廣電BOSS系統(tǒng)等級保護(hù)測評整改專項方案

數(shù)字電視綜合運行支撐（BOSS）系統(tǒng)等級保護(hù)整改方案12月目錄一、 概述 1二、 系統(tǒng)現(xiàn)實狀況 12.1 數(shù)字電視綜合運行支撐（BOSS）系統(tǒng) 12.1.1 系統(tǒng)描述 12.1.2 系統(tǒng)拓?fù)鋱D 12.1.3 系統(tǒng)組成 22.1.4 系統(tǒng)測評結(jié)論 3三、 整改依據(jù) 4四、 整改內(nèi)容 54.1 數(shù)字電視綜合運行支撐（BOSS）系統(tǒng) 54.1.1 物理安全 54.1.2 基礎(chǔ)網(wǎng)絡(luò)安全 54.1.3 邊界安全 64.1.4 主機(jī)安全 74.1.5 總要求 94.1.6 安全管理機(jī)構(gòu) 104.1.7 人員安全管理 124.1.8 系統(tǒng)建設(shè)管理 134.1.9 系統(tǒng)運維管理 15五、 方案總結(jié) 20附件一：設(shè)備清單匯總 22附件二：管理制度及表單條目清單 23概述信息安全等級保護(hù)是國家信息安全保障基礎(chǔ)制度、基礎(chǔ)策略、基礎(chǔ)方法，開展信息安全等級保護(hù)工作是保護(hù)信息化發(fā)展、維護(hù)國家信息安全根本保障。實施信息安全等級保護(hù)制度，信息系統(tǒng)運行使用單位和主管部門能根據(jù)標(biāo)準(zhǔn)進(jìn)行安全建設(shè)、整改，信息系統(tǒng)安全也有了一個衡量尺度。信息系統(tǒng)依據(jù)其在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中關(guān)鍵程度，遭到破壞后對國家安全、社會秩序、公共利益和公民、法人和其它組織正當(dāng)權(quán)益危害程度分成五個安全保護(hù)等級（從第一級到第五級逐層增高）。本方案關(guān)鍵針對信息系統(tǒng)現(xiàn)實狀況，依據(jù)信息系統(tǒng)等級保護(hù)評測工作《廣播數(shù)字全自動播出信息系統(tǒng)等級保護(hù)定級匯報》、《數(shù)字電視綜合運行支撐（BOSS）系統(tǒng)等級保護(hù)測評匯報》、現(xiàn)有情況和等保相關(guān)要求差距深入深入分析，并以滿足等保需求為基礎(chǔ)，對信息系統(tǒng)建設(shè)整改善行計劃設(shè)計。系統(tǒng)現(xiàn)實狀況數(shù)字電視綜合運行支撐（BOSS）系統(tǒng)系統(tǒng)描述BOSS系統(tǒng)業(yè)務(wù)信息包含：數(shù)字電視用戶基礎(chǔ)資料（姓名、地址、電話等），繳費統(tǒng)計、授權(quán)情況、欠費信息、機(jī)頂盒設(shè)備信息等。為該信息系統(tǒng)定級責(zé)任單位，該系統(tǒng)已被定級為三級（S2A2G2）。系統(tǒng)拓?fù)鋱D關(guān)鍵設(shè)備布署了中興通信ZXR108908萬兆路由交換機(jī)，19個鄉(xiāng)鎮(zhèn)和城區(qū)匯聚節(jié)點均布署ZXR108905萬兆路由交換機(jī)。具體網(wǎng)絡(luò)拓?fù)湟韵聢D所表示：圖1信息系統(tǒng)網(wǎng)絡(luò)拓?fù)湎到y(tǒng)組成業(yè)務(wù)應(yīng)用軟件表4信息系統(tǒng)業(yè)務(wù)應(yīng)用軟件序號軟件名稱關(guān)鍵功效數(shù)字電視綜合運行支撐（BOSS）系統(tǒng)關(guān)鍵完成數(shù)字電視用戶信息錄入、更新、認(rèn)證、授權(quán)、計費等功效主機(jī)/存放設(shè)備表5信息系統(tǒng)主機(jī)/存放設(shè)備序號設(shè)備名稱操作系統(tǒng)/數(shù)據(jù)庫管理系統(tǒng)收費工作站PCWindowsXP/--數(shù)據(jù)庫服務(wù)器-1IBMX3650M3SOLARIS/Oracle數(shù)據(jù)庫服務(wù)器-2IBMX3650M3SOLARIS/Oracle接口服務(wù)器IBMX3650M3Linux/--測試服務(wù)器-1IBMX3650M3Linux/--測試服務(wù)器-2IBMX3650M3Linux/--認(rèn)證服務(wù)器-1IBMX3650M3Linux/--認(rèn)證服務(wù)器-2IBMX3650M3Linux/--網(wǎng)絡(luò)互聯(lián)設(shè)備表6信息系統(tǒng)網(wǎng)絡(luò)互聯(lián)設(shè)備序號設(shè)備名稱用途中興ZXR108908關(guān)鍵交換機(jī)中興ZXR108908匯聚交換機(jī)系統(tǒng)測評結(jié)論等級測評結(jié)論為“基礎(chǔ)符合”，差距項分布以下表所表示：名稱測評指標(biāo)部分符合項不符合項高風(fēng)險項技術(shù)要求物理安全400基礎(chǔ)網(wǎng)絡(luò)安全200邊界安全030服務(wù)器安全310應(yīng)用安全510數(shù)據(jù)安全及備份恢復(fù)100管理要求總要求000安全管理機(jī)構(gòu)500人員安全管理410系統(tǒng)建設(shè)管理500系統(tǒng)運維管理1020整改依據(jù)GB17859-1999信息安全技術(shù)計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則；《廣播電視相關(guān)信息系統(tǒng)安全等級保護(hù)基礎(chǔ)要求》（GD/J038-）《廣播電視相關(guān)信息系統(tǒng)安全等級保護(hù)測評要求》（GD/J044-）；《信息系統(tǒng)安全等級保護(hù)定級匯報》；《數(shù)字電視綜合運行支撐（BOSS）系統(tǒng)安全等級保護(hù)測評匯報》；

整改內(nèi)容數(shù)字電視綜合運行支撐（BOSS）系統(tǒng)物理安全相關(guān)要求及依據(jù)詳見GD/J038-相關(guān)物理安全要求。為滿足要求，經(jīng)過布署防盜報警系統(tǒng)及火災(zāi)自動報警系統(tǒng)和滅火系統(tǒng)，開展機(jī)房運維管理和環(huán)境管理，提升機(jī)房安全性。安全現(xiàn)實狀況及整改方法類別測評內(nèi)容結(jié)果統(tǒng)計包含資產(chǎn)符合情況整改方法物理訪問控制b）需進(jìn)入播出機(jī)房來訪人員應(yīng)經(jīng)過申請和審批步驟，并限制和監(jiān)控其活動范圍。進(jìn)入機(jī)房由專員陪同，缺乏來訪人員進(jìn)入機(jī)房審批統(tǒng)計\部分符合設(shè)置來訪人員進(jìn)行機(jī)房審批統(tǒng)計防偷竊和防破壞c）應(yīng)利用光、電等技術(shù)設(shè)置機(jī)房防盜報警系統(tǒng)；機(jī)房缺乏防盜報警系統(tǒng)\不符合布署防盜報警系統(tǒng)機(jī)房環(huán)境b)機(jī)房應(yīng)有防水防潮方法，應(yīng)充足考慮水管泄漏和凝露可能性，并做好對應(yīng)預(yù)防方法；機(jī)房窗戶缺乏防水防滲處理，機(jī)房窗戶、屋頂和墻壁未出現(xiàn)漏水、滲透和返潮現(xiàn)象，機(jī)房內(nèi)空調(diào)排水管進(jìn)行加固防滲、防漏處理，機(jī)房空調(diào)含有除濕功效，缺乏防水防潮處理統(tǒng)計\不符合定時開展機(jī)房運維和環(huán)境管理d）機(jī)房應(yīng)設(shè)置溫、濕度自動調(diào)整設(shè)施，使機(jī)房溫、濕度改變在設(shè)備運行所許可范圍之內(nèi)；機(jī)房內(nèi)含有專業(yè)空調(diào)，可對機(jī)房內(nèi)溫度進(jìn)行自動調(diào)整，含有空調(diào)定時檢驗和維護(hù)統(tǒng)計，缺乏機(jī)房濕度控制設(shè)置\部分符合增加機(jī)房濕度調(diào)整設(shè)施機(jī)房消防設(shè)施b）機(jī)房應(yīng)設(shè)置火災(zāi)自動消防系統(tǒng)，能夠自動檢測火情、自動報警，并自動滅火；機(jī)房內(nèi)含有日常值守人員，機(jī)房含有干粉滅火器，缺乏自動滅火設(shè)備\部分符合布署火災(zāi)自動報警系統(tǒng)和自動滅火系統(tǒng)基礎(chǔ)網(wǎng)絡(luò)安全相關(guān)要求及依據(jù)詳見GD/J038-相關(guān)基礎(chǔ)網(wǎng)絡(luò)安全要求。為滿足要求，經(jīng)過布署動態(tài)令牌及日志服務(wù)器并完善設(shè)備基礎(chǔ)配置要求，定時開展設(shè)備維護(hù)，達(dá)成基礎(chǔ)網(wǎng)絡(luò)安全要求。安全現(xiàn)實狀況及整改方法類別測評內(nèi)容結(jié)果統(tǒng)計包含資產(chǎn)符合情況整改方法安全審計c)應(yīng)保護(hù)審計統(tǒng)計，避免受到未預(yù)期刪除、修改或覆蓋等，審計統(tǒng)計最少保留90天；缺乏對審計日志進(jìn)行必需保護(hù)交換機(jī)不符合對日志進(jìn)行集中管理，定時進(jìn)行分析d)應(yīng)定時對審計統(tǒng)計進(jìn)行分析，方便立即發(fā)覺異常行為；未定時對審計統(tǒng)計進(jìn)行分析交換機(jī)不符合對日志進(jìn)行集中管理，定時進(jìn)行分析網(wǎng)絡(luò)設(shè)備防護(hù)e)當(dāng)對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時，應(yīng)采取HTTPS、SSH等安全遠(yuǎn)程管理手段，預(yù)防用戶身份判別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；遠(yuǎn)程管理設(shè)備時采取telnet方法進(jìn)行交換機(jī)不符合采取SSH遠(yuǎn)程管理邊界安全相關(guān)要求及依據(jù)詳見GD/J038-相關(guān)邊界安全要求。為滿足要求，經(jīng)過修改配置，設(shè)置日志集中管理并定時分析，提供邊界安全性。安全現(xiàn)實狀況及整改方法類別測評內(nèi)容結(jié)果統(tǒng)計包含資產(chǎn)符合情況整改方法惡意代碼防范a)應(yīng)在信息系統(tǒng)網(wǎng)絡(luò)邊界處進(jìn)行惡意代碼檢測和清除，并維護(hù)惡意代碼庫升級和檢測系統(tǒng)更新，播出整備系統(tǒng)、播出系統(tǒng)等播出直接相關(guān)系統(tǒng)邊界可依據(jù)需要進(jìn)行布署B(yǎng)OSS系統(tǒng)在邊界處未設(shè)置惡意代碼防范方法\不符合在網(wǎng)絡(luò)邊界布署惡意代碼防范設(shè)備b)防惡意代碼產(chǎn)品應(yīng)和信息系統(tǒng)內(nèi)部防惡意代碼產(chǎn)品含有不一樣惡意代碼庫BOSS系統(tǒng)在邊界處未設(shè)置惡意代碼防范方法\不符合入侵防范a)應(yīng)在信息系統(tǒng)網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等，播出整備系統(tǒng)、播出系統(tǒng)等信息系統(tǒng)邊界可依據(jù)需要進(jìn)行布署B(yǎng)OSS系統(tǒng)在邊界處未設(shè)置入侵防御方法\不符合在網(wǎng)絡(luò)邊界布署入侵防范設(shè)備安全審計a)應(yīng)在和外部網(wǎng)絡(luò)連接網(wǎng)絡(luò)邊界處進(jìn)行數(shù)據(jù)通信行為審計BOSS系統(tǒng)和CA系統(tǒng)、VOD、營業(yè)廳相連，缺乏對系統(tǒng)網(wǎng)絡(luò)邊界處進(jìn)行數(shù)據(jù)通信行為進(jìn)行審計\不符合在和外部網(wǎng)絡(luò)連接網(wǎng)絡(luò)邊界處進(jìn)行數(shù)據(jù)通信行為審計，并對審計日志進(jìn)行集中管理和日常分析b)審計統(tǒng)計應(yīng)包含事件日期、時間、用戶名、IP地址、事件類型、事件是否成功等BOSS系統(tǒng)和CA系統(tǒng)、VOD、營業(yè)廳相連，缺乏對系統(tǒng)網(wǎng)絡(luò)邊界處進(jìn)行數(shù)據(jù)通信行為進(jìn)行審計\不符合c)應(yīng)保護(hù)審計統(tǒng)計，避免受到未預(yù)期刪除、修改或覆蓋等，審計統(tǒng)計最少保留90天BOSS系統(tǒng)和CA系統(tǒng)、VOD、營業(yè)廳相連，缺乏對系統(tǒng)網(wǎng)絡(luò)邊界處進(jìn)行數(shù)據(jù)通信行為進(jìn)行審計\不符合d)應(yīng)定時對審計統(tǒng)計進(jìn)行分析，方便立即發(fā)覺異常行為BOSS系統(tǒng)和CA系統(tǒng)、VOD、營業(yè)廳相連，缺乏對系統(tǒng)網(wǎng)絡(luò)邊界處進(jìn)行數(shù)據(jù)通信行為進(jìn)行審計\不符合主機(jī)安全相關(guān)要求及依據(jù)詳見GD/J038-相關(guān)主機(jī)要求。為滿足要求，經(jīng)過修改主機(jī)安全配置，設(shè)置登陸口令復(fù)雜度限制、登陸失敗方法、開啟安全審計、定時升級系統(tǒng)和打補(bǔ)丁，提升主機(jī)操作系統(tǒng)和數(shù)據(jù)庫安全性。安全現(xiàn)實狀況及整改方法類別測評內(nèi)容結(jié)果統(tǒng)計包含資產(chǎn)符合情況整改方法身份判別a)應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶進(jìn)行身份標(biāo)識和判別，應(yīng)為不一樣用戶分配不一樣用戶名，不能多人使用同一用戶名；技術(shù)部多人使用同一管理員賬戶，不一樣用戶未分配不一樣用戶名收費工作站數(shù)據(jù)庫服務(wù)器-1/2接口服務(wù)器測試服務(wù)器-1/2認(rèn)證服務(wù)器-1/2數(shù)據(jù)庫系統(tǒng)-1/2不符合每個自然人對應(yīng)使用一個賬戶，避免賬戶共享情況b)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識應(yīng)含有不易被冒用特點，口令應(yīng)有復(fù)雜度要求并定時更換；操作系統(tǒng)缺乏口令長度、更新周期、復(fù)雜性限制收費工作站數(shù)據(jù)庫服務(wù)器-1/2接口服務(wù)器測試服務(wù)器-1/2認(rèn)證服務(wù)器-1/2數(shù)據(jù)庫系統(tǒng)-1/2數(shù)字電視綜合運行支撐（BOSS）系統(tǒng)不符合對操作系統(tǒng)和數(shù)據(jù)庫配置用戶口令使用期強(qiáng)制提醒和更新功效，使口令設(shè)置時系統(tǒng)含有復(fù)雜度檢驗和長度限制c)應(yīng)啟用登錄失敗處理功效，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等方法；操作系統(tǒng)未啟用登錄失敗處理功效收費工作站數(shù)據(jù)庫服務(wù)器-1/2接口服務(wù)器測試服務(wù)器-1/2認(rèn)證服務(wù)器-1/2數(shù)據(jù)庫系統(tǒng)-1/2數(shù)字電視綜合運行支撐（BOSS）系統(tǒng)不符合啟用登錄失敗處理功效，口令嘗試超出要求次數(shù)鎖定賬戶c)應(yīng)實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶權(quán)限分離；操作系統(tǒng)和數(shù)據(jù)庫管理員由同一人擔(dān)任，權(quán)限未分離數(shù)據(jù)庫系統(tǒng)-1/2不符合為操作系統(tǒng)管理員和數(shù)據(jù)庫管理員崗位配置不一樣人員，同時補(bǔ)充對應(yīng)人員崗位職責(zé)安全審計a)安全審計應(yīng)覆蓋到服務(wù)器和關(guān)鍵用戶端上每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；審計功效未開啟或?qū)徲嫴蝗矫?，未定時對審計統(tǒng)計進(jìn)行分析數(shù)據(jù)庫服務(wù)器-1/2接口服務(wù)器測試服務(wù)器-1/2認(rèn)證服務(wù)器-1/2數(shù)據(jù)庫系統(tǒng)-1/2不符合啟用當(dāng)?shù)匕踩珜徲嫻πЩ虿际鸨緳C(jī)等第三方審計系統(tǒng)，審計策略配置登錄登出、權(quán)限變更、關(guān)鍵文件增刪行為等事件內(nèi)容入侵防范a)操作系統(tǒng)遵照最小安裝標(biāo)準(zhǔn)，僅安裝需要組件和應(yīng)用程序，并經(jīng)過設(shè)置升級服務(wù)器等方法保持系統(tǒng)補(bǔ)丁立即得到更新系統(tǒng)補(bǔ)丁未立即升級收費工作站數(shù)據(jù)庫服務(wù)器-1/2接口服務(wù)器測試服務(wù)器-1/2認(rèn)證服務(wù)器-1/2數(shù)據(jù)庫系統(tǒng)-1/2不符合經(jīng)過設(shè)置專門升級服務(wù)器等方法保持對操作系統(tǒng)安全補(bǔ)丁立即更新，并補(bǔ)充完善相關(guān)系統(tǒng)升級制度和升級統(tǒng)計惡意代碼防范應(yīng)布署含有統(tǒng)一管理功效防惡意代碼軟件，并定時更新防惡意代碼軟件版本和惡意代碼庫；新聞制播系統(tǒng)、播出整備系統(tǒng)、播出系統(tǒng)等播出直接相關(guān)系統(tǒng)關(guān)鍵服務(wù)器可依據(jù)需要進(jìn)行布署和更新。操作系統(tǒng)未布署含有統(tǒng)一管理功效防惡意代碼軟件收費工作站數(shù)據(jù)庫服務(wù)器-1/2接口服務(wù)器測試服務(wù)器-1/2認(rèn)證服務(wù)器-1/2數(shù)據(jù)庫系統(tǒng)-1/2不符合提議操作系統(tǒng)安裝企業(yè)版或網(wǎng)絡(luò)版殺毒軟件進(jìn)行統(tǒng)一管理總要求相關(guān)要求及依據(jù)詳見GD/J038-相關(guān)總要求。為滿足要求，制訂《信息安全工作總體方針和安全策略》《管理制度和操作規(guī)程》《安全管理制度體系》等制度達(dá)成目標(biāo)或檢驗要求。安全現(xiàn)實狀況及整改方法類別測評內(nèi)容結(jié)果統(tǒng)計包含資產(chǎn)符合情況整改方法總要求a)應(yīng)制訂信息安全工作總體方針和安全策略，說明安全工作總體目標(biāo)、范圍、標(biāo)準(zhǔn)和安全框架等；缺乏信息安全工作總體方針和安全策略文件/不符合補(bǔ)充《信息安全工作總體方針和安全策略》，關(guān)鍵內(nèi)容包含機(jī)構(gòu)安全工作總體目標(biāo)、范圍、方針、標(biāo)準(zhǔn)、和安全框架b)應(yīng)成立指導(dǎo)和管理信息安全工作領(lǐng)導(dǎo)小組，設(shè)置信息安全管理工作職能部門；相關(guān)成立信息安全保護(hù)工作通知余廣電【】42號，明確成立了信息安全工作領(lǐng)導(dǎo)小組，但未設(shè)置信息安全管理工作職能部門/部分符合補(bǔ)充《信息安全管理工作職能部門》，并明確職能部門職責(zé)c)應(yīng)制訂各項信息安全制度和操作規(guī)程，明確信息安全管理各項要求，形成由安全方針、管理制度、細(xì)化步驟等組成全方面信息安全管理制度體系，使等級保護(hù)工作長久化、制度化。缺乏各項安全管理制度文檔，缺乏全方面信息安全管理制度體系/不符合制訂各項安全管理制度和操作規(guī)程制訂信息安全管理制度體系文件，制度體系由總體方針、安全策略、管理制度、操作規(guī)程等組成安全管理機(jī)構(gòu)相關(guān)要求及依據(jù)詳見GD/J038-相關(guān)管理機(jī)構(gòu)要求。為滿足要求，《系統(tǒng)管理審批管理制度》、《系統(tǒng)管理審批統(tǒng)計》、《安全檢驗制度》、《安全檢驗管理制度》和補(bǔ)充完善《崗位職責(zé)》、《安全檢驗統(tǒng)計》等制度，保障系統(tǒng)安全。安全現(xiàn)實狀況及整改方法類別測評內(nèi)容結(jié)果統(tǒng)計包含資產(chǎn)符合情況整改方法崗位設(shè)置b)應(yīng)設(shè)置信息安全管理工作職能部門，負(fù)責(zé)信息安全各項工作組織和落實，配置專職安全管理員；設(shè)置信息安全組織機(jī)構(gòu)，負(fù)責(zé)信息安全各項工作組織和落實未配置專職安全管理員/部分符合補(bǔ)充崗位職責(zé)，明確安全管理員職責(zé)，配置專職安全管理員b)應(yīng)設(shè)置信息安全管理工作職能部門，負(fù)責(zé)信息安全各項工作組織和落實，配置專職安全管理員；未設(shè)置信息安全組織機(jī)構(gòu)未配置專職安全管理員/不符合設(shè)置信息安全組織機(jī)構(gòu)，明確機(jī)構(gòu)職責(zé)，配置專職安全管理員d)應(yīng)制訂文件明確安全管理機(jī)構(gòu)各個部門和崗位職責(zé)。缺乏職能部門職責(zé)和崗位職責(zé)文件/不符合補(bǔ)充部門職責(zé)和崗位職責(zé)，關(guān)鍵內(nèi)容包含：安全主管、各個方面責(zé)任人崗位職責(zé)具體設(shè)置，關(guān)鍵內(nèi)容包含：網(wǎng)絡(luò)管理員、機(jī)房管理員、系統(tǒng)管理員、安全管理員、數(shù)據(jù)庫管理員、審計員、應(yīng)用系統(tǒng)管理員等崗位具體設(shè)置，并清楚、明確各個崗位職責(zé)范圍授權(quán)和審批b）應(yīng)針對系統(tǒng)變更、關(guān)鍵操作、物理訪問和系統(tǒng)接入等事項建立審批程序，根據(jù)審批程序?qū)嵤徟^程，對關(guān)鍵活動建立逐層審批制度；缺乏審批管理制度（系統(tǒng)變更、關(guān)鍵操作、物理訪問和系統(tǒng)接入等事項），缺乏逐層審批文檔/不符合增加《系統(tǒng)管理審批管理制度》：關(guān)鍵內(nèi)容包含明確對系統(tǒng)投入運行、網(wǎng)絡(luò)系統(tǒng)接入和關(guān)鍵資源訪問、變更管理、產(chǎn)品采購等關(guān)鍵活動審批部門和同意人進(jìn)行要求，明確審批步驟c）應(yīng)定時審查審批事項，立即更新需授權(quán)和審批項目、審批部門和審批人等信息；缺乏審批管理制度文檔/不符合增加《逐層審批文檔》對審批過程進(jìn)行統(tǒng)計，增加《審批事項審查統(tǒng)計》，包含審批事項、審批部門、審批人變更進(jìn)行評審等內(nèi)容，對關(guān)鍵活動審批進(jìn)行統(tǒng)計d）應(yīng)統(tǒng)計審批過程并保留審批文檔。缺乏關(guān)鍵活動審批過程統(tǒng)計/不符合溝通和合作a）應(yīng)加強(qiáng)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間和信息安全職能部門內(nèi)部合作和溝通，定時或不定時召開協(xié)調(diào)會議，共同協(xié)作處理信息安全問題；不定時召開協(xié)調(diào)會議，電話、郵件、當(dāng)面溝通，溝通內(nèi)容歷史問題處理，缺乏組織內(nèi)部機(jī)構(gòu)之間和信息安全職能部門內(nèi)部安全工作會議文件，經(jīng)檢驗，通訊錄，明確了組織機(jī)構(gòu)內(nèi)部人員聯(lián)絡(luò)表/部分符合增加《會議紀(jì)要》，包含組織內(nèi)部機(jī)構(gòu)之間和信息安全職能部門內(nèi)部安全工作會議文件b)應(yīng)加強(qiáng)和系統(tǒng)內(nèi)外相關(guān)工作單位合作和溝通，確保信息安全各項工作順利開展；和信息內(nèi)外相關(guān)工作單位建立了溝通和合作機(jī)構(gòu)，郵件、電話進(jìn)行聯(lián)絡(luò)，包含業(yè)務(wù)，安全等，但缺乏單獨工作文件或統(tǒng)計/部分符合增加《會議紀(jì)要》，包含和系統(tǒng)內(nèi)外相關(guān)工作單位合作和溝通統(tǒng)計審核和檢驗a）安全管理員應(yīng)負(fù)責(zé)定時進(jìn)行信息安全檢驗，檢驗內(nèi)容包含系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況；1個月檢驗一次，包含日常運行、備份等，未包含漏洞檢驗，經(jīng)檢驗，缺乏安全檢驗統(tǒng)計或匯報/部分符合補(bǔ)充《安全檢驗統(tǒng)計》，明確檢驗周期，檢驗內(nèi)容包含系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備b）應(yīng)定時進(jìn)行全方面信息安全檢驗，檢驗內(nèi)容包含現(xiàn)有安全技術(shù)方法有效性、安全配置和安全策略一致性、安全管理制度實施情況等；對信息系統(tǒng)未進(jìn)行全方面安全檢驗，缺乏安全檢驗管理制度/不符合增加《安全檢驗制度》，明確檢驗內(nèi)容包含技術(shù)方法有效性和安全管理制度實施情況等方面；增加《安全檢驗文檔》，明確了定時進(jìn)行全方面安全檢驗，明確了檢驗內(nèi)容等c)信息安全主管部門應(yīng)制訂安全檢驗表格實施安全檢驗，匯總安全檢驗數(shù)據(jù)，形成安全檢驗匯報，并對安全檢驗結(jié)果進(jìn)行通報。缺乏全方面安全檢驗缺乏全方面安全檢驗匯報/不符合增加《安全檢驗匯報》《安全檢驗時安全檢驗表》《結(jié)果通告統(tǒng)計》，包含檢驗內(nèi)容、檢驗時間、檢驗人員、檢驗數(shù)據(jù)匯總表、檢驗結(jié)果等內(nèi)容描述制度管理a)應(yīng)建立信息安全管理制度、操作規(guī)程等從訪問控制、系統(tǒng)設(shè)計、系統(tǒng)建設(shè)、系統(tǒng)驗收、系統(tǒng)運維、應(yīng)急處理、人員管理、文件檔案管理、審核檢驗等方面規(guī)范各項信息安全管理工作；缺乏各項安全管理制度（訪問控制、系統(tǒng)設(shè)計、系統(tǒng)建設(shè)、系統(tǒng)驗收、系統(tǒng)運維、應(yīng)急處理、人員管理、文件檔案管理、審核檢驗等方面）/部分符合增加《各項安全管理制度》，明確訪問控制、系統(tǒng)設(shè)計、系統(tǒng)建設(shè)、系統(tǒng)驗收、系統(tǒng)運維、人員管理、文件檔案管理、審核檢驗等方面b)信息安全管理部門負(fù)責(zé)制訂信息安全管理制度和操作規(guī)程，并進(jìn)行版本控制；缺乏安全管理制度文檔/不符合增加《安全管理制度文檔》，規(guī)范制度版本管理c)應(yīng)組織教授和相關(guān)部門人員對安全管理制度和操作規(guī)程進(jìn)行論證和審定，并定時對其合理性和適用性進(jìn)行審定，依據(jù)需要進(jìn)行修訂；不定時對其合理性和適用性進(jìn)行審定，依據(jù)需要進(jìn)行修訂缺乏管理制度評審統(tǒng)計/部分符合增加《管理制度評審統(tǒng)計》，包含評審內(nèi)容、評審周期、參與人員和評審等人員安全管理相關(guān)要求及依據(jù)詳見GD/J038-相關(guān)人員安全管理要求。為滿足要求，經(jīng)過制訂《保密協(xié)議》、《崗位安全協(xié)議、《人員離職管理制度》、《離崗人員交接統(tǒng)計》《外來人員訪問管理制度》、《外部人員訪問關(guān)鍵區(qū)域同意文檔》、《外部人員訪問關(guān)鍵區(qū)域登記統(tǒng)計》等人員管理制度，保障系統(tǒng)安全。安全現(xiàn)實狀況及整改方法類別測評內(nèi)容結(jié)果統(tǒng)計包含資產(chǎn)符合情況整改方法人員上崗b）應(yīng)簽署保密協(xié)議和崗位安全協(xié)議。對從事關(guān)鍵崗位人員未簽署保密協(xié)議和崗位安全協(xié)議/不符合增加《保密協(xié)議》，對關(guān)鍵崗位人員簽署保密協(xié)議，包含安全責(zé)任、違約責(zé)任、協(xié)議使用期限和責(zé)任人簽字等內(nèi)容增加《崗位安全協(xié)議》，包含安全責(zé)任、違約責(zé)任、協(xié)議使用期限和責(zé)任人簽字等內(nèi)容人員離崗a)應(yīng)規(guī)范人員離崗過程，立即終止離崗職員全部訪問權(quán)限；缺乏人員離崗管理制度/不符合增加《人員離崗管理制度》，包含規(guī)范人員離崗過程，立即終止離崗職員全部訪問權(quán)限等內(nèi)容b)應(yīng)取回多種身份證件、鑰匙、徽章等和單位提供軟硬件設(shè)備；缺乏人員交接統(tǒng)計/不符合增加《離崗手續(xù)統(tǒng)計表》《交接手續(xù)記錄表》，取回離崗人員多種身份證件、鑰匙、徽章等和機(jī)構(gòu)提供軟硬件設(shè)備等c)應(yīng)辦理嚴(yán)格調(diào)離手續(xù)，關(guān)鍵崗位人員離崗須承諾調(diào)離后保密義務(wù)后方可離開。缺乏人員調(diào)離統(tǒng)計，缺乏離職人員保密承諾文檔/不符合增加《保密承諾文檔》，明確要求關(guān)鍵崗位調(diào)離人員承諾相關(guān)保密義務(wù)后方可離開培訓(xùn)和考評b)應(yīng)對信息安全各相關(guān)崗位人員定時進(jìn)行安全技能、政策及安全認(rèn)知考評；年度考評統(tǒng)計，未包含安全技能和安全知識考評/部分符合補(bǔ)充《人員安全技術(shù)考評制度》、《人員考評統(tǒng)計》，考評內(nèi)容包含安全技能及安全認(rèn)知等c)應(yīng)對信息安全培訓(xùn)和考評情況進(jìn)行統(tǒng)計并保留。缺乏安全教育和培訓(xùn)統(tǒng)計/不符合增加《安全教育和培訓(xùn)統(tǒng)計》，包含培訓(xùn)時間、地點、參與人員、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)果等外部人員訪問管理a）應(yīng)確保在外部人員訪問受控區(qū)域前先提出書面申請，得到授權(quán)或?qū)徟夂笥蓪T全程陪同或監(jiān)督，并登記立案；訪問受控區(qū)域前經(jīng)過相關(guān)人員同意，同意后有專員陪同，缺乏外部人員訪問關(guān)鍵區(qū)域同意文檔，缺乏外部人員訪問關(guān)鍵區(qū)域登記統(tǒng)計/部分符合增加《外部人員訪問關(guān)鍵區(qū)域同意文檔》、《外部人員訪問關(guān)鍵區(qū)域登記統(tǒng)計》，關(guān)鍵內(nèi)容明確對外部人員訪問機(jī)房等關(guān)鍵區(qū)域應(yīng)經(jīng)相關(guān)部門或責(zé)任人同意，明確外部人員訪問范圍、外部人員進(jìn)入條件、外部人員進(jìn)入訪問控制方法b)對外部人員許可訪問區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容應(yīng)進(jìn)行書面要求，并根據(jù)要求實施。缺乏外部人員訪問管理制度/不符合增加《外來人員訪問管理制度》，明確許可外部人員訪問范圍，外部人員進(jìn)入條件，外部人員進(jìn)入訪問控制方法等；對許可外部人員訪問區(qū)域、系統(tǒng)、設(shè)備和信息等進(jìn)行明確要求系統(tǒng)建設(shè)管理相關(guān)要求及依據(jù)詳見GD/J038-相關(guān)系統(tǒng)建設(shè)管理要求。為滿足要求，我們經(jīng)過增加《安全設(shè)計方案》、《工程實施文檔》、《測試驗收文檔》、《方案評審統(tǒng)計》、《軟件開發(fā)管理規(guī)范》和《系統(tǒng)交付清單》等方法來加強(qiáng)系統(tǒng)安全。安全現(xiàn)實狀況及整改方法類別測評內(nèi)容結(jié)果統(tǒng)計包含資產(chǎn)符合情況整改方法安全方案設(shè)計a）依據(jù)信息系統(tǒng)等級劃分情況，應(yīng)由專門部門對信息系統(tǒng)安全建設(shè)進(jìn)行總體計劃，統(tǒng)一考慮信息安全保障體系總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)計劃、遠(yuǎn)期和近期建設(shè)計劃等；技術(shù)運維部負(fù)責(zé)信息系統(tǒng)總體計劃，經(jīng)檢驗，缺乏系統(tǒng)總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)計劃、具體設(shè)計方案、近期安全建設(shè)計劃和遠(yuǎn)期安全建設(shè)計劃等配套文件/部分符合增加《總體安全策略》，內(nèi)容包含近期安全建設(shè)計劃和遠(yuǎn)期安全建設(shè)計劃配套文件，增加《信息系統(tǒng)建設(shè)配套文件》，包含安全技術(shù)框架、安全管理策略、總體建設(shè)計劃、具體設(shè)計方案b）應(yīng)依據(jù)國家和行業(yè)標(biāo)準(zhǔn)、規(guī)范合理設(shè)計信息系統(tǒng)信息安全方案和策略，制訂具體建設(shè)方案；缺乏信息系統(tǒng)信息安全方案和策略，缺乏具體建設(shè)方案/部分符合增加《系統(tǒng)安全方案和策略》《具體設(shè)計方案和策略》c）應(yīng)組織相關(guān)部門和相關(guān)安全技術(shù)教授對信息安全計劃、建設(shè)方案等進(jìn)行論證和審定，而且經(jīng)過同意后，才能正式實施；缺乏配套文件教授論證文檔/不符合對《安全方案》組織教授評審并形成《方案評審統(tǒng)計》；對配套文件進(jìn)行維護(hù)統(tǒng)計形成《維護(hù)統(tǒng)計》d)應(yīng)依據(jù)等級測評、安全評定結(jié)果調(diào)整和修訂信息安全計劃、建設(shè)方案等。缺乏配套文件修訂文檔/不符合外包軟件開發(fā)b)應(yīng)在軟件安裝之前檢測軟件包中可能存在惡意代碼；軟件安裝之前未檢測軟件包中可能存在惡意代碼/不符合軟件安裝之前檢測軟件包中可能存在惡意代碼增加《惡意代碼檢測統(tǒng)計》c)應(yīng)要求開發(fā)單位提供軟件設(shè)計相關(guān)文檔和使用指南；未提供軟件設(shè)計相關(guān)文檔和使用指南（需求分析說明書、軟件設(shè)計說明書、軟件操作手冊、軟件源代碼文檔等）/不符合增加《軟件設(shè)計相關(guān)文檔和使用指南》，包含需求分析說明書、軟件設(shè)計說明書、軟件操作手冊、軟件源代碼文檔等d)應(yīng)要求開發(fā)單位提供軟件源代碼，并審查軟件中可能存在后門漏洞等。缺乏軟件源代碼審查統(tǒng)計/不符合增加《源代碼審查統(tǒng)計》，包含軟件中可能存在后門漏洞等內(nèi)容工程實施b)應(yīng)制訂具體工程實施方案控制實施過程，并要求工程實施單位能正式地實施安全工程過程；未提供工程實施方案，未提供階段性實施文檔/不符合增加《工程實施方案》，要求工程時間限制、進(jìn)度、控制、質(zhì)量控制等方面內(nèi)容，工程實施過程根據(jù)實施方案形成多種文檔，如階段性工程進(jìn)程匯報匯報c)應(yīng)制訂工程實施方面管理制度，明確說明實施過程控制方法和人員行為準(zhǔn)則。缺乏工程實施方面管理制度/不符合增加《工程實施管理制度》，包含，明確說明實施過程控制方法和人員行為準(zhǔn)則等內(nèi)容測試驗收a)應(yīng)委托含有資質(zhì)第三方對系統(tǒng)進(jìn)行安全性測試，并出具安全性測試匯報；未委托公正含有資質(zhì)第三方對系統(tǒng)進(jìn)行安全性測試/不符合信息系統(tǒng)建設(shè)完成后對其進(jìn)行測試，委托第三方測試機(jī)構(gòu)對信息系統(tǒng)進(jìn)行獨立安全性測試，形成安全性測試匯報b)在測試驗收前應(yīng)依據(jù)設(shè)計方案或協(xié)議要求等制訂測試驗收方案，在測試驗收過程中應(yīng)具體統(tǒng)計測試驗收結(jié)果，并形成測試驗收匯報；未提供系統(tǒng)測試驗收方案，未提供系統(tǒng)測試驗收匯報/不符合增加《工程測試驗收方案》，明確參與測試部門、人員、測試驗收內(nèi)容、現(xiàn)場操作過程等內(nèi)容，制訂《測試驗收統(tǒng)計》、《測試驗收匯報》c)應(yīng)對系統(tǒng)測試驗收控制方法和人員行為準(zhǔn)則進(jìn)行書面要求；缺乏系統(tǒng)測試驗收管理制度/不符合增加《測試驗收管理制度》，包含系統(tǒng)測試驗收控制方法和人員行為準(zhǔn)則進(jìn)行書面要求e）應(yīng)組織相關(guān)部門和相關(guān)人員對系統(tǒng)測試驗收匯報進(jìn)行審定，并簽字確定。未提供驗收匯報審定文檔/不符合增加《驗收匯報審定文檔》，包含驗收匯報審定內(nèi)容及審定意見等系統(tǒng)交付a)應(yīng)制訂具體系統(tǒng)交付清單，并依據(jù)交付清單對所交接設(shè)備、軟件和文檔等進(jìn)行清點；未提供系統(tǒng)交付清單/不符合增加《系統(tǒng)交付清單》，明確所交接設(shè)備、軟件和文檔等制訂《項目建設(shè)管理制度》要求工程系統(tǒng)交付后進(jìn)行技術(shù)培訓(xùn)，《培訓(xùn)統(tǒng)計》并形成統(tǒng)計b)應(yīng)對負(fù)責(zé)系統(tǒng)運行維護(hù)技術(shù)人員進(jìn)行對應(yīng)技能培訓(xùn)；現(xiàn)在系統(tǒng)是內(nèi)部技術(shù)人員維護(hù)，對維護(hù)人員進(jìn)行過培訓(xùn)，但未提供系統(tǒng)交付時技術(shù)培訓(xùn)統(tǒng)計/部分符合c)應(yīng)提供系統(tǒng)建設(shè)過程中文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運行維護(hù)文檔；未提供系統(tǒng)交付清單/不符合系統(tǒng)運維管理相關(guān)要求及依據(jù)詳見GD/J038-相關(guān)系統(tǒng)運維管理要求。為滿足要求，我們制訂《機(jī)房安全管理制度》、《介質(zhì)管理制度》、《設(shè)備維護(hù)制度》、《設(shè)備操作規(guī)程》、《惡意代碼防范管理制度》、《網(wǎng)絡(luò)安全管理制度》、《系統(tǒng)安全管理制度》、《備份和恢復(fù)管理制度》、《安全事件匯報和處理管理制度》和《應(yīng)急預(yù)案》等達(dá)成目標(biāo)或檢驗要求。安全現(xiàn)實狀況及整改方法類別測評內(nèi)容結(jié)果統(tǒng)計包含資產(chǎn)符合情況整改方法環(huán)境管理a)應(yīng)指定專門部門或人員定時對機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理；技術(shù)運維部進(jìn)行維護(hù)，不定時進(jìn)行維護(hù)，缺乏機(jī)房基礎(chǔ)設(shè)施維護(hù)統(tǒng)計/部分符合增加《機(jī)房基礎(chǔ)設(shè)施維護(hù)統(tǒng)計》，包含空調(diào)、UPS等c)應(yīng)建立機(jī)房安全管理制度，規(guī)范機(jī)房物理訪問、機(jī)房環(huán)境安全、工作人員行為等。機(jī)房管理制度不夠完善，未包含機(jī)房物理訪問、物品帶進(jìn)和帶出機(jī)房、機(jī)房環(huán)境安全和工作人員行為等方面/部分符合完善《機(jī)房管理制度》，包含機(jī)房物理訪問、機(jī)房環(huán)境安全、工作人員行為等內(nèi)容資產(chǎn)管理a)應(yīng)編制并保留和信息系統(tǒng)相關(guān)資產(chǎn)清單，包含資產(chǎn)責(zé)任部門、關(guān)鍵程度和所處位置等內(nèi)容；未明確資產(chǎn)責(zé)任部門，缺乏資產(chǎn)清單/不符合增加《資產(chǎn)清單》，明確資產(chǎn)責(zé)任部門、責(zé)任人、關(guān)鍵程度和所處位置等b)應(yīng)建立資產(chǎn)安全管理制度，要求信息系統(tǒng)資產(chǎn)管理責(zé)任人員或責(zé)任部門，并規(guī)范資產(chǎn)管理和使用行為；缺乏資產(chǎn)安全管理制度/不符合增加《資產(chǎn)安全管理制度》，要求信息系統(tǒng)資產(chǎn)管理責(zé)任人員或責(zé)任部門，并規(guī)范資產(chǎn)管理和使用行為c)應(yīng)依據(jù)資產(chǎn)關(guān)鍵程度對資產(chǎn)進(jìn)行標(biāo)識管理，并選擇對應(yīng)管理方法；未明確分類和標(biāo)識管理，不一樣類別資產(chǎn)未采取不一樣管理方法/不符合依據(jù)資產(chǎn)關(guān)鍵程度對資產(chǎn)進(jìn)行標(biāo)識管理，并選擇對應(yīng)管理方法d)應(yīng)對信息分類和標(biāo)識方法作出要求，并對信息使用、傳輸和存放等進(jìn)行規(guī)范化管理。缺乏信息分類文檔/不符合增加《信息分類管理文檔》，包含分類和標(biāo)識方法，信息使用、傳輸和存放等內(nèi)容介質(zhì)管理a)應(yīng)建立介質(zhì)安全管理制度，對介質(zhì)存放環(huán)境、使用、維護(hù)和銷毀等方面作出要求；缺乏介質(zhì)安全管理制度（介質(zhì)存放環(huán)境、使用、維護(hù)和銷毀等方面）/不符合制訂《介質(zhì)安全管理制度》，包含介質(zhì)存放環(huán)境、使用、維護(hù)和銷毀等方面b)應(yīng)確保介質(zhì)存放在安全環(huán)境中，并依據(jù)所承載數(shù)據(jù)和軟件關(guān)鍵程度對介質(zhì)進(jìn)行分類和標(biāo)識管理，進(jìn)行對應(yīng)控制和保護(hù)；未明確專門存放環(huán)境，對介質(zhì)未進(jìn)行分類和標(biāo)識/不符合明確介質(zhì)存放環(huán)境，依據(jù)關(guān)鍵性對介質(zhì)進(jìn)行分類和標(biāo)識管理，進(jìn)行對應(yīng)控制和保護(hù)c)應(yīng)對存放介質(zhì)使用過程、送出維修和銷毀等進(jìn)行嚴(yán)格管理，對經(jīng)同意帶出工作環(huán)境存放介質(zhì)進(jìn)行登記和監(jiān)控管理，對送出維修或銷毀介質(zhì)應(yīng)首先清除介質(zhì)中敏感數(shù)據(jù)，對保密性較高存放介質(zhì)未經(jīng)同意不應(yīng)自行銷毀；缺乏介質(zhì)管理制度（存放介質(zhì)使用過程、送出維修和銷毀等進(jìn)行嚴(yán)格管理，對經(jīng)同意帶出工作環(huán)境存放介質(zhì)進(jìn)行登記和監(jiān)控管理，對送出維修或銷毀介質(zhì)應(yīng)首先清除介質(zhì)中敏感數(shù)據(jù)）/不符合制訂《介質(zhì)管理制度》，明確介質(zhì)銷毀和維修等方面要求。明確對介質(zhì)物理傳輸過程是否要求選擇可靠傳輸人員、嚴(yán)格介質(zhì)打包、選擇安全物理傳輸路徑、雙方在場交付等內(nèi)容d)應(yīng)依據(jù)數(shù)據(jù)備份需要對一些介質(zhì)實施異地存放，存放地環(huán)境要求和管理方法應(yīng)和當(dāng)?shù)叵嗤?；關(guān)鍵數(shù)據(jù)未實施異地存放/不符合明確關(guān)鍵數(shù)據(jù)進(jìn)行加密存放設(shè)備管理c)應(yīng)建立配套設(shè)施、軟硬件維護(hù)方面管理制度，對其維護(hù)進(jìn)行有效管理，包含明確維護(hù)人員責(zé)任、涉外維修和服務(wù)審批、維修過程監(jiān)督控制等；缺乏配套設(shè)施、軟硬件維護(hù)方面管理制度/不符合增加《設(shè)備維護(hù)制度》，明確維護(hù)人員責(zé)任、涉外維修和服務(wù)審批、維修過程監(jiān)督控制等內(nèi)容d)應(yīng)對終端計算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備操作和使用進(jìn)行規(guī)范化管理，按操作規(guī)程實現(xiàn)關(guān)鍵設(shè)備開啟/停止、加電/斷電等操作；缺乏設(shè)備使用管理文檔，缺乏設(shè)備操作規(guī)程，關(guān)鍵設(shè)備操作未建立操作日志/部分符合增加《設(shè)備使用管理文檔》，包含終端計算機(jī)、便攜機(jī)和網(wǎng)絡(luò)設(shè)備等使用方法、操作標(biāo)準(zhǔn)、注意事項等內(nèi)容，制訂《操作規(guī)程》，包含對關(guān)鍵系統(tǒng)，如服務(wù)器、防火墻、交換機(jī)、路由器等內(nèi)容，增加《日志管理統(tǒng)計》，包含檢驗人員、日期、內(nèi)容等e)應(yīng)確保信息處理設(shè)備必需經(jīng)過審批才能帶離機(jī)房或辦公地點。缺乏設(shè)備帶離機(jī)房或辦公場地審批統(tǒng)計/不符合制訂《處理設(shè)備必需經(jīng)過審批才能帶離機(jī)房或辦公地點統(tǒng)計》，明確審批內(nèi)容和同意人惡意代碼防范管理b)應(yīng)對防惡意代碼軟件授權(quán)使用、惡意代碼庫升級、定時匯報等作出明確要求；缺乏惡意代碼方面管理制度/不符合增加《惡意代碼防范管理制度》，包含防惡意代碼軟件授權(quán)使用、惡意代碼庫升級、定時匯報等內(nèi)容c)應(yīng)定時檢驗信息系統(tǒng)內(nèi)多種產(chǎn)品惡意代碼庫升級情況并進(jìn)行統(tǒng)計，對防惡意代碼產(chǎn)品上截獲危險病毒或惡意代碼進(jìn)行立即分析處理，并形成書面報表和總結(jié)匯報。缺乏惡意代碼檢測統(tǒng)計、惡意代碼庫升級統(tǒng)計和分析匯報/不符合增加《惡意代碼檢測統(tǒng)計》《惡意代碼庫升級統(tǒng)計》和《惡意代碼分析匯報》，明確其檢驗周期、檢驗人員、檢驗結(jié)果等密碼管理a）應(yīng)使用符合國家密碼管理要求密碼技術(shù)和產(chǎn)品；缺乏密碼使用方面管理制度/不符合增加《密碼管理制度》，明確密碼使用方面內(nèi)容變更管理b)應(yīng)建立變更管理制度，系統(tǒng)發(fā)生變更前，向主管領(lǐng)導(dǎo)申請，變更和變更方案經(jīng)過評審、審批后方可實施變更，并在實施后將變更情況向相關(guān)人員通告；缺乏變更管理制度（更前審批、變更過程統(tǒng)計、變更后通報等方面內(nèi)容）/不符合增加《變更管理制度》，明確變更類型、變更原因、變更過程、變更前評定等方面內(nèi)容；c)應(yīng)建立變更控制申報和審批文件化程序，對變更影響進(jìn)行分析，統(tǒng)計變更實施過程，并妥善保留全部文檔和統(tǒng)計；缺乏變更控制申報和審批程序文檔/不符合增加《變更管理制度》，包含變更申報、審批程序，要求需要申報變更類型、申報步驟、審批部門、同意人等方面內(nèi)容d)應(yīng)建立中止變更并從失敗變更中恢復(fù)文件化程序，明確過程控制方法和人員職責(zé)，必需時對恢復(fù)過程進(jìn)行演練；缺乏變更方案、缺乏變更失敗恢復(fù)程序文檔/不符合增加《變更方案》《變更恢復(fù)程序文檔》，明確過程控制方法和人員職責(zé)，必需時對恢復(fù)過程進(jìn)行演練備份和恢復(fù)管理b)應(yīng)建立備份和恢復(fù)管理相關(guān)安全管理制度，對備份信息備份方法、備份頻度、存放介質(zhì)和保留期等進(jìn)行規(guī)范；缺乏備份和恢復(fù)管理相關(guān)安全管理制度/不符合增加《備份和恢復(fù)管理制度》，包含備份信息備份方法、備份頻度、存放介質(zhì)、保留期等c)應(yīng)依據(jù)數(shù)據(jù)關(guān)鍵性和數(shù)據(jù)對系統(tǒng)運行影響，制訂數(shù)據(jù)備份策略和恢復(fù)策略，備份策略須指明備份數(shù)據(jù)放置場所、文件命名規(guī)則、介質(zhì)替換頻率和將數(shù)據(jù)離站運輸方法；缺乏備份和恢復(fù)管理制度，缺乏備份和恢復(fù)策略文檔/不符合增加《備份和恢復(fù)管理制度》、《備份策略文檔和恢復(fù)策略文檔》包含備份數(shù)據(jù)放置場所、文件命名規(guī)則、介質(zhì)替換頻率和數(shù)據(jù)離站運輸方法等內(nèi)容d)應(yīng)建立控制數(shù)據(jù)備份和恢復(fù)過程程序，對備份過程進(jìn)行統(tǒng)計，全部文件和統(tǒng)計應(yīng)妥善保留；缺乏數(shù)據(jù)備份和恢復(fù)過程統(tǒng)計/不符合增加《備份和恢復(fù)統(tǒng)計》，明確內(nèi)容、日期、檢驗人、結(jié)果等安全事件處理a)應(yīng)制訂安全事件匯報和處理管理制度，明確安全事件類型，要求安全事件現(xiàn)場處理、事件匯報和后期恢復(fù)管理職責(zé)；缺乏安全事件匯報和處理管理制度/不符合增加《安全事件匯報和處理管理制度》，明確安全事件類型，要求安全事件現(xiàn)場處理、事件匯報和后期恢復(fù)管理職責(zé)b)根據(jù)國家和行業(yè)相關(guān)要求立即上報信息安全事件和可疑事件；缺乏信息安全事件和可疑事件上報文檔/不符合增加《信息事件和可疑事件上報文檔》，明確內(nèi)容、日期、檢驗人、結(jié)果等c)應(yīng)制訂安全事件匯報和響應(yīng)處理程序，確定事件匯報步驟，響應(yīng)和處理范圍、程度，和處理方法等；缺乏安全事件匯報和響應(yīng)處理程序/不符合增加《安全事件匯報和響應(yīng)處理程序》，包含事件匯報步驟，響應(yīng)和處理范圍、程度，和處理方法等d)應(yīng)在安全事件匯報和響應(yīng)處理過程中，分析和判定事件產(chǎn)生原因，搜集證據(jù)，統(tǒng)計處理過程，總結(jié)經(jīng)驗教訓(xùn)，制訂預(yù)防再次發(fā)生補(bǔ)救方法，過程形成全部文件和統(tǒng)計均應(yīng)妥善保留。缺乏安全事件分析文檔/不符合增加《安全事件分析文檔》，包含分析和判定事件產(chǎn)生原因，搜集證據(jù)，統(tǒng)計處理過程，總結(jié)經(jīng)驗教訓(xùn)，制訂預(yù)防再次發(fā)生補(bǔ)救方法應(yīng)急預(yù)案管理a）應(yīng)在統(tǒng)一應(yīng)急框架下制訂不一樣事件應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)包含開啟應(yīng)急預(yù)案條件、應(yīng)急處理步驟、系統(tǒng)恢復(fù)步驟、后期處理等內(nèi)容；缺乏應(yīng)急預(yù)案框架文檔，缺乏不一樣事件應(yīng)急預(yù)案/不符合依據(jù)應(yīng)急預(yù)案框架要求制訂不一樣事件應(yīng)急預(yù)案，包含服務(wù)器、網(wǎng)絡(luò)、應(yīng)用、病毒、機(jī)房等方面b）應(yīng)依據(jù)系統(tǒng)變更、管理要求改變等立即更新應(yīng)急預(yù)案；未明確應(yīng)急預(yù)案更新方面要求/不符合增加《應(yīng)急預(yù)案審查統(tǒng)計》，明確預(yù)案審查周期，包