第一篇：滿兜理財——獲得國家信息安全等級保護三級備案證明（范文模版）

滿兜理財——獲得國家信息安全等級保護三級備案

證明

2017年8月14日，滿兜理財正式獲得了國家公安部門頒發認證的“信息系統安全等級保護”三級備案證明，成為行業內少數獲得此備案證明的互聯網金融平臺之一。這也標志著滿兜理財在平臺合規建設上更進一步，讓平臺的每位投資和借款用戶的信息得到更安全可靠的技術保障。

滿兜理財獲得國家信息安全等級保護三級備案證明

網絡信息安全成合規門檻之一

隨著網貸平臺的監管和發展逐漸規范化，網貸平臺的信息系統安全亦如銀行存管和信息披露，成為合規不可或缺的條件之一，越來越受到重視。

2016年8月，銀監會聯合多部委出臺的《網絡借貸信息中介機構業務活動管理暫行辦法》中規定，網絡借貸信息中介機構應當按照國家網絡安全相關規定和國家信息安全等級保護制度的要求，開展信息系統定級備案和等級測試，保護出借人與借款人的信息安全。該暫行辦法的發布，讓開展信息系統定級備案和等級測試，成為互聯網金融平臺合規的門檻之一。

三級等保為用戶信息保駕護航

信息系統安全分為五個等級，等級越高，說明保護能力越強。一般來說，四大國有銀行(總行)的一二級分行(省行、市行)等重要金融機構一般是第三級認證，而大家熟悉的第三方支付公司，一般是第二級認證。第三級作為國家對非銀行金融機構的最高級認證，屬于“監管級別”，即對于互聯網金融平臺等非銀行機構來說，能取得國家信息安全等級保護三級認證已經是最高級別的認證。

作為一家發展壯大中的互聯網金融信息中介服務平臺，通過國家信息安全三級測評意味著滿兜理財的信息系統安全等級達到了與銀行等金融機構業務系統相當的安全管控水平，在技術安全、系統管理、應急保障等方面達到國家標準，擁有了完善的網絡信息安全保護體系。

未來，滿兜理財繼續向合規前進

自上線以來，滿兜理財就將信息安全作為平臺合規項工作之一，一直在努力構建嚴密高效的信息安全管理體系。今后，滿兜理財將繼續努力，在合法合規、保證用戶安全的前提下發揮技術和風控優勢，全面構建平臺安全、交易安全、資金安全的安全矩陣，為投資者打造一個安全透明的互聯網信息中介服務平臺。

第二篇：口袋理財通過國家信息安全等級保護三級認證

口袋理財通過國家信息安全等級保護三級認證

近日，滬上知名的綜合性互聯網金融理財服務平臺口袋理財通過了公安部認可、上海市公安局指定的信息系統等級保護測評機構上海市信息安全認證測評中心關于信息系統安全等級保護三級（簡稱“三級等?！保y評，成為《網絡借貸信息中介機構業務活動管理暫行辦法》正式出臺后，上海僅有的率先通過三級等保測評的互聯網金融公司之一。

互聯網技術的更迭發展帶動了人們的消費習性和生活模式，其中最為典型的就是互聯網金融理財模式的發展。據零壹財經的2016網貸年報數據統計，截止2016年12月底，網貸交易規模已經達到了3.36萬億元，活躍借款人和投資人分別在572萬人和998萬人左右。在此情況下，行業、平臺是否有能力保護動輒數千萬用戶的“信息安全”成為了各方關注的焦點。

眾所周知，網貸平臺準入門檻低，在前期的行業發展中也曾經歷過一個野蠻生長時期，無論是道德水平還是技術水平都是層次不齊的，那一連串的金融數字增長下也掩藏了巨大的網絡信息安全隱患。一旦遇上平臺信息外泄或者信息盜取的情況都容易對公眾權益造成嚴重損害，并產生一定的社會影響。

8月24日《網絡借貸信息中介機構業務活動管理辦法》正式出臺，明確指出網絡借貸信息中介機構應按照國家網絡安全相關規定和國家信息安全等級保護制度的要求，開展信息系統定級備案和等級測試，采取完善的管理控制措施和技術手段保障信息系統安全穩健運行，保護出借人與借款人的信息安全?？诖碡敺e極響應監管號召，召集平臺一眾BAT技術團隊配合監管部門進行相關的測評工作。

此次測評，上海市信息安全認證測評中心對口袋理財的機房、網絡互聯設備與安全設備、數據可管理系統、業務應用軟件、安全管理文檔、人員等具體對象實施了多輪多層次抽樣檢測，在全方位評估了口袋理財網站信息系統的安全狀況之后，將口袋理財的信息安全等級評定為“國家信息安全等級保護三級認證”。

據悉，公安部的安全等級保護共五級，其中第三級屬于“監管級別”，由國家信息安全監管部門進行監督、檢查，這一級別信息系統如果受到破壞，會對國家安全以及公民權益造成嚴重損害，并產生嚴重的社會影響，所以這一級別的要求是非常嚴格的。

(國家信息安全等級保護的等級劃分)三級安全信息認證主要依據《計算機信息系統安全保護等級劃分準則》、《信息安全技術信息等級保護基本要求》第三級要求以及用戶安全需求，從技術要求以及管理要求兩大方面提出了包含信息保護、安全審計、通信保密等在內的近300項要求。

（系統檢測要求節選）目前，信息安全等級認證為第三級的金融機構多以銀行為代表的傳統金融機構，而新興的互聯網金融機構則多被評為二級認證標準。在滬上，僅有幾家互聯網金融機構通過了公安部信息安全等級的三級認證。此次口袋理財率先獲得三級認證也證明了平臺在互聯網信息技術、系統安全開發領域內的技術優勢以及安全優勢，同時也更堅定了口袋理財成為行業內真正實現“技術主導創新”互聯網金融平臺的企業愿景。

口袋理財信息安全負責人表示，互聯網金融平臺的信息安全工作影響重大，事關用戶的個人信息與資金安全，平臺方必須高度重視?？诖碡斠矊⒈帧鞍踩笥谑找?、合法合規經營”的平臺原則，積極投入社會第三方自律性組織，以身作則規范企業行為推動行業自律發展、維系行業合規秩序。

第三篇：信息安全等級保護備案實施細則

信息安全等級保護備案實施細則

第一條

為加強和指導信息安全等級保護備案工作，規范備案受理、審核和管理等工作，根據《信息安全等級保護管理辦法》制定本實施細則。

第二條

本細則適用于非涉及國家秘密的第二級以上信息系統的備案。

第三條

地市級以上公安機關公共信息網絡安全監察部門受理本轄區內備案單位的備案。隸屬于省級的備案單位，其跨地（市）聯網運行的信息系統，由省級公安機關公共信息網絡安全監察部門受理備案。

第四條

隸屬于中央的在京單位，其跨省或者全國統一聯網運行并由主管部門統一定級的信息系統，由公安部公共信息網絡安全監察局受理備案，其他信息系統由北京市公安局公共信息網絡安全監察部門受理備案。

隸屬于中央的非在京單位的信息系統，由當地省級公安機關公共信息網絡安全監察部門（或其指定的地市級公安機關公共信息網絡安全監察部門）受理備案。

跨省或者全國統一聯網運行并由主管部門統一定級的信息系統在各地運行、應用的分支系統（包括由上級主管部門定級，在當地有應用的信息系統），由所在地地市級以上公安機關公共信息網絡安全監察部門受理備案。

第五條

受理備案的公安機關公共信息網絡安全監察部門應該設立專門的備案窗口，配備必要的設備和警力，專門負責受理備案工作，受理備案地點、時間、聯系人和聯系方式等應向社會公布。

第六條

信息系統運營、使用單位或者其主管部門（以下簡稱“備案單位”）應當在信息系統安全保護等級確定后30日內，到公安機關公共信息網絡安全監察部門辦理備案手續。辦理備案手續時，應當首先到公安機關指定的網址下載并填寫備案表，準備好備案文件，然后到指定的地點備案。

第七條

備案時應當提交《信息系統安全等級保護備案表》（以下簡稱《備案表》）（一式兩份）及其電子文檔。第二級以上信息系統備案時需提交《備案表》中的表一、二、三；第三級以上信息系統還應當在系統整改、測評完成后30日內提交《備案表》表四及其有關材料。

第八條

公安機關公共信息網絡安全監察部門收到備案單位提交的備案材料后，對屬于本級公安機關受理范圍且備案材料齊全的，應當向備案單位出具《信息系統安全等級保護備案材料接收回執》；備案材料不齊全的，應當當場或者在五日內一次性告知其補正內容；對不屬于本級公安機關受理范圍的，應當書面告知備案單位到有管轄權的公安機關辦理。

第九條

接收備案材料后，公安機關公共信息網絡安全監察部門應當對下列內容進行審核：

（一）備案材料填寫是否完整，是否符合要求，其紙質材料和電子文檔是否一致；

（二）信息系統所定安全保護等級是否準確。

第十條

經審核，對符合等級保護要求的，公安機關公共信息網絡安全監察部門應當自收到備案材料之日起的十個工作日內，將加蓋本級公安機關印章（或等級保護專用章）的《備案表》一份反饋備案單位，一份存檔；對不符合等級保護要求的，公安機關公共信息網絡安全監察部門應當在十個工作日內通知備案單位進行整改，并出具《信息系統安全等級保護備案審核結果通知》。

第十一條

《備案表》中表一、表二、表三內容經審核合格的，公安機關公共信息網絡安全監察部門應當出具《信息系統安全等級保護備案證明》（以下簡稱《備案證明》）。《備案證明》由公安部統一監制。

第十二條

公安機關公共信息網絡安全監察部門對定級不準的備案單位，在通知整改的同時，應當建議備案單位組織專家進行重新定級評審，并報上級主管部門審批。

備案單位仍然堅持原定等級的，公安機關公共信息網絡安全監察部門可以受理其備案，但應當書面告知其承擔由此引發的責任和后果，經上級公安機關公共信息網絡安全監察部門同意后，同時通報備案單位上級主管部門。

第十三條

對拒不備案的，公安機關應當依據《中華人民共和國計算機信息系統安全保護條例》等其他有關法律、法規規定，責令限期整改。逾期仍不備案的，予以警告，并向其上級主管部門通報。

依照前款規定向中央和國家機關通報的，應當報經公安部公共信息網絡安全監察局同意。

第十四條

受理備案的公安機關公共信息網絡安全監察部門應當及時將備案文件錄入到數據庫管理系統，并定期逐級上傳《備案表》中表一、表二、表三內容的電子數據。上傳時間為每季度的第一天。

受理備案的公安機關公共信息網絡安全監察部門應當建立管理制度，對備案材料按照等級進行嚴格管理，嚴格遵守保密制度，未經批準不得對外提供查詢。

第十五條

公安機關公共信息網絡安全監察部門受理備案時不得收取任何費用。

第十六條

本細則所稱“以上”包含本數（級）。

第十七條

各?。▍^、市）公安機關公共信息網絡安全監察部門可以依據本細則制定具體的備案工作規范，并報公安部公共信息網絡安全監察局備案。

接收材料回執編號：

J

信息系統安全等級保護

備案材料接收回執

（存根）

備案類型：□初次備案

□變更備案

□其他

備案單位：

備案單位聯系人：

聯系電話：

材料數量：□表一

共

頁

□表二

共

頁

□表三

共

頁

□

表四

共

頁

□附件

共

份

□電子數據

材料接受人：

接受日期：

****年**月**日

接收材料回執編號：

J

信息系統安全等級保護

備案材料接收回執

：

我單位接收你單位提交的《信息系統安全等級保護備案表》如下具體備案材料（備案日期

****年**月**日）：

□表一

共

頁

□表二

共

頁

□表三

共

頁

□表四

共

頁

□附件

共

份

□電子數據

我單位將自即日起的日內，反饋備案審核結果。

接收人：

接收單位（蓋章）

****年**月**日

業務聯系電話：

網址：

備案整改通知編號：

S

信息系統安全等級保護

備案審核結果通知

（存根）

備案類型：□初次備案

□變更備案

□其他

備案單位：

備案單位聯系人：

聯系電話：

審核人：

審核日期：

****年**月**日

備案整改通知編號：

S

信息系統安全等級保護

備案審核結果通知

：

經對你單位提交的《信息系統安全等級保護備案表》（備案表編號

/）進行審核，備案材料不符合要求，請你單位按照審核單中所列內容進行整改后，于

天內重新進行備案。

附：《信息系統安全等級保護備案審核詳單》

審核人：

業務聯系電話：

審核單位（蓋章）

****年**月**日

信息系統安全等級保護備案

審核詳單

審核結果一

01

是否按要求填寫《信息系統安全等級保護備案表》

是0

否0

02

是否提交《信息系統安全等級保護備案表》電子版

是0

否0

審查結果二

03

《信息系統安全等級保護備案表》內容是否完整

是0

否0（如否請填寫下項）

1．表

第項內容不完整；

2．表

第項內容不完整；

3．表

第項內容不完整；

4．表

第項內容不完整；

5．表

第項內容不完整；

04

《信息系統安全等級保護備案表》附件內容是否完整

是0

否0（如否請填寫下項）

1．附件

第部分內容不完整；

2．附件

第部分內容不完整；

3．附件

第部分內容不完整；

4．附件

第部分內容不完整；

5．附件

第部分內容不完整；

審核結果三

1、信息系統

安全保護等級定級不準確，建議重新審核確定系統安全保護等級；

2、信息系統

安全保護等級定級不準確，建議重新審核確定系統安全保護等級；

3、信息系統

安全保護等級定級不準確，建議重新審核確定系統安全保護等級；

（可自行添加）

（備案證明背版）

注意事項：

1、備案單位備案后應當依據信息系統所定安全保護等級，按照《信息安全等級保護管理辦法》中規定的技術標準和管理規范建設安全設施，落實安全保護措施。

2、備案事項發生變更時，備案單位應當自變更之日起三十日內將變更情況報公安機關公共信息網絡安全監察部門重新備案。

3、本備案證由信息系統運營使用單位或其主管部門保管，公安機關監督檢查時應主動出示本證。

（此處印制公安機關名稱）

信息系統安全等級保護限期整改通知書

Ｘ公信安

限字[

]

第號

檢查時間

檢查地點

被檢查單位名稱

被檢查單位地址

違規行為

限期改正時間

****年**月**日至

****年**月**日

辦理單位

承

辦

人

批

準

人

填

發

人

填發日期

存根

（此處印制公安機關名稱）

信息系統安全等級保護限期整改通知書

X公信安

限字[

]第號

：

根據《中華人民共和國計算機信息系統安全保護條例》，我單位工作人員

于

****年**月**日對你單位信息安全等級保護工作進行了監督檢查，發現存在下列違規行為（□1有關信息系統安全保護狀況不符合國家信息安全等級保護管理規范和技術標準的要求；□2未按照《信息安全等級保護管理辦法》開展有關工作；□3不符合其他有關信息安全規定的行為）

1．（具體的不符合行為描述，可自行添加）；

2．；

根據，請你單位于

****年**月**日前改正，并在期限屆滿前將整改情況函告我單位。

在期限屆滿之前，你單位應當采取必要的安全保護管理和技術措施，確保信息系統安全。

（公安機關印章）

被檢查單位：

****年**月**日

****年**月**日

一式兩份，一份交被檢查單位，一份附卷。

第四篇：國家信息安全等級保護制度

《信息安全等級保護管理辦法》 四部委下發公通字[2007]43號文 《信息安全等級保護管理辦法》是為規范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩定和公共利益，保障和促進信息化建設，根據《中華人民共和國計算機信息系統安全保護條例》等有關法律法規而制定的辦法。由四部委下發，公通字200743號文。2 制定目的 規范信息安全等級保護管理。文號

公通字200743號文 第一章 總則 第一條

為規范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩定和公共利益，保障和促進信息化建設，根據《中華人民共和國計算機信息系統安全保護條例》等有關法律法規，制定本辦法。第二條

國家通過制定統一的信息安全等級保護管理規范和技術標準，組織公民、法人和其他組織對信息系統分等級實行安全保護，對等級保護工作的實施進行監督、管理。第三條

公安機關負責信息安全等級保護工作的監督、檢查、指導。國家保密工作部門負責等級保護工作中有關保密工作的監督、檢查、指導。國家密碼管理部門負責等級保護工作中有關密碼工作的監督、檢查、指導。涉及其他職能部門管轄范圍的事項，由有關職能部門依照國家法律法規的規定進行管理。國務院信息化工作辦公室及地方信息化領導小組辦事機構負責等級保護工作的部門間協調。第四條

信息系統主管部門應當依照本辦法及相關標準規范，督促、檢查、指導本行業、本部門或者本地區信息系統運營、使用單位的信息安全等級保護工作。第五條

信息系統的運營、使用單位應當依照本辦法及其相關標準規范，履行信息安全等級保護的義務和責任。

第二章 等級劃分與保護 第六條

國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統的安全保護等級應當根據信息系統在國家安全、經濟建設、社會生活中的重要程度，信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。第七條

信息系統的安全保護等級分為以下五級：

第一級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。

第二級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。

第三級，信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造 1

成損害。

第四級，信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。

第五級，信息系統受到破壞后，會對國家安全造成特別嚴重損害。第八條

信息系統運營、使用單位依據本辦法和相關技術標準對信息系統進行保護，國家有關信息安全監管部門對其信息安全等級保護工作進行監督管理。

第一級信息系統運營、使用單位應當依據國家有關管理規范和技術標準進行保護。第二級信息系統運營、使用單位應當依據國家有關管理規范和技術標準進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行指導。第三級信息系統運營、使用單位應當依據國家有關管理規范和技術標準進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行監督、檢查。第四級信息系統運營、使用單位應當依據國家有關管理規范、技術標準和業務專門需求進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行強制監督、檢查。第五級信息系統運營、使用單位應當依據國家管理規范、技術標準和業務特殊安全需求進行保護。國家指定專門部門對該級信息系統信息安全等級保護工作進行專門監督、檢查。第三章等級保護的實施與管理 第九條

信息系統運營、用單位應當按照《信息系統安全等級保護實施指南》 具體實施等級保護工作。第十條

信息系統運營、使用單位應當依據本辦法和《信息系統安全等級保護定級指南》確定信息系統的安全保護等級。有主管部門的，應當經主管部門審核批準?？缡』蛘呷珖y一聯網運行的信息系統可以由主管部門統一確定安全保護等級。對擬確定為第四級以上信息系統的，運營、使用單位或者主管部門應當請國家信息安全保護 等級專家評審委員會評審。第十一條

信息系統的安全保護等級確定后，運營、使用單位應當按照國家信息安全等級保護管理規范和技術標準，使用符合國家有關規定，滿足信息系統安全保護等級需求的信息技術產品，開展信息系統安全建設或者改建工作。第十二條

在信息系統建設過程中，運營、使用單位應當按照《計算機信息系統安全保護等級劃分準則》（GB17859-1999）、《信息系統安全等級保護基本要求》等技術標準，參照《信息安全技術信息系統通用安全技術要求》（GB/T20271-2006）、《信息安全技術網絡基礎安全技術要求》（GB/T20270-2006）、《信息安全技術 操作系統安全技術要求》（GB/T20272-2006）、《信息安全技術數據庫管理系統安全技術要求》（GB/T20273-2006）、《信息安全技術服務器技術要求》、《信息安全技術終端計算機系統安全等級技術要求》（GA/T671-2006）等技術標準同步建設符合該等級要求的信息安全設施。第十三條

運營、使用單位應當參照《信息安全技術 信息系統安全管理要求》（GB/T20269-2006）、《信息安全技術信息系統安全工程管理要求》（GB/T20282-2006）、《信息系統安全等級保護基本要求》等管理規范，制定并落實符合本系統安全保護等級要求的安全管理制度。第十四條

信息系統建設完成后，運營、使用單位或者其主管部門應當選擇符合本辦法規定條件的測評機構，依據《信息系統安全等級保護測評要求》等技術標準，定期對信息系統安全等級狀況開展等級測評。

第三級信息系統應當每年至少進行一次等級測評，第四級信息系統應當每半年至少進行一次等級測評，第五級信息系統應當依據特殊安全需求進行等級測評。信息系統運營、使用單位及其主管部門應當定期對信息系統安全狀況、安全保護制度及措施的落實情況進行自查。第三級信息系統應當每年至少進行一次自查，第四級信息系統應當每 半年至少進行一次自查，第五級信息系統應當依據特殊安全需求進行自查。經測評或者自查，信息系統安全狀況未達到安全保護等級要求的，運營、使用單位應當制定方案進行整改。第十五條

已運營（運行）的第二級以上信息系統，應當在安全保護等級確定后30 日內，由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。新建第二級以上信息系統，應當在投入運行后30日內，由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。隸屬于中央的在京單位，其跨省或者全國統一聯網運行并由主管部門統一定級的信息系統，由主管部門向公安部辦理備案手續?？缡』蛘呷珖y一聯網運行的信息系統在各地運行、應用的分支系統，應當向當地設區的市級以上公安機關備案。第十六條

辦理信息系統安全保護等級備案手續時，應當填寫《信息系統安全等級保護備案表》，第三級以上信息系統應當同時提供以下材料：

（一）系統拓撲結構及說明；

（二）系統安全組織機構和管理制度；

（三）系統安全保護設施設計實施方案或者改建實施方案；

（四）系統使用的信息安全產品清單及其認證、銷售許可證明；

（五）測評后符合系統安全保護等級的技術檢測評估報告；

（六）信息系統安全保護等級專家評審意見；

（七）主管部門審核批準信息系統安全保護等級的意見。

第十七條

信息系統備案后，公安機關應當對信息系統的備案情況進行審核，對符合等級保護要求的，應當在收到備案材料之日起的10個工作日內頒發信息系統安全等級保護備案證明；發現不符合本辦法及有關標準的，應當在收到備案材料之日起的10個工作日內通知備案單位予以 糾正；發現定級不準的，應當在收到備案材料之日起的10個工作日內通知備案單位重新審核確定。運營、使用單位或者主管部門重新確定信息系統等級后，應當按照本辦法向公安機關重新備案。第十八條

受理備案的公安機關應當對第三級、第四級信息系統的運營、使用單位的信息安全等級保護工作情況進行檢查。對第三級信息系統每年至少檢查一次，對第四級信息系統每半年至少檢查一次。對跨省或者全國統一聯網運行的信息系統的檢查，應當會同其主管部門進行。對第五級信息系統，應當由國家指定的專門部門進行檢查。公安機關、國家指定的專門部門應當對下列事項進行檢查：

（一）系統安全需求是否發生變化，原定保護等級是否準確；

（二）運營、使用單位安全管理制度、措施的落實情況；

（三）運營、使用單位及其主管部門對信息系統安全狀況的檢查情況；

（四）系統安全等級測評是否符合要求；

（五）信息安全產品使用是否符合要求；

（六）對信息系統開展等級測評的技術測評報告；

（七）信息安全產品使用的變更情況；

（八）信息安全事件應急預案，信息安全事件應急處置結果報告；

（九）信息系統安全建設、整改結果報告。

第二十條

公安機關檢查發現信息系統安全保護狀況不符合信息安全等級保護有關管理規范和技術標準的，應當向運營、使用單位發出整改通知。運營、使用單位應當根據整改通知要求，按照管理規范和技術標準進行整改。整改完成后，應當將整改報告向公安機關備案。必要時，公安機關可以對整改情況組織檢查。

第二十一條

第三級以上信息系統應當選擇使用符合以下條件的信息安全產品：

（一）產品研制、生產單位是由中國公民、法人投資或者國家投資或者控股的，在中華人民 共和國境內具有獨立的法人資格；

（二）產品的核心技術、關鍵部件具有我國自主知識產權；

（三）產品研制、生產單位及其主要業務、技術人員無犯罪記錄；

（四）產品研制、生產單位聲明沒有故意留有或者設置漏洞、后門、木馬等程序和功能；

（五）對國家安全、社會秩序、公共利益不構成危害；

（六）對已列入信息安全產品認證目錄的，應當取得國家信息安全產品認證機構頒發的認證證書。第二十二條

第三級以上信息系統應當選擇符合下列條件的等級保護測評機構進行測評：

（一）在中華人民共和國境內注冊成立（港澳臺地區除外）；

（二）由中國公民投資、中國法人投資或者國家投資的企事業單位（港澳臺地區除外）；

（三）從事相關檢測評估工作兩年以上，無違法記錄；

（四）工作人員僅限于中國公民；

（五）法人及主要業務、技術人員無犯罪記錄；

（六）使用的技術裝備、設施應當符合本辦法對信息安全產品的要求；

（七）具有完備的保密管理、項目管理、質量管理、人員管理和培訓教育等安全管理制度；

（八）對國家安全、社會秩序、公共利益不構成威脅。第二十三條

從事信息系統安全等級測評的機構，應當履行下列義務：

（一）遵守國家有關法律法規和技術標準，提供安全、客觀、公正的檢測評估服務，保證測評的質量和效果；

（二）保守在測評活動中知悉的國家秘密、商業秘密和個人隱私，防范測評風險；

（三）對測評人員進行安全保密教育，與其簽訂安全保密責任書，規定應當履行的安全保密義務和承擔的法律責任，并負責檢查落實。第四章 涉密信息系統的分級保護管理

第二十四條

涉密信息系統應當依據國家信息安全等級保護的基本要求，按照國家保密工作部門有關涉密信息系統分級保護的管理規定和技術標準，結合系統實際情況進行保護。非涉密信息系統不得處理國家秘密信息。第二十五條

涉密信息系統按照所處理信息的最高密級，由低到高分為秘密、機密、絕密三個等級。涉密信息系統建設使用單位應當在信息規范定密的基礎上，依據涉密信息系統分級保護管理辦法和國家保密標準BMB17-2006《涉及國家秘密的計算機信息系統分級保護技術要求》確 定系統等級。對于包含多個安全域的涉密信息系統，各安全域可以分別確定保護等級。保密工作部門和機構應當監督指導涉密信息系統建設使用單位準確、合理地進行系統定級。第二十六條

涉密信息系統建設使用單位應當將涉密信息系統定級和建設使用情況，及時上報業務主管部門的保密工作機構和負責系統審批的保密工作部門備案，并接受保密部門的監督、檢查、指導。

第二十七條

涉密信息系統建設使用單位應當選擇具有涉密集成資質的單位承擔或者參與涉密信息系統的設計與實施。涉密信息系統建設使用單位應當依據涉密信息系統分級保護管理規范和技術標準，按照秘密、機密、絕密三級的不同要求，結合系統實際進行方案設計，實施分級保護，其保護水平

總體上不低于國家信息安全等級保護第三級、第四級、第五級的水平。第二十八條

涉密信息系統使用的信息安全保密產品原則上應當選用國產品，并應當通過國家保密局授權的檢測機構依據有關國家保密標準進行的檢測，通過檢測的產品由國家保密局審核發布目錄。

第二十九條

涉密信息系統建設使用單位在系統工程實施結束后，應當向保密工作部門提出申請，由國家保密局授權的系統測評機構依據國家保密標準BMB22-2007《涉及國家秘密的計算機信息系統分級保護測評指南》，對涉密信息系統進行安全保密測評。涉密信息系統建設使用單位在系統投入使用前，應當按照《涉及國家秘密的信息系統審批管理規定》，向設區的市級以上保密工作部門申請進行系統審批，涉密信息系統通過審批后方可投入使用。已投入使用的涉密信息系統，其建設使用單位在按照分級保護要求完成系統整改后，應當向保密工作部門備案。

第三十條

涉密信息系統建設使用單位在申請系統審批或者備案時，應當提交以下材料：

（一）系統設計、實施方案及審查論證意見；

（二）系統承建單位資質證明材料；

（三）系統建設和工程監理情況報告；

（四）系統安全保密檢測評估報告；

（五）系統安全保密組織機構和管理制度情況；

（六）其他有關材料。第三十一條

涉密信息系統發生涉密等級、連接范圍、環境設施、主要應用、安全保密管理責任單位變更時，其建設使用單位應當及時向負責審批的保密工作部門報告。保密工作部門應當根據實際情況，決定是否對其重新進行測評和審批。第三十二條

涉密信息系統建設使用單位應當依據國家保密標準BMB20-2007《涉及國家秘密的信息系統分級保護管理規范》，加強涉密信息系統運行中的保密管理，定期進行風險評估，消除泄密隱患和漏洞。第三十三條

國家和地方各級保密工作部門依法對各地區、各部門涉密信息系統分級保護工作實施監督管理，并做好以下工作：

（一）指導、監督和檢查分級保護工作的開展；

（二）指導涉密信息系統建設使用單位規范信息定密，合理確定系統保護等級；

（三）參與涉密信息系統分級保護方案論證，指導建設使用單位做好保密設施的同步規劃設計；

（四）依法對涉密信息系統集成資質單位進行監督管理；

（五）嚴格進行系統測評和審批工作，監督檢查涉密信息系統建設使用單位分級保護管理制度和技術措施的落實情況；

（六）加強涉密信息系統運行中的保密監督檢查。對秘密級、機密級信息系統每兩年至少進行一次保密檢查或者系統測評，對絕密級信息系統每年至少進行一次保密檢查或者系統測評；

（七）了解掌握各級各類涉密信息系統的管理使用情況，及時發現和查處各種違規違法行為和泄密事件。第五章

信息安全等級保護的密碼管理 第三十四條

國家密碼管理部門對信息安全等級保護的密碼實行分類分級管理。

根據被保護對象在國家安全、社會穩定、經濟建設中的作用和重要程度，被保護對象的安全防護要求和涉密程度，被保護對象被破壞后的危害程度以及密碼使用部門的性質等，確定密碼的等級保護準則。信息系統運營、使用單位采用密碼進行等級保護的，應當遵照《信息安全等級保護密碼管理辦法》、《信息安全等級保護商用密碼技術要求》等密碼管理規定和相關標準。第三十五條

信息系統安全等級保護中密碼的配備、使用和管理等，應當嚴格執行國家密碼管理的有關規定。

第三十六條

信息系統運營、使用單位應當充分運用密碼技術對信息系統進行保護。采用密碼對涉及國家秘密的信息和信息系統進行保護的，應報經國家密碼管理局審批，密碼的設計、實施、使用、運行維護和日常管理等，應當按照國家密碼管理有關規定和相關標準執行；采用密碼對不涉及國家秘密的信息和信息系統進行保護的，須遵守《商用密碼管理條例》和密碼分類分級保護有關規定與相關標準，其密碼的配備使用情況應當向國家密碼管理機構備案。第三十七條

運用密碼技術對信息系統進行系統等級保護建設和整改的，必須采用經國家密碼管理部門批準使用或者準于銷售的密碼產品進行安全保護，不得采用國外引進或者擅自研制的密碼產品；未經批準不得采用含有加密功能的進口信息技術產品。第三十八條

信息系統中的密碼及密碼設備的測評工作由國家密碼管理局認可的測評機構承擔，其他任何部門、單位和個人不得對密碼進行評測和監控。第三十九條

各級密碼管理部門可以定期或者不定期對信息系統等級保護工作中密碼配備、使用和管理的情況進行檢查和測評，對重要涉密信息系統的密碼配備、使用和管理情況每兩年至少進行一次檢查和測評。在監督檢查過程中，發現存在安全隱患或者違反密碼管理相關規定或者未達 到密碼相關標準要求的，應當按照國家密碼管理的相關規定進行處置。第六章 法律責任 第四十條

第三級以上信息系統運營、使用單位違反本辦法規定，有下列行為之一的，由公安機關、國家保密工作部門和國家密碼工作管理部門按照職責分工責令其限期改正；逾期不改正的，給予警告，并向其上級主管部門通報情況，建議對其直接負責的主管人員和其他直接責任人員予以處理，并及時反饋處理結果：

（一）未按本辦法規定備案、審批的；

（二）未按本辦法規定落實安全管理制度、措施的；

（三）未按本辦法規定開展系統安全狀況檢查的；

（四）未按本辦法規定開展系統安全技術測評的；

（五）接到整改通知后，拒不整改的；

（六）未按本辦法規定選擇使用信息安全產品和測評機構的；

（七）未按本辦法規定如實提供有關文件和證明材料的；

（八）違反保密管理規定的；

（九）違反密碼管理規定的；

（十）違反本辦法其他規定的。

違反前款規定，造成嚴重損害的，由相關部門依照有關法律、法規予以處理。第四十一條

信息安全監管部門及其工作人員在履行監督管理職責中，玩忽職守、濫用職權、徇私舞弊的，依法給予行政處分；構成犯罪的，依法追究刑事責任。第七章 附則

第四十二條

已運行信息系統的運營、使用單位自本辦法施行之日起180日內確定信息系統的安全保護等級；新建信息系統在設計、規劃階段確定安全保護等級。第四十三條本辦法所稱“以上”包含本數（級）。第四十四條本辦法自發布之日起施行，《信息安全等級保護管理辦法（試行）》（公通字[2006]7 7

號）同時廢止。

第五篇：信息安全等級保護

信息安全等級保護(二級)信息安全等級保護(二級)備注：其中黑色字體為信息安全等級保護第二級系統要求，藍色字體為第三級系統等保要求。

一、物理安全

1、應具有機房和辦公場地的設計/驗收文檔（機房場地的選址說明、地線連接要求的描述、建筑材料具有相應的耐火等級說明、接地防靜電措施）

2、應具有有來訪人員進入機房的申請、審批記錄；來訪人員進入機房的登記記錄

3、應配置電子門禁系統(三級明確要求)；電子門禁系統有驗收文檔或產品安全認證資質，電子門禁系統運行和維護記錄

4、主要設備或設備的主要部件上應設置明顯的不易除去的標記

5、介質有分類標識；介質分類存放在介質庫或檔案室內，磁介質、紙介質等分類存放

6、應具有攝像、傳感等監控報警系統；機房防盜報警設施的安全資質材料、安裝測試和驗收報告；機房防盜報警系統的運行記錄、定期檢查和維護記錄；

7、應具有機房監控報警設施的安全資質材料、安裝測試和驗收報告；機房監控報警系統的運行記錄、定期檢查和維護記錄

8、應具有機房建筑的避雷裝置；通過驗收或國家有關部門的技術檢測；

9、應在電源和信號線上增加有資質的防雷保安器；具有防雷檢測資質的檢測部門對防雷裝置的檢測報告

10、應具有自動檢測火情、自動報警、自動滅火的自動消防系統；自動消防系統的運行記錄、檢查和定期維護記錄；消防產品有效期合格；自動消防系統是經消防檢測部門檢測合格的產品

11、應具有除濕裝置；空調機和加濕器；溫濕度定期檢查和維護記錄

12、應具有水敏感的檢測儀表或元件；對機房進行防水檢測和報警；防水檢測裝置的運行記錄、定期檢查和維護記錄

13、應具有溫濕度自動調節設施；溫濕度自動調節設施的運行記錄、定期檢查和維護記錄

14、應具有短期備用電力供應設備（如UPS）；短期備用電力供應設備的運行記錄、定期檢查和維護記錄

15、應具有冗余或并行的電力電纜線路（如雙路供電方式）

16、應具有備用供電系統（如備用發電機）；備用供電系統運行記錄、定期檢查和維護記錄

二、安全管理制度

1、應具有對重要管理操作的操作規程，如系統維護手冊和用戶操作規程

2、應具有安全管理制度的制定程序：

3、應具有專門的部門或人員負責安全管理制度的制定（發布制度具有統一的格式，并進行版本控制）

4、應對制定的安全管理制度進行論證和審定，論證和審定方式如何（如召開評審會、函審、內部審核等），應具有管理制度評審記錄

5、應具有安全管理制度的收發登記記錄，收發應通過正式、有效的方式（如正式發文、領導簽署和單位蓋章等）----安全管理制度應注明發布范圍，并對收發文進行登記。

6、信息安全領導小組定期對安全管理制度體系的合理性和適用性進行審定，審定周期多長。（安全管理制度體系的評審記錄）

7、系統發生重大安全事故、出現新的安全漏洞以及技術基礎結構和組織結構等發生變更時應對安全管理制度進行檢查，對需要改進的制度進行修訂。（應具有安全管理制度修訂記錄）

三、安全管理機構

1、應設立信息安全管理工作的職能部門

2、應設立安全主管、安全管理各個方面的負責人

3、應設立機房管理員、系統管理員、網絡管理員、安全管理員等重要崗位（分工明確，各司其職），數量情況（管理人員名單、崗位與人員對應關系表）

4、安全管理員應是專職人員

5、關鍵事物需要配備2人或2人以上共同管理，人員具體配備情況如何。

6、應設立指導和管理信息安全工作的委員會或領導小組（最高領導是否由單位主管領導委任或授權的人員擔任）

7、應對重要信息系統活動進行審批（如系統變更、重要操作、物理訪問和系統接入、重要管理制度的制定和發布、人員的配備和培訓、產品的采購、外部人員的訪問等），審批部門是何部門，審批人是何人。審批程序：

8、應與其它部門之間及內部各部門管理人員定期進行溝通（信息安全領導小組或者安全管理委員會應定期召開會議）

9、應組織內部機構之間以及信息安全職能部門內部的安全工作會議文件或會議記錄，定期：

10、信息安全管理委員會或領導小組安全管理工作執行情況的文件或工作記錄（如會議記錄/紀要，信息安全工作決策文檔等）

11、應與公安機關、電信公司和兄弟單位等的溝通合作（外聯單位聯系列表）

12、應與供應商、業界專家、專業的安全公司、安全組織等建立溝通、合作機制。

13、聘請信息安全專家作為常年的安全顧問（具有安全顧問名單或者聘請安全顧問的證明文件、具有安全顧問參與評審的文檔或記錄）

14、應組織人員定期對信息系統進行安全檢查（查看檢查內容是否包括系統日常運行、系統漏洞和數據備份等情況）

15、應定期進行全面安全檢查（安全檢查是否包含現行技術措施有效性和管理制度執行情況等方面、具有安全檢查表格，安全檢查報告，檢查結果通告記錄）

四、人員安全管理

1、何部門/何人負責安全管理和技術人員的錄用工作（錄用過程）

2、應對被錄用人的身份、背景、專業資格和資質進行審查，對技術人員的技術技能進行考核，技能考核文檔或記錄

3、應與錄用后的技術人員簽署保密協議（協議中有保密范圍、保密責任、違約責任、協議的有效期限和責任人的簽字等內容）

4、應設定關鍵崗位，對從事關鍵崗位的人員是否從內部人員中選拔，是否要求其簽署崗位安全協議。

5、應及時終止離崗人員的所有訪問權限（離崗人員所有訪問權限終止的記錄）

6、應及時取回離崗人員的各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備等（交還身份證件和設備等的登記記錄）

7、人員離崗應辦理調離手續，是否要求關鍵崗位調離人員承諾相關保密義務后方可離開（具有按照離崗程序辦理調離手續的記錄，調離人員的簽字）

8、對各個崗位人員應定期進行安全技能考核；具有安全技能考核記錄，考核內容要求包含安全知識、安全技能等。

9、對關鍵崗位人員的安全審查和考核與一般崗位人員有何不同，審查內容是否包括操作行為和社會關系等。

10、應對各類人員（普通用戶、運維人員、單位領導等）進行安全教育、崗位技能和安全技術培訓。

11、應針對不同崗位制定不同的培訓計劃，并按照計劃對各個崗位人員進行安全教育和培訓（安全教育和培訓的結果記錄，記錄應與培訓計劃一致）

12、外部人員進入條件（對哪些重要區域的訪問須提出書面申請批準后方可進入），外部人員進入的訪問控制（由專人全程陪同或監督等）

13、應具有外部人員訪問重要區域的書面申請

14、應具有外部人員訪問重要區域的登記記錄（記錄描述了外部人員訪問重要區域的進入時間、離開時間、訪問區域、訪問設備或信息及陪同人等）

五、系統建設管理

1、應明確信息系統的邊界和安全保護等級（具有定級文檔，明確信息系統安全保護等級）

2、應具有系統建設/整改方案

3、應授權專門的部門對信息系統的安全建設進行總體規劃，由何部門/何人負責

4、應具有系統的安全建設工作計劃（系統安全建設工作計劃中明確了近期和遠期的安全建設計劃）

5、應組織相關部門和有關安全技術專家對總體安全策略、安全技術框架、安全管理策略等相關配套文件進行論證和審定（配套文件的論證評審記錄或文檔）

6、應對總體安全策略、安全技術框架、安全管理策略等相關配套文件應定期進行調整和修訂

7、應具有總體安全策略、安全技術框架、安全管理策略、總體建設規劃、詳細設計方案等相關配套文件的維護記錄或修訂版本

8、應按照國家的相關規定進行采購和使用系統信息安全產品

9、安全產品的相關憑證，如銷售許可等，應使用符合國家有關規定產品

10、應具有專門的部門負責產品的采購

11、采購產品前應預先對產品進行選型測試確定產品的候選范圍，形成候選產品清單，是否定期審定和更新候選產品名單

12、應具有產品選型測試結果記錄和候選產品名單及更新記錄（產品選型測試結果文檔）

13、應具有軟件設計相關文檔，專人保管軟件設計的相關文檔，應具有軟件使用指南或操作手冊

14、對程序資源庫的修改、更新、發布應進行授權和批準

15、應具有程序資源庫的修改、更新、發布文檔或記錄

16、軟件交付前應依據開發協議的技術指標對軟件功能和性能等進行驗收檢測

17、軟件安裝之前應檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業產品

18、應具有軟件設計的相關文檔和使用指南

19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發文檔

20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質量控制

21、應具有工程實施過程應按照實施方案形成各種文檔，如階段性工程進程匯報報告，工程實施方案

22、在信息系統正式運行前，應委托第三方測試機構根據設計方案或合同要求對信息系統進行獨立的安全性測試（第三方測試機構出示的系統安全性測試驗收報告）

23、應具有工程測試驗收方案（測試驗收方案與設計方案或合同要求內容一致）

24、應具有測試驗收報告

25、應指定專門部門負責測試驗收工作（具有對系統測試驗收報告進行審定的意見）

26、根據交付清單對所交接的設備、文檔、軟件等進行清點（系統交付清單）

27、應具有系統交付時的技術培訓記錄

28、應具有系統建設文檔（如系統建設方案）、指導用戶進行系統運維的文檔（如服務器操作規程書）以及系統培訓手冊等文檔。

29、應指定部門負責系統交付工作

30、應具有與產品供應商、軟件開發商、系統集成商、系統運維商和等級測評機構等相關安全服務商簽訂的協議（文檔中有保密范圍、安全責任、違約責任、協議的有效期限和責任人的簽字等內容

31、選定的安全服務商應提供一定的技術培訓和服務

32、應與安全服務商簽訂的服務合同或安全責任合同書

11、采購產品前應預先對產品進行選型測試確定產品的候選范圍，形成候選產品清單，是否定期審定和更新候選產品名單

12、應具有產品選型測試結果記錄和候選產品名單及更新記錄（產品選型測試結果文檔）

13、應具有軟件設計相關文檔，專人保管軟件設計的相關文檔，應具有軟件使用指南或操作手冊

14、對程序資源庫的修改、更新、發布應進行授權和批準

15、應具有程序資源庫的修改、更新、發布文檔或記錄

16、軟件交付前應依據開發協議的技術指標對軟件功能和性能等進行驗收檢測

17、軟件安裝之前應檢測軟件中的惡意代碼（該軟件包的惡意代碼檢測報告），檢測工具是否是第三方的商業產品

18、應具有軟件設計的相關文檔和使用指南

19、應具有需求分析說明書、軟件設計說明書、軟件操作手冊等開發文檔

20、應指定專門部門或人員按照工程實施方案的要求對工程實施過程進行進度和質量控制

21、應具有工程實施過程應按照實施方案形成各種文檔，如階段性工程進程匯報報告，工程實施方案

22、在信息系統正式運行前，應委托第三方測試機構根據設計方案或合同要求對信息系統進行獨立的安全性測試（第三方測試機構出示的系統安全性測試驗收報告）

23、應具有工程測試驗收方案（測試驗收方案與設計方案或合同要求內容一致）

24、應具有測試驗收報告

25、應指定專門部門負責測試驗收工作（具有對系統測試驗收報告進行審定的意見）

26、根據交付清單對所交接的設備、文檔、軟件等進行清點（系統交付清單）

27、應具有系統交付時的技術培訓記錄

28、應具有系統建設文檔（如系統建設方案）、指導用戶進行系統運維的文檔（如服務器操作規程書）以及系統培訓手冊等文檔。

29、應指定部門負責系統交付工作

30、應具有與產品供應商、軟件開發商、系統集成商、系統運維商和等級測評機構等相關安全服務商簽訂的協議（文檔中有保密范圍、安全責任、違約責任、協議的有效期限和責任人的簽字等內容

31、選定的安全服務商應提供一定的技術培訓和服務

32、應與安全服務商簽訂的服務合同或安全責任合同書

六、系統運維管理

1、應指定專人或部門對機房的基本設施（如空調、供配電設備等）進行定期維護，由何部門/何人負責。

2、應具有機房基礎設施的維護記錄，空調、溫濕度控制等機房設施定期維護保養的記錄

3、應指定部門和人員負責機房安全管理工作

4、應對辦公環境保密性進行管理（工作人員離開座位確保終端計算機退出登錄狀態、桌面上沒有包含敏感信息的紙檔文件）

5、應具有資產清單（覆蓋資產責任人、所屬級別、所處位置、所處部門等方面）

6、應指定資產管理的責任部門或人員

7、應依據資產的重要程度對資產進行標識

8、介質存放于何種環境中，應對存放環境實施專人管理（介質存放在安全的環境（防潮、防盜、防火、防磁，專用存儲空間））

9、應具有介質使用管理記錄，應記錄介質歸檔和使用等情況（介質存放、使用管理記錄）

10、對介質的物理傳輸過程應要求選擇可靠傳輸人員、嚴格介質的打包（如采用防拆包裝置）、選擇安全的物理傳輸途徑、雙方在場交付等環節的控制

11、應對介質的使用情況進行登記管理，并定期盤點（介質歸檔和查詢的記錄、存檔介質定期盤點的記錄）

12、對送出維修或銷毀的介質如何管理，銷毀前應對數據進行凈化處理。（對帶出工作環境的存儲介質是否進行內容加密并有領導批準。對保密性較高的介質銷毀前是否有領導批準）（送修記錄、帶出記錄、銷毀記錄）

13、應對某些重要介質實行異地存儲，異地存儲環境是否與本地環境相同（防潮、防盜、防火、防磁，專用存儲空間）

14、介質上應具有分類的標識或標簽

15、應對各類設施、設備指定專人或專門部門進行定期維護。

16、應具有設備操作手冊

17、應對帶離機房的信息處理設備經過審批流程，由何人審批（審批記錄）

18、應監控主機、網絡設備和應用系統的運行狀況等

19、應有相關網絡監控系統或技術措施能夠對通信線路、主機、網絡設備和應用軟件的運行狀況、網絡流量、用戶行為等進行監測和報警

20、應具有日常運維的監控日志記錄和運維交接日志記錄

21、應定期對監控記錄進行分析、評審

22、應具有異?，F象的現場處理記錄和事后相關的分析報告

23、應建立安全管理中心，對設備狀態、惡意代碼、補丁升級、安全審計等相關事項進行集中管理

24、應指定專人負責維護網絡安全管理工作

25、應對網絡設備進行過升級，更新前應對現有的重要文件是否進行備份（網絡設備運維維護工作記錄）

26、應對網絡進行過漏洞掃描，并對發現的漏洞進行及時修補。

27、對設備的安全配置應遵循最小服務原則，應對配置文件進行備份（具有網絡設備配置數據的離線備份）

28、系統網絡的外聯種類（互聯網、合作伙伴企業網、上級部門網絡等）應都得到授權與批準，由何人/何部門批準。應定期檢查違規聯網的行為。

29、對便攜式和移動式設備的網絡接入應進行限制管理

30、應具有內部網絡外聯的授權批準書，應具有網絡違規行為（如撥號上網等）的檢查手段和工具。

31、在安裝系統補丁程序前應經過測試，并對重要文件進行備份。

32、應有補丁測試記錄和系統補丁安裝操作記錄

33、應對系統管理員用戶進行分類（比如：劃分不同的管理角色，系統管理權限與安全審計權限分離等）

34、審計員應定期對系統審計日志進行分析（有定期對系統運行日志和審計數據的分析報告）

35、應對員工進行基本惡意代碼防范意識的教育，如告知應及時升級軟件版本（對員工的惡意代碼防范教育的相關培訓文檔）

36、應指定專人對惡意代碼進行檢測，并保存記錄。

37、應具有對網絡和主機進行惡意代碼檢測的記錄

38、應對惡意代碼庫的升級情況進行記錄（代碼庫的升級記錄），對各類防病毒產品上截獲的惡意代碼是否進行分析并匯總上報。是否出現過大規模的病毒事件，如何處理

39、應具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告 40、應具有變更方案評審記錄和變更過程記錄文檔。

41、重要系統的變更申請書，應具有主管領導的批準

42、系統管理員、數據庫管理員和網絡管理員應識別需定期備份的業務信息、系統數據及軟件系統（備份文件記錄）

43、應定期執行恢復程序，檢查和測試備份介質的有效性

44、應有系統運維過程中發現的安全弱點和可疑事件對應的報告或相關文檔

45、應對安全事件記錄分析文檔

46、應具有不同事件的應急預案

47、應具有應急響應小組，應具備應急設備并能正常工作，應急預案執行所需資金應做過預算并能夠落實。

48、應對系統相關人員進行應急預案培訓（應急預案培訓記錄）

49、應定期對應急預案進行演練（應急預案演練記錄）50、應對應急預案定期進行審查并更新

51、應具有更新的應急預案記錄、應急預案審查記錄。