文章正式开始前我们要知道等保2.0中安全通用要求的十个方面包括物理环境、通信网络、区域边界、计算环境、管理中心、管理制度、管理机构、管理人员、建设管理、运维管理。本文来了解一下等保2.0中安全通用要求中对于第二级别的安全管理人员要求首先我们出示一张对比表格看看安全区域边界要求中第二级别和第一级别的区别。控制点第一级要求第二级要求人员录用指定专人负责录用 对被录用人员进行身份、安全背景、专业资格等审查人员离岗及时终止权限收回软硬件设备相同安全意识教育和培训进行安全意识教育和岗位培训告知责任和惩戒相同外部人员访问管理访问受控区域前需得到授权或审批 访问受控网络/系统需申请、由专人开设账户/分配权限并登记备案 离场后清除权限我们可以看到第二级别“安全管理人员”共包含4个控制点。相比第一级增强了“人员录用”和“外部人员访问管理”这两个控制点。对比来说如果第一级是“有人管、有记录”那么第二级就是“管得更严、查得更细”——录用时要背景审查外部人员不仅要管物理进入还要管网络接入并且全程留痕。对于要求相同的控制点我会在汇总表格中展示。我们现在主要了解一下新增强的两个控制点人员录用和外部人员访问管理。首先是人员录用原文是a) 应指定或授权专门的部门或人员负责人员录用b) 应对被录用人员的身份、安全背景、专业资格或资质等进行审查。安全背景审查通常包括无犯罪记录证明、工作履历核实、学历学位验证等具体范围根据岗位敏感度确定。简单说就是招人不能只看简历——要对被录用人员的身份、工作经历、专业资质进行核实防止有恶意背景的人进入关键岗位。对比来讲。第一级只要求“有人负责录用”第二级要求核实这人到底是谁、有没有风险。这是因为第一级系统影响有限招错人损失可控第二级系统可能服务企业或公众关键岗位一旦录用有恶意背景的人可能造成数据泄露、系统破坏等影响社会的事件。背景审查就是把“坏人”挡在门外的第一关。要求是要求对录用人员进行背景调查核实身份真实性、工作履历、专业资格、安全背景是否有犯罪记录等。这是降低“内部威胁”风险的第一道防线。最低底线是1. 指定专人负责录用2. 对被录用人员进行身份、安全背景、专业资格或资质审查有审查记录3. 审查结果作为录用决策依据。最后就是外部人员访问管理原文是a) 应在外部人员物理访问受控区域前先提出书面申请批准后由专人全程陪同并登记备案b) 应在外部人员接入受控网络访问系统前先提出书面申请批准后由专人开设账户、分配权限并登记备案c) 外部人员离场后应及时清除其所有的访问权限。简单说就是外部人员如供应商工程师驻场人员也算、临时工要来公司 ① 进机房/办公区要申请、审批、有人全程陪同、登记 ② 要连公司网络/系统也要申请、审批、由专人开账号、分权限并登记 ③ 人走了账号立刻删。这是因为第二级系统可能面临更复杂的供应链风险。外包人员、厂商工程师如果可以通过网络接入系统且权限不清一旦其账号被滥用或被攻击者利用就会成为“特洛伊木马”。全程审批留痕回收是控制第三方风险的关键。对比来看第一级只要求“物理访问需审批”第二级要求网络访问也要审批、要开临时账号、人走要销号。要求是对第三方人员供应商、外包、访客的物理访问和逻辑访问进行全生命周期管控包括事前审批、事中监控、事后清理防止第三方成为攻击跳板。最低要求是1. 外部人员物理访问受控区域书面申请、审批、专人全程陪同、登记备案2. 外部人员接入受控网络/访问系统书面申请、审批、专人开设账户、分配权限、登记备案3. 外部人员离场后及时清除所有访问权限。汇总表格如下控制点原文通俗解释第二级最低要求底线为什么新增后果维度人员录用7.1.8.1招人不能只看简历——要对被录用人员的身份、工作经历、专业资质进行核实防止有恶意背景的人进入关键岗位。1. 指定专人负责录用2.对被录用人员进行身份、安全背景、专业资格或资质审查有审查记录3. 审查结果作为录用决策依据。第一级系统影响有限招错人损失可控第二级系统可能服务企业或公众关键岗位一旦录用有恶意背景的人可能造成数据泄露、系统破坏等影响社会的事件。背景审查就是把“坏人”挡在门外的第一关。人员离岗7.1.8.2员工离职当天必须收回他的门禁卡、钥匙、公司电脑并且注销所有系统账号让他再也进不来。1. 及时终止访问权限2. 收回身份证件、钥匙、徽章、软硬件设备3. 有离职交接记录。离职风险在两级中都存在——走的人如果不及时收权限可能成为“内部幽灵”。这是人员安全管理的底线两级都需要。安全意识教育和培训7.1.8.3定期给员工做安全培训教他们怎么设密码、怎么识别钓鱼邮件、怎么处理敏感数据并告诉他们违规了会有什么后果。1. 对所有人员进行安全意识教育和岗位技能培训2. 告知安全责任和惩戒措施3. 有培训记录。人的安全意识不会自动提升必须通过持续培训来强化。第一级和第二级都需要差别在于第二级培训内容应更丰富、频率更高。外部人员访问管理7.1.8.4外部人员如供应商工程师、临时工要来公司① 进机房/办公区要申请、审批、有人全程陪同、登记② 要连公司网络/系统也要申请、审批、由专人开账号、分权限并登记③ 人走了账号立刻删。1. 外部人员物理访问受控区域书面申请、审批、专人全程陪同、登记备案2.外部人员接入受控网络/访问系统书面申请、审批、专人开设账户、分配权限、登记备案3.外部人员离场后及时清除所有访问权限。第二级系统可能面临更复杂的供应链风险。外包人员、厂商工程师如果可以通过网络接入系统且权限不清一旦其账号被滥用或被攻击者利用就会成为“特洛伊木马”。全程审批留痕回收是控制第三方风险的关键。总结第一级外部人员只管“进门”。第二级外部人员“进门”要批“联网”也要批人走了账号必须删——把第三方风险管到“全生命周期”。录用员工不仅要“有人管”还要“查清楚”——背景审查是把“坏人”挡在门外的第一关。
等保2.0安全通用要求第二级别之安全管理人员
发布时间:2026/5/16 6:25:04
文章正式开始前我们要知道等保2.0中安全通用要求的十个方面包括物理环境、通信网络、区域边界、计算环境、管理中心、管理制度、管理机构、管理人员、建设管理、运维管理。本文来了解一下等保2.0中安全通用要求中对于第二级别的安全管理人员要求首先我们出示一张对比表格看看安全区域边界要求中第二级别和第一级别的区别。控制点第一级要求第二级要求人员录用指定专人负责录用 对被录用人员进行身份、安全背景、专业资格等审查人员离岗及时终止权限收回软硬件设备相同安全意识教育和培训进行安全意识教育和岗位培训告知责任和惩戒相同外部人员访问管理访问受控区域前需得到授权或审批 访问受控网络/系统需申请、由专人开设账户/分配权限并登记备案 离场后清除权限我们可以看到第二级别“安全管理人员”共包含4个控制点。相比第一级增强了“人员录用”和“外部人员访问管理”这两个控制点。对比来说如果第一级是“有人管、有记录”那么第二级就是“管得更严、查得更细”——录用时要背景审查外部人员不仅要管物理进入还要管网络接入并且全程留痕。对于要求相同的控制点我会在汇总表格中展示。我们现在主要了解一下新增强的两个控制点人员录用和外部人员访问管理。首先是人员录用原文是a) 应指定或授权专门的部门或人员负责人员录用b) 应对被录用人员的身份、安全背景、专业资格或资质等进行审查。安全背景审查通常包括无犯罪记录证明、工作履历核实、学历学位验证等具体范围根据岗位敏感度确定。简单说就是招人不能只看简历——要对被录用人员的身份、工作经历、专业资质进行核实防止有恶意背景的人进入关键岗位。对比来讲。第一级只要求“有人负责录用”第二级要求核实这人到底是谁、有没有风险。这是因为第一级系统影响有限招错人损失可控第二级系统可能服务企业或公众关键岗位一旦录用有恶意背景的人可能造成数据泄露、系统破坏等影响社会的事件。背景审查就是把“坏人”挡在门外的第一关。要求是要求对录用人员进行背景调查核实身份真实性、工作履历、专业资格、安全背景是否有犯罪记录等。这是降低“内部威胁”风险的第一道防线。最低底线是1. 指定专人负责录用2. 对被录用人员进行身份、安全背景、专业资格或资质审查有审查记录3. 审查结果作为录用决策依据。最后就是外部人员访问管理原文是a) 应在外部人员物理访问受控区域前先提出书面申请批准后由专人全程陪同并登记备案b) 应在外部人员接入受控网络访问系统前先提出书面申请批准后由专人开设账户、分配权限并登记备案c) 外部人员离场后应及时清除其所有的访问权限。简单说就是外部人员如供应商工程师驻场人员也算、临时工要来公司 ① 进机房/办公区要申请、审批、有人全程陪同、登记 ② 要连公司网络/系统也要申请、审批、由专人开账号、分权限并登记 ③ 人走了账号立刻删。这是因为第二级系统可能面临更复杂的供应链风险。外包人员、厂商工程师如果可以通过网络接入系统且权限不清一旦其账号被滥用或被攻击者利用就会成为“特洛伊木马”。全程审批留痕回收是控制第三方风险的关键。对比来看第一级只要求“物理访问需审批”第二级要求网络访问也要审批、要开临时账号、人走要销号。要求是对第三方人员供应商、外包、访客的物理访问和逻辑访问进行全生命周期管控包括事前审批、事中监控、事后清理防止第三方成为攻击跳板。最低要求是1. 外部人员物理访问受控区域书面申请、审批、专人全程陪同、登记备案2. 外部人员接入受控网络/访问系统书面申请、审批、专人开设账户、分配权限、登记备案3. 外部人员离场后及时清除所有访问权限。汇总表格如下控制点原文通俗解释第二级最低要求底线为什么新增后果维度人员录用7.1.8.1招人不能只看简历——要对被录用人员的身份、工作经历、专业资质进行核实防止有恶意背景的人进入关键岗位。1. 指定专人负责录用2.对被录用人员进行身份、安全背景、专业资格或资质审查有审查记录3. 审查结果作为录用决策依据。第一级系统影响有限招错人损失可控第二级系统可能服务企业或公众关键岗位一旦录用有恶意背景的人可能造成数据泄露、系统破坏等影响社会的事件。背景审查就是把“坏人”挡在门外的第一关。人员离岗7.1.8.2员工离职当天必须收回他的门禁卡、钥匙、公司电脑并且注销所有系统账号让他再也进不来。1. 及时终止访问权限2. 收回身份证件、钥匙、徽章、软硬件设备3. 有离职交接记录。离职风险在两级中都存在——走的人如果不及时收权限可能成为“内部幽灵”。这是人员安全管理的底线两级都需要。安全意识教育和培训7.1.8.3定期给员工做安全培训教他们怎么设密码、怎么识别钓鱼邮件、怎么处理敏感数据并告诉他们违规了会有什么后果。1. 对所有人员进行安全意识教育和岗位技能培训2. 告知安全责任和惩戒措施3. 有培训记录。人的安全意识不会自动提升必须通过持续培训来强化。第一级和第二级都需要差别在于第二级培训内容应更丰富、频率更高。外部人员访问管理7.1.8.4外部人员如供应商工程师、临时工要来公司① 进机房/办公区要申请、审批、有人全程陪同、登记② 要连公司网络/系统也要申请、审批、由专人开账号、分权限并登记③ 人走了账号立刻删。1. 外部人员物理访问受控区域书面申请、审批、专人全程陪同、登记备案2.外部人员接入受控网络/访问系统书面申请、审批、专人开设账户、分配权限、登记备案3.外部人员离场后及时清除所有访问权限。第二级系统可能面临更复杂的供应链风险。外包人员、厂商工程师如果可以通过网络接入系统且权限不清一旦其账号被滥用或被攻击者利用就会成为“特洛伊木马”。全程审批留痕回收是控制第三方风险的关键。总结第一级外部人员只管“进门”。第二级外部人员“进门”要批“联网”也要批人走了账号必须删——把第三方风险管到“全生命周期”。录用员工不仅要“有人管”还要“查清楚”——背景审查是把“坏人”挡在门外的第一关。
)
)
