admin管理员组文章数量:1568351
证券期货行业等级保护二级要求梳理及部分解读
- 安全通用要求
- 1.安全物理环境
- 2.安全通信网络
- 3.安全区域边界
- 4.安全计算环境
- 5.安全管理中心
- 6.安全管理制度
- 7.安全管理机构
- 8.安全管理人员
- 9.安全建设管理
- 10.安全运维管理
- Excel文件下载
本文对 《JR∕T 0060-2021 证券期货业网络安全等级保护基本要求》以及 《JR-T 0067-2021 证券期货业网络安全等级保护测评要求》 中 第二级安全要求 中的 安全通用要求 进行了梳理(主要针对技术部分,制度部分有一点涉及。云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求这几项有时间再写),结合笔者的工作经验以企业视角和测评机构视角对该标准进行解读。相关从业者可对照进行自查,对照其中的内容在日常运维中留存需要的资料,对不满足要求的及时整改。
要求项中部分符合测评要求时风险值会降低,不同测评机构和测评师对风险值的判定有不同理解,请以实际测评为准。
高危风险项必须进行整改,中危和低危风险项根据企业实际情况进行整改,对于因为客观因素无法整改或短期内无法整改的,要采取其他措施加强安全管控与风险控制,以此降低风险。本文仅对部分操作系统的相关要求整改方法进行举例说明,网络设备和数据库以及应用相对应的整改方法请联系服务商或上网查询。
等保2.0要求分数达到70分且无高风险项以及无高危漏洞才能达到合格标准,即70分以上才是通过等保测评。
补充一点:部分测评机构将Windows Server 2008以及 Win 7操作系统判定为高危风险(因微软官方已停止支持),建议升级至Windows Server 2016(不推荐升级至Windows Server 2012,这个系统微软在2023年10月也停止了支持,而且这个操作系统漏洞太多)。
文末附梳理内容的Excel文件下载链接
不足之处欢迎纠正补充
以上两个标准文件的PDF下载链接如下:
中国证券监督管理委员会官网
http://www.csrc.gov/csrc/c101950/c4b253aaadc764923ae4396a6db190b91/content.shtml
百度网盘
链接:https://pan.baidu/s/1P3Ey6_ubUhptCb9xK8p2Og?pwd=0dm8
提取码:0dm8
夸克网盘
链接:https://pan.quark/s/19d453a885e0
梳理出来的内容如下:
安全通用要求
1.安全物理环境
| 控制项 | 要求 | 具体要求 | 测评检查方法及内容 | 测评检查对象 及检查方式 | 风险值 | 企业工作(需提供的材料、记录,需要的设备,以及需要采取的措施) |
| 物理位置选择 | a)机房场地应选择在具有防震、防风和防雨等能力的建筑内 | 1)应具有机房或机房所在建筑符合当地抗震要求的相关证明 2)机房外壁不应有对外的窗户。否则,应采用双层固定窗,并作密封、防水处理 | 1) 应核查所在建筑物是否具有建筑物抗震设防审批文档;应核查机房的设计、验收文档或相关证据,查看机房场地所在建筑的防震能力说明; 2) 应核查机房是否不存在雨水渗漏: (1) 应核查机房的设计、验收文档或相关证据,查看机房场地所在建筑的防风和防雨说明; (2) 应核查设计、验收文档是否与机房实际情况相符合; (3) 若机房外墙壁有对外的窗户,应核查是否采用了双层固定窗,并做了密封、防水处理; | 检查对象:机房、机房设备设施和记录类文档 检查方式:现场查看机房设施以及相关文档材料、与机房管理人员访谈 | 低危 | 提供抗震等级相关证明材料,如机房所在建筑的设计图纸/建筑设计说明/建筑验收等文档中的抗震等级、建筑抗震设防烈度说明 |
| b)机房场地不应设在建筑物的顶层或地下室,否则应加强防水和防潮措施;机房场地不应建设在建筑用水设备的隔壁或下层,否则应加强防水和防潮措施 | 应核查机房是否位于所在建筑物的顶层或地下室且未采取防水和防潮措施; | |||||
| 物理访问控制 | 机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员 | 1) 人员进出记录应至少保存 6 个月;机房出入口应有视频监控,监控记录应至少保存 6 个月; 2) 有门禁系统的应当采用监控设备将机房人员进出情况传输到值班点,对外来人员出入机房进行控制、鉴别和记录; 3) 没有门禁系统的机房,应当安排专人控制、鉴别和记录人员的进出。 | 1) 应核查是否安排专人值守或配置电子门禁系统: (1) 应核查是否人员进出记录是否保存 6 个月以上;应核查机房出入口视频监控记录是否保存 6 个月以上; (2) 配置电子门禁系统的应核查是否采用监控设备将机房人员进出情况传输到值班点,对外来人员出入机房进行控制、鉴别和记录; (3) 未配置电子门禁系统的应核查是否安排专人控制、鉴别和记录人员的进出; 2) 应核查相关记录是否能够控制、鉴别和记录进入的人员; (1) 应核查对外来人员出入机房是否有审批流程,记录带进带出的设备、进出时间、工作内容,记录应保存 6 个月以上; (2) 应访谈物理安全负责人,了解是否有专人陪同来访人员 | 低危 | 提供6个月内的人员进出以及设备进出记录文件和机房视频监控记录,测评时通常直接查看6个月前的相关记录 | |
| 防盗窃和防破坏 | a) 应将设备或主要部件进行固定,并设置明显的不易除去的标识: | 1) 主要设备应当安装、固定在机柜内或机架上; 2) 主要设备、机柜、机架应有明显且不易除去的标识,如粘贴标签或铭牌、电子标签; | 1) 应核查机房内设备或主要部件是否固定;应核查主要设备是否安装、固定在机柜内或机架上; 2) 应核查机房内设备或主要部件上是否设置了明显且不易除去的标识;应核查主要设备、机柜、机架是否有明显且不易除去的标识; | |||
| b) 应将通信线缆铺设在隐蔽安全处;通信线缆可铺设在管道或线槽、线架中; | 应核查机房内通信线缆是否铺设在隐蔽安全处,如桥架中等;应核查通信线缆是否铺设在管道或线槽、线架中; | 检查对象:机房通信线缆 检查方式:现场查看 | ||||
| 防雷击 | 应将各类机柜、设施和设备等通过接地系统安全接地; | 应核查机房内机柜、设施和设备等是否进行接地处理; | 检查对象:机房、机房设备设施和记录类文档 检查方式:现场查看机房设施以及相关文档材料、与机房管理人员访谈 | 检查接地线 | ||
| 防火 | a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;机房的火灾自动消防系统应向当地公安消防部门备案; | 1) 应核查机房内是否设置火灾自动消防系统;应核查机房的火灾自动报警系统向当地公安消防部门备案的相关材料; 2) 应核查火灾自动消防系统是否可以自动检测火情、自动报警并自动灭火; | 检查对象:机房防火设施; 检查方式:现场查看 | 低危 | 提供在公安消防部门备案的材料(火灾自动消防系统/火灾自动报警系统),该材料通常在建筑的相关材料中,在建筑投入使用时已经由当地公安消防支队出具相关材料, 例如:《建设工程竣工验收消防备案受理凭证》 | |
| b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; | 应核查机房验收文档是否明确相关建筑材料的耐火等级 | 检查对象:机房验收类文档等 检查方式:现场查看 | 中危 | 机房所在建筑的设计图纸/建筑设计说明/建筑验收等文档中的耐火等级说明,或机房验收文档 | ||
| 防水和防潮 | a) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; | 应核查窗户、屋顶和墙壁是否采取了防雨水渗透的措施; | 检查对象:机房、机房设备设施和记录类文档 检查方式:现场查看机房设施以及相关文档材料、与机房管理人员访谈 | |||
| b) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透 | 1) 应核查机房内是否采取了防止水蒸气结露的措施; 2) 应核查机房内是否采取了排泄地下积水,防止地下积水渗透的措施;应核查机房漏水隐患区域地面周围是否设排水沟或地漏; 3) 若机房内安装有空调机和加湿器,应核查是否设置了挡水和排水设施; 4) 若机房位于湿度较高的地区,应核查机房是否有除湿装置并能够正常运行,是否有防水防潮处理记录和除湿装置运行记录、定期检查和维护记录; | 1) 应核查机房内是否采取了防止水蒸气结露的措施; 2) 应核查机房内是否采取了排泄地下积水,防止地下积水渗透的措施; 3) 若机房内安装有空调机和加湿器,应核查是否设置了挡水和排水设施; 4) 若机房位于湿度较高的地区,应核查机房是否有除湿装置并能够正常运行,是否有防水防潮处理记录; | 查看机房中的空调和除湿设备,挡水和排水设施(地面加高、排水口等) | |||
| 防静电 | 应采用防静电地板或地面并采用必要的接地防静电措施; | 1) 应核查机房内是否安装了防静电地板或地面; 2) 应核查机房内是否采用了接地防静电措施 | ||||
| 温湿度控制 | 应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内 | 1) 冷通道或机柜进风区域的温度应控制在 18℃-27℃; 2) 冷通道或机柜进风区域的相对湿度应控制在 40%-60%; 3) 当机构自主确定的机房温湿度要求超过上述范围时,应提供合理的论证方案。 | 1) 应核查机房内是否配备了专用空调; 2) 应核查机房内温湿度是否在设备运行所允许的范围之内;冷通道或机柜进风区域的温度是否控制在 18℃-27℃,相对湿度是否控制在 40%-60%; 3) 应核查温湿度调节设施的运行记录; 4) 当机房温湿度要求超出测评指标的,是否可提供合理的论证方案; | 检查对象:机房温湿度调节设施; 检查方式:现场查看 | 中危 | 现场查看空调机温度和除湿器当前湿度,提供空调机和除湿设备的巡检维护记录材料 |
| 电力供应 | a) 应在机房供电线路上配置稳压器和过电压防护设备; | 应核查供电线路上是否配置了稳压器和过电压防护设备; | 检查对象:机房供电设施; 检查方式:现场查看 | 提供稳压器和过电压防护设备的检查和维护记录,备用供电系统运行记录、定期检查和维护记录材料 | ||
| b) 应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求: | 1) 应配备 UPS,在配有发电机等后备电源的情况下,UPS 供电能力能支持到后备电源开始供电; 2) 备用电力供应的实际供电能力应满足主要设备和环境控制设备在断电情况下正常运行至少 2 个小时; | 1) 应核查机房是否配备 UPS 等后备电源系统;若有租用发电机,应核查租用发电机的合同或相关证明材料; 2) 应核查 UPS 等后备电源系统是否满足设备在断电情况下的正常运行要求; (1) 在配有发电机的情况下,应核查 UPS 供电能力是否能支持到发电机开始供电且发电机储油能够支持发电机持续供电行至少 2 个小时; (2) 在没有发电机的情况下,应核查 UPS 供电能力是否能够满足主要设备和环境控制设备在断电情况下正常运行至少 2 个小时; | 检查对象:机房备用供电设施; 检查方式:现场查看,与管理人员访谈 | 中危 | ||
| 电磁防护 | a) 电源线和通信线缆应隔离铺设,避免互相干扰;电源线和通信线缆应铺设在不同的桥架或管道,避免互相干扰; | 应核查机房内电源线缆和通信线缆是否隔离铺设;应核查是否铺设在不同的桥架或者管道内; | 应核查机房内电源线缆和通信线缆是否隔离铺设;应核查是否铺设在不同的桥架或者管道内; | 检查对象:机房线缆; 检查方式:现场查看 |
2.安全通信网络
| 控制项 | 要求 | 具体要求 | 测评检查方法及内容 | 测评检查对象 及检查方式 | 风险值 | 企业工作(需提供的材料、记录,需要的设备,以及需要采取的措施) |
| 网络架构 | a) 应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址; | 1) 应核查是否依据重要性、部门等因素划分不同的网络区域; 2) 应核查相关网络设备配置信息,验证划分的网络区域是否与划分原则一致; | 检查对象:路由器、交换机、无线接入设备、防火墙等提供网络通信功能的设备或相关组件 检查方式:现场查看,与管理人员进行访谈 | 中危 | 依据重要性、部门等因素划分不同的网络区域,划分不同VLAN | |
| b) 重要网络区域不应部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。 | 1) 应核查网络拓扑图是否与实际网络运行环境一致; 2) 应核查重要网络区域是否未部署在网络边界处; 3) 应核查重要网络区域与其他网络区域之间是否采取可靠的技术隔离手段,如网闸、防火墙 和设备访问控制列表(ACL)等; | 检查对象:网络拓扑 检查方式:现场查看,与管理人员进行访谈 | ||||
| 通信传输 | a) 应采用校验技术或密码技术保证通信过程中数据的完整性; | 应核查是否在数据传输过程中使用校验技术来保护其完整性; | 检查对象:提供校验技术功能的设备或组件; | 中危 | 对重要数据采用经国家密码管理局认可的密码技术保证通信过程中数据的完整性 C/S架构的应用提供客户端与服务器端数据传输的加密校验算法,Web应用使用https协议 | |
| 可信验证 | 可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 | 应核查是否在数据传输过程中使用校验技术来保护其完整性; | 检查对象:提供可信验证的设备或组件、提供集中审计功能的系统; | 低危 |
3.安全区域边界
| 控制项 | 要求 | 具体要求 | 测评检查方法及内容 | 测评检查对象 及检查方式 | 风险值 | 企业工作(需提供的材料、记录,需要的设备,以及需要采取的措施) |
| 边界防护 | 跨越边界的访问和数据流应通过边界设备提供的受控接口进行通信; | 1) 应核查在网络边界处是否部署访问控制设备; 2) 应核查设备配置信息是否指定端口进行跨越边界的网络通信,指定端口是否配置并启用了安全策略; 3) 应采用其他技术手段(如非法无线网络设备定位、核查设备配置信息等)核查是否不存在其他未受控端口进行跨越边界的网络通信; | 检查对象:网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件 检查方式:上机检查,与管理人员进行访谈 | 高危 | ||
| 访问控制 | a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;访问控制策略控制粒度应为端口级; | 1) 应核查在网络边界或区域之间是否部署访问控制设备并启用访问控制策略,控制粒度是否为端口级; 2) 应核查设备的最后一条访问控制策略是否为禁止所有网络通信; | ||||
| b) 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化; | 1) 应核查是否不存在多余或无效的访问控制策略; 2) 应核查不同的访问控制策略之间的逻辑关系及前后排列顺序是否合理; 3) 应核查访问控制策略评审和优化的活动记录; | |||||
| c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出; | 应核查设备的访问控制策略中是否设定了源地址、目的地址、源端口、目的端口和协议等相关配置参数;应测试验证访问控制策略中设定的相关配置参数是否有效; | |||||
| d) 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力;仅允许在应急场景下,采取安全可控措施通过互联网对信息系统进行远程维护和管理,包括但不限于远程终端硬件信息绑定、双因素认证、终端运行环境安全检查等; | 1) 应核查是否采用会话认证等机制为进出数据流提供明确的允许/拒绝访问的能力; 2) 应核查通过互联网对信息系统进行远程维护和管理时是否采取安全可控措施,包括但不限于远程终端硬件信息绑定、双因素认证、终端运行环境安全检查等; | |||||
| 入侵防范 | 应在关键网络节点处监视网络攻击行为。 | 1) 应核查是否能够检测到以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等; 2) 应核查相关系统或设备的规则库版本是否已经更新到最新版本; 3) 应核查相关系统或设备配置信息或安全策略是否能够覆盖网络所有关键节点 | 高危 | 需要部署入侵检测系统(IDS) | ||
| 恶意代码防范 | 应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新; | 1) 应核查在关键网络节点处是否部署防恶意代码产品等技术措施; 2) 应核查防恶意代码产品运行是否正常,恶意代码库是否已经更新到最新 | 检查对象:防病毒网关和 UTM 等提供防恶意代码功能的系统或相关组件; 检查方式:上机查看 | 高危 | 在关键网络节点部署恶意代码防护设备,并及时对其恶意代码特征库进行升级 在关键网络节点处部署可对垃圾邮件进行检测和防护的机制,维护垃圾邮件防护机制的升级和更新。 部署IPS设备(使用带有IPS模块的防火墙设备也可满足要求)和IDS设备 | |
| 安全审计 | a) 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; | 1) 应核查是否部署了综合安全审计系统或类似功能的系统平台; 2) 应核查安全审计范围是否覆盖到每个用户; 3) 应核查是否对重要的用户行为和重要安全事件进行了审计; | 检查对象:综合安全审计系统等; 检查方式:上机查看 | 中危 | 关键网络节点的设备开启日志功能,将系统日志传输到日志服务器或审计系统中,在关键网络节点部署安全审计设备(如网络审计系统、态势感知系统、堡垒机),安全审计范围覆盖到每个用户并对重要的安全事件、用户行为等进行安全审计,特定重要行为的审计包括但不限于对各种违规的访问协议及其流量的审计、对访问敏感数据的人员行为或系统行为的审计等;网络安全事件审计包括但不限于网络入侵检测、网络入侵防御、防病毒产品等设备检测到的网络攻击行为、恶意代码传播行为的审计等。 | |
| b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; | 应核查审计记录信息是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; | 中危 | ||||
| c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;审计记录的留存时间应至少为 6 个月。 | 1) 应核查是否采取了技术措施对审计记录进行保护; 2) 应核查是否采取技术措施对审计记录进行定期备份,并核查其备份策略;应核查审计记录的留存时间是否至少为 6 个月; | 中危 | 配置日志服务器或部署日志审计系统实时收集重要网络安全设备的审计日志,日志在本机留存时间至少为6个月,在日志服务器/日志审计系统中的留存时间至少为6个月 | |||
| 可信验证 | 可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 | 1) 应核查是否基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证; 2) 应核查当检测到边界设备的可信性受到破坏后是否进行报警; 3) 应核查验证结果是否以审计记录的形式送至安全管理中心; | 检查对象:提供可信验证的设备或组件、提供集中审计功能的系统; | 低危 |
4.安全计算环境
| 控制项 | 要求 | 具体要求 | 测评检查方法及内容 | 测评检查对象 及检查方式 | 风险值 | 企业工作(需提供的材料、记录,需要的设备,以及需要采取的措施) |
| 身份鉴别 | a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换: | 1) 所有用户口令应符合以下条件:数字、大小写字母、符号混排,无规律的方式; 2) 管理员口令的长度应至少为 12 位,普通用户口令的长度应至少为 8 位; 3) 管理员口令应每季度至少更换 1 次,更新的口令应至少 5 次内不能重复;平台业务操作账户口令应每 6 个月至少更换 1 次,更新的口令应至少 5 次内不能重复; 4) 如果设备管理员口令长度不支持 12 位或其他复杂度要求,口令应使用所支持的最长长度并适当缩短更换周期,或使用动态口令卡等一次性口令认证方式; 5) 应为网络设备、安全设备、操作系统、数据库的不同用户分配不同的用户名; 6) 系统自动生成的口令,系统应强制用户首次登录时修改初始口令; 7) 系统自动生成的口令,应具有随机性; | 1) 应核查用户在登录时是否采用了身份鉴别措施; 2) 应核查用户列表确认用户身份标识是否具有唯一性;应核查是否为网络设备、安全设备、操作系统、数据库的不同用户分配不同的用户名; 3) 应核查用户配置信息或测试验证是否不存在空口令用户; 4) 应核查用户鉴别信息是否具有复杂度要求并定期更换; (1) 核查所有用户口令是否符合以下条件:数字、大小写字母、符号混排,无规律的方式; (2) 核查管理员口令的长度是否至少为 12 位,普通用户口令的长度是否至少为 8 位; (3) 核查管理员口令是否每季度至少更换 1 次,更新的口令是否至少 5 次内不能重复;平台业务操作账户口令是否每 6 个月至少更换 1 次,更新的口令是否至少 5 次内 不能重复; (4) 若设备管理员口令长度不支持 12 位或其他复杂度要求,核查口令是否使用所支持的最长长度并适当缩短更换周期;或使用动态口令卡等一次性口令认证方式,当 仅使用动态口令卡等一次性口令认证方式时,是否限制一次性口令有效时间、有效次数等; (5) 对于系统自动生成的口令,核查口令随机性和复杂度,核查系统是否强制用户首次登录时修改初始口令; | 检查对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等 简单理解就是:服务器、网络设备、安全设备、应用、数据库等(物理设备与虚拟设备全部包含),对于服务器和各类设备以及数据库进行上机检查,对于应用则是登录管理员账号或管理后台进行检查 | 高危 | 在相关设置中开启密码复杂度强制要求 Windows系统:本地安全策略→账户策略→密码策略→开启密码复杂性要求,设置密码长度最小值12个字符,密码最短使用期限1天,密码最长使用期限90天,强制密码历史5 Linux系统:编辑/etc/login.defs文件,修改为以下设置:PASS_MAX_DAYS 90 ,PASS_MIN_DAYS 1 ,PASS_MIN_LEN 12 ,PASS_WARN_AGE 7 如果应用中有相关设置,要求系统生成的初始密码具有随机性、首次登录强制修改初始密码 |
| b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施; | 1) 应核查是否配置并启用了登录失败处理功能; 2) 应核查是否配置并启用了限制非法登录功能,非法登录达到一定次数后采取特定动作,如账户锁定等; 3) 应核查是否配置并启用了登录连接超时及自动退出功能; | 高危 | 通常要求登录失败一定次数(例如3-5次)后锁定IP或锁定账号一定时间(例如10-30分钟),一定时间(例如10-30分钟)没有操作后自动退出登录 Windows:本地组策略→计算机配置→管理模板→windows组件→远程桌面服务→远程桌面会话主机→会话时间限制中设置:超时时间设置为10-30分钟。 Linux:修改文件/etc/pam.d/system-auth和/etc/pam.d/sshd,添加以下内容:auth required pam_tally2.so onerr=fail deny=5 unlock_time=300 even_d 数据库及网络设备修改方法请联系服务商或在网上寻找解决方法,安全设备及应用根据实际情况进行设置 | |||
| c) 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。 | 应核查是否采用加密等安全方式对系统进行远程管理,防止鉴别信息在网络传输过程中被窃听; | 高危 | 要求使用SSH协议对网络设备与Linux系统进行远程连接;使用加密的DRP协议对Windows系统进行远程连接;Web应用要求使用https协议;C/S架构的软件需提供数据传输加密方式(使用的加密算法),代码层对密码进行加密,连接数据库开启SSL,应用于服务器之间数据传输进行加密;数据库开启SSL加密 | |||
| 访问控制 | a) 应对登录的用户分配账户和权限; | 1) 应核查是否为用户分配了账户和权限及相关设置情况; 2) 应核查是否已禁用或限制匿名、默认账户的访问权限 | 中危 | 提供系统当前的用户列表 禁用或限制匿名、默认账户的权限 | ||
| b) 应重命名或删除默认账户,修改默认账户的默认口令;无法重命名的特殊默认账户,应增加限制默认账户访问地址、访问时间等补偿性控制措施; | 1) 应核查是否已经重命名默认账户或默认账户已被删除;无法重命名的特殊默认账户,应核查是否增加限制默认账户访问地址、访问时间等补偿性控制措施; 2) 应核查是否已修改默认账户的默认口令; | 中危 | Windows系统中禁用guest账户 Linux系统禁用shutdown、halt、mail、uucp、operator、games、gopher、ftp等默认的、无用的账户 其他系统/设备禁用或限制默认账户的权限 重命名默认账户,修改默认口令 | |||
| c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在; | 1) 应核查是否不存在多余或过期账户,管理员用户与账户之间是否一一对应; 2) 应测试验证多余的、过期的账户是否被删除或停用; | 中危 | 检查有无多余或过期账户,有则删除或禁用 | |||
| d) 应授予管理用户所需的最小权限,实现管理用户的权限分离; | 1) 应核查是否进行角色划分; 2) 应核查管理用户的权限是否已进行分离; 3) 应核查管理用户权限是否为其工作任务所需的最小权限; | 中危 | 添加三权账户 系统管理员(sysadmin):主要负责系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。 审计管理员(audit):主要负责对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。 安全管理员(secadmin):主要对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。 管理员不能审计,审计员不能管理,安全员不能审计和管理, 系统管理员、安全管理员、审计管理员没有操作业务的权限 | |||
| 安全审计 | a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计: | 1) 如审计功能开启影响系统运行安全和效率,应采用第三方安全审计产品实现审计要求; 2) 用户行为应至少包括用户登录、用户退出、超时锁定、用户冻结和解冻、增删用户、权限变更、口令修改或重置等操作; | 1) 应核查是否开启了安全审计功能;如审计功能开启影响系统运行安全和效率,核查是否采用第三方安全审计产品实现审计要求; 2) 应核查安全审计范围是否覆盖到每个用户; 3) 应核查是否对重要的用户行为和重要安全事件进行审计;应核查用户行为的类型是否覆盖用户登录、用户退出、超时锁定、用户冻结和解冻、增删用户、权限变更、口令修改或重 置等操作; | 高危 | 要求应用/设备/服务器开启审计功能(即日志记录功能) 日志中需包含用户登录、退出、超时锁定、用户冻结和解冻、增删用户等事件记录 Windows:本地安全策略→本地策略→审核策略,开启所有策略,勾选成功、失败选项框 Linux:开启rsyslog、auditd服务 数据库及网络设备修改方法请联系服务商或在网上寻找解决方法,安全设备及应用根据实际情况进行设置 | |
| b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; | 应核查审计记录信息是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; | 中危 | 开启审计的相关功能,日志中包含事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息 | |||
| c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;审计记录的留存时间应至少为 6 个月。 | 1) 应核查是否采取了保护措施对审计记录进行保护; 2) 应核查是否采取技术措施对审计记录进行定期备份,并核查其备份策略;应核查审计记录的留存时间是否至少为 6 个月; | 高危 | 要求部署有日志审计系统或日志服务器用于对日志进行备份,应用/设备/服务器自身的日志保留6个月以上,日志审计系统或日志服务器自身的日志也要进行备份,没有日志外发功能但可以导出日志的,每月导出日志进行手动备份 | |||
| 入侵防范 | a) 应遵循最小安装,仅安装需要的组件和应用程序; | 1) 应核查是否遵循最小安装; 2) 应核查是否未安装非必要的组件和应用程序; | 检查对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备和控制设备等; 服务器、网络设备、安全设备(物理设备与虚拟设备全部包含),上机检查 | 未安装非必要的组件/软件/程序 | ||
| b) 应关闭不需要的系统服务、默认共享和高危端口; | 1) 应核查是否关闭了非必要的系统服务和默认共享; 2) 应核查是否不存在非必要的高危端口; | 高危 | 关闭非必要的服务、默认共享(Linux无共享问题)、高危端口(例如135、139、455等) | |||
| c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制; | 应核查配置文件或参数是否对终端接入范围进行限制; | 仅特定IP或MAC地址可以对服务器/设备进行连接或访问 通常通过防火墙以及服务器白名单策略限制关键设备/服务器仅允许部分主机以及运维部门进行可连接访问,建议设置仅通过堡垒机对关键设备/服务器进行运维 | ||||
| d) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求; | 1) 应核查系统设计文档的内容是否包括数据有效性检验功能的内容或模块; 2) 应测试验证是否对人机接口或通信接口输入的内容进行有效性检验; | 检查对象:业务应用系统、中间件和系统管理软件及系统设计文档等; | 输入异常的数据或不符合规范要求的数据能够检测出来并有报错提示 | |||
| e) 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞; | 1) 应通过漏洞扫描、渗透测试等方式核查是否不存在高风险漏洞; 2) 应核查是否在经过充分测试评估后及时修补漏洞; | 检查对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件等 简单理解就是:服务器、网络设备、安全设备、应用、数据库等(物理设备与虚拟设备全部包含)以及应用,测评机构对这些资产进行漏洞扫描,要求没有高危漏洞 | 高危 | 企业需提前进行漏洞扫描,推荐使用nessus扫描主机,使用AWVS扫描Web应用。扫描后及时修复高危漏洞,要求没有高危漏洞 保留安服公司提供的或企业自身进行的漏洞修补、漏洞评估、漏洞测试相关记录 | ||
| 恶意代码防范 | 应安装防恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库。 所有主机应安装防恶意代码软件,并定期进行升级和更新防恶意代码库,不支持的主机操作系统应采取有效措施进行防护,如设置进程白名单、安装HIDS等措施。 | 1) 应核查是否安装了防恶意代码软件或相应功能的软件;不支持安装防恶意代码软件的主机操作系统核查是否采取其他有效措施进行防护,如设置进程白名单、安装 HIDS 等措施; 2) 应核查是否定期进行升级和更新防恶意代码库; | 检查对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)和移动终端等 检查方式:上机查看 | 高危 | 部署网络恶意代码防护产品和主机防病毒软件,定期更新防病毒软件特征库 测评时查看杀毒软件版本及病毒库版本和病毒库/特征库更新时间 | |
| 可信验证 | 可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 | 1) 应核查是否基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证; 2) 应核查当检测到计算设备的可信性受到破坏后是否进行报警; 3) 应核查验证结果是否以审计记录的形式送至安全管理中心; | 检查对象:提供可信验证的设备或组件、提供集中审计功能的系统; | 低危 | ||
| 数据完整性 | 应采用校验技术保证重要数据在传输过程中的完整性。 | 应核查系统设计文档,重要管理数据、重要业务数据在传输过程中是否采用了校验技术或密码技术保证完整性; | 检查对象:业务应用系统、数据库管理系统、中间件、系统管理软件及系统设计文档、数据安全保护系统、终端和服务器等设备中的操作系统及网络设备和安全设备等 检查方式:上机检查,与管理员进行访谈 | 中危 | 要求使用SSH协议对网络设备与Linux系统进行远程管理;使用加密的DRP协议对Windows系统进行远程管理;Web应用要求使用https协议;C/S架构的客户端软件需提供数据传输加密方式(使用的加密算法);数据库开启加密 | |
| 数据备份恢复 | a) 应提供重要数据的本地数据备份与恢复功能;每天至少备份数据一次,备份介质应当在本地机房、同城及异地安全可靠存放,每季度至少对数据备份进行一次有效性验证; | 1) 应核查是否按照备份策略进行本地备份; 2) 应核查备份策略设置是否合理、配置是否正确; 3) 应核查备份结果是否与备份策略一致; 4) 应核查近期恢复测试记录是否能够进行正常的数据恢复 | 检查对象:配置数据和业务数据,主要针对网络设备、安全设备、服务器、数据库 检查方式:上机检查,与管理员进行访谈 | 低危 | 对服务器数据、数据库每天至少完全备份一次 对网络设备、安全设备、应用的配置文件进行定期备份(至少应每季度备份一次) 定期进行恢复测试并保留相关记录,确保备份文件有效 | |
| b) 应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地; | 应核查是否提供异地数据备份功能,并通过通信网络将重要配置数据、重要业务数据定时批量传送至备份场地; | 中危 | 将服务器、数据库、应用系统等关键数据定时传送至备用场地,实现数据异地备份。 | |||
| 剩余信息保护 | 鉴别信息所在的存储空间被释放或重新分配前应得到完全清除; | 应核查相关配置信息或系统设计文档,用户的鉴别信息所在的存储空间被释放或重新分配前是否得到完全清除 | 检查对象:终端和服务器等设备中的操作系统、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等; | 高危 | 采取技术措施保证系统重要信息资源存储空间在释放或再分配前完全清除。 ” Windows系统在本地安全策略中的本地策略→安全选项中启用以下项目“关机:清除虚拟内存页面文件”、“交互式登录:不显示最后的用户名” Linux系统修改配置文件/etc/profile,将HISTSIZE的值改为0 | |
| 个人信息保护 | a) 应仅采集和保存业务必需的用户个人信息; | 1) 应核查采集的用户个人信息是否是业务应用必需的; 2) 应核查是否制定了有关用户个人信息保护的管理制度和流程; | 检查对象:业务应用系统和数据库管理系统等; | |||
| b) 不应未授权访问和非法使用用户个人信息 | 1) 应核查是否采用技术措施限制对用户个人信息的访问和使用; 2) 应核查是否制定了有关用户个人信息保护的管理制度和流程; |
5.安全管理中心
| 控制项 | 要求 | 具体要求 | 测评检查方法及内容 | 测评检查对象 及检查方式 | 风险值 | 企业工作(需提供的材料、记录,需要的设备,以及需要采取的措施) |
| 系统管理 | a) 应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计; | 1) 应核查是否对系统管理员进行身份鉴别; 2) 应核查是否只允许系统管理员通过特定的命令或操作界面进行系统管理操作; 3) 应核查是否对系统管理的操作进行审计; | 检查对象:提供集中系统管理功能的系统; | 中危 | 采取技术措施对系统管理员在特定的命令或操作界面的所有管理操作进行统一审计。 例如通过堡垒机集中运维审计 | |
| b) 应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。 | 应核查是否通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等; | 中危 | ||||
| 审计管理 | a) 应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计; | 1) 应核查是否对审计管理员进行身份鉴别; 2) 应核查是否只允许审计管理员通过特定的命令或操作界面进行安全审计操作; 3) 应核查是否对审计管理员的操作进行审计 | 检查对象:综合安全审计系统、数据库审计系统等提供集中审计功能的系统; | 中危 | 采取技术措施对审计管理员在特定的命令或操作界面的所有管理操作进行统一审计。 需要部署堡垒机 | |
| b) 应通过审计管理员对审计记录应进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。 | 应核查是否通过审计管理员对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等; | 中危 | 建立安全管理中心使审计管理员可以对系统的审计记录进行统一分析和处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。 通常需要部署堡垒机,仅允许通过堡垒机对服务器/设备进行运维,以保留审计记录,实现对审计记录的分析和处理 |
6.安全管理制度
| 控制项 | 要求 | 具体要求 | 测评检查方法及内容 | 测评检查对象 及检查方式 | 风险值 | 企业工作(需提供的材料、记录,需要的设备,以及需要采取的措施) |
| 安全策略 | 应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。 | 应核查网络安全工作的总体方针和安全策略文件是否明确机构安全工作的总体目标、范围、原则和各类安全策略; | 检查对象:总体方针策略类文档; | |||
| 管理制度 | a) 应对安全管理活动中的各类管理内容建立安全管理制度; | 应核查各项安全管理制度是否覆盖物理、网络、主机系统、数据、应用、建设和运维等管理内容; | 检查对象:安全管理制度类文档; | |||
| b) 应对管理人员或操作人员执行的日常管理操作建立操作规程; | 应核查是否具有日常管理操作的操作规程,如系统维护手册和用户操作规程等; | 检查对象:操作规程类文档; | 中危 | 建立完整的操作规程,供管理人员或操作人员执行日常操作时参考。 | ||
| 制定和发布 | a) 应指定或授权专门的部门或人员负责安全管理制度的制定; | 应核查是否由专门的部门或人员负责制定安全管理制度 | 检查对象:部门/人员职责文件等; | |||
| b) 安全管理制度应通过正式、有效的方式发布,并进行版本控制。 | 1) 应核查制度制定和发布要求管理文档是否说明安全管理制度的制定和发布程序、格式要求及版本编号等相关内容; 2) 应核查安全管理制度的收发登记记录是否通过正式、有效的方式收发,如正式发文、领导签署和单位盖章等; | 检查对象:管理制度类文档和记录表单类文档; | 低危 | 安全管理制度通过正式、有效的方式发布,并进行版本控制。 | ||
| 评审和修订 | 应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。 | 1) 应访谈信息/网络安全主管是否定期对安全管理制度体系的合理性和适用性进行审定; 2) 应核查是否具有安全管理制度的审定或论证记录,若对制度做过修订,核查是否有修订版本的安全管理制度;应核查是否每年至少或在发生重大变更时对安全管理制度的合理性和 适用性进行审定,评审记录是否完整,对存在不足或需要改进的安全管理制度进行了修订; | 检查对象:信息/网络安全主管和记录表单类文档; | 低危 | 提供安全管理制度评审修订的记录。 |
7.安全管理机构
| 控制项 | 要求 | 具体要求 | 测评检查方法及内容 | 测评检查对象 及检查方式 | 风险值 | 企业工作(需提供的材料、记录,需要的设备,以及需要采取的措施) |
| 岗位设置 | a) 应设立网络安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责; | 1) 应访谈信息网络安全主管是否设立网络安全管理工作的职能部门; 2) 应核查部门职责文档是否明确网络安全管理工作的职能部门和各负责人职责; 3) 应核查岗位职责文档是否有岗位划分情况和岗位职责 | 检查对象:信息/网络安全主管和管理制度类文档; | 低危 | 设置信息技术部负责人 (安全主管)、信息安全管理岗(安全管理员)、业务系统管理岗(系统管理员)、审计管理员岗位。 | |
| b) 应设立系统管理员、审计管理员和安全管理员等岗位,并定义部门及各个工作岗位的职责。 | 1) 应访谈信息/网络安全主管是否进行了安全管理岗位的划分; 2) 应核查岗位职责文档是否明确了各部门及各岗位职责; | |||||
| 人员配备 | 应配备一定数量的系统管理员、审计管理员和安全管理员等。 | 1) 应访谈信息/网络安全主管是否配备了系统管理员、审计管理员和安全管理员; 2) 应核查人员配备文档是否有各岗位人员配备情况; | 检查对象:信息/网络安全主管和记录表单类文档; | |||
| 授权和审批 | a) 应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等;审批授权记录应留档备查; | 1) 应核查部门职责文档是否明确各部门审批事项;应核查部门相关内部审批记录,查看授权和审批过程; 2) 应核查岗位职责文档是否明确各岗位审批事项;应核查岗位相关内部审批记录,查看授权和审批过程; | 检查对象:管理制度类文档和记录表单类文档; | 低危 | 审批授权记录留档 | |
| b) 应针对系统变更、重要操作、物理访问和系统接入等事项执行审批过程。 | 应核查各类审批记录是否针对系统变更、重要操作、物理访问和系统接入等事项进 行审批; | 检查对象:记录表单类文档; | ||||
| 沟通和合作 | a) 应加强各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通,定期召开协调会议,共同协作处理网络安全问题; | 1) 应访谈信息/网络安全主管是否建立了各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通机制; 2) 应核查会议记录是否明确各类管理人员、组织内部机构和网络安全管理部门之间开展了合作与沟通; | 检查对象:信息/网络安全主管和记录表单类文档; | 低危 | 各类会议记录留档 | |
| b) 应加强与网络安全职能部门、各类供应商、业界专家及安全组织的合作与沟通; | 1) 应访谈信息/网络安全主管是否建立了与网络安全职能部门、各类供应商、业界专家及安全组织的合作与沟通机制; 2) 应核查会议记录是否明确了与网络安全职能部门、各类供应商、业界专家及安全组织是否开展了合作与沟通 | 检查对象:信息/网络安全主管和记录表单类文档; | 低危 | 与供应商、业界专家及安全组织的合作、沟通、会议记录留档 | ||
| c) 应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息 | 应核查外联单位联系列表是否记录了外联单位名称、合作内容、联系人和联系方式等信息; | 检查对象:记录表单类文档 | 低危 | 建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息。 | ||
| 审核和检查 | 应定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况;常规安全检 查应每季度至少开展一次。 | 1) 应访谈信息/网络安全主管是否定期进行了常规安全检查;应核查常规安全检查频率是否每季度至少开展一次; 2) 应核查常规安全核查记录是否包括了系统日常运行、系统漏洞和数据备份等情况; | 检查对象:信息/网络安全主管和记录表单类文档; |
8.安全管理人员
| 控制项 | 要求 | 具体要求 | 测评检查方法及内容 | 测评检查对象 及检查方式 | 风险值 | 企业工作(需提供的材料、记录,需要的设备,以及需要采取的措施) |
| 人员录用 | a) 应指定或授权专门的部门或人员负责人员录用; | 应访谈信息/网络安全主管是否由专门的部门或人员负责人员的录用工作; | 检查对象:信息/网络安全主管 | |||
| b) 应对被录用人员的身份、安全背景、专业资格或资质等进行审查。 | 1) 应核查人员安全管理文档是否说明录用人员应具备的条件(如学历、学位要求,技术人员应具备的专业技术水平,管理人员应具备的安全管理知识等); 2) 应核查是否具有人员录用时对录用人身份、安全背景、专业资格或资质等进行审查的相关文档或记录,是否记录审查内容和审查结果等; 3) 应核查人员录用时的技能考核文档或记录是否记录考核内容和考核结果等; | 检查对象:管理制度类文档和记录表单类文档; | 中危 | 涉及管理制度 规范人员录用过程,对被录用人的身份、背景、专业资格和资质等进行审查,对其所具有的技术技能进行考核。 | ||
| 人员离岗 | 应及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备; | 应核查是否具有离岗人员终止其访问权限、交还身份证件、软硬件设备等的登记记录; | 检查对象:记录表单类文档; | 保留离岗人员终止其访问权限、交还身份证件、软硬件设备等的对接、登记记录。 | ||
| 安全意识教育和培训 | 应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施; | 1) 应核查安全意识教育及岗位技能培训文档是否明确培训周期、培训方式、培训内容和考核方式等相关内容; 2) 应核查安全责任和惩戒措施管理文档或培训文档是否包含具体的安全责任和惩戒措施; | 检查对象:管理制度类文档; | 低危 | 涉及管理制度 对惩戒措施进行书面规定并告知相关人员,对违反违背安全策略和规定的人员进行惩戒。 | |
| 外部人员访问管理 | a) 应在外部人员物理访问受控区域前先提出书面申请,批准后由专人全程陪同,并登记备案; | 1) 应核查外部人员访问管理文档是否明确允许外部人员访问的范围、外部人员进入的条件、外部人员进入的访问控制措施等; 2) 应核查外部人员访问重要区域的书面申请文档是否具有批准人允许访问的批准签字等; 3) 应核查外部人员访问重要区域的登记记录是否记录了外部人员访问重要区域的进入时间、离开时间、访问区域及陪同人等; | 检查对象:管理制度类文档和记录表单类文档; | |||
| b) 应在外部人员接入受控网络访问系统前先提出书面申请,批准后由专人开设账户、分配权限,并登记备案; | 1) 应核查外部人员访问管理文档是否明确外部人员接入受控网络前的申请审批流程; 2) 应核查外部人员访问系统的书面申请文档是否明确外部人员的访问权限,是否具有允许访问的批准签字等; 3) 应核查外部人员访问系统的登记记录是否记录了外部人员访问的权限、时限、账户等 | 中危 | 外部人员接入受控网络前先提出书面申请,批准后由专人开设账户、分配权限,并登记备案。 | |||
| c) 外部人员离场后应及时清除其所有的访问权限; | 1) 应核查外部人员访问管理文档是否明确外部人员离开后及时清除其所有访问权限; 2) 应核查外部人员访问系统的登记记录是否记录了访问权限清除时间; | 低危 | 外部人员离场后及时清除其所有的访问权限,并登记备案。 |
9.安全建设管理
| 控制项 | 要求 | 具体要求 | 测评检查方法及内容 | 测评检查对象 及检查方式 | 风险值 | 企业工作(需提供的材料、记录,需要的设备,以及需要采取的措施) |
| 定级和备案 | a) 应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由; | 应核查定级文档是否明确保护对象的安全保护等级,是否说明定级的方法和理由; | 检查对象:记录表单类文档; | 需要定级报告 | ||
| b) 应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定 | 应核查定级结果的论证评审会议记录是否有相关部门和有关安全技术专家对定级结果的论证意见 | 检查对象:记录表单类文档; | 需要专家评审意见《定级评审意见表》 | |||
| c) 定级结果应经过相关部门的批准; | 应核查定级结果部门审批文档是否有上级主管部门或本单位相关部门的审批意见 | |||||
| d) 应将备案材料报主管部门和公安机关备案。 | 应核查是否具有公安机关出具的备案证明文档; | 需公安机关备案号 | ||||
| 安全方案设计 | a) 应根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施; | 应核查安全设计文档是否根据安全保护等级选择安全措施,是否根据安全需求调整安全措施; | 检查对象:安全规划设计类文档; | 中危 | 根据系统的安全保护等级选择基本安全措施,并依据风险分析的结果补充和调整安全措施。 | |
| b) 应根据保护对象的安全保护等级进行安全方案设计; | 应核查安全设计方案是否是根据安全保护等级进行设计规划; | 检查对象:安全规划设计类文档; | 中危 | 涉及管理制度 根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计,安全整体规划可包含总体目标、总体架构、安全建设任务(如安全基础设施建设、网络安全建设、系统平台和应用平台安全建设、数据系统安全建设、安全标准体系建设、人才培养体系建设、安全管理体系建设等)、近期或远期建设计划等内容,设计内容可安全详细设计方案、技术措施实现方案、管理措施实现方案等内容,且涵盖密码技术相关内容,并形成配套文件。 | ||
| c) 应组织相关部门和有关安全专家对安全整体规划及其配套文件的合理性和正确性进行论证和审定,经过批准后才能正式实施。 | 应核查安全方案的论证评审记录或文档是否有相关部门和有关安全技术专家的批准意见和论证意见; | 检查对象:记录表单类文档; | 中危 | 涉及管理制度 组织相关部门和有关安全技术专家对安全方案的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施。 | ||
| 产品采购和使用 | a) 网络安全产品采购和使用应符合国家主管部门的相关要求; | 应核查有关网络安全产品是否符合国家主管部门的相关要求,如网络安全产品获得了销售许可等; | 检查对象:记录表单类文档; | 中危 | 采购和使用符合国家密码主管部门的要求的密码产品。 SSH协议使用SSH v2,SSL协议使用高强度加密算法 | |
| b) 密码产品与服务的采购和使用应符合国家密码管理主管部门的要求; | 1) 应访谈建设负责人是否采用了密码产品及其相关服务; 2) 应核查密码产品与服务的采购和使用是否符合国家密码管理主管部门的要求; | 检查对象:建设负责人和记录表单类文档; | ||||
| 自行软件开发 | a) 应将开发环境与实际运行环境物理分开,测试数据和测试结果受到控制;开发测试环境如使用未脱敏数据,应采取与实际运行环境等同的安全措施;开发测试环境使用的数据以及测试结果不应导入到实际运行环境,影响生产运作;同一组件或子系统的开发人员和测试人员应分离; | 1) 应访谈建设负责人自主开发软件是否在独立的物理环境中完成编码和调试,与实际运行环境分开; (1) 应核查网络拓扑图和实际开发环境,查看开发环境和实际运行环境是否物理分开; (2) 开发测试环境如使用了未脱敏数据,应核查使用脱敏数据的安全措施是否与实际运行环境等同; (3) 应选取部分组件或子系统,对开发和测试人员分离情况进行核查; 2) 应核查测试数据和结果是否受控使用;应核查开发测试环境与实际运行环境之间的数据交换情况,不应出现测试数据或非正式结果导入到实际运行环境的情况; | 检查对象:建设负责人; | |||
| b) 应在软件开发过程中对安全性进行测试,在软件安装前对可能存在的恶意代码进行检测。 | 应核查是否具有软件安全测试报告和代码审计报告,明确软件存在的安全问题及可能存在的恶意代码; | 检查对象:记录表单类文档; | ||||
| 外包软件开发 | a) 应在软件交付前检测其中可能存在的恶意代码; | 应核查是否具有交付前的恶意代码检测报告; | 检查对象:记录表单类文档; | 中危 | 提供应用软件的源代码安全审计报告或产品安全审计报告等类似文档 | |
| b) 开发单位应提供软件设计文档和使用指南; | 应核查是否具有软件开发的相关文档,如需求分析说明书、软件设计说明书等,是否具有软件操作手册或使用指南; | 检查对象:操作规程类文档和记录表单类文档; | 低危 | 提供软件涉及的需求分析说明书、软件设计说明书等及使用手册 | ||
| 工程实施 | a) 应指定或授权专门的部门或人员负责工程实施过程的管理; | 应核查是否指定专门部门或人员对工程实施进行进度和质量控制; | 检查对象:记录表单类文档; | |||
| b) 应制定安全工程实施方案控制工程实施过程; | 应核查安全工程实施方案是否包括工程时间限制、进度控制和质量控制等方面内容,是否按照工程实施方面的管理制度进行各类控制、产生阶段性文档等; | 中危 | 补充提供工程实施方案,对项目实施过程、方法、项目进度及项目质量管理等内容进行明确,并根据实际情况对实施过程进行记录,达到控制的目的。 | |||
| 测试验收 | a) 应制订测试验收方案,并依据测试验收方案实施测试验收,形成测试验收报告; | 1) 应核查工程测试验收方案是否明确说明参与测试的部门、人员、测试验收内容、现场操作过程等内容; 2) 应核查测试验收报告是否有相关部门和人员对测试验收报告进行审定的意见; | 中危 | 制定详细的测试验收方案,并对测试结果进行详细的记录,形成测试验收报告,并保存记录。 | ||
| b) 应进行上线前的安全性测试,并出具安全测试报告,安全测试报告应包含密码应用安全性测试相关内容。 | 应核查是否具有上线前的安全测试报告;应核查报告是否包含密码应用安全性测试相关内容; | 中危 | 涉及管理制度 增加在系统验收阶段需委托第三方测试单位对系统进行安全性测试的相关规定,保证今后在系统建设验收阶段委托第三方进行安全测试,新系统在上线前进行安全性测试,保留安全测试报告(包含密码应用安全性测试相关内容)。 | |||
| 系统交付 | a) 应制定交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点; | 应核查交付清单是否说明交付的各类设备、软件、文档等; | 中危 | 制定详细的系统交付清单,根据交付清单对所交接的设备、软件和文档等进行清点。 | ||
| b) 应对负责运行维护的技术人员进行相应的技能培训; | 应核查系统交付技术培训记录是否包括培训内容、培训时间和参与人员等; | 中危 | 建立相关制度,系统交付时,对负责系统运行维护的技术人员进行相应的技能培训。保留培训记录相关材料 | |||
| c) 应提供建设过程文档和运行维护文档。 | 应核查交付文档是否包括建设过程文档和运行维护文档等,提交的文档是否符合管理规定的要求; | |||||
| 等级测评 | a) 应定期进行等级测评,发现不符合相应等级保护标准要求的及时整改; | 1) 应访谈运维负责人本次测评是否为首次,若非首次,是否根据以往测评结果进行相应的安全整改; 2) 应核查是否具有以往等级测评报告和安全整改方案; | 检查对象:运维负责人和记录表单类文档; | 首次测评不需要,再次测评需要提供以往的测评报告 | ||
| b) 应在发生重大变更或级别发生变化时进行等级测评; | 1) 应核查是否有过重大变更或级别发生过变化及是否进行相应的等级测评; 2) 应核查是否具有相应情况下的等级测评报告; | 首次测评不需要,再次测评需要提供以往的测评报告 | ||||
| c) 测评机构的选择应符合国家主管部门的相关要求。 | 应核查以往等级测评的测评单位是否具有等级测评机构资质; | 检查对象:等级测评报告和相关资质文件; | 首次测评不需要,再次测评需要提供以往的测评报告 | |||
| 服务供应商选择 | a) 服务供应商的选择应符合国家主管部门的相关要求; | 应访谈建设负责人选择的安全服务商是否符合国家主管部门的相关要求; | 检查对象:建设负责人; | |||
| b) 应与选定的服务供应商签订相关协议,明确整个服务供应链各方需履行的网络安全相关义务。 | 应核查与服务供应商签订的服务合同或安全责任书是否明确了后期的技术支持和服务承诺等内容; | 检查对象:记录表单类文档; |
10.安全运维管理
| 控制项 | 要求 | 具体要求 | 测评检查方法及内容 | 测评检查对象 及检查方式 | 风险值 | 企业工作(需提供的材料、记录,需要的设备,以及需要采取的措施) |
| 环境管理 | a) 应指定专门的部门或人员负责机房安全,对机房出入进行管理,定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理: | 1) 来访人员进入机房,应有审批流程,记录带进带出的设备、进出时间、工作内容,并有专 人陪同其在限定的范围内工作; 2) 应每季度对机房供配电、空调、UPS 等设施进行维护管理并保存相关维护记录; 3) 应每年对防盗报警、防雷、消防等装置进行检测维护并保存相关维护记录; | 1) 应访谈物理安全负责人是否指定部门和人员负责机房安全管理工作,对机房的出人进行管理、对基础设施(如空调、供配电设备、灭火设备等)进行定期维护; 2) 应核查部门或人员岗位职责文档是否明确机房安全的责任部门及人员; 3) 应核查机房的出人登记记录是否记录来访人员、来访时间、离开时间、携带物品等信息; 4) 应核查机房的基础设施的维护记录是否记录维护日期、维护人、维护设备、故障原因、维护结果等方面内容; (1) 核查维护记录,查验是否每季度对机房供配电、空调、UPS 等设备进行维护管理; (2) 核查维护记录,查验是否每年对防盗报警、防雷、消防等装置进行检测维护; | 检查对象:物理安全负责人和记录表单类文档; | ||
| b) 应对机房的安全管理做出规定,包括物理访问、物品进出和环境安全等; | 1) 应核查机房安全管理制度是否覆盖物理访问、物品进出和环境安全等方面内容; 2) 应核查物理访问、物品进出和环境安全等相关记录是否与制度相符; | 检查对象:管理制度类文档和记录表单类文档; | ||||
| c) 不应在重要区域接待来访人员,不随意放置含有敏感信息的纸档文件和移动介质等。 | 1) 应访谈安全管理员是否有相关规定明确接待来访人员区域; 2) 应核查办公桌面上等位置是否未随意放置了含有敏感信息的纸档文件和移动介质等; | 检查对象:安全管理员和办公环境; | 低危 | 制定相关的管理制度,明确不能接待来访人员的重要区域范围;明确不能随意防止含有敏感信息的纸档文件和移动介质等。 | ||
| 资产管理 | 应编制并保存与保护对象相关的资产清单,包括资产责任部门、重要程度和所处位置等内容; | 应核查资产清单是否包括资产类别(含设备设施、软件、文档等)、资产责任部门、重要程度和所处位置等内容; | 检查对象:记录表单类文档; | 低危 | 完善与信息系统相关的资产清单,包括但不限于资产重要程度等内容。 | |
| 介质管理 | a) 应将介质存放在安全的环境中,对各类介质进行控制和保护,实行存储环境专人管理,并根据存档介质的目录清单定期盘点; | 1) 应访谈资产管理员介质存放环境是否安全,存放环境是否由专人管理; 2) 应核查介质管理记录是否记录介质归档、使用和定期盘点等情况; | 检查对象:资产管理员和记录表单类文档; | |||
| b) 应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,并对介质的归档和查询等进行登记记录。 | 1) 应访谈资产管理员介质在物理传输过程中的人员选择、打包、交付等情况是否进行控制; 2) 应核查是否对介质的归档和查询等进行登记记录; | 检查对象:资产管理员和记录表单类文档; | 低危 | 对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,对介质归档和查询等进行登记记录,并根据存档介质的目录清单定期盘点。 | ||
| 设备维护管理 | a) 应对各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理;每季度至少进行一次维护管理; | 1) 应访谈设备管理员是否对各类设备、线路指定专人或专门部门进行定期维护;应核查维护记录,查验是否每季度至少进行一次维护管理; 2) 应核查部门或人员岗位职责文档是否明确设备维护管理的责任部门; | 检查对象:设备管理员、管理制度类文档和记录表单类文档; | |||
| b) 应对配套设施、软硬件维护管理做出规定,包括明确维护人员的责任、维修和服务的审批、维 修过程的监督控制等。 | 1) 应核查设备维护管理制度是否明确维护人员的责任、维修和服务的审批、维修过程的监督控制等方面内容; 2) 应核查是否留有维修和服务的审批、维修过程等记录,审批、记录内容是否与制度相符; | 检查对象:管理制度类文档和记录表单类文档; | 低危 | 建立配套设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等。 | ||
| 漏洞和风险管理 | 应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补: | 1) 每季度至少进行一次漏洞扫描,对漏洞风险持续跟踪,在经过充分的验证测试后对必要的漏洞开展修补工作; 2) 实施漏洞扫描或漏洞修补前,应对可能的风险进行评估和充分准备,并做好数据备份和回退方案等; 3) 漏洞扫描或漏洞修补后应进行验证测试,以保证系统的正常运行; | 1) 应核查是否有识别安全漏洞和隐患的安全报告或记录(如漏洞扫描报告、渗透测试报告和安全通报等);应核查安全报告或记录,查验是否每季度至少进行一次漏洞扫描,对漏洞 风险持续跟踪,并在经过充分的验证测试后对必要的漏洞开展修补工作; 2) 应核查相关记录是否对发现的漏洞及时进行修补或评估可能的影响后进行修补; (1) 核查漏洞修补报告或记录,查验在实施漏洞扫描或漏洞修补前,是否对可能的风险进行评估和充分准备,如选择恰当时间,并做好数据备份和回退方案等; (2) 核查漏洞修补报告或记录,查验在漏洞扫描或漏洞修补后是否进行验证测试,以保证系统的正常运行; | 检查对象:记录表单类文档; | 低危 | 提供漏洞扫描报告、渗透测试报告、漏洞修复记录等(等保涉及的主机、网络设备、安全设备、应用) |
| 网络和系统安全管理 | a) 应划分不同的管理员角色进行网络和系统的运维管理,明确各个角色的责任和权限; | 应核查网络和系统安全管理文档,是否划分了网络和系统管理员等不同角色,并定义各个角色的责任和权限; | 检查对象:记录表单类文档; | |||
| b) 应指定专门的部门或人员进行账户管理,对申请账户、建立账户、删除账户等进行控制; | 1) 应访谈运维负责人是否指定专门的部门或人员进行账户管理; 2) 应核查相关审批记录或流程是否对申请账户、建立账户、删除账户等进行控制; | 检查对象:运维负责人和记录表单类文档; | ||||
| c) 应建立网络和系统安全管理制度,对安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面作出规定: | 1) 网络和系统安全管理制度应对口令策略作出规定,包括口令长度、复杂度、更新周期、认证方式等; 2) 应禁止将口令明文存储在办公终端、运维终端或服务器上,或通过邮件明文传输; 3) 因工作需要远程访问时,应对远程访问权限申请审批流程、可远程访问的资源以及操作审计等方面内容进行规定; | 应核查网络和系统安全管理制度是否覆盖网络和系统的安全策略、账户管理(用户责任、义务、风险、权限审批、权限分配、账户注销等)、配置文件的生成及备份、变更审批、 授权访问、最小服务、升级与打补丁、审计日志管理、登录设备和系统的口令更新周期等方面;网络和系统安全管理制度是否对口令策略作出规定,包括口令长度、复杂度、更新周期、认证方式等;是否禁止将口令明文存储在办公终端、运维终端或服务器上,或通过邮件明文传输应核查网络和系统安全管理制度是否覆盖远程工作访问时的管理要求,包括远程访问权限申请审批流程、可远程访问的资源(包括设备、系统、应用、数据等)、操作审计等方面内容 | 检查对象:管理制度类文档; | |||
| d) 应制定重要设备的配置和操作手册,依据手册对设备进行安全配置和优化配置等; | 应核查重要设备或系统(如操作系统、数据库、网络设备、安全设备、应用和组件)的配置和操作手册是否明确操作步骤、参数配置等内容; | 检查对象:操作规程类文档; | 低危 | 制定重要设备的配置和操作手册,依据手册对设备进行安全配置和优化配置等。 | ||
| e) 应详细记录运维操作日志,包括日常巡检工作、运行维护记录、参数的设置和修改等内容; | 应核查运维操作日志是否覆盖网络和系统的日常巡检、运行维护、参数的设置和修 改等内容; | 检查对象:记录表单类文档; | ||||
| 恶意代码防范管理 | a) 应提高所有用户的防恶意代码意识,对外来计算机或存储设备接入系统前进行恶意代码检查等; | 1) 应访谈运维负责人是否采取培训和告知等方式提升员工的防恶意代码意识; 2) 应核查恶意代码防范管理制度是否明确对外来计算机或存储设备接人系统前进行恶意代码检查; | 检查对象:运维负责人和管理制度类文档; | |||
| b) 应对恶意代码防范要求做出规定,包括防恶意代码软件的授权使用、恶意代码库升级、恶意代码的定期查杀等; | 应核查恶意代码防范管理制度是否包括防恶意代码软件的授权使用、恶意代码库升级、定期查杀等内容; | 检查对象:管理制度类文档; | ||||
| c) 应定期检查恶意代码库的升级情况,对截获的恶意代码进行及时分析处理。 | 1) 应访谈安全管理员是否定期对恶意代码库进行升级,且对升级情况进行记录,对各类防病毒产品上截获的恶意代码是否进行分析并汇总上报,是否出现过大规模的病毒事件,如何处理; 2) 应核查是否具有恶意代码检测记录、恶意代码库升级记录和分析报告; | 检查对象:安全管理员和记录表单类文档; | ||||
| 管理配置 | 应记录和保存基本配置信息,包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等; | 应访谈系统管理员是否对系统的基本配置信息进行记录和保存; | 检查对象:系统管理员; | 中危 | 对各个设备的配置信息、设备/系统中安装的软件组件的版本和补丁信息进行记录保存。严格控制变更性运维,经审批后才可以改变连接、安装系统组件或调整配置参数,操作过程中应保留不可更改的审计日志,操作结束后应同步更新配置库。 测评时需提供提供配置信息包括网络拓扑结构、 各个设备安装的软件组件、 软件组件的版本和补丁信息、 各个设备或软件组件的配置参数等。 | |
| 密码管理 | a) 应遵循密码相关的国家标准和行业标准; | 应访谈安全管理员密码管理过程中是否遵循密码相关的国家标准和行业标准要求; | 检查对象:安全管理员; | 中危 | 制定密码管理制度,规定密码使用遵循密码相关国家标准和行业标准。 SSH协议使用SSH v2,SSL协议使用高强度加密算法 | |
| b) 应使用国家密码管理主管部门认证核准的密码技术和产品。 | 应核查相关产品是否获得有效的国家密码管理主管部门规定的检测报告或密码产品 型号证书; | 检查对象:安全管理员; | 中危 | 使用国家密码管理主管部门认证核准的算法。 SSH协议使用SSH v2,SSL协议使用高强度加密算法 | ||
| 变更管理 | 应明确变更需求,变更前根据变更需求制定变更方案,变更方案经过评审、审批后方可实施;变更方案应至少包括风险防控措施、影响分析、实施和验证步骤、失败恢复操作; | 1) 应核查变更方案是否包含变更类型、变更原因、变更过程、变更前评估等内容;应核查变更方案是否包含风险防控措施、影响分析、实施和验证步骤、失败恢复操作等内容; 2) 应核查是否具有变更方案评审记录和变更过程记录文档 | 检查对象:记录表单类文档; | 中危 | 建立中止变更并从失败变更中恢复的文件化程序,明确过程控制方法和人员职责,必要时对恢复过程进行演练。 | |
| 备份与恢复管理 | a) 应识别需要定期备份的重要业务信息、系统数据及软件系统等; | 1) 应访谈系统管理员有哪些需定期备份的业务信息、系统数据及软件系统; 2) 应核查是否具有定期备份的重要业务信息、系统数据、软件系统的列表或清单; | 检查对象:系统管理员和管理制度类文档; | |||
| b) 应规定备份信息的备份方式、备份频度、存储介质、保存期等; | 应核查备份与恢复管理制度是否明确备份方式、频度、介质、保存期等内容; | 检查对象:管理制度类文档; | ||||
| c) 应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略、备份程序和恢复程序等。 | 应核查备份和恢复的策略文档是否根据数据的重要程度制定相应备份恢复策略和程序等; | 检查对象:管理制度类文档; | 低危 | 根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略、备份程序和恢复程序等。 对服务器、网络设备和安全设备的备份数据定期进行恢复策略。 | ||
| 安全事件处置 | a) 应及时向安全管理部门报告所发现的安全弱点和可疑事件; | 1) 应访谈运维负责人是否告知用户在发现安全弱点和可疑事件时及时向安全管理部门报告; 2) 应核查在发现安全弱点和可疑事件后是否具备对应的报告或相关文档; | 检查对象:运维负责人和管理制度类文档; | |||
| b) 应制定安全事件报告和处置管理制度,明确不同安全事件的报告、处置和响应流程,规定安全事件的现场处理、事件报告和后期恢复的管理职责等; | 应核查安全事件报告和处置管理制度是否明确了与安全事件有关的工作职责、不同安全事件的报告、处置和响应流程等; | 检查对象:管理制度类文档; | ||||
| c) 应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训; | 应核查安全事件报告和响应处置记录是否记录引发安全事件的原因、证据、处置过程、经验教训、补救措施等内容; | 检查对象:记录表单类文档; | 低危 | 制定网络安全事件情况报告文档 | ||
| 应急预案管理 | a) 应制定重要事件的应急预案,包括应急处理流程、系统恢复流程等内容; | 应核查制定重要事件的应急预案(如针对机房、系统、网络等各个方面) | 检查对象:管理制度类文档; | 高危 | 制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容。 | |
| b) 应定期对系统相关的人员进行应急预案培训,并进行应急预案的演练;应急预案的培训及演练应每年至少举办一次。 | 1) 应访谈运维负责人是否定期对相关人员进行应急预案培训和演练; 2) 应核查应急预案培训记录是否明确培训对象、培训内容、培训结果等; 3) 应核查应急预案演练记录是否记录演练时间、主要操作内容、演练结果等;应核查应急预案的培训及演练是否每年举办一次; | 检查对象:运维负责人和记录表单类文档; | 中危 | 对系统相关的人员进行应急预案培训,并保留相关记录。 | ||
| 外包运维管理 | a) 外包运维服务商的选择应符合国家主管部门的相关要求; | 1) 应访谈运维负责人是否有外包运维服务情况; 2) 应访谈运维负责人外包运维服务单位是否符合国家主管部门的相关要求; | 检查对象:运维负责人; | |||
| b) 应与选定的外包运维服务商签订相关的协议,明确约定外包运维的范围、工作内容; | 应核查外包运维服务协议是否明确约定外包运维的范围和工作内容 | 检查对象:记录表单类文档; |
Excel文件下载
夸克网盘
https://pan.quark/s/2fb529488d24
百度网盘
https://pan.baidu/s/1xWieL5PkHrPJEkBL7QsMMw?pwd=zjpt
版权声明:本文标题:证券期货行业等级保护二级要求梳理及部分解读 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/xitong/1724875389a995400.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论