二级和三级等保差异整理

要求项物理位置的选择（G3）物理访问控制（G3）防盗窃和防破坏（G3）防雷击（G3）第三级要求技术要求三级要求避免在建筑的高层或地下室、以及靠近用水设备三级要求区域划分及隔离，并要求配置电子门禁系统避免机房设在高层或二级仅要求防震、防风和防雨地下室电子门禁系统第二级要求机房建设时考虑二级仅要求对进出人员进行管理和记录机房日常管理三级要求安装监控报警系统三级要求安装设备防止感应雷监控系统防雷保安器自动灭火装置,机房建设时考虑漏水检测设施防静电地板同二级要求主供电线路冗余、UPS电源机房建设时考虑二级仅要求设备固定、标识，及必要报警设施二级仅要求安装避雷装置及交流接地机房日常管理避雷针，电力线路接地灭火器机房建设时考虑机房日常管理精密空调、温湿度检测设施UPS电源机房建设时考虑物理安全防火（G3）防水和防潮（G3）防静电（G3）温湿度控制（G3）电力供应（A3）电磁防护（S3）三级要求建筑材料防火及区域防火隔离三级要求对机房进行防水检测和报警三级要求采用防静电地板三级要求同二级二级仅要求设置灭火设备和火灾报警系统二级仅要求防水设计二级仅要求必要的接地防静电二级要求温湿度检测并控制三级要求电路冗余及建立备用供电系统三级要求对关键设备进行电磁屏蔽三级要求采用可靠的技术手段隔离重要网段与外部信息系统，并对带宽按优先级进行分配三级要求加强访问控制，并对网络信息内容进行过滤，同时对重要网段防止地址欺骗三级要求对日志记录进行审计，并对审计记录进行保护三级要求对内部用户联接外部网络进行检查、定位，并必要时进行有效阻断。对外部用户非法联接内部网络进行检查、定位，并必要时进行有效阻断。二级仅要求供电稳定及保护二级仅要求电力线路和通信线路隔离铺设结构安全（G3）网闸（信息交换与隔二级仅要求关键网络设备、带宽具备冗余，并绘制网离系统）络拓扑结构图，划分网段防火墙规则设置二级仅要求对网络边界进行访问控制网络日常管理访问控制（G3）安全审计（G3）边界完整性检查（S3）防火墙设备上网行为管理设备上网行为管理设备规二级仅要求对网络设备运行状况、网络流量、用户行则设置为等进行日志记录上网行为管理设备规二级仅要求内部用户联接外部网络进行检查则设置入侵防御设备（设备二级仅要求在网络边界处进行攻击行为监视非模块）防病毒网关设备二级未要求网络边界处进行恶意代码防范上网行为管理设备防火墙设备所带入侵防御模块未要求网络安全入侵防范（G3）三级要求对网络边界处的攻击行为进行记录并报警恶意代码防范（G3）三级要求在网络边界处对恶意代码进行检测和清除。网络设备防护（G3）三级要求对主要网络设备用户使用至少两种技术进行身份鉴别，并对特权用户权限分离。堡垒主机（运维网关二级仅要求对网络设备的用户进行身份鉴别，并对网、安全管理平台）类络设备的登录及管理进行控制。设备网络日常管理身份鉴别（S3）三级要求对不同主机用户进行区分识别终端安全类产品二级仅要求对主机的用户进行身份鉴别，并对主机的登录及管理进行控制。终端日常管理访问控制（S3）三级要求对重要信息资源的操作进行记录并审计堡垒主机（运维网关二级仅要求对主机资源的访问进行控制，并权限分离、安全管理平台）类（重要服务器）设备终端安全类产品二级仅要求对主机用户的行为、系统资源使用、重要系统命令等记录进行审计，并避免审计记录的破坏二级未要求主机剩余信息保护终端日常管理安全审计（G3）主机安全剩余信息保护（S3）三级要求对审计记录分析，生成审计报表，并防止审计进程的未预期中断三级要求对主机硬盘及内存上的剩余信息进行保护终端安全类产品终端安全类产品未要求入侵防范（G3）三级要求对入侵行为进行记录并报警终端安全类产品二级仅要求对主机操作系统的漏洞进行补丁更新终端安全类产品、漏洞扫描设备恶意代码防范（G3）三级要求主机恶意代码防范软件与边界恶意代码防范产品使用不同的恶意代码库（差异互补的原则）杀毒软件与防病毒网二级仅要求主机安装恶意代码防范软件，并支持软件关使用不同制造商产的统一管理品堡垒主机（运维网关、安全管理平台）类二级仅要求对主机的接入及资源消耗进行监测和管理设备堡垒主机（运维网关二级仅要求对主机登录用户的身份表示和鉴别，并对、安全管理平台）类鉴别出的非法用户进行管控设备堡垒主机（运维网关、安全管理平台）类二级仅要求对用户访问进行控制设备企业版杀毒软件资源控制（A3）三级要求对重要服务器的资源使用进行监视，对系统服务水平进行监控和报警终端日常管理身份鉴别（S3）三级要求使用至少两种技术来鉴别用户身份应用程序开发考虑访问控制（S3）三级要求对重要信息资源的操作进行记录应用程序开发考虑安全审计（G3）剩余信息保护（S3）通信完整性应用安全（S3）三级要求对审计记录分析，生成审计报表，并防止审计进程的未预期中断三级要求对应用系统的剩余信息进行保护数据库审计、综合审二级仅要求对应用系统的重要安全事件进行审计，并计类产品保证审计记录不被破坏应用程序开发考虑二级未要求应用系统的剩余信息保护应用程序开发考虑未要求应用程序通信保障，外部网络用户连接应用系统的考虑使用VPN加密通道技术应用程序通信保障，外部网络用户连接应用系统的考虑使用VPN加密通道技术未要求应用程序开发考虑应用程序开发考虑系统建设时考虑系统建设时考虑重要数据库等定期备份三级要求同二级同二级要求二级要求技术保证通信过程中数据的完整性通信保密性（S3）三级要求同二级同二级要求二级要求技术保证通信过程中数据的保密性抗抵赖（G3）软件容错（A3）资源控制（A3）数据完整性（S3）数据安全数据保密性及备份恢（S3）复备份和恢复（A3）二级要求能对应用系统的用户操作证据的功能三级要求应用系统提供自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复三级要求对应用系统的资源使用进行优先级分配系统资源三级要求测到重要数据传输过程、存储中完整性受到破坏时能采取恢复措施三级要求采用加密或其他保护措施实现鉴别信息的传输、存储保密性三级要求提供异地数据备份功能，并采用冗余技术设计网络拓扑结构堡垒主机（运维网关、安全管理平台）类二级未要求应用系统的抗抵赖性设备二级仅要求应用系统提供数据有效性检验功能，并在设备、系统灾备冗余故障发生时，应用系统应能够继续提供一部分功能，服务器虚拟化技术等二级仅要求应用系统的会话和资源使用进行控制系统灾备系统灾备二级仅要求检测到重要数据传输过程中完整性受到破坏二级仅要求采用加密或其他保护措施实现鉴别信息的存储保密性核心网络设备、重要二级仅要求对重要信息进备份恢复，并提供关键网络业务网络、重要服务设备、通信线路、数据处理系统的荣誉器等灾备冗余管理要求管理制度（G3）三级要求建立信息安全管理制度体系二级仅要求建立信息安全管理制度安全管理制度制定和发布（G3）评审和修订（G3）三级要求将制定的信息安全制度通过正式的发布二级仅要求将制定的信息安全管理制度发布给相关人员三级要求信息安全领导小组定期组织人员对制度体系进行审定，并对不足之处进行修订三级要求成立信息安全领导小组，并明确各成员岗位职责二级仅要求在制度存在不足时进行修订岗位设置（G3）二级仅要求明确信息安全管理人员岗位、职责，并设立设立系统管理员、网络管理员、安全管理员等岗位人员配备（G3）三级要求配备专职安全管理员，且关键事务岗位配备多人共同管理二级仅要求安全管理员不得兼任网络管理员、系统管理员、数据库管理员等安全管理授权和审批机构（G3）三级要求对审批的过程记录并保存审批文档二级仅要求建立审批制度及审批流程沟通和合作（G3）审核和检查（G3）三级要求加强专业人员、单位及外联单位的合作与沟通、并聘请专职的安全顾问三级要求组织定期进行安全检查并形成安全报告二级仅要求加强内部及兄弟单位、机关、电信公司的合作与沟通二级仅要求安全管理员进行定期的安全检查人员录用（G3）三级要求关键岗位人员应从内部人员选拔二级仅要求对人员录用进行审查，并与关键岗位人员签署保密协议人员离岗（G3）三级要求关键岗位人员离岗前要承诺保密义务人员安全管理人员考核（G3）三级要求对考核记录进行保存二级仅要求人员离岗后收回各种业务关联证件、工具及设备二级仅要求定期对岗位人员进行考核安全意识教育和培训（G3）三级要求对培训记录进行保存二级仅要求定期对岗位人员进行培训外部人员访问管理（G3）系统定级（G3）三级要求对外部人员允许访问的区域、系统、设备、信息等进行书面规定，并执行三级要求组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定二级仅要求对外部人员访问需审批，专人陪同并登记二级仅要求对信息系统定级并进过相关部门的批准安全方案设计（G3）三级要求定期进行等级测评和安全评估二级仅要求形成系统的安全方案，并对方案进行论证、审批后正式实施产品采购和使用（G3）三级要求定期对产品进行选型测试二级仅要求指定专门部门负责产品的采购自行软件开发（G3）三级要求制定软件编写安全规范，并对程序资源库的修改、更新、发布进行审批二级仅要求对自行软件开发的单位制定软件开发管理制度，并提供相关文档由专人保管系统建设外包软件开发（G3）管理三级要求同二级二级要求外包单位提供设计文档并提供源代码，同时在软件安装之前检测软件包中可能存在的恶意代码工程实施（G3）三级要求制定工程实施方面的管理制度二级仅要求在工程实施中制定详细的工程实施方案，控制工程实施过程测试验收（G3）三级要求指定专门部门负责系统测试验收的管理二级仅要求制定系统的验收方案并形成验收报告系统交付（G3）三级要求指定专门部门负责系统交付的管理工作二级仅要求系统交付时要制定系统交付清单并清点，要对技术人员培训并提供系统相关文档二级未对系统备案做强制要求二级未对信息系统的等级测评工作做强制要求系统备案（G3）三级要求对信息系统的等级进行备案工作三级要求对信息系统进行等级测评工作，并由指定的等级测评（G3）测评单位进行测评安全服务商选择（G3）三级要求同二级二级要求选定安全服务商，并与服务商签订服务协议环境管理（G3）三级要求由专门部门负责机房安全并对机房设施管理、人员出入、安全管理进行控制二级仅要求对机房设施管理、人员出入、安全管理进行控制资产管理（G3）三级要求对资产的重要程度进行分类和表示，进行规范化管理二级仅要求编制与信息系统相关的资产清单，并规定资产管理制度介质管理（G3）三级要求对介质进行定期清点管理，并对重要数据介质进行备份二级仅要求数据存储等介质进行分类，归档、查询、维修、销毁等进行记录，并保护其中的敏感数据设备管理（G3）三级要求制定专门的设备管理制度并执行二级仅要求对设备的维护、采购、领用、操作等进行规范化管理三级要求对机房设备运行情况、用户行为等进行监控监控管理和安全管理并记录，同时定期对记录进行分析，并建立安全管理中心（G3）管理中心，对安全相关事项进行集中管理二级未对监控管理和安全管理中心作出要求网络安全管理（G3）三级要求对非法接入设备及内部人员非法外联网络进行管控二级仅要求制定网络安全管理制度，指定人员管理、定期维护网络，并对软硬件设备进行更新维护，定期备份网络设备的配置文件系统运维管理

系统安全管理（G3）二级仅要求建立系统安全管理制度，对确定系统的访问策略，并定期对系统的运行日志及审计数据进行分析三级要求划分系统管理员，指定专人对系统进行管理恶意代码防范管理（G3）三级要求对恶意代码防范情况进行定期的审计和分析并形成书面的报告二级仅要求指定专人对系统的恶意代码防范进行管理密码管理（G3）三级要求建立密码使用管理制度变更管理（G3）三级要求建立变更管理制度，并对变更过程进行控制、记录并审计二级仅要求使用符合国家密码管理规定的密码技术和产品二级仅要求制度系统变更时的变更方案，并对变更方案进行审批备份与恢复管理（G3）三级要求对数据备份和恢复过程进行记录并保存，并定期执行恢复程序二级仅要求定期备份重要的数据安全事件处置（G3）三级要求在安全事件报告和响应处理过程中，所有文件可记录均应妥善保存二级仅制定安全事件报告和处置管理制度，记录并保存所有报告的安全弱点和可疑事件应急预案管理（G3）三级要求确保应急预案的执行有足够的资源保障，并定期对应急预案进行演练二级仅要求制定应急预案，并每年对系统相关人员进行应急预案培训医院现状顶楼二级等保建议要求项物理位置的选择（G3）物理访问控制（G3）标准要求相关产品无无整改建议管理制度其他后期考虑将机房迁至楼层中部顶楼无门禁系统没有电子门禁、没有机房进出登记本次可暂不考虑机房物理安全调整，防盗窃和防破坏无监控系统后期机房装修或再（G3）建时，为后期三级没有避雷针，避等保考虑需增加以防雷击（G3）雷电源下产品：1)门禁系统有灭火器和自动2)监控系统防火（G3）物理安全灭火装置3)精密空调防水和防潮没有漏水检测设4)加强UPS续航能力（G3）施5)防雷保安器防静电（G3）有防静电地板6)安装漏水检测设施温湿度控制7)机房监测系统普通空调（G3）(动环监控系统)UPS续航能力4小时左右强弱电没有分开铺设电力供应（A3）电磁防护（S3）服务器等设备或主要部件有固定，有机房值班记录表有做电源防雷采用防火材料装修，配置有灭火器采用防水防潮材料装修，未靠近用水设备未接地防静电使用普通空调制定机房进出人员管安装智能门禁系统（可理及登记制度，对进无选）出人员进行记录并存档对设备资产进行定期无无核查记录管理三级防雷（楼顶避雷对防雷装置进行定期针，电源防雷，交流及无检查并记录存档机柜接地）机房采用防火门，配置对火灾报警装置及灭火灾自动报警装置，灭火器进行定期检查并无火器使用粉沫灭火器记录存档无无无无设备及机柜防静电接地无UPS有，服务器配电单元也有，UPS续航能力约为4小时强弱电未隔离铺设定期检查设备及机柜防静电接地情况制定机房温湿度管理使用精密空调，配置单制度，并对机房温湿独的温湿度测试装置度进行记录并存档制定机房用电管理制无度并对机房电力供应情况进行记录无无无强弱电线路进行隔离铺设无1.核心交换设备无冗余，出现故障易造成网络单点故障2.根据各部门的工作职能、重要性和所涉及信息的重要程结构安全（G2）核心交换机度等因素，划分不同的子网或网段，并绘制有网络拓扑图，但机房无网络拓扑图展示在互联网边界处已配置网神防火墙，并启用了访问控制功访问控制（G2）防火墙能，但未对其他网络边界进行访问控制未对网络系统中的网络设备运行状况、网络流量、用户行安全审计（G2）上网行为管理为等进行日志记录边界完整性检查（S2）未对内部网络中出现的内部用户未通过准许私自联到外部上网行为管理网络的行为进行检查入侵防御系统（IPS）无无无对网络及安全设备的操作、配置、日志记无录和监控等做出规定无无无无网络安全入侵防范（G2）在网络边界处无法监视网络攻击行为本次建议购置产品及功能：1)防火墙(对大概80，大网络边界进行

访问控制，基本的

概40，服务器数

入侵防护的，可考

量：11

恶意代码防范（G2）终端数量：内网大概80，大概40，服务器数量：11

网络现况：电信宽带30MB（互联网），电信专网4MB（一门诊）、10MB（城北门诊）,医保电信ADSL，电子远程药品监空系统移动光缆（带宽不详）现有应用系统：HIS、LIS、PACS、EMR、物资资产财务、CA认证、医保

数据备份：没有现有网络安全产品：防火墙1台（网神）在互联网出口处；服务器及内网终端安装Mcafee杀毒软件

终端安全管理产品：没有

分支机构远程连接：有2个分门诊，使用Radmin、飞秋、远程桌面等局域网内部远程工具

终端使用操作系统：WinXP、win8、win sever2003、win sever2008

操作系统补丁更新：服务器与内网终端没有更新过

终端杀毒软件：服务器、内网终端安装华军软件园上下载的

及功能：

1)防火墙(对网络边界进行访问控制，基本的入侵防护的，可考虑原有网神防火墙网络设备防护利旧，需确认原有（G2）网神防火墙是否满足需求)

2)内网防火墙(对内部网络边界进行访问控制，基本的入侵防护等)

3)终端企业版杀毒软件(服务器及终端主机的防病毒统身份鉴别（S3）一管理、可进行终端个体的漏洞扫描及补丁更新)4)终端安全产品(对终端的信息安

访问控制（S3）全进行防护，后期

可根据需求增加和调整功能模块)5)上网行为管理设

安全审计（G3）备(对终端的上网行为进行监

测，必要时进行管主机安全剩余信息保护控)（S3）后期三级等保可考虑增加设备：1)入侵防御设备(IPS)：网络边界处

2)防病毒网关(多功能安全网关)：网络边界处

3)入侵检测设备(IDS)：内网核心交换机处

4)堡垒主机(运维网关、安全管理平台)：核心交换机处

5)网闸(信息交换与隔离系统)：内边界处

6)数据库审计(综合审计类产品)：核心交换机处

1.可对登录网络设备的用户进行身份鉴别2.未对网络设备的管理员登录地址进行对网络及安全设备的进行IP与MAC地址VPN设备或具有VPN功3.网络设备用户的标识并非唯一操作、配置、日志记绑定，确保网络设能的设备录和监控等做出规定备用户标识为唯一4.当对网络设备进行远程管理时，未采取必要措施防止鉴别信息在网络传输过程中被窃听1.对服务器进行远程管理时，未采取必要措施，防止鉴别1.VPN设备或具有VPN功信息在网络传输过程中被窃听能的设备无2.启用登录失败处理功能，可采取结束会话、非法登2.终端安全管理系统录次数和自动退出等措施无未启用访问控制功能，依据安全策略控制用户对资源的访终端安全管理系统问无无未对服务器和数据库等的操作、配置、日志等进行记录终端安全管理系统对服务器和数据库等的操作、配置、日志无记录和监控等做出规定操作系统遵循最小安装的原则，仅安装需要的组件和应用入侵防范（G3）程序，但未通过通过设置升级服务器等方式保持系统补丁企业版防病毒软件及时得到更新。定期对操作系统进行无统一补丁更新管理恶意代码防范（G3）安装防恶意代码软件，但无法统一管理，不能及时更新防企业版防病毒软件恶意代码软件版本和恶意代码库对病毒防护系统的管理、使用和升级等做无出规定对终端计算机的日常使用、软件安装，入无网、维修、报废等做出规定无无资源控制（A3）1.未根据安全策略设置登录终端的操作超时锁定2.未单个用户对系统资源的最大或最小使用限度终端安全管理系统身份鉴别（S3）应用系统具有身份鉴别能力，并提供登录失败处理功能，无可采取结束会话、非法登录次数和自动退出等措施通过注册表、系统组策略等途径进行资源的授权访问控制终端安全管理系统主机加固系统访问控制（S3）无无终端杀毒软件：服务器、内网终端安装华军软件园上下载的Mcafee(单机版)、病毒库很少更新无线网络分布：部分覆盖，零散布设，没有相应的无线网络安全解决方案边界处

6)数据库审计(综合审计类产品)：核心交换机处安全审计（G3）7)重要网络设备冗剩余信息保护余、服务器数据容（S3）灾备份8)VPN设备：如后通信完整性期需要则考虑9)服务器虚拟化或应用安全（S3）桌面虚拟化：虚拟化集群，发展趋通信保密性势，投入较大，后（S3）期结合医院自身发展综合考虑抗抵赖（G3）软件容错（A3）资源控制（A3）数据完整性（S3）数据安全数据保密性及备份恢（S3）复备份和恢复（A3）未提供覆盖到每个用户的安全审计功能，对应用系统重要终端安全管理系统安全事件无法进行审计无无应用系统采用校验码技术保证通信过程中数据的完整性无无无应用系统利用密码技术进行会话初始化验证，并对通信过无程中的敏感信息字段进行加密无无在故障发生时，应用系统能够继续提供一部分功能，确保够实施必要的措施应用系统的通信双方中的一方在一段时间内未作任何响无应，另一方应能够自动结束会话能够检测到鉴别信息和重要业务数据在传输过程中完整性无受到破坏应用系统采用加密措施实现鉴别信息的存储保密性不能够对重要信息进行备份和恢复无数据容灾备份系统无无无无无无无无对信息系统数据保存、备份、使用等做出无规定a)应制定信息安全工作的总体方针和安全策略，说明机构安全工作的总体目标、范围、原则和安全框架等；管理制度（G3）b)应对安全管理活动中重要的管理内容建立安全管理制度；c)应对安全管理人员或操作人员执行的重要管理操作建立操作规程。a) 应指定或授权专门的部门或人员负责安全管理制度的安全管理制度制定；制定和发布b)应组织相关人员对制定的安全管理制度进行论证和审（G3）定；c)应将安全管理制度以某种方式发布到相关人员手中。评审和修订应定期对安全管理制度进行评审，对存在不足或需要改进（G3）的安全管理制度进行修订。a)应设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责；b)应设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职责。a)应配备一定数量的系统管理员、网络管理员、安全管理员等；b)安全管理员不能兼任网络管理员、系统管理员、数据库管理员等。无建立信息安全管理制度体系无对网络安全管理制度评审流程、工作内容等做出规定设定专职机构岗位设置（G3）成立由院长（分管对设立的安全管理机院长）任组长的全构、机构职能进行规院信息化安全领导定小组无配备系统管理员、网络管理员、安全管理员人员配备（G3）安全管理授权和审批机构（G3）a)应根据各个部门和岗位的职责明确授权审批部门及批准人，对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批；b)应针对关键活动建立审批流程，并由批准人签字确认。a)应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通；b)应加强与兄弟单位、机关、电信公司的合作与沟通。安全管理员应负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况。a)应指定或授权专门的部门或人员负责人员录用；b)应规范人员录用过程，对被录用人员的身份、背景和专业资格等进行审查，对其所具有的技术技能进行考核；c)应与从事关键岗位的人员签署保密协议。a)应规范人员离岗过程，及时终止离岗员工的所有访问权限；b)应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备；c)应办理严格的调离手续。应定期对各个岗位的人员进行安全技能及安全认知的考核。a)应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训；b)应告知人员相关的安全责任和惩戒措施，并对违反违背安全策略和规定的人员进行惩戒；c)应制定安全教育和培训计划，对信息安全基础知识、岗位操作规程等进行培训。应确保在外部人员访问受控区域前得到授权或审批，批准后由专人全程陪同或监督，并登记备案。a)应明确信息系统的边界和安全保护等级；b)应以书面的形式说明信息系统确定为某个安全保护等级的方法和理由；c)应确保信息系统的定级结果经过相关部门的批准。a)应根据系统的安全保护等级选择基本安全措施，依据风险分析的结果补充和调整安全措施；b)应以书面形式描述对系统的安全保护要求、策略和措施等内容，形成系统的安全方案；c)应对安全方案进行细化，形成能指导安全系统建设、安全产品采购和使用的详细设计方案；d)应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定，并且经过批准后，才能正式实施。a)应确保安全产品采购和使用符合国家的有关规定；b)应确保密码产品采购和使用符合国家密码主管部门的要求；c)应指定或授权专门的部门负责产品的采购。对安全管理机构、人员、流程、职责进行无规定沟通和合作（G3）审核和检查（G3）无无对安全管理员日常工作内容、时间、检测无事项进行规定对信息系统部门的人无员录用做出规定人员录用（G3）人员离岗（G3）人员安全管理人员考核（G3）对信息系统部门的人无员离岗做出规定定期对信息系统岗位人员进行考核无安全意识教育和培训（G3）1.定期对信息系统岗位人员进行教育对信息系统部门人员培训的教育培训做出规定2.制定明确的安全教育培训计划对进出机房人员做出无规定无向泸州市网监大队进行信息安全等级保护定级报备外部人员访问管理（G3）系统定级（G3）安全方案设计（G3）无方案经过院相关部门及技术专家论证产品采购和使用（G3）无采购具有国家认证证书的产品自行软件开发（G3）系统建设外包软件开发（G3）管理工程实施（G3）测试验收（G3）系统交付（G3）系统备案（G3）等级测评（G3）a)应确保开发环境与实际运行环境物理分开；b)应制定软件开发管理制度，明确说明开发过程的控制方法和人员行为准则；c)应确保提供软件设计的相关文档和使用指南，并由专人负责保管。a)应根据开发要求检测软件质量；b)应确保提供软件设计的相关文档和使用指南；c)应在软件安装之前检测软件包中可能存在的恶意代码；d)应要求开发单位提供软件源代码，并审查软件中可能存在的后门。a)应指定或授权专门的部门或人员负责工程实施过程的管理；b)应制定详细的工程实施方案，控制工程实施过程。a)应对系统进行安全性测试验收；b)在测试验收前应根据设计方案或合同要求等制订测试验收方案，在测试验收过程中应详细记录测试验收结果，并形成测试验收报告；c)应组织相关部门和相关人员对系统测试验收报告进行审定，并签字确认。a)应制定系统交付清单，并根据交付清单对所交接的设备、软件和文档等进行清点；b)应对负责系统运行维护的技术人员进行相应的技能培训；c)应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档。无无无无无无无无无系统实施完成后需对进行维护的技术人员进行培训并提供相应的维护文档安全服务商选择（G3）环境管理（G3）资产管理（G3）a)应确保安全服务商的选择符合国家的有关规定；b)应与选定的安全服务商签订与安全相关的协议，明确约定相关责任；c)应确保选定的安全服务商提供技术支持和服务承诺，必要的与其签订服务合同。a)应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理；b)应配备机房安全管理人员，对机房的出入、服务器的开机或关机等工作进行管理；c)应建立机房安全管理制度，对有关机房物理访问，物品带进、带出机房和机房环境安全等方面的管理作出规定；d)应加强对办公环境的保密性管理，包括工作人员调离办公室应立即交还该办公室钥匙和不在办公区接待来访人员等。a)应编制与信息系统相关的资产清单，包括资产责任部门、重要程度和所处位置等内容；b)应建立资产安全管理制度，规定信息系统资产管理的责任人员或责任部门，并规范资产管理和使用的行为。无无对机房日常运行（如进出机房的人员和设备，机房监控、机房值班）及环境（如温无湿度、电力供应、防水、防火、防盗）等做出规定对信息系统相关的资产清单、分类与标识无、使用、转移、废弃等做出规定介质管理（G3）设备管理（G3）监控管理和安全管理中心（G3）a)应确保介质存放在安全的环境中，对各类介质进行控制和保护，并实行存储环境专人管理；b)应对介质归档和查询等过程进行记录，并根据存档介质的目录清单定期盘点；c)应对需要送出维修或销毁的介质，首先清除其中的敏感数据，防止信息的非法泄漏；d)应根据所承载数据和软件的重要程度对介质进行分类和标识管理。a)应对信息系统相关的各种设备（包括备份和冗余设备）、线路等指定专门的部门或人员定期进行维护管理；b)应建立基于申报、审批和专人负责的设备安全管理制度，对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理；c)应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理，按操作规程实现关键设备（包括备份和冗余设备）的启动/停止、加电/断电等操作；d)应确保信息处理设备必须经过审批才能带离机房或办公地点。对介质的归档、存放、使用、销毁等做出无规定对设备的放置、使用、维护、维修、报废无等做出规定网络安全管理（G3）系统运维管理

系统安全管理（G3）a)应指定人员对网络进行管理，负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作；b)应建立网络安全管理制度，对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定；c)应根据厂家提供的软件升级版本对网络设备进行更新，并在更新前对现有的重要文件进行备份；d)应定期对网络系统进行漏洞扫描，对发现的网络系统安全漏洞进行及时的修补；e)应对网络设备的配置文件进行定期备份；f)应保证所有与外部系统的连接均得到授权和批准。a)应根据业务需求和系统安全分析确定系统的访问控制策略；b)应定期进行漏洞扫描，对发现的系统安全漏洞及时进行修补；c)应安装系统的最新补丁程序，在安装系统补丁前，应首先在测试环境中测试通过，并对重要文件进行备份后，方可实施系统补丁程序的安装；d)应建立系统安全管理制度，对系统安全策略、安全配置、日志管理和日常操作流程等方面作出规定；e)应依据操作手册对系统进行维护，详细记录操作日志，包括重要的日常操作、运行维护记录、参数的设置和修改等内容，严禁进行未经授权的操作；f)应定期对运行日志和审计数据进行分析，以便及时发现异常行为。对网络及安全设备的操作、配置、日志记无录和监控等做出规定对服务器和数据库等的操作、配置、日志无记录和监控等做出规定恶意代码防范管理（G3）a)应提高所有用户的防病毒意识，告知及时升级防病毒软件，在读取移动存储设备上的数据以及网络上接收文件或邮件之前，先进行病毒检查，对外来计算机或存储设备接入网络系统之前也应进行病毒检查；b)应指定专人对网络和主机进行恶意代码检测并保存检测记录；c)应对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确规定。a)应确认系统中要发生的重要变更，并制定相应的变更方案；b)系统发生重要变更前，应向主管领导申请，审批后方可实施变更，并在实施后向相关人员通告。a)应识别需要定期备份的重要业务信息、系统数据及软件系统等；b)应规定备份信息的备份方式、备份频度、存储介质、保存期等；c)应根据数据的重要性及其对系统运行的影响，制定数据的备份策略和恢复策略，备份策略指明备份数据的放置场所、文件命名规则、介质替换频率和数据离站运输方法。a)应报告所发现的安全弱点和可疑事件，但任何情况下用户均不应尝试验证弱点；b)应制定安全事件报告和处置管理制度，明确安全事件类型，规定安全事件的现场处理、事件报告和后期恢复的管理职责；c)应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响，对本系统计算机安全事件进行等级划分；d)应记录并保存所有报告的安全弱点和可疑事件，分析事件原因，监督事态发展，采取措施避免安全事件发生。a)应在统一的应急预案框架下制定不同事件的应急预案，应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容；b) 应对系统相关的人员进行应急预案培训，应急预案的培训应至少每年举办一次。对病毒防护系统的管理、使用和升级等做无出规定密码管理（G3）应使用符合国家密码管理规定的密码技术和产品。变更管理（G3）无无对信息系统的变更申报、审批流程以及实无施等做出规定备份与恢复管理（G3）对信息系统数据保存、备份、使用等做出无规定安全事件处置（G3）对网络安全检查流程、工作内容等做出规无定应急预案管理（G3）对应急计划、处理、实施、演练等做出规无定