等級(jí)保護(hù)三級(jí)信息系統(tǒng)制度清單

1、 信息系統(tǒng)信息安全等級(jí)保護(hù)-管理部分2015年12月14日注：以下所提供的材料包括制度、文檔和記錄清單。目 錄1安全管理制度31.1安全管理31.2制定和發(fā)布31.3評(píng)審和修訂32安全管理機(jī)構(gòu)42.1崗位職責(zé)文件42.2人員配備42.3授權(quán)和審批42.4溝通和合作52.5安全檢查53人員安全管理53.1人員錄用53.2人員離崗63.3人員考核63.4安全意識(shí)教育和培訓(xùn)73.5外部人員訪問管理74系統(tǒng)建設(shè)管理74.1系統(tǒng)定級(jí)74.2安全方案設(shè)計(jì)84.3產(chǎn)品采購和使用84.4自行軟件開發(fā)84.5外包軟件開發(fā)94.6工程實(shí)施94.7測(cè)試驗(yàn)收94.8系統(tǒng)交付104.9安全服務(wù)商選擇105系統(tǒng)運(yùn)維管理1

2、15.1環(huán)境管理115.2資產(chǎn)管理115.3介質(zhì)管理125.4設(shè)備管理125.5網(wǎng)絡(luò)安全管理135.6系統(tǒng)安全管理135.7惡意代碼防范管理145.8變更管理145.9備份與恢復(fù)管理145.10安全事件處置155.11應(yīng)急預(yù)案管理151 安全管理制度1.1 安全管理一、 制度1) 安全工作的總體方針、政策性文件和安全策略文件l 內(nèi)容包括機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、方針、原則和安全框架等。2) 安全管理制度l 內(nèi)容包括物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用、建設(shè)和管理等層面各類管理內(nèi)容。3) 制度體系l 包括由總體方針、安全策略、管理制度、操作規(guī)程等構(gòu)成。二、 文檔1) 日常管理操作的操作規(guī)程l 內(nèi)

3、容包括如系統(tǒng)維護(hù)手冊(cè)和用戶操作規(guī)程等1.2 制定和發(fā)布一、 制度1) 制度制定和發(fā)布要求管理文檔l 內(nèi)容包括安全管理制度的制定和發(fā)布程序、格式要求及版本編號(hào)等2) 安全管理制度文檔l 內(nèi)容包括文檔的正式發(fā)布時(shí)間，適用和發(fā)布范圍，版本標(biāo)識(shí)，管理層的簽字或單位蓋章；各項(xiàng)制度的文檔格式等等；二、 記錄1) 管理制度評(píng)審記錄l 內(nèi)容包括相關(guān)人員的評(píng)審意見。2) 安全管理制度的收發(fā)登記記錄l 內(nèi)容包括收發(fā)通過正式、有效的方式（如正式發(fā)文、領(lǐng)導(dǎo)簽署和單位蓋章等），發(fā)布范圍要求。1.3 評(píng)審和修訂一、 制度1) 修訂過的安全管理制度二、 記錄1) 安全管理制度評(píng)審記錄（修訂時(shí)）l 內(nèi)容包括相關(guān)人員的評(píng)審意見

4、，評(píng)審周期。2) 安全管理制度的檢查/評(píng)審記錄l 安全管理制度的修訂版本3) 全管理制度體系的評(píng)審記錄l 內(nèi)容包括相關(guān)人員的評(píng)審意見，評(píng)審周期2 安全管理機(jī)構(gòu)2.1 崗位職責(zé)文件一、 制度1) 部門、崗位職責(zé)文件l 內(nèi)容包括安全管理機(jī)構(gòu)的職責(zé)，機(jī)構(gòu)內(nèi)各部門的職責(zé)和分工，部門職責(zé)涵蓋物理、網(wǎng)絡(luò)和系統(tǒng)安全等各個(gè)方面；l 安全主管、安全管理各個(gè)方面的負(fù)責(zé)人、機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等各個(gè)崗位l 各個(gè)崗位的職責(zé)范圍清晰、明確；l 各個(gè)崗位人員應(yīng)具有的技能要求；2) 信息安全管理委員會(huì)職責(zé)文件l 內(nèi)容包括委員會(huì)職責(zé)和其最高領(lǐng)導(dǎo)崗位的職責(zé)；二、 記錄1) 安全管理委員會(huì)或領(lǐng)導(dǎo)小組最高

5、領(lǐng)導(dǎo)委任授權(quán)書l 內(nèi)容包括本單位主管領(lǐng)導(dǎo)的授權(quán)簽字2) 日常管理工作執(zhí)行情況的工作記錄l 內(nèi)容包括安全管理各部門和信息安全管理委員會(huì)或領(lǐng)導(dǎo)小組日常工作的執(zhí)行情況的記錄2.2 人員配備一、 制度1) 人員配備要求管理文檔l 內(nèi)容包括應(yīng)配備的一些安全管理人員，包括機(jī)房管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位l 配備專職的安全管理員；l 對(duì)一些關(guān)鍵事務(wù)的管理人員應(yīng)配備2人或2人以上共同管理，配備人員的具體要求；二、 記錄1) 安全管理各崗位人員信息表l 內(nèi)容包括機(jī)房管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位人員的信息；l 安全員要專職的（不能網(wǎng)絡(luò)管理

6、員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等崗位）；l 數(shù)據(jù)庫管理員和系統(tǒng)管理員要由不同人擔(dān)任。2.3 授權(quán)和審批一、 制度1) 審批管理制度文檔l 內(nèi)容包括審批事項(xiàng)、需逐級(jí)審批的事項(xiàng)、審批部門、批準(zhǔn)人及審批程序等，l 系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項(xiàng)的審批流程；l 定期審查、更新審批的項(xiàng)目、審批部門、批準(zhǔn)人和審查周期等；二、 文檔1) 逐級(jí)審批的文檔l 系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等關(guān)鍵活動(dòng)的審批記錄需要有批準(zhǔn)人的簽字和審批部門的蓋章。2) 關(guān)鍵活動(dòng)的審批過程記錄2.4 溝通和合作一、 記錄1) 外聯(lián)單位聯(lián)系列表l 內(nèi)容包括包含公安機(jī)關(guān)、電信公司、兄弟公司、供應(yīng)商，業(yè)界專家、專業(yè)的安

7、全公司和安全組織等外聯(lián)單位；l 說明外聯(lián)單位的名稱、聯(lián)系人、合作內(nèi)容和聯(lián)系方式等內(nèi)容。2) 組織機(jī)構(gòu)內(nèi)部人員聯(lián)系表3) 組織內(nèi)部機(jī)構(gòu)間/信息安全職能部門內(nèi)部的安全工作會(huì)議文件/記錄l 內(nèi)容包括會(huì)議內(nèi)容、會(huì)議時(shí)間、參加人員和會(huì)議結(jié)果等4) 信息安全領(lǐng)導(dǎo)小組/安全管理委員會(huì)定期例會(huì)會(huì)議文件/記錄l 內(nèi)容包括會(huì)議內(nèi)容、會(huì)議時(shí)間、參加人員、會(huì)議結(jié)果等5) 安全顧問名單及安全顧問的證明文件l 內(nèi)容包括安全顧問指導(dǎo)信息安全建設(shè)、參與安全規(guī)劃和安全評(píng)審等記錄2.5 安全檢查一、 制度1) 安全檢查管理制度文檔l 內(nèi)容包括定期進(jìn)行全面安全檢查，檢查內(nèi)容、檢查程序和檢查周期等l 檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有

8、效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等；二、 記錄1) 安全管理員定期實(shí)施安全檢查的文檔或記錄l 內(nèi)容包括包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況的檢查記錄；l 系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況檢查周期。2) 全面安全檢查報(bào)告l 內(nèi)容包括報(bào)告日期間隔，檢查周期，檢查內(nèi)容、檢查人員、檢查數(shù)據(jù)匯總表、檢查結(jié)果等的描述l 檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等；3) 安全檢查時(shí)的安全檢查表l 內(nèi)容包括安全檢查記錄和結(jié)果通告記錄，查看安全檢查記錄中記錄的檢查程序3 人員安全管理3.1 人員錄用一、 制度1) 人員錄用要求管

9、理文檔l 內(nèi)容包括錄用人員應(yīng)具備的條件，如學(xué)歷、學(xué)位要求，技術(shù)人員應(yīng)具備的專業(yè)技術(shù)水平，管理人員應(yīng)具備的安全管理知識(shí)等。二、 記錄1) 有人員錄用時(shí)對(duì)錄用人身份、背景和專業(yè)資格和資質(zhì)等進(jìn)行審查的相關(guān)文檔或記錄l 文檔或記錄中有審查內(nèi)容和審查結(jié)果。2) 人員錄用時(shí)的技能考核文檔或記錄l 內(nèi)容包括筆試和面試的記錄；l 記錄考核內(nèi)容和考核結(jié)果等。3) 保密協(xié)議l 內(nèi)容包括與技術(shù)人員簽署保密協(xié)議；l 協(xié)議具有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容。4) 崗位安全協(xié)議l 內(nèi)容包括崗位安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人簽字等。3.2 人員離崗一、 制度1) 人員離崗的管理

10、文檔l 內(nèi)容包括人員調(diào)離手續(xù)和離崗要求等二、 記錄1) 對(duì)離崗人員的安全處理記錄l 離崗人員交還身份證件、設(shè)備等的登記記錄；l 交還內(nèi)容包括各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備等。2) 按照離職程序辦理調(diào)離手續(xù)的記錄l 內(nèi)容包括調(diào)離手續(xù)、調(diào)離流程；l 按照離職程序辦理調(diào)離手續(xù)的記錄。3) 保密承諾文檔l 內(nèi)容包括保密的內(nèi)容，期限，調(diào)離人員的簽字等。3.3 人員考核一、 文檔1) 考核文檔l 內(nèi)容包括考核的對(duì)象、考核的周期；l 考核內(nèi)容要求包含安全知識(shí)、安全技能等。l 關(guān)鍵崗位人員特殊的考核內(nèi)容二、 記錄1) 人員安全審查記錄l 內(nèi)容包括審查人員包括各個(gè)崗位的人員，對(duì)關(guān)鍵崗位人員特

11、殊的安全審查內(nèi)容3.4 安全意識(shí)教育和培訓(xùn)一、 文檔1) 安全教育和培訓(xùn)計(jì)劃文檔l 不同崗位的培訓(xùn)計(jì)劃l 內(nèi)容包括培訓(xùn)方式、培訓(xùn)對(duì)象、培訓(xùn)內(nèi)容、培訓(xùn)時(shí)間和地點(diǎn)等；l 培訓(xùn)內(nèi)容是否包含信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等。2) 安全責(zé)任和懲戒措施管理文檔l 文檔包含具體的安全責(zé)任和懲戒措施。4) 信息安全教育及技能培訓(xùn)和考核管理文檔l 包括培訓(xùn)周期、培訓(xùn)方式、培訓(xùn)內(nèi)容和考核方式等相關(guān)內(nèi)容二、 記錄1) 具有安全教育和培訓(xùn)記錄l 內(nèi)容包括培訓(xùn)人員、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)果等的描述。3.5 外部人員訪問管理一、 制度1) 外部人員訪問管理文檔l 內(nèi)容包括允許外部人員訪問的范圍（區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容）3

12、.6 外部人員進(jìn)入的條件（對(duì)哪些重要區(qū)域的訪問須提出書面申請(qǐng)批準(zhǔn)后方可進(jìn)入）l 外部人員進(jìn)入的訪問控制措施（由專人全程陪同或監(jiān)督等）和外部人員離開的條件等；二、 記錄1) 外部人員訪問重要區(qū)域的登記記錄l 記錄了外部人員訪問重要區(qū)域的進(jìn)入時(shí)間、離開時(shí)間、訪問區(qū)域、訪問設(shè)備或信息及陪同人等信息。2) 外部人員訪問重要區(qū)域的批準(zhǔn)文檔l 內(nèi)容包括外部人員訪問重要區(qū)域的書面申請(qǐng)，批準(zhǔn)人允許訪問的批準(zhǔn)簽字等；4 系統(tǒng)建設(shè)管理4.1 系統(tǒng)定級(jí)一、 文檔1) 系統(tǒng)定級(jí)文檔l 信息系統(tǒng)的定級(jí)報(bào)告、備案表；l 包括明確信息系統(tǒng)的邊界和信息系統(tǒng)的安全保護(hù)等級(jí)，確定為某個(gè)安全等級(jí)的方法和理由；l 有相關(guān)部門的批準(zhǔn)蓋

13、章。2) 專家論證文檔l 專家對(duì)定級(jí)結(jié)果的論證意見。4.2 安全方案設(shè)計(jì)一、 文檔1) 系統(tǒng)的安全建設(shè)工作計(jì)劃l 包括系統(tǒng)的近期安全建設(shè)計(jì)劃和遠(yuǎn)期安全建設(shè)計(jì)劃。2) 系統(tǒng)總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等配套文件l 內(nèi)容包括主管領(lǐng)導(dǎo)批準(zhǔn)。3) 系統(tǒng)的詳細(xì)設(shè)計(jì)方案l 根據(jù)安全方案細(xì)化形成的方案：如指導(dǎo)安全系統(tǒng)建設(shè)、安全產(chǎn)品采購和使用的詳細(xì)設(shè)計(jì)方案。4) 專家論證文檔l 內(nèi)容包括相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的論證意見。5) 系統(tǒng)總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃

14、、詳細(xì)設(shè)計(jì)方案等配套文件l 包括配套文件的修訂版本或記錄。4.3 產(chǎn)品采購和使用一、 文檔1) 系統(tǒng)使用的有關(guān)信息安全產(chǎn)品符合國(guó)家的有關(guān)規(guī)定l 采購的流程；l 安全產(chǎn)品；l 安全產(chǎn)品具有相關(guān)憑證。2) 密碼產(chǎn)品的使用情況l 采購的流程；l 安全產(chǎn)品；l 密碼產(chǎn)品具有相關(guān)憑證。3) 產(chǎn)品采購管理文檔l 包括需要的產(chǎn)品性能指標(biāo)，確定產(chǎn)品的候選范圍，通過招投標(biāo)等方式確定采購產(chǎn)品及人員行為準(zhǔn)則等方面；二、 記錄1) 產(chǎn)品選型測(cè)試結(jié)果記錄、候選產(chǎn)品名單審定記錄或更新的候選產(chǎn)品名單。4.4 自行軟件開發(fā)一、 制度1) 軟件開發(fā)管理制度l 內(nèi)容包括軟件設(shè)計(jì)、開發(fā)、測(cè)試、驗(yàn)收過程的控制方法和人員行為準(zhǔn)則，明確

15、哪些開發(fā)活動(dòng)應(yīng)經(jīng)過授權(quán)、審批，明確軟件開發(fā)相關(guān)文檔的管理等。2) 代碼編寫規(guī)范l 包括代碼編寫規(guī)則等。二、 文檔1) 軟件設(shè)計(jì)的相關(guān)文檔（應(yīng)用軟件設(shè)計(jì)程序文件、源代碼文檔等）、軟件使用指南或操作手冊(cè)和維護(hù)手冊(cè)l 軟件設(shè)計(jì)相關(guān)文檔；l 軟件使用指南或操作手冊(cè)等；l 專人負(fù)責(zé)文檔保管。三、 記錄1) 對(duì)程序資源庫的修改、更新、發(fā)布進(jìn)行授權(quán)和審批的文檔或記錄l 包括批準(zhǔn)人的簽字。4.5 外包軟件開發(fā)一、 文檔1) 需求分析說明書、軟件設(shè)計(jì)說明書、軟件操作手冊(cè)、軟件源代碼文檔等軟件開發(fā)文檔和使用指南二、 記錄1) 軟件源代碼審查記錄l 包括對(duì)可能存在后門的審查結(jié)果。2) 軟件安裝之前檢測(cè)軟件中的惡意代

16、碼的記錄l 檢測(cè)工具是第三方的商業(yè)產(chǎn)品。4.6 工程實(shí)施一、 制度1) 工程實(shí)施管理制度l 是否包括工程實(shí)施過程的控制方法、實(shí)施參與人員的行為準(zhǔn)則等方面內(nèi)容。二、 文檔1) 工程實(shí)施方案l 包括工程時(shí)間限制、進(jìn)度控制和質(zhì)量控制等方面內(nèi)容。三、 記錄1) 按照實(shí)施方案形成的階段性工程報(bào)告。4.7 測(cè)試驗(yàn)收一、 制度1) 測(cè)試驗(yàn)收管理文檔l 包括系統(tǒng)測(cè)試驗(yàn)收的過程控制方法、參與人員的行為規(guī)范等內(nèi)容。二、 文檔2) 測(cè)試報(bào)告l 系統(tǒng)安全性測(cè)試報(bào)告；l 系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告。3) 工程測(cè)試驗(yàn)收方案l 內(nèi)容包括參與測(cè)試的部門、人員、測(cè)試驗(yàn)收的內(nèi)容、現(xiàn)場(chǎng)操作過程等4) 測(cè)試驗(yàn)收記錄5) 系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告l 內(nèi)

17、容包括系統(tǒng)測(cè)試驗(yàn)收的過程控制方法、參與人員的行為規(guī)范等。6) 系統(tǒng)安全性測(cè)試報(bào)告l 內(nèi)容包括測(cè)試通過的結(jié)論（如果報(bào)告中提出了存在的問題，則檢查是否有針對(duì)這些問題的改進(jìn)報(bào)告），是否有第三方測(cè)試機(jī)構(gòu)的簽字或蓋章。7) 對(duì)測(cè)試驗(yàn)收?qǐng)?bào)告的審定文檔l 內(nèi)容包括相關(guān)人員的審定意見。4.8 系統(tǒng)交付一、 文檔1) 系統(tǒng)交付管理文檔l 內(nèi)容包括交付過程的控制方法和對(duì)交付參與人員的行為限制等。二、 記錄1) 系統(tǒng)交付清單l 內(nèi)容包括包括所交接的設(shè)備、文檔、軟件等；2) 培訓(xùn)記錄l 系統(tǒng)交付技術(shù)培訓(xùn)記錄，包括培訓(xùn)內(nèi)容、培訓(xùn)時(shí)間和參與人員等。4.9 系統(tǒng)備案一、 文檔1) 備案的記錄或備案文檔l 內(nèi)容包括將系統(tǒng)等級(jí)

18、相關(guān)材料報(bào)主管部門備案的記錄或備案文檔；2) 公安機(jī)關(guān)備案的記錄或證明l 內(nèi)容包括將系統(tǒng)等級(jí)相關(guān)備案材料報(bào)相應(yīng)公安機(jī)關(guān)備案的記錄或證明；3) 系統(tǒng)定級(jí)相關(guān)材料的適用控制記錄4.10 安全服務(wù)商選擇一、 文檔1) 與安全服務(wù)商簽訂的安全責(zé)任合同書或保密協(xié)議等文檔l 對(duì)信息系統(tǒng)進(jìn)行安全規(guī)劃、設(shè)計(jì)、實(shí)施、維護(hù)、測(cè)評(píng)等服務(wù)的安全服務(wù)單位；l 安全服務(wù)商的安全資質(zhì)文件；l 內(nèi)容包括與所有安全服務(wù)商簽訂的安全責(zé)任合同書或保密協(xié)議文檔，文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等。2) 與安全服務(wù)商簽訂的服務(wù)合同第14頁共22頁5 系統(tǒng)運(yùn)維管理5.1 環(huán)境管理一、 制度1) 機(jī)房安全

19、管理制度l 內(nèi)容覆蓋機(jī)房物理訪問、物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面。二、 文檔1) 機(jī)房消防管理制度和消防預(yù)案2) 辦公環(huán)境管理辦法l 規(guī)范辦公環(huán)境內(nèi)人員的行為；l 工作人員離開座位確保終端計(jì)算機(jī)退出登錄狀態(tài)；l 桌面上沒有包含敏感信息的紙檔文件；l 工作人員調(diào)離辦公立即交還該辦公室鑰匙和不在辦公區(qū)接待來訪人員等。三、 記錄1) 機(jī)房基礎(chǔ)設(shè)施維護(hù)記錄l 內(nèi)容包括記錄維護(hù)日期、維護(hù)人、維護(hù)設(shè)備、故障原因、維護(hù)結(jié)果等。2) 消防設(shè)施巡檢記錄表5.2 資產(chǎn)管理一、 制度1) 資產(chǎn)安全管理制度l 內(nèi)容包括明確信息資產(chǎn)管理的責(zé)任部門、責(zé)任人等；l 其覆蓋資產(chǎn)使用、借用、維護(hù)等方面。l 內(nèi)容包括依據(jù)

20、資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行分類和標(biāo)識(shí)管理，不同類別的資產(chǎn)是否采取不同的管理措施。2) 信息分類文檔l 內(nèi)容是否明確了信息分類標(biāo)識(shí)的原則和方法。二、 記錄1) 資產(chǎn)清單5.3 介質(zhì)管理一、 制度1) 介質(zhì)管理制度l 介質(zhì)的維修或銷毀流程、維修或銷毀制度；l 內(nèi)容包括在介質(zhì)物理傳輸過程中對(duì)人員選擇、打包、交付等情況進(jìn)行控制；l 內(nèi)容包括對(duì)存儲(chǔ)介質(zhì)的使用過程、送出維修以及銷毀等進(jìn)行嚴(yán)格管理的方法和對(duì)帶出工作環(huán)境的存儲(chǔ)介質(zhì)進(jìn)行內(nèi)容加密和監(jiān)控管理的方法。l 介質(zhì)的分類、標(biāo)識(shí)。二、 記錄1) 介質(zhì)管理記錄l 具有介質(zhì)存放在安全的環(huán)境（防潮、防盜、防火、防磁，專用存儲(chǔ)空間）；l 內(nèi)容包括對(duì)某些重要介質(zhì)實(shí)行異地

21、存儲(chǔ)，異地存儲(chǔ)環(huán)境是否與本地環(huán)境相同；l 內(nèi)容包括定期對(duì)其完整性（數(shù)據(jù)是否損壞或丟失）和可用性（介質(zhì)是否受到物理破壞）進(jìn)行檢查；l 介質(zhì)的存檔、查詢、借用等記錄；l 根據(jù)介質(zhì)的目錄清單對(duì)介質(zhì)的使用現(xiàn)狀進(jìn)行定期檢查的記錄。5.4 設(shè)備管理一、 制度1) 設(shè)備安全管理制度l 對(duì)各種軟硬件設(shè)備的選型、采購、發(fā)放和領(lǐng)用以及帶離機(jī)構(gòu)等環(huán)節(jié)進(jìn)行申報(bào)和審批。2) 配套設(shè)施、軟硬件維護(hù)方面的管理制度l 內(nèi)容包括對(duì)配套設(shè)施、軟硬件維護(hù)進(jìn)行有效的管理，包括明確維護(hù)人員的責(zé)任、涉外維修和服務(wù)的審批、維修過程的監(jiān)督控制管理等。二、 文檔1) 設(shè)備使用管理文檔l 對(duì)終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使

22、用進(jìn)行管理。2) 關(guān)鍵設(shè)備（包括備份和冗余設(shè)備）的操作規(guī)程l 主要設(shè)備（包括備份和冗余設(shè)備）的啟動(dòng)、停止、加電/斷電等操作的手冊(cè)或規(guī)程；l 定期對(duì)日志管理情況的檢查。對(duì)日志管理情況進(jìn)行檢查的記錄l 內(nèi)容具有設(shè)備維護(hù)記錄和主要設(shè)備的操作日志。3) 申報(bào)材料和審批報(bào)告l 內(nèi)容具有設(shè)備的選型、采購、發(fā)放和領(lǐng)用以及帶離機(jī)構(gòu)等申請(qǐng)報(bào)告。5.5 監(jiān)控管理和安全管理中心一、 制度1) 安全管理中心l 對(duì)通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況，對(duì)設(shè)備狀態(tài)、惡意代碼、網(wǎng)絡(luò)流量、補(bǔ)丁升級(jí)、安全審計(jì)等安全相關(guān)事項(xiàng)進(jìn)行集中管理。二、 文檔1) 監(jiān)測(cè)記錄l 內(nèi)容包括記錄監(jiān)控對(duì)象、監(jiān)控內(nèi)容、監(jiān)控的異?，F(xiàn)象處理等方面

23、。2) 監(jiān)測(cè)分析報(bào)告l 內(nèi)容包括監(jiān)測(cè)的異?，F(xiàn)象、處理措施等。5.6 網(wǎng)絡(luò)安全管理一、 制度3) 網(wǎng)絡(luò)安全管理制度l 對(duì)網(wǎng)絡(luò)安全配置、日志保存時(shí)間、安全策略、升級(jí)與打補(bǔ)丁、口令更新周期、文件備份等方面作出規(guī)定，查看安全策略是否包括允許或者拒絕便攜式和移動(dòng)式設(shè)備的網(wǎng)絡(luò)接入。 l 內(nèi)容具有網(wǎng)絡(luò)設(shè)備配置文件的離線備份文件。二、 文檔1) 網(wǎng)絡(luò)漏洞掃描報(bào)告l 漏洞掃描的制度、漏洞掃描報(bào)告。2) 內(nèi)部網(wǎng)絡(luò)外聯(lián)的授權(quán)批準(zhǔn)書l 外聯(lián)的對(duì)象和授權(quán)批準(zhǔn)書。3) 網(wǎng)絡(luò)設(shè)備配置文件的備份文件4) 網(wǎng)絡(luò)設(shè)備升級(jí)更新的工作記錄5) 網(wǎng)絡(luò)審計(jì)日志5.7 系統(tǒng)安全管理一、 制度1) 系統(tǒng)安全管理制度l 對(duì)系統(tǒng)安全策略、安全配

24、置、日志管理和日常操作流程等方面作出規(guī)定。2) 系統(tǒng)安全訪問控制策略說明文檔l 內(nèi)容包括根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析制定系統(tǒng)的訪問控制策略，控制分配文件及服務(wù)的訪問權(quán)限。二、 文檔1) 補(bǔ)丁測(cè)試記錄和系統(tǒng)補(bǔ)丁安裝操作記錄2) 詳細(xì)操作日志（包括重要的日常操作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容）；l 內(nèi)容包括重要的日常操作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等。3) 定期對(duì)運(yùn)行日志和審計(jì)結(jié)果進(jìn)行分析的記錄l 查看報(bào)告是否能夠記錄帳戶的連續(xù)多次登錄失敗、非工作時(shí)間的登錄、訪問受限系統(tǒng)或文件的失敗嘗試、系統(tǒng)錯(cuò)誤等非正常事件。4) 系統(tǒng)漏洞掃描報(bào)告l 漏洞掃描制度和漏洞掃描報(bào)告。5.8 惡意代碼防范管理

25、一、 制度1) 惡意代碼防范管理文檔l 包括防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級(jí)、定期匯報(bào)等方面。2) 對(duì)員工的惡意代碼防范教育的相關(guān)培訓(xùn)文檔二、 記錄1) 惡意代碼檢測(cè)記錄l 指定專人對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測(cè)的記錄。2) 惡意代碼庫升級(jí)記錄l 內(nèi)容包括查看升級(jí)記錄是否記錄升級(jí)時(shí)間、升級(jí)版本等。3) 分析報(bào)告l 內(nèi)容包括分析報(bào)告是否描述惡意代碼的特征、修補(bǔ)措施等。5.9 密碼管理一、 制度1) 密碼使用管理制度l 具有密碼使用管理制度5.10 變更管理一、 制度1) 變更管理制度l 內(nèi)容覆蓋變更前審批、變更過程記錄、變更后通報(bào)等方面。l 內(nèi)容包括變更控制的申報(bào)、審批程序，查看其是否規(guī)定需要申報(bào)的變更類型、申報(bào)流程、審批部門、批準(zhǔn)人等方面。l 檢查變更失敗恢復(fù)程序，查看其是否規(guī)定變更失敗后的恢復(fù)流程。二、 文檔 2) 系統(tǒng)變更方案l 內(nèi)容包括變更類型、變更原因、變更過程、變更前評(píng)估等方面進(jìn)行規(guī)定。3) 重要系統(tǒng)的變更申請(qǐng)書4) 變更過程記錄文檔三、 記錄l 變更方案評(píng)審記錄5.11 備