等保2.0各测评项权重赋值表.docx

等保2.0平安通用要求第三级权重赋值表序 号类 别控制点要求项权重赋值1物 理 和 环 境 安 全物理位置选 择机房场地应选择在具有防震、防风和防雨等 能力的建筑内；0.22机房场地应防止设在建筑物的顶层或地下 室，否那么应加强防水和防潮措施0.53物理访问控 制机房出入口应配置电子门禁系统，控制、鉴 别和记录进入的人员14防盗窃和防 破坏应将设备或主要部件进行固定，并设置明显 的不易除去的标记；0.25应将通信线缆铺设在隐蔽处，可铺设在地下 或管道中；0.56应设置机房防盗报警系统或设置有专人值 守的视频监控系统17防雷击应将各类机柜、设施和设备等通过接地系统 平安接地；0.58应采取措施防止感应雷，例如设置防雷保安 器或过压保护装置等0.79防火机房应设置火灾自动消防系统，能够自动检 测火情、自动报警，并自动灭火；110机房及相关的工作房间和辅助房应采用具 有耐火等级的建筑材料；0.211应对机房划分区域进行管理，区域和区域之 间设置隔离防火措施0.712防水和防潮应采取措施防止雨水通过机房窗户、屋顶和 墙壁渗透；0.513应采取措施防止机房内水蒸气结露和地下 积水的转移与渗透；0.514应安装对水敏感的检测仪表或元件，府机房 进行防水检测和报警。

0.515防静电应安装防静电地板并采用必要的接地防静 电措施；0.216应采用措施防止静电的产生，例如采用静电 消除器、佩戴防静电手环等0.217温湿度控制应设置温、湿度自动调节设施，使机房温、 湿度的变化在设备运行所允许的范围之内118电力供应应在机房供电线路上配置稳压器和过电压 防护设备；0.519应提供短期的备用电力供应，至少满足设备 在断电情况下的正常运行要求；1序 号类 别控制点要求项权重赋值158应组织相关部门和有关平安专家对平安整 体规划及其配套文件的合理性和正确性进 行论证和审定，经过批准后才能正式实施0.5159产品采购和 使用应确保平安产品采购和使用符合国家的有 关规定；1160应确保密码产品与服务的采购和使用符合 国家密码主管部门的要求：1161应预先对产品进行选型测试，确定产品的候 选范围，并定期审定和更新候选产品名单0.7162自行软件开 发应确保开发环境与实际运行环境物理分开， 测试数据和测试结果受到控制；1163应制定软件开发管理制度，明确说明开发过 程的控制方法和人员行为准那么；0.7164应制定代码编写平安规范，要求开发人员参 照规范编写代码；0.7165应确保具备软件设计的相关文档和使用指 南，并对文档使用进行控制；0.5166应确保在软件开发过程中对平安性进行测 试，在软件安装前对可能存在的恶意代码进 行检测；0.5167应确保对程序资源库的修改、更新、发布进 行授权和批准，并严格进行版本控制；0.5168应确保开发人员为专职人员，开发人员的开 发活动受到控制、监视和审查。

0.5169外包软件开 发应在软件交付前检测软件质量和其中可能 存在的恶意代码；1170应要求开发单位提供软件设计文档和使用 指南；0.5171应要求开发单位提供软件源代码，并审查软 件中可能存在的后门和隐蔽信道0.5172工程实施应指定或授权专门的部门或人员负责工程 实施过程的管理；0.5173应制定工程实施方案控制平安工程实施过 程；0.5174应通过第三方工程监理控制工程的实施过 程0.2175测试验收应制订测试验收方案，并依据测试验收方案 实施测试验收，形成测试验收报告；0.5176应进行上线前的平安性测试，验证平安措施 的有效性，并出具平安测试报告，平安测试 报告应包含密码应用平安性测试相关内容1序 号类 别控制点要求项权重赋值177系统交付应制定交付清单，并根据交付清单对所交接 的设备、软件和文档等进行清点；0.5178应对负责运行维护的技术人员进行相应的 技能培训；0.5179应确保提供建设过程中的文档和指导用户 进行运行维护的文档0.5180等级测评应定期进行等级测评，发现不符合相应等级 保护标准要求的及时整改；1181应在发生重大变更或级别发生变化时进行 等级测评；0.5182应确保测评机构的选择符介国家有关规定。

1183服务供应商 管理应确保服务供应商的选择符合国家的有关 规定；1184应与选定的服务供应商签订相关协议，明确 整个服务供应链各方需履行的信息平安相 关义务；1185应定期监视、评审和审核服务供应商提供的 服务，并对其变更服务内容加以控制0.5186安 全 运 维 管 理环境管理应指定专门的部门或人员负责机房平安，对 机房出入进行管理，定期对机房供配电、空 调、温湿度控制、消防等设施进行维护管理；1187应对机房的平安管理做出规定，包括机房物 理访问、物品带进带出和机房环境平安等；0.5188应不在重要区域接待来访人员和桌面上没 有包含敏感信息的纸档文件、移动介质等0.5189资产管理应编制并保存与保护对象相关的资产清单， 包括资产责任部门、重要程度和所处位置等 内容；0.7190应根据资产的重要程度对资产进行标识管 理，根据资产的价值选择相应的管理措施；0.5191应对信息分类与标识方法作出规定，并对信 息的使用、传输和存储等进行规范化管理0.5192介质管理应确保介质存放在平安的环境中，对各类介 质进行控制和保护，实行存储介质专人管 理，并根据存档介质的目录清单定期盘点；0.5193应对介质在物理传输过程中的人员选择、打 包、交付等情况进行控制，并对介质的归档 和查询等进行登记记录。

0.2194设备维护管 理应对各种设备（包括备份和冗余设备）、线 路等指定专门的部门或人员定期进行维护 管理：1序 号类 别控制点要求项权重赋值195应对配套设施、软硬件维护管理做出规定， 包括明确维护人员的责任、涉外维修和服务 的审批、维修过程的监督控制等；0.7196应确保信息处理设备必须经过审批才能带 离机房或办公地点，含有存储介质的设备带 出工作环境时其中重要数据必须加密；0.5197含有存储介质的设备在报废或重用前，应进 行完全清除或被平安覆盖,确保该设备上的 敏感数据和授权软件无法被恢复重用0.5198漏洞和风险 管理应采取必要的措施识别平安漏洞和陷患，对 发现的平安漏洞和隐患及时进行修补或评 估可能的影响后进行修补；1199应定期开展平安测评，形成平安测评报告， 采取措施应对发现的平安问题1200网络与系统 平安管理应划分不同的管理员角色进行网络和系统 的运维管理，明确各个角色的责任和权限；1201应指定专门的部门或人员进行账户管理，对 申请账户、建立账户、删除账户等进行控制；1202应建立网络和系统平安管理制度,对平安策 略、账户管理、配置管理、日志管理、日常 操作、升级与打补丁、口令更新周期等方面 作出规定；0.7203应制定重要设备的配置和操作手册，依据手 册对设备进行平安配置和优化配置等；0.7204应详细记录运维操作口志，包括口常巡检工 作、运行维护记录、参数的设置和修改等内 容；0.7205应指定专门的部门或人员对日志、监测和报 警数据等进行分析、统计，及时发现可疑行 为；1206应严格控制变更性运维,经过审批后才可改 变连接、安装系统组件或调整配置参数，操 作过程中应保存不可更改的审计日志，操作 结束后应同步更新配置信息库；1207应严格控制运维工具的使用，经过审批后才 可接入进行操作，操作过程中应保存不可更 改的审计日志,操作结束后应删除工具中的 敏感数据；1208应严格控制远程运维的开通,经过审批后才 可开通远程运维接口或通道，操作过程中应 保存不可更改的审计日志，操作结束后立即1序 号类 别控制点要求项权重赋值关闭接口或通道；209应保证所有与外部的连接均得到授权和批 准，应定期检查违反规定无线上网及其他 违反网络平安策略的行为。

1210恶意代码防 范管理应提高所有用户的防恶意代码意识，告知对 外来计算机或存储设备接入系统前进行恶 意代码检查等；0.7211应对恶意代码防范要求做出规定，包括防恶 意代码软件的授权使用、恶意代码库升级、 恶意代码的定期杳杀等；0.7212应定期验证防范恶意代码攻击的技术措施 的有效性0.5213配置管理应记录和保存基本配置信息，包括网络拓扑 结构、各个设备安装的软件组件、软件组件 的版本和补丁信息、各个设备或软件组件的 配置参数等；1214应将基本配置信息改变纳入变更范畴，实施 对配置信息改变的控制，并及时更新基本配 置信息库0.7215密码管理应采用国家密码管理主管部门批准使用的 密码算法；1216应使用符合国家密码管理规定的密码技术 和产品1217变更管理应明确变更需求，变更前根据变更需求制定 变更方案，变更方案经过评审、审批后方可 实施；0.7218应建立变更的申报和审批控制程序，依据程 序控制所有的变更，记录变更实施过程；0.5219应建立中止变更并从失败变更中恢更的程 序，明确过程控制方法和人员职责，必要时 对恢复过程进行演练0.5220备份与恢复 管理应识别需要定期备份的重要业务信息、系统 数据及软件系统等；1221应规定备份信息的备份方式、备份频度、存 储介质、保存期等；0.7222应根据数据的重要性和数据对系统运行的 影响，制定数据的备份策略和恢复策略、备 份程序和恢复程序等。

0.7序 号类 别控制点要求项权重赋值223平安事件处 置应及时向平安管理部门报告所发现的平安 弱点和可疑事件；1224应制定平安事件报告和处置管理制度，明确 不同平安事件的报告、处置和响应流程，规 定平安事件的现场处理、事件报告和后期恢 及的管理职责等；1225应在平安事件报告和响应处理过程中，分析 和鉴定事件产生的原因，收集证据，记录处 理过程，总结经验教训；0.7226对造成系统中断和造成信息泄漏的重大安 全事件应采用不同的处理程序和报告程序0.5227应急预案管 理应规定统一的应急预案框架，具体包括启动 预案的条件、应急组织构成、应急资源保障、 事后教育和培训等内容；1228应制定重要事件的应急预案，包括应急处理 流程、系统恢复流程等内容；1229应定期对系统相关的人员进行应急预案培 训，并进行应急预案的演练；0.7230应定期对原有的应急预案重新评估，修订完 善0.5231外包运维管 理应确保外包运维服务商的选择符合国家的 有关规定；1。