廣電BOSS系統(tǒng)-等級(jí)保護(hù)測(cè)評(píng)整改方案

（系統(tǒng)000000000002014年12月

整改方案目錄一、概...................................................................................................................................二、系現(xiàn)狀...........................................................................................................................2.1

數(shù)字電視綜合運(yùn)營(yíng)支撐）系統(tǒng)2.1.1系描述...........................................................................................................12.1.2系拓?fù)鋱D.......................................................................................................12.1.3系構(gòu)成...........................................................................................................22.1.4系測(cè)評(píng)結(jié)論...................................................................................................3三、整依據(jù)...........................................................................................................................四、整內(nèi)容...........................................................................................................................4.1

數(shù)字電視綜合運(yùn)營(yíng)支撐）系統(tǒng)4.1.1物安全...........................................................................................................54.1.2基網(wǎng)絡(luò)安全...................................................................................................54.1.3邊安全...........................................................................................................64.1.4主安全...........................................................................................................74.1.5總求...............................................................................................................4.1.6安管理機(jī)構(gòu).................................................................................................104.1.7人安全管理.................................................................................................124.1.8系建設(shè)管理.................................................................................................134.1.9系運(yùn)維管理.................................................................................................15五、方總結(jié).........................................................................................................................附件一：設(shè)備清單匯總................................................................................................................2附件二：管理制度及表單條目清單.............................................................................................2300000000000I

整改方案一、概述信息安全等級(jí)保護(hù)是國(guó)家信息安全保障的基本制度、基本策略、基本方法，開(kāi)展信息安全等級(jí)保護(hù)工作是保護(hù)信息化發(fā)展、維護(hù)國(guó)家信息安全的根本保障。實(shí)施信息安全等級(jí)保護(hù)制度息系統(tǒng)運(yùn)營(yíng)使用單位和主管部門(mén)能按照標(biāo)準(zhǔn)進(jìn)行安全建設(shè)整改信息系統(tǒng)安全也有了一個(gè)衡量尺度信息系統(tǒng)根據(jù)其在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民人和其他組織的合法權(quán)益的危害程度分成五個(gè)安全保護(hù)等級(jí)（從第一級(jí)到第五級(jí)逐級(jí)增高本方案主要針對(duì)00000000000息系統(tǒng)的現(xiàn)狀據(jù)00000000000息系統(tǒng)等級(jí)保護(hù)評(píng)測(cè)工作《廣播數(shù)字全自動(dòng)播出信息系統(tǒng)等級(jí)保護(hù)定級(jí)報(bào)告電視綜合運(yùn)營(yíng)支撐（）系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)報(bào)告的現(xiàn)有的狀況和等保相關(guān)要求差距進(jìn)一步深入分析并以滿足等保需求為基礎(chǔ)對(duì)信息系統(tǒng)的建設(shè)整改進(jìn)行規(guī)劃設(shè)計(jì)。二、系統(tǒng)狀2.1數(shù)電視綜合營(yíng)支撐（BOSS系統(tǒng)系統(tǒng)描述BOSS系統(tǒng)業(yè)務(wù)信息包括：數(shù)字電視客戶基本資料（姓名、地址、電話等繳費(fèi)記錄、授權(quán)情況、欠費(fèi)信息、機(jī)頂盒設(shè)備信息等00000000000為該信息系統(tǒng)定級(jí)的責(zé)任單位，該系統(tǒng)已被定級(jí)為三級(jí)（系統(tǒng)拓?fù)鋱D核心設(shè)備部署了中興通信的ZXR10兆路由交換機(jī)19鄉(xiāng)鎮(zhèn)以及城區(qū)匯聚節(jié)點(diǎn)均部署ZXR10萬(wàn)兆路由交換機(jī)。具體網(wǎng)絡(luò)拓?fù)淙缦聢D所示：00000000000

第1頁(yè)共24頁(yè)

整改方案圖00000000000信系統(tǒng)網(wǎng)絡(luò)拓?fù)湎到y(tǒng)構(gòu)成1)業(yè)務(wù)應(yīng)用軟件表00000000000信系統(tǒng)業(yè)務(wù)應(yīng)用軟件序

軟名數(shù)字電視綜合運(yùn)營(yíng)支撐（BOSS）系統(tǒng)

主功主要完成數(shù)字電視用戶信息的錄入、更新、認(rèn)證、授權(quán)、計(jì)費(fèi)等功能2)主機(jī)/存設(shè)備表5信系統(tǒng)主/存儲(chǔ)設(shè)備序00000000000

設(shè)名收費(fèi)工作站PC數(shù)據(jù)庫(kù)服務(wù)器-1數(shù)據(jù)庫(kù)服務(wù)器-2接口服務(wù)器

操系/數(shù)庫(kù)理統(tǒng)WindowsXP/--SOLARIS/OracleSOLARIS/OracleLinux/--第2頁(yè)共24頁(yè)

整改方案序

設(shè)名測(cè)試服務(wù)器1測(cè)試服務(wù)器2認(rèn)證服務(wù)器1認(rèn)證服務(wù)器2

操系/數(shù)庫(kù)理統(tǒng)Linux/--Linux/--Linux/--Linux/--3)網(wǎng)絡(luò)互聯(lián)設(shè)備表00000000000信系統(tǒng)網(wǎng)絡(luò)互聯(lián)設(shè)備序

設(shè)名

用

途

中興ZXR108908中興ZXR108908

核心交換機(jī)匯聚交換機(jī)系統(tǒng)測(cè)評(píng)結(jié)論等級(jí)測(cè)評(píng)結(jié)論為“基本符合”，差距項(xiàng)分布如下表所示名稱技術(shù)要求管理要求

測(cè)評(píng)指標(biāo)物理安全基礎(chǔ)網(wǎng)絡(luò)安全邊界安全服務(wù)器安全應(yīng)用安全數(shù)據(jù)安全及備份恢復(fù)總要求安全管理機(jī)構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理

部分符合項(xiàng)420351054510

不符合項(xiàng)00311000102

高風(fēng)險(xiǎn)項(xiàng)0000000000000000000000

第3頁(yè)共24頁(yè)

整改方案三、整改據(jù)1)GB17859-1999信息安全技術(shù)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則；2)《廣播電視相關(guān)信息系統(tǒng)安全等級(jí)保護(hù)基本要求GD/J038-2011）3)《廣播電視相關(guān)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求GD/J044-2012）；4)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告》；5)《數(shù)字電視綜合運(yùn)營(yíng)支撐（BOSS）系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告》；00000000000

第4頁(yè)共24頁(yè)

整改方案四、

整改內(nèi)容4.1數(shù)電視綜合營(yíng)支撐（BOSS系統(tǒng)物理安全1.相關(guān)要求依據(jù)詳見(jiàn)GD/J038-2011有關(guān)物理安全要求。為滿足要求，通過(guò)部署防盜報(bào)警系統(tǒng)及火災(zāi)自動(dòng)報(bào)警系統(tǒng)和滅火系統(tǒng)，開(kāi)展機(jī)房運(yùn)維管理和環(huán)境管理，提高機(jī)房的安全性。2.安全現(xiàn)狀整改措類

測(cè)內(nèi)

結(jié)記

涉資

符情況

整措物理訪問(wèn)控制防盜竊和防破壞

b需進(jìn)入播出機(jī)房的來(lái)訪人員應(yīng)經(jīng)過(guò)申請(qǐng)和審批流程，并限制和監(jiān)控其活動(dòng)范圍。c應(yīng)利用光、電等技術(shù)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)；

進(jìn)入機(jī)房由專人陪同，缺少來(lái)訪人員進(jìn)入機(jī)房的審批記錄機(jī)房缺少防盜報(bào)警系統(tǒng)

\\

部分符合不符合

設(shè)置訪人員進(jìn)行機(jī)房審批記錄部署盜報(bào)警系統(tǒng)機(jī)房窗戶缺少防水防滲處機(jī)房

b)機(jī)房應(yīng)有防水防潮措施，應(yīng)充分考慮水管泄漏和凝露的可能性，并做好相應(yīng)的預(yù)防措施；

理，機(jī)房的窗戶、屋頂和墻壁未出現(xiàn)漏水、滲透和返潮現(xiàn)象，機(jī)房?jī)?nèi)空調(diào)排水管進(jìn)行加固防滲、防漏處理，機(jī)房空調(diào)具有除濕功能，缺少

\

不符合

定期展機(jī)房運(yùn)維和環(huán)境管理環(huán)境

防水防潮處理記錄機(jī)房消防設(shè)施

d機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)；b機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)，能夠自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警，并自動(dòng)滅火；

機(jī)房?jī)?nèi)具有專業(yè)空調(diào)，可對(duì)機(jī)房?jī)?nèi)溫度進(jìn)行自動(dòng)調(diào)節(jié)，具有空調(diào)定期檢查和維護(hù)記錄，缺少機(jī)房濕度控制設(shè)置機(jī)房?jī)?nèi)具有日常值守人員，機(jī)房具有干粉滅火器，缺少自動(dòng)滅火設(shè)備

\\

部分符合部分符合

增加房濕度調(diào)節(jié)設(shè)施部署災(zāi)自動(dòng)報(bào)警系和自動(dòng)滅火系統(tǒng)基礎(chǔ)網(wǎng)絡(luò)安全1.相關(guān)要求依據(jù)00000000000

第5頁(yè)共24頁(yè)

整改方案詳見(jiàn)GD/J038-2011有關(guān)基礎(chǔ)網(wǎng)絡(luò)安全要求。為滿足要求，通過(guò)部署動(dòng)態(tài)令牌及日志服務(wù)器并完善設(shè)備基本配置要求，定期開(kāi)展設(shè)備維護(hù)，達(dá)到基礎(chǔ)網(wǎng)絡(luò)安全要求。2.安全現(xiàn)狀整改措類

測(cè)內(nèi)

結(jié)記

涉資

符情

整措安全審計(jì)

c)應(yīng)保護(hù)審計(jì)記錄免受到未預(yù)期的刪除、修改或覆蓋等，審計(jì)記錄至少保存90天d)應(yīng)期對(duì)審計(jì)記錄進(jìn)行分析，以便及時(shí)發(fā)現(xiàn)異常行為；

缺少對(duì)審計(jì)日志進(jìn)行必要保護(hù)未定期對(duì)審計(jì)記錄進(jìn)行分析

交換機(jī)交換機(jī)

不符合不符合

對(duì)日進(jìn)行集中管理定期進(jìn)行分析對(duì)日進(jìn)行集中管理定期進(jìn)行分析e)當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)網(wǎng)絡(luò)設(shè)備防護(hù)

程管理時(shí)，應(yīng)采用、等安全的遠(yuǎn)程管理手段，防止用戶身份鑒別信息在網(wǎng)絡(luò)傳

遠(yuǎn)程管理設(shè)備時(shí)采用telnet方進(jìn)行

交換機(jī)

不符合

采用SSH遠(yuǎn)管理輸過(guò)程中被竊聽(tīng)；邊界安全3.相關(guān)要求依據(jù)詳見(jiàn)GD/J038-2011有關(guān)邊界安全要求。為滿足要求，通過(guò)修改配置，設(shè)置日志集中管理并定期分析，提供邊界安全性。4.安全現(xiàn)狀整改措類

測(cè)內(nèi)

結(jié)記

涉資

符情

整措a)應(yīng)信息系統(tǒng)的網(wǎng)絡(luò)邊界處進(jìn)行惡意代碼檢惡意代碼防范

測(cè)和清除，并維護(hù)惡意代碼庫(kù)的升級(jí)和檢測(cè)系統(tǒng)的更新，播出整備系統(tǒng)、播出系統(tǒng)等播出直接相關(guān)系統(tǒng)的邊界可根

BOSS系統(tǒng)在邊界處未設(shè)置惡意代碼防范措施

\

不符合

在網(wǎng)邊界部署惡意碼防范設(shè)備據(jù)需要進(jìn)行部署b)防惡意代碼產(chǎn)品應(yīng)與信息系統(tǒng)內(nèi)部防惡意代00000000000

BOSS系統(tǒng)在邊界處未設(shè)置惡意代碼防

\

不符合第6頁(yè)共24頁(yè)

整改方案碼產(chǎn)品具有不同的惡意代碼庫(kù)應(yīng)信息系統(tǒng)的網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻

范措施入侵防范

擊、木馬后門(mén)攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎攻擊和網(wǎng)絡(luò)蠕蟲(chóng)攻擊等，播出

BOSS系統(tǒng)在邊界處未設(shè)置入侵防御措施

\

不符合

在網(wǎng)邊界部署入侵防范設(shè)備整備系統(tǒng)、播出系統(tǒng)等信息系統(tǒng)的邊界可根據(jù)需要進(jìn)行部署安全審計(jì)

a)應(yīng)與外部網(wǎng)絡(luò)連接的網(wǎng)絡(luò)邊界處進(jìn)行數(shù)據(jù)通信行為審計(jì)b)審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、用戶名、IP地、事件類型、事件是否成功等c)應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等，審計(jì)記錄至少保存90天d)應(yīng)定期對(duì)審計(jì)記錄進(jìn)行分析，以便及時(shí)發(fā)現(xiàn)異常行為主機(jī)安全1.相關(guān)要求依據(jù)

BOSS系與CA系統(tǒng)VOD營(yíng)業(yè)廳相連少對(duì)系統(tǒng)網(wǎng)絡(luò)\邊界處進(jìn)行數(shù)據(jù)通信的行為進(jìn)行審計(jì)BOSS系與CA系統(tǒng)VOD營(yíng)業(yè)廳相連少對(duì)系統(tǒng)網(wǎng)絡(luò)\邊界處進(jìn)行數(shù)據(jù)通信的行為進(jìn)行審計(jì)BOSS系與CA系統(tǒng)VOD營(yíng)業(yè)廳相連少對(duì)系統(tǒng)網(wǎng)絡(luò)\邊界處進(jìn)行數(shù)據(jù)通信的行為進(jìn)行審計(jì)BOSS系與CA系統(tǒng)VOD營(yíng)業(yè)廳相連少對(duì)系統(tǒng)網(wǎng)絡(luò)\邊界處進(jìn)行數(shù)據(jù)通信的行為進(jìn)行審計(jì)

不符合不符合不符合不符合

在與部網(wǎng)絡(luò)連接的絡(luò)邊界處進(jìn)行據(jù)通信行為審計(jì)對(duì)計(jì)日志行集中管理和日常分析詳見(jiàn)GD/J038-2011有關(guān)主機(jī)要求。為滿足要求，通過(guò)修改主機(jī)安全配置，設(shè)置登陸口令復(fù)雜度限制、登陸失敗措施開(kāi)啟安全審計(jì)定期升級(jí)系統(tǒng)和打補(bǔ)丁提高主機(jī)操作系統(tǒng)和數(shù)據(jù)庫(kù)的安全性。2.安全現(xiàn)狀整改措類

測(cè)內(nèi)

結(jié)記

涉資

符

整措00000000000

第7頁(yè)共24頁(yè)

整改方案情a)應(yīng)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，應(yīng)為不同用戶分配不同的用戶名，不能多人使用同一用戶名；

收費(fèi)工作站技術(shù)部多人使用同數(shù)據(jù)庫(kù)服務(wù)器一管理員賬戶同接服務(wù)器用戶未分配不同的測(cè)試服務(wù)器用戶名認(rèn)證服務(wù)器數(shù)據(jù)庫(kù)系統(tǒng)

不符合

每個(gè)然人對(duì)應(yīng)使用一個(gè)賬戶避免賬戶共享情況身份

操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；

操作系統(tǒng)缺少口令長(zhǎng)度更周期復(fù)雜性限制

收費(fèi)工作站數(shù)據(jù)庫(kù)服務(wù)器-接口服務(wù)器測(cè)試服務(wù)器認(rèn)證服務(wù)器數(shù)據(jù)庫(kù)系統(tǒng)數(shù)字電視綜合運(yùn)營(yíng)支撐（BOSS）系統(tǒng)

不符合

對(duì)操系統(tǒng)和數(shù)據(jù)庫(kù)置用戶口令有期的強(qiáng)制提醒與更新功能，使口設(shè)置時(shí)系統(tǒng)具復(fù)雜度檢查和長(zhǎng)度限制鑒別

收費(fèi)工作站數(shù)據(jù)庫(kù)服務(wù)器-c)應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、操作統(tǒng)未啟用登限制非法登錄次數(shù)和自錄敗處理功能動(dòng)退出等措施；

接口服務(wù)器測(cè)試服務(wù)器認(rèn)證服務(wù)器數(shù)據(jù)庫(kù)系統(tǒng)

不符合

啟用錄失敗處理功能令試超過(guò)定次數(shù)鎖定賬戶數(shù)字電視綜合運(yùn)營(yíng)支撐（BOSS）系統(tǒng)為操系統(tǒng)管理c)應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶的權(quán)限分離；

操作系統(tǒng)和數(shù)據(jù)庫(kù)管理員由同一人擔(dān)任，權(quán)限未分離

數(shù)據(jù)庫(kù)系統(tǒng)

不符合

員和據(jù)庫(kù)管理員崗配備不同的人員時(shí)充相應(yīng)員崗位職責(zé)啟用地安全審安全審計(jì)

a)安審計(jì)應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶；

審計(jì)功能未開(kāi)啟或?qū)徲?jì)不全面定期對(duì)審計(jì)記錄進(jìn)行分析

數(shù)據(jù)庫(kù)服務(wù)器-接口服務(wù)器測(cè)試服務(wù)器認(rèn)證服務(wù)器數(shù)據(jù)庫(kù)系統(tǒng)

不符合

計(jì)功或部署堡壘機(jī)第三方審計(jì)系統(tǒng)計(jì)略配置登錄登出權(quán)限變更要件增刪為等事件內(nèi)容入侵防范

a)操系統(tǒng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新

系統(tǒng)補(bǔ)丁未及時(shí)升級(jí)

收費(fèi)工作站數(shù)據(jù)庫(kù)服務(wù)器-接口服務(wù)器測(cè)試服務(wù)器認(rèn)證服務(wù)器數(shù)據(jù)庫(kù)系統(tǒng)

不符合

通過(guò)置專門(mén)的升級(jí)務(wù)器等方式保對(duì)操作系統(tǒng)安補(bǔ)丁的及時(shí)更新補(bǔ)完善相系統(tǒng)升級(jí)制度和升級(jí)記錄00000000000

第8頁(yè)共24頁(yè)

整改方案應(yīng)部署具有統(tǒng)一管理功惡意代碼防范

能的防惡意代碼軟件，并定期更新防惡意代碼軟件版本和惡意代碼庫(kù)；新聞制播系統(tǒng)、播出整備系統(tǒng)、播出系統(tǒng)等播出直接相關(guān)系統(tǒng)的核心服務(wù)器可根據(jù)需要

操作系統(tǒng)未部署具有統(tǒng)一管理功能的防惡意代碼軟件

收費(fèi)工作站數(shù)據(jù)庫(kù)服務(wù)器-接口服務(wù)器測(cè)試服務(wù)器認(rèn)證服務(wù)器數(shù)據(jù)庫(kù)系統(tǒng)

不符合

建議作系統(tǒng)安裝企版或網(wǎng)絡(luò)版殺軟件進(jìn)行統(tǒng)一管理進(jìn)行部署和更新?？傄?.相關(guān)要求依據(jù)詳見(jiàn)GD/J038-2011有關(guān)總要求。為滿足要求制《信息安全工作的總體方針和安全策略理制度和操作規(guī)程安全管理制度體系》等制度達(dá)到目的或檢查要求。2.安全現(xiàn)狀整改措類

測(cè)內(nèi)

結(jié)記

涉資

符情

整措a)應(yīng)定信息安全工

補(bǔ)充《信息安全工作的總作的總體方針和安全策略，說(shuō)明安全工作的總體目標(biāo)、范圍、原則和

缺少信息安全工作的總體方針和安全策略文件

/

不符合

體方針和安全策略內(nèi)容包括機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、方針、安全框架等；

原則、和安全框架00000000000關(guān)于成立信息安全保護(hù)工作的通總要

b)應(yīng)立指導(dǎo)和管理信息安全工作的領(lǐng)導(dǎo)小組，設(shè)立信息安全管理工作的職能部門(mén)；

知余廣電【】42號(hào)，明確成立了信息安全工作的領(lǐng)導(dǎo)小組，但

/

部分符合

補(bǔ)充《信息安全管理工作的職能部門(mén)職部門(mén)的職責(zé)求

未設(shè)立信息安全管理工作的職能部門(mén)c)應(yīng)定各項(xiàng)信息安全制度和操作規(guī)程，明確信息安全管理各項(xiàng)要求，形成由安全方針、管理制度、細(xì)化流程等構(gòu)成的全面的信息安全管理制度體系，使等級(jí)保護(hù)工作常態(tài)化、制度

缺少各項(xiàng)安全管理制度文檔少面的信息安全管理制度體系

/

不符合

制定各項(xiàng)安全管理制度和操作規(guī)程制定信息安全管理制度體系文件，制度體系由總體方針、安全策略、管理制度、操作規(guī)程等構(gòu)成化。00000000000

第9頁(yè)共24頁(yè)

整改方案安全管理機(jī)構(gòu)1.相關(guān)要求依據(jù)詳見(jiàn)GD/J038-2011有關(guān)管理機(jī)構(gòu)要求。為滿足要求，《系統(tǒng)管理審批管理制度理審批記錄檢查制度檢查管理制度》和補(bǔ)充完善《崗位職責(zé)檢查記錄》等制度，保障系統(tǒng)的安全。2.安全現(xiàn)狀整改措類

測(cè)內(nèi)

結(jié)記

涉資

符情

整措應(yīng)立信息安全管理

設(shè)立信息安全組織機(jī)工作的職能部門(mén)，負(fù)責(zé)信息安全各項(xiàng)工作的組織和落實(shí)，配備專職安

構(gòu)，負(fù)責(zé)信息安全各項(xiàng)工作的組織和落實(shí)未配備專職的安全管理

/

部分符合

補(bǔ)充崗位職責(zé)，明確安全管理員的職責(zé)，配備專職的安全管理員全管理員；

員崗位

應(yīng)立信息安全管理工作的職能部門(mén)，負(fù)責(zé)信息安全各項(xiàng)工作的組織和落實(shí)，配備專職安全管理員；

未設(shè)立信息安全組織機(jī)構(gòu)未配備專職的安全管理員

/

不符合

設(shè)立信息安全組織機(jī)構(gòu)，明確機(jī)構(gòu)的職責(zé)，配備專職的安全管理員設(shè)置

補(bǔ)充門(mén)職和位職責(zé)，主要內(nèi)容包括：安全主管、各個(gè)方面的負(fù)責(zé)人的崗位職責(zé)的具體設(shè)置，d)應(yīng)制定文件明確安全管理機(jī)構(gòu)各個(gè)部門(mén)和崗位的職責(zé)。

缺少職能部門(mén)的職責(zé)和崗位職責(zé)文件

/

不符合

主要內(nèi)容包括：網(wǎng)絡(luò)管理員、機(jī)房管理員、系統(tǒng)管理員、安全管理員、數(shù)據(jù)庫(kù)管理員、審計(jì)員、應(yīng)用系統(tǒng)管理員等崗位的具體設(shè)置，并清晰、明確各個(gè)崗位的職責(zé)范圍增加《系統(tǒng)管理審批管理授權(quán)和審批

b應(yīng)針對(duì)系統(tǒng)變更、重要操作、物理訪問(wèn)和系統(tǒng)接入等事項(xiàng)建立審批程序，按照審批程序執(zhí)行審批過(guò)程，對(duì)重要活動(dòng)建立逐級(jí)審批制度；

缺少審批管理制度（系統(tǒng)變更、重要操作、物理訪問(wèn)和系統(tǒng)接入等事項(xiàng)級(jí)審批的文檔

/

不符合

制度容包括明確對(duì)系統(tǒng)投入運(yùn)行、網(wǎng)絡(luò)系統(tǒng)接和重資源的訪問(wèn)、變更管理、產(chǎn)品采購(gòu)等關(guān)鍵活動(dòng)的審批部門(mén)和批準(zhǔn)人進(jìn)行規(guī)定，明確審批流程c期審查審批事項(xiàng)，及時(shí)更新需授權(quán)和審批

缺少審批管理制度文檔

/

不符合

增加《逐級(jí)審批的文檔》對(duì)審批過(guò)程進(jìn)行記錄，增00000000000

第10頁(yè)共24頁(yè)

程記程記的項(xiàng)目、審批部門(mén)和審批人等信息；d應(yīng)記錄審批過(guò)程并保缺關(guān)鍵活動(dòng)的審批過(guò)存審批文檔。不定期召開(kāi)協(xié)調(diào)會(huì)議，a應(yīng)加強(qiáng)各類管理人員電話郵件當(dāng)面溝通，

/

不符合

整改方案加《批事的審查記錄審事項(xiàng)審批部門(mén)、審批人的變更進(jìn)行評(píng)審等內(nèi)容，對(duì)關(guān)鍵活動(dòng)的審批進(jìn)行記錄溝通

之間、組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門(mén)內(nèi)部的合作與溝通，定期或不定期召開(kāi)協(xié)調(diào)會(huì)議，共同協(xié)作處理信

溝通內(nèi)容歷史問(wèn)題的解決，缺少組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門(mén)內(nèi)部的安全工作會(huì)議文件，經(jīng)檢查，通訊

/

部分符合

增《會(huì)議紀(jì)要組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門(mén)內(nèi)部的安全工作會(huì)議文件和合作

息安全問(wèn)題；

錄，明確了組織機(jī)構(gòu)內(nèi)部人員聯(lián)系表與信息內(nèi)外相關(guān)工作單b)應(yīng)加強(qiáng)與系統(tǒng)內(nèi)外相關(guān)工作單位的合作與溝通，確保信息安全各項(xiàng)工作的順利開(kāi)展；

位建立了溝通與合作機(jī)構(gòu)，郵件、電話進(jìn)行聯(lián)系括務(wù)全，但缺少單獨(dú)的工作文件

/

部分符合

增《會(huì)議紀(jì)要與系統(tǒng)內(nèi)外相關(guān)工作單位的合作與溝通的記錄或記錄a安全管理員應(yīng)負(fù)責(zé)定期進(jìn)行信息安全檢查，檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況；

1個(gè)檢查一次，包括日常運(yùn)行、備份等，未包括漏洞檢查查，缺少安全檢查的記錄或報(bào)告

/

部分符合

補(bǔ)《安全檢查記錄確檢查的周期，檢查的內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備b應(yīng)定期進(jìn)行全面信息安全檢查，檢查內(nèi)容包

增《安全檢查制度確檢查內(nèi)容包括技術(shù)措施審核和檢查

括現(xiàn)有安全技術(shù)措施的對(duì)息系統(tǒng)未進(jìn)行全面有效性、安全配置與安的全檢查，缺少安全全策略的一致性、安全檢管理制度管理制度的執(zhí)行情況

/

不符合

有效性和安全管理制度執(zhí)行情況等方面；增加《安全檢查文檔》，明確了定期進(jìn)行全面安全檢查，明等；信安全主管部門(mén)應(yīng)

確了檢查內(nèi)容等增《安全檢查報(bào)告制度管理

制定安全檢查表格實(shí)施安全檢查，匯總安全檢查數(shù)據(jù)，形安全檢查報(bào)告，并對(duì)安全檢查結(jié)果進(jìn)行通報(bào)。a)應(yīng)立信息安全管理制度、操作規(guī)程等從訪問(wèn)控制、系統(tǒng)設(shè)計(jì)、系統(tǒng)建設(shè)、系統(tǒng)驗(yàn)收、系

缺少全面的安全檢查缺少全面的安全檢查報(bào)告缺少各項(xiàng)安全管理制度（訪問(wèn)控制設(shè)計(jì)、系統(tǒng)建設(shè)、系統(tǒng)驗(yàn)收、

//

不符合部分符合

全檢查時(shí)的安全檢查表》《結(jié)果通告記錄查內(nèi)容、檢查時(shí)間、檢查人員、檢查數(shù)據(jù)匯總表、檢查結(jié)果等內(nèi)容的描述增加各安全管理制度訪控制系統(tǒng)設(shè)計(jì)、系統(tǒng)建設(shè)、系統(tǒng)驗(yàn)收系統(tǒng)運(yùn)維人員管理、統(tǒng)運(yùn)維、應(yīng)急處置、人員管理、文件檔案管理、00000000000

系統(tǒng)運(yùn)維、應(yīng)急處置、人員管理、文件檔案管

文件檔案管理、審核檢查等方面第11頁(yè)共24頁(yè)

整改方案審核檢查等方面規(guī)范各項(xiàng)信息安全管理工作；b)信息安全管理部門(mén)負(fù)

理、審核檢查等方面）責(zé)制定信息安全管理制度和操作規(guī)程，并進(jìn)行

缺少安全管理制度文檔

/

不符合

增加安全管理度文檔度版本管理版本控制；c)應(yīng)組織專家和相關(guān)部門(mén)人員對(duì)安全管理制度和操作規(guī)程進(jìn)行論證和審定，并定期對(duì)其合理性和適用性進(jìn)行審定，根據(jù)需要進(jìn)行修訂；

不定期對(duì)其合理性和適用性進(jìn)行審定，根據(jù)需要進(jìn)行修訂缺少管理制度評(píng)審記錄

/

部分符合

增加管理制度審記錄評(píng)內(nèi)容評(píng)審周期、參加人員和評(píng)審等人員安全管理1.相關(guān)要求依據(jù)詳見(jiàn)GD/J038-2011有關(guān)人員安全管理要求。為滿足要求，通過(guò)制定《保密協(xié)議協(xié)議員離職管理制度《離崗人員交接記錄來(lái)人員訪問(wèn)管理制度員訪問(wèn)重要區(qū)域的批準(zhǔn)文檔人員訪問(wèn)重要區(qū)域的登記記錄》等人員管理制度，保障系統(tǒng)的安全。2.安全現(xiàn)狀整改措類

測(cè)內(nèi)

結(jié)記

涉資

符情

整措增《保密協(xié)議鍵崗位人員署密協(xié)議，包括安全責(zé)任、違約人員上崗

b應(yīng)簽署保密協(xié)議和崗位安全協(xié)議。

對(duì)從事關(guān)鍵崗位的人員未簽署保密協(xié)議和崗位安全協(xié)議

/

不符合

責(zé)任、協(xié)議的有效期限和責(zé)任人簽字等內(nèi)容增加《崗位安全協(xié)議》，包括安全責(zé)任約任、協(xié)議的有效期限和責(zé)任人簽字等內(nèi)容人員離崗

a)應(yīng)規(guī)人員離崗過(guò)程，及時(shí)終止離崗員工的所有訪問(wèn)權(quán)限；b)應(yīng)取回各種身份證件、鑰匙、徽章等以及單位提供的軟硬件設(shè)備；

缺少人員離崗管理制度缺少人員交接記錄

//

不符合不符合

增加人員離崗理制度范員離崗過(guò)程，及時(shí)終止離崗員工的所有訪問(wèn)權(quán)限等內(nèi)容增加《離崗手續(xù)記錄表》《交接手續(xù)登記表離崗員的種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備等00000000000

第12頁(yè)共24頁(yè)

整改方案培訓(xùn)與考核

c)應(yīng)辦理嚴(yán)格的調(diào)離手續(xù)，關(guān)鍵崗位人員離崗須承諾調(diào)離后的保密義務(wù)后方可離開(kāi)。b)應(yīng)信息安全各相關(guān)崗位的人員定期進(jìn)行安全技能、政策及安全認(rèn)知的考核；c)應(yīng)信息安全培訓(xùn)和考核情況進(jìn)行記錄并保存。

缺少人員調(diào)離記錄，缺少離職人員的保密承諾文檔年度考核記錄包括安全技能和安全知識(shí)的考核缺少安全教育和培訓(xùn)記錄

///

不符合部分符合不符合

增加《保密承諾文檔》，明確要求關(guān)鍵崗位調(diào)離人員承諾相關(guān)保密義務(wù)后方可離開(kāi)補(bǔ)充《人員安全技術(shù)考核制度考核記錄考核的內(nèi)容包括安全技能及安全認(rèn)知等增加《安全教育和培訓(xùn)記錄訓(xùn)間、參與人員、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)果等增加《外部人員訪問(wèn)重要外部人員

a）應(yīng)確保在外部人員訪問(wèn)受控區(qū)域前先提出書(shū)面申請(qǐng)，得到授權(quán)或?qū)徟?，批?zhǔn)后由專人全程陪同或監(jiān)督，并登記備案；

訪問(wèn)受控區(qū)域前經(jīng)過(guò)相關(guān)人員的批準(zhǔn)，同意后有專人陪同，缺少外部人員訪問(wèn)重要區(qū)域的批準(zhǔn)文檔，缺少外部人員訪問(wèn)重要區(qū)域的登記記錄

/

部分符合

區(qū)域的批準(zhǔn)文檔人員訪問(wèn)重要區(qū)域的登記記錄容明確對(duì)外部人員訪問(wèn)機(jī)房等重要區(qū)域應(yīng)經(jīng)相關(guān)部門(mén)或負(fù)責(zé)人批準(zhǔn)，明確外部人員訪問(wèn)的范圍、外部人員進(jìn)入的條件、外部人員進(jìn)入的訪訪問(wèn)管理

問(wèn)控制措施增加《外來(lái)人員訪問(wèn)管理對(duì)部人員允許訪問(wèn)的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容應(yīng)進(jìn)行書(shū)面的規(guī)定，并按照規(guī)定執(zhí)行。

缺少外部人員訪問(wèn)管理制度

/

不符合

制度許部人員訪問(wèn)的范圍，外部人員進(jìn)入的條件，外部人員進(jìn)入的訪問(wèn)控制措施等；對(duì)允許外部人員訪問(wèn)的區(qū)域、系統(tǒng)、設(shè)備和信息等進(jìn)行明確規(guī)定系統(tǒng)建設(shè)管理1.相關(guān)要求依據(jù)詳見(jiàn)GD/J038-2011有關(guān)系統(tǒng)建設(shè)管理要求。為滿足要求，我們通過(guò)增加《安全設(shè)計(jì)方案實(shí)施文檔驗(yàn)收文檔評(píng)審記錄開(kāi)發(fā)管理規(guī)范》和《系統(tǒng)交付清單》等方式來(lái)加強(qiáng)系統(tǒng)的安全。2.安全現(xiàn)狀整改措類

測(cè)內(nèi)

結(jié)記

涉資

符情

整措安全方案

a根據(jù)信息系統(tǒng)的等級(jí)技運(yùn)維部負(fù)責(zé)信息系劃分情況，應(yīng)由專門(mén)的統(tǒng)總體規(guī)劃查，

/

部分符合

增加《總體安全策略》，內(nèi)容包括近期安全建設(shè)計(jì)00000000000

第13頁(yè)共24頁(yè)

整改方案設(shè)計(jì)

部門(mén)對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，統(tǒng)一考慮信息安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、遠(yuǎn)期和近期建設(shè)計(jì)劃

缺少系統(tǒng)總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案、近期安全建設(shè)計(jì)劃和遠(yuǎn)期安全建設(shè)計(jì)劃等配套文件

劃和遠(yuǎn)期安全建設(shè)計(jì)劃配套文件，增加《信息系統(tǒng)建設(shè)的配套文件》，包括安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等；b應(yīng)根據(jù)國(guó)家和行業(yè)標(biāo)準(zhǔn)、規(guī)合理設(shè)計(jì)信息缺信息系統(tǒng)的信息安系統(tǒng)的信息安全方案和全案和策略，缺少詳策略，制詳細(xì)的建設(shè)細(xì)建設(shè)方案

/

部分符合

增加《系統(tǒng)安全方案和策略》《詳細(xì)設(shè)計(jì)方案和策略》方案；c應(yīng)組織相關(guān)部門(mén)和有關(guān)安全技術(shù)專家對(duì)信息安全的規(guī)劃、建設(shè)方案

缺少配套文件的專家論

/

不符等進(jìn)行論證和審定，并且經(jīng)過(guò)批準(zhǔn)后，才能正式實(shí)施；d)應(yīng)根據(jù)等級(jí)測(cè)評(píng)、安

證文檔

合

對(duì)《安全方案》組織專家評(píng)審并形成《方案評(píng)審記錄文進(jìn)行維護(hù)記錄形成《維護(hù)記錄》全評(píng)估的結(jié)果調(diào)整和修訂信息安全的規(guī)劃、建

缺少配套文件的修訂文檔

/

不符合設(shè)方案等。b)應(yīng)在軟件安裝之前檢測(cè)軟件包中可能存在的惡意代碼；

軟件安裝之前未檢測(cè)軟件包中可能存在的惡意代碼

/

不符合

軟件安裝之前檢測(cè)軟件包中可能存在的惡意代碼增加《惡意代碼檢測(cè)記錄》未提供軟件設(shè)計(jì)的相關(guān)

增加《軟件設(shè)計(jì)的相關(guān)文外包軟件開(kāi)發(fā)工程實(shí)施

c)應(yīng)要求開(kāi)發(fā)單位提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南；d)應(yīng)要求開(kāi)發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門(mén)漏洞等。b)應(yīng)制定詳細(xì)的工程實(shí)施方案控制實(shí)施過(guò)程，并要求工程實(shí)施單位能正式地執(zhí)行安全工程過(guò)程；c)應(yīng)制定工程實(shí)施方面的管理制度，明確說(shuō)明實(shí)施過(guò)程的控制方法和

文檔和使用指南（需求分析說(shuō)明書(shū)、軟件設(shè)計(jì)說(shuō)明書(shū)操手冊(cè)、軟件源代碼文檔等）缺少軟件源代碼審查記錄未提供工程實(shí)施方案，未提供階段性實(shí)施文檔缺少工程實(shí)施方面的管理制度

////

不符合不符合不符合不符合

檔和使用指南》，包括需求分析說(shuō)明書(shū)、軟件設(shè)計(jì)說(shuō)明書(shū)、軟件操作手冊(cè)、軟件源代碼文檔等增加《源代碼審查記錄包括軟件中可能存在的后門(mén)漏洞等內(nèi)容增《工程實(shí)施方案定工程時(shí)間限制、進(jìn)度、控制、質(zhì)量控制等方面內(nèi)容，工程實(shí)施過(guò)程按照實(shí)施方案形成各種文檔，如階段性工程進(jìn)程匯報(bào)報(bào)告增加工程實(shí)施理制度明確說(shuō)明實(shí)施過(guò)程的控制方法和人員行00000000000

第14頁(yè)共24頁(yè)

人員行為準(zhǔn)則。

整改方案為準(zhǔn)則等內(nèi)容a)應(yīng)托具有資質(zhì)的第三方對(duì)系統(tǒng)進(jìn)行安全性測(cè)試，并出具安全性測(cè)試報(bào)告；

未委托公正具有資質(zhì)的第三方對(duì)系統(tǒng)進(jìn)行安全性測(cè)試

/

不符合

信息系統(tǒng)建設(shè)完成后對(duì)其進(jìn)行測(cè)試，委托第三方測(cè)試機(jī)構(gòu)對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的安全性測(cè)試，形成安全性測(cè)試報(bào)告b)在測(cè)試驗(yàn)收前應(yīng)根據(jù)

增加《工測(cè)試收方測(cè)試驗(yàn)收

設(shè)計(jì)方案或合同要求等制訂測(cè)試驗(yàn)收方案，在測(cè)試驗(yàn)收過(guò)程中應(yīng)詳細(xì)記錄測(cè)試驗(yàn)收結(jié)果，并形成測(cè)試驗(yàn)收?qǐng)?bào)告；c)應(yīng)對(duì)系統(tǒng)測(cè)試驗(yàn)收的控制方法和人員行為準(zhǔn)則進(jìn)行書(shū)面規(guī)定；

未提供系統(tǒng)測(cè)試驗(yàn)收方案，未提供系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告缺少系統(tǒng)測(cè)試驗(yàn)收管理制度

//

不符合不符合

案明確參與測(cè)試的部門(mén)人員測(cè)試驗(yàn)收內(nèi)容、現(xiàn)場(chǎng)操作過(guò)程等內(nèi)容，制定《測(cè)試驗(yàn)收記錄試驗(yàn)收?qǐng)?bào)告》增加測(cè)試驗(yàn)收理制度》，包括系統(tǒng)測(cè)試驗(yàn)收的控制方法和人員行為準(zhǔn)則進(jìn)行書(shū)面規(guī)定e）組織相關(guān)部門(mén)和相關(guān)人員對(duì)系統(tǒng)測(cè)試驗(yàn)收未供驗(yàn)收?qǐng)?bào)告的審定報(bào)告進(jìn)行審定，并簽字文確認(rèn)。

/

不符合

增加《驗(yàn)收?qǐng)?bào)告的審定文檔收告的審定內(nèi)容及審定意見(jiàn)等a)應(yīng)定詳細(xì)的系統(tǒng)交付清單，并根據(jù)交付清單對(duì)所交接的設(shè)備、軟

未提供系統(tǒng)交付清單

/

不符合件和文檔等進(jìn)行清點(diǎn)；

增《系統(tǒng)交付清單目前系統(tǒng)是內(nèi)部技術(shù)人

確所交接的設(shè)備、軟件和系統(tǒng)交付

b)應(yīng)對(duì)負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)；

員維護(hù)，對(duì)維護(hù)人員進(jìn)行過(guò)培訓(xùn)，但未提供系統(tǒng)交付時(shí)的技術(shù)培訓(xùn)記

/

部分符合

文檔等制項(xiàng)目建設(shè)管理制度》要求工程系統(tǒng)交付后進(jìn)行錄

技術(shù)培訓(xùn)記并c)應(yīng)提供系統(tǒng)建設(shè)過(guò)程

形成記錄中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文

未提供系統(tǒng)交付清單

/

不符合檔；系統(tǒng)運(yùn)維管理1.相關(guān)要求依據(jù)詳見(jiàn)GD/J038-2011有關(guān)系統(tǒng)運(yùn)維管理要求。為滿足要求，我們制定《機(jī)房安全管理制度管理制度維護(hù)制度操作規(guī)程代碼防范管理制度安全管理制度《系統(tǒng)安全管理制度與恢復(fù)管理制度事件報(bào)告和處置管理制度》和《應(yīng)急預(yù)案》等達(dá)到目的或檢查要求。00000000000

第15頁(yè)共24頁(yè)

整改方案2.安全現(xiàn)狀整改措類

測(cè)內(nèi)

結(jié)記

涉資

符情

整措a)應(yīng)定專門(mén)的部門(mén)或

技術(shù)運(yùn)維部進(jìn)行維護(hù)，人員定期對(duì)機(jī)房供配電、空調(diào)、溫濕度控制

不定期進(jìn)行維護(hù)，缺少機(jī)房基礎(chǔ)設(shè)施的維護(hù)記

/

部分符合

增加《機(jī)房基礎(chǔ)設(shè)施維護(hù)記錄空調(diào)等等設(shè)施進(jìn)行維護(hù)管理；

錄環(huán)境

機(jī)房管理制度不夠完管理

c)應(yīng)建立機(jī)房安全管理制度，規(guī)范機(jī)房物理訪問(wèn)、機(jī)房環(huán)境安全、工作人員行為等。

善，未包括機(jī)房物理訪問(wèn)、物品帶進(jìn)和帶出機(jī)房、機(jī)房環(huán)境安全和工

/

部分符合

完《機(jī)房管理制度括機(jī)房物理訪問(wèn)、機(jī)房環(huán)境安全、工作人員行為等內(nèi)容作人員行為等方面a)應(yīng)制并保存與信息系統(tǒng)相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任部門(mén)、重要程度和所處位置等

未明確資產(chǎn)的責(zé)任部門(mén)，缺少資產(chǎn)清單

/

不符合

增《資產(chǎn)清單資產(chǎn)的責(zé)任部門(mén)、責(zé)任人、重要程度和所處位置等內(nèi)容；b)應(yīng)立資產(chǎn)安全管

增加資產(chǎn)安全理制理制度，規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門(mén)，并規(guī)范資產(chǎn)

缺少資產(chǎn)安全管理制度

/

不符合

度》，規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門(mén)，并規(guī)范資產(chǎn)管理和使資產(chǎn)

管理和使用的行為；

用的行為管理

c)應(yīng)據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)管理，并選擇相應(yīng)的管理措施；

未明確的分類和標(biāo)識(shí)管理，不同類別的資產(chǎn)未采取不同的管理措施

/

不符合

根據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)管理，并選擇相應(yīng)的管理措施d)應(yīng)對(duì)信息分類與標(biāo)識(shí)

增加信分類管理文方法作出規(guī)定，并對(duì)信息的使用、傳輸和存儲(chǔ)

缺少信息分類文檔

/

不符合

檔》，包括分類與標(biāo)識(shí)方法，信息的使用、傳輸和等進(jìn)行規(guī)范化管理。

存儲(chǔ)等內(nèi)容a)應(yīng)立介質(zhì)安全管理制度，對(duì)介質(zhì)的存放環(huán)境、使用、維護(hù)和銷毀等方面作出規(guī)定；

缺少介質(zhì)安全管理制度（介質(zhì)的存放環(huán)境、使用和銷毀等方面）

/

不符合

制定介安全管理制度包括介質(zhì)的存放環(huán)境、使用、維護(hù)和銷毀等方面介質(zhì)

b)應(yīng)保介質(zhì)存放在管理

安全的環(huán)境中，并根據(jù)所承載數(shù)據(jù)和軟件的重要程度對(duì)介質(zhì)進(jìn)行分類

未明確專門(mén)的存放環(huán)境介未進(jìn)行分類

/

不符合

明確介質(zhì)的存放環(huán)境，根據(jù)重要性對(duì)介質(zhì)進(jìn)行分類和標(biāo)識(shí)管理，進(jìn)行相應(yīng)的和標(biāo)識(shí)管理，進(jìn)行相應(yīng)的控制和保護(hù)；00000000000

和標(biāo)識(shí)

控制和保護(hù)第16頁(yè)共24頁(yè)

整改方案c)應(yīng)對(duì)存儲(chǔ)介質(zhì)的使用過(guò)程、送出維修以及銷毀等進(jìn)行嚴(yán)格的管理，對(duì)經(jīng)批準(zhǔn)帶出工作環(huán)境的存儲(chǔ)介質(zhì)進(jìn)行登記和監(jiān)控管理，對(duì)送出維修或銷毀的介質(zhì)應(yīng)首先清除介質(zhì)中的敏感數(shù)據(jù)，對(duì)保密性較高的存儲(chǔ)介質(zhì)未經(jīng)批準(zhǔn)不應(yīng)自行銷

缺少介質(zhì)管理制度（存儲(chǔ)介質(zhì)的使用過(guò)程、送出維修以及銷毀等進(jìn)行嚴(yán)格的管理，對(duì)經(jīng)批準(zhǔn)帶出工作環(huán)境的存儲(chǔ)介質(zhì)進(jìn)行登記和監(jiān)控管理，對(duì)送出維修或銷毀的介質(zhì)應(yīng)首先清除介質(zhì)

/

不符合

制《介質(zhì)管理制度確介質(zhì)的銷毀和維修等方面的要求。明確對(duì)介質(zhì)的物理傳輸過(guò)程是否要求選擇可靠傳輸人員、嚴(yán)格介質(zhì)的打包、選擇安全的物理傳輸途徑、雙方在場(chǎng)交付等內(nèi)容毀；d)應(yīng)根據(jù)數(shù)據(jù)備份的需

中的敏感數(shù)據(jù)）要對(duì)某些介質(zhì)實(shí)行異地存儲(chǔ)，存地的環(huán)境要求和管理方法應(yīng)與本地

重要數(shù)據(jù)未實(shí)行異地存儲(chǔ)

/

不符合

明確重要數(shù)據(jù)進(jìn)行加密存儲(chǔ)相同；c)應(yīng)建立配套設(shè)施、軟硬件維護(hù)方面的管理制度，對(duì)其維護(hù)進(jìn)行有效的管理，包括明確維護(hù)人員的責(zé)任、涉外維修和服務(wù)的審批、維修過(guò)

缺少配套設(shè)施、軟硬件維護(hù)方面的管理制度

/

不符合

增《設(shè)備維護(hù)制度確維護(hù)人員的責(zé)任、涉外維修和服務(wù)的審批、維修過(guò)程的監(jiān)督控制等內(nèi)容程的監(jiān)督控制等；增加設(shè)備使用理文設(shè)備管理

d)應(yīng)對(duì)終端計(jì)算機(jī)、工作站、便攜機(jī)、系統(tǒng)和網(wǎng)絡(luò)等設(shè)備的操作和使用進(jìn)行規(guī)范化管理，按操作規(guī)程實(shí)現(xiàn)主要設(shè)備的啟動(dòng)停電斷電等操作；

缺少設(shè)備使用管理文檔，缺少設(shè)備的操作規(guī)程，關(guān)鍵設(shè)備的操作未建立操作日志

/

部分符合

檔終計(jì)算機(jī)攜機(jī)和網(wǎng)絡(luò)設(shè)備等使用方式、操作原則、注意事項(xiàng)等內(nèi)容作程包括對(duì)重要系統(tǒng)，如服務(wù)器、防火墻、交換機(jī)、路由器等內(nèi)容，增加《日志管理記錄，包括檢查人員、日期、內(nèi)容等e)應(yīng)確保信息處理設(shè)備必須經(jīng)過(guò)審批才能帶離機(jī)房或辦公地點(diǎn)。

缺少設(shè)備帶離機(jī)房或辦公場(chǎng)地的審批記錄

/

不符合

制定《處設(shè)備必須經(jīng)過(guò)審批才能帶離機(jī)房或辦公地點(diǎn)的記錄批內(nèi)容和批準(zhǔn)人b)應(yīng)對(duì)防惡意代碼軟件

增加《惡意代碼防范管理惡意代碼防范管理

的授權(quán)使用、惡意代碼庫(kù)升級(jí)、定期匯報(bào)等作出明確規(guī)定；c)應(yīng)定期檢查信息系統(tǒng)內(nèi)各種產(chǎn)品的惡意代碼庫(kù)的升級(jí)情況并進(jìn)行記

缺少惡意代碼方面的管理制度缺少惡意代碼檢測(cè)記錄、惡意代碼庫(kù)升級(jí)記錄和分析報(bào)告

//

不符合不符合

制度惡代碼軟件的授權(quán)使用、惡意代碼庫(kù)升級(jí)、定期匯報(bào)等內(nèi)容增惡意代碼檢測(cè)記錄》《惡意代碼庫(kù)升級(jí)記錄》和《惡意代碼分析報(bào)告00000000000

第17頁(yè)共24頁(yè)

錄，對(duì)防惡意代碼產(chǎn)品上截獲的危險(xiǎn)病毒或惡意代碼進(jìn)行及時(shí)分析處理，并形成書(shū)面的報(bào)表和總結(jié)匯報(bào)。

整改方案明確其檢查周期、檢查人員、檢查結(jié)果等密碼管理

a）應(yīng)使用符合國(guó)家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品；

缺少密碼使用方面的管理制度

/

不符合

增《密碼管理制度確密碼使用方面的內(nèi)容b)應(yīng)建立變更管理制度，系統(tǒng)發(fā)生變更前，向主管領(lǐng)導(dǎo)申請(qǐng)，變更和變更方案經(jīng)過(guò)評(píng)審、審批后方可實(shí)施變更，并在實(shí)施后將變更情況

缺少變更管理制度（更前審批過(guò)記錄、變更后通報(bào)等方面內(nèi)容）

/

不符合

增《變更管理制度確變更類型、變更原因、變更過(guò)程、變更前評(píng)估等方面內(nèi)容；向相關(guān)人員通告；變更管理

c)應(yīng)建立變更控制的申報(bào)和審批文件化程序，對(duì)變更影響進(jìn)行分析，記錄變更實(shí)施過(guò)程，并妥善保存所有文檔和記錄；

缺少變更控制的申報(bào)和審批程序文檔

/

不符合

增《變更管理制度括變更申報(bào)、審批程序，規(guī)定要申的變更類型申報(bào)流程審批部門(mén)、批準(zhǔn)人等方面內(nèi)容d)應(yīng)建立中止變更并從失敗變更中恢復(fù)的文件

增《變更方案恢化程序，明確過(guò)程控制方法和人員職責(zé)，必要

缺少變更方案、缺少變更失敗恢復(fù)程序文檔

/

不符合

復(fù)程序文檔程控制方法和人員職責(zé)，必要時(shí)對(duì)恢復(fù)過(guò)程進(jìn)行演練；b)應(yīng)建立備份與恢復(fù)管理相關(guān)的安全管理制

時(shí)對(duì)恢復(fù)過(guò)程進(jìn)行演練增加《備份與恢復(fù)管理制度，對(duì)備份信息的備份方式、備份頻度、存儲(chǔ)

缺少備份與恢復(fù)管理相關(guān)的安全管理制度

/

不符合

度份息的備份方式、備份頻度、存儲(chǔ)介介質(zhì)和保存期等進(jìn)行規(guī)范；

質(zhì)、保存期等備份與恢復(fù)管理

c)應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對(duì)系統(tǒng)運(yùn)行的影響，制定數(shù)據(jù)的備份策略和恢復(fù)策略，備份策略須指明備份數(shù)據(jù)的放置場(chǎng)所、文件命名規(guī)則、

缺少備份與恢復(fù)管理制度，缺少備份與恢復(fù)策略文檔

/

不符合

增加《備份與恢復(fù)管理制度策略文檔和恢復(fù)策略文檔》包括備份數(shù)據(jù)的放置場(chǎng)所、文件命名規(guī)則、介質(zhì)替換頻率和數(shù)介質(zhì)替換頻率和將數(shù)據(jù)離站運(yùn)輸?shù)姆椒ǎ?/p>

據(jù)離站運(yùn)輸方法等內(nèi)容d)應(yīng)建立控制數(shù)據(jù)備份和恢復(fù)過(guò)程的程序，對(duì)備份過(guò)程進(jìn)行記錄，所

缺少數(shù)據(jù)備份和恢復(fù)過(guò)程記錄

/

不符合

增《備份和恢復(fù)記錄明確內(nèi)容日檢查人、結(jié)果等00000000000

第18頁(yè)共24頁(yè)

整改方案有文件和記錄應(yīng)妥善保存；安全事件處置

a)應(yīng)定安全事件報(bào)告和處置管理制度，明確安全事件的類型，規(guī)定安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)的管理職責(zé)；b)按照國(guó)家和行業(yè)相關(guān)規(guī)定及時(shí)上報(bào)信息安全事件和可疑事件；c)應(yīng)制定安全事件報(bào)告和響應(yīng)處理程序，確定事件的報(bào)告流程，響應(yīng)和處置的范圍、程度，

缺少安全事件報(bào)告和處置管理制度缺少信息安全事件和可疑事件上報(bào)文檔缺少安全事件報(bào)告和響應(yīng)處理程序

///

不符合不符合不符合

增加《安全事件報(bào)告和處置管理制度全事件類型，規(guī)定安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)的管理職責(zé)增加《信息事件和可疑事件上報(bào)的文檔明內(nèi)容、日期、檢查人、結(jié)果等增加《安全事件報(bào)告和響應(yīng)處理程序件的報(bào)告流程，響應(yīng)和處置的范圍、程度，以及處理方以及處理方法等；d)應(yīng)在安全事件報(bào)告和響應(yīng)處理過(guò)程中，分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處理過(guò)程，總結(jié)經(jīng)驗(yàn)教訓(xùn)，缺少全事件分析文檔制定防止再次發(fā)生的補(bǔ)救措施，過(guò)程形成的所有文件和記錄均應(yīng)妥善

/

不符合

法等增加安事件分析文檔析鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處理過(guò)程，總結(jié)經(jīng)驗(yàn)教訓(xùn)，制定防止再次發(fā)生的補(bǔ)救措施保存。a應(yīng)在統(tǒng)一的應(yīng)急框架下制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)缺少應(yīng)急預(yù)案