【正文】 、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄。等級保護三級技術(shù)類測評控制點類別序號測評內(nèi)容測評方法結(jié)果記錄符合情況YNO惡意代碼防范56.應(yīng)在網(wǎng)絡(luò)邊界處對惡意代碼進行檢測和清除。系統(tǒng)管理員，數(shù)據(jù)庫管理員，服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫，服務(wù)器操作系統(tǒng)文檔，數(shù)據(jù)庫管理系統(tǒng)文檔。訪談，檢查，測試。89.操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用等級保護三級技術(shù)類測評控制點類別序號測評內(nèi)容測評方法結(jié)果記錄符合情況YNO程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補丁及時得到更新。應(yīng)用系統(tǒng)管理員，應(yīng)用系統(tǒng)，設(shè)計/驗收文檔，操作規(guī)程。110.應(yīng)保證無法單獨中斷審計進程，無法刪除、修改或覆蓋審計記錄。安全管理員，應(yīng)用系統(tǒng)。訪談，檢查。責(zé)。安全主管，安全管理人員，會議文件，會議記錄，外聯(lián)單位說明文檔。160.應(yīng)形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系。169.應(yīng)嚴(yán)格規(guī)范人員錄用過程，對被錄用人的身份、背景、專業(yè)資格和資質(zhì)等進行審查，對其所具有的技術(shù)技能進行考核。180.應(yīng)對定期安全教育和培訓(xùn)進行書面規(guī)定，針對不同崗位制定不同的培訓(xùn)計劃，對信息安全基礎(chǔ)知識、崗位操作規(guī)程等進行培訓(xùn)。189.應(yīng)建立資產(chǎn)安全管理制度，規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門，并規(guī)范資產(chǎn)管理和使用的行為。201.應(yīng)對終端計算機、工作站、便攜機、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進行規(guī)范化管理，按操作規(guī)程實現(xiàn)主要設(shè)備（包括備份和冗余設(shè)備）的啟動/停止、加電/斷電等操作。213.應(yīng)定期檢查違反規(guī)定撥號上網(wǎng)或其他違反網(wǎng)絡(luò)安全策略的行為。密碼管理225.應(yīng)建立密碼使用管理制度，使用符合國家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。訪談，檢查。247.應(yīng)以書面的形式說明確定信息系統(tǒng)為某個安全保護等級的方法和理由。260.應(yīng)制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和等級保護三級管理類測評控制點類別序號測評內(nèi)容測評方法結(jié)果記錄符合情況YNO人員行為準(zhǔn)則。274.應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)測試驗收的管理，并按照管理規(guī)定的要求完成系統(tǒng)測試驗收工作。287.應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)等級測評的管理。等級測評284.在系統(tǒng)運行過程中，應(yīng)至少每年對系統(tǒng)進行一次等級測評，發(fā)現(xiàn)不符合相應(yīng)等級保護標(biāo)準(zhǔn)要求的及時整改。測試驗收271.應(yīng)委托公正的第三方測試單位對系統(tǒng)進行安全性測試，并出具安全性測試報告。257.應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的采購。244.應(yīng)定期對應(yīng)急預(yù)案進行演練，根據(jù)不同的應(yīng)急恢復(fù)內(nèi)容，確定演練的周期。232.應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運行的影響，制定數(shù)據(jù)的等級保護三級管理類測評控制點類別序號測評內(nèi)容測評方法結(jié)果記錄符合情況YNO備份策略和恢復(fù)策略，備份策略須指明備份數(shù)據(jù)的放置場所、文件命名規(guī)則、介質(zhì)替換頻率和將數(shù)據(jù)離站運輸?shù)姆椒?。安全管理員，惡意代碼防范管理文檔，惡意代碼檢測記錄，惡意代碼升級記錄，惡意代碼分析報告。209.應(yīng)定期對網(wǎng)絡(luò)系統(tǒng)進行漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進行及時的修補。資產(chǎn)管理員，系統(tǒng)管理員，審計員，服務(wù)器操作規(guī)程，設(shè)備審批、發(fā)放管理文檔，設(shè)備187.應(yīng)加強對辦公環(huán)境的保密性管理，規(guī)范辦公環(huán)境人員行為，包括工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙、不在辦公區(qū)接待來訪人員、工作人員離開座位應(yīng)確保終端計算機退出登錄狀態(tài)和桌面上沒有包含敏感信息的紙檔文件等。177.應(yīng)對考核結(jié)果進行記錄并保存。等級保護三級管理類測評控制點類別序號測評內(nèi)容測評方法結(jié)果記錄符合情況YNO人員安全管理人員錄用168.應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)人員錄用。訪談，檢查。二、管理類測評要求等級保護三級管理類測評控制點類別序號測評內(nèi)容測評方法結(jié)果記錄符合情況YNO146.應(yīng)定期審查審批事項，及時更新需授權(quán)和審批的項目、審批部門和審批人等信息。等級保護三級管理類測評控制點類別序號測評內(nèi)容測評方法結(jié)果記錄符合情況YNO安全管理機構(gòu)崗位設(shè)置137.應(yīng)設(shè)立信息安全管理工作的職能部門，設(shè)立安全主管人、安全管理各個方面的負(fù)責(zé)人崗位，定義各負(fù)責(zé)人的職責(zé)。126.應(yīng)能夠?qū)σ粋€訪問帳戶或一個請求進程占用的資源分配最大限額和最小限額。安全管理員，應(yīng)用系統(tǒng)，相關(guān)證明材料（證書）。108.應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的操作。96.應(yīng)限制單個用戶對系統(tǒng)資源的最大或最小使用限度。IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴(yán)重入侵事件時提供報警。76.應(yīng)及時刪除多余的、過期的帳戶，避免共享帳戶的存在。64.當(dāng)對網(wǎng)絡(luò)設(shè)備進行遠程管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。訪談，檢查，測試。44.應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。網(wǎng)絡(luò)安全結(jié)構(gòu)安全33.應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要。24.機房應(yīng)采用防靜電地板。防火16.機房應(yīng)設(shè)置火災(zāi)自動消防系統(tǒng)，能夠自動檢測火情、自動報警，并自動滅火。5.應(yīng)對機房劃分區(qū)域進行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域。物理安全負(fù)責(zé)人，機房，辦公場地，機房場地設(shè)計/驗收文檔。線路布線文檔，8.應(yīng)將設(shè)備或主要部件進行固定，并設(shè)置明顯的不易除去的標(biāo)記。18.機房應(yīng)采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)備隔離開。訪談，檢查。36.應(yīng)繪制與當(dāng)前運行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。訪談，檢查，測試。訪談，檢查。67.操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換。安全審計員，服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫和重要終端操作系統(tǒng)。惡意代碼防范90.應(yīng)安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫。99.應(yīng)對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別。111.審計記錄的內(nèi)容至少應(yīng)包括事件的日期、時間、發(fā)起者信息、類型、描述和結(jié)果等。119.應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收等級保護三級技術(shù)類測評控制點類別序號測評內(nèi)容測評方法結(jié)果記錄符合情況YNO證據(jù)的功能。系統(tǒng)管理員，網(wǎng)絡(luò)管理員，安全管理員，數(shù)據(jù)庫管理員，應(yīng)用系統(tǒng)，設(shè)計/驗收文檔，130.應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存等級保護三級技術(shù)類測評控制點類別序號測評內(nèi)容測評方法結(jié)果記錄符合情況YNO儲過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復(fù)措施。139.應(yīng)成立指導(dǎo)和管理信息安全工作的委員會或領(lǐng)導(dǎo)小組，其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或授權(quán)。`149.應(yīng)加強與兄弟單位、公安機關(guān)、電信公司的合作與溝通。制定和發(fā)布161.應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)安全管理制度的制定。170.應(yīng)簽署保密協(xié)議。181.應(yīng)對安全教育和培訓(xùn)的情況和結(jié)果進行記錄并歸檔保存。190.應(yīng)根據(jù)資產(chǎn)的重要程度對資產(chǎn)進行標(biāo)識管理，根據(jù)資產(chǎn)的價值選擇相應(yīng)的管理措施。202.應(yīng)確保信息處理設(shè)備必須經(jīng)過審批才能帶離機房或辦公地點。系統(tǒng)安全管理214.應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略。訪談，檢查。系統(tǒng)運維負(fù)責(zé)人，工作人員，安全事件報告和處置管理制度，安全事件定級文檔，安全事件記錄分析文檔，安全事件報告和處理程序文檔。248.應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對信息系統(tǒng)定級結(jié)果的合理性和正確性進行論證和審定。261.應(yīng)制定代碼編寫安全規(guī)范，要求開發(fā)人員參照規(guī)范編寫代碼。275.應(yīng)組織相關(guān)部門和相關(guān)人員對系統(tǒng)測試驗收報告進行審定，并簽字確認(rèn)。安全服務(wù)商選擇288.應(yīng)確保安全服務(wù)商的選擇符合國家的有關(guān)規(guī)定。