等保体系架构

等保体系架构

安全技术策略

7.1.1 物理安全

7.1.1.1 物理位置的选择(G3)7.1.1.2 物理访问控制(G3)7.1.1.3 防盗窃和防破坏(G3)7.1.1.4 防雷击(G3)7.1.1.5 防火(G3)7.1.1.6 防水和防潮(G3)7.1.1.7 防静电(G3)7.1.1.8 温湿度控制(G3)7.1.1.9 电力供应(A3)7.1.1.10 电磁防护(S3)

7.1.2 网络安全

7.1.2.1 结构安全(G3)7.1.2.2 访问控制(G3)7.1.2.3 安全审计(G3)7.1.2.4 边界完整性检查(S3)7.1.2.5 入侵防范(G3)7.1.2.6 恶意代码防范(G3)7.1.2.7 网络设备防护(G3)

7.1.3 主机安全

7.1.3 主机安全7.1.3.1 身份鉴别(S3)7.1.3.2 访问控制(S3)7.1.3.3 安全审计(G3)7.1.3.4 剩余信息保护(S3)7.1.3.5 入侵防范(G3)7.1.3.6 恶意代码防范(G3)7.1.3.7 资源控制(A3)

7.1.4 应用安全

7.1.4.1 身份鉴别(S3)7.1.4.2 访问控制(S3)7.1.4.3 安全审计(G3)7.1.4.4 剩余信息保护(S3)7.1.4.5 通信完整性(S3)7.1.4.6 通信保密性(S3)7.1.4.7 抗抵赖(G3)7.1.4.8 软件容错(A3)7.1.4.9 资源控制(A3)

7.1.5 数据安全及备份恢复

7.1.5.1 数据完整性(S3)7.1.5.2 数据保密性(S3)7.1.5.3 备份和恢复(A3)

安全管理策略

7.2.1 安全管理制度

7.2.1.1 管理制度(G3)7.2.1.2 制定和发布(G3)7.2.1.3 评审和修订(G3)

1.1-信息安全方针和策略文件1.2-制定与发布管理规定1.3-评审与修订管理规定

7.2.2 安全管理机构

7.2.2.1 岗位设置(G3)7.2.2.2 人员配备(G3)

2.1-信息安全组织架构附件：岗位职责说明书

7.2.2.3 授权和审批(G3)7.2.2.4 沟通和合作(G3)7.2.2.5 审核和检查(G3)

2.2-授权和审批管理规范2.3-沟通与合作管理规范2.4-安全检查管理规范2.5-安全审核管理规范

5.14-风险评估管理规定5.15-信息安全漏洞扫描规范

7.2.3 人员安全管理\u00A0

7.2.3.1 人员录用(G3)7.2.3.2 人员离岗(G3)

3.1-人员聘用与离职管理规定

7.2.3.3 人员考核(G3)7.2.3.4 安全意识教育和培训(G3)7.2.3.5 外部人员访问管理(G3)

3.2-人员考核管理规范3.3-安全责任惩戒管理规范3.4-信息安全培训管理规范3.5-第三方人员安全管理规定

7.2.4 系统建设管理

7.2.4.1 系统定级(G3) 不适用7.2.4.2 安全方案设计(G3)7.2.4.3 产品采购和使用(G3)7.2.4.4 自行软件开发(G3)7.2.4.5 外包软件开发(G3)7.2.4.6 工程实施(G3)7.2.4.7 测试验收(G3)7.2.4.8 系统交付(G3)7.2.4.9 系统备案(G3)不适用7.2.4.10 等级测评(G3)不适用7.2.4.11 安全服务商选择(G3)

4.1-产品采购和使用管理规定4.2-自行软件开发管理办法4.3-外包软件开发管理办法4.4-代码编写安全规范4.5-项目验收管理规范4.6-信息系统安全方案设计建设规范

7.2.5 系统运维管理

7.2.5.1 环境管理(G3)

5.1-机房安全管理制度5.2-办公区安全管理制度

7.2.5.2 资产管理(G3)7.2.5.3 介质管理(G3)7.2.5.4 设备管理(G3)

5.3-资产安全管理规定5.4-存储介质管理规定5.5-设备安全管理规定

7.2.5.5 监控管理和安全管理中心(G3)7.2.5.6 网络安全管理(G3)7.2.5.7 系统安全管理(G3)

5.6-网络安全管理规定5.7-系统安全管理规范

7.2.5.8 恶意代码防范管理(G3)

5.8-恶意代码防范管理规范

7.2.5.9 密码管理(G3)

5.9-用户密码管理办法

7.2.5.10 变更管理(G3)

5.10-系统变更管理规定

7.2.5.12 安全事件处置(G3)

5.12-安全事件管理规定

7.2.5.13 应急预案管理(G3)

5.13-应急预案管理办法

数据备份与恢复

5.11-数据备份与恢复管理规定