廣電BOSS系統(tǒng)~等級(jí)保護(hù)測(cè)評(píng)整改方案

1、數(shù)字電視綜合運(yùn)營(yíng)支撐（BOSS）系統(tǒng)等級(jí)保護(hù)整改方案2014年12月一、概述1二、系統(tǒng)現(xiàn)狀12.1 數(shù)字電視綜合運(yùn)營(yíng)支撐（BOSS）系統(tǒng) 12.1.1 系統(tǒng)描述12.1.2 系統(tǒng)拓?fù)鋱D12.1.3 系統(tǒng)構(gòu)成 22.1.4 系統(tǒng)測(cè)評(píng)結(jié)論 3三、整改依據(jù)4四、整改內(nèi)容 54.1 數(shù)字電視綜合運(yùn)營(yíng)支撐（BOSS）系統(tǒng) 54.1.1 物理安全 54.1.2 基礎(chǔ)網(wǎng)絡(luò)安全 64.1.3 邊界安全 64.1.4 主機(jī)安全74.1.5 總要求 94.1.6 安全管理機(jī)構(gòu) 104.1.7 人員安全管理124.1.8 系統(tǒng)建設(shè)管理 144.1.9 系統(tǒng)運(yùn)維管理 16五、方案總結(jié)21附件一：設(shè)備清單匯總 23附件

2、二：管理制度及表單條目清單 24概述信息安全等級(jí)保護(hù)是國(guó)家信息安全保障的基本制度、基本策略、基本方法， 開(kāi)展信息安全等級(jí)保護(hù)工作是保護(hù)信息化發(fā)展、維護(hù)國(guó)家信息安全的根本保障。 實(shí)施信息安全等級(jí)保護(hù)制度，信息系統(tǒng)運(yùn)營(yíng)使用單位和主管部門(mén)能按照標(biāo)準(zhǔn)進(jìn)行 安全建設(shè)、整改，信息系統(tǒng)安全也有了一個(gè)衡量尺度。信息系統(tǒng)根據(jù)其在國(guó)家安 全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公 共利益以及公民、法人和其他組織的合法權(quán)益的危害程度分成五個(gè)安全保護(hù)等級(jí) （從第一級(jí)到第五級(jí)逐級(jí)增高）。本方案主要針對(duì)信息系統(tǒng)的現(xiàn)狀，依據(jù)信息系統(tǒng) 等級(jí)保護(hù)評(píng)測(cè)工作的廣播數(shù)字全自動(dòng)播出信息系統(tǒng)等級(jí)保護(hù)定級(jí)報(bào)告、

3、數(shù)字 電視綜合運(yùn)營(yíng)支撐（BOSS）系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)報(bào)告、的現(xiàn)有的狀況和等保相 關(guān)要求差距進(jìn)一步深入分析，并以滿足等保需求為基礎(chǔ)，對(duì)信息系 統(tǒng)的建設(shè)整改進(jìn)行規(guī)劃設(shè)計(jì)。二、系統(tǒng)現(xiàn)狀2.1數(shù)字電視綜合運(yùn)營(yíng)支撐（BOSS）系統(tǒng)系統(tǒng)描述BOSS系統(tǒng)業(yè)務(wù)信息包括：數(shù)字電視客戶基本資料（姓名、地址、電話等） ， 繳費(fèi)記錄、授權(quán)情況、欠費(fèi)信息、機(jī)頂盒設(shè)備信息等。 為該信息系 統(tǒng)定級(jí)的責(zé)任單位，該系統(tǒng)已被定級(jí)為三級(jí)（S2A2G2）。系統(tǒng)拓?fù)鋱D核心設(shè)備部署了中興通信的ZXR10 8908萬(wàn)兆路由交換機(jī)，19個(gè)鄉(xiāng)鎮(zhèn)以及城區(qū)匯聚節(jié)點(diǎn)均部署ZXR10 8905萬(wàn)兆路由交換機(jī)。具體網(wǎng)絡(luò)拓?fù)淙缦聢D所示:ZTF C220 Z

4、XEIO 算灑H3C 7SD3ZK10 U99S JTE 關(guān)鈾JUNI PEG TI960那it廣電中十I1KIU H9UU擁/7F1JEM XSOH豐山曲*大克四明山J-XlUOaNhM2XIDDttHk-i-aliHAnact圖1 00000000000信息系統(tǒng)網(wǎng)絡(luò)拓?fù)湎到y(tǒng)構(gòu)成1）業(yè)務(wù)應(yīng)用軟件表4 00000000000信息系統(tǒng)業(yè)務(wù)應(yīng)用軟件序號(hào)軟件名稱(chēng)主要功能1數(shù)字電視綜合運(yùn)營(yíng)支撐（BOSS）主要完成數(shù)字電視用戶信息的錄入、更新、認(rèn)證、系統(tǒng)授權(quán)、計(jì)費(fèi)等功能2）主機(jī)/存儲(chǔ)設(shè)備表5 00000000000信息系統(tǒng)主機(jī)/存儲(chǔ)設(shè)備序號(hào)設(shè)備名稱(chēng)操作系統(tǒng)/數(shù)據(jù)庫(kù)管理系統(tǒng)1收費(fèi)工作站PCWin dows

5、 XP/-2數(shù)據(jù)庫(kù)服務(wù)器-1IBM X3650 M3SOLARIS/ Oracle序號(hào)設(shè)備名稱(chēng)操作系統(tǒng)/數(shù)據(jù)庫(kù)管理系統(tǒng)3數(shù)據(jù)庫(kù)服務(wù)器-2IBM X3650 M3SOLARIS/ Oracle4接口服務(wù)器IBM X3650 M3Li nux/-5測(cè)試服務(wù)器-1IBM X3650 M3Li nux/-6測(cè)試服務(wù)器-2IBM X3650 M3Li nux/-7認(rèn)證服務(wù)器-1IBM X3650 M3Li nux/-8認(rèn)證服務(wù)器-2IBM X3650 M3Li nux/-3）網(wǎng)絡(luò)互聯(lián)設(shè)備表6 00000000000信息系統(tǒng)網(wǎng)絡(luò)互聯(lián)設(shè)備序號(hào)設(shè)備名稱(chēng)用途1中興 ZXR10 8908核心交換機(jī)2中興 ZXR1

6、0 8908匯聚交換機(jī)系統(tǒng)測(cè)評(píng)結(jié)論等級(jí)測(cè)評(píng)結(jié)論為基本符合”差距項(xiàng)分布如下表所示:咅項(xiàng) 合 符 不項(xiàng) 險(xiǎn) 風(fēng) 高技術(shù)要求全 安二 理 物4OO2OO全 安 界 邊O3O全 安 口昔 務(wù) 艮31O全 安 用 應(yīng)51O全 安 據(jù) 數(shù)1OO管理要求求 要 總OOO全 安5OO二 § 管 全 安 員 人41O系統(tǒng)建設(shè)管理500系統(tǒng)運(yùn)維管理1020三、整改依據(jù)1）GB 17859-1999信息安全技術(shù) 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)貝2）廣播電視相關(guān)信息系統(tǒng)安全等級(jí)保護(hù)基本要求（GD/J038-2011 ）3）廣播電視相關(guān)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求（GD/J044-2012 ）;4）信息系統(tǒng)

7、安全等級(jí)保護(hù)定級(jí)報(bào)告；5）數(shù)字電視綜合運(yùn)營(yíng)支撐（BOSS）系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告；四、整改內(nèi)容4.1數(shù)字電視綜合運(yùn)營(yíng)支撐（BOSS）系統(tǒng)物理安全1. 相關(guān)要求及依據(jù)詳見(jiàn)GD/J038-2011有關(guān)物理安全要求。為滿足要求， 通過(guò)部署防盜報(bào)警系統(tǒng)及火災(zāi)自動(dòng)報(bào)警系統(tǒng)和滅火系統(tǒng)，開(kāi) 展機(jī)房運(yùn)維管理和環(huán)境管理，提高機(jī)房的安全性。2. 安全現(xiàn)狀及整改措施類(lèi)別測(cè)評(píng)內(nèi)容結(jié)果記錄涉及資產(chǎn)符合情況整改措施物理訪問(wèn)控制b）需進(jìn)入播出機(jī)房的來(lái) 訪人員應(yīng)經(jīng)過(guò)申請(qǐng)和審 批流程，并限制和監(jiān)控 其活動(dòng)范圍。進(jìn)入機(jī)房由專(zhuān)人陪同，缺少 來(lái)訪人員進(jìn)入機(jī)房的審批記 錄部分符合設(shè)置來(lái)訪人員進(jìn) 行機(jī)房審批記錄防盜 竊和 防破 壞c

8、）應(yīng)利用光、電等技術(shù) 設(shè)置機(jī)房防盜報(bào)警系 統(tǒng)；機(jī)房缺少防盜報(bào)警系統(tǒng)不符合部署防盜報(bào)警系 統(tǒng)機(jī)房環(huán)境b）機(jī)房應(yīng)有防水防潮措 施，應(yīng)充分考慮水管泄 漏和凝露的可能性，并 做好相應(yīng)的預(yù)防措施；機(jī)房窗戶缺少防水防滲處 理，機(jī)房的窗戶、屋頂和墻 壁未出現(xiàn)漏水、滲透和返潮 現(xiàn)象，機(jī)房?jī)?nèi)空調(diào)排水管進(jìn) 行加固防滲、防漏處理，機(jī) 房空調(diào)具有除濕功能，缺少 防水防潮處理記錄不符合定期開(kāi)展機(jī)房運(yùn) 維和環(huán)境管理d）機(jī)房應(yīng)設(shè)置溫、濕度 自動(dòng)調(diào)節(jié)設(shè)施，使機(jī)房 溫、濕度的變化在設(shè)備 運(yùn)行所允許的范圍之 內(nèi)；機(jī)房?jī)?nèi)具有專(zhuān)業(yè)空調(diào)，可對(duì) 機(jī)房?jī)?nèi)溫度進(jìn)行自動(dòng)調(diào)節(jié)， 具有空調(diào)定期檢查和維護(hù)記 錄，缺少機(jī)房濕度控制設(shè)置部分符合增加機(jī)房

9、濕度調(diào) 節(jié)設(shè)施機(jī)房消防設(shè)施b）機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng) 消防系統(tǒng)，能夠自動(dòng)檢 測(cè)火情、自動(dòng)報(bào)警，并 自動(dòng)滅火；機(jī)房?jī)?nèi)具有日常值守人員， 機(jī)房具有干粉火火器，缺少 自動(dòng)滅火設(shè)備部分符合部署火災(zāi)自動(dòng)報(bào) 警系統(tǒng)和自動(dòng)滅 火系統(tǒng)基礎(chǔ)網(wǎng)絡(luò)安全1. 相關(guān)要求及依據(jù)詳見(jiàn)GD/J038-2011有關(guān)基礎(chǔ)網(wǎng)絡(luò)安全要求。為滿足要求， 通過(guò)部署動(dòng)態(tài)令牌及日志服務(wù)器并完善設(shè)備基本配置要求, 定期開(kāi)展設(shè)備維護(hù)，達(dá)到基礎(chǔ)網(wǎng)絡(luò)安全要求。2. 安全現(xiàn)狀及整改措施類(lèi)別測(cè)評(píng)內(nèi)容結(jié)果記錄涉及資產(chǎn)符合情況整改措施安全 審計(jì)C）應(yīng)保護(hù)審計(jì)記錄，避免 受到未預(yù)期的刪除、修 改或覆蓋等，審計(jì)記錄 至少保存90天；缺少對(duì)審計(jì)日志進(jìn)行必要保護(hù)交換機(jī)

10、不符合對(duì)日志進(jìn)行集中 管理，定期進(jìn)行分 析d）應(yīng)疋期對(duì)審計(jì)記錄進(jìn) 行分析，以便及時(shí)發(fā)現(xiàn) 異常行為；未定期對(duì)審計(jì)記錄進(jìn)行分析交換機(jī)不符合對(duì)日志進(jìn)行集中 管理，定期進(jìn)行分 析網(wǎng)絡(luò) 設(shè)備 防護(hù)e）當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn) 程管理時(shí)，應(yīng)采用HTTPS、SSH等安全的遠(yuǎn)程管理手段，防止用 戶身份鑒別信息在網(wǎng)絡(luò) 傳輸過(guò)程中被竊聽(tīng)；遠(yuǎn)程管理設(shè)備時(shí)采 用telnet方式進(jìn)行交換機(jī)不符合采用SSH遠(yuǎn)程管 理邊界安全3. 相關(guān)要求及依據(jù)詳見(jiàn)GD/J038-2011有關(guān)邊界安全要求。為滿足要求，通過(guò)修改配置，設(shè)置日志集中管理并定期分析，提供邊界安全性。4. 安全現(xiàn)狀及整改措施類(lèi)別測(cè)評(píng)內(nèi)容結(jié)果記錄涉及資產(chǎn)符合情況整改措施惡

11、意代碼 防范a）應(yīng)在信息系統(tǒng)的網(wǎng)絡(luò) 邊界處進(jìn)行惡意代碼檢 測(cè)和清除，并維護(hù)惡意 代碼庫(kù)的升級(jí)和檢測(cè)系 統(tǒng)的更新，播出整備系 統(tǒng)、播出系統(tǒng)等播出直 接相關(guān)系統(tǒng)的邊界可根 據(jù)需要進(jìn)行部署B(yǎng)OSS系統(tǒng)在邊界處 未設(shè)置惡意代碼防 范措施不符合在網(wǎng)絡(luò)邊界部署 惡意代碼防范設(shè) 備b）防惡意代碼產(chǎn)品應(yīng)與 信息系統(tǒng)內(nèi)部防惡意代 碼產(chǎn)品具有不同的惡意 代碼庫(kù)BOSS系統(tǒng)在邊界處 未設(shè)置惡意代碼防 范措施不符合入侵 防范a）應(yīng)在信息系統(tǒng)的網(wǎng)絡(luò) 邊界處監(jiān)視以下攻擊行 為：端口掃描、強(qiáng)力攻 擊、木馬后門(mén)攻擊、拒 絕服務(wù)攻擊、緩沖區(qū)溢 出攻擊、IP碎片攻擊和 網(wǎng)絡(luò)蠕蟲(chóng)攻擊等，播出 整備系統(tǒng)、播出系統(tǒng)等 信息系統(tǒng)的邊界可

12、根據(jù) 需要進(jìn)行部署B(yǎng)OSS系統(tǒng)在邊界處 未設(shè)置入侵防御措 施不符合在網(wǎng)絡(luò)邊界部署 入侵防范設(shè)備安全 審計(jì)a）應(yīng)在與外部網(wǎng)絡(luò)連接 的網(wǎng)絡(luò)邊界處進(jìn)行數(shù)據(jù) 通信行為審計(jì)BOSS系統(tǒng)與 CA系 統(tǒng)、VOD、營(yíng)業(yè)廳相 連，缺少對(duì)系統(tǒng)網(wǎng)絡(luò) 邊界處進(jìn)行數(shù)據(jù)通 信的行為進(jìn)行審計(jì)不符合在與外部網(wǎng)絡(luò)連 接的網(wǎng)絡(luò)邊界處 進(jìn)行數(shù)據(jù)通信行 為審計(jì)，并對(duì)審計(jì) 日志進(jìn)行集中管 理和日常分析b）審計(jì)記錄應(yīng)包括事件 的日期、時(shí)間、用戶名、 IP地址、事件類(lèi)型、事 件是否成功等BOSS系統(tǒng)與 CA系 統(tǒng)、VOD、營(yíng)業(yè)廳相 連，缺少對(duì)系統(tǒng)網(wǎng)絡(luò) 邊界處進(jìn)行數(shù)據(jù)通 信的行為進(jìn)行審計(jì)不符合C）應(yīng)保護(hù)審計(jì)記錄，避 免受到未預(yù)期的刪除、 修

13、改或覆蓋等，審計(jì)記 錄至少保存 90天BOSS系統(tǒng)與 CA系 統(tǒng)、VOD、營(yíng)業(yè)廳相 連，缺少對(duì)系統(tǒng)網(wǎng)絡(luò) 邊界處進(jìn)行數(shù)據(jù)通 信的行為進(jìn)行審計(jì)不符合d）應(yīng)疋期對(duì)審計(jì)記錄進(jìn) 行分析，以便及時(shí)發(fā)現(xiàn) 異常行為BOSS系統(tǒng)與 CA系 統(tǒng)、VOD、營(yíng)業(yè)廳相 連，缺少對(duì)系統(tǒng)網(wǎng)絡(luò) 邊界處進(jìn)行數(shù)據(jù)通 信的行為進(jìn)行審計(jì)不符合主機(jī)安全1.相關(guān)要求及依據(jù)詳見(jiàn)GD/J038-2011有關(guān)主機(jī)要求。為滿足要求， 通過(guò)修改主機(jī)安全配置，設(shè)置登陸口令復(fù)雜度限制、登陸失敗措施、開(kāi)啟安全審計(jì)、定期升級(jí)系統(tǒng)和打補(bǔ)丁，提高主機(jī)操作系統(tǒng)和數(shù)據(jù)庫(kù)的 安全性。2.安全現(xiàn)狀及整改措施類(lèi)別測(cè)評(píng)內(nèi)容結(jié)果記錄涉及資產(chǎn)符合情況整改措施身份 鑒別a）應(yīng)

14、對(duì)登錄操作系統(tǒng)和 數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行 身份標(biāo)識(shí)和鑒別，應(yīng)為 不同用戶分配不同的用 戶名，不能多人使用同 一用戶名；技術(shù)部多人使用冋 一管理貝賬戶，不冋 用戶未分配不同的 用戶名收費(fèi)工作站 數(shù)據(jù)庫(kù)服務(wù)器-1/2 接口服務(wù)器測(cè)試服務(wù)器-1/2認(rèn)證服務(wù)器-1/2數(shù)據(jù)庫(kù)系統(tǒng)-1/2不符合每個(gè)自然人對(duì)應(yīng) 使用一個(gè)賬戶，避 免賬戶共享情況b）操作系統(tǒng)和數(shù)據(jù)庫(kù)系 統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng) 具有不易被冒用的特 點(diǎn)，口令應(yīng)有復(fù)雜度要 求并定期更換；操作系統(tǒng)缺少口令 長(zhǎng)度、更新周期、復(fù) 雜性限制收費(fèi)工作站數(shù)據(jù)庫(kù)服務(wù)器-1/2 接口服務(wù)器測(cè)試服務(wù)器-1/2認(rèn)證服務(wù)器-1/2數(shù)據(jù)庫(kù)系統(tǒng)-1/2 數(shù)字電視綜合運(yùn)營(yíng)支撐（B

15、OSS）系統(tǒng)不符合對(duì)操作系統(tǒng)和數(shù) 據(jù)庫(kù)配置用戶口 令有效期的強(qiáng)制 提醒與更新功能， 使口令設(shè)置時(shí)系 統(tǒng)具有復(fù)雜度檢 查和長(zhǎng)度限制c）應(yīng)啟用登錄失敗處理 功能，可采取結(jié)束會(huì)話、 限制非法登錄次數(shù)和自 動(dòng)退出等措施；操作系統(tǒng)未啟用登 錄失敗處理功能收費(fèi)工作站數(shù)據(jù)庫(kù)服務(wù)器-1/2 接口服務(wù)器測(cè)試服務(wù)器-1/2認(rèn)證服務(wù)器-1/2數(shù)據(jù)庫(kù)系統(tǒng)-1/2 數(shù)字電視綜合運(yùn)營(yíng)支撐（BOSS）系統(tǒng)不符合啟用登錄失敗處 理功能，口令嘗試 超過(guò)規(guī)定次數(shù)鎖 定賬戶c）應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù) 據(jù)庫(kù)系統(tǒng)特權(quán)用戶的權(quán) 限分離；操作系統(tǒng)和數(shù)據(jù)庫(kù) 管理員由同一人擔(dān) 任，權(quán)限未分離數(shù)據(jù)庫(kù)系統(tǒng)-1/2不符合為操作系統(tǒng)管理 員和數(shù)據(jù)庫(kù)管理

16、員崗位配備不同 的人員，同時(shí)補(bǔ)充 相應(yīng)人員崗位職 責(zé)安全a）安全審計(jì)應(yīng)覆蓋到服審計(jì)功能未開(kāi)啟或數(shù)據(jù)庫(kù)服務(wù)器-1/2不符啟用本地安全審審計(jì)務(wù)器和重要客戶端上的 每個(gè)操作系統(tǒng)用戶和數(shù) 據(jù)庫(kù)用戶；審計(jì)不全面，未定期 對(duì)審計(jì)記錄進(jìn)行分 析接口服務(wù)器測(cè)試服務(wù)器-1/2認(rèn)證服務(wù)器-1/2數(shù)據(jù)庫(kù)系統(tǒng)-1/2合計(jì)功能或部署堡 壘機(jī)等第二方審 計(jì)系統(tǒng)，審計(jì)策略 配置登錄登出、權(quán) 限變更、重要文件 增刪行為等事件 內(nèi)容入侵 防范a）操作系統(tǒng)遵循最小安 裝的原則，僅安裝需要 的組件和應(yīng)用程序，并 通過(guò)設(shè)置升級(jí)服務(wù)器等 方式保持系統(tǒng)補(bǔ)丁及時(shí) 得到更新系統(tǒng)補(bǔ)未及時(shí)升 級(jí)收費(fèi)工作站 數(shù)據(jù)庫(kù)服務(wù)器-1/2 接口服務(wù)器測(cè)試服

17、務(wù)器-1/2認(rèn)證服務(wù)器-1/2數(shù)據(jù)庫(kù)系統(tǒng)-1/2不符合通過(guò)設(shè)置專(zhuān)門(mén)的 升級(jí)服務(wù)器等方 式保持對(duì)操作系 統(tǒng)安全補(bǔ)丁的及 時(shí)更新，并補(bǔ)充完 善相關(guān)系統(tǒng)升級(jí) 制度和升級(jí)記錄惡意 代碼 防范應(yīng)部署具有統(tǒng)一管理功 能的防惡意代碼軟件， 并定期更新防惡意代碼 軟件版本和惡意代碼 庫(kù)；新聞制播系統(tǒng)、播 出整備系統(tǒng)、播出系統(tǒng) 等播出直接相關(guān)系統(tǒng)的 核心服務(wù)器可根據(jù)需要 進(jìn)行部署和更新。操作系統(tǒng)未部署具 有統(tǒng)一管理功能的 防惡意代碼軟件收費(fèi)工作站 數(shù)據(jù)庫(kù)服務(wù)器-1/2 接口服務(wù)器測(cè)試服務(wù)器-1/2認(rèn)證服務(wù)器-1/2數(shù)據(jù)庫(kù)系統(tǒng)-1/2不 符合建議操作系統(tǒng)安 裝企業(yè)版或網(wǎng)絡(luò) 版殺毒軟件進(jìn)行 統(tǒng)一管理總要求1.相關(guān)要

18、求及依據(jù)詳見(jiàn)GD/J038-2011有關(guān)總要求。為滿足要求，制定信息安全工作的總體方針和安全策略管理制度和操作規(guī)程安全管理制度體系等制度達(dá)到目的或檢查要求。2.安全現(xiàn)狀及整改措施類(lèi)別測(cè)評(píng)內(nèi)容結(jié)果記錄涉及資產(chǎn)符合情況整改措施總要 求a）應(yīng)制定信息安全工作 的總體方針和安全策 略，說(shuō)明安全工作的總 體目標(biāo)、范圍、原則和 安全框架等；缺少信息安全工作的總 體方針和安全策略文件/不符合補(bǔ)充信息安全工作的總 體方針和安全策略，主要 內(nèi)容包括機(jī)構(gòu)安全工作的 總體目標(biāo)、范圍、方針、 原則、和安全框架b）應(yīng)成立指導(dǎo)和管理信00000000000關(guān)于成立/部分補(bǔ)充信息安全管理工作息安全工作的領(lǐng)導(dǎo)小 組，設(shè)立信息

19、安全管理 工作的職能部門(mén)；信息安全保護(hù)工作的通 知余廣電【2012】42 號(hào)，明確成立了信息安 全工作的領(lǐng)導(dǎo)小組，但 未設(shè)立信息安全官理工 作的職能部門(mén)符合的職能部門(mén)，并明確職能 部門(mén)的職責(zé)C）應(yīng)制定各項(xiàng)信息安全 制度和操作規(guī)程，明確 信息安全管理各項(xiàng)要 求，形成由安全方針、 管理制度、細(xì)化流程等 構(gòu)成的全面的信息安全 管理制度體系，使等級(jí) 保護(hù)工作常態(tài)化、制度 化。缺少各項(xiàng)安全管理制度文檔，缺少全面的信息安全管理制度體系/不符合制定各項(xiàng)安全管理制度和 操作規(guī)程制定信息安全管理制度體 系文件，制度體系由總體 方針、安全策略、管理制 度、操作規(guī)程等構(gòu)成安全管理機(jī)構(gòu)1.相關(guān)要求及依據(jù)詳見(jiàn)GD/J0

20、38-2011有關(guān)管理機(jī)構(gòu)要求。為滿足要求，系統(tǒng)管理審批管理制度、系統(tǒng)管理審批記錄、安全檢查 制度、安全檢查管理制度和補(bǔ)充完善崗位職責(zé)、安全檢查記錄等 制度，保障系統(tǒng)的安全。2.安全現(xiàn)狀及整改措施類(lèi)別測(cè)評(píng)內(nèi)容結(jié)果記錄涉及資產(chǎn)符合情況整改措施崗位設(shè)置b）應(yīng)設(shè)立信息安全管理 工作的職能部門(mén)，負(fù)責(zé) 信息安全各項(xiàng)工作的組 織和落實(shí)，配備專(zhuān)職安 全管理員；設(shè)立信息安全組織機(jī) 構(gòu)，負(fù)責(zé)信息安全各項(xiàng) 工作的組織和落實(shí) 未配備專(zhuān)職的安全管理 員/部分符合補(bǔ)充岡位職責(zé)，明確安全 管理員的職責(zé)，配備專(zhuān)職 的安全管理員b）應(yīng)設(shè)立信息安全管理 工作的職能部門(mén)，負(fù)責(zé) 信息安全各項(xiàng)工作的組 織和落實(shí)，配備專(zhuān)職安 全管理員

21、；未設(shè)立信息安全組織機(jī)構(gòu)未配備專(zhuān)職的安全管理 員/不符合設(shè)立信息安全組織機(jī)構(gòu)， 明確機(jī)構(gòu)的職責(zé)，配備專(zhuān) 職的安全管理員d）應(yīng)制定文件明確安全 管理機(jī)構(gòu)各個(gè)部門(mén)和崗 位的職責(zé)。缺少職能部門(mén)的職責(zé) 和崗位職責(zé)文件/不符合補(bǔ)充部門(mén)職責(zé)和崗位職 責(zé)，主要內(nèi)容包括：安全 主管、各個(gè)方面的負(fù)責(zé)人 的崗位職責(zé)的具體設(shè)置， 主要內(nèi)容包括：網(wǎng)絡(luò)管理 員、機(jī)房管理員、系統(tǒng)管 理員、安全管理員、數(shù)據(jù) 庫(kù)管理員、審計(jì)員、應(yīng)用 系統(tǒng)管理員等崗位的具體 設(shè)置，并清晰、明確各個(gè) 崗位的職責(zé)范圍授權(quán) 和審 批b）應(yīng)針對(duì)系統(tǒng)變更、重 要操作、物理訪問(wèn)和系 統(tǒng)接入等事項(xiàng)建立審批 程序，按照審批程序執(zhí) 行審批過(guò)程，對(duì)重要活 動(dòng)建立

22、逐級(jí)審批制度；缺少審批管理制度（系 統(tǒng)變更、重要操作、物 理訪問(wèn)和系統(tǒng)接入等事 項(xiàng)），缺少逐級(jí)審批的文 檔/不符合增加系統(tǒng)管理審批管理 制度：主要內(nèi)容包括明確 對(duì)系統(tǒng)投入運(yùn)行、網(wǎng)絡(luò)系 統(tǒng)接入和重要資源的訪 冋、變更管理、產(chǎn)品米購(gòu) 等關(guān)鍵活動(dòng)的審批部門(mén)和 批準(zhǔn)人進(jìn)行規(guī)定，明確審 批流程c）應(yīng)定期審查審批事 項(xiàng)，及時(shí)更新需授權(quán)和 審批的項(xiàng)目、審批部門(mén) 和審批人等信息；缺少審批管理制度文檔/不符合增加逐級(jí)審批的文檔 對(duì)審批過(guò)程進(jìn)行記錄，增 加審批事項(xiàng)的審查記 錄，包括審批事項(xiàng)、審批 部門(mén)、審批人的變更進(jìn)行 評(píng)審等內(nèi)容，對(duì)關(guān)鍵活動(dòng) 的審批進(jìn)行記錄d）應(yīng)記錄審批過(guò)程并保 存審批文檔。缺少關(guān)鍵活動(dòng)的審批過(guò)

23、程記錄/不符合溝通 和合 作a）應(yīng)加強(qiáng)各類(lèi)管理人員 之間、組織內(nèi)部機(jī)構(gòu)之 間以及信息安全職能部 門(mén)內(nèi)部的合作與溝通， 定期或不定期召開(kāi)協(xié)調(diào) 會(huì)議，共同協(xié)作處理信 息安全問(wèn)題；不定期召開(kāi)協(xié)調(diào)會(huì)議， 電話、郵件、當(dāng)面溝通， 溝通內(nèi)容歷史問(wèn)題的解 決，缺少組織內(nèi)部機(jī)構(gòu) 之間以及信息安全職能 部門(mén)內(nèi)部的安全工作會(huì) 議文件，經(jīng)檢查，通訊 錄，明確了組織機(jī)構(gòu)內(nèi) 部人員聯(lián)系表/部分符合增加會(huì)議紀(jì)要，包括組 織內(nèi)部機(jī)構(gòu)之間以及信息 安全職能部門(mén)內(nèi)部的安全 工作會(huì)議文件b）應(yīng)加強(qiáng)與系統(tǒng)內(nèi)外相 關(guān)工作單位的合作與溝 通，確保信息安全各項(xiàng) 工作的順利開(kāi)展；與信息內(nèi)外相關(guān)工作單 位建立了溝通與合作機(jī) 構(gòu)，郵件、電話進(jìn)

24、行聯(lián) 系，包括業(yè)務(wù)，安全等， 但缺少單獨(dú)的工作文件 或記錄/部分符合增加會(huì)議紀(jì)要，包括與 系統(tǒng)內(nèi)外相關(guān)工作單位的 合作與溝通的記錄審核 和檢 查a）安全管理員應(yīng)負(fù)責(zé)定 期進(jìn)行信息安全檢查， 檢查內(nèi)容包括系統(tǒng)日常1個(gè)月檢查一次，包括 日常運(yùn)行、備份等，未 包括漏洞檢查，經(jīng)檢查，/部分符合補(bǔ)充安全檢查記錄，明 確檢杳的周期，檢杳的內(nèi) 容包括系統(tǒng)日常運(yùn)行、系運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù) 備份等情況；缺少安全檢杳的記錄或 報(bào)告統(tǒng)漏洞和數(shù)據(jù)備b）應(yīng)定期進(jìn)行全面信息 安全檢杳，檢杳內(nèi)容包 括現(xiàn)有安全技術(shù)措施的 有效性、安全配置與安 全策略的一致性、安全 管理制度的執(zhí)行情況 等；對(duì)信息系統(tǒng)未進(jìn)行全面 的安全檢杳，缺

25、少安全 檢杳管理制度/不符合增加安全檢查制度，明 確檢查內(nèi)容包括技術(shù)措施 有效性和安全管理制度執(zhí) 行情況等方面；增加安 全檢查文檔，明確了定 期進(jìn)行全面安全檢查，明 確了檢查內(nèi)容等c）信息安全主管部門(mén)應(yīng) 制定安全檢杳表格實(shí)施 安全檢杳，匯總安全檢 查數(shù)據(jù)，形成安全檢查 報(bào)告，并對(duì)安全檢杳結(jié) 果進(jìn)行通報(bào)。缺少全面的安全檢杳 缺少全面的安全檢杳報(bào) 告/不符合增加安全檢杳報(bào)告安 全檢杳時(shí)的安全檢杳表結(jié)果通告記錄，包括檢 查內(nèi)容、檢查時(shí)間、檢查 人員、檢查數(shù)據(jù)匯總表、 檢查結(jié)果等內(nèi)容的描述制度管理a）應(yīng)建立信息安全管理 制度、操作規(guī)程等從訪 問(wèn)控制、系統(tǒng)設(shè)計(jì)、系 統(tǒng)建設(shè)、系統(tǒng)驗(yàn)收、系 統(tǒng)運(yùn)維、應(yīng)急處置

26、、人 員管理、文件檔案管理、 審核檢查等方面規(guī)范各 項(xiàng)信息安全管理工作；缺少各項(xiàng)安全管理制度（訪問(wèn)控制、系統(tǒng)設(shè)計(jì)、 系統(tǒng)建設(shè)、系統(tǒng)驗(yàn)收、 系統(tǒng)運(yùn)維、應(yīng)急處置、 人員管理、文件檔案管 理、審核檢杳等方面）/部分符合增加各項(xiàng)安全管理制 度，明確訪問(wèn)控制、系統(tǒng) 設(shè)計(jì)、系統(tǒng)建設(shè)、系統(tǒng)驗(yàn) 收、系統(tǒng)運(yùn)維、人員管理、 文件檔案管理、審核檢杳 等方面b）信息安全管理部門(mén)負(fù) 責(zé)制定信息安全管理制 度和操作規(guī)程，并進(jìn)行 版本控制；缺少安全管理制度文檔/不符合增加安全管理制度文 檔，規(guī)范制度的版本管理c）應(yīng)組織專(zhuān)豕和相關(guān)部 門(mén)人員對(duì)安全管理制度 和操作規(guī)程進(jìn)行論證和 審定，并定期對(duì)其合理 性和適用性進(jìn)行審定， 根據(jù)

27、需要進(jìn)行修訂；不定期對(duì)其合理性和適 用性進(jìn)行審定，根據(jù)需 要進(jìn)行修訂缺少管理制度評(píng)審記錄/部分符合增加管理制度評(píng)審記 錄，包括評(píng)審內(nèi)容、評(píng)審 周期、參加人員和評(píng)審等人員安全管理1.相關(guān)要求及依據(jù)詳見(jiàn)GD/J038-2011有關(guān)人員安全管理要求。為滿足要求，通過(guò)制定保密協(xié)議、崗位安全協(xié)議、人員離職管理制度、離崗人員交接記錄外來(lái)人員訪問(wèn)管理制度、外部人員訪問(wèn)重要區(qū)域的批準(zhǔn)文檔、外部人員訪問(wèn)重要區(qū)域的登記記錄等人員管理制度，保障系 統(tǒng)的安全。2.安全現(xiàn)狀及整改措施類(lèi)別測(cè)評(píng)內(nèi)容結(jié)果記錄涉及資產(chǎn)符合情況整改措施人員上崗b）應(yīng)簽署保密協(xié)議和崗 位安全協(xié)議。對(duì)從事關(guān)鍵崗位的人員 未簽署保密協(xié)議和崗位 安全協(xié)

28、議/不符合增加保密協(xié)議，對(duì)關(guān)鍵 崗位的人員簽署保密協(xié) 議，包括安全責(zé)任、違約 責(zé)任、協(xié)議的有效期限和 責(zé)任人簽字等內(nèi)容 增加崗位安全協(xié)議， 包括安全責(zé)任、違約責(zé)任、 協(xié)議的有效期限和責(zé)任人 簽字等內(nèi)容人員離崗a）應(yīng)規(guī)范人員離崗過(guò) 程，及時(shí)終止離崗員工 的所有訪問(wèn)權(quán)限；缺少人員離崗管理制度/不符合增加人員離崗管理制 度，包括規(guī)范人員離崗過(guò) 程，及時(shí)終止離崗員工的 所有訪問(wèn)權(quán)限等內(nèi)容b）應(yīng)取回各種身份證 件、鑰匙、徽章等以及 單位提供的軟硬件設(shè) 備；缺少人員交接記錄/不符合增加離岡手續(xù)記錄表交接手續(xù)登記表，取回 離崗人員的各種身份證 件、鑰匙、徽章等以及機(jī) 構(gòu)提供的軟硬件設(shè)備等C）應(yīng)辦理嚴(yán)格的調(diào)離

29、手 續(xù)，關(guān)鍵崗位人員離崗 須承諾調(diào)離后的保密義缺少人員調(diào)離記錄，缺 少離職人員的保密承諾 文檔/不符合增加保密承諾文檔， 明確要求關(guān)鍵崗位調(diào)離人 員承諾相關(guān)保密義務(wù)后方務(wù)后方可離開(kāi)?？呻x開(kāi)培訓(xùn)1卄 與考核b）應(yīng)對(duì)信息安全各相關(guān) 崗位的人員定期進(jìn)行安 全技能、政策及安全認(rèn) 知的考核；年度考核記錄，未包括安全技能和安全知識(shí) 的考核/部分符合補(bǔ)充人員安全技術(shù)考核 制度、人員考核記錄， 考核的內(nèi)容包括安全技能 及安全認(rèn)知等c）應(yīng)對(duì)信息安全培訓(xùn)和 考核情況進(jìn)行記錄并保 存。缺少安全教育和培訓(xùn)記 錄/不符合增加安全教育和培訓(xùn)記 錄，包括培訓(xùn)時(shí)間、地點(diǎn)、 參與人員、培訓(xùn)內(nèi)容、培 訓(xùn)結(jié)果等外部 人員 訪問(wèn) 管

30、理a）應(yīng)確保在外部人員訪 問(wèn)受控區(qū)域前先提出書(shū) 面申請(qǐng)，得到授權(quán)或?qū)?批，批準(zhǔn)后由專(zhuān)人全程 陪同或監(jiān)督，并登記備訪冋受控區(qū)域前經(jīng)過(guò)相 關(guān)人員的批準(zhǔn)，同意后 有專(zhuān)人陪冋，缺少外部 人員訪問(wèn)重要區(qū)域的批 準(zhǔn)文檔，缺少外部人員/部分符合增加外部人員訪問(wèn)重要 區(qū)域的批準(zhǔn)文檔、外部 人員訪問(wèn)重要區(qū)域的登記 記錄，主要內(nèi)容明確對(duì)外 部人員訪問(wèn)機(jī)房等重要區(qū)案；訪問(wèn)重要區(qū)域的登記記 錄域應(yīng)經(jīng)相關(guān)部門(mén)或負(fù)責(zé)人 批準(zhǔn)，明確外部人員訪問(wèn) 的范圍、外部人員進(jìn)入的 條件、外部人員進(jìn)入的訪 問(wèn)控制措施b）對(duì)外部人員允許訪問(wèn) 的區(qū)域、系統(tǒng)、設(shè)備、 信息等內(nèi)容應(yīng)進(jìn)行書(shū)面 的規(guī)定，并按照規(guī)定執(zhí) 行。缺少外部人員訪問(wèn)管理 制度/

31、不符合增加外來(lái)人員訪問(wèn)管理 制度，明確允許外部人員 訪問(wèn)的范圍，外部人員進(jìn) 入的條件，外部人員進(jìn)入 的訪問(wèn)控制措施等；對(duì)允 許外部人員訪問(wèn)的區(qū)域、 系統(tǒng)、設(shè)備和信息等進(jìn)行 明確規(guī)定系統(tǒng)建設(shè)管理1.相關(guān)要求及依據(jù)詳見(jiàn)GD/J038-2011有關(guān)系統(tǒng)建設(shè)管理要求。為滿足要求，我們通過(guò)增加安全設(shè)計(jì)方案、工程實(shí)施文檔、測(cè)試驗(yàn)收 文檔、方案評(píng)審記錄、軟件開(kāi)發(fā)管理規(guī)范和系統(tǒng)交付清單等方式 來(lái)加強(qiáng)系統(tǒng)的安全。2.安全現(xiàn)狀及整改措施類(lèi)別測(cè)評(píng)內(nèi)容結(jié)果記錄涉及資產(chǎn)符合情況整改措施安全萬(wàn)案設(shè)計(jì)a）根據(jù)信息系統(tǒng)的等級(jí) 劃分情況，應(yīng)由專(zhuān)門(mén)的 部門(mén)對(duì)信息系統(tǒng)的安全 建設(shè)進(jìn)行總體規(guī)劃，統(tǒng) 考慮信息安全保障體 系的總體安全策

32、略、安 全技術(shù)框架、安全管理 策略、總體建設(shè)規(guī)劃、 遠(yuǎn)期和近期建設(shè)計(jì)劃 等；技術(shù)運(yùn)維部負(fù)責(zé)信息系 統(tǒng)的總體規(guī)劃，經(jīng)檢查， 缺少系統(tǒng)總體安全策 略、安全技術(shù)框架、安 全管理策略、總體建設(shè) 規(guī)劃、詳細(xì)設(shè)計(jì)方案、 近期安全建設(shè)計(jì)劃和遠(yuǎn) 期安全建設(shè)計(jì)劃等配套 文件/部分符合增加總體安全策略， 內(nèi)容包括近期安全建設(shè)計(jì) 劃和遠(yuǎn)期安全建設(shè)計(jì)劃配 套文件，增加信息系統(tǒng) 建設(shè)的配套文件，包括 安全技術(shù)框架、安全管理 策略、總體建設(shè)規(guī)劃、詳 細(xì)設(shè)計(jì)方案b）應(yīng)根據(jù)國(guó)家和行業(yè)標(biāo) 準(zhǔn)、規(guī)范合理設(shè)計(jì)信息 系統(tǒng)的信息安全方案和 策略，制定詳細(xì)的建設(shè)缺少信息系統(tǒng)的信息安 全方案和策略，缺少詳 細(xì)的建設(shè)方案/部分符合增加系統(tǒng)安

33、全方案和策 略詳細(xì)設(shè)計(jì)方案和策 略萬(wàn)案；c）應(yīng)組織相關(guān)部門(mén)和有 關(guān)安全技術(shù)專(zhuān)家對(duì)信息 安全的規(guī)劃、建設(shè)方案 等進(jìn)行論證和審定，并 且經(jīng)過(guò)批準(zhǔn)后，才能正 式實(shí)施；缺少配套文件的專(zhuān)家論 證文檔/不符合對(duì)安全方案組織專(zhuān)家 評(píng)審并形成方案評(píng)審記 錄；對(duì)配套文件進(jìn)行維護(hù) 記錄形成維護(hù)記錄d）應(yīng)根據(jù)等級(jí)測(cè)評(píng)、安 全評(píng)估的結(jié)果調(diào)整和修 訂信息安全的規(guī)劃、建 設(shè)方案等。缺少配套文件的修訂文 檔/不符合外包軟件開(kāi)發(fā)b）應(yīng)在軟件安裝之前檢 測(cè)軟件包中可能存在的 惡意代碼；軟件安裝之前未檢測(cè)軟 件包中可能存在的惡意 代碼/不符合軟件安裝之前檢測(cè)軟件包 中可能存在的惡意代碼增 加惡意代碼檢測(cè)記錄c）應(yīng)要求開(kāi)發(fā)單位提供

34、 軟件設(shè)計(jì)的相關(guān)文檔和 使用指南；未提供軟件設(shè)計(jì)的相關(guān) 文檔和使用指南（需求 分析說(shuō)明書(shū)、軟件設(shè)計(jì) 說(shuō)明書(shū)、軟件操作手冊(cè)、 軟件源代碼文檔等）/不符合增加軟件設(shè)計(jì)的相關(guān)文 檔和使用指南，包括需 求分析說(shuō)明書(shū)、軟件設(shè)計(jì) 說(shuō)明書(shū)、軟件操作手冊(cè)、 軟件源代碼文檔等d）應(yīng)要求開(kāi)發(fā)單位提供 軟件源代碼，并審查軟 件中可能存在的后門(mén)漏 洞等。缺少軟件源代碼審查記 錄/不符合增加源代碼審查記錄， 包括軟件中可能存在的后 門(mén)漏洞等內(nèi)容工程實(shí)施b）應(yīng)制定詳細(xì)的工程實(shí) 施方案控制實(shí)施過(guò)程， 并要求工程實(shí)施單位能 正式地執(zhí)行安全工程過(guò) 程；未提供工程實(shí)施方案， 未提供階段性實(shí)施文檔/不符合增加工程實(shí)施方案，規(guī) 定工

35、程時(shí)間限制、進(jìn)度、 控制、質(zhì)量控制等方面內(nèi) 容，工程實(shí)施過(guò)程按照實(shí) 施方案形成各種文檔，如 階段性工程進(jìn)程匯報(bào)報(bào)告c）應(yīng)制定工程實(shí)施方面 的管理制度，明確說(shuō)明 實(shí)施過(guò)程的控制方法和 人員行為準(zhǔn)則。缺少工程實(shí)施方面的管 理制度/不符合增加工程實(shí)施管理制 度，包括，明確說(shuō)明實(shí)施 過(guò)程的控制方法和人員行 為準(zhǔn)則等內(nèi)容測(cè)試驗(yàn)收a）應(yīng)委托具有資質(zhì)的第 一方對(duì)系統(tǒng)進(jìn)行安全性 測(cè)試，并出具安全性測(cè) 試報(bào)告；未委托公正具有資質(zhì)的 第三方對(duì)系統(tǒng)進(jìn)行安全 性測(cè)試/不符合信息系統(tǒng)建設(shè)完成后對(duì)其 進(jìn)行測(cè)試，委托第三方測(cè) 試機(jī)構(gòu)對(duì)信息系統(tǒng)進(jìn)行獨(dú) 立的安全性測(cè)試，形成安 全性測(cè)試報(bào)告b）在測(cè)試驗(yàn)收前應(yīng)根據(jù) 設(shè)計(jì)方案或合冋

36、要求等 制訂測(cè)試驗(yàn)收方案，在 測(cè)試驗(yàn)收過(guò)程中應(yīng)詳細(xì) 記錄測(cè)試驗(yàn)收結(jié)果，并未提供系統(tǒng)測(cè)試驗(yàn)收方 案，未提供系統(tǒng)測(cè)試驗(yàn) 收?qǐng)?bào)告/不符合增加工程測(cè)試驗(yàn)收方 案，明確參與測(cè)試的部 門(mén)、人員、測(cè)試驗(yàn)收內(nèi)容、 現(xiàn)場(chǎng)操作過(guò)程等內(nèi)容，制 定測(cè)試驗(yàn)收記錄、測(cè)形成測(cè)試驗(yàn)收?qǐng)?bào)告；試驗(yàn)收?qǐng)?bào)告C）應(yīng)對(duì)系統(tǒng)測(cè)試驗(yàn)收的 控制方法和人員行為準(zhǔn) 則進(jìn)行書(shū)面規(guī)定；缺少系統(tǒng)測(cè)試驗(yàn)收管理 制度/不符合增加測(cè)試驗(yàn)收管理制 度，包括系統(tǒng)測(cè)試驗(yàn)收 的控制方法和人員行為準(zhǔn) 則進(jìn)行書(shū)面規(guī)定e）應(yīng)組織相關(guān)部門(mén)和相 關(guān)人員對(duì)系統(tǒng)測(cè)試驗(yàn)收 報(bào)告進(jìn)行審定，并簽字 確認(rèn)。未提供驗(yàn)收?qǐng)?bào)告的審定 文檔/不符合增加驗(yàn)收?qǐng)?bào)告的審定文 檔，包括驗(yàn)收?qǐng)?bào)告的審定 內(nèi)

37、容及審定意見(jiàn)等系統(tǒng) 交付a）應(yīng)制定詳細(xì)的系統(tǒng)交 付清單，并根據(jù)交付清 單對(duì)所交接的設(shè)備、軟 件和文檔等進(jìn)行清點(diǎn)；未提供系統(tǒng)交付清單/不符合增加系統(tǒng)交付清單，明 確所交接的設(shè)備、軟件和 文檔等制定項(xiàng)目建設(shè)管理制度 要求工程系統(tǒng)交付后進(jìn)行 技術(shù)培訓(xùn)，培訓(xùn)記錄并 形成記錄b）應(yīng)對(duì)負(fù)責(zé)系統(tǒng)運(yùn)行維 護(hù)的技術(shù)人員進(jìn)行相應(yīng) 的技能培訓(xùn)；目前系統(tǒng)是內(nèi)部技術(shù)人 員維護(hù)，對(duì)維護(hù)人員進(jìn) 行過(guò)培訓(xùn)，但未提供系 統(tǒng)交付時(shí)的技術(shù)培訓(xùn)記 錄/部分符合c）應(yīng)提供系統(tǒng)建設(shè)過(guò)程 中的文檔和指導(dǎo)用戶進(jìn) 行系統(tǒng)運(yùn)行維護(hù)的文 檔；未提供系統(tǒng)交付清單/不符合系統(tǒng)運(yùn)維管理1.相關(guān)要求及依據(jù)詳見(jiàn)GD/J038-2011有關(guān)系統(tǒng)運(yùn)維管理要求。

38、為滿足要求，我們制定機(jī)房安全管理制度、介質(zhì)管理制度、設(shè)備維護(hù)制度、設(shè)備操作規(guī)程、惡意代碼防范管理制度、網(wǎng)絡(luò)安全管理制度、系統(tǒng)安全管理制度、備份與恢復(fù)管理制度、安全事件報(bào)告和處置管理 制度和應(yīng)急預(yù)案等達(dá)到目的或檢查要求。2.安全現(xiàn)狀及整改措施類(lèi)別測(cè)評(píng)內(nèi)容結(jié)果記錄涉及資產(chǎn)符合情況整改措施環(huán)境管理a）應(yīng)指定專(zhuān)門(mén)的部門(mén)或 人員定期對(duì)機(jī)房供配 電、空調(diào)、溫濕度控制技術(shù)運(yùn)維部進(jìn)行維護(hù)， 不定期進(jìn)行維護(hù)，缺少 機(jī)房基礎(chǔ)設(shè)施的維護(hù)記/部分符合增加機(jī)房基礎(chǔ)設(shè)施維護(hù) 記錄，包括空調(diào)、UPS等等設(shè)施進(jìn)行維護(hù)管理；錄C）應(yīng)建立機(jī)房安全管理 制度，規(guī)范機(jī)房物理訪 問(wèn)、機(jī)房環(huán)境安全、工 作人員行為等。機(jī)房管理制度不夠完

39、善，未包括機(jī)房物理訪 問(wèn)、物品帶進(jìn)和帶出機(jī) 房、機(jī)房環(huán)境安全和工 作人員行為等方面/部分符合完善機(jī)房管理制度，包 括機(jī)房物理訪問(wèn)、機(jī)房環(huán) 境安全、工作人員行為等 內(nèi)容資產(chǎn) 管理a）應(yīng)編制并保存與信息 系統(tǒng)相關(guān)的資產(chǎn)清單， 包括資產(chǎn)責(zé)任部門(mén)、重 要程度和所處位置等內(nèi) 容；未明確資產(chǎn)的責(zé)任部 門(mén)，缺少資產(chǎn)清單/不符合增加資產(chǎn)清單，明確資 產(chǎn)的責(zé)任部門(mén)、責(zé)任人、 重要程度和所處位置等b）應(yīng)建立資產(chǎn)安全管理 制度，規(guī)定信息系統(tǒng)資 產(chǎn)管理的責(zé)任人員或責(zé) 任部門(mén)，并規(guī)范資產(chǎn)管 理和使用的行為；缺少資產(chǎn)安全管理制度/不符合增加資產(chǎn)安全管理制 度，規(guī)定信息系統(tǒng)資產(chǎn) 管理的責(zé)任人員或責(zé)任部 門(mén)，并規(guī)范資產(chǎn)管理和

40、使 用的行為c）應(yīng)根據(jù)資產(chǎn)的重要程 度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)管 理，并選擇相應(yīng)的管理 措施；未明確的分類(lèi)和標(biāo)識(shí)管 理，不冋類(lèi)別的資產(chǎn)未 采取不同的管理措施/不符合根據(jù)資產(chǎn)的重要程度對(duì)資 產(chǎn)進(jìn)行標(biāo)識(shí)管理，并選擇 相應(yīng)的管理措施d）應(yīng)對(duì)信息分類(lèi)與標(biāo)識(shí) 方法作出規(guī)定，并對(duì)信 息的使用、傳輸和存儲(chǔ) 等進(jìn)行規(guī)范化管理。缺少信息分類(lèi)文檔/不符合增加信息分類(lèi)管理文 檔，包括分類(lèi)與標(biāo)識(shí)方 法，信息的使用、傳輸和 存儲(chǔ)等內(nèi)容介質(zhì)管理a）應(yīng)建立介質(zhì)安全管理 制度，對(duì)介質(zhì)的存放環(huán) 境、使用、維護(hù)和銷(xiāo)毀 等方面作出規(guī)定；缺少介質(zhì)安全管理制度（介質(zhì)的存放環(huán)境、使 用、維護(hù)和銷(xiāo)毀等方面）/不符合制定介質(zhì)安全管理制 度，包括介質(zhì)的

41、存放環(huán) 境、使用、維護(hù)和銷(xiāo)毀等 方面b）應(yīng)確保介質(zhì)存放在安 全的環(huán)境中，并根據(jù)所 承載數(shù)據(jù)和軟件的重要 程度對(duì)介質(zhì)進(jìn)行分類(lèi)和 標(biāo)識(shí)管理，進(jìn)行相應(yīng)的 控制和保護(hù)；未明確專(zhuān)門(mén)的存放環(huán) 境，對(duì)介質(zhì)未進(jìn)行分類(lèi) 和標(biāo)識(shí)/不符合明確介質(zhì)的存放環(huán)境，根 據(jù)重要性對(duì)介質(zhì)進(jìn)行分類(lèi) 和標(biāo)識(shí)管理，進(jìn)行相應(yīng)的 控制和保護(hù)C）應(yīng)對(duì)存儲(chǔ)介質(zhì)的使用 過(guò)程、送出維修以及銷(xiāo) 毀等進(jìn)行嚴(yán)格的管理， 對(duì)經(jīng)批準(zhǔn)帶出工作環(huán)境 的存儲(chǔ)介質(zhì)進(jìn)行登記和 監(jiān)控管理，對(duì)送出維修 或銷(xiāo)毀的介質(zhì)應(yīng)首先清缺少介質(zhì)管理制度（存 儲(chǔ)介質(zhì)的使用過(guò)程、送 出維修以及銷(xiāo)毀等進(jìn)行 嚴(yán)格的管理，對(duì)經(jīng)批準(zhǔn) 帶出工作環(huán)境的存儲(chǔ)介 質(zhì)進(jìn)行登記和監(jiān)控管/不符合制定介質(zhì)管理

42、制度，明 確介質(zhì)的銷(xiāo)毀和維修等方 面的要求。明確對(duì)介質(zhì)的 物理傳輸過(guò)程是否要求選 擇可靠傳輸人員、嚴(yán)格介 質(zhì)的打包、選擇安全的物 理傳輸途徑、雙方在場(chǎng)交除介質(zhì)中的敏感數(shù)據(jù)， 對(duì)保密性較高的存儲(chǔ)介 質(zhì)未經(jīng)批準(zhǔn)不應(yīng)自行銷(xiāo) 毀；理，對(duì)送出維修或銷(xiāo)毀 的介質(zhì)應(yīng)首先清除介質(zhì) 中的敏感數(shù)據(jù)）付等內(nèi)容d）應(yīng)根據(jù)數(shù)據(jù)備份的需 要對(duì)某些介質(zhì)實(shí)行異地 存儲(chǔ)，存儲(chǔ)地的環(huán)境要 求和管理方法應(yīng)與本地 相同；重要數(shù)據(jù)未實(shí)行異地存 儲(chǔ)/不符合明確重要數(shù)據(jù)進(jìn)行加密存 儲(chǔ)設(shè)備管理C）應(yīng)建立配套設(shè)施、軟 硬件維護(hù)方面的管理制 度，對(duì)其維護(hù)進(jìn)行有效 的管理，包括明確維護(hù) 人員的責(zé)任、涉外維修 和服務(wù)的審批、維修過(guò) 程的監(jiān)督控制等；

43、缺少配套設(shè)施、軟硬件維護(hù)方面的管理制度/不符合增加設(shè)備維護(hù)制度，明 確維護(hù)人員的責(zé)任、涉外 維修和服務(wù)的審批、維修 過(guò)程的監(jiān)督控制等內(nèi)容d）應(yīng)對(duì)終端計(jì)算機(jī)、工 作站、便攜機(jī)、系統(tǒng)和 網(wǎng)絡(luò)等設(shè)備的操作和使 用進(jìn)行規(guī)范化管理，按 操作規(guī)程實(shí)現(xiàn)主要設(shè)備 的啟動(dòng)/停止、加電/斷 電等操作；缺少設(shè)備使用管理文 檔，缺少設(shè)備的操作規(guī) 程，關(guān)鍵設(shè)備的操作未 建立操作日志/部分符合增加設(shè)備使用管理文 檔，包括終端計(jì)算機(jī)、便 攜機(jī)和網(wǎng)絡(luò)設(shè)備等使用方 式、操作原則、注意事項(xiàng) 等內(nèi)容，制定操作規(guī)程， 包括對(duì)重要系統(tǒng)，如服務(wù) 器、防火墻、交換機(jī)、路 由器等內(nèi)容，增加日志 管理記錄，包括檢查人 員、日期、內(nèi)容等e）應(yīng)確

44、保信息處理設(shè)備 必須經(jīng)過(guò)審批才能帶離 機(jī)房或辦公地點(diǎn)。缺少設(shè)備帶離機(jī)房或辦 公場(chǎng)地的審批記錄/不符合制定處理設(shè)備必須經(jīng)過(guò) 審批才能帶離機(jī)房或辦公 地點(diǎn)的記錄，明確審批內(nèi) 容和批準(zhǔn)人惡意代碼 防范 管理b）應(yīng)對(duì)防惡意代碼軟件 的授權(quán)使用、惡意代碼 庫(kù)升級(jí)、定期匯報(bào)等作 出明確規(guī)定；缺少惡意代碼方面的管 理制度/不符合增加惡意代碼防范管理 制度，包括防惡意代碼軟 件的授權(quán)使用、惡意代碼 庫(kù)升級(jí)、定期匯報(bào)等內(nèi)容C）應(yīng)定期檢查信息系統(tǒng) 內(nèi)各種產(chǎn)品的惡意代碼 庫(kù)的升級(jí)情況并進(jìn)行記 錄，對(duì)防惡意代碼產(chǎn)品 上截獲的危險(xiǎn)病毒或惡 意代碼進(jìn)行及時(shí)分析處 理，并形成書(shū)面的報(bào)表 和總結(jié)匯報(bào)。缺少惡意代碼檢測(cè)記 錄、

45、惡意代碼庫(kù)升級(jí)記 錄和分析報(bào)告/不符合增加惡意代碼檢測(cè)記錄惡意代碼庫(kù)升級(jí)記錄 和惡意代碼分析報(bào)告， 明確其檢查周期、檢查人 員、檢查結(jié)果等密碼管理a）應(yīng)使用符合國(guó)家密碼 管理規(guī)定的密碼技術(shù)和缺少密碼使用方面的管 理制度/不符合增加密碼管理制度，明 確密碼使用方面的內(nèi)容產(chǎn)品；變更管理b）應(yīng)建立變更管理制 度，系統(tǒng)發(fā)生變更前， 向主管領(lǐng)導(dǎo)申請(qǐng)，變更 和變更方案經(jīng)過(guò)評(píng)審、 審批后方可實(shí)施變更， 并在實(shí)施后將變更情況 向相關(guān)人員通告；缺少變更管理制度（更 前審批、變更過(guò)程記錄、 變更后通報(bào)等方面內(nèi) 容）/不符合增加變更管理制度，明 確變更類(lèi)型、變更原因、 變更過(guò)程、變更前評(píng)估等 方面內(nèi)容；C）應(yīng)建立變

46、更控制的申 報(bào)和審批文件化程序， 對(duì)變更影響進(jìn)行分析， 記錄變更實(shí)施過(guò)程，并 妥善保存所有文檔和記 錄；缺少變更控制的申報(bào) 和審批程序文檔/不符合增加變更管理制度，包 括變更申報(bào)、審批程序， 規(guī)定需要申報(bào)的變更類(lèi) 型、申報(bào)流程、審批部門(mén)、 批準(zhǔn)人等方面內(nèi)容d）應(yīng)建立中止變更并從 失敗變更中恢復(fù)的文件 化程序，明確過(guò)程控制 方法和人員職責(zé)，必要 時(shí)對(duì)恢復(fù)過(guò)程進(jìn)行演 練；缺少變更方案、缺少變更失敗恢復(fù)程序文檔/不符合增加變更方案變更恢 復(fù)程序文檔，明確過(guò)程控 制方法和人員職責(zé)，必要 時(shí)對(duì)恢復(fù)過(guò)程進(jìn)行演練備份 與恢 復(fù)管 理b）應(yīng)建立備份與恢復(fù)管 理相關(guān)的安全管理制 度，對(duì)備份信息的備份 方式、備份

47、頻度、存儲(chǔ) 介質(zhì)和保存期等進(jìn)行規(guī) 范；缺少備份與恢復(fù)管理相關(guān)的安全管理制度/不符合增加備份與恢復(fù)管理制 度，包括備份信息的備份 方式、備份頻度、存儲(chǔ)介 質(zhì)、保存期等c）應(yīng)根據(jù)數(shù)據(jù)的重要性 和數(shù)據(jù)對(duì)系統(tǒng)運(yùn)行的影 響，制定數(shù)據(jù)的備份策 略和恢復(fù)策略，備份策 略須指明備份數(shù)據(jù)的放 置場(chǎng)所、文件命名規(guī)則、 介質(zhì)替換頻率和將數(shù)據(jù) 離站運(yùn)輸?shù)姆椒?；缺少備份與恢復(fù)管理制 度，缺少備份與恢復(fù)策 略文檔/不符合增加備份與恢復(fù)管理制 度、備份策略文檔和恢 復(fù)策略文檔包括備份數(shù) 據(jù)的放置場(chǎng)所、文件命名 規(guī)則、介質(zhì)替換頻率和數(shù) 據(jù)離站運(yùn)輸方法等內(nèi)容d）應(yīng)建立控制數(shù)據(jù)備份 和恢復(fù)過(guò)程的程序，對(duì) 備份過(guò)程進(jìn)行記錄，所 有

48、文件和記錄應(yīng)妥善保 存；缺少數(shù)據(jù)備份和恢復(fù)過(guò) 程記錄/不符合增加備份和恢復(fù)記錄， 明確內(nèi)容、日期、檢查人、 結(jié)果等安全事件處置a）應(yīng)制定安全事件報(bào)告 和處置管理制度，明確 安全事件的類(lèi)型，規(guī)定 安全事件的現(xiàn)場(chǎng)處理、缺少安全事件報(bào)告和處 置管理制度/不符合增加安全事件報(bào)告和處 置管理制度，明確安全事 件類(lèi)型，規(guī)定安全事件的 現(xiàn)場(chǎng)處理、事件報(bào)告和后事件報(bào)告和后期恢復(fù)的 管理職責(zé)；期恢復(fù)的管理職責(zé)b）按照國(guó)家和行業(yè)相關(guān) 規(guī)定及時(shí)上報(bào)信息安全 事件和可疑事件；缺少信息安全事件和可 疑事件上報(bào)文檔/不符合增加信息事件和可疑事 件上報(bào)的文檔，明確內(nèi) 容、日期、檢查人、結(jié)果 等c）應(yīng)制定安全事件報(bào)告 和響應(yīng)

49、處理程序，確定 事件的報(bào)告流程，響應(yīng) 和處置的范圍、程度， 以及處理方法等；缺少安全事件報(bào)告和響 應(yīng)處理程序/不符合增加安全事件報(bào)告和響 應(yīng)處理程序，包括事件的 報(bào)告流程，響應(yīng)和處置的 范圍、程度，以及處理方 法等d）應(yīng)在安全事件報(bào)告和 響應(yīng)處理過(guò)程中，分析 和鑒定事件產(chǎn)生的原 因，收集證據(jù)，記錄處 理過(guò)程，總結(jié)經(jīng)驗(yàn)教訓(xùn)， 制定防止再次發(fā)生的補(bǔ) 救措施，過(guò)程形成的所 有文件和記錄均應(yīng)妥善 保存。缺少安全事件分析文檔/不符合增加安全事件分析文 檔，包括分析和鑒定事件 產(chǎn)生的原因，收集證據(jù)， 記錄處理過(guò)程，總結(jié)經(jīng)驗(yàn) 教訓(xùn)，制定防止再次發(fā)生 的補(bǔ)救措施應(yīng)急預(yù)案管理a）應(yīng)在統(tǒng)一的應(yīng)急框架 下制定不同事件的應(yīng)急 預(yù)案，應(yīng)急預(yù)案框架應(yīng) 包括啟動(dòng)應(yīng)急預(yù)案的條 件、應(yīng)急處理流程、系 統(tǒng)恢復(fù)流程、后期處理 等內(nèi)