信息系統(tǒng)等級(jí)測(cè)評(píng)文檔準(zhǔn)備指引精編版

1、信息系統(tǒng)等級(jí)測(cè)評(píng)文檔準(zhǔn)備指南電力行業(yè)等級(jí)保護(hù)測(cè)評(píng)中心華電卓識(shí)實(shí)驗(yàn)室2009年 9 月目錄一、文檔提交要求 .3二、準(zhǔn)備文檔時(shí)需注意的問(wèn)題.3附件一信息系統(tǒng)基本情況調(diào)查表.5表 1-1.單位基本情況 .7表 1-2.參與人員名單 .8表 1-3.物理環(huán)境情況 .9表 1-4.信息系統(tǒng)基本情況 .10表 1-5.信息系統(tǒng)承載業(yè)務(wù)（服務(wù)）情況 .11表 1-6.信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)（環(huán)境）情況 .12表 1-7.外聯(lián)線路及設(shè)備端口（網(wǎng)絡(luò)邊界）情況調(diào)查 .13表 1-8.網(wǎng)絡(luò)設(shè)備情況 .14表 1-9.安全設(shè)備情況 .15表 1-10.服務(wù)器設(shè)備情況 .16表 1-11.終端設(shè)備情況 .17表 1-12.

2、系統(tǒng)軟件情況 . 18表 1-13.應(yīng)用系統(tǒng)軟件情況 .19表 1-14.業(yè)務(wù)數(shù)據(jù)情況 .20表 1-15.數(shù)據(jù)備份情況 .21表 1-16.應(yīng)用系統(tǒng)軟件處理流程（多表） .22表 1-17.業(yè)務(wù)數(shù)據(jù)流程（多表） .23表 1-18.安全威脅情況 .24附件二信息系統(tǒng)安全技術(shù)方案.26附件三信息安全管理制度 .27表 3-1.安全管理機(jī)構(gòu)類(lèi)文檔 .27表 3-2.安全管理制度類(lèi)文檔 .28表 3-3.人員安全管理類(lèi)文檔 .29表 3-4.系統(tǒng)建設(shè)管理類(lèi)文檔 .30表 3-5.系統(tǒng)運(yùn)維管理類(lèi)文檔 .32一、文檔提交要求當(dāng)委托機(jī)構(gòu)正式委托電力行業(yè)等級(jí)保護(hù)測(cè)評(píng)中心華電卓識(shí)實(shí)驗(yàn)室對(duì)其信息系統(tǒng)實(shí)施等級(jí)測(cè)

3、評(píng)時(shí)， 為了使測(cè)評(píng)人員在現(xiàn)場(chǎng)測(cè)評(píng)前期就能夠?qū)Ρ辉u(píng)估系統(tǒng)有清晰而全面地了解，委托機(jī)構(gòu)應(yīng)根據(jù)申請(qǐng)的測(cè)評(píng)類(lèi)型準(zhǔn)備文檔。委托測(cè)評(píng)類(lèi)型主要包括：等級(jí)符合性檢驗(yàn)風(fēng)險(xiǎn)評(píng)估滲透測(cè)試方案咨詢需準(zhǔn)備的測(cè)評(píng)文檔主要包括：信息系統(tǒng)基本情況調(diào)查表信息系統(tǒng)安全技術(shù)方案信息安全管理制度其他委托單位在準(zhǔn)備測(cè)評(píng)文檔時(shí)，應(yīng)根據(jù)所申請(qǐng)的測(cè)評(píng)業(yè)務(wù)類(lèi)型準(zhǔn)備相應(yīng)的文檔。二者對(duì)應(yīng)關(guān)系如下：文檔類(lèi)型信息系統(tǒng)基信息系統(tǒng)安信息安全管其他本 情 況 調(diào) 查全技術(shù)方案理制度表委托測(cè)評(píng)類(lèi)型（附件一）（附件二）（附件三）等級(jí)符合性檢驗(yàn)風(fēng)險(xiǎn)評(píng)估滲透測(cè)試測(cè)試 IP 范圍方案咨詢相關(guān)方案二、準(zhǔn)備文檔時(shí)需注意的問(wèn)題保證提交文檔內(nèi)容真實(shí)、全面、詳細(xì)、準(zhǔn)確文檔材料

4、，紙版和電子版文檔均可提交文檔時(shí)做好詳細(xì)的文檔交接記錄附件一信息系統(tǒng)基本情況調(diào)查表1、請(qǐng)?zhí)峁┬畔⑾到y(tǒng)的最新網(wǎng)絡(luò)結(jié)構(gòu)圖（拓?fù)鋱D）網(wǎng)絡(luò)結(jié)構(gòu)圖要求：應(yīng)該標(biāo)識(shí)出網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備和主要終端設(shè)備及其名稱(chēng)應(yīng)該標(biāo)識(shí)出服務(wù)器設(shè)備的 IP 地址應(yīng)該標(biāo)識(shí)網(wǎng)絡(luò)區(qū)域劃分等情況應(yīng)該標(biāo)識(shí)網(wǎng)絡(luò)與外部的連接等情況應(yīng)該能夠?qū)φ站W(wǎng)絡(luò)結(jié)構(gòu)圖說(shuō)明所有業(yè)務(wù)流程和系統(tǒng)組成如果一張圖無(wú)法表示，可以將核心部分和接入部分分別劃出，或以多張圖表示。2、請(qǐng)根據(jù)信息系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)圖填寫(xiě)各類(lèi)調(diào)查表格。調(diào)查表清單表 1-1. 單位基本情況表 1-2. 參與人員名單表 1-3. 物理環(huán)境情況表 1-4. 信息系統(tǒng)基本情況表 1-5. 信息系統(tǒng)承載業(yè)務(wù)（

5、服務(wù)）情況表 1-6. 信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)（環(huán)境）情況表 1-7. 外聯(lián)線路及設(shè)備端口（網(wǎng)絡(luò)邊界）情況調(diào)查表 1-8. 網(wǎng)絡(luò)設(shè)備情況表 1-9. 安全設(shè)備情況表 1-10. 服務(wù)器設(shè)備情況表 1-11. 終端設(shè)備情況表 1-12. 系統(tǒng)軟件情況表 1-13. 應(yīng)用系統(tǒng)軟件情況表 1-14. 業(yè)務(wù)數(shù)據(jù)情況表 1-15. 數(shù)據(jù)備份情況表 1-16. 應(yīng)用系統(tǒng)軟件處理流程（多表）表 1-17. 業(yè)務(wù)數(shù)據(jù)流程（多表）表 1-18. 安全威脅情況表 1-1.單位基本情況填表人：日期：?jiǎn)挝蝗Q(chēng)簡(jiǎn)稱(chēng)單位情況簡(jiǎn)介單位所屬類(lèi)型黨政機(jī)關(guān)國(guó)家重要行業(yè)、重要領(lǐng)域或重要企事業(yè)單位一般企事業(yè)單位其他類(lèi)型單位地址郵政編碼負(fù)責(zé)

6、人姓名聯(lián)系人電話電話傳真?zhèn)髡骐娮余]件地址電子郵件地址上級(jí)主管部門(mén)注：情況簡(jiǎn)介一欄，請(qǐng)?zhí)顚?xiě)與被測(cè)評(píng)系統(tǒng)有關(guān)的機(jī)構(gòu)的內(nèi)容。表 1-2.參與人員名單填表人：日期：序號(hào)人員名稱(chēng)所屬部門(mén)職務(wù) /職稱(chēng)負(fù)責(zé)范圍聯(lián)系方法12345678910111213表 1-3.物理環(huán)境情況填表人：日期：序號(hào)物理環(huán)境名稱(chēng)物理位置涉及信息系統(tǒng)1234567注：物理環(huán)境包括主機(jī)房、輔機(jī)房、辦公環(huán)境等。表 1-4.信息系統(tǒng)基本情況填表人：日期：序號(hào)信息系統(tǒng)名稱(chēng)安全保護(hù)等級(jí)業(yè)務(wù)信息安全保護(hù)等級(jí)系統(tǒng)服務(wù)安全保護(hù)等級(jí)承載業(yè)務(wù)應(yīng)用123456789表 1-5.信息系統(tǒng)承載業(yè)務(wù)（服務(wù)）情況填表人：日期：業(yè)務(wù)（服務(wù)）業(yè)務(wù)處理用戶用戶分涉及的

7、應(yīng)用系是否 24小是否可以脫重要責(zé)任序號(hào)業(yè)務(wù)描述數(shù)量布范圍統(tǒng)軟件時(shí)運(yùn)行離系統(tǒng)完成程度部門(mén)名稱(chēng)信息類(lèi)別123456789注： 1、用戶分布范圍欄填寫(xiě)全國(guó)、全省、本地區(qū)、本單位2、業(yè)務(wù)信息類(lèi)別一欄填寫(xiě)：a）國(guó)家秘密信息b）非密敏感信息（機(jī)構(gòu)或公民的專(zhuān)有信息）c）可公開(kāi)信息表 1-6. 重要程度欄填寫(xiě)非常重要、重要、一般表 1-6. 信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)（環(huán)境）情況填表人：日期：網(wǎng)絡(luò) 區(qū)域主要業(yè)務(wù)和信服務(wù)器終端與其連接的其它重要序號(hào)IP 網(wǎng)段地址數(shù)量數(shù)量網(wǎng)絡(luò)區(qū)域邊界設(shè)備責(zé)任部門(mén)備注名稱(chēng)息描述網(wǎng)絡(luò)區(qū)域程度12345注：重要程度填寫(xiě)非常重要、重要、一般表 1-7.外聯(lián)線路及設(shè)備端口（網(wǎng)絡(luò)邊界）情況調(diào)查填表人

8、：日期：外聯(lián)線路名稱(chēng)所屬網(wǎng)絡(luò)區(qū)域連接對(duì)象名稱(chēng)接入線路種類(lèi)傳輸速率承載主要業(yè)務(wù)序號(hào)線路接入設(shè)備備注（邊界名稱(chēng)）（帶寬）應(yīng)用12345678910表 1-8.網(wǎng)絡(luò)設(shè)備情況填表人：日期：序號(hào)網(wǎng)絡(luò)設(shè)備物理所屬網(wǎng)IP 地址系統(tǒng)軟件端口類(lèi)型是否重要型號(hào)位置絡(luò)區(qū)域/掩碼 /網(wǎng)關(guān)及版本主要用途熱備備注名稱(chēng)及數(shù)量程度12345678910注：重要程度填寫(xiě)非常重要、重要、一般表 1-9.安全設(shè)備情況填表人：日期：網(wǎng)絡(luò)安全設(shè)備型號(hào)（軟件 /所屬網(wǎng)絡(luò)端口類(lèi)型是否序號(hào)硬件）物理位置IP 地址 /掩碼 /網(wǎng)關(guān)系統(tǒng)及運(yùn)行平臺(tái)及數(shù)量備注名稱(chēng)區(qū)域熱備12345678910表 1-10.服務(wù)器設(shè)備情況填表人：日期：服務(wù)器設(shè)物理位

9、所屬網(wǎng)絡(luò)操作系統(tǒng)安裝應(yīng)用系主要業(yè)務(wù)是否重要序號(hào)型號(hào)區(qū)域IP 地址 /掩碼 /網(wǎng)關(guān)統(tǒng)軟件名稱(chēng)應(yīng)用涉及數(shù)據(jù)程度備名稱(chēng)置版本 /補(bǔ)丁設(shè)備注： 1、重要程度填寫(xiě)非常重要、重要、一般2、包括數(shù)據(jù)存儲(chǔ)設(shè)備表 1-11.終端設(shè)備情況填表人：日期：終端設(shè)備物理所屬網(wǎng)設(shè)備IP 地址 /掩碼 /網(wǎng)關(guān)安裝應(yīng)用系重要序號(hào)型號(hào)絡(luò)區(qū)域數(shù)量操作系統(tǒng)涉及數(shù)據(jù)主要用途名稱(chēng)位置統(tǒng)軟件名稱(chēng)程度注： 1、重要程度填寫(xiě)非常重要、重要、一般2、包括專(zhuān)用終端設(shè)備以及網(wǎng)管終端、安全設(shè)備控制臺(tái)等表 1-12.系統(tǒng)軟件情況填表人：日期：序號(hào)系統(tǒng)軟件名稱(chēng)版本軟件廠商硬件平臺(tái)涉及應(yīng)用系統(tǒng)12345678910注：包括操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)等軟件表 1

10、-13.應(yīng)用系統(tǒng)軟件情況填表人：日期：序號(hào)應(yīng)用系統(tǒng)軟件名稱(chēng)開(kāi)發(fā)商硬件 /軟件平臺(tái)C/S 或 B/S 模式涉及數(shù)據(jù)現(xiàn)有用戶數(shù)量主要用戶角色123456789101112表 1-14.業(yè)務(wù)數(shù)據(jù)情況填表人：日期：序號(hào)數(shù)據(jù)使用者或管理者數(shù)據(jù)安全性要求數(shù)據(jù)總量涉及存儲(chǔ)系統(tǒng)與數(shù)據(jù)名稱(chēng)涉及業(yè)務(wù)應(yīng)用及其訪問(wèn)權(quán)限保密 完整 可用及日增量處理設(shè)備12345678注：數(shù)據(jù)安全性要求每項(xiàng)填寫(xiě)高、中、低如本頁(yè)不夠、請(qǐng)繼頁(yè)填寫(xiě)。表 1-15.數(shù)據(jù)備份情況填表人：日期：序號(hào)備份數(shù)據(jù)名介質(zhì)類(lèi)型備份周期保存期是否異地保存過(guò)期處理辦法所屬備份系統(tǒng)1234567891011注：備份數(shù)據(jù)名與表1-12 對(duì)應(yīng)的數(shù)據(jù)名稱(chēng)一致表 1-16

11、.應(yīng)用系統(tǒng)軟件處理流程（多表）填表人：日期：應(yīng)用系統(tǒng)軟件處理流程圖（應(yīng)用軟件名稱(chēng)：）應(yīng)用系統(tǒng)軟件處理流程圖（應(yīng)用軟件名稱(chēng)：）注：重要應(yīng)用系統(tǒng)軟件應(yīng)該描繪處理流程圖，說(shuō)明主要處理步驟、過(guò)程、流向、涉及設(shè)備和用戶。如本頁(yè)不夠，請(qǐng)續(xù)頁(yè)填寫(xiě)。表 1-17.業(yè)務(wù)數(shù)據(jù)流程（多表）填表人：日期：數(shù)據(jù)流程圖（數(shù)據(jù)名稱(chēng)：）數(shù)據(jù)流程圖（數(shù)據(jù)名稱(chēng)：）注：重要數(shù)據(jù)應(yīng)該描繪數(shù)據(jù)流程圖，從數(shù)據(jù)產(chǎn)生到傳輸經(jīng)過(guò)的主要設(shè)備，再到存儲(chǔ)設(shè)備等流程如本頁(yè)不夠，請(qǐng)續(xù)頁(yè)填寫(xiě)。表 1-18.安全威脅情況序號(hào)安全事件調(diào)查1是否發(fā)生過(guò)網(wǎng)絡(luò)安全事件填表人：日期：調(diào)查結(jié)果 沒(méi)有 1 次/年 2 次/年 3 次以上 /年 不清楚安全事件說(shuō)明：（時(shí)間

12、、影響）2發(fā)生的網(wǎng)絡(luò)安全事件類(lèi)型（多選）3如何發(fā)現(xiàn)網(wǎng)絡(luò)安全事件（多選） 感染病毒 /蠕蟲(chóng) /特洛伊木馬程序 數(shù)據(jù)竊取 破壞數(shù)據(jù)或網(wǎng)絡(luò) 內(nèi)部人員有意破壞 被利用發(fā)送和傳播有害信息其他說(shuō)明： 網(wǎng)絡(luò)（系統(tǒng)）管理員工作檢測(cè)發(fā)現(xiàn) 通過(guò)安全產(chǎn)品發(fā)現(xiàn) 他人告知其他說(shuō)明：拒絕服務(wù)攻擊端口掃描攻擊篡改網(wǎng)頁(yè) 垃圾郵件內(nèi)部人員濫用網(wǎng)絡(luò)端口、系統(tǒng)資源網(wǎng)絡(luò)詐騙和盜竊其他通過(guò)事后分析發(fā)現(xiàn)有關(guān)部門(mén)通知或意外發(fā)現(xiàn)其他4網(wǎng)絡(luò)安全事件造成損失評(píng)估5可能的攻擊來(lái)源6導(dǎo)致發(fā)生網(wǎng)絡(luò)安全事件的可能原因 非常嚴(yán)重嚴(yán)重一般比較輕微 輕微無(wú)法評(píng)估 內(nèi)部外部都有病毒 其他原因不清楚 未修補(bǔ)或防范軟件漏洞網(wǎng)絡(luò)或軟件配置錯(cuò)誤登陸密碼過(guò)于簡(jiǎn)單或未修改

13、 缺少訪問(wèn)控制攻擊者使用拒絕服務(wù)攻擊 攻擊者利用軟件默認(rèn)設(shè)置利用內(nèi)部用戶安全管理漏洞或內(nèi)部人員作案 內(nèi)部網(wǎng)絡(luò)違規(guī)連接互聯(lián)網(wǎng)攻擊者使用欺詐方法 不知原因其他其他說(shuō)明：7 是否發(fā)生過(guò)硬件故障8 是否發(fā)生過(guò)軟件故障9 是否發(fā)生過(guò)維護(hù)失誤是否發(fā)生過(guò)因用戶操作失誤引起的安全事10件11 是否發(fā)生過(guò)物理設(shè)施 /設(shè)備被物理破壞12 有無(wú)遭受自然性破壞（如雷擊等）13 有無(wú)發(fā)生過(guò)莫名其妙的故障 有（注明時(shí)間、頻率）無(wú)造成的影響是 有（注明時(shí)間、頻率）無(wú)造成的影響是 有（注明時(shí)間、頻率）無(wú)造成的影響是 有（注明時(shí)間、頻率）無(wú)造成的影響是 有（注明時(shí)間、頻率）無(wú)造成的影響是 有（注明時(shí)間、頻率）無(wú)有請(qǐng)注明時(shí)間、事

14、件后果 有（注明時(shí)間、頻率）無(wú)有請(qǐng)注明時(shí)間、事件后果附件二信息系統(tǒng)安全技術(shù)方案1. 信息系統(tǒng)建設(shè)的背景、目的2. 信息系統(tǒng)的主要業(yè)務(wù)功能、使用用戶和業(yè)務(wù)信息流3. 信息系統(tǒng)的安全需要4. 信息系統(tǒng)安全功能設(shè)計(jì)描述應(yīng)用軟件的安全功能一般的安全機(jī)制包括身份鑒別、訪問(wèn)控制、安全審計(jì)、通信安全、抗抵賴(lài)、軟件容錯(cuò)、資源控制、代碼安全等。描述網(wǎng)絡(luò)層采取的安全設(shè)置一般的安全機(jī)制包括結(jié)構(gòu)安全與網(wǎng)段劃分、網(wǎng)絡(luò)訪問(wèn)控制、網(wǎng)絡(luò)安全審計(jì)、邊界完整性檢查、網(wǎng)絡(luò)入侵防范、惡意代碼防范等描述系統(tǒng)層采取的安全設(shè)置一般的安全機(jī)制包括后臺(tái)用戶的身份鑒別、訪問(wèn)控制、安全審計(jì)等描述針對(duì)此系統(tǒng)的特殊安全控制附件三信息安全管理制度表 3

15、-1.安全管理機(jī)構(gòu)類(lèi)文檔安全管理機(jī)構(gòu)提交文檔名稱(chēng)提交人提交時(shí)間1部門(mén)設(shè)置、崗位設(shè)置及工作職責(zé)定義方面的管理制度2安全保障人事管理制度制度類(lèi)3授權(quán)和審批流程4安全審批和安全檢查方面的管制制度證據(jù)類(lèi)5機(jī)構(gòu)安全管理人員崗位名單6外聯(lián)單位聯(lián)系列表記錄類(lèi)7各類(lèi)會(huì)議紀(jì)要或記錄（部門(mén)內(nèi)、部門(mén)間協(xié)調(diào)會(huì)、領(lǐng)導(dǎo)小組）其他27表 3-2.安全管理制度類(lèi)文檔安全管理制度提交文檔名稱(chēng)提交人提交時(shí)間1機(jī)構(gòu)總體安全方針和政策方面的管理制度2管理制度、操作規(guī)程修訂、維護(hù)方面的管理制度制度類(lèi)3安全管理制度改收發(fā)規(guī)范4授權(quán)審批、審批流程等方面的管理制度證據(jù)類(lèi)5總體安全策略等配套文件的專(zhuān)家論證文檔6安全管理制度的收發(fā)登記記錄記錄類(lèi)

16、7各類(lèi)評(píng)審和修訂記錄（安全制度和體系）其他28表 3-3.人員安全管理類(lèi)文檔人員安全管理提交文檔名稱(chēng)提交人提交時(shí)間1人員錄用、離崗、考核等方面的管理制度制度類(lèi)2人員安全教育和培訓(xùn)方面的管理制度3第三方人員訪問(wèn)控制方面的管理制度4人員保密協(xié)議證據(jù)類(lèi)5關(guān)鍵崗位安全協(xié)議6離崗人員保密協(xié)議7人員考核、審查、培訓(xùn)記錄（人員錄用、人員定期考核）、離崗手續(xù)記錄類(lèi)8各項(xiàng)審批和批準(zhǔn)執(zhí)行記錄（來(lái)訪人員進(jìn)入機(jī)房審批、介質(zhì)/ 設(shè)備外帶審批、 系統(tǒng)外聯(lián)審批等）（外聯(lián)接入、 服務(wù)訪問(wèn)、 配置變更、采購(gòu)、外來(lái)人員訪問(wèn)和管理）其他29表 3-4.系統(tǒng)建設(shè)管理類(lèi)文檔制度類(lèi)證據(jù)類(lèi)系統(tǒng)建設(shè)管理提交文檔名稱(chēng)提交人提交時(shí)間1產(chǎn)品選型、

17、采購(gòu)方面的管理制度2軟件外包開(kāi)發(fā)或自我開(kāi)發(fā)方面的管理制度3工程實(shí)施過(guò)程管理方面的管理制度4測(cè)試、驗(yàn)收方面的管理制度5信息系統(tǒng)定級(jí)報(bào)告或定級(jí)建議書(shū)6近期和遠(yuǎn)期安全建設(shè)工作計(jì)劃、總體建設(shè)規(guī)劃書(shū)7詳細(xì)設(shè)計(jì)方案8候選產(chǎn)品名單9軟件開(kāi)發(fā)協(xié)議10與安全服務(wù)商或外包開(kāi)發(fā)商簽訂的服務(wù)合同和安全協(xié)議11軟件開(kāi)發(fā)設(shè)計(jì)和用戶指南等相關(guān)文檔（目錄體系框架或交換原形系統(tǒng)）、軟件測(cè)試報(bào)告12工程實(shí)施方案13系統(tǒng)交付清單14系統(tǒng)驗(yàn)收測(cè)試方案15系統(tǒng)測(cè)試、驗(yàn)收?qǐng)?bào)告16系統(tǒng)備案材料17前一次測(cè)評(píng)報(bào)告18測(cè)評(píng)資質(zhì)條件3019產(chǎn)品的選型測(cè)試結(jié)果記錄記錄類(lèi)20系統(tǒng)驗(yàn)收測(cè)試記錄、報(bào)告其他31表 3-5.系統(tǒng)運(yùn)維管理類(lèi)文檔系統(tǒng)運(yùn)維管理提

18、交文檔名稱(chēng)提交人提交時(shí)間1機(jī)房安全管理方面的管理制度2辦公環(huán)境安全管理方面的管理制度3資產(chǎn)、設(shè)備、介質(zhì)安全管理方面的管理制度4信息分類(lèi)、標(biāo)識(shí)、發(fā)布、使用方面的管理制度5配套設(shè)施、軟硬件維護(hù)方面的管理制度6系統(tǒng)監(jiān)控、風(fēng)險(xiǎn)評(píng)估、漏洞掃描方面的管理制度7設(shè)備操作手冊(cè)8維護(hù)管理規(guī)范制度類(lèi)9維護(hù)、監(jiān)控記錄10網(wǎng)絡(luò)安全管理（系統(tǒng)配置、賬號(hào)管理等）方面的管理制度11系統(tǒng)安全管理（系統(tǒng)配置、賬號(hào)管理等）方面的管理制度12病毒防范方面的管理制度13密碼管理方面的管理制度14系統(tǒng)變更控制方面的管理制度15備份和恢復(fù)方面的管理制度16安全事件報(bào)告和處置方面的管理制度17應(yīng)急響應(yīng)方法、應(yīng)急響應(yīng)計(jì)劃等方面的文件證據(jù)類(lèi)18機(jī)房安全