二级保险要求
一、技术要求
1,人身安全
1.1物理位置选择
机房和办公场所应选择在具有抗震、防风、防雨能力的建筑物内;
1.2物理访问控制
(1)机房出入口应有专人值守,对进入人员进行身份识别并登记;
(2)进入机房的访客应得到批准,其活动应受到限制和监控。
1.3防盗和防破坏
(1)主要设备要放在物理限定的范围内;
(2)设备或主要部件应固定,并设置明显的不可擦除的标志;
(3)通信电缆应敷设在隐蔽场所,如地下或管道中;
(4)媒体应分类标识并存放在媒体库或档案室;
(5)安装必要的防盗报警设施,防止盗窃和破坏进入机房。
1.4防雷
(1)机房建筑应安装防雷装置;
(2)应设置交流电源接地线。
1.5消防
应当设置灭火设备和火灾自动报警系统,并保持完好。
1.6防水防潮
(1)水管不得安装在屋顶和活动地板下;
(2)穿墙、穿楼板的水管应加必要的保护措施,如设置套管;
(3)应采取措施防止雨水透过屋顶和墙壁;
(4)应采取措施防止室内水汽凝结和地下水转移渗透。
1.7防静电
应采取必要的防静电措施,如接地。
1.8温湿度控制
应设置温湿度自动调节设施,使机房内的温湿度变化在设备运行允许的范围内。
1.9电源
(1)计算机系统的电源应与其他电源分开;
(2)应提供电压调节器和过电压保护设备;
(3)应提供短期备用电源(如UPS设备)。
1.10电磁防护
(1)接地,防止外部电磁干扰和设备寄生耦合干扰;
(2)电源线和通信电缆应隔离,避免相互干扰。
2.网络安全性
2.1结构安全和网段划分
(1)网络设备的业务处理能力应有冗余空间,以满足业务高峰的需要;
(2)设计并绘制与当前运行一致的网络拓扑图;
(3)网络带宽应根据机构业务特点,在满足业务高峰时段需求的基础上合理设计;
(4)服务端和业务服务器之间要进行路由控制,建立安全的访问路径;
(5)应根据工作职能、各部门的重要性和所涉及信息的重要性划分不同的子网或网段,并按照便于管理和控制的原则为每个子网和网段分配地址段;
(6)对于重要网段,应采取措施将网络层地址与数据链路层地址绑定,防止地址欺诈。
2.2访问控制
(1)应能根据会话状态信息(包括源地址、目的地址、源端口号、目的端口号、协议、接入接口、会话序列号、出站信息的主机名等)为数据流提供明确的访问许可/拒绝能力。);
(2)基于安全属性允许远程用户访问系统的规则,允许或拒绝用户访问系统的所有资源,控制粒度应为单个用户;
(3)应限制具有拨号访问权限的用户数量。
2.3安全审核
(1)记录网络系统中的网络设备运行、网络流量、用户行为等事件;
(2)对于每个事件,审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功以及其他与审计相关的信息。
2.4边界完整性检查
它应该能够检测内部用户未经许可连接外部网络的行为(即“非法外联”行为)。
2.5入侵防御
在网络边界应监控以下攻击:端口扫描、暴力攻击、特洛伊后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP分片攻击、网络蠕虫攻击和其他入侵事件。
2.6恶意代码防范
(1)应在网络边界和核心业务段检测并清除恶意代码;
(2)升级恶意代码库,更新检测系统;
(3)应支持恶意代码防范的统一管理。
2.7网络设备保护
(1)登录网络设备的用户应进行身份验证;
(2)限制网络设备管理员的登录地址;
(3)网络设备用户的标识应当唯一;
(4)身份认证信息应具有不易被冒用的特征,如密码长度、复杂性、定期更新等;
(5)应具备登录失败处理功能,如结束会话、限制非法登录次数、网络登录连接超时自动退出等。
3.主机安全性
3.1认证
(1)操作系统和数据库管理系统用户的身份应该是唯一的;
(2)识别和标识登录操作系统和数据库管理系统的用户;
(3)操作系统和数据库管理系统的身份认证信息应具有不易被冒用的特征,如密码长度、复杂性、定期更新等。
(4)应具备登录失败处理功能,如结束会话、限制非法登录次数、登录连接超时自动退出等。
3.2访问控制
(1)应根据安全策略控制主体对客体的访问;
(2)自主访问控制的覆盖范围应包括与信息安全及其操作直接相关的主体和客体;
(3)自主访问控制的粒度应达到用户级为主体,文件和数据库表级为客体;
(4)授权主体应设定对客体的访问权和操作权;
(5)应严格限制默认用户的访问权限。
3.3安全审核
(1)安全审计应该覆盖服务器上的每一个操作系统用户和数据库用户;
(2)安全审计应记录系统中重要的安全相关事件,包括重要的用户行为和重要系统命令的使用;
(3)安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、事件结果等。
(4)审核记录应受到保护,以防意外删除、修改或覆盖。
3.4剩余信息的保护
(1)确保操作系统和数据库管理系统的用户的认证信息所在的存储空间在被释放或重新分配给其他用户之前被完全清空,无论这些信息是存储在硬盘上还是内存中;
(2)确保系统中的文件、目录、数据库记录等资源的存储空间在被释放或重新分配给其他用户之前被完全清空。
3.5系统保护
系统应提供在管理和维护状态下运行的能力,只能由系统管理员使用。
3.6防止恶意代码
(1)服务器和重要终端设备(包括移动设备)应安装实时检测和查杀恶意代码的软件产品;
(2)主机系统的反恶意代码产品应具有不同于网络反恶意代码产品的恶意代码库;
3.7资源控制
(1)应该限制单个用户的会话数量;
(2)终端登录应通过设置终端访问方式、网络地址范围等条件进行限制。
4.应用程序安全性
4.1认证
(1)应用系统用户的身份应该是唯一的;
(2)识别和识别登录用户;
(3)系统的用户认证信息应具有不易被冒用的特征,如密码长度、复杂性、定期更新等。
4.2访问控制
(1)应根据安全策略控制用户对对象的访问;
(4)授权主体应设定用户操作系统功能和访问数据的权限;
(5)应用系统特权用户的特权应该分离,例如管理和审计的特权应该分配给应用系统的不同用户;
(6)权限分离应采用最小授权原则,赋予不同用户完成各自任务所需的最小权限,相互之间形成相互制约的关系;
(7)应严格限制默认用户的访问权限。
4.3安全审核
(1)安全审计要覆盖应用系统的每一个用户;
(2)安全审计应记录应用系统的重要安全相关事件,包括重要的用户行为和重要系统功能的执行;
(4)审核记录应受到保护,以防意外删除、修改或覆盖。
4.4剩余信息的保护
确保用户的身份验证信息所在的存储空间在被释放或重新分配给其他用户之前被完全清空,无论该信息是存储在硬盘上还是存储在内存中。
4.5通信完整性
通信双方应约定一种单向校验码算法,计算通信数据报文的校验码,通信双方应根据校验码判断对方报文的有效性。
4.6通信保密
(1)当通信双方中的一方在一段时间内没有响应时,另一方应能自动结束对话;
(2)在通信双方建立连接之前,使用密码技术进行会话初始化验证;
(3)在通信过程中,敏感信息字段应加密。
4.7软件容错
(1)应检查通过人机界面或通信界面输入的数据的有效性;
(2)对于通过人机界面进行的操作,应提供“回滚”功能,即允许按照操作的先后顺序进行回滚;
(3)在出现故障的情况下,应连续提供一些功能,以确保能够实施必要的措施。
4.8资源控制
(1)应限制单个用户的多个并发会话;
(2)应限制应用系统的最大并发会话连接数;
(3)应该限制一段时间内可能的并发会话连接的数量。
4.9代码安全性
(1)应该对应用程序代码进行恶意静态代码分析;
(2)分析应用程序代码的安全漏洞。
5、数据安全和备份恢复
5.1数据完整性
(1)应能检测出系统管理数据、认证信息和用户数据的完整性在传输过程中被破坏;
(2)应能检测到系统管理数据、认证信息和用户数据的完整性在存储过程中被破坏。
5.2数据保密性
(1)网络设备、操作系统、数据库管理系统和应用系统的认证信息、敏感系统管理数据和敏感用户数据应加密或采取其他有效措施实现传输保密;
(2)使用便携式和移动设备时,敏感信息应加密或存储在可移动磁盘上。
5.3备份和恢复
(1)应提供自动机制,对重要信息进行选择性数据备份;
(2)应提供恢复重要信息的功能;
(3)应提供重要网络设备、通信线路和服务器的硬件冗余。
二、管理要求
1,安全管理机构
1.1岗位设置
(1)应设立信息安全管理职能部门,设置安全主管和负责安全管理各环节的人员岗位,明确各负责人的职责;
(2)设置系统管理员、网络管理员、安全管理员岗位,明确各岗位职责;
(3)应制定文件,明确安全管理机构各部门、各岗位的职责、分工和技能要求。
1.2人员编制
(1)配备一定数量的系统管理员、网络管理员和安全管理员;
(2)安全管理员不能是网络管理员、系统管理员、数据库管理员等。
1.3授权和批准
(1)授权审批部门和审批人对关键活动进行审批;
(2)应列出审批事项、审批部门和批准人。
1.4沟通与合作
(1)应加强各类管理人员与内部组织的合作与沟通,定期或不定期召开协调会,协助处理信息安全问题;
(2)信息安全职能部门应定期或不定期召集相关部门和人员召开安全工作会议,协调安全工作的落实;
(3)加强与兄弟单位、公安机关和电信公司的合作和沟通,以便在发生安全事件时获得及时支持。
1.5审计和检查
安全管理人员要定期进行安全检查,包括用户账号、系统漏洞、系统审计等。
2.安全管理系统
2.1管理系统
(1)应制定信息安全工作的总方针、政策文件和安全策略,说明组织安全工作的总体目标、范围、方针、原则和职责;
(2)针对安全管理活动中的重要管理内容,建立安全管理制度,以规范安全管理活动,约束人员行为;
(3)对需要管理人员或操作人员执行的重要管理操作建立操作规则,以规范操作行为,防止操作失误。
2.2制定和发布
(1)由信息安全职能部门负总责,组织相关人员制定;
(2)确保安全管理体系具有统一的格式和风格,并进行版本控制;
(3)组织相关人员对制定的安全管理进行论证和审查;
(4)安全管理制度应由管理层发布,并按一定程序以文件形式发布。
2.3审查和修订
应定期对安全管理体系进行评审和修订,对不足或需要改进的安全管理体系进行修订。
3、人员安全管理
3.1人员招聘
(1)保证被录用人员具备基本的专业技术水平和安全管理知识;
(2)审核被聘用人员的身份、背景、专业资格和任职资格;
(3)评估被雇用人员的技术技能;
(4)解释被雇佣者的角色和职责;
(5)签署保密协议。
3.2离职人员
(1)因各种原因即将离职的员工的所有访问权限应立即终止;
(2)各种身份证件、钥匙、徽章等。,以及组织提供的软件和硬件设备应进行检索;
(3)事业单位人事部门在离职前应办理严格的调动手续,并承诺调动后的保密义务。
3.3人员评估
(1)定期对各岗位人员的安全技能和安全意识进行考核;
(2)对关键岗位人员进行全面严格的安全审查;
(3)惩罚违反安全政策和法规的人。
3.4安全意识教育和培训
(1)对各类人员进行安全意识教育;
(2)告知员工相关的安全责任和纪律措施;
(3)应制定安全教育培训计划,培训信息安全基础知识和岗位操作规程;
(4)安全教育和培训的情况和结果应有记录并存档。
3.5第三方人员的访问管理
(1)第三方人员在参观前应与机构签订安全责任合同或保密协议;
(2)访问重要区域必须经相关负责人批准,专人陪同或监督,并记录备案。
4、系统建设管理
4.1系统分级
(1)信息系统划分方法要明确;
(2)确定信息系统的安全等级;
(3)已定义安全级别的信息系统的属性应以书面形式定义,包括任务、业务、网络、硬件、软件、数据、边界、人员等。
(4)确保信息系统的分级结果得到相关部门的批准。
4.2安全方案设计
(1)应根据系统的安全级别选择基本安全措施,并根据风险分析的结果补充和调整安全措施;
(2)应以书面形式描述系统的安全防护要求、策略和安全措施,形成系统的安全方案;
(3)细化安全方案,形成详细的设计方案,指导安全体系建设和安全产品采购;
(4)组织有关部门和相关安全技术专家对安全设计方案的合理性和正确性进行论证和审查;
(5)确保安全设计方案必须得到批准后才能正式实施。
4.3产品采购
(1)确保安全产品的使用符合国家相关规定;
(二)确保密码产品的使用符合国家密码主管部门的要求;
(3)应指定或授权专门部门负责产品的采购。
4.4自行开发的软件
(1)确保开发环境与实际运行环境物理分离;
(2)确保提供软件设计的相关文件和说明;
(3)确保系统开发文档由专人保管,系统开发文档的使用受到控制。
4.5外包软件开发
(1)应与软件开发单位签订协议,明确知识产权归属和安全要求;
(2)软件质量应按协议要求进行测试;
(3)应在软件安装前检测软件包中可能存在的恶意代码;
(4)确保提供软件设计的相关文件和说明。
4.6项目实施
(1)与项目实施单位签订安全相关协议,约束项目实施单位的行为;
(2)指定或授权专门人员或部门负责项目实施过程的管理;
(3)应制定详细的项目实施计划,以控制实施过程。
4.7测试验收
(1)对系统进行安全测试和验收;
(2)试验验收前,应根据设计方案或合同要求制定试验验收方案,并在试验验收过程中详细记录试验验收结果,形成试验验收报告;
(3)组织相关部门和人员对系统测试验收报告进行审批,双方确认无误后签字。
4.8系统交付
(1)应明确系统的交接程序,并根据交接程序完成交接工作;
(2)系统建设方完成开发商委托的运维技术人员的培训;
(3)系统建设方应提交系统建设过程中的文件和指导用户进行系统运行和维护的文件;
(4)系统建设方应做出服务承诺并提交服务承诺书,以确保对系统运维的支持。
4.9安全服务提供商的选择
要确保保安服务提供商的选择符合国家有关规定。
5.系统运行和维护管理
5.1环境管理
(1)机房的供配电、空调、温湿度控制等设施应由指定人员或专门部门定期维护管理;
(2)应配备机房安全管理人员,对机房的访问、服务器的启动或关闭等进行管理。;
(3)应建立机房安全管理制度,规范机房物理出入、物品进出和机房环境安全的管理;
(4)对机房访客实行登记建档管理,限制访客活动;
(5)加强办公环境的保密管理,包括工作人员调离办公室应立即归还办公室钥匙,办公区域不得接待来访人员。
5.2资产管理
(1)建立资产安全管理制度,明确信息系统资产管理的责任人员或部门;
(2)应编制并保存包含信息系统相关信息的资产清单,如资产所有权、安全级别和位置;
(3)根据资产的重要性进行定性分配和管理,并根据其价值选择相应的管理措施。
5.3媒体管理
(1)确保介质存储在安全的环境中,对各类介质进行控制和保护,防止信息被盗、破坏、未经授权修改和非法泄露;
(2)应有介质的存放、归档、登记和查询记录,并根据备份和归档介质的目录清单定期盘点;
(3)对于需要送修或销毁的介质,应先清除介质中的敏感数据,防止非法信息泄露;
(4)应根据数据和软件的重要性对介质进行分类和标识,存储环境应由专人管理。
5.4设备管理
(1)指定专人或专门部门定期维护和管理与信息系统相关的各种设施、设备和线路;
(2)建立基于申报、审批的管理制度,专人负责信息系统各类软硬件设备的选择、采购、分配或征用;
(3)规范终端计算机、工作站、笔记本电脑、系统和网络的操作和使用;
(4)控制从机房或办公室带走的信息处理设备;
(5)启动/停止、通电/断电等。应按照操作规程执行服务器的日志文件管理,并加强对服务器运行的监控管理。网络和设备应根据安全策略的要求进行配置,并定期检查。
5.5监测和管理
你应该知道服务器的CPU、内存、进程和磁盘使用情况。
5.6网络安全管理
(1)指定专人管理网络,负责运行日志和网络监控记录的日常维护,以及告警信息的分析处理;
(2)建立网络安全管理制度,规定网络安全配置和日志;
(3)网络设备应根据厂商提供的软件升级版本进行更新,更新前应对现有的重要文件进行备份;
(4)应对网络系统漏洞进行扫描,及时修复发现的网络系统安全漏洞;
(5)确保与外部系统的所有连接都得到授权和批准;
(6)应对网络设备的安全策略、授权访问、最低服务、升级和补丁、维护记录和日志做出具体要求;
(7)应规定网络审计日志的存储时间,以支持对可能发生的安全事件的调查。
5.7系统安全管理
(1)指定专人管理系统,删除或禁用不使用的系统默认账号;
(2)应建立系统安全管理制度,规定系统安全配置、系统账户和审计日志;
(3)应定期安装系统最新补丁,及时修复厂商提供的可能危害计算机的漏洞,并在安装系统补丁前备份已有的重要文件;
(4)应根据业务需求和系统安全性分析确定系统的访问控制策略,系统访问控制策略用于控制分布式信息系统、文件和服务的访问权限;
(5)系统账户应分类管理,权限设置应遵循最低授权要求;
(6)应对系统的安全策略、授权访问、最低服务、升级和补丁、维护记录和日志等做出具体要求;
(7)应规定系统审计日志的存储时间,以支持对可能发生的安全事件的调查;
(8)扫描系统漏洞,及时修复发现的系统安全漏洞。
5.8恶意代码防范管理
(1)应提高用户的杀毒意识,及时告知升级杀毒软件;
(2)在读取移动存储设备(如软盘、移动硬盘、光盘)上的数据和在网络上接收文件或邮件前,应先进行病毒检查,在外来计算机或存储设备接入网络系统前也应进行病毒检查;
(3)指定专人对网络和主机上的恶意代码进行检测,并保存检测记录;
(4)明确规定反恶意代码软件的授权使用、恶意代码库的升级和定期报告。
5.9密码管理
密码算法和密钥的使用应符合国家密码管理规定。
5.10变更管理
(1)确认系统需要进行的变更,制定变更计划;
(2)建立变革管理体系。重大系统变更前,应向主管领导提出申请,经批准后方可实施;
(3)系统变更应通知所有相关人员。
5.11备份和恢复管理
(1)识别需要定期备份的重要业务信息、系统数据和软件系统;
(2)备份方式(如增量备份或完全备份等。)、备份频率(如每天或每周等。)、存储介质、存储期限等。应指定备份信息的数量;
(3)应根据数据的重要性及其对系统运行的影响,制定数据的备份策略和恢复策略,备份策略应注明备份数据的位置、文件命名规则、介质更换频率和异地传输数据的方法;
(4)应指定相应的负责人,定期维护和检查备份和冗余设备的状态,以确保在需要访问系统时正常运行;
(5)根据备份方式,指定相应设备的安装、配置和启动过程。
5.12安全事件处理
(1)所有用户有责任报告他们发现的安全漏洞和可疑事件,但在任何情况下用户都不应试图验证漏洞;
(2)制定安全事件报告和处置管理制度,明确安全事件现场处理、事件报告和事后恢复的管理职责;
(3)应分析信息系统的类型、网络连接的特点和信息系统用户的特点,了解本系统和类似系统已经发生的安全事件,识别本系统需要防范的安全事件,这些安全事件可能来自攻击、错误、故障、事故或灾难;
(4)本系统中的计算机安全事件应按照国家有关管理部门的计算机安全事件分类方法和安全事件对本系统的影响程度进行分类;
(5)应记录并保存所有报告的安全弱点和可疑事件,分析事件发生的原因,监控事态的发展,并采取措施避免安全事件的发生。
5.13应急计划管理
(1)不同事件的应急预案应在统一的应急预案框架下制定,应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育培训等;
(2)对系统相关人员进行培训,使其知道如何以及何时使用应急预案中的控制手段和恢复策略,应急预案的培训每年至少举行一次。
如需保险公估服务,可后台私信。陆陆信息科技整合云安全产品技术优势,结合优质的等安咨询、等安评估合作资源,为等安项目提供一站式服务,全面覆盖等安等级、备案、施工整改、评估阶段,高效通过等安评估,落实网络安全等级保护工作。