【正文】 信息等內容應進行書面的規(guī)定,并按照規(guī)定執(zhí)行。d) 應確保信息系統(tǒng)的定級結果經過相關部門的批準。d) 應組織相關部門和有關安全技術專家對總體安全策略、安全技術框架、安全管理策略、總體建設規(guī)劃、詳細設計方案等相關配套文件的合理性和正確性進行論證和審定,并且經過批準后,才能正式實施。c) 應指定或授權專門的部門負責產品的采購。c) 應制定代碼編寫安全規(guī)范,要求開發(fā)人員參照規(guī)范編寫代碼。b) 應在軟件安裝之前檢測軟件包中可能存在的惡意代碼。b) 應制定詳細的工程實施方案控制實施過程,并要求工程實施單位能正式地執(zhí)行安全工程過程。c) 應對系統(tǒng)測試驗收的控制方法和人員行為準則進行書面規(guī)定。b) 應對負責系統(tǒng)運行維護的技術人員進行相應的技能培訓。 系統(tǒng)備案(G3)本項要求包括:a) 應指定專門的部門或人員負責管理系統(tǒng)定級的相關材料,并控制這些材料的使用。b) 應在系統(tǒng)發(fā)生變更時及時對系統(tǒng)進行等級測評,發(fā)現級別發(fā)生變化的及時調整級別并進行安全改造,發(fā)現不符合相應等級保護標準要求的及時整改。b) 應與選定的安全服務商簽訂與安全相關的協(xié)議,明確約定相關責任。c) 應建立機房安全管理制度,對有關機房物理訪問,物品帶進、帶出機房和機房環(huán)境安全等方面的管理做出規(guī)定。c) 應根據資產的重要程度對資產進行標識管理,根據資產的價值選擇相應的管理措施。c) 應對介質在物理傳輸過程中的人員選擇、打包、交付等情況進行控制,對介質歸檔和查詢等進行登記記錄,并根據存檔介質的目錄清單定期盤點。 設備管理(G3)本項要求包括:a) 應對信息系統(tǒng)相關的各種設備(包括備份和冗余設備)、線路等指定專門的部門或人員定期進行維護管理。e) 應確保信息處理設備必須經過審批才能帶離機房或辦公地點。 網絡安全管理(G3)本項要求包括:a) 應指定專人對網絡進行管理,負責運行日志、網絡監(jiān)控記錄的日常維護和報警信息分析和處理工作。e) 應實現設備的最小服務配置,并對配置文件進行定期離線備份。 系統(tǒng)安全管理(G3)本項要求包括:a) 應根據業(yè)務需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略。e) 應指定專人對系統(tǒng)進行管理,劃分系統(tǒng)管理員角色,明確各個角色的權限、責任和風險,權限設定應當遵循最小授權原則。b) 應指定專人對網絡和主機進行惡意代碼檢測并保存檢測記錄。 變更管理(G3)本項要求包括:a) 應確認系統(tǒng)中要發(fā)生的變更,并制定變更方案。 備份與恢復管理(G3)本項要求包括:a) 應識別需要定期備份的重要業(yè)務信息、系統(tǒng)數據及軟件系統(tǒng)等。e) 應定期執(zhí)行恢復程序,檢查和測試備份介質的有效性,確?？梢栽诨謴统绦蛞?guī)定的時間內完成備份的恢復。d) 應制定安全事件報告和響應處理程序,確定事件的報告流程,響應和處置的范圍、程度,以及處理方法等。b) 應從人力、設備、技術和財務等方面確保應急預案的執(zhí)行有足夠的資源保障。d) 應定期對應急預案進行演練,根據不同的應急恢復內容,確定演練的周期。f) 對造成系統(tǒng)中斷和造成信息泄密的安全事件應采用不同的處理程序和報告程序。b) 應制定安全事件報告和處置管理制度,明確安全事件的類型,規(guī)定安全事件的現場處理、事件報告和后期恢復的管理職責。c) 應根據數據的重要性和數據對系統(tǒng)運行的影響,制定數據的備份策略和恢復策略,備份策略須指明備份數據的放置場所、文件命名規(guī)則、介質替換頻率和將數據離站運輸的方法。c) 應建立變更控制的申報和審批文件化程序,對變更影響進行分析并文檔化,記錄變更實施過程,并妥善保存所有文檔和記錄。d) 應定期檢查信息系統(tǒng)內各種產品的惡意代碼庫的升級情況并進行記錄,對主機防病毒產品、防病毒網關和郵件防病毒網關上截獲的危險病毒或惡意代碼進行及時分析處理,并形成書面的報表和總結匯報。g) 應定期對運行日志和審計數據進行分析,以便及時發(fā)現異常行為。c) 應安裝系統(tǒng)的最新補丁程序,在安裝系統(tǒng)補丁前,首先在測試環(huán)境中測試通過,并對重要文件進行備份后,方可實施系統(tǒng)補丁程序的安裝。g) 應依據安全策略允許或者拒絕便攜式和移動式設備的網絡接入。c) 應根據廠家提供的軟件升級版本對網絡設備進行更新,并在更新前對現有的重要文件進行備份。b) 應組織相關人員定期對監(jiān)測和報警記錄進行分析、評審,發(fā)現可疑行為,形成分析報告,并采取必要的應對措施。c) 應建立配套設施、軟硬件維護方面的管理制度,對其維護進行有效的管理,包括明確維護人員的責任、涉外維修和服務的審批、維修過程的監(jiān)督控制等。e) 應根據數據備份的需要對某些介質實行異地存儲,存儲地的環(huán)境要求和管理方法應與本地相同。 介質管理(G3)本項要求包括:a) 應建立介質安全管理制度,對介質的存放環(huán)境、使用、維護和銷毀等方面做出規(guī)定。 資產管理(G3)本項要求包括:a) 應編制并保存與信息系統(tǒng)相關的資產清單,包括資產責任部門、重要程度和所處位置等內容。 系統(tǒng)運維管理 環(huán)境管理(G3)本項要求包括:a) 應指定專門的部門或人員定期對機房供配電、空調、溫濕度控制等設施進行維護管理。d) 應指定或授權專門的部門或人員負責等級測評的管理。c) 應將系統(tǒng)等級及其他要求的備案材料報相應公安機關備案。d) 應對系統(tǒng)交付的控制方法和人員行為準則進行書面規(guī)定。e) 應組織相關部門和相關人員對系統(tǒng)測試驗收報告進行審定,并簽字確認。 測試驗收(G3)本項要求包括:a) 應委托公正的第三方測試單位對系統(tǒng)進行安全性測試,并出具安全性測試報告。d) 應要求開發(fā)單位提供軟件源代碼,并審查軟件中可能存在的后門。e) 應確保對程序資源庫的修改、更新、發(fā)布進行授權和批準。 自行軟件開發(fā)(G3)本項要求包括:a) 應確保開發(fā)環(huán)境與實際運行環(huán)境物理分開,開發(fā)人員和測試人員分離,測試數據和測試結果受到控制。 產品采購和使用(G3)本項要求包括:a) 應確保安全產品采購和使用符合國家的有關規(guī)定。b) 應指定和授權專門的部門對信息系統(tǒng)的安全建設進行總體規(guī)劃,制定近期和遠期的安全建設工作計劃。b) 應以書面的形式說明確定信息系統(tǒng)為某個安全保護等級的方法和理由。d) 應對安全教育和培訓的情況和結果進行記錄并歸檔保存。c) 應對考核結果進行記錄并保存。b) 應取回各種身份證件、