企业培训_某信息科技公司信息系统安全等级保护基本要求

信息系统安全等级保护基本要求 目录 等级保护等级 等级保护重要标准 GB17859 1999计算机信息系统安全保护等级划分准则GB T22239 2008信息系统安全等级保护基本要求GB T22240 2008信息系统安全等级保护定级指南信息系统安全等级保护测评过程指南 国标报批稿 信息系统安全等级保护测评要求 国标报批稿 GB T25058 2010信息系统安全等级保护实施指南GB T25070 2010信息系统等级保护安全设计技术要求 等级保护相关标准 GA T708 2007信息系统安全等级保护体系框架GA T709 2007信息系统安全等级保护基本模型GA T710 2007信息系统安全等级保护基本配置GA T711 2007应用软件系统安全等级保护通用技术指南GA T712 2007应用软件系统安全等级保护通用测试指南GA T713 2007信息系统安全管理测评GB T18018 2007路由器安全技术要求GB T20269 2006信息系统安全管理要求GB T20270 2006网络基础安全技术要求GB T20271 2006信息系统安全通用技术要求GB T20272 2006操作系统安全技术要求GB T20273 2006数据库管理系统安全技术要求GB T20275 2006入侵检测系统技术要求和测试评价方法GB T20278 2006网络脆弱性扫描产品技术要求GB T20279 2006网络和终端设备隔离部件安全技术要求GB T20281 2006防火墙技术要求和测试评价方法GB T20282 2006信息系统安全工程管理要求GB T20979 2007虹膜识别系统技术要求GB T20984 2007信息安全风险评估规范GB T20988 2007信息系统灾难恢复规范GB T21028 2007服务器安全技术要求GB T21052 2007信息系统物理安全技术要求GB T21053 2007公钥基础设施PKI系统安全等级保护技术要求GB Z20985 2007信息安全事件管理指南YD TGB Z20986 2007信息安全事件分类分级指南 定级流程 G MAX S A S A 安全保护和系统定级的关系 目录 等级保护基本要求作用 管理办法 等级划分和保护 第八条 信息系统运营 使用单位依据本办法和相关技术标准对信息系统进行保护 国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理 管理办法 等级保护的实施与管理 第十二条 在信息系统建设过程中 运营 使用单位应当按照 计算机信息系统安全保护等级划分准则 GB17859 1999 信息系统安全等级保护基本要求 等技术标准 参照 等技术标准同步建设符合该等级要求的信息安全设施 管理办法 等级保护的实施与管理 第十三条 运营 使用单位应当参照 信息安全技术信息系统安全管理要求 GB T20269 2006 信息安全技术信息系统安全工程管理要求 GB T20282 2006 信息系统安全等级保护基本要求 等管理规范 制定并落实符合本系统安全保护等级要求的安全管理制度 管理办法 等级保护的实施与管理 第十四条 信息系统建设完成后 运营 使用单位或者其主管部门应当选择符合本办法规定条件的测评单位 依据 信息系统安全等级保护测评要求 等技术标准 定期对信息系统安全等级状况开展等级测评 第三级信息系统应当每年至少进行一次等级测评 第四级信息系统应当每半年至少进行一次等级测评 第五级信息系统应当依据特殊安全需求进行等级测评 管理办法 等级保护的实施与管理 第十四条 信息系统运营 使用单位及其主管部门应当定期对信息系统安全状况 安全保护制度及措施的落实情况进行自查 第三级信息系统应当每年至少进行一次自查 第四级信息系统应当每半年至少进行一次自查 第五级信息系统应当依据特殊安全需求进行自查 管理办法 等级保护的实施与管理 第十四条 经测评或者自查 信息系统安全状况未达到安全保护等级要求的 运营 使用单位应当制定方案进行整改 技术标准和管理规范的作用 技术标准和管理规范 信息系统定级 信息系统安全建设或改建 安全状况达到等级保护要求的信息系统 基本要求 的定位 是系统安全保护 等级测评的一个基本 标尺 同样级别的系统使用统一的 标尺 来衡量 保证权威性 是一个达标线 每个级别的信息系统按照基本要求进行保护后 信息系统具有相应等级的基本安全保护能力 达到一种基本的安全状态 是每个级别信息系统进行安全保护工作的一个基本出发点 更加贴切的保护可以通过需求分析对基本要求进行补充 参考其他有关等级保护或安全方面的标准来实现 基本要求和其他标准关系 等级保护基本要求效果 基本要求 的定位 某级信息系统 基本保护 精确保护 基本要求 保护 基本要求 测评 补充的安全措施GB17859 1999通用技术要求安全管理要求高级别的基本要求等级保护其他标准安全方面相关标准等等 基本保护 特殊需求补充措施 目录 基本要求 基本思路 不同级别的安全保护能力要求 第一级安全保护能力应能够防护系统免受来自个人的 拥有很少资源 如利用公开可获取的工具等 的威胁源发起的恶意攻击 一般的自然灾难 灾难发生的强度弱 持续时间很短等 以及其他相当危害程度的威胁 无意失误 技术故障等 所造成的关键资源损害 在系统遭到损害后 能够恢复部分功能 第二级安全保护能力应能够防护系统免受来自外部小型组织的 如自发的三两人组成的黑客组织 拥有少量资源 如个别人员能力 公开可获或特定开发的工具等 的威胁源发起的恶意攻击 一般的自然灾难 灾难发生的强度一般 持续时间短 覆盖范围小等 以及其他相当危害程度的威胁 无意失误 技术故障等 所造成的重要资源损害 能够发现重要的安全漏洞和安全事件 在系统遭到损害后 能够在一段时间内恢复部分功能 不同级别的安全保护能力要求 第三级安全保护能力应能够在统一安全策略下防护系统免受来自外部有组织的团体 如一个商业情报组织或犯罪组织等 拥有较为丰富资源 包括人员能力 计算能力等 的威胁源发起的恶意攻击 较为严重的自然灾难 灾难发生的强度较大 持续时间较长 覆盖范围较广等 以及其他相当危害程度的威胁 内部人员的恶意威胁 无意失误 较严重的技术故障等 所造成的主要资源损害 能够发现安全漏洞和安全事件 在系统遭到损害后 能够较快恢复绝大部分功能 第四级安全保护能力应能够在统一安全策略下防护系统免受来自国家级别的 敌对组织的 拥有丰富资源的威胁源发起的恶意攻击 严重的自然灾难 灾难发生的强度大 持续时间长 覆盖范围广等 以及其他相当危害程度的威胁 内部人员的恶意威胁 无意失误 严重的技术故障等 所造成的资源损害 能够发现安全漏洞和安全事件 在系统遭到损害后 能够迅速恢复所有功能 各个要素之间的关系 安全保护能力 基本安全要求 每个等级的信息系统 基本技术措施 基本管理措施 具备 包含 包含 满足 满足 实现 基本要求 核心思路 某级系统 技术要求 管理要求 基本要求 建立安全技术体系 建立安全管理体系 具有某级安全保护能力的系统 各级系统的保护要求差异 宏观 安全保护模型PPDRR Protection防护PolicyDetection策略检测Response响应 Recovery恢复 各级系统的保护要求差异 宏观 一级系统 二级系统 三级系统 四级系统 防护 防护 监测 策略 防护 监测 恢复 策略 防护 监测 恢复 响应 各级系统的保护要求差异 宏观 成功的完成业务 信息保障 深度防御战略 人 技术 操作 防御网络与基础设施 防御飞地边界 防御计算环境 支撑性基础设施 安全保护模型IATF 各级系统的保护要求差异 宏观 一级系统 二级系统 三级系统 四级系统 通信 边界 基本 通信 边界 内部 关键设备 通信 边界 内部 主要设备 通信 边界 内部 基础设施 所有设备 能力成熟度模型CMM 各级系统的保护要求差异 宏观 一级系统 二级系统 三级系统 四级系统 计划和跟踪 主要制度 计划和跟踪 主要制度 良好定义 管理活动制度化 持续改进 管理活动制度化 及时改进 各级系统的保护要求差异 微观 某级系统 物理安全 技术要求 管理要求 基本要求 网络安全 主机安全 应用安全 数据安全 安全管理机构 安全管理制度 人员安全管理 系统建设管理 系统运维管理 目录 基本要求的主要内容 由9个章节2个附录构成1 适用范围2 规范性引用文件3术语和定义4 等级保护概述5 6 7 8 9基本要求附录A关于信息系统整体安全保护能力的要求附录B基本安全要求的选择和使用 基本要求的组织方式 某级系统 类 技术要求 管理要求 基本要求 类 控制点 具体要求 控制点 具体要求 基本要求举例 技术要求网络安全 类 6 1 2 2访问控制 G2 控制点 本项要求包括 具体要求 a 应在网络边界部署访问控制设备 启用访问控制功能 b 应能根据会话状态信息为数据流提供明确的允许 拒绝访问的能力 控制粒度为网段级 c 应按用户和系统之间的允许访问规则 决定允许或拒绝用户对受控系统进行资源访问 控制粒度为单个用户 d 应限制具有拨号访问权限的用户数量 基本要求举例 技术要求网络安全 类 7 1 2 2访问控制 G3 本项要求包括 a 应在网络边界部署访问控制设备 启用访问控制功能 b 应能根据会话状态信息为数据流提供明确的允许 拒绝访问的能力 控制粒度为端口级 c 应对进出网络的信息内容进行过滤 实现对应用层HTTP FTP TELNET SMTP POP3等协议命令级的控制 d 应在会话处于非活跃一定时间或会话结束后终止网络连接 e 应限制网络最大流量数及网络连接数 f 重要网段应采取技术手段防止地址欺骗 g 应按用户和系统之间的允许访问规则 决定允许或拒绝用户对受控系统进行资源访问 控制粒度为单个用户 h 应限制具有拨号访问权限的用户数量 基本要求标注方式 基本要求技术要求管理要求要求标注业务信息安全类要求 标记为S类 系统服务保证类要求 标记为A类 通用安全保护类要求 标记为G类 三类要求之间的关系 通用安全保护类要求 G 业务信息安全类 S 系统服务保证类 A 安全要求 基本要求的选择和使用 一个3级系统 定级结果为S3A2 保护类型应该是S3A2G3第1步 选择标准中3级基本要求的技术要求和管理要求 第2步 要求中标注为S类和G类的不变 标注为A类的要求可以选用2级基本要求中的A类作为基本要求 安全保护和系统定级的关系 定级指南要求按照 业务信息 和 系统服务 的需求确定整个系统的安全保护等级定级过程反映了信息系统的保护要求 电力控制 A 一级 计算机系统供电应与其他供电分开 应设置稳压器和过电压防护设备 二级 应提供短期的备用电力供应 如 UPS设备 三级 应具备冗余或并行的电力电缆线路 备用供电系统 如备用发电机 四级 与三级要求相同 电磁防护 S 一级 无此要求 二级 要求具有基本的电磁防护能力 如电源线和通信线缆应隔离铺设等 三级 除二级要求外 增强了防护能力 要求能够做到关键设备和磁介质的电磁屏蔽 四级 在三级要求的基础上 要求屏蔽范围扩展关键区 不同级别系统控制点的差异 不同级别系统要求项的差异 基本要求组织方式 基本要求 组织方式 某级系统 物理安全 技术要求 管理要求 基本要求 网络安全 主机安全 应用安全 数据安全 安全管理机构 安全管理制度 人员安全管理 系统建设管理 系统运维管理 技术要求 物理安全 技术要求 网络安全 技术要求 主机安全 技术要求 应用安全 技术要求 数据安全 基本要求 组织方式 某级系统 物理安全 技术要求 管理要求 基本要求 网络安全 主机安全 应用安全 数据安全 安全管理机构 安全管理制度 人员安全管理 系统建设管理 系统运维管理 管理要求 安全管理机构 岗位设置 人员配备 授权和审批 沟通和合作 审核和检查 管理要求 安全管理机构 安全管理制度 人员安全管理 系统建设管理 系统运维管理 基本要求 安全管理制度 基本要求 人员安全管理 基本要求 系统建设管理 基本要求 系统运维管理 管理要求 安全管理机构 安全管理制度 人员安全管理 系统建设管理 系统运维管理 各级系统安全保护要求 物理安全 物理安全主要涉及的方面包括环境安全 防火 防水 防雷击等 设备和介质的防盗窃防破坏等方面 具体包括 物理位置的选择 物理访问控制 防盗窃和防破坏 防雷击 防火 防水和防潮 防静电 温湿度控制 电力供应和电磁防护等十个控制点 各级系统安全保护要求 物理安全 各级系统安全保护要求 物理安全 一级物理安全要求 主要要求对物理环境进行基本的防护 对出入进行基本控制 环境安全能够对自然威胁进行基本的防护 电力则要求提供供电电压的正常 二级物理安全要求 对物理安全进行了进一步的防护 不仅对出入进行基本的控制 对进入后的活动也要进行控制 物理环境方面 则加强了各方面的防护 采取更细的要求来多方面进行防护 三级物理安全要求 对出入加强了控制 做到人 电子设备共同监控 物理环境方面 进一步采取各种控制措施来进行防护 如 防火要求 不仅要求自动消防系统 而且要求区域隔离防火 建筑材料防火等方面 将防火的范围增大 从而使火灾发生的几率和损失降低 四级物理安全要求 对机房出入的要求进一步增强 要求多道电子设备监控 物理环境方面 要求采用一定的防护设备进行防护 如静电消除装置等 各级系统安全保护要求 网络安全 网络安全主要关注的方面包括 网络结构 网络边界以及网络设备自身安全等 具体的控制点包括 结构安全 访问控制 安全审计 边界完整性检查 入侵防范 恶意代码防范 网络设备防护等七个控制点 各级系统安全保护要求 网络安全 各级系统安全保护要求 网络安全 一级网络安全要求 主要提供网络安全运行的基本保障 包括网络结构能够基本满足业务运行需要 网络边界处对进出的数据包头进行基本过滤等访问控制措施 二级网络安全要求 不仅要满足网络安全运行的基本保障 同时还要考虑网络处理能力要满足业务极限时的需要 对网络边界的访问控制粒度进一步增强 同时 加强了网络边界的防护 增加了安全审计 边界完整性检查 入侵防范等控制点 对网络设备的防护不仅局限于简单的身份鉴别 同时对标识和鉴别信息都有了相应的要求 三级网络安全要求 对网络处理能力增加了 优先级 考虑 保证重要主机能够在网络拥堵时仍能够正常运行 网络边界的访问控制扩展到应用层 网络边界的其他防护措施进一步增强 不仅能够被动的 防 还应能够主动发出一些动作 如报警 阻断等 网络设备的防护手段要求两种身份鉴别技术综合使用 四级网络安全要求 对网络边界的访问控制做出了更为严格的要求 禁止远程拨号访问 不允许数据带通用协议通过 边界的其他防护措施也加强了要求 网络安全审计着眼于全局 做到集中审计分析 以便得到更多的综合信息 网络设备的防护 在身份鉴别手段上除要求两种技术外 其中一种鉴别技术必须是不可伪造的 进一步加强了对网络设备的防护 各级系统安全保护要求 主机安全 主机系统安全是包括服务器 终端 工作站等在内的计算机设备在操作系统及数据库系统层面的安全 终端 工作站是带外设的台式机与笔记本计算机 服务器则包括应用程序 网络 web 文件与通信等服务器 主机系统是构成信息系统的主要部分 其上承载着各种应用 因此 主机系统安全是保护信息系统安全的中坚力量 主机系统安全涉及的控制点包括 身份鉴别 安全标记 访问控制 可信路径 安全审计 剩余信息保护 入侵防范 恶意代码防范和资源控制等九个控制点 各级系统安全保护要求 主机安全 各级系统安全保护要求 主机安全 一级主机系统安全要求 对主机进行基本的防护 要求主机做到简单的身份鉴别 粗粒度的访问控制以及重要主机能够进行恶意代码防范 二级主机系统安全要求 在控制点上增加了安全审计和资源控制等 同时 对身份鉴别和访问控制都进一步加强 鉴别的标识 信息等都提出了具体的要求 访问控制的粒度进行了细化等 恶意代码增加了统一管理等 三级主机系统安全要求 在控制点上增加了剩余信息保护 即 访问控制增加了设置敏感标记等 力度变强 同样 身份鉴别的力度进一步增强 要求两种以上鉴别技术同时使用 安全审计已不满足于对安全事件的记录 而要进行分析 生成报表 对恶意代码的防范综合考虑网络上的防范措施 做到二者相互补充 对资源控制的增加了对服务器的监视和最小服务水平的监测和报警等 四级主机系统安全要求 在控制点上增加了安全标记和可信路径 其他控制点在强度上也分别增强 如 身份鉴别要求使用不可伪造的鉴别技术 访问控制要求部分按照强制访问控制的力度实现 安全审计能够做到统一集中审计等 各级系统安全保护要求 应用安全 通过网络 主机系统的安全防护 最终应用安全成为信息系统整体防御的最后一道防线 在应用层面运行着信息系统的基于网络的应用以及特定业务应用 基于网络的应用是形成其他应用的基础 包括消息发送 web浏览等 可以说是基本的应用 业务应用采纳基本应用的功能以满足特定业务的要求 如电子商务 电子政务等 由于各种基本应用最终是为业务应用服务的 因此对应用系统的安全保护最终就是如何保护系统的各种业务应用程序安全运行 应用安全主要涉及的安全控制点包括 身份鉴别 安全标记 访问控制 可信路径 安全审计 剩余信息保护 通信完整性 通信保密性 抗抵赖 软件容错 资源控制等十一个控制点 各级系统安全保护要求 应用安全 各级系统安全保护要求 应用安全 一级应用安全要求 对应用进行基本的防护 要求做到简单的身份鉴别 粗粒度的访问控制以及数据有效性检验等基本防护 二级应用安全要求 在控制点上增加了安全审计 通信保密性和资源控制等 同时 对身份鉴别和访问控制都进一步加强 鉴别的标识 信息等都提出了具体的要求 访问控制的粒度进行了细化 对通信过程的完整性保护提出了特定的校验码技术 应用软件自身的安全要求进一步增强 软件容错能力增强 三级应用安全要求 在控制点上增加了剩余信息保护和抗抵赖等 同时 身份鉴别的力度进一步增强 要求组合鉴别技术 访问控制增加了敏感标记功能 安全审计已不满足于对安全事件的记录 而要进行分析等 对通信过程的完整性保护提出了特定的密码技术 应用软件自身的安全要求进一步增强 软件容错能力增强 增加了自动保护功能 四级应用安全要求 在控制点上增加了安全标记和可信路径等 部分控制点在强度上进一步增强 如 身份鉴别要求使用不可伪造的鉴别技术 安全审计能够做到统一安全策略提供集中审计接口等 软件应具有自动恢复的能力等 各级系统安全保护要求 数据安全及备份恢复 信息系统处理的各种数据 用户数据 系统数据 业务数据等 在维持系统正常运行上起着至关重要的作用 一旦数据遭到破坏 泄漏 修改 毁坏 都会在不同程度上造成影响 从而危害到系统的正常运行 由于信息系统的各个层面 网络 主机 应用等 都对各类数据进行传输 存储和处理等 因此 对数据的保护需要物理环境 网络 数据库和操作系统 应用程序等提供支持 各个 关口 把好了 数据本身再具有一些防御和修复手段 必然将对数据造成的损害降至最小 另外 数据备份也是防止数据被破坏后无法恢复的重要手段 而硬件备份等更是保证系统可用的重要内容 在高级别的信息系统中采用异地适时备份会有效的防治灾难发生时可能造成的系统危害 保证数据安全和备份恢复主要从 数据完整性 数据保密性 备份和恢复等三个控制点考虑 各级系统安全保护要求 数据安全及备份恢复 各级系统安全保护要求 数据安全及备份恢复 一级数据安全及备份恢复要求 对数据完整性用户数据在传输过程提出要求 能够检测出数据完整性受到破坏 同时能够对重要信息进行备份 二级数据及备份恢复安全要求 对数据完整性的要求增强 范围扩大 要求鉴别信息和重要业务数据在传输过程中都要保证其完整性 对数据保密性要求实现鉴别信息存储保密性 数据备份增强 要求一定的硬件冗余 三级数据及备份恢复安全要求 对数据完整性的要求增强 范围扩大 增加了系统管理数据的传输完整性 不仅能够检测出数据受到破坏 并能进行恢复 对数据保密性要求范围扩大到实现系统管理数据 鉴别信息和重要业务数据的传输和存储的保密性 数据的备份不仅要求本地完全数据备份 还要求异地备份和冗余网络拓扑 四级数据及备份恢复安全要求 为进一步保证数据的完整性和保密性 提出使用专有的安全协议的要求 同时 备份方式增加了建立异地适时灾难备份中心 在灾难发生后系统能够自动切换和恢复 各级系统安全保护要求 安全管理制度 在信息安全中 最活跃的因素是人 对人的管理包括法律 法规与政策的约束 安全指南的帮助 安全意识的提高 安全技能的培训 人力资源管理措施以及企业文化的熏陶 这些功能的实现都是以完备的安全管理政策和制度为前提 这里所说的安全管理制度包括信息安全工作的总体方针 策略 规范各种安全管理活动的管理制度以及管理人员或操作人员日常操作的操作规程 安全管理制度主要包括 管理制度 制定和发布 评审和修订三个控制点 各级系统安全保护要求 安全管理制度 各级系统安全保护要求 安全管理制度 一级安全管理制度要求 主要明确了制定日常常用的管理制度 并对管理制度的制定和发布提出基本要求 二级安全管理制度要求 在控制点上增加了评审和修订 管理制度增加了总体方针和安全策略 和对各类重要操作建立规程的要求 并且管理制度的制定和发布要求组织论证 三级安全管理制度要求 在二级要求的基础上 要求机构形成信息安全管理制度体系 对管理制度的制定要求和发布过程进一步严格和规范 对安全制度的评审和修订要求领导小组的负责 四级安全管理制度要求 在三级要求的基础上 主要考虑了对带有密级的管理制度的管理和管理制度的日常维护等 各级系统安全保护要求 安全管理机构 安全管理 首先要建立一个健全 务实 有效 统一指挥 统一步调的完善的安全管理机构 明确机构成员的安全职责 这是信息安全管理得以实施 推广的基础 在单位的内部结构上必须建立一整套从单位最高管理层 董事会 到执行管理层以及业务运营层的管理结构来约束和保证各项安全管理措施的执行 其主要工作内容包括对机构内重要的信息安全工作进行授权和审批 内部相关业务部门和安全管理部门之间的沟通协调以及与机构外部各类单位的合作 定期对系统的安全措施落实情况进行检查 以发现问题进行改进 安全管理机构主要包括 岗位设置 人员配备 授权和审批 沟通和合作以及审核和检查等五个控制点 各级系统安全保护要求 安全管理机构 各级系统安全保护要求 安全管理机构 一级安全管理机构要求 主要要求对开展信息安全工作的基本工作岗位进行配备 对机构重要的安全活动进行审批 加强对外的沟通和合作 二级安全管理机构要求 在控制点上增加了审核和检查 同时 在一级基础上 明确要求设立安全主管等重要岗位 人员配备方面提出安全管理员不可兼任其它岗位原则 沟通与合作的范围增加与机构内部及与其他部门的合作和沟通 三级安全管理机构要求 对于岗位设置 不仅要求设置信息安全的职能部门 而且机构上层应有一定的领导小组全面负责机构的信息安全全局工作 授权审批方面加强了授权流程控制以及阶段性审查 沟通与合作方面加强了与外部组织的沟通和合作 并聘用安全顾问 同时对审核和检查工作进一步规范 四级安全管理机构要求 同三级要求 各级系统安全保护要求 人员安全管理 人 是信息安全中最关键的因素 同时也是信息安全中最薄弱的环节 很多重要的信息系统安全问题都涉及到用户 设计人员 实施人员以及管理人员 如果这些与人员有关的安全问题没有得到很好的解决 任何一个信息系统都不可能达到真正的安全 只有对人员进行了正确完善的管理 才有可能降低人为错误 盗窃 诈骗和误用设备的风险 从而减小了信息系统遭受人员错误造成损失的概率 对人员安全的管理 主要涉及两方面 对内部人员的安全管理和对外部人员的安全管理 具体包括 人员录用 人员离岗 人员考核 安全意识教育和培训和外部人员访问管理等五个控制点 各级系统安全保护要求 人员安全管理 各级系统安全保护要求 人员安全管理 一级人员安全管理要求 对人员在机构的工作周期 即 录用 日常培训 离岗 的活动提出基本的管理要求 同时 对外部人员访问要求得到授权和审批 二级人员安全管理要求 在控制点上增加了人员考核 对人员的录用和离岗要求进一步增强 过程性要求增加 安全教育培训更正规化 对外部人员的访问活动约束其访问行为 三级人员安全管理要求 在二级要求的基础上 增强了对关键岗位人员的录用 离岗和考核要求 对人员的培训教育更具有针对性 外部人员访问要求更具体 四级人员安全管理要求 在三级要求的基础上 提出了保密要求和关键区域禁止外部人员访问的要求 各级系统安全保护要求 系统建设管理 信息系统的安全管理贯穿系统的整个生命周期 系统建设管理主要关注的是生命周期中的前三个阶段 即 初始 采购 实施 中各项安全管理活动 系统建设管理分别从工程实施建设前 建设过程以及建设完毕交付等三方面考虑 具体包括 系统定级 安全方案设计 产品采购和使用 自行软件开发 外包软件开发 工程实施 测试验收 系统交付 系统备案 等级测评和安全服务商选择等十一个控制点 各级系统安全保护要求 系统建设管理 各级系统安全保护要求 系统建设管理 一级系统建设管理要求 对系统建设整体过程所涉及的各项活动进行基本的规范 如 先定级 方案准备 安全产品按要求采购 软件开发 自行 外包 的基本安全 实施的基本管理 建设后的安全性验收 交付等都进行要求 二级系统建设管理要求 在控制点上增加了系统备案和安全测评 增加了某些活动的文档化要求 如软件开发管理制度 工程实施应有实施方案要求等 同时 对安全方案 验收报告等增加了审定要求 产品的采购增加了密码产品的采购要求等 三级系统建设管理要求 对建设过程的各项活动都要求进行制度化规范 按照制度要求进行活动的开