2022年公有云環(huán)境下等級(jí)保護(hù)解決方案

1、1.1 云環(huán)境 WEB 系統(tǒng)等級(jí)愛(ài)惜建設(shè)（二級(jí)）1.1.1 云模式下的安全保證體系建設(shè)對(duì)于不同的云建設(shè)模式（自行建設(shè)模式或購(gòu)買服務(wù)模式）,在安 全保證體系的建設(shè)上的區(qū)分表達(dá)在安全建設(shè)責(zé)任主體的區(qū)分；當(dāng)使用 購(gòu)買服務(wù)模式時(shí),安全建設(shè)的責(zé)任主體會(huì)區(qū)分為“ 云服務(wù)商” 和“ 云 租戶” 兩部分；而自行建設(shè)模式中,并沒(méi)有“ 云服務(wù)商” 的概念存 在,安全建設(shè)的責(zé)任主體是用戶自身；本次等保是基于公有云系統(tǒng)建設(shè),在安全保證體系建設(shè)上應(yīng)有“ 云服務(wù)商” 和“ 云租戶” 共同來(lái)承擔(dān)和建設(shè),“ 云服務(wù)商” 確保云 服務(wù)平臺(tái)的安全性,“ 云租戶” 負(fù)責(zé)基于“ 云服務(wù)商” 供應(yīng)的服務(wù)構(gòu) 建業(yè)務(wù)應(yīng) .系統(tǒng)的安全；依據(jù)

2、 GB/T 22239.2 信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)愛(ài)惜基本要求第 2 部分：云運(yùn)算安全擴(kuò)展要求的要求；對(duì)于云環(huán)境下業(yè)務(wù)系統(tǒng)的 建設(shè)的責(zé)任劃分如下表所示：層面安全要求安全組件責(zé)任主體物理和環(huán)境安物理位置選擇數(shù)據(jù)中心及物理設(shè)施云服務(wù)方全網(wǎng)絡(luò)結(jié)構(gòu)、 拜望控物理網(wǎng)絡(luò)及附屬設(shè)備、虛擬網(wǎng)絡(luò)治理平云服務(wù)方網(wǎng)絡(luò)和通信安制、遠(yuǎn)程拜望、 入臺(tái)全侵防范、 安全審計(jì)云租戶虛擬網(wǎng)絡(luò)安全域云租戶身份鑒別、 拜望控物理網(wǎng)絡(luò)及附屬設(shè)備、虛擬網(wǎng)絡(luò)治理平設(shè)備和運(yùn)算安制、安全審計(jì)、 入臺(tái)、物理宿主機(jī)及附屬設(shè)備、虛擬機(jī)治理云服務(wù)方平臺(tái)、鏡像等侵防范、 惡意代碼全防范、資源把握、云租戶虛擬網(wǎng)絡(luò)設(shè)備、虛擬安全設(shè)備、 虛云租戶鏡像和快照

3、愛(ài)惜擬機(jī)等應(yīng)用和數(shù)據(jù)安安全審計(jì)、 資源控云治理平臺(tái)（含運(yùn)維和運(yùn)營(yíng)）、鏡像、快云服務(wù)方制、接口安全、 數(shù)照等全據(jù)完整性、 數(shù)據(jù)保云租戶應(yīng)用系統(tǒng)及相關(guān)軟件組件、云租云租戶密性、數(shù)據(jù)備份恢戶應(yīng)用系統(tǒng)配置、云租戶業(yè)務(wù)相關(guān)數(shù)據(jù)復(fù)等安全策略和管理制度授權(quán)和審批授權(quán)和審批流程、文檔等云租戶安全治理機(jī)構(gòu)授權(quán)和審批授權(quán)和審批流程、文檔等云租戶和人員系統(tǒng)安全建設(shè)安全方案設(shè)計(jì)、 測(cè)云運(yùn)算平臺(tái)接口、 安全措施、 供應(yīng)鏈治理云租戶試驗(yàn)收、 云服務(wù)商流程、安全大事和重要變更信息治理選擇、供應(yīng)鏈治理云服務(wù)商選擇及治理流程云租戶層面安全要求安全組件責(zé)任主體系統(tǒng)安全運(yùn)維監(jiān)控和審計(jì)治理監(jiān)控和審計(jì)治理的相關(guān)流程、策略和數(shù)云租戶治理

4、據(jù)1.1.2 云等保建設(shè)流程系統(tǒng)定級(jí)本次信息系統(tǒng)依據(jù)信息安全等級(jí)愛(ài)惜治理方法和網(wǎng)絡(luò)安全 等級(jí)愛(ài)惜定級(jí)指南,初步確定定級(jí)對(duì)象的安全愛(ài)惜等級(jí),已起草的網(wǎng)絡(luò)安全等級(jí)愛(ài)惜定級(jí)報(bào)告中指出三級(jí)以上系統(tǒng),定級(jí)結(jié)論需要 進(jìn)行專家評(píng)審；系統(tǒng)備案信息系統(tǒng)安全愛(ài)惜等級(jí)為其次級(jí)以上時(shí),備案時(shí)應(yīng)當(dāng)提交網(wǎng)絡(luò) 安全等級(jí)愛(ài)惜備案表和定級(jí)報(bào)告；第三級(jí)以上系統(tǒng),仍需提交專家 評(píng)審看法、系統(tǒng)拓?fù)浜驼f(shuō)明、安全治理制度、安全建設(shè)方案等；建設(shè)整改依據(jù)網(wǎng)絡(luò)安全等級(jí)愛(ài)惜基本要求,利用自有或第三方的安全 產(chǎn)品和專家服務(wù),對(duì)信息系統(tǒng)進(jìn)行安全建設(shè)和整改,同時(shí)制定相應(yīng)的 安全治理制度；等保測(cè)評(píng)運(yùn)營(yíng)使用單位應(yīng)當(dāng)選擇合適的測(cè)評(píng)機(jī)構(gòu),依據(jù)網(wǎng)絡(luò)安全等級(jí)保護(hù)

5、測(cè)評(píng)要求等技術(shù)標(biāo)準(zhǔn),定期對(duì)信息系統(tǒng)安全等級(jí)狀況開(kāi)展等級(jí)測(cè) 評(píng)；監(jiān)督檢查公安機(jī)關(guān)及其他監(jiān)管部門會(huì)在整個(gè)過(guò)程中,履行相應(yīng)的監(jiān)管、審 核和檢查等職責(zé)；1.1.3 等保二級(jí)建設(shè)方案設(shè)計(jì)網(wǎng)絡(luò)安全拓?fù)?.1.4 安全技術(shù)建設(shè)設(shè)計(jì)1.1.4.1 物理和環(huán)境安全選擇已經(jīng)通過(guò)“ 等保三級(jí)” 的云服務(wù)商；在包括機(jī)房供電、溫濕度把握、防風(fēng)防雨防雷措施等,可直接復(fù)用已經(jīng)通過(guò)云服務(wù)商的測(cè)評(píng)結(jié)論；（不考慮未通過(guò)等保測(cè)評(píng)的云平臺(tái)服務(wù)商）1.1.4.2 網(wǎng)絡(luò)和通信安全網(wǎng)絡(luò)架構(gòu)： 應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域,并依據(jù)便利治理和把握的原就為各網(wǎng)絡(luò)區(qū)域支配地址；拜望把握： 應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間依據(jù)拜望把握策略設(shè)置拜望把握規(guī)章,默認(rèn)情形下

6、除答應(yīng)通信外受控接口拒絕全部通信；應(yīng)能根據(jù)會(huì)話狀態(tài)信息為進(jìn)出數(shù)據(jù)流供應(yīng)明確的答應(yīng) 粒度為端口級(jí)；/ 拒絕拜望的才能,把握通信傳輸 ：應(yīng)接受校驗(yàn)碼技術(shù)或加解密技術(shù)保證通信過(guò)程中數(shù)據(jù) 的完整性；邊界防護(hù)：應(yīng)保證跨過(guò)邊界的拜望和數(shù)據(jù)流通過(guò)邊界防護(hù) 設(shè)備供應(yīng)的受控接口進(jìn)行通信；入侵防范： 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為；當(dāng)檢測(cè)到攻擊行為時(shí),記錄攻擊源IP 、攻擊類型、攻擊目的、攻擊時(shí)間,在發(fā)生嚴(yán)肅入侵大事時(shí)應(yīng)供應(yīng)報(bào)警；安全審計(jì)： 應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì),審計(jì)覆 蓋到每個(gè)用戶,對(duì)重要的用戶行為和重要安全大事進(jìn)行審計(jì)；方案設(shè)計(jì)思路：1. 依據(jù)服務(wù)器角色和重要性,

7、對(duì)網(wǎng)絡(luò)進(jìn)行安全域劃分；2. 在內(nèi)外網(wǎng)的安全域邊界設(shè)置拜望把握策略,端口；并要求配置到詳細(xì)的3. 在網(wǎng)絡(luò)邊界處應(yīng)當(dāng)部署入侵防范手段,防范并記錄入侵行為；4. 對(duì)網(wǎng)絡(luò)中的用戶行為日志和安全大事信息進(jìn)行記錄和審計(jì)；安全方案設(shè)計(jì)：（物理和環(huán)境安全設(shè)計(jì)）1.使用云服務(wù)商的VPC網(wǎng)絡(luò)和云防火墻 / 安全組對(duì)網(wǎng)絡(luò)進(jìn)行安全域劃分并進(jìn)行合理的拜望把握； 把每個(gè)業(yè)務(wù)系統(tǒng)都劃分在一個(gè)獨(dú)立的安全組內(nèi),確保各業(yè)務(wù)系統(tǒng)安全隔離；2. 使用 Web應(yīng)用防火墻防范網(wǎng)絡(luò)入侵行為；3. 使用態(tài)勢(shì)感知的日志功能對(duì)網(wǎng)絡(luò)行為日志和安全大事進(jìn)行記錄 分析和審計(jì)；4. 使用 DDoS高防 IP 進(jìn)行反常流量過(guò)濾和清洗, 保證業(yè)務(wù)系統(tǒng)連續(xù)

8、性和高可用性；1.1.4.3 設(shè)備和運(yùn)算安全身份鑒別：應(yīng)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別,身份標(biāo)識(shí)具有 唯獨(dú)性；拜望把握：應(yīng)依據(jù)治理用戶的角色建立不同賬戶并支配權(quán)限,僅 授予治理用戶所需的最小權(quán)限,實(shí)現(xiàn)治理用戶的權(quán)限分別；安全審計(jì)：應(yīng)啟用安全審計(jì)功能,審計(jì)掩蓋到每個(gè)用戶,對(duì)重要 的用戶行為和重要安全大事進(jìn)行審計(jì)；入侵防范：應(yīng)能夠檢測(cè)到對(duì)重要節(jié)點(diǎn)進(jìn)行入侵的行為,并在發(fā)生 嚴(yán)肅入侵大事時(shí)供應(yīng)報(bào)警；惡意代碼防范： 應(yīng)接受免受惡意代碼攻擊的技術(shù)措施或接受可信運(yùn)算技術(shù)建立從系統(tǒng)到應(yīng)用的信任鏈,實(shí)現(xiàn)系統(tǒng)運(yùn)行過(guò)程中重要程序或文件完整性檢測(cè),并在檢測(cè)到破壞后進(jìn)行復(fù)原；方案設(shè)計(jì)思路：1. 防止賬號(hào)共享、記錄和審計(jì)

9、運(yùn)維操作行為是最基本的安全要求；2. 必要的安全手段保證系統(tǒng)層安全,防范服務(wù)器入侵行為；安全方案設(shè)計(jì)：（設(shè)備和運(yùn)算安全設(shè)計(jì)）1. 使用云堡壘機(jī)、 云數(shù)據(jù)庫(kù)審計(jì)對(duì)服務(wù)器和數(shù)據(jù)的操作行為進(jìn)行審計(jì),同時(shí)為每個(gè)運(yùn)維人員建立獨(dú)立的堡壘機(jī)賬號(hào),防止賬號(hào)共享；2. 使用主機(jī)安全系統(tǒng)對(duì)服務(wù)器進(jìn)行完整的漏洞治理、基線檢查和入侵防范；1.1.4.4 應(yīng)用和數(shù)據(jù)安全身份鑒別：應(yīng)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別,身份標(biāo)識(shí)具有唯獨(dú)性,鑒別信息具有復(fù)雜度要求；拜望把握： 應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限,并在它們之間形成相互制約的關(guān)系；安全審計(jì)：應(yīng)供應(yīng)安全審計(jì)功能,審計(jì)掩蓋到每個(gè)用戶,對(duì)重要的用戶行為和重要安

10、全大事進(jìn)行審計(jì)；數(shù)據(jù)完整性： 應(yīng)接受校驗(yàn)碼技術(shù)或加解密技術(shù)保證重要數(shù)據(jù)在傳 輸過(guò)程中的完整性和保密性；數(shù)據(jù)備份復(fù)原：應(yīng)供應(yīng)異地實(shí)時(shí)備份功能,利用通信網(wǎng)絡(luò)將重要 數(shù)據(jù)實(shí)時(shí)備份至備份場(chǎng)地；方案設(shè)計(jì)思路：1. 依據(jù)等保合規(guī)技術(shù)要求對(duì)業(yè)務(wù)系統(tǒng)在系統(tǒng)設(shè)計(jì)階段,完成系統(tǒng)的 身份鑒別、拜望把握和操作審計(jì)等功能；2. 數(shù)據(jù)的完整性和保密性,除了在其他層面進(jìn)行安全防護(hù)以外,加 密是最為有效的方法；3. 數(shù)據(jù)的異地備份是等保三級(jí)區(qū)分于二級(jí)最重要的要求之一,是實(shí) 現(xiàn)業(yè)務(wù)連續(xù)最基礎(chǔ)的技術(shù)保證措施；安全方案設(shè)計(jì)：（應(yīng)用和數(shù)據(jù)安全設(shè)計(jì)）1. 在應(yīng)用開(kāi)發(fā)之初,就應(yīng)當(dāng)考慮應(yīng)用本身的身份鑒別、拜望把握和安全審計(jì)等功能；對(duì)已經(jīng)上

11、線的系統(tǒng),通過(guò)增加賬號(hào)認(rèn)證、用戶權(quán)限區(qū)分和日志審計(jì)等功能設(shè)計(jì)中意等保要求；2.數(shù)據(jù)備份,舉薦使用RDS的異地容災(zāi)實(shí)例自動(dòng)實(shí)現(xiàn)數(shù)據(jù)備份,亦可以將數(shù)據(jù)庫(kù)備份文件手工同步到云服務(wù)商其他地區(qū)的服務(wù)器；1.1.5 安全治理建設(shè)設(shè)計(jì)安全策略和治理制度：應(yīng)形成由安全策略、治理制度、操作規(guī)程、記錄表單等構(gòu)成的全面的信息安全治理制度體系；安全治理機(jī)構(gòu)和人員：應(yīng)成立指導(dǎo)和治理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組,其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或授權(quán)；安全建設(shè)治理：應(yīng)依據(jù)愛(ài)惜對(duì)象的安全愛(ài)惜等級(jí)及與其他級(jí)別愛(ài)惜對(duì)象的關(guān)系進(jìn)行安全整體規(guī)劃和安全方案設(shè)計(jì),并形成配套文件；安全運(yùn)維治理：應(yīng)實(shí)行必要的措施識(shí)別安全漏洞和隱患,對(duì)發(fā)現(xiàn)的

12、安全漏洞和隱患準(zhǔn)時(shí)進(jìn)行修補(bǔ)或評(píng)估可能的影響后進(jìn)行修補(bǔ)；方案設(shè)計(jì)思路：1. 安全策略、制度和治理層人員,是保證連續(xù)安全特殊重要的基 礎(chǔ)；策略指導(dǎo)安全方向,制度明確安全流程,人員落實(shí)安全責(zé)任；2. 等保要求供應(yīng)了一種方法論和正的確踐,安全可以依據(jù)等保的 方法論進(jìn)行連續(xù)的建設(shè)和治理；3. 安全策略、制度和治理層人員,需要業(yè)務(wù)實(shí)際情形,進(jìn)行梳 理、預(yù)備和落實(shí),并形成特地的文件；4. 漏洞治理過(guò)程中需要用到的技術(shù)手段,舉薦使用安全企業(yè)的人 工安全服務(wù)快速發(fā)覺(jué)云上系統(tǒng)漏洞,準(zhǔn)時(shí)處理；1.1.5.1 安全策略和治理制度安全策略是信息安全保證體系的靈魂和核心,一個(gè)良好的策略體系可以愛(ài)惜整個(gè)信息安全保證體系自動(dòng)

13、的進(jìn)行良性循環(huán),不斷的完善信息安全保證體系；號(hào)序策略治理項(xiàng)治理措施1 安全治理制定總體方針和安全策略,說(shuō)明機(jī)構(gòu)安全工作的總體目標(biāo)、范疇、原就和安全框架等；對(duì)安全治理活動(dòng)中的各類治理內(nèi)容建立安全治理制度,2 制度安全治理對(duì)治理人員 / 操作人員執(zhí)行的日常治理操作建立操作規(guī)程；仍應(yīng)形成由安全策略、治理制度、操作規(guī)程、記錄表單等構(gòu)成的全面的信息安全治理制度體系；3 布制定和發(fā)安全策略和制度的制定應(yīng)由信息安全工作小組和專家小組共同完成,由安全治理委員會(huì)正式發(fā)布；同時(shí)應(yīng)進(jìn)行版本把握,當(dāng)系統(tǒng)顯現(xiàn)變更時(shí),策略或制度的變化應(yīng)得以表達(dá)；安全治理委員會(huì)應(yīng)定期組織對(duì)安全治理制度的合理性和4 訂評(píng)審和修適用性的論證和

14、評(píng)審,特殊是當(dāng)系統(tǒng)/ 云平臺(tái)顯現(xiàn)重大變更后,更應(yīng)準(zhǔn)時(shí)對(duì)不合時(shí)宜的、存在不足的或需要改進(jìn)的安全治理制度進(jìn)行修訂；1.1.5.2 安全治理結(jié)構(gòu)和人員信息安全治理組織和人員的治理原就應(yīng)包括：1. 獵取項(xiàng)目領(lǐng)導(dǎo)小組、各租戶高層領(lǐng)導(dǎo)的足夠重視,保證安全治理組織建設(shè)的順當(dāng)推動(dòng)；2.提高整體員工的安全意識(shí)和技能,從廣泛的人員視角上和縱深的層次上杜絕安全大事的發(fā)生；3. 需要不同的相關(guān)參與部門共同參與,制定不同角色和分工,從而保證安全治理的和諧統(tǒng)一；號(hào)序治理項(xiàng)治理措施租戶和云服務(wù)商應(yīng)協(xié)作,明確授權(quán)審批事項(xiàng)、批準(zhǔn)人等；1 授權(quán)和審針對(duì)系統(tǒng)變更、重要操作、物理拜望和系統(tǒng)接入等事項(xiàng),建立審批程序,依據(jù)程序執(zhí)行審批過(guò)

15、程；對(duì)重要的活動(dòng)應(yīng)建立逐級(jí)批審批制度； 應(yīng)定期審查審批事項(xiàng),準(zhǔn)時(shí)更新需授權(quán)和審批的項(xiàng)目、審批部門和審批人的信息；租戶和云服務(wù)商仍應(yīng)加強(qiáng)各部門的合作與溝通,定期召開(kāi)和諧會(huì)議,共同協(xié)作處理信息安全問(wèn)題；2 溝通和合同時(shí),也應(yīng)建立與外聯(lián)單位（如兄弟單位、公安機(jī)關(guān)、各作類供應(yīng)商、業(yè)界專家和專業(yè)安全組織）的溝通與合作；這些外聯(lián)單位應(yīng)組成列表,注明單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等內(nèi)容；租戶和云服務(wù)商應(yīng)定期執(zhí)行常規(guī)安全檢查,檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份情形等；應(yīng)定期執(zhí)行全面3 審核和檢的安全檢查,檢查內(nèi)容應(yīng)包括安全技術(shù)措施有效性、安全配置查和策略一樣性、安全治理制度的執(zhí)行情形等；使用定

16、制的安全檢查表格來(lái)實(shí)施安全檢查,匯總檢查數(shù)據(jù),形成檢查報(bào)告,對(duì)安全檢查結(jié)果進(jìn)行通報(bào)；租戶和云服務(wù)商均應(yīng)對(duì)被錄用人員的身份、背景、專業(yè)資格和資質(zhì)進(jìn)行審查,對(duì)其工作范疇內(nèi)應(yīng)具備的技術(shù)技能進(jìn)行考4 人員錄用核； 只要被錄用人員具備接觸和把握租戶敏捷數(shù)據(jù)的權(quán)限,均應(yīng)簽署保密協(xié)議；對(duì)于重要的崗位人員,應(yīng)簽署崗位責(zé)任協(xié)議；人員離崗時(shí),應(yīng)準(zhǔn)時(shí)終止其全部拜望權(quán)限,收回各類身份5 人員離崗證件、鑰匙、身份鑒別硬件Key 等各類軟硬件設(shè)備；對(duì)于重要業(yè)務(wù)系統(tǒng),仍應(yīng)要求人員離職辦理嚴(yán)格的調(diào)離手續(xù),承諾調(diào)離后的保密義務(wù)后方可離開(kāi)；租戶和云服務(wù)商均應(yīng)對(duì)人員進(jìn)行安全意識(shí)訓(xùn)練和崗位技能6 安全意識(shí)培訓(xùn),并告知相關(guān)的安全責(zé)任和

17、懲戒措施；訓(xùn)練和培訓(xùn)租戶和云服務(wù)商都應(yīng)對(duì)組織內(nèi)不同崗位制定不同的培訓(xùn)計(jì)劃；培訓(xùn)內(nèi)容應(yīng)涵蓋：崗位操作規(guī)程、組織安全策略的宣講、信息安全基礎(chǔ)學(xué)問(wèn)等；號(hào)序治理項(xiàng)治理措施當(dāng)外部人員通過(guò)物理方式或遠(yuǎn)程接入方式拜望系統(tǒng)時(shí),均 應(yīng)提出書面申請(qǐng)；批準(zhǔn)后,由專人相伴（開(kāi)通賬號(hào)、支配權(quán)7 外部人員限）,并登記備案；當(dāng)外部人員離場(chǎng)后應(yīng)準(zhǔn)時(shí)清除其全部的訪拜望治理問(wèn)權(quán)限；獲得拜望授權(quán)的外部人員仍應(yīng)簽署保密協(xié)議,不得進(jìn)行非 授權(quán)的操作,不得復(fù)制和泄露任何敏捷信息；1.1.5.3 安全建設(shè)治理號(hào)序治理項(xiàng)治理措施在云運(yùn)算環(huán)境中,應(yīng)將云服務(wù)商側(cè)的云運(yùn)算平臺(tái)單獨(dú)作 為定級(jí)對(duì)象定級(jí),云租戶側(cè)的等級(jí)愛(ài)惜對(duì)象也應(yīng)作為單獨(dú)的 定級(jí)對(duì)象定

18、級(jí)；對(duì)于大型云運(yùn)算平臺(tái),應(yīng)將云運(yùn)算基礎(chǔ)設(shè)施1 案定級(jí)和備和有關(guān)幫忙服務(wù)系統(tǒng)劃分為不同的定級(jí)對(duì)象；定級(jí)文件應(yīng)文檔化,以書面形式說(shuō)明愛(ài)惜對(duì)象的邊界、安全愛(ài)惜等級(jí)以及確定登記的方法和理由；定級(jí)結(jié)果需經(jīng)過(guò) 專家評(píng)審其合理性和正確性,確定結(jié)果后經(jīng)過(guò)主管部門批 準(zhǔn),并將備案材料報(bào)主管部門和公安機(jī)關(guān)備案；在對(duì)業(yè)務(wù)系統(tǒng) / 云平臺(tái)進(jìn)行等級(jí)愛(ài)惜安全設(shè)計(jì)時(shí),仍應(yīng) 進(jìn)行風(fēng)險(xiǎn)評(píng)估和差距分析,補(bǔ)充和調(diào)整相應(yīng)的安全措施；仍應(yīng)依據(jù)愛(ài)惜對(duì)象的安全愛(ài)惜等級(jí)及與其他級(jí)別愛(ài)惜對(duì) 象的關(guān)系進(jìn)行整體安全規(guī)劃和安全方案設(shè)計(jì),并形成配套文2 設(shè)計(jì)安全方案件；規(guī)劃文件和設(shè)計(jì)方案需經(jīng)過(guò)安全專家對(duì)合理性和正確性進(jìn)行論證和審定,經(jīng)過(guò)批準(zhǔn)后才能正式

19、實(shí)施；此外,云服務(wù)商應(yīng)供應(yīng)足夠開(kāi)放的接口或開(kāi)放性安全服 務(wù),答應(yīng)云租戶自行設(shè)計(jì)接入第三方的安全產(chǎn)品,或在云平 臺(tái)中可以選擇第三方的安全服務(wù)；云服務(wù)商應(yīng)支持異構(gòu)的方 式,對(duì)云租戶的安全措施進(jìn)行實(shí)施；號(hào)序治理項(xiàng)治理措施選購(gòu)的安全產(chǎn)品應(yīng)具備相應(yīng)產(chǎn)品認(rèn)證資質(zhì)；安全產(chǎn)品至3 產(chǎn)品選購(gòu)少具備公安機(jī)關(guān)頒發(fā)的運(yùn)算機(jī)信息系統(tǒng)安全銷售許可證；和使用在選購(gòu)安全產(chǎn)品之前,應(yīng)先進(jìn)行產(chǎn)品選型測(cè)試,確定產(chǎn) 品候選范疇,建立候選產(chǎn)品名單,并進(jìn)行定期審核和更新；應(yīng)建立單獨(dú)的開(kāi)發(fā)環(huán)境,與實(shí)際物理運(yùn)行環(huán)境規(guī)律隔 離,保證測(cè)試數(shù)據(jù)和測(cè)試結(jié)果可控,防止侵害實(shí)際運(yùn)行環(huán) 境；安全性測(cè)試應(yīng)融入軟件開(kāi)發(fā)過(guò)程,在軟件安裝前對(duì)可能 存在的惡意代碼

20、進(jìn)行檢測(cè)；仍應(yīng)：制定軟件安全開(kāi)發(fā)治理制度,明確開(kāi)發(fā)過(guò)程的把握方法4 開(kāi)發(fā)自行軟件和人員行為準(zhǔn)就；指定代碼編寫安全規(guī)范,要求開(kāi)發(fā)人員遵照?qǐng)?zhí)行；確保具備軟件設(shè)計(jì)的全部相關(guān)文檔和使用指南,并對(duì)文 檔進(jìn)行版本把握；確保對(duì)程序資源庫(kù)的修改、更新和發(fā)布均進(jìn)行授權(quán)和批 準(zhǔn)把握；確保開(kāi)發(fā)人員為專職人員,開(kāi)發(fā)人員的開(kāi)發(fā)活動(dòng)受控 制、監(jiān)視和審查；對(duì)于外包軟件開(kāi)發(fā),應(yīng)做到：在軟件交付使用前,應(yīng)進(jìn)行源代碼審計(jì)和檢測(cè),檢測(cè)軟5 開(kāi)發(fā)外包軟件件質(zhì)量和其中可能存在的惡意代碼；外包單位應(yīng)供應(yīng)軟件設(shè)計(jì)文檔和使用指南；仍應(yīng)要求外包單位供應(yīng)軟件源代碼,并執(zhí)行源代碼安全 審查,重點(diǎn)關(guān)注是否存在后門、隱匿信道等；在實(shí)施前,應(yīng)制定工程實(shí)

21、施方案,把握安全工程的實(shí)施6 工程實(shí)施過(guò)程；并指定特地的部門或人員負(fù)責(zé)工程實(shí)施過(guò)程的治理；仍應(yīng)通過(guò)第三方工程監(jiān)理把握項(xiàng)目的實(shí)施過(guò)程；7 測(cè)試驗(yàn)收測(cè)試驗(yàn)收過(guò)程,應(yīng)第一制定測(cè)試驗(yàn)收方案,并依據(jù)測(cè)試驗(yàn)收方案實(shí)施測(cè)試驗(yàn)收,最終形成測(cè)試報(bào)告；應(yīng)特地進(jìn)行上號(hào)序治理項(xiàng)治理措施線前的安全性測(cè)試,對(duì)安全措施有效性進(jìn)行測(cè)試,并出具安 全測(cè)試報(bào)告；系統(tǒng)交付時(shí),應(yīng)依據(jù)交付清單對(duì)交接的設(shè)備、軟件和文 檔等進(jìn)行逐一清點(diǎn)；交付后的運(yùn)行愛(ài)惜技術(shù)人員應(yīng)進(jìn)行相應(yīng)8 系統(tǒng)交付的技能培訓(xùn)；云服務(wù)商應(yīng)確保供應(yīng)建設(shè)過(guò)中的文檔,以及指導(dǎo)用戶進(jìn) 行運(yùn)行愛(ài)惜的指南性文檔；云平臺(tái)的等級(jí)愛(ài)惜測(cè)評(píng)目前正在進(jìn)行試點(diǎn)工程,由公安 部等級(jí)愛(ài)惜測(cè)評(píng)中心進(jìn)行

22、；對(duì)于云上業(yè)務(wù)系統(tǒng)的測(cè)評(píng),需要9 等級(jí)測(cè)評(píng)具備等級(jí)愛(ài)惜測(cè)評(píng)資質(zhì)的單位進(jìn)行；應(yīng)定期執(zhí)行等級(jí)測(cè)評(píng)工作,特殊是顯現(xiàn)重大變更或級(jí)別發(fā)生變化時(shí),均應(yīng)執(zhí)行等級(jí)測(cè)評(píng),在發(fā)覺(jué)存在安全差距時(shí),進(jìn)行準(zhǔn)時(shí)的整改；除了云運(yùn)算方面的需求,客戶在選擇云服務(wù)商時(shí)仍應(yīng)考 慮安全才能要求；主要包括：云服務(wù)商安全資質(zhì)：如 ISO 27001 、等級(jí)愛(ài)惜測(cè)評(píng)認(rèn) 證、 CNAS、云安全審查（政務(wù)云,一般級(jí)或增強(qiáng)級(jí)）等；云服務(wù)商案例：是否擁有行業(yè)內(nèi)的云服務(wù)案例；10 選擇云服務(wù)商安全才能要求：開(kāi)發(fā)安全、供應(yīng)鏈安全、通信安全、訪問(wèn)把握、配置治理、愛(ài)惜體系、業(yè)務(wù)連續(xù)性、安全審計(jì)、風(fēng)險(xiǎn)評(píng)估與連續(xù)監(jiān)控、安全組織和人員建設(shè)以及物理和環(huán)境安 全；

23、此外,對(duì)于云服務(wù)商的選擇,仍應(yīng)通過(guò) SLA協(xié)議和保密 協(xié)議方式,確保云服務(wù)商能夠中意租戶的云運(yùn)算服務(wù)、安 全、保密等需求；SLA協(xié)議保證了云服務(wù)商所供應(yīng)的服務(wù)的有效性,詳細(xì)11 SLA協(xié)議規(guī)范了云服務(wù)商應(yīng)供應(yīng)的各項(xiàng)服務(wù)的質(zhì)量標(biāo)準(zhǔn)；同時(shí),SLA協(xié)議也規(guī)范了懲戒規(guī)定,為云服務(wù)商不能中意SLA需求所制定； SLA協(xié)議至少包括：號(hào)序治理項(xiàng)治理措施權(quán)責(zé)支配：規(guī)定云服務(wù)商的權(quán)限和責(zé)任,包括治理范 圍、職責(zé)劃分、拜望授權(quán)、隱私愛(ài)惜、行為準(zhǔn)就、違約責(zé)任 等；數(shù)據(jù)安全方面：數(shù)據(jù)可銷毀性、數(shù)據(jù)可遷移性、數(shù)據(jù)私 密性、數(shù)據(jù)知情權(quán)、業(yè)務(wù)可審查性；業(yè)務(wù)可用性方面：業(yè)務(wù)功能、業(yè)務(wù)可用性、業(yè)務(wù)資源調(diào) 配才能、故障復(fù)原才能、

24、網(wǎng)絡(luò)接入性能；服務(wù)約束方面：服務(wù)計(jì)量方式、服務(wù)變更、終止條款、服務(wù)賠償條款、用戶約束條款、免責(zé)條款等內(nèi)容項(xiàng)；對(duì)于三級(jí)業(yè)務(wù)系統(tǒng),租戶應(yīng)與能夠拜望或把握租戶信 息、數(shù)據(jù)的云服務(wù)商及其內(nèi)部員工簽訂保密協(xié)議,并且保密 協(xié)議應(yīng)作為合同的附件；保密協(xié)議應(yīng)包括：未經(jīng)租戶授權(quán),云服務(wù)商或個(gè)人不得以任何手段,使用 未經(jīng)授權(quán)的租戶信息；未經(jīng)租戶授權(quán),云服務(wù)商或個(gè)人不得在工作職責(zé)授權(quán)以 外使用、共享租戶信息；未經(jīng)租戶授權(quán),不得泄露、披露、轉(zhuǎn)讓租戶的技術(shù)信 息、業(yè)務(wù)信息和安全信息；12 保密協(xié)議告；當(dāng)?shù)谌揭笈蹲鈶粜畔r(shí),不應(yīng)響應(yīng),并立刻報(bào)對(duì)違反或可能導(dǎo)致違反保密協(xié)議的活動(dòng)或?qū)嵺`,一經(jīng)發(fā) 現(xiàn)應(yīng)立刻報(bào)告；合同終止時(shí)

25、,云服務(wù)商應(yīng)返仍租戶全部保密信息,并明 確返仍的詳細(xì)要求和內(nèi)容；明確保密協(xié)議的有效期；此外,租戶應(yīng)依據(jù)信息的重要敏捷程度,的確是否需要 對(duì)拜望敏捷數(shù)據(jù)的云服務(wù)商工作人員進(jìn)行背景調(diào)查；如有必 要,應(yīng)托付相關(guān)職能部門（如公安機(jī)構(gòu)）進(jìn)行背景調(diào)查工 作；號(hào)序治理項(xiàng)治理措施云運(yùn)算服務(wù)的外包服務(wù)或選購(gòu)產(chǎn)品均可視為供應(yīng)鏈,服 務(wù)或產(chǎn)品的供應(yīng)商即服務(wù)鏈的供應(yīng)商；在選擇供應(yīng)商時(shí),應(yīng) 確保其產(chǎn)品的開(kāi)發(fā)環(huán)境、開(kāi)發(fā)設(shè)備以及對(duì)開(kāi)發(fā)環(huán)境的外部連 接實(shí)施了安全把握；供應(yīng)商的開(kāi)發(fā)人員和服務(wù)人員均應(yīng)進(jìn)行 審核；供應(yīng)商產(chǎn)品的運(yùn)輸或儲(chǔ)備過(guò)程中的安全性等等；13 理供應(yīng)鏈管此外,安全供應(yīng)商應(yīng)將產(chǎn)品相關(guān)的安全大事信息、威逼信息準(zhǔn)時(shí)傳達(dá)

26、給云租戶和云服務(wù)商（例如產(chǎn)品爆出重大漏洞）；供應(yīng)商的重要變更也需要準(zhǔn)時(shí)傳達(dá)給云租戶和云服務(wù) 商,并評(píng)估變更可能帶來(lái)的安全風(fēng)險(xiǎn),供應(yīng)舉薦措施對(duì)風(fēng)險(xiǎn) 進(jìn)行把握；租戶方和云服務(wù)商均有執(zhí)行運(yùn)行監(jiān)管的責(zé)任和義務(wù)；租 戶要依據(jù)合同、規(guī)章制度和標(biāo)準(zhǔn)加強(qiáng)對(duì)云服務(wù)商和自身的運(yùn) 行監(jiān)管,同時(shí)云服務(wù)商、第三方評(píng)估機(jī)構(gòu)需要積極參與和配 合；租戶和云服務(wù)商均需要明確負(fù)責(zé)執(zhí)行運(yùn)行監(jiān)管的責(zé)任人 和聯(lián)系方式；租戶監(jiān)管責(zé)任：監(jiān)督云服務(wù)商嚴(yán)格履行合同規(guī)定的各項(xiàng)責(zé)任和義務(wù)；幫忙云服務(wù)商處理重大信息安全大事；在云服務(wù)商的支持協(xié)作下,對(duì)以下方面進(jìn)行監(jiān)管：14 運(yùn)行監(jiān)管服務(wù)運(yùn)行狀態(tài)；性能指標(biāo),如資源使用情形；特殊安全需求；云運(yùn)算平臺(tái)供應(yīng)

27、的監(jiān)視技術(shù)和接口；其他必要的監(jiān)管活動(dòng)；加強(qiáng)對(duì)云運(yùn)算服務(wù)和業(yè)務(wù)使用者的信息安全訓(xùn)練和監(jiān) 管；對(duì)自身負(fù)責(zé)的云運(yùn)算環(huán)境及客戶端的安全措施進(jìn)行監(jiān) 管；云服務(wù)商監(jiān)管責(zé)任：號(hào)序治理項(xiàng)治理措施嚴(yán)格履行合同規(guī)定的責(zé)任和義務(wù)；開(kāi)展周期性的風(fēng)險(xiǎn)評(píng)估和監(jiān)測(cè),包括 : 監(jiān)視非授權(quán)的遠(yuǎn) 程連接,連續(xù)監(jiān)視賬號(hào)治理、策略轉(zhuǎn)變、特權(quán)功能、系統(tǒng)事 件等活動(dòng),監(jiān)視與其他信息系統(tǒng)的數(shù)據(jù)交互等；依據(jù)合同要求或雙方的商定,向租戶供應(yīng)相關(guān)的接口和 材料,協(xié)作租戶的監(jiān)管活動(dòng)；云運(yùn)算平臺(tái)顯現(xiàn)重大變更后,準(zhǔn)時(shí)向租戶報(bào)告情形,并 托付第三方評(píng)估機(jī)構(gòu)進(jìn)行安全評(píng)估；顯現(xiàn)重大信息安全大事時(shí),準(zhǔn)時(shí)向租戶報(bào)告大事及處置 情形；連續(xù)開(kāi)展對(duì)雇員的信息安全訓(xùn)練

28、,監(jiān)督雇員遵守相關(guān)制 度；租戶可能因合同到期或其他緣由,需要退出云運(yùn)算服 務(wù),或?qū)⑵鋽?shù)據(jù)和業(yè)務(wù)系統(tǒng)遷移至其他云運(yùn)算平臺(tái)上；由于 退出云運(yùn)算服務(wù)是一個(gè)復(fù)雜的過(guò)程,租戶需要留意以下事 項(xiàng)：在簽訂合同時(shí)提前商定退出條件,以及退出時(shí)租戶、云 服務(wù)商的責(zé)任和義務(wù),應(yīng)與云服務(wù)商協(xié)商數(shù)據(jù)和業(yè)務(wù)系統(tǒng)遷 移出云運(yùn)算平臺(tái)的接口和方案；在退出服務(wù)過(guò)程中,應(yīng)要求云服務(wù)商完整返仍租戶數(shù) 據(jù)；15 安全退出在將數(shù)據(jù)和業(yè)務(wù)系統(tǒng)遷移回租戶自有的數(shù)據(jù)中心或其他云運(yùn)算平臺(tái)的過(guò)程中,應(yīng)中意業(yè)務(wù)的可用性和連續(xù)性要求,照實(shí)行原業(yè)務(wù)系統(tǒng)與新部署業(yè)務(wù)系統(tǒng)并行運(yùn)行一段時(shí)間等措 施；準(zhǔn)時(shí)取消云服務(wù)商對(duì)租戶資源的物理和電子拜望權(quán)限；提示云服務(wù)商

29、在租戶退出云運(yùn)算服務(wù)后仍應(yīng)承擔(dān)的責(zé)任 和義務(wù),如保密要求等；退出云運(yùn)算服務(wù)后需要確保云服務(wù)商按要求保留數(shù)據(jù)或 完全清除數(shù)據(jù)；號(hào)序治理項(xiàng)治理措施如需變更云服務(wù)商,應(yīng)第一依據(jù)選擇云服務(wù)商的要求,執(zhí)行云服務(wù)商選擇階段的各項(xiàng)活動(dòng),確定新的云服務(wù)商并簽 署合同；完成云運(yùn)算服務(wù)的遷移后再退出原云運(yùn)算服務(wù)；1.1.5.4 安全運(yùn)維治理1. 環(huán)境和資產(chǎn)治理治理要求項(xiàng) 要求要點(diǎn)指定特地的部門或人員負(fù)責(zé)機(jī)房安全,對(duì)機(jī)房出入進(jìn)行治理,理機(jī)房安全管定期對(duì)機(jī)房供配電、空調(diào)、溫濕度把握、消防等設(shè)施進(jìn)行愛(ài)惜管理；建立機(jī)房安全治理制度,對(duì)有關(guān)機(jī)房物理拜望,物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面的治理作出規(guī)定；理環(huán)境安全管不在

30、重要區(qū)域接待來(lái)訪人員和桌面上沒(méi)有包含敏捷信息的紙檔文件、移動(dòng)介質(zhì)等；編制并儲(chǔ)存與愛(ài)惜對(duì)象相關(guān)的資產(chǎn)清單,包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容；資產(chǎn)治理對(duì)于三級(jí)業(yè)務(wù)系統(tǒng)/ 云平臺(tái)相關(guān)資產(chǎn),仍應(yīng)依據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)治理,依據(jù)資產(chǎn)的價(jià)值選擇相應(yīng)的治理措施；對(duì)信息分類與標(biāo)識(shí)方法作出規(guī)定,并對(duì)信息的使用、傳輸和儲(chǔ)備等進(jìn)行 規(guī)范化治理；2. 介質(zhì)和設(shè)備治理治理要求項(xiàng) 要求要點(diǎn)確保介質(zhì)存放在安全的環(huán)境中,對(duì)各類介質(zhì)進(jìn)行把握和愛(ài)惜,介質(zhì)治理實(shí)行儲(chǔ)備環(huán)境專人治理,并依據(jù)存檔介質(zhì)的目錄清單定期盤點(diǎn)；對(duì) 介質(zhì)在物理傳輸過(guò)程中的人員選擇、打包、交付等情形進(jìn)行把握,并對(duì)介質(zhì)的歸檔和查詢等進(jìn)行登記記錄；

31、對(duì)服務(wù)器、網(wǎng)絡(luò)及安全設(shè)備、業(yè)務(wù)應(yīng)用的操作應(yīng)制定標(biāo)準(zhǔn)化的 操作規(guī)范；建立配套設(shè)施、軟硬件愛(ài)惜方面的治理制度,對(duì)其愛(ài)惜進(jìn)行有 效的治理,包括明確愛(ài)惜人員的責(zé)任、涉外修理和服務(wù)的審批、維理設(shè)備愛(ài)惜管修過(guò)程的監(jiān)督把握等；/ 云平臺(tái),應(yīng)確保信息處理設(shè)備必需經(jīng)過(guò)審批對(duì)于三級(jí)業(yè)務(wù)系統(tǒng)才能帶離機(jī)房或辦公地點(diǎn),含有儲(chǔ)備介質(zhì)的設(shè)備帶出工作環(huán)境時(shí)其 中重要數(shù)據(jù)必需加密；有儲(chǔ)備介質(zhì)的設(shè)備在報(bào)廢或重用前,應(yīng)進(jìn)行 完全清除或被安全掩蓋,確保該設(shè)備上的敏捷數(shù)據(jù)和授權(quán)軟件無(wú)法 被復(fù)原重用；3. 漏洞和風(fēng)險(xiǎn)治理治理要求項(xiàng) 要求要點(diǎn)實(shí)行必要的措施識(shí)別安全漏洞和隱患,對(duì)發(fā)覺(jué)的安全漏洞和隱理漏洞和風(fēng)險(xiǎn)管患準(zhǔn)時(shí)進(jìn)行修補(bǔ)或評(píng)估可能的影響

32、后進(jìn)行修補(bǔ)；對(duì)于三級(jí)業(yè)務(wù)系統(tǒng)/ 云平臺(tái),應(yīng)定期開(kāi)展安全測(cè)評(píng),形成安全測(cè)評(píng)報(bào)告,實(shí)行措施應(yīng)對(duì)發(fā)覺(jué)的安全問(wèn)題；4. 網(wǎng)絡(luò)和系統(tǒng)安全治理治理要求項(xiàng) 角色權(quán)限支配賬號(hào)治理要求要點(diǎn)應(yīng)劃分不同的治理員角色進(jìn)行網(wǎng)絡(luò)和系統(tǒng)的運(yùn)維治理,明確各 個(gè)角色的責(zé)任和權(quán)限；應(yīng)指定特地的部門或人員進(jìn)行賬號(hào)治理,對(duì)申請(qǐng)賬號(hào)、建立賬 號(hào)、刪除賬號(hào)等進(jìn)行把握；建立網(wǎng)絡(luò)和系統(tǒng)安全治理制度,對(duì)安全策略、賬號(hào)治理、配置 治理制度 治理、日志治理、日常操作、升級(jí)與打補(bǔ)丁、口令更新周期等方面 作出規(guī)定；操作手冊(cè) 運(yùn)維操作日志 記錄網(wǎng)絡(luò) / 系統(tǒng)變 更治理制定重要設(shè)備的配置和操作手冊(cè),依據(jù)手冊(cè)對(duì)設(shè)備進(jìn)行安全配 置和優(yōu)化配置等；詳細(xì)記錄運(yùn)維操

33、作日志,包括日常巡檢工作、運(yùn)行愛(ài)惜記錄、參數(shù)的設(shè)置和修改等內(nèi)容；對(duì)于三級(jí)業(yè)務(wù)系統(tǒng)/ 云平臺(tái),應(yīng)嚴(yán)格把握變更性運(yùn)維,經(jīng)過(guò)審批后才可轉(zhuǎn)變連接、安裝系統(tǒng)組件或調(diào)整配置參數(shù),操作過(guò)程中 應(yīng)保留不行更換的審計(jì)日志,操作終止后應(yīng)同步更新配置信息庫(kù)；用運(yùn)維工具的使對(duì)于三級(jí)業(yè)務(wù)系統(tǒng)/ 云平臺(tái),應(yīng)嚴(yán)格把握運(yùn)維工具的使用,經(jīng)過(guò)審批后才可接入進(jìn)行操作,操作過(guò)程中應(yīng)保留不行更換的審計(jì)遠(yuǎn)程運(yùn)維治理日志,操作終止后應(yīng)刪除工具中的敏捷數(shù)據(jù)；對(duì)于三級(jí)業(yè)務(wù)系統(tǒng)/ 云平臺(tái),應(yīng)嚴(yán)格把握遠(yuǎn)程運(yùn)維的開(kāi)通,經(jīng)過(guò)審批后才可開(kāi)通遠(yuǎn)程運(yùn)維接口或通道,操作過(guò)程中應(yīng)保留不行更換的審計(jì)日志,操作終止后立刻關(guān)閉接口或通道；外部連接和無(wú) 線網(wǎng)絡(luò)治理對(duì)于

34、三級(jí)業(yè)務(wù)系統(tǒng)/ 云平臺(tái),應(yīng)保證全部與外部的連接均得到授權(quán)和批準(zhǔn),應(yīng)定期檢查違反規(guī)定無(wú)線上網(wǎng)及其他違反網(wǎng)絡(luò)安全 策略的行為；5. 惡意代碼防范治理治理要求項(xiàng) 防惡意代碼意 識(shí) 防惡意代碼管 理制度審查機(jī)制要求要點(diǎn) 應(yīng)提高全部用戶的防惡意代碼意識(shí),告知對(duì)外來(lái)運(yùn)算機(jī)或儲(chǔ)備 設(shè)備接入系統(tǒng)前進(jìn)行惡意代碼檢查等；應(yīng)對(duì)惡意代碼防范要求做出規(guī)定,包括防惡意代碼軟件的授權(quán) 使用、惡意代碼庫(kù)升級(jí)、惡意代碼的定期查殺等；應(yīng)定期檢查惡意代碼庫(kù)的升級(jí)情形,對(duì)截獲的惡意代碼進(jìn)行及 時(shí)分析處理；6. 配置治理治理要求項(xiàng) 要求要點(diǎn)應(yīng)記錄和儲(chǔ)存基本配置信息,包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、各個(gè)設(shè)備安配置治理內(nèi)容 裝的軟件組件、軟件組件的版本

35、和補(bǔ)丁信息、各個(gè)設(shè)備或軟件組件的配置參數(shù)等；治理配置信息動(dòng)態(tài)對(duì)于三級(jí)業(yè)務(wù)系統(tǒng)/ 云平臺(tái), b 應(yīng)將基本配置信息轉(zhuǎn)變納入變更范疇,實(shí)施對(duì)配置信息轉(zhuǎn)變的把握,并準(zhǔn)時(shí)更新基本配置信息庫(kù)；7. 密碼治理治理要求項(xiàng) 密碼學(xué)產(chǎn)品資 質(zhì)要求 密碼學(xué)產(chǎn)品開(kāi) 發(fā)要求要點(diǎn) 應(yīng)使用符合國(guó)家密碼治理規(guī)定的密碼技術(shù)和產(chǎn)品；商用密碼產(chǎn)品銷售許可證應(yīng)依據(jù)國(guó)家密碼治理的要求開(kāi)展密碼技術(shù)和產(chǎn)品的應(yīng)用；8. 變更治理制治理要求項(xiàng)要求要點(diǎn)變更過(guò)程應(yīng)明確變更需求,變更前依據(jù)變更需求制定變更方案,變更方案經(jīng)過(guò)評(píng)審、審批后方可實(shí)施；申報(bào)和審批控對(duì)于三級(jí)業(yè)務(wù)系統(tǒng)/ 云平臺(tái),應(yīng)建立變更的申報(bào)和審批把握程變更失敗復(fù)原序,依據(jù)程序把握全部的變更

36、,記錄變更實(shí)施過(guò)程；對(duì)于三級(jí)業(yè)務(wù)系統(tǒng)/ 云平臺(tái),應(yīng)建立中止變更并從失敗變更中復(fù)原的程序,明確過(guò)程把握方法和人員職責(zé),必要時(shí)對(duì)復(fù)原過(guò)程進(jìn)行演練；9. 備份與復(fù)原治理治理要求項(xiàng)識(shí)別備份客體確定備份參數(shù)數(shù)據(jù)備份和恢復(fù)策略要求要點(diǎn) 應(yīng)識(shí)別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng) 等；對(duì)于三級(jí)業(yè)務(wù)系統(tǒng)數(shù)據(jù),應(yīng)規(guī)定備份信息的備份方式、備份頻度、儲(chǔ)備介質(zhì)、儲(chǔ)存期等；對(duì)于三級(jí)業(yè)務(wù)系統(tǒng)數(shù)據(jù),應(yīng)依據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對(duì)系統(tǒng) 運(yùn)行的影響,制定數(shù)據(jù)的備份策略和復(fù)原策略、備份程序和復(fù)原 程序等；10. 安全大事處置治理要求項(xiàng) 大事報(bào)告 報(bào)告和處置管 理制度大事分析 重大安全大事 處置要求要點(diǎn) 應(yīng)報(bào)告所發(fā)覺(jué)的安全弱點(diǎn)和可疑大事；應(yīng)制定安全大事報(bào)告和處置治理制度,明確不同安全大事的報(bào) 告、處置和響應(yīng)流程,規(guī)定安全大事的現(xiàn)場(chǎng)處理、大事報(bào)告和后期 復(fù)原的治理職責(zé)等；應(yīng)在安全大事報(bào)告和響應(yīng)處理過(guò)程中,分析和鑒定大事產(chǎn)生的緣由,收集證據(jù),記錄處理過(guò)程,總結(jié)體會(huì)教訓(xùn)；對(duì)于三