根据等保2.0要求
“根据等保2.0要求”相关的资料有哪些?“根据等保2.0要求”相关的范文有哪些?怎么写?下面是小编为您精心整理的“根据等保2.0要求”相关范文大全或资料大全,欢迎大家分享。
等保2.0二级要求.docx
7第二级安全要求
7.1安全通用要求
7.1.1安全物理环境
7.1.1.1物理位置选择
本项要求包括:
a)机房场地应选择在具有防震、防风和防雨等能力的建筑内;
b)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。
7.1.1.2物理访问控制
机房出入口应安排专人值守或配置电子门禁系统。控制、鉴别和记录进人的人员。
7.1.1.3防盗窃和防破坏
本项要求包括:
a)应将设备或主要部件进行固定,并设置明显的不易擦除的标识;
b)应将通信线缆铺设在隐藏安全处。
7.1.1.4防雷击
应将各类机柜、设施和设备等通过接地系统安全接地。
7.1.1.5防火
本项要求包括:
a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;
b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。
7.1.1.6防水和防潮
本项要求包括:
a)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;
b)应采取措施防止机房水蒸气结露和地下积水的转移与渗透。
7.1.1.7防静电
应采用防静电地板或地面并采用必要的接地防静电措施。
7.1.1.8温湿度控制
应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内。
7.1.1.9电力供应
本项要求包括:
a)应在机房供电线路
等保分级及要求
一、等保分级及要求 等保级别5级 分级标准 要求
1 个人,法人,团体,造成损害。但对国家和社会不造成损害的 防护
2 个人法人,社会造成严重损害,对社会造成损害,但不损害国家安全的 防护/检查 3 对社会持续和公共利益造成严重损害或对国家安全造成损害的 策略/防护/检查/恢复 4 对社会持续和公共利益造成特别严重损害或对国家安全造成严重损害的 策略/防护/检测/恢复/响应
5 对国家安全造成特别严重损害的 策略/防护/检测/恢复/响应 二、等保定级
商业银行,核心业务系统为四级,网上银行、跨省骨干网,重要支撑系统,在线服务系统为三级,其他为二级
银联,银行卡信息交换是四级,跨省骨干网为三级,其他为两级 三、相关标准
《信息系统安全等级保护实施指南》 《信息系统安全等级保护基本要求》(GB/T 22239-2008) 《信息系统安全等级保护定级指南》(GB/T 22240-2008) 《信息安全等级保护备案工作实施细则》
《信息系统等级保护安全建设技术方案设计要求》 《信息系统安全等级保护测评规范》
《公安机关信息安全等级保护检查工作规范》 四、评测方式:
访谈,检查,测试 五、等保测试要求 物理位置的选择 物理访问控制 防盗窃和
等保分级及要求
一、等保分级及要求 等保级别5级 分级标准 要求
1 个人,法人,团体,造成损害。但对国家和社会不造成损害的 防护
2 个人法人,社会造成严重损害,对社会造成损害,但不损害国家安全的 防护/检查 3 对社会持续和公共利益造成严重损害或对国家安全造成损害的 策略/防护/检查/恢复 4 对社会持续和公共利益造成特别严重损害或对国家安全造成严重损害的 策略/防护/检测/恢复/响应
5 对国家安全造成特别严重损害的 策略/防护/检测/恢复/响应 二、等保定级
商业银行,核心业务系统为四级,网上银行、跨省骨干网,重要支撑系统,在线服务系统为三级,其他为二级
银联,银行卡信息交换是四级,跨省骨干网为三级,其他为两级 三、相关标准
《信息系统安全等级保护实施指南》 《信息系统安全等级保护基本要求》(GB/T 22239-2008) 《信息系统安全等级保护定级指南》(GB/T 22240-2008) 《信息安全等级保护备案工作实施细则》
《信息系统等级保护安全建设技术方案设计要求》 《信息系统安全等级保护测评规范》
《公安机关信息安全等级保护检查工作规范》 四、评测方式:
访谈,检查,测试 五、等保测试要求 物理位置的选择 物理访问控制 防盗窃和
政务系统三级等保要求
计算机等级保护三级要求
等保安全要求
措施建议
三级综合解决 方案 A
三级综合解决 方案 B
三级综合解决 方案 C
第 在网络边界部署访问控制设备, 启用 防火墙(FW) 三 端口级访问控制功能,并对进出网络的 级 信息内容进行过滤,实现对应用层 HTTP、FTP、TELNET、SMTP、POP3 等协议命令级的控制
1、网络设备的 1、统一威胁管 1、防火墙 安全插卡或安 理设备(UTM) 2、入侵检测系 全模块 (解决防 火墙、入侵防 御、 防病毒、 接 入管理等问题, 目前思科和 H3C 都有相应 设备, 如采取该 方案应结合网 络设备选型) 2、安全管理系 统 3、网络管理系 统 2、安全管理系 统 3、网络管理系 统 4、接入管理系 统 统 3、防病毒网关 或 2、3 可替换 为入侵防御系 统 4、安全审计系 统 5、安全管理系 统 6、网络管理系 统 7、接入管理系 统
政务系统三级等保要求
计算机等级保护三级要求
等保安全要求
措施建议
三级综合解决 方案 A
三级综合解决 方案 B
三级综合解决 方案 C
第 在网络边界部署访问控制设备, 启用 防火墙(FW) 三 端口级访问控制功能,并对进出网络的 级 信息内容进行过滤,实现对应用层 HTTP、FTP、TELNET、SMTP、POP3 等协议命令级的控制
1、网络设备的 1、统一威胁管 1、防火墙 安全插卡或安 理设备(UTM) 2、入侵检测系 全模块 (解决防 火墙、入侵防 御、 防病毒、 接 入管理等问题, 目前思科和 H3C 都有相应 设备, 如采取该 方案应结合网 络设备选型) 2、安全管理系 统 3、网络管理系 统 2、安全管理系 统 3、网络管理系 统 4、接入管理系 统 统 3、防病毒网关 或 2、3 可替换 为入侵防御系 统 4、安全审计系 统 5、安全管理系 统 6、网络管理系 统 7、接入管理系 统
等保测评3级-技术测评要求
技术测评要求(S3A3G3)
等级保护三级技术类测评控制点(S3A3G3) 类别 物理位置的选择 序号 1. 2. 3. 4. 物理物理访问安全 控制 5. 测 评 内 容 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。(G2) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。(G3) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员。(G2) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。(G2) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域。(G3) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。(G3) 应将主要设备放置在机房内。(G2) 应将设备或主要部件进行固定,并设置明显的不易除去的标记。(G2) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中。(G2) 访谈,检查。 物理安全负责人,机房值守 人员,机房,机房安全管理制度,值守记录,进入机房的 登记记录,来访人员进入机房的审批记录。 测评方法 访谈,检查。 物理安全负责人,机房,办公场地, 机房场地设计/验收文档。 结果记录 符合情况 Y N
机房等保三级技术要求(加分类)
技术测评要求(S3A3G3)
等级保护三级技术类测评控制点(S3A3G3) 类别 物理位置的选择 序号 1. 2. 3. 4. 物理物理访问安全 控制 5. 测 评 内 容 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。(G2) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。(G3) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员。(G2) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。(G2) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域。(G3) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。(G3) 应将主要设备放置在机房内。(G2) 应将设备或主要部件进行固定,并设置明显的不易除去的标记。(G2) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中。(G2) 访谈,检查。 物理安全负责人,机房值守 人员,机房,机房安全管理制度,值守记录,进入机房的 登记记录,来访人员进入机房的审批记录。 测评方法 访谈,检查。 物理安全负责人,机房,办公场地, 机房场地设计/验收文档。 结果记录 符合情况 Y N
机房等保三级技术要求(加分类)
技术测评要求(S3A3G3)
等级保护三级技术类测评控制点(S3A3G3) 类别 物理位置的选择 序号 1. 2. 3. 4. 物理物理访问安全 控制 5. 测 评 内 容 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。(G2) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。(G3) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员。(G2) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。(G2) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域。(G3) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。(G3) 应将主要设备放置在机房内。(G2) 应将设备或主要部件进行固定,并设置明显的不易除去的标记。(G2) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中。(G2) 访谈,检查。 物理安全负责人,机房值守 人员,机房,机房安全管理制度,值守记录,进入机房的 登记记录,来访人员进入机房的审批记录。 测评方法 访谈,检查。 物理安全负责人,机房,办公场地, 机房场地设计/验收文档。 结果记录 符合情况 Y N
安全企业谈等保2.0(五) 云端互联网金融业务的安全要求及解决方
安全企业谈等保2.0(五)云端互联网金融
业务的安全要求及解决方案
编者按
互联网金融业务系统上云后的安全是当下热点,本文梳理了等级保护云计算安全和非银行金融机构安全监管这两方面的合规性要求,将两者加以融合、针对其主要的安全问题和需求,提出云端互联网金融的安全防护、安全检测和安全监测三大类措施与安全服务解决方案。
正文
目前,公有云的建设发展成为互联网时代的风向标,如阿里云、亚马逊等建立的公有云规模增长迅速。在移动互联网发展推波助澜之下,依托移动互联网开展P2P网贷、线上理财、消费金融、三方支付业务的企业为了享受公有云提供的快捷、弹性架构,从而纷纷将应用系统部署到云上。
首先,合规要求方面,《信息系统安全等级保护基本要求云计算扩展要求》(以下简称“《云等保》”)定义云计算服务带来了“云主机”等虚拟计算资源,将传统IT环境中信息系统运营、使用单位的单一安全责任转变为云租户和云服务商双方“各自分担”的安全责任。这点明确了企业作为云租户,其应用系统都需要定级且符合对应等级安全控制措施要求。2016年12月银监会发布了188号文,《中国银监会办公厅关于加强非银行金融机构信息科技建设和管理的指导意见》(以下简称“《指导意见》”),对信托公司和金融资产管理
等保测评概念
等保测评
测评基本内容
对信息系统安全等级保护状况进行测试评估,应包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。
对安全控制测评的描述,使用测评单元方式组织。测评单元分为安全技术测 评和安全管理测评两大类。安全技术测评包括:物理安全、网络安全、主机系统 安全、应用安全和数据安全等五个层面上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评。具体见下图:
测评过程
等级测评过程分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。
测评准备测评方法 编号 1 方案编制现场测评报告编制 测试方法 人员访谈 测试方法说明 与被测信息系统相关管理人员进行交流、讨论等活动,获取相关证据,了解相关信息。 检查被测信息系统是否具有GB/T 22239-2008中规定的的制度、策略、操作规程等文档,检查是否有完整的制度执行情况2 文档审查 记录