2023企業(yè)網(wǎng)絡(luò)安全及信息化規(guī)范化工作手冊(cè)

網(wǎng)絡(luò)安全及信息化規(guī)范化工作手冊(cè)

（2023版）

I

目次

前言.....................................................................................II

1范圍...................................................................................1

2規(guī)范性引用文件........................................................................1

3網(wǎng)絡(luò)安全組織體系建設(shè)..................................................................1

4網(wǎng)絡(luò)信息安全規(guī)章制度建設(shè)..............................................................1

5符合性（合規(guī)性）管理................................................................2

6信息化工作管理內(nèi)容....................................................................3

附錄A（規(guī)范性附錄）常用表格...........................................................20

II

1范圍

本標(biāo)準(zhǔn)主要用于信息化工作，其中主要內(nèi)容包括了組織體系建設(shè)、規(guī)章制度建設(shè)、合規(guī)性管理及信

息化工作內(nèi)容。

本標(biāo)準(zhǔn)適用于XXXXXX公司（以下簡(jiǎn)稱XXX公司）及下屬企業(yè)。

2網(wǎng)絡(luò)安全組織體系建設(shè)

2.1網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組

企業(yè)應(yīng)成立網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組，組長(zhǎng)由XXXXXX擔(dān)任。

XXXXXX對(duì)本企業(yè)網(wǎng)絡(luò)安全工作負(fù)主體責(zé)任，領(lǐng)導(dǎo)班子主要負(fù)責(zé)人是第一責(zé)任人，分管網(wǎng)絡(luò)安全的領(lǐng)

導(dǎo)班子成員是直接責(zé)任人。

分管生產(chǎn)的領(lǐng)導(dǎo)班子成員對(duì)工控系統(tǒng)（含電力監(jiān)控系統(tǒng)，下同）負(fù)直接領(lǐng)導(dǎo)責(zé)任，分管信息化的領(lǐng)

導(dǎo)班子成員對(duì)管理信息系統(tǒng)基礎(chǔ)設(shè)施（含機(jī)房、網(wǎng)絡(luò)、硬件及相關(guān)設(shè)施）網(wǎng)絡(luò)安全負(fù)直接領(lǐng)導(dǎo)責(zé)任，分

管其它業(yè)務(wù)的領(lǐng)導(dǎo)班子成員對(duì)本業(yè)務(wù)范圍內(nèi)的信息系統(tǒng)網(wǎng)絡(luò)安全負(fù)直接領(lǐng)導(dǎo)責(zé)任。

2.2網(wǎng)絡(luò)安全與信息化工作小組

企業(yè)應(yīng)成立網(wǎng)絡(luò)安全與信息工作小組，且明確至少一名副職領(lǐng)導(dǎo)主管網(wǎng)絡(luò)安全工作，工作小組中至

少有一名專職網(wǎng)絡(luò)安全員。

應(yīng)配置專職網(wǎng)絡(luò)安全員，且不應(yīng)兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員等職責(zé)。

對(duì)于網(wǎng)絡(luò)管理員，負(fù)責(zé)網(wǎng)絡(luò)規(guī)劃，網(wǎng)絡(luò)設(shè)備的安裝調(diào)試與維護(hù)及網(wǎng)絡(luò)安全管理。

對(duì)于系統(tǒng)管理員，負(fù)責(zé)登錄操作系統(tǒng)，管理操作系統(tǒng)及應(yīng)用系統(tǒng)中的相關(guān)文件、安全、系統(tǒng)更新、

補(bǔ)丁，保證操作系統(tǒng)及應(yīng)用系統(tǒng)安全穩(wěn)定的運(yùn)行。

對(duì)于數(shù)據(jù)庫(kù)管理員，負(fù)責(zé)管理數(shù)據(jù)庫(kù)，保證數(shù)據(jù)庫(kù)正常運(yùn)行，優(yōu)化數(shù)據(jù)庫(kù)，解決數(shù)據(jù)庫(kù)方面的問(wèn)題。

對(duì)于網(wǎng)絡(luò)安全員，負(fù)責(zé)按照一定的安全策略，利用記錄日志、系統(tǒng)活動(dòng)和用戶活動(dòng)等信息，檢查、

審查和檢驗(yàn)操作事件，并發(fā)現(xiàn)漏洞和隱患，提出整改建議。

2.3網(wǎng)絡(luò)信息安全專職部門(mén)

企業(yè)應(yīng)設(shè)立網(wǎng)絡(luò)安全管理工作的職能部門(mén)，設(shè)立系統(tǒng)管理員、審計(jì)管理員和安全管理員等崗位，并

定義部門(mén)及各個(gè)工作崗位的職責(zé)。

3網(wǎng)絡(luò)信息安全規(guī)章制度建設(shè)

3.1公司目標(biāo)與網(wǎng)絡(luò)信息安全目標(biāo)

企業(yè)應(yīng)制定網(wǎng)絡(luò)信息安全目標(biāo)，與公司目標(biāo)相輔相成。

企業(yè)在制定網(wǎng)絡(luò)信息安全目標(biāo)時(shí)，應(yīng)考慮與法律法規(guī)、國(guó)家、行業(yè)標(biāo)準(zhǔn)等網(wǎng)絡(luò)信息安全要求，具備

可行性。

3.2網(wǎng)絡(luò)信息安全規(guī)劃

1

在組織進(jìn)行網(wǎng)絡(luò)安全信息規(guī)劃時(shí)，網(wǎng)絡(luò)安全現(xiàn)狀及需求調(diào)研，明確安全狀況及安全規(guī)劃需求。制定

信息安全建設(shè)目標(biāo)，明確未來(lái)信息安全建設(shè)的方向。應(yīng)涵蓋工控網(wǎng)絡(luò)，信息網(wǎng)絡(luò)，應(yīng)用系統(tǒng)安全，數(shù)據(jù)

安全，安全管控措施，智慧電廠，安全培訓(xùn)，能力提升等多個(gè)方面。

進(jìn)行比較全面的長(zhǎng)遠(yuǎn)的發(fā)展計(jì)劃，是對(duì)未來(lái)整體性、長(zhǎng)期性、基本性問(wèn)題的思考、考量和設(shè)計(jì)未來(lái)

整套行動(dòng)方案。即進(jìn)行全面的、目標(biāo)長(zhǎng)遠(yuǎn)的信息安全發(fā)展計(jì)劃，為信息安全建設(shè)指明方向，符合整體發(fā)

展戰(zhàn)略。

3.3制度體系

3.3.1實(shí)施細(xì)則/管理制度

對(duì)安全管理活動(dòng)中的各類管理內(nèi)容建立安全管理制度。包括但不限于物理、網(wǎng)絡(luò)、主機(jī)、數(shù)據(jù)、應(yīng)

用、管理等層面的管理內(nèi)容。

3.3.2規(guī)程/作業(yè)指導(dǎo)書(shū)

對(duì)安全管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程。

4符合性（合規(guī)性）管理

合規(guī)性管理的目標(biāo)是對(duì)合規(guī)風(fēng)險(xiǎn)的有效識(shí)別和主動(dòng)管理,保障企業(yè)信息化管理和信息化人員的工作

符合法律、法規(guī)、國(guó)家及行業(yè)標(biāo)準(zhǔn)、上級(jí)公司要求，切實(shí)防范合規(guī)性風(fēng)險(xiǎn)，主要內(nèi)容有：

----法律

?網(wǎng)絡(luò)安全法

?電子商務(wù)法

?密碼法

?電子簽名法

一一行政法規(guī)

?計(jì)算機(jī)軟件保護(hù)條例

?互聯(lián)網(wǎng)信息內(nèi)容管理工作

?信息網(wǎng)絡(luò)傳播權(quán)保護(hù)條例

?互聯(lián)網(wǎng)信息服務(wù)管理辦法

?互聯(lián)網(wǎng)信息服務(wù)管理辦法

—部門(mén)規(guī)章

?互聯(lián)網(wǎng)域名管理辦法

?網(wǎng)絡(luò)安全等級(jí)保護(hù)條例

----規(guī)范性文件

?互聯(lián)網(wǎng)群組信息服務(wù)管理規(guī)定

?互聯(lián)網(wǎng)論壇社區(qū)服務(wù)管理規(guī)定

?移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定

?互聯(lián)網(wǎng)用戶賬號(hào)名稱管理規(guī)定

----國(guó)家、行業(yè)標(biāo)準(zhǔn)

?信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求GB/T28448-2019

?信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T22239-2019

?信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求GB/T25070-2019

2

信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全管理中心技術(shù)要求GB/T36958-2018

信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T22239-2008

信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南GB/T22240-2008

信息安全技術(shù)信息系統(tǒng)物理安全技術(shù)要求GB/T21052-2007

信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求GB/T20271-2006

信息安全技術(shù)信息系統(tǒng)安全管理要求GB/T20269-2006

信息安全技術(shù)信息系統(tǒng)安全工程管理要求GB/T20282-2006

信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T20270-2006

一上級(jí)單位、調(diào)度機(jī)構(gòu)文件

5信息化工作管理內(nèi)容

5.1項(xiàng)目開(kāi)發(fā)、建設(shè)

5.1.1項(xiàng)目預(yù)算管理

每年9月，XXX公司組織收集下年度信息化預(yù)算相關(guān)信息。

預(yù)算的編制應(yīng)依據(jù)上級(jí)公司預(yù)算編制的總體原則及要求，也應(yīng)參照歷史數(shù)據(jù)、行業(yè)對(duì)標(biāo)、成本定額。

企業(yè)應(yīng)召集相關(guān)部門(mén)和人員對(duì)信息化預(yù)算進(jìn)行初審，根據(jù)初審情況進(jìn)行預(yù)算調(diào)整。

信息化主管部門(mén)應(yīng)與數(shù)據(jù)中心的業(yè)務(wù)預(yù)算溝通確認(rèn)，按時(shí)向本單位預(yù)算管理委員會(huì)辦公室及數(shù)據(jù)中

心提供預(yù)算安排及依據(jù)等資料。

企業(yè)應(yīng)根據(jù)XXX公司下達(dá)的信息化預(yù)算，編制月度分解預(yù)算。

預(yù)算指標(biāo)下達(dá)后，企業(yè)應(yīng)嚴(yán)格執(zhí)行，并落實(shí)到各部門(mén)、各環(huán)節(jié)、各崗位，不得越權(quán)調(diào)整、變動(dòng)預(yù)算

方案。

重大政策變化、不可抗力因素、企業(yè)生產(chǎn)經(jīng)營(yíng)發(fā)生重大變化等情況，預(yù)算需要進(jìn)行調(diào)整的，按審批

程序進(jìn)行預(yù)算調(diào)整。

5.1.2項(xiàng)目建設(shè)管理

5.1.2.1概述

集團(tuán)公司將信息化項(xiàng)目建設(shè)劃分為了硬件系統(tǒng)集成項(xiàng)目建設(shè)與應(yīng)用系統(tǒng)項(xiàng)目建設(shè)兩種情形。分別印

發(fā)了《XXXXXX硬件系統(tǒng)集成項(xiàng)目建設(shè)管理指南》與《XXXXXX應(yīng)用系統(tǒng)項(xiàng)目建設(shè)管理指南》，是對(duì)硬件集

成項(xiàng)目與應(yīng)用系統(tǒng)開(kāi)發(fā)項(xiàng)目全生命周期管理事宜的指導(dǎo)文件，現(xiàn)將每個(gè)階段應(yīng)形成的資料做歸納整理,

不詳述內(nèi)容。

5.1.2.2硬件集成建設(shè)

5.1.2.2.1項(xiàng)目立項(xiàng)

?《項(xiàng)目立項(xiàng)申請(qǐng)書(shū)》

?《一項(xiàng)目可行性研究報(bào)告》

?《項(xiàng)目立項(xiàng)論證報(bào)告》

?《一項(xiàng)目立項(xiàng)批復(fù)》

?《項(xiàng)目計(jì)劃及預(yù)算申報(bào)表》

?《一一項(xiàng)目計(jì)劃及預(yù)算批復(fù)》

5.1.2.2.2項(xiàng)目組織及管理

3

?《項(xiàng)目管理辦公室（PMO）組織機(jī)構(gòu)及人員》

?《項(xiàng)目管理辦公室（PMO）職責(zé)》

?《項(xiàng)目質(zhì)量管理辦法》

?《項(xiàng)目進(jìn)度管理辦法》

?《項(xiàng)目變更管理辦法》

?《項(xiàng)目合同管理辦法》

?《項(xiàng)目文檔管理辦法》

?《項(xiàng)目工作制度》

?《項(xiàng)目風(fēng)險(xiǎn)管理辦法》

?《關(guān)于成立項(xiàng)目管理組織的通知》

?《關(guān)于印發(fā)項(xiàng)目管理辦法的通知》

5.1.2.2.3項(xiàng)目準(zhǔn)備

?《項(xiàng)目招標(biāo)計(jì)劃申請(qǐng)書(shū)》

?《項(xiàng)目招標(biāo)文件》（非集成類硬件）。

?《項(xiàng)目招標(biāo)文件》（集成類硬件）。

?《項(xiàng)目招標(biāo)文件審查報(bào)告》

?《會(huì)議紀(jì)要（招標(biāo)文件審查）》

?《項(xiàng)目招標(biāo)委托合同》

?《項(xiàng)目可研批復(fù)》

?《項(xiàng)目招標(biāo)公告及招標(biāo)公告確認(rèn)函》

?《項(xiàng)目投標(biāo)申請(qǐng)人報(bào)名表》

?《項(xiàng)目招標(biāo)文件澄清及回執(zhí)》

?《項(xiàng)目招標(biāo)文件確認(rèn)函》

?《項(xiàng)目招標(biāo)工作組標(biāo)前會(huì)議紀(jì)要及工作手冊(cè)》

?《項(xiàng)目評(píng)標(biāo)報(bào)告》

?《項(xiàng)目評(píng)標(biāo)結(jié)果匯報(bào)會(huì)會(huì)議紀(jì)要》

?《項(xiàng)目中標(biāo)公示》

?《項(xiàng)目中標(biāo)通知書(shū)》

?《項(xiàng)目評(píng)標(biāo)專家抽取記錄》

?《項(xiàng)目評(píng)標(biāo)專家及參評(píng)人員簽到表》

?《項(xiàng)目投標(biāo)文件接收表》

?《項(xiàng)目綜合評(píng)分統(tǒng)計(jì)表》

?《項(xiàng)目商務(wù)評(píng)分統(tǒng)計(jì)表》

?《項(xiàng)目商務(wù)評(píng)分表》

?《項(xiàng)目技術(shù)評(píng)分統(tǒng)計(jì)表》

?《項(xiàng)目技術(shù)評(píng)分表》

?《項(xiàng)目?jī)r(jià)格評(píng)分統(tǒng)計(jì)表》

?《會(huì)議紀(jì)要（定標(biāo)會(huì)議）》

?《項(xiàng)目合同》（非集成類硬件）

?《項(xiàng)目合同》（集成類硬件）

5.1.2.2.4項(xiàng)目開(kāi)工

?《項(xiàng)目章程》

?《項(xiàng)目技術(shù)方案》

4

?《項(xiàng)目安全解決方案》

?《項(xiàng)目計(jì)劃》

?《項(xiàng)目開(kāi)工申請(qǐng)報(bào)告》

?《關(guān)于召開(kāi)項(xiàng)目章程和技術(shù)方案評(píng)審會(huì)的通知》

?《______項(xiàng)目會(huì)議議程》

?《項(xiàng)目會(huì)議紀(jì)要（項(xiàng)目章程和技術(shù)方案評(píng)審）》

?《關(guān)于項(xiàng)目開(kāi)工申請(qǐng)報(bào)告的批復(fù)》

?項(xiàng)目啟動(dòng)會(huì)

?《關(guān)于召開(kāi)項(xiàng)目啟動(dòng)會(huì)的通知》

?《項(xiàng)目會(huì)議議程》

?《項(xiàng)目會(huì)議紀(jì)要（項(xiàng)目啟動(dòng)會(huì)）》

5.1.2.2.5方案設(shè)計(jì)

5.1.2.2.6開(kāi)箱驗(yàn)收

5.1.2.2.7安裝調(diào)試

?《項(xiàng)目系統(tǒng)環(huán)境申請(qǐng)表》

?《硬件系統(tǒng)集成到貨驗(yàn)收?qǐng)?bào)告》

?《硬件系統(tǒng)集成調(diào)試報(bào)告》

5.1.2.2.8驗(yàn)收

?《項(xiàng)目系統(tǒng)初步驗(yàn)收申請(qǐng)書(shū)》

?《項(xiàng)目初步驗(yàn)收方案》

?《項(xiàng)目初步驗(yàn)收?qǐng)?bào)告》

?《項(xiàng)目初步驗(yàn)收?qǐng)?bào)告評(píng)審書(shū)》（按需要）

?《項(xiàng)目竣工驗(yàn)收申請(qǐng)》

?《項(xiàng)目竣工驗(yàn)收方案》

?《項(xiàng)目竣工驗(yàn)收?qǐng)?bào)告》

?《項(xiàng)目竣工驗(yàn)收?qǐng)?bào)告評(píng)審書(shū)》（按需要）

?《項(xiàng)目交付件確認(rèn)單》

5.1.2.3應(yīng)用系統(tǒng)建設(shè)

5.1.2.3.1項(xiàng)目立項(xiàng)

?《項(xiàng)目立項(xiàng)申請(qǐng)書(shū)》

?《項(xiàng)目可行性研究報(bào)告》

?《項(xiàng)目立項(xiàng)論證報(bào)告》

?《項(xiàng)目立項(xiàng)批復(fù)》

?《項(xiàng)目計(jì)劃及預(yù)算申報(bào)表》

?《項(xiàng)目計(jì)劃及預(yù)算批復(fù)》

5.1.2.3.2項(xiàng)目組織及管理

?《項(xiàng)目管理辦公室（PMO）組織機(jī)構(gòu)及人員》

?《項(xiàng)目管理辦公室（PMO）職責(zé)》

?《關(guān)于成立_______項(xiàng)目管理組織的通知》

5.1.2.3.3項(xiàng)目準(zhǔn)備

?《項(xiàng)目招標(biāo)計(jì)劃申請(qǐng)書(shū)》

?《項(xiàng)目招標(biāo)文件》（應(yīng)用系統(tǒng)建設(shè)類）

5

?《______項(xiàng)目招標(biāo)文件》（應(yīng)用系統(tǒng)運(yùn)維類）

*《______項(xiàng)目招標(biāo)文件》（咨詢服務(wù)類）

?《______項(xiàng)目招標(biāo)文件》（非集成類硬件）

?《______項(xiàng)目招標(biāo)文件》（集成類硬件）

?《______項(xiàng)目招標(biāo)文件》（硬件運(yùn)維類）

?《______項(xiàng)目評(píng)標(biāo)標(biāo)準(zhǔn)》（應(yīng)用系統(tǒng)建設(shè)類）

*《招標(biāo)文件提交申請(qǐng)單》

*《______項(xiàng)目招標(biāo)文件審查報(bào)告》

?《______項(xiàng)目招標(biāo)委托合同》

?《______項(xiàng)目可研批復(fù)》

*《______項(xiàng)目招標(biāo)公告及招標(biāo)公告確認(rèn)函》

?《______項(xiàng)目投標(biāo)申請(qǐng)人報(bào)名表》

?《______項(xiàng)目招標(biāo)文件澄清及回執(zhí)》

?《______項(xiàng)目招標(biāo)文件確認(rèn)函》

?《______項(xiàng)目招標(biāo)工作組標(biāo)前會(huì)議紀(jì)要及工作手冊(cè)》

*《______項(xiàng)目評(píng)標(biāo)報(bào)告》

*《______項(xiàng)目評(píng)標(biāo)結(jié)果匯報(bào)會(huì)會(huì)議紀(jì)要》

*《______項(xiàng)目中標(biāo)公示》

?《______項(xiàng)目中標(biāo)通知書(shū)》

?《______項(xiàng)目評(píng)標(biāo)專家抽取記錄》

*《______項(xiàng)目評(píng)標(biāo)專家及參評(píng)人員簽到表》

?《______項(xiàng)目投標(biāo)文件接收表》

*《_______項(xiàng)目綜合評(píng)分統(tǒng)計(jì)表》

*《______項(xiàng)目商務(wù)評(píng)分統(tǒng)計(jì)表》

?《_______項(xiàng)目商務(wù)評(píng)分表》

?《_______項(xiàng)目技術(shù)評(píng)分統(tǒng)計(jì)表》

*《_______項(xiàng)目技術(shù)評(píng)分表》

?《_______項(xiàng)目?jī)r(jià)格評(píng)分統(tǒng)計(jì)表》

*《會(huì)議紀(jì)要（定標(biāo)會(huì)議）》

?《_______項(xiàng)目合同》（應(yīng)用系統(tǒng)建設(shè)類）；

?《_______項(xiàng)目合同》（應(yīng)用系統(tǒng)運(yùn)維類）；

?《______項(xiàng)目合同》（咨詢服務(wù)類）；

*《______項(xiàng)目合同》（非集成類硬件）；

*《______項(xiàng)目合同》（集成類硬件）；

?《______項(xiàng)目合同》（硬件運(yùn)維類）。

5.1.2.3.4項(xiàng)目開(kāi)工

《項(xiàng)目質(zhì)量管理辦法》

《項(xiàng)目安全管理辦法》

《項(xiàng)目進(jìn)度管理辦法》

《項(xiàng)目變更管理辦法》

《——項(xiàng)目需求管理辦法》

?項(xiàng)目合同管理辦法》

《項(xiàng)目文檔管理辦法》

6

?《項(xiàng)目工作制度》

?《項(xiàng)目風(fēng)險(xiǎn)管理辦法》

?《項(xiàng)目溝通管理辦法》

?《關(guān)于印發(fā)項(xiàng)目管理辦法的通知》

?《項(xiàng)目章程》

?《項(xiàng)目工作說(shuō)明書(shū)》

?《項(xiàng)目技術(shù)方案》

?《項(xiàng)目計(jì)劃》

?《項(xiàng)目開(kāi)工申請(qǐng)報(bào)告》

?《關(guān)于召開(kāi)項(xiàng)目章程和技術(shù)方案評(píng)審會(huì)的通知》

?《項(xiàng)目會(huì)議議程》

?《項(xiàng)目會(huì)議紀(jì)要（項(xiàng)目章程和技術(shù)方案評(píng)審）》

?《關(guān)于項(xiàng)目開(kāi)工申請(qǐng)報(bào)告的批復(fù)》

5.1.2.3.5方案設(shè)計(jì)

?《項(xiàng)目客戶需求說(shuō)明書(shū)》

?《項(xiàng)目軟件需求規(guī)格說(shuō)明書(shū)》

?《項(xiàng)目客戶需求說(shuō)明書(shū)及軟件需求規(guī)格說(shuō)明書(shū)評(píng)審報(bào)告》。

?《項(xiàng)目概要設(shè)計(jì)》

?《項(xiàng)目概要設(shè)計(jì)評(píng)審報(bào)告》

?《項(xiàng)目詳細(xì)設(shè)計(jì)》

?《項(xiàng)目詳細(xì)設(shè)計(jì)評(píng)審報(bào)告》

5.1.2.3.6系統(tǒng)開(kāi)發(fā)測(cè)試

?《項(xiàng)目系統(tǒng)應(yīng)用環(huán)境申請(qǐng)表》

?《項(xiàng)目單元測(cè)試》

?《項(xiàng)目技術(shù)規(guī)范書(shū)》

?《項(xiàng)目接口數(shù)據(jù)規(guī)范》

?《項(xiàng)目程序維護(hù)手冊(cè)》

?《項(xiàng)目用戶操作手冊(cè)》

?《項(xiàng)目程序員開(kāi)發(fā)手冊(cè)》

?《項(xiàng)目系統(tǒng)安裝手冊(cè)》

?《項(xiàng)目系統(tǒng)運(yùn)行維護(hù)管理規(guī)定》

?《項(xiàng)目系統(tǒng)標(biāo)準(zhǔn)代碼設(shè)計(jì)技術(shù)規(guī)范》

?《項(xiàng)目系統(tǒng)測(cè)試方案》

?《項(xiàng)目系統(tǒng)測(cè)試問(wèn)題清單》

?《項(xiàng)目系統(tǒng)測(cè)試審查表》

?《項(xiàng)目系統(tǒng)測(cè)試報(bào)告》

?《項(xiàng)目用戶測(cè)試方案》

?《項(xiàng)目用戶測(cè)試用例》

?《項(xiàng)目用戶測(cè)試問(wèn)題清單》

?《項(xiàng)目用戶測(cè)試審查表》

?《項(xiàng)目用戶測(cè)試報(bào)告》

5.1.2.3.7上線

?《項(xiàng)目試點(diǎn)應(yīng)用報(bào)告》

7

?《項(xiàng)目上線試運(yùn)行方案》

?《關(guān)于召開(kāi)系統(tǒng)上線試運(yùn)行動(dòng)員會(huì)的通知》

?《項(xiàng)目會(huì)議議程（系統(tǒng)上線試運(yùn)行動(dòng)員會(huì)）》

?《項(xiàng)目會(huì)議紀(jì)要（系統(tǒng)上線試運(yùn)行動(dòng)員會(huì)）》

?《項(xiàng)目系統(tǒng)上線試運(yùn)行問(wèn)題清單》

?《項(xiàng)目試上線試運(yùn)行報(bào)告》

?《項(xiàng)目試上線試運(yùn)行評(píng)審報(bào)告》

5.1.2.3.8驗(yàn)收

?《項(xiàng)目系統(tǒng)初步驗(yàn)收申請(qǐng)書(shū)》

?《項(xiàng)目初步驗(yàn)收方案》

?《項(xiàng)目初步驗(yàn)收?qǐng)?bào)告》

?《項(xiàng)目初步驗(yàn)收?qǐng)?bào)告評(píng)審書(shū)》

?《項(xiàng)目竣工驗(yàn)收申請(qǐng)》

?《項(xiàng)目竣工驗(yàn)收方案》

?《項(xiàng)目竣工驗(yàn)收?qǐng)?bào)告》

?《項(xiàng)目竣工驗(yàn)收?qǐng)?bào)告評(píng)審書(shū)》

?《項(xiàng)目交付件確認(rèn)單》

5.1.3應(yīng)用系統(tǒng)上線

企業(yè)的應(yīng)用系統(tǒng)上線運(yùn)行前應(yīng)必須報(bào)XXX公司信息化主管部門(mén)審批。一般地，XXX公司所屬企業(yè)宜采

用申請(qǐng)集中部署的方式上線應(yīng)用系統(tǒng)，不宜自建應(yīng)用系統(tǒng)。

應(yīng)用軟件系統(tǒng)部署前，業(yè)務(wù)部門(mén)應(yīng)提交《應(yīng)用軟件系統(tǒng)業(yè)務(wù)受理申請(qǐng)表》（見(jiàn)附錄A.6），報(bào)信息

化主管部門(mén)批準(zhǔn)后,方可進(jìn)行系統(tǒng)部署，部署時(shí)必須對(duì)主機(jī)進(jìn)行加固，操作系統(tǒng)最小化安裝；關(guān)閉非必

要的端口和服務(wù)；部署后對(duì)主機(jī)和應(yīng)用軟件進(jìn)行安全評(píng)估監(jiān)測(cè)，漏洞掃描，無(wú)高危風(fēng)險(xiǎn)和漏洞才能部署

試運(yùn)行。

對(duì)于擬啟用的應(yīng)用軟件系統(tǒng)，應(yīng)提供應(yīng)用軟件系統(tǒng)的最終驗(yàn)收?qǐng)?bào)告及有關(guān)部門(mén)通過(guò)最終驗(yàn)收的批準(zhǔn)

文件,并附《XXXXXX應(yīng)用軟件系統(tǒng)項(xiàng)目建設(shè)管理指南》規(guī)定的所有項(xiàng)目開(kāi)發(fā)過(guò)程文檔。業(yè)務(wù)部門(mén)提交《應(yīng)

用軟件系統(tǒng)啟用申請(qǐng)表》（見(jiàn)附錄A.7）,報(bào)信息化主管部門(mén)批準(zhǔn)啟用后，方可投入運(yùn)行。

信息系統(tǒng)等級(jí)保護(hù)二級(jí)及以下系統(tǒng)的啟用申請(qǐng)由信息化主管部門(mén)進(jìn)行審核并做好文檔備案;等級(jí)保

護(hù)三級(jí)系統(tǒng)的啟用申請(qǐng)由信息化主管部門(mén)組織相關(guān)方管理者、技術(shù)負(fù)責(zé)人、信息安全專家和用戶組成專

家組，對(duì)系統(tǒng)進(jìn)行專項(xiàng)安全評(píng)估。評(píng)估通過(guò)后，專家組出具評(píng)估報(bào)告，信息化主管部門(mén)審核并做好文檔

備案，逐級(jí)批準(zhǔn)后方可啟用。

5.1.4項(xiàng)目評(píng)估

信息化項(xiàng)目建設(shè)中以應(yīng)用軟件建設(shè)為主的項(xiàng)目試運(yùn)行時(shí)間不少于六個(gè)月；以硬件建設(shè)為主的項(xiàng)目試

運(yùn)行時(shí)間不少于三個(gè)月。試運(yùn)行期間若出現(xiàn)質(zhì)量問(wèn)題，經(jīng)處理解決后，試運(yùn)行時(shí)間必須做相應(yīng)延長(zhǎng)。

對(duì)管理應(yīng)用系統(tǒng)類項(xiàng)目，可視情況進(jìn)行項(xiàng)目實(shí)用化驗(yàn)收與鑒定，系統(tǒng)需求功能100%的實(shí)現(xiàn)；系統(tǒng)業(yè)

務(wù)數(shù)據(jù)100%的加載；系統(tǒng)功能100%的應(yīng)用；系統(tǒng)安全隱患100%消除。

為降低項(xiàng)目建設(shè)的隨意性，避免重復(fù)投資，提高項(xiàng)目建設(shè)質(zhì)量，項(xiàng)目建設(shè)應(yīng)統(tǒng)籌考慮至少未來(lái)三年

的業(yè)務(wù)需求?？⒐を?yàn)收通過(guò)的項(xiàng)目，原則上三年內(nèi)不得續(xù)建。

5.1.5應(yīng)用系統(tǒng)下線

企業(yè)信息化主管部門(mén)負(fù)責(zé)應(yīng)用系統(tǒng)的下線管理。

8

應(yīng)用系統(tǒng)如需下線時(shí)，應(yīng)用系統(tǒng)業(yè)務(wù)部門(mén)負(fù)責(zé)提交《應(yīng)用軟件系統(tǒng)停用申請(qǐng)表》（見(jiàn)附錄A.8）,

信息化主管部門(mén)根據(jù)下線申請(qǐng)表做好應(yīng)用系統(tǒng)的各項(xiàng)準(zhǔn)備工作，包括數(shù)據(jù)備份,系統(tǒng)備份等工作。

涉及新老系統(tǒng)過(guò)渡的應(yīng)用系統(tǒng)，下線前，業(yè)務(wù)部門(mén)負(fù)責(zé)新老系統(tǒng)數(shù)據(jù)遷移、并行運(yùn)行及應(yīng)用順利過(guò)

渡，為老應(yīng)用系統(tǒng)下線提供條件。

涉及新老系統(tǒng)過(guò)渡的應(yīng)用系統(tǒng)，完成新老應(yīng)用系統(tǒng)順利過(guò)渡及老應(yīng)用系統(tǒng)下線的各項(xiàng)準(zhǔn)備工作后，

應(yīng)用管理員組織應(yīng)用系統(tǒng)運(yùn)維服務(wù)商完成老應(yīng)用系統(tǒng)的下線及新應(yīng)用系統(tǒng)的正式上線運(yùn)行及推廣工作。

涉及新老系統(tǒng)過(guò)渡的應(yīng)用系統(tǒng)，老系統(tǒng)正式下線后，信息化主管部門(mén)負(fù)責(zé)服務(wù)器及網(wǎng)絡(luò)資源的回收。

5.2網(wǎng)絡(luò)信息運(yùn)維

5.2.1人員管理

5.2.1.1網(wǎng)絡(luò)信息安全人員管理

應(yīng)指定或授權(quán)專門(mén)的部門(mén)或人員負(fù)責(zé)網(wǎng)絡(luò)信息安全人員錄用。對(duì)被錄用人的身份、背景、專業(yè)資格

和資質(zhì)等進(jìn)行審查，對(duì)其所具有的技術(shù)技能進(jìn)行考核，并簽署保密協(xié)議。

應(yīng)嚴(yán)格規(guī)范人員離崗過(guò)程，及時(shí)終止離崗員工的所有訪問(wèn)權(quán)限。應(yīng)取回各種身份證件、鑰匙、徽章

等以及機(jī)構(gòu)提供的軟硬件設(shè)備。

對(duì)于關(guān)鍵崗位人員，應(yīng)從內(nèi)部人員中選拔，并簽署崗位安全協(xié)議。關(guān)鍵事務(wù)崗位應(yīng)配備多人同時(shí)管

理。關(guān)鍵崗位人員離崗須承諾調(diào)離后的保密義務(wù)后方可離開(kāi)。

5.2.1.2外委人員管理

外委人員應(yīng)具備相應(yīng)的專業(yè)技能，熟悉信息系統(tǒng)，具有較強(qiáng)的責(zé)任心和專業(yè)素養(yǎng)。

外委人員訪問(wèn)重要工作區(qū)域應(yīng)提出書(shū)面申請(qǐng)，批準(zhǔn)后由專人全程陪同或監(jiān)督，并登記備案。

對(duì)外委人員允許訪問(wèn)的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容應(yīng)進(jìn)行書(shū)面的規(guī)定，且應(yīng)簽訂保密協(xié)議，并

按照規(guī)定執(zhí)行。

5.2.2培訓(xùn)教育管理

應(yīng)對(duì)公司員工進(jìn)行網(wǎng)絡(luò)安全意識(shí)教育。每年應(yīng)至少組織一次全員范圍內(nèi)的信息安全培訓(xùn)，公司全員

應(yīng)了解信息安全相關(guān)政策法規(guī)，具備信息安全意識(shí)及基礎(chǔ)防護(hù)能力。

應(yīng)對(duì)專業(yè)人員進(jìn)行崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)I。專業(yè)人員應(yīng)每年至少參加兩次信息安全專業(yè)

技術(shù)培訓(xùn)，專業(yè)人員應(yīng)掌握信息安全政策法規(guī)，掌握信息安全理論與技術(shù)規(guī)范。

應(yīng)對(duì)教育和培訓(xùn)的情況和結(jié)果進(jìn)行記錄并歸檔保存。

5.2.3訪問(wèn)控制

5.2.3.1物理訪問(wèn)管理

應(yīng)對(duì)機(jī)房劃分區(qū)域管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過(guò)度

區(qū)域。

重要區(qū)域應(yīng)配置電子門(mén)禁系統(tǒng)，控制、鑒別和記錄進(jìn)出的人員。

進(jìn)入機(jī)房的來(lái)訪人員應(yīng)經(jīng)過(guò)申請(qǐng)和審批流程，并限制和監(jiān)控活動(dòng)范圍。

5.2.3.2邏輯訪問(wèn)管理

應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，啟動(dòng)訪問(wèn)控制功能。

應(yīng)根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許、拒絕訪問(wèn)的能力，控制粒度為端口級(jí)。

9

應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET.SMTP、POP3等協(xié)議命令級(jí)

的控制。

應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接，且限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。

5.2.3.3密碼權(quán)限管理

企業(yè)應(yīng)對(duì)使用信息系統(tǒng)的用戶分配賬戶和權(quán)限。

應(yīng)重命名和刪除默認(rèn)賬戶，修改默認(rèn)賬戶的默認(rèn)口令。及時(shí)刪除或停用多余的、過(guò)期的賬戶，不應(yīng)

在系統(tǒng)中使用共享賬戶。

應(yīng)根據(jù)用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限。用戶權(quán)

限變更需要按《權(quán)限變更申請(qǐng)表》（附錄A.12）經(jīng)過(guò)相關(guān)審批后方可執(zhí)行。

系統(tǒng)口令應(yīng)由數(shù)字、字符和特殊字符組成，密碼長(zhǎng)度不能少于8個(gè)字符，并應(yīng)定期更換，更換間隔

應(yīng)小于三個(gè)月。

5.2.3.4桌面終端管理

信息化主管部門(mén)應(yīng)負(fù)責(zé)用戶計(jì)算機(jī)設(shè)備的操作系統(tǒng)和公司標(biāo)準(zhǔn)應(yīng)用軟件的安裝、設(shè)置和管理。操作

系統(tǒng)、辦公類軟件、防病毒軟件、各類業(yè)務(wù)管理軟件等應(yīng)使用統(tǒng)一推廣使用的軟件，不應(yīng)擅自卸載、改

動(dòng)設(shè)置。

在工作中不應(yīng)下載、安裝、使用未經(jīng)許可的應(yīng)用軟件以及與工作無(wú)關(guān)的軟件。因工作原因需要安裝

其他軟件的，應(yīng)填寫(xiě)《計(jì)算機(jī)終端維護(hù)申請(qǐng)表》（見(jiàn)附表A.1）提交至信息化主管部門(mén)。凡私自安裝或

使用盜版軟件者，一經(jīng)發(fā)現(xiàn)將給予嚴(yán)肅處理，且由此引出的版權(quán)糾紛及相關(guān)賠償責(zé)任，由該計(jì)算機(jī)使用

人或所在部門(mén)負(fù)完全責(zé)任。

企業(yè)為員工配置的計(jì)算機(jī)應(yīng)作為工作中的必要工具，不應(yīng)使用計(jì)算機(jī)來(lái)進(jìn)行娛樂(lè)活動(dòng)等與工作無(wú)關(guān)

的事情。計(jì)算機(jī)用戶應(yīng)定期對(duì)計(jì)算機(jī)進(jìn)行檢查和清理工作，刪除無(wú)用的文件。

計(jì)算機(jī)用戶不得擅自打開(kāi)計(jì)算機(jī)設(shè)備的外殼，不得插拔、更換、添加計(jì)算機(jī)設(shè)備硬件、重裝或恢復(fù)

操作系統(tǒng)、格式化硬盤(pán)等操作，禁止帶電接插各種電纜和觸摸打印頭。

5.2.3.5接入管理

XXX公司所屬各單位在接入XXX公司廣域網(wǎng)前，應(yīng)向XXX公司信息化主管部門(mén)以書(shū)面形式遞交廣域網(wǎng)

接入申請(qǐng)，由XXX公司遞交集團(tuán)公司科技信息部審批后。在接入時(shí)，應(yīng)配置好接入路由器和邊界防火墻，

并與線路運(yùn)營(yíng)商一并完成線路調(diào)試工作。接入后，網(wǎng)內(nèi)設(shè)備的變更應(yīng)報(bào)XXX公司信息化主管部門(mén)審批。

XXX公司所屬各單位在接入XXX公司廣域網(wǎng)后第一次正式運(yùn)行前，應(yīng)提前三日向XXX公司匯報(bào)，并由

XXX公司向集團(tuán)科技信息部申請(qǐng)聯(lián)調(diào)，聯(lián)調(diào)正常后方可正式投入使用。

XXX公司廣域網(wǎng)上所有節(jié)點(diǎn)的IP地址由XXX公司按集團(tuán)公司要求統(tǒng)一負(fù)責(zé)分配使用，未經(jīng)集團(tuán)公司科

技信息部和XXX公司授權(quán)、分配IP地址的網(wǎng)絡(luò)節(jié)點(diǎn)不允許進(jìn)行接入。接入后的IP地址不允許隨意更改。

XXX公司所屬各單位廣域網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)、互連方式等的改建、擴(kuò)建方案必須上報(bào)XXX公司信息化主管

部門(mén)，經(jīng)XXX公司審查后交集團(tuán)公司科技信息部審批方可實(shí)施，以確保廣域網(wǎng)的互聯(lián)和正常運(yùn)行。

5.2.4日志管理

企業(yè)應(yīng)定期檢查服務(wù)器、信息化及網(wǎng)絡(luò)安全設(shè)備的日志信息，及時(shí)發(fā)現(xiàn)設(shè)備異常狀況，采取措施。

有日志審計(jì)系統(tǒng)的，應(yīng)將審計(jì)系統(tǒng)的設(shè)備配置盡量完善，屏蔽被監(jiān)測(cè)設(shè)備的正常信息，防止忽略異常信

息。

對(duì)于非終端設(shè)備，應(yīng)采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相

關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月。

10

5.2.5數(shù)據(jù)、資料

5.2.5.1數(shù)據(jù)安全管理

企業(yè)在數(shù)據(jù)收集、存儲(chǔ)、傳輸、使用、備份和銷毀的各個(gè)環(huán)節(jié)，均需制定完備的安全策略，防止數(shù)

據(jù)的泄露、篡改和失真等不安全情況發(fā)生。

通過(guò)對(duì)數(shù)據(jù)存儲(chǔ)設(shè)備的場(chǎng)所管理及存儲(chǔ)設(shè)備的管理，保證數(shù)據(jù)的物理安全。

應(yīng)采取合適的技術(shù)手段，保證數(shù)據(jù)的傳輸安全。重要及涉密數(shù)據(jù)在傳輸時(shí)需采取加密手段，禁止涉

密數(shù)據(jù)直接通過(guò)互聯(lián)網(wǎng)傳遞。

信息系統(tǒng)應(yīng)具備嚴(yán)格的身份驗(yàn)證手段，有效杜絕未授權(quán)人員的數(shù)據(jù)訪問(wèn)行為。對(duì)于集中部署，多級(jí)

使用的信息系統(tǒng)，宜采用分級(jí)授權(quán)的方式，確保相關(guān)人員數(shù)據(jù)訪問(wèn)權(quán)限準(zhǔn)確。

相關(guān)數(shù)據(jù)管理部門(mén)應(yīng)做好數(shù)據(jù)訪問(wèn)權(quán)限管理工作，對(duì)授權(quán)用戶須有詳細(xì)記錄，在人員崗位變動(dòng)時(shí)，

及時(shí)調(diào)整數(shù)據(jù)訪問(wèn)權(quán)限。

對(duì)委托外部單位進(jìn)行維護(hù)的信息系統(tǒng)，系統(tǒng)各企業(yè)應(yīng)制定嚴(yán)格的維護(hù)管理要求，采取措施嚴(yán)格控制

數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)限，防止數(shù)據(jù)的非法訪問(wèn)和數(shù)據(jù)泄露。

信息系統(tǒng)管理員在對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行維護(hù)操作時(shí)，應(yīng)提前做好保證數(shù)據(jù)安全的措施，禁止使用數(shù)據(jù)庫(kù)

工具對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行添加、修改或刪除。

存儲(chǔ)有保密數(shù)據(jù)的筆記本電腦、移動(dòng)硬盤(pán)、U盤(pán)、光盤(pán)等移動(dòng)設(shè)備，應(yīng)提前制定防止丟失的安全控

制措施；在使用完畢后，及時(shí)將數(shù)據(jù)清除。

5.2.5.2資料管理

信息化及網(wǎng)絡(luò)安全的資料包含但不限于如下：

?臺(tái)賬資料

?管理制度、操作規(guī)程

?拓?fù)鋱D

?設(shè)備配置信息

?項(xiàng)目建設(shè)過(guò)程資料

?巡檢、操作記錄

?日志

信息化主管部門(mén)應(yīng)對(duì)信息技術(shù)資料實(shí)行分類管理，重要技術(shù)資料應(yīng)有副本并異地存放。

任何部門(mén)和個(gè)人未經(jīng)信息化主管部門(mén)同意不得將企業(yè)內(nèi)所使用的信息技術(shù)資料傳遞給外單位或個(gè)

人，如工作需要，借閱、復(fù)制信息技術(shù)資料應(yīng)履行必要的審批手續(xù)。

報(bào)廢及銷毀信息技術(shù)資料應(yīng)由信息化主管部門(mén)批準(zhǔn)，并登記備案。

在存儲(chǔ)更新頻率較高的信息化及網(wǎng)絡(luò)安全資料時(shí)，宜使用不接入任何網(wǎng)絡(luò)的專用計(jì)算機(jī)并對(duì)其中資

料進(jìn)行透明加密，由企業(yè)信息化部門(mén)對(duì)其中資料進(jìn)行更新、管理。

5.2.5.3介質(zhì)管理

應(yīng)建立介質(zhì)安全管理制度，對(duì)介質(zhì)的存放環(huán)境、使用、維護(hù)和銷毀方面做出規(guī)定。

應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對(duì)各類介質(zhì)進(jìn)行控制和保護(hù)，并實(shí)行存儲(chǔ)環(huán)境專人管理。

應(yīng)對(duì)介質(zhì)在物理傳輸過(guò)程中的人員選擇、打包、交付等情況進(jìn)行控制，對(duì)介質(zhì)歸檔和查詢等進(jìn)行登

記記錄，并根據(jù)存檔介質(zhì)的目錄清單定期盤(pán)點(diǎn)。

應(yīng)對(duì)存儲(chǔ)介質(zhì)的使用過(guò)程、送出維修以及銷毀等進(jìn)行嚴(yán)格的管理，對(duì)帶出工作環(huán)境的存儲(chǔ)介質(zhì)進(jìn)

行內(nèi)容加密和監(jiān)控管理，對(duì)送出維修或銷毀的介質(zhì)應(yīng)首先清除介質(zhì)中的敏感數(shù)據(jù)，對(duì)保密性較高的存儲(chǔ)

介質(zhì)未經(jīng)批準(zhǔn)不得自行銷毀。

11

應(yīng)根據(jù)數(shù)據(jù)備份的需要對(duì)某些介質(zhì)實(shí)行異地存儲(chǔ)，存儲(chǔ)地的環(huán)境要求和管理方法應(yīng)與本地相同。

應(yīng)對(duì)重要介質(zhì)中的數(shù)據(jù)和軟件采取加密存儲(chǔ)，并根據(jù)所承載數(shù)據(jù)和軟件的重要程度對(duì)介質(zhì)進(jìn)行分類

標(biāo)識(shí)管理。

5.2.6系統(tǒng)監(jiān)控

5.2.6.1資產(chǎn)臺(tái)賬

企業(yè)應(yīng)按照XX集團(tuán)臺(tái)賬模板（見(jiàn)附錄A.2至A.5）對(duì)信息化設(shè)備、已上線的應(yīng)用系統(tǒng)及信息化終端等

設(shè)備設(shè)施建立臺(tái)賬。

5.2.6.2服務(wù)水平管理

企業(yè)的系統(tǒng)管理員應(yīng)對(duì)信息系統(tǒng)提供的服務(wù)水平進(jìn)行評(píng)估，為系統(tǒng)提供服務(wù)質(zhì)量的好壞進(jìn)行判斷,

從而預(yù)防意外故障。其中包括：

?系統(tǒng)可用性

?系統(tǒng)性能指標(biāo)

?業(yè)務(wù)應(yīng)答時(shí)間

5.2.6.3日常巡檢

應(yīng)定期對(duì)系統(tǒng)進(jìn)行巡檢，檢查內(nèi)容主要包括：

?機(jī)房環(huán)境（溫濕度、清潔）

?設(shè)備硬件運(yùn)行狀況（各指示燈）

?軟件平臺(tái)運(yùn)行狀況（系統(tǒng)健康檢查）

?系統(tǒng)鏈路狀況（通斷）

5.2.6.4系統(tǒng)健康檢查

對(duì)系統(tǒng)健康狀態(tài)進(jìn)行檢查，主要包括：

?CPU整體使用百分比

?用戶態(tài)使用百分比

?內(nèi)核態(tài)使用百分比

?每個(gè)CPU使用情況

?磁盤(pán)讀寫(xiě)吞吐

?磁盤(pán)讀寫(xiě)次數(shù)

?內(nèi)存使用百分比

?網(wǎng)卡出入帶寬

?網(wǎng)卡出入包量

?TCP狀態(tài)監(jiān)控

5.2.6.5電源管理

機(jī)房應(yīng)在機(jī)房供電線路上設(shè)置穩(wěn)壓器及電壓防護(hù)設(shè)備。

應(yīng)設(shè)置UPS,至少滿足主設(shè)備在斷電情況下的正常運(yùn)行要求。

應(yīng)設(shè)置冗余或并行的電力電纜線路為信息系統(tǒng)供電。

5.2.7配置

12

5.2.7.1系統(tǒng)配置管理

在網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備正式上線運(yùn)行時(shí)，應(yīng)將其配置導(dǎo)出，并存儲(chǔ)在專用的移動(dòng)介質(zhì)中。

企業(yè)應(yīng)對(duì)配置信息采用一套規(guī)范的命名規(guī)則，以區(qū)分各時(shí)期不同的配置信息。如在保電等重要時(shí)期

的運(yùn)行配置和平常時(shí)期的運(yùn)行配置。

5.2.7.2系統(tǒng)運(yùn)行平臺(tái)、運(yùn)行環(huán)境管理

企業(yè)應(yīng)根據(jù)系統(tǒng)系統(tǒng)臺(tái)賬，收集各應(yīng)用系統(tǒng)運(yùn)行的環(huán)境及配置信息。應(yīng)收集的要素包括但不限于以

下方面：

?硬件設(shè)備配置要求

?操作系統(tǒng)

?數(shù)據(jù)庫(kù)系統(tǒng)

?Web應(yīng)用

?運(yùn)行庫(kù)

?配置信息

?安裝說(shuō)明書(shū)

對(duì)于軟件程序及電子版的說(shuō)明書(shū)應(yīng)針對(duì)應(yīng)用系統(tǒng)使用專用的移動(dòng)存儲(chǔ)介質(zhì)。運(yùn)行在虛擬化中的應(yīng)用

系統(tǒng)應(yīng)在運(yùn)行時(shí)克隆一份，然后存儲(chǔ)在專用的移動(dòng)存儲(chǔ)介質(zhì)中。

5.3信息化與網(wǎng)絡(luò)安全

5.3.1網(wǎng)絡(luò)信息安全組織

參見(jiàn)第2章內(nèi)容。

5.3.2網(wǎng)絡(luò)信息安全機(jī)制

5.3.2.1系統(tǒng)分級(jí)

企業(yè)應(yīng)根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》自主確定信息系統(tǒng)的安全保護(hù)等級(jí)，如新建信息系

統(tǒng)在設(shè)計(jì)、規(guī)劃階段應(yīng)確定安全保護(hù)等級(jí)。其中，信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)：

?第一級(jí)（自主保護(hù)級(jí)）：信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益

造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益.

?第二級(jí)（指導(dǎo)保護(hù)級(jí)）：信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益

產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。

?第三級(jí)（監(jiān)督保護(hù)級(jí)）：信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，

或者對(duì)國(guó)家安全造成損害。

?第四級(jí)（強(qiáng)制保護(hù)級(jí)）：信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重

損害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。

?第五級(jí)（?？乇Ｗo(hù)級(jí)）：信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。

5.3.2.2網(wǎng)絡(luò)信息安全策略

企業(yè)應(yīng)根據(jù)系統(tǒng)的等級(jí)，提出相應(yīng)的系統(tǒng)的安全保護(hù)需求，確定安全方針，制定安全策略。

從技術(shù)角度，應(yīng)從物理環(huán)境安全、通信網(wǎng)絡(luò)安全、網(wǎng)絡(luò)邊界安全、主機(jī)設(shè)備安全和應(yīng)用數(shù)據(jù)安全的

角度對(duì)系統(tǒng)實(shí)施安全技術(shù)管理。

13

從管理角度，應(yīng)從總體方針及安全策略、網(wǎng)絡(luò)安全管理制度、技術(shù)標(biāo)準(zhǔn)及操作規(guī)程、記錄及表單的

角度對(duì)系統(tǒng)進(jìn)行安全管理。

5.3.3外委安全

外委單位應(yīng)具有獨(dú)立法人資格及相關(guān)資質(zhì)，擁有良好的商業(yè)信譽(yù)和經(jīng)營(yíng)實(shí)力，具備與信息系統(tǒng)運(yùn)維

工作相符的資質(zhì)和能力。

在與外委單位簽訂相關(guān)協(xié)議時(shí)，應(yīng)明確工作范圍及工作內(nèi)容，并同時(shí)簽訂保密協(xié)議。

在委托進(jìn)行軟件開(kāi)發(fā)時(shí)，應(yīng)確保以下事項(xiàng)：

?檢測(cè)其中可能存在的惡意代碼；

?要求提供軟件設(shè)計(jì)文檔和設(shè)計(jì)指南；

?要求提供源代碼，并審查軟件中可能存在的后門(mén)和隱蔽信道。

在委托硬件集成項(xiàng)目實(shí)施時(shí)，應(yīng)確保以下事項(xiàng)：

?指定或授權(quán)部門(mén)或人員負(fù)責(zé)實(shí)施過(guò)程的管理；

?制定實(shí)施方案控制項(xiàng)目實(shí)施過(guò)程；

?較大的項(xiàng)目通過(guò)第三方監(jiān)理控制實(shí)施過(guò)程。

5.3.4機(jī)房安全

機(jī)房應(yīng)選擇在具有反震、防風(fēng)和防雨等能力的建筑內(nèi)。避免設(shè)置在高層或地下室，以及用水設(shè)備的

下層或隔壁。

機(jī)房應(yīng)具備防盜竊、防破壞、防雷擊、防火、防水防潮、防靜電、防電磁的功能或措施。

機(jī)房?jī)?nèi)應(yīng)設(shè)置溫度、濕度自動(dòng)調(diào)節(jié)設(shè)備設(shè)施，使溫濕度變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。

機(jī)房?jī)?nèi)監(jiān)控?cái)z像頭的布置能保證其錄像能夠辨別進(jìn)入人員和操作設(shè)備行為，信息機(jī)房外樓道應(yīng)安裝

監(jiān)控?cái)z像頭。視頻監(jiān)控?cái)?shù)據(jù)保存時(shí)間不應(yīng)少于3個(gè)月，門(mén)禁數(shù)據(jù)保存時(shí)間不應(yīng)少于6個(gè)月。

5.3.5終端安全

信息化主管部門(mén)應(yīng)建立計(jì)算機(jī)病毒防控機(jī)制，所有終端都應(yīng)安裝有統(tǒng)一的企業(yè)版防病毒軟件，并負(fù)

責(zé)對(duì)病毒庫(kù)、主程序版本進(jìn)行升級(jí)和實(shí)施病毒監(jiān)控管理，強(qiáng)制實(shí)施統(tǒng)一的防病毒策略。

未安裝防病毒軟件的計(jì)算機(jī)用戶應(yīng)聯(lián)系信息主管部門(mén)進(jìn)行安裝，且不應(yīng)以任何方式卸載防病毒軟件、

停止防病毒服務(wù)和更改防病毒軟件配置。發(fā)現(xiàn)計(jì)算機(jī)中病毒時(shí)應(yīng)立刻斷開(kāi)網(wǎng)絡(luò)連接，并及時(shí)報(bào)告信息主

管部門(mén)。筆記本電腦等移動(dòng)終端，應(yīng)定期接入局域網(wǎng)進(jìn)行病毒庫(kù)更新和查殺病毒。

外來(lái)移動(dòng)存儲(chǔ)介質(zhì)不應(yīng)內(nèi)網(wǎng)計(jì)算機(jī)上使用。未安裝防病毒軟件的計(jì)算機(jī)不應(yīng)接入內(nèi)網(wǎng)。信息化主管

部門(mén)應(yīng)定期檢查各部門(mén)的計(jì)算機(jī)防病毒工作，并通報(bào)檢查結(jié)果。

信息化主管部門(mén)應(yīng)對(duì)防病毒軟件制定相應(yīng)的實(shí)施策略，對(duì)所有計(jì)算機(jī)實(shí)施實(shí)時(shí)監(jiān)控掃描，客戶機(jī)可

以根據(jù)需要進(jìn)行手動(dòng)掃描；每周進(jìn)行預(yù)設(shè)病毒掃描并生成報(bào)告。

5.3.6安全配置策略

5.3.6.1Windows主機(jī)安全策略

賬戶策略-〉密碼策略：

?“密碼必須符合復(fù)雜性要求”選擇“已啟動(dòng)”

?“密碼長(zhǎng)度最小值”設(shè)置為“8個(gè)字符”

?“強(qiáng)制密碼歷史”設(shè)置為“5個(gè)記住的密碼”

?“密碼最長(zhǎng)存留期”設(shè)置為“90天”

14

?“密碼最短使用期限”是否是設(shè)置為“2天”

本地策略->審核策略：

?設(shè)置為成功和失敗都審核

本地策略->用戶權(quán)限分配：

?“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置為“只指派給Administrators組”

?“關(guān)閉系統(tǒng)”設(shè)置為“只指派給Administrators組”

?“取得文件或其它對(duì)象的所有權(quán)”設(shè)置為“只指派給Administrators組”

本地策略->安全選項(xiàng)：

?“網(wǎng)絡(luò)訪問(wèn)：不允許SAM帳戶的匿名枚舉”設(shè)置為'‘已啟用"

?“交互式登錄：提示用戶在密碼過(guò)期之前進(jìn)行更改”設(shè)置為“15天”

?“域成員：”禁用計(jì)算機(jī)帳戶密碼更改”設(shè)置為“已禁用”

?“賬戶鎖定閥值”設(shè)置為10次無(wú)效登錄

?“賬戶鎖定時(shí)間”設(shè)置為3分鐘

?“復(fù)位帳戶鎖定計(jì)數(shù)器”設(shè)置為“3分鐘之后”

?“允許本地登錄”右擊“屬性”請(qǐng)根據(jù)系統(tǒng)和業(yè)務(wù)的需要添加用戶或組本地登錄此計(jì)算

機(jī)

?“交互式登錄：不需要按ctrl+alt+del”，在“屬性”中設(shè)置為“已禁用”

?“交互式登錄：需要域控制器身份驗(yàn)證以對(duì)工作站進(jìn)行解鎖”設(shè)置為“已啟用”

?“網(wǎng)絡(luò)安全：在超過(guò)登錄時(shí)間后強(qiáng)制注銷”設(shè)置為“已啟用”錄時(shí)間后強(qiáng)制注銷"Microsoft

網(wǎng)絡(luò)服務(wù)器”設(shè)置為“在掛起會(huì)話之前所需的空閑時(shí)間”為15分鐘

?“交互登錄：不顯示上次的用戶名”配置為''已啟用"

?“關(guān)機(jī)：清除虛擬內(nèi)存頁(yè)面文件”配置為“已啟用”

?“交互式登錄：設(shè)置可被緩存的前次登錄個(gè)數(shù)為5”

?“交互式登陸標(biāo)題設(shè)置為警告”

?”交互式登陸文本設(shè)置請(qǐng)勿非法登陸本系統(tǒng)”

管理工具->事件查看器

?日志大小設(shè)置不小于“8192KB”最大的日志尺寸時(shí)，“按需要改寫(xiě)事件”

5.3.6.2Linux主機(jī)安全策略

注：在此以CentOS7為例，其他Linux版本可參照。

口令長(zhǎng)度至少8位，包含小寫(xiě)字母和特殊字符。

〃修改/etc/security/pam.pwcheck.conf的參數(shù)

Minlen=8

Lcredit=1

Ocredit=1

連續(xù)登錄6次失敗，鎖定該賬號(hào)。Root除外。

〃將以下代碼添加到/etc/pam.d/sshd

authrequiredpam_tally.sono_magic_root

accountrequiredpamtally,sodeny=6nomagicroot

口令90天內(nèi)更換。

15

〃修改/etc/login.defs的參數(shù)

PASSMAXDAYS90

PASS_MIN_DAYS10

PASSWARNAGE7

鎖定與運(yùn)維無(wú)關(guān)的賬號(hào)。

在root權(quán)限下執(zhí)行以下命令

passwd-1"停用的賬號(hào)名稱"〃一般有Ip,nuucp,hpdb,sync,adm

最小權(quán)限配置關(guān)鍵文件。

〃執(zhí)行以下代碼

chmod644/etc/passwd

chmod600/etc/shadow

chmod644/etc/group

chmod644/etc/service

chmod644/etc/login.defs

chmod600/etc/xinetd.conf

chmod600/etc/security

chmod600/etc/ssh/ssh_config

新建的賬戶的缺省權(quán)限最小話

〃將以下語(yǔ)句增加到/etc/profile

Umask027

5.3.7等級(jí)保護(hù)

企業(yè)應(yīng)當(dāng)按照《信息安全等級(jí)保護(hù)管理辦法》及《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》具體實(shí)施等級(jí)

保護(hù)工作。按《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》確定信息系統(tǒng)的安全保護(hù)等級(jí)。跨省或者聯(lián)網(wǎng)運(yùn)行的

信息系統(tǒng)可以由XXX公司或集團(tuán)統(tǒng)一確定安全保護(hù)等級(jí)。

信息系統(tǒng)的安全保護(hù)等級(jí)確定后，企業(yè)應(yīng)當(dāng)按照國(guó)家信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，使用

符合國(guó)家有關(guān)規(guī)定，滿足信息系統(tǒng)安全保護(hù)等級(jí)需求的信息技術(shù)產(chǎn)品，開(kāi)展信息系統(tǒng)安全建設(shè)或者改建

工作。

在信息系統(tǒng)建設(shè)過(guò)程中，企業(yè)應(yīng)當(dāng)按照《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB17859T999)、

《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等技術(shù)標(biāo)準(zhǔn)，參照《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》

(GB/T20271-2006),《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》(GB/T20270-2006)＞《信息安全技

術(shù)操作系統(tǒng)安全技術(shù)要求》(GB/T20272-2006),《信息安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求》

(GB/T20273-2006),《信息安全技術(shù)服務(wù)器技術(shù)要求》、《信息安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級(jí)

技術(shù)要求》(GA/T671-2006)等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級(jí)要求的信息安全設(shè)施。應(yīng)當(dāng)參照《信息安

全技術(shù)信息系統(tǒng)安全管理要求》(GB/T20269-2006),《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》

(GB/T20282-2006),《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等管理規(guī)范，制定并落實(shí)符合本系統(tǒng)安全保

護(hù)等級(jí)要求的安全管理制度。

信息系統(tǒng)建設(shè)完成后，企業(yè)應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測(cè)評(píng)機(jī)構(gòu)，依據(jù)《信息系統(tǒng)安全等級(jí)保

護(hù)測(cè)評(píng)要求》等技術(shù)標(biāo)準(zhǔn)，定期對(duì)信息系統(tǒng)安全等級(jí)狀況開(kāi)展等級(jí)測(cè)評(píng)。第二級(jí)信息系統(tǒng)應(yīng)當(dāng)每?jī)赡曛?/p>

少進(jìn)行一次等級(jí)測(cè)評(píng)，第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng)。

16

企業(yè)應(yīng)當(dāng)定期對(duì)信息系統(tǒng)安全狀況、安全保護(hù)制度及措施的落實(shí)情況進(jìn)行自查。第二級(jí)信息系統(tǒng)應(yīng)

當(dāng)每?jī)赡曛辽龠M(jìn)行一次自查，第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次自查。

經(jīng)測(cè)評(píng)或者自查，信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級(jí)要求的，企業(yè)應(yīng)當(dāng)制定方案進(jìn)行整改。

已運(yùn)營(yíng)（運(yùn)行）或新建的第二級(jí)以上信息系統(tǒng)，應(yīng)當(dāng)在安全保護(hù)等級(jí)確定后30日內(nèi)，企業(yè)應(yīng)到所在

地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。

辦理信息系統(tǒng)安全保護(hù)等級(jí)備案手續(xù)時(shí)，應(yīng)當(dāng)填寫(xiě)《信息系統(tǒng)安全等級(jí)保護(hù)備案表》，第三級(jí)以上

信息系統(tǒng)應(yīng)當(dāng)同時(shí)提供以下材料：

?系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說(shuō)明；

?系統(tǒng)安全組織機(jī)構(gòu)和管理制度；

?系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案；

?系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明；

?測(cè)評(píng)后符合系統(tǒng)安全保護(hù)等級(jí)的技術(shù)檢測(cè)評(píng)估報(bào)告；

?信息系統(tǒng)安全保護(hù)等級(jí)專家評(píng)審意見(jiàn)；

?主管部門(mén)審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級(jí)的意見(jiàn)。

企業(yè)應(yīng)當(dāng)接受公安機(jī)關(guān)、國(guó)家指定的專門(mén)部門(mén)的安全監(jiān)督、檢查、指導(dǎo)，如實(shí)向公安機(jī)關(guān)、國(guó)家指

定的專門(mén)部門(mén)提供下列有關(guān)信息安全保護(hù)的信息資料及數(shù)據(jù)文件：

?信息系統(tǒng)備案事項(xiàng)變更情況；

?安全組織、人員的變動(dòng)情況；

?信息安全管理制度、措施變更情況；

?信息系統(tǒng)運(yùn)行狀況記錄；

?運(yùn)營(yíng)、使用單位及主管部門(mén)定期對(duì)信息系統(tǒng)安全狀況的檢查記錄；

?對(duì)信息系統(tǒng)開(kāi)展等級(jí)測(cè)評(píng)的技術(shù)測(cè)評(píng)報(bào)告；

?信息安全產(chǎn)品使用的變更情況；

?信息安全事件應(yīng)急預(yù)案，信息安全事件應(yīng)急處置結(jié)果報(bào)告；

?信息系統(tǒng)安全建設(shè)、整改結(jié)果報(bào)告。

第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)選擇使用符合以下條件的信息安全產(chǎn)品：

?產(chǎn)品研制、生產(chǎn)單位是由XXXXXX公民、法人投資或者國(guó)家投資或者控股的，在中華人民

共和國(guó)境內(nèi)具有獨(dú)立的法人資格；

?產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國(guó)自主知識(shí)產(chǎn)權(quán)；

?產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無(wú)犯罪記錄；

?產(chǎn)品研制、生產(chǎn)單位聲明沒(méi)有故意留有或者設(shè)置漏洞、后門(mén)、木馬等程序和功能；

?對(duì)國(guó)家安全、社會(huì)秩序、公共利益不構(gòu)成危害；

?對(duì)已列入信息安全產(chǎn)品認(rèn)證目錄的，應(yīng)當(dāng)取得國(guó)家信息安全產(chǎn)品認(rèn)證機(jī)構(gòu)頒發(fā)的認(rèn)證證

書(shū)。

第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)選擇符合下列條件的等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)進(jìn)行測(cè)評(píng)：

?在中華人民共和國(guó)境內(nèi)注冊(cè)成立（港澳臺(tái)地區(qū)除外）；

?由XXXXXX公民投資、XXXXXX法人投資或者國(guó)家投資的企事業(yè)單位（港澳臺(tái)地區(qū)除外）；

?從事相關(guān)檢測(cè)評(píng)估工作兩年以上，無(wú)違法記錄；

?工作人員僅限于XXXXXX公民；

?法人及主要業(yè)務(wù)、技術(shù)人員無(wú)犯罪記錄；

?使用的技術(shù)裝備、設(shè)施應(yīng)當(dāng)符合本辦法對(duì)信息安全產(chǎn)品的要求；

?具有完備的保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等安全管理制度；

?對(duì)國(guó)家安全、社會(huì)秩序、公共利益不構(gòu)成威脅。

17

5.4應(yīng)急管理

5.4.1應(yīng)急管理

應(yīng)在企業(yè)統(tǒng)一的應(yīng)急預(yù)案框架下制定網(wǎng)絡(luò)信息安全應(yīng)急預(yù)案，其中應(yīng)包括啟動(dòng)條件、處理流程、系

統(tǒng)恢復(fù)流程、事后教育培訓(xùn)等。

針對(duì)不同的事件，應(yīng)制定相應(yīng)的應(yīng)急預(yù)案，且應(yīng)從人力、設(shè)備、技術(shù)和財(cái)務(wù)方面確保執(zhí)行預(yù)案時(shí)有

足夠資源保障。

應(yīng)急預(yù)案框架或?qū)ｍ?xiàng)應(yīng)急預(yù)案中，應(yīng)包括應(yīng)急小組人員名單及聯(lián)系方式、有應(yīng)急設(shè)備（軟硬件）清

單并能正常工作、有第三方技術(shù)支持人員名單及聯(lián)系方式、有應(yīng)急預(yù)案執(zhí)行所需資金并能夠落實(shí)。

針對(duì)應(yīng)急預(yù)案，應(yīng)在每次啟動(dòng)或演練后，進(jìn)行審查修訂，根據(jù)實(shí)際情況更新內(nèi)容。

5.4.2應(yīng)急演練

系統(tǒng)相關(guān)的人員應(yīng)進(jìn)行應(yīng)急預(yù)案培訓(xùn)，至少每年應(yīng)舉辦一次。

應(yīng)定期對(duì)應(yīng)急預(yù)案進(jìn)行演練，根據(jù)不同的應(yīng)急