【正文】 應(yīng)識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等。訪談，檢查。系統(tǒng)運(yùn)維負(fù)責(zé)人，系統(tǒng)管理員，數(shù)據(jù)庫管理員，網(wǎng)絡(luò)管理員，備份和恢復(fù)管理制度文檔，備份和恢復(fù)策略文檔，備份231.應(yīng)建立備份與恢復(fù)管理相關(guān)的安全管理制度，對備份信息的備份方式、備份頻度、存儲(chǔ)介質(zhì)和保存期等進(jìn)行規(guī)范。232.應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運(yùn)行的影響，制定數(shù)據(jù)的等級保護(hù)三級管理類測評控制點(diǎn)類別序號測評內(nèi)容測評方法結(jié)果記錄符合情況YNO備份策略和恢復(fù)策略，備份策略須指明備份數(shù)據(jù)的放置場所、文件命名規(guī)則、介質(zhì)替換頻率和將數(shù)據(jù)離站運(yùn)輸?shù)姆椒?。和恢?fù)程序文檔，備份過程記錄文檔，檢查災(zāi)難恢復(fù)計(jì)劃文檔233.應(yīng)建立控制數(shù)據(jù)備份和恢復(fù)過程的程序，對備份過程進(jìn)行記錄，所有文件和記錄應(yīng)妥善保存。234.應(yīng)定期執(zhí)行恢復(fù)程序，檢查和測試備份介質(zhì)的有效性，確?？梢栽诨謴?fù)程序規(guī)定的時(shí)間內(nèi)完成備份的恢復(fù)。安全事件處置235.應(yīng)報(bào)告所發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件，但任何情況下用戶均不應(yīng)嘗試驗(yàn)證弱點(diǎn)。訪談，檢查。系統(tǒng)運(yùn)維負(fù)責(zé)人，工作人員，安全事件報(bào)告和處置管理制度，安全事件定級文檔，安全事件記錄分析文檔，安全事件報(bào)告和處理程序文檔。236.應(yīng)制定安全事件報(bào)告和處置管理制度，明確安全事件的類型，規(guī)定安全事件的現(xiàn)場處理、事件報(bào)告和后期恢復(fù)的管理職責(zé)。237.應(yīng)根據(jù)國家相關(guān)管理部門對計(jì)算機(jī)安全事件等級劃分方法和安全事件對本系統(tǒng)產(chǎn)生的影響，對本系統(tǒng)計(jì)算機(jī)安全事件進(jìn)行等級劃分。238.應(yīng)制定安全事件報(bào)告和響應(yīng)處理程序，確定事件的報(bào)告流程，響應(yīng)和處置的范圍、程度，以及處理方法。239.應(yīng)在安全事件報(bào)告和響應(yīng)處理過程中，分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處理過程，總結(jié)經(jīng)驗(yàn)教訓(xùn)，制定防止再次發(fā)生的補(bǔ)救措施，過程形成的所有文件和記錄均應(yīng)妥善保存。240.對造成系統(tǒng)中斷和造成信息泄密的安全事件應(yīng)采用不同的處等級保護(hù)三級管理類測評控制點(diǎn)類別序號測評內(nèi)容測評方法結(jié)果記錄符合情況YNO理程序和報(bào)告程。應(yīng)急預(yù)案管理241.應(yīng)在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)包括啟動(dòng)應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容。訪談，檢查。系統(tǒng)運(yùn)維負(fù)責(zé)人，應(yīng)急響應(yīng)預(yù)案文檔，應(yīng)急預(yù)案培訓(xùn)記錄，應(yīng)急預(yù)案演練記錄，應(yīng)急預(yù)案審查記錄。242.應(yīng)從人力、設(shè)備、技術(shù)和財(cái)務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障。243.應(yīng)對系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次。244.應(yīng)定期對應(yīng)急預(yù)案進(jìn)行演練，根據(jù)不同的應(yīng)急恢復(fù)內(nèi)容，確定演練的周期。245.應(yīng)規(guī)定應(yīng)急預(yù)案需要定期審查和根據(jù)實(shí)際情況更新的內(nèi)容，并按照執(zhí)行。系統(tǒng)建設(shè)管理系統(tǒng)定級246.應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級。訪談，檢查。247.應(yīng)以書面的形式說明確定信息系統(tǒng)為某個(gè)安全保護(hù)等級的方法和理由。248.應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對信息系統(tǒng)定級結(jié)果的合理性和正確性進(jìn)行論證和審定。249.應(yīng)確保信息系統(tǒng)的定級結(jié)果經(jīng)過相關(guān)部門的批準(zhǔn)。安全方案設(shè)計(jì)250.應(yīng)根據(jù)系統(tǒng)的安全保護(hù)等級選擇基本安全措施，并依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施。訪談，檢查。等級保護(hù)三級管理類測評控制點(diǎn)類別序號測評內(nèi)容測評方法結(jié)果記錄符合情況YNO251.應(yīng)指定和授權(quán)專門的部門對信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，制定近期和遠(yuǎn)期的安全建設(shè)工作計(jì)劃。252.應(yīng)根據(jù)信息系統(tǒng)的等級劃分情況，統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案，并形成配套文件。253.應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的合理性和正確性進(jìn)行論證和審定，并且經(jīng)過批準(zhǔn)后，才能正式實(shí)施。254.應(yīng)根據(jù)等級測評、安全評估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件。產(chǎn)品采購和使用255.應(yīng)確保安全產(chǎn)品采購和使用符合國家的有關(guān)規(guī)定。訪談，檢查。256.應(yīng)確保密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求。257.應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的采購。258.應(yīng)預(yù)先對產(chǎn)品進(jìn)行選型測試，確定產(chǎn)品的候選范圍，并定期審定和更新候選產(chǎn)品名單。自行軟件開發(fā)259.應(yīng)確保開發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開，開發(fā)人員和測試人員分離，測試數(shù)據(jù)和測試結(jié)果受到控制。訪談，檢查。260.應(yīng)制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和等級保護(hù)三級管理類測評控制點(diǎn)類別序號測評內(nèi)容測評方法結(jié)果記錄符合情況YNO人員行為準(zhǔn)則。261.應(yīng)制定代碼編寫安全規(guī)范，要求開發(fā)人員參照規(guī)范編寫代碼。262.應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南，并由專人負(fù)責(zé)保管。263.應(yīng)確保對程序資源庫的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)。外包軟件開發(fā)264.應(yīng)根據(jù)開發(fā)需求檢測軟件質(zhì)量。訪談，檢查。265.應(yīng)根據(jù)開發(fā)需求檢測軟件質(zhì)量。266.應(yīng)要求開發(fā)單位提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南267.應(yīng)要求開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門。工程實(shí)施268.應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)工程實(shí)施過程的管理。訪談，檢查。269.應(yīng)制定詳細(xì)的工程實(shí)施方案控制實(shí)施過程，并要求工程實(shí)施單位能正式地執(zhí)行安全工程過程。270.應(yīng)制定工程實(shí)施方面的管理制度，明確說明實(shí)施過程的控制方法和人員行為準(zhǔn)則。測試驗(yàn)收271.應(yīng)委托公正的第三方測試單位對系統(tǒng)進(jìn)行安全性測試，并出具安全性測試報(bào)告。訪談，檢查。272.在測試驗(yàn)收前應(yīng)根據(jù)設(shè)計(jì)方案或合同要求等制訂測試驗(yàn)收方等級保護(hù)三級管理類測評控制點(diǎn)類別序號測評內(nèi)容測評方法結(jié)果記錄符合情況YNO案，在測試驗(yàn)收過程中應(yīng)詳細(xì)記錄測試驗(yàn)收結(jié)果，并形成測試驗(yàn)收報(bào)告。273.應(yīng)對系統(tǒng)測試驗(yàn)收的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定。274.應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)測試驗(yàn)收的管理，并按照管理規(guī)定的要求完成系統(tǒng)測試驗(yàn)收工作。275.應(yīng)組織相關(guān)部門和相關(guān)人員對系統(tǒng)測試驗(yàn)收報(bào)告進(jìn)行審定，并簽字確認(rèn)。系統(tǒng)交付276.應(yīng)制定詳細(xì)的系統(tǒng)交付清單，并根據(jù)交付清單對所交接的設(shè)備、軟件和文檔等進(jìn)行清點(diǎn)。訪談，檢查。277.應(yīng)對負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)。278.應(yīng)確保提供系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔。279.應(yīng)對系統(tǒng)交付的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定。280.應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)交付的管理工作，并按照管理規(guī)定的要求完成系統(tǒng)交付工作。系統(tǒng)備案281.應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)交付的管理工作，并按照管理規(guī)定的要求完成系統(tǒng)交付工作。訪談，檢查。282.應(yīng)將系統(tǒng)等級及相關(guān)材料報(bào)系統(tǒng)主管部門備案。等級保護(hù)三級管理類測評控制點(diǎn)類別序號測評內(nèi)容測評方法結(jié)果記錄符合情況YNO283.應(yīng)將系統(tǒng)等級及相關(guān)材料報(bào)系統(tǒng)主管部門備案。等級測評284.在系統(tǒng)運(yùn)行過程中，應(yīng)至少每年對系統(tǒng)進(jìn)行一次等級測評，發(fā)現(xiàn)不符合相應(yīng)等級保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改。訪談，檢查。285.應(yīng)在系統(tǒng)發(fā)生變更時(shí)及時(shí)對系統(tǒng)進(jìn)行等級測評，發(fā)現(xiàn)級別發(fā)生變化的及時(shí)調(diào)整級別并進(jìn)行安全改造，發(fā)現(xiàn)不符合相應(yīng)等級保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改。286.應(yīng)選擇具有國家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測評單位進(jìn)行等級測評。287.應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)等級測評的管理。安全服務(wù)商選擇288.應(yīng)確保安全服務(wù)商的選擇符合國家的有關(guān)規(guī)定。訪談，檢查。289.應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責(zé)任。290.應(yīng)確保選定的安全服務(wù)商提供技術(shù)培訓(xùn)和服務(wù)承諾，必要的與其簽訂服務(wù)合同。