廣電BOSS系統(tǒng)-等級(jí)保護(hù)測(cè)評(píng)整改方案

數(shù)字電視綜合運(yùn)營(yíng)支撐〔BOSS〕系統(tǒng)等級(jí)保護(hù)整改方案2023年12月目錄一、概述1二、系統(tǒng)現(xiàn)狀1數(shù)字電視綜合運(yùn)營(yíng)支撐〔BOSS〕系統(tǒng)1系統(tǒng)描述1系統(tǒng)拓?fù)鋱D1系統(tǒng)構(gòu)成2系統(tǒng)測(cè)評(píng)結(jié)論3三、整改依據(jù)4四、整改內(nèi)容5數(shù)字電視綜合運(yùn)營(yíng)支撐〔BOSS〕系統(tǒng)5物理平安5根底網(wǎng)絡(luò)平安5邊界平安6主機(jī)平安7總要求9平安管理機(jī)構(gòu)10人員平安管理12系統(tǒng)建設(shè)管理134系統(tǒng)運(yùn)維管理15五、方案總結(jié)20附件一：設(shè)備清單匯總22附件二：管理制度及表單條目清單23概述信息平安等級(jí)保護(hù)是國(guó)家信息平安保障的根本制度、根本策略、根本方法，開展信息平安等級(jí)保護(hù)工作是保護(hù)信息化開展、維護(hù)國(guó)家信息平安的根本保障。實(shí)施信息平安等級(jí)保護(hù)制度，信息系統(tǒng)運(yùn)營(yíng)使用單位和主管部門能按照標(biāo)準(zhǔn)進(jìn)行平安建設(shè)、整改，信息系統(tǒng)平安也有了一個(gè)衡量尺度。信息系統(tǒng)根據(jù)其在國(guó)家平安、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，遭到破壞后對(duì)國(guó)家平安、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度分成五個(gè)平安保護(hù)等級(jí)〔從第一級(jí)到第五級(jí)逐級(jí)增高〕。本方案主要針對(duì)信息系統(tǒng)的現(xiàn)狀，依據(jù)信息系統(tǒng)等級(jí)保護(hù)評(píng)測(cè)工作的《播送數(shù)字全自動(dòng)播出信息系統(tǒng)等級(jí)保護(hù)定級(jí)報(bào)告》、《數(shù)字電視綜合運(yùn)營(yíng)支撐〔BOSS〕系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)報(bào)告》、的現(xiàn)有的狀況和等保相關(guān)要求差距進(jìn)一步深入分析，并以滿足等保需求為根底，對(duì)信息系統(tǒng)的建設(shè)整改良行規(guī)劃設(shè)計(jì)。系統(tǒng)現(xiàn)狀數(shù)字電視綜合運(yùn)營(yíng)支撐〔BOSS〕系統(tǒng)系統(tǒng)描述BOSS系統(tǒng)業(yè)務(wù)信息包括：數(shù)字電視客戶根本資料〔姓名、地址、等〕，繳費(fèi)記錄、授權(quán)情況、欠費(fèi)信息、機(jī)頂盒設(shè)備信息等。為該信息系統(tǒng)定級(jí)的責(zé)任單位，該系統(tǒng)已被定級(jí)為三級(jí)〔S2A2G2〕。系統(tǒng)拓?fù)鋱D核心設(shè)備部署了中興通信的ZXR108908萬兆路由交換機(jī)，19個(gè)鄉(xiāng)鎮(zhèn)以及城區(qū)會(huì)聚節(jié)點(diǎn)均部署ZXR108905萬兆路由交換機(jī)。具體網(wǎng)絡(luò)拓?fù)淙缦铝袌D所示：圖1信息系統(tǒng)網(wǎng)絡(luò)拓?fù)湎到y(tǒng)構(gòu)成業(yè)務(wù)應(yīng)用軟件表4信息系統(tǒng)業(yè)務(wù)應(yīng)用軟件序號(hào)軟件名稱主要功能數(shù)字電視綜合運(yùn)營(yíng)支撐〔BOSS〕系統(tǒng)主要完成數(shù)字電視用戶信息的錄入、更新、認(rèn)證、授權(quán)、計(jì)費(fèi)等功能主機(jī)/存儲(chǔ)設(shè)備表5信息系統(tǒng)主機(jī)/存儲(chǔ)設(shè)備序號(hào)設(shè)備名稱操作系統(tǒng)/數(shù)據(jù)庫(kù)管理系統(tǒng)收費(fèi)工作站PCWindowsXP/--數(shù)據(jù)庫(kù)效勞器-1IBMX3650M3SOLARIS/Oracle數(shù)據(jù)庫(kù)效勞器-2IBMX3650M3SOLARIS/Oracle接口效勞器IBMX3650M3Linux/--測(cè)試效勞器-1IBMX3650M3Linux/--測(cè)試效勞器-2IBMX3650M3Linux/--認(rèn)證效勞器-1IBMX3650M3Linux/--認(rèn)證效勞器-2IBMX3650M3Linux/--網(wǎng)絡(luò)互聯(lián)設(shè)備表6信息系統(tǒng)網(wǎng)絡(luò)互聯(lián)設(shè)備序號(hào)設(shè)備名稱用途中興ZXR108908核心交換機(jī)中興ZXR108908會(huì)聚交換機(jī)系統(tǒng)測(cè)評(píng)結(jié)論等級(jí)測(cè)評(píng)結(jié)論為“根本符合〞，差距項(xiàng)分布如下表所示：名稱測(cè)評(píng)指標(biāo)局部符合項(xiàng)不符合項(xiàng)高風(fēng)險(xiǎn)項(xiàng)技術(shù)要求物理平安400根底網(wǎng)絡(luò)平安200邊界平安030效勞器平安310應(yīng)用平安510數(shù)據(jù)平安及備份恢復(fù)100管理要求總要求000平安管理機(jī)構(gòu)500人員平安管理410系統(tǒng)建設(shè)管理500系統(tǒng)運(yùn)維管理1020整改依據(jù)GB17859-1999信息平安技術(shù)計(jì)算機(jī)信息系統(tǒng)平安保護(hù)等級(jí)劃分準(zhǔn)那么；《播送電視相關(guān)信息系統(tǒng)平安等級(jí)保護(hù)根本要求》〔GD/J038-2023〕《播送電視相關(guān)信息系統(tǒng)平安等級(jí)保護(hù)測(cè)評(píng)要求》〔GD/J044-2023〕；《信息系統(tǒng)平安等級(jí)保護(hù)定級(jí)報(bào)告》；《數(shù)字電視綜合運(yùn)營(yíng)支撐〔BOSS〕系統(tǒng)平安等級(jí)保護(hù)測(cè)評(píng)報(bào)告》；整改內(nèi)容數(shù)字電視綜合運(yùn)營(yíng)支撐〔BOSS〕系統(tǒng)物理平安相關(guān)要求及依據(jù)詳見GD/J038-2023有關(guān)物理平安要求。為滿足要求，通過部署防盜報(bào)警系統(tǒng)及火災(zāi)自動(dòng)報(bào)警系統(tǒng)和滅火系統(tǒng)，開展機(jī)房運(yùn)維管理和環(huán)境管理，提高機(jī)房的平安性。平安現(xiàn)狀及整改措施類別測(cè)評(píng)內(nèi)容結(jié)果記錄涉及資產(chǎn)符合情況整改措施物理訪問控制b〕需進(jìn)入播出機(jī)房的來訪人員應(yīng)經(jīng)過申請(qǐng)和審批流程，并限制和監(jiān)控其活動(dòng)范圍。進(jìn)入機(jī)房由專人陪同，缺少來訪人員進(jìn)入機(jī)房的審批記錄\局部符合設(shè)置來訪人員進(jìn)行機(jī)房審批記錄防盜竊和防破壞c〕應(yīng)利用光、電等技術(shù)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)；機(jī)房缺少防盜報(bào)警系統(tǒng)\不符合部署防盜報(bào)警系統(tǒng)機(jī)房環(huán)境b)機(jī)房應(yīng)有防水防潮措施，應(yīng)充分考慮水管泄漏和凝露的可能性，并做好相應(yīng)的預(yù)防措施；機(jī)房窗戶缺少防水防滲處理，機(jī)房的窗戶、屋頂和墻壁未出現(xiàn)漏水、滲透和返潮現(xiàn)象，機(jī)房?jī)?nèi)空調(diào)排水管進(jìn)行加固防滲、防漏處理，機(jī)房空調(diào)具有除濕功能，缺少防水防潮處理記錄\不符合定期開展機(jī)房運(yùn)維和環(huán)境管理d〕機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)；機(jī)房?jī)?nèi)具有專業(yè)空調(diào)，可對(duì)機(jī)房?jī)?nèi)溫度進(jìn)行自動(dòng)調(diào)節(jié)，具有空調(diào)定期檢查和維護(hù)記錄，缺少機(jī)房濕度控制設(shè)置\局部符合增加機(jī)房濕度調(diào)節(jié)設(shè)施機(jī)房消防設(shè)施b〕機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)，能夠自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警，并自動(dòng)滅火；機(jī)房?jī)?nèi)具有日常值守人員，機(jī)房具有干粉滅火器，缺少自動(dòng)滅火設(shè)備\局部符合部署火災(zāi)自動(dòng)報(bào)警系統(tǒng)和自動(dòng)滅火系統(tǒng)根底網(wǎng)絡(luò)平安相關(guān)要求及依據(jù)詳見GD/J038-2023有關(guān)根底網(wǎng)絡(luò)平安要求。為滿足要求，通過部署動(dòng)態(tài)令牌及日志效勞器并完善設(shè)備根本配置要求，定期開展設(shè)備維護(hù)，到達(dá)根底網(wǎng)絡(luò)平安要求。平安現(xiàn)狀及整改措施類別測(cè)評(píng)內(nèi)容結(jié)果記錄涉及資產(chǎn)符合情況整改措施平安審計(jì)c)應(yīng)保護(hù)審計(jì)記錄，防止受到未預(yù)期的刪除、修改或覆蓋等，審計(jì)記錄至少保存90天；缺少對(duì)審計(jì)日志進(jìn)行必要保護(hù)交換機(jī)不符合對(duì)日志進(jìn)行集中管理，定期進(jìn)行分析d)應(yīng)定期對(duì)審計(jì)記錄進(jìn)行分析，以便及時(shí)發(fā)現(xiàn)異常行為；未定期對(duì)審計(jì)記錄進(jìn)行分析交換機(jī)不符合對(duì)日志進(jìn)行集中管理，定期進(jìn)行分析網(wǎng)絡(luò)設(shè)備防護(hù)e)當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采用HTTPS、SSH等平安的遠(yuǎn)程管理手段，防止用戶身份鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；遠(yuǎn)程管理設(shè)備時(shí)采用telnet方式進(jìn)行交換機(jī)不符合采用SSH遠(yuǎn)程管理邊界平安相關(guān)要求及依據(jù)詳見GD/J038-2023有關(guān)邊界平安要求。為滿足要求，通過修改配置，設(shè)置日志集中管理并定期分析，提供邊界平安性。平安現(xiàn)狀及整改措施類別測(cè)評(píng)內(nèi)容結(jié)果記錄涉及資產(chǎn)符合情況整改措施惡意代碼防范a)應(yīng)在信息系統(tǒng)的網(wǎng)絡(luò)邊界處進(jìn)行惡意代碼檢測(cè)和去除，并維護(hù)惡意代碼庫(kù)的升級(jí)和檢測(cè)系統(tǒng)的更新，播出整備系統(tǒng)、播出系統(tǒng)等播出直接相關(guān)系統(tǒng)的邊界可根據(jù)需要進(jìn)行部署B(yǎng)OSS系統(tǒng)在邊界處未設(shè)置惡意代碼防范措施\不符合在網(wǎng)絡(luò)邊界部署惡意代碼防范設(shè)備b)防惡意代碼產(chǎn)品應(yīng)與信息系統(tǒng)內(nèi)部防惡意代碼產(chǎn)品具有不同的惡意代碼庫(kù)BOSS系統(tǒng)在邊界處未設(shè)置惡意代碼防范措施\不符合入侵防范a)應(yīng)在信息系統(tǒng)的網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕效勞攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等，播出整備系統(tǒng)、播出系統(tǒng)等信息系統(tǒng)的邊界可根據(jù)需要進(jìn)行部署B(yǎng)OSS系統(tǒng)在邊界處未設(shè)置入侵防御措施\不符合在網(wǎng)絡(luò)邊界部署入侵防范設(shè)備平安審計(jì)a)應(yīng)在與外部網(wǎng)絡(luò)連接的網(wǎng)絡(luò)邊界處進(jìn)行數(shù)據(jù)通信行為審計(jì)BOSS系統(tǒng)與CA系統(tǒng)、VOD、營(yíng)業(yè)廳相連，缺少對(duì)系統(tǒng)網(wǎng)絡(luò)邊界處進(jìn)行數(shù)據(jù)通信的行為進(jìn)行審計(jì)\不符合在與外部網(wǎng)絡(luò)連接的網(wǎng)絡(luò)邊界處進(jìn)行數(shù)據(jù)通信行為審計(jì)，并對(duì)審計(jì)日志進(jìn)行集中管理和日常分析b)審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、用戶名、IP地址、事件類型、事件是否成功等BOSS系統(tǒng)與CA系統(tǒng)、VOD、營(yíng)業(yè)廳相連，缺少對(duì)系統(tǒng)網(wǎng)絡(luò)邊界處進(jìn)行數(shù)據(jù)通信的行為進(jìn)行審計(jì)\不符合c)應(yīng)保護(hù)審計(jì)記錄，防止受到未預(yù)期的刪除、修改或覆蓋等，審計(jì)記錄至少保存90天BOSS系統(tǒng)與CA系統(tǒng)、VOD、營(yíng)業(yè)廳相連，缺少對(duì)系統(tǒng)網(wǎng)絡(luò)邊界處進(jìn)行數(shù)據(jù)通信的行為進(jìn)行審計(jì)\不符合d)應(yīng)定期對(duì)審計(jì)記錄進(jìn)行分析，以便及時(shí)發(fā)現(xiàn)異常行為BOSS系統(tǒng)與CA系統(tǒng)、VOD、營(yíng)業(yè)廳相連，缺少對(duì)系統(tǒng)網(wǎng)絡(luò)邊界處進(jìn)行數(shù)據(jù)通信的行為進(jìn)行審計(jì)\不符合主機(jī)平安相關(guān)要求及依據(jù)詳見GD/J038-2023有關(guān)主機(jī)要求。為滿足要求，通過修改主機(jī)平安配置，設(shè)置登陸口令復(fù)雜度限制、登陸失敗措施、開啟平安審計(jì)、定期升級(jí)系統(tǒng)和打補(bǔ)丁，提高主機(jī)操作系統(tǒng)和數(shù)據(jù)庫(kù)的平安性。平安現(xiàn)狀及整改措施類別測(cè)評(píng)內(nèi)容結(jié)果記錄涉及資產(chǎn)符合情況整改措施身份鑒別a)應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，應(yīng)為不同用戶分配不同的用戶名，不能多人使用同一用戶名；技術(shù)部多人使用同一管理員賬戶，不同用戶未分配不同的用戶名收費(fèi)工作站數(shù)據(jù)庫(kù)效勞器-1/2接口效勞器測(cè)試效勞器-1/2認(rèn)證效勞器-1/2數(shù)據(jù)庫(kù)系統(tǒng)-1/2不符合每個(gè)自然人對(duì)應(yīng)使用一個(gè)賬戶，防止賬戶共享情況b)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；操作系統(tǒng)缺少口令長(zhǎng)度、更新周期、復(fù)雜性限制收費(fèi)工作站數(shù)據(jù)庫(kù)效勞器-1/2接口效勞器測(cè)試效勞器-1/2認(rèn)證效勞器-1/2數(shù)據(jù)庫(kù)系統(tǒng)-1/2數(shù)字電視綜合運(yùn)營(yíng)支撐〔BOSS〕系統(tǒng)不符合對(duì)操作系統(tǒng)和數(shù)據(jù)庫(kù)配置用戶口令有效期的強(qiáng)制提醒與更新功能，使口令設(shè)置時(shí)系統(tǒng)具有復(fù)雜度檢查和長(zhǎng)度限制c)應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；操作系統(tǒng)未啟用登錄失敗處理功能收費(fèi)工作站數(shù)據(jù)庫(kù)效勞器-1/2接口效勞器測(cè)試效勞器-1/2認(rèn)證效勞器-1/2數(shù)據(jù)庫(kù)系統(tǒng)-1/2數(shù)字電視綜合運(yùn)營(yíng)支撐〔BOSS〕系統(tǒng)不符合啟用登錄失敗處理功能，口令嘗試超過規(guī)定次數(shù)鎖定賬戶c)應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶的權(quán)限別離；操作系統(tǒng)和數(shù)據(jù)庫(kù)管理員由同一人擔(dān)任，權(quán)限未別離數(shù)據(jù)庫(kù)系統(tǒng)-1/2不符合為操作系統(tǒng)管理員和數(shù)據(jù)庫(kù)管理員崗位配備不同的人員，同時(shí)補(bǔ)充相應(yīng)人員崗位職責(zé)平安審計(jì)a)平安審計(jì)應(yīng)覆蓋到效勞器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶；審計(jì)功能未開啟或?qū)徲?jì)不全面，未定期對(duì)審計(jì)記錄進(jìn)行分析數(shù)據(jù)庫(kù)效勞器-1/2接口效勞器測(cè)試效勞器-1/2認(rèn)證效勞器-1/2數(shù)據(jù)庫(kù)系統(tǒng)-1/2不符合啟用本地平安審計(jì)功能或部署堡壘機(jī)等第三方審計(jì)系統(tǒng)，審計(jì)謀略配置登錄登出、權(quán)限變更、重要文件增刪行為等事件內(nèi)容入侵防范a)操作系統(tǒng)遵循最小安裝的原那么，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級(jí)效勞器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新系統(tǒng)補(bǔ)丁未及時(shí)升級(jí)收費(fèi)工作站數(shù)據(jù)庫(kù)效勞器-1/2接口效勞器測(cè)試效勞器-1/2認(rèn)證效勞器-1/2數(shù)據(jù)庫(kù)系統(tǒng)-1/2不符合通過設(shè)置專門的升級(jí)效勞器等方式保持對(duì)操作系統(tǒng)平安補(bǔ)丁的及時(shí)更新，并補(bǔ)充完善相關(guān)系統(tǒng)升級(jí)制度和升級(jí)記錄惡意代碼防范應(yīng)部署具有統(tǒng)一管理功能的防惡意代碼軟件，并定期更新防惡意代碼軟件版本和惡意代碼庫(kù)；新聞制播系統(tǒng)、播出整備系統(tǒng)、播出系統(tǒng)等播出直接相關(guān)系統(tǒng)的核心效勞器可根據(jù)需要進(jìn)行部署和更新。操作系統(tǒng)未部署具有統(tǒng)一管理功能的防惡意代碼軟件收費(fèi)工作站數(shù)據(jù)庫(kù)效勞器-1/2接口效勞器測(cè)試效勞器-1/2認(rèn)證效勞器-1/2數(shù)據(jù)庫(kù)系統(tǒng)-1/2不符合建議操作系統(tǒng)安裝企業(yè)版或網(wǎng)絡(luò)版殺毒軟件進(jìn)行統(tǒng)一管理總要求相關(guān)要求及依據(jù)詳見GD/J038-2023有關(guān)總要求。為滿足要求，制定《信息平安工作的總體方針和平安策略》《管理制度和操作規(guī)程》《平安管理制度體系》等制度到達(dá)目的或檢查要求。平安現(xiàn)狀及整改措施類別測(cè)評(píng)內(nèi)容結(jié)果記錄涉及資產(chǎn)符合情況整改措施總要求a)應(yīng)制定信息平安工作的總體方針和平安策略，說明平安工作的總體目標(biāo)、范圍、原那么和平安框架等；缺少信息平安工作的總體方針和平安策略文件/不符合補(bǔ)充《信息平安工作的總體方針和平安策略》，主要內(nèi)容包括機(jī)構(gòu)平安工作的總體目標(biāo)、范圍、方針、原那么、和平安框架b)應(yīng)成立指導(dǎo)和管理信息平安工作的領(lǐng)導(dǎo)小組，設(shè)立信息平安管理工作的職能部門；關(guān)于成立信息平安保護(hù)工作的通知余廣電【2023】42號(hào)，明確成立了信息平安工作的領(lǐng)導(dǎo)小組，但未設(shè)立信息平安管理工作的職能部門/局部符合補(bǔ)充《信息平安管理工作的職能部門》，并明確職能部門的職責(zé)c)應(yīng)制定各項(xiàng)信息平安制度和操作規(guī)程，明確信息平安管理各項(xiàng)要求，形成由平安方針、管理制度、細(xì)化流程等構(gòu)成的全面的信息平安管理制度體系，使等級(jí)保護(hù)工作常態(tài)化、制度化。缺少各項(xiàng)平安管理制度文檔，缺少全面的信息平安管理制度體系/不符合制定各項(xiàng)平安管理制度和操作規(guī)程制定信息平安管理制度體系文件，制度體系由總體方針、平安策略、管理制度、操作規(guī)程等構(gòu)成平安管理機(jī)構(gòu)相關(guān)要求及依據(jù)詳見GD/J038-2023有關(guān)管理機(jī)構(gòu)要求。為滿足要求，《系統(tǒng)管理審批管理制度》、《系統(tǒng)管理審批記錄》、《平安檢查制度》、《平安檢查管理制度》和補(bǔ)充完善《崗位職責(zé)》、《平安檢查記錄》等制度，保障系統(tǒng)的平安。平安現(xiàn)狀及整改措施類別測(cè)評(píng)內(nèi)容結(jié)果記錄涉及資產(chǎn)符合情況整改措施崗位設(shè)置b)應(yīng)設(shè)立信息平安管理工作的職能部門，負(fù)責(zé)信息平安各項(xiàng)工作的組織和落實(shí)，配備專職平安管理員；設(shè)立信息平安組織機(jī)構(gòu)，負(fù)責(zé)信息平安各項(xiàng)工作的組織和落實(shí)未配備專職的平安管理員/局部符合補(bǔ)充崗位職責(zé)，明確平安管理員的職責(zé)，配備專職的平安管理員b)應(yīng)設(shè)立信息平安管理工作的職能部門，負(fù)責(zé)信息平安各項(xiàng)工作的組織和落實(shí)，配備專職平安管理員；未設(shè)立信息平安組織機(jī)構(gòu)未配備專職的平安管理員/不符合設(shè)立信息平安組織機(jī)構(gòu)，明確機(jī)構(gòu)的職責(zé)，配備專職的平安管理員d)應(yīng)制定文件明確平安管理機(jī)構(gòu)各個(gè)部門和崗位的職責(zé)。缺少職能部門的職責(zé)和崗位職責(zé)文件/不符合補(bǔ)充部門職責(zé)和崗位職責(zé)，主要內(nèi)容包括：平安主管、各個(gè)方面的負(fù)責(zé)人的崗位職責(zé)的具體設(shè)置，主要內(nèi)容包括：網(wǎng)絡(luò)管理員、機(jī)房管理員、系統(tǒng)管理員、平安管理員、數(shù)據(jù)庫(kù)管理員、審計(jì)員、應(yīng)用系統(tǒng)管理員等崗位的具體設(shè)置，并清晰、明確各個(gè)崗位的職責(zé)范圍授權(quán)和審批b〕應(yīng)針對(duì)系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項(xiàng)建立審批程序，按照審批程序執(zhí)行審批過程，對(duì)重要活動(dòng)建立逐級(jí)審批制度；缺少審批管理制度〔系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項(xiàng)〕，缺少逐級(jí)審批的文檔/不符合增加《系統(tǒng)管理審批管理制度》：主要內(nèi)容包括明確對(duì)系統(tǒng)投入運(yùn)行、網(wǎng)絡(luò)系統(tǒng)接入和重要資源的訪問、變更管理、產(chǎn)品采購(gòu)等關(guān)鍵活動(dòng)的審批部門和批準(zhǔn)人進(jìn)行規(guī)定，明確審批流程c〕應(yīng)定期審查審批事項(xiàng)，及時(shí)更新需授權(quán)和審批的工程、審批部門和審批人等信息；缺少審批管理制度文檔/不符合增加《逐級(jí)審批的文檔》對(duì)審批過程進(jìn)行記錄，增加《審批事項(xiàng)的審查記錄》，包括審批事項(xiàng)、審批部門、審批人的變更進(jìn)行評(píng)審等內(nèi)容，對(duì)關(guān)鍵活動(dòng)的審批進(jìn)行記錄d〕應(yīng)記錄審批過程并保存審批文檔。缺少關(guān)鍵活動(dòng)的審批過程記錄/不符合溝通和合作a〕應(yīng)加強(qiáng)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息平安職能部門內(nèi)部的合作與溝通，定期或不定期召開協(xié)調(diào)會(huì)議，共同協(xié)作處理信息平安問題；不定期召開協(xié)調(diào)會(huì)議，、郵件、當(dāng)面溝通，溝通內(nèi)容歷史問題的解決，缺少組織內(nèi)部機(jī)構(gòu)之間以及信息平安職能部門內(nèi)部的平安工作會(huì)議文件，經(jīng)檢查，通訊錄，明確了組織機(jī)構(gòu)內(nèi)部人員聯(lián)系表/局部符合增加《會(huì)議紀(jì)要》，包括組織內(nèi)部機(jī)構(gòu)之間以及信息平安職能部門內(nèi)部的平安工作會(huì)議文件b)應(yīng)加強(qiáng)與系統(tǒng)內(nèi)外相關(guān)工作單位的合作與溝通，確保信息平安各項(xiàng)工作的順利開展；與信息內(nèi)外相關(guān)工作單位建立了溝通與合作機(jī)構(gòu)，郵件、進(jìn)行聯(lián)系，包括業(yè)務(wù)，平安等，但缺少單獨(dú)的工作文件或記錄/局部符合增加《會(huì)議紀(jì)要》，包括與系統(tǒng)內(nèi)外相關(guān)工作單位的合作與溝通的記錄審核和檢查a〕平安管理員應(yīng)負(fù)責(zé)定期進(jìn)行信息平安檢查，檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況；1個(gè)月檢查一次，包括日常運(yùn)行、備份等，未包括漏洞檢查，經(jīng)檢查，缺少平安檢查的記錄或報(bào)告/局部符合補(bǔ)充《平安檢查記錄》，明確檢查的周期，檢查的內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備b〕應(yīng)定期進(jìn)行全面信息平安檢查，檢查內(nèi)容包括現(xiàn)有平安技術(shù)措施的有效性、平安配置與平安策略的一致性、平安管理制度的執(zhí)行情況等；對(duì)信息系統(tǒng)未進(jìn)行全面的平安檢查，缺少平安檢查管理制度/不符合增加《平安檢查制度》，明確檢查內(nèi)容包括技術(shù)措施有效性和平安管理制度執(zhí)行情況等方面；增加《平安檢查文檔》，明確了定期進(jìn)行全面平安檢查，明確了檢查內(nèi)容等c)信息平安主管部門應(yīng)制定平安檢查表格實(shí)施平安檢查，匯總平安檢查數(shù)據(jù)，形成平安檢查報(bào)告，并對(duì)平安檢查結(jié)果進(jìn)行通報(bào)。缺少全面的平安檢查缺少全面的平安檢查報(bào)告/不符合增加《平安檢查報(bào)告》《平安檢查時(shí)的平安檢查表》《結(jié)果通告記錄》，包括檢查內(nèi)容、檢查時(shí)間、檢查人員、檢查數(shù)據(jù)匯總表、檢查結(jié)果等內(nèi)容的描述制度管理a)應(yīng)建立信息平安管理制度、操作規(guī)程等從訪問控制、系統(tǒng)設(shè)計(jì)、系統(tǒng)建設(shè)、系統(tǒng)驗(yàn)收、系統(tǒng)運(yùn)維、應(yīng)急處置、人員管理、文件檔案管理、審核檢查等方面標(biāo)準(zhǔn)各項(xiàng)信息平安管理工作；缺少各項(xiàng)平安管理制度〔訪問控制、系統(tǒng)設(shè)計(jì)、系統(tǒng)建設(shè)、系統(tǒng)驗(yàn)收、系統(tǒng)運(yùn)維、應(yīng)急處置、人員管理、文件檔案管理、審核檢查等方面〕/局部符合增加《各項(xiàng)平安管理制度》，明確訪問控制、系統(tǒng)設(shè)計(jì)、系統(tǒng)建設(shè)、系統(tǒng)驗(yàn)收、系統(tǒng)運(yùn)維、人員管理、文件檔案管理、審核檢查等方面b)信息平安管理部門負(fù)責(zé)制定信息平安管理制度和操作規(guī)程，并進(jìn)行版本控制；缺少平安管理制度文檔/不符合增加《平安管理制度文檔》，標(biāo)準(zhǔn)制度的版本管理c)應(yīng)組織專家和相關(guān)部門人員對(duì)平安管理制度和操作規(guī)程進(jìn)行論證和審定，并定期對(duì)其合理性和適用性進(jìn)行審定，根據(jù)需要進(jìn)行修訂；不定期對(duì)其合理性和適用性進(jìn)行審定，根據(jù)需要進(jìn)行修訂缺少管理制度評(píng)審記錄/局部符合增加《管理制度評(píng)審記錄》，包括評(píng)審內(nèi)容、評(píng)審周期、參加人員和評(píng)審等人員平安管理相關(guān)要求及依據(jù)詳見GD/J038-2023有關(guān)人員平安管理要求。為滿足要求，通過制定《保密協(xié)議》、《崗位平安協(xié)議、《人員離職管理制度》、《離崗人員交接記錄》《外來人員訪問管理制度》、《外部人員訪問重要區(qū)域的批準(zhǔn)文檔》、《外部人員訪問重要區(qū)域的登記記錄》等人員管理制度，保障系統(tǒng)的平安。平安現(xiàn)狀及整改措施類別測(cè)評(píng)內(nèi)容結(jié)果記錄涉及資產(chǎn)符合情況整改措施人員上崗b〕應(yīng)簽署保密協(xié)議和崗位平安協(xié)議。對(duì)從事關(guān)鍵崗位的人員未簽署保密協(xié)議和崗位平安協(xié)議/不符合增加《保密協(xié)議》，對(duì)關(guān)鍵崗位的人員簽署保密協(xié)議，包括平安責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人簽字等內(nèi)容增加《崗位平安協(xié)議》，包括平安責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人簽字等內(nèi)容人員離崗a)應(yīng)標(biāo)準(zhǔn)人員離崗過程，及時(shí)終止離崗員工的所有訪問權(quán)限；缺少人員離崗管理制度/不符合增加《人員離崗管理制度》，包括標(biāo)準(zhǔn)人員離崗過程，及時(shí)終止離崗員工的所有訪問權(quán)限等內(nèi)容b)應(yīng)取回各種身份證件、鑰匙、徽章等以及單位提供的軟硬件設(shè)備；缺少人員交接記錄/不符合增加《離崗手續(xù)記錄表》《交接手續(xù)登記表》，取回離崗人員的各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備等c)應(yīng)辦理嚴(yán)格的調(diào)離手續(xù)，關(guān)鍵崗位人員離崗須承諾調(diào)離后的保密義務(wù)前方可離開。缺少人員調(diào)離記錄，缺少離職人員的保密承諾文檔/不符合增加《保密承諾文檔》，明確要求關(guān)鍵崗位調(diào)離人員承諾相關(guān)保密義務(wù)前方可離開培訓(xùn)與考核b)應(yīng)對(duì)信息平安各相關(guān)崗位的人員定期進(jìn)行平安技能、政策及平安認(rèn)知的考核；年度考核記錄，未包括平安技能和平安知識(shí)的考核/局部符合補(bǔ)充《人員平安技術(shù)考核制度》、《人員考核記錄》，考核的內(nèi)容包括平安技能及平安認(rèn)知等c)應(yīng)對(duì)信息平安培訓(xùn)和考核情況進(jìn)行記錄并保存。缺少平安教育和培訓(xùn)記錄/不符合增加《平安教育和培訓(xùn)記錄》，包括培訓(xùn)時(shí)間、地點(diǎn)、參與人員、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)果等外部人員訪問管理a〕應(yīng)確保在外部人員訪問受控區(qū)域前先提出書面申請(qǐng)，得到授權(quán)或?qū)徟?，批?zhǔn)后由專人全程陪同或監(jiān)督，并登記備案；訪問受控區(qū)域前經(jīng)過相關(guān)人員的批準(zhǔn)，同意后有專人陪同，缺少外部人員訪問重要區(qū)域的批準(zhǔn)文檔，缺少外部人員訪問重要區(qū)域的登記記錄/局部符合增加《外部人員訪問重要區(qū)域的批準(zhǔn)文檔》、《外部人員訪問重要區(qū)域的登記記錄》，主要內(nèi)容明確對(duì)外部人員訪問機(jī)房等重要區(qū)域應(yīng)經(jīng)相關(guān)部門或負(fù)責(zé)人批準(zhǔn)，明確外部人員訪問的范圍、外部人員進(jìn)入的條件、外部人員進(jìn)入的訪問控制措施b)對(duì)外部人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容應(yīng)進(jìn)行書面的規(guī)定，并按照規(guī)定執(zhí)行。缺少外部人員訪問管理制度/不符合增加《外來人員訪問管理制度》，明確允許外部人員訪問的范圍，外部人員進(jìn)入的條件，外部人員進(jìn)入的訪問控制措施等；對(duì)允許外部人員訪問的區(qū)域、系統(tǒng)、設(shè)備和信息等進(jìn)行明確規(guī)定系統(tǒng)建設(shè)管理相關(guān)要求及依據(jù)詳見GD/J038-2023有關(guān)系統(tǒng)建設(shè)管理要求。為滿足要求，我們通過增加《平安設(shè)計(jì)方案》、《工程實(shí)施文檔》、《測(cè)試驗(yàn)收文檔》、《方案評(píng)審記錄》、《軟件開發(fā)管理標(biāo)準(zhǔn)》和《系統(tǒng)交付清單》等方式來加強(qiáng)系統(tǒng)的平安。平安現(xiàn)狀及整改措施類別測(cè)評(píng)內(nèi)容結(jié)果記錄涉及資產(chǎn)符合情況整改措施平安方案設(shè)計(jì)a〕根據(jù)信息系統(tǒng)的等級(jí)劃分情況，應(yīng)由專門的部門對(duì)信息系統(tǒng)的平安建設(shè)進(jìn)行總體規(guī)劃，統(tǒng)一考慮信息平安保障體系的總體平安策略、平安技術(shù)框架、平安管理策略、總體建設(shè)規(guī)劃、遠(yuǎn)期和近期建設(shè)方案等；技術(shù)運(yùn)維部負(fù)責(zé)信息系統(tǒng)的總體規(guī)劃，經(jīng)檢查，缺少系統(tǒng)總體平安策略、平安技術(shù)框架、平安管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案、近期平安建設(shè)方案和遠(yuǎn)期平安建設(shè)方案等配套文件/局部符合增加《總體平安策略》，內(nèi)容包括近期平安建設(shè)方案和遠(yuǎn)期平安建設(shè)方案配套文件，增加《信息系統(tǒng)建設(shè)的配套文件》，包括平安技術(shù)框架、平安管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案b〕應(yīng)根據(jù)國(guó)家和行業(yè)標(biāo)準(zhǔn)、標(biāo)準(zhǔn)合理設(shè)計(jì)信息系統(tǒng)的信息平安方案和策略，制定詳細(xì)的建設(shè)方案；缺少信息系統(tǒng)的信息平安方案和策略，缺少詳細(xì)的建設(shè)方案/局部符合增加《系統(tǒng)平安方案和策略》《詳細(xì)設(shè)計(jì)方案和策略》c〕應(yīng)組織相關(guān)部門和有關(guān)平安技術(shù)專家對(duì)信息平安的規(guī)劃、建設(shè)方案等進(jìn)行論證和審定，并且經(jīng)過批準(zhǔn)后，才能正式實(shí)施；缺少配套文件的專家論證文檔/不符合對(duì)《平安方案》組織專家評(píng)審并形成《方案評(píng)審記錄》；對(duì)配套文件進(jìn)行維護(hù)記錄形成《維護(hù)記錄》d)應(yīng)根據(jù)等級(jí)測(cè)評(píng)、平安評(píng)估的結(jié)果調(diào)整和修訂信息平安的規(guī)劃、建設(shè)方案等。缺少配套文件的修訂文檔/不符合外包軟件開發(fā)b)應(yīng)在軟件安裝之前檢測(cè)軟件包中可能存在的惡意代碼；軟件安裝之前未檢測(cè)軟件包中可能存在的惡意代碼/不符合軟件安裝之前檢測(cè)軟件包中可能存在的惡意代碼增加《惡意代碼檢測(cè)記錄》c)應(yīng)要求開發(fā)單位提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南；未提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南〔需求分析說明書、軟件設(shè)計(jì)說明書、軟件操作手冊(cè)、軟件源代碼文檔等〕/不符合增加《軟件設(shè)計(jì)的相關(guān)文檔和使用指南》，包括需求分析說明書、軟件設(shè)計(jì)說明書、軟件操作手冊(cè)、軟件源代碼文檔等d)應(yīng)要求開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門漏洞等。缺少軟件源代碼審查記錄/不符合增加《源代碼審查記錄》，包括軟件中可能存在的后門漏洞等內(nèi)容工程實(shí)施b)應(yīng)制定詳細(xì)的工程實(shí)施方案控制實(shí)施過程，并要求工程實(shí)施單位能正式地執(zhí)行平安工程過程；未提供工程實(shí)施方案，未提供階段性實(shí)施文檔/不符合增加《工程實(shí)施方案》，規(guī)定工程時(shí)間限制、進(jìn)度、控制、質(zhì)量控制等方面內(nèi)容，工程實(shí)施過程按照實(shí)施方案形成各種文檔，如階段性工程進(jìn)程匯報(bào)報(bào)告c)應(yīng)制定工程實(shí)施方面的管理制度，明確說明實(shí)施過程的控制方法和人員行為準(zhǔn)那么。缺少工程實(shí)施方面的管理制度/不符合增加《工程實(shí)施管理制度》，包括，明確說明實(shí)施過程的控制方法和人員行為準(zhǔn)那么等內(nèi)容測(cè)試驗(yàn)收a)應(yīng)委托具有資質(zhì)的第三方對(duì)系統(tǒng)進(jìn)行平安性測(cè)試，并出具平安性測(cè)試報(bào)告；未委托公正具有資質(zhì)的第三方對(duì)系統(tǒng)進(jìn)行平安性測(cè)試/不符合信息系統(tǒng)建設(shè)完成后對(duì)其進(jìn)行測(cè)試，委托第三方測(cè)試機(jī)構(gòu)對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的平安性測(cè)試，形成平安性測(cè)試報(bào)告b)在測(cè)試驗(yàn)收前應(yīng)根據(jù)設(shè)計(jì)方案或合同要求等制訂測(cè)試驗(yàn)收方案，在測(cè)試驗(yàn)收過程中應(yīng)詳細(xì)記錄測(cè)試驗(yàn)收結(jié)果，并形成測(cè)試驗(yàn)收?qǐng)?bào)告；未提供系統(tǒng)測(cè)試驗(yàn)收方案，未提供系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告/不符合增加《工程測(cè)試驗(yàn)收方案》，明確參與測(cè)試的部門、人員、測(cè)試驗(yàn)收內(nèi)容、現(xiàn)場(chǎng)操作過程等內(nèi)容，制定《測(cè)試驗(yàn)收記錄》、《測(cè)試驗(yàn)收?qǐng)?bào)告》c)應(yīng)對(duì)系統(tǒng)測(cè)試驗(yàn)收的控制方法和人員行為準(zhǔn)那么進(jìn)行書面規(guī)定；缺少系統(tǒng)測(cè)試驗(yàn)收管理制度/不符合增加《測(cè)試驗(yàn)收管理制度》，包括系統(tǒng)測(cè)試驗(yàn)收的控制方法和人員行為準(zhǔn)那么進(jìn)行書面規(guī)定e〕應(yīng)組織相關(guān)部門和相關(guān)人員對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定，并簽字確認(rèn)。未提供驗(yàn)收?qǐng)?bào)告的審定文檔/不符合增加《驗(yàn)收?qǐng)?bào)告的審定文檔》，包括驗(yàn)收?qǐng)?bào)告的審定內(nèi)容及審定意見等系統(tǒng)交付a)應(yīng)制定詳細(xì)的系統(tǒng)交付清單，并根據(jù)交付清單對(duì)所交接的設(shè)備、軟件和文檔等進(jìn)行清點(diǎn)；未提供系統(tǒng)交付清單/不符合增加《系統(tǒng)交付清單》，明確所交接的設(shè)備、軟件和文檔等制定《工程建設(shè)管理制度》要求工程系統(tǒng)交付后進(jìn)行技術(shù)培訓(xùn)，《培訓(xùn)記錄》并形成記錄b)應(yīng)對(duì)負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)；目前系統(tǒng)是內(nèi)部技術(shù)人員維護(hù)，對(duì)維護(hù)人員進(jìn)行過培訓(xùn)，但未提供系統(tǒng)交付時(shí)的技術(shù)培訓(xùn)記錄/局部符合c)應(yīng)提供系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔；未提供系統(tǒng)交付清單/不符合系統(tǒng)運(yùn)維管理相關(guān)要求及依據(jù)詳見GD/J038-2023有關(guān)系統(tǒng)運(yùn)維管理要求。為滿足要求，我們制定《機(jī)房平安管理制度》、《介質(zhì)管理制度》、《設(shè)備維護(hù)制度》、《設(shè)備操作規(guī)程》、《惡意代碼防范管理制度》、《網(wǎng)絡(luò)平安管理制度》、《系統(tǒng)平安管理制度》、《備份與恢復(fù)管理制度》、《平安事件報(bào)告和處置管理制度》和《應(yīng)急預(yù)案》等到達(dá)目的或檢查要求。平安現(xiàn)狀及整改措施類別測(cè)評(píng)內(nèi)容結(jié)果記錄涉及資產(chǎn)符合情況整改措施環(huán)境管理a)應(yīng)指定專門的部門或人員定期對(duì)機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理；技術(shù)運(yùn)維部進(jìn)行維護(hù)，不定期進(jìn)行維護(hù)，缺少機(jī)房根底設(shè)施的維護(hù)記錄/局部符合增加《機(jī)房根底設(shè)施維護(hù)記錄》，包括空調(diào)、UPS等c)應(yīng)建立機(jī)房平安管理制度，標(biāo)準(zhǔn)機(jī)房物理訪問、機(jī)房環(huán)境平安、工作人員行為等。機(jī)房管理制度不夠完善，未包括機(jī)房物理訪問、物品帶進(jìn)和帶出機(jī)房、機(jī)房環(huán)境平安和工作人員行為等方面/局部符合完善《機(jī)房管理制度》，包括機(jī)房物理訪問、機(jī)房環(huán)境平安、工作人員行為等內(nèi)容資產(chǎn)管理a)應(yīng)編制并保存與信息系統(tǒng)相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容；未明確資產(chǎn)的責(zé)任部門，缺少資產(chǎn)清單/不符合增加《資產(chǎn)清單》，明確資產(chǎn)的責(zé)任部門、責(zé)任人、重要程度和所處位置等b)應(yīng)建立資產(chǎn)平安管理制度，規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門，并標(biāo)準(zhǔn)資產(chǎn)管理和使用的行為；缺少資產(chǎn)平安管理制度/不符合增加《資產(chǎn)平安管理制度》，規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門，并標(biāo)準(zhǔn)資產(chǎn)管理和使用的行為c)應(yīng)根據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)管理，并選擇相應(yīng)的管理措施；未明確的分類和標(biāo)識(shí)管理，不同類別的資產(chǎn)未采取不同的管理措施/不符合根據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)管理，并選擇相應(yīng)的管理措施d)應(yīng)對(duì)信息分類與標(biāo)識(shí)方法作出規(guī)定，并對(duì)信息的使用、傳輸和存儲(chǔ)等進(jìn)行標(biāo)準(zhǔn)化管理。缺少信息分類文檔/不符合增加《信息分類管理文檔》，包括分類與標(biāo)識(shí)方法，信息的使用、傳輸和存儲(chǔ)等內(nèi)容介質(zhì)管理a)應(yīng)建立介質(zhì)平安管理制度，對(duì)介質(zhì)的存放環(huán)境、使用、維護(hù)和銷毀等方面作出規(guī)定；缺少介質(zhì)平安管理制度〔介質(zhì)的存放環(huán)境、使用、維護(hù)和銷毀等方面〕/不符合制定《介質(zhì)平安管理制度》，包括介質(zhì)的存放環(huán)境、使用、維護(hù)和銷毀等方面b)應(yīng)確保介質(zhì)存放在平安的環(huán)境中，并根據(jù)所承載數(shù)據(jù)和軟件的重要程度對(duì)介質(zhì)進(jìn)行分類和標(biāo)識(shí)管理，進(jìn)行相應(yīng)的控制和保護(hù)；未明確專門的存放環(huán)境，對(duì)介質(zhì)未進(jìn)行分類和標(biāo)識(shí)/不符合明確介質(zhì)的存放環(huán)境，根據(jù)重要性對(duì)介質(zhì)進(jìn)行分類和標(biāo)識(shí)管理，進(jìn)行相應(yīng)的控制和保護(hù)c)應(yīng)對(duì)存儲(chǔ)介質(zhì)的使用過程、送出維修以及銷毀等進(jìn)行嚴(yán)格的管理，對(duì)經(jīng)批準(zhǔn)帶出工作環(huán)境的存儲(chǔ)介質(zhì)進(jìn)行登記和監(jiān)控管理，對(duì)送出維修或銷毀的介質(zhì)應(yīng)首先去除介質(zhì)中的敏感數(shù)據(jù)，對(duì)保密性較高的存儲(chǔ)介質(zhì)未經(jīng)批準(zhǔn)不應(yīng)自行銷毀；缺少介質(zhì)管理制度〔存儲(chǔ)介質(zhì)的使用過程、送出維修以及銷毀等進(jìn)行嚴(yán)格的管理，對(duì)經(jīng)批準(zhǔn)帶出工作環(huán)境的存儲(chǔ)介質(zhì)進(jìn)行登記和監(jiān)控管理，對(duì)送出維修或銷毀的介質(zhì)應(yīng)首先去除介質(zhì)中的敏感數(shù)據(jù)〕/不符合制定《介質(zhì)管理制度》，明確介質(zhì)的銷毀和維修等方面的要求。明確對(duì)介質(zhì)的物理傳輸過程是否要求選擇可靠傳輸人員、嚴(yán)格介質(zhì)的打包、選擇平安的物理傳輸途徑、雙方在場(chǎng)交付等內(nèi)容d)應(yīng)根據(jù)數(shù)據(jù)備份的需要對(duì)某些介質(zhì)實(shí)行異地存儲(chǔ)，存儲(chǔ)地的環(huán)境要求和管理方法應(yīng)與本地相同；重要數(shù)據(jù)未實(shí)行異地存儲(chǔ)/不符合明確重要數(shù)據(jù)進(jìn)行加密存儲(chǔ)設(shè)備管理c)應(yīng)建立配套設(shè)施、軟硬件維護(hù)方面的管理制度，對(duì)其維護(hù)進(jìn)行有效的管理，包括明確維護(hù)人員的責(zé)任、涉外維修和效勞的審批、維修過程的監(jiān)督控制等；缺少配套設(shè)施、軟硬件維護(hù)方面的管理制度/不符合增加《設(shè)備維護(hù)制度》，明確維護(hù)人員的責(zé)任、涉外維修和效勞的審批、維修過程的監(jiān)督控制等內(nèi)容d)應(yīng)對(duì)終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進(jìn)行標(biāo)準(zhǔn)化管理，按操作規(guī)程實(shí)現(xiàn)主要設(shè)備的啟動(dòng)/停止、加電/斷電等操作；缺少設(shè)備使用管理文檔，缺少設(shè)備的操作規(guī)程，關(guān)鍵設(shè)備的操作未建立操作日志/局部符合增加《設(shè)備使用管理文檔》，包括終端計(jì)算機(jī)、便攜機(jī)和網(wǎng)絡(luò)設(shè)備等使用方式、操作原那么、考前須知等內(nèi)容，制定《操作規(guī)程》，包括對(duì)重要系統(tǒng)，如效勞器、防火墻、交換機(jī)、路由器等內(nèi)容，增加《日志管理記錄》，包括檢查人員、日期、內(nèi)容等e)應(yīng)確保信息處理設(shè)備必須經(jīng)過審批才能帶離機(jī)房或辦公地點(diǎn)。缺少設(shè)備帶離機(jī)房或辦公場(chǎng)地的審批記錄/不符合制定《處理設(shè)備必須經(jīng)過審批才能帶離機(jī)房或辦公地點(diǎn)的記錄》，明確審批內(nèi)容和批準(zhǔn)人惡意代碼防范管理b)應(yīng)對(duì)防惡意代碼軟件的授權(quán)使用、惡意代碼庫(kù)升級(jí)、定期匯報(bào)等作出明確規(guī)定；缺少惡意代碼方面的管理制度/不符合增加《惡意代碼防范管理制度》，包括防惡意代碼軟件的授權(quán)使用、惡意代碼庫(kù)升級(jí)、定期匯報(bào)等內(nèi)容c)應(yīng)定期檢查信息系統(tǒng)內(nèi)各種產(chǎn)品的惡意代碼庫(kù)的升級(jí)情況并進(jìn)行記錄，對(duì)防惡意代碼產(chǎn)品上截獲的危險(xiǎn)病毒或惡意代碼進(jìn)行及時(shí)分析處理，并形成書面的報(bào)表和總結(jié)匯報(bào)。缺少惡意代碼檢測(cè)記錄、惡意代碼庫(kù)升級(jí)記錄和分析報(bào)告/不符合增加《惡意代碼檢測(cè)記錄》《惡意代碼庫(kù)升級(jí)記錄》和《惡意代碼分析報(bào)告》，明確其檢查周期、檢查人員、檢查結(jié)果等密碼管理a〕應(yīng)使用符合國(guó)家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品；缺少密碼使用方面的管理制度/不符合增加《密碼管理制度》，明確密碼使用方面的內(nèi)容變更管理b)應(yīng)建立變更管理制度，系統(tǒng)發(fā)生變更前，向主管領(lǐng)導(dǎo)申請(qǐng)，變更和變更方案經(jīng)過評(píng)審、審批前方可實(shí)施變更，并在實(shí)施后將變更情況向相關(guān)人員通告；缺少變更管理制度〔更前審批、變更過程記錄、變更后通報(bào)等方面內(nèi)容〕/不符合增加《變更管理制度》，明確變更類型、變更原因、變更過程、變更前評(píng)估等方面內(nèi)容；c)應(yīng)建立變更控制的申報(bào)和審批文件化程序，對(duì)變更影響進(jìn)行分析，記錄變更實(shí)施過程，并妥善保存所有文檔和記錄；缺少變更控制的申報(bào)和審批程序文檔/不符合增加《變更管理制度》，包括變更申報(bào)、審批程序，規(guī)定需要申報(bào)的變更類型、申報(bào)流程、審批部門、批準(zhǔn)人等方面內(nèi)容d)應(yīng)建立中止變更并從失敗變更中恢復(fù)的文件化程序，明確過程控制方法和人員職責(zé)，必要時(shí)對(duì)恢復(fù)過程進(jìn)行演練；缺少變更方案、缺少變更失敗恢復(fù)程序文檔/不符合增加《變更方案》《變更恢復(fù)程序文檔》，明確過程控制方法和人員職責(zé)，必要時(shí)對(duì)恢復(fù)過程進(jìn)行演練備份與恢復(fù)管理b)應(yīng)建立備份與恢復(fù)管理相關(guān)的平安管理制度，對(duì)備份信息的備份方式、備份頻度、存儲(chǔ)介質(zhì)和保存期等進(jìn)行標(biāo)準(zhǔn)；缺少備份與恢復(fù)管理相關(guān)的平安管理制度/不符合增加《備份與恢復(fù)管理制度》，包括備份信息的備份方式、備份頻度、存儲(chǔ)介質(zhì)、保存期等c)應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對(duì)系統(tǒng)運(yùn)行的影響，制定數(shù)據(jù)的備份策略和恢復(fù)策略，備份策略須指明備份數(shù)據(jù)的放置場(chǎng)所、文件命名規(guī)那么、介質(zhì)替換頻率和將數(shù)據(jù)離站運(yùn)輸?shù)姆椒?；缺少備份與恢復(fù)管理制度，缺少備份與恢復(fù)策略文檔/不符合增加《備份與恢復(fù)管理制度》、《備份策略文檔和恢復(fù)策略文檔》包括備份數(shù)據(jù)的放置場(chǎng)所、文件命名規(guī)那么、介質(zhì)替換頻率和數(shù)據(jù)離站運(yùn)輸方法等內(nèi)容d)應(yīng)建立控制數(shù)據(jù)備份和恢復(fù)過程的程序，對(duì)備份過程進(jìn)行記錄，所有文件和記錄應(yīng)妥善保存；缺少數(shù)據(jù)備份和恢復(fù)過程記錄/不符合增加《備份和恢復(fù)記錄》，明確內(nèi)容、日期、檢查人、結(jié)果等平安事件處置a)應(yīng)制定平安事件報(bào)告和處置管理制度，明確平安事件的類型，規(guī)定平安事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)的管理職責(zé)；缺少平安事件報(bào)告和處置管理制度/不符合增加《平安事件報(bào)告和處置管理制度》，明確平安事件類型，規(guī)定平安事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)的管理職責(zé)b)按照國(guó)家和行業(yè)相關(guān)規(guī)定及時(shí)上報(bào)信息平安事件和可疑事件；缺少信息平安事件和可疑事件上報(bào)文檔/不符合增加《信息事件和可疑事件上報(bào)的文檔》，明確內(nèi)容、日期、檢查人、結(jié)果等c)應(yīng)制定平安事件報(bào)告和響應(yīng)處理程序，確定事件的報(bào)告流程，響應(yīng)和處置的范圍、程度，以及處理方法等；缺少平安事件報(bào)告和響應(yīng)處理程序/不符合增加《平安事件報(bào)告和響應(yīng)處理程序》，包括事件的報(bào)告流程，響應(yīng)和處置的范圍、程度，以及處理方法等d)應(yīng)在平安事件報(bào)告和響應(yīng)處理過程中，分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處理過程，總結(jié)經(jīng)驗(yàn)教訓(xùn)，制定防止再次發(fā)生的補(bǔ)救措施，過程形成的所有文件和記錄均應(yīng)妥善保存。缺少平安事件分析文檔/不符合增加《平安事件分析文檔》，包括分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處理過程，總結(jié)經(jīng)驗(yàn)教訓(xùn)，制定防止再次發(fā)生的補(bǔ)救措施應(yīng)急預(yù)案管理a〕應(yīng)在統(tǒng)一的應(yīng)急框架下制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)包括啟動(dòng)應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、后期處理等內(nèi)容；缺少應(yīng)急預(yù)案框架文檔，缺少不同事件的應(yīng)急預(yù)案/不符合根據(jù)應(yīng)急預(yù)案框架的要求制定不同事件的應(yīng)急預(yù)案，包括效勞器、網(wǎng)絡(luò)、應(yīng)用、病毒、機(jī)房等方面b〕應(yīng)根據(jù)系統(tǒng)變更、管理要求的變化等及時(shí)更新應(yīng)急預(yù)案；未明確應(yīng)急預(yù)案更新方面的要求/不符合增加《應(yīng)急預(yù)案審查記錄》，明確預(yù)案審查的周期，包括預(yù)案名稱、時(shí)間、