(jí)保護(hù)基本要求項(xiàng)目 要求第一級(jí)第二級(jí)第三級(jí)物理安全防水和防潮對(duì)穿過(guò)機(jī)房墻壁和樓板的水管增加必要的保護(hù)措施 采取措施防止雨水通過(guò)機(jī)房窗戶、屋頂和墻壁滲透水管安裝，不得穿過(guò)機(jī)房屋頂和活動(dòng)地板下應(yīng)安裝對(duì)水敏感的檢測(cè)儀表或元件，對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警溫濕度控制機(jī)房應(yīng)設(shè)置必要的溫、濕度控制設(shè)施機(jī)房

8、應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施電力供應(yīng)配置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備應(yīng)提供短期的備用電力供應(yīng)，至少滿足關(guān)鍵設(shè)備在斷電情況下的正常運(yùn)行要求應(yīng)設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)供電應(yīng)建立備用供電系統(tǒng)物理位置的選擇機(jī)房和辦公場(chǎng)地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁防靜電關(guān)鍵設(shè)備應(yīng)采用必要的接地防靜電措施機(jī)房應(yīng)采用防靜電地板電磁防護(hù)電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干擾應(yīng)采用接地方式防止外界電磁干擾應(yīng)對(duì)關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽信息安全等級(jí)保護(hù)基本要求項(xiàng)目 要求第一級(jí)第二級(jí)第三級(jí)網(wǎng)絡(luò)安全結(jié)構(gòu)安全應(yīng)保證接入

9、網(wǎng)絡(luò)和核心網(wǎng)絡(luò)的帶寬滿足基本業(yè)務(wù)需要應(yīng)保證接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)的帶寬滿足業(yè)務(wù)高峰期需要應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段訪問(wèn)控制應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，啟用訪問(wèn)控制功能允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問(wèn)，控制粒度為單個(gè)用戶對(duì)應(yīng)用層 HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙安全審計(jì)審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表 對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等入侵防范應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視

10、以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門(mén)攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲(chóng)攻擊等當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源 IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警信息安全等級(jí)保護(hù)基本要求項(xiàng)目 要求第一級(jí)第二級(jí)第三級(jí)主機(jī)安全身份鑒別應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別用戶身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶分配不同的用戶名應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)行身份鑒別訪問(wèn)控制依據(jù)安全策略控制用戶對(duì)資源的訪問(wèn)重命名系統(tǒng)默認(rèn)帳戶避免共享帳戶的存在應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)

11、用戶的權(quán)限分離僅授予管理用戶所需的最小權(quán)限依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重要信息資源的操作安全審計(jì)審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表應(yīng)保護(hù)審計(jì)進(jìn)程，避免受到未預(yù)期的中斷入侵防范操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并保持系統(tǒng)補(bǔ)丁及時(shí)得到更新通過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新應(yīng)能夠檢測(cè)到對(duì)重要服務(wù)器進(jìn)行入侵的行為，在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警信息安全等級(jí)保護(hù)基本要求項(xiàng)目 要求第一級(jí)第二級(jí)第三級(jí)應(yīng)用安全抗抵賴應(yīng)啟用身份鑒別和登錄失敗處理功能保證應(yīng)用系統(tǒng)中不存在

12、重復(fù)用戶身份標(biāo)識(shí)，身份鑒別信息不易被冒用提供數(shù)據(jù)原發(fā)證據(jù)的功能提供數(shù)據(jù)接收證據(jù)的功能軟件容錯(cuò)應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能， 保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的數(shù)據(jù)格式或長(zhǎng)度符合系統(tǒng)設(shè)定要求在故障發(fā)生時(shí)，應(yīng)用系統(tǒng)應(yīng)能夠繼續(xù)提供一部分功能，確保能夠?qū)嵤┍匾拇胧?yīng)提供自動(dòng)保護(hù)功能，當(dāng)故障發(fā)生時(shí)自動(dòng)保護(hù)當(dāng)前所有狀態(tài)，保證系統(tǒng)能夠進(jìn)行恢復(fù)通信完整性應(yīng)采用約定通信會(huì)話方式的方法保證通信過(guò)程中數(shù)據(jù)的完整性應(yīng)采用校驗(yàn)碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性應(yīng)采用密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性通信保密性建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證應(yīng)對(duì)通信過(guò)程中的敏感信息字段進(jìn)行加密應(yīng)對(duì)通信過(guò)程中的整個(gè)

13、報(bào)文或會(huì)話過(guò)程進(jìn)行加密信息安全等級(jí)保護(hù)基本要求項(xiàng)目 要求第一級(jí)第二級(jí)第三級(jí)安全管理制度管理制度應(yīng)建立日常管理活動(dòng)中常用的安全管理制度應(yīng)制定信息安全工作的總體方針和安全策略，說(shuō)明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等應(yīng)對(duì)安全管理活動(dòng)中重要的管理內(nèi)容建立安全管理制度應(yīng)對(duì)安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程應(yīng)對(duì)安全管理活動(dòng)中的各類管理內(nèi)容建立安全管理制度應(yīng)形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系制定和發(fā)布應(yīng)指定或授權(quán)專門(mén)的人員負(fù)責(zé)安全管理制度的制定應(yīng)將安全管理制度以某種方式發(fā)布到相關(guān)人員手中應(yīng)指定或授權(quán)專門(mén)的部門(mén)或人員負(fù)責(zé)安全管理制度的制定應(yīng)組織相

14、關(guān)人員對(duì)制定的安全管理制度進(jìn)行論證和審定安全管理制度應(yīng)具有統(tǒng)一的格式，并進(jìn)行版本控制安全管理制度應(yīng)通過(guò)正式、有效的方式發(fā)布安全管理制度應(yīng)注明發(fā)布范圍，并對(duì)收發(fā)文進(jìn)行登記評(píng)審和修訂應(yīng)定期對(duì)安全管理制度進(jìn)行評(píng)審，對(duì)存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂信息安全領(lǐng)導(dǎo)小組應(yīng)負(fù)責(zé)定期組織相關(guān)部門(mén)和相關(guān)人員對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定應(yīng)定期或不定期對(duì)安全管理制度進(jìn)行檢查和審定信息安全等級(jí)保護(hù)基本要求項(xiàng)目 要求第一級(jí)第二級(jí)第三級(jí)安全管理機(jī)構(gòu)崗位設(shè)置應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并定義各個(gè)工作崗位的職責(zé)應(yīng)設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位，并定義各負(fù)責(zé)人的職責(zé)應(yīng)設(shè)立信

15、息安全管理工作的職能部門(mén)應(yīng)制定文件明確安全管理機(jī)構(gòu)各個(gè)部門(mén)和崗位的職責(zé)、分工和技能要求人員配備應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等安全管理員不能兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員等應(yīng)配備專職安全管理員，不可兼任關(guān)鍵事務(wù)崗位應(yīng)配備多人共同管理授權(quán)和審批應(yīng)根據(jù)各個(gè)部門(mén)和崗位的職責(zé)明確授權(quán)審批部門(mén)及批準(zhǔn)人，對(duì)系統(tǒng)投入運(yùn)行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪問(wèn)等關(guān)鍵活動(dòng)進(jìn)行審批應(yīng)針對(duì)關(guān)鍵活動(dòng)建立審批流程，并由批準(zhǔn)人簽字確認(rèn)對(duì)重要活動(dòng)建立逐級(jí)審批制度 應(yīng)定期審查審批事項(xiàng)，及時(shí)更新需授權(quán)和審批的項(xiàng)目、審批部門(mén)和審批人等信息 審核和檢查安全管理員應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運(yùn)行

16、、系統(tǒng)漏洞和數(shù)據(jù)備份等情況應(yīng)由內(nèi)部人員或上級(jí)單位定期進(jìn)行全面安全檢查信息安全等級(jí)保護(hù)基本要求項(xiàng)目 要求第一級(jí)第二級(jí)第三級(jí)系統(tǒng)建設(shè)管理系統(tǒng)定級(jí)應(yīng)以書(shū)面的形式說(shuō)明信息系統(tǒng)確定為某個(gè)安全保護(hù)等級(jí)的方法和理由應(yīng)確保信息系統(tǒng)的定級(jí)結(jié)果經(jīng)過(guò)相關(guān)部門(mén)的批準(zhǔn)同第一級(jí)應(yīng)組織相關(guān)部門(mén)和有關(guān)安全技術(shù)專家對(duì)信息系統(tǒng)定級(jí)結(jié)果的合理性和正確性進(jìn)行論證和審定安全方案設(shè)計(jì)應(yīng)對(duì)安全方案進(jìn)行細(xì)化，形成能指導(dǎo)安全系統(tǒng)建設(shè)、安全產(chǎn)品采購(gòu)和使用的詳細(xì)設(shè)計(jì)方案應(yīng)組織相關(guān)部門(mén)和有關(guān)安全技術(shù)專家對(duì)安全設(shè)計(jì)方案的合理性和正確性進(jìn)行論證和審定，并且經(jīng)過(guò)批準(zhǔn)后，才能正式實(shí)施應(yīng)根據(jù)等級(jí)測(cè)評(píng)、安全評(píng)估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安

17、全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件外包軟件開(kāi)發(fā)應(yīng)根據(jù)開(kāi)發(fā)要求檢測(cè)軟件質(zhì)量應(yīng)在軟件安裝之前檢測(cè)軟件包中可能存在的惡意代碼 應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南應(yīng)要求開(kāi)發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門(mén)測(cè)試驗(yàn)收應(yīng)對(duì)系統(tǒng)進(jìn)行安全性測(cè)試驗(yàn)收應(yīng)組織相關(guān)部門(mén)和相關(guān)人員對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定，并簽字確認(rèn)應(yīng)委托公正的第三方測(cè)試單位對(duì)系統(tǒng)進(jìn)行安全性測(cè)試，并出具安全性測(cè)試報(bào)告系統(tǒng)交付應(yīng)對(duì)負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)應(yīng)確保提供系統(tǒng)建設(shè)過(guò)程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔同第一級(jí)應(yīng)對(duì)系統(tǒng)交付的控制方法和人員行為準(zhǔn)則進(jìn)行書(shū)面規(guī)定信息安全等級(jí)保護(hù)基本要求項(xiàng)目

18、要求第一級(jí)第二級(jí)第三級(jí)系統(tǒng)運(yùn)維管理環(huán)境管理應(yīng)指定專門(mén)的部門(mén)或人員定期對(duì)機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理應(yīng)配備機(jī)房安全管理人員，對(duì)機(jī)房的出入、服務(wù)器的開(kāi)機(jī)或關(guān)機(jī)等工作進(jìn)行管理應(yīng)指定部門(mén)負(fù)責(zé)機(jī)房安全，并配備機(jī)房安全管理人員資產(chǎn)管理應(yīng)編制與信息系統(tǒng)相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任部門(mén)、重要程度和所處位置等內(nèi)容應(yīng)建立資產(chǎn)安全管理制度，規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門(mén)，并規(guī)范資產(chǎn)管理和使用的行為應(yīng)對(duì)資產(chǎn)信息分類與標(biāo)識(shí)方法作出規(guī)定，并對(duì)信息的使用、傳輸和存儲(chǔ)等進(jìn)行規(guī)范化管理設(shè)備管理應(yīng)對(duì)信息系統(tǒng)相關(guān)的各種設(shè)備、線路等指定專門(mén)的部門(mén)或人員定期進(jìn)行維護(hù)管理 應(yīng)確保信息處理設(shè)備必須經(jīng)過(guò)審批才能帶離機(jī)房或辦公地點(diǎn)應(yīng)建立配套設(shè)施、軟硬件維護(hù)方面的管理制度，對(duì)其維護(hù)進(jìn)行有效的管理系統(tǒng)安全管理應(yīng)根據(jù)