h t i g b u m o c . 5 版权声明 本白皮书版权属于白皮书编制组，并受法律保护。转载、摘编或利用任何 其他方式使用白皮书文字或观点的，均应注明“来源:《等保 2.0 体系互联网合 规实践白皮书》编制组”。违反以上声明者，编制组将保留追究其相关法律责 任 的权利。 m o c . 5 编制人员 刘羽、张益、洪跃腾、黄超、郭铁涛、郑兴、华珊珊、耿琛、肖煜、姬生 利、孙少波、霍珊珊、刘健、王余、练美玲、王婷、李光辉、彭成锋、刘志高、 b u 刘泽美、谢旭、朱思霖。 特别感谢 h t i g 腾讯安全平台部、腾讯安全管理部、腾讯安全云鼎实验室、腾讯桌面安全 产品部、腾讯产业安全运营部、腾讯云安全合规部、中国电子科技集团公司第 十五研究所、深圳市网安计算机安全检测技术有限公司。 1 目录 版权声明............................................................................................................................ 1 编制人员............................................................................................................................ 1 特别感谢............................................................................................................................ 1 1 前言 ............................................................................................................................... 6 2 等级保护 2.0 技术合规要求分析和实践 ................................................................. 8 m o c . 5 2.1 可信计算合规 ................................................................................................... 8 2.2 密码技术合规 ................................................................................................. 14 2.2.1 等保 2.0 对密码技术的要求............................................................. 15 b u 2.2.2 等保 2.0 如何使用密码技术............................................................. 19 2.2.3 腾讯实践.............................................................................................. 21 h t i g 2.3 操作系统镜像等保合规 ................................................................................ 28 2.3.1 腾讯云操作系统等保合规实践 ........................................................ 30 2.3.2 对操作系统等保合规实践的建议 .................................................... 32 2.4 IPv6 网络安全合规实践 ................................................................................ 33 2.4.1 来自 IoT+5G+IPv6 新趋势下的安全算力需求............................ 33 2.4.2 来自腾讯自身海量业务+全球规模的计算压力实践.................... 33 2.5 安全管理中心应用合规 ................................................................................ 37 2.5.1 安全运营中心体系建设..................................................................... 38 2.5.2 安全运营中心功能与架构 ................................................................ 39 2.6 个人信息保护 ................................................................................................. 40 2 2.6.1 等级保护 2.0 个人信息保护要求 .................................................... 41 2.6.2 企业如何做到个人信息合规 ............................................................ 43 3 等级保护 2.0 安全管理合规要求分析 ................................................................... 46 3.1 安全管理制度 ................................................................................................. 46 安全策略 ......................................................................................................... 46 管理制度 ......................................................................................................... 52 m o c . 5 制定和发布、评审和修订 ............................................................................ 53 3.2 安全管理机构 ................................................................................................. 54 岗位设置 ......................................................................................................... 54 b u 人员配备 ......................................................................................................... 55 授权与审批 ..................................................................................................... 55 h t i g 沟通与合作 ..................................................................................................... 56 审核与检查 ..................................................................................................... 56 3.3 安全管理人员 ................................................................................................. 56 人员录用（入职前） .................................................................................... 56 安全意识教育和培训（入职后） ............................................................... 57 人员离岗（离职） ........................................................................................ 58 外部人员访问管理 ........................................................................................ 59 3.4 安全建设管理 ................................................................................................. 59 安全方案设计................................................................................................. 60 产品采购和使用 ....