2.通用管理要求

安全策略和管理制度

對保護對象運營者的安全策略、安全管理制度、安全管理制度的制定和發(fā)布、安全管理制度的定期評審和修訂提出了詳細要求。

安全管理機構和人員

列保護對象的運營者的安全崗位設置、安全專兼職人員配備、安全責任授權和審批、對外溝通和合作、安全審查和檢查、安全專兼職人員錄用、離崗、全員安全意識教育和培訓、 外部人員訪問等提出了詳細要求。

安全建設管理

依據(jù)對保護/象生命周期管理，對保護對象在定級、總體規(guī)劃、設計實施三個階段的定級備案、方案設計、產(chǎn)品采購使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實施、驗收測試、系統(tǒng)交付、等級測評、服務供應商管理提出了詳細要求。 安全運維管理

依據(jù)對保護對象生命周期管理，對保護對象在運行維護和終止階段的物理環(huán)境管理、資產(chǎn)管理、介質管理、設備維護管理、漏洞和風險管理、網(wǎng)絡系統(tǒng)安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理和外部運維管理提出了詳細要求。

通用技術標準中按照從低到高，分別對一到四級要求進行規(guī)定，上級要求包含下級要求。五級要求未公開。