【正文】 策略，備份策略須指明備份數(shù)據(jù)的放置場所、文件命名規(guī)則、介質(zhì)替換頻率和將數(shù)據(jù)離站運(yùn)輸?shù)姆椒ā?33.應(yīng)建立控制數(shù)據(jù)備份和恢復(fù)過程的程序，對備份過程進(jìn)行記錄，所有文件和記錄應(yīng)妥善保存。234.應(yīng)定期執(zhí)行恢復(fù)程序，檢查和測試備份介質(zhì)的有效性，確?？梢栽诨謴?fù)程序規(guī)定的時間內(nèi)完成備份的恢復(fù)。安全事件處置235.應(yīng)報告所發(fā)現(xiàn)的安全弱點和可疑事件，但任何情況下用戶均不應(yīng)嘗試驗證弱點。訪談，檢查。系統(tǒng)運(yùn)維負(fù)責(zé)人，工作人員，安全事件報告和處置管理制度，安全事件定級文檔，安全事件記錄分析文檔，安全事件報告和處理程序文檔。236.應(yīng)制定安全事件報告和處置管理制度，明確安全事件的類型，規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復(fù)的管理職責(zé)。237.應(yīng)根據(jù)國家相關(guān)管理部門對計算機(jī)安全事件等級劃分方法和安全事件對本系統(tǒng)產(chǎn)生的影響，對本系統(tǒng)計算機(jī)安全事件進(jìn)行等級劃分。238.應(yīng)制定安全事件報告和響應(yīng)處理程序，確定事件的報告流程，響應(yīng)和處置的范圍、程度，以及處理方法。239.應(yīng)在安全事件報告和響應(yīng)處理過程中，分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處理過程，總結(jié)經(jīng)驗教訓(xùn)，制定防止再次發(fā)生的補(bǔ)救措施，過程形成的所有文件和記錄均應(yīng)妥善保存。240.對造成系統(tǒng)中斷和造成信息泄密的安全事件應(yīng)采用不同的處理程序和報告程。應(yīng)急預(yù)案管理241.應(yīng)在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)包括啟動應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容。訪談，檢查。系統(tǒng)運(yùn)維負(fù)責(zé)人，應(yīng)急響應(yīng)預(yù)案文檔，應(yīng)急預(yù)案培訓(xùn)記錄，應(yīng)急預(yù)案演練記錄，應(yīng)急預(yù)案審查記錄。242.應(yīng)從人力、設(shè)備、技術(shù)和財務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障。243.應(yīng)對系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次。244.應(yīng)定期對應(yīng)急預(yù)案進(jìn)行演練，根據(jù)不同的應(yīng)急恢復(fù)內(nèi)容，確定演練的周期。245.應(yīng)規(guī)定應(yīng)急預(yù)案需要定期審查和根據(jù)實際情況更新的內(nèi)容，并按照執(zhí)行。系統(tǒng)建設(shè)管理系統(tǒng)定級246.應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級。訪談，檢查。247.應(yīng)以書面的形式說明確定信息系統(tǒng)為某個安全保護(hù)等級的方法和理由。248.應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對信息系統(tǒng)定級結(jié)果的合理性和正確性進(jìn)行論證和審定。249.應(yīng)確保信息系統(tǒng)的定級結(jié)果經(jīng)過相關(guān)部門的批準(zhǔn)。安全方案設(shè)計250.應(yīng)根據(jù)系統(tǒng)的安全保護(hù)等級選擇基本安全措施，并依據(jù)風(fēng)險分析的結(jié)果補(bǔ)充和調(diào)整安全措施。訪談，檢查。251.應(yīng)指定和授權(quán)專門的部門對信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，制定近期和遠(yuǎn)期的安全建設(shè)工作計劃。252.應(yīng)根據(jù)信息系統(tǒng)的等級劃分情況，統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計方案，并形成配套文件。253.應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計方案等相關(guān)配套文件的合理性和正確性進(jìn)行論證和審定，并且經(jīng)過批準(zhǔn)后，才能正式實施。254.應(yīng)根據(jù)等級測評、安全評估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計方案等相關(guān)配套文件。產(chǎn)品采購和使用255.應(yīng)確保安全產(chǎn)品采購和使用符合國家的有關(guān)規(guī)定。訪談，檢查。256.應(yīng)確保密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求。257.應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的采購。258.應(yīng)預(yù)先對產(chǎn)品進(jìn)行選型測試，確定產(chǎn)品的候選范圍，并定期審定和更新候選產(chǎn)品名單。自行軟件開發(fā)259.應(yīng)確保開發(fā)環(huán)境與實際運(yùn)行環(huán)境物理分開，開發(fā)人員和測試人員分離，測試數(shù)據(jù)和測試結(jié)果受到控制。訪談，檢查。260.應(yīng)制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和人員行為準(zhǔn)則。261.應(yīng)制定代碼編寫安全規(guī)范，要求開發(fā)人員參照規(guī)范編寫代碼。262.應(yīng)確保提供軟件設(shè)計的相關(guān)文檔和使用指南，并由專人負(fù)責(zé)保管。263.應(yīng)確保對程序資源庫的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)。外包軟件開發(fā)264.應(yīng)根據(jù)開發(fā)需求檢測軟件質(zhì)量。訪談，檢查。265.應(yīng)根據(jù)開發(fā)需求檢測軟件質(zhì)量。266.應(yīng)要求開發(fā)單位提供軟件設(shè)計的相關(guān)文檔和使用指南267.應(yīng)要求開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門。工程實施268.應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)工程實施過程的管理。訪談，檢查。269.應(yīng)制定詳細(xì)的工程實施方案控制實施過程，并要求工程實施單位能正式地執(zhí)行安全工程過程。270.應(yīng)制定工程實施方面的管理制度，明確說明實施過程的控制方法和人員行為準(zhǔn)則。測試驗收271.應(yīng)委托公正的第三方測試單位對系統(tǒng)進(jìn)行安全性測試，并出具安全性測試報告。訪談，檢查。272.在測試驗收前應(yīng)根據(jù)設(shè)計方案或合同要求等制訂測試驗收方案，在測試驗收過程中應(yīng)詳細(xì)記錄測試驗收結(jié)果，并形成測試驗收報告。273.應(yīng)對系統(tǒng)測試驗收的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定。274.應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)測試驗收的管理，并按照管理規(guī)定的要求完成系統(tǒng)測試驗收工作。275.應(yīng)組織相關(guān)部門和相關(guān)人員對系統(tǒng)測試驗收報告進(jìn)行審定，并簽字確認(rèn)。系統(tǒng)交付276.應(yīng)制定詳細(xì)的系統(tǒng)交付清單，并根據(jù)交付清單對所交接的設(shè)備、軟件和文檔等進(jìn)行清點。訪談，檢查。277.應(yīng)對負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)。278.應(yīng)確保提供系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔。279.應(yīng)對系統(tǒng)交付的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定。280.應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)交付的管理工作，并按照管理規(guī)定的要求完成系統(tǒng)交付工作。系統(tǒng)備案281.應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)交付的管理工作，并按照管理規(guī)定的要求完成系統(tǒng)交付工作。訪談，檢查。282.應(yīng)將系統(tǒng)等級及相關(guān)材料報系統(tǒng)主管部門備案。283.應(yīng)將系統(tǒng)等級及相關(guān)材料報系統(tǒng)主管部門備案。等級測評284.在系統(tǒng)運(yùn)行過程中，應(yīng)至少每年對系統(tǒng)進(jìn)行一次等級測評，發(fā)現(xiàn)不符合相應(yīng)等級保護(hù)標(biāo)準(zhǔn)要求的及時整改。訪談，檢查。285.應(yīng)在系統(tǒng)發(fā)生變更時及時對系統(tǒng)進(jìn)行等級測評，發(fā)現(xiàn)級別發(fā)生變化的及時調(diào)整級別并進(jìn)行安全改造，發(fā)現(xiàn)不符合相應(yīng)等級保護(hù)標(biāo)準(zhǔn)要求的及時整改。286.應(yīng)選擇具有國家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測評單位進(jìn)行等級測評。287.應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)等級測評的管理。安全服務(wù)商選擇288.應(yīng)確保安全服務(wù)商的選擇符合國家的有關(guān)規(guī)定。訪談，檢查。289.應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責(zé)任。290.應(yīng)確保選定的安全服務(wù)商提供技術(shù)培訓(xùn)和服務(wù)承諾，必要的與其簽訂服務(wù)合同。1. 若不給自己設(shè)限，則人生中就沒有限制你發(fā)揮的藩籬。2. 若不是心寬似海，哪有人生風(fēng)平浪靜。在紛雜的塵世里，為自己留下一片純靜的心靈空間，不管是潮起潮落，也不管是陰晴圓缺，你都可以免去浮躁，義無反顧，勇往直前，輕松自如地走好人生路上的每一步3. 花一些時間，總會看清一些事。用一些事情，總會看清一些人。有時候覺得自己像個神經(jīng)病。既糾結(jié)了自己，又打擾了別人。努力過后，才知道許多事情，堅持堅持，就過來了。4. 歲月是無情的，假如你丟給它的是一片空白，它還給你的也是一片空白。歲月是有情的，假如你奉獻(xiàn)給她的是一些色彩，它奉獻(xiàn)給你的也是一些色彩。你必須努力，當(dāng)有一天驀然回首時，你的回憶里才會多一些色彩斑斕，少一些蒼白無力。只有你自己才能把歲月描畫成一幅難以忘懷的人生畫卷。學(xué)習(xí)參