1、信息系統(tǒng)信息安全等級(jí)保護(hù)- 管理部分2015 年12月14日注：以下所提供的材料包括制度、文檔和記錄清單。目錄1安全管理制度 .51.1安全管理 .51.2制定和發(fā)布 .51.3評(píng)審和修訂 .62安全管理機(jī)構(gòu) .72.1崗位職責(zé)文件 .72.2人員配備 .72.3授權(quán)和審批 .82.4溝通和合作 .92.5安全檢查 .93人員安全管理 .113.1人員錄用 .113.2人員離崗 .123.3人員考核 .123.4安全意識(shí)教育和培訓(xùn) .133.5外部人員訪問(wèn)管理 .134系統(tǒng)建設(shè)管理 .144.1系統(tǒng)定級(jí) .144.2安全方案設(shè)計(jì) .154.3產(chǎn)品采購(gòu)和使用 .16第3頁(yè)共 22 頁(yè)4.4自行軟

2、件開(kāi)發(fā)164.5外包軟件開(kāi)發(fā)174.6工程實(shí)施184.7測(cè)試驗(yàn)收184.8系統(tǒng)交付194.9安全服務(wù)商選擇195系統(tǒng)運(yùn)維管理215.1環(huán)境管理215.2資產(chǎn)管理225.3介質(zhì)管理225.4設(shè)備管理235.5網(wǎng)絡(luò)安全管理錯(cuò)誤 ! 未定義書(shū)簽。5.6系統(tǒng)安全管理255.7惡意代碼防范管理265.8變更管理錯(cuò)誤 ! 未定義書(shū)簽。5.9備份與恢復(fù)管理285.10安全事件處置295.11應(yīng)急預(yù)案管理29第4頁(yè)共 22 頁(yè)1 安全管理制度1.1 安全管理一、制度1) 安全工作的總體方針、政策性文件和安全策略文件內(nèi)容包括機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、方針、原則和安全框架等。2) 安全管理制度內(nèi)容包括物理、網(wǎng)

3、絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用、建設(shè)和管理等層面各類(lèi)管理內(nèi)容。3) 制度體系包括由總體方針、安全策略、管理制度、操作規(guī)程等構(gòu)成。二、文檔1) 日常管理操作的操作規(guī)程內(nèi)容包括如系統(tǒng)維護(hù)手冊(cè)和用戶(hù)操作規(guī)程等1.2 制定和發(fā)布一、制度1) 制度制定和發(fā)布要求管理文檔內(nèi)容包括安全管理制度的制定和發(fā)布程序、格式要求及版本編號(hào)等2) 安全管理制度文檔內(nèi)容包括文檔的正式發(fā)布時(shí)間，適用和發(fā)布范圍，版本標(biāo)識(shí)，管理第5頁(yè)共 22 頁(yè)層的簽字或單位蓋章；各項(xiàng)制度的文檔格式等等；二、記錄1) 管理制度評(píng)審記錄內(nèi)容包括相關(guān)人員的評(píng)審意見(jiàn)。2) 安全管理制度的收發(fā)登記記錄內(nèi)容包括收發(fā)通過(guò)正式、有效的方式（如正式發(fā)文、領(lǐng)導(dǎo)簽署和

4、單位蓋章等），發(fā)布范圍要求。1.3 評(píng)審和修訂一、制度1) 修訂過(guò)的安全管理制度二、 記錄1) 安全管理制度評(píng)審記錄（修訂時(shí)） 內(nèi)容包括相關(guān)人員的評(píng)審意見(jiàn)，評(píng)審周期。2) 安全管理制度的檢查 / 評(píng)審記錄安全管理制度的修訂版本3) 全管理制度體系的評(píng)審記錄內(nèi)容包括相關(guān)人員的評(píng)審意見(jiàn)，評(píng)審周期第6頁(yè)共 22 頁(yè)2 安全管理機(jī)構(gòu)2.1 崗位職責(zé)文件一、制度1) 部門(mén)、崗位職責(zé)文件內(nèi)容包括安全管理機(jī)構(gòu)的職責(zé)，機(jī)構(gòu)內(nèi)各部門(mén)的職責(zé)和分工，部門(mén)職責(zé)涵蓋物理、網(wǎng)絡(luò)和系統(tǒng)安全等各個(gè)方面；安全主管、安全管理各個(gè)方面的負(fù)責(zé)人、機(jī)房管理員、 系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等各個(gè)崗位各個(gè)崗位的職責(zé)范圍清晰、明確；

5、各個(gè)崗位人員應(yīng)具有的技能要求；2) 信息安全管理委員會(huì)職責(zé)文件內(nèi)容包括委員會(huì)職責(zé)和其最高領(lǐng)導(dǎo)崗位的職責(zé)；二、記錄1) 安全管理委員會(huì)或領(lǐng)導(dǎo)小組最高領(lǐng)導(dǎo)委任授權(quán)書(shū)內(nèi)容包括本單位主管領(lǐng)導(dǎo)的授權(quán)簽字2) 日常管理工作執(zhí)行情況的工作記錄內(nèi)容包括安全管理各部門(mén)和信息安全管理委員會(huì)或領(lǐng)導(dǎo)小組日常工作的執(zhí)行情況的記錄2.2 人員配備一、制度第7頁(yè)共 22 頁(yè)1) 人員配備要求管理文檔內(nèi)容包括應(yīng)配備的一些安全管理人員，包括機(jī)房管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位配備專(zhuān)職的安全管理員；對(duì)一些關(guān)鍵事務(wù)的管理人員應(yīng)配備2 人或 2 人以上共同管理，配備人員的具體要求；二、記錄1) 安全

6、管理各崗位人員信息表內(nèi)容包括機(jī)房管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位人員的信息；安全員要專(zhuān)職的（不能網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員等崗位）；數(shù)據(jù)庫(kù)管理員和系統(tǒng)管理員要由不同人擔(dān)任。2.3 授權(quán)和審批一、制度1) 審批管理制度文檔內(nèi)容包括審批事項(xiàng)、需逐級(jí)審批的事項(xiàng)、審批部門(mén)、批準(zhǔn)人及審批程序等，系統(tǒng)變更、重要操作、物理訪問(wèn)和系統(tǒng)接入等事項(xiàng)的審批流程；定期審查、更新審批的項(xiàng)目、審批部門(mén)、批準(zhǔn)人和審查周期等；二、文檔第8頁(yè)共 22 頁(yè)1) 逐級(jí)審批的文檔系統(tǒng)變更、重要操作、物理訪問(wèn)和系統(tǒng)接入等關(guān)鍵活動(dòng)的審批記錄需要有批準(zhǔn)人的簽字和審批部門(mén)的蓋章。2) 關(guān)鍵活動(dòng)的審

7、批過(guò)程記錄2.4 溝通和合作一、記錄1) 外聯(lián)單位聯(lián)系列表內(nèi)容包括包含公安機(jī)關(guān)、電信公司、兄弟公司、供應(yīng)商，業(yè)界專(zhuān)家、專(zhuān)業(yè)的安全公司和安全組織等外聯(lián)單位；說(shuō)明外聯(lián)單位的名稱(chēng)、聯(lián)系人、合作內(nèi)容和聯(lián)系方式等內(nèi)容。2) 組織機(jī)構(gòu)內(nèi)部人員聯(lián)系表3) 組織內(nèi)部機(jī)構(gòu)間 / 信息安全職能部門(mén)內(nèi)部的安全工作會(huì)議文件 / 記錄內(nèi)容包括會(huì)議內(nèi)容、會(huì)議時(shí)間、參加人員和會(huì)議結(jié)果等4) 信息安全領(lǐng)導(dǎo)小組 / 安全管理委員會(huì)定期例會(huì)會(huì)議文件 / 記錄內(nèi)容包括會(huì)議內(nèi)容、會(huì)議時(shí)間、參加人員、會(huì)議結(jié)果等5) 安全顧問(wèn)名單及安全顧問(wèn)的證明文件內(nèi)容包括安全顧問(wèn)指導(dǎo)信息安全建設(shè)、參與安全規(guī)劃和安全評(píng)審等記錄2.5 安全檢查一、制度第

8、9頁(yè)共 22 頁(yè)1) 安全檢查管理制度文檔內(nèi)容包括定期進(jìn)行全面安全檢查，檢查內(nèi)容、檢查程序和檢查周期等檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等；二、記錄1) 安全管理員定期實(shí)施安全檢查的文檔或記錄內(nèi)容包括包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況的檢查記錄；系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況檢查周期。2) 全面安全檢查報(bào)告內(nèi)容包括報(bào)告日期間隔，檢查周期，檢查內(nèi)容、檢查人員、檢查數(shù)據(jù)匯總表、檢查結(jié)果等的描述檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等；3) 安全檢查時(shí)的安全檢查表內(nèi)容包括安全檢查記

9、錄和結(jié)果通告記錄，查看安全檢查記錄中記錄的檢查程序第 10頁(yè)共 22 頁(yè)3 人員安全管理3.1 人員錄用一、制度1) 人員錄用要求管理文檔內(nèi)容包括錄用人員應(yīng)具備的條件，如學(xué)歷、學(xué)位要求，技術(shù)人員應(yīng)具備的專(zhuān)業(yè)技術(shù)水平，管理人員應(yīng)具備的安全管理知識(shí)等。二、記錄1) 有人員錄用時(shí)對(duì)錄用人身份、 背景和專(zhuān)業(yè)資格和資質(zhì)等進(jìn)行審查的相關(guān)文檔或記錄文檔或記錄中有審查內(nèi)容和審查結(jié)果。2) 人員錄用時(shí)的技能考核文檔或記錄內(nèi)容包括筆試和面試的記錄；記錄考核內(nèi)容和考核結(jié)果等。3) 保密協(xié)議內(nèi)容包括與技術(shù)人員簽署保密協(xié)議；協(xié)議具有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容。4) 崗位安全協(xié)議內(nèi)容

10、包括崗位安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人簽字等。第 11頁(yè)共 22 頁(yè)3.2 人員離崗一、制度1) 人員離崗的管理文檔內(nèi)容包括人員調(diào)離手續(xù)和離崗要求等二、記錄1) 對(duì)離崗人員的安全處理記錄離崗人員交還身份證件、設(shè)備等的登記記錄；交還內(nèi)容包括各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備等。2) 按照離職程序辦理調(diào)離手續(xù)的記錄內(nèi)容包括調(diào)離手續(xù)、調(diào)離流程；按照離職程序辦理調(diào)離手續(xù)的記錄。3) 保密承諾文檔內(nèi)容包括保密的內(nèi)容，期限，調(diào)離人員的簽字等。3.3 人員考核一、文檔1) 考核文檔內(nèi)容包括考核的對(duì)象、考核的周期；考核內(nèi)容要求包含安全知識(shí)、安全技能等。關(guān)鍵崗位人員特殊的考核內(nèi)容二、

11、記錄第 12頁(yè)共 22 頁(yè)1) 人員安全審查記錄內(nèi)容包括審查人員包括各個(gè)崗位的人員，對(duì)關(guān)鍵崗位人員特殊的安全審查內(nèi)容3.4 安全意識(shí)教育和培訓(xùn)一、文檔1) 安全教育和培訓(xùn)計(jì)劃文檔不同崗位的培訓(xùn)計(jì)劃內(nèi)容包括培訓(xùn)方式、培訓(xùn)對(duì)象、培訓(xùn)內(nèi)容、培訓(xùn)時(shí)間和地點(diǎn)等；培訓(xùn)內(nèi)容是否包含信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等。2) 安全責(zé)任和懲戒措施管理文檔文檔包含具體的安全責(zé)任和懲戒措施。4) 信息安全教育及技能培訓(xùn)和考核管理文檔包括培訓(xùn)周期、培訓(xùn)方式、培訓(xùn)內(nèi)容和考核方式等相關(guān)內(nèi)容二、記錄1) 具有安全教育和培訓(xùn)記錄內(nèi)容包括培訓(xùn)人員、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)果等的描述。3.5 外部人員訪問(wèn)管理一、制度1) 外部人員訪問(wèn)管理文

12、檔內(nèi)容包括允許外部人員訪問(wèn)的范圍（區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)第 13頁(yè)共 22 頁(yè)容）3.6外部人員進(jìn)入的條件（對(duì)哪些重要區(qū)域的訪問(wèn)須提出書(shū)面申請(qǐng)批準(zhǔn)后方可進(jìn)入）外部人員進(jìn)入的訪問(wèn)控制措施（由專(zhuān)人全程陪同或監(jiān)督等）和外部人員離開(kāi)的條件等；二、記錄1) 外部人員訪問(wèn)重要區(qū)域的登記記錄記錄了外部人員訪問(wèn)重要區(qū)域的進(jìn)入時(shí)間、離開(kāi)時(shí)間、訪問(wèn)區(qū)域、訪問(wèn)設(shè)備或信息 及陪同人等信息。2) 外部人員訪問(wèn)重要區(qū)域的批準(zhǔn)文檔內(nèi)容包括外部人員訪問(wèn)重要區(qū)域的書(shū)面申請(qǐng)，批準(zhǔn)人允許訪問(wèn)的批準(zhǔn)簽字等 ；4 系統(tǒng)建設(shè)管理4.1 系統(tǒng)定級(jí)一、文檔1) 系統(tǒng)定級(jí)文檔信息系統(tǒng)的定級(jí)報(bào)告、備案表；包括明確信息系統(tǒng)的邊界和信息系統(tǒng)的安

13、全保護(hù)等級(jí)，確定為某個(gè)安全等級(jí)的方法和理由；第 14頁(yè)共 22 頁(yè)有相關(guān)部門(mén)的批準(zhǔn)蓋章。2) 專(zhuān)家論證文檔專(zhuān)家對(duì)定級(jí)結(jié)果的論證意見(jiàn)。4.2 安全方案設(shè)計(jì)一、文檔1) 系統(tǒng)的安全建設(shè)工作計(jì)劃包括系統(tǒng)的近期安全建設(shè)計(jì)劃和遠(yuǎn)期安全建設(shè)計(jì)劃。2) 系統(tǒng)總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等配套文件內(nèi)容包括主管領(lǐng)導(dǎo)批準(zhǔn)。3) 系統(tǒng)的詳細(xì)設(shè)計(jì)方案根據(jù)安全方案細(xì)化形成的方案：如指導(dǎo)安全系統(tǒng)建設(shè)、安全產(chǎn)品采購(gòu)和使用的詳細(xì)設(shè)計(jì)方案。4) 專(zhuān)家論證文檔內(nèi)容包括相關(guān)部門(mén)和有關(guān)安全技術(shù)專(zhuān)家對(duì)總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的論證意見(jiàn)。5

14、) 系統(tǒng)總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等配套文件包括配套文件的修訂版本或記錄。第 15頁(yè)共 22 頁(yè)4.3 產(chǎn)品采購(gòu)和使用一、文檔1) 系統(tǒng)使用的有關(guān)信息安全產(chǎn)品符合國(guó)家的有關(guān)規(guī)定采購(gòu)的流程；安全產(chǎn)品；安全產(chǎn)品具有相關(guān)憑證。2) 密碼產(chǎn)品的使用情況采購(gòu)的流程；安全產(chǎn)品；密碼產(chǎn)品具有相關(guān)憑證。3) 產(chǎn)品采購(gòu)管理文檔包括需要的產(chǎn)品性能指標(biāo)，確定產(chǎn)品的候選范圍，通過(guò)招投標(biāo)等方式確定采購(gòu)產(chǎn)品及人員行為準(zhǔn)則等方面；二、記錄1) 產(chǎn)品選型測(cè)試結(jié)果記錄、 候選產(chǎn)品名單審定記錄或更新的候選產(chǎn)品名單。4.4 自行軟件開(kāi)發(fā)一、制度1) 軟件開(kāi)發(fā)管理制度內(nèi)容包括軟件設(shè)計(jì)、開(kāi)發(fā)、

15、測(cè)試、驗(yàn)收過(guò)程的控制方法和人員行為準(zhǔn)則，明確哪些開(kāi)發(fā)活動(dòng)應(yīng)經(jīng)過(guò)授權(quán)、審批，明確軟件開(kāi)發(fā)相關(guān)文第 16頁(yè)共 22 頁(yè)檔的管理等。2) 代碼編寫(xiě)規(guī)范包括代碼編寫(xiě)規(guī)則等。二、文檔1)軟件設(shè)計(jì)的相關(guān)文檔（應(yīng)用軟件設(shè)計(jì)程序文件、源代碼文檔等）、軟件使用指南或操作手冊(cè)和維護(hù)手冊(cè)軟件設(shè)計(jì)相關(guān)文檔；軟件使用指南或操作手冊(cè)等；專(zhuān)人負(fù)責(zé)文檔保管。三、記錄1) 對(duì)程序資源庫(kù)的修改、更新、發(fā)布進(jìn)行授權(quán)和審批的文檔或記錄包括批準(zhǔn)人的簽字。4.5 外包軟件開(kāi)發(fā)一、文檔1) 需求分析說(shuō)明書(shū)、軟件設(shè)計(jì)說(shuō)明書(shū)、軟件操作手冊(cè)、軟件源代碼文檔等軟件開(kāi)發(fā)文檔和使用指南二、記錄1) 軟件源代碼審查記錄包括對(duì)可能存在后門(mén)的審查結(jié)果。2)

16、 軟件安裝之前檢測(cè)軟件中的惡意代碼的記錄檢測(cè)工具是第三方的商業(yè)產(chǎn)品。第 17頁(yè)共 22 頁(yè)4.6 工程實(shí)施一、制度1) 工程實(shí)施管理制度是否包括工程實(shí)施過(guò)程的控制方法、實(shí)施參與人員的行為準(zhǔn)則等方面內(nèi)容。二、文檔1) 工程實(shí)施方案包括工程時(shí)間限制、進(jìn)度控制和質(zhì)量控制等方面內(nèi)容。三、記錄1) 按照實(shí)施方案形成的階段性工程報(bào)告 。4.7 測(cè)試驗(yàn)收一、制度1) 測(cè)試驗(yàn)收管理文檔包括系統(tǒng)測(cè)試驗(yàn)收的過(guò)程控制方法、參與人員的行為規(guī)范等內(nèi)容。二、文檔2) 測(cè)試報(bào)告系統(tǒng)安全性測(cè)試報(bào)告；系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告。3) 工程測(cè)試驗(yàn)收方案內(nèi)容包括 參與測(cè)試的部門(mén)、人員、測(cè)試驗(yàn)收的內(nèi)容、現(xiàn)場(chǎng)操作過(guò)程等4) 測(cè)試驗(yàn)收記錄第 18

17、頁(yè)共 22 頁(yè)5) 系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告內(nèi)容包括系統(tǒng)測(cè)試驗(yàn)收的過(guò)程控制方法、參與人員的行為規(guī)范等。6) 系統(tǒng)安全性測(cè)試報(bào)告內(nèi)容包括測(cè)試通過(guò)的結(jié)論（如果報(bào)告中提出了存在的問(wèn)題，則檢查是否有針對(duì)這些問(wèn)題的改進(jìn)報(bào)告） ，是否有第三方測(cè)試機(jī)構(gòu)的簽字或蓋章。7) 對(duì)測(cè)試驗(yàn)收?qǐng)?bào)告的審定文檔內(nèi)容包括相關(guān)人員的審定意見(jiàn)。4.8 系統(tǒng)交付一、文檔1) 系統(tǒng)交付管理文檔內(nèi)容包括交付過(guò)程的控制方法和對(duì)交付參與人員的行為限制等。二、記錄1) 系統(tǒng)交付清單內(nèi)容包括包括所交接的設(shè)備、文檔、軟件等；2) 培訓(xùn)記錄系統(tǒng)交付技術(shù)培訓(xùn)記錄，包括培訓(xùn)內(nèi)容、培訓(xùn)時(shí)間和參與人員等。4.9系統(tǒng)備案一、文檔1) 備案的記錄或備案文檔第 19頁(yè)

18、共 22 頁(yè)內(nèi)容包括將系統(tǒng)等級(jí)相關(guān)材料報(bào)主管部門(mén)備案的記錄或備案文檔；2) 公安機(jī)關(guān)備案的記錄或證明內(nèi)容包括將系統(tǒng)等級(jí)相關(guān)備案材料報(bào)相應(yīng)公安機(jī)關(guān)備案的記錄或證明；3) 系統(tǒng)定級(jí)相關(guān)材料的適用控制記錄4.10安全服務(wù)商選擇一、文檔1) 與安全服務(wù)商簽訂的安全責(zé)任合同書(shū)或保密協(xié)議等文檔對(duì)信息系統(tǒng)進(jìn)行安全規(guī)劃、設(shè)計(jì)、實(shí)施、維護(hù)、測(cè)評(píng)等服務(wù)的安全服務(wù)單位；安全服務(wù)商的安全資質(zhì)文件；內(nèi)容包括與所有安全服務(wù)商簽訂的安全責(zé)任合同書(shū)或保密協(xié)議文檔，文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等。2) 與安全服務(wù)商簽訂的服務(wù)合同第 20頁(yè)共 22 頁(yè)5 系統(tǒng)運(yùn)維管理5.1 環(huán)境管理一、制度

19、1) 機(jī)房安全管理制度內(nèi)容覆蓋機(jī)房物理訪問(wèn)、物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面。二、文檔1) 機(jī)房消防管理制度和消防預(yù)案2) 辦公環(huán)境管理辦法規(guī)范辦公環(huán)境內(nèi)人員的行為；工作人員離開(kāi)座位確保終端計(jì)算機(jī)退出登錄狀態(tài)；桌面上沒(méi)有包含敏感信息的紙檔文件；工作人員調(diào)離辦公立即交還該辦公室鑰匙和不在辦公區(qū)接待來(lái)訪人員等。三、記錄1) 機(jī)房基礎(chǔ)設(shè)施維護(hù)記錄內(nèi)容包括記錄維護(hù)日期、維護(hù)人、維護(hù)設(shè)備、故障原因、維護(hù)結(jié)果等。2) 消防設(shè)施巡檢記錄表第 21頁(yè)共 22 頁(yè)5.2 資產(chǎn)管理一、制度1) 資產(chǎn)安全管理制度內(nèi)容包括明確信息資產(chǎn)管理的責(zé)任部門(mén)、責(zé)任人等；其覆蓋資產(chǎn)使用、借用、維護(hù)等方面。內(nèi)容包括依據(jù)資產(chǎn)的

20、重要程度對(duì)資產(chǎn)進(jìn)行分類(lèi)和標(biāo)識(shí)管理，不同類(lèi)別的資產(chǎn)是否采取不同的管理措施。2) 信息分類(lèi)文檔內(nèi)容是否明確了信息分類(lèi)標(biāo)識(shí)的原則和方法。二、記錄1) 資產(chǎn)清單5.3 介質(zhì)管理一、制度1) 介質(zhì)管理制度介質(zhì)的維修或銷(xiāo)毀流程、維修或銷(xiāo)毀制度；內(nèi)容包括在介質(zhì)物理傳輸過(guò)程中對(duì)人員選擇、打包、交付等情況進(jìn)行控制；內(nèi)容包括對(duì)存儲(chǔ)介質(zhì)的使用過(guò)程、送出維修以及銷(xiāo)毀等進(jìn)行嚴(yán)格管理的方法和對(duì)帶出工作環(huán)境的存儲(chǔ)介質(zhì)進(jìn)行內(nèi)容加密和監(jiān)控管理的方法。介質(zhì)的分類(lèi)、標(biāo)識(shí)。第 22頁(yè)共 22 頁(yè)二、記錄1) 介質(zhì)管理記錄具有介質(zhì)存放在安全的環(huán)境（防潮、防盜、防火、防磁，專(zhuān)用存儲(chǔ)空間）；內(nèi)容包括對(duì)某些重要介質(zhì)實(shí)行異地存儲(chǔ)，異地存儲(chǔ)環(huán)境

21、是否與本地環(huán)境相同；內(nèi)容包括定期對(duì)其完整性（數(shù)據(jù)是否損壞或丟失）和可用性（介質(zhì)是否受到物理破壞）進(jìn)行檢查；介質(zhì)的存檔、查詢(xún)、借用等記錄；根據(jù)介質(zhì)的目錄清單對(duì)介質(zhì)的使用現(xiàn)狀進(jìn)行定期檢查的記錄。5.4 設(shè)備管理一、制度1) 設(shè)備安全管理制度對(duì)各種軟硬件設(shè)備的選型、采購(gòu)、發(fā)放和領(lǐng)用以及帶離機(jī)構(gòu)等環(huán)節(jié)進(jìn)行申報(bào)和審批。2) 配套設(shè)施、軟硬件維護(hù)方面的管理制度內(nèi)容包括對(duì)配套設(shè)施、軟硬件維護(hù)進(jìn)行有效的管理，包括明確維護(hù)人員的責(zé)任、涉外維修和服務(wù)的審批、 維修過(guò)程的監(jiān)督控制管理等。二、文檔1) 設(shè)備使用管理文檔對(duì)終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用第 23頁(yè)共 22 頁(yè)進(jìn)行管理。2) 關(guān)鍵

22、設(shè)備（包括備份和冗余設(shè)備）的操作規(guī)程主要設(shè)備（包括備份和冗余設(shè)備）的啟動(dòng)、停止、加電 / 斷電等操作的手冊(cè)或規(guī)程；定期對(duì)日志管理情況的檢查。對(duì)日志管理情況進(jìn)行檢查的記錄內(nèi)容具有設(shè)備維護(hù)記錄和主要設(shè)備的操作日志。3) 申報(bào)材料和審批報(bào)告內(nèi)容具有設(shè)備的選型、 采購(gòu)、發(fā)放和領(lǐng)用以及帶離機(jī)構(gòu)等申請(qǐng)報(bào)告。5.5 監(jiān)控管理和安全管理中心一、制度1) 安全管理中心對(duì)通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況，對(duì)設(shè)備狀態(tài)、惡意代碼、網(wǎng)絡(luò)流量、補(bǔ)丁升級(jí)、安全審計(jì)等安全相關(guān)事項(xiàng)進(jìn)行集中管理。二、文檔1) 監(jiān)測(cè)記錄內(nèi)容包括記錄監(jiān)控對(duì)象、監(jiān)控內(nèi)容、監(jiān)控的異常現(xiàn)象處理等方面。2) 監(jiān)測(cè)分析報(bào)告內(nèi)容包括監(jiān)測(cè)的異常現(xiàn)象、

23、處理措施等。第 24頁(yè)共 22 頁(yè)5.6 網(wǎng)絡(luò)安全管理一、制度3) 網(wǎng)絡(luò)安全管理制度對(duì)網(wǎng)絡(luò)安全配置、日志保存時(shí)間、安全策略、升級(jí)與打補(bǔ)丁、口令更新周期、文件備份等方面作出規(guī)定，查看安全策略是否包括允許或者拒絕便攜式和移動(dòng)式設(shè)備的網(wǎng)絡(luò)接入。內(nèi)容具有網(wǎng)絡(luò)設(shè)備配置文件的離線備份文件。二、文檔1) 網(wǎng)絡(luò)漏洞掃描報(bào)告漏洞掃描的制度、漏洞掃描報(bào)告。2) 內(nèi)部網(wǎng)絡(luò)外聯(lián)的授權(quán)批準(zhǔn)書(shū)外聯(lián)的對(duì)象和授權(quán)批準(zhǔn)書(shū)。3) 網(wǎng)絡(luò)設(shè)備配置文件的備份文件4) 網(wǎng)絡(luò)設(shè)備升級(jí)更新的工作記錄5) 網(wǎng)絡(luò)審計(jì)日志5.7 系統(tǒng)安全管理一、制度1) 系統(tǒng)安全管理制度對(duì)系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出規(guī)定。2) 系統(tǒng)安

24、全訪問(wèn)控制策略說(shuō)明文檔第 25頁(yè)共 22 頁(yè)內(nèi)容包括根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析制定系統(tǒng)的訪問(wèn)控制策略，控制分配文件及服務(wù)的訪問(wèn)權(quán)限。二、文檔1) 補(bǔ)丁測(cè)試記錄和系統(tǒng)補(bǔ)丁安裝操作記錄2) 詳細(xì)操作日志（包括重要的日常操作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容）；內(nèi)容包括重要的日常操作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等。3) 定期對(duì)運(yùn)行日志和審計(jì)結(jié)果進(jìn)行分析的記錄查看報(bào)告是否能夠記錄帳戶(hù)的連續(xù)多次登錄失敗、非工作時(shí)間的登錄、訪問(wèn)受限系統(tǒng)或文件的失敗嘗試、系統(tǒng)錯(cuò)誤等非正常事件。4) 系統(tǒng)漏洞掃描報(bào)告漏洞掃描制度和漏洞掃描報(bào)告。5.8 惡意代碼防范管理一、制度1) 惡意代碼防范管理文檔包括防惡意代碼軟

25、件的授權(quán)使用、惡意代碼庫(kù)升級(jí)、定期匯報(bào)等方面。2) 對(duì)員工的惡意代碼防范教育的相關(guān)培訓(xùn)文檔二、 記錄1) 惡意代碼檢測(cè)記錄指定專(zhuān)人對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測(cè)的記錄。第 26頁(yè)共 22 頁(yè)2) 惡意代碼庫(kù)升級(jí)記錄內(nèi)容包括查看升級(jí)記錄是否記錄升級(jí)時(shí)間、升級(jí)版本等。3) 分析報(bào)告內(nèi)容包括分析報(bào)告是否描述惡意代碼的特征、修補(bǔ)措施等。5.9 密碼管理一、制度1) 密碼使用管理制度 具有密碼使用管理制度5.10變更管理一、制度1) 變更管理制度內(nèi)容覆蓋變更前審批、變更過(guò)程記錄、變更后通報(bào)等方面。內(nèi)容包括變更控制的申報(bào)、審批程序，查看其是否規(guī)定需要申報(bào)的變更類(lèi)型、申報(bào)流程、審批部門(mén)、批準(zhǔn)人等方面。檢查變更失敗恢復(fù)程序，查看其是否規(guī)定變更失敗后的恢復(fù)流程。二、文檔2) 系統(tǒng)變更方案內(nèi)容包括變更類(lèi)型、變更原因、變更過(guò)程、變更前評(píng)估等方面進(jìn)行規(guī)定。3) 重要系統(tǒng)的變更申請(qǐng)書(shū)第 27頁(yè)共 22 頁(yè)4) 變更過(guò)程記錄文檔三、記錄變更方案評(píng)