信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)自查

信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)自查信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)自查（二級(jí)）單位全稱：XXX項(xiàng)目聯(lián)系人：XXX電話：XXX郵箱：XXX被測(cè)信息系統(tǒng)情況承載的業(yè)務(wù)情況深圳市XXX系統(tǒng)，XX年投入使用，包括X臺(tái)服務(wù)器、X臺(tái)網(wǎng)絡(luò)設(shè)備和X臺(tái)安全設(shè)備。深圳市XXX系統(tǒng)是為深圳市XXX(系統(tǒng)簡(jiǎn)介)。網(wǎng)絡(luò)結(jié)構(gòu)給出被測(cè)信息系統(tǒng)的拓?fù)浣Y(jié)構(gòu)示意圖，并基于示意圖說(shuō)明被測(cè)信息系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)基本情況，包括功能/安全區(qū)域劃分、隔離與防護(hù)情況、關(guān)鍵網(wǎng)絡(luò)和主機(jī)設(shè)備的部署情況和功能簡(jiǎn)介、與其他信息系統(tǒng)的互聯(lián)情況和邊界設(shè)備以及本地備份和災(zāi)備中心的情況。信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)自查全文共20頁(yè)，當(dāng)前為第1頁(yè)。深圳市XXX系統(tǒng)由邊界安全域、核心安全域和服務(wù)器安全域等三個(gè)功能區(qū)域組成，主要有XXX功能。各功能區(qū)都位于XX機(jī)房。具體拓?fù)淙缦拢盒畔⑾到y(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)自查全文共20頁(yè)，當(dāng)前為第1頁(yè)。圖2-1深圳市XXX系統(tǒng)拓?fù)鋱D備注：需注明網(wǎng)絡(luò)出口（電信，電子資源政務(wù)中心、XXX等）系統(tǒng)備案情況深圳市XXX系統(tǒng)備案為X級(jí)，系統(tǒng)備案編號(hào)為X，備案軟件顯示系統(tǒng)防護(hù)為SXAXGX系統(tǒng)構(gòu)成2.1機(jī)房序號(hào)機(jī)房名稱物理位置1XXX機(jī)房XX大樓XX2.2網(wǎng)絡(luò)設(shè)備信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)自查全文共20頁(yè)，當(dāng)前為第2頁(yè)。以列表形式給出被測(cè)信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)備。信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)自查全文共20頁(yè)，當(dāng)前為第2頁(yè)。序號(hào)設(shè)備名稱操作系統(tǒng)品牌設(shè)備信息用途數(shù)量（臺(tái)/套）重要程度1華為交換機(jī)OS華為S9700IP:192.168.1.1接入交換機(jī)2高2華為路由器OS2.3安全設(shè)備以列表形式給出被測(cè)信息系統(tǒng)中的安全設(shè)備。序號(hào)設(shè)備名稱操作系統(tǒng)品牌設(shè)備信息用途數(shù)量（臺(tái)/套）重要程度1華為信防火墻防火墻OS華為型號(hào)：XXXIP：192.168.1.1策略限制、訪問(wèn)控制3高2NIP綠盟型號(hào)：XXXIP：192.168.1.1入侵檢測(cè)1高3SSLVPN深信服型號(hào)：XXXIP：192.168.1.1VPN1高4負(fù)載均衡深信服型號(hào)：XXXIP：192.168.1.1負(fù)載均衡1中2.4服務(wù)器/存儲(chǔ)設(shè)備信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)自查全文共20頁(yè)，當(dāng)前為第3頁(yè)。以列表形式給出被測(cè)信息系統(tǒng)中的服務(wù)器和存儲(chǔ)設(shè)備，描述服務(wù)器和存儲(chǔ)設(shè)備的項(xiàng)目包括設(shè)備名稱、操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)以及承載的業(yè)務(wù)應(yīng)用軟件系統(tǒng)。信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)自查全文共20頁(yè)，當(dāng)前為第3頁(yè)。序號(hào)設(shè)備名稱設(shè)備名稱在本報(bào)告中應(yīng)唯一，如xx業(yè)務(wù)主數(shù)據(jù)庫(kù)服務(wù)器或設(shè)備名稱在本報(bào)告中應(yīng)唯一，如xx業(yè)務(wù)主數(shù)據(jù)庫(kù)服務(wù)器或xx-svr-db-1。操作系統(tǒng)/數(shù)據(jù)庫(kù)管理系統(tǒng)版本業(yè)務(wù)應(yīng)用軟件數(shù)量（臺(tái)/套）重要程度1服務(wù)器名稱windowsIP：192.168.1.12008業(yè)務(wù)系統(tǒng)應(yīng)用2高2.5終端以列表形式給出被測(cè)信息系統(tǒng)中的終端，包括業(yè)務(wù)管理終端、業(yè)務(wù)終端和運(yùn)維終端等。序號(hào)設(shè)備名稱操作系統(tǒng)用途數(shù)量（臺(tái)/套）重要程度1W-PCwindows業(yè)務(wù)管理終端2高2.6業(yè)務(wù)應(yīng)用軟件以列表的形式給出被測(cè)信息系統(tǒng)中的業(yè)務(wù)應(yīng)用軟件（包括含中間件等應(yīng)用平臺(tái)軟件），描述項(xiàng)目包括軟件名稱、主要功能簡(jiǎn)介。序號(hào)軟件名稱主要功能開(kāi)發(fā)廠商重要程度1XXX系統(tǒng)XXX系統(tǒng)該系統(tǒng)...（系統(tǒng)簡(jiǎn)介）永泰高2Tomcat3Weblogic信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)自查全文共20頁(yè)，當(dāng)前為第4頁(yè)。信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)自查全文共20頁(yè)，當(dāng)前為第4頁(yè)。2.7關(guān)鍵數(shù)據(jù)類別以列表形式描述具有相近業(yè)務(wù)屬性和安全需求的數(shù)據(jù)集合。序號(hào)數(shù)據(jù)類別如鑒別如鑒別數(shù)據(jù)、管理信息和業(yè)務(wù)數(shù)據(jù)等，而業(yè)務(wù)數(shù)據(jù)可從安全防護(hù)需求（保密、完整等）的角度進(jìn)一步細(xì)分。所屬業(yè)務(wù)應(yīng)用安全防護(hù)需求保密性，完整性等。保密性，完整性等。重要程度1業(yè)務(wù)數(shù)據(jù)XX系統(tǒng)保密性、完整性高如鑒別數(shù)據(jù)、管理信息和業(yè)務(wù)數(shù)據(jù)等，而業(yè)務(wù)數(shù)據(jù)可從安全防護(hù)需求（保密、完整等）的角度進(jìn)一步細(xì)分。保密性，完整性等2.8安全相關(guān)人員序號(hào)姓名崗位/角色聯(lián)系方式1XXX安全主管136XXXXX2XXX網(wǎng)絡(luò)管理員139XXXXX.................2.9安全管理文檔信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)自查全文共20頁(yè)，當(dāng)前為第5頁(yè)。信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)自查全文共20頁(yè)，當(dāng)前為第5頁(yè)。序號(hào)文檔名稱主要內(nèi)容1《深圳市XXX局計(jì)算機(jī)網(wǎng)絡(luò)保密管理辦法》內(nèi)網(wǎng)計(jì)算機(jī)維修、報(bào)廢、軟硬件、IP管理2《關(guān)于成立深圳市XXX局信息安全管理領(lǐng)導(dǎo)小組的決定》明確小組成員及成員工作職責(zé)3《深圳市XXX局信息公開(kāi)保密審查制度》公開(kāi)保密審查流程，防止保密信息泄露4《市XXX局中心機(jī)房管理制度》機(jī)房日常、設(shè)備、系統(tǒng)軟件、計(jì)算機(jī)病毒防范管理，數(shù)據(jù)保密及數(shù)據(jù)備份，管理員職責(zé)，計(jì)算機(jī)使用和管理制度5《深圳市XXX局信息安全、網(wǎng)絡(luò)安全突發(fā)事件的應(yīng)急處置預(yù)案》組織指揮體系及職責(zé)、預(yù)防和預(yù)警機(jī)制、應(yīng)急響應(yīng)，宣傳、培訓(xùn)、審查、監(jiān)控6《深圳市XXX局網(wǎng)站管理暫行辦法》網(wǎng)站日常維護(hù)和管理，網(wǎng)站安全、監(jiān)督與考核2.10安全服務(wù)序號(hào)安全服務(wù)名稱安全服務(wù)包括系統(tǒng)集成、安全集成、安全運(yùn)維、安全測(cè)評(píng)、應(yīng)急響應(yīng)、安全監(jiān)測(cè)等所有相關(guān)安全服務(wù)。安全服務(wù)包括系統(tǒng)集成、安全集成、安全運(yùn)維、安全測(cè)評(píng)、應(yīng)急響應(yīng)、安全監(jiān)測(cè)等所有相關(guān)安全服務(wù)。安全服務(wù)商1安全運(yùn)維XXXX信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)自查全文共20頁(yè)，當(dāng)前為第6頁(yè)。信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)自查全文共20頁(yè)，當(dāng)前為第6頁(yè)。掃描3.1主機(jī)掃描采用綠盟極光對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)等進(jìn)行主機(jī)掃描，發(fā)現(xiàn)服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)版本漏洞、系統(tǒng)補(bǔ)丁、弱口令等安全漏洞。原始報(bào)告可另附。3.2應(yīng)用層掃描采用IBMRationalAppscan對(duì)系統(tǒng)進(jìn)行應(yīng)用層掃描，發(fā)現(xiàn)系統(tǒng)由于編碼習(xí)慣，插件版本等存在的漏洞，可發(fā)現(xiàn)各種CGI漏洞、SQL注入，跨站腳本，敏感信息泄漏。原始報(bào)告可另附。安全管理核查信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)自查全文共20頁(yè)，當(dāng)前為第8頁(yè)。信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)自查全文共20頁(yè)，當(dāng)前為第7頁(yè)。4.1安全管理制度信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)自查全文共20頁(yè)，當(dāng)前為第8頁(yè)。信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)自查全文共20頁(yè)，當(dāng)前為第7頁(yè)。安全子類測(cè)評(píng)指標(biāo)自查記錄備注管理制度應(yīng)制定信息安全工作的總體方針和安全策略，說(shuō)明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等；應(yīng)對(duì)安全管理活動(dòng)中的各類管理內(nèi)容建立安全管理制度；應(yīng)對(duì)要求管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程；制定和發(fā)布應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)安全管理制度的制定；應(yīng)組織相關(guān)人員對(duì)制定的安全管理制度進(jìn)行論證和審定；應(yīng)將安全管理制度以某種方式發(fā)布到相關(guān)人員手；評(píng)審和修訂應(yīng)定期對(duì)安全管理制度進(jìn)行評(píng)審，對(duì)存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂；4.2安全管理機(jī)構(gòu)安全子類測(cè)評(píng)指標(biāo)自查記錄備注崗位設(shè)置應(yīng)設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位，并定義各負(fù)責(zé)人的職責(zé)；應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并定義各個(gè)工作崗位的職責(zé)；人員配備應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等；安全管理員不能兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員等；授權(quán)和審批應(yīng)根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批部門及批準(zhǔn)人，對(duì)系統(tǒng)投入運(yùn)行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪問(wèn)等關(guān)鍵活動(dòng)進(jìn)行審批；應(yīng)針對(duì)關(guān)鍵活動(dòng)建立審批流程，并由批準(zhǔn)人簽字確認(rèn)；溝通和合作應(yīng)加強(qiáng)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部的合作與溝通；應(yīng)加強(qiáng)與兄弟單位、公安機(jī)關(guān)、電信公司的合作與溝通；審核和檢查安全管理員應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況；信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)自查全文共20頁(yè)，當(dāng)前為第9頁(yè)。4.3人員安全管理信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)自查全文共20頁(yè)，當(dāng)前為第9頁(yè)。安全子類測(cè)評(píng)指標(biāo)自查記錄備注人員錄用應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)人員錄用；應(yīng)規(guī)范人員錄用過(guò)程，對(duì)被錄用人的身份、背景、專業(yè)資格和資質(zhì)等進(jìn)行審查，對(duì)其所具有的技術(shù)技能進(jìn)行考核；應(yīng)與從事關(guān)鍵崗位的人員簽署保密協(xié)議；人員離崗應(yīng)嚴(yán)格規(guī)范人員離崗過(guò)程，及時(shí)終止離崗員工的所有訪問(wèn)權(quán)限；應(yīng)取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備；應(yīng)辦理嚴(yán)格的調(diào)離手續(xù)；人員考核應(yīng)定期對(duì)各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核；安全意識(shí)教育和培訓(xùn)應(yīng)對(duì)各類人員進(jìn)行安全意識(shí)教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)；應(yīng)告知人員相關(guān)的安全責(zé)任和懲戒措施，并對(duì)違反違背安全策略和規(guī)定的人員進(jìn)行懲戒；應(yīng)制定安全教育和培訓(xùn)計(jì)劃，對(duì)信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等進(jìn)行培訓(xùn)；外部人員訪問(wèn)管理應(yīng)確保在外部人員訪問(wèn)受控區(qū)域前得到授權(quán)或?qū)徟?，批?zhǔn)后由專人全程陪同或監(jiān)督，并登記備案；信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)自查全文共20頁(yè)，當(dāng)前為第11頁(yè)。信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)自查全文共20頁(yè)，當(dāng)前為第10頁(yè)。4.4系統(tǒng)建設(shè)管理信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)自查全文共20頁(yè)，當(dāng)前為第11頁(yè)。信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)自查全文共20頁(yè)，當(dāng)前為第10頁(yè)。安全子類測(cè)評(píng)指標(biāo)自查記錄備注系統(tǒng)定級(jí)應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí)；應(yīng)以書(shū)面的形式說(shuō)明確定信息系統(tǒng)為某個(gè)安全保護(hù)等級(jí)的方法和理由；應(yīng)確保信息系統(tǒng)的定級(jí)結(jié)果經(jīng)過(guò)相關(guān)部門的批準(zhǔn)；安全方案設(shè)計(jì)應(yīng)根據(jù)系統(tǒng)的安全保護(hù)等級(jí)選擇基本安全措施，依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施；應(yīng)以書(shū)面形式描述對(duì)系統(tǒng)的安全保護(hù)要求、策略和措施等內(nèi)容，形成系統(tǒng)的安全方案；應(yīng)對(duì)安全方案進(jìn)行細(xì)化，形成能指導(dǎo)安全系統(tǒng)建設(shè)、安全產(chǎn)品采購(gòu)和使用的詳細(xì)設(shè)計(jì)方案；應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)安全設(shè)計(jì)方案的合理性和正確性進(jìn)行論證和審定，并且經(jīng)過(guò)批準(zhǔn)后，才能正式實(shí)施；信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)自查全文共20頁(yè)，當(dāng)前為第12頁(yè)。產(chǎn)品采購(gòu)和使用信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)自查全文共20頁(yè)，當(dāng)前為第12頁(yè)。應(yīng)確保安全產(chǎn)品采購(gòu)和使用符合國(guó)家的有關(guān)規(guī)定；應(yīng)確保密碼產(chǎn)品采購(gòu)和使用符合國(guó)家密碼主管部門的要求；應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的采購(gòu)；自行軟件開(kāi)發(fā)應(yīng)確保開(kāi)發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開(kāi)；應(yīng)制定軟件開(kāi)發(fā)管理制度，明確說(shuō)明開(kāi)發(fā)過(guò)程的控制方法和人員行為準(zhǔn)則；應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南，并由專人負(fù)責(zé)保管；外包軟件開(kāi)發(fā)應(yīng)根據(jù)開(kāi)發(fā)需求檢測(cè)軟件質(zhì)量；應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南；應(yīng)在軟件安裝之前檢測(cè)軟件包中可能存在的惡意代碼；應(yīng)要求開(kāi)發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門；工程實(shí)施應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)工程實(shí)施過(guò)程的管理；應(yīng)制定詳細(xì)的工程實(shí)施方案，控制工程實(shí)施過(guò)程；測(cè)試驗(yàn)收應(yīng)對(duì)系統(tǒng)進(jìn)行安全性測(cè)試驗(yàn)收；在測(cè)試驗(yàn)收前應(yīng)根據(jù)設(shè)計(jì)方案或合同要求等制訂測(cè)試驗(yàn)收方案，在測(cè)試驗(yàn)收過(guò)程中應(yīng)詳細(xì)記錄測(cè)試驗(yàn)收結(jié)果，并形成測(cè)試驗(yàn)收?qǐng)?bào)告；應(yīng)組織相關(guān)部門和相關(guān)人員對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定，并簽字確認(rèn)；系統(tǒng)交付應(yīng)制定系統(tǒng)交付清單，并根據(jù)交付清單對(duì)所交接的設(shè)備、軟件和文檔等進(jìn)行清點(diǎn)；應(yīng)對(duì)負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)；應(yīng)確保提供系統(tǒng)建設(shè)過(guò)程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔；安全服務(wù)商選擇應(yīng)確保安全服務(wù)商的選擇符合國(guó)家的有關(guān)規(guī)定；應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責(zé)任；應(yīng)確保選定的安全服務(wù)商提供技術(shù)培訓(xùn)和服務(wù)承諾，必要的與其簽訂服務(wù)合同；4.5系統(tǒng)運(yùn)維管理信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)自查全文共20頁(yè)，當(dāng)前為第13頁(yè)。信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)自查全文共20頁(yè)，當(dāng)前為第13頁(yè)。安全子類測(cè)評(píng)指標(biāo)自查記錄備注環(huán)境管理應(yīng)指定專門的部門或人員定期對(duì)機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理；應(yīng)配備機(jī)房安全管理人員，對(duì)機(jī)房的出入、服務(wù)器的開(kāi)機(jī)或關(guān)機(jī)等工作進(jìn)行管理；應(yīng)建立機(jī)房安全管理制度，對(duì)有關(guān)機(jī)房物理訪問(wèn)，物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面的管理作出規(guī)定；應(yīng)加強(qiáng)對(duì)辦公環(huán)境的保密性管理，包括工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙和不在辦公區(qū)接待來(lái)訪人員等；資產(chǎn)管理應(yīng)編制與信息系統(tǒng)相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容；應(yīng)建立資產(chǎn)安全管理制度，規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門，并規(guī)范資產(chǎn)管理和使用的行為；信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)自查全文共20頁(yè)，當(dāng)前為第14頁(yè)。介質(zhì)管理信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)自查全文共20頁(yè)，當(dāng)前為第14頁(yè)。應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對(duì)各類介質(zhì)進(jìn)行控制和保護(hù)，并實(shí)行存儲(chǔ)環(huán)境專人管理；應(yīng)對(duì)介質(zhì)歸檔和查詢等過(guò)程進(jìn)行記錄，并根據(jù)存檔介質(zhì)的目錄清單定期盤(pán)點(diǎn)；應(yīng)對(duì)需要送出維修或銷毀的介質(zhì)，首先清除其中的敏感數(shù)據(jù)，防止信息的非法泄漏；應(yīng)根據(jù)所承載數(shù)據(jù)和軟件的重要程度對(duì)介質(zhì)進(jìn)行分類和標(biāo)識(shí)管理；設(shè)備管理應(yīng)對(duì)信息系統(tǒng)相關(guān)的各種設(shè)備（包括備份和冗余設(shè)備）、線路等指定專門的部門或人員定期進(jìn)行維護(hù)管理；應(yīng)建立基于申報(bào)、審批和專人負(fù)責(zé)的設(shè)備安全管理制度，對(duì)信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購(gòu)、發(fā)放和領(lǐng)用等過(guò)程進(jìn)行規(guī)范化管理；應(yīng)對(duì)終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進(jìn)行規(guī)范化管理，按操作規(guī)程實(shí)現(xiàn)主要設(shè)備（包括備份和冗余設(shè)備）的啟動(dòng)/停止、加電/斷電等操作；信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)自查全文共20頁(yè)，當(dāng)前為第15頁(yè)。應(yīng)確保信息處理設(shè)備必須經(jīng)過(guò)審批才能帶離機(jī)房或辦公地點(diǎn)；信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)自查全文共20頁(yè)，當(dāng)前為第15頁(yè)。網(wǎng)絡(luò)安全管理應(yīng)指定專人對(duì)網(wǎng)絡(luò)進(jìn)行管理，負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息分析和處理工作；應(yīng)建立網(wǎng)絡(luò)安全管理制度，對(duì)網(wǎng)絡(luò)安全配置、日志保存時(shí)間、安全策略、升級(jí)與打補(bǔ)丁、口令更新周期等方面作出規(guī)定；應(yīng)根據(jù)廠家提供的軟件升級(jí)版本對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行更新，并在更新前對(duì)現(xiàn)有的重要文件進(jìn)行備份；應(yīng)定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時(shí)的修補(bǔ)；應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的配置文件進(jìn)行定期備份；應(yīng)保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)；信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)自查全文共20頁(yè)，當(dāng)前為第16頁(yè)。系統(tǒng)安全管理信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)自查全文共20頁(yè)，當(dāng)前為第16頁(yè)。應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問(wèn)控制策略；應(yīng)定期進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的系統(tǒng)安全漏洞及時(shí)進(jìn)行修補(bǔ)；應(yīng)安裝系統(tǒng)的最新補(bǔ)丁程序，在安裝系統(tǒng)補(bǔ)丁前，應(yīng)首先在測(cè)試環(huán)境中測(cè)試通過(guò)，并對(duì)重要文件進(jìn)行備份后，方可實(shí)施系統(tǒng)補(bǔ)丁程序的安裝；應(yīng)建立系統(tǒng)安全管理制度，對(duì)系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出具體規(guī)定；應(yīng)依據(jù)操作手冊(cè)對(duì)系統(tǒng)進(jìn)行維護(hù)，詳細(xì)記錄操作日志，包括重要的日常操作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容，嚴(yán)禁進(jìn)行未經(jīng)授權(quán)的操作；應(yīng)定期對(duì)運(yùn)行日志和審計(jì)數(shù)據(jù)進(jìn)行分析，以便及時(shí)發(fā)現(xiàn)異常行為；惡意代碼防范管理應(yīng)提高所有用戶的防病毒意識(shí)，告知及時(shí)升級(jí)防病毒軟件，在讀取移動(dòng)存儲(chǔ)設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件之前，先進(jìn)行病毒檢查，對(duì)外來(lái)計(jì)算機(jī)或存儲(chǔ)設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也應(yīng)進(jìn)行病毒檢查；信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)自查全文共20頁(yè)，當(dāng)前為第17頁(yè)。應(yīng)指定專人對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測(cè)并保存檢測(cè)記錄；信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)自查全文共20頁(yè)，當(dāng)前為第17頁(yè)。應(yīng)對(duì)防惡意代碼軟件的授權(quán)使用、惡意代碼庫(kù)升級(jí)、定期匯報(bào)等作出明確規(guī)定；密碼管理應(yīng)使用符合國(guó)家密碼管理規(guī)定的