等级保护基本要求培训ppt课件

1、信息系统平安等级维护根本要求.目录.等级维护等级.等级维护重要规范GB 17859-1999 计算机信息系统 平安维护等级划分准那么GB/T 222392021 信息系统平安等级维护根本要求GB/T 222402021 信息系统平安等级维护定级指南信息系统平安等级维护测评过程指南国标报批稿信息系统平安等级维护测评要求国标报批稿GB/T 25058-2021信息系统平安等级维护实施指南GB/T 25070-2021信息系统等级维护平安设计技术要求.等级维护相关规范GA/T 708-2007 信息系统平安等级维护体系框架GA/T 7092007 信息系统平安等级维护根本模型GA/T 710-200

2、7 信息系统平安等级维护根本配置GA/T 711-2007 运用软件系统平安等级维护通用技术指南GA/T 7122007 运用软件系统平安等级维护通用测试指南GA/T 713-2007 信息系统平安管理测评GB/T 180182007 路由器平安技术要求GB/T 202692006 信息系统平安管理要求GB/T 202702006 网络根底平安技术要求GB/T 202712006 信息系统平安通用技术要求GB/T 202722006 操作系统平安技术要求GB/T 202732006 数据库管理系统平安技术要求GB/T 202752006 入侵检测系统技术要求和测试评价方法GB/T 202782

3、006 网络脆弱性扫描产品技术要求GB/T 202792006 网络和终端设备隔离部件平安技术要求GB/T 202812006 防火墙技术要求和测试评价方法GB/T 202822006 信息系统平安工程管理要求GB/T 209792007 虹膜识别系统技术要求GB/T 209842007 信息平安风险评价规范GB/T 209882007 信息系统灾难恢复规范GB/T 210282007 效力器平安技术要求GB/T 210522007 信息系统物理平安技术要求GB/T 210532007 公钥根底设备 PKI系统平安等级维护技术要求GB/Z 209852007 信息平安事件管理指南 YD/TGB

4、/Z 209862007 信息平安事件分类分级指南.定级流程G=MAX(S,A)SA.平安维护和系统定级的关系安全等级信息系统保护要求的组合第一级S1A1G1第二级S1A2G2，S2A2G2，S2A1G2第三级S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四级S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4.目录.等级维护根本要求作用.等级划分和维护“第八条信息系统运营、运用单位根据本方法和相关技术规范对信息系统进展维护，国家有关信息平安职能部门对其信息平安等级维护任务进展监视管理。.等级维护的实施与管理“第十二条在信息系

5、统建立过程中，运营、运用单位该当按照GB17859-1999、等技术规范，参照等技术规范同步建立符合该等级要求的信息平安设备。.等级维护的实施与管理“第十三条运营、运用单位该当参照GB/T20269-2006、GB/T20282-2006、等管理规范，制定并落实符合本系统平安维护等级要求的平安管理制度。 .等级维护的实施与管理“第十四条信息系统建立完成后，运营、运用单位或者其主管部门应中选择符合本方法规定条件的测评单位，根据等技术规范，定期对信息系统平安等级情况开展等级测评。第三级信息系统该当每年至少进展一次等级测评，第四级信息系统该当每半年至少进展一次等级测评，第五级信息系统该当根据特殊平安

6、需求进展等级测评。.等级维护的实施与管理“第十四条信息系统运营、运用单位及其主管部门该当定期对信息系统平安情况、平安维护制度及措施的落实情况进展自查。第三级信息系统该当每年至少进展一次自查，第四级信息系统该当每半年至少进展一次自查，第五级信息系统该当根据特殊平安需求进展自查。.等级维护的实施与管理“第十四条经测评或者自查，信息系统平安情况未到达平安维护等级要求的，运营、运用单位该当制定方案进展整改。.技术规范和管理规范的作用技术规范和管理规范信息系统定级信息系统平安建立或改建平安情况到达等级维护要求的信息系统.的定位是系统平安维护、等级测评的一个根本“标尺，同样级别的系统运用一致的“标尺来衡量

7、，保证权威性，是一个达标线；每个级别的信息系统按照根本要求进展维护后，信息系统具有相应等级的根本平安维护才干，到达一种根本的平安形状;是每个级别信息系统进展平安维护任务的一个根本出发点，更加贴切的维护可以经过需求分析对根本要求进展补充，参考其他有关等级维护或平安方面的规范来实现;.根本要求和其他规范关系.等级维护根本要求效果.的定位某级信息系统根本维护准确维护根本要求维护根本要求测评补充的平安措施GB17859-1999通用技术要求平安管理要求高级别的根本要求等级维护其他规范平安方面相关规范等等根本维护特殊需求补充措施.目录.根本思绪.不同级别的平安维护才干要求第一级平安维护才干应可以防护系统

8、免受来自个人的、拥有很少资源如利用公开可获取的工具等的要挟源发起的恶意攻击、普通的自然灾难灾难发生的强度弱、继续时间很短等以及其他相当危害程度的要挟无意失误、技术缺点等所呵斥的关键资源损害，在系统遭到损害后，可以恢复部分功能。第二级平安维护才干应可以防护系统免受来自外部小型组织的如自发的三两人组成的黑客组织、拥有少量资源如个他人员才干、公开可获或特定开发的工具等的要挟源发起的恶意攻击、普通的自然灾难灾难发生的强度普通、继续时间短、覆盖范围小等以及其他相当危害程度的要挟无意失误、技术缺点等所呵斥的重要资源损害，可以发现重要的平安破绽和平安事件，在系统遭到损害后，可以在一段时间内恢复部分功能。.不

9、同级别的平安维护才干要求第三级平安维护才干应可以在一致平安战略下防护系统免受来自外部有组织的团体如一个商业情报组织或犯罪组织等，拥有较为丰富资源包括人员才干、计算才干等的要挟源发起的恶意攻击、较为严重的自然灾难灾难发生的强度较大、继续时间较长、覆盖范围较广等以及其他相当危害程度的要挟内部人员的恶意要挟、无意失误、较严重的技术缺点等所呵斥的主要资源损害，可以发现平安破绽和平安事件，在系统遭到损害后，可以较快恢复绝大部分功能。 第四级平安维护才干应可以在一致平安战略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的要挟源发起的恶意攻击、严重的自然灾难灾难发生的强度大、继续时间长、覆盖范围广等

10、以及其他相当危害程度的要挟内部人员的恶意要挟、无意失误、严重的技术缺点等所呵斥的资源损害，可以发现平安破绽和平安事件，在系统遭到损害后，可以迅速恢复一切功能。 .各个要素之间的关系平安维护才干根本平安要求每个等级的信息系统根本技术措施根本管理措施具备包含包含满足满足实现.中心思绪某级系统技术要求管理要求根本要求建立平安技术体系建立平安管理体系具有某级平安维护才干的系统.各级系统的维护要求差别宏观平安维护模型PPDRR Protection防护 Policy Detection 战略 检测 Response 呼应 Recovery恢复.各级系统的维护要求差别宏观一级系统二级系统三级系统四级系统防

11、护防护/监测战略/防护/监测/恢复战略/防护/监测/恢复/呼应.各级系统的维护要求差别宏观胜利的完成业务信息保证深度防御战略人技术操作防御网络与根底设备防御飞地边境防御计算环境支撑性根底设备平安维护模型IATF.各级系统的维护要求差别宏观一级系统二级系统三级系统四级系统通讯/边境根本通讯/边境/内部关键设备通讯/边境/内部主要设备通讯/边境/内部/根底设备一切设备.才干成熟度模型CMM.各级系统的维护要求差别宏观一级系统二级系统三级系统四级系统方案和跟踪主要制度方案和跟踪主要制度良好定义管理活动制度化继续改良管理活动制度化/及时改良.各级系统的维护要求差别微观某级系统物理平安技术要求管理要求根

12、本要求网络平安主机平安运用平安数据平安平安管理机构平安管理制度人员平安管理系统建立管理系统运维管理.目录.根本要求的主要内容由9个章节2个附录构成1.适用范围2.规范性援用文件3术语和定义4.等级维护概述5. 根本要求附录A 关于信息系统整体平安维护才干的要求附录B 根本平安要求的选择和运用.根本要求的组织方式某级系统类技术要求管理要求根本要求类控制点详细要求控制点详细要求.根本要求举例技术要求 网络平安类 访问控制(G2) 控制点本项要求包括: 详细要求a) 应在网络边境部署访问控制设备,启用访问控制功能; b) 应能根据会话形状信息为数据流提供明确的允许/回绝访问的才干,控制粒度为网段级。

13、c) 应按用户和系统之间的允许访问规那么,决议允许或回绝用户对受控系统进展资源访问,控制粒度为单个用户; d) 应限制具有拨号访问权限的用户数量。.根本要求举例技术要求 网络平安类 访问控制(G3)本项要求包括:a) 应在网络边境部署访问控制设备,启用访问控制功能; b) 应能根据会话形状信息为数据流提供明确的允许/回绝访问的才干,控制粒度为端口级;c) 应对进出网络的信息内容进展过滤,实现对运用层 、FTP、TELNET、SMTP、POP3等协议命令级的控制; d) 应在会话处于非活泼一定时间或会话终了后终止网络衔接; e) 应限制网络最大流量数及网络衔接数; f) 重要网段应采取技术手段防

14、止地址欺骗; g) 应按用户和系统之间的允许访问规那么,决议允许或回绝用户对受控系统进展资源访问,控制粒度为单个用户; h) 应限制具有拨号访问权限的用户数量。.根本要求标注方式根本要求技术要求管理要求要求标注业务信息平安类要求标志为S类系统效力保证类要求标志为A类通用平安维护类要求标志为G类 .三类要求之间的关系通用平安维护类要求G业务信息平安类S系统效力保证类A平安要求.根本要求的选择和运用一个3级系统,定级结果为S3A2，维护类型应该是S3A2G3第1步:选择规范中3级根本要求的技术要求和管理要求;第2步:要求中标注为S类和G类的不变;标注为A类的要求可以选用2级根本要求中的A类作为根本

15、要求;.平安维护和系统定级的关系安全等级信息系统保护要求的组合第一级S1A1G1第二级S1A2G2，S2A2G2，S2A1G2第三级S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四级S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4定级指南要求按照“业务信息和“系统效力的需求确定整个系统的平安维护等级定级过程反映了信息系统的维护要求.电力控制(A):一级:计算机系统供电应与其他供电分开;应设置稳压器和过电压防护设备 。二级:应提供短期的备用电力供应(如:UPS设备)。三级:应具备冗余或并行的电力电缆线路;备用供电系统(如备用

16、发电机) 。四级:与三级要求一样。.电磁防护(S)一级:无此要求。二级:要求具有根本的电磁防护才干,如电源线和通讯线缆应隔离铺设等。三级:除二级要求外,加强了防护才干,要求可以做到关键设备和磁介质的电磁屏蔽。四级:在三级要求的根底上,要求屏蔽范围扩展关键区.不同级别系统控制点的差别安全要求类层面一级二级三级四级技术要求物理安全7101010网络安全3677主机安全4679应用安全47911数据安全及备份恢复2333管理要求安全管理制度2333安全管理机构4555人员安全管理4555系统建设管理991111系统运维管理9121313合计/48667377级差/1874.不同级别系统要求项的差别安

17、全要求类层面一级二级三级四级技术要求物理安全9193233网络安全9183332主机安全6193236应用安全7193136数据安全及备份恢复24811管理要求安全管理制度371114安全管理机构492021人员安全管理7111618系统建设管理20284548系统运维管理18416270合计/85175290319级差/9011529.根本要求组织方式.根本要求-组织方式某级系统物理平安技术要求管理要求根本要求网络平安主机平安运用平安数据平安平安管理机构平安管理制度人员平安管理系统建立管理系统运维管理.技术要求-物理平安.技术要求-网络平安.技术要求-主机平安.技术要求-运用平安.技术要求-

18、数据平安.根本要求-组织方式某级系统物理平安技术要求管理要求根本要求网络平安主机平安运用平安数据平安平安管理机构平安管理制度人员平安管理系统建立管理系统运维管理.管理要求-平安管理机构岗位设置人员配备授权和审批沟通和协作审核和检查管理要求平安管理机构平安管理制度人员平安管理系统建立管理系统运维管理.根本要求-平安管理制度管理制度制定和发布评审和修订管理要求平安管理机构平安管理制度人员平安管理系统建立管理系统运维管理.根本要求-人员平安管理人员录用人员离岗人员考核平安认识教育和培训外部人员访问管理管理要求平安管理机构平安管理制度人员平安管理系统建立管理系统运维管理.根本要求-系统建立管理系统定级

19、等级测评平安方案设计产品采购和运用自行软件开发外包软件开发工程实施测实验收系统交付系统备案平安效力商选择管理要求平安管理机构平安管理制度人员平安管理系统建立管理系统运维管理.根本要求-系统运维管理环境管理资产管理介质管理设备管理监控管理和平安管理中心网络平安管理系统平安管理恶意代码防备管理密码管理变卦管理备份与恢复管理平安事件处置应急预案管理管理要求平安管理机构平安管理制度人员平安管理系统建立管理系统运维管理.各级系统平安维护要求-物理平安物理平安主要涉及的方面包括环境平安防火、防水、防雷击等设备和介质的防盗窃防破坏等方面。详细包括：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、

20、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等十个控制点。.各级系统平安维护要求-物理平安控制点一级二级三级四级物理位置的选择G*物理访问控制G*防盗窃和防破坏G*防雷击G*防火G*防水和防潮G*防静电G*温湿度控制G*电力供应A*电磁防护S*合计7101010.各级系统平安维护要求-物理平安一级物理平安要求：主要要求对物理环境进展根本的防护，对出入进展根本控制，环境平安可以对自然要挟进展根本的防护，电力那么要求提供供电电压的正常。二级物理平安要求：对物理平安进展了进一步的防护，不仅对出入进展根本的控制，对进入后的活动也要进展控制；物理环境方面，那么加强了各方面的防护，采取更细的要求来多

21、方面进展防护。三级物理平安要求：对出入加强了控制，做到人、电子设备共同监控；物理环境方面，进一步采取各种控制措施来进展防护。如，防火要求，不仅要求自动消防系统，而且要求区域隔离防火，建筑资料防火等方面，将防火的范围增大，从而使火灾发生的几率和损失降低。四级物理平安要求：对机房出入的要求进一步加强，要求多道电子设备监控；物理环境方面，要求采用一定的防护设备进展防护，如静电消除安装等。 .各级系统平安维护要求-网络平安网络平安主要关注的方面包括：网络构造、网络边境以及网络设备本身平安等。详细的控制点包括：构造平安、访问控制、平安审计、边境完好性检查、入侵防备、恶意代码防备、网络设备防护等七个控制点

22、。.各级系统平安维护要求-网络平安控制点一级二级三级四级结构安全G*访问控制G*安全审计G*边界完整性检查S*入侵防范G*恶意代码防范G*网络设备防护G*合计3677.各级系统平安维护要求-网络平安一级网络平安要求：主要提供网络平安运转的根本保证，包括网络构造可以根本满足业务运转需求，网络边境处对进出的数据包头进展根本过滤等访问控制措施。二级网络平安要求：不仅要满足网络平安运转的根本保证，同时还要思索网络处置才干要满足业务极限时的需求。对网络边境的访问控制粒度进一步加强。同时，加强了网络边境的防护，添加了平安审计、边境完好性检查、入侵防备等控制点。对网络设备的防护不仅局限于简单的身份鉴别，同时

23、对标识和鉴别信息都有了相应的要求。三级网络平安要求：对网络处置才干添加了“优先级思索，保证重要主机可以在网络拥堵时仍可以正常运转；网络边境的访问控制扩展到运用层，网络边境的其他防护措施进一步加强，不仅可以被动的“防，还应可以自动发出一些动作，如报警、阻断等。网络设备的防护手段要求两种身份鉴别技术综合运用。四级网络平安要求：对网络边境的访问控制做出了更为严厉的要求，制止远程拨号访问，不允许数据带通用协议经过；边境的其他防护措施也加强了要求。网络平安审计着眼于全局，做到集中审计分析，以便得到更多的综合信息。网络设备的防护，在身份鉴别手段上除要求两种技术外，其中一种鉴别技术必需是不可伪造的，进一步加

24、强了对网络设备的防护。.各级系统平安维护要求-主机平安主机系统平安是包括效力器、终端/任务站等在内的计算机设备在操作系统及数据库系统层面的平安。终端/任务站是带外设的台式机与笔记本计算机，效力器那么包括运用程序、网络、web、文件与通讯等效力器。主机系统是构成信息系统的主要部分，其上承载着各种运用。因此，主机系统平安是维护信息系统平安的中坚力量。主机系统平安涉及的控制点包括：身份鉴别、平安标志、访问控制、可信途径、平安审计、剩余信息维护、入侵防备、恶意代码防备和资源控制等九个控制点。 .各级系统平安维护要求-主机平安控制点一级二级三级四级身份鉴别S*安全标记S*访问控制G*可信路径S*安全审计

25、G*剩余信息保护S*入侵防范G*恶意代码防范G*资源控制A*合计4679.各级系统平安维护要求-主机平安一级主机系统平安要求：对主机进展根本的防护，要求主机做到简单的身份鉴别，粗粒度的访问控制以及重要主机可以进展恶意代码防备。二级主机系统平安要求：在控制点上添加了平安审计和资源控制等。同时，对身份鉴别和访问控制都进一步加强，鉴别的标识、信息等都提出了详细的要求；访问控制的粒度进展了细化等，恶意代码添加了一致管理等。三级主机系统平安要求：在控制点上添加了剩余信息维护，即，访问控制添加了设置敏感标志等，力度变强。同样，身份鉴别的力度进一步加强，要求两种以上鉴别技术同时运用。平安审计已不满足于对平安

26、事件的记录，而要进展分析、生成报表。对恶意代码的防备综合思索网络上的防备措施，做到二者相互补充。对资源控制的添加了对效力器的监视和最小效力程度的监测和报警等。四级主机系统平安要求：在控制点上添加了平安标志和可信途径，其他控制点在强度上也分别加强，如，身份鉴别要求运用不可伪造的鉴别技术，访问控制要求部分按照强迫访问控制的力度实现，平安审计可以做到一致集中审计等。.各级系统平安维护要求-运用平安经过网络、主机系统的平安防护，最终运用平安成为信息系统整体防御的最后一道防线。在运用层面运转着信息系统的基于网络的运用以及特定业务运用。基于网络的运用是构成其他运用的根底，包括音讯发送、web阅读等，可以说

27、是根本的运用。业务运用采用根本运用的功能以满足特定业务的要求，如电子商务、电子政务等。由于各种根本运用最终是为业务运用效力的，因此对运用系统的平安维护最终就是如何维护系统的各种业务运用程序平安运转。运用平安主要涉及的平安控制点包括：身份鉴别、平安标志、访问控制、可信途径、平安审计、剩余信息维护、通讯完好性、通讯严密性、抗抵赖、软件容错、资源控制等十一个控制点。.各级系统平安维护要求-运用平安控制点一级二级三级四级身份鉴别S*安全标记S*访问控制S*可信路经S*安全审计G*剩余信息保护S*通信完整性S*通信保密性S*抗抵赖G*软件容错A*资源控制A*合计47911.各级系统平安维护要求-运用平安

28、一级运用平安要求：对运用进展根本的防护，要求做到简单的身份鉴别，粗粒度的访问控制以及数据有效性检验等根本防护。二级运用平安要求：在控制点上添加了平安审计、通讯严密性和资源控制等。同时，对身份鉴别和访问控制都进一步加强，鉴别的标识、信息等都提出了详细的要求。访问控制的粒度进展了细化，对通讯过程的完好性维护提出了特定的校验码技术。运用软件本身的平安要求进一步加强，软件容错才干加强。三级运用平安要求：在控制点上添加了剩余信息维护和抗抵赖等。同时，身份鉴别的力度进一步加强，要求组合鉴别技术，访问控制添加了敏感标志功能，平安审计已不满足于对平安事件的记录，而要进展分析等。对通讯过程的完好性维护提出了特定

29、的密码技术。运用软件本身的平安要求进一步加强，软件容错才干加强，添加了自动维护功能。四级运用平安要求：在控制点上添加了平安标志和可信途径等。部分控制点在强度上进一步加强，如，身份鉴别要求运用不可伪造的鉴别技术，平安审计可以做到一致平安战略提供集中审计接口等，软件应具有自动恢复的才干等。.各级系统平安维护要求-数据平安及备份恢复信息系统处置的各种数据用户数据、系统数据、业务数据等在维持系统正常运转上起着至关重要的作用。一旦数据遭到破坏走漏、修正、毁坏，都会在不同程度上呵斥影响，从而危害到系统的正常运转。由于信息系统的各个层面网络、主机、运用等都对各类数据进展传输、存储和处置等，因此，对数据的维护

30、需求物理环境、网络、数据库和操作系统、运用程序等提供支持。各个“关口把好了，数据本身再具有一些防御和修复手段，必然将对数据呵斥的损害降至最小。另外，数据备份也是防止数据被破坏后无法恢复的重要手段，而硬件备份等更是保证系统可用的重要内容，在高级别的信息系统中采用异地适时备份会有效的防治灾难发生时能够呵斥的系统危害。保证数据平安和备份恢复主要从：数据完好性、数据严密性、备份和恢复等三个控制点思索。.各级系统平安维护要求-数据平安及备份恢复控制点一级二级三级四级数据完整性S*数据保密性S*备份和恢复A*合计2333.各级系统平安维护要求-数据平安及备份恢复一级数据平安及备份恢复要求：对数据完好性用户

31、数据在传输过程提出要求，可以检测出数据完好性遭到破坏；同时可以对重要信息进展备份。二级数据及备份恢复平安要求：对数据完好性的要求加强，范围扩展，要求鉴别信息和重要业务数据在传输过程中都要保证其完好性。对数据严密性要务虚现鉴别信息存储严密性，数据备份加强，要求一定的硬件冗余。三级数据及备份恢复平安要求：对数据完好性的要求加强，范围扩展，添加了系统管理数据的传输完好性，不仅可以检测出数据遭到破坏，并能进展恢复。对数据严密性要求范围扩展到实现系统管理数据、鉴别信息和重要业务数据的传输和存储的严密性，数据的备份不仅要求本地完全数据备份，还要求异地备份和冗余网络拓扑。四级数据及备份恢复平安要求：为进一步

32、保证数据的完好性和严密性，提出运用专有的平安协议的要求。同时，备份方式添加了建立异地适时灾难备份中心，在灾难发生后系统可以自动切换和恢复。.各级系统平安维护要求-平安管理制度在信息平安中，最活泼的要素是人，对人的管理包括法律、法规与政策的约束、平安指南的协助、平安认识的提高、平安技艺的培训、人力资源管理措施以及企业文化的熏陶，这些功能的实现都是以完备的平安管理政策和制度为前提。这里所说的平安管理制度包括信息平安任务的总体方针、战略、规范各种平安管理活动的管理制度以及管理人员或操作人员日常操作的操作规程。平安管理制度主要包括：管理制度、制定和发布、评审和修订三个控制点。.各级系统平安维护要求-平

33、安管理制度控制点一级二级三级四级管理制度*制定和发布*评审和修订*合计2333.各级系统平安维护要求-平安管理制度一级平安管理制度要求：主要明确了制定日经常用的管理制度，并对管理制度的制定和发布提出根本要求。二级平安管理制度要求：在控制点上添加了评审和修订，管理制度添加了总体方针和平安战略，和对各类重要操作建立规程的要求，并且管理制度的制定和发布要求组织论证。三级平安管理制度要求：在二级要求的根底上，要求机构构成信息平安管理制度体系，对管理制度的制定要求和发布过程进一步严厉和规范。对平安制度的评审和修订要求指点小组的担任。四级平安管理制度要求：在三级要求的根底上，主要思索了对带有密级的管理制度

34、的管理和管理制度的日常维护等。.各级系统平安维护要求-平安管理机构平安管理，首先要建立一个健全、务虚、有效、一致指挥、一致步伐的完善的平安管理机构，明确机构成员的平安职责，这是信息平安管理得以实施、推行的根底。在单位的内部构造上必需建立一整套从单位最高管理层董事会到执行管理层以及业务运营层的管理构造来约束和保证各项平安管理措施的执行。其主要任务内容包括对机构内重要的信息平安任务进展授权和审批、内部相关业务部门和平安管理部门之间的沟通协调以及与机构外部各类单位的协作、定期对系统的平安措施落实情况进展检查，以发现问题进展改良。平安管理机构主要包括：岗位设置、人员配备、授权和审批、沟通和协作以及审核

35、和检查等五个控制点。.各级系统平安维护要求-平安管理机构控制点一级二级三级四级岗位设置*人员配备*授权和审批*沟通和合作*审核和检查*合计4555.各级系统平安维护要求-平安管理机构一级平安管理机构要求：主要要求对开展信息平安任务的根本任务岗位进展配备，对机构重要的平安活动进展审批，加强对外的沟通和协作。二级平安管理机构要求：在控制点上添加了审核和检查，同时，在一级根底上，明确要求设立平安主管等重要岗位；人员配备方面提出平安管理员不可兼任其它岗位原那么；沟通与协作的范围添加与机构内部及与其他部门的协作和沟通。三级平安管理机构要求：对于岗位设置，不仅要求设置信息平安的职能部门，而且机构上层应有一

36、定的指点小组全面担任机构的信息平安全局任务。授权审批方面加强了授权流程控制以及阶段性审查。沟通与协作方面加强了与外部组织的沟通和协作，并聘用平安顾问。同时对审核和检查任务进一步规范。四级平安管理机构要求：同三级要求。.各级系统平安维护要求-人员平安管理人，是信息平安中最关键的要素，同时也是信息平安中最薄弱的环节。很多重要的信息系统平安问题都涉及到用户、设计人员、实施人员以及管理人员。假设这些与人员有关的平安问题没有得到很好的处理，任何一个信息系统都不能够到达真正的平安。只需对人员进展了正确完善的管理，才有能够降低人为错误、盗窃、诈骗和误用设备的风险，从而减小了信息系统蒙受人员错误呵斥损失的概率

37、。对人员平安的管理，主要涉及两方面：对内部人员的平安管理和对外部人员的平安管理。详细包括：人员录用、人员离岗、人员考核、平安认识教育和培训和外部人员访问管理等五个控制点。.各级系统平安维护要求-人员平安管理控制点一级二级三级四级人员录用*人员离岗*人员考核*安全意识教育和培训*外部人员访问管理*合计4555.各级系统平安维护要求-人员平安管理一级人员平安管理要求：对人员在机构的任务周期即，录用、日常培训、离岗的活动提出根本的管理要求。同时，对外部人员访问要求得到授权和审批。二级人员平安管理要求：在控制点上添加了人员考核，对人员的录用和离岗要求进一步加强，过程性要求添加，平安教育培训更正规化，对

38、外部人员的访问活动约束其访问行为。三级人员平安管理要求：在二级要求的根底上，加强了对关键岗位人员的录用、离岗和考核要求，对人员的培训教育更具有针对性，外部人员访问要求更详细。四级人员平安管理要求：在三级要求的根底上，提出了严密要求和关键区域制止外部人员访问的要求。.各级系统平安维护要求-系统建立管理信息系统的平安管理贯穿系统的整个生命周期，系统建立管理主要关注的是生命周期中的前三个阶段即，初始、采购、实施中各项平安管理活动。系统建立管理分别从工程实施建立前、建立过程以及建立终了交付等三方面思索，详细包括：系统定级、平安方案设计、产品采购和运用、自行软件开发、外包软件开发、工程实施、测实验收、系

39、统交付、系统备案、等级测评和平安效力商选择等十一个控制点。.各级系统平安维护要求-系统建立管理控制点一级二级三级四级系统定级*安全方案设计*产品采购和使用*自行软件开发*外包软件开发*工程实施*测试验收*系统交付*系统备案*等级测评*安全服务商选择*合计991111.各级系统平安维护要求-系统建立管理一级系统建立管理要求：对系统建立整体过程所涉及的各项活动进展根本的规范，如，先定级，方案预备、平安产品按要求采购，软件开发自行、外包的根本平安，实施的根本管理，建立后的平安性验收、交付等都进展要求。二级系统建立管理要求：在控制点上添加了系统备案和平安测评，添加了某些活动的文档化要求，如软件开发管理制度，工程实施应有实施方案要求等。同时，对平安方案、验收报告等添加了审定要求，产品的采购添加了密码产品的采购要求等。三级系统建立管理要求：对建立过程的各项活动都要求进展制