4等级保护基本要求详细表格

1、1-4等级保护基本要求详细表格信息系统安全等级保护基本要求一、技术要求：标记说明：保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求（简记为S）-保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求（简记为 A）;通用安 全保护类要求（简记为G）基本要求第一级第二级第三级第四级物 理 安 全物理位置 的选择（G）/a）机房和办公 场地应选择在 具有防震、防风 和防雨等能力 的建筑内a）b）机房场地区 避免设在建筑物 的高层或地1 室，以及用水设 备的下层或隔壁1Aa) b)物理访问控制（G）a）机房出入应 安排专人负责， 控制、鉴别

2、和记a）b）需进入机房 的来访人员应a）b）c）应对机房戈Ja）机房出入口 应安抖言人值守 并配置电子门禁录进入的人员经过申请和审 批流程，并限制 和监控其活动 范围防盗窃和防破坏(G)a)应将主要设 备放置在机房 内；b)应将设备或 主要部件进行c)应将通信线 缆铺设在隐蔽 处，可铺设在地分区域进行管 理，区域和区域 之间设置物理隔 离装置，在重要 区域前设置交付 或安装等过渡区 域；d)重要区域应 配置电子门禁系 统，控制、鉴别 和记录进入的人 员. c)d)e)应利用光、电系统，控制、鉴 别和记录进入的 人员d)重要区域应 配置第二道电子 门禁系统，控制、 鉴别和记录进入 的人员a) b

3、) c) d) e) a固定，并设置明 显的不易除去 的标记下或管道中； d)应对介质分 类标识)存储在 介质库或档案 室中；e)主机房应安 装必要的防盗 报警设施等技术设I 防盗报警或 f)应对主 置监控报率望机房 ,统； 几房务 身系统防雷击 (G)a)设:机房建筑应 雪避雷装置a)b)机房应设置 交流电源地线a)b)c) 应设是 保安器，E 应雷量防雷 方止感a) b) c)防火(G)a)机房应设置 灭火设备a)机房应设置 从灾自动报警 系统a)机房! 火灾自动 统,能够E 测火情、1亘设置 肖防系 2动检 2动报a) b) c)防水和防潮（G）a）应对穿过机 房墙壁和楼板 的水管增加必

4、 要的保护措施； b）应采取措施 防止雨水通过a）水管安装，不 得穿过机房屋 顶和活动地板 下b）c）应采取措施警，并自动灭火； b）机房及相关 的工作房间和辅 助房应采用具有 耐火等级的建筑 材料；c）机房应米取 区域隔离防火措 施，将重要设备 与其他设备隔离 开a） b） c）d）应安装对水 敏感的检测仪表 或元件，对机房a) b) c) d)机房窗户、屋顶 和墙壁渗透防止机房内水 蒸气结露和地 下积水的转移 与渗透进行防水检测和 报警防静电(G)/a)关键设备应 采用必要的接 地防静电措施a)主要设备区 采用必要的接地 防静电措施；b)机房应米月 防静电地板La)b)c)应采用静电消除器

5、等装置，减少静电的产生温湿度控制(G)机房应设置必 要的温、湿度控 制设施，使机房 温、湿度的变化 在设备运行所 允许的范围之 内机房应设置温、 湿度自动调节 设施，使机房 温、湿度的变化 在设备运行所 允许的范围之 内机房应设置温、 湿度自动调节设 施，使机房温、 湿度的变化在设 备运行所允许的 范围之内机房应设置温、 湿度自动调节设 施，使机房温、 湿度的变化在设 备运行所允许的 范围之内电力供应a)应在机房供a)a)a)(A)电线路上配置 稳压器和过电 压防护设备b）应提供短期 的备用电力供 应，至少满足关 键设备在断电 情况下的正常 运行要求电磁防护（S）b）电源线和通 信线缆应隔离/

6、 铺设，避免互相干扰b）应提供短期 的备用电力供 应，至少满足主 要设备在断电情 况下的正常运行 要求；c）应设置冗余 或并行的电力电 缆线路为计算机 系统供电；d）应建立备用 供电系统a）应采用接地 方式防止外界电 磁干扰和设备寄 生耦合干扰；b）应提供短期 的备用电力供 应，至少满足设 备在断电情况下 的正常运行要求c）d）a）b）c）应对关键区 域实施电磁屏蔽c)应对关键务 备和磁介质实施 电磁屏蔽L网 络 安 全结构安全(G)a) 应保证关 键网络设备的 业务处理能力 满足基本业务 需要；b) 应保证接 工网络和核心 网络的带宽满 足基本业务需 要；d) 应绘制与 当前运行情况 相符的

7、网络拓 扑结构图a)应保证关键 网络设备的业 务处理能力具 备冗余空间，满 足业务高峰期 需要；b)应保证接入 网络和核心网 络的带宽满足 业务高峰期需 要；d)e)应根据各部 门的工作职能、a)应保证主空 网络设备的业务 处理能力具备冗 余空间，满足业 务高峰期需要； b)应保证网势 各个部分的带宽 满足业务高峰期 需要；c)应在业务多 端与业务服务器 之间进行路由控 制建立安全的访 问路径-X$a)应保证网络 设备的业务处理 能力具备冗余空 间，满足业务高 峰期需要b)c)d)e)f)g)重要性和所涉 及缶息的重要 程度等因素，划 分不同的子网 或网段，并按照 方便管理和控 制的原则为各

8、子网、网段分配 地址段d) e)f )应避免将重要 网段部署在网络 边界处且直接连 接外部信息W 统，重要网段与 其他网段之间采 取可靠的技术隔 离手段；g)应按照对州 务服务的重要次 序来指定带宽分 配优先级别，保 证在网络发生拥 堵的时候优先保 护重要主机1访问控制（G）a）应在网络边 界部署访问控 制设备，启用访 问控制功能； b）应根据访问 控制列表对源 地址、目的地 址、源端口、目 的端口和协议 等进行检查，以 允许/拒绝数据 包出入；g）应通过访问 控制列表对系 统资源实现允 许或拒绝用户 访问，控制粒度a）b）应能根据会 话状态信息为 数据流提供明 确的允许/拒绝 访问的能力，控

9、 制粒度为网段 级。g）应按用户和 系统之间的允 许访问规则，决 定允许或拒绝 用户对受控系 统进行资源访 问，控制粒度为 单个用户； h）应限制具有a）b）应能根据会 话状态信息为数 据流提供明确的 允许/拒绝访问 的能力，控制粒 度为端口级； c）应对进出网 络的信息内容进 行过滤，实现对 应用层HTTP、 FTP、 TELNET 、 SMTP、POP3 等 协议命令级的控 制；d）应在会话处 于非活跃一定时a）b）应不允许数 据带通用协议通 过；c）应根据数据 的敏感标记允许 或拒绝数据通 过；h）应不开放远 程拨号访问功能至少为用户组拨号访问权限 的用户数量间或会话结束后 终止网络连接

10、； e)应限制网劣 最大流量数及网 络连接数；f)重要网段区 采取技术手段防 止地址欺骗g)h)安全审计(G)/a)应对网络系 统中的网络设 备运行状况、网 络流量、用户行 为等进行日志 记录；b)审计记录应a) b)c)应能够根并 记录数据进行分 析，并生成审计 报表；d)应对审计证1a)b)c)d)e)应定义审计 跟踪极限的阈 值，当存储空间 接近极限时，能边界完整性检查(S)包括事件的日 期和时间、用 户、事件类型、 事件是否成功 及其他与审计 相关的信息b)应能够对内 部网络中出现 的内部用户未 通过准许私自 联到外部网络 的行为进行检 录进行保护，避 免受到未预期的 删除、修改或覆

11、至笺rma)应能够对非 授权设备私自联 到内部网络的行 为进行检查，准 确定出位置，并 对其进行有效阻采取必要的措 施，当存储空间 被耗尽时，终止 可审计事件的发 生；f)应根据信息 系统的统一安全 策略，实现集中 审计，时钟保持 与时钟服务器同 步 b)入侵防范（G）a）应在网络边 界处监视以下 攻击行为：端口 扫描、强力攻 击、木马后门攻 击、拒绝服务攻 击、缓冲区溢出 攻击、IP碎片攻 击和网络蠕虫断；b）应能够对内 部网络用户私自 联到外部网络的 行为进行检查， 准确定出位置， 并对其进行有效 阻断a）b）当检测到攻 击行为时，记录 攻击源IP、攻击 类型、攻击目的、 攻击时间）在发

12、生严重入侵事件 时应提供报警a）b）当检测到攻 击行为时，应记 录攻击源IP、攻 击类型、攻击目 的、攻击时间， 在发生严重入侵 事件时应提供报 警及自动采取相攻击等应动作恶意代码 防范(G)/a)应在网络立 界处对恶意代码 进行检测和得 除；b)应维护恶耒 代码库的升级和 检测系统的更新导a) b)网络设备 防护(G)a)应对登录网 络设备的用户 进行身份鉴别； f )应具有登录失 败处理功能，可 米取结束会话、 限制非法登录 次数和当网络 登录连接超时a)b)应对网络设 备的管理员登 录地址进行限 制；c)网络设备用 户的标识应唯d)a) b)c)d)主要网络务 备应对同一用户 选择两种或

13、两种 以上组合的鉴别 技术来进行身份 鉴别La) b) c) d) e) f) g) h)i )网络设备用 户的身份鉴别信自动退出等措 施；g)当对网络设 备进行远程管 理时，应采取必 要措施防止鉴 别桁息在网络 传输过程中被 窃听e)身份鉴别信 息应具有不易 被冒用的特点， 口令应有复杂 度要求并定期 更换；f)e)f)g)h)应实现设雀 特权用户的权限 分离r息至少应有种 是不可伪造的主 机 安 全身份鉴别(S)a)应对登录操 作系统和数据 库系统的用户 进行身份标识 和鉴别a)b)操作系统和 薮据库系统管 理用户身份标 识应具有不易 被冒用的特点， 口令应有复杂 度要求并定期a) b)

14、c) d) e)f)应采用两种 或两种以上组合 的鉴别技术对管a) b) c) d) e)f )应采用两种 或两种以上组合 的鉴别技术对管理用户进行身份 鉴别更换；c）应启用登录 失败处理功能， 可采取结束会 话、限制非法登 录次数和自动 退出等措施； d）当对服务器 进行远程管理 时，应采取必要 措施，防止鉴别 信息在网络传 输过程中被窃 听；e）应为操作系 统和数据库系 统的不同用户理用户进行身份 鉴别，并且身份 鉴别信息至少有 一种是不可伪造 的g）应设置鉴别 警示信息，描述 未授权访问可能 导致的后果分配不同的用 户名，确保用户 名具有唯一性安全标记(S)/应对所有主体和 客体设置敏感

15、标 记访问控制(S)a)应启用访问 控制功能，依据 安全策略控制 用户对资源的 访问；d)应限制默认 帐户的访问权 限，重命名系统 默认帐户，修改 这些帐户的默 认口令；a)b)应实现操作 系统和数据库 系统特权用户 的权限分离d)e)a)b)应根据管理 用户的角色分配 权限，实现管理 用户的权限 离，仅授予管理 用户所需的最小 权限c)f)应对重要隹 息资源设置敏感一a)应依据安全 策略和所有主体 和客体设置的敏 感标记控制主体 对客体的访问；b)c)d)e)h)访问控制的 粒度应达到主体e）应及时删除 多余的、过期的 帐户，避免共享 帐户的存在标记；g）应依据安全 策略严格控制用 户对有敏

16、感标记 重要信息资源的 操作为用户级或进程 级,客体为文件、 数据库表、记录 和字段级可信路径（S）a）在系统对用 户进行身份鉴别 时，系统与用户 之间应能够建立 一条安全的信息 传输路径。b）在用户对系 统进行访问时， 系统与用户之间 应能够建立一条 安全的信息传输路径安全审计(G)a)审计范围应 覆盖到服务器 上的每个操作 系统用户和数 据库用户；b)审计内容应 包括重要用户 行为、系统资源 的异常使用和 重要系统命令 的使用等系统 内重要的安全 相关事件；c)审计记录应 包括事件的日 期、时间、类型、a)审计范围应 覆盖到服务器和 重要客户端上的 每个操作系统用 户和数据库用户d)应能够

17、根据 记录数据进行分 析，并生成审计 报表；e)应保护审计 进程，避免受到 未预期的中断f)a) b) c) d) e) f)g)应能够根据 信息系统的统一 安全策略，实现 集中审计主体标识、客体 标识和结果等； f )应保护审计记 录，避免受到未 预期的删除、修 改或覆盖等剩余信息保护(S)a)应保证操作a) 系统和数据库系 b) 统用户的鉴别信 息所在的存储空 间，被释放或再 分配给其他用户 前得到完全清 除，无论这些信 息是存放在硬盘 上还是在内存 中;入侵防范（G）c）操作系统应 遵循最小安装 的原则，仅安装 需要的组件和 应用程序，并保 持系统补丁及 时得到更新c）操作系统应 遵循最

18、小安装 的原则，仅安装 需要的组件和 应用程序，并通 过设置升级服 务器等方式保 持系统补丁及 时得到更新b）应确保系统 内的文件、目录 和数据库记录等 资源所在的存储 空间，被释放或 重新分配给其他 用户前得到完全 清除a）应能够检测 到对重要服务器 进行入侵的行 为）能够记录入 侵的源IP、攻击 的类型、攻击的 目的、攻击的时 间，并在发生严 重入侵事件时提a) b) c)恶意代码防范(G)a)应安装防恶 意代码软件，并 及时更新防恶 意代码软件版 本和恶意代码 库a)c)应支持防恶 意代码软件的 统一管理资源控制(A)a)应通过设定 终端接入方式、供报警；b)应能够对重 要程序的完整性

19、进行检测，并在 检测到完整性受 到破坏后具有恢 复的措施c)a)b)主机防恶意 代码产品应具有 与网络防恶意代 码产品不同的恶 意代码库c)a) b) c)a)b)网络地址范围 等条件限制终 端登录； b）应根据安全 策略设置登录 终端的操作超 时锁定； d）应限制单个 用户对系统资 源的最大或最 小使用限度c）应对重要回 务器进行监视， 包括监视服务器 的CPU、硬盘、 内存、网络等资 源的使用情况； d）e）应能够对W 统的服务水平降 低到预先规定的 最小值进行检测 和报警d) e)应用安身份鉴别（S）a）应提供专用 的登录控制模 块对登录用户 进行身份标识 和鉴别；a）c）应提供用户 身

20、份标识唯一 和鉴别信息复 杂度检查功能，a）b）应对同一月 户米用两种或两 种以上组合的鉴 别技术实现用户1a）、b）应对同一用 户米用两种或两 种以上组合的鉴 别技术实现用户全d)失 可 话、 录 退i e) 鉴 败4 根 配:应提供登录 收处理功能， 采取结束会 限制非法登次数和自动 七等措施； 应启用身份 别和登录失 也理功能，并 据安全策略 量相关参数保证应用系统 中不存在重复 用户身份标识， 身份鉴别信息 不易被冒用；d)e)应启用身份 鉴别、用户身份 标识唯一性检 查、用户身份鉴 别信息复杂度 检查以及登录 失败处理功能， 并根据安全策 略配置相关参 数身份鉴别c)d)e)身份鉴别

21、，其中 一种是不口伪造 的c)d)e)安全标记/应提供为主体和访问控制（S）a）应提供访问 控制功能控制 用户组/用户对 系统功能和用 户数据的访问； c）应由授权主 标配置访问控 制策略，并严格 限制默认用户 的访问权限a）应提供访问 控制功能，依据 安全策略控制 用户对文件、数 据库表等客体 的访问； b）访问控制的 覆盖范围应包 括与资源访问 相关的主体、客 体及它们之间 的操作；c）d）应授予不同c）应由授权主 体配置访问控制 策略，并严格限 制默认帐户的访 问权限d）e）应具有对重 要信息资源设置 敏感标记的功 能；f）应依据安全 策略严格控制用客体设置安全标 记的功能并在安 装后启

22、用a）、 b）、c）应由授权主 体配置访问控制 策略，并禁止默 认帐户的访问d）、e）应通过比较 安全标记来确定 是授予还是拒绝 主体对客体的访 问帐户为完成各 自承担任务所 需的最小权限， 并在它们之间 形成相互制约 的关系户对有敏感标记 重要信息资源的 操作可信路径(S)a)在应用系统 对用户进行身份 鉴别时，应能够 建立一条安全的 信息传输路径。b)在用户通过 应用系统对资源 进行访问时，应 用系统应保证在 被访问的资源与 用户之间应能够建立条安全的 信息传输路径。安全审计(G)/a)应提供覆盖 到每个用户的 安全审计功能， 对应用系统重 要安全事件进 行审计；b)应保证无法 删除、修改

23、或覆 盖审计记录； c)审计记录的 面容至少应包 括事件日期、时 间、发起者信 息、类型、描述 和结果等a)b)应保证无* 单独中断审计进 程，无法删除、 修改或覆盖审计 记录；c)d)应提供对审 计记录数据进行 统计、查询、分 析及生成审计报 表的功能a)b)c)d)e)应根据系统 统一安全策略， 提供集中审计接 口剩余桁息 保护(S)/a)应保证用户 鉴别信息所在的 存储空间被释放 或再分配给其他 用户前得到完全 清除，无论这些 信息是存放在硬 盘上还是在内存 中；b)应保证系乡 内的文件、目录 和数据库记录等 资源所在的存储 空间被释放或重 新分配给其他用 户前得到完全清 除二a) b)

24、通信完整 性通信保密 性抗抵赖（G）应采用约定通 信会话方式的 方法保证通信 过程中数据的 完整性应采用校验码 技术保证通信 过程中数据的 完整性a）在通信双方 遑立连接之前） 应用系统应利 用密码技术进 行会话初始化 验证；b）应对通信过 程中的敏感信 息字段进行加 密应米用密码技术 保证通信过程中 数据的完整性应米用密码技术 保证通信过程中 数据的完整性a）b）应对通信过 程中的整个报文 或会话过程进行 加密c）应基于硬件 化的设备对重要 通信过程进行加 解密运算和密钥 管理a）应具有在请 求的情况下为数a)b)据原发者或接收 者提供数据原发 证据的功能； b)应具有在年 求的情况下为数

25、据原发者或接收 者提供数据接收 证据的功能软件容错(A)a)应提供数据 后效性检验功 能，保证通过人 机接口输入或 通过通信接口 输入的数据格 式或长度符合 系统设定要求a)b)在故障发生 时，应用系统应 能够继续提供 一部分功能，确 保能够实施必 要的措施a)b)应提供自商 保护功能，当故 障发生时自动保 护当前所有力 态，保证系统能 够进行恢复a) b)c)应提供自动 恢复功能，当故 障发生时立即自 动启动新的进 程，恢复原来的 工作状态资源控制/a)当应用系统a)a)(A)的通信双方中 的一方在一段 时间内未作任 何响应）另一方 应能够自动结 束会话； b）应能够对应 用系统的最大 并发

26、会话连接 数进行限制； c）应能够对单 个帐户的多重 并发会话进行 限制b） c）d）应能够对一 个时间段内可能 的并发会话连接 数进行限制；e）应能够对一 个访问帐户或一 个请求进程占用 的资源分配最大 限额和最小肉 额；f）应能够对W 统服务水平降低 到顶先规7E的取 小值进行检测和 报警；11b) c) d) e) f ) g)数据安全数据完整性a）应能够检测 到重要用户数 据在传输过程 中完整性受到 破坏a）应能够检测 到鉴别信息和 重要业务数据 在传输过程中 完整性受到破 坏g）应提供服务 优先级设定功 能，并在安装后 根据安全策略设 定访问帐户或请 求进程的优先 级，根据优先级 分

27、配系统资源 a）应能够检测 到系统管理数 据、鉴别信息和 重要业务数据在 传输过程中完整 性受到破坏，并 在检测到完整性 错误时采取必要 的恢复措施；a)b)c）应对重要通信提供专用通信 协议或安全通信 协议服务，避免 来自基于通用通 信协议的攻击破 坏数据完整性及 备 份 恢 复数据保密性b）应采用加密 或其他保护措 施实现鉴别信 息的存储保密 性b）应能够检测 到系统管理数 据、鉴别信息和 重要业务数据在 存储过程中完整 性受到破坏，并 在检测到完整性 错误时采取必要 的恢复措施a）应采用加密 或其他有效措施 实现系统管理数 据、鉴别信息和 重要业务数据传 输保密性；b）应采用加密 或其他

28、保护措施a） b）c）应对重要金 信提供专用通信 协议或安全通信 协议服务，避免 来自基于通用协 议的攻击破坏数据保密性实现系统管理数 据、鉴别信息和 重要业务数据存 储保密性备份和恢复（A）a）应能够对重 要信息进行备 份和恢复a）d）应提供关键 网络设备、通信 线路和数据处 理系统的硬件 冗余，保证系统 的可用性a）应提供本地 数据备份与恢复 功能，完全数据 备份至少每天一 次，备份介质场 外存放；b）应提供异地 数据备份功能， 利用通信网络将 关键数据定时批 量传送至备用场 地；c）应米用冗余a）b）应建立异地 灾难备份中心， 配备灾难恢复所 需的通信线路、 网络设备和数据 处理设备，提

29、供 业务应用的实时 无缝切换； d）e）应提供异地 实时备份功能，技术设计网络拓 扑结构，避免关 键节点存在单点 故障；d）应提供主覆 网络设备、通信 线路和数据处理 系统的硬件7 余，保证系统的 高可用性1利用通信网络将 数据实时备份至 灾难备份中心；八管理要求标记说明：保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求（简记为S）;保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求（简记为A）;通用安全保护类要求（简记为 G）基本要求第一级第二级第三级第四级安 全 管 理 制 度管理制度 （G）应建立日常管理 活动中常用的安

30、全管理制度a）应制te桁息 安全工作的总体 方针和安全策 略，说明机构安 全工作的总体目 标、范围、原则 和安全框架等； b）应对安全管 理活动中重要的 管理内容建立安 全管理制度； c）应对安全管 理人员或操作人a）b）应对安全管 理活动中的各类 管理内容建立安 全管理制度； c）应对要求管 理人员或操作人 员执行的日常管 理操作建立操作 规程；d）应形成由安 全策略、管理制 度、操作规程等a) b) c) d)员执行的重要管 理操作建立操作 规程构成的全面的信 息安全管理制度 体系制定和发 布（G）a）应指定或授 权专门的人员负 责安全管理制度 的制定；b）应将安全管 理制度以某种方 式发

31、布到相关人 员手中a）应指定或授 权专门的部门或 人员负责安全管 理制度的制定； b）应组织相关 人员对制定的安 全管理制度进行 论证和审定； c）应将安全管 理制度以某种方 式发布到相关人 员手中a）b）c）安全管理制 度应通过正式、 有效的方式发 布；d）安全管理制 度应注明发布范 围，并对收发文 进行登记e）安全管理制 度应具有统一的 格式，并进行版 本控制a） b）c） d）e）f）有密级的安 全管理制度，应 注明安全管理制 度密级，并进行 密级管理评审和修 订（G）/应定期对安全管 理制度进行评 审，对存在不足 或需要改进的安 全管理制度进行 修订a）彳口息安全领 导小组应负责定 期

32、组织相关部门 和相关人员对安 全管理制度体系 的合理性和适用 性进行审定；b）应定期或不 定期对安全管理 制度进行检查和 审定，对存在不 足或需要改进的 安全管理制度进 行修订a） b）c）应明确需要 定期修订的安全 管理制度，并指 定负责人或负责 部门负责制度的 日常维护；d）应根据安全 管理制度的相应 密级确定评审和 修订的操作范围安 全 管岗位设置 （G）应设立系统管理 员、网络管理员、 安全管理员等岗a）应设立安全 主管、安全管理 各个方面的负责a）应设立缶息 安全管理工作的 职能部门，设立a) b) c)理机构位，并定义各个工作岗位的职责人岗位，并定义 各负责人的职 责；b）应设立系

33、统 管理员、网络管 理员、安全管理 员等岗位，并定 义各个工作岗位 的职责安全主管、安全 管理各个方面的 负责人岗位，并 定义各负责人的 职责；b）c）应成立指导 和管理信息安全 工作的委员会或 领导小组，其最 高领导由单位主 管领导委任或授 权；d）应制定文件 明确安全管理机 构各个部门和岗 位的职责、分工d)和技能要求人员配备 （G）应配备一定数量 的系统管理员、 网络管理员、安 全管理员等a）应配备te数量的系统管理 员、网络管理员、 安全管理员等； b）安全管理员 不能兼任网络管 理员、系统管理 员、数据库管理 员等a）b）应配备专职 安全管理员，不 可兼任；c）关键事务岗 位应配备多

34、人共 同管理a) b) c)授权和审 批（G）应根据各个部门 和岗位的职责明 确授权审批部门 及批准人，对系 统投入运行、网 络系统接入和重 要资源的访问等a）应根据各个 部门和岗位的职 责明确授权审批 部门及批准人， 对系统投入运 行、网络系统接 入和重要资源的a）应根据各个 部门和岗位的职 责明确授权审批 事项、审批部门 和批准人等；b）应针对系统 变更、重要操作、a) b) c) d)关键活动进行审 批访问等关键活动 进行审批；b）应针对关键 信动建立审批流 程，并由批准人 签字确认物理访问和系统 接入等事项建立 审批程序，按照 审批程序执行审 批过程，对重要 活动建立逐级审 批制度；c

35、）应定期审查 审批事项，及时 更新需授权和审 批的项目、审批 部门和审批人等彳口息；d）应记录审批 过程并保存审批mi沟通和合应加强与兄弟单a）应加强各类a）应加强各类a)作（G）位、公安机关、 电信公司的合作 与沟通管理人员之间、 组织内部机构之 间以及信息安全 职能部门内部的 合作与沟通； b）应加强与兄 弟单位、公安机 关、电信公司的 合作与沟通管理人员之间、 组织内部机构之 间以及信息安全 职能部门内部的 合作与沟通，定 期或不定期召开 协调会议，共同 协作处理信息安 全问题；b）c）应加强与供 应商、业界专家、 专业的安全公 司、安全组织的 合作与沟通； d）应建立外联 单位联系列表

36、，b) c) d) e)审核和检 查（G）安全管理员应负 责定期进行安全 检查，检查内容 包括系统日常运 行、系统漏洞和 数据备份等情况包括外联单位名 称、合作内容、 联系人和联系方 式等信息； e）应聘请信息 安全专家作为常 年的安全顾问， 指导信息安全建 设，参与安全规 划和安全评审等 a）b）应由内部人 员或上级单位定 期进行全面安全 检查，检查内容 包括现有安全技 术措施的有效a) b) c) d)性、安全配置与 安全策略的一致 性、安全管理制 度的执行情况 等；c）应制定安全 检查表格实施安 全检查，汇总安 全检查数据，形 成安全检查报 告，并对安全检 查结果进行通 报；d）应制定安

37、全 审核和安全检查 制度规范安全审 核和安全检查工作，定期按照程 序进行安全审核 和安全检查活动人 员 安 全 管 理人员录用 （G）a）应指定或授 权专门的部门或 人员负责人员录 用；b）应对被录用 人员的身份和专 业资格等进行审 查，并确保其具 有基本的专业技 术水平和安全管 理知识a）应指定或授 权专门的部门或 人员负责人员录 用；b）应规范人员 录用过程，对被 录用人员的身 份、背景和专业 资格等进行审 查，对其所具有 的技术技能进行 考核；c）应与从事关 键岗位的人员签a）b）应严格规范 人员录用过程， 对被录用人的身 份、背景、专业 资格和资质等进 行审查，对其所 具有的技术技能 进仃英核；c）应签署保密 协议；d）应从内部人 员中选拔从事关 键岗位的人员，a) b) c) d)署保密协议并签署岗位安全 协议人员离岗 （G）a）应立即终止 由于各种原因离岗员工的所有访 问权限；b）应取回各种 身份证件、钥匙、 徽章等以及机构 提供的软硬件设 备a）应规范人员 离岗过程，及时 终止离岗员工的 所有访问权限； b）应取回各种 身份证件、钥匙、 徽章等以及机构 提供的软硬件设 备；c）应办理严格 的调离手续a）应严格规范 人员离岗过程， 及时终止离岗员 工的所有访问权 限；b）c）应办理严格 的调