【正文】 許訪問的區(qū)域、系統(tǒng)、設備、信息等內(nèi)容應進行書面的規(guī)定，并按照規(guī)定執(zhí)行。 人員考核（G3）本項要求包括：a) 應定期對各個崗位的人員進行安全技能及安全認知的考核；b) 應對關鍵崗位的人員進行全面、嚴格的安全審查和技能考核；c) 應對考核結(jié)果進行記錄并保存。 人員安全管理 人員錄用（G3）本項要求包括：a) 應指定或授權專門的部門或人員負責人員錄用；b) 應嚴格規(guī)范人員錄用過程，對被錄用人的身份、背景、專業(yè)資格和資質(zhì)等進行審查，對其所具有的技術技能進行考核；c) 應簽署保密協(xié)議；d) 應從內(nèi)部人員中選拔從事關鍵崗位的人員，并簽署崗位安全協(xié)議。 溝通和合作（G3）本項要求包括：a) 應加強各類管理人員之間、組織內(nèi)部機構之間以及信息安全職能部門內(nèi)部的合作與溝通，定期或不定期召開協(xié)調(diào)會議，共同協(xié)作處理信息安全問題； b) 應加強與兄弟單位、公安機關、電信公司的合作與溝通；c) 應加強與供應商、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通；d) 應建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息；e) 應聘請信息安全專家作為常年的安全顧問，指導信息安全建設，參與安全規(guī)劃和安全評審等。 人員配備（G3）本項要求包括：a) 應配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等；b) 應配備專職安全管理員，不可兼任；c) 關鍵事務崗位應配備多人共同管理。 評審和修訂（G3）本項要求包括：a) 信息安全領導小組應負責定期組織相關部門和相關人員對安全管理制度體系的合理性和適用性進行審定；b) 應定期或不定期對安全管理制度進行檢查和審定，對存在不足或需要改進的安全管理制度進行修訂。 管理要求 安全管理制度 管理制度（G3）本項要求包括：a) 應制定信息安全工作的總體方針和安全策略，說明機構安全工作的總體目標、范圍、原則和安全框架等；b) 應對安全管理活動中的各類管理內(nèi)容建立安全管理制度；c) 應對要求管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程；d) 應形成由安全策略、管理制度、操作規(guī)程等構成的全面的信息安全管理制度體系。 數(shù)據(jù)保密性（S3）本項要求包括：a) 應采用加密或其他有效措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)傳輸保密性；b) 應采用加密或其他保護措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)存儲保密性。 資源控制（A3）本項要求包括：a) 當應用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應，另一方應能夠自動結(jié)束會話；b) 應能夠?qū)ο到y(tǒng)的最大并發(fā)會話連接數(shù)進行限制；c) 應能夠?qū)蝹€帳戶的多重并發(fā)會話進行限制；d) 應能夠?qū)σ粋€時間段內(nèi)可能的并發(fā)會話連接數(shù)進行限制；e) 應能夠?qū)σ粋€訪問帳戶或一個請求進程占用的資源分配最大限額和最小限額；f) 應能夠?qū)ο到y(tǒng)服務水平降低到預先規(guī)定的最小值進行檢測和報警；g) 應提供服務優(yōu)先級設定功能，并在安裝后根據(jù)安全策略設定訪問帳戶或請求進程的優(yōu)先級，根據(jù)優(yōu)先級分配系統(tǒng)資源。 抗抵賴（G3）本項要求包括：a) 應具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能；b) 應具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。 通信完整性（S3）應采用密碼技術保證通信過程中數(shù)據(jù)的完整性。e) 應具有對重要信息資源設置敏感標記的功能；f) 應依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息資源的操作； 安全審計（G3）本項要求包括：a) 應提供覆蓋到每個用戶的安全審計功能，對應用系統(tǒng)重要安全事件進行審計；b) 應保證無法單獨中斷審計進程，無法刪除、修改或覆蓋審計記錄；c) 審計記錄的內(nèi)容至少應包括事件的日期、時間、發(fā)起者信息、類型、描述和結(jié)果等；d) 應提供對審計記錄數(shù)據(jù)進行統(tǒng)計、查詢、分析及生成審計報表的功能。 應用安全 身份鑒別（S3）本項要求包括：a) 應提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別； b) 應對同一用戶采用兩種或兩種以上組合的鑒別技術實現(xiàn)用戶身份鑒別；c) 應提供用戶身份標識唯一和鑒別信息復雜度檢查功能，保證應用系統(tǒng)中不存在重復用戶身份標識，身份鑒別信息不易被冒用；d) 應提供登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；e) 應啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關參數(shù)。 惡意代碼防范（G3）本項要求包括：a) 應安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫；b) 主機防惡意代碼產(chǎn)品應具有與網(wǎng)絡防惡意代碼產(chǎn)品不同的惡意代碼庫；c) 應支持防惡意代碼的統(tǒng)一管理。 剩余信息保護（S3）本項要求包括：a) 應保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；b) 應確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除。 訪問控制（S3）本項要求包括：a) 應啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問；b) 應根據(jù)管理用戶的角色分配權限，實現(xiàn)管理用戶的權限分離，僅授予管理用戶所需的最小權限；c) 應實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權用戶的權限分離；d) 應嚴格限制默認帳戶的訪問權限，重命名系統(tǒng)默認帳戶，修改這些帳戶的默認口令；e) 應及時刪除多余的、過期的帳戶，避免共享帳戶的存在。 主機安全 身份鑒別（S3）本項要求包括：a) 應對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別；b) 操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標識應具有不易被冒用的特點，口令應有復雜度要求并定期更換；c) 應啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；d) 當對服務器進行遠程管理時，應采取必要措施，防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽；e) 應為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。 惡意代碼防范（G3）本項要求包括：a) 應在網(wǎng)絡邊界處對惡意代碼進行檢測和清除；b) 應維護惡意代碼庫的升級和檢測系統(tǒng)的更新。 邊界完整性檢查（S3）本項要求包括：a) 應能夠?qū)Ψ鞘跈嘣O備私自聯(lián)到內(nèi)部網(wǎng)絡的行為進行檢查，準確定出位置，并對其進行有效阻斷；b) 應能夠?qū)?nèi)部網(wǎng)絡用戶私自聯(lián)到外部網(wǎng)絡的行為進行檢查，準確定出位置，并對其進行有效阻斷。 訪問控制（G3）本項要求包括：a) 應在網(wǎng)絡邊界部署訪問控制設備，啟用訪問控制功能；b) 應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；c) 應對進出網(wǎng)絡的信息內(nèi)容進行過濾，實現(xiàn)對應用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制；d