本附件提供从低到高(1-5)五个不同等级的信息系统安全保障要求。每个等级都有具体的技术和管理要求,包括网络基础设施安全、服务器安全、应用安全、数据安全、通用政策、人员组织、系统设计建设、运行管理和风险评估检查。等级越高,安全级别也越高。
适用范围
各机关、组织需要遵守信息通信部的规定,以确保信息系统的安全保障。
要点
- 技术要求:包括网络基础设施安全、服务器安全、应用安全、数据安全。
- 管理要求:包括通用政策、人员组织、系统设计建设、运行管理和风险评估检查。
- 讨论其他主题
- 1. 数据备份和恢复方案。2. 多因素身份验证(MFA)策略。3. 网络安全风险管理。4. 提高员工安全意识培训。
- 共同信息
- 随通函第03/2017/TT-BTTTT于2017年4月24日由信息通信部部长发布。-适用于从一级到五级的信息系统。
🌐 本文件的社会影响
- 加强信息系统安全保护,减少数据丢失和网络安全风险。
- 为组织和企业遵守信息安全法律法规创造便利条件。
❓ 常见问题
五级信息系统安全要求与其他较低级别的有何不同?
在五级,安全要求变得更加严格和复杂。例如:至少保留12个月的日志记录,使用专用通道在网络上传输数据,保持主备份系统与辅助备份系统之间至少两个连接。
安全评估检查如何定期进行?
对于一至三级,每年或必要时进行一次。对于四和五级,每六个月或根据具体要求进行一次。
信息系统有哪些备份方案?
备份方案可能包括从至少两家不同的ISP维护互联网连接,在不同地理位置存储数据以及使用热备用设备。
全文
|
部|| 信息和 编号:03/2017/TT-BTTTT |
中华人民共和国 越南社会主义共和国河内市,公元 24 2017年4月 |
通知
关于详细规定和指导若干条文的细则,即2016年7月1日政府第85/2016/NĐ-CP号法令关于按等级保障信息系统安全的规定
依据2015年11月19日《网络安全法》;
根据2016年7月1日政府第85/2016/NĐ-CP号法令关于按等级保障信息系统安全;
根据2017年2月17日由政府发布的第17/2017/NĐ-CP号法令,规定工信部职能、任务、权限和组织结构;
信息与传媒部关于按照许可证和审批程序、申请材料办理进口网络安全产品许可证的规定
信息通信部部长发布本通知,以详细规定和指导2016年7月1日政府第85/2016/NĐ-CP号法令关于按等级保障信息系统安全的规定。
第一章
总则
第一条 调整范围
一、本通知规定详细规定和指导按等级保障信息系统安全,包括:指导确定信息系统和信息系统安全等级;按等级保障信息系统安全的要求;信息安全检查评估;接受并审核等级申请报告;报告和分享信息。
二、服务于国防、安全的信息系统由国防部、公安部管理,不属本通知调整范围。
第二条 适用对象
本通知适用对象按照2016年7月1日政府第85/2016/NĐ-CP号法令关于按等级保障信息系统安全(以下简称“第85/2016/NĐ-CP号法令”)第二条规定执行。
条3. 术语解释
在本通知中,下列术语定义如下:
1. 多因素认证了 是指不仅依赖一个而是结合多个与用户相关的因素进行验证的方法,包括:用户知道的信息(密码、访问码等)、用户拥有的物品(数字证书、智能卡等)或用户的生物特征信息(指纹、虹膜等)。
2. 热备份 是指在设备发生故障时能够替代其功能而不中断系统运行的能力。
3. 密码复杂度要求 是指确保密码长度超过8个字符,并包含大写字母、小写字母、特殊字符和数字。
4. 关键网络设备或重要网络设备 是指在没有预先计划的情况下停止部分或全部运行将导致信息系统正常运行中断的设备。
第二章
关于确定信息系统和信息系统安全等级的指导
第四条 关于具体确定信息系统的指导
一、确定信息系统以确定等级,依据第五条第一款规定的原准则。
二、信息系统通过以下一种或多种方式建立或形成:新建或扩建;升级或扩展;租赁或转让现有系统。
三、内部使用的信息系统是指仅用于机构或组织内部管理和运营的信息系统,包括:
(一)电子邮件系统;
(二)公文管理和办公自动化系统;
(三)视频会议系统;
(四)具体信息管理系统(如人事、财务、资产或其他特定专业业务领域)或综合信息管理系统(集成多个不同职能和业务领域的管理);
(五)内部信息处理系统。
四、面向公众和企业的信息系统是指直接或支持提供在线服务的系统,包括公共服务在线和其他在线服务,在电信、信息技术、贸易、金融、银行、医疗、教育及其他专门领域,包括:
(一)电子邮件系统;
(二)公文管理和办公自动化系统;
(三)电子单一窗口系统;
(四)门户网站和信息发布系统;
(五)在线服务提供或支持系统;
(六)客户服务系统。
五、信息基础设施系统是指为多个机构或组织共同使用的设备和连接线路集合,包括:
(一)内部网络、广域网、专用数据传输网络;
(二)数据库系统、数据中心、云计算系统;
(三)电子认证、电子签名系统;
(四)互联和集成各信息系统的一体化平台。
六、工业控制系统是指具有监控、收集数据、管理和控制关键项目功能,以支持正常运行的建筑设施的系统,包括:
(一)可编程逻辑控制器(PLCs)系统;
(二)分布式控制系统(DCS);
(三)监视和数据采集系统(SCADA)。
七、其他信息系统是指不属于上述类型的系统,直接或支持特定专业领域的业务、生产和经营活动的机构或组织。
条 5. 信息系统主管
1. 对于国家机关、国有组织,信息系统主管为以下情形之一:
a) 部委、部级机构、政府直属机关;
(二)各省、直辖市人民政府;
c) 决定投资建设、建立、升级或扩大信息系统的有权机关。
2. 对于企业和其他组织,信息系统主管为决定投资建设、建立、升级或扩大信息系统的有权机关。
3. 信息系统主管可以授权一个组织代表自己直接管理信息系统,并承担确保信息系统安全的责任,按照第20条第2款的规定执行。
授权必须以书面形式进行,其中明确授权范围和期限。被授权的组织必须直接履行信息系统主管的权利和义务,不得再将这些权利和义务转授给第三方。
条 6. 信息系统运行单位
1. 信息系统运行单位是信息系统主管委托负责运行信息系统的机构或组织。
2. 在信息系统包括多个组成部分或分散的情况下,如果有多家运行单位,信息系统主管有责任指定一家作为主要单位,以执行运行单位的权利和义务,依照法律规定。
3. 如果信息系统主管外包信息技术服务,运行单位是服务提供方。
条 7. 确定和说明信息系统安全级别的指导
确定和说明信息系统安全级别如下:
1. 确定并分类信息系统;根据第85/2016/NĐ-CP号法令第5、6条以及本通知第4、5、6条的规定确定信息系统主管和运行单位。
2. 根据第85/2016/NĐ-CP号法令第6条第1款的规定,确定通过信息系统处理的信息类型。
3. 根据第85/2016/NĐ-CP号法令第7至11条的规定确定级别。对于建议为第4级或第5级的信息系统,需详细说明建议级别,内容如下:
a) 确定与建议的信息系统相关或连接的其他信息系统,或对建议的信息系统正常运行有重要影响的信息系统;明确当这些系统遭受信息安全威胁时,对建议的信息系统的影响程度。
b) 建议的重要网络组件、设备清单及在系统中处理的重要信息类型(如有);
c) 说明重要网络组件、信息类型和数据在系统中的重要性(如有);
d) 说明针对系统及其组件和重要设备的网络攻击和信息安全威胁;这些威胁对根据第85/2016/NĐ-CP号法令第10、11条确定的级别标准的影响;
e) 评估网络攻击导致信息安全威胁或中断活动时,对公共利益、社会秩序或国家安全的影响范围和程度。
对于第4级信息系统,说明要求必须全天候运行且不允许无计划停运;
f) 其他说明(如有),基于信息系统实际运行情况。
第三章
按照级别保障信息系统安全的要求
条 8. 总体要求
1. 各级信息系统安全保障措施的实施应遵循本通知规定的最低要求;信息安全技术标准和相关专业技术标准。
2. 本通知中各级别的最低要求是为了确保信息系统的安全,不包括物理安全的要求。
3. 最低要求包括:
a) 技术要求:网络基础设施安全;服务器安全;应用安全和数据安全;
b) 管理要求:总体政策;组织和人员管理;设计和建设管理;运行管理;检查、评估和风险管理。
4. 按照第4条第2款《国务院令第85号》的规定原则,制定符合各等级最低要求的信息安全保障方案,具体如下:
a) 对于一级、二级、三级信息系统:信息保障方案必须考虑在保护和资源共享解决方案中的共用性,以优化性能,避免过度投资、重复和浪费。在新投资的情况下,必须说明现有解决方案未能满足最低要求的情况;
b) 对于四级、五级信息系统:信息保障方案需要设计为具有高可用性、分离性和限制整个系统受单个部分或相关系统信息安全事件影响的能力。
条 9. 各级别基本要求
1. 一级信息系统安全保障方案必须符合本通知附件1中详细规定的要求。
2. 二级信息系统安全保障方案必须符合一级的要求,并补充本通知附件2中详细规定的要求。
3. 三级信息系统安全保障方案必须符合二级的要求,并补充本通知附件3中详细规定的要求。
4. 四级信息系统安全保障方案必须符合三级的要求,并补充本通知附件4中详细规定的要求。
5. 五级信息系统安全保障方案必须符合四级的要求,并补充本通知附件5中详细规定的要求。
第四章 实施细则
安全检查与评估
条 10. 检查和评估的内容及形式
1. 检查和评估内容:
a) 检查是否遵守有关信息系统安全保障级别的法律法规;
b) 评估安全保障措施的有效性;
c) 评估发现恶意代码、漏洞、弱点和系统入侵测试;
d) 主管信息系统单位规定的其他检查和评估。
2. 检查和评估的形式:
a) 根据主管信息系统单位的计划定期进行检查和评估;
b) 应有权机关的要求进行不定期检查和评估。
3. 负责检查和评估的权力机关:
a) 工业和信息化部部长;
b) 对其管辖的信息系统,由该系统的主管单位负责;
c) 对由该主管单位批准等级申请的系统,由该主管单位的安全机构负责。
4. 主持检查和评估的单位是被授权执行任务或被选中执行检查和评估任务的单位。
5. 检查和评估的对象是信息系统主管单位或运营单位以及相关的信息系统。
条 11. 检查遵守关于保障信息系统安全规定的法律规定的行为,按照级别进行
1. 按照级别检查遵守关于保障信息系统安全规定的法律规定的行为包括:
a) 检查遵守关于确定信息系统安全级别的法律规定的行为;
b) 检查遵守关于实施按级别保障信息系统安全方案的法律规定的行为。
2. 主持检查的单位是以下单位之一:
a) 网络安全局;
b) 负责信息安全的专业单位。
3. 定期检查计划包括以下内容:
a) 将要进行检查的单位、信息系统(如有)名单;
b) 检查范围和内容;
c) 进行检查的时间;
d) 协同检查的单位(如有)。
4. 检查决定在定期检查计划经有权机关批准后或在有权机关突击检查时制定。
5. 对于定期检查:
a) 主持检查的单位为下一年度制定定期检查计划并提交有权机关批准,作为实施的基础;
b) 如果与已批准的定期检查计划有变更,主持检查的单位应制定调整后的定期检查计划并提交有权机关批准调整;
c) 定期检查计划应在获得批准之日起最多10日内发送给被检查对象及其上级主管机关,但不得少于检查日期前10日。
6. 对于突击检查:
根据突击检查的要求和检查决定,检查团团长应规定符合实际情况的检查内容。
7. 在直接在机构结束检查后,检查团有责任将检查结果告知被检查对象,并移交检查过程中使用的资料和设备(如有)。
检查团负责起草检查报告,发送给被检查对象征求意见。自收到检查报告草案之日起5日内,被检查对象应对草案内容提出意见。
基于检查报告草案和被检查对象的意见,在机构检查结束后30日内,检查团完成检查报告和检查结论草案,呈交要求检查的有权机关审核批准。
检查结论应发送给被检查对象及其上级主管机关(如有)及相关单位(如需)。
条 12. 评估保障信息安全措施的有效性
1. 评估保障信息安全措施的有效性是指全面审查,验证按具体标准和基本要求实施的信息安全保障方案的效果。
已应用的保障信息安全措施的有效性评估是根据实际需求调整信息保障方案的基础。
2. 主持评估的单位是以下组织之一:
a) 网络安全局;
b) 负责信息安全的专业单位;
c) 具备相应职能任务的国家事业单位;
d) 经许可提供网络安全检查评估服务的企业。
信息系统运营单位应为下一年度制定定期评估计划并提交有权机关批准,作为实施的基础。评估计划包括:
a) 将要进行评估的单位、信息系统名单;
b) 进行评估的时间;
c) 实施单位:自行实施或由负责信息安全的专业单位实施或按规定外包。
4. 如果与已批准的评估计划有变更,信息系统运营单位应制定调整后的评估计划并提交有权机关批准调整。
5. 在直接在机构结束检查后,主持评估的单位有责任将检查结果告知信息系统运营单位,并移交检查过程中使用的资料和设备(如有)。
主持评估的单位负责起草评估报告,发送给信息系统运营单位征求意见。自收到评估报告草案之日起5日内,信息系统运营单位应对草案内容提出意见。
6. 基于评估报告草案和信息系统运营单位的意见,主持评估的单位完成评估报告,发送给信息系统运营单位和主管单位。
条13. 评估发现恶意代码、漏洞、弱点和系统入侵测试
1. 评估发现恶意代码、漏洞、弱点和系统入侵测试是指实施扫描、发现系统的漏洞和弱点,进行系统入侵攻击测试,并评估系统在遭受攻击时可能面临的威胁和损失。
2. 主持评估的单位是以下组织之一:
a) 网络安全局;
b) 负责信息安全的专业单位;
c) 具备相应职能任务的国家事业单位;
d) 已获得提供网络安全检查、评估服务许可的企业或其他经系统主管单位批准执行评估发现恶意代码、漏洞、弱点和系统入侵测试的组织。
3. 负责评估发现恶意代码、漏洞、弱点和系统入侵测试的单位有责任:
a) 将发现的安全信息弱点告知系统主管单位,以便采取措施修复并防止安全事件的发生;
b) 确保与被评估系统相关的数据的安全,在未得到系统主管单位同意的情况下不公布相关数据;
c) 进行评估发现恶意代码、漏洞、弱点和系统入侵测试时,必须确保不对系统的正常运行造成影响。
社香 V
接收和审查申请等级的文件
条14. 提交和接收审查申请等级的文件
1. 对于建议等级为1、2、3的信息系统:
信息系统运营单位向负责信息安全的专业机构提交一份正本和两份有效副本的申请等级文件以供审查。
2. 对于建议等级为4、5的信息系统:
a) 信息系统主管单位向工业和信息化部(信息安全局)提交一份正本和四份有效副本的申请等级文件以供审查;
b) 接收申请等级为4、5的信息系统文件的组织及其地址:
工业和信息化部(信息安全局),位于北京市海淀区三里河路115号8层。
如需更改接收文件的地址,信息安全局将按照规定公开发布地址变更的通知。
自接收之日起五个工作日内,接收申请等级文件的组织应检查文件的有效性。如文件不符合要求,该组织将以书面形式通知提交文件的组织补充或完善文件。
条15. 组织审查申请等级的文件
1. 对于建议等级为1、2、3的信息系统:
信息安全专业机构根据第85/2016/NĐ-CP号法令第16条规定对申请等级的文件进行审查。
在审查过程中,如有必要,信息安全专业机构可以书面形式征求相关部门的意见。
2. 对于建议等级为4、5的信息系统:
工业和信息化部根据第85/2016/NĐ-CP号法令第16条规定对申请等级的文件进行审查。审查申请等级文件的组织流程如下:
a) 信息安全局在必要时根据各部门职能和任务,书面征求法制司和其他部门的意见;
b) 工业和信息化部根据规定书面征求国防部、公安部的意见;
c) 根据国防部、公安部及其他相关部门的书面意见,在必要时,工业和信息化部成立评审委员会进行讨论、交流并提出具体意见。评审委员会主席由工业和信息化部部长指定,成员包括信息安全局领导代表、法制司代表、工业和信息化部VNCERT中心代表、公安部和国防部职能单位领导代表以及一些独立专家(如需)。
条16. 审查机制
1. 系统信息运营单位负责与等级评定单位合作,在确定等级申请表是否符合相应系统信息的要求方面进行配合。
2. 如有必要,等级评定单位应对提出的等级方案的实际安全措施进行检查和评估。检查和评估应确保不会影响系统的正常运行,并在发现需要解决的安全弱点时通知系统信息主管单位和运营单位。
…………………………..
保护信息来源和内容的秘密性,由参与信息共享的各方协商一致。
4. 信息共享至少每季度进行一次,并符合相应系统信息的实际操作情况。
5. 共享的信息包括:
a) 尚未分析或已分析过的关于信息安全风险的信息;网络攻击事件的信息:
- 在系统中记录到的网络攻击类型;
- 在系统中记录到的网络攻击事件数量;
- 收集到的网络攻击数据样本;
- 根据参与信息共享各方的协议确定的其他数据。
b) 保障信息系统安全的活动,如宣传、培训、演练和其他相关信息。
第七章
组织实施
条 19. 生效日期
1. 本通知自2017年7月1日起生效。
2. 在执行本通知过程中,如遇问题,各机关和单位应联系工业和信息化部(网络安全局)以协调解决。
|
发送单位: |
部长 |
附件1
第一级信息系统安全保障基本要求
(随同农业农村部2025年第/2025/TT-BNNMT号通知发布) 03第4号 24 月 4 (2017年工业和信息化部部长发布)
1. 技术要求:
a) 服务器安全:
- 对访问和管理服务器的操作进行密码验证并记录日志;
- 不使用未加密连接进行远程管理服务器;
b) 应用程序安全:
对访问应用程序和登录管理功能的操作进行密码验证并记录日志;
c) 数据安全:
根据需求和目的定期备份系统中的数据。
2. 管理要求:
a) 总体政策:为系统管理和运营对象制定信息安全政策;
b) 组织和人员:设立联络点,用于通报、交流和处理系统中发生的问题或信息安全事故。
条 | 附录二
第二级信息系统安全保障基本要求
信息系统第二级
(由工业和信息化部于2017年4月24日发布的第03/2017/TT-BTTTT号通知附带发布)
1. 技术要求:
a) 网络基础设施安全:
- 根据需求和目的将网络基础设施划分为不同的网络区域;
- 使用具有防火墙功能的设备阻止不同网络区域与互联网之间的非法访问;
- 当使用无线网络时,实施身份验证和加密机制;
- 实施重要网络设备上的账户管理身份验证方案;
- 如果有远程管理重要网络设备的需求,则通过支持加密的协议实施远程管理方案;
b) 服务器安全:
- 在服务器上安装防病毒软件,并设置自动更新新版本或识别新病毒特征的功能;
- 实施复杂度要求的密码验证机制,定期更换密码,并防止密码猜测攻击;验证信息必须以加密形式存储在系统中;
- 实施禁用默认账户或不活跃账户的方案;禁用服务器上未使用的服务和软件;
- 记录对服务器访问和管理操作的日志;
- 设置操作系统和服务补丁更新机制;
c) 应用程序安全:
- 设置应用程序密码强度要求,以限制密码猜测攻击;验证信息必须以加密形式存储;
- 记录访问和错误日志;
- 不使用未加密的网络连接进行远程管理应用程序。
d) 数据安全:使用独立的系统或介质定期备份服务器上的重要数据。备份频率遵循组织规定。
2. 管理要求:
a) 总体政策:
- 制定用户信息安全政策,包括网络和互联网资源访问和使用政策;应用程序访问政策;
- 制定系统管理员和运维人员的信息安全政策,包括但不限于网络基础设施安全、服务器安全、应用程序安全和数据安全政策;
b) 组织和人员:
设立流程和手续,为新加入系统使用、任务变更或停止使用系统的员工分配和撤销账户和访问权限;
c) 设计和建设管理:
- 编制设计文档,描述保障信息系统安全的方案;
- 实施检查和验证方案,确保部署的系统符合设计文档和信息安全要求,在验收和移交前;
- 提交经系统主管单位专门负责信息安全的部门审核批准的等级评估文件;
d) 运行管理:
- 制定符合基本技术要求的系统管理运行流程;管理系统变更、迁移;终止系统运行、利用、清理和废弃;
- 制定信息安全事故应急响应方案;
e) 检查、评估和风险管理:
- 每两年或根据需要定期进行信息安全检查、评估和风险管理,按照法律规定执行。
- 安全检查和评估以及风险评估必须由信息系统主管单位的安全专职部门执行,或者按照法律规定委托外部机构进行。
附件3
第三级信息系统安全保障基本要求
(由工业和信息化部于2017年4月24日发布的第03/2017/TT-BTTTT号通知附带发布)
1. 技术要求:
a) 网络基础设施安全:
- 设计专用网络区域,包括内部服务器专用网络区域、提供必要系统服务(如DNS、DHCP、NTP等)的服务器专用网络区域、数据库服务器专用网络区域以及其他根据组织需求设立的专用网络区域;
- 将内部网络设计为功能性的独立网络,无线网络与其他功能性网络区域分离;将提供对外服务的服务器网络区域与互联网隔离;
- 有负载均衡和拒绝服务攻击缓解方案;
- 有集中存储管理和安全监控系统的设计;
- 在重要网络区域之间使用具有防火墙功能的设备;
- 在互联网与内部网络之间实施入侵检测、防御和恶意软件过滤方案;
- 对支持此功能的网络设备或重要网络设备,在管理网络区域内集中存储日志并进行管理;
- 网络设备的日志至少保留三个月,并确保与位于越南时区的实际时间服务器同步;
- 为系统中的主要网络设备设计备份方案,以确保在设备故障时系统能够正常运行;
- 在网络设备投入使用前,制定软件更新、处理信息安全漏洞和优化配置的方案;
- 制定所有网络设备上的管理员账户验证方案,确保密码复杂度要求,并防止密码猜测攻击;
- 制定限制访问源和管理网络设备的方案;
- 通过虚拟私有网络或其他等效方法,仅允许通过互联网管理网络设备;
- 记录内部网络设备的操作活动,并确保与实际时间服务器的时间同步;
- 对存储在网络设备上的认证信息进行加密;
b) 服务器安全:
- 实施集中认证管理方案,防止自动登录,并在适当等待时间后自动注销会话;
- 根据不同的任务和业务需求,为每个账户设置适当的访问、管理和使用资源权限;
- 集中管理补丁和软件系统的升级方案;
- 集中管理主机日志的存储和管理方案。日志至少保留三个月;
- 主机日志与安全监控系统同步方案;
- 制定允许访问和管理主机的来源限制方案;通过互联网管理主机必须使用虚拟私有网络或其他等效方法;
- 在每台主机上实施防火墙方案,仅允许合法的服务连接;
- 制定操作系统和主机配置的备份方案,符合组织的要求;
- 记录访问、管理和产生错误的操作活动;
c) 应用程序安全:
- 设置定期更改应用程序管理员账户密码的要求;当应用未收到用户请求时,设定关闭会话的等待时间;
- 将管理应用与提供服务的应用分开,并确保应用以最低权限运行;
- 制定允许访问和管理应用的来源限制方案;通过互联网管理应用必须使用虚拟私有网络或其他等效方法;
- 检查和过滤来自用户的输入数据,确保这些数据不会影响应用的安全性;
d) 数据安全:
- 对系统或存储介质上非公开的信息和数据实施加密方案;
- 对信息或数据实施自动备份方案,频率应符合数据变化的频率;
2. 管理要求:
a) 总体政策:定期每两年或在必要时审查和更新总体信息安全政策;
b) 组织和人员:
- 制定计划并定期组织培训、提升、宣传和普及信息安全知识和技术给相关管理人员和技术人员;
- 要求相关人员在离职时承诺保密与系统数据、组织内部信息或敏感信息相关的资料;
c) 系统设计和建设:
提交经信息系统主管单位的安全专职部门审定的安全等级申请文件;
d) 运行管理:
- 按照法律规定,对系统在运行过程中的安全监控制定方案;
- 制定计划并定期组织信息安全演练;派遣人员参加国家或国际职能机关召集的演练;
- 制定在发生事故或灾难时恢复系统正常运行的计划;
e) 检查、评估和风险管理:
- 按年度定期进行信息安全检查、评估和风险管理,遵循法律规定;
- 安全检查、评估和风险评估必须由有权机关许可的专业机构或信息系统主管单位指定的具有相应职能和任务的事业单位按照法律规定执行;
收养交接记录
第四级信息系统安全保障基本要求
(由工业和信息化部于2017年4月24日发布的第03/2017/TT-BTTTT号通知附带发布)
1. 技术要求:
a) 网络基础设施安全:
- 在重要网络区域之间实施入侵检测和防御方案;
- 如果存在,集中管理无线网络的方案;
- 具备集中管理的防恶意软件系统。其中,系统的基本功能包括:数据更新、发送警报、接收来自集中管理系统的信息控制指令,以传输到网络中的服务器/工作站上的已安装软件;
- 对主要网络设备具备热备份方案,确保系统的连续运行能力;备用设备的能力必须符合系统的规模要求;
- 对重要网络设备采用多因素认证方法的使用方案;
- 对网络设备的日志记录具备独立且适合其活动的方案;日志数据必须至少保存六个月;
- 当在网络设备上发现故障时,具备直接通过监控系统向系统管理员实时报警的方案;
- 至少具备两个来自不同国内互联网服务提供商(ISP)的互联网连接方案(如果系统必须有互联网连接);
- 具备防止数据丢失的方案;
b) 服务器安全:
- 在访问系统中的服务器时,具备采用多因素认证机制的方案;
- 对服务器的日志记录具备独立且适合其活动的方案;日志数据必须至少保存六个月;
- 具备检查系统文件和已分配账户权限完整性的方案;
c) 应用程序安全:
- 在访问应用程序管理账户时,具备采用多因素认证机制的方案,并要求用户定期更改验证信息;
- 对应用程序的日志记录具备独立且适合其活动的方案;日志数据必须至少保存六个月;
- 在将用户验证信息发送到应用程序之前,具备加密机制;
- 在通过网络环境进行应用程序管理信息交换时,具备验证信息和来源的机制(不是公开的信息或数据);
d) 数据安全:
- 具备检查数据完整性并检测、报警数据变化的方案;
- 具备根据不同的类型/组别对存储的数据进行分类和管理的方案,通过分配不同的标签来实现;
- 具备使用具有容错能力的备份系统方案,确保在发生故障时数据能够恢复;
2. 管理要求:
a) 总体政策:每年定期或在必要时进行一次总体信息安全政策的审查和更新;
b) 组织和人员:
- 具备审核和验证管理人员及技术操作人员背景的政策,他们负责系统的安全性,确保其专业技能、职业道德与工作性质和特殊要求相匹配;
- 定期每年组织培训、提升、宣传和普及信息安全知识和技术给相关的管理人员和技术人员;
- 具备建立专门的信息安全团队并指定单位领导直接负责信息安全的政策;
c) 系统设计和建设:
- 具备由工业和信息化部审定的安全级别文件;
- 具备检查补丁和安全更新对系统运行影响的方案;
- 具备在设备投入系统运行前优化配置,确保网络安全的方案;
- 具备在系统投入运行前进行全面信息安全评估的方案;
d) 运行管理:
- 具备按照法律规定为系统设立独立的信息安全监控方案;组织24小时不间断监控;
- 定期每年组织信息安全演练;
- 具备按照法律规定的信息网络安全应急响应方案;
e) 检查、评估和风险管理:
- 每年定期进行信息安全检查和风险评估;
- 信息安全检查和风险评估必须由经授权的专业机构或国家事业单位执行,该单位由信息系统主管指定,符合法律规定;
附件5
第五级信息系统安全保障基本要求
(由工业和信息化部于2017年4月24日发布的第03/2017/TT-BTTTT号通知附带发布)
1. 技术要求:
a) 网络基础设施安全:
- 具备在系统各网络区域之间设置防火墙和入侵检测与防御系统;
- 网络设备的日志数据至少保存12个月;
- 对所有网络设备具备热备份方案,确保系统运行不中断;
b) 服务器安全:
- 对服务器采用终端防护解决方案;
- 对服务器的日志记录具备独立且适合其活动的方案;系统日志数据必须至少保存12个月;
c) 应用程序安全:
- 在通过网络环境交换重要数据时,具备双向认证机制的应用方案;
- 使用专用存储设备存储验证信息;
- 应用程序日志至少保存12个月;
d) 数据安全:
- 在通过网络环境传输数据时,具备使用专用通道的方案;
- 在系统中对数据进行地理分散的备份;
- 至少保持主备份系统与辅助备份系统之间的两个网络连接;
2. 管理要求:
a) 总体政策:
每半年或在必要时进行一次总体信息安全政策的审查和更新;
b) 组织和人事政策:
- 不同的工作岗位应配备专职人员,不得兼职;
- 重要的操作岗位至少需要两名工作人员共同参与;
c) 系统设计和建设:
系统中投资的产品和设备在投入使用前必须经过安全测试;
d) 运行管理:
每半年定期组织信息安全演练;
e) 检查、评估和风险管理:
- 每半年或根据实际情况或职能机关的要求和警告,进行信息安全检查和风险评估。
- 安全检查、评估和安全风险评估必须由专业机构执行,该机构需获得有权机关的许可,或者由主管信息系统的主体指定的具有相应职能和任务的国有事业单位按照法律规定进行。
原始文件(PDF)
关系图
点击文件即可打开。红色边框=改变效力的关系。
译本
本文件提供以下语言版本: