【導(dǎo)讀】{ "error_code": 17, "error_msg": "Open api daily request limit reached" }

　　

【正文】 監(jiān)控信息系統(tǒng)現(xiàn)有的安全控制措施，有計劃地持續(xù)進行配置管理、信息系統(tǒng)組件控制、系統(tǒng)變更后的安全影響分析、現(xiàn)有安全控制措施評估和狀態(tài)匯報等工作。 內(nèi)容 制定并實施有關(guān)的規(guī)定，取得相應(yīng)的認證認可， 對系統(tǒng)的安全控制措施和安全保障能力進行持續(xù)的監(jiān)控。 系統(tǒng)與服務(wù)采購 系統(tǒng)和服務(wù)采購涉及到資源分配、生命周期支 持、信息系統(tǒng)文件、軟件使用限制、用戶安裝的軟件、安全設(shè)計原則、外包信息系統(tǒng)服務(wù)、開發(fā)人員配置管理、開發(fā)人員安全測試十個項目內(nèi)容。 資源分配 要求 定義投資控制 過程所需的保護信息系統(tǒng)資源的范圍； 在信息系統(tǒng)規(guī)劃中要確定安全要求；規(guī)劃和預(yù)算文件中，要建立信息系統(tǒng)安 全項目，將主要的規(guī)劃和投資控制過程整合到一起。 內(nèi)容 定義 投資控制的范圍 ； 信息系統(tǒng)規(guī)劃中 定義了相應(yīng)的安全要求。 生命周期支持 要求 管理信息系統(tǒng)要有其相應(yīng)的生命周期； 為系統(tǒng)開發(fā)生命周期安全考慮提供相應(yīng)的 實施 指南。 內(nèi)容 在相關(guān)的信息管理系統(tǒng)中明確 關(guān)于系統(tǒng)生命周期的說明； 有對應(yīng)系統(tǒng)開發(fā)周期的相應(yīng)的 實施 指南。 采購 要求 采購合同中要明確定義相關(guān)的安全要求、安全規(guī)范 和基于風(fēng)險評估的信息系統(tǒng)要求； 在信息系統(tǒng)所要求的文檔中要包括安全配置說明和安全實施指南。 內(nèi)容 采購合同滿足該行業(yè)相關(guān)的安全需求； 在信息系統(tǒng)所要求的文檔中 包括了相應(yīng)的安全配置說明和安全實施指南。 信息系統(tǒng)文件 要求 確保信息系統(tǒng)擁有完整齊全的文檔，包括系統(tǒng)的詳細設(shè)計方案和實 施方案，配置、安裝和運行信息系統(tǒng)且能正確配置系統(tǒng)安全特性的指南； 保證全部文檔可用，并受到保護； 提供描述信息 系統(tǒng)中安全控制的功能屬性文件。 內(nèi)容 信息系統(tǒng)文件（如安全設(shè) 計方案、建設(shè)方案、管理員和用戶指南、系統(tǒng)安全配置參考文件等）完整， 清晰地定義了文檔的授權(quán)級別。 軟件使用限制 要求 對軟件 的 使用進行 限制； 軟件和所用相關(guān)文檔與合同協(xié)商和法律版本一致； 對 軟件和相關(guān)的文檔的數(shù)量進行相應(yīng)的許可保護，并對軟件的復(fù)制和分發(fā)進行控制 。 內(nèi)容 制定軟件使用政策，遵守軟件許可協(xié)議，禁止使用盜版軟件； 控制用戶可訪問的范圍，監(jiān)控異常情況。例如：進行 URL限制，關(guān)注異常流量等，對可疑問題是否及時上報 ； 工作人員接收 權(quán)威發(fā)布部門 發(fā)布的 軟件的相關(guān)信息，不接收和傳播未經(jīng)確認的信息。 用戶安裝的軟件 要求 對軟件的下載和安裝要有明確的規(guī)定； 對軟件的類型進行識別和分類，確認哪些是可以下載和安裝的，哪些是被禁止的。 內(nèi)容 有軟件下載和安裝的規(guī)定 ； 安全軟件的升級 過程 有相應(yīng)的變更控制流程進行控制。 安全設(shè)計原則 要求 使用安全工程原則設(shè)計和實施信息系統(tǒng)。 內(nèi)容 組織機構(gòu) 采用信息系統(tǒng)安全工程原則來設(shè)計、開發(fā)和實施信息系統(tǒng)。 外包信息系統(tǒng)服務(wù) 要求 執(zhí)行和維護在服務(wù)協(xié)議中規(guī)定的信息安全服務(wù)提供級別； 對第三方的服務(wù)提供進行管理； 對第三方 的服務(wù)的監(jiān)控和審核進行管理； 對第三方服務(wù)變更進行管理。 (由于所涉及的業(yè)務(wù)系統(tǒng)，業(yè)務(wù)過程和風(fēng)險再評估的重要性，要對服務(wù)的變更過程進行管理，包括為改進現(xiàn)有的信息安全策略，流程和控制措施所實施的變更 )。 內(nèi)容 驗證協(xié)議 的執(zhí)行情況，監(jiān)控實際操作與協(xié)議的符合程度，對與協(xié)議不符的地方進行相應(yīng)的管理，來確保第三方所提供的服務(wù)達到了協(xié)議中的要求； 第三方實施了在第三方服務(wù)提供中所規(guī)定的安全控制措施，服務(wù)定義和提供服務(wù)的級別。 開發(fā)配置管理 要求 對信息系統(tǒng)的開發(fā)要建立和實施配置管理計劃，控制在開發(fā)過程中的變更，跟蹤安全 錯誤，要進行變更授權(quán)，提供計劃和實施文檔。 內(nèi)容 為信息系統(tǒng)開發(fā)建立和實施了相應(yīng)的配置管理計劃； 在控制可發(fā)過程之中的變更 有記錄。 開發(fā)安全測試評估 要求 對信息系統(tǒng)開發(fā)要建立安全測試和評估計劃，并實施相應(yīng)的計劃，將相應(yīng)的計劃文檔化。開發(fā)安全測試和評估結(jié)果應(yīng)提交用于信息系統(tǒng)交付的安全認證和認可過程。 內(nèi)容 開發(fā)的、在行業(yè)網(wǎng)上使用并涉及行業(yè)關(guān)鍵信息和數(shù)據(jù)的軟件系統(tǒng) 進行了安全評估，并通過了安全審核； 對測試應(yīng)用系統(tǒng)實施了訪問控制； 系統(tǒng)真實運行的信息復(fù)制到測試應(yīng)用系統(tǒng)前先經(jīng)過了正式授權(quán)； 對系統(tǒng)真實運行的信息 和使用情況進行了記錄，以便審核追蹤。 配置管理 配置管理是信息系統(tǒng)運行管理的一個重要組成部分。對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、應(yīng)用系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的配置進行正確有效的管理，是保證信息系統(tǒng)正常運行和消除 系統(tǒng)安全風(fēng)險最基本，最必要的手段。 信息系統(tǒng)的管理和維護人員要在明確安全需求的基礎(chǔ)上，熟悉各個軟硬件設(shè)備的當前配置情況，并在信息系統(tǒng)出現(xiàn)變更時按照配置管理策略和配置管理流程對配置進行及時的修改和記錄。 信息系統(tǒng)的管理和維護人員應(yīng)該編制系統(tǒng)資產(chǎn)清單和當前系統(tǒng)的基線配置來記載系統(tǒng)中所有軟硬件設(shè)備的基本信息（包括 系統(tǒng)中各軟硬件的生產(chǎn)廠商，產(chǎn)品類別，序列號，版本號以及該資產(chǎn)在系統(tǒng)中的物理位置和邏輯位置）和當前的配置情況。要將對資產(chǎn)清單和基線配置的更新作為系統(tǒng)更新或擴展的一項必要工作，保證資產(chǎn)清單和基線配置能反映系統(tǒng)當前的真實情況。并逐步使用自動化的工具（網(wǎng)管系統(tǒng)、安全集中管理平臺等）自動生成和維護資產(chǎn)清單和基線配置。 基線配置 要求 編制系統(tǒng)資產(chǎn)清單和當前系統(tǒng)的基線配置； 對資產(chǎn)清單和基線配置的更新作為系統(tǒng)更新或擴展的一項必要工作 ； 使用自動化工具自動生成和維護資產(chǎn)清單和基線配置。 內(nèi)容 通過資產(chǎn)調(diào)查，確定系統(tǒng)中所有 資產(chǎn)的基本信息； 基線配置文檔的完整性和準確性； 實現(xiàn)網(wǎng)絡(luò)設(shè)備和安全設(shè)備的集中管理，具備自動生成網(wǎng)絡(luò)設(shè)備和安全設(shè)備的基線配置的能力。