信息系統(tǒng)安全等級(jí)自評(píng)報(bào)告

公安部信息安全等級(jí)保護(hù)評(píng)估中心 信息系統(tǒng)安全等級(jí)自評(píng)報(bào)告自評(píng)單位：自評(píng)單位名稱:報(bào)告摘要 頁(yè)等級(jí)自評(píng)結(jié)論綜合上述幾章節(jié)的自評(píng)與風(fēng)險(xiǎn)分析結(jié)果，根據(jù)符合性判別依據(jù)給出等級(jí)自評(píng)結(jié)論，并計(jì)算信息系統(tǒng)的綜合得分。等級(jí)自評(píng)結(jié)論應(yīng)表述為“符合、“基本符合”或者“不符合”。結(jié)論判定及綜合得分計(jì)算方式見(jiàn)下表： 自評(píng)結(jié)論符合性判別依據(jù)綜合得分計(jì)算公式符合信息系統(tǒng)中未發(fā)現(xiàn)安全問(wèn)題，等級(jí)自評(píng)結(jié)果中所有自評(píng)項(xiàng)得分均為5分。100分基本符合信息系統(tǒng)中存在安全問(wèn)題，但不會(huì)導(dǎo)致信息系統(tǒng)面臨高等級(jí)安全風(fēng)險(xiǎn)。k=1，p為總自評(píng)項(xiàng)數(shù)，不含不適用的控制點(diǎn)和自評(píng)項(xiàng)，有修正的自評(píng)項(xiàng)以5.4章節(jié)中的修正后自評(píng)項(xiàng)符合程度得分帶入計(jì)算。不符合信息系統(tǒng)中存在安全問(wèn)題，而且會(huì)導(dǎo)致信息系統(tǒng)面臨高等級(jí)安全風(fēng)險(xiǎn)。60-j=1l修正后問(wèn)題嚴(yán)重程度值k=1注：修正后問(wèn)題嚴(yán)重程度賦值結(jié)果取多對(duì)象中針對(duì)同一自評(píng)項(xiàng)的最大值。根據(jù)上述方法綜合得分計(jì)算公式，網(wǎng)站系統(tǒng)的綜合得分為100，基本符合第一級(jí)信息安全等級(jí)保護(hù)的安全要求。安全建設(shè)整改建議對(duì)網(wǎng)站系統(tǒng)進(jìn)行自評(píng)，不存在安全問(wèn)題。附錄A等級(jí)自評(píng)結(jié)果記錄物理安全機(jī)房類別自評(píng)項(xiàng)結(jié)果記錄符合程度物理訪問(wèn)控制a）機(jī)房出入口應(yīng)安排專人值守，控制、鑒別和記錄進(jìn)入的人員；機(jī)房出入口有專人值守，機(jī)房設(shè)有門(mén)禁系統(tǒng)，有進(jìn)出機(jī)房登記本5b）需進(jìn)入機(jī)房的來(lái)訪人員應(yīng)經(jīng)過(guò)申請(qǐng)和審批流程，并限制和監(jiān)控其活動(dòng)范圍；來(lái)訪人員進(jìn)入機(jī)房需經(jīng)過(guò)同意才能進(jìn)入，由信息化管理部門(mén)領(lǐng)導(dǎo)審批，全程專人陪同5防盜竊和防破壞a）應(yīng)將主要設(shè)備放置在機(jī)房?jī)?nèi)；設(shè)備放置在機(jī)房機(jī)柜中5b）應(yīng)將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記；設(shè)備主要部件固定可靠，并設(shè)置明顯不易除去的標(biāo)記5c）應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中；通信線纜采用上走線鋪設(shè)，電力電纜在活動(dòng)地板下鋪設(shè)5d）應(yīng)對(duì)介質(zhì)分類標(biāo)識(shí)，存儲(chǔ)在介質(zhì)庫(kù)或檔案室中；機(jī)房不允許存放介質(zhì)類，有專門(mén)的介質(zhì)柜5e）應(yīng)利用光、電等技術(shù)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)；機(jī)房?jī)?nèi)部部署2臺(tái)監(jiān)控設(shè)備，機(jī)房外部部署監(jiān)控5f）應(yīng)對(duì)機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)。有監(jiān)控報(bào)警系統(tǒng)5防雷擊a）機(jī)房建筑應(yīng)設(shè)置避雷裝置；樓頂有相關(guān)防雷接地5b）應(yīng)設(shè)置防雷保安器，防止感應(yīng)雷；有防雷保安器5c）機(jī)房應(yīng)設(shè)置交流電源地線。機(jī)房設(shè)置了專用交流地線5防火a）機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)，能夠自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警，并自動(dòng)滅火；機(jī)房部署七氟丙烷氣體滅火，部署煙感。5b）機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級(jí)的建筑材料；墻壁粉刷耐火涂料5c）機(jī)房應(yīng)采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)備隔離開(kāi)。配電室與機(jī)房隔離5防水和防潮a）水管安裝，不得穿過(guò)機(jī)房屋頂和活動(dòng)地板下；機(jī)房?jī)?nèi)有空調(diào)進(jìn)出水管通過(guò)，采取相應(yīng)的防漏措施5b）應(yīng)采取措施防止雨水通過(guò)機(jī)房窗戶、屋頂和墻壁滲透；機(jī)房窗戶沒(méi)有密閉，沒(méi)有發(fā)生雨水滲透、返潮現(xiàn)象5溫濕度控制a）機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。機(jī)房采取空調(diào)調(diào)控溫濕度，溫度控制在21攝氏度，濕度505電力供應(yīng)a）應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備；UPS有穩(wěn)壓和過(guò)壓防護(hù)功能5b）應(yīng)提供短期的備用電力供應(yīng)，至少滿足主要設(shè)備在斷電情況下的正常運(yùn)行要求；1套UPS系統(tǒng)，能夠供電2小時(shí)5c）應(yīng)設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電；采用2N+1模式，雙市電5網(wǎng)絡(luò)安全防火墻_web類別自評(píng)項(xiàng)結(jié)果記錄符合程度訪問(wèn)控制b）應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力，控制粒度為端口級(jí)；控制粒度到端口級(jí)，只映射出業(yè)務(wù)需要的端口，臨時(shí)需要開(kāi)放的IP或端口臨時(shí)增加，用完后及時(shí)刪掉5c）應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制；業(yè)務(wù)需求沒(méi)有對(duì)這些協(xié)議的要求，防火墻未開(kāi)放此類協(xié)議端口5d）應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接；防火墻默認(rèn)設(shè)置SYNTimeoutValue20秒5e）應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；防火墻默認(rèn)對(duì)網(wǎng)絡(luò)最大流量數(shù)和網(wǎng)絡(luò)連接數(shù)進(jìn)行了限制5網(wǎng)絡(luò)設(shè)備防護(hù)a）應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；通過(guò)用戶名密碼進(jìn)行身份鑒別5b）應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；僅能通過(guò)本地機(jī)房管理，不允許遠(yuǎn)程管理5c）網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一；僅存在root用戶和可讀可寫(xiě)兩個(gè)用戶5d）身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；密碼采用數(shù)字、字母、符號(hào)組合，長(zhǎng)度為12位5e）應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施；防火墻默認(rèn)設(shè)置，嘗試多次則拒絕5f）當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)；只允許本地管理，未開(kāi)發(fā)遠(yuǎn)程管理5g）應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。存在root用戶和可讀可寫(xiě)兩個(gè)用戶，實(shí)現(xiàn)權(quán)限分離5流控機(jī)_內(nèi)部類別自評(píng)項(xiàng)結(jié)果記錄符合程度訪問(wèn)控制a）應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力，控制粒度為端口級(jí)；控制粒度到端口級(jí)，只映射出業(yè)務(wù)需要的端口，臨時(shí)需要開(kāi)放的IP或端口臨時(shí)增加，用完后及時(shí)刪掉5b）應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制；業(yè)務(wù)需求沒(méi)有對(duì)這些協(xié)議的要求，防火墻未開(kāi)放此類協(xié)議端口5c）應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接；防火墻默認(rèn)設(shè)置SYNTimeoutValue20秒5d）應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；防火墻默認(rèn)對(duì)網(wǎng)絡(luò)最大流量數(shù)和網(wǎng)絡(luò)連接數(shù)進(jìn)行了限制5網(wǎng)絡(luò)設(shè)備防護(hù)a）應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；通過(guò)用戶名密碼進(jìn)行身份鑒別5b）應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；僅能通過(guò)本地機(jī)房管理，不允許遠(yuǎn)程管理5c）網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一；僅存在root用戶和可讀可寫(xiě)兩個(gè)用戶5d）身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；密碼采用數(shù)字、字母、符號(hào)組合，長(zhǎng)度為12位5e）應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施；防火墻默認(rèn)設(shè)置，嘗試多次則拒絕5f）當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)；只允許本地管理，未開(kāi)發(fā)遠(yuǎn)程管理5g）應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。存在root用戶和可讀可寫(xiě)兩個(gè)用戶，實(shí)現(xiàn)權(quán)限分離5路由器_外部類別自評(píng)項(xiàng)結(jié)果記錄符合程度訪問(wèn)控制b）應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力，控制粒度為端口級(jí)；控制粒度到IP級(jí)別5c）應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制；業(yè)務(wù)需求沒(méi)有對(duì)這些協(xié)議的要求，防火墻未開(kāi)放此類協(xié)議端口5d）應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接；防火墻設(shè)置SYNTimeoutValue20秒5e）應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；防火墻對(duì)網(wǎng)絡(luò)最大流量數(shù)和網(wǎng)絡(luò)連接數(shù)進(jìn)行限制5f）重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；沒(méi)有對(duì)IP/MAC地址進(jìn)行綁定5安全審計(jì)a）應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；沒(méi)有對(duì)網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量進(jìn)行監(jiān)控，可以對(duì)用戶操作進(jìn)行日志記錄5b）審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；審計(jì)記錄包括

DATE/TIME、level、description等信息5網(wǎng)絡(luò)設(shè)備防護(hù)a）應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；通過(guò)用戶名密碼進(jìn)行身份鑒別5b）應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；通過(guò)ACL對(duì)管理員的IP地址進(jìn)行了限制5c）網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一；僅有1個(gè)admin用戶，用戶標(biāo)識(shí)唯一5d）身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；密碼采用數(shù)字、字母、符號(hào)組合，長(zhǎng)度為12位5e）應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施；交換機(jī)默認(rèn)設(shè)置，嘗試多次則拒絕5f）應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。僅有一個(gè)admin用戶5核心交換機(jī)類別自評(píng)項(xiàng)結(jié)果記錄符合程度訪問(wèn)控制b）應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力，控制粒度為端口級(jí)；控制粒度到IP級(jí)別5c）應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制；業(yè)務(wù)需求沒(méi)有對(duì)這些協(xié)議的要求，防火墻未開(kāi)放此類協(xié)議端口5d）應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接；防火墻設(shè)置SYNTimeoutValue20秒5e）應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；防火墻對(duì)網(wǎng)絡(luò)最大流量數(shù)和網(wǎng)絡(luò)連接數(shù)進(jìn)行限制5f）重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；沒(méi)有對(duì)IP/MAC地址進(jìn)行綁定5安全審計(jì)a）應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；沒(méi)有對(duì)網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量進(jìn)行監(jiān)控，可以對(duì)用戶操作進(jìn)行日志記錄5b）審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；審計(jì)記錄包括

DATE/TIME、level、description等信息5網(wǎng)絡(luò)設(shè)備防護(hù)a）應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；通過(guò)用戶名密碼進(jìn)行身份鑒別5b）應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；通過(guò)ACL對(duì)管理員的IP地址進(jìn)行了限制5c）網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一；僅有1個(gè)admin用戶，用戶標(biāo)識(shí)唯一5d）身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；密碼采用數(shù)字、字母、符號(hào)組合，長(zhǎng)度為12位5e）應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施；交換機(jī)默認(rèn)設(shè)置，嘗試多次則拒絕5f）應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。僅有一個(gè)admin用戶5網(wǎng)絡(luò)全局類別自評(píng)項(xiàng)結(jié)果記錄符合程度結(jié)構(gòu)安全a）應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；網(wǎng)絡(luò)設(shè)備、安全設(shè)備雙擊熱備，根據(jù)業(yè)務(wù)需求購(gòu)置設(shè)備，經(jīng)過(guò)壓力測(cè)試目前滿足高峰期需要5b）應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；根據(jù)業(yè)務(wù)評(píng)估的要求和壓力測(cè)試，雙線接入，20M帶寬目前滿足業(yè)務(wù)要求，不夠再增加帶寬5c）應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問(wèn)路徑；在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立了安全的訪問(wèn)路徑5d）應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；網(wǎng)絡(luò)拓?fù)鋱D與當(dāng)前網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)一致5e）應(yīng)根據(jù)各部門(mén)的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；在核心交換機(jī)上劃分了30段DMZ區(qū)、50段應(yīng)用服務(wù)器區(qū)、60段數(shù)據(jù)庫(kù)服務(wù)器區(qū)、10段運(yùn)維管理區(qū)、及110-160票亭終端區(qū)5f）應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；網(wǎng)絡(luò)邊界部署juniper防火墻，配置了嚴(yán)格的訪問(wèn)控制策略5g）應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來(lái)指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。僅有一個(gè)網(wǎng)站系統(tǒng)，未做Qos帶寬限制5訪問(wèn)控制a）應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，啟用訪問(wèn)控制功能；網(wǎng)絡(luò)邊界部署juniper防火墻對(duì)訪問(wèn)進(jìn)行控制5邊界完整性檢查a）應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷；交換機(jī)空余端口沒(méi)有配置，無(wú)法私自接入5b）應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷。根據(jù)業(yè)務(wù)需求，僅限應(yīng)用服務(wù)器可以訪問(wèn)支付寶或微信的某個(gè)URL，其他內(nèi)網(wǎng)機(jī)器不可以訪問(wèn)外網(wǎng)5入侵防范a）應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門(mén)攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲(chóng)攻擊等；未部署入侵檢測(cè)設(shè)備，通過(guò)防火強(qiáng)異常日志記錄，然后人為判斷異常行為5b）當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。防火墻默認(rèn)日志記錄格式，可以提供郵件報(bào)警5惡意代碼防范a）應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除；網(wǎng)絡(luò)邊界未配置惡意代碼檢測(cè)設(shè)備，僅通過(guò)防火墻做策略防護(hù)5b）應(yīng)維護(hù)惡意代碼庫(kù)的升級(jí)和檢測(cè)系統(tǒng)的更新。網(wǎng)絡(luò)邊界未配置惡意代碼檢測(cè)設(shè)備，僅通過(guò)防火墻做策略防護(hù)5主機(jī)安全應(yīng)用服務(wù)器類別自評(píng)項(xiàng)結(jié)果記錄符合程度身份鑒別a）應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別；采用用戶名密碼進(jìn)行身份驗(yàn)證“交互式登錄：不需要按Ctrl+Alt+Del”為“禁用”狀態(tài)5b）操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；密碼為8位，復(fù)雜度滿足要求，三個(gè)月更改一次；5c）應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；采取了默認(rèn)的登錄失敗處理設(shè)置，登錄失敗5次鎖定賬戶30分鐘5d）當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)；采用遠(yuǎn)程桌面方式管理，用SSL加密方式進(jìn)行傳輸，有效防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)5e）應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。操作系統(tǒng)用戶名唯一，沒(méi)有相同的用戶名5訪問(wèn)控制a）應(yīng)啟用訪問(wèn)控制功能，依據(jù)安全策略控制用戶對(duì)資源的訪問(wèn)；已啟用訪問(wèn)控制策略，嚴(yán)格限制用戶對(duì)資源的訪問(wèn)5b）應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限；由不同的管理員進(jìn)行管理，實(shí)現(xiàn)特權(quán)用戶權(quán)限分離5c）應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶的權(quán)限分離；實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶的權(quán)限分離；5d）應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問(wèn)權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，并修改這些帳戶的默認(rèn)口令；沒(méi)有系統(tǒng)默認(rèn)賬戶，密碼復(fù)雜度滿足要求5e）應(yīng)及時(shí)刪除多余的、過(guò)期的帳戶，避免共享帳戶的存在。僅有一個(gè)管理員賬戶，不存在過(guò)期賬戶和共享賬戶5入侵防范a）應(yīng)能夠檢測(cè)到對(duì)重要服務(wù)器進(jìn)行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警；通過(guò)防火墻對(duì)入侵事件進(jìn)行檢測(cè)和記錄，不能提供報(bào)警功能5b）應(yīng)能夠?qū)χ匾绦蛲暾赃M(jìn)行檢測(cè)，并在檢測(cè)到完整性受到破壞后具有恢復(fù)的措施；對(duì)重要配置文件進(jìn)行備份，當(dāng)檢測(cè)到完整性受到破壞后能夠恢復(fù)5c）操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。操作系統(tǒng)版本：windowsserver2012，系統(tǒng)未開(kāi)啟不必要的服務(wù)，每月手動(dòng)安裝系統(tǒng)補(bǔ)丁5惡意代碼防范a）應(yīng)安裝防惡意代碼軟件，并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫(kù)；安裝360殺毒軟件，定期對(duì)軟件進(jìn)行更新5數(shù)據(jù)庫(kù)服務(wù)器類別自評(píng)項(xiàng)結(jié)果記錄符合程度身份鑒別a）應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別；采用用戶名密碼進(jìn)行身份驗(yàn)證“交互式登錄：不需要按Ctrl+Alt+Del”為“禁用”狀態(tài)5b）操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；密碼為9位，復(fù)雜度滿足要求，三個(gè)月更改一次；5c）應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；采取了默認(rèn)的登錄失敗處理設(shè)置，登錄失敗5次鎖定賬戶30分鐘5d）當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)；采用遠(yuǎn)程桌面方式管理，用SSL加密方式進(jìn)行傳輸，有效防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)5e）應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。操作系統(tǒng)用戶名唯一，沒(méi)有相同的用戶名5訪問(wèn)控制a）應(yīng)啟用訪問(wèn)控制功能，依據(jù)安全策略控制用戶對(duì)資源的訪問(wèn)；已啟用訪問(wèn)控制策略，嚴(yán)格限制用戶對(duì)資源的訪問(wèn)5b）應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限；由不同的管理員進(jìn)行管理，實(shí)現(xiàn)特權(quán)用戶權(quán)限分離5c）應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問(wèn)權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，并修改這些帳戶的默認(rèn)口令；已重命名系統(tǒng)默認(rèn)賬戶，密碼滿足口令復(fù)雜度要求5d）應(yīng)及時(shí)刪除多余的、過(guò)期的帳戶，避免共享帳戶的存在。僅有一個(gè)管理員賬戶，不存在過(guò)期賬戶和共享賬戶5入侵防范a）應(yīng)能夠檢測(cè)到對(duì)重要服務(wù)器進(jìn)行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警；通過(guò)防火墻對(duì)入侵事件進(jìn)行檢測(cè)和記錄，不能提供報(bào)警功能5b）應(yīng)能夠?qū)χ匾绦蛲暾赃M(jìn)行檢測(cè)，并在檢測(cè)到完整性受到破壞后具有恢復(fù)的措施；對(duì)重要配置文件進(jìn)行備份，當(dāng)檢測(cè)到完整性受到破壞后能夠恢復(fù)5c）操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。操作系統(tǒng)版本：windowsserver2008，系統(tǒng)未開(kāi)啟不必要的服務(wù)，每月手動(dòng)安裝系統(tǒng)補(bǔ)丁5惡意代碼防范a）應(yīng)安裝防惡意代碼軟件，并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫(kù)；安裝360版殺毒軟件，定期對(duì)軟件進(jìn)行更新5數(shù)據(jù)庫(kù)類別自評(píng)項(xiàng)結(jié)果記錄符合程度身份鑒別a）應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別；數(shù)據(jù)庫(kù)登錄有用戶名密碼驗(yàn)證5b）操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；數(shù)據(jù)庫(kù)管理員用戶名比較復(fù)雜，口令滿足數(shù)字、字母、特殊字符三種組合，滿足復(fù)雜度要求5c）應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；數(shù)據(jù)庫(kù)已啟用登錄失敗處理功能，為登錄失敗五次斷開(kāi)連接5d）應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。用戶名唯一5訪問(wèn)控制a）應(yīng)啟用訪問(wèn)控制功能，依據(jù)安全策略控制用戶對(duì)資源的訪問(wèn)；嚴(yán)格限制用戶對(duì)系統(tǒng)資源的訪問(wèn)5b）應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限；嚴(yán)格限制管理員權(quán)限，僅授予管理員所需最小權(quán)限5c）應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶的權(quán)限分離；操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理員為不同人員管理，實(shí)現(xiàn)特權(quán)用戶權(quán)限分離5d）應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問(wèn)權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，并修改這些帳戶的默認(rèn)口令；有sa用戶名，修改了默認(rèn)口令，口令滿足密碼復(fù)雜度要求5e）應(yīng)及時(shí)刪除多余的、過(guò)期的帳戶，避免共享帳戶的存在。系統(tǒng)存在多余賬戶，沒(méi)有共享賬戶存在5f）應(yīng)對(duì)重要信息資源設(shè)置敏感標(biāo)記；用戶無(wú)法查看數(shù)據(jù)庫(kù)表等信息5g）應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重要信息資源的操作；用戶無(wú)法查看數(shù)據(jù)庫(kù)表等信息5安全審計(jì)a）審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶；能夠?qū)τ脩暨M(jìn)行審計(jì)，審計(jì)記錄覆蓋到數(shù)據(jù)庫(kù)上的每個(gè)用戶5b）審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；審計(jì)記錄包括用戶、時(shí)間日期、用戶IP，操作內(nèi)容5c）審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等；審計(jì)記錄包括用戶、時(shí)間日期、用戶IP，操作內(nèi)容5d）應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；能夠生成所需要的報(bào)表5f）應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。審計(jì)記錄不會(huì)收到未預(yù)期的刪除修改日志不會(huì)被覆蓋，5入侵防范a）操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。數(shù)據(jù)庫(kù)版本為oracle11g企業(yè)版，遵循最小安裝原則，沒(méi)有開(kāi)放多余端口，沒(méi)有進(jìn)行補(bǔ)丁更新5應(yīng)用安全網(wǎng)站系統(tǒng)類別自評(píng)項(xiàng)結(jié)果記錄符合程度身份鑒別(S)a)應(yīng)提供專用的登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別；系統(tǒng)已開(kāi)啟登陸模塊，使用賬號(hào)密碼對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別5b)應(yīng)提供用戶身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí)，身份鑒別信息不易被冒用；有用戶名唯一鑒別功能，啟用口令復(fù)雜度要求5c)應(yīng)提供登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施已開(kāi)啟登錄失敗處理功能，登錄失敗三次，賬戶鎖定五分鐘5d)應(yīng)啟用身份鑒別、用戶身份標(biāo)識(shí)唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)。已啟用身份鑒別，用戶身份標(biāo)識(shí)唯一，用戶身份鑒別信息復(fù)雜度不滿足要求，開(kāi)啟登錄失敗處理功能5e)應(yīng)用軟件應(yīng)能在指定的閑置時(shí)間間隔到期后，自動(dòng)鎖定客戶端的使用。閑置半小時(shí)自動(dòng)斷開(kāi)連接5訪問(wèn)控制(S)a)應(yīng)提供訪問(wèn)控制功能，依據(jù)安全策略控制用戶對(duì)文件、數(shù)據(jù)庫(kù)表等客體的訪問(wèn)用戶無(wú)法訪問(wèn)數(shù)據(jù)庫(kù)表，只能進(jìn)行前臺(tái)操作，嚴(yán)格限制用戶對(duì)文件、數(shù)據(jù)庫(kù)表等客體的訪問(wèn)5b)訪問(wèn)控制的覆蓋范圍應(yīng)包括與資源訪問(wèn)相關(guān)的主體、客體及它們之間的操作訪問(wèn)控制覆蓋范圍包括主體與客體之間的操作5c)應(yīng)由授權(quán)主體配置訪問(wèn)控制策略，并嚴(yán)格限制默認(rèn)帳戶的訪問(wèn)權(quán)限；后臺(tái)分配有用戶組，不同用戶有不同的訪問(wèn)權(quán)限，應(yīng)用賬戶沒(méi)有對(duì)數(shù)據(jù)庫(kù)表的訪問(wèn)權(quán)限5d)應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系用戶只能完成各自承擔(dān)的任務(wù)所需最小權(quán)限，分為運(yùn)維人員，系統(tǒng)維護(hù)人員，財(cái)務(wù)人員，只能進(jìn)行自己范圍內(nèi)的操作5e)應(yīng)有生產(chǎn)系統(tǒng)關(guān)鍵賬戶與權(quán)限的關(guān)系表。有生產(chǎn)關(guān)系關(guān)鍵賬戶權(quán)限表5f)應(yīng)具有對(duì)重要信息資源設(shè)置敏感標(biāo)記的功能根據(jù)不同角色進(jìn)行功能劃分，重要資源僅管理員可以看到，按用戶來(lái)區(qū)別5g)應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重要信息資源的操作根據(jù)不同角色進(jìn)行功能劃分，對(duì)重要資源進(jìn)行訪問(wèn)限制5安全審計(jì)(G)a)應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)對(duì)后臺(tái)人員的操作進(jìn)行審計(jì)普通人員購(gòu)票記錄進(jìn)行記錄，審計(jì)范圍覆蓋所有用戶5b)應(yīng)保證無(wú)法單獨(dú)中斷審計(jì)進(jìn)程，不提供刪除、修改或覆蓋審計(jì)記錄的功能。無(wú)法單獨(dú)中斷審計(jì)進(jìn)程，審計(jì)記錄不允許刪除、修改等操作5c)審計(jì)記錄的內(nèi)容至少應(yīng)包括事件的日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等,并定期備份審計(jì)記錄，保存時(shí)間不少于半年。審計(jì)記錄包括登錄用戶名，用戶名登錄IP，操作的業(yè)務(wù)名稱，審計(jì)記錄至少保存半年以上5d)應(yīng)提供對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表的功能審計(jì)記錄不能篩選，能對(duì)報(bào)表進(jìn)行分析5e)對(duì)于從互聯(lián)網(wǎng)客戶端登陸的應(yīng)用系統(tǒng)，應(yīng)在每次用戶登錄時(shí)提供用戶上一次成功登錄的日期、時(shí)間、方法、位置等信息，以便用戶及時(shí)發(fā)現(xiàn)可能的問(wèn)題?；ヂ?lián)網(wǎng)用戶登錄會(huì)顯示用戶上一次登錄的日期、時(shí)間等信息5通信完整性(S)a)應(yīng)采用密碼技術(shù)保證通信過(guò)程中關(guān)鍵數(shù)據(jù)的完整性（1級(jí)）有加密設(shè)置，用戶登錄的時(shí)候會(huì)分配隨機(jī)鹽值，傳輸過(guò)程中采用md5，能夠保證數(shù)據(jù)完整性5軟件容錯(cuò)（A）a)應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的數(shù)據(jù)格式或長(zhǎng)度符合系統(tǒng)設(shè)定要求；在錄入時(shí)會(huì)對(duì)數(shù)據(jù)格式和長(zhǎng)度進(jìn)行校驗(yàn)，有格式長(zhǎng)度要求設(shè)定5b)應(yīng)提供自動(dòng)保護(hù)功能，當(dāng)故障發(fā)生時(shí)自動(dòng)保護(hù)當(dāng)前所有狀態(tài)，保證系統(tǒng)能夠進(jìn)行恢復(fù)系統(tǒng)實(shí)時(shí)保存工作狀態(tài)，當(dāng)故障發(fā)生后可以保護(hù)當(dāng)前狀態(tài)，有數(shù)據(jù)備份，可恢復(fù)數(shù)據(jù)5c)應(yīng)能夠有效屏蔽系統(tǒng)技術(shù)錯(cuò)誤信息，不將系統(tǒng)產(chǎn)生的錯(cuò)誤信息直接反饋給客戶。系統(tǒng)能夠屏蔽技術(shù)錯(cuò)誤信息，不會(huì)將系統(tǒng)錯(cuò)誤代碼反饋給用戶5數(shù)據(jù)安全應(yīng)用服務(wù)器類別自評(píng)項(xiàng)結(jié)果記錄符合程度備份和恢復(fù)a）應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場(chǎng)外存放；采用手動(dòng)備份，每個(gè)月會(huì)定期對(duì)數(shù)據(jù)庫(kù)信息進(jìn)行備份，備份介質(zhì)放在機(jī)房外5b）應(yīng)提供異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備用場(chǎng)地；有進(jìn)行異地備份5d）應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。應(yīng)用服務(wù)器采用主備運(yùn)行，可避免關(guān)鍵節(jié)點(diǎn)出現(xiàn)單點(diǎn)故障5數(shù)據(jù)庫(kù)服務(wù)器類別自評(píng)項(xiàng)結(jié)果記錄符合程度備份和恢復(fù)a）應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場(chǎng)外存放；采用手動(dòng)備份，每個(gè)月會(huì)定期對(duì)數(shù)據(jù)庫(kù)信息進(jìn)行備份，備份介質(zhì)放在機(jī)房外5b）應(yīng)提供異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備用場(chǎng)地；有進(jìn)行異地備份5d）應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。數(shù)據(jù)庫(kù)服務(wù)器采用主備運(yùn)行，可避免關(guān)鍵節(jié)點(diǎn)出現(xiàn)單點(diǎn)故障5數(shù)據(jù)庫(kù)類別自評(píng)項(xiàng)結(jié)果記錄符合程度備份和恢復(fù)a）應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場(chǎng)外存放；數(shù)據(jù)庫(kù)每天一次備份，數(shù)據(jù)保存一個(gè)月，有場(chǎng)外備份，定期進(jìn)行巡檢。5b）應(yīng)提供異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備用場(chǎng)地；有進(jìn)行異地備份5d）應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。數(shù)據(jù)庫(kù)服務(wù)器采用主備運(yùn)行，可避免關(guān)鍵節(jié)點(diǎn)出現(xiàn)單點(diǎn)故障5網(wǎng)站系統(tǒng)類別自評(píng)項(xiàng)結(jié)果記錄符合程度數(shù)據(jù)完整性a）應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中完整性受到破壞，并在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施；有數(shù)據(jù)傳輸校驗(yàn)功能，網(wǎng)絡(luò)失敗時(shí)有記錄，當(dāng)網(wǎng)絡(luò)接通后會(huì)進(jìn)行數(shù)據(jù)重傳5b）應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲(chǔ)過(guò)程中完整性受到破壞，并在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施。有數(shù)據(jù)存儲(chǔ)校驗(yàn)功能，網(wǎng)絡(luò)失敗時(shí)有記錄，當(dāng)網(wǎng)絡(luò)接通后會(huì)進(jìn)行數(shù)據(jù)重傳5備份和恢復(fù)a）應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場(chǎng)外存放；采用手動(dòng)備份，每個(gè)月對(duì)數(shù)據(jù)庫(kù)信息進(jìn)行備份5b）應(yīng)提供異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備用場(chǎng)地；有異地進(jìn)行備份5c）應(yīng)采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，避免關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障；應(yīng)用服務(wù)器采用主備，可避免關(guān)鍵節(jié)點(diǎn)出現(xiàn)單點(diǎn)故障5d）應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性5防火墻_web類別自評(píng)項(xiàng)結(jié)果記錄符合程度備份和恢復(fù)a）應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場(chǎng)外存放；網(wǎng)絡(luò)配置文件變更后及時(shí)備份5b）應(yīng)提供異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備用場(chǎng)地；對(duì)網(wǎng)絡(luò)數(shù)據(jù)有異地備份5c）應(yīng)采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，避免關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障；網(wǎng)絡(luò)線路及主要設(shè)備雙擊熱備部署5d）應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。網(wǎng)絡(luò)線路及主要設(shè)備雙擊熱備部署5安全管理制度類別自評(píng)項(xiàng)結(jié)果記錄符合程度管理制度a）應(yīng)制定信息安全工作的總體方針和安全策略，說(shuō)明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等；公司安全管理制度中對(duì)信息安全工作的總體方針和安全策略作出了規(guī)定5b）應(yīng)對(duì)安全管理活動(dòng)中的各類管理內(nèi)容建立安全管理制度；公司建立了各類安全管理制度5c）應(yīng)對(duì)要求管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程；運(yùn)維工程師負(fù)責(zé)系統(tǒng)的運(yùn)行維護(hù)5d）應(yīng)形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系。公司基本能夠形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的信息安全管理體系5制定和發(fā)布a）應(yīng)指定或授權(quán)專門(mén)的部門(mén)或人員負(fù)責(zé)安全管理制度的制定；公司各部門(mén)負(fù)責(zé)該部門(mén)的管理制度的制定工作5b）安全管理制度應(yīng)具有統(tǒng)一的格式，并進(jìn)行版本控制；按照公司統(tǒng)一的格式編制5c）應(yīng)組織相關(guān)人員對(duì)制定的安全管理制度進(jìn)行論證和審定；各部門(mén)管理制度在本部門(mén)內(nèi)部討論修訂5d）安全管理制度應(yīng)通過(guò)正式、有效的方式發(fā)布；管理制度統(tǒng)一交由行政部發(fā)布5e）安全管理制度應(yīng)注明發(fā)布范圍，并對(duì)收發(fā)文進(jìn)行登記。由行政部負(fù)責(zé)管理制度的首發(fā)文登記5安全管理機(jī)構(gòu)類別自評(píng)項(xiàng)結(jié)果記錄符合程度崗位設(shè)置a）應(yīng)設(shè)立信息安全管理工作的職能部門(mén)，設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位，并定義各負(fù)責(zé)人的職責(zé)；技術(shù)部負(fù)責(zé)信息安全管理工作5b）應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并定義各個(gè)工作崗位的職責(zé)；運(yùn)維工程師有系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位5c）應(yīng)成立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或授權(quán)；成立指導(dǎo)和管理信息安全工作的網(wǎng)絡(luò)與信息安全小組5d）應(yīng)制定文件明確安全管理機(jī)構(gòu)各個(gè)部門(mén)和崗位的職責(zé)、分工和技能要求。有部門(mén)職責(zé)和崗位職責(zé)要求5人員配備a）應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等；廠商項(xiàng)目組有一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員等5b）應(yīng)配備專職安全管理員，不可兼任；甲方配有專門(mén)的安全管理員5c）關(guān)鍵事務(wù)崗位應(yīng)配備多人共同管理。廠商項(xiàng)目組同一崗位有多名工程師5授權(quán)和審批a）應(yīng)根據(jù)各個(gè)部門(mén)和崗位的職責(zé)明確授權(quán)審批事項(xiàng)、審批部門(mén)和批準(zhǔn)人等；系統(tǒng)運(yùn)營(yíng)維護(hù)全部公司自行控制授權(quán)審批工作5b）應(yīng)針對(duì)系統(tǒng)變更、重要操作、物理訪問(wèn)和系統(tǒng)接入等事項(xiàng)建立審批程序，按照審批程序執(zhí)行審批過(guò)程，對(duì)重要活動(dòng)建立逐級(jí)審批制度；根據(jù)公司內(nèi)部流程自行控制系統(tǒng)變更、重要操作、系統(tǒng)接入等事項(xiàng)5c）應(yīng)定期審查審批事項(xiàng)，及時(shí)更新需授權(quán)和審批的項(xiàng)目、審批部門(mén)和審批人等信息；公司自行控制審批事項(xiàng)5d）應(yīng)記錄審批過(guò)程并保存審批文檔。審批過(guò)程文檔公司自行保存5溝通和合作a）應(yīng)加強(qiáng)各類管理人員之間、組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門(mén)內(nèi)部的合作與溝通，定期或不定期召開(kāi)協(xié)調(diào)會(huì)議，共同協(xié)作處理信息安全問(wèn)題；信息安全問(wèn)題通過(guò)公司內(nèi)部開(kāi)會(huì)協(xié)商解決5b）應(yīng)加強(qiáng)與兄弟單位、公安機(jī)關(guān)、電信公司的合作與溝通；與公安機(jī)關(guān)、電信運(yùn)營(yíng)商密切保持溝通5c）應(yīng)加強(qiáng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織的合作與溝通；與設(shè)備廠商、供應(yīng)商密切保持溝通5d）應(yīng)建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等信息；已建立外聯(lián)單位聯(lián)系表，方便獲取，如遇問(wèn)題能夠及時(shí)取得聯(lián)系5人員安全管理類別自評(píng)項(xiàng)結(jié)果記錄符合程度人員錄用a）應(yīng)指定或授權(quán)專門(mén)的部門(mén)或人員負(fù)責(zé)人員錄用；人事部負(fù)責(zé)人員的錄用工作5b）應(yīng)嚴(yán)格規(guī)范人員錄用過(guò)程，對(duì)被錄用人的身份、背景、專業(yè)資格和資質(zhì)等進(jìn)行審查，對(duì)其所具有的技術(shù)技能進(jìn)行考核；人事部會(huì)對(duì)錄用人員進(jìn)行技術(shù)背景調(diào)查5c）應(yīng)簽署保密協(xié)議；人事部會(huì)與錄用人員簽署保密協(xié)議5d）應(yīng)從內(nèi)部人員中選拔從事關(guān)鍵崗位的人員，并簽署崗位安全協(xié)議。關(guān)鍵崗位從內(nèi)部選拔5人員離崗a）應(yīng)嚴(yán)格規(guī)范人員離崗過(guò)程，及時(shí)終止離崗員工的所有訪問(wèn)權(quán)限；人員離崗首先確定工作內(nèi)容，交接人，填寫(xiě)交接登記表控制交接過(guò)程5b）應(yīng)取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備；及時(shí)收回離崗人員賬號(hào)、權(quán)限，刪除無(wú)關(guān)資料5c）應(yīng)辦理嚴(yán)格的調(diào)離手續(xù)，關(guān)鍵崗位人員離崗須承諾調(diào)離后的保密義務(wù)后方可離開(kāi)。根據(jù)崗位簽署離崗協(xié)議5安全意識(shí)教育和培訓(xùn)a）應(yīng)對(duì)各類人員進(jìn)行安全意識(shí)教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)；組織入職安全培訓(xùn)，平時(shí)公司內(nèi)部組織安全講座5b）應(yīng)對(duì)安全責(zé)任和懲戒措施進(jìn)行書(shū)面規(guī)定并告知相關(guān)人員，對(duì)違反違背安全策略和規(guī)定的人員進(jìn)行懲戒；公司內(nèi)部有懲戒措施5c）應(yīng)對(duì)定期安全教育和培訓(xùn)進(jìn)行書(shū)面規(guī)定，針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃，對(duì)信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等進(jìn)行培訓(xùn)；根據(jù)部門(mén)需求由人事部組織相關(guān)培訓(xùn)5d）應(yīng)對(duì)安全教育和培訓(xùn)的情況和結(jié)果進(jìn)行記錄并歸檔保存。由人事部負(fù)責(zé)對(duì)培訓(xùn)記錄歸檔保存5外部人員訪問(wèn)管理a）應(yīng)確保在外部人員訪問(wèn)受控區(qū)域前先提出書(shū)面申請(qǐng)，批準(zhǔn)后由專人全程陪同或監(jiān)督，并登記備案；由技術(shù)部負(fù)責(zé)對(duì)外來(lái)人員的訪問(wèn)進(jìn)行控制5b）對(duì)外部人員允許訪問(wèn)的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容應(yīng)進(jìn)行書(shū)面的規(guī)定，并按照規(guī)定執(zhí)行。外部人員訪問(wèn)時(shí)有專人陪同5系統(tǒng)建設(shè)管理類別自評(píng)項(xiàng)結(jié)果記錄符合程度系統(tǒng)定級(jí)a）應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí)；在定級(jí)報(bào)告中定義了系統(tǒng)邊界和保護(hù)等級(jí)5b）應(yīng)以書(shū)面的形式說(shuō)明確定信息系統(tǒng)為某個(gè)安全保護(hù)等級(jí)的方法和理由；在定級(jí)報(bào)告中描述了定級(jí)方法和理由5c）應(yīng)組織相關(guān)部門(mén)和有關(guān)安全技術(shù)專家對(duì)信息系統(tǒng)定級(jí)結(jié)果的合理性和正確性進(jìn)行論證和審定；公安管理部門(mén)對(duì)安全保護(hù)等級(jí)給出了指導(dǎo)意見(jiàn)5d）應(yīng)確保信息系統(tǒng)的定級(jí)結(jié)果經(jīng)過(guò)相關(guān)部門(mén)的批準(zhǔn)。公安管理部門(mén)對(duì)定級(jí)情況進(jìn)行審定5安全方案設(shè)計(jì)a）應(yīng)根據(jù)系統(tǒng)的安全保護(hù)等級(jí)選擇基本安全措施，并依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施；根據(jù)業(yè)務(wù)需求分析及等級(jí)保護(hù)要求對(duì)安全策略進(jìn)行調(diào)整5b）應(yīng)指定和授權(quán)專門(mén)的部門(mén)對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，制定近期和遠(yuǎn)期的安全建設(shè)工作計(jì)劃；甲方已將系統(tǒng)的設(shè)計(jì)運(yùn)營(yíng)全部，由自身負(fù)責(zé)系統(tǒng)的設(shè)計(jì)規(guī)劃5c）應(yīng)根據(jù)信息系統(tǒng)的等級(jí)劃分情況，統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案，并形成配套文件；根據(jù)業(yè)務(wù)需求分析及等級(jí)保護(hù)要求制定了成套的設(shè)計(jì)方案5d）應(yīng)組織相關(guān)部門(mén)和有關(guān)安全技術(shù)專家對(duì)總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的合理性和正確性進(jìn)行論證和審定，并且經(jīng)過(guò)批準(zhǔn)后，才能正式實(shí)施；內(nèi)部組織工程師對(duì)設(shè)計(jì)方案進(jìn)行論證實(shí)施5產(chǎn)品采購(gòu)和使用a）應(yīng)確保安全產(chǎn)品采購(gòu)和使用符合國(guó)家的有關(guān)規(guī)定；安全采購(gòu)符合國(guó)家有關(guān)規(guī)定，所采購(gòu)產(chǎn)品均有銷售許可證5b）應(yīng)指定或授權(quán)專門(mén)的部門(mén)負(fù)責(zé)產(chǎn)品的采購(gòu)；由采購(gòu)部門(mén)負(fù)責(zé)設(shè)備的采購(gòu)工作5c）應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試，確定產(chǎn)品的候選范圍，并定期審定和更新候選產(chǎn)品名單。由技術(shù)部負(fù)責(zé)設(shè)備選型測(cè)試，提交采購(gòu)部門(mén)采購(gòu)5自行軟件開(kāi)發(fā)a）應(yīng)確保開(kāi)發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開(kāi)，開(kāi)發(fā)人員和測(cè)試人員分離，測(cè)試數(shù)據(jù)和測(cè)試結(jié)果受到控制；開(kāi)發(fā)人員和測(cè)試人員分離，測(cè)試數(shù)據(jù)和測(cè)試結(jié)果受到控制；5b）應(yīng)制定軟件開(kāi)發(fā)管理制度，明確說(shuō)明開(kāi)發(fā)過(guò)程的控制方法和人員行為準(zhǔn)則；明確說(shuō)明開(kāi)發(fā)過(guò)程的控制方法和人員行為準(zhǔn)則5c）應(yīng)制定代碼編寫(xiě)安全規(guī)范，要求開(kāi)發(fā)人員參照規(guī)范編寫(xiě)代碼；規(guī)范編寫(xiě)代碼；5d）應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南，并由專人負(fù)責(zé)保管；提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南5e）應(yīng)確保對(duì)程序資源庫(kù)的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)。對(duì)程序資源庫(kù)的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)。5工程實(shí)施a）應(yīng)指定或授權(quán)專門(mén)的部門(mén)或人員負(fù)責(zé)工程實(shí)施過(guò)程的管理；系統(tǒng)搭建工程實(shí)施、系統(tǒng)建設(shè)的監(jiān)督管理5b）應(yīng)制定詳細(xì)的工程實(shí)施方案控制實(shí)施過(guò)程，并要求工程實(shí)施單位能正式地執(zhí)行安全工程過(guò)程；實(shí)施前由技術(shù)部出具工程實(shí)施方案，并按方案控制實(shí)施5c）應(yīng)制定工程實(shí)施方面的管理制度，明確說(shuō)明實(shí)施過(guò)程的控制方法和人員行為準(zhǔn)則。實(shí)施人員均為運(yùn)維工程師，自行控制實(shí)施方法和人員行為5測(cè)試驗(yàn)收a）應(yīng)委托公正的第三方測(cè)試單位對(duì)系統(tǒng)進(jìn)行安全性測(cè)試，并出具安全性測(cè)試報(bào)告；廠商內(nèi)部對(duì)系統(tǒng)進(jìn)行安全性測(cè)試，未委托第三方測(cè)試單位對(duì)系統(tǒng)進(jìn)行測(cè)試5b）應(yīng)指定或授權(quán)專門(mén)的部門(mén)負(fù)責(zé)系統(tǒng)測(cè)試驗(yàn)收的管理，并按照管理規(guī)定的要求完成系統(tǒng)測(cè)試驗(yàn)收工作；由技術(shù)部負(fù)責(zé)驗(yàn)收工作5系統(tǒng)交付a）應(yīng)制定詳細(xì)的系統(tǒng)交付清單，并根據(jù)交付清單對(duì)所交接的設(shè)備、軟件和文檔等進(jìn)行清點(diǎn)；根據(jù)交付清單對(duì)所交接的設(shè)備、軟件和文檔等進(jìn)行清點(diǎn)5b）應(yīng)對(duì)負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)；對(duì)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)5c）應(yīng)確保提供系統(tǒng)建設(shè)過(guò)程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔；提供系統(tǒng)建設(shè)過(guò)程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔5安全服務(wù)商選擇a）應(yīng)確保安全服務(wù)商的選擇符合國(guó)家的有關(guān)規(guī)定；通過(guò)招投標(biāo)選擇安全服務(wù)商，符合國(guó)家有關(guān)規(guī)定5b）應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責(zé)任；簽訂有協(xié)議、合同5c）應(yīng)確保選定的安全服務(wù)商提供技術(shù)培訓(xùn)和服務(wù)承諾，必要的與其簽訂服務(wù)合同。投標(biāo)書(shū)中對(duì)技術(shù)培訓(xùn)和服務(wù)承諾作出了說(shuō)明5系統(tǒng)運(yùn)維管理類別自評(píng)項(xiàng)結(jié)果記錄符合程度環(huán)境管理a）應(yīng)指定專門(mén)的部門(mén)或人員定期對(duì)機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理；機(jī)房由信息化部服務(wù)商建設(shè)，開(kāi)園期間廠商駐場(chǎng)定期對(duì)機(jī)房配電、空調(diào)、溫濕度等進(jìn)行維護(hù)5b）應(yīng)指定部門(mén)負(fù)責(zé)機(jī)房安全，并配備機(jī)房安全管理人員，對(duì)機(jī)房的出入、服務(wù)器的開(kāi)機(jī)或關(guān)機(jī)等工作進(jìn)行管理；技術(shù)部負(fù)責(zé)機(jī)房的安全，配有門(mén)禁系統(tǒng)控制人員出入5c）應(yīng)建立機(jī)房安全管理制度，對(duì)有關(guān)機(jī)房物理訪問(wèn)，物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面的管理作出規(guī)定；由技術(shù)部控制機(jī)房的人員出入和物品帶進(jìn)帶出，暫時(shí)缺少機(jī)房管理制度5d）應(yīng)加強(qiáng)對(duì)辦公環(huán)境的保密性管理，規(guī)范辦公環(huán)境人員行為，包括工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙、不在辦公區(qū)接待來(lái)訪人員、工作人員離開(kāi)座位應(yīng)確保終端計(jì)算機(jī)退出登錄狀態(tài)和桌面上沒(méi)有包含敏感信息的紙檔文件等。機(jī)房辦公環(huán)境有嚴(yán)格的限制，不允許外來(lái)人員隨意出入5資產(chǎn)管理a）應(yīng)編制并保存與信息系統(tǒng)相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任部門(mén)、重要程度和所處位置等內(nèi)容；系統(tǒng)運(yùn)營(yíng)全部自行負(fù)責(zé)，已編制資產(chǎn)清單5b）應(yīng)建立資產(chǎn)安全管理制度，規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門(mén)，并規(guī)范資產(chǎn)管理和使用的行為；系統(tǒng)相關(guān)資產(chǎn)均由公司相關(guān)人員負(fù)責(zé)5c）應(yīng)根據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)管理，根據(jù)資產(chǎn)的價(jià)值選擇相應(yīng)的管理措施；已對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)管理，設(shè)備頂部均粘貼標(biāo)簽5d）應(yīng)對(duì)信息分類與標(biāo)識(shí)方法作出規(guī)定，并對(duì)信息的使用、傳輸和存儲(chǔ)等進(jìn)行規(guī)范化管理。按照自定義規(guī)則進(jìn)行標(biāo)識(shí)管理5介質(zhì)管理a）應(yīng)建立介質(zhì)安全管理制度，對(duì)介質(zhì)的存放環(huán)境、使用、維護(hù)和銷毀等方面作出規(guī)定；建立介質(zhì)安全管理制度，對(duì)介質(zhì)的存放環(huán)境、使用、維護(hù)和銷毀等方面作出規(guī)定5b）應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對(duì)各類介質(zhì)進(jìn)行控制和保護(hù)，并實(shí)行存儲(chǔ)環(huán)境專人管理；介質(zhì)存放在安全的環(huán)境中，對(duì)各類介質(zhì)進(jìn)行控制和保護(hù)，并實(shí)行存儲(chǔ)環(huán)境專人管理5設(shè)備管理a）應(yīng)對(duì)信息系統(tǒng)相關(guān)的各種設(shè)備（包括備份和冗余設(shè)備）、線路等指定專門(mén)的部門(mén)或人員定期進(jìn)行維護(hù)管理；由技術(shù)部對(duì)設(shè)備、線路等進(jìn)行管理5b）應(yīng)建立基于申報(bào)、審批和專人負(fù)責(zé)的設(shè)備安全管理制度，對(duì)信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購(gòu)、發(fā)放和領(lǐng)用等過(guò)程進(jìn)行規(guī)范化管理；有規(guī)范的采購(gòu)制度，能夠?qū)υO(shè)備選型、采購(gòu)過(guò)程進(jìn)行規(guī)范管理5c）應(yīng)建立配套設(shè)施、軟硬件維護(hù)方面的管理制度，對(duì)其維護(hù)進(jìn)行有效的管理，包括明確維護(hù)人員的責(zé)任、涉外維修和服務(wù)的審批、維修過(guò)程的監(jiān)督控制等；設(shè)備維修由設(shè)備廠商負(fù)責(zé)，技術(shù)部對(duì)維修過(guò)程進(jìn)行監(jiān)督5e）應(yīng)確保信息處理設(shè)備必須經(jīng)過(guò)審批才能帶離機(jī)房或辦公地點(diǎn)。由信息化部控制機(jī)房物品的帶進(jìn)帶出5網(wǎng)絡(luò)安全管理a）應(yīng)指定專人對(duì)網(wǎng)絡(luò)進(jìn)行管理，負(fù)責(zé)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息分析和處理工作；運(yùn)維工程師對(duì)網(wǎng)絡(luò)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄和報(bào)警信息等進(jìn)行分析處理5b）應(yīng)建立網(wǎng)絡(luò)安全管理制度，對(duì)網(wǎng)絡(luò)安全配置、日志保存時(shí)間、安全策略、升級(jí)與打補(bǔ)丁、口令更新周期等方面作出規(guī)定；通過(guò)業(yè)務(wù)應(yīng)用需求分析和安全分析，已確定了網(wǎng)絡(luò)配置，日志保存等相關(guān)策略5c）應(yīng)定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行