【文章內容簡介】 程中完整性受到破壞。1） 應能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和用戶數(shù)據(jù)在傳輸過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復措施；2） 應能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和用戶數(shù)據(jù)在存儲過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復措施；3） 應能夠檢測到重要程序的完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復措施。數(shù)據(jù)保密性1） 網(wǎng)絡設備、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應用系統(tǒng)的鑒別信息、敏感的系統(tǒng)管理數(shù)據(jù)和敏感的用戶數(shù)據(jù)應采用加密或其他有效措施實現(xiàn)傳輸保密性；2） 網(wǎng)絡設備、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應用系統(tǒng)的鑒別信息、敏感的系統(tǒng)管理數(shù)據(jù)和敏感的用戶數(shù)據(jù)應采用加密或其他保護措施實現(xiàn)存儲保密性；3） 當使用便攜式和移動式設備時，應加密或者采用可移動磁盤存儲敏感信息。1） 網(wǎng)絡設備、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應用系統(tǒng)的鑒別信息、敏感的系統(tǒng)管理數(shù)據(jù)和敏感的用戶數(shù)據(jù)應采用加密或其他有效措施實現(xiàn)傳輸保密性；2） 網(wǎng)絡設備、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應用系統(tǒng)的鑒別信息、敏感的系統(tǒng)管理數(shù)據(jù)和敏感的用戶數(shù)據(jù)應采用加密或其他保護措施實現(xiàn)存儲保密性；3） 當使用便攜式和移動式設備時，應加密或者采用可移動磁盤存儲敏感信息；4） 用于特定業(yè)務通信的通信信道應符合相關的國家規(guī)定。數(shù)據(jù)備份和恢復1） 應提供自動機制對重要信息進行有選擇的數(shù)據(jù)備份；2） 應提供恢復重要信息的功能；3） 應提供重要網(wǎng)絡設備、通信線路和服務器的硬件冗余1） 應提供自動機制對重要信息進行本地和異地備份；2） 應提供恢復重要信息的功能；3） 應提供重要網(wǎng)絡設備、通信線路和服務器的硬件冗余；4） 應提供重要業(yè)務系統(tǒng)的本地系統(tǒng)級熱備份。二、 管理要求管理要求項二級等保三級等保安全管理機構崗位設置1） 應設立信息安全管理工作的職能部門，設立安全主管人、安全管理各個方面的負責人崗位，定義各負責人的職責；2） 應設立系統(tǒng)管理人員、網(wǎng)絡管理人員、安全管理人員崗位，定義各個工作崗位的職責；3） 應制定文件明確安全管理機構各個部門和崗位的職責、分工和技能要求。1） 應設立信息安全管理工作的職能部門，設立安全主管人、安全管理各個方面的負責人崗位，定義各負責人的職責；2） 應設立系統(tǒng)管理人員、網(wǎng)絡管理人員、安全管理人員崗位，定義各個工作崗位的職責；3） 應成立指導和管理信息安全工作的委員會或領導小組，其最高領導應由單位主管領導委任或授權；4） 應制定文件明確安全管理機構各個部門和崗位的職責、分工和技能要求。人員配備1） 應配備一定數(shù)量的系統(tǒng)管理人員、網(wǎng)絡管理人員、安全管理人員等；2） 安全管理人員不能兼任網(wǎng)絡管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等。1） 應配備一定數(shù)量的系統(tǒng)管理人員、網(wǎng)絡管理人員、安全管理人員等；2） 應配備專職安全管理人員，不可兼任；3） 關鍵崗位應定期輪崗。授權和審批1） 應授權審批部門及批準人，對關鍵活動進行審批；2） 應列表說明須審批的事項、審批部門和可批準人。1） 應授權審批部門及批準人，對關鍵活動進行審批；2） 應列表說明須審批的事項、審批部門和可批準人；3） 應建立各審批事項的審批程序，按照審批程序執(zhí)行審批過程；4） 應建立關鍵活動的雙重審批制度；5） 不再適用的權限應及時取消授權；6） 應定期審查、更新需授權和審批的項目；7） 應記錄授權過程并保存授權文檔。溝通和合作1） 應加強各類管理人員和組織內部機構之間的合作與溝通，定期或不定期召開協(xié)調會議，共同協(xié)助處理信息安全問題；2） 信息安全職能部門應定期或不定期召集相關部門和人員召開安全工作會議，協(xié)調安全工作的實施；3） 應加強與兄弟單位、公安機關、電信公司的合作與溝通，以便在發(fā)生安全事件時能夠得到及時的支持。1） 應加強各類管理人員和組織內部機構之間的合作與溝通，定期或不定期召開協(xié)調會議，共同協(xié)助處理信息安全問題；2） 信息安全職能部門應定期或不定期召集相關部門和人員召開安全工作會議，協(xié)調安全工作的實施；3） 信息安全領導小組或者安全管理委員會定期召開例會，對信息安全工作進行指導、決策；4） 應加強與兄弟單位、公安機關、電信公司的合作與溝通，以便在發(fā)生安全事件時能夠得到及時的支持；5） 應加強與供應商、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通，獲取信息安全的最新發(fā)展動態(tài)，當發(fā)生緊急事件的時候能夠及時得到支持和幫助；6） 應文件說明外聯(lián)單位、合作內容和聯(lián)系方式；7） 聘請信息安全專家，作為常年的安全顧問，指導信息安全建設，參與安全規(guī)劃和安全評審等。審核和檢查1） 應由安全管理人員定期進行安全檢查，檢查內容包括用戶賬號情況、系統(tǒng)漏洞情況、系統(tǒng)審計情況等。1） 應由安全管理人員定期進行安全檢查，檢查內容包括用戶賬號情況、系統(tǒng)漏洞情況、系統(tǒng)審計情況等；2） 應由安全管理部門組織相關人員定期進行全面安全檢查，檢查內容包括現(xiàn)有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等；3） 應由安全管理部門組織相關人員定期分析、評審異常行為的審計記錄，發(fā)現(xiàn)可疑行為，形成審計分析報告，并采取必要的應對措施；4） 應制定安全檢查表格實施安全檢查，匯總安全檢查數(shù)據(jù)，形成安全檢查報告，并對安全檢查結果進行通報；5） 應制定安全審核和安全檢查制度規(guī)范安全審核和安全檢查工作，定期按照程序進行安全審核和安全檢查活動。安全管理制度管理制度1） 應制定信息安全工作的總體方針、政策性文件和安全策略等，說明機構安全工作的總體目標、范圍、方針、原則、責任等；2） 應對安全管理活動中重要的管理內容建立安全管理制度，以規(guī)范安全管理活動，約束人員的行為方式；3） 應對要求管理人員或操作人員執(zhí)行的重要管理操作，建立操作規(guī)程，以規(guī)范操作行為，防止操作失誤。1） 應制定信息安全工作的總體方針、政策性文件和安全策略等，說明機構安全工作的總體目標、范圍、方針、原則、責任等；2） 應對安全管理活動中的各類管理內容建立安全管理制度，以規(guī)范安全管理活動，約束人員的行為方式；3） 應對要求管理人員或操作人員執(zhí)行的日常管理操作，建立操作規(guī)程，以規(guī)范操作行為，防止操作失誤；4） 應形成由安全政策、安全策略、管理制度、操作規(guī)程等構成的全面的信息安全管理制度體系；5） 應由安全管理職能部門定期組織相關部門和相關人員對安全管理制度體系的合理性和適用性進行審定。制定和發(fā)布1） 應在信息安全職能部門的總體負責下，組織相關人員制定；2） 應保證安全管理制度具有統(tǒng)一的格式風格，并進行版本控制；3） 應組織相關人員對制定的安全管理進行論證和審定；4） 安全管理制度應經(jīng)過管理層簽發(fā)后按照一定的程序以文件形式發(fā)布。1） 應在信息安全領導小組的負責下，組織相關人員制定；2） 應保證安全管理制度具有統(tǒng)一的格式風格，并進行版本控制；3） 應組織相關人員對制定的安全管理進行論證和審定；4） 安全管理制度應經(jīng)過管理層簽發(fā)后按照一定的程序以文件形式發(fā)布；5） 安全管理制度應注明發(fā)布范圍，并對收發(fā)文進行登記。評審和修訂1） 應定期對安全管理制度進行評審和修訂，對存在不足或需要改進的安全管理制度進行修訂。1） 應定期對安全管理制度進行評審和修訂，對存在不足或需要改進的安全管理制度進行修訂；2） 當發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術基礎結構發(fā)生變更時，應對安全管理制度進行檢查、審定和修訂；3） 每個制度文檔應有相應負責人或負責部門，負責對明確需要修訂的制度文檔的維護。人員安全管理人員錄用1） 應保證被錄用人具備基本的專業(yè)技術水平和安全管理知識；2） 應對被錄用人的身份、背景、專業(yè)資格和資質等進行審查；3） 應對被錄用人所具備的技術技能進行考核；4） 應對被錄用人說明其角色和職責；5） 應簽署保密協(xié)議。1） 應保證被錄用人具備基本的專業(yè)技術水平和安全管理知識；2） 應對被錄用人的身份、背景、專業(yè)資格和資質等進行審查；3） 應對被錄用人所具備的技術技能進行考核；4） 應對被錄用人說明其角色和職責；5） 應簽署保密協(xié)議；6） 從事關鍵崗位的人員應從內部人員選拔，并定期進行信用審查；7） 從事關鍵崗位的人員應簽署崗位安全協(xié)議。人員離崗1） 應立即終止由于各種原因即將離崗的員工的所有訪問權限；2） 應取回各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備；3） 應經(jīng)機構人事部門辦理嚴格的調離手續(xù)，并承諾調離后的保密義務后方可離開。1） 應立即終止由于各種原因即將離崗的員工的所有訪問權限；2） 應取回各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備；3） 應經(jīng)機構人事部門辦理嚴格的調離手續(xù)，并承諾調離后的保密義務后方可離開。人員考核1） 應定期對各個崗位的人員進行安全技能及安全認知的考核；2） 應對關鍵崗位的人員進行全面、嚴格的安全審查；3） 應對違背安全策略和規(guī)定的人員進行懲戒1） 應對所有人員進行全面、嚴格的安全審查；2） 應定期對各個崗位的人員進行安全技能及安全認知的考核；3） 應對考核結果進行記錄并保存；4） 應對違背安全策略和規(guī)定的人員進行懲戒。安全意識教育和培訓1） 應對各類人員進行安全意識教育；2） 應告知人員相關的安全責任和懲戒措施；3） 應制定安全教育和培訓計劃，對信息安全基礎知識、崗位操作規(guī)程等進行培訓；4） 應對安全教育和培訓的情況和結果進行記錄并歸檔保存。1） 應對各類人員進行安全意識教育；2） 應告知人員相關的安全責任和懲戒措施；3） 應制定安全教育和培訓計劃，對信息安全基礎知識、崗位操作規(guī)程等進行培訓；4） 應針對不同崗位制定不同培訓計劃；5） 應對安全教育和培訓的情況和結果進行記錄并歸檔保存。第三方人員訪問管理1） 第三方人員應在訪問前與機構簽署安全責任合同書或保密協(xié)議；2） 對重要區(qū)域的訪問，必須經(jīng)過有關負責人的批準，并由專人陪同或監(jiān)督下進行，并記錄備案。1） 第三方人員應在訪問前與機構簽署安全責任合同書或保密協(xié)議；2） 對重要區(qū)域的訪問，須提出書面申請，批準后由專人全程陪同或監(jiān)督，并記錄備案；3） 對第三方人員允許訪問的區(qū)域、系統(tǒng)、設備、信息等內容應進行書面的規(guī)定，并按照規(guī)定執(zhí)行。系統(tǒng)建設管理系統(tǒng)定級1） 應明確信息系統(tǒng)劃分的方法；2） 應確定信息系統(tǒng)的安全等級；3） 應以書面的形式定義確定了安全等級的信息系統(tǒng)的屬性，包括使命、業(yè)務、網(wǎng)絡、硬件、軟件、數(shù)據(jù)、邊界、人員等；4） 應確保信息系統(tǒng)的定級結果經(jīng)過相關部門的批準。1） 應明確信息系統(tǒng)劃分的方法；2） 應確定信息系統(tǒng)的安全等級；3） 應以書面的形式定義確定了安全等級的信息系統(tǒng)的屬性，包括使命、業(yè)務、網(wǎng)絡、硬件、軟件、數(shù)據(jù)、邊界、人員等；4） 應以書面的形式說明確定一個信息系統(tǒng)為某個安全等級的方法和理由；5） 應組織相關部門和有關安全技術專家對信息系統(tǒng)的定級結果的合理性和正確性進行論證和審定；6） 應確保信息系統(tǒng)的定級結果經(jīng)過相關部門的批準。安全方案設計1） 應根據(jù)系統(tǒng)的安全級別選