DB2101-T 0080-2023 企業(yè)商業(yè)秘密信息化安全防護(hù)規(guī)范

00802023

GB/T

GB/T

3.1

3.2

confidential

3.3

confidential

information

DB2101/T

00803.4

confidential

carrier3.5

3.6

confidential

area3.7

information

security

products

4.1

4.1.1.1

4.1.1.2

企業(yè)應(yīng)設(shè)立商業(yè)秘密信息化安全防護(hù)管理工作的職能部門，負(fù)責(zé)本單位商業(yè)秘密信息化安全

4.1.2.1

4.1.2.2

4.1.2.3

對(duì)于涉及核心商業(yè)秘密（根據(jù)

3659

5.1.2條款確定密級(jí)，以下

4.1.3.1

企業(yè)應(yīng)對(duì)涉密信息系統(tǒng)和網(wǎng)絡(luò)的規(guī)劃、建設(shè)、變更等建立逐級(jí)審批程序，所有審批流程應(yīng)經(jīng)4.1.3.2

企業(yè)應(yīng)根據(jù)各個(gè)部門業(yè)務(wù)內(nèi)容和崗位職責(zé)確定具有的涉密信息系統(tǒng)、信息安全產(chǎn)品和網(wǎng)絡(luò)權(quán)DB2101/T

008020234.1.3.3

4.1.3.4

4.1.4.1

4.1.4.2

4.1.4.3

4.1.5.1

企業(yè)應(yīng)定期組織各類涉密信息系統(tǒng)、信息安全產(chǎn)品及網(wǎng)絡(luò)的安全保密檢查，檢查內(nèi)容包括各4.1.5.2

企業(yè)組織安全保密檢查應(yīng)制定并使用規(guī)范的檢查表，對(duì)檢查內(nèi)容、檢查時(shí)間、檢查人等進(jìn)行4.1.5.3

企業(yè)應(yīng)對(duì)安全保密檢查中發(fā)現(xiàn)的問題和漏洞進(jìn)行閉環(huán)管理和控制，并由組織責(zé)任單位進(jìn)行問4.2

4.2.1.1

4.2.1.2

4.2.2.1企業(yè)應(yīng)及時(shí)按照信息安全保密管理人員崗位職責(zé)權(quán)限的變更，及時(shí)調(diào)整信息安全保密管理人員4.2.2.2

DB2101/T

0080

4.2.4.1

企業(yè)應(yīng)建立外部人員訪問涉密區(qū)域、涉密信息系統(tǒng)、信息安全產(chǎn)品及網(wǎng)絡(luò)的審批流程，所有4.2.4.2

4.2.4.3

外部人員訪問涉密區(qū)域經(jīng)審核批準(zhǔn)后，應(yīng)由接待部門安排專人全程陪同，并應(yīng)對(duì)外部人員手4.2.4.4

4.2.4.5

對(duì)于涉及核心商業(yè)秘密的涉密信息系統(tǒng)、信息安全產(chǎn)品或網(wǎng)絡(luò)，除國家政府部門監(jiān)督檢查、

5.15.2

5.3 5.4

6.1

DB2101/T

00802023電力供應(yīng)、電磁防護(hù)等技術(shù)防護(hù)措施應(yīng)符合

計(jì)算機(jī)場地通用規(guī)范、

6.1.2.1

企業(yè)應(yīng)對(duì)數(shù)據(jù)中心或機(jī)房的出入口應(yīng)配置電子門禁系統(tǒng)或采用專人值守的方式，對(duì)出入數(shù)據(jù)6.1.2.2

企業(yè)應(yīng)建立數(shù)據(jù)中心或機(jī)房設(shè)備進(jìn)出審批程序，所有設(shè)備的進(jìn)出應(yīng)嚴(yán)格履行審批流程，應(yīng)對(duì)6.1.2.3

企業(yè)應(yīng)在數(shù)據(jù)中心或機(jī)房的出入口及內(nèi)部安裝視頻監(jiān)控系統(tǒng)，對(duì)所有出入和內(nèi)部活動(dòng)進(jìn)行不6.1.2.4

6.2

6.2.1.1

企業(yè)應(yīng)按照業(yè)務(wù)系統(tǒng)及技術(shù)防護(hù)軟硬件系統(tǒng)需要建設(shè)內(nèi)部網(wǎng)絡(luò)，并設(shè)置有合理的設(shè)備冗余，6.2.1.2

企業(yè)應(yīng)按照業(yè)務(wù)、安全等方面劃分不同的網(wǎng)絡(luò)區(qū)域，可將企業(yè)內(nèi)部網(wǎng)絡(luò)劃分為業(yè)務(wù)系統(tǒng)區(qū)、6.2.1.3

6.2.1.4

6.2.3.1

6.2.3.2

企業(yè)應(yīng)采用必要的技術(shù)手段對(duì)接入內(nèi)網(wǎng)的設(shè)備進(jìn)行可信驗(yàn)證，可采用

（簡稱

Access

Address6.2.3.3

企業(yè)應(yīng)采用必要的技術(shù)手段對(duì)內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)的行為進(jìn)行可信驗(yàn)證，可采用認(rèn)證、6.2.3.4

6.2.3.5

（簡稱“6.2.3.6

企業(yè)應(yīng)采用必要的技術(shù)手段對(duì)非授權(quán)設(shè)備私自接入內(nèi)部網(wǎng)絡(luò)或內(nèi)部非授權(quán)用戶聯(lián)到外部網(wǎng)絡(luò)DB2101/T

00806.2.3.7

對(duì)于涉及核心商業(yè)秘密的網(wǎng)絡(luò)區(qū)域，企業(yè)應(yīng)采用物理或邏輯隔離的方式實(shí)現(xiàn)網(wǎng)絡(luò)區(qū)域與其它

6.2.4.1

企業(yè)應(yīng)采用必要的技術(shù)手段對(duì)內(nèi)網(wǎng)與外網(wǎng)相鄰邊界網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行檢測與監(jiān)控，防止或限制從6.2.4.2

企業(yè)應(yīng)采用必要的技術(shù)手段對(duì)內(nèi)網(wǎng)各安全域邊界網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行檢測與監(jiān)控，防止或限制從內(nèi)6.2.4.3

企業(yè)應(yīng)采取技術(shù)措施對(duì)入侵、惡意代碼、垃圾郵件等網(wǎng)絡(luò)行為進(jìn)行記錄與分析，對(duì)網(wǎng)絡(luò)攻擊

6.2.5.1

6.2.5.2

企業(yè)應(yīng)制定對(duì)網(wǎng)絡(luò)的安全審計(jì)規(guī)則，定期對(duì)各類網(wǎng)絡(luò)進(jìn)行安全審計(jì)，包括內(nèi)網(wǎng)訪問行為、外6.3

6.3.1.1

企業(yè)應(yīng)建立身份鑒別機(jī)制，包括身份鑒別信息、復(fù)雜度要求、定期更換要求等，對(duì)登錄涉密6.3.1.2

殊信息。用戶應(yīng)對(duì)默認(rèn)口令進(jìn)行及時(shí)變更，口令應(yīng)定期進(jìn)行更換，普通用戶口令更換時(shí)限不得長于6.3.1.3

6.3.1.4

6.3.2.1

企業(yè)應(yīng)根據(jù)部門業(yè)務(wù)范圍及員工崗位職責(zé)，對(duì)員工分配賬戶和權(quán)限，賬戶應(yīng)保證唯一性，避6.3.2.2

涉密信息系統(tǒng)用戶賬號(hào)和權(quán)限的申請(qǐng)應(yīng)建立審批程序，經(jīng)批準(zhǔn)后賦予用戶對(duì)應(yīng)的權(quán)限，權(quán)限6.3.2.3

企業(yè)應(yīng)定期對(duì)賬戶信息進(jìn)行清查，及時(shí)禁用、注銷或刪除離職人員賬戶、測試賬戶、臨時(shí)賬6.3.2.4

企業(yè)應(yīng)根據(jù)服務(wù)器、涉密信息系統(tǒng)、安全防護(hù)軟硬件系統(tǒng)的管理用戶按照角色分配權(quán)限，管6.3.2.5

DB2101/T

008020236.3.2.6

企業(yè)應(yīng)采用必要技術(shù)手段對(duì)主機(jī)端用戶行為進(jìn)行監(jiān)控，對(duì)用戶操作行為進(jìn)行監(jiān)控，對(duì)違規(guī)行6.3.2.7

對(duì)于涉及核心商業(yè)秘密的主機(jī)、涉密信息系統(tǒng)應(yīng)采用加強(qiáng)訪問控制，不可直接接入外部網(wǎng)絡(luò)

6.3.3.1

6.3.3.2

6.3.4.1

6.3.4.2

6.3.4.3

企業(yè)應(yīng)在主機(jī)上安裝必要的防病毒及防入侵軟件，識(shí)別、記錄、告警并處置各類入侵和病毒6.3.4.4

企業(yè)應(yīng)采用必要的技術(shù)防護(hù)手段定期對(duì)主機(jī)、各類涉密信息系統(tǒng)、安全防護(hù)軟硬件系統(tǒng)進(jìn)行

6.3.5.1

企業(yè)應(yīng)按照國家數(shù)據(jù)安全法律法規(guī)及標(biāo)準(zhǔn)規(guī)范要求，對(duì)各類數(shù)據(jù)進(jìn)行分類分級(jí)，明確涉及商6.3.5.2

6.3.5.3

6.3.6.1

6.3.6.2

6.3.6.3

6.3.6.4

DB2101/T

0080業(yè)應(yīng)用必的技手段策略鑒別息及業(yè)秘?cái)?shù)據(jù)在的時(shí)緩存儲(chǔ)間進(jìn)完全

7.1

7.2

企業(yè)應(yīng)按照國家法律法規(guī)、標(biāo)準(zhǔn)規(guī)范要求和行業(yè)發(fā)展趨勢，結(jié)合企業(yè)實(shí)際業(yè)務(wù)需求，制定安全

7.3

企業(yè)應(yīng)在軟件上線前，對(duì)軟件進(jìn)行功能和安全性測試，功能應(yīng)滿足業(yè)務(wù)需求，并對(duì)可能存在的

對(duì)于外包軟件開發(fā)，應(yīng)由開發(fā)單位提供軟件源代碼，企業(yè)應(yīng)從安全保密角度對(duì)軟件中可能存在

7.4

7.5

DB2101/T

00802023

8.1

8.2

企業(yè)應(yīng)建立資產(chǎn)清單，包括資產(chǎn)基本信息、責(zé)任部門、責(zé)任人、重要程度、涉密等級(jí)和所處位置企業(yè)應(yīng)根據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)管理，并采取合理的管理措施，對(duì)于涉密設(shè)備及涉密

8.3

8.4

8.5

DB2101/T

00808.6

8.7

8.8

8.9

8.10

8.10.1

8.10.28.10.3

8.10.4

9.1

9.2

10

10.1

10DB2101/T

0080202310.1.1

企業(yè)