【正文】 理位置的選擇 * * * 控制點一級二級三級四級 技術(shù)要求 網(wǎng)絡(luò)安全 控制點一級二級三級四級 合計 3 6 7 7 網(wǎng)絡(luò)設(shè)備防護 * * * * 惡意代碼防范 * * 入侵防范 * * * 邊界完整性檢查 * * * 安全審計 * * * 訪問控制 * * * * 結(jié)構(gòu)安全 * * * * 技術(shù)要求 主機安全 控制點一級二級三級四級 合計 4 6 7 9 資源控制 * * * 惡意代碼防范 * * * * 入侵防范 * * * * 剩余信息保護 * * 安全審計 * * * 可信路徑 * 訪問控制 * * * * 安全標記 * 身份鑒別 * * * * 合計 4 7 9 11 資源控制 * * * 軟件容錯 * * * * 抗抵賴 * * 通信保密性 * * * 通信完整性 * * * * 剩余信息保護 * * 安全審計 * * * 可信路經(jīng) * 訪問控制 * * * * 安全標記 * 身份鑒別 * * * * 技術(shù)要求 應(yīng)用安全 控制點一級二級三級四級 技術(shù)要求 數(shù)據(jù)安全及備份恢復(fù) 合計 2 3 3 3 備份和恢復(fù) * * * * 數(shù)據(jù)保密性 * * * 數(shù)據(jù)完整性 * * * * 控制點一級二級三級四級 管理要求 安全管理制度 合計 2 3 3 3 評審和修訂 * * * 制定和發(fā)布 * * * * 管理制度 * * * * 控制點一級二級三級四級 管理要求 安全管理機構(gòu) 合計 4 5 5 5 審核和檢查 * * * 溝通和合作 * * * * 授權(quán)和審批 * * * * 人員配備 * * * * 崗位設(shè)置 * * * * 控制點一級二級三級四級 管理要求 人員安全管理 合計 4 5 5 5 外部人員訪問管 * * * * 理 安全意識教育和 * * * * 培訓(xùn) 人員考核 * * * 人員離崗 * * * * 人員錄用 * * * * 控制點一級二級三級四級 管理要求 系統(tǒng)建設(shè)管理 合計 9 9 11 11 安全服務(wù)商選擇 * * * * 等級測評 * * 系統(tǒng)備案 * * 系統(tǒng)交付 * * * * 測試驗收 * * * * 工程實施 * * * * 外包軟件開發(fā) * * * * 自行軟件開發(fā) * * * * 產(chǎn)品采購和使用 * * * * 安全方案設(shè)計 * * * * 系統(tǒng)定級 * * * * 控制點一級二級三級四級 管理要求 系統(tǒng)運維管理 合計 10 13 13 13 應(yīng)急預(yù)案管理 * * * 安全事件處置 * * * * 備份與恢復(fù)管理 * * * * 變更管理 * * * 密碼管理 * * * 惡意代碼防范管理 * * * * 系統(tǒng)安全管理 * * * * 網(wǎng)絡(luò)安全管理 * * * * 監(jiān)控管理和安全管理中心 * * * * 設(shè)備管理 * * * * 介質(zhì)管理 * * * * 資產(chǎn)管理 * * * * 環(huán)境管理 * * * * 控制點一級二級三級四級 安全要素與安全保護等級的關(guān)系 國家安全特別嚴重損害第五級 極端重要系統(tǒng)專門監(jiān)督檢查 國家安全嚴重損害 第四級強制監(jiān)督檢查 社會秩序和特別嚴重損害 公共利益 國家安全一般損害 監(jiān)督檢查 重要系統(tǒng) 第三級 社會秩序和嚴重損害 公共利益 社會秩序和一般損害 公共利益 第二級指導(dǎo)保護 嚴重損害 自主保護 一般系統(tǒng) 一般損害第一級 合法權(quán)益 侵害客體侵害程度等級對象監(jiān)管強度 GB/T222392023 ? 《信息系統(tǒng)安全等級保護基本要求》 貫徹落實黨中央、國務(wù)院關(guān)于節(jié)能減排工作部署，以實現(xiàn)重點污染物減排的目標指標為緊要任務(wù) ，為實現(xiàn)節(jié)能減排和環(huán)境保護工作目標奠定基礎(chǔ) 統(tǒng)計 基 礎(chǔ)能力 數(shù) 據(jù) 傳輸 能力 數(shù) 據(jù)共享能力 數(shù) 據(jù) 應(yīng) 用能力 指 標 體系 監(jiān)測 體系 考核體系 業(yè)務(wù)應(yīng) 用支撐能力 總體目標 項目目的 分省建設(shè)目標 （ 1）在項目實施過程中貫徹落實工程標準規(guī)范； （ 2）建設(shè)省環(huán)境保護廳（局）到地市環(huán)境保護局，地市環(huán)境保護局到區(qū)縣環(huán)境保護局，以及省環(huán)境保護廳（局）到省直屬機構(gòu)、市環(huán)境保護局到市直屬機構(gòu)的網(wǎng)絡(luò)系統(tǒng)，并通過國家電子政務(wù)外網(wǎng)實現(xiàn)與環(huán)境保護部的連通；（直轄市為市、區(qū)縣兩級網(wǎng)絡(luò)）； （ 3）組織落實本?。ㄖ陛犑小⒆灾螀^(qū)）范圍內(nèi)網(wǎng)絡(luò)安全體系的建設(shè)和省級 CA系統(tǒng)的建設(shè)； （ 4）組織所轄各級機構(gòu)接收部里統(tǒng)一下發(fā)的環(huán)境統(tǒng)計專項設(shè)備，保證專項專用； （ 5）準備機房環(huán)境，組織所轄各級機構(gòu)接收并配合部署部里統(tǒng)一采購的服務(wù)器、存儲、網(wǎng)絡(luò)、安全等設(shè)備和系統(tǒng)軟件； 分省建設(shè)目標 （ 6）部署部里統(tǒng)一下發(fā)的省級綜合數(shù)據(jù)庫平臺和地理信息系統(tǒng)平臺；組織所轄市、區(qū)縣部署部里統(tǒng)一下發(fā)的數(shù)據(jù)傳輸與交換平臺，建立數(shù)據(jù)交換傳輸體系，實現(xiàn)國家、省、下轄市、區(qū)縣的數(shù)據(jù)交換與共享； （ 7）部署部里統(tǒng)一下發(fā)的省級減排應(yīng)用系統(tǒng)支撐平臺；在省級集中部署環(huán)境統(tǒng)計業(yè)務(wù)系統(tǒng)、建設(shè)項目管理系統(tǒng)、減排數(shù)據(jù)管理與綜合分析系統(tǒng)，按照需要集成已有六個應(yīng)用系統(tǒng)；組織所轄市、區(qū)縣相關(guān)業(yè)務(wù)部門推廣應(yīng)用環(huán)境統(tǒng)計業(yè)務(wù)系統(tǒng)和建設(shè)項目管理系統(tǒng)。 （ 8）組織建立省及所轄市、區(qū)縣運維組織機構(gòu)，健全運維制度，明確運維人員，部署部里統(tǒng)一下發(fā)的運行維護管理系統(tǒng)，建立省級運維管理平臺。判斷基本要求是否達到應(yīng)按此原則分析。 物理安全 技術(shù)要求 管理要求 基本要求 網(wǎng)絡(luò)安全 主機安全 應(yīng)用安全 數(shù)據(jù)安全及備份恢復(fù) 安全管理制度 安全管理機構(gòu) 人員安全管理 系統(tǒng)建設(shè)管理 系統(tǒng)運維管理 類 安全建設(shè)基本流程 信息系統(tǒng)安全管理建設(shè) 信息系統(tǒng)安全技術(shù)建設(shè) 開展信息系統(tǒng)安全自查和等級測評 信息系統(tǒng)安全需求分析 /相應(yīng)級別的要求 確定安全策略，制定安全建設(shè)方案 物 理 安 全 網(wǎng) 絡(luò) 安 全 主 機 安 全 應(yīng) 用 安 全 數(shù) 據(jù) 安 全 安全管理機構(gòu) 安全管理制度 人員安全管理 系統(tǒng)建設(shè)管理 系統(tǒng)運行管理 信息系統(tǒng)安全技術(shù)體系設(shè)計 物理安全設(shè)計 數(shù)據(jù)安全設(shè)計 備份與恢復(fù) 應(yīng)用系統(tǒng) 應(yīng)用平臺 其他安全設(shè)計 機房 辦公環(huán)境 設(shè)備和介質(zhì) 網(wǎng)絡(luò)安全設(shè)計 通信網(wǎng)絡(luò) 區(qū)網(wǎng)邊界 主機安全設(shè)計 應(yīng)用安全設(shè)計 服務(wù)器 工作站 其他安全設(shè)計 其他安全設(shè)計 其他安全設(shè)計 ? 身份鑒別 ? 訪問控制 ? 安全審計 ? 數(shù)據(jù)完整性 ? 數(shù)據(jù)保密性 ? 數(shù)據(jù)可用性 ? 病毒防范 ? 入侵檢測 ? 安全監(jiān)控 ? 備份與恢復(fù) ? 密碼使用 ? 等等 ? 確定安全策略 ? 落實信息安全責(zé)任制 ? 建立安全組織機構(gòu) ? 加強人員管理 ? 加強系統(tǒng)建設(shè)的安全管理 ? 加強運行維護的安全管理 ? 物理安全是指對信息系統(tǒng)所涉及到的 主機房、輔助機房、辦公環(huán)境 等進行物理安全保護。具體關(guān)注內(nèi)容包括通信過程數(shù)據(jù)完整性、通信過程數(shù)據(jù)保密性、保證通信可靠性的設(shè)備和線路冗余、區(qū)域網(wǎng)絡(luò)的邊界保護、區(qū)域劃分、身份認證、訪問控制、安全審計、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備自身保護和網(wǎng)絡(luò)的網(wǎng)絡(luò)管理等方面 序號 安全關(guān)注點 一級 二級 三級 四級 1 網(wǎng)絡(luò)結(jié)構(gòu)安全 3 4+ 7 7 2 網(wǎng)絡(luò)訪問控制 3 4+ 8 4 3 網(wǎng)絡(luò)安全審計 0 2 4 6 4 邊界完整性檢查 0 1 2 2 5 網(wǎng)絡(luò)入侵防范 0 1 2 2+ 6 惡意代碼防范 0 0 2 2 7 網(wǎng)絡(luò)設(shè)備防護 3 6 8 9 合計 9 18 33 32 ? 主機安全是指對信息系統(tǒng)涉及到的 服務(wù)器和工作站 進行主機系統(tǒng)安全保護。其中，安全配置細分為身份鑒別、訪問控制、安全審計等方面的配置內(nèi)容 序號 安全關(guān)注點 一級 二級 三級 四級 1 身份鑒別 1 5 6 7 2 安全標記 0 0 0 1 3 訪問控制 3 4 7 6 4 可信路徑 0 0 0 2 5 安全審計 0 4 6+ 7+ 6 剩余信息保護 0 0 2 2 7 入侵防范 1 1 3 3 8 惡意代碼防范 1 2 3 3 9 資源控制 0 3 5 5 合計 6 19 32 36 ? 應(yīng)用安全是指對信息系統(tǒng)涉及到的 應(yīng)用系統(tǒng) 進行安全保護。具體關(guān)注內(nèi)容包括數(shù)據(jù)備份系統(tǒng)、冗余備用設(shè)備以及備份恢復(fù)相關(guān)技術(shù)設(shè)施等方面 序號 安全關(guān)注點 一級 二級 三級 四級 1 數(shù)據(jù)完整性 1 1 2 3 2 數(shù)據(jù)保密性 0 1 2 3 3 數(shù)據(jù)備份與恢復(fù) 1 2 4 5 合計 2 4 8 11 ? 安全管理結(jié)構(gòu)是指 明確領(lǐng)導(dǎo)機構(gòu)和責(zé)任部門 。確定安全管理目標和安全策略，針對信息系統(tǒng)的各類管理活動，制定人員安全管理制度、系統(tǒng)建設(shè)管理制度、系統(tǒng)運維管理制度、定期檢查制度等，規(guī)范安全管理人員或操作人員的操作規(guī)程等，形成安全管理體系 序號 安全關(guān)注點 一級 二級 三級 四級 1 管理制度 1 3 4 4 2 制定和發(fā)布 2 3 5 6 3 評審和修訂 0 1 2 4 合計 3 7 11 14 ? 人員安全管理是指 加強人員的安全管理 。對外部人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等進行控制 序號 安全關(guān)注點 一級 二級 三級 四級 1 人員錄用 2 3+ 4+ 4 2 人員離崗 2 3 3+ 3+ 3 人員考核 0 1 3 4 4 安全意識教育和培訓(xùn) 2 3+ 4 4 5 外部人員訪問管理 1 1 2 3 合計 7 11 16 18 ? 人員安全管理是指 加強人員的安全管理 。對外部人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等進行控制 序號 安全關(guān)注點 一級 二級 三級 四級 1 人員錄用 2 3+ 4+ 4 2 人員離崗 2 3 3+ 3+ 3 人員考核 0 1 3 4 4 安全意識教育和培訓(xùn) 2 3+ 4 4 5 外部人員訪問管理 1 1 2 3 合計 7 11 16 18 ? 系統(tǒng)建設(shè)管理是指 加強系統(tǒng)建設(shè)過程的管理 。制定系統(tǒng)運維相關(guān)的管理制度，明確環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理等內(nèi)容的管理責(zé)任部門、具體管理內(nèi)容和控制方法，并按照管理制度落實各項管理措施 序號 安全關(guān)注點 一級 二級 三級 四級 1 環(huán)境管理 3 4 4 5 2 資產(chǎn)管理 1 2 4 4 3 介質(zhì)管理 2 4 6+ 6+ 4 設(shè)備管理 2 4 5 5 5 安全管理中心 0 0 3 3 6 網(wǎng)絡(luò)安全管理 2 6 8 9 7 系統(tǒng)安全管理 3 6 7 8 8 惡意代碼防范 1 3 4 4 9 密碼管理 0 1 1+ 1 10 變更管理 0 2 4 5 11 備份與恢復(fù)管理 2 3 5 6 12 安全事件處置 2 4 6 8 13 應(yīng)急預(yù)案管理 0 2 5 6 合計 18 41 62 70 ? Telematics的產(chǎn)業(yè)鏈（以車廠為主） fee fee fee fee Contents Contents CRM Data Monthly Subscription Mobility Services Wireless Connections Connection Fee Tel