安全運(yùn)維管理通用

1、二級(jí)（S2A2G2）安全運(yùn)維管理（通用）安全運(yùn)維管理現(xiàn)場(chǎng)訪談?dòng)涗洷碓L問者： 訪問者職務(wù)：被訪問者： 被訪問者職務(wù)： 訪問日期： 訪問地點(diǎn)：安全子項(xiàng)測(cè)評(píng)指標(biāo)結(jié)果記錄符合情況環(huán)境管理（G2）a）應(yīng)指定專門的部門或人員負(fù)責(zé)機(jī)房 安全，對(duì)機(jī)房出入進(jìn)行管理，定期對(duì) 機(jī)房供配電、空調(diào)、溫濕度控制、消 防等設(shè)施進(jìn)行維護(hù)管理；b）應(yīng)對(duì)機(jī)房的安全管理做出規(guī)定，包 括機(jī)房物理訪問、物品帶進(jìn)帶出和機(jī)房 環(huán)境安全等；c）應(yīng)不在重要區(qū)域接待來訪人員和桌面上沒有包含敏感信息的紙檔文件、移 動(dòng)介質(zhì)等；資產(chǎn)管理（G2）a）應(yīng)編制并保存與保護(hù)對(duì)象相關(guān)的資 產(chǎn)清單，包括資產(chǎn)責(zé)任部門、重要程 度和所處位置等內(nèi)容；介質(zhì)管理（G2）a

2、）應(yīng)確保介質(zhì)存放在安全的環(huán)境中， 對(duì)各類介質(zhì)進(jìn)行控制和保護(hù)，實(shí)行存 儲(chǔ)環(huán)境專人管理，并根據(jù)存檔介質(zhì)的 目錄清單定期盤點(diǎn)；b）應(yīng)對(duì)介質(zhì)在物理傳輸過程中的人員 選擇、打包、交付等情況進(jìn)行控制，并 對(duì)介質(zhì)的歸檔和查詢等進(jìn)行登記記錄；設(shè)備維護(hù)管理（G2）a）應(yīng)對(duì)各種設(shè)備（包括備份和冗余設(shè) 備）、線路等指定專門的部門或人員 定期進(jìn)行維護(hù)管理；b）應(yīng)對(duì)配套設(shè)施、軟硬件維護(hù)管理做出規(guī)定，包括明確維護(hù)人員的責(zé)任、 維修和服務(wù)的審批、維修過程的監(jiān)督控制等；漏洞和風(fēng) 險(xiǎn)管理 （G2）a）應(yīng)采取必要的措施識(shí)別安全漏洞和 隱患，對(duì)發(fā)現(xiàn)的安全漏洞和隱患及時(shí)進(jìn) 行修補(bǔ)或評(píng)估可能的影響后進(jìn)行修補(bǔ)1二級(jí)（S2A2G2）安全運(yùn)

3、維管理（通用）安全子項(xiàng)測(cè)評(píng)指標(biāo)結(jié)果記錄符合情況網(wǎng)絡(luò)和系 統(tǒng)安全管 理（G2）a）應(yīng)劃分不同的管埋員角色進(jìn)行網(wǎng)絡(luò) 和系統(tǒng)的運(yùn)維管理，明確各個(gè)角色的 責(zé)任和權(quán)限；b）應(yīng)指定專門的部門或人員進(jìn)行賬戶 管理，對(duì)申請(qǐng)賬戶、建立賬戶、刪除賬 戶等進(jìn)行控制；c）應(yīng)建立網(wǎng)絡(luò)和系統(tǒng)安全管理制度， 對(duì)安全策略、賬戶管理、配置管理、日 志管理、日常操作、升級(jí)與打補(bǔ)丁、 口 令更新周期等方面作出規(guī)定；d）應(yīng)制定重要設(shè)備的配置和操作手 冊(cè)，依據(jù)手冊(cè)對(duì)設(shè)備進(jìn)行安全配置和優(yōu) 化配置等；e）應(yīng)詳細(xì)記錄運(yùn)維操作日志，包括日 常巡檢工作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè) 置和修改等內(nèi)容；惡意代碼 防范管理 （G2）a）應(yīng)提高所有用戶的防惡

4、意代碼意 識(shí)，告知對(duì)外來計(jì)算機(jī)或存儲(chǔ)設(shè)備接 入系統(tǒng)前進(jìn)行惡意代碼檢查等；b）應(yīng)對(duì)惡意代碼防范要求做出規(guī)定， 包括防惡意代碼軟件的授權(quán)使用、惡意 代碼庫升級(jí)、惡意代碼的定期查殺等；c）應(yīng)定期檢查惡意代碼庫的升級(jí)情 況，對(duì)截獲的惡意代碼進(jìn)行及時(shí)分析處 理；配置管理（G2）a）應(yīng)記錄和保存基本配置信息，包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、各個(gè)設(shè)備安裝的軟件組 件、軟件組件的版本和補(bǔ)丁信息、各個(gè) 設(shè)備或軟件組件的配置參數(shù)等密碼管理（G2）a）應(yīng)使用國(guó)家密碼管理主管部門認(rèn)證 核準(zhǔn)的密碼技術(shù)和產(chǎn)品；義更管理（G2）a）應(yīng)明確系統(tǒng)變更需求，變更前根據(jù) 變更需求制定變更方案，變更方案經(jīng) 過評(píng)審、審批后方可實(shí)施；a）應(yīng)識(shí)別需要定

5、期備份的重要業(yè)務(wù)信 息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等；安全子項(xiàng)測(cè)評(píng)指標(biāo)結(jié)果記錄符合情況備份與恢 復(fù)管理（G2）b）應(yīng)規(guī)定備份信息的備份方式、備份 頻度、存儲(chǔ)介質(zhì)、保存期等；c）應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對(duì)系統(tǒng) 運(yùn)行的影響，制定數(shù)據(jù)的備份策略和恢 復(fù)策略、備份程序和恢復(fù)程序等；安全事件處置（G2）a）應(yīng)及時(shí)向安全管理部門報(bào)告所發(fā)現(xiàn) 的安全弱點(diǎn)和可疑事件；b）應(yīng)制定安全事件報(bào)告和處置管理制度，明確不向安全事件的報(bào)告、 處置和 響應(yīng)流程，規(guī)定安全事件的現(xiàn)場(chǎng)處理、 事件報(bào)告和后期恢復(fù)的管理職責(zé)等；c）應(yīng)在安全事件報(bào)告和響應(yīng)處理過程中，分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處理過程，總結(jié)經(jīng)驗(yàn)教訓(xùn)；應(yīng)急預(yù)案 管理（G2）a）應(yīng)制定重要事件的應(yīng)急預(yù)案，包括 應(yīng)急處理流程、系統(tǒng)恢復(fù)流程等內(nèi) 容；b）應(yīng)定期對(duì)系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急 預(yù)案培訓(xùn)，并進(jìn)行應(yīng)急預(yù)案的演練；外包運(yùn)維管理（G2）a）應(yīng)確保外包運(yùn)維服務(wù)商的選擇符合 國(guó)家的有關(guān)規(guī)定；