1. 物理安全管理

1.1. 计算机机房与设施安全

1.1.1. 计算机机房

1.1.1.1. 机房场地选择

1.1.1.2. 机房空调、降温

1.1.1.2.1. 基本温度要求

1.1.1.2.1.1. 应有必要的空调设备，使机房温度达到所需的温度要求

1.1.1.2.2. 较完备空调系统

1.1.1.2.2.1. 应有较完备的中央空调系统，保证机房温度的变化在计算机系统运行所允许的范围内

1.1.1.2.3. 完备空调系统

1.1.1.2.3.1. 应有完备的中央空调系统，保证机房各个区域的温度变化能满足计算机系统运行、任意活动和其他辅助设备的要求

1.1.1.3. 机房防水与防潮

1.1.1.3.1. 接地与屏蔽

1.1.1.3.2. 服装防静电

1.1.1.3.2.1. 人员服装采用不易产生静电的衣料，工作鞋采用低阻值材料制作

1.1.1.3.2.1.1. 【21下选69】

1.1.1.3.3. 温、湿度防静电

1.1.1.3.4. 地板防静电

1.1.1.3.5. 材料防静电

1.1.1.3.6. 维修MOS电路保护

1.1.1.3.7. 静电消除要求

1.1.1.3.7.1. 静电消除剂

1.1.1.4. 机房接地与防雷击

1.1.1.4.1. 接地要求

1.1.1.4.1.1. 确保接地体的良好接地

1.1.1.4.2. 去耦、滤波要求

1.1.1.4.3. 避雷要求

1.1.1.4.3.1. 设置避雷地，以深埋地下，与大地良好相通的金属板作为接地点

1.1.1.4.4. 防护地与屏蔽地要求

1.1.1.4.4.1. 设置安全防护地与屏蔽地，采用阻抗尽可能小的良导体的粗线，以减少各种地之间的电位差

1.1.2. 电源

1.1.2.1. 分开供电

1.1.2.2. 紧急供电

1.1.2.3. 备用供电

1.1.2.4. 稳压供电

1.1.2.4.1. 采用线路稳压器，防止电压波动对计算机系统的影响

1.1.2.5. 电源保护

1.1.2.6. 不间断供电

1.1.2.7. 电器噪声防护

1.1.2.7.1. 减少机房中电器噪声干扰

1.1.2.8. 突然事件防护

1.1.3. 计算机设备

1.1.3.1. 设备的防盗和防毁

1.1.3.1.1. 设备标记要求

1.1.3.1.1.1. 有明显的无法去除的标记，以防更换和方便查找赃物

1.1.3.1.2. 计算中心防盗

1.1.3.1.3. 机房外部设备防盗

1.1.3.2. 设备的安全可用

1.1.3.2.1. 基本运行支持

1.1.3.2.2. 设备安全可用

1.1.3.2.3. 设备不间断运行

1.1.4. 通信线路

1.1.4.1. 确保线路畅通

1.1.4.2. 发现线路截获

1.1.4.3. 及时发现线路截获

1.1.4.4. 防止线路截获

1.2. 技术控制

1.2.1. 检测监视系统

1.2.2. 人员进出机房和操作权限范围控制

1.3. 环境与人身安全

1.3.1. 防火

1.3.2. 防漏水和水灾

1.3.2.1. 水对计算机的威胁也是致命的

1.3.3. 防静电

1.3.4. 防自然灾害

1.3.5. 防物理安全威胁

1.4. 电磁兼容

1.4.1. 计算机设备防泄露

1.4.1.1. 应配备电磁干扰设备

1.4.1.2. 必要时可以采用屏蔽机房

1.4.2. 计算机设备的电磁辐射标准和电磁兼容标准

2. 人员安全管理

2.1. 信息安全领导小组

2.1.1. 安全管理的领导职能

2.1.2. 保密监督的管理职能

2.2. 信息安全职能部门

2.2.1. 基本的安全管理职能

2.2.2. 集中的安全管理职能

2.3. 岗位安全考核与培训

2.3.1. 信息系统关键岗位人员进行统一管理

2.3.1.1. 允许一人多岗

2.3.1.1.1. 【20下选69】

2.3.1.1.1.1. 【19下选69】

2.3.1.1.2. 安全管理员和系统管理员可以由一人兼任

2.3.1.2. 业务应用操作人员不能由其他关键岗位人员兼任

2.3.1.3. 关键岗位人员应定期接受安全培训，加强安全意识和风险防范意识

2.3.2. 兼职和轮岗要求

2.3.3. 权限分散要求

2.3.3.1. 坚持关键岗位“权限分散、不得交叉覆盖”

2.3.3.1.1. 【21上选69】

2.3.3.2. 系统管理员、数据库管理员、网络管理员不能相互兼任岗位或工作

2.3.3.2.1. 【19上选70】

2.3.4. 多人共管要求

2.3.4.1. 二人同时在场，关键事务应多人共管

2.3.5. 全面控制要求

2.4. 离岗人员安全管理

2.4.1. 基本要求

2.4.2. 调离后的保密要求

2.4.3. 离岗的审计要求

2.4.3.1. 涉及组织机构管理层和信息系统关键岗位的人员调离单位，必须进行离岗安全审查，在规定的脱密期限后，方可调离

2.4.3.1.1. 【22上选68】

2.4.4. 关键部位人员的离岗要求

2.4.4.1. 应按照机要人员管理办法办理

3. 应用系统安全管理

3.1. 组织管理层在系统运行安全管理中的职责

3.1.1. 资源分配

3.1.2. 标准和程序

3.1.3. 应用系统的过程监控

3.2. 系统运行安全与保密的层次构成

3.2.1. 系统级安全

3.2.2. 资源访问安全

3.2.2.1. 【22下选69】

3.2.2.2. 最常见的应用系统安全问题

3.2.3. 功能性安全

3.2.4. 数据域安全

3.2.4.1. 【19上选69】

3.2.4.2. 行级数据域安全

3.2.4.2.1. 用户可以访问哪些业务记录，一般以用户所在单位为条件进行过滤

3.2.4.3. 字段级数据域安全

3.2.4.3.1. 用户可以访问业务记录的哪些字段

3.2.4.4. 粒度最小的层次

3.3. 系统运行安全检查与记录

3.3.1. 安全管理的常用工作方法

3.3.2. 预防事故、发现隐患、指导整改的必要工作手段

3.4. 系统运行安全管理制度

3.4.1. 系统运行的安全管理组织

3.4.2. 系统运行的安全管理

3.4.2.1. 安全等级

3.4.2.1.1. 保密等级

3.4.2.1.1.1. 绝密

3.4.2.1.1.2. 机密

3.4.2.1.1.3. 秘密

3.4.2.1.2. 可靠性等级

3.4.2.1.2.1. 最高的为A级

3.4.2.1.2.2. 系统运行所要求的最低限度可靠性为C级

3.4.2.1.2.3. 介于中间的为B级

3.4.2.2. 系统运行监视管理

3.4.2.3. 系统运行文件管理制度

3.4.2.4. 系统运行操作规程

3.4.2.5. 用户管理制度

3.4.2.6. 系统运行维护制度

3.4.2.7. 系统运行灾备制度

3.4.2.8. 系统运行审计制度

3.4.3. 系统运行的安全监督

3.4.4. 系统运行的安全教育

4. 信息安全等级保护

4.1. 国家信息安全等级保护坚持自主定级、自主保护的原则

4.2. 第一级

4.2.1. 对公民、法人和其他组织的合法权益造成损害

4.2.2. 不损害国家安全、社会秩序和公共利益

4.3. 第二级

4.3.1. 对公民、法人和其他组织的合法权益产生严重损害

4.3.2. 对社会秩序和公共利益造成损害

4.3.3. 不损害国家安全

4.3.4. 国家信息安全监管部门指导

4.4. 第三级

4.4.1. 对社会秩序和公共利益造成严重损害

4.4.2. 对国家安全造成损害

4.4.3. 国家信息安全监管部门监督、检查

4.5. 第四级

4.5.1. 【22上选69】

4.5.2. 对社会秩序和公共利益造成特别严重损害

4.5.3. 对国家安全造成严重损害

4.5.4. 国家信息安全监管部门强制监督、检查

4.6. 第五级

4.6.1. 对国家安全造成特别严重损害

4.6.2. 国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查

5. 计算机系统安全保护能力的五个等级

5.1. 用户自主保护级

5.2. 系统审计保护级

5.3. 安全标记保护级

5.4. 结构化保护级

5.5. 访问验证保护级