內(nèi)蒙古自治區(qū)經(jīng)濟(jì)和信息化委員會(huì)關(guān)于開展全區(qū)重要工業(yè)控制系統(tǒng)基

1、內(nèi)經(jīng)信信安字2015108號(hào)內(nèi)蒙古自治區(qū)經(jīng)濟(jì)和信息化委員會(huì)關(guān)于開展全區(qū)重要工業(yè)控制系統(tǒng)基本情況調(diào)查的通知各盟市經(jīng)濟(jì)和信息化委員會(huì)，二連浩特市、滿洲里市經(jīng)濟(jì)和信息化委員會(huì)： 為貫徹落實(shí)工業(yè)和信息化部關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知（工信部協(xié)2011451號(hào)）精神，自治區(qū)經(jīng)濟(jì)和信息化委員會(huì)將在全區(qū)范圍內(nèi)組織開展重要工業(yè)控制系統(tǒng)基本情況調(diào)查，在此基礎(chǔ)上開展全區(qū)工業(yè)控制系統(tǒng)信息安全試點(diǎn)示范工作?，F(xiàn)將有關(guān)事項(xiàng)通知如下：一、調(diào)查對(duì)象 主要針對(duì)鋼鐵、有色、化工、電力、天然氣、裝備制造、環(huán)境保護(hù)、城市供水供氣供熱以及其他與國計(jì)民生緊密相關(guān)的領(lǐng)域中應(yīng)用的重要工業(yè)控制系統(tǒng)。二、工作要求 （一）要認(rèn)真組織實(shí)施

2、。摸清重要工業(yè)控制系統(tǒng)基本情況，是發(fā)現(xiàn)安全風(fēng)險(xiǎn)、堵塞安全漏洞，提高工業(yè)控制系統(tǒng)安全防護(hù)能力的前提和基礎(chǔ)。本次調(diào)查工作，主要按照屬地化管理的原則，由盟市經(jīng)信委具體負(fù)責(zé)本地區(qū)行政范圍內(nèi)重要工業(yè)控制系統(tǒng)基本情況的組織和調(diào)查。各盟市經(jīng)信委要高度重視、嚴(yán)密組織、認(rèn)真實(shí)施、逐一排查，確保調(diào)查工作不留遺漏，確保調(diào)查數(shù)據(jù)真實(shí)、準(zhǔn)確。要加強(qiáng)統(tǒng)籌與協(xié)調(diào)，督促相關(guān)單位嚴(yán)格按照工作要求按時(shí)保質(zhì)地完成調(diào)查任務(wù)。 （二）要做好分析匯總。各盟市經(jīng)信委要做好本地區(qū)重要工業(yè)控制系統(tǒng)基本情況的整理匯總、統(tǒng)計(jì)分析和總結(jié)工作（包括被調(diào)查的運(yùn)營單位數(shù)量、重要工業(yè)控制系統(tǒng)數(shù)量、主要工業(yè)控制產(chǎn)品的品牌、系統(tǒng)國產(chǎn)化率等情況，詳見附件）。以各

3、盟市為單位，建立本地區(qū)重要工業(yè)控制系統(tǒng)基本情況數(shù)據(jù)庫。 （三）要加強(qiáng)保密管理。各盟市經(jīng)信委要重視并做好工業(yè)控制系統(tǒng)基本情況調(diào)查過程中的信息保密工作，填寫表格、匯總及上報(bào)過程，要按照國家相關(guān)保密規(guī)定妥善管理。 （四）報(bào)送材料事項(xiàng)。報(bào)送材料包括重要工業(yè)控制系統(tǒng)基本情況調(diào)查工作總結(jié)、重要工業(yè)控制系統(tǒng)匯總表及所有重要工業(yè)控制系統(tǒng)基本情況調(diào)查表。各盟市請(qǐng)于2015年5月15日前，將報(bào)送材料以紙質(zhì)和光盤兩種形式報(bào)送自治區(qū)經(jīng)信委網(wǎng)絡(luò)和信息安全協(xié)調(diào)處。內(nèi)部資料，不得上網(wǎng)傳輸。三、聯(lián)系方式聯(lián)系人：巴特爾13314898801 陳 疆18604711190郵

4、寄地址：呼和浩特市新華大街63號(hào)1103室郵編：010055附件：重要工業(yè)控制系統(tǒng)基本情況調(diào)查表 2015年4月13日 附件：重要工業(yè)控制系統(tǒng)基本情況調(diào)查表填表單位： （蓋章） 填報(bào)日期 ： 年 月 日填 報(bào) 說 明一、調(diào)查范圍 本調(diào)查表中的重要工業(yè)控制系統(tǒng)是指在鋼鐵、有色、化工、電力、天然氣、裝備制造、環(huán)境保護(hù)、城市供水供氣供熱以及其他與國計(jì)民生緊密相關(guān)的領(lǐng)域中建設(shè)應(yīng)用，采用數(shù)據(jù)采集監(jiān)控、分布式控制、過程控制、可編程邏輯控制等技術(shù)，對(duì)生產(chǎn)設(shè)備進(jìn)行狀態(tài)監(jiān)測(cè)、調(diào)度控制的系統(tǒng)。對(duì)于一旦出現(xiàn)問題，可能導(dǎo)致等級(jí)安全事故的工業(yè)控制系統(tǒng)為本次調(diào)查對(duì)象。其中，以可能導(dǎo)致以下后果之一的工業(yè)控制系統(tǒng)為主要調(diào)查對(duì)

5、象。 1. 3人以上死亡或10人以上重傷； 2. 1000萬元以上直接經(jīng)濟(jì)損失； 3. 影響10萬人（含）以上正常生活； 4. 對(duì)國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益產(chǎn)生重大影響和嚴(yán)重后果。5. 影響本單位正常生產(chǎn)經(jīng)營活動(dòng)產(chǎn)生無法有效提供產(chǎn)品、服務(wù)等嚴(yán)重后果。 二、保密要求 根據(jù)填寫內(nèi)容敏感程度確定是否涉密，并在調(diào)查表上明確標(biāo)識(shí)。 三、填報(bào)要求 1. 工業(yè)控制系統(tǒng)因在各行業(yè)的應(yīng)用場(chǎng)景不同而類型不同。填表單位僅填寫自身運(yùn)營的工業(yè)控制系統(tǒng)相關(guān)情況，無某系統(tǒng)類型則調(diào)查表二中相應(yīng)類型的表格可不填寫。 2. 表格中下劃線表示需要填寫的詳細(xì)情況，可出格填寫或另外附紙。 3. 報(bào)送材料需加蓋單位公章。 工

6、業(yè)控制系統(tǒng)信息安全管理情況調(diào)查表一一、運(yùn)營單位基本情況單位信息單位全稱法人代表通訊地址盟 市 旗縣（區(qū)） 鄉(xiāng)（街） 單位網(wǎng)址郵政編碼所屬行業(yè)12014年度銷售收入經(jīng)濟(jì)類型國有事業(yè)單位2國有及國有控股企業(yè)3（中央 地方）股份制企業(yè)外商及港澳臺(tái)投資企業(yè)4集體企業(yè)民營企業(yè)其他 聯(lián)系人姓 名職 務(wù)所屬部門工作電話電子郵箱傳 真系統(tǒng)小計(jì)系統(tǒng)類型系統(tǒng)數(shù)量數(shù)據(jù)采集與監(jiān)控（SCADA）系統(tǒng)套分布式控制系統(tǒng)（DCS)套可編程控制器（PLC)套其他： 套其他： 其他： 1按照國民經(jīng)濟(jì)行業(yè)分類（GB/T4754-2011)規(guī)定填寫。2按照事業(yè)單位登記管理暫行條例登記的，為社會(huì)公益目的、由國家機(jī)關(guān)舉辦或者其他組織利用

7、國有資產(chǎn)舉辦的，從事教育、科技、文化、衛(wèi)生等活動(dòng)的社會(huì)服務(wù)組織。3按照中華人民共和國企業(yè)法人登記管理?xiàng)l例登記注冊(cè)的三類經(jīng)濟(jì)組織：（1）全部資產(chǎn)歸國家所有的（非公司制）國有企業(yè)；（2）全部資產(chǎn)歸國家所有的國有獨(dú)資有限責(zé)任公司；（3）由國有資本占控制地位的有限責(zé)任公司和股份有限公司，此處稱國有控股公司。4包括港、澳、臺(tái)資本和其他地區(qū)外資資本設(shè)立的獨(dú)資或控股的獨(dú)資公司、有限責(zé)任公司和股份有限公司。 11 工業(yè)控制系統(tǒng)信息安全管理情況調(diào)查表二二、工業(yè)控制系統(tǒng)情況（一）數(shù)據(jù)采集與監(jiān)控（SCADA)系統(tǒng) 影響程度5： 特大 重大 較大 一般基本信息系統(tǒng)名稱功能描述使用部門及啟用時(shí)間集成商運(yùn)維商設(shè)備情況SC

8、ADA系統(tǒng)硬件廠商及型號(hào)：1、 2、 控制軟件廠商及版本： 數(shù)據(jù)服務(wù)器硬件廠商及型號(hào)： 數(shù)據(jù)庫軟件廠商及版本： 通信設(shè)備廠商及型號(hào)： 通信協(xié)議： 遠(yuǎn)程終端設(shè)備（RTU)硬件廠商及型號(hào)：1、 2、 組網(wǎng)情況簡況完全物理隔離：是 否，與 網(wǎng)絡(luò)連接通信協(xié)議： 無線接入：是 否系統(tǒng)結(jié)構(gòu)（請(qǐng)另附頁）注：多套系統(tǒng)可復(fù)印分別填寫（二）分布式控制系統(tǒng)（DCS) 影響程度5： 特大 重大 較大 一般基本信息系統(tǒng)名稱功能描述使用部門及啟用時(shí)間運(yùn)維商設(shè)備情況DCS硬件廠商及型號(hào)1、 2、 控制軟件廠商及版本： 組網(wǎng)情況簡況完全物理隔離：是 否，與 網(wǎng)絡(luò)連接通信協(xié)議： 無線接入：是 否系統(tǒng)結(jié)構(gòu)（請(qǐng)另附頁）注：多套系統(tǒng)

9、可復(fù)印分別填寫。工業(yè)控制系統(tǒng)信息安全管理情況調(diào)查表二（三）可編程控制器(PLC) 影響程度5： 特大 重大 較大 一般基本信息系統(tǒng)名稱功能描述使用部門及啟用時(shí)間運(yùn)維商情況設(shè)備可編程控制器（PLC)設(shè)備廠商及型號(hào)、臺(tái)套數(shù)1、 2、 情況組網(wǎng)簡況通信協(xié)議： 無線接入：是 否系統(tǒng)結(jié)構(gòu)（請(qǐng)另附頁）注：多套系統(tǒng)可復(fù)印分別填寫。（四）其他系統(tǒng) 影響程度5： 特大 重大 較大 一般基本信息系統(tǒng)名稱功能描述使用部門及啟用時(shí)間集成商運(yùn)維商情況設(shè)備系統(tǒng)設(shè)備1.設(shè)備類型與名稱： 2.設(shè)備型號(hào)與臺(tái)套數(shù)： 組網(wǎng)情況簡況完全物理隔離：是 否，與 網(wǎng)絡(luò)連接通信協(xié)議： 無線接入： 是 否系統(tǒng)結(jié)構(gòu)（請(qǐng)另附頁）注：多套系統(tǒng)可復(fù)印

10、分別填寫。（五）工業(yè)控制系統(tǒng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖（含與之相連網(wǎng)絡(luò)的連接情況）請(qǐng)另附頁影響程度5： 特大，指可能造成30人以上死亡，或者100人以上重傷（包括急性工業(yè)中毒，下同）；或者1億元以上直接經(jīng)濟(jì)損失；或者影響500萬人以上正常生活；或者對(duì)國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益產(chǎn)生特大影響。 重大，指可能造成10人以上30人以下死亡，或者50人以上100人以下重傷；或者5000萬元以上1億元以下直接經(jīng)濟(jì)損失；或者影響100萬人以上500萬人以下正常生活；或者對(duì)國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益產(chǎn)生重大影響。 較大，指可能造成3人以上10人以下死亡，或者10人以上50人以下重傷；或者1000萬

11、元以上5000萬元以下直接經(jīng)濟(jì)損失；或者影響10萬人以上100萬人以下正常生活；或者對(duì)國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益產(chǎn)生較大影響。 一般，指可能造成3人以下死亡，或者10人以下重傷；或者1000萬元以下直接經(jīng)濟(jì)損失；或者影響10萬人以下正常生活；或者對(duì)國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益產(chǎn)生一定影響。 其中“以上”包括本數(shù)，“以下”不包括本數(shù)。工業(yè)控制系統(tǒng)信息安全管理情況調(diào)查表三三、工業(yè)控制系統(tǒng)信息安全管理情況（一）連接管理 序號(hào) 調(diào)查項(xiàng) 調(diào)查要點(diǎn) 1工業(yè)控制系統(tǒng)網(wǎng)絡(luò)與公共網(wǎng)絡(luò)的連接管理 與工業(yè)控制系統(tǒng)網(wǎng)絡(luò)相連的網(wǎng)絡(luò)： 內(nèi)部局域網(wǎng) 互聯(lián)網(wǎng) 企業(yè)管理網(wǎng) 其它網(wǎng)絡(luò) 不與任何網(wǎng)絡(luò)相連2連接

12、方式 直接相連 采取隔離措施后連接，采取的隔離措施為防火墻 網(wǎng)卡網(wǎng)閘等單向隔離設(shè)備 其它措施： 3連接時(shí)間 始終連接 有需要時(shí)連接 其它： 4連接后身份認(rèn)證方式 口令 數(shù)字認(rèn)證技術(shù) 其它： 連接管理制度 審批備案 定期檢查 風(fēng)險(xiǎn)評(píng)估 隔離措施有效性驗(yàn)證5其它： 6合法系統(tǒng)間互聯(lián)的識(shí)別和認(rèn)證技術(shù)措施： 7存儲(chǔ)介質(zhì)使用管理移動(dòng)存儲(chǔ)介質(zhì)使用管理制度 有： 無1.工業(yè)控制系統(tǒng)網(wǎng)絡(luò)和公共網(wǎng)之間交叉使用移動(dòng)存儲(chǔ)介質(zhì) 禁止未禁止 未要求2.工業(yè)控制系統(tǒng)與其他系統(tǒng)之間專用的安全信息交換途徑： 3.工業(yè)控制系統(tǒng)主機(jī)的存儲(chǔ)介質(zhì)使用情況檢查 定期： 不定期 不檢查4.移動(dòng)存儲(chǔ)介質(zhì)銷毀處置流程： 5.移動(dòng)存儲(chǔ)介質(zhì)自動(dòng)

13、播放功能 明文禁止： 未禁止 未要求8接入的便攜式計(jì)算機(jī)的管理工控系統(tǒng)中接入便攜式計(jì)算機(jī) 允許 不允許9對(duì)接入的便攜式計(jì)算機(jī)的管理措施 使用審批制度： 標(biāo)識(shí)接入計(jì)算機(jī)，標(biāo)識(shí)規(guī)定： 安全性評(píng)估 其它： （二）組網(wǎng)管理 序號(hào) 調(diào)查項(xiàng) 調(diào)查要點(diǎn) 10工業(yè)控制系統(tǒng)信息安全生命周期管理工業(yè)控制系統(tǒng)安全實(shí)施、維護(hù)、升級(jí)、廢棄等方面制度 有： 無 1.工業(yè)控制系統(tǒng)建設(shè)規(guī)劃中關(guān)于信息安全防護(hù)內(nèi)容 有： 無2.驗(yàn)收時(shí)對(duì)實(shí)際系統(tǒng)與規(guī)劃一致性的檢驗(yàn)和信息安全防護(hù)措施有效性驗(yàn)證 有 無3.維護(hù)過程信息安全操作規(guī)范 有： 無4.一線操作人員信息安全操作規(guī)范 有： 無5.升級(jí)改造后的安全性評(píng)估 有 無 6.其它： 11工

14、業(yè)控制系統(tǒng)數(shù)據(jù)安全保障 工業(yè)控制系統(tǒng)數(shù)據(jù)安全保障制度 有： 無1.敏感數(shù)據(jù)信息安全分級(jí)及相應(yīng)的傳輸要求 有： 無2.敏感數(shù)據(jù)的保密性措施 有： 無3.敏感數(shù)據(jù)的完整性措施 有： 無 4.針對(duì)工業(yè)控制系統(tǒng)的關(guān)鍵鏈路設(shè)置備份方式 有： 無5.鏈路備份措施演練等有效性檢查 定期： 不定期 無12工業(yè)控制系統(tǒng)遠(yuǎn)端設(shè)備安全保障 工業(yè)控制系統(tǒng)遠(yuǎn)端設(shè)備的安全保障制度 有： 無1.遠(yuǎn)端設(shè)備維護(hù)身份認(rèn)證 有，認(rèn)證方式是： 無2.為防止非法設(shè)備接入而進(jìn)行的遠(yuǎn)端設(shè)備型號(hào)和標(biāo)識(shí)檢查定期 不定期 無3.遠(yuǎn)端維護(hù)設(shè)備接入規(guī)則和限制性要求 有： 無4.遠(yuǎn)端設(shè)備接入行為監(jiān)測(cè) 有，監(jiān)測(cè)方法是： 無5.遠(yuǎn)程系統(tǒng)登錄身份認(rèn)證 有，

15、認(rèn)證方式是： 無6.接入控制的技術(shù)條件 有，條件是： 無工業(yè)控制系統(tǒng)信息安全管理情況調(diào)查表三（三）配置管理序號(hào) 調(diào)查項(xiàng) 調(diào)查要點(diǎn) 13工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備的安全配置與審計(jì) 工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備的安全配置和審計(jì)制度有： 無1.關(guān)鍵設(shè)備實(shí)際配置與規(guī)定配置的一致性檢驗(yàn)有： 無2.關(guān)鍵設(shè)備的配置保存?zhèn)浞?有，備份方式： 無3.關(guān)鍵設(shè)備的審計(jì)流程與規(guī)范有： 無4.審計(jì)中發(fā)現(xiàn)問題的應(yīng)對(duì)措施和方法有： 無14工業(yè)控制系統(tǒng)用戶權(quán)限管理 工業(yè)控制系統(tǒng)用戶權(quán)限管理制度有： 無1.對(duì)工業(yè)控制系統(tǒng)用戶采用統(tǒng)一管理方式 是 否2.按照工作需要?jiǎng)澐钟脩魴?quán)限 是 否3.賬戶檢查和清理 定期： 不定期 未進(jìn)行4.用戶權(quán)限變更

16、審批備案流程： 15工業(yè)控制系統(tǒng)口令管理口令管理制度 有 無1.對(duì)口令長度、復(fù)雜度等要求： 2.口令變更管理要求： 3.空口令和默認(rèn)口令用戶登錄系統(tǒng)： 禁止 未禁止4.設(shè)備安裝時(shí)的預(yù)設(shè)密碼 已變更 未變更5.密碼更新 定期 不定期 不變更16工業(yè)控制系統(tǒng)配置管理 工業(yè)控制系統(tǒng)配置檢查制度有： 無 1.設(shè)備賬戶檢查及不必要用戶和管理員賬戶處理 定期 不定期 未檢查處理2.設(shè)備端口使用情況檢查及對(duì)未使用端口通信阻斷定期 不定期 未檢查處理3.操作系統(tǒng)端口檢查并停止無用后臺(tái)程序和進(jìn)程，關(guān)閉業(yè)務(wù)無關(guān)端口是 否 4.在工業(yè)控制系統(tǒng)主機(jī)上允許安裝的軟件明文規(guī)定： 未規(guī)定5.用戶登錄事件檢查分析定期： 不定

17、期無6.設(shè)備提供服務(wù)情況檢查，并關(guān)閉不必要服務(wù)定期： 不定期無（四）設(shè)備選擇與升級(jí)管理 序號(hào) 調(diào)查項(xiàng) 調(diào)查要點(diǎn) 17工業(yè)控制系統(tǒng)供應(yīng)商管理 通過選型測(cè)試確定產(chǎn)品采購范圍 是 否18工業(yè)控制系統(tǒng)設(shè)備選擇時(shí)，對(duì)產(chǎn)品安全性提出的要求 是： 否19采購合同中明確設(shè)備供應(yīng)商承擔(dān)的主要信息安全責(zé)任與義務(wù) 是 否20在合同中明確系統(tǒng)集成商所承擔(dān)的主要信息安全責(zé)任與義務(wù) 是 否21工業(yè)控制系統(tǒng)遠(yuǎn)程運(yùn)維管理工業(yè)控制系統(tǒng)遠(yuǎn)程運(yùn)維管理安全規(guī)定有： 無1.指定專人或?qū)ｉT部門對(duì)各設(shè)備進(jìn)行定期維護(hù) 是 否2.設(shè)備選型、采購、發(fā)放等各個(gè)選用環(huán)節(jié)采取審批控制 是 否3.關(guān)鍵服務(wù)器安全日志管理制度有： 無22工業(yè)控制系統(tǒng)軟件漏

18、洞防護(hù)管理 軟件升級(jí)管理制度 有： 無23漏洞和補(bǔ)丁管理制度有： 無1.系統(tǒng)安裝安全補(bǔ)丁程序定期： 不定期 視需要2.補(bǔ)丁安裝方式方法的相關(guān)制度有： 無3.由專業(yè)技術(shù)機(jī)構(gòu)對(duì)補(bǔ)丁進(jìn)行安全評(píng)估和驗(yàn)證 是 否4.網(wǎng)絡(luò)和主機(jī)惡意代碼定期檢測(cè)定期： 不定期 無24設(shè)備測(cè)試驗(yàn)收管理 設(shè)備測(cè)試驗(yàn)收的信息安全管理規(guī)范有： 無25根據(jù)設(shè)計(jì)方案或合同要求在系統(tǒng)正式運(yùn)行前指定專門部門測(cè)試驗(yàn)收 是 否26設(shè)備交付管理 專門部門按照手續(xù)辦理系統(tǒng)或設(shè)備交付工作是，部門為： 無1.規(guī)定系統(tǒng)交付清單中必須包含所有軟件工程文檔 是 否2.要求系統(tǒng)建設(shè)實(shí)施方對(duì)運(yùn)維技術(shù)人員進(jìn)行過培訓(xùn) 是 否3.由內(nèi)部人員獨(dú)立運(yùn)行維護(hù)目前設(shè)備 是

19、否工業(yè)控制系統(tǒng)信息安全管理情況調(diào)查表三（五）數(shù)據(jù)管理序號(hào) 調(diào)查項(xiàng) 調(diào)查要點(diǎn) 27數(shù)據(jù)管理規(guī)范根據(jù)工業(yè)控制系統(tǒng)數(shù)據(jù)敏感性對(duì)數(shù)據(jù)的分級(jí) 是，分級(jí)情況： 否28在采集、傳輸、存儲(chǔ)和應(yīng)用階段的數(shù)據(jù)安全規(guī)范措施 有： 無數(shù)據(jù)采集管理 為確保設(shè)備物理安全，對(duì)敏感數(shù)據(jù)采集環(huán)節(jié)部署的專用安全防護(hù)技術(shù) 29 為確保設(shè)備物理安全，對(duì)敏感數(shù)據(jù)采集環(huán)節(jié)制定的特別管理要求： 30 31敏感數(shù)據(jù)采集設(shè)備日志審計(jì) 定期： 不定期 否32為保證敏感數(shù)據(jù)流向的合法性在敏感數(shù)據(jù)采集設(shè)備和接收設(shè)備間建立的身份鑒別機(jī)制有： 無33數(shù)據(jù)傳輸管理在敏感數(shù)據(jù)傳輸過程中采用符合國家規(guī)定的加密算法 是 否34在敏感數(shù)據(jù)傳輸過程中采用符合國家規(guī)定的完整性保障技術(shù) 是 否35數(shù)據(jù)存儲(chǔ)與備份管理 對(duì)敏感數(shù)據(jù)的存儲(chǔ)采用加密文件系統(tǒng)或者第三方的數(shù)據(jù)保護(hù)軟件 是 否36對(duì)敏感數(shù)據(jù)采用符合國家規(guī)定的災(zāi)備措施進(jìn)行備份，并定期演練 是 否37備份數(shù)據(jù)的訪問和恢復(fù)控制機(jī)制 有 無38敏感數(shù)據(jù)的存儲(chǔ)介質(zhì)與公共網(wǎng)隔離措施 有： 無39敏感數(shù)據(jù)可用性保障措施 有： 無40敏感數(shù)據(jù)合法訪問控制措施 自主訪問 強(qiáng)制訪問 基于角色的訪問控制