【网安-等保评测-基础记录】网络安全等级保护2.0 详解（定级、备案、测评、整改一站式指南）

一、等保介绍
- [1.1 等级保护定义](#1.1 等级保护定义)
- [1.2 发展历程](#1.2 发展历程)
- - [1.2.1 等保 1.0 发展历程](#1.2.1 等保 1.0 发展历程)
  - [1.2.2 等保 2.0 发展历程](#1.2.2 等保 2.0 发展历程)
- [1.3 等保1.0 → 等保2.0 标准升级](#1.3 等保1.0 → 等保2.0 标准升级)
- - [1.3.1 标准更名](#1.3.1 标准更名)
  - [1.3.2 体系完善](#1.3.2 体系完善)
  - [1.3.3 架构升级](#1.3.3 架构升级)
- [1.4 等保1.0 与 2.0 对比](#1.4 等保1.0 与 2.0 对比)
- - [1.4.1 技术+管理大类调整](#1.4.1 技术+管理大类调整)
  - [1.4.2 二级/三级控制点数量](#1.4.2 二级/三级控制点数量)
  - [1.4.3 二级/三级要求项总数](#1.4.3 二级/三级要求项总数)
- [1.5 等级划分及要求（五级标准原文）](#1.5 等级划分及要求（五级标准原文）)
- [1.6 核心法律法规](#1.6 核心法律法规)
- [1.7 等保 2.0 标准体系](#1.7 等保 2.0 标准体系)
二、等保政策
- [2.1 政策内容](#2.1 政策内容)
- [2.2 开展等级保护的意义](#2.2 开展等级保护的意义)
- - [2.2.1 提升系统防护能力](#2.2.1 提升系统防护能力)
  - [2.2.2 满足国家法规要求](#2.2.2 满足国家法规要求)
  - [2.2.3 契合行业主管要求](#2.2.3 契合行业主管要求)
  - [2.2.4 规避安全事件风险](#2.2.4 规避安全事件风险)
- [2.3 法规依据及处罚](#2.3 法规依据及处罚)
三、测评介绍
- [3.1 等保测评介绍](#3.1 等保测评介绍)
- - 3.1.1定义
  - [3.1.2 等保全周期流程：4 大阶段，侧重 "制度性工作框架"](#3.1.2 等保全周期流程：4 大阶段，侧重 “制度性工作框架”)
- [3.2 不同测评目标定级](#3.2 不同测评目标定级)
- - [3.2.1 教育行业（依据《教育行业信息系统安全等级保护定级指南》）](#3.2.1 教育行业（依据《教育行业信息系统安全等级保护定级指南》）)
  - [3.2.2 电力行业（依据《电力行业信息系统安全等级保护定级工作指导意见》）](#3.2.2 电力行业（依据《电力行业信息系统安全等级保护定级工作指导意见》）)
  - [3.2.3 卫生行业（依据卫生部通知、国标 GB/T 22239 - 2008 等）](#3.2.3 卫生行业（依据卫生部通知、国标 GB/T 22239 - 2008 等）)
  - [3.2.4 其他行业](#3.2.4 其他行业)
- [3.3 等保测评流程详解](#3.3 等保测评流程详解)
- - [3.3.1 等保标准工作流程（五步闭环）](#3.3.1 等保标准工作流程（五步闭环）)
  - [3.3.2 测评流程（工期 30 - 60 天）](#3.3.2 测评流程（工期 30 - 60 天）)
- [3.3.3 交付成果](#3.3.3 交付成果)
- [3.4 技术要求](#3.4 技术要求)
- - [3.4.1 物理环境](#3.4.1 物理环境)
  - [3.4.2 网络安全](#3.4.2 网络安全)
  - [3.4.3 主机安全](#3.4.3 主机安全)
  - [3.4.4 计算机环境](#3.4.4 计算机环境)
- [3.5 管理要求](#3.5 管理要求)
- - [3.5.1 安全策略和管理制度](#3.5.1 安全策略和管理制度)
  - [3.5.2 安全管理机构](#3.5.2 安全管理机构)
  - [3.5.3 安全管理人员](#3.5.3 安全管理人员)
  - [3.5.4 安全建设管理](#3.5.4 安全建设管理)
  - [3.5.5 安全运维管理](#3.5.5 安全运维管理)
[四、等保2.0 四大扩展要求（原文要点）](#四、等保2.0 四大扩展要求（原文要点）)
- [4.1 云计算扩展要求](#4.1 云计算扩展要求)
- - [4.1.1 定级](#4.1.1 定级)
  - [4.1.2 责任划分](#4.1.2 责任划分)
  - [4.1.3 基础设施即服务（IaaS）](#4.1.3 基础设施即服务（IaaS）)
  - [4.1.4 平台即服务（PaaS）](#4.1.4 平台即服务（PaaS）)
  - [4.1.5 软件即服务（SaaS）](#4.1.5 软件即服务（SaaS）)
  - 云计算安全拓展要求控制点/要求项
- [4.2 移动互联扩展要求](#4.2 移动互联扩展要求)
- - [4.2.1 定级](#4.2.1 定级)
  - [4.2.2 移动终端](#4.2.2 移动终端)
  - [4.2.3 无线网络](#4.2.3 无线网络)
  - [4.2.4 移动应用](#4.2.4 移动应用)
  - [4.2.5 移动管理](#4.2.5 移动管理)
  - 移动互联安全拓展要求控制点/要求项
- [4.3 工业控制系统扩展要求](#4.3 工业控制系统扩展要求)
- - 工控安全拓展要求控制点/要求项
- [4.4 物联网扩展要求](#4.4 物联网扩展要求)
- - 物联网架构-层次划分
  - 物联网安全拓展要求控制点/要求项

一、等保介绍

1.1 等级保护定义

网络安全等级保护是对国家重要信息、法人及其他组织专有信息、公民个人信息，以及存储/传输/处理上述信息的信息系统分等级实施安全保护 ；对信息系统所用安全产品按等级管理 ；对信息安全事件分等级响应与处置 ，是我国网络安全基本制度、基本国策、基本方法。

1.2 发展历程

1.2.1 等保 1.0 发展历程

1994--2003 政策奠基：1994年《计算机信息系统安全保护条例》颁布；2003年中办、国办明确实施信息安全等级保护。
2004--2006 试点准备：公安部等四部委开展等级保护基础调查与试点工作。
2007--2010 正式实施：相关管理办法出台，等级保护制度全面启动。
2010--2016 规模推广：推进测评体系建设，央企等重点单位全面落实等保。

1.2.2 等保 2.0 发展历程

2016 标准修订：公安部启动GB/T 22239-2008等保1.0系列标准修订。
2017 标准编制：全国信安标委发布等保2.0标准征求意见稿，公安行业标准同步出台。
2019 全面落地 ：等保2.0标准5月发布、12月实施，确立一个中心、三重防御框架，保护对象扩展至云、物联、工控、移动互联等新业态。

1.3 等保1.0 → 等保2.0 标准升级

1.3.1 标准更名

《信息安全技术信息系统安全等级保护基本要求》→《信息安全技术网络安全等级保护基本要求》，与《网络安全法》一致

1.3.2 体系完善

定级指南、基本要求、设计要求、测评要求全覆盖，新增云计算、物联网、移动互联、工业控制扩展要求

1.3.3 架构升级

一个中心（安全管理中心）

三重防御（安全计算环境、安全区域边界、安全通信网络）

1.4 等保1.0 与 2.0 对比

1.4.1 技术+管理大类调整

1.4.2 二级/三级控制点数量

结论：2.0合并优化控制点，总量无明显增加，要求更聚焦。

1.4.3 二级/三级要求项总数

结论：2.0精简冗余要求，重点更突出。

1.5 等级划分及要求（五级标准原文）

等级	破坏后影响	备案要求	测评周期
第一级	损害公民、法人合法权益，不损害国家安全、社会秩序、公共利益	不备案	无强制
第二级	严重损害公民/法人权益，或损害社会秩序/公共利益，不损害国家安全	必须备案	建议2年1次
第三级	严重损害社会秩序/公共利益，或损害国家安全	必须备案	每年1次
第四级	特别严重损害社会秩序/公共利益，或严重损害国家安全	必须备案	每半年1次
第五级	对国家安全造成特别严重损害	专控备案	按专控要求

关键信息基础设施安全保护等级不低于三级。

1.6 核心法律法规

《中华人民共和国网络安全法》第二十一条：国家实行网络安全等级保护制度
《中华人民共和国网络安全法第五十九条 ：未履行等保义务可处1万--100万元 罚款，责任人5000元--10万元罚款，关键信息基础设施从重处罚
《网络安全等级保护条例》第三条（征求意见稿）：确立对网络分等级保护、监管制度。
《关键信息基础设施安全保护条例》（征求意见稿）。
《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安〔2009〕1429 号）。

中央关于社会治安防控、公安改革等文件：要求健全完善等级保护制度；中央领导批示聚焦保护国家关键信息基础设施安全。

补充：

第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改:
- (一)制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任;
- (二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
- (三)采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的
  网络日志不少于六个月;
- (四)采取数据分类、重要数据备份和加密等措施;
- (五)法律、行政法规规定的其他义务。

第三十四条除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务:
- (一)设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查;
- (二)定期对从业人员进行网络安全教育、技术培训和技能考核;
- (三)对重要系统和数据库进行容灾备份;
- (四)制定网络安全事件应急预案，并定期进行演练
- (五)法律、行政法规规定的其他义务。

1.7 等保 2.0 标准体系

指导具体的等级保护工作实施，为定级、测评、安全建设等提供详细的技术和管理标准及流程规范。

上位准则
GB 17859-1999《计算机信息系统安全保护等级划分准则》、《网络安全等级保护条例》（征求意见稿）
核心三大国标 ：
- GB/T 22239-2019《网络安全等级保护基本要求》
- GB/T 25070-2019《网络安全等级保护安全设计技术要求》
- GB/T 28448-2019《网络安全等级保护测评要求》
配套指南 ：
- GB/T 28449-2018《网络安全等级保护测评过程指南》
- GB/T 22240《网络安全等级保护定级指南》（修订）
- GB/T 25058《网络安全等级保护实施指南》（修订）

二、等保政策

2.1 政策内容

管理对象 ：信息系统内安全产品（按等级管理）、安全事件（分等级响应处置）
- 要求分类：
  - 技术要求：含物理安全、网络安全、主机安全、应用安全、数据安全。
  - 管理要求：涵盖安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理。
实施流程（各参与主体的职责分工与协作流程 ）：
- 测评 / 咨询公司作为第三方专业机构，提供测评服务和整改规划，确保整改方向符合等保标准；
- 等保工作的主体责任方，需承担物理环境和管理体系的落地执行（必要时安全厂商提供技术支持）；
- 专业安全厂商提供网络安全、主机安全等安全产品（如防火墙、入侵检测系统、主机加固软件等）。制定产品的部署方案（如网络安全产品的策略配置、主机安全的基线加固标准）
- 集成商负责部署及系统安全设置。

举例说明流程落地场景

复制代码

场景：某医院 HIS 系统（等保三级）整改

测评公司预评估发现：
	机房未部署恒温恒湿系统（物理安全缺失），核心交换机无流量审计功能（网络安全缺失）。

整改方案：
       1. 院方负责采购并安装恒温恒湿设备，完善机房管理制度。
       2. 安全厂商提供带审计功能的交换机及部署方案。
       3. 集成商现场安装交换机，配置审计策略，院方同步培训运维人员。

整改完成后，测评公司进行正式测评，确保符合三级等保要求。

2.2 开展等级保护的意义

2.2.1 提升系统防护能力

通过等级保护测评，能发现单位系统内外部安全风险与脆弱性。经整改，可提高信息系统安全防护水平，降低被攻击风险。梳理不同等级系统后，针对性进行安全防护建设，保障重要系统遇攻击时，可有效抵御或快速恢复，避免重大损失。比如金融系统，关乎资金安全与经济秩序，经等保建设，能更好防范网络攻击，守护用户资产。

2.2.2 满足国家法规要求

等级保护是我国信息安全基本政策。2007 年《信息安全等级保护管理办法》（公通字 [2007] 43 号）规定实施等保制度的原则、内容、职责等，部署操作办法。2016 年《网络安全法》第二十一条明确国家实行网络安全等级保护制度，网络运营者需依要求履行义务，保障网络安全。不开展等保工作，即违反国家法律法规。

2.2.3 契合行业主管要求

众多行业主管单位要求行业客户开展等保，如金融、电力、广电、医疗、教育等行业，已有相关文件或通知。信息安全主管单位（公安、网信办、经信委、通管局等）也要求开展等保。不做等保，无法向主管单位和行业领导交代，会影响行业合规运营。以医疗行业为例，患者信息系统安全关乎隐私与医疗秩序，主管单位要求等保，推动医院加强信息安全管理。

2.2.4 规避安全事件风险

发生重大信息安全事件时，主管单位调查会先看是否开展等保。未开展等保，易被认定信息安全工作不到位；开展等保，即便遇攻击，也体现主观重视安全（因等保是国家基本制度要求），通报内容和处理相对更有利。比如企业遇数据泄露，开展等保可证明已按国家要求做基础防护，责任认定、整改要求等更合理。

2.3 法规依据及处罚

2.3.1《网络安全法》核心条款

第二十一条：国家实行网络安全等级保护制度，网络运营者需按制度履行义务，保障网络不受干扰、破坏、未授权访问，防止数据泄露、窃取、篡改。
第五十九条：网络运营者不履行第二十一条等义务，主管部门责令改正、警告；拒不改正或致危害后果，处 1 万 - 10 万元罚款，直接责任人员处 5000 元 - 5 万元罚款。关键信息基础设施运营者不履行相关义务，处 10 万 - 100 万元罚款，直接责任人员处 1 万 - 10 万元罚款。此条款明确不开展等保或未履行义务的法律后果，以强制力推动等保落实。

2.3.2《网络安全法》执法典型案例解析

这些案例均围绕网络运营者未履行网络安全等级保护义务展开，涉及医院、图书馆、事业单位、学校等不同主体，暴露的核心问题有：未落实等级保护定级备案、测评等工作；未采取防范病毒、攻击、入侵的技术措施（如边界防护、日志审计、数据备份等）；网络安全管理制度缺失（如弱口令、日志留存不足），最终导致系统被攻击、数据泄露，业务受影响。

法规适用与处罚逻辑

均依据《网络安全法》第二十一条（要求网络运营者按等级保护制度履行义务）、第五十九条（不履行义务的处罚：责令改正、警告、罚款，关键信息基础设施运营者处罚更重）。处罚对象涵盖单位与直接责任人员，体现 "双罚制"，督促单位与个人共同落实等保责任，维护网络安全。

（一）重庆永川某私立医院案例

事件：医院服务器瘫痪、业务 "停摆"，因未履行等级保护义务，遭黑客植入勒索病毒。系统存在架构隐患（多业务放同一服务器）、技术防护缺失（无边界防护、日志审计，无数据备份策略）。
处罚：依《网络安全法》第五十九条，医院罚款 1 万元，直接责任人员罚款 5000 元。
警示：医疗行业信息系统关乎民生，等保措施缺失易致业务瘫痪，影响患者就医，凸显等级保护对保障关键业务连续性的重要性。

（二）新乡市封丘县图书馆案例

事件：图书馆网站未采取防范网络攻击技术措施，遭攻击。
处罚：图书馆罚款 2 万元，直接责任人罚款 5000 元，文化部门给予责任人行政警告。
警示：公共文化机构也需重视等保，否则面临行政与经济处罚，且影响公共服务提供，体现等保覆盖行业的广泛性。

（三）山西忻州市某省直事业单位案例

事件：单位网站存在 SQL 注入漏洞，被通报，因未按等保要求采取技术防护措施。
处罚：行政警告并责令改正。
警示：事业单位作为公共服务主体，网络安全漏洞威胁信息安全，等保是基本防护底线，未落实将受监管处罚。

（四）安徽蚌埠怀远县教师进修学校案例

事件：学校网站未进行等保定级备案、测评，遭黑客攻击。
处罚：约谈法定代表人、分管副县长；学校罚款 1.5 万元，直接责任副校长罚款 5000 元。
警示：教育行业涉及师生信息，等保落实不到位，除经济处罚，还会追究管理责任，强调等保是 "一把手" 工程，需高层重视。

（五）淮南职业技术学院案例

事件：学院系统存高危漏洞，4000 余名学生信息泄露，因未落实等保制度（无防护技术措施、日志留存短、无数据备份加密）。
处罚：责令整改、行政警告。
警示：高校作为教育数据集中地，等保缺失致大规模学生信息泄露，损害师生权益，凸显等保对数据安全防护的必要性。

三、测评介绍

3.1 等保测评介绍

3.1.1定义

测评机构依据国家信息安全等级保护制度，按管理规范和技术标准，对未涉及国家秘密的信息系统，检测评估其安全等级保护状况。

等级测评类似给信息系统做 "体检"------ 测评机构如同 "医生"，用国家制定的 "体检标准"（等保国标），对系统的 "健康状况"（安全保护能力）进行检查，判断其是否符合安全要求。

3.1.2 等保全周期流程：4 大阶段，侧重 "制度性工作框架"

定级（前置环节）
1. 目标：确定系统安全等级（1-5 级），依据《信息系统安全等级保护定级指南》，按系统对国家安全、社会秩序、公共利益的影响程度判定。
2. 主体：系统运营单位主导，需主管部门审核（如二级及以上系统）。
备案（监管环节）
1. 目标：向公安部门提交备案材料（如《信息系统安全等级保护备案表》），纳入监管体系。
2. 主体：系统运营单位负责，测评机构不直接参与。
建设整改（实施环节）
1. 目标：按定级要求完善安全措施（如采购安全设备、优化管理制度），可能需安全厂商、集成商介入（如部署防火墙、补充日志审计策略）。
2. 主体：系统运营单位为主，安全厂商 / 集成商提供技术支持。
等级测评（验证环节）
1. 目标：由测评机构评估系统是否符合对应等级的安全要求，输出测评报告。
2. 主体：测评机构执行，需运营单位配合。

3.2 不同测评目标定级

需实施等保的信息系统范围（通用）

涵盖党政、金融、财税、经贸、电信、能源、交通运输、供水、社会应急服务等关键领域系统，以及医院 HIS、LIS、PACS、EMR、门户网站、OA 系统。这些系统因涉及公共管理、经济运行、民生保障等，一旦安全受威胁，影响范围广、程度深，所以需等保防护。

3.2.1 教育行业（依据《教育行业信息系统安全等级保护定级指南》）

系统分类：分重点建设类高校系统（Ⅰ 类）、高校系统（Ⅱ 类）、中小学（含中职）系统（Ⅲ 类）。
定级规则：Ⅰ 类部分系统（如学校门户、财务、校园一卡通、教务管理系统）为三级等保；Ⅱ 类系统二级等保；Ⅲ 类系统一级等保。因高校涉及科研、教学管理等重要数据，中小学侧重基础信息管理，风险影响不同，定级有别。

3.2.2 电力行业（依据《电力行业信息系统安全等级保护定级工作指导意见》）

按系统名称、范围（如省级及以上、省级以下，电压等级等），对能量管理、变电站自动化、配网自动化等系统，建议不同等级。像省级及以上能量管理系统建议四级，体现电力作为国计民生基础行业，核心控制系统安全等级高，保障电力稳定供应。

3.2.3 卫生行业（依据卫生部通知、国标 GB/T 22239 - 2008 等）

涉及系统：HIS、LIS、EMR、PACS、办公、门户网站等系统。
定级要求：跨区域联网的卫生统计、传染病报告等系统，国家 / 省 / 地市三级卫生信息平台，三甲医院核心业务系统等，原则上不低于三级等保。医疗数据关乎患者健康、公共卫生安全，高等级防护保障数据安全与医疗服务连续性。

3.2.4 其他行业

证券期货、金融、烟草、税务等行业，均有各自等保标准文件（如证券期货业 JR/T 0060 - 2010、金融行业 JR/T 0071 - 2012 等）。这些行业因业务涉及经济秩序、国家税收、专卖管理等关键环节，需针对性等保规范，保障行业信息系统安全，维护社会经济稳定。

3.3 等保测评流程详解

3.3.1 等保标准工作流程（五步闭环）

定级：自评→评审→审核→确定等级
备案：二级及以上向公安机关网安部门备案
差距分析·建设整改：技术+管理全面补齐
等级测评：第三方测评机构现场测评并出具报告
监督检查：监管部门定期检查、持续改进

3.3.2 测评流程（工期 30 - 60 天）

测评机构执行流程：6 大步骤，侧重 "测评操作细节

资产调研（测评准备）
1. 任务：梳理系统架构、业务流程、管理制度，明确测评对象（如网络设备、服务器、应用系统）。
2. 示例：绘制网络拓扑图，统计服务器数量及功能。
启动会议（流程确认）
1. 任务：与运营单位沟通测评范围、进度、分工（如确定现场评估人员对接人）。
现场评估（核心操作）
1. 任务：通过访谈、文档审查、技术检测（如漏洞扫描、配置核查）发现安全隐患。
2. 示例：检查防火墙策略是否按等级要求配置，验证服务器日志留存时间是否达标。
末次会议（问题反馈）
1. 任务：通报测评发现的问题（如 "某服务器弱口令未整改"），提出整改建议。
整改加固（协助优化）
1. 任务：测评机构提供整改方案（如建议部署堡垒机），并验证整改效果（非强制，依合同约定）。
报告交付（成果输出）
1. 任务：编制正式测评报告，分送运营单位、公安部门等，流程结束。

3.3.3 交付成果

《XX 信息系统信息安全等级保护测评报告》：共 3 份，分别用于用户单位留存、测评机构存档、公安部门监管，客观呈现系统安全等级保护状况。
《XX 单位信息系统信息安全等级保护建设整改方案》：指导单位针对性整改，提升系统安全防护水平。
信息系统安全等级保护备案证明：证明系统完成等保备案，是合规性重要凭证。

3.4 技术要求

3.4.1 物理环境

解读：

1.根据服务器角色和重要性，对网络进行安全域划分;(安全域划分)

2.在内外网的安全域边界设置访问控制策略，并要求配置到具体的端口;(防火墙)

3.在网络边界处应当部署入侵防范手段，防御并记录入侵行为;(入侵防御系统)

4.对网络中的用户行为日志和安全事件信息进行记录和审计;(上网行为管理)

5.对安全设备、网络设备和服务器等进行集中管理。(安全态势感知/安全大数据分析)

3.4.2 网络安全

解读：

1.根据服务器角色和重要性，对网络进行安全域划分;(安全域划分)

2.在内外网的安全域边界设置访问控制策略，并要求配置到具体的端口;(防火墙)

3.在网络边界处应当部署入侵防范手段，防御并记录入侵行为;(入侵防御系统)

4.对网络中的用户行为日志和安全事件信息进行记录和审计;(上网行为管理)

5.对安全设备、网络设备和服务器等进行集中管理。(安全态势感知/安全大数据分析)

3.4.3 主机安全

解读：

1.避免账号共享、记录和审计运维操作行为是最基本的安全要求;(运维审计/堡垒机)

2.必要的安全手段保证系统层安全，防范服务器入侵行为;(服务器加固-服务/软件)

3.4.4 计算机环境

解读：

1.应用是具体业务的直接实现，不具有网络和系统相对标准化的特点。大部分应用本身的身份鉴别、访问控制和操作审计等功能，都难以用第三方产品来替代实现;

2.数据的完整性和保密性，除了在其他层面进行安全防护以外，加密是最为有效的方法;

3.数据的异地备份是等保三级区别于二级最重要的要求之一，是实现业务连续最基础的技术保障措施。

3.5 管理要求

3.5.1 安全策略和管理制度

建立安全策略、管理制度，规范制定发布、评审修订流程，让安全管理有章可循，如明确不同等级系统的安全策略，定期评审更新制度。

3.5.2 安全管理机构

通过岗位设置（分工明确）、人员配置（按需定岗）、授权和审批（操作权限管控）、沟通和合作（跨部门协同）、审核和检查（定期审计），构建组织保障，确保安全职责落地。

3.5.3 安全管理人员

关注人员全生命周期安全管理，涵盖录用（背景审查）、离岗（权限回收）、安全意识教育和培训（技能与意识提升）、外部人员访问管理（访客审批、监控），减少人为因素带来的安全风险。

3.5.4 安全建设管理

贯穿系统建设全流程，从定级备案（合规基础）、安全方案设计（贴合需求）、产品采购和使用（选型合规、检测）、自行 / 外包软件开发（过程管控）、工程实施（规范施工）、测试验收（严格检验）、系统交付（资料移交）、等级测评（定期评估）、服务供应商选择（资质审核），保障系统从建设到交付的安全质量。

3.5.5 安全运维管理

覆盖系统运维各环节，包含环境管理（机房环境监控）、资产管理（台账、盘点）、介质管理（存储、销毁）、设备维护管理（巡检、维修）、漏洞和风险管理（定期扫描、处置）、网络和系统安全管理（配置优化、日志分析）、恶意代码防范管理（病毒库更新）、配置管理（版本控制）、密码管理（密钥更新）、变更管理（流程审批）、备份与恢复管理（数据容灾）、安全事件处置（应急响应）、应急预案管理（演练、优化）、外包运维管理（服务商监管），保障系统持续安全运行。