信息安全等保三级标准 2.0 是我国针对信息系统安全保护制定的重要标准，以下从技术要求和管理要求方面详细介绍：

技术要求

物理安全

物理访问控制：重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。

防盗窃和防破坏：应利用光、电等技术设置机房防盗报警系统；应对机房设置监控报警系统。

防火：机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火。

防水和防潮：应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。

温湿度控制：机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。

电力供应：应建立备用供电系统，如 UPS 或备用发电机。

网络安全

结构安全：应保证网络各个部分的带宽满足业务高峰期需要；应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。

访问控制：应在网络边界部署访问控制设备，启用访问控制功能；应能根据会话状态信息为数据流提供明确的允许 / 拒绝访问的能力，控制粒度为端口级；应对进出网络的信息内容进行过滤，实现对应用层 HTTP、FTP、TELNET、SMTP、POP3 等协议命令级的控制。

边界完整性检查：应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。

侵入防范：应在网络边界处监视端口扫描、强力攻击、木马后门攻击等攻击行为；当检测到攻击行为时，记录攻击源 IP、攻击类型、攻击目的、攻击时间，在发生严重侵入事件时应提供报警。

恶意代码防范：应在网络边界处对恶意代码进行检测和清除；应维护恶意代码库的升级和检测系统的更新。

安全审计：应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；审计记录应包括事件的日期和时间、用户、事件类型等信息；应能够根据记录数据进行分析，并生成审计报表；应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。

主机安全

身份鉴别：主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。

安全审计：审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。

恶意代码防范：应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库；应支持防恶意代码的统一管理。

资源控制：应对重要服务器进行监视，包括监视服务器的 CPU、硬盘、内存、网络等资源的使用情况；应限制单个用户对系统资源的最大或最小使用限度；应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。

应用安全

身份鉴别：应用系统应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用。

访问控制：应依据安全策略控制用户对文件、数据库表等客体的访问，访问控制的粒度应达到主体为用户级，客体为文件、数据库表级。

安全审计：应在应用系统中设置专门的安全审计功能，审计范围应覆盖到对重要业务功能的操作，审计记录应包括事件的日期、时间、发起者信息、类型、描述和结果等。

通信完整性：应采用密码技术保证通信过程中数据的完整性，如采用消息认证码（MAC）技术或数字签名技术等。

通信保密性：应采用密码技术对通信过程中的敏感信息进行加密，如采用对称加密算法或非对称加密算法等。

数据安全

数据完整性：应采用校验技术或密码技术保证重要数据在存储过程中的完整性，如采用哈希算法或数字签名技术等。

数据保密性：应采用加密技术对重要数据进行加密，如采用对称加密算法或非对称加密算法等，确保数据在存储和传输过程中的保密性。

数据备份与恢复：应提供本地数据备份与恢复功能，完全数据备份至少每天一次，备份介质场外存放；应提供异地数据备份功能，利用通信网络将关键数据定时批量传送至备用场地。

管理要求

安全管理制度

制度制定：应制定信息安全工作的总体方针和安全策略，明确信息安全的总体目标、范围和原则等；应制定详细的安全管理制度，包括人员安全管理、设备安全管理、数据安全管理等方面的制度。

制度发布：安全管理制度应通过正式、有效的方式发布，如通过文件下发、会议传达等方式，确保相关人员能够及时获取和了解制度内容。

制度评审与修订：应定期对安全管理制度进行评审，根据国家法律法规、行业标准的变化以及信息系统的发展和安全状况，及时修订和完善安全管理制度。

安全管理机构

机构设置：应设立信息安全管理工作的职能部门，明确各部门的职责和分工，负责信息系统的安全管理工作。

人员配备：应配备足够的信息安全管理人员，包括安全管理负责人、安全技术人员、安全审计人员等，确保信息系统的安全管理工作得到有效的组织和实施。

沟通与合作：应建立信息安全管理机构与其他部门之间的沟通协调机制，定期进行信息交流和工作协调，共同解决信息系统安全问题。

人员安全管理

人员录用：应对拟录用人员进行背景审查，包括身份核实、犯罪记录查询、工作经历调查等，确保录用人员的可靠性。

人员离岗：人员离岗时，应及时收回其相关的访问权限和设备，进行工作交接和安全审查，确保离岗人员不会对信息系统的安全造成威胁。

安全培训：应定期对信息系统相关人员进行安全培训，包括安全法律法规、安全技术知识、安全操作规程等方面的培训，提高人员的安全意识和技能。

系统建设管理

安全方案设计：在信息系统建设过程中，应根据等保三级要求设计安全方案，包括安全技术措施和安全管理措施的设计，确保安全方案的科学性、合理性和有效性。

产品采购与使用：应采购符合安全要求的信息产品和服务，对采购的产品和服务进行严格的安全检测和评估，确保其安全性和可靠性。

工程实施：应选择具有相应资质的工程实施单位进行信息系统的建设和实施，确保工程实施过程符合安全要求。

系统运维管理

日常运维：应建立信息系统的日常运维管理制度，包括设备维护、系统升级、数据备份等方面的工作流程和规范，确保信息系统的稳定运行。

安全事件处置：应制定安全事件处置预案，明确安全事件的报告流程、处置流程和责任分工，定期进行安全事件处置演练，提高应对安全事件的能力。

应急预案管理：应制定信息系统的应急预案，包括应急响应流程、恢复流程和应急资源保障等方面的内容，定期对应急预案进行演练和修订，确保应急预案的有效性。