【正文】 主管領(lǐng)導(dǎo)申請，變更和變更方案經(jīng)過評審、審批后方可實施變更，并在實施后將變更情況向相關(guān)人員通告；缺少變更管理制度（更前審批、變更過程記錄、變更后通報等方面內(nèi)容）/不符合增加《變更管理制度》，明確變更類型、變更原因、變更過程、變更前評估等方面內(nèi)容； c) 應(yīng)建立變更控制的申報和審批文件化程序，對變更影響進行分析，記錄變更實施過程，并妥善保存所有文檔和記錄；缺少變更控制的申報和審批程序文檔/不符合增加《變更管理制度》，包括變更申報、審批程序，規(guī)定需要申報的變更類型、申報流程、審批部門、批準(zhǔn)人等方面內(nèi)容d) 應(yīng)建立中止變更并從失敗變更中恢復(fù)的文件化程序，明確過程控制方法和人員職責(zé)，必要時對恢復(fù)過程進行演練；缺少變更方案、缺少變更失敗恢復(fù)程序文檔/不符合增加《變更方案》《變更恢復(fù)程序文檔》，明確過程控制方法和人員職責(zé)，必要時對恢復(fù)過程進行演練備份與恢復(fù)管理b) 應(yīng)建立備份與恢復(fù)管理相關(guān)的安全管理制度，對備份信息的備份方式、備份頻度、存儲介質(zhì)和保存期等進行規(guī)范；缺少備份與恢復(fù)管理相關(guān)的安全管理制度/不符合增加《備份與恢復(fù)管理制度》，包括備份信息的備份方式、備份頻度、存儲介質(zhì)、保存期等 c) 應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運行的影響，制定數(shù)據(jù)的備份策略和恢復(fù)策略，備份策略須指明備份數(shù)據(jù)的放置場所、文件命名規(guī)則、介質(zhì)替換頻率和將數(shù)據(jù)離站運輸?shù)姆椒ǎ蝗鄙賯浞菖c恢復(fù)管理制度，缺少備份與恢復(fù)策略文檔 /不符合增加《備份與恢復(fù)管理制度》、《備份策略文檔和恢復(fù)策略文檔》包括備份數(shù)據(jù)的放置場所、文件命名規(guī)則、介質(zhì)替換頻率和數(shù)據(jù)離站運輸方法等內(nèi)容d) 應(yīng)建立控制數(shù)據(jù)備份和恢復(fù)過程的程序，對備份過程進行記錄，所有文件和記錄應(yīng)妥善保存；缺少數(shù)據(jù)備份和恢復(fù)過程記錄/不符合增加《備份和恢復(fù)記錄》，明確內(nèi)容、日期、檢查人、結(jié)果等安全事件處置a) 應(yīng)制定安全事件報告和處置管理制度，明確安全事件的類型，規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復(fù)的管理職責(zé)；缺少安全事件報告和處置管理制度/不符合增加《安全事件報告和處置管理制度》，明確安全事件類型，規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復(fù)的管理職責(zé)b) 按照國家和行業(yè)相關(guān)規(guī)定及時上報信息安全事件和可疑事件；缺少信息安全事件和可疑事件上報文檔/不符合增加《信息事件和可疑事件上報的文檔》， 明確內(nèi)容、日期、檢查人、結(jié)果等c) 應(yīng)制定安全事件報告和響應(yīng)處理程序，確定事件的報告流程，響應(yīng)和處置的范圍、程度，以及處理方法等； 缺少安全事件報告和響應(yīng)處理程序/不符合增加《安全事件報告和響應(yīng)處理程序》，包括事件的報告流程，響應(yīng)和處置的范圍、程度，以及處理方法等d) 應(yīng)在安全事件報告和響應(yīng)處理過程中，分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處理過程，總結(jié)經(jīng)驗教訓(xùn)，制定防止再次發(fā)生的補救措施，過程形成的所有文件和記錄均應(yīng)妥善保存。缺少安全事件分析文檔 /不符合增加《安全事件分析文檔》，包括分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處理過程，總結(jié)經(jīng)驗教訓(xùn)，制定防止再次發(fā)生的補救措施應(yīng)急預(yù)案管理a）應(yīng)在統(tǒng)一的應(yīng)急框架下制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)包括啟動應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、后期處理等內(nèi)容；缺少應(yīng)急預(yù)案框架文檔，缺少不同事件的應(yīng)急預(yù)案/不符合根據(jù)應(yīng)急預(yù)案框架的要求制定不同事件的應(yīng)急預(yù)案，包括服務(wù)器、網(wǎng)絡(luò)、應(yīng)用、病毒、機房等方面b）應(yīng)根據(jù)系統(tǒng)變更、管理要求的變化等及時更新應(yīng)急預(yù)案；未明確應(yīng)急預(yù)案更新方面的要求/不符合增加《應(yīng)急預(yù)案審查記錄》，明確預(yù)案審查的周期，包括預(yù)案名稱、時間、參加人員、審查結(jié)果等d）應(yīng)對系統(tǒng)相關(guān)的人員進行應(yīng)急預(yù)案培訓(xùn)，應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次；未明確預(yù)案的培訓(xùn)周期/不符合增加《應(yīng)急預(yù)案培訓(xùn)記錄》，明確培訓(xùn)的周期，包括時間、參加人員，培訓(xùn)內(nèi)容、培訓(xùn)結(jié)果等e) 應(yīng)定期對應(yīng)急預(yù)案進行演練。未明確預(yù)案的演練周期部分符合增加《應(yīng)急預(yù)案演練記錄》，明確演練的周期，包括預(yù)案名稱、時間、參加人員、演練情況、演練結(jié)果等五、 方案總結(jié)本方案針對00000000000信息系統(tǒng)，依據(jù)《廣播電視相關(guān)信息系統(tǒng)安全等級保護基本要求》、《廣播電視相關(guān)信息系統(tǒng)安全等級保護測評要求》，根據(jù)分級、分域的原則，進行安全保障體系的建設(shè)與規(guī)劃，從保護計算環(huán)境、保護區(qū)域邊界以及保護通信網(wǎng)絡(luò)，使安全保障體系全面保障信息系統(tǒng)的正常、安全運行，使得整個系統(tǒng)在安全性上達到對應(yīng)等級保護的強度，同時在基礎(chǔ)防護措施的基礎(chǔ)上引入全面的安全管理和安全運行維護策略，進一步提升系統(tǒng)的可靠性和應(yīng)用安全性。技術(shù)方面主要保障了以下幾個方面：? 保障物理安全：通過對機房的基礎(chǔ)設(shè)施日常維護和巡檢來加強物理環(huán)境的安全。? 保障網(wǎng)絡(luò)安全：通過修改網(wǎng)絡(luò)及安全設(shè)備的配置來加強網(wǎng)絡(luò)的安全，并定期對網(wǎng)絡(luò)的設(shè)備運行情況及日志進行查看和分析。? 保障主機安全：通過定期升級系統(tǒng)、數(shù)據(jù)庫和防病毒軟件的補丁，對其終端接入進行限制，增加數(shù)據(jù)庫審計功能等方面保障操作系統(tǒng)、數(shù)據(jù)庫、服務(wù)器、用戶終端及相關(guān)商用產(chǎn)品的安全。? 保障應(yīng)用安全：通過完善系統(tǒng)口令管理，增強審計功能等方面保障應(yīng)用程序?qū)訉W(wǎng)絡(luò)信息的保密性、完整性和信源的真是的保護和鑒別，防止和抵御各種安全威脅和攻擊手段，在一定程度上彌補和完善現(xiàn)有操作系統(tǒng)和網(wǎng)絡(luò)信息系統(tǒng)的安全風(fēng)險。? 保障數(shù)據(jù)安全：通過采用SSL加密方式傳輸重要數(shù)據(jù)信息，網(wǎng)絡(luò)設(shè)備和安全設(shè)備配置的定期備份，配置系統(tǒng)硬件冗余等方面，防止數(shù)據(jù)在傳輸過程中被竊取，有效提高數(shù)據(jù)的安全性。另外，從安全管理的角度，本方案在總要求、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理以及系統(tǒng)運維管理方面，提出了具體的建設(shè)步驟和方法，在總體上使00000000000信息系統(tǒng)的安全管理能夠達到2級系統(tǒng)的要求，并且對實際工作也起到積極的實際意義。附件一：設(shè)備清單匯總編號產(chǎn)品名稱數(shù)量單位備注1濕度調(diào)節(jié)設(shè)備1臺2防盜報警系統(tǒng)1套3火災(zāi)自動滅火系統(tǒng)1套4惡意代碼防范設(shè)施1臺5入侵防御設(shè)施1臺6日志審計系統(tǒng)1套附件二：管理制度及表單條目清單序號管理制度分項內(nèi)容備注5總要求《信息安全工作的總體方針和安全策略》《各項安全管理制度和操作規(guī)程》《安全管理體系》6安全管理機構(gòu)《部門職責(zé)和崗位職責(zé)》《系統(tǒng)管理審批管理制度》《逐級審批的文檔》《安全檢查制度》《系統(tǒng)安全檢查記錄表》《安全檢查報告》《結(jié)果通告記錄》7人員安全管理《保密協(xié)議》《崗位安全協(xié)議》《離崗人員交接記錄》《離崗時的保密承諾文檔》《人員離職管理制度》《人員考核記錄》《外來人員訪問管理制度》《外部人員訪問重要區(qū)域的批準(zhǔn)文檔》《外部人員訪問重要區(qū)域的登記記錄》8系統(tǒng)建設(shè)管理《系統(tǒng)的安全建設(shè)工作計劃》《安全建設(shè)方案》《詳細設(shè)計方案》《總體安全策略、安全技術(shù)框架、安全管理策略》《方案評審記錄》《軟件開發(fā)管理規(guī)范》《工程實施文檔》《測試驗收方案》《測試驗收報告和文檔》《系統(tǒng)交付清單》《系統(tǒng)交付時的技術(shù)培訓(xùn)記錄》9系統(tǒng)運維管理《機房管理制度》《信息分類文檔》《介質(zhì)安全管理制度》《設(shè)備維護制度》《設(shè)備使用管理制度》《設(shè)備操作規(guī)程》《網(wǎng)絡(luò)安全管理制度》《系統(tǒng)安全管理制度》《惡意代碼防范管理制度》《惡意代碼檢測記錄》《惡意代碼升級記錄》《惡意代碼分析報告》《變更管理制度》《變更方案》《變更恢復(fù)程序》《備份與恢復(fù)管理制度》《備份與恢復(fù)策略文檔》《備份和恢復(fù)記錄》《安全事件報告和處置制度》《安全事件分析文檔》《應(yīng)急預(yù)案》《應(yīng)急預(yù)案培訓(xùn)記錄》《應(yīng)急預(yù)案演練記錄》《應(yīng)急預(yù)案審查記錄》第 24 頁 共 24頁0000000000