中国石化集团信息系统安全等级保护评估和检查细则.doc

目 次 目 次 1 1. 范围 4 2. 规范性引用文件 4 3. 术语和定义 4 3.1. 工作单元 4 3.2. 评估和检查强度 4 4. 总则 4 4.1. 评估和检查原则 4 4.2. 评估和检查内容 5 5. Ⅰ级安全评估和检查 6 5.1. 信息安全管理评估和检查 6 5.1.1. 安全管理机构 6 5.1.2. 安全管理制度 6 5.1.3. 人员安全管理 7 5.1.4. 系统建设管理 8 5.1.5. 系统运行维护管理 10 5.2. 信息安全技术评估和检查 13 5.2.1. 物理安全 13 5.2.2. 网络安全 14 5.2.3. 主机安全 15 5.2.4. 应用安全 17 5.2.5. 数据安全及备份恢复 18 6. ⅡA级安全评估和检查 20 6.1. 信息安全管理评估和检查 20 6.1.1. 安全管理机构 20 6.1.2. 安全管理制度 22 6.1.3. 人员安全管理 22 6.1.4. 系统建设管理 25 6.1.5. 系统运行维护管理 27 6.2. 信息安全技术评估和检查 32 6.2.1. 物理安全 32 6.2.2. 网络安全 36 6.2.3. 主机安全 39 6.2.4. 应用安全 42 6.2.5. 数据安全及备份恢复 45 7. ⅡB级安全评估和检查 47 7.1. 信息安全管理评估和检查 47 7.1.1. 安全管理机构 47 7.1.2. 安全管理制度 50 7.1.3. 人员安全管理 50 7.1.4. 系统建设管理 53 7.1.5. 系统运行维护管理 55 7.2. 信息安全技术评估和检查 60 7.2.1. 物理安全 60 7.2.2. 网络安全 63 7.2.3. 主机安全 67 7.2.4. 应用安全 69 7.2.5. 数据安全及备份恢复 72 8. ⅢA级安全评估和检查 75 8.1. 信息安全管理评估和检查 75 8.1.1. 安全管理机构 75 8.1.2. 安全管理制度 78 8.1.3. 人员安全管理 79 8.1.4. 系统建设管理 81 8.1.5. 系统运行维护管理 84 8.2. 信息安全技术评估和检查 91 8.2.1. 物理安全 91 8.2.2. 网络安全 95 8.2.3. 主机安全 98 8.2.4. 应用安全 102 8.2.5. 数据安全及备份恢复 107 9. ⅢB级安全评估和检查 108 9.1. 信息安全管理评估和检查 108 9.1.1. 安全管理机构 108 9.1.2. 安全管理制度 112 9.1.3. 人员安全管理 113 9.1.4. 系统建设管理 116 9.1.5. 系统运行维护管理 120 9.2. 信息安全技术评估和检查 127 9.2.1. 物理安全 127 9.2.2. 网络安全 132 9.2.3. 主机安全 137 9.2.4. 应用安全 144 9.2.5. 数据安全及备份恢复 150 10. Ⅳ级安全评估和检查 153 10.1. 信息安全管理评估和检查 153 10.1.1. 安全管理机构 153 10.1.2. 安全管理制度 157 10.1.3. 人员安全管理 158 10.1.4. 系统建设管理 162 10.1.5. 系统运行维护管理 168 10.2. 信息安全技术评估和检查 177 10.2.1. 物理安全 177 10.2.2. 网络安全 185 10.2.3. 主机安全 191 10.2.4. 应用安全 201 10.2.5. 数据安全及备份恢复 210 引 言 根据《中国石化集团信息系统安全等级保护基本要求》，为推动中国石化信息系统安全等级保护工作的开展，结合国家信息系统安全等级保护检查细则的相关要求，修订本细则。 范围 本规定了安全等级保护要求。 本适用于对安全等级保护。GB17859-1999计算机信息系统安全保护等级划分准则 GB/T 5271.8 信息技术 词汇 第8部分：安全 GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 术语和定义 GB/T 5271.8和GB/T 22239-2008所确立的以及下列术语和定义适用于本细则。 工作单元 工作单元是安全评估和检查的最小工作单位，由评估和检查项目、评估和检查内容、评估和检查标准、评估和检查方法以及备注等组成，分别描述评估和检查项目和内容、评估和检查过程中涉及的评估和检查标准。 评估和检查强度 评估和检查是一个自评估的工作，通过评估和检查工作对比等级保护的工作。 评估和检查的广度和深度，体现评估和检查工作的实际投入程度。 总则 评估和检查原则 评估和检查原则包括： 客观性和公正性原则 虽然评估和检查工作不能完全摆脱个人主张或判断，但评估和检查人员应当没有偏见，在最小