机房等级保护第二级基本要求
国家信息安全等级第二级保护制度
国家信息安全等级保护制度(二级)一、技术要求1、物理安全1.1物理位置的选择机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;1.2 物理访问控制(1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案;(2)应批准进入机房的来访人员,限制和监控其活动范围。
1.3 防盗窃和防破坏(1)应将主要设备放置在物理受限的范围内;(2)应对设备或主要部件进行固定,并设置明显的不易除去的标记;(3)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;(4)应对介质分类标识,存储在介质库或档案室中;(5)应安装必要的防盗报警设施,以防进入机房的盗窃和破坏行为。
1.4 防雷击(1)机房建筑应设置避雷装置;(2)应设置交流电源地线。
1.5 防火应设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动报警系统的良好状态。
1.6 防水和防潮(1)水管安装,不得穿过屋顶和活动地板下;(2)应对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管;(3)应采取措施防止雨水通过屋顶和墙壁渗透;(4)应采取措施防止室内水蒸气结露和地下积水的转移与渗透。
1.7 防静电应采用必要的接地等防静电措施1.8 温湿度控制应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1.9 电力供应(1)计算机系统供电应与其他供电分开;(2)应设置稳压器和过电压防护设备;(3)应提供短期的备用电力供应(如UPS设备)。
1.10 电磁防护(1)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;(2)电源线和通信线缆应隔离,避免互相干扰。
2、网络安全2.1结构安全与网段划分(1)网络设备的业务处理能力应具备冗余空间,要求满足业务高峰期需要;(2)应设计和绘制与当前运行情况相符的网络拓扑结构图;(3)应根据机构业务的特点,在满足业务高峰期需要的基础上,合理设计网络带宽;(4)应在业务终端与业务服务器之间进行路由控制,建立安全的访问路径;(5)应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;(6)重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗。
机房建设等级保护二级要求
机房环境建设等级保护二级要求
依据国家等级保护要求,等级保护二级的机房环境应满足以下要求:
1)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
2)具备防盗窃和防破坏能力:
a)主要设备放置在机房内,并将设备或主要部件进行固定,设置明显的不易除去
的标记;
b)通信线缆铺设在隐蔽处,可铺设在地下或管道中;
c)主机房应安装必要的防盗报警设施。
3)机房建筑应设置避雷装置,并为机房内所有交流电源接地防静电措施。
4)机房应设置灭火设备和火灾自动报警系统。
5)具备防水和防潮能力:
a)机房内水管安装不得穿过机房屋顶和活动地板下;
b)窗户、屋顶和墙壁等具有防雨水渗透能力;
c)机房应具备防止水蒸气结露和地下积水的转移与渗透。
6)机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之
内。
7)机房供电线路上配置稳压器和过电压防护设备,并提供短期的备用电力供应,至少满足
关键设备在断电情况下的正常运行要求。
8)电源线和通信线缆应隔离铺设,避免互相干扰。
二级等保机房建设标准
二级等保机房建设标准
二级等保机房是指符合国家信息安全等级保护标准中二级等级要求的机房。
其建设标准主要包括以下方面:
1. 安全区域划分:机房应划分为机房核心区、辅助区和管理区等不同的安全区域,不同区域之间应设置物理隔离措施,保证机房内部的安全性。
2. 安全出入口:机房应设置至少两个安全出入口,并设置门禁控制系统和安全监控系统,确保机房内部的人员和设备进出安全可控。
3. 环境控制:机房应设置恒温恒湿系统,保持机房内部的温度和湿度在合适的范围内,避免机房内部设备受到环境的影响。
4. 供电和电源保护:机房应设置双路电源供电系统,并设置UPS等电源保护设备,确保机房内部设备的稳定供电。
5. 网络安全:机房应设置防火墙、入侵检测系统等网络安全设备,并进行安全策略的制定和实施,保证机房网络的安全性。
6. 数据备份和恢复:机房应设置数据备份和恢复设备,并进行定期备份,以确保机房内部数据的安全性和可靠性。
7. 安全管理:机房应设置专门的安全管理人员,负责机房的安全管理工作,并制定相应的安全管理制度和应急预案,
以应对突发事件。
以上是二级等保机房的建设标准的主要内容,具体实施应根据实际情况进行细化和完善。
等保2.0二级的通用控制点和要求项
等保2.0二级的通用控制点和要求项1.引言等保2.0是指中国信息安全等级保护标准第二版,为了进一步加强网络空间信息安全防护,提升我国网络安全等级保护能力,等保2.0发布并实施。
在等保2.0中,通用控制点和要求项是保护信息系统安全的基础,对于各类企事业单位具有重要的指导意义。
2.通用控制点概述通用控制点是等保2.0要求实施的安全控制要点,用于确保信息系统达到一定的安全性。
通用控制点包括以下几个方面:2.1物理安全控制物理安全控制是指对信息系统的物理环境进行保护,防止非授权人员进入或者破坏信息系统设备、介质等。
在等保2.0中,物理安全控制要求包括:-控制访问入口,设置门禁系统,并进行严格的身份验证;-对关键设备、机房进行监控,确保设备的安全;-对机房进行定期巡检,发现问题及时处理。
2.2人员管理控制人员管理控制是指对参与信息系统操作和维护的人员进行管理和监控,确保人员的行为符合安全要求。
在等保 2.0中,人员管理控制要求包括:-明确人员权限,并进行权限分级管理;-对人员进行安全管理培训,提高其安全意识;-制定人员操作规范和管理制度,监控人员行为。
2.3安全运维控制安全运维控制是指对信息系统的运维过程进行安全管理,确保系统处于安全的状态。
在等保2.0中,安全运维控制要求包括:-定期对系统进行漏洞扫描和安全风险评估;-及时修补系统漏洞,并记录修补过程;-制定系统运维手册,确保运维过程规范可控。
3.要求项解析要求项是等保2.0中对通用控制点实施的具体要求和细则,是实现通用控制点的关键。
以下是等保2.0二级的通用控制点和要求项的详细解析:3.1物理安全相关要求-要求项1:设置门禁系统,并记录人员进出门禁的情况。
-要求项2:对机房内的设备进行定期巡检,确保设备完好无损。
-要求项3:制定机房进出管理规定,确保非授权人员无法进入机房。
3.2人员管理相关要求-要求项1:制定人员权限管理制度,明确人员的权限范围。
-要求项2:对参与信息系统操作和维护的人员进行背景审查。
等级保护测评二级要求
等级保护测评二级要求一、物理安全1.物理访问控制:应能够根据需要控制不同区域之间的访问,并能够实现对重要区域或设备进行物理保护,如设置门禁系统、视频监控等。
2.物理安全审计:应能够对重要区域或设备的物理安全事件进行审计记录,如对进出重要区域的人员进行记录,对重要设备的操作进行记录等。
二、网络安全1.网络架构安全:应能够根据系统等级保护二级的要求,设计合理的网络架构,包括拓扑结构、设备选型、区域划分等,以确保网络的安全性和可用性。
2.网络安全管理:应能够制定并执行有效的网络安全管理策略和规定,以确保网络的安全性和可用性。
三、主机安全1.主机系统安全:应能够对主机系统进行安全配置,如用户管理、访问控制、安全审计等,以确保主机系统的安全性和可用性。
2.防病毒与防恶意软件:应能够安装并更新防病毒软件和防恶意软件,以防止病毒和恶意软件的入侵。
四、数据库安全1.数据库系统安全:应能够对数据库系统进行安全配置,如用户管理、访问控制、审计等,以确保数据库系统的安全性和可用性。
2.数据备份与恢复:应能够制定并执行有效的数据备份与恢复计划,以确保数据的完整性和可用性。
五、应用安全1.应用系统安全:应能够根据系统等级保护二级的要求,设计应用系统的安全架构,包括输入输出验证、访问控制、加密解密等,以确保应用系统的安全性和可用性。
2.数据传输安全:应能够采取措施保证数据传输的安全性,如加密传输、完整性校验等。
六、数据安全及备份恢复1.数据安全:应能够采取措施保证数据的机密性、完整性、可用性等,如加密存储、备份恢复等。
2.数据备份与恢复:应能够制定并执行有效的数据备份与恢复计划,以确保数据的完整性和可用性。
七、安全管理1.安全组织与规划:应能够建立完善的安全组织架构和规章制度,明确各级人员的职责和权限,确保信息安全的全面管理和控制。
2.安全培训与意识提升:应能够定期开展安全培训和意识提升活动,提高员工的安全意识和技能水平。
计算机信息系统等级保护二级基本要求
测试验收包括功能测试、性能测试、安全测试等方面,以确保系统的稳定性和安全性。
测试验收过程中需要编写相应的测试用例和测试报告,并记录测试结果和问题。
测试验收通过后,需要进行系统移交和试运行,确保系统能够正常运行并满足用户需求。
系统运维管理
岗位设置:根据系统等级保护要求,设置相应的运维岗位,并明确岗位职责。
目的:降低成本、提高开发效率、专注于核心业务。
注意事项:选择合适的软件公司或团队、确保信息安全、建立有效的沟通机制。
适用范围:适用于需要快速开发软件或缺乏足够的技术资源的企业或组织。
制定系统建设方案
采购和配置硬件和软件
开发、安装和调试系统
制定系统运行和维护计划
测试验收的目的是确保系统建设符合国家相关标准和用户需求。
培训内容应涵盖安全政策、法律法规、技术防范措施等
培训对象应包括全体员工和第三方人员
培训效果应进行评估和记录
系统建设管理
确定安全需求和目标
实施安全措施和管理
设计安全体系架构
制定安全策略和规范
采购:应确保产品符合等级保护要求,并经过安全检测和认证
使用:应建立产品管理制度,包括使用权限、配置管理、维护保养等
要求:在二级基本要求中,安全区域边界应采取有效的安全措施,如防火墙、入侵检测系统等,以防止未经授权的访问和攻击。
注意事项:在设置安全区域边界时,应充分考虑系统的实际需求和安全风险,选择合适的安全措施和技术,并进行定期的安全审计和评估。
身份鉴别:采用多因素身份鉴别技术,确保用户身份的真实性。
访问控制:根据用户角色和权限,限制对资源的访问和操作。
建立安全审计机制,记录网络运行状况和安全事件,以便分析和追溯。
二级通信机房标准
二级通信机房标准一、场地要求1.机房应位于建筑物低层或首层,以利于防潮、防水和方便搬运设备。
2.机房面积应满足设备安装和布局要求,同时留有适当的扩展空间。
3.机房应具备足够的承重能力,以满足设备安装和运行要求。
二、温湿度要求1.机房温度应保持在18℃-25℃,相对湿度保持在40%-60%。
2.机房内应安装温度、湿度监测装置,确保温湿度稳定在规定的范围内。
三、照明要求1.机房内应有足够的照明设备,确保设备安装、运行和人员操作时有足够的照明。
2.照明设备应符合节能、环保要求,并采用吸顶式灯具,以减少能耗和热量产生。
四、静电防护要求1.机房内应安装防静电地板或地垫,以防止静电对设备造成损坏。
2.设备应采取防静电措施,如接地、安装防静电环等。
五、消防设施要求1.机房内应设置自动灭火系统,并配备灭火器等消防设备。
2.机房内应设置紧急疏散通道和出口,确保人员安全撤离。
六、防水防潮要求1.机房地面应采用防水防潮材料,防止水分渗入设备内部。
2.机房墙壁应采取防水措施,避免水汽凝结对设备造成损害。
七、防雷接地要求1.机房应安装避雷装置,防止雷击对设备造成损坏。
2.设备应采取接地措施,确保设备在雷击时能够安全运行。
八、设备布局要求1.设备布局应合理,便于操作和维护。
2.设备之间应留有适当的间距,避免相互干扰。
3.设备安装应牢固稳定,防止因振动等原因造成设备损坏。
九、电源要求1.机房应有稳定的电源供应,确保设备正常运行。
2.电源质量应符合规定要求,避免因电源波动等原因对设备造成损害。
3.设备应采取接地措施,确保电源安全。
十、监控要求1.机房内应设置监控系统,对机房内环境、设备运行状况等进行实时监控。
2.监控系统应具备报警功能,当出现异常情况时能够及时发出警报并通知管理人员进行处理。
机房2级与3级等保要求
机房2级与3级等保要求机房2级和3级等保是指针对机房的信息安全等级保护的要求。
等保是我国对重要信息系统安全保护的一种规范,按照等级分为5级,分别为1级、2级、3级、4级和5级等保。
等保的目的是保障信息系统的安全性,保护系统内的重要信息不被泄露、篡改或损坏。
本文将分别对机房2级和3级等保的要求进行详细介绍。
首先,2级等保要求机房的安保措施要相对较高。
具体要求如下:1.机房出入口要设置门禁系统,只有授权人员才能进入。
门禁系统要有记录功能,记录所有人员的出入时间和身份信息。
2.机房内要配备视频监控系统,覆盖全面,监控画面的存储时间要达到要求,存储设备要有密码保护功能。
3.机房内要有消防设备,包括灭火器、消防栓等,设备要进行定期维护和检查,并保证处于正常工作状态。
4.机房内的电源设备要有备份,保证机房的供电不中断。
备用电源应配备UPS(不间断电源)设备,以便在停电时维持机房正常运行。
5.机房内的设备要进行分类管理,不同区域或功能的设备要分离布置,以降低可能因设备故障或人为操作导致的风险。
6.机房内的设备要进行定期巡检和维护,保证设备的正常运行状态,及时发现和排除可能存在的故障。
7.机房内的数据备份要定期进行,备份数据要存储在安全可靠的地方,以防止数据丢失。
而对于3级等保,机房的安保要求更高。
具体要求如下:1.机房出入口要进行严格的身份验证,使用指纹、虹膜等生物识别技术,确保只有授权人员能够进入机房。
2.机房要安装严密的监控和报警系统,能够及时发现非法侵入和异常活动,并及时采取相应的安全措施。
3.机房要设置防火墙、入侵检测系统等网络安全设备,以保护机房内的网络环境和数据安全。
4.机房内的设备要有防雷措施,如安装避雷设备或利用接地技术,以保护设备免受雷击损坏。
5.机房内的设备要按照规定的标准进行存放,设备布局合理,避免设备之间相互干扰。
6.机房内要进行全面的漏洞扫描和安全性评估,及时发现和修复可能存在的安全漏洞。
等级保护二级检查列表 技术要求
类别
序号
测评内容
测评方法
17. 电力 供应
18.
电磁 防护 19.
20. 21. 结构 网络 安全 22. 安全 23.
访问 24.
记录。
应在机房供电线路上配置稳压器和过电压防护 设备。(G2)
访谈,检查。 物理安全负责人,机房维护人员,
应提供短期的备用电力供应,至少满足主要设 备在断电情况下的正常运行要求。(G2)
访谈,检查。 服务器操作系统、数据库,服务器 操作系统文档,数据库管理系统文
结果记录
符合情况 YN O
等级保护二级技术类测评控制点(S2A2G2)
类别
序号
测评内容
测评方法
44.
45.
46. 安全 审计 47.
48.
入侵 防范 49. 恶意 代码 50. 防范 51.
52. 资源 控制 53.
54.
机房设施(供电线路,稳压器,过电 压防护设备,短 期备用电源设备), 电力供应安全设计/验收文档,检查
和维护记录。
访谈,检查。
电源线和通信线缆应隔离铺设,避免互相干扰。 物理安全负责人,机房维护人员,
(G2)
机房设施,电磁防护设计/验收文
档。 应保证主要网络设备的业务处理能力具备冗余
空间,满足业务高峰期需要。(G2)
等。(G2)
应对登录网络设备的用户进行身份鉴别。(G2)
应对网络设备的管理员登录地址进行限制。
(G2)
访谈,检查,测试。
网络管理员,边界和网络设备。
网络设备用户的标识应唯一。(G2)
身份鉴别信息应具有不易被冒用的特点,口令
结果记录
符合情况 YN O
等级保护二级技术类测评控制点(S2A2G2)
信息系统安全等级保护 二级 基本要求
(G2)
b) 应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件
设备;
c) 应办理严格的调离手续。
43
人 员 考 核 应定期对各个岗位的人员进行安全技能及安全认知的考核。
(G2)
44
安全意识教 a) 应对各类人员进行安全意识教育、岗位技能培训和相关安全
育 和 培 训 技术培训;
(G2)
b) 应告知人员相关的安全责任和惩戒措施,并对违反违背安全
运行、系统漏洞和数据备份等情况。
41
人员安全 人 员 录 用 a) 应指定或授权专门的部门或人员负责人员录用;
管理 (G2)
b) 应规范人员录用过程,对被录用人员的身份、背景和专业资
格等进行审查,对其所具有的技术技能进行考核;
c) 应与从事关键岗位的人员签署保密协议。
42
人 员 离 岗 a) 应规范人员离岗过程,及时终止离岗员工的所有访问权限;
进行审批;
b) 应针对关键活动建立审批流程,并由批准人签字确认。
39
沟通和合作 a) 应加强各类管理人员之间、组织内部机构之间以及信息安全
(G2)
职能部门内部的合作与沟通;
b) 应加强与兄弟单位、公安机关、电信公司的合作与沟通。
40
审查和检查 安全管理员应负责定期进行安全检查,检查内容包括系统日常
(G2)
(S2)
27
通信保密性 a) 在通信双方建立连接之前,应用系统应利用密码技术进行会
(S2)
话初始化验证;
b) 应对通信过程中的敏感信息字段进行加密。
28
软 件 容 错 a) 应提供数据有效性检验功能,保证通过人机接口输入或通过
(A2)
通信接口输入的数据格式或长度符合系统设定要求;
机房二级等保清单 -回复
机房二级等保清单-回复机房二级等保清单是指在信息系统中,机房安全管理的一种规范。
它是根据国家的相关法律法规和规范要求,通过对机房安全进行评估和监管,制定出一系列的检查项目和要求,以确保机房的安全性和可靠性。
一、机房环境安全保障:机房环境安全保障是机房安全管理的第一步,它主要包括以下方面的工作:1. 机房位置选择:机房应选在空中无干扰、无强电磁干扰的地方,远离易受水淹和地震等自然灾害影响的区域。
2. 机房建筑物选址:机房建筑物选址应考虑周边环境、基础设施和交通便利等因素,建筑物的结构要求符合规范,能够抵御火灾、地震等自然灾害的影响。
3. 机房空间规划:机房的空间规划应合理,机柜的布局要符合防水、防火和防盗的要求,机房的走道和通道要畅通,以便于管理和维护。
4. 机房温度和湿度控制:机房的温度和湿度应处于合适的范围内,以保证设备的正常运行。
一般来说,机房温度应控制在20-25摄氏度,湿度控制在40-60之间。
5. 机房灯光和消防设备:机房内应安装合适的照明设备,以便于管理和维护工作。
同时,机房内还需要配备消防设备,如灭火器、自动喷水系统等,以应对突发火灾的情况。
6. 机房入口控制:机房的入口应设有门禁系统,并且只有经过授权的人员才能进入机房,以保证机房的安全性。
二、机房设备安全保障:机房设备安全保障是机房管理的重要环节,它主要包括以下方面的工作:1. 机房设备布局:机房设备布局应合理,设备之间要保持一定的距离,以防止因故障或事故导致设备之间相互影响。
2. 机柜管理:机柜内的设备要符合安全规范,设备的连接线要整齐有序,避免乱搭乱拉的现象。
同时,机柜的通风设备要正常运行,以保持设备的散热和稳定运行。
3. 电源和电线管理:机房的电源和电线要符合相关的电气安全规范,电线要整齐并正确标注,电源的供电要稳定可靠,以保障设备的正常运行。
4. 数据备份和恢复:机房要建立完善的数据备份和恢复系统,以防止因故障或其他原因造成数据丢失。
信息系统安全等级保护(二级)基本要求
4 5 6
防 雷 击 (G2) 防火(G2) 防水和防潮 (G2)
7 8 9
10 11
12
13
14 15
16
机房应设置温、湿度自动调节设施,使机房温、湿度的变化在 设备运行所允许的范围之内。 a) 应在机房供电线路上配置稳压器和过电压防护设备; b) 应提供短期的备用电力供应,至少满足关键设备在断电情况 下的正常运行要求。 电 磁 防 护 电源线和通信线缆应隔离铺设,避免互相干扰。 (S2) 网络安全 结 构 安 全 a) 应保证关键网络设备的业务处理能力具备冗余空间,满足业 (G2) 务高峰期需要; b) 应保证接入网络和核心网络的带宽满足业务高峰期需要; c) 应绘制与当前运行情况相符的网络拓扑结构图; d) 应根据各部门的工作职能、重要性和所涉及信息的重要程度 等因素,划分不同的子网或网段,并按照方便管理和控制的原 则为各子网、网段分配地址段。 访 问 控 制 a) 应在网络边界部署访问控制设备,启用访问控制功能; (G2) b) 应能根据会话状态信息为数据流提供明确的允许 / 拒绝访问 的能力,控制粒度为网段级。 c) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户 对受控系统进行资源访问,控制粒度为单个用户; d) 应限制具有拨号访问权限的用户数量。 安 全 审 计 a) 应对网络系统中的网络设备运行状况、网络流量、用户行为 (G2) 等进行日志记录; b) 审计记录应包括事件的日期和时间、用户、事件类型、事件 是否成功及其他与审计相关的信息。 边界完整性 应能够对内部网络中出现的内部用户未通过准许私自联到外部 检查(S2) 网络的行为进行检查。 入 侵 防 范 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木 (G2) 马后门攻击、拒绝服务攻击、缓冲区溢出攻击、 IP 碎片攻击和 网络蠕虫攻击等。 网络设备防 a) 应对登录网络设备的用户进行身份鉴别; 护(G2) b) 应对网络设备的管理员登录地址进行限制; c) 网络设备用户的标识应唯一; d) 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要 求并定期更换; e) 应具有登录失败处理功能,可采取结束会话、限制非法登录 次数和当网络登录连接超时自动退出等措施; f) 当对网络设备进行远程管理时,应采取必要措施防止鉴别信 息在网络传输过程中被窃听。
二级等保标准
设备做好双机冗余
网络访问控制
1)应能根据会话状态信息(包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息,并应支持地址通配符的使用),为数据流提供明确的允许/拒绝访问的能力。
防火墙
2)应对设备或主要部件进行固定,并设置明显的不易除去的标记;
3)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;
4)应对介质分类标识,存储在介质库或档案室中;
5)应安装必要的防盗报警设施,以防进入机房的盗窃和破坏行为。
机房建设
防雷击
1)机房建筑应设置避雷装置;
2)应设置交流电源地线。
防雷系统
防火
1)应设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动报警系统的良好状态。
拨号访问控制
1)应在基于安全属性的允许远程用户对系统访问的规则的基础上,对系统所有资源允许或拒绝用户进行访问,控制粒度为单个用户;
2)应限制具有拨号访问权限的用户数量。
VPN
网络安全审计
1)应对网络系统中的网络设备运行状况、网络流量、用户行为等事件进行日志记录;
2)对于每一个事件,其审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功,及其他与审计相关的信息。
2)应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。
VPN
入侵防范
无
网管系统,IPS入侵防御系统
恶意代码防范
1)服务器和重要终端设备(包括移动设备)应安装实时检测和查杀恶意代码的软件产品;
2)主机系统防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;
机房2级和3级国家等保要求
1)应设置恒温恒湿系统,使机房温、湿度的变化在设备运行所允许的范围之内。
电力供应
1)计算机系统供电应与其他供电分开;
2)应设置稳压器和过电压防护设备;
3)应提供短期的备用电力供应(如UPS设备)。
1)计算机系统供电应与其他供电分开;
1)应能根据会话状态信息(包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息,并应支持地址通配符的使用),为数据流提供明确的允许/拒绝访问的能力;
2)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;
3)应依据安全策略允许或者拒绝便携式和移动式设备的网络接入;
4)应在会话处于非活跃一定时间或会话结束后终止网络连接;
5)应限制网络最大流量数及网络连接数。
拨号访问控制
1)应在基于安全属性的允许远程用户对系统访问的规则的基础上,对系统所有资源允许或拒绝用户进行访问,控制粒度为单个用户;
2)应限制具有拨号访问权限的用户数量。
7)应对机房设置监控报警系统。
防雷击
1)机房建筑应设置避雷装置;
2)应设置交流电源地线。
1)机房建筑应设置避雷装置;
2)应设置防雷保安器,防止感应雷;
3)应设置交流电源地线。
防火
1)应设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动报警系统的良好状态。
1)应设置火灾自动消防系统,自动检测火情、自动报警,并自动灭火;
1)应将主要设备放置在物理受限的范围内;
2)应对设备或主要部件进行固定,并设置明显的无法除去的标记;
二级系统安全系统等级保护基本要求及测评要求内容
e) 对湿度较高的地区,应检查机房是否有湿度记录,是否有除湿装置并能够正常运行,是否有防止出现机房地下积水的转移与渗透的措施,是否有防水防潮处理记录。
防雷击(G)
a) 机房建筑应设置避雷装置
a) 机房建筑应设置避雷装置;
b)机房应设置交流电源地线。
a) 应访谈物理安全负责人, 询问为防止雷击事件导致重要设备被破坏采取了哪些防护措施,机房建筑是否设置了避雷装置, 是否通过验收或国家有关部门的技术检测; 询问机房计算机供电系统是否有交流电源地线;
b) 应检查机房建筑是否有避雷装置,是否有交流地线。
防火(G)
a) 机房应设置灭火设备
a) 机房应设置灭火设备和火灾自动报警系统。
a) 应访谈物理安全负责人,询问机房是否设置了灭火设备,是否设置了火灾自动报警系统,是否有人负责维护该系统的运行,是否制定了有关机房消防的管理制度和消防预案,是否进行了消防培训;
b) 应访谈机房维护人员,询问是否对火灾自动报警系统定期进行检查和维护;
c) 应通过访问控制列表对系统资源实现允许或拒绝用户访问,控制粒度至少为用户组
a) 应在网络边界部署访问控制设备,启用访问控制功能;
b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级。
c) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;
d) 应检查关键设备是否放置在机房内或其它不易被盗窃和破坏的可控范围内;检查关键设备或设备的主要部件的固定情况,查看其是否不易被移动或被搬走,是否设置明显的不易除去的标记;
等保2.0二级要求
7第二级安全要求7。
1安全通用要求7。
1.1安全物理环境7.1。
1。
1物理位置选择本项要求包括:a)机房场地应选择在具有防震、防风和防雨等能力的建筑内;b)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。
7。
1.1.2物理访问控制机房出入口应安排专人值守或配置电子门禁系统。
控制、鉴别和记录进人的人员。
7.1。
1.3防盗窃和防破坏本项要求包括:a)应将设备或主要部件进行固定,并设置明显的不易擦除的标识;b)应将通信线缆铺设在隐藏安全处。
7。
1.1.4防雷击应将各类机柜、设施和设备等通过接地系统安全接地。
7.1。
1.5防火本项要求包括:a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料.7。
1.1。
6防水和防潮本项要求包括:a)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;b)应采取措施防止机房水蒸气结露和地下积水的转移与渗透。
7.1。
1.7防静电应采用防静电地板或地面并采用必要的接地防静电措施。
7。
1.1。
8温湿度控制应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内。
7。
1.1.9电力供应本项要求包括:a)应在机房供电线路上配置稳压器和过电压防护设备;b)应提供短期的备用电力供应。
至少满足设备在断电情况下的正常运行要求。
7。
1。
1。
10电磁防护电源线和通信线缆应隔离铺设,避免互相干扰。
7.1。
2安全通信网络7。
1。
2.1网络架构本项要求包括:a)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;b)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段.7。
1.2.2 通信传输应采用校验技术保证通信过程中数据的完整性。
7.1.2。
3可信验证可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证。
机房2级和3级国家等保要求
6)重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗。
1)网络设备的业务处理能力应具备冗余空间,要求满足业务高峰期需要;
2)应设计和绘制与当前运行情况相符的网络拓扑结构图;
2)应能够对非授权设备私自联到网络的行为进行检查,并准确定出位置,对其进行有效阻断;
3)应能够对部网络用户私自联到外部网络的行为进行检测后准确定出位置,并对其进行有效阻断。
网络入侵防
1)应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等入侵事件的发生。
2)应设置稳压器和过电压防护设备;
3)应提供短期的备用电力供应(如UPS设备);
4)应设置冗余或并行的电力电缆线路;
5)应建立备用供电系统(如备用发电机),以备常用供电系统停电时启用。
电磁防护
1)应采用接地式防止外界电磁干扰和设备寄生耦合干扰;
2)电源线和通信线缆应隔离,避免互相干扰。
1)应采用接地式防止外界电磁干扰和设备寄生耦合干扰;
1)应在基于安全属性的允远程用户对系统访问的规则的基础上,对系统所有资源允或拒绝用户进行访问,控制粒度为单个用户;
2)应限制具有拨号访问权限的用户数量;
3)应按用户和系统之间的允访问规则,决定允用户对受控系统进行资源访问。
网络安全审计
1)应对网络系统中的网络设备运行状况、网络流量、用户行为等事件进行日志记录;
安全审计
1)安全审计应覆盖到服务器上的每个操作系统用户和数据库用户;
2)安全审计应记录系统重要的安全相关事件,包括重要用户行为和重要系统命令的使用等;
二级系统安全等级保护基本要求和测评要求
. z.-a)应访谈物理安全负责人,问询现有机房和放置终端计算机设备的办公场地的环境条件是否能够满足信息系统业务需求和安全管理需求,是否具有基本的防震、防风和防 /雨等能力;b) 应检查机房和办公场地是否在具有防震、防风和防雨等能力的建造。
a) 机房出入应安排专人负责, 控 a) 机房出入应安排专人负责, 控制、 鉴别a) 应访谈物理安全负责人, 了解部署了哪些控制人员进出机房的保护措施;b) 应检查机房安全管理制度,查看是否有关于机房出入方面的规定;c) 应检查机房出入口是否有专人值守, 是否有值守记录及人员进入机房的登记记录;检查机房是否不存在专人值守之外的其他出入口;d) 应检查是否有来访人员进入机房的审批记录,查看审和记录进入的人员;b)制、鉴别和记录进入的人员-a) 应将主要设备放置在机房; a) 应将主要设备放置在机房;b) 应将设备或者主要部件进行固 b) 应将设备或者主要部件进行固定,并设定,并设置明显的不易除去的标置明显的不易除去的标记;批记录是否包括来访人员的访问围。
a) 应访谈物理安全负责人,了解采取了哪些防止设备、介质等丢失的保护措施;b) 应访谈机房维护人员,问询关键设备放置位置是否做到记 c)安全可控,设备或者主要部件是否进行了固定和标记,通信线缆是否铺设在隐蔽处;是否对机房安装的防盗报警设施d)并定期进行维护检查;c) 应访谈资产管理员,介质是否进行了分类标识管理,介e)质是否存放在介质库或者档案室进行管理;应检查关键设备是否放置在机房或者其它不易被盗窃破坏的可控围;检查关键设备或者设备的主要部件的固定情况,查看其是否不易被挪移或者被搬走,是否设置明显的不易除去的标记;e) 应检查通信线缆铺设是否在隐蔽处;f) 应检查机房防盗报警设施是否正常运行,并查看是否有. z.a) 机房建造应设置避雷装置a) 机房应设置灭火设备-a) 机房建造应设置避雷装置;b)a) 机房应设置灭火设备和。
信息系统安全等级保护二级具体要求
信息系统安全等级保护二级具体要求第二级基本要求6.1 技术要求6.1.1 物理安全6.1.1.1 物理位置的选择(G2)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
6.1.1.2 物理访问控制(G2)本项要求包括:a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员;b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。
6.1.1.3 防盗窃和防破坏(G2)本项要求包括:a) 应将主要设备放置在机房内;b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记;c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;d) 应对介质分类标识,存储在介质库或档案室中;e) 主机房应安装必要的防盗报警设施。
GB/T 22239—200886.1.1.4 防雷击(G2)本项要求包括:a) 机房建筑应设置避雷装置;b) 机房应设置交流电源地线。
6.1.1.5 防火(G2)机房应设置灭火设备和火灾自动报警系统。
6.1.1.6 防水和防潮(G2)本项要求包括:a) 水管安装,不得穿过机房屋顶和活动地板下;b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
6.1.1.7 防静电(G2)关键设备应采用必要的接地防静电措施。
6.1.1.8 温湿度控制(G2)机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
6.1.1.9 电力供应(A2)本项要求包括:a) 应在机房供电线路上配置稳压器和过电压防护设备;b) 应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。
6.1.1.10 电磁防护(S2)电源线和通信线缆应隔离铺设,避免互相干扰。
6.1.2 网络安全6.1.2.1 结构安全(G2)a) 应保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;b) 应保证接入网络和核心网络的带宽满足业务高峰期需要;c) 应绘制与当前运行情况相符的网络拓扑结构图;d) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。
等级保护第二级基本要求
d)应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性及进行论证和审定,并且经过批准后,才能正式实施。
本项要求包括:
a)应确保安全产品采购和使用符合国家的有关规定;
b)应确保密码产品采购和使用符合国家密码主管部门的要求;
本项要求包括:
a)应对登录网络设备的用户进行身份鉴别;
b)应对网络设备的管理员登录地址进行限制;
c)网络设备用户的标识应唯一;
d)身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
e)应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;
f)当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
本项要求包括:
机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;
本项要求包括:
a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员;
b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;
本项要求包括:
a)应将主要设备放置在机房内;
b)应将设备或主要部件进行固定,并设置明显的不易除去的标记;
a)操作系统应遵循最小安装的原则,源自安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。
本项要求包括:
a)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;
b)应支持防恶意代码的统一管理。
本项要求包括:
a)应通过设定终端接入方式、网络地址范围等条件限制终端登录;
b)应与选定的安全服务商签订与安全相关的协议,明确约定相关责任;
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1 第二级基本要求1.1 技术要求1.1.1 物理安全1.1.1.1 物理位置的选择(G2)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
1.1.1.2 物理访问控制(G2)本项要求包括:a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员;b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。
1.1.1.3 防盗窃和防破坏(G2)本项要求包括:a)应将主要设备放置在机房内;b)应将设备或主要部件进行固定,并设置明显的不易除去的标记;c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;d)应对介质分类标识,存储在介质库或档案室中;e)主机房应安装必要的防盗报警设施。
1.1.1.4 防雷击(G2)本项要求包括:a)机房建筑应设置避雷装置;b)机房应设置交流电源地线。
1.1.1.5 防火(G2)机房应设置灭火设备和火灾自动报警系统。
1.1.1.6 防水和防潮(G2)本项要求包括:a)水管安装,不得穿过机房屋顶和活动地板下;b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
1.1.1.7 防静电(G2)关键设备应采用必要的接地防静电措施。
1.1.1.8 温湿度控制(G2)机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1.1.1.9 电力供应(A2)本项要求包括:a)应在机房供电线路上配置稳压器和过电压防护设备;b)应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。
1.1.1.10 电磁防护(S2)电源线和通信线缆应隔离铺设,避免互相干扰。
1.1.2 网络安全1.1.2.1 结构安全(G2)本项要求包括:a)应保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;b)应保证接入网络和核心网络的带宽满足业务高峰期需要;c)应绘制与当前运行情况相符的网络拓扑结构图;d)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。
1.1.2.2 访问控制(G2)本项要求包括:a)应在网络边界部署访问控制设备,启用访问控制功能;b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级。
c)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;d)应限制具有拨号访问权限的用户数量。
1.1.2.3 安全审计(G2)本项要求包括:a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
1.1.2.4 边界完整性检查(S2)应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。
1.1.2.5 入侵防范(G2)应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。
1.1.2.6 网络设备防护(G2)本项要求包括:a)应对登录网络设备的用户进行身份鉴别;b)应对网络设备的管理员登录地址进行限制;c)网络设备用户的标识应唯一;d)身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;e)应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;f)当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
1.1.3 主机安全1.1.3.1 身份鉴别(S2)本项要求包括:a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别;b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;c)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;d)当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;e)应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。
1.1.3.2 访问控制(S2)本项要求包括:a)应启用访问控制功能,依据安全策略控制用户对资源的访问;b)应实现操作系统和数据库系统特权用户的权限分离;c)应限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;d)应及时删除多余的、过期的帐户,避免共享帐户的存在。
1.1.3.3 安全审计(G2)本项要求包括:a)审计范围应覆盖到服务器上的每个操作系统用户和数据库用户;b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;d)应保护审计记录,避免受到未预期的删除、修改或覆盖等。
1.1.3.4 入侵防范(G2)操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。
1.1.3.5 恶意代码防范(G2)本项要求包括:a)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;b)应支持防恶意代码软件的统一管理。
1.1.3.6 资源控制(A2)本项要求包括:a)应通过设定终端接入方式、网络地址范围等条件限制终端登录;b)应根据安全策略设置登录终端的操作超时锁定;c)应限制单个用户对系统资源的最大或最小使用限度。
1.1.4 应用安全1.1.4.1 身份鉴别(S2)本项要求包括:a)应提供专用的登录控制模块对登录用户进行身份标识和鉴别;b)应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;c)应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;d)应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。
1.1.4.2 访问控制(S2)本项要求包括:a)应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;b)访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作;c)应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限;d)应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。
1.1.4.3 安全审计(G2)本项要求包括:a)应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;b)应保证无法删除、修改或覆盖审计记录;c)审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等。
1.1.4.4 通信完整性(S2)应采用校验码技术保证通信过程中数据的完整性。
1.1.4.5 通信保密性(S2)本项要求包括:a)在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证;b)应对通信过程中的敏感信息字段进行加密。
1.1.4.6 软件容错(A2)本项要求包括:a)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求;b)在故障发生时,应用系统应能够继续提供一部分功能,确保能够实施必要的措施。
1.1.4.7 资源控制(A2)本项要求包括:a)当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;b)应能够对应用系统的最大并发会话连接数进行限制;c)应能够对单个帐户的多重并发会话进行限制。
1.1.5 数据安全及备份恢复1.1.5.1 数据完整性(S2)应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏。
1.1.5.2 数据保密性(S2)应采用加密或其他保护措施实现鉴别信息的存储保密性。
1.1.5.3 备份和恢复(A2)本项要求包括:a)应能够对重要信息进行备份和恢复;b)应提供关键网络设备、通信线路和数据处理系统的硬件冗余,保证系统的可用性。
1.2 管理要求1.2.1 安全管理制度1.2.1.1 管理制度(G2)本项要求包括:a)应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等;b)应对安全管理活动中重要的管理内容建立安全管理制度;c)应对安全管理人员或操作人员执行的重要管理操作建立操作规程。
1.2.1.2 制定和发布(G2)本项要求包括:a)应指定或授权专门的部门或人员负责安全管理制度的制定;b)应组织相关人员对制定的安全管理制度进行论证和审定;c)应将安全管理制度以某种方式发布到相关人员手中。
1.2.1.3 评审和修订(G2)应定期对安全管理制度进行评审,对存在不足或需要改进的安全管理制度进行修订。
1.2.2 安全管理机构1.2.2.1 岗位设置(G2)本项要求包括:a)应设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;b)应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责。
1.2.2.2 人员配备(G2)本项要求包括:a)应配备一定数量的系统管理员、网络管理员、安全管理员等;b)安全管理员不能兼任网络管理员、系统管理员、数据库管理员等。
1.2.2.3 授权和审批(G2)本项要求包括:a)应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批;b)应针对关键活动建立审批流程,并由批准人签字确认。
1.2.2.4 沟通和合作(G2)本项要求包括:a)应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通;b)应加强与兄弟单位、公安机关、电信公司的合作与沟通。
1.2.2.5 审核和检查(G2)安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。
1.2.3 人员安全管理1.2.3.1 人员录用(G2)本项要求包括:a)应指定或授权专门的部门或人员负责人员录用;b)应规范人员录用过程,对被录用人员的身份、背景和专业资格等进行审查,对其所具有的技术技能进行考核;c)应与从事关键岗位的人员签署保密协议。
1.2.3.2 人员离岗(G2)本项要求包括:a)应规范人员离岗过程,及时终止离岗员工的所有访问权限;b)应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备;c)应办理严格的调离手续。
1.2.3.3 人员考核(G2)应定期对各个岗位的人员进行安全技能及安全认知的考核。
1.2.3.4 安全意识教育和培训(G2)本项要求包括:a)应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训;b)应告知人员相关的安全责任和惩戒措施,并对违反违背安全策略和规定的人员进行惩戒;c)应制定安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训。