信息安全等级保护.pdf

信息安全等级保护--第1页

信息安全等级保护二级

信息安全等级保护二级

备注：其中黑色字体为信息安全等级保护第二级系统要求,蓝色字体为第三级系统等保

要求.

一、物理安全

1、应具有机房和办公场地的设计/验收文档机房场地的选址说明、地线连接要求的描

述、建筑材料具有相应的耐火等级说明、接地防静电措施

2、应具有有来访人员进入机房的申请、审批记录；来访人员进入机房的登记记录

3、应配置电子门禁系统三级明确要求；电子门禁系统有验收文档或产品安全认证资质,

电子门禁系统运行和维护记录

4、主要设备或设备的主要部件上应设置明显的不易除去的标记

5、介质有分类标识；介质分类存放在介质库或档案室内,磁介质、纸介质等分类存放

6、应具有摄像、传感等监控报警系统；机房防盗报警设施的安全资质材料、安装测试

和验收报告；机房防盗报警系统的运行记录、定期检查和维护记录；

7、应具有机房监控报警设施的安全资质材料、安装测试和验收报告；机房监控报警系

统的运行记录、定期检查和维护记录

8、应具有机房建筑的避雷装置；通过验收或国家有关部门的技术检测；

信息安全等级保护--第1页

信息安全等级保护--第2页

9、应在电源和信号线上增加有资质的防雷保安器；具有防雷检测资质的检测部门对防

雷装置的检测报告

10、应具有自动检测火情、自动报警、自动灭火的自动消防系统；自动消防系统的运

行记录、检查和定期维护记录；消防产品有效期合格；自动消防系统是经消防检测部门检

测合格的产品

11、应具有除湿装置；空调机和加湿器；温湿度定期检查和维护记录

12、应具有水敏感的检测仪表或元件；对机房进行防水检测和报警；防水检测装置的

运行记录、定期检查和维护记录

13、应具有温湿度自动调节设施；温湿度自动调节设施的运行记录、定期检查和维护

记录

14、应具有短期备用电力供应设备如UPS；短期备用电力供应设备的运行记录、定期检

查和维护记录

15、应具有冗余或并行的电力电缆线路如双路供电方式

16、应具有备用供电系统如备用发电机；备用供电系统运行记录、定期检查和维护记

录

二、安全管理制度

1、应具有对重要管理操作的操作规程,如系统维护手册和用户操作规程

2、应具有安全管理制度的制定程序：

信息安全等级保护--第2页

信息安全等级保护--第3页

3、应具有专门的部门或人员负责安全管理制度的制定发布制度具有统一的格式,并进

行版本控制

4、应对制定的安全管理制度进行论证和审定,论证和审定方式如何如召开评审会、函

审、内部审核等,应具有管理制度评审记录

5、应具有安全管理制度的收发登记记录,收发应通过正式、有效的方式如正式发文、

领导签署和单位盖章等安全管理制度应注明发布范围,并对收发文进行登记.

6、信息安全领导小组定期对安全管理制度体系的合理性和适用性进行审定,审定周期

多长.安全管理制度体系的评审记录

7、系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变

更时应对安全管理制度进行检查,对需要改进的制度进行修订.应具有安全管理制度修订记

录

三、安全管理机构

1、应设立信息安全管理工作的职能部门

2、应设立安全主管、安全管理各个方面的负责人

3、应设立机房管理员、系统管理员、网络管理员、安全管理员等重要岗位分工明确,

各司其职,数量情况管理人员名单、岗位与人员对应关系表

4、安全管理员应是专职人员

5、关键事物需要配备2人或2人以上共同管理,人员具体配备情况如何.

信息安全等级保护--第3页

信息安全等级保护--第4页

6、应设立指导和管理信息安全工作的委员会或领导小组最高领导是否由单位主管领导

委任或授权的人员担任

7、应对重要信息系统活动进行审批如系统变更、重要操作、物理访问和系统接入、重

要管理制度的制定和发布、人员的配备和培训、产品的采购、外部人员的访问等,审批部门

是何部门,审批人是何人.审批程序：

8、应与其它部门之间及内部各部门管理人员定期进行沟通信息安全领导小组或者安全

管理委员会应定期召开会议

9、应组织内部机构之间以及信息安全职能部门内部的安全工作会议文件或会议记录,

定期：

10、信息安全管理委员会或领导小组安全管理工作执行情况的文件或工作