【正文】 290.應(yīng)確保選定的安全服務(wù)商提供技術(shù)培訓(xùn)和服務(wù)承諾，必要的與其簽訂服務(wù)合同。287.應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)等級測評的管理。等級測評284.在系統(tǒng)運(yùn)行過程中，應(yīng)至少每年對系統(tǒng)進(jìn)行一次等級測評，發(fā)現(xiàn)不符合相應(yīng)等級保護(hù)標(biāo)準(zhǔn)要求的及時整改。系統(tǒng)備案281.應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)交付的管理工作，并按照管理規(guī)定的要求完成系統(tǒng)交付工作。277.應(yīng)對負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)。274.應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)測試驗收的管理，并按照管理規(guī)定的要求完成系統(tǒng)測試驗收工作。測試驗收271.應(yīng)委托公正的第三方測試單位對系統(tǒng)進(jìn)行安全性測試，并出具安全性測試報告。工程實施268.應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)工程實施過程的管理。外包軟件開發(fā)264.應(yīng)根據(jù)開發(fā)需求檢測軟件質(zhì)量。260.應(yīng)制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和等級保護(hù)三級管理類測評控制點類別序號測評內(nèi)容測評方法結(jié)果記錄符合情況YNO人員行為準(zhǔn)則。257.應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的采購。254.應(yīng)根據(jù)等級測評、安全評估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計方案等相關(guān)配套文件。訪談，檢查。247.應(yīng)以書面的形式說明確定信息系統(tǒng)為某個安全保護(hù)等級的方法和理由。244.應(yīng)定期對應(yīng)急預(yù)案進(jìn)行演練，根據(jù)不同的應(yīng)急恢復(fù)內(nèi)容，確定演練的周期。訪談，檢查。238.應(yīng)制定安全事件報告和響應(yīng)處理程序，確定事件的報告流程，響應(yīng)和處置的范圍、程度，以及處理方法。訪談，檢查。232.應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運(yùn)行的影響，制定數(shù)據(jù)的等級保護(hù)三級管理類測評控制點類別序號測評內(nèi)容測評方法結(jié)果記錄符合情況YNO備份策略和恢復(fù)策略，備份策略須指明備份數(shù)據(jù)的放置場所、文件命名規(guī)則、介質(zhì)替換頻率和將數(shù)據(jù)離站運(yùn)輸?shù)姆椒ā?29.應(yīng)建立中止變更并從失敗變更中恢復(fù)的文件化程序，明確過程控制方法和人員職責(zé)，必要時對恢復(fù)過程進(jìn)行演練。訪談，檢查。密碼管理225.應(yīng)建立密碼使用管理制度，使用符合國家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。安全管理員，惡意代碼防范管理文檔，惡意代碼檢測記錄，惡意代碼升級記錄，惡意代碼分析報告。219.應(yīng)依據(jù)操作手冊對系統(tǒng)進(jìn)行維護(hù)，詳細(xì)記錄操作日志，包括重要的日常操作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容，嚴(yán)禁進(jìn)行未經(jīng)授權(quán)的操作。操作日志，系統(tǒng)審計分等級保護(hù)三級管理類測評控制點類別序號測評內(nèi)容測評方法結(jié)果記錄符合情況YNO216.應(yīng)安裝系統(tǒng)的最新補(bǔ)丁程序，在安裝系統(tǒng)補(bǔ)丁前，首先在測試環(huán)境中測試通過，并對重要文件進(jìn)行備份后，方可實施系統(tǒng)補(bǔ)丁程序的安裝。213.應(yīng)定期檢查違反規(guī)定撥號上網(wǎng)或其他違反網(wǎng)絡(luò)安全策略的行為。209.應(yīng)定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時的修補(bǔ)。訪談，檢查。系統(tǒng)運(yùn)維負(fù)責(zé)人，監(jiān)測記錄文檔，監(jiān)測分析報告，安全管理中心。201.應(yīng)對終端計算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進(jìn)行規(guī)范化管理，按操作規(guī)程實現(xiàn)主要設(shè)備（包括備份和冗余設(shè)備）的啟動/停止、加電/斷電等操作。資產(chǎn)管理員，系統(tǒng)管理員，審計員，服務(wù)器操作規(guī)程，設(shè)備審批、發(fā)放管理文檔，設(shè)備195.應(yīng)對存儲介質(zhì)的使用過程、送出維修以及銷毀等進(jìn)行嚴(yán)格的管理，對帶出工作環(huán)境的存儲介質(zhì)進(jìn)行內(nèi)容加密和監(jiān)控管理，對送出維修或銷毀的介質(zhì)應(yīng)首先清除介質(zhì)中的敏感數(shù)據(jù)，對保密性較高的存儲介質(zhì)未經(jīng)批準(zhǔn)不得自行銷毀。訪談，檢查。189.應(yīng)建立資產(chǎn)安全管理制度，規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門，并規(guī)范資產(chǎn)管理和使用的行為。187.應(yīng)加強(qiáng)對辦公環(huán)境的保密性管理，規(guī)范辦公環(huán)境人員行為，包括工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙、不在辦公區(qū)接待來訪人員、工作人員離開座位應(yīng)確保終端計算機(jī)退出登錄狀態(tài)和桌面上沒有包含敏感信息的紙檔文件等。訪談，檢查。安全主管，安全管理人員，安全責(zé)任合同書或保密協(xié)議，第三方人員訪問管理文檔，登180.應(yīng)對定期安全教育和培訓(xùn)進(jìn)行書面規(guī)定，針對不同崗位制定不同的培訓(xùn)計劃，對信息安全基礎(chǔ)知識、崗位操作規(guī)程等進(jìn)行培訓(xùn)。177.應(yīng)對考核結(jié)果進(jìn)行記錄并保存。人員考核175.應(yīng)定期對各個崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核。訪談，檢查。169.應(yīng)嚴(yán)格規(guī)范人員錄用過程，對被錄用人的身份、背景、專業(yè)資格和資質(zhì)等進(jìn)行審查，對其所具有的技術(shù)技能進(jìn)行考核。等級保護(hù)三級管理類測評控制點類別序號測評內(nèi)容測評方法結(jié)果記錄符合情況YNO人員安全管理人員錄用168.應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)人員錄用。評審和修訂166.信息安全領(lǐng)導(dǎo)小組應(yīng)負(fù)責(zé)定期組織相關(guān)部門和相關(guān)人員對安全管理制度體系的合理性和適用性進(jìn)行審定。162.安全管理制度應(yīng)具有統(tǒng)一的格式，并進(jìn)行版本控制。160.應(yīng)形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系。訪談，檢查。154.應(yīng)由內(nèi)部人員或上級單位定期進(jìn)行全面安全檢查，檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等。152.應(yīng)聘請信息安全專家作為常年的安全顧問，指導(dǎo)信息安全建設(shè)，參與安全規(guī)劃和安全評審等。安全主管，安全管理人員，會議文件，會議記錄，外聯(lián)單位說明文檔。二、管理類測評要求等級保護(hù)三級管理類測評控制點類別序號測評內(nèi)容測評方法結(jié)果記錄符合情況YNO146.應(yīng)定期審查審批事項，及時更新需授權(quán)和審批的項目、審批部門和審批人等信息。授權(quán)和審批144.應(yīng)根據(jù)各個部門和崗位的職責(zé)明確授權(quán)審批事項、審批部門和批準(zhǔn)人等。訪談，檢查。責(zé)。等級保護(hù)三級管理類測評控制點類別序號測評內(nèi)容測評方法結(jié)果記錄符合情況YNO安全管理機(jī)構(gòu)崗位設(shè)置137.應(yīng)設(shè)立信息安全管理工作的職能部門，設(shè)立安全主管人、安全管理各個方面的負(fù)責(zé)人崗位，定義各負(fù)責(zé)人的職責(zé)。系統(tǒng)管理員，網(wǎng)絡(luò)管理員，數(shù)據(jù)庫管理員，安全管理員，主機(jī)操作系統(tǒng)，網(wǎng)絡(luò)設(shè)備操作系統(tǒng)，數(shù)據(jù)庫管理系統(tǒng)，應(yīng)用系統(tǒng)，設(shè)計/驗收文檔，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。訪談，檢查，測試。訪談，檢查。126.應(yīng)能夠?qū)σ粋€訪問帳戶或一個請求進(jìn)程占用的資源分配最大限額和最小限額。應(yīng)用系統(tǒng)管理員，應(yīng)用系統(tǒng)。應(yīng)用系統(tǒng)管理員，應(yīng)用系統(tǒng)。安全管理員，應(yīng)用系統(tǒng)。安全管理員，應(yīng)用系統(tǒng)，相關(guān)證明材料（證書）。訪談，檢查，測試。訪談，檢查，測試。110.應(yīng)保證無法單獨(dú)中斷審計進(jìn)程，無法刪除、修改或覆蓋審計記錄。108.應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的操作。104.訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體、客體及它們之間的操作。102.應(yīng)啟用身份鑒別、用戶身份標(biāo)識唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)。應(yīng)用系統(tǒng)管理員，應(yīng)用系統(tǒng)，設(shè)計/驗收文檔，操作規(guī)程。96.應(yīng)限制單個用戶對系統(tǒng)資源的最大或最小使用限度。服務(wù)器操作系統(tǒng)。91.主機(jī)防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫。89.操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用等級保護(hù)三級技術(shù)類測評控制點類別序號測評內(nèi)容測評方法結(jié)果記錄符合情況YNO程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時得到更新。IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴(yán)重入侵事件時提供報警。訪談，檢查。82.應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計報表。訪談，檢查，測試。76.應(yīng)及時刪除多余的、過期的帳戶，避免共享帳戶的存在。服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫，服務(wù)器操作系統(tǒng)文檔，數(shù)據(jù)庫管理系統(tǒng)文檔。70.應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。系統(tǒng)管理員，數(shù)據(jù)庫管理員，服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫，服務(wù)器操作系統(tǒng)文檔，數(shù)據(jù)庫管理系統(tǒng)文檔。64.當(dāng)對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時，應(yīng)采取必要措施防止鑒