2023信息安全技术互联网应用系统安全能力成熟度模型

信息安全技术互联网应用系统安全能力成熟度模型44目 次前 言 61范围 7规性用件 7术、义 7语定义 7互网用统Internetapplicationsystem 7互网用统全能Internetapplicationsystemsecuritycapability 7成度maturity 7成度型maturitymodel 7安过域securityprocessarea 7基实basepractices 8通实genericpractices 8核保对象coreprotectedobject 8缩语 8互网用统全力成度型构 8力熟模架构 8力素度 9能构成 9机建设 9制流程 9技工具 9人能力 9力熟等维度 9力设程度 10PA体系 10编规则 11关描述 11核保对安全 12信全 12PA01络构 12PA述 12级述 12PA02信输 12PA述 12级述 13PA03信证 13PA述 13级述 13络界全 14PA04全域分 14PA述 14级述 14PA05络界护 15PA述 15级述 15PA06程问全 15PA述 15级述 16算境全 16PA07份别 16PA述 16级述 16PA08问制 17PA述 17级述 17PA09全计 18PA述 18级述 18PA10侵御 19PA述 19级述 19据全 20PA11据集全 20PA述 20级述 20PA12据输全 21PA述 21级述 21PA13据储全 22PA述 22级述 22PA14据理全 23PA述 23级述 23PA15据换全 24PA述 24级述 24PA16据毁全 26PA述 26级述 26人息全 27PA17人息则 27PA述 27级述 27PA18户权 28PA述 28级述 28PA19人息共享 29PA述 29级述 29PA20人息权利 30PA述 30级述 30通安全 31全划架构 31PA21全略 31PA述 31级述 31PA22全构置 31PA述 31级述 31PA23全责分 32PA述 32级述 32PA24全发程 33PA述 33级述 33员理培训 34PA25员全理 34PA述 34级述 34PA26全育训 35PA述 35级述 35理环安全 36PA27理全护 36PA述 36级述 36PA28力应 36PA述 36级述 36PA29理灾 37PA述 37级述 37PA30境离 38PA述 38级述 38测警应响应 39PA31产知 39PA述 39级述 39PA32险测 40PA述 40级述 40PA33胁警 40PA述 40级述 40PA34急案 41PA述 41级述 41PA35急练 42PA述 42级述 42应安保障 43PA36品型 43PA述 43级述 43PA37应选择 43PA述 43级述 43PA38购付 44PA述 44级述 44PA39同议制 45PA述 45级述 45PA40代审计 46PA述 46级述 46PA41级全障 46PA述 46级述 46附 录 A资性）力熟等描与GP 48述 48力熟级1：基础设 48能成度级述 48A.2.2GP1.1机建设 48A.2.3GP1.2制流程 48A.2.4GP1.3技工具 48A.2.5GP1.4人能力 48力熟级2：规范护 48能成度级述 48A.3.2GP2.1机建设 48A.3.3GP2.2制流程 48A.3.4GP2.3技工具 48A.3.5GP2.4人能力 49力熟级3：集成控 49能成度级述 49A.4.2GP3.1机建设 49A.4.3GP3.2制流程 49A.4.4GP3.3技工具 49A.4.5GP3.4人能力 49力熟级4：综合同 49能成度级述 49A.5.2GP4.1机建设 49A.5.3GP4.2制流程 49A.5.4GP4.3技工具 49A.5.5GP4.4人能力 50力熟级5：智能化 50能成度级述 50A.6.2GP5.1机建设 50A.6.3GP5.2制流程 50A.6.4GP5.3技工具 50A.6.5GP5.4人能力 50附 录 B(料附）力熟模使法 51述 51力熟模使步骤 51附 录 C资性）熟等的估法 52述 52建验队 52定验划 52基情梳理 52确核范围 52确核具任与方案 52确还恢预案 53其工要求 53展场验 53成验论 53力熟等核验 53力熟等核报告写 53参考献 551010信息安全技术 互联网应用系统安全能力成熟度模型范围本标准给出了互联网应用系统安全能力成熟度模型，规定了核心保护对象安全和通用安全的成熟度等级要求，提出了能力成熟度等级核验方法。GB/T25069—2022信息安全技术术语GB/T22239—2019信息安全技术信息安全技术网络安全等级保护基本要求GB/T37988—2019信息安全技术信息安全技术数据安全能力成熟度模型GB/T41400—2022信息安全技术工业控制系统信息安全防护能力成熟度模型GB-T41391—2022信息安全技术移动互联网应用程序（App）收集个人信息基本要求GB/T35273—2017信息安全技术个人信息安全规范GB/T25069—2022中界定的以及下列术语和定义适用于本文件。互联应系统 Internetapplicationsystem在互联网运行的门户网站以及面向社会公众提供服务的网站或信息系统。互联应系安能力 Internetapplicationsystemsecuritycapability成熟度 maturity对一个组织的有条理的持续改进能力的度量，对实现特定过程的连续性、可持续性、有效性和可信度的度量。成熟模型 maturitymodelsecurityprocessarea实现同一安全目标的一系列数据安全相关活动、过程的集合。basepractices是实现某一安全目标的互联网应用系统安全相关的活动和过程，一个过程域由若干个基本实践组成。genericpractices在等级核验中用于确定任何安全过程域或基础实践的实施能力的评定准则。coreprotectedobject对互联网应用系统安全所适用的法律法规的遵循。缩略语下列缩略语适用于本标准：CMM：能力成熟度模型（CapabilityMaturityModel）IASS-CMM：互联网应用系统安全能力成熟度模型（InternetapplicationsystemsecurityCapabilityMaturityModel）BP：（BasePractice）GP：（GenericPractice）PA：（ProcessArea）CF：（CommonFeature）5543通信安全网络边界安全计算环境安全数据安全个人信息安全21能力成熟度等级图1互联网应用系统能力成熟度模型架构互联网应用系统安全能力成熟度模型的架构由以下三个维度构成。组织互联网应用系统安全能力要素包括机构建设、制度流程、技术工具和人员能力。组织互联网应用系统安全能力成熟度等级划分为五级，具体包括：1级是基础建设级，2级是规范防护级，3级是集成管控级，4级是综合协同级，5级是智能优化级。组织互联网应用系统安全能力建设过程包括核心保护对象安全和通用安全：个过程类；5对能力成熟度等级维和数据安全过程域维之间的映射关系，如图2所示。从承担互联网应用系统安全工作的组织应具备的机构建设能力角度，根据以下方面进行能力等级区分：从组织互联网应用系统安全制度流程的建设以及执行情况角度，根据以下方面进行能力等级区分：从组织承担互联网应用系统安全工作的人员应具备的能力角度，根据以下方面进行能力等级区分：互联网应用系统安全人员所具备的安全技能是否能够满足复合型能力要求(对互联网应用系统相关业组织互联网应用系统安全能力成熟度等级共分为5级，见图2。等级5：等级5：智能优化4：综合协同等级3：集成管控等级2：规范防护等级1：基础建设图2互联网应用系统安全能力成熟度等级5CFPAPA体系分为核心保护对象安全和通用安全两部分，共包含41个PA，见图3。数据安全PA11数据安全PA11PA01网络架构PA04安全区域划分PA07身份鉴别PA12PA02通信传输PA05网络边界防护PA08访问控制PA13PA03可信验证PA06远程访问安全PA09安全审计PA14PA10入侵防御PA15PA16PA17个人信息规则PA18用户授权PA21安全策略与规程PA22安全机构设置PA23安全职责划分PA24开发安全流程PA27物理安全防护PA28电力供应PA29物理防灾PA30环境分离PA21安全策略与规程PA22安全机构设置PA23安全职责划分PA24开发安全流程PA27物理安全防护PA28电力供应PA29物理防灾PA30环境分离PA31PA36产品选型PA37供应商选择PA38采购交付PA39合同协议控制PA40源代码审计PA41升级安全保障PA25PA26核心保护对象安全包括以下5个过程类：PA（PA01-PA03）PA（PA04-PA06）PA（PA07-PA10）5PA（PA25-PA26）PA（PA27-PA30）供应链安全保障的互联网应用系统安全PA编码规则如下：PA01,02PABPBP.XX.XXPABPBP01,02PABP平。能力成熟度等级与PA、BP、能力要素的关系如下：PA54BP；PA4PA，GB/T32919—2016提供的方法对某一等级能力要求进行裁剪。注：针对某一具体PA54能力成熟度等级的描述与GP，见附录A。能力成熟度模型使用方法，见附录B。能力成熟度等级核验流程，见附录C。PA01PA等级1（BP.01.01）等级2(BP.01.02)；（(BP.01.03)等级3该等级的安全能力描述如下：(BP.01.04)；组织对互联网应用系统核心网络设备和关键安全设备应采用双机热备方式进行冗余部署(BP.01.05)；(BP.01.06等级4该等级的安全能力描述如下：(BP.01.07等级5该等级的安全防护能力应不低于4级BP。PA02PA等级1该等级的安全能力描述如下：人员能力：BP.02.01)；BP.02.02等级2IPsecVPNSSLBP.02.03)；）BP.02.04等级3该等级的安全能力描述如下：(BP.02.05)；TLS技术采用校验码技术或数字签名技术，对传输数据的完整性进行验证和保护，确保数据传输过程从没有受到篡改(BP.02.06)。等级4该等级的安全能力描述如下：RadiusBP.02.07等级5该等级的安全能力描述如下：BP.02.08PA03PA等级1该等级的安全能力描述如下：(BP.03.01等级2该等级的安全能力描述如下：（(BP.03.02)；TPCM（TPCM）BP.03.03等级3该等级的安全能力描述如下：BP.03.04等级4该等级的安全能力描述如下：(BP.03.05)。等级5该等级的安全能力描述如下：技术工具：组织采用可信验证机制对应用程序的关键执行环节进行动态可信验证，保证通信设备的真实可信(BP.03.06)。PA04PA对互联网应用系统网络安全区域之间进行逻辑隔离安全防护，防止由于单点网络攻击造成全局网络问题。等级1该等级的安全能力描述如下：制度流程：组织仅根据特定需求或基于组织经验建立安全区域划分策略(BP.04.01)。等级2该等级的安全能力描述如下：BP.04.03等级3该等级的安全能力描述如下：技术工具：组织将具有相同功能和安全要求的控制设备划分到同一区域，区域之间执行管道通信，并对控制区域间管道中的通信内容进行统一管理(BP.04.04)。等级4该等级的安全防护能力应不低于3级BP。等级5该等级的安全能力描述如下：(BP.04.05PA05PA通过网络边界防护设备对互联网应用系统网络与办公网或互联网之间的边界进行安全防护，防止外部的安全风险引入互联网应用系统网络。等级1该等级的安全能力描述如下：BP.05.01)等级2组织在业务网和办公网边界部署安全防护设备，防止办公网的安全风险进入互联网应用系统网络(BP.05.02)；BP.05.03)；BP.05.04等级3该等级的安全能力描述如下：BP.05.05)；BP.05.07等级4该等级的安全能力描述如下：技术工具：组织部署相应技术措施，发现并阻断非授权内联和非法外联行为(BP.05.08)。等级5该等级的安全能力描述如下：技术工具：组织采用可信验证机制对接入到网络中的设备进行可信验证，保证接入网络的设备真实可信(BP.05.09)。PA06PA等级1该等级的安全能力描述如下：人员能力：组织仅根据特定需求或基于组织经验对互联网应用系统远程访问进行管理(BP.06.01)。等级2该等级的安全能力描述如下：TelnetRlogin等高风(BP.06.02)；BP.06.03)。(BP.06.04)；BP.06.05等级3VPNBP.06.06)；BP.06.07(BP.06.08)；BP.06.09)；（BP.06.10等级4该等级的安全能力描述如下：SDNBP.06.11等级5该等级的安全能力描述如下：技术工具：组织自建专用通信传输网络或租用专用通信线缆，以实现重要互联网应用系统远程访问的安全性(BP.06.12)。PA07PA基于组织的互联网应用系统网络安全需求和合规性要求建立身份认证机制，防止对互联网应用系统数据的未授权访问。等级1该等级的安全能力描述如下：BP.07.01等级2该等级的安全能力描述如下：(BP.07.02)；BP.07.03)；BP.07.04（）(BP.07.05)；组织对互联网应用系统进行远程管理，应采取必要措施防止鉴别信息在网络传输过程中被窃听(BP.07.06)。等级3该等级的安全能力描述如下：技术工具：BP.07.07)；(BP.07.08等级4该等级的安全能力描述如下：PKIBP.07.09等级5该等级的安全能力描述如下：技术工具：组织通过自建电子认证体系，建立全组织范围内的身份认证系统，实现多级别多因素的认证方式，以此构建重要互联网应用系统多层防御机制(BP.07.10)。PA08PA基于组织的互联网应用系统网络安全需求和合规性要求建立访问控制机制，防止对互联网应用系统越权或违规访问。等级1该等级的安全能力描述如下：机构建设：组织根据不同业务需求、岗位职责等，合理分类分配账户和权限，配置访问控制策略(BP.08.01)。等级2该等级的安全能力描述如下：(BP.08.02)；(BP08.3(BP.08.04)；(BP.08.05)；(BP.08.06BP.08.07)；BP.08.08)。等级3该等级的安全能力描述如下：技术工具：组织依据安全策略严格控制用户对有敏感标记重要信息资源的操作(BP.08.09)。等级4该等级的安全能力描述如下：技术工具：组织对访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级(BP.08.10)。等级5该等级的安全能力描述如下：(BP.08.11PA09PA等级1该等级的安全能力描述如下：BP.09.01等级2该等级的安全能力描述如下：(BP.09.02)；BP.09.03)；BP.09.05)。等级3该等级的安全能力描述如下：技术工具：BP.09.06)；BP.09.07等级4该等级的安全能力描述如下：(BP.09.08)。等级5该等级的安全能力描述如下：(BP.09.09PA10PA等级1该等级的安全能力描述如下：(BP.10.01等级2该等级的安全能力描述如下：(BP.10.02)；BP.10.03)；(BP.10.04)；BP.10.05)。技术工具：组织应设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制(BP.10.06)。等级3该等级的安全能力描述如下：技术工具：BP.10.07)；通过通信接口输入的数据格式或长度是否符合系统设定要求，防止用户输入畸形数据而导致系统出错(SQL(BP.10.08)等级4该等级的安全能力描述如下：技术工具：组织部署相应的技术措施对互联网应用系统定期进行漏洞扫描，发现漏洞并及时修补漏洞(BP.10.09)。等级5该等级的安全能力描述如下：PA11PA等级1该等级的安全能力描述如下：等级2该等级的安全能力描述如下：(BP.11.02(BP.11.03)；(BP.11.04)等级3该等级的安全能力描述如下：BP.11.05BP.11.06)；(BP.11.07)；组织应明确数据采集范围、数量和频度，确保不收集与提供服务无关的个人信息和重要数据(BP.11.08)；(BP.11.09)；(BP.11.10)；BP.11.11c）(BP.11.12)；(BP.11.13BP.11.14)。等级4该等级的数据安全能力要求描述如下:BP.11.15)；BP.11.16)；(BP.11.17等级5该等级的数据安全能力要求描述如下:(BP.11.18)；PA12PA等级1该等级的数据安全能力描述如下：BP.12.01等级2该等级的安全能力描述如下：BP.12.02)；(BP.12.03)(BP.12.04)；组织应对传输数据加密的技术方案和工具，包括针对关键的数据传输通道的加密方案（如采用TLS/SSL方式），及对传输数据内容进行加密(BP.12.05)。等级3该等级的安全能力描述如下：(BP.12.06)（）(BP.12.07)；BP.12.08c）BP.12.09)；组织应部署对通道安全配置、密码算法配置、密钥管理等保护措施进行审核及监控的技术工具(BP.12.10)。的业务选择合适的数据传输安全管理方式(BP.12.11)；组织负责该项工作的人员应熟悉数据加密的算法，并能够基于业务选择合适的加密技术(BP.12.12)。等级4该等级的安全能力描述如下：(BP.12.13组织对每个传输链路上的节点都应部署了独立密钥对和数字证书，以保证各节点有效的身份鉴别(BP.12.14)；(BP.12.15)；BP.12.16)。等级5该等级的安全能力描述如下：BP.12.17)PA13PA等级1该等级的安全能力描述如下：BP.13.01)等级2该等级的安全能力描述如下：组织建设：组织应由业务团队相关人员根据实际业务需求负责执行数据存储相关的安全管理工作(BP.13.02)。\\BP.13.03BP.13.04BP.13.05等级3该等级的安全能力描述如下：(BP.13.06)；BP.13.07)；(BP.13.08BP.13.09BP.13.10)。等级4该等级的安全能力描述如下：BP.13.11组织应建立管理数据存储系统安全配置的技术工具，实现对安全配置情况的统一管理和控制(BP.13.12)；(BP.13.13)a) (BP.13.14等级5该等级的安全能力描述如下：技术工具：(BP.13.15)；BP.13.16PA14PA等级1该等级的安全防护能力描述如下：(BP.14.01等级2该等级的安全能力描述如下：BP.14.02)；BP.14.03)；组织应对涉及数据处理需求进行人工审核，针对具体的数据处理场景制定相应的隐私保护方案(BP.14.04)。技术工具：组织在数据信息的处理过程中，应采用多种技术手段以降低数据分析过程中隐私泄露风险(BP.14.05)。等级3该等级的安全能力描述如下：BP.14.06)。(BP.14.07)；(BP.14.08)；(BP.14.09)；(BP.14.10)KBP.14.11)；组织应记录并保存数据处理与分析过程中对个人信息、重要数据等敏感数据的操作行为(BP.14.12)；组织应提供组织统一的数据处理和分析系统，并能够呈现数据处理前后数据间的映射关系(BP.14.13)。BP.14.14等级4该等级的安全能力描述如下：技术工具:BP.14.15)；进(BP.14.16)。等级5该等级的安全能力描述如下：技术工具：组织应基于机器学习的敏感数据自动识别、数据分析算法安全涉及等数据分析安全能力(BP.14.17)。PA15PA等级1该等级的安全防护能力描述如下：BP.15.01等级2该等级的安全能力描述如下：(BP.15.02)(BP.15.03(BP.15.04BP.15.05等级3该等级的安全能力描述如下：(BP.15.06)；BP.15.07)；BP.15.08)；组织使用外部的软件开发包/组件/求(BP.15.09)。BP.15.10)；(BP.15.11)；(BP.15.12BP.15.13等级4该等级的安全能力描述如下：(BP.15.14BP.15.15)；BP.15.16)；(BP.15.17)(BP.15.18)；组织应具备数据接口访问的审计能力，并能为数据安全审计提供可配置的数据服务接口(BP.15.19)；(BP.15.20(BP.15.21等级5该等级的安全能力描述如下：BP.15.22PA16PA等级1该等级的安全防护能力描述如下：(BP.16.01等级2该等级的安全能力描述如下：(BP.16.02(BP.16.03(BP.16.04)(BP.16.05)等级3该等级的安全能力描述如下：BP.16.06(BP.16.07)；BP.16.08)；(BP.16.09BP.16.10)；BP.16.11(BP.16.12)等级4该等级的安全能力描述如下：制度流程：组织应明确数据销毁效果评估机制，定期对数据销毁效果进行抽样认定和销毁记录检查(BP.16.13)；(BP.16.14)；(BP.16.15)；(BP.16.16等级5(BP.16.17PA17PA等级1该等级的安全能力描述如下：(BP.17.01)。等级2该等级的安全能力描述如下：(BP.17.02)BP.17.03)；BP.17.05等级3该等级的安全能力描述如下：(BP.17.06(BP.17.07)；(BP.17.08)；BP.17.09)；BP.17.10)；(BP.17.11)；BP.17.12BP.17.13)；组织应采用相关技术手段方式个人信息泄露，存在中高危安全漏洞导致个人信息泄露风险(BP.17.14)。(BP.17.15)等级4该等级的安全能力描述如下：(BP.17.16BP.17.17)；(BP.17.18等级5该等级的安全能力描述如下：BP.17.19BP.17.20)；BP.17.21(BP.17.22PA18PA对互联网应用系统个人信息的收集、使用、共享时提出征得用户授权要求，需要告知用户并征得用户同意。等级1该等级的安全能力描述如下：制度流程：组织支持特定需求场景下的个人信息的收集授权流程，仅根据个人经验进行用户授权控制(BP.18.01)。等级2该等级的安全能力描述如下：BP.18.02)；等级3该等级的安全能力描述如下：BP.18.05)。(BP.18.06)；(BP.18.07(BP.18.08人员能力：组织对系统研发人员进行专项培训，对业界开发同意授权的方式、方法、路径等进行培训(BP.18.09)。等级4该等级的安全能力描述如下：BP.18.10(BP.18.11)；BP.18.12等级5该等级的安全能力描述如下：制度流程：组织应建立可追溯的用户授权记录，包括授权内容、操作功能等(BP.18.13)。PA19PA对互联网应用系统委托、共享、转让和公开披露提出具体要求，建立现安全机制保障个人信息安全。等级1该等级的安全能力描述如下：等级2该等级的安全能力描述如下：BP.19.02)。BP.19.03等级3该等级的安全能力描述如下：BP.19.04(BP.19.05)；(BP.19.06)；BP.19.07)；BP.19.08组织应采取措施确保个人信息在委托、共享、转让和公开披露的安全合规，如数据加密、脱敏等(BP.19.09)；(BP.19.10)(BP.19.11)等级4该等级的安全能力描述如下：BP.19.12)；BP.19.13)。(BP.19.14)等级5该等级的安全能力描述如下：(BP.19.15a) BP.19.16PA20PA等级1该等级的安全能力描述如下：等级2该等级的安全能力描述如下：(BP.20.02)BP.20.03等级3该等级的安全能力描述如下：BP.20.04BP.20.05)；BP.20.06组织对个人主体权利功能进行功能校验，特别是注销、删除等操作，结合后台数据进行校验(BP.20.07)；组织应建立可靠个人信息删除、销毁技术和方法，确保以不可逆的方式进行销毁，避免数据恢复(BP.20.08)。(BP.20.09)等级4该等级的安全能力描述如下：(BP.20.10)(BP.20.11等级5该等级的安全能力描述如下：BP.20.12技术工具：组织应参与国际、国家或者行标相关标准定制，在业界风险最佳事件，成为行业标杆(BP.20.13)。PA21PA建立组织互联网应用系统安全策略规划，内容覆盖互联网应用系统各层次的安全风险。等级1该等级的安全能力描述如下：人员能力：组织仅根据特定需求或基于组织经验制定或发布安全策略(BP.21.01)。等级2(BP.21.02)；BP.21.03)；BP.21.04等级3该等级的安全能力描述如下：制度流程：按组织定义的时间间隔，对安全规划的策略及规程进行评审和更新(BP.21.05)。等级4(BP.21.06)；BP.21.07)。等级5该等级的安全防护能力应不低于4级BP。PA22PA建立组织内部负责互联网应用系统安全防护工作的职能部门，保障安全防护工作有效执行。等级1该等级的安全能力描述如下：(BP.22.01等级2该等级的安全能力描述如下：BP.22.02)；BP.22.03等级3该等级的安全能力描述如下：机构建设：各相关部门在网络安全协调小组的指导下，按照管理机制，明确互联网应用系统安全管理责任人，落实互联网应用系统安全责任制，部署互联网应用系统安全防护措施(BP.22.04)。等级4(BP.22.05)；BP.22.06等级5该等级的安全能力描述如下：机构建设：组织联合产业链上下游，建立互联网应用系统安全防护联合工作机制(BP.22.07)。PA23PA设立组织内部负责互联网应用系统安全防护工作的岗位，明确安全职责划分。等级1该等级的安全能力描述如下：机构建设：组织仅根据特定需求或基于组织经验选定相关人员临时负责互联网应用系统安全相关工作(BP.23.01)。等级2(BP.23.02)；BP.23.03等级3(BP.23.04)；BP.23.057.1.3.2.4 7.1.3.2.4 等级43434该等级的安全防护能力应不低于3级BP。7.1.3.2.5 等级5该等级的安全防护能力应不低于4级BP。PA24PA设立组织内部负责互联网应用系统开发安全流程管理工作的岗位，明确安全职责划分。等级1该等级的安全防护能力描述如下：机构建设：组织仅根据特定需求或基于组织经验选定相关人员临时负责互联网应用系统安全开发相关工作(BP.24.01)。等级2该等级的安全防护能力描述如下：BP.24.02(BP.24.03等级3该等级的安全防护能力描述如下：(BP.24.04)；BP.24.05)；(BP.24.06)；(BP.24.07BP.24.08)；(BP.24.09)；BP.24.10)；(BP.24.11)；(BP.24.12)；BP.24.13)；(BP.24.14)；BP.24.15 (BP.24.16)BP.24.17)；BP.24.18等级4该等级的安全防护能力描述如下：(BP.24.19)；BP.24.20)；BP.24.21)； 件安全检测、渗透测试、人工安全合规检查、数据安全检查、源代码仓库、私有组件仓库、制品仓库(BP.24.22等级5该等级的安全防护能力描述如下：对源代码进行管控，规范组件使用，私有组件入库审批，制品根据不同类型进行入库管理(BP.24.23)；BP.24.24 BP.24.25PA25PA对人力资源管理过程中各环节进行安全管理，防范人员管理过程中存在的系统安全风险。等级1该等级的安全能力描述如下：机构建设：组织仅根据特定需求或基于组织经验对系统运维人员的访问权限进行管理(BP.25.01)。等级2(BP.25.02)；(BP.25.03)；BP.25.04)；(BP.25.05)；BP.25.06)；BP.25.07)。等级3该等级的安全能力描述如下：制度流程：BP.25.08)；BP.25.09)；BP.25.10)；BP.25.11)。3636等级4该等级的安全能力描述如下：(BP.25.12等级5该等级的安全防护能力应不低于4级BP。PA26PA为互联网应用系统运维人员进行信息安全教育培训，使其能够履行与信息安全相关的职责。等级1该等级的安全能力描述如下：机构建设：组织仅根据特定需求或基于组织经验开展互联网应用系统安全相关教育培训(BP.26.01)。等级2(BP.26.02)；BP.26.03)；(BP.26.04)；(BP.26.05)；BP.26.06)；BP.26.07)。等级3BP.26.08)；BP.26.09)；(BP.26.10)等级4该等级的安全能力描述如下：(BP.26.11)；BP.26.12等级5该等级的安全能力描述如下：BP.26.13)；BP.26.14PA27PA保护互联网应用系统的外部运行环境，防止人员未经授权访问、损坏和干扰互联网应用系统资产。等级1该等级的安全能力描述如下：制度流程：组织基于互联网应用系统软硬件重要程度规划设立重点物理安全防护区域(BP.27.01)。等级2该等级的安全能力描述如下。(BP.27.02)；BP.27.03在指定出入口采用围墙、门禁、门卫等物理访问控制措施及视频监控、入侵报警等物理防护设备(BP.27.04)；1) (BP.27.05等级3该等级的安全能力描述如下。BP.27.06)；(BP.27.07控制对互联网应用系统的物理访问，这些控制应独立于对互联网应用系统设备的物理访问控制(BP.27.08)；组织将互联网应用系统网络设备放置在只能由授权人员访问的符合环境要求的安全区域中(BP.27.09)；对拥有可移动存储媒体驱动器的互联网应用系统设备采取物理加锁、驱动卸载或软件禁用等手段(BP.27.10)。等级4该等级的安全能力描述如下：技术工具：根据互联网应用系统的实际情况，将服务器放置在带锁的区域并采用认证保护机制(BP.27.11)。等级5该等级的安全能力描述如下：PA28PA为互联网应用系统配备应急电源，保障关键设备在断电情况下的持续运行。等级1该等级的安全能力描述如下：(BP.28.01等级2UPS(BP.28.02)；BP.28.03等级3(BP.28.04)；(BP.28.05)等级4该等级的安全能力描述如下：技术工具：组织为互联网应用系统提供长期的备用电力供应系统，该系统是独立运行而不依赖外部电源的(BP.28.06)。等级5该等级的安全能力描述如下：联网应用系统能够在主电源长期丧失的事故中，实现主备电源的智能切换，以维持其事故前的工作运行能力(BP.28.07)。PA29PA保护互联网应用系统的外部运行环境，避免受到外部物理环境因素影响。等级1该等级的安全能力描述如下。BP.29.01(BP.29.02)；(BP.29.03)；BP.29.04等级2BP.29.05)；BP.29.06)；BP.29.07)；(BP.29.08)；(BP.29.09等级3(BP.29.10)；(BP.29.11)；使用灭火设备或系统，该设备或系统为组织和紧急事件处理人员提供任何激活操作的自动通知(BP.29.12)。等级4BP.29.13)；(BP.29.14)等级5(BP.29.15)；BP.29.16PA30PA分离互联网应用系统的开发、测试和生产环境，避免开发、测试环境中的安全风险引入生产系统。等级1该等级的安全能力描述如下：制度流程：组织为开发和测试环境，维护一个基线配置(BP.30.01)。等级2BP.30.02)；BP.30.03等级3该等级的安全能力描述如下：技术工具：组织通过集中管控平台对开发、测试和生产环境进行集中统一管理(BP.30.04)。等级4该等级的安全能力描述如下：技术工具：组织对互联网应用系统分别提供独立的开发、测试和生产环境(BP.30.05)。等级5该等级的安全能力描述如下：BP.30.06)。PA31PA建立针对互联网应用系统资产的有效技术手段，全方位感知组织内部各厂区的设备资产(BP.31.01)。等级1该等级的安全能力描述如下：制度流程：组织仅根据特定需求或基于组织经验对互联网应用系统资产进行感知(BP.31.02)。等级2该等级的安全能力描述如下：(BP.31.03)；应用系统网络中的资产，覆盖组织关键资产，采集互联网应用系统安全运行状态，生成资产清单(BP.31.04)。等级3该等级的安全能力描述如下：技术工具：针对互联网应用系统，以自动化技术手段，识别互联网应用系统网络中重要互联网应用系统资产(BP.31.05)。等级4(BP.31.06)；BP.31.07等级5该等级的安全能力描述如下：技术工具：组织采用的资产感知技术，可识别组织中全部互联网应用系统专用协议，能够智能构建网络拓扑结构(BP.31.08)；BP.31.09PA32PA建立互联网应用系统安全风险监测机制，防范组织内部和外部的网络安全风险。等级1该等级的安全能力描述如下：制度流程：仅根据特定需求选择相关安全机构开展互联网应用系统安全风险监测服务(BP.32.01)。等级2BP.32.02)；在重要互联网应用系统网络中部署具备应用协议深度包检测功能的监测设备，审计违法操作(BP.32.03)。等级3(BP.32.04)；(BP.32.05等级4(BP.32.06)；BP.32.07等级5(BP.32.08)；(BP.32.09PA33PA建立互联网应用系统安全威胁预警机制，防范组织外部的网络安全威胁。等级1该等级的安全能力描述如下：制度流程：组织仅根据特定需求或基于组织经验建立威胁预警机制(BP.33.01)。等级2该等级的安全能力描述如下：(BP.33.02等级3该等级的安全能力描述如下：人员能力：及时将国家级与省级互联网应用系统安全风险预警平台发布的重大安全风险通知到具体业务负责人，在组织内部开展针对重大安全风险排查工作(BP.33.03)。等级4接入国家级或省级互联网应用系统安全相关监测预警平台，建立安全威胁报送与预警处置工作流程(BP.33.04)；(BP.33.05)；BP.33.06等级5该等级的安全防护能力应不低于4级BP。PA34PA等级1该等级的安全能力描述如下：机构建设：组织仅根据特定需求或基于组织经验制定互联网应用系统安全应急预案(BP.34.01)。等级2BP.34.03)；应急预案中包含：应急预案恢复计划、应急响应者的角色和职责、应急响应者人员清单及联系信息等(BP.34.04)。等级3BP.34.05)；制定应急预案培训计划，并向具有相应角色和职责的互联网应用系统用户提供应急培训(BP.34.06等级4该等级的安全能力描述如下。BP.34.07）(BP.34.08)；BP.34.09BP.34.10等级5BP.34.11)；BP.34.12)。PA35PA针对应急预案开展应急演练，保证应急预案的有效性，建立互联网应用系统安全事件处理能力。等级1该等级的安全能力描述如下：机构建设：组织仅根据特定需求或基于组织经验开展过至少一次互联网应用系统安全相关的应急演练(BP.35.01)。等级2BP.35.02)；(BP.35.03)；(BP.35.04等级3(BP.35.05)；(BP.35.06)等级4该等级的安全能力描述如下：(BP.35.07(BP.35.09等级5该等级的安全能力描述如下：BP.35.10)；BP.35.11PA36PA建立组织互联网应用系统产品选型机制，防范产品供应过程中的安全风险。等级1该等级的安全能力描述如下：人员能力：组织仅根据特定需求或基于组织经验考虑互联网应用系统安全进行产品选型工作(BP.36.01)。等级2BP.36.02)；(BP.36.03等级3该等级的安全能力描述如下：制度流程：组织在互联网应用系统选型上，基于利于维护等原则选择设备和供应商(BP.36.04)。等级4该等级的安全能力描述如下：BP.36.05等级5BP.36.06)；BP.36.07PA37PA建立组织互联网应用系统服务供应商选择机制，防范外部服务提供过程中的安全风险。等级1该等级的安全能力描述如下：人员能力：组织仅根据特定需求或基于组织经验考虑互联网应用系统安全进行供应商选择(BP.37.01)。等级2P.3.02全防护经验的企业或事业单位(BP.37.03)。等级3BP.37.04)；(BP.37.05等级4(BP.37.06)；BP.37.07)；组织强化采购渠道安全管理，从多个国家或地区获得互联网应用系统及设备，确保来源具有多样性(BP.37.08)。等级5该等级的安全防护能力应不低于4级BP。PA38PA建立组织的互联网应用系统供应链采购和交付策略，防范产品和服务交付过程中的安全风险。等级1该等级的安全能力描述如下：人员能力：组织仅根据特定需求或基于组织经验对供应商交付能力进行鉴别(BP.38.01)。等级2求(BP.38.02)；运行说明、与管理功能有关的配置和使用方面的注意事项、对用户安全责任和注意事项的说明等(BP.38.03)；BP.38.04)。等级3(BP.38.05)；BP.38.06)；BP.38.07)。等级4该等级的安全能力描述如下：机构建设：(BP.38.08)；BP.38.09)。等级5BP.38.10)；如RFID等、GPS定位、APP(BP.38.11)PA39PA建立互联网应用系统采购合同协议控制机制，明确安全条款，防范敏感信息泄露。等级1该等级的安全能力描述如下：人员能力：组织仅根据特定需求或基于组织经验对合同协议的安全保密条款进行控制(BP.39.01)。等级2组织与供应商签订产品和服务采购协议，并体现产品和服务安全保障、保密和验收准则等内容(BP.39.02)；(BP.39.03)等级3(BP.39.04)；BP.39.05等级4该等级的安全防护能力应不低于3级BP。等级5该等级的安全防护能力应不低于4级BP。PA40PA建立互联网应用系统软件源代码审计机制，防范开源代码等安全和合规风险。等级1该等级的安全能力描述如下：制度流程：不在互联网应用系统相关应用程序中使用开源、受限制的或无认证源代码源的可执行代码(BP.40.01)。等级2该等级的安全能力描述如下：制度流程：组织制定相关管理制度，明确规定在部署运行应用程序前，对其源代码进行安全性测试(BP.40.02)。等级3该等级的安全能力描述如下：技术工具：对于定制软件和应用程序的脆弱性进行分析，开展源代码评审、分析、漏洞挖掘等工作，包括但不限于SQL注入、文件操作（上传/写入/读取/删除）、文件包含、命令执行、XSS、Cookie欺骗、逻辑漏洞等