網(wǎng)絡(luò)安全法與等級保護.ppt

《網(wǎng)絡(luò)安全法與等級保護.ppt》由會員分享，可在線閱讀，更多相關(guān)《網(wǎng)絡(luò)安全法與等級保護.ppt（43頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、網(wǎng)絡(luò)安全法與等級保護 一、網(wǎng)絡(luò)安全法 二 、 信息安全等級保護 目 錄 一、網(wǎng)絡(luò)安全法 制定網(wǎng)絡(luò)安全法的 意義 網(wǎng)絡(luò)安全法 是我國第一部全面規(guī)范網(wǎng)絡(luò)空間安全管理 方面問題的基礎(chǔ)性法律 ， 是我國網(wǎng)絡(luò)空間法治建設(shè)的重要里 程碑 ， 是依法治網(wǎng) 、 化解網(wǎng)絡(luò)風險的法律重器 ， 是讓互聯(lián)網(wǎng) 在法治軌道上健康運行的重要保障 。 網(wǎng)絡(luò)安全法 將近年來一些成熟的好做法制度化 ， 并為 將來可能的制度創(chuàng)新做了原則性規(guī)定 ， 為網(wǎng)絡(luò)安全工作提供 切實法律保障 。 1、總體框架 共 7章 79條。 第一章 總 則 第二章 網(wǎng)絡(luò)安全支持與促進 第三章 網(wǎng)絡(luò)運行安全

2、 第一節(jié) 一般規(guī)定 第二節(jié) 關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全 第四章 網(wǎng)絡(luò)信息安全 第五章 監(jiān)測預警與應急處置 第六章 法律責任 第七章 附 則 （一）綜述 2、 定位 是互聯(lián)網(wǎng)領(lǐng)域 、 網(wǎng)絡(luò)安全的 基礎(chǔ)性法律 。 是黨的十八大以來的又一部重要法律 。 3、 制定過程 2013年下半年提上日程 ， 2014年形成草案 ， 15年初 形成征求意見稿 ， 15年 6月一審 ， 16年 6月二審 、 10月 31日三審 、 11月 7日人大通過 ， 2017年 6月 1日起施行 。 154票贊成 、 0票反對 、 1票棄權(quán) 。 確立了網(wǎng)

3、絡(luò)安全法律規(guī)范的基本原則 明確了網(wǎng)絡(luò)安全工作的重點 提出制定網(wǎng)絡(luò)安全戰(zhàn)略，明確網(wǎng)絡(luò)空間治理目標 完善了網(wǎng)絡(luò)安全監(jiān)管體制 強化了網(wǎng)絡(luò)運行安全，重點保護關(guān)鍵信息基礎(chǔ)設(shè)施 完善了網(wǎng)絡(luò)安全義務(wù)和責任 將監(jiān)測預警與應急處置措施制度化、規(guī)范化 制定網(wǎng)絡(luò)安全法的 意義 5、 有關(guān)概念 網(wǎng)絡(luò) ： 是指由計算機或者其他信息終端及相關(guān)設(shè)備組成的 按照一定的規(guī)則和程序?qū)π畔⑦M行收集 、 存儲 、 傳輸 、 交換 、 處理的系統(tǒng) 。 網(wǎng)絡(luò)安全 ： 是指通過采取必要措施 ， 防范對網(wǎng)絡(luò)的攻擊 、 侵入 、 干擾 、 破壞和非法使用以及意外事故 ， 使網(wǎng)絡(luò)處于穩(wěn) 定可靠運行的

4、狀態(tài) ， 以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性 、 保密性 、 可用性的能力 。 網(wǎng)絡(luò)運營者 ： 是指網(wǎng)絡(luò)的所有者 、 管理者和網(wǎng)絡(luò)服務(wù)提供 者 。 網(wǎng)絡(luò)數(shù)據(jù) ： 是指通過網(wǎng)絡(luò)收集 、 存儲 、 傳輸 、 處理和產(chǎn)生 的各種電子數(shù)據(jù) 。 個人信息 ： 是指以電子或者其他方式記錄的能夠單獨或者 與其他信息結(jié)合識別自然人個人身份的各種信息 ， 包括但 不限于自然人的姓名 、 出生日期 、 身份證件號碼 、 個人生 物識別信息 、 住址 、 電話號碼等 。 第二十一條 國家實行網(wǎng)絡(luò)安全等級保護制度 。 網(wǎng)絡(luò)運營者應當按 照網(wǎng)絡(luò)安全等級保護制度的要求 ， 履行下列安全保護義務(wù) 。 第三十一

5、條 國家對公共通信和信息服務(wù) 、 能源 、 交通 、 水利 、 金 融 、 公共服務(wù) 、 電子政務(wù)等重要行業(yè)和領(lǐng)域 ， 以及其他一旦遭到破壞 、 喪失功能或者數(shù)據(jù)泄露 ， 可能嚴重危害 國家安全 、 國計民生 、 公共利 益的關(guān)鍵信息基礎(chǔ)設(shè)施 ， 在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上 ， 實行重 點 保護 。 第三十八 條 關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應當自行或者委托網(wǎng)絡(luò)安 全服務(wù)機構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風險每年至少進行一次檢 測評估 ， 并將檢測評估情況和改進措施報送相關(guān)負責關(guān)鍵信息基礎(chǔ)設(shè) 施安全保護工作的部門 。 （ 等級測評 ） 網(wǎng)絡(luò)安全等級保護制度（ 上升為法律）

6、 （ 1） 安全風險 評估要求 具體內(nèi)容：應當自行或者委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)對其網(wǎng)絡(luò)的安 全性和可能風險每年至少 1次檢測評估；檢測評估情況和改進措 施報送相關(guān)負責部門。 法律責任：由有關(guān)主管部門責令改正， 給予警告；拒不改正或者導致危害網(wǎng)絡(luò)安全等后果的， 處 10-100 萬 罰款，對 直接負責的主管人員處 1-10萬 罰款。 網(wǎng)絡(luò)安全法要求及處罰 （ 2）網(wǎng)絡(luò) 安全等級 保護要求 具體內(nèi)容：制度建設(shè)與負責人；安全防范技術(shù)措施；不少于 6 個月的安全日志；數(shù)據(jù)分類與備份加密。 法律責任：責令改正及警告；警告不改 罰款公司 1-10萬 ， 主管 5

7、千 -5萬 。 網(wǎng)絡(luò)安全法要求及處罰 （ 3） 安全技術(shù)措施 同步要求 具體內(nèi)容：建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應當確保其具有支持業(yè)務(wù)穩(wěn) 定、持續(xù)運行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè) 、同步使用。 法律責任：由有關(guān)主管部門責令改正，給予警告；拒不改正或 者導致危害網(wǎng)絡(luò)安全等后果的， 處 10萬元以上 100萬元以下 罰款 ，對 直接負責的主管人員處 1萬元以上 10萬元以下 罰款。 網(wǎng)絡(luò)安全法要求及處罰 （ 4）采購 安全保密要求 具體內(nèi)容 :采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應當按照規(guī)定與提供者簽訂安 全保密協(xié)議，明確安全和保密義務(wù)與責任。 法律責任：責令改正，給予警告；拒不

8、改正或者導致危害網(wǎng)絡(luò)安 全等后果的， 處 10-100萬 罰款，對 直接負責的主管人員處 1-10萬 罰款。 網(wǎng)絡(luò)安全法要求及處罰 （ 5） 信息與數(shù)據(jù)境內(nèi)存儲及跨境數(shù)據(jù)傳輸?shù)陌踩?評估要求 具體內(nèi)容 :境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應當 在境內(nèi)存儲；需向境外提供的，應當按照國家網(wǎng)信部門會同國務(wù) 院有關(guān)部門制定的辦法進行安全評估。 法律責任：責令改正，給予警告，沒收違法所得；處 5-50萬 罰款 ，并可以責令 暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相 關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照 ；對 直接負責主管和直接責任人 處 1-10萬 罰款。 網(wǎng)絡(luò)安全法要求及處罰 （

9、6） 應急 預案要求 具體內(nèi)容：制定網(wǎng)絡(luò)安全事件應急預案；在發(fā)生危害網(wǎng)絡(luò)安全 的事件時，立即啟動應急預案；按照規(guī)定向有關(guān)主管部門報告。 法律責任：責令改正及警告；警告不改罰款 公司 1-10萬，主管 5千 -5萬 。 網(wǎng)絡(luò)安全法要求及處罰 根據(jù) 網(wǎng)絡(luò)安全法 第六章 -法律責任相關(guān)條款解釋：本法律處罰力度空前嚴格 ， 處 罰不僅涉及到企業(yè) ， 而且涉及到法人 、 管理人員 、 一般員工等多個層面；既有經(jīng)濟處罰 ， 也有行政處罰 。 對于違法問題有關(guān)主管部門責令改正 ， 給予警告；拒不改正或者情節(jié)嚴重的 ， 處一 萬元以上一百萬元以下罰款 ， 并

10、可以由有關(guān)主管部門責令暫停相關(guān)業(yè)務(wù) 、 停業(yè)整頓 、 關(guān) 閉網(wǎng)站 、 吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照 ， 對直接負責的主管人員和其他直接責 任人員處五千元以上十萬元以下罰款 。 尚不構(gòu)成犯罪的 ， 由公安機關(guān)沒收違法所得 ， 處五日以下拘留 ， 可以并處五萬元以 上五十萬元以下罰款；情節(jié)較重的 ， 處五日以上十五日以下拘留 ， 可以并處十萬元以上 一百萬元以下罰款 。 受到治安管理處罰的人員 ， 五年內(nèi)不得從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運營關(guān)鍵崗位的工 作；受到刑事處罰的人員 ， 終身不得從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運營關(guān)鍵崗位的工作 。 依照有關(guān)法律 、 行政法規(guī)的規(guī)定記入

11、信用檔案 ， 并予以公示 。 網(wǎng)絡(luò)安全法 自 2017年 6月 1日正式實施 ， 網(wǎng)絡(luò)安全等級保護制度已經(jīng)上升為 法律規(guī)定的強制義務(wù) ， 這是我國自 1994年發(fā)布實施 中華人民共和國計算機信息 系統(tǒng)保護條例 將 “ 等級保護 ” 明確為我國計算機安全保護的根本制度以來 ， 首 次將其寫入法律 。 從實施以來已經(jīng)處罰騰訊微信 、 新浪微博 、 百度貼吧 、 boss直聘 、 京東 、 淘寶 網(wǎng) 、 蝦米音樂網(wǎng) 、 蘑菇街互動網(wǎng)等上百家的企事業(yè)單位 。 對于違反 網(wǎng)絡(luò)安全法 的處罰視情節(jié)嚴重 ， 處罰措施分為： 1、 責令改正 ， 給予警告； 2、 拒不改正或者導

12、致危害網(wǎng)絡(luò)安全等后果的 ， 對企業(yè)處 1-100萬罰款 ， 對直接負 責的主管 員和其他直接責任人員處 1-10萬罰款； 3、 并可以責令暫停相關(guān)業(yè)務(wù) 、 停業(yè)整頓 、 關(guān)閉網(wǎng)站 、 吊銷相關(guān)業(yè)務(wù)許可證或者吊 銷營業(yè)執(zhí)照 。 二 、 信息安全等級保護 信息安全等級保護定義 信息安全等級保護管理辦法（試行） ：信息安全等級保護是指 對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息 和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對 信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā) 生的信息安全事件分等級響應、處置。 信息安全等級保護管理辦法

13、 國家通過制定統(tǒng)一的信息安全等級 保護管理規(guī)范和技術(shù)標準，組織公民、法人和其他組織對信息系統(tǒng) 分等級實行安全保護，對等級保護工作的實施進行監(jiān)督、管理。 第一級為自主保護級，適用于一般的信息和信息系統(tǒng)，其受到破 壞后，會對公民、法人和其他組織的合法權(quán)益造成一定損害，但不損 害國家安全、社會秩序和公共利益。 第二級為指導保護級，信息系統(tǒng)受到破壞后，會對公民、法人 和其他組織的合法權(quán)益造成嚴重損害，或者對社會秩序和公共利益造 成損害，但不損害國家安全。 劃分準則 --GB 17859-1999 第三級為監(jiān)督保護級，信息系統(tǒng)受到破壞后，會對社會秩序和公 共利

14、益造成嚴重損害，或者對國家安全造成損害。 第四級為強制保護級，信息系統(tǒng)受到破壞后，會對社會秩序和 公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。 第五級為?？乇Ｗo級，適用于涉及國家安全的重要信息和信息系 統(tǒng)的核心子系統(tǒng)，其受到破壞后，會對國家安全造成特別嚴重損害。 實施指南 GB/T 25058-2010 等級保護實施過程 基本原則 主要過程及其活動 角色、職責 基本流程 等級變更 局部調(diào)整 信息系統(tǒng)定級 總體安全規(guī)劃 安全設(shè)計與實施 安全運行維護 信息系統(tǒng)終止 國家管理部門 信息系統(tǒng)主管部門 信息系統(tǒng)運營、使用單位 信息安全服務(wù)機構(gòu)

15、信息安全等級測評機構(gòu) 信息安全產(chǎn)品供應商 22 等級保護之十大標準 基礎(chǔ)類 計算機信息系統(tǒng)安全保護等級劃分準則 GB 17859-1999 信息系統(tǒng)安全等級保護實施指南 GB/T 25058-2010 應用類 定級： 信息系統(tǒng)安全保護等級定級指南 GB/T 22240-2008 建設(shè)： 信息系統(tǒng)安全等級保護基本要求 GB/T 22239-2008 信息系統(tǒng)通用安全技術(shù)要求 GB/T 20271-2006 信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求 GB/T 25070-2010 測評：

16、 信息系統(tǒng)安全等級保護測評要求 GB/T 28448-2012 信息系統(tǒng)安全等級保護測評過程指南 GB/T 28449-2012 管理： 信息系統(tǒng)安全管理要求 GB/T 20269-2006 信息系統(tǒng)安全工程管理要求 GB/T 20282-2006 23 7、系統(tǒng)服務(wù)安全等級 等級保護定級指南 GB/T 22240 保護對象受到破壞時受侵害的客體 對客體的侵害程度 一般損害 嚴重損害 特別嚴重損害 公民、法人和其他組織的合法權(quán)益 第一級 第二級 第二級 社會秩序、公共利益 第二級 第三級 第四級 國家安全 第三級 第四級 第五級 等級保護

17、定級方法 保護對象 對客體的侵害程度 客體：社會關(guān)系 受侵害的客體 信息系統(tǒng)安全 系統(tǒng)服務(wù)安全 業(yè)務(wù)信息安全 3、綜合評定對客體的侵害程度 2、 確定業(yè)務(wù)信息安全受到破壞 時所侵害的客體 6、綜合評定對客體的侵害程度 5、 確定系統(tǒng)服務(wù)安全受到破壞 時所侵害的客體 4、業(yè)務(wù)信息安全等級 8、定級對象的安全保護等級 8 MAX（ 4， 7） 1、確定定級對象 （系統(tǒng)邊界） 一般流程 等級確定 24 安全保護等級 信息系統(tǒng)定級結(jié)果的組合 第一級 S1A1G1 第二級 S1A2G2， S2A2G2， S2A1G2 第三級 S1A3G3， S2A3G3， S3A

18、3G3， S3A2G3， S3A1G3 第四級 S1A4G4， S2A4G4， S3A4G4， S4A4G4， S4A3G4， S4A2G4， S4A1G4 第五級 S1A5G5， S2A5G5， S3A5G5， S4A5G5， S5A4G5， S5A3G5， S5A2G5， S5A1G5 基本保護要求（最低） 保護能力 對抗能力 恢復能力 技術(shù)要求管理要求 物理、網(wǎng)絡(luò)、主機、應用、數(shù)據(jù) 制度、機構(gòu)、人員、建設(shè)、運維 縱深防御、互補關(guān)聯(lián)、強度一致、 平臺統(tǒng)一、 集中安管 業(yè)務(wù)信息安全類要求 S 系統(tǒng)服務(wù)保證類要求 A 通用安全保護類要求 G 整體安全保護能力 關(guān)鍵控制點

19、安全類 具體要求項 控制強度 基本要求 GB/T 22239 基本保護要求（最低） 保護能力 對抗能力恢復能力 物理、網(wǎng)絡(luò)、主機、應用、數(shù)據(jù) 制度、機構(gòu)、人員、建設(shè)、運維 縱深防御、互補關(guān)聯(lián)、強度一致、 平臺統(tǒng)一、 集中安管 通用安全保護類要求 關(guān)鍵控制點 安全類 等級 保護 的內(nèi)容十個方面 業(yè)務(wù)安全 物 理 安 全 技術(shù)要求 管理要求 基本要求 網(wǎng) 絡(luò) 安 全 主 機 安 全 應 用 安 全 數(shù) 據(jù) 安 全 安 全 管 理 機 構(gòu) 安 全 管 理 制 度 人 員 安 全 管 理 系 統(tǒng) 建 設(shè) 管 理 系 統(tǒng) 運 維 管 理 安全要求類 層面 一級 二級

20、三級 四級 技術(shù)要求 物理安全 9 19 32 33 網(wǎng)絡(luò)安全 9 18 33 32 主機安全 6 19 32 36 應用安全 7 19 31 36 數(shù)據(jù)安全及備份恢復 2 4 8 11 管理要求 安全管理制度 3 7 11 14 安全管理機構(gòu) 4 9 20 20 人員安全管理 7 11 16 18 系統(tǒng)建設(shè)管理 20 28 45 48 系統(tǒng)運維管理 18 41 62 70 合計 / 85 175 290 318 級差 / / 90 115 28 控 制 項 28 基本要求 GB/T 22239 物理位置的選擇 基本防護能力 高層、地下室 物理訪問控制 基本出入控制 分區(qū)域管理

21、在機房中的活動 電子門禁 防盜竊和防破壞 存放位置、標記標識 監(jiān)控報警系統(tǒng) 防雷擊 建筑防雷、機房接地 設(shè)備防雷 防火 滅火設(shè)備、自動報警 自動消防系統(tǒng) 區(qū)域隔離措施 防 靜電 關(guān)鍵設(shè)備 主要設(shè)備 防靜電地板 電力供應 穩(wěn)定電壓、短期供應 主要設(shè)備 冗余 /并行線路 備用供電系統(tǒng) 電磁防護 線纜隔離 接地防干擾 電磁屏蔽 防水和防潮 溫濕度控制 物理安全的整改要點 結(jié)構(gòu)安全 關(guān)鍵設(shè)備冗余空間 主要設(shè)備冗余空間 訪問控制 訪問控制設(shè)備（用戶、網(wǎng)段） 應用層協(xié)議過濾 撥號訪問限制 會話終止 安全審計 日志記錄 審計報表 邊界完整性檢查

22、內(nèi)部的非法聯(lián)出 非授權(quán)設(shè)備私自外聯(lián) 網(wǎng)絡(luò)安全的整改要點 子網(wǎng) /網(wǎng)段控制 核心網(wǎng)絡(luò)帶寬 整體網(wǎng)絡(luò)帶寬 重要網(wǎng)段部署 路由控制 帶寬分配優(yōu)先級 端口控制 最大流量數(shù)及最大連接數(shù) 防止地址欺騙 審計記錄的保護 定位及阻斷 入侵防范 檢測常見攻擊 記錄、報警 惡意代碼防范 網(wǎng)絡(luò)邊界處防范 網(wǎng)絡(luò)設(shè)備防護 基本的登錄鑒別 組合鑒別技術(shù) 特權(quán)用戶的權(quán)限分離 身份鑒別 基本的身份鑒別 訪問控制 安全策略 管理用戶的權(quán)限分離 特權(quán)用戶的權(quán)限分離 安全審計 服務(wù)器基本運行情況審計 審計報表 剩余信息保護 空間釋放及信息清除 主機安全的整改要點 組合鑒別

23、技術(shù) 敏感標記的設(shè)置及操作 審計記錄的保護 入侵防范 最小安裝原則 重要服務(wù)器：檢測、記錄、報警 惡意代碼防范 主機與網(wǎng)絡(luò)的防范產(chǎn)品不同 資源控制 監(jiān)視重要服務(wù)器 最小服務(wù)水平的檢測及報警 重要客戶端的審計 升級服務(wù)器 重要程序完整性 防惡意代碼軟件、代碼庫統(tǒng)一管理 對用戶會話數(shù)及終端登錄的限制 身份鑒別 基本的身份鑒別 訪問控制 安全策略 最小授權(quán)原則 安全審計 運行情況審計（用戶級） 審計報表 剩余信息保護 空間釋放及信息清除 應用安全的整改要點 組合鑒別技術(shù) 敏感標記的設(shè)置及操作 審計過程的保護 通信完整性 校驗碼技術(shù) 密碼技術(shù) 軟

24、件容錯 自動保護功能 資源控制 資源分配限制、資源分配優(yōu)先級 最小服務(wù)水平的檢測及報警 數(shù)據(jù)有效性檢驗、部分運行保護 對用戶會話數(shù)及 系統(tǒng)最大并發(fā)會話數(shù)的限制 審計記錄的保護 通信保密性 初始化驗證 整個報文及會話過程加密 敏感信息加密 抗抵賴 數(shù)據(jù)完整性 鑒別數(shù)據(jù)傳輸?shù)耐暾? 備份和恢復 重要數(shù)據(jù)的備份 數(shù)據(jù)安全及備份恢復的整改要點 各類數(shù)據(jù)傳輸及存儲 異地備份 網(wǎng)絡(luò)冗余、硬件冗余 本地完全備份 硬件冗余 檢測和恢復 數(shù)據(jù)保密性 鑒別數(shù)據(jù)存儲的保密性 各類數(shù)據(jù)的傳輸及存儲 每天 1次 備份介質(zhì)場外存放 合理分域

25、，準確定級 信息系統(tǒng)等級保護以系統(tǒng)所處理信息的最高重要程度來確定 安全等級 在合理劃分安全域邊界安全可控的情況下，各安全域可根據(jù) 信息的最高重要程度單獨定級，實施“分域分級防護”的策略 ，從而降低系統(tǒng)建設(shè)成本和管理風險 信息系統(tǒng)安全域之間的邊界應劃分明確，安全域與安全域之 間的所有數(shù)據(jù)通信都應安全可控 對于不同等級的安全域間通信，應實施有效的訪問控制策略 和機制，控制高密級信息由高等級安全域流向低等級安全域。 安全域 （第 3級） 安全域 （第 2級） 監(jiān)督保護級網(wǎng)絡(luò) 安全域 （第 3級） 安全域 （第 2級） 安全域 （第 2級） 禁止高敏感級信息由

26、高等級安全域流向低等級安全域 分域分級防護示意 等級保護相關(guān)的 體系架構(gòu) 3 第一層 安全方針策略 第二層 安全管理制度 第三層 技術(shù)標準、規(guī)范 第四層 流程、表單、記錄 信息安全方針策略，總體安全，說明機構(gòu)安全 工作的總體目標、范圍、原則和安全框架等。 對安全管理活動中的各類管理內(nèi)容建立安全管 理制度，約束管理行為。 規(guī)范安全管理制度的具體技術(shù)實現(xiàn)細節(jié)，對管 理人員或操作人員執(zhí)行的日常管理操作建立操 作規(guī)程。 安全制度、規(guī)范實施時所需履行的流程，及需 填寫的表單，用于記錄數(shù)據(jù)、監(jiān)控實施。 安全管理測評實施 -安全管理制度 3 安全管理制度（三級） 管理制度

27、 制定和發(fā)布 評審和修訂 安全管理測評實施 -安全管理機構(gòu) 安全管理機構(gòu)（三級） 崗 位 設(shè) 置 人 員 配 備 授 權(quán) 和 審 批 溝 通 和 合 作 審 核 和 檢 查 人員安全管理（三級） 人 員 考 核 安 全 意 識 教 育 和 培 訓 外 部 人 員 訪 問 管 理 人 員 離 崗 人 員 錄 用 系統(tǒng)建設(shè)管理（三級） 系 統(tǒng) 交 付 系 統(tǒng) 備 案 等 級 測 評 安 全 服 務(wù) 商 選 擇 測 試 驗 收 工 程 實 施

28、 外 包 軟 件 開 發(fā) 自 行 軟 件 開 發(fā) 產(chǎn) 品 采 購 安 全 方 案 設(shè) 計 系 統(tǒng) 定 級 系統(tǒng)運維管理（三級） 環(huán) 境 管 理 資 產(chǎn) 管 理 介 質(zhì) 管 理 設(shè) 備 管 理 監(jiān) 控 和 管 理 中 心 網(wǎng) 絡(luò) 安 全 管 理 系 統(tǒng) 安 全 管 理 惡 意 代 碼 防 范 管 理 密 碼 管 理 變 更 管 理 備 份 與 恢 復 管 理 安 全 事 件 處 置 應 急 預 案 管 理 介紹完畢