腾讯安全：等保2.0体系互联网合规实践白皮书(111页).pdf

《腾讯安全：等保2.0体系互联网合规实践白皮书(111页).pdf》由会员分享，可在线阅读，更多相关《腾讯安全：等保2.0体系互联网合规实践白皮书(111页).pdf（111页珍藏版）》请在三个皮匠报告上搜索。

1、 1 版权声明 本白皮书版权属于白皮书编制组，并受法律保护。转载、摘编或利用任何 其他方式使用白皮书文字或观点的， 均应注明“来源: 等保 2.0 体系互联网合 规实践白皮书编制组”。违反以上声明者，编制组将保留追究其相关法律责 任 的权利。 编制人员 刘羽、张益、洪跃腾、黄超、郭铁涛、郑兴、华珊珊、耿琛、肖煜、姬生 利、孙少波、霍珊珊、刘健、王余、练美玲、王婷、李光辉、彭成锋、刘志高、 刘泽美、谢旭、朱思霖。 特别感谢 腾讯安全平台部、腾讯安全管理部、腾讯安全云鼎实验室、腾讯桌面安全 产品部、腾讯产业安全运营部、腾讯云安全合规部、中国电子科技集团公司第 十五研究所、深圳市网安计算机安全检测技

2、术有限公司。 2 目录 版权声明 . 1 编制人员 . 1 特别感谢 . 1 1 前言 . 6 2 等级保护 2.0 技术合规要求分析和实践 . 8 2.1 可信计算合规 . 8 2.2 密码技术合规 . 14 2.2.1 等保 2.0 对密码技术的要求. 15 2.2.2 等保 2.0 如何使用密码技术. 19 2.2.3 腾讯实践. 21 2.3 操作系统镜像等保合规 . 28 2.3.1 腾讯云操作系统等保合规实践 . 30 2.3.2 对操作系统等保合规实践的建议 . 32 2.4 IPv6 网络安全合规实践 . 33 2.4.1 来自 IoT+5G+IPv6 新趋势下的安全算力需求

3、. 33 2.4.2 来自腾讯自身海量业务+全球规模的计算压力实践 . 33 2.5 安全管理中心应用合规 . 37 2.5.1 安全运营中心体系建设. 38 2.5.2 安全运营中心功能与架构 . 39 2.6 个人信息保护 . 40 3 2.6.1 等级保护 2.0 个人信息保护要求 . 41 2.6.2 企业如何做到个人信息合规 . 43 3 等级保护 2.0 安全管理合规要求分析 . 46 3.1 安全管理制度 . 46 安全策略 . 46 管理制度 . 52 制定和发布、评审和修订 . 53 3.2 安全管理机构 . 54 岗位设置 . 54 人员配备 . 55 授权与审批 . 55

4、 沟通与合作 . 56 审核与检查 . 56 3.3 安全管理人员 . 56 人员录用（入职前） . 56 安全意识教育和培训（入职后） . 57 人员离岗（离职） . 58 外部人员访问管理 . 59 3.4 安全建设管理 . 59 安全方案设计 . 60 产品采购和使用 . 61 4 自行软件开发 . 62 外包开发、实施、验收、交付 . 63 服务供应商选择 . 67 3.5 安全运维管理 . 67 环境管理 . 68 资产管理 . 68 介质管理 . 69 设备维护管理 . 69 漏洞和风险管理 . 70 网络和系统安全管理 . 71 恶意代码防范管理 . 72 备份与恢复管理 . 7

5、3 安全事件处置、应急预案管理 . 73 外包运维管理 . 76 3.6 IPv6 合规 . 77 三个主要目标 . 79 技术合规 . 82 网络安全合规 . 83 新安全问题 . 87 3.7 安全建设管理安全通用要求部分责任边界举例 . 92 4 腾讯等级保护 2.0 合规体系建设和腾讯云等级保护解决方案实践 . 103 5 4.1 集团等级保护合规体系建设概述 . 103 4.2 腾讯云基于等级保护的云安全合规体系建设 . 104 4.3 腾讯云等级保护 2.0 解决方案实践 . 105 4.3.1 等级保护测评全流程工作分解 . 106 4.3.2 全生命周期等级保护建设方法论 .

6、108 6 1 前言 2019 年 5 月 13 日，网络安全等级保护制度 2.0（简称等保 2.0）三大核 心标准（ 基本要求 、 测评要求和设计要求 ）正式发布，并于 2019 年 12 月 1 日开始实施。随着等保 2.0 标准的陆续发布与实施，中国特色社会主 义建设全面深入推进, 5G、人工智能、云计算、物联网、工业互联网、大数据 等新技术新应用的兴起,以及关键信息基础设施安全保护、个人信息保护和数 据安全等工作不断强化,对网络安全工作提出了更高的要求。如何让业务能够 安全合规的运营成为网络运营者的关键需求。 等保 2.0 标准具有以下特点：第一，基本要求、测评要求和技术要求框架 统一