【正文】 ) 應(yīng)對負(fù)責(zé)系統(tǒng)運行維護的技術(shù)人員進行相應(yīng)的技能培訓(xùn)；c) 應(yīng)確保提供系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進行系統(tǒng)運行維護的文檔；d) 應(yīng)對系統(tǒng)交付的控制方法和人員行為準(zhǔn)則進行書面規(guī)定；e) 應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)交付的管理工作，并按照管理規(guī)定的要求完成系統(tǒng)交付工作。 監(jiān)控管理和安全管理中心（G3）本項要求包括：a) 應(yīng)對通信線路、主機、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行監(jiān)測和報警，形成記錄并妥善保存；b) 應(yīng)組織相關(guān)人員定期對監(jiān)測和報警記錄進行分析、評審，發(fā)現(xiàn)可疑行為，形成分析報告，并采取必要的應(yīng)對措施；c) 應(yīng)建立安全管理中心，對設(shè)備狀態(tài)、惡意代碼、補丁升級、安全審計等安全相關(guān)事項進行集中管理。 應(yīng)急預(yù)案管理（G3）本項要求包括：a) 應(yīng)在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)包括啟動應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容；b) 應(yīng)從人力、設(shè)備、技術(shù)和財務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障；c) 應(yīng)對系統(tǒng)相關(guān)的人員進行應(yīng)急預(yù)案培訓(xùn)，應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次；d) 應(yīng)定期對應(yīng)急預(yù)案進行演練，根據(jù)不同的應(yīng)急恢復(fù)內(nèi)容，確定演練的周期；e) 應(yīng)規(guī)定應(yīng)急預(yù)案需要定期審查和根據(jù)實際情況更新的內(nèi)容，并按照執(zhí)行。拼一個春夏秋冬！贏一個無悔人生！早安！—————獻給所有努力的人. 學(xué)習(xí)好幫手。 備份與恢復(fù)管理（G3）本項要求包括：a) 應(yīng)識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等；b) 應(yīng)建立備份與恢復(fù)管理相關(guān)的安全管理制度，對備份信息的備份方式、備份頻度、存儲介質(zhì)和保存期等進行規(guī)范；c) 應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運行的影響，制定數(shù)據(jù)的備份策略和恢復(fù)策略，備份策略須指明備份數(shù)據(jù)的放置場所、文件命名規(guī)則、介質(zhì)替換頻率和將數(shù)據(jù)離站運輸?shù)姆椒?；d) 應(yīng)建立控制數(shù)據(jù)備份和恢復(fù)過程的程序，對備份過程進行記錄，所有文件和記錄應(yīng)妥善保存；e) 應(yīng)定期執(zhí)行恢復(fù)程序，檢查和測試備份介質(zhì)的有效性，確?？梢栽诨謴?fù)程序規(guī)定的時間內(nèi)完成備份的恢復(fù)。 介質(zhì)管理（G3）本項要求包括：a) 應(yīng)建立介質(zhì)安全管理制度，對介質(zhì)的存放環(huán)境、使用、維護和銷毀等方面作出規(guī)定； b) 應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對各類介質(zhì)進行控制和保護，并實行存儲環(huán)境專人管理；c) 應(yīng)對介質(zhì)在物理傳輸過程中的人員選擇、打包、交付等情況進行控制，對介質(zhì)歸檔和查詢等進行登記記錄，并根據(jù)存檔介質(zhì)的目錄清單定期盤點； d) 應(yīng)對存儲介質(zhì)的使用過程、送出維修以及銷毀等進行嚴(yán)格的管理，對帶出工作環(huán)境的存儲介質(zhì)進行內(nèi)容加密和監(jiān)控管理，對送出維修或銷毀的介質(zhì)應(yīng)首先清除介質(zhì)中的敏感數(shù)據(jù)，對保密性較高的存儲介質(zhì)未經(jīng)批準(zhǔn)不得自行銷毀； e) 應(yīng)根據(jù)數(shù)據(jù)備份的需要對某些介質(zhì)實行異地存儲，存儲地的環(huán)境要求和管理方法應(yīng)與本地相同；f) 應(yīng)對重要介質(zhì)中的數(shù)據(jù)和軟件采取加密存儲，并根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進行分類和標(biāo)識管理。 工程實施（G3）本項要求包括：a) 應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)工程實施過程的管理；b) 應(yīng)制定詳細(xì)的工程實施方案控制實施過程，并要求工程實施單位能正式地執(zhí)行安全工程過程；c) 應(yīng)制定工程實施方面的管理制度，明確說明實施過程的控制方法和人員行為準(zhǔn)則。 人員考核（G3）本項要求包括：a) 應(yīng)定期對各個崗位的人員進行安全技能及安全認(rèn)知的考核；b) 應(yīng)對關(guān)鍵崗位的人員進行全面、嚴(yán)格的安全審查和技能考核；c) 應(yīng)對考核結(jié)果進行記錄并保存。 評審和修訂（G3）本項要求包括：a) 信息安全領(lǐng)導(dǎo)小組應(yīng)負(fù)責(zé)定期組織相關(guān)部門和相關(guān)人員對安全管理制度體系的合理性和適用性進行審定；b) 應(yīng)定期或不定期對安全管理制度進行檢查和審定，對存在不足或需要改進的安全管理制度進行修訂。 抗抵賴（G3）本項要求包括：a) 應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能；b) 應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。 惡意代碼防范（G3）本項要求包括：a) 應(yīng)安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫；b) 主機防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫；c) 應(yīng)支持防惡意代碼的統(tǒng)一管理。 惡意代碼防范（G3）本項要求包括：a) 應(yīng)在網(wǎng)絡(luò)邊界處對惡意代碼進行檢測和清除；b) 應(yīng)維護惡意代碼庫的升級和檢測系統(tǒng)的更新。 溫濕度控制（G3）機房應(yīng)設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施，使機房溫、濕度的變化在設(shè)備運行所允許的范圍之內(nèi)。. . . .. .信息系統(tǒng)安全等級保護基本要求1 三級基本要求 3 技術(shù)要求 3 物理安全 3 物理位置的選擇（G3） 3 物理訪問控制（G3） 3 防盜竊和防破壞（G3） 3 防雷擊（G3） 3 防火（G3） 4 防水和防潮（G3） 4 防靜電（G3） 4 溫濕度控制（G3） 4 電力供應(yīng)（A3） 4 電磁防護（S3） 4 網(wǎng)絡(luò)安全 4 結(jié)構(gòu)安全（G3） 4 訪問控制（G3） 5 安全審計（G3） 5 邊界完整性檢查（S3） 5 入侵防范（G3） 5 惡意代碼防范（G3） 6 網(wǎng)絡(luò)設(shè)備防護（G3） 6 主機安全 6 身份鑒別（S3） 6 訪問控制（S3） 6 安全審計（G3） 7 剩余信息保護（S3） 7 入侵防范（G3） 7 惡意代碼防范（G3） 7 資源控制（A3） 7 應(yīng)用安全 7 身份鑒別（S3） 8 訪問控制（S3） 8 安全審計（G3） 8 剩余信息保護（S3） 8 通信完整性（S3） 8 通信保密性（S3） 8 抗抵賴（G3） 8 軟件容錯（A3） 9 資源控制（A3） 9 數(shù)據(jù)安全及備份恢復(fù) 9 數(shù)據(jù)完整性（S3） 9 數(shù)據(jù)保密性（S3） 9 備份和恢復(fù)（A3） 9 管理要求 10 安全管理制度 10 管理制度（G3） 10 制定和發(fā)布（G3） 10 評審和修訂（G3） 10 安全管理機構(gòu) 10 崗位設(shè)置（G3） 10 人員配備（G3） 10 授權(quán)和審批（G3） 10 溝通和合作（G3） 11 審核和檢查（G3） 11 人員安全管理 11 人員錄用（G3） 11 人員離崗（G3） 11 人員考核（G3） 12 安全意識教育和培訓(xùn)（G3） 12 外部人員訪問管理（G3） 12 系統(tǒng)建設(shè)管理 12 系統(tǒng)定級（G3） 12 安全方案設(shè)計（G3） 12 產(chǎn)品采購和使用（G3） 13 自行軟件開發(fā)（G3） 13 外包軟件開發(fā)（G3） 13 工程實施（G3） 13