本文主要是介绍信息安全等级三级保护测评指标(3),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
1.2.8系统建设管理
| 技术要求 | 要求分项 | 三锻系统指标 |
| 系统建设 管理1一) | 系统定级 (G3) | a)应明确信息系统的边界和安全保护等级; b),询以书面的形式说明骑定信息系统为某个安全保护等级的方法和理由1 G应组以相关部门卬有关安全技次专家对信息系统定演结果的合理性和正 确性进行论证和审定工 d)应随保信息泵统的定线结果经过相关部门的批准. |
| 安全方案设 计8 | G应棍娓系统的安全保护等级选择祟本安全措施.并依据风险分析的结果补 充和固整安全措地* b)应指定和授权专门的部门对信息系统的安全建设进行总体加划『制定近期 和近期的安至建设T作il划1 琦应旭据信息系统的等被划分情况,统一考虑安全保障体系的总体女全景 略,安全技术推案、安全管理策咯、总体逮询觇划和祥讯设计方案,并形成 配套文件t d)应组纲相关部「1和有美支全笠术七家对总体安辛策略、安全技术框架、安: 全管理策略一口体建设规划,详细谈冲方案等相关配音文件的■合理性和正确 性进行诒证和审定,并且经过批准后,才能正式实施; Q应根据等领沏评、安全评估的结果定期调•整和修订总体安全量喝.安全技 术框架.安全管是策略、总体建设规划、洋班设计方案等相关配套文件。 |
| 产品采购和 | a)应确保安全产品采购和使用符合国家的有关规定; |
| 2用:。口 | 附应廊保客码产品采购和使用符合国.家密码主管部门的要求; | |
| c)应指定或授权专门聃那门货贵产品的来峋: | ||
| d)应朝先对产品进行选型测优,确定产品的候选范用,并定期审定和更新候 | ||
| 选产品名单. |
| 自行软件开 发 CG3) | 应确保开发环境与实际运行环境物理分开,开发人技利冽试人或分鸣,侧 试数据和恻试结里更到押制: b)应制定软件开发管理制度,明确说明开发过程的捽制方法和.人员行为准 则: C)应制定代码编写安全规范,理求开发人员参照规范编号代码』 d)应确保提供软件设计的相关文档和使用指南,井由专人为面保管, e)应确保对程序资源庠的修改、更新、发布进行授权和批准, |
| 外包软件开 发 (G») | a)应根据开发需求检测软件质量t b)应在歌件安装之前检测软件包中可能存在的恶意代码; C)版要求开发单位棉供软件馈计的相关文档和使用指南L 心应要求开发单位提供软件源代码,并审查软件中可叫存在的后U. |
| 工程实施 (G3) | 由应指定或授权方门的部门或人员负市工都实施过程的管理; b)应制定详金和工程实施方案拧剂实施过程.并要求工程实施苴位脏正式地 执行安全工程过程; c)应制定.1,程实施方面的管理制度,明确说明实施过程的控制方法和人员行 为准则. |
系统建设
皆埋{二)
| 测试骏收 (G3) | G应委托公正的第三方侧试单位对系统进行安全性测试.并出具安全性测试 报告t b)在测试验收前脚根据设计方案或合同要求等制订测试疆收方案,在测试验 收过程中应详细记录测试验收结果,并用成测试验收报告. C)应对系统测试验收的柱制方法和人员行为准则进行书面规定: J)应指定或授权专门的部」依市秦统测优验收的管理.井技用-管理规定的要 |
| 求完成系统涮试验收工作; G应组.如相关部门和制美人员对系统博试验收报告进行审定,并卷字牌认』 | |
| 系统交的 (G3> | G应制定详细的系统交付清单,并限据交付清单对所交接的设备.软件和文 档等进行清点; b)应对他责系统运行雉护的技术人员进行粕应的技能培训】 c)应确保提供系抚定出过程中的文档和指足用户出行票虢运行维护的文瞥t d)应对系统交付的控制方法和人员行为推则进行书面规定i G应指定或授权专门的部门负责系统交付的管理工作,并按照詈理规定的要 求完成系统交付工作. |
| 系统建设 管理(三) | 系统备案 (G3) | aJ痫指定•廿fl的部门或人所引责管理系统定缴的相犬材料,•井控制这些材料 的使用: b)应将再统等税及粕关村制•报系统主管部门备案; 0应将兼携等级及旅他要求的咨案材料报相应公安机关将案。 |
| 等缴货]泮 (G3) | 3)在系统运行过程中,应至少每年对系统进行一次等熊测评.发现不符合相 应等皴保护标准要求的及刑整改t bj两性系笛发牛变更归法时时系统进什等级测评十发现级别发牛变件的及时 调整级期并进行安全改造,发现不符合相应等缴保护标准要求的况时整改士 C)应》择具有国用相关技术资质和安至贵质的测评.单位进行等皴测砰* d)应指定或授区专门的部门或人员负责等锻测评的首理「 | |
| 安全服务商 选择LG3) | G应确保安全邸先商的选择符合国家的有关规定t b)应6选定的家全服务商签订叮安全相美的协原,明确约定相关责任, 日应痫保选定的篁全加务商提供技术培训和屐务承诺।必要的咛比赛订服务 合电 |
| 技术要求 | 要求分项 | 三期素统指标 |
| 系统运维 管理 [一) | 环境管理 (G3> | 白)应指定专门的部门或人殳定期对机房供配电、空阖,温湿度控制等设施进 行/护首理; b)应指定部门仇贡机房安全,并配卷机房安全管理人夕.对机房的出入、服 |
| 务器的开机或关机等工作进行管理; G应建立机房安全管理制度।对有关机房物理访问*物品带进、带出机房和 机房环境安全等方面的管理作出规定: d)应加强对办公坏境的保茁性管理.现范办公环境人员行为,包括工作人员 阖幽办公室应立叩交还谅在公空钥咫、不在办公区接待来访人城、工作人员 离开座位应需保级端计算机退出登录状态和桌面上没右包含敏感使总的纸档 文件等. |
| 系统运维 管理C二) | 蛋产管理 (G3) | 山应编制并保存与信息系统相美的资产洁单.包括资产责任部门,重要程度 和所处位置等内容; b)应建立资产安全管理制度,规定估息系统资产管理的贵任人员或责任部 口,并规范资产旨理和使用的行为; 6点根据赍产的重要程度对资产进拧标识管理.根据资产的价值选择相应的 管理措施; d)应对信息分差5标注方法作出觇定,并对信息的使用、传输和存储等进行 规范化管理, |
| 介质管理 (G3> | 力应建立介侦安全管理制度,时介然的存放环境、使用、前护前锚股等方面 作出规定! L)应确保介质存放在安全的环境中,对各类仆域进行控司和保护, 并实行存 储环境专人管理t 小应对介质在物理传愉过程中的人员选择、打包、交付等情猊进行控制,时 介顺归码和查i日等进行登记记录.并根据存档介班的目录清单定期盆点「 d)应对存储介质的使用过程、送出维修以及销毁等进厅严聃的音埋,对带出 工作环境咕存储介瓶进行内容加密和监帏式碑,时送出维修或销毁讷介战应 苜光清除介质中的敏感数据,对保密性较符的存潴介质未经批流不得自行销 |
| 毁t | ||
| c)应根据数据笛份的需要对某些介质丈行异地存镭,存储地的环境要求和管 |
| 技术要求 | 要求分项 | 三级系统指标 |
| 理方法应与本地相同t 工)应对重眼介质中的数据和软件果取加密存储,并根据所承载数据知歉件的 重要程度对介质进行分类和标识管理* | ||
| 设备管理 (G3) | 切 应对信息.系统相关的泮种设茶(包括备份和兀余设备八线路等指定专门 的部门或人员定期进行维护管建: L)向建立基干中撞、审批加号人负责的设备安全管理制度-对信息.系甑的外 种枇硬件设备的选型、采购、发放和领用等过程进行规范化首理; d应建立配套设施、款硬件维Q方面的管理制度,对11?维冲进行有效的管珥. 包括明确维护人员的责土,涉外维修和服务的审批.维悠过程的监督抻制等1 出应对终端计算机、工作站、便携机,系统和网络等设备的操作和使用进行 规范化管理.按操作规桎实现主要说备(包括窿份和冗余段落 ) 的自动3停止、 加电/断电等操作, 0应确保信息处理设备必须姓过审批才能带离机房或办公地点3 |
| 系统运维 管理{三J | 监控管理和 宏全管理中 心《⑶ | a)应对通信线鼎、主机.网串诳备和应用软件的运行状况.网络流量、用户 行为等进行监JH利报警,形成记旗井妥善保存i h)应蛆织相美人员定期对瓶测和报饕记录进行分析,、i平审,粒现可疑行为. 形成分析报告.并采取必要的应对措施r C)应建立安全首理中心、对设缶状态、.也隹代科、补丁升然、安全出讨等安 全相美事项迸行集中管理. |
| 网络安全管 理(G3) | G应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和 报警信息分析和处理工作1 b)应建立网络安全管理制度,对网济安全配置,日志保存时间'安全策略、 升缆与打补丁,口今更新周期等方面作出剧定; c)应根据J-家屁供的软件升级板本对网络战备进行更新,并在更新前对现有 的重要元件进行部份: 修应定期对网请系统进行常用扫摘.对发现的网率系统支全漏洞进行及时的 |
| 修补; 4而实现设芾的最小闲给配置,并对配置交件进行定期离线备份: f)应保证所有与外部系统的连接均得到授权和批准i A应依据安全策略允许或者拒绝烟携苴和移动式设备的网络接入: h)应定期检杳违反期定拨号上网或K他违反网络安全策略的行为. | |
| 系统安全管 理 (G3) | a)应根据业务需求和系统安全分析研定系统的访问控制策略; LJ痫定期进行漏洞扫描,时发现的系统安全漏洞殁时进行修补; e)应安装系统的最新补丁程序,在安装杀统补丁前,首先在测试环境内测试 通过,并对重量文件进行缶份后,方可实魄系统补「程序的安装; 山府建立票跣安全情理制度.对案统安全货略.交至配苴、口上管理和口常 操作流程等方面作出具体规定; e'J应指定写人对蔡约进行管理,划分系统首理员角笆,明神在个角色的取眼. 贡任和风典,权限设定应当遵循最小授权号则: 工)应俵据操作手册对系统进行维护,洋孤记录操作日志,包括重要的日常探 ft.运行维护记录、参数的设苴和修段等内容,严禁进行未经授权的操作: g)应定期对运行日志和市H■效据进行分析.以便及时发现异常行为. |
| .福意代码防 常管理<E3) | 4应提高所有用户的防病毒意识,及时告知防病毒软件版本.在读取移动存 储设箸上的数掂以至网络上接叱交件或曲件之前,先进行庙全楂叠,对外紫 计算机或存储设考接入师络案就之前也应,进行病毒检直। b)应指定与人对网络和士机遵行恶意代码检测井保存检测记录; 分应对防恶意代码软件的授杈使用、恶宜包码库再楼、走削;T邪等巾出明确 规定; C)贷定期椅管信息系统内多种产品的恶意代码库的升级情况并进行记录,对 土机防病毒产品,防病毒眠关和邮件防病毒网关上起获的他除病年皿恶盍也 风进忏及时分析处理,并形成书面的报表和总结汇报& | |
| 系统心堆 | 密码管理 | 龙建立忠码使用灶型润度.使用将合国家空码的1理规定的密码技.E和产品一 |
| 技术要求 | 要求分项 | 三级系统指标 |
| 管理 (四) | (G3) | |
| 变更管理 (G3) | a)应确认系统中要发生的变更,并制定变更方案: b)应建立变更管理制度,系统发生变更前,向主管领导申请,变更和变更方 案经过评审、审批后方可实施变更,并在实施后将变更情况向相关人员通告; c)应建立变更控制的申报和审批文件化程序,对变更影响进行分析并文档 化,记录变更实施过程,并妥善保存所有文档和记录; d)应建立中止变更并从失败变更中恢品的文件化程序,明确过程控制方法和 人员职责,必要时对恢旦过程进行演统。 | |
| 缶份与恢复 管理(G3) | a)应识别需要定期笛份的重要业务信息、系统数据及软件系统等: b)应建立备份与恢豆管舟相关的安全管理制度,对备份信息的备份方式、备 份频度、存储介质和保存期等进行规范: C)应根据数据的重要性和数据时系统运行的影响,制定数据的备份策略和恢 复策略,备份策略须指明备份数据的放置场所、文件命名规则、介质替换频 率和将数据离站运输的方法; d)应建立控制数据备份和恢且过程的程序,对备份过程进行记录,所有文件 和记录应妥善保存, e)应定期执行恢曳程序,椅杳和测试备价介质的有效性,确保可以在恢曳程 序规定的时间内完成省份的恢复. |
| 系统运维 管理(五) | 安全事件处 置 (G3) | a)应报告所发现的安全弱点和可疑事件,但任何情况卜用户均不应尝试验证 弱点; b)应制定安全事件报告和处置管理制度,明她安全事件的类型,规定安全事 件的现场处理、事件报告和后期恢复的管理职责; C)应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对 本系统产生的影响,对本系统计算机安全事件进行等级划分, d)应制定安全事件报告和响应处理程序,确定事件的报告流程,响应和处置 的范用、程度,以及处理方法等: |
| 技术要求 | 要求分项 | 三虢系统指标 |
| 由应任安全事件援告和响应蛇坦过程中,分析柳嚏定事件产生的原因,收集 证据,记录处理过程.总结经验救训,制至防忆再次发生的补救措施,过程 形成的所有文件和记录均应妥善保存: 0对凿成系统中断和遗成侪感洲密的安全事件底梁用不同的处理程序和推 告程序. | ||
| 应急预案修 理 (G3) | a).应庄统一的应急预案M架下制定不同事件的侦急投案,应急预案推架应包 括启动应急观案的条件.应急处理流程:.系统恢曳僦程、生仁教仃性培训等 内容; "应从人力、设备、技术和廿务等方而输紧府急预案的执行方足够的留源保 障: c)应对系统和关的人照进门应急预案培法匕应急丹I案的培训应至小好年率外 一次; 小 痈定期对应急酒案进行演练「根据不同的应急恢复内容.确定演烧的出期; 心)度规定应急切案需要定期审查和根据实际精况更新的内容,•先按照执行口 |
这篇关于信息安全等级三级保护测评指标(3)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
