信息安全等级保护测评项目测评安全目标（2 级）.docx

信息安全等级保护测评项目测评安全目标（2 级） 一、技术目标 O2-1. 应具有抵抗一般强度地震、台风等自然灾难造成破坏的能力 O2-2. 应具有控制接触重要设备、介质的能力 O2-3. 应具有对通信线路进行物理保护的能力 O2-4. 应具有控制机房进出的能力 O2-5. 应具有防止设备、介质等丢失的能力 O2-6. 应具有控制机房内人员活动的能力 O2-7. 应具有防止雷击事件导致重要设备被破坏的能力 O2-8. 应具有灭火的能力 O2-9. 应具有检测火灾和报警的能力 O2-10. 应具有防水和防潮的能力 O2-11. 应具有防止静电导致重要设备被破坏的能力 O2-12. 应具有温湿度自动检测和控制的能力 O2-13. 应具有防止电压波动的能力 O2-14. 应具有对抗短时间断电的能力 O2-15. 具有基本的抗电磁干扰能力 O2-16. 应具有限制网络、操作系统和应用系统资源使用的能力 O2-17. 应具有能够检测对网络的各种攻击并记录其活动的能力 O2-18. 应具有网络边界完整性检测能力 O2-19. 应具有对传输和存储数据进行完整性检测的能力 O2-20. 应具有对硬件故障产品进行替换的能力 O2-21. 应具有系统软件、应用软件容错的能力 O2-22. 应具有软件故障分析的能力 O2-23. 应具有合理使用和控制系统资源的能力 O2-24. 应具有记录用户操作行为的能力 O2-25. 应具有对用户的误操作行为进行检测和报警的能力 O2-26. 应具有对传输和存储中的信息进行保密性保护的能力 O2-27. 应具有发现所有已知漏洞并及时修补的能力 O2-28. 应具有对网络、系统和应用的访问进行控制的能力 O2-29. 应具有对数据、文件或其他资源的访问进行控制的能力 O2-30. 应具有对资源访问的行为进行记录的能力 O2-31. 应具有对用户进行唯一标识的能力 O2-32. 应具有对用户产生复杂鉴别信息并进行鉴别的能力 O2-33. 应具有对恶意代码的检测、阻止和清除能力 O2-34. 应具有防止恶意代码在网络中扩散的能力 O2-35. 应具有对恶意代码库和搜索引擎及时更新的能力 O2-36. 应具有保证鉴别数据传输和存储保密性的能力 O2-37. 应具有对存储介质中的残余信息进行删除的能力 O2-38. 应具有非活动状态一段时间后自动切断连接的能力 O2-39. 应具有重要数据恢复的能力 二、管理目标 O2-40. 应确保建立了安全职能部门，配备了安全管理人员，支持信息安全 管理工作 O2-41. 应确保配备了足够数量的管理人员，对系统进行运行维护 O2-42. 应确保对主要的管理活动进行了制度化管理 O2-43. 应确保建立并不断完善、健全安全管理制度 O2-44. 应确保能协调信息安全工作在各功能部门的实施 O2-45. 应确保能控制信息安全相关事件的授权与审批 O2-46. 应确保建立恰当可靠的联络渠道，以便安全事件发生时能得到支持 O2-47. 应确保对人员的行为进行控制 O2-48. 应确保对人员的管理活动进行了指导 O2-49. 应确保安全策略的正确性和安全措施的合理性 O2-50. 应确保对信息系统进行合理定级 O2-51. 应确保安全产品的可信度和产品质量 O2-52. 应确保自行开发过程和工程实施过程中的安全 O2-53. 应确保能顺利地接管和维护信息系统 O2-54. 应确保安全工程的实施质量和安全功能的准确实现 O2-55. 应确保机房具有良好的运行环境 O2-56. 应确保对信息资产进行标识管理 O2-57. 应确保对各种软硬件设备的选型、采购、发放、使用和保管等过程进行控制 O2-58. 应确保各种网络设备、服务器正确使用和维护 O2-59. 应确保对网络、操作系统、数据库管理系统和应用系统进行安全管 理 O2-60. 应确保用户具有鉴别信息使用的安全意识 O2-61. 应确保定期地对通信线路进行检查和维护 O2-62. 应确保硬件设备、存储介质存放环境安全，并对其的使用进行控制 和保护 O2-63. 应确保对支撑设施、硬件设备、存储介质进行日常维护和管理 O2-64. 应确保系统中使用的硬件、软件产品的质量 O2-65. 应确保各类人员具有与其岗位相适应的技术能力 O2-66. 应确保对各类人员进行相关的技术培训 O2-67. 应确保提供的足够的使用手册、维护指南等资料 O2-68. 应确保内部人员具有安全方面的常识和意识 O2-69. 应确保具有设计合理、安全网络结构的能力 O2-70. 应确保密码算法和密钥的使用符合国家有关法律、法规的规定 O2-71. 应确保任何变更控制和设备重用要申报和审批，并对其实行制度化的管理 O2-72. 应确保在事件发生后能采取积极、有效的应急策略和