【正文】 (增強(qiáng))　 工程實(shí)施（G3）本項(xiàng)要求包括：a) 應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)工程實(shí)施過程的管理；b) 應(yīng)制定詳細(xì)的工程實(shí)施方案控制實(shí)施過程，并要求工程實(shí)施單位能正式地執(zhí)行安全工程過程；c) 應(yīng)制定工程實(shí)施方面的管理制度，明確說明實(shí)施過程的控制方法和人員行為準(zhǔn)則。（細(xì)化）　 安全方案設(shè)計(jì)（G3）本項(xiàng)要求包括：a) 應(yīng)根據(jù)系統(tǒng)的安全保護(hù)等級(jí)選擇基本安全措施，并依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施；b) 應(yīng)指定和授權(quán)專門的部門對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，制定近期和遠(yuǎn)期的安全建設(shè)工作計(jì)劃；c) 應(yīng)根據(jù)信息系統(tǒng)的等級(jí)劃分情況，統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案，并形成配套文件；d) 應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的合理性和正確性進(jìn)行論證和審定，并且經(jīng)過批準(zhǔn)后，才能正式實(shí)施；e) 應(yīng)根據(jù)等級(jí)測(cè)評(píng)、安全評(píng)估的結(jié)果每年定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件。對(duì)于通用信息系統(tǒng)，由領(lǐng)導(dǎo)小組辦公室提出安全保護(hù)等級(jí)建議，運(yùn)營使用單位自主確定安全保護(hù)等級(jí)?！?安全意識(shí)教育和培訓(xùn)（G3）本項(xiàng)要求包括:a) 應(yīng)對(duì)各類人員進(jìn)行安全意識(shí)教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)；b) 應(yīng)對(duì)安全責(zé)任和懲戒措施進(jìn)行書面規(guī)定并告知相關(guān)人員，對(duì)違反違背安全策略和規(guī)定的人員進(jìn)行懲戒；c) 應(yīng)按照行業(yè)信息安全要求，對(duì)定期安全教育和培訓(xùn)進(jìn)行書面規(guī)定，針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃，對(duì)信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等進(jìn)行的培訓(xùn)應(yīng)至少每年舉辦一次；（增強(qiáng)）d) 應(yīng)對(duì)安全教育和培訓(xùn)的情況和結(jié)果進(jìn)行記錄并歸檔保存?！?審核和檢查（G3）本項(xiàng)要求包括:a) 安全管理員應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況；b) 應(yīng)由內(nèi)部人員或上級(jí)單位定期進(jìn)行全面安全檢查，檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等；c) 應(yīng)制定安全檢查表格實(shí)施安全檢查，匯總安全檢查數(shù)據(jù)，形成安全檢查報(bào)告，并對(duì)安全檢查結(jié)果進(jìn)行通報(bào)； d) 應(yīng)制定安全審核和安全檢查制度規(guī)范安全審核和安全檢查工作，定期按照程序進(jìn)行安全審核和安全檢查活動(dòng)?！?人員配備（G3）本項(xiàng)要求包括:a) 應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等；b) 每個(gè)電力企業(yè)應(yīng)配備專職安全管理員，不可兼任；（落實(shí)）c) 關(guān)鍵事務(wù)崗位應(yīng)配備多人共同管理?！?管理要求　 安全管理制度　 管理制度（G3）本項(xiàng)要求包括:a) 應(yīng)制定信息安全工作的總體方針和安全策略，說明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等；b) 應(yīng)對(duì)安全管理活動(dòng)中的各類管理內(nèi)容建立安全管理制度；c) 應(yīng)對(duì)要求管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程；d) 應(yīng)形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系?！?資源控制（A3）本項(xiàng)要求包括:a) 當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作響應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話；b) 應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制；c) 應(yīng)能夠?qū)蝹€(gè)帳戶的多重并發(fā)會(huì)話進(jìn)行限制；d) 應(yīng)能夠?qū)σ粋€(gè)時(shí)間段內(nèi)可能的并發(fā)會(huì)話連接數(shù)進(jìn)行限制；e) 應(yīng)能夠?qū)σ粋€(gè)訪問帳戶或一個(gè)請(qǐng)求進(jìn)程占用的資源分配最大限額和最小限額；f) 應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警；g) 應(yīng)提供服務(wù)優(yōu)先級(jí)設(shè)定功能，并在安裝后根據(jù)安全策略設(shè)定訪問帳戶或請(qǐng)求進(jìn)程的優(yōu)先級(jí)，根據(jù)優(yōu)先級(jí)分配系統(tǒng)資源。　 安全審計(jì)（G3）本項(xiàng)要求包括:a) 應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)的用戶登錄、用戶退出、增加用戶、修改用戶權(quán)限等重要安全事件進(jìn)行審計(jì)；（細(xì)化）b) 應(yīng)保證審計(jì)活動(dòng)的完整性和連續(xù)性，保證無法刪除、修改或覆蓋審計(jì)記錄；（落實(shí)）c) 審計(jì)記錄的內(nèi)容至少應(yīng)包括事件的日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等；d) 應(yīng)提供對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表的功能?！?資源控制（A3）本項(xiàng)要求包括:a) 應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；b) 應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定；c) 應(yīng)根據(jù)需要限制單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小使用限度；（細(xì)化）d) 應(yīng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況；e) 應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警。　 安全審計(jì)（G3）本項(xiàng)要求包括:a) 審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；系統(tǒng)不支持該要求的，應(yīng)以系統(tǒng)運(yùn)行安全和效率為前提，采用第三方安全審計(jì)產(chǎn)品實(shí)現(xiàn)審計(jì)要求；（落實(shí)）b) 審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件，審計(jì)內(nèi)容至少包括：用戶的添加和刪除、審計(jì)功能的啟動(dòng)和關(guān)閉、審計(jì)策略的調(diào)整、權(quán)限變更、系統(tǒng)資源的異常使用、重要的系統(tǒng)操作（如用戶登錄、退出）等；（細(xì)化）c) 審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等；d) 應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等；e) 應(yīng)能夠通過操作系統(tǒng)自身功能或第三方工具根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；（細(xì)化）f) 應(yīng)保護(hù)審計(jì)進(jìn)程，避免受到未預(yù)期的中斷。（新增）　 主機(jī)安全　 身份鑒別（S3）本項(xiàng)要求包括:a) 對(duì)登錄操作系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別；b) 操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份鑒別信息應(yīng)不易被冒用，口令復(fù)雜度應(yīng)滿足要求并定期更換?！?惡意代碼防范（G3）本項(xiàng)要求包括:a) 應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除；b) 應(yīng)維護(hù)惡意代碼庫的升級(jí)和檢測(cè)系統(tǒng)的更新。以撥號(hào)或VPN等方式接入網(wǎng)絡(luò)的，應(yīng)采用強(qiáng)認(rèn)證方式，并對(duì)用戶訪問權(quán)限進(jìn)行嚴(yán)格限制；（增強(qiáng)）d) 應(yīng)限制具有撥號(hào)、VPN等訪問權(quán)限的用戶數(shù)量；（增強(qiáng)）e) 應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制；f) 應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接；g) 在互聯(lián)網(wǎng)出口和核心網(wǎng)絡(luò)接口處應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；（細(xì)化）h) 重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙?！?電磁防護(hù)（S3）本項(xiàng)要求包括:a) 電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干擾；b) 應(yīng)采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾；c) 應(yīng)對(duì)關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽?！?防水和防潮（G3）本項(xiàng)要求包括:a) 主機(jī)房盡量避開水源，與主機(jī)房無關(guān)的給排水管道不得穿過主機(jī)房,與主機(jī)房相關(guān)的給排水管道必須有可靠的防滲漏措施；（落實(shí)）b) 應(yīng)采取措施防止雨水通過機(jī)房窗戶、屋頂和墻壁滲透；c) 應(yīng)采取措施防止機(jī)房?jī)?nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透；d) 應(yīng)安裝對(duì)水敏感的檢測(cè)儀表或元件，對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警。（落實(shí)）　 物理訪問控制（G3）本項(xiàng)要求包括:a) 機(jī)房各出入口應(yīng)安排專人值守或配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員；（增強(qiáng)）b) 進(jìn)入機(jī)房的來訪人員應(yīng)經(jīng)過申請(qǐng)和審批流程，并限制和監(jiān)控其活動(dòng)范圍；c) 應(yīng)對(duì)機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間應(yīng)用物理方式隔斷，在重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域；（增強(qiáng)）d) 重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員?！?備份與恢復(fù)管理（G2）本項(xiàng)要求包括:a) 應(yīng)識(shí)別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等；b) 應(yīng)規(guī)定備份信息的備份方式、備份頻度、存儲(chǔ)介質(zhì)、保存期等；c) 應(yīng)根據(jù)數(shù)據(jù)的重要性及其對(duì)系統(tǒng)運(yùn)行的影響，制定數(shù)據(jù)的備份策略和恢復(fù)策略，備份策略指明備份數(shù)據(jù)的放置場(chǎng)所、文件命名規(guī)則、介質(zhì)替換頻率和數(shù)據(jù)離站運(yùn)輸方法?！?系統(tǒng)安全管理（G2）本項(xiàng)要求包括:a) 應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略；b) 應(yīng)定期進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的系統(tǒng)安全漏洞及時(shí)進(jìn)行修補(bǔ)；c) 應(yīng)安裝系統(tǒng)的最新補(bǔ)丁程序，在安裝系統(tǒng)補(bǔ)丁前，應(yīng)首先在測(cè)試環(huán)境中測(cè)試通過，并對(duì)重要文件進(jìn)行備份后，方可實(shí)施系統(tǒng)補(bǔ)丁程序的安裝； d) 應(yīng)建立系統(tǒng)安全管理制度，對(duì)系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出規(guī)定；e) 應(yīng)依據(jù)操作手冊(cè)對(duì)系統(tǒng)進(jìn)行維護(hù)，詳細(xì)記錄操作日志，包括重要的日常操作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容，嚴(yán)禁進(jìn)行未經(jīng)授權(quán)的操作；f) 應(yīng)定期對(duì)運(yùn)行日志和審計(jì)數(shù)據(jù)進(jìn)行分析，以便及時(shí)發(fā)現(xiàn)異常行為?！?資產(chǎn)管理（G2）本項(xiàng)要求包括:a) 應(yīng)編制與信息系統(tǒng)相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容；b) 應(yīng)建立資產(chǎn)安全管理制度，規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門，并規(guī)范資產(chǎn)管理和使用的行為。　 系統(tǒng)備案（G2） 應(yīng)將系統(tǒng)等級(jí)及相關(guān)材料報(bào)系統(tǒng)主管部門備案；電力企業(yè)匯總系統(tǒng)等級(jí)及相關(guān)信息報(bào)電力行業(yè)網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組辦公室備案?！?外包軟件開發(fā)（G2）本項(xiàng)要求包括:a) 應(yīng)根據(jù)開發(fā)要求檢測(cè)軟件質(zhì)量；b) 應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南；c) 應(yīng)在軟件安裝之前檢測(cè)軟件包中可能存在的惡意代碼；d) 外包開發(fā)的軟件應(yīng)在本單位存有源代碼備份，并已通過軟件后門等安全性檢測(cè)。（細(xì)化）　 安全方案設(shè)計(jì)（G2）本項(xiàng)要求包括:a) 應(yīng)根據(jù)系統(tǒng)的安全保護(hù)等級(jí)選擇基本安全措施，依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施；b) 應(yīng)以書面形式描述對(duì)系統(tǒng)的安全保護(hù)要求、策略和措施等內(nèi)容，形成系統(tǒng)的安全方案；c) 應(yīng)對(duì)安全方案進(jìn)行細(xì)化，形成能指導(dǎo)安全系統(tǒng)建設(shè)、安全產(chǎn)品采購和使用的詳細(xì)設(shè)計(jì)方案；d) 應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)安全設(shè)計(jì)方案的合理性和正確性進(jìn)行論證和審定，重大項(xiàng)目應(yīng)報(bào)行業(yè)信息安全主管部門進(jìn)行信息安全專項(xiàng)審查批準(zhǔn)。對(duì)于通用信息系統(tǒng)，由領(lǐng)導(dǎo)小組辦公室提出安全保護(hù)等級(jí)建議，運(yùn)營使用單位自主確定安全保護(hù)等級(jí)?！?安全意識(shí)教育和培訓(xùn)（G2）本項(xiàng)要求包括:a) 應(yīng)對(duì)各類人員進(jìn)行安全意識(shí)教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)；b) 應(yīng)告知人員相關(guān)的安全責(zé)任和懲戒措施，并對(duì)違反違背安全策略和規(guī)定的人員進(jìn)行懲戒；c) 應(yīng)按照行業(yè)信息安全要求，制定安全教育和培訓(xùn)計(jì)劃，對(duì)信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等進(jìn)行的培訓(xùn)應(yīng)至少每年舉辦一次。（細(xì)化）　 審核和檢查（G2） 安全管理員應(yīng)負(fù)責(zé)定期進(jìn)行安全檢查，檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。　 人員配備（G2）本項(xiàng)要求包括:a) 應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等；b) 安全管理員不能兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等。　 管理要求　 安全管理制度　 管理制度（G2）本項(xiàng)要求包括:a) 應(yīng)制定信息安全工作的總體方針和安全策略，說明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等；b) 應(yīng)對(duì)安全管理活動(dòng)中重要的管理內(nèi)容建立安全管理制度；c) 應(yīng)對(duì)安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程。（細(xì)化）　 資源控制（A2）本項(xiàng)要求包括:a) 當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作響應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話；b) 應(yīng)能夠?qū)?yīng)用系統(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制；c) 應(yīng)能夠?qū)蝹€(gè)帳戶的多重并發(fā)會(huì)話進(jìn)行限制。　 安全審計(jì)（G2）本項(xiàng)要求包括:a) 應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)的用戶登錄、用戶退出、增加用戶、修改用戶權(quán)限等重要安全事件進(jìn)行審計(jì)；（細(xì)化）b) 應(yīng)保證審計(jì)活動(dòng)的完整性，保證無法刪除、修改或覆蓋審計(jì)記錄；（增強(qiáng)）c) 審計(jì)記錄的內(nèi)容至少應(yīng)包括事件的日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等?！?資源控制（A2）本項(xiàng)要求包括:a) 應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；b) 應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定；c) 應(yīng)根據(jù)需要限制單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小使用限度?！?安全審計(jì)（G2）本項(xiàng)要求包括:a) 審計(jì)范圍應(yīng)覆蓋到服務(wù)器上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；系統(tǒng)不支持該要求的，應(yīng)以系統(tǒng)運(yùn)行安全和效率為前提，采用第三方安全審計(jì)產(chǎn)品實(shí)現(xiàn)審計(jì)要求；（落實(shí)）b) 審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件。（新增）　 主機(jī)安全　 身份鑒別（S2）本項(xiàng)要求包括:a) 應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別；b) 操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份鑒別信息應(yīng)不易被冒用，口令復(fù)雜度應(yīng)滿足要求并定期更換。　 入侵防范(G2) 應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。以撥號(hào)或VPN等方式接入網(wǎng)絡(luò)的，應(yīng)采用強(qiáng)認(rèn)證方式，并對(duì)用戶訪問權(quán)限進(jìn)行嚴(yán)格限制。　 電力供應(yīng)(A2)本項(xiàng)要求包括:a) 應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過電壓防護(hù)設(shè)備；b) 應(yīng)提供短期的備用電力供應(yīng)，至少滿足關(guān)鍵設(shè)備在斷電情況下的正常運(yùn)行要求。　 防火(G2) 機(jī)房應(yīng)設(shè)置滅火設(shè)備和火災(zāi)自動(dòng)報(bào)警系統(tǒng)。7　 第二級(jí)基本要求　 技術(shù)要求　 物理安全　 物理位置的選擇（G2） 機(jī)房和辦公場(chǎng)地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)?！?系統(tǒng)安全管理（G1）本項(xiàng)要求包括：a) 應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問控制策略；b) 應(yīng)定期進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的系統(tǒng)安全漏洞進(jìn)行及時(shí)的修補(bǔ)；c) 應(yīng)安裝系統(tǒng)的最新補(bǔ)丁程序，在安裝系統(tǒng)補(bǔ)丁前，應(yīng)首先在測(cè)試環(huán)境中測(cè)試通過，并對(duì)重要文件進(jìn)行備份后，方可實(shí)施系統(tǒng)補(bǔ)丁程序的安裝?！?資產(chǎn)管理（G1）應(yīng)編制與信息系統(tǒng)相關(guān)的資產(chǎn)