2023信息安全技術(shù)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全能力成熟度模型

信息安全技術(shù)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全能力成熟度模型44目 次前 言 61范圍 7規(guī)性用件 7術(shù)、義 7語定義 7互網(wǎng)用統(tǒng)Internetapplicationsystem 7互網(wǎng)用統(tǒng)全能Internetapplicationsystemsecuritycapability 7成度maturity 7成度型maturitymodel 7安過域securityprocessarea 7基實(shí)basepractices 8通實(shí)genericpractices 8核保對(duì)象coreprotectedobject 8縮語 8互網(wǎng)用統(tǒng)全力成度型構(gòu) 8力熟模架構(gòu) 8力素度 9能構(gòu)成 9機(jī)建設(shè) 9制流程 9技工具 9人能力 9力熟等維度 9力設(shè)程度 10PA體系 10編規(guī)則 11關(guān)描述 11核保對(duì)安全 12信全 12PA01絡(luò)構(gòu) 12PA述 12級(jí)述 12PA02信輸 12PA述 12級(jí)述 13PA03信證 13PA述 13級(jí)述 13絡(luò)界全 14PA04全域分 14PA述 14級(jí)述 14PA05絡(luò)界護(hù) 15PA述 15級(jí)述 15PA06程問全 15PA述 15級(jí)述 16算境全 16PA07份別 16PA述 16級(jí)述 16PA08問制 17PA述 17級(jí)述 17PA09全計(jì) 18PA述 18級(jí)述 18PA10侵御 19PA述 19級(jí)述 19據(jù)全 20PA11據(jù)集全 20PA述 20級(jí)述 20PA12據(jù)輸全 21PA述 21級(jí)述 21PA13據(jù)儲(chǔ)全 22PA述 22級(jí)述 22PA14據(jù)理全 23PA述 23級(jí)述 23PA15據(jù)換全 24PA述 24級(jí)述 24PA16據(jù)毀全 26PA述 26級(jí)述 26人息全 27PA17人息則 27PA述 27級(jí)述 27PA18戶權(quán) 28PA述 28級(jí)述 28PA19人息共享 29PA述 29級(jí)述 29PA20人息權(quán)利 30PA述 30級(jí)述 30通安全 31全劃架構(gòu) 31PA21全略 31PA述 31級(jí)述 31PA22全構(gòu)置 31PA述 31級(jí)述 31PA23全責(zé)分 32PA述 32級(jí)述 32PA24全發(fā)程 33PA述 33級(jí)述 33員理培訓(xùn) 34PA25員全理 34PA述 34級(jí)述 34PA26全育訓(xùn) 35PA述 35級(jí)述 35理環(huán)安全 36PA27理全護(hù) 36PA述 36級(jí)述 36PA28力應(yīng) 36PA述 36級(jí)述 36PA29理災(zāi) 37PA述 37級(jí)述 37PA30境離 38PA述 38級(jí)述 38測(cè)警應(yīng)響應(yīng) 39PA31產(chǎn)知 39PA述 39級(jí)述 39PA32險(xiǎn)測(cè) 40PA述 40級(jí)述 40PA33脅警 40PA述 40級(jí)述 40PA34急案 41PA述 41級(jí)述 41PA35急練 42PA述 42級(jí)述 42應(yīng)安保障 43PA36品型 43PA述 43級(jí)述 43PA37應(yīng)選擇 43PA述 43級(jí)述 43PA38購付 44PA述 44級(jí)述 44PA39同議制 45PA述 45級(jí)述 45PA40代審計(jì) 46PA述 46級(jí)述 46PA41級(jí)全障 46PA述 46級(jí)述 46附 錄 A資性）力熟等描與GP 48述 48力熟級(jí)1：基礎(chǔ)設(shè) 48能成度級(jí)述 48A.2.2GP1.1機(jī)建設(shè) 48A.2.3GP1.2制流程 48A.2.4GP1.3技工具 48A.2.5GP1.4人能力 48力熟級(jí)2：規(guī)范護(hù) 48能成度級(jí)述 48A.3.2GP2.1機(jī)建設(shè) 48A.3.3GP2.2制流程 48A.3.4GP2.3技工具 48A.3.5GP2.4人能力 49力熟級(jí)3：集成控 49能成度級(jí)述 49A.4.2GP3.1機(jī)建設(shè) 49A.4.3GP3.2制流程 49A.4.4GP3.3技工具 49A.4.5GP3.4人能力 49力熟級(jí)4：綜合同 49能成度級(jí)述 49A.5.2GP4.1機(jī)建設(shè) 49A.5.3GP4.2制流程 49A.5.4GP4.3技工具 49A.5.5GP4.4人能力 50力熟級(jí)5：智能化 50能成度級(jí)述 50A.6.2GP5.1機(jī)建設(shè) 50A.6.3GP5.2制流程 50A.6.4GP5.3技工具 50A.6.5GP5.4人能力 50附 錄 B(料附）力熟模使法 51述 51力熟模使步驟 51附 錄 C資性）熟等的估法 52述 52建驗(yàn)隊(duì) 52定驗(yàn)劃 52基情梳理 52確核范圍 52確核具任與方案 52確還恢預(yù)案 53其工要求 53展場(chǎng)驗(yàn) 53成驗(yàn)論 53力熟等核驗(yàn) 53力熟等核報(bào)告寫 53參考獻(xiàn) 551010信息安全技術(shù) 互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全能力成熟度模型范圍本標(biāo)準(zhǔn)給出了互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全能力成熟度模型，規(guī)定了核心保護(hù)對(duì)象安全和通用安全的成熟度等級(jí)要求，提出了能力成熟度等級(jí)核驗(yàn)方法。GB/T25069—2022信息安全技術(shù)術(shù)語GB/T22239—2019信息安全技術(shù)信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T37988—2019信息安全技術(shù)信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型GB/T41400—2022信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全防護(hù)能力成熟度模型GB-T41391—2022信息安全技術(shù)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（App）收集個(gè)人信息基本要求GB/T35273—2017信息安全技術(shù)個(gè)人信息安全規(guī)范GB/T25069—2022中界定的以及下列術(shù)語和定義適用于本文件?；ヂ?lián)應(yīng)系統(tǒng) Internetapplicationsystem在互聯(lián)網(wǎng)運(yùn)行的門戶網(wǎng)站以及面向社會(huì)公眾提供服務(wù)的網(wǎng)站或信息系統(tǒng)。互聯(lián)應(yīng)系安能力 Internetapplicationsystemsecuritycapability成熟度 maturity對(duì)一個(gè)組織的有條理的持續(xù)改進(jìn)能力的度量，對(duì)實(shí)現(xiàn)特定過程的連續(xù)性、可持續(xù)性、有效性和可信度的度量。成熟模型 maturitymodelsecurityprocessarea實(shí)現(xiàn)同一安全目標(biāo)的一系列數(shù)據(jù)安全相關(guān)活動(dòng)、過程的集合。basepractices是實(shí)現(xiàn)某一安全目標(biāo)的互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全相關(guān)的活動(dòng)和過程，一個(gè)過程域由若干個(gè)基本實(shí)踐組成。genericpractices在等級(jí)核驗(yàn)中用于確定任何安全過程域或基礎(chǔ)實(shí)踐的實(shí)施能力的評(píng)定準(zhǔn)則。coreprotectedobject對(duì)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全所適用的法律法規(guī)的遵循?？s略語下列縮略語適用于本標(biāo)準(zhǔn)：CMM：能力成熟度模型（CapabilityMaturityModel）IASS-CMM：互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全能力成熟度模型（InternetapplicationsystemsecurityCapabilityMaturityModel）BP：（BasePractice）GP：（GenericPractice）PA：（ProcessArea）CF：（CommonFeature）5543通信安全網(wǎng)絡(luò)邊界安全計(jì)算環(huán)境安全數(shù)據(jù)安全個(gè)人信息安全21能力成熟度等級(jí)圖1互聯(lián)網(wǎng)應(yīng)用系統(tǒng)能力成熟度模型架構(gòu)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全能力成熟度模型的架構(gòu)由以下三個(gè)維度構(gòu)成。組織互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全能力要素包括機(jī)構(gòu)建設(shè)、制度流程、技術(shù)工具和人員能力。組織互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全能力成熟度等級(jí)劃分為五級(jí)，具體包括：1級(jí)是基礎(chǔ)建設(shè)級(jí)，2級(jí)是規(guī)范防護(hù)級(jí)，3級(jí)是集成管控級(jí)，4級(jí)是綜合協(xié)同級(jí)，5級(jí)是智能優(yōu)化級(jí)。組織互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全能力建設(shè)過程包括核心保護(hù)對(duì)象安全和通用安全：個(gè)過程類；5對(duì)能力成熟度等級(jí)維和數(shù)據(jù)安全過程域維之間的映射關(guān)系，如圖2所示。從承擔(dān)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全工作的組織應(yīng)具備的機(jī)構(gòu)建設(shè)能力角度，根據(jù)以下方面進(jìn)行能力等級(jí)區(qū)分：從組織互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全制度流程的建設(shè)以及執(zhí)行情況角度，根據(jù)以下方面進(jìn)行能力等級(jí)區(qū)分：從組織承擔(dān)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全工作的人員應(yīng)具備的能力角度，根據(jù)以下方面進(jìn)行能力等級(jí)區(qū)分：互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全人員所具備的安全技能是否能夠滿足復(fù)合型能力要求(對(duì)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)相關(guān)業(yè)組織互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全能力成熟度等級(jí)共分為5級(jí)，見圖2。等級(jí)5：等級(jí)5：智能優(yōu)化4：綜合協(xié)同等級(jí)3：集成管控等級(jí)2：規(guī)范防護(hù)等級(jí)1：基礎(chǔ)建設(shè)圖2互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全能力成熟度等級(jí)5CFPAPA體系分為核心保護(hù)對(duì)象安全和通用安全兩部分，共包含41個(gè)PA，見圖3。數(shù)據(jù)安全PA11數(shù)據(jù)安全PA11PA01網(wǎng)絡(luò)架構(gòu)PA04安全區(qū)域劃分PA07身份鑒別PA12PA02通信傳輸PA05網(wǎng)絡(luò)邊界防護(hù)PA08訪問控制PA13PA03可信驗(yàn)證PA06遠(yuǎn)程訪問安全PA09安全審計(jì)PA14PA10入侵防御PA15PA16PA17個(gè)人信息規(guī)則PA18用戶授權(quán)PA21安全策略與規(guī)程PA22安全機(jī)構(gòu)設(shè)置PA23安全職責(zé)劃分PA24開發(fā)安全流程PA27物理安全防護(hù)PA28電力供應(yīng)PA29物理防災(zāi)PA30環(huán)境分離PA21安全策略與規(guī)程PA22安全機(jī)構(gòu)設(shè)置PA23安全職責(zé)劃分PA24開發(fā)安全流程PA27物理安全防護(hù)PA28電力供應(yīng)PA29物理防災(zāi)PA30環(huán)境分離PA31PA36產(chǎn)品選型PA37供應(yīng)商選擇PA38采購交付PA39合同協(xié)議控制PA40源代碼審計(jì)PA41升級(jí)安全保障PA25PA26核心保護(hù)對(duì)象安全包括以下5個(gè)過程類：PA（PA01-PA03）PA（PA04-PA06）PA（PA07-PA10）5PA（PA25-PA26）PA（PA27-PA30）供應(yīng)鏈安全保障的互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全PA編碼規(guī)則如下：PA01,02PABPBP.XX.XXPABPBP01,02PABP平。能力成熟度等級(jí)與PA、BP、能力要素的關(guān)系如下：PA54BP；PA4PA，GB/T32919—2016提供的方法對(duì)某一等級(jí)能力要求進(jìn)行裁剪。注：針對(duì)某一具體PA54能力成熟度等級(jí)的描述與GP，見附錄A。能力成熟度模型使用方法，見附錄B。能力成熟度等級(jí)核驗(yàn)流程，見附錄C。PA01PA等級(jí)1（BP.01.01）等級(jí)2(BP.01.02)；（(BP.01.03)等級(jí)3該等級(jí)的安全能力描述如下：(BP.01.04)；組織對(duì)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)核心網(wǎng)絡(luò)設(shè)備和關(guān)鍵安全設(shè)備應(yīng)采用雙機(jī)熱備方式進(jìn)行冗余部署(BP.01.05)；(BP.01.06等級(jí)4該等級(jí)的安全能力描述如下：(BP.01.07等級(jí)5該等級(jí)的安全防護(hù)能力應(yīng)不低于4級(jí)BP。PA02PA等級(jí)1該等級(jí)的安全能力描述如下：人員能力：BP.02.01)；BP.02.02等級(jí)2IPsecVPNSSLBP.02.03)；）BP.02.04等級(jí)3該等級(jí)的安全能力描述如下：(BP.02.05)；TLS技術(shù)采用校驗(yàn)碼技術(shù)或數(shù)字簽名技術(shù)，對(duì)傳輸數(shù)據(jù)的完整性進(jìn)行驗(yàn)證和保護(hù)，確保數(shù)據(jù)傳輸過程從沒有受到篡改(BP.02.06)。等級(jí)4該等級(jí)的安全能力描述如下：RadiusBP.02.07等級(jí)5該等級(jí)的安全能力描述如下：BP.02.08PA03PA等級(jí)1該等級(jí)的安全能力描述如下：(BP.03.01等級(jí)2該等級(jí)的安全能力描述如下：（(BP.03.02)；TPCM（TPCM）BP.03.03等級(jí)3該等級(jí)的安全能力描述如下：BP.03.04等級(jí)4該等級(jí)的安全能力描述如下：(BP.03.05)。等級(jí)5該等級(jí)的安全能力描述如下：技術(shù)工具：組織采用可信驗(yàn)證機(jī)制對(duì)應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證，保證通信設(shè)備的真實(shí)可信(BP.03.06)。PA04PA對(duì)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)網(wǎng)絡(luò)安全區(qū)域之間進(jìn)行邏輯隔離安全防護(hù)，防止由于單點(diǎn)網(wǎng)絡(luò)攻擊造成全局網(wǎng)絡(luò)問題。等級(jí)1該等級(jí)的安全能力描述如下：制度流程：組織僅根據(jù)特定需求或基于組織經(jīng)驗(yàn)建立安全區(qū)域劃分策略(BP.04.01)。等級(jí)2該等級(jí)的安全能力描述如下：BP.04.03等級(jí)3該等級(jí)的安全能力描述如下：技術(shù)工具：組織將具有相同功能和安全要求的控制設(shè)備劃分到同一區(qū)域，區(qū)域之間執(zhí)行管道通信，并對(duì)控制區(qū)域間管道中的通信內(nèi)容進(jìn)行統(tǒng)一管理(BP.04.04)。等級(jí)4該等級(jí)的安全防護(hù)能力應(yīng)不低于3級(jí)BP。等級(jí)5該等級(jí)的安全能力描述如下：(BP.04.05PA05PA通過網(wǎng)絡(luò)邊界防護(hù)設(shè)備對(duì)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)網(wǎng)絡(luò)與辦公網(wǎng)或互聯(lián)網(wǎng)之間的邊界進(jìn)行安全防護(hù)，防止外部的安全風(fēng)險(xiǎn)引入互聯(lián)網(wǎng)應(yīng)用系統(tǒng)網(wǎng)絡(luò)。等級(jí)1該等級(jí)的安全能力描述如下：BP.05.01)等級(jí)2組織在業(yè)務(wù)網(wǎng)和辦公網(wǎng)邊界部署安全防護(hù)設(shè)備，防止辦公網(wǎng)的安全風(fēng)險(xiǎn)進(jìn)入互聯(lián)網(wǎng)應(yīng)用系統(tǒng)網(wǎng)絡(luò)(BP.05.02)；BP.05.03)；BP.05.04等級(jí)3該等級(jí)的安全能力描述如下：BP.05.05)；BP.05.07等級(jí)4該等級(jí)的安全能力描述如下：技術(shù)工具：組織部署相應(yīng)技術(shù)措施，發(fā)現(xiàn)并阻斷非授權(quán)內(nèi)聯(lián)和非法外聯(lián)行為(BP.05.08)。等級(jí)5該等級(jí)的安全能力描述如下：技術(shù)工具：組織采用可信驗(yàn)證機(jī)制對(duì)接入到網(wǎng)絡(luò)中的設(shè)備進(jìn)行可信驗(yàn)證，保證接入網(wǎng)絡(luò)的設(shè)備真實(shí)可信(BP.05.09)。PA06PA等級(jí)1該等級(jí)的安全能力描述如下：人員能力：組織僅根據(jù)特定需求或基于組織經(jīng)驗(yàn)對(duì)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)遠(yuǎn)程訪問進(jìn)行管理(BP.06.01)。等級(jí)2該等級(jí)的安全能力描述如下：TelnetRlogin等高風(fēng)(BP.06.02)；BP.06.03)。(BP.06.04)；BP.06.05等級(jí)3VPNBP.06.06)；BP.06.07(BP.06.08)；BP.06.09)；（BP.06.10等級(jí)4該等級(jí)的安全能力描述如下：SDNBP.06.11等級(jí)5該等級(jí)的安全能力描述如下：技術(shù)工具：組織自建專用通信傳輸網(wǎng)絡(luò)或租用專用通信線纜，以實(shí)現(xiàn)重要互聯(lián)網(wǎng)應(yīng)用系統(tǒng)遠(yuǎn)程訪問的安全性(BP.06.12)。PA07PA基于組織的互聯(lián)網(wǎng)應(yīng)用系統(tǒng)網(wǎng)絡(luò)安全需求和合規(guī)性要求建立身份認(rèn)證機(jī)制，防止對(duì)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)數(shù)據(jù)的未授權(quán)訪問。等級(jí)1該等級(jí)的安全能力描述如下：BP.07.01等級(jí)2該等級(jí)的安全能力描述如下：(BP.07.02)；BP.07.03)；BP.07.04（）(BP.07.05)；組織對(duì)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)進(jìn)行遠(yuǎn)程管理，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽(BP.07.06)。等級(jí)3該等級(jí)的安全能力描述如下：技術(shù)工具：BP.07.07)；(BP.07.08等級(jí)4該等級(jí)的安全能力描述如下：PKIBP.07.09等級(jí)5該等級(jí)的安全能力描述如下：技術(shù)工具：組織通過自建電子認(rèn)證體系，建立全組織范圍內(nèi)的身份認(rèn)證系統(tǒng)，實(shí)現(xiàn)多級(jí)別多因素的認(rèn)證方式，以此構(gòu)建重要互聯(lián)網(wǎng)應(yīng)用系統(tǒng)多層防御機(jī)制(BP.07.10)。PA08PA基于組織的互聯(lián)網(wǎng)應(yīng)用系統(tǒng)網(wǎng)絡(luò)安全需求和合規(guī)性要求建立訪問控制機(jī)制，防止對(duì)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)越權(quán)或違規(guī)訪問。等級(jí)1該等級(jí)的安全能力描述如下：機(jī)構(gòu)建設(shè)：組織根據(jù)不同業(yè)務(wù)需求、崗位職責(zé)等，合理分類分配賬戶和權(quán)限，配置訪問控制策略(BP.08.01)。等級(jí)2該等級(jí)的安全能力描述如下：(BP.08.02)；(BP08.3(BP.08.04)；(BP.08.05)；(BP.08.06BP.08.07)；BP.08.08)。等級(jí)3該等級(jí)的安全能力描述如下：技術(shù)工具：組織依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重要信息資源的操作(BP.08.09)。等級(jí)4該等級(jí)的安全能力描述如下：技術(shù)工具：組織對(duì)訪問控制的粒度應(yīng)達(dá)到主體為用戶級(jí)或進(jìn)程級(jí)，客體為文件、數(shù)據(jù)庫表級(jí)(BP.08.10)。等級(jí)5該等級(jí)的安全能力描述如下：(BP.08.11PA09PA等級(jí)1該等級(jí)的安全能力描述如下：BP.09.01等級(jí)2該等級(jí)的安全能力描述如下：(BP.09.02)；BP.09.03)；BP.09.05)。等級(jí)3該等級(jí)的安全能力描述如下：技術(shù)工具：BP.09.06)；BP.09.07等級(jí)4該等級(jí)的安全能力描述如下：(BP.09.08)。等級(jí)5該等級(jí)的安全能力描述如下：(BP.09.09PA10PA等級(jí)1該等級(jí)的安全能力描述如下：(BP.10.01等級(jí)2該等級(jí)的安全能力描述如下：(BP.10.02)；BP.10.03)；(BP.10.04)；BP.10.05)。技術(shù)工具：組織應(yīng)設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對(duì)通過網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制(BP.10.06)。等級(jí)3該等級(jí)的安全能力描述如下：技術(shù)工具：BP.10.07)；通過通信接口輸入的數(shù)據(jù)格式或長度是否符合系統(tǒng)設(shè)定要求，防止用戶輸入畸形數(shù)據(jù)而導(dǎo)致系統(tǒng)出錯(cuò)(SQL(BP.10.08)等級(jí)4該等級(jí)的安全能力描述如下：技術(shù)工具：組織部署相應(yīng)的技術(shù)措施對(duì)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)定期進(jìn)行漏洞掃描，發(fā)現(xiàn)漏洞并及時(shí)修補(bǔ)漏洞(BP.10.09)。等級(jí)5該等級(jí)的安全能力描述如下：PA11PA等級(jí)1該等級(jí)的安全能力描述如下：等級(jí)2該等級(jí)的安全能力描述如下：(BP.11.02(BP.11.03)；(BP.11.04)等級(jí)3該等級(jí)的安全能力描述如下：BP.11.05BP.11.06)；(BP.11.07)；組織應(yīng)明確數(shù)據(jù)采集范圍、數(shù)量和頻度，確保不收集與提供服務(wù)無關(guān)的個(gè)人信息和重要數(shù)據(jù)(BP.11.08)；(BP.11.09)；(BP.11.10)；BP.11.11c）(BP.11.12)；(BP.11.13BP.11.14)。等級(jí)4該等級(jí)的數(shù)據(jù)安全能力要求描述如下:BP.11.15)；BP.11.16)；(BP.11.17等級(jí)5該等級(jí)的數(shù)據(jù)安全能力要求描述如下:(BP.11.18)；PA12PA等級(jí)1該等級(jí)的數(shù)據(jù)安全能力描述如下：BP.12.01等級(jí)2該等級(jí)的安全能力描述如下：BP.12.02)；(BP.12.03)(BP.12.04)；組織應(yīng)對(duì)傳輸數(shù)據(jù)加密的技術(shù)方案和工具，包括針對(duì)關(guān)鍵的數(shù)據(jù)傳輸通道的加密方案（如采用TLS/SSL方式），及對(duì)傳輸數(shù)據(jù)內(nèi)容進(jìn)行加密(BP.12.05)。等級(jí)3該等級(jí)的安全能力描述如下：(BP.12.06)（）(BP.12.07)；BP.12.08c）BP.12.09)；組織應(yīng)部署對(duì)通道安全配置、密碼算法配置、密鑰管理等保護(hù)措施進(jìn)行審核及監(jiān)控的技術(shù)工具(BP.12.10)。的業(yè)務(wù)選擇合適的數(shù)據(jù)傳輸安全管理方式(BP.12.11)；組織負(fù)責(zé)該項(xiàng)工作的人員應(yīng)熟悉數(shù)據(jù)加密的算法，并能夠基于業(yè)務(wù)選擇合適的加密技術(shù)(BP.12.12)。等級(jí)4該等級(jí)的安全能力描述如下：(BP.12.13組織對(duì)每個(gè)傳輸鏈路上的節(jié)點(diǎn)都應(yīng)部署了獨(dú)立密鑰對(duì)和數(shù)字證書，以保證各節(jié)點(diǎn)有效的身份鑒別(BP.12.14)；(BP.12.15)；BP.12.16)。等級(jí)5該等級(jí)的安全能力描述如下：BP.12.17)PA13PA等級(jí)1該等級(jí)的安全能力描述如下：BP.13.01)等級(jí)2該等級(jí)的安全能力描述如下：組織建設(shè)：組織應(yīng)由業(yè)務(wù)團(tuán)隊(duì)相關(guān)人員根據(jù)實(shí)際業(yè)務(wù)需求負(fù)責(zé)執(zhí)行數(shù)據(jù)存儲(chǔ)相關(guān)的安全管理工作(BP.13.02)。\\BP.13.03BP.13.04BP.13.05等級(jí)3該等級(jí)的安全能力描述如下：(BP.13.06)；BP.13.07)；(BP.13.08BP.13.09BP.13.10)。等級(jí)4該等級(jí)的安全能力描述如下：BP.13.11組織應(yīng)建立管理數(shù)據(jù)存儲(chǔ)系統(tǒng)安全配置的技術(shù)工具，實(shí)現(xiàn)對(duì)安全配置情況的統(tǒng)一管理和控制(BP.13.12)；(BP.13.13)a) (BP.13.14等級(jí)5該等級(jí)的安全能力描述如下：技術(shù)工具：(BP.13.15)；BP.13.16PA14PA等級(jí)1該等級(jí)的安全防護(hù)能力描述如下：(BP.14.01等級(jí)2該等級(jí)的安全能力描述如下：BP.14.02)；BP.14.03)；組織應(yīng)對(duì)涉及數(shù)據(jù)處理需求進(jìn)行人工審核，針對(duì)具體的數(shù)據(jù)處理場(chǎng)景制定相應(yīng)的隱私保護(hù)方案(BP.14.04)。技術(shù)工具：組織在數(shù)據(jù)信息的處理過程中，應(yīng)采用多種技術(shù)手段以降低數(shù)據(jù)分析過程中隱私泄露風(fēng)險(xiǎn)(BP.14.05)。等級(jí)3該等級(jí)的安全能力描述如下：BP.14.06)。(BP.14.07)；(BP.14.08)；(BP.14.09)；(BP.14.10)KBP.14.11)；組織應(yīng)記錄并保存數(shù)據(jù)處理與分析過程中對(duì)個(gè)人信息、重要數(shù)據(jù)等敏感數(shù)據(jù)的操作行為(BP.14.12)；組織應(yīng)提供組織統(tǒng)一的數(shù)據(jù)處理和分析系統(tǒng)，并能夠呈現(xiàn)數(shù)據(jù)處理前后數(shù)據(jù)間的映射關(guān)系(BP.14.13)。BP.14.14等級(jí)4該等級(jí)的安全能力描述如下：技術(shù)工具:BP.14.15)；進(jìn)(BP.14.16)。等級(jí)5該等級(jí)的安全能力描述如下：技術(shù)工具：組織應(yīng)基于機(jī)器學(xué)習(xí)的敏感數(shù)據(jù)自動(dòng)識(shí)別、數(shù)據(jù)分析算法安全涉及等數(shù)據(jù)分析安全能力(BP.14.17)。PA15PA等級(jí)1該等級(jí)的安全防護(hù)能力描述如下：BP.15.01等級(jí)2該等級(jí)的安全能力描述如下：(BP.15.02)(BP.15.03(BP.15.04BP.15.05等級(jí)3該等級(jí)的安全能力描述如下：(BP.15.06)；BP.15.07)；BP.15.08)；組織使用外部的軟件開發(fā)包/組件/求(BP.15.09)。BP.15.10)；(BP.15.11)；(BP.15.12BP.15.13等級(jí)4該等級(jí)的安全能力描述如下：(BP.15.14BP.15.15)；BP.15.16)；(BP.15.17)(BP.15.18)；組織應(yīng)具備數(shù)據(jù)接口訪問的審計(jì)能力，并能為數(shù)據(jù)安全審計(jì)提供可配置的數(shù)據(jù)服務(wù)接口(BP.15.19)；(BP.15.20(BP.15.21等級(jí)5該等級(jí)的安全能力描述如下：BP.15.22PA16PA等級(jí)1該等級(jí)的安全防護(hù)能力描述如下：(BP.16.01等級(jí)2該等級(jí)的安全能力描述如下：(BP.16.02(BP.16.03(BP.16.04)(BP.16.05)等級(jí)3該等級(jí)的安全能力描述如下：BP.16.06(BP.16.07)；BP.16.08)；(BP.16.09BP.16.10)；BP.16.11(BP.16.12)等級(jí)4該等級(jí)的安全能力描述如下：制度流程：組織應(yīng)明確數(shù)據(jù)銷毀效果評(píng)估機(jī)制，定期對(duì)數(shù)據(jù)銷毀效果進(jìn)行抽樣認(rèn)定和銷毀記錄檢查(BP.16.13)；(BP.16.14)；(BP.16.15)；(BP.16.16等級(jí)5(BP.16.17PA17PA等級(jí)1該等級(jí)的安全能力描述如下：(BP.17.01)。等級(jí)2該等級(jí)的安全能力描述如下：(BP.17.02)BP.17.03)；BP.17.05等級(jí)3該等級(jí)的安全能力描述如下：(BP.17.06(BP.17.07)；(BP.17.08)；BP.17.09)；BP.17.10)；(BP.17.11)；BP.17.12BP.17.13)；組織應(yīng)采用相關(guān)技術(shù)手段方式個(gè)人信息泄露，存在中高危安全漏洞導(dǎo)致個(gè)人信息泄露風(fēng)險(xiǎn)(BP.17.14)。(BP.17.15)等級(jí)4該等級(jí)的安全能力描述如下：(BP.17.16BP.17.17)；(BP.17.18等級(jí)5該等級(jí)的安全能力描述如下：BP.17.19BP.17.20)；BP.17.21(BP.17.22PA18PA對(duì)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)個(gè)人信息的收集、使用、共享時(shí)提出征得用戶授權(quán)要求，需要告知用戶并征得用戶同意。等級(jí)1該等級(jí)的安全能力描述如下：制度流程：組織支持特定需求場(chǎng)景下的個(gè)人信息的收集授權(quán)流程，僅根據(jù)個(gè)人經(jīng)驗(yàn)進(jìn)行用戶授權(quán)控制(BP.18.01)。等級(jí)2該等級(jí)的安全能力描述如下：BP.18.02)；等級(jí)3該等級(jí)的安全能力描述如下：BP.18.05)。(BP.18.06)；(BP.18.07(BP.18.08人員能力：組織對(duì)系統(tǒng)研發(fā)人員進(jìn)行專項(xiàng)培訓(xùn)，對(duì)業(yè)界開發(fā)同意授權(quán)的方式、方法、路徑等進(jìn)行培訓(xùn)(BP.18.09)。等級(jí)4該等級(jí)的安全能力描述如下：BP.18.10(BP.18.11)；BP.18.12等級(jí)5該等級(jí)的安全能力描述如下：制度流程：組織應(yīng)建立可追溯的用戶授權(quán)記錄，包括授權(quán)內(nèi)容、操作功能等(BP.18.13)。PA19PA對(duì)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)委托、共享、轉(zhuǎn)讓和公開披露提出具體要求，建立現(xiàn)安全機(jī)制保障個(gè)人信息安全。等級(jí)1該等級(jí)的安全能力描述如下：等級(jí)2該等級(jí)的安全能力描述如下：BP.19.02)。BP.19.03等級(jí)3該等級(jí)的安全能力描述如下：BP.19.04(BP.19.05)；(BP.19.06)；BP.19.07)；BP.19.08組織應(yīng)采取措施確保個(gè)人信息在委托、共享、轉(zhuǎn)讓和公開披露的安全合規(guī)，如數(shù)據(jù)加密、脫敏等(BP.19.09)；(BP.19.10)(BP.19.11)等級(jí)4該等級(jí)的安全能力描述如下：BP.19.12)；BP.19.13)。(BP.19.14)等級(jí)5該等級(jí)的安全能力描述如下：(BP.19.15a) BP.19.16PA20PA等級(jí)1該等級(jí)的安全能力描述如下：等級(jí)2該等級(jí)的安全能力描述如下：(BP.20.02)BP.20.03等級(jí)3該等級(jí)的安全能力描述如下：BP.20.04BP.20.05)；BP.20.06組織對(duì)個(gè)人主體權(quán)利功能進(jìn)行功能校驗(yàn)，特別是注銷、刪除等操作，結(jié)合后臺(tái)數(shù)據(jù)進(jìn)行校驗(yàn)(BP.20.07)；組織應(yīng)建立可靠個(gè)人信息刪除、銷毀技術(shù)和方法，確保以不可逆的方式進(jìn)行銷毀，避免數(shù)據(jù)恢復(fù)(BP.20.08)。(BP.20.09)等級(jí)4該等級(jí)的安全能力描述如下：(BP.20.10)(BP.20.11等級(jí)5該等級(jí)的安全能力描述如下：BP.20.12技術(shù)工具：組織應(yīng)參與國際、國家或者行標(biāo)相關(guān)標(biāo)準(zhǔn)定制，在業(yè)界風(fēng)險(xiǎn)最佳事件，成為行業(yè)標(biāo)桿(BP.20.13)。PA21PA建立組織互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全策略規(guī)劃，內(nèi)容覆蓋互聯(lián)網(wǎng)應(yīng)用系統(tǒng)各層次的安全風(fēng)險(xiǎn)。等級(jí)1該等級(jí)的安全能力描述如下：人員能力：組織僅根據(jù)特定需求或基于組織經(jīng)驗(yàn)制定或發(fā)布安全策略(BP.21.01)。等級(jí)2(BP.21.02)；BP.21.03)；BP.21.04等級(jí)3該等級(jí)的安全能力描述如下：制度流程：按組織定義的時(shí)間間隔，對(duì)安全規(guī)劃的策略及規(guī)程進(jìn)行評(píng)審和更新(BP.21.05)。等級(jí)4(BP.21.06)；BP.21.07)。等級(jí)5該等級(jí)的安全防護(hù)能力應(yīng)不低于4級(jí)BP。PA22PA建立組織內(nèi)部負(fù)責(zé)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全防護(hù)工作的職能部門，保障安全防護(hù)工作有效執(zhí)行。等級(jí)1該等級(jí)的安全能力描述如下：(BP.22.01等級(jí)2該等級(jí)的安全能力描述如下：BP.22.02)；BP.22.03等級(jí)3該等級(jí)的安全能力描述如下：機(jī)構(gòu)建設(shè)：各相關(guān)部門在網(wǎng)絡(luò)安全協(xié)調(diào)小組的指導(dǎo)下，按照管理機(jī)制，明確互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全管理責(zé)任人，落實(shí)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全責(zé)任制，部署互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全防護(hù)措施(BP.22.04)。等級(jí)4(BP.22.05)；BP.22.06等級(jí)5該等級(jí)的安全能力描述如下：機(jī)構(gòu)建設(shè)：組織聯(lián)合產(chǎn)業(yè)鏈上下游，建立互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全防護(hù)聯(lián)合工作機(jī)制(BP.22.07)。PA23PA設(shè)立組織內(nèi)部負(fù)責(zé)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全防護(hù)工作的崗位，明確安全職責(zé)劃分。等級(jí)1該等級(jí)的安全能力描述如下：機(jī)構(gòu)建設(shè)：組織僅根據(jù)特定需求或基于組織經(jīng)驗(yàn)選定相關(guān)人員臨時(shí)負(fù)責(zé)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全相關(guān)工作(BP.23.01)。等級(jí)2(BP.23.02)；BP.23.03等級(jí)3(BP.23.04)；BP.23.057.1.3.2.4 7.1.3.2.4 等級(jí)43434該等級(jí)的安全防護(hù)能力應(yīng)不低于3級(jí)BP。7.1.3.2.5 等級(jí)5該等級(jí)的安全防護(hù)能力應(yīng)不低于4級(jí)BP。PA24PA設(shè)立組織內(nèi)部負(fù)責(zé)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)開發(fā)安全流程管理工作的崗位，明確安全職責(zé)劃分。等級(jí)1該等級(jí)的安全防護(hù)能力描述如下：機(jī)構(gòu)建設(shè)：組織僅根據(jù)特定需求或基于組織經(jīng)驗(yàn)選定相關(guān)人員臨時(shí)負(fù)責(zé)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全開發(fā)相關(guān)工作(BP.24.01)。等級(jí)2該等級(jí)的安全防護(hù)能力描述如下：BP.24.02(BP.24.03等級(jí)3該等級(jí)的安全防護(hù)能力描述如下：(BP.24.04)；BP.24.05)；(BP.24.06)；(BP.24.07BP.24.08)；(BP.24.09)；BP.24.10)；(BP.24.11)；(BP.24.12)；BP.24.13)；(BP.24.14)；BP.24.15 (BP.24.16)BP.24.17)；BP.24.18等級(jí)4該等級(jí)的安全防護(hù)能力描述如下：(BP.24.19)；BP.24.20)；BP.24.21)； 件安全檢測(cè)、滲透測(cè)試、人工安全合規(guī)檢查、數(shù)據(jù)安全檢查、源代碼倉庫、私有組件倉庫、制品倉庫(BP.24.22等級(jí)5該等級(jí)的安全防護(hù)能力描述如下：對(duì)源代碼進(jìn)行管控，規(guī)范組件使用，私有組件入庫審批，制品根據(jù)不同類型進(jìn)行入庫管理(BP.24.23)；BP.24.24 BP.24.25PA25PA對(duì)人力資源管理過程中各環(huán)節(jié)進(jìn)行安全管理，防范人員管理過程中存在的系統(tǒng)安全風(fēng)險(xiǎn)。等級(jí)1該等級(jí)的安全能力描述如下：機(jī)構(gòu)建設(shè)：組織僅根據(jù)特定需求或基于組織經(jīng)驗(yàn)對(duì)系統(tǒng)運(yùn)維人員的訪問權(quán)限進(jìn)行管理(BP.25.01)。等級(jí)2(BP.25.02)；(BP.25.03)；BP.25.04)；(BP.25.05)；BP.25.06)；BP.25.07)。等級(jí)3該等級(jí)的安全能力描述如下：制度流程：BP.25.08)；BP.25.09)；BP.25.10)；BP.25.11)。3636等級(jí)4該等級(jí)的安全能力描述如下：(BP.25.12等級(jí)5該等級(jí)的安全防護(hù)能力應(yīng)不低于4級(jí)BP。PA26PA為互聯(lián)網(wǎng)應(yīng)用系統(tǒng)運(yùn)維人員進(jìn)行信息安全教育培訓(xùn)，使其能夠履行與信息安全相關(guān)的職責(zé)。等級(jí)1該等級(jí)的安全能力描述如下：機(jī)構(gòu)建設(shè)：組織僅根據(jù)特定需求或基于組織經(jīng)驗(yàn)開展互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全相關(guān)教育培訓(xùn)(BP.26.01)。等級(jí)2(BP.26.02)；BP.26.03)；(BP.26.04)；(BP.26.05)；BP.26.06)；BP.26.07)。等級(jí)3BP.26.08)；BP.26.09)；(BP.26.10)等級(jí)4該等級(jí)的安全能力描述如下：(BP.26.11)；BP.26.12等級(jí)5該等級(jí)的安全能力描述如下：BP.26.13)；BP.26.14PA27PA保護(hù)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)的外部運(yùn)行環(huán)境，防止人員未經(jīng)授權(quán)訪問、損壞和干擾互聯(lián)網(wǎng)應(yīng)用系統(tǒng)資產(chǎn)。等級(jí)1該等級(jí)的安全能力描述如下：制度流程：組織基于互聯(lián)網(wǎng)應(yīng)用系統(tǒng)軟硬件重要程度規(guī)劃設(shè)立重點(diǎn)物理安全防護(hù)區(qū)域(BP.27.01)。等級(jí)2該等級(jí)的安全能力描述如下。(BP.27.02)；BP.27.03在指定出入口采用圍墻、門禁、門衛(wèi)等物理訪問控制措施及視頻監(jiān)控、入侵報(bào)警等物理防護(hù)設(shè)備(BP.27.04)；1) (BP.27.05等級(jí)3該等級(jí)的安全能力描述如下。BP.27.06)；(BP.27.07控制對(duì)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)的物理訪問，這些控制應(yīng)獨(dú)立于對(duì)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)設(shè)備的物理訪問控制(BP.27.08)；組織將互聯(lián)網(wǎng)應(yīng)用系統(tǒng)網(wǎng)絡(luò)設(shè)備放置在只能由授權(quán)人員訪問的符合環(huán)境要求的安全區(qū)域中(BP.27.09)；對(duì)擁有可移動(dòng)存儲(chǔ)媒體驅(qū)動(dòng)器的互聯(lián)網(wǎng)應(yīng)用系統(tǒng)設(shè)備采取物理加鎖、驅(qū)動(dòng)卸載或軟件禁用等手段(BP.27.10)。等級(jí)4該等級(jí)的安全能力描述如下：技術(shù)工具：根據(jù)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)的實(shí)際情況，將服務(wù)器放置在帶鎖的區(qū)域并采用認(rèn)證保護(hù)機(jī)制(BP.27.11)。等級(jí)5該等級(jí)的安全能力描述如下：PA28PA為互聯(lián)網(wǎng)應(yīng)用系統(tǒng)配備應(yīng)急電源，保障關(guān)鍵設(shè)備在斷電情況下的持續(xù)運(yùn)行。等級(jí)1該等級(jí)的安全能力描述如下：(BP.28.01等級(jí)2UPS(BP.28.02)；BP.28.03等級(jí)3(BP.28.04)；(BP.28.05)等級(jí)4該等級(jí)的安全能力描述如下：技術(shù)工具：組織為互聯(lián)網(wǎng)應(yīng)用系統(tǒng)提供長期的備用電力供應(yīng)系統(tǒng)，該系統(tǒng)是獨(dú)立運(yùn)行而不依賴外部電源的(BP.28.06)。等級(jí)5該等級(jí)的安全能力描述如下：聯(lián)網(wǎng)應(yīng)用系統(tǒng)能夠在主電源長期喪失的事故中，實(shí)現(xiàn)主備電源的智能切換，以維持其事故前的工作運(yùn)行能力(BP.28.07)。PA29PA保護(hù)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)的外部運(yùn)行環(huán)境，避免受到外部物理環(huán)境因素影響。等級(jí)1該等級(jí)的安全能力描述如下。BP.29.01(BP.29.02)；(BP.29.03)；BP.29.04等級(jí)2BP.29.05)；BP.29.06)；BP.29.07)；(BP.29.08)；(BP.29.09等級(jí)3(BP.29.10)；(BP.29.11)；使用滅火設(shè)備或系統(tǒng)，該設(shè)備或系統(tǒng)為組織和緊急事件處理人員提供任何激活操作的自動(dòng)通知(BP.29.12)。等級(jí)4BP.29.13)；(BP.29.14)等級(jí)5(BP.29.15)；BP.29.16PA30PA分離互聯(lián)網(wǎng)應(yīng)用系統(tǒng)的開發(fā)、測(cè)試和生產(chǎn)環(huán)境，避免開發(fā)、測(cè)試環(huán)境中的安全風(fēng)險(xiǎn)引入生產(chǎn)系統(tǒng)。等級(jí)1該等級(jí)的安全能力描述如下：制度流程：組織為開發(fā)和測(cè)試環(huán)境，維護(hù)一個(gè)基線配置(BP.30.01)。等級(jí)2BP.30.02)；BP.30.03等級(jí)3該等級(jí)的安全能力描述如下：技術(shù)工具：組織通過集中管控平臺(tái)對(duì)開發(fā)、測(cè)試和生產(chǎn)環(huán)境進(jìn)行集中統(tǒng)一管理(BP.30.04)。等級(jí)4該等級(jí)的安全能力描述如下：技術(shù)工具：組織對(duì)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)分別提供獨(dú)立的開發(fā)、測(cè)試和生產(chǎn)環(huán)境(BP.30.05)。等級(jí)5該等級(jí)的安全能力描述如下：BP.30.06)。PA31PA建立針對(duì)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)資產(chǎn)的有效技術(shù)手段，全方位感知組織內(nèi)部各廠區(qū)的設(shè)備資產(chǎn)(BP.31.01)。等級(jí)1該等級(jí)的安全能力描述如下：制度流程：組織僅根據(jù)特定需求或基于組織經(jīng)驗(yàn)對(duì)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)資產(chǎn)進(jìn)行感知(BP.31.02)。等級(jí)2該等級(jí)的安全能力描述如下：(BP.31.03)；應(yīng)用系統(tǒng)網(wǎng)絡(luò)中的資產(chǎn)，覆蓋組織關(guān)鍵資產(chǎn)，采集互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全運(yùn)行狀態(tài)，生成資產(chǎn)清單(BP.31.04)。等級(jí)3該等級(jí)的安全能力描述如下：技術(shù)工具：針對(duì)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)，以自動(dòng)化技術(shù)手段，識(shí)別互聯(lián)網(wǎng)應(yīng)用系統(tǒng)網(wǎng)絡(luò)中重要互聯(lián)網(wǎng)應(yīng)用系統(tǒng)資產(chǎn)(BP.31.05)。等級(jí)4(BP.31.06)；BP.31.07等級(jí)5該等級(jí)的安全能力描述如下：技術(shù)工具：組織采用的資產(chǎn)感知技術(shù)，可識(shí)別組織中全部互聯(lián)網(wǎng)應(yīng)用系統(tǒng)專用協(xié)議，能夠智能構(gòu)建網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)(BP.31.08)；BP.31.09PA32PA建立互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全風(fēng)險(xiǎn)監(jiān)測(cè)機(jī)制，防范組織內(nèi)部和外部的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。等級(jí)1該等級(jí)的安全能力描述如下：制度流程：僅根據(jù)特定需求選擇相關(guān)安全機(jī)構(gòu)開展互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全風(fēng)險(xiǎn)監(jiān)測(cè)服務(wù)(BP.32.01)。等級(jí)2BP.32.02)；在重要互聯(lián)網(wǎng)應(yīng)用系統(tǒng)網(wǎng)絡(luò)中部署具備應(yīng)用協(xié)議深度包檢測(cè)功能的監(jiān)測(cè)設(shè)備，審計(jì)違法操作(BP.32.03)。等級(jí)3(BP.32.04)；(BP.32.05等級(jí)4(BP.32.06)；BP.32.07等級(jí)5(BP.32.08)；(BP.32.09PA33PA建立互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全威脅預(yù)警機(jī)制，防范組織外部的網(wǎng)絡(luò)安全威脅。等級(jí)1該等級(jí)的安全能力描述如下：制度流程：組織僅根據(jù)特定需求或基于組織經(jīng)驗(yàn)建立威脅預(yù)警機(jī)制(BP.33.01)。等級(jí)2該等級(jí)的安全能力描述如下：(BP.33.02等級(jí)3該等級(jí)的安全能力描述如下：人員能力：及時(shí)將國家級(jí)與省級(jí)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全風(fēng)險(xiǎn)預(yù)警平臺(tái)發(fā)布的重大安全風(fēng)險(xiǎn)通知到具體業(yè)務(wù)負(fù)責(zé)人，在組織內(nèi)部開展針對(duì)重大安全風(fēng)險(xiǎn)排查工作(BP.33.03)。等級(jí)4接入國家級(jí)或省級(jí)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全相關(guān)監(jiān)測(cè)預(yù)警平臺(tái)，建立安全威脅報(bào)送與預(yù)警處置工作流程(BP.33.04)；(BP.33.05)；BP.33.06等級(jí)5該等級(jí)的安全防護(hù)能力應(yīng)不低于4級(jí)BP。PA34PA等級(jí)1該等級(jí)的安全能力描述如下：機(jī)構(gòu)建設(shè)：組織僅根據(jù)特定需求或基于組織經(jīng)驗(yàn)制定互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全應(yīng)急預(yù)案(BP.34.01)。等級(jí)2BP.34.03)；應(yīng)急預(yù)案中包含：應(yīng)急預(yù)案恢復(fù)計(jì)劃、應(yīng)急響應(yīng)者的角色和職責(zé)、應(yīng)急響應(yīng)者人員清單及聯(lián)系信息等(BP.34.04)。等級(jí)3BP.34.05)；制定應(yīng)急預(yù)案培訓(xùn)計(jì)劃，并向具有相應(yīng)角色和職責(zé)的互聯(lián)網(wǎng)應(yīng)用系統(tǒng)用戶提供應(yīng)急培訓(xùn)(BP.34.06等級(jí)4該等級(jí)的安全能力描述如下。BP.34.07）(BP.34.08)；BP.34.09BP.34.10等級(jí)5BP.34.11)；BP.34.12)。PA35PA針對(duì)應(yīng)急預(yù)案開展應(yīng)急演練，保證應(yīng)急預(yù)案的有效性，建立互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全事件處理能力。等級(jí)1該等級(jí)的安全能力描述如下：機(jī)構(gòu)建設(shè)：組織僅根據(jù)特定需求或基于組織經(jīng)驗(yàn)開展過至少一次互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全相關(guān)的應(yīng)急演練(BP.35.01)。等級(jí)2BP.35.02)；(BP.35.03)；(BP.35.04等級(jí)3(BP.35.05)；(BP.35.06)等級(jí)4該等級(jí)的安全能力描述如下：(BP.35.07(BP.35.09等級(jí)5該等級(jí)的安全能力描述如下：BP.35.10)；BP.35.11PA36PA建立組織互聯(lián)網(wǎng)應(yīng)用系統(tǒng)產(chǎn)品選型機(jī)制，防范產(chǎn)品供應(yīng)過程中的安全風(fēng)險(xiǎn)。等級(jí)1該等級(jí)的安全能力描述如下：人員能力：組織僅根據(jù)特定需求或基于組織經(jīng)驗(yàn)考慮互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全進(jìn)行產(chǎn)品選型工作(BP.36.01)。等級(jí)2BP.36.02)；(BP.36.03等級(jí)3該等級(jí)的安全能力描述如下：制度流程：組織在互聯(lián)網(wǎng)應(yīng)用系統(tǒng)選型上，基于利于維護(hù)等原則選擇設(shè)備和供應(yīng)商(BP.36.04)。等級(jí)4該等級(jí)的安全能力描述如下：BP.36.05等級(jí)5BP.36.06)；BP.36.07PA37PA建立組織互聯(lián)網(wǎng)應(yīng)用系統(tǒng)服務(wù)供應(yīng)商選擇機(jī)制，防范外部服務(wù)提供過程中的安全風(fēng)險(xiǎn)。等級(jí)1該等級(jí)的安全能力描述如下：人員能力：組織僅根據(jù)特定需求或基于組織經(jīng)驗(yàn)考慮互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全進(jìn)行供應(yīng)商選擇(BP.37.01)。等級(jí)2P.3.02全防護(hù)經(jīng)驗(yàn)的企業(yè)或事業(yè)單位(BP.37.03)。等級(jí)3BP.37.04)；(BP.37.05等級(jí)4(BP.37.06)；BP.37.07)；組織強(qiáng)化采購渠道安全管理，從多個(gè)國家或地區(qū)獲得互聯(lián)網(wǎng)應(yīng)用系統(tǒng)及設(shè)備，確保來源具有多樣性(BP.37.08)。等級(jí)5該等級(jí)的安全防護(hù)能力應(yīng)不低于4級(jí)BP。PA38PA建立組織的互聯(lián)網(wǎng)應(yīng)用系統(tǒng)供應(yīng)鏈采購和交付策略，防范產(chǎn)品和服務(wù)交付過程中的安全風(fēng)險(xiǎn)。等級(jí)1該等級(jí)的安全能力描述如下：人員能力：組織僅根據(jù)特定需求或基于組織經(jīng)驗(yàn)對(duì)供應(yīng)商交付能力進(jìn)行鑒別(BP.38.01)。等級(jí)2求(BP.38.02)；運(yùn)行說明、與管理功能有關(guān)的配置和使用方面的注意事項(xiàng)、對(duì)用戶安全責(zé)任和注意事項(xiàng)的說明等(BP.38.03)；BP.38.04)。等級(jí)3(BP.38.05)；BP.38.06)；BP.38.07)。等級(jí)4該等級(jí)的安全能力描述如下：機(jī)構(gòu)建設(shè)：(BP.38.08)；BP.38.09)。等級(jí)5BP.38.10)；如RFID等、GPS定位、APP(BP.38.11)PA39PA建立互聯(lián)網(wǎng)應(yīng)用系統(tǒng)采購合同協(xié)議控制機(jī)制，明確安全條款，防范敏感信息泄露。等級(jí)1該等級(jí)的安全能力描述如下：人員能力：組織僅根據(jù)特定需求或基于組織經(jīng)驗(yàn)對(duì)合同協(xié)議的安全保密條款進(jìn)行控制(BP.39.01)。等級(jí)2組織與供應(yīng)商簽訂產(chǎn)品和服務(wù)采購協(xié)議，并體現(xiàn)產(chǎn)品和服務(wù)安全保障、保密和驗(yàn)收準(zhǔn)則等內(nèi)容(BP.39.02)；(BP.39.03)等級(jí)3(BP.39.04)；BP.39.05等級(jí)4該等級(jí)的安全防護(hù)能力應(yīng)不低于3級(jí)BP。等級(jí)5該等級(jí)的安全防護(hù)能力應(yīng)不低于4級(jí)BP。PA40PA建立互聯(lián)網(wǎng)應(yīng)用系統(tǒng)軟件源代碼審計(jì)機(jī)制，防范開源代碼等安全和合規(guī)風(fēng)險(xiǎn)。等級(jí)1該等級(jí)的安全能力描述如下：制度流程：不在互聯(lián)網(wǎng)應(yīng)用系統(tǒng)相關(guān)應(yīng)用程序中使用開源、受限制的或無認(rèn)證源代碼源的可執(zhí)行代碼(BP.40.01)。等級(jí)2該等級(jí)的安全能力描述如下：制度流程：組織制定相關(guān)管理制度，明確規(guī)定在部署運(yùn)行應(yīng)用程序前，對(duì)其源代碼進(jìn)行安全性測(cè)試(BP.40.02)。等級(jí)3該等級(jí)的安全能力描述如下：技術(shù)工具：對(duì)于定制軟件和應(yīng)用程序的脆弱性進(jìn)行分析，開展源代碼評(píng)審、分析、漏洞挖掘等工作，包括但不限于SQL注入、文件操作（上傳/寫入/讀取/刪除）、文件包含、命令執(zhí)行、XSS、Cookie欺騙、邏輯漏洞等