1、 等級保護2.0基本要求二級三級對比表（二）通用管理要求導(dǎo)讀：隨著2019年5月13日，信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求（GBT22239-2019）（以下簡稱等保2.0）正式發(fā)布，我國的網(wǎng)絡(luò)安全保護標準體系正式進入到等保2.0階段。“等保2.0”與中華人民共和國網(wǎng)絡(luò)安全法中的相關(guān)法律條文保持一致，是指對網(wǎng)絡(luò)和信息系統(tǒng)按照重要性等級分級別保護的一種工作。保護對象包括基礎(chǔ)信息網(wǎng)絡(luò)（廣電網(wǎng)、電信網(wǎng)等）、信息系統(tǒng)（采用傳統(tǒng)技術(shù)的系統(tǒng)）、云計算平臺、大數(shù)據(jù)平臺、移動互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等。本文主要內(nèi)容：安全管理制度安全管理機構(gòu)安全管理人員安全建設(shè)管理安全運維管理需要滿足符合項的b，不需要滿足

2、符合項的y或者空1安全管理制度序號名稱具體要求2級3級1安全策略應(yīng)制定網(wǎng)絡(luò)安全工作的總體方針和安全策略，闡明機構(gòu)安全工作的總體目標、范圍、原則和安全框架等。bb2管理制度a）應(yīng)對安全管理活動中的主要管理內(nèi)容建立安全管理制度；bb）應(yīng)對管理人員或操作人員執(zhí)彳丁的日常管理操作建立操作規(guī)程。bC）應(yīng)形成由安全策略、管理制度、操作規(guī)程、記錄表單等構(gòu)成的全面的安全管理制度體系。yb3制定和發(fā)布a）應(yīng)指定或授權(quán)專門的部門或人員負責安全管理制度的制定；bbb）安全管理制度應(yīng)通過正式、有效的方式發(fā)布，并進行版本控制。bb4評審和修訂應(yīng)定期對安全管理制度的合理性和適用性進行論證和審定，對存在不足或需要改進的安全

3、管理制度進行修訂。bb2安全管理機構(gòu)序號名稱具體要求2級3級1岡位設(shè)置a）應(yīng)設(shè)立網(wǎng)絡(luò)安全管理工作的職能部門，立安全主管、安全管理各個方面的負責人崗位，并定義各負責人的職責；bbb）應(yīng)設(shè)立系統(tǒng)管理員、審計管理員和安全管理員等崗位，并定義部門及各個工作崗位的職責。ba）應(yīng)成立指導(dǎo)和管理網(wǎng)絡(luò)安全工作的委員會或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)擔任或授權(quán)；yb2人員配備應(yīng)配備一定數(shù)量的系統(tǒng)管理員、審計管理員和安全管理員等。bbb）應(yīng)配備專職安全管理員，不可兼任。yb3授權(quán)和審批a）應(yīng)根據(jù)各個部門和崗位的職責明確授權(quán)審批事項、審批部門和批準人等；bbb）應(yīng)針對系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項

4、建立審批程序，按照審批程序執(zhí)行審批過程，對重要活動建立逐級審批制度；byc）應(yīng)定期審查審批事項，及時更新需授權(quán)和審批的項目、審批部門和審批人等信息。yb溝通和合作審核和檢查a）應(yīng)加強各類管理人員、組織內(nèi)部機構(gòu)和網(wǎng)絡(luò)安全管理部門之間的合作與溝通，定期召開協(xié)調(diào)會議，共同協(xié)作處理網(wǎng)絡(luò)安全問題；b）應(yīng)加強與網(wǎng)絡(luò)安全職能部門、各類供應(yīng)商、業(yè)界專家及安全組織的合作與溝通；c）應(yīng)建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息。應(yīng)定期進行常規(guī)安全檢查，檢查內(nèi)容包括系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。b）應(yīng)定期進行全面安全檢查，檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策

5、略的一致性、安全管理制度的執(zhí)行情況等；c）應(yīng)制定安全檢查表格實施安全檢查，匯總安全檢查數(shù)據(jù)，形成安全檢查報告，并對安全臉查結(jié)果進行通報。3安全管理人員序號名稱具體要求2級3級1人員錄用a）應(yīng)指定或授權(quán)專門的部門或人員負責人員錄用；bbb）應(yīng)對被錄用人員的身份、安全背景、專業(yè)資格或資質(zhì)等進行審查。對其所具有的技術(shù)技能進行考核；bC）應(yīng)與被錄用人員簽署保密協(xié)議，與關(guān)鍵崗位人員簽署崗位責任協(xié)議。yb2人員離崗應(yīng)及時終止離崗人員的所有訪問權(quán)限，取回各種身份證件、鑰匙、徽章等以及機構(gòu)提供的軟硬件設(shè)備。bbb）應(yīng)辦理嚴格的調(diào)離手續(xù)，并承諾調(diào)離后的保密義務(wù)后方可離開。yb安全意a）應(yīng)對各類人員進行安全意識教

6、育和崗位技能培訓(xùn)，并告知相關(guān)的安全責任和懲戒扌曰施。bb3識教育和培訓(xùn)b）應(yīng)針對不同崗位制定不同的培訓(xùn)計劃，對安全基礎(chǔ)知識、崗位操作規(guī)程等進行培訓(xùn)；c）應(yīng)定期對不同崗位的人員進行技能考核。yb4外部人員訪問管理a）應(yīng)在外部人員物理訪問受控區(qū)域前先提出書面申請，批準后由專人全程陪同，并登記備案；bb）應(yīng)在外部人員接入受控網(wǎng)絡(luò)訪問系統(tǒng)前先提出書面申請，批準后由專人開設(shè)賬戶、分配權(quán)限，并登記備案；bc）外部人員離場后應(yīng)及時清除其所有的訪問權(quán)限。bd）獲得系統(tǒng)訪問授權(quán)的外部人員應(yīng)簽署保密協(xié)議，不得進行非授權(quán)操作，不得復(fù)制和泄露任何敏感信息。yb4安全建設(shè)管理序號名稱具體要求2級3級a）應(yīng)以書面的形式說

7、明保護對象的安全保護等級及確定等級的方bb1定級和備案法和理由；b）應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對定級結(jié)果的合理性和正確性進行論證和審定；bC）應(yīng)保證定級結(jié)果經(jīng)過相關(guān)部門的批準；bd）應(yīng)將備案材料報主管部門和相應(yīng)公安機關(guān)備案。b2安全方案設(shè)計a）應(yīng)根據(jù)安全保護等級選擇基本安全措施，依據(jù)風險分析的結(jié)果補充和調(diào)整安全措施；bbb）應(yīng)根據(jù)保護對象的安全保護等級進行安全方案設(shè)計；byc）應(yīng)組織相關(guān)部門和有關(guān)安全專家對安全整體規(guī)劃及其配套文件的合理性和正確性進行論證和審定，經(jīng)過批準后才能正式實施。byb）應(yīng)根據(jù)保護對象的安全保護等級及與其他級別保護對象的關(guān)系進行安全整體規(guī)劃和安全方案設(shè)計，設(shè)計內(nèi)容應(yīng)

8、包含密碼技術(shù)相關(guān)內(nèi)容，并形成配套文件；C）應(yīng)組織相關(guān)部門和有關(guān)安全專家對安全整體規(guī)劃及其配套文件的合理性和正確性進行論證和審定，經(jīng)過批準后才能正式實施。yb產(chǎn)品采購和使用自行軟件開發(fā)a）應(yīng)確保網(wǎng)絡(luò)安全產(chǎn)品采購和使用符合國家的有關(guān)規(guī)定；b）應(yīng)確保密碼產(chǎn)品與服務(wù)的采購和使用符合國家密碼管理主管部門的要求。c）應(yīng)預(yù)先對產(chǎn)品進行選型測試,確定產(chǎn)品的候選范圍，并定期審定和更新候選產(chǎn)品名單。a）應(yīng)將開發(fā)環(huán)境與實際運行環(huán)境物理分開，測試數(shù)據(jù)和測試結(jié)果受到控制；b）應(yīng)在軟件開發(fā)過程中對安全性進行測試，在軟件安裝前對可能存在的惡意代碼進行檢測。b）應(yīng)制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和人員行為準則

9、；c）應(yīng)制定代碼編寫安全規(guī)范，要求開發(fā)人員參照規(guī)范編寫代碼；d）應(yīng)具備軟件設(shè)計的相關(guān)文檔和使用指南，并對文檔使用進行控制；f）應(yīng)對程序資源庫的修改、更新、發(fā)布進行授權(quán)和批準，并嚴格進行版本控制；g）應(yīng)保證開發(fā)人員為專職人員，開發(fā)人員的開發(fā)活動受到控制、監(jiān)視和審查。5外包軟件開發(fā)a）應(yīng)在軟件交付前檢測其中可能存在的惡意代碼；bb）應(yīng)保證開發(fā)單位提供軟件設(shè)計文檔和使用指南。bc）應(yīng)保證開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門和隱蔽信道。yb6工程實施a）應(yīng)指定或授權(quán)專門的部門或人員負責工程實施過程的管理；bbb）應(yīng)制定安全工程實施方案控制工程實施過程。bbC）應(yīng)通過第三方工程監(jiān)理控制項目

10、的實施過程。yba）應(yīng)制訂測試驗收方案，并依據(jù)測試驗收方測試驗收案實施測試驗收，形成測試驗收報告；b）應(yīng)進行上線前的安全性測試,并出具安全測試報告。安全測試報告應(yīng)包含密碼應(yīng)用安全性測試相關(guān)內(nèi)容。系統(tǒng)交付a）應(yīng)制定交付清單，并根據(jù)交付清單對所交接的設(shè)備、軟件和文檔等進行清點；b）應(yīng)對負責運行維護的技術(shù)人員進行相應(yīng)的技能培訓(xùn)；c）應(yīng)提供建設(shè)過程文檔和運行維護文檔。a）應(yīng)定期進行等級測評，發(fā)現(xiàn)不符合相應(yīng)等等級測評級保護標準要求的及時整改；b）應(yīng)在發(fā)生重大變更或級別發(fā)生變化時進行等級測評；c）應(yīng)確保測評機構(gòu)的選擇符合國家有關(guān)規(guī)定。a）應(yīng)確保服務(wù)供應(yīng)商的選擇符合國家的有關(guān)規(guī)定；10b）應(yīng)與選定的服務(wù)供應(yīng)

11、商簽訂相關(guān)協(xié)議，明確整個服務(wù)供應(yīng)鏈各方需履行的網(wǎng)絡(luò)安全相關(guān)義務(wù)。C）應(yīng)定期監(jiān)督、評審和審核服務(wù)供應(yīng)商提供的服務(wù)，并對其變更服務(wù)內(nèi)容加以控制。y應(yīng)商選5安全運維管理序號名稱具體要求2級3級1環(huán)境管理a）應(yīng)指定專門的部門或人員負責機房安全，對機房出入進行管理，定期對機房供配電、空調(diào)、溫濕度控制、消防等設(shè)施進行維護管理；bbb）應(yīng)對機房的安全管理做出規(guī)定，包括物理訪問、物品進出和環(huán)境安全等；byb）應(yīng)建立機房安全管理制度，對有關(guān)物理訪問、物品帶進出和環(huán)境安全等方面的管理作H規(guī)定；ybC）應(yīng)不在重要區(qū)域接待來訪人bb員，不隨意放置含有敏感信息的紙檔文件和移動介質(zhì)等。2資產(chǎn)管理應(yīng)編制并保存與保護對象相關(guān)

12、的資產(chǎn)清單，包括資產(chǎn)責任部門、重要程度和所處位置等內(nèi)容。bb）應(yīng)根據(jù)資產(chǎn)的重要程度對資產(chǎn)進行標識管理，根據(jù)資產(chǎn)的價值選擇相應(yīng)的管理措施；C）應(yīng)對信息分類與標識方法作出規(guī)定，并對信息的使用、傳輸和存儲等進行規(guī)范化管理。yb3介質(zhì)管理a）應(yīng)將介質(zhì)存放在安全的環(huán)境中，對各類介質(zhì)進行控制和保護，實行存儲環(huán)境專人管理，并根據(jù)存檔介質(zhì)的目錄清單定期盤點；bb）應(yīng)對介質(zhì)在物理傳輸過程中的人員選擇、打包、交付等情況進行控制，并對介質(zhì)的歸檔和查詢等進行登記記錄。ba）應(yīng)對各種設(shè)備（包括備份和冗余設(shè)備）、線路等指定專門的部門或人員定期進行維護管理；bb4設(shè)備維護管理b）應(yīng)對配套設(shè)施、軟硬件維護管理做出規(guī)定，包括明

13、確維護人員的責任、維修和服務(wù)的審批、維修過程的監(jiān)督控制等。c）信息處理設(shè)備必須經(jīng)過審批才能帶離機房或辦公地點，含有存儲介質(zhì)的設(shè)備帶出工作環(huán)境時其中重要數(shù)據(jù)必須加密；d）含有存儲介質(zhì)的設(shè)備在報廢或重用前，應(yīng)進行完全清除或被安全覆蓋，保證該設(shè)備上的敏感數(shù)據(jù)和授權(quán)軟件無法被恢復(fù)重用。5漏洞和風險管理應(yīng)采取必要的措施識別安全漏洞和隱患，對發(fā)現(xiàn)的安全漏洞和隱患及時進行修補或評估可能的影響后進行修補。b）應(yīng)定期開展安全測評，形成安全測評報告，采取措施應(yīng)對發(fā)現(xiàn)的安全問題。6網(wǎng)絡(luò)和系統(tǒng)安a）應(yīng)劃分不同的管理員角色進行網(wǎng)絡(luò)和系統(tǒng)的運維管理，明確各個角色的責任和權(quán)限；全管理b）應(yīng)指定專門的部門或人員進行賬戶管理，

14、對申請賬戶、建立賬戶、刪除賬戶等進行控制；bc）應(yīng)建立網(wǎng)絡(luò)和系統(tǒng)安全管理制度，對安全策略、賬戶管理、配置管理、日志管理、日常操作、升級與打補丁、口令更新周期等方面作出規(guī)定；bd）應(yīng)制定重要設(shè)備的配置和操作手冊，依據(jù)手冊對設(shè)備進行安全配置和優(yōu)化配置等；be）應(yīng)詳細記錄運維操作日志，包括日常巡檢工作、運行維護記錄、參數(shù)的設(shè)置和修改等內(nèi)容。bbf）應(yīng)指定專門的部門或人員對日志、監(jiān)測和報警數(shù)據(jù)等進行分析、統(tǒng)計，及時發(fā)現(xiàn)可疑行為；g）應(yīng)嚴格控制變更性運維，經(jīng)過審批后才可改變連接、安裝系統(tǒng)組件或調(diào)整配置參數(shù)，操作過程中應(yīng)保留不可更改的審計日志，操作結(jié)束后應(yīng)同步更新配置信息庫；h）應(yīng)嚴格控制運維工具的使用,

15、經(jīng)過審批后才可接入進行操作，操作過程中應(yīng)保留不可更改的審計日志，操作結(jié)束后應(yīng)刪除工具中的敏感數(shù)據(jù)；i）應(yīng)嚴格控制遠程運維的開通，經(jīng)過審批后才可開通遠程運維接口或通道，操作過程中應(yīng)保留不可更改的審計日志，操作結(jié)束后立即關(guān)閉接口或通道；j）應(yīng)保證所有與外部的連接均得到授權(quán)和批準，應(yīng)定期檢查違反規(guī)定無線上網(wǎng)及其他違反網(wǎng)絡(luò)安全策略的行為。a）應(yīng)提高所有用戶的防惡意代碼意識，對外來計算機或存儲設(shè)備惡意代碼防范管理等;b）應(yīng)對惡意代碼防范要求做出規(guī)定，包括防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級、惡意代碼的定期查殺等；c）應(yīng)定期檢查惡意代碼庫的升級情況，對截獲的惡意代碼進行及時分析處理。b）應(yīng)定期驗證防范

16、惡意代碼攻擊的技術(shù)措施的有效性。配置管理應(yīng)記錄和保存基本配置信息，包括網(wǎng)絡(luò)拓撲結(jié)構(gòu)、各個設(shè)備安裝的軟件組件、軟件組件的版本和補丁信息、各個設(shè)備或軟件組件的配置參數(shù)等。b）應(yīng)將基本配置信息改變納入變更范疇，實施對配置信息改變的控制，并及時更新基本配置信息庫。密碼管理a）應(yīng)遵循密碼相關(guān)國家標準和行業(yè)標準；b）應(yīng)使用國家密碼管理主管部門認證核準的密碼技術(shù)和產(chǎn)品。應(yīng)明確變更需求，變更前根據(jù)變更需求制定變更方案，變更方案經(jīng)過評審、審批后方可實施。10變更管理b）應(yīng)建立變更的申報和審批控制程序，依據(jù)程序控制所有的變更，記錄變更實施過程；c）應(yīng)建立中止變更并從失敗變更中恢復(fù)的程序，明確過程控制方法和人員職責

17、，必要時對恢復(fù)過程進行演練。a）應(yīng)識別需要定期備份的重要業(yè)務(wù)信息、系備份與恢復(fù)管理統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等；11b）應(yīng)規(guī)定備份信息的備份方式、備份頻度、存儲介質(zhì)、保存期等；c）應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運行的影響，制定數(shù)據(jù)的備份策略和恢復(fù)策略、備份程序和恢復(fù)程序等。a）應(yīng)及時向安全管理部門報告所發(fā)現(xiàn)的安全弱點和可疑事件；1213安全事件處置b）應(yīng)制定安全事件報告和處置管理制度，明確不同安全事件的報告、處置和響應(yīng)流程，規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復(fù)的管理職責等；bC）應(yīng)在安全事件報告和響應(yīng)處理過程中，分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處理過程，總結(jié)經(jīng)驗教訓(xùn)。bbd）對造成系統(tǒng)中斷和造成信息泄漏的重大安全事件應(yīng)采用不同的處理程序和報告程序。yb應(yīng)急預(yù)案管理a）應(yīng)制定重要事件的應(yīng)急預(yù)案，包括應(yīng)急處理流程、系統(tǒng)恢復(fù)流程等內(nèi)容；bbb）應(yīng)定期對系統(tǒng)相關(guān)的人員進行應(yīng)急預(yù)案培訓(xùn)，并進行應(yīng)急預(yù)案的演練。bba）應(yīng)規(guī)定統(tǒng)一的應(yīng)急預(yù)案框架，