信息安全等级保护2.0测评大全

控制点安全要求要求解读

a)应指定专门的部门或人是负责机房安全、对机房的出入进行管理，定期对机房供配电、空调、温湿度控制，消防等设施进行维护管理机房是存放等级保护对象基础设施的重要场所,要落实机房环境的管理责任人，因此要确保机房的运行环境良好、安全，应对机房环境进行严格管理和控制

b)应建立机房安全管理制度，对有关物理访问、物品进出和环境安全等方面的管理作出规定为保证系统有个良好安会的运行环境，应针对机房建立管理规定或要求

c)应不在重要区域接待来访人员，不随意放置含有敏感信息的纸质文件和移动介质等加强内部办公环境的管理是控制网络安全风险的措施之一，为保证内部办公环境的独立性、敏感性，应降低外部人员无意或有意访问内部区域的可能性，同时杜绝都员工因无意行为而泄露敏感文档而导致网络安全事件的发生

a)应编制并保存与保护对象相关的资产清单，包括资产责任部门、重要程度和所处位置等内容等级保护对象资产种类较多，如保护对象的资产管理比较混乱，容易导致等级保护对象发生安全问题或不利于发生安全问题时有效应急

b)根据资产的重要程度对资产进行标识管理，根据资产的价值选择相应的管理措施信息资产的重要程度不同，在系统中所起的作用也不尽相同，应综合考虑资产的价值、在系统件的地位，作用等因素，按照重要程度高低对资产进行分类、分级管理，分类的原则应在相关文档中选行明确，且需明确重要资产和非重要资产在资产管理环节(如入库、维修、出

c）应对信息分类与标识方法作出规定，并对信息的使用，传输和存储等进行规范化管理信息作为资产的一种，可根据其所属的类别不同，重要程度不同进行信息的整理分类(一般可分为:敏感、内部公开、对外公开等不同类别），不同类别的信息在使用、传输和存储等方面管理要求也应不同

a)应将介质存放在安全的环境中，对各类介质进行控制和保护，实行存储介质专人管理，并根据存档介质的目录清单定期查点介质类型可包括纸介质、磁介质、光介质等，由于存储介质是用来存放系统相关数据的，因此，介质管理工作非常重要，如果管理不善，可能会造成数据的丢失或损坏，应为存储介质提供安全的存放环境并进行妥善的管控

b)应对介质的物理传输过程中的人员选择、打包、交付等情况进行控制，并对介质的归等进行登记记录需系统存在离线的存储备份介质应对其进行管控，如对介质进行两地传输时，应遵循一定的管理要求，应选择可靠的传送人员，并对打包交付过程签字确认等

a)应对各种设备(包括备份和冗余设备)、线路等指定专门的部门成人员定期进行维护管理对设备进行有效的维护管理，在一定程度上可降低系统发生安全问题的概率，应明确设备管理的责任部门或人员

环境管理资产管理介质管理

b)应建立配套设施、软硬件维护方面的管理制度。对其维护进行有效管理，包括明确维护人员的责任、维修和服务的审批、维修过程的监督控制等系统的正常运行依赖于对设备的正确使用和维护。为了保证对设备的正确使用和维护，应建立相应的管理规定或要求，相关人员必须严格按照规定要求对设备进行使用和维护，并认真做好使用和维护记录

c)信息处理设备应经过审批才能带离机房或办公地点，含有存储介质的设备带出工作环境时其中重要数据应加密信息处理设备的流转容易引起信息泄露的风险，必须严加管控,因此信息处理设备带离机房或办公等常规使用的地点时必须经过审批或采取加密的管控措施

含有存储介质的设备在报废或重用

前，应进行完全清除或被安全覆盖，保证该设备上的敏感数据和授权软件存储介质在报废或重用时，容易引起敏感信息的泄露，应采取相应的处理的措施施

d)应来取必要的措施识别安全漏洞和隐患，对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补安全漏洞和隐患是引起安全问题的主要根源，采取有效的措施来及时识别系统漏洞和隐患，并对识别出的漏洞和隐患根据评估的情况进行修补

e）应定期开展安全测评，形成安全测评报告，采取措施应对发现的安全问题定期开展安全测评有利于及时发现系统潜在的安全问题，安全测评局限于风险评估、等级测评，只要是通过对系统的全面测试评估方法

a)应划分不同的管理员角色进行网络和系统的运维管理，明确各个角色的责任和权限没有明确的责任和权限要求，容易发生泄职事件，因此要对管理员进行明确的划分并进行岗位职责的定义

b)应指定专门的部门或人员进行账户管理，对申请账户、建立账户、删除账户进行控制账户管理应由专门的部门或人员来负责，并对账户的生命周期进行管控

c)应建立网络和系统安全管理制度，对安全策略、账户管理、配置管理、日志管理、日常操作、升级与补丁、口令周期更新等方面做出规定对系统和网络安全管理缺乏规范性指导或规范性指导规定不一致，容易造成人员读职或无作为，因此对网络和系统安全应建立相应的管理策略和规程类的管理要求

d)应制定重要设备的配置和操作手册，依据手册对设备进行安全配置和优化配置等配置规范和配置基线是保障等级保护对象安全运行的基本前提，应对设备的配置和操作建立操作规范和配置基线

e)应详细记录运维操作日志，包括日常巡检工作、运行维护记录、参数的设置、修改等内容运维操作日志缺失，不利于安全事件的回溯或追踪，因此要对日常的记录运维操作日志进行详细的记录

设备维护管

理

网络和系统安全管理

f)应指定专门的部门或人员对日志、监测和报警数据等进行分析、统计，及时发现可疑行为没有明确的职责要求，密易引起人员读职或无作为，应对日志、监测、报警数据等指定专人负责和统计

g)应严格控制变更性运维，经过审批

后才可改变连接、安装系统组件或调整配置参数，操作过程中应保留不可更改的审计日志,操作结束后应同步更新配置信息库变更管理不当，极易引起安全问题，对运维过程中的变更操作需严格控制，变更的审批过程中保留痕迹，事后能够更新变更内容

h）应严格控制运维工具的使用，经过审批才可接入进行操作，操作过程中应保留不可更改的审计日志，操作结束后应删除工中的敏感数据IT运维工具包括商业的专用运维工具，也有自行开发运维工具，无论采取哪种工具，都需进行严格的管控

i)应严格控制远程运维的开通，经过审批后才可开通远程运维接口或通道,操作过程中应保留不可更改的审计日志，操作结束后立即关闭接口或通道,远程运维是系统安全的隐患之一，如远程控制不当容易通成安全事件，应对远程运维的开通进行严格的控制，如确实需要开通，需要对操作过程日志进行留存并保证不可更改，运维结

j)应保证所有与外部的连接均得到授

权和批准，应定期的检查违反规定无线上网及其他违反网络安全策略的行为对所有外部链接进行管控，并且定期对违规外联进行检查

a)应提高所有用户的防恶意代码意识，对外来计算机或存储设备接入系统前进行恶意代码检查等恶意代码对等级保护对象的危害极大，并且传播途径有多种方式，提升所有用户的防恶意代码意识是规避恶意代码发生概率的基本途径。恶意代码的防范不仅仅需要安装防恶意代码工具来解决，为有效预防恶意代码的侵入，除了提高用户的防恶意代码象识外，还应建立完美的恶意代码管理制度并有效实施

b)应定期验证防范恶意代码攻击的技术措施的有效性防恶意代码工具的技术措施最常见的是安装恶意代码软件，该类措施有效性保障就是定期升级恶意代码库，并对检测的恶意代码进行分析，另外如采用可信计算机技术也可防恶意代码攻击，需定期验证可信技术的有效性

a)应记录和保有基本配宣信息，包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等系统配置信息的准确性，是系统正常运行的有效保障，因此要对系统的基本信息予以及时有效的记录和保存

b)应将基本配置信息改变纳入变更范畴，实施对配置信息改变的控制，并及时更新基本配置信息库配置信息及时间同步是配置管理流程的重要环节，该条要求与变更管理和系统管理中的相关条款比较类似，应关注几方面信息保持一致

a)应遵循密码相关的国家标准和行业标准密码生产需要授权许可，密码产品需要符合国家和行业的相关标准

b)应使用国家密码管理主管部门认证核准的密码技术和产品系统使用的密码产品要有国家密码主管部门核发的相关型号证书

安全管理恶意代码防范管理

配置管理密码管理