软件行业安全部安全员网络安全手册.docxVIP

软件行业安全部安全员网络安全手册

第1章安全基础与合规管理

1.1信息安全法律法规与标准体系

必须首先熟读《中华人民共和国网络安全法》及《数据安全法》，明确“谁主管谁负责”的核心原则，所有安全制度均需以这些法律为最高准则，严禁出现违反国家法律规定的操作行为。需掌握GB/T22239-2019《信息安全技术网络安全等级保护基本要求》（等保2.0）标准，将系统划分为政务外网、专网、内网及互联网四个区域，确保不同区域的安全防护等级严格匹配业务需求。

应熟悉《信息安全技术网络安全等级保护基本要求》（等保2.0）中关于物理环境（三级、四级）和逻辑环境（三级、四级）的具体管控要求，特别是关键基础设施必须执行“双机热备”与“异地灾备”策略。必须落实《信息安全技术网络安全等级保护实施指南》中关于关键信息基础设施的专项规定，对于涉及国家安全的金融、能源、交通等关键行业，需建立独立的物理隔离安全区，严禁与互联网直接连通。需严格执行《信息安全技术网络安全等级保护测评要求》（等保2.0）中关于网络安全审计的硬性指标，如必须保留至少6个月以上的系统日志，且审计记录需包含用户身份、操作时间、操作内容等完整要素。

应关注《信息安全技术网络安全等级保护基本要求》中关于终端安全的具体要求，包括安装防病毒软件、开启屏幕锁、禁止安装未经审批的移动存储设备，确保办公终端符合“最