1、精選文檔精選文檔 1/14 安全物理環(huán)境物理地點(diǎn)選擇本項(xiàng)要求包含：a）機(jī)房場(chǎng)所應(yīng)選擇在擁有防震、防風(fēng)和防雨等能力的建筑內(nèi)；b）機(jī)房場(chǎng)所應(yīng)防止設(shè)在建筑物的頂層或地下室,物理接見(jiàn)控制機(jī)房進(jìn)出口應(yīng)安排專(zhuān)人值守或配置電子門(mén)禁系統(tǒng)，控制、鑒識(shí)和記錄進(jìn)入的人員防偷竊和防損壞本項(xiàng)要求包含：b）應(yīng)a）應(yīng)將設(shè)備或主要零件進(jìn)行固定，并設(shè)置顯然的不易除掉的表記;將通訊線(xiàn)纜鋪設(shè)在隱蔽安全處。防雷擊應(yīng)將各種機(jī)柜、設(shè)備和設(shè)備等經(jīng)過(guò)接地系統(tǒng)安全接地。1.5防火本項(xiàng)要求包含：a）機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)，可以自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警，并自動(dòng)滅火；b）機(jī)房及有關(guān)的工作房間和協(xié)助房應(yīng)采納擁有耐火等級(jí)的建筑資料。1.6防水和防潮本

2、項(xiàng)要求包含：a）應(yīng)采納舉措防備雨水經(jīng)過(guò)機(jī)房窗戶(hù)、屋頂和墻壁浸透；b）應(yīng)采納舉措防備機(jī)房?jī)?nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與浸透。1.7防靜電應(yīng)采納防靜電地板或地面并采納必需的接地防靜電舉措。1.8溫濕度控制應(yīng)設(shè)置溫濕度自動(dòng)調(diào)理設(shè)備，使機(jī)房溫濕度的變化在設(shè)備運(yùn)轉(zhuǎn)所同意的范園以?xún)?nèi)。1.9電力供給本項(xiàng)要求包含：a）應(yīng)在機(jī)房供電線(xiàn)路上配置穩(wěn)壓器和過(guò)電壓防備設(shè)備；b）應(yīng)供給短期的備用電力供給，起碼知足設(shè)備在斷電狀況下的正常運(yùn)轉(zhuǎn)要求。1.10電磁防備電源線(xiàn)和通訊線(xiàn)纜應(yīng)隔絕鋪設(shè)，防止相互擾亂。安全通訊網(wǎng)絡(luò)網(wǎng)絡(luò)架構(gòu)本項(xiàng)要求包含：a）應(yīng)區(qū)分不一樣的網(wǎng)絡(luò)地區(qū)，并依照方便管理和控制的原則為各網(wǎng)絡(luò)地區(qū)分派地點(diǎn)；b）應(yīng)防止將

3、重要絡(luò)地區(qū)部署在界限處，重要網(wǎng)絡(luò)地區(qū)與其余網(wǎng)絡(luò)地區(qū)之間應(yīng)采納靠譜的技術(shù)隔絕手段。通訊傳輸應(yīng)采納校驗(yàn)技術(shù)保證通訊過(guò)程中數(shù)據(jù)的完好性。可信考證可鑒于可信根對(duì)通訊設(shè)備的系統(tǒng)指引程序、系統(tǒng)程序、重要配置參數(shù)和通訊應(yīng)用程序等進(jìn)行可信考證，并在檢測(cè)到其可信性遇到損壞后進(jìn)行報(bào)警，并將考證結(jié)果形成審計(jì)記錄送至安全管理中心。3安全地區(qū)界限2/14界限防備應(yīng)保證超越界限的接見(jiàn)和數(shù)據(jù)流經(jīng)過(guò)界限設(shè)備供給的受控接口進(jìn)行通訊接見(jiàn)控制本項(xiàng)要求包含：a）應(yīng)在網(wǎng)絡(luò)界限或地區(qū)之間依據(jù)接見(jiàn)控制策略設(shè)置接見(jiàn)控制規(guī)則，默認(rèn)狀況下除同意通訊外受控接口拒絕全部通訊；b）應(yīng)刪除剩余或無(wú)效的接見(jiàn)控制規(guī)則，優(yōu)化接見(jiàn)控制列表，并保證接見(jiàn)控制規(guī)則數(shù)

4、目最小化;c）應(yīng)付源地點(diǎn)、目的地點(diǎn)、源端口、目的端口和協(xié)議等進(jìn)行檢查，以同意拒絕數(shù)據(jù)包進(jìn)出；d）應(yīng)能依據(jù)會(huì)話(huà)狀態(tài)信息為進(jìn)出數(shù)據(jù)流供給明確的同意/拒絕接見(jiàn)的能力。入侵防備應(yīng)在重點(diǎn)網(wǎng)絡(luò)節(jié)點(diǎn)處監(jiān)督網(wǎng)絡(luò)攻擊行為。歹意代碼防備。應(yīng)在重點(diǎn)網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)歹意代碼進(jìn)行檢測(cè)和消除，并保護(hù)歹意代碼防備體制的升級(jí)和更新。安全審計(jì)本項(xiàng)要求包含：a）應(yīng)在網(wǎng)絡(luò)界限、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì)，審計(jì)覆蓋到每個(gè)用戶(hù)，對(duì)重要的用戶(hù)行為和重要安全事件進(jìn)行審計(jì)；b）審計(jì)記錄應(yīng)包含事件的日期和時(shí)間、用戶(hù)、事件種類(lèi)、事件能否成功及其余與審計(jì)有關(guān)的信息；3/14c）應(yīng)付審計(jì)記錄進(jìn)行保護(hù)，按期備份，防止遇到未預(yù)期的刪除、改正或覆蓋等?？尚趴甲C

5、可鑒于可信根對(duì)界限設(shè)備的系統(tǒng)指引程序、系統(tǒng)程序、重要配置參數(shù)和界限防備應(yīng)用程序等進(jìn)行可信考證，并在檢測(cè)到其可信性遇到損壞后進(jìn)行報(bào)警，并將考證結(jié)果形成審計(jì)記錄送至安全管理中心。4安全計(jì)算環(huán)境身份鑒識(shí)本項(xiàng)要求包含：a）應(yīng)付登錄的用戶(hù)進(jìn)行身份表記和鑒識(shí)，身份表記擁有獨(dú)一性，身份鑒識(shí)信息擁有復(fù)雜度要求并按期改換；b）應(yīng)擁有登錄失敗辦理功能，應(yīng)配置并啟用結(jié)束會(huì)話(huà)、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B結(jié)超時(shí)自動(dòng)退出等有關(guān)舉措；c）當(dāng)進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采納必需舉措防備鑒識(shí)信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)。接見(jiàn)控制本項(xiàng)要求包含：a）應(yīng)付登錄的用戶(hù)分派賬戶(hù)和權(quán)限：b）應(yīng)重命名或刪除默認(rèn)賬戶(hù)，改正默認(rèn)賬戶(hù)的默認(rèn)口令；。c）應(yīng)實(shí)時(shí)

6、刪除或停用剩余的、過(guò)期的賬戶(hù)，防止共享賬戶(hù)的存在；d）應(yīng)授與管理用戶(hù)所需的最小權(quán)限，實(shí)現(xiàn)管理用戶(hù)的權(quán)限分別。安全審計(jì)本項(xiàng)要求包含：4/14a）應(yīng)啟用安全審計(jì)功能，審計(jì)覆蓋到每個(gè)用戶(hù)，對(duì)重要的用戶(hù)行為和重要安全事件進(jìn)行審計(jì)；b）審計(jì)記錄應(yīng)包含事件的日期和時(shí)間、用戶(hù)、事件種類(lèi)、事件能否成功及其余與審計(jì)有關(guān)的信息;c）應(yīng)付審計(jì)記錄進(jìn)行保護(hù)，按期備份，防止遇到未預(yù)期的刪除、改正或覆蓋等。入侵防備。本項(xiàng)要求包含：a）應(yīng)依照最小安裝的原則，僅安裝需要的組件和應(yīng)用程序;b）應(yīng)封閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口;c）應(yīng)經(jīng)過(guò)設(shè)定終端接入方式或網(wǎng)絡(luò)地點(diǎn)范圍對(duì)經(jīng)過(guò)網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制；d）應(yīng)供給數(shù)占

7、有效性查驗(yàn)功能，保證經(jīng)過(guò)人機(jī)接口輸入或經(jīng)過(guò)通訊接口輸入的內(nèi)容切合系統(tǒng)設(shè)定要求；e）應(yīng)能發(fā)現(xiàn)可能存在的已知破綻，并在經(jīng)過(guò)充足測(cè)試評(píng)估后，實(shí)時(shí)修理破綻。4.5歹意代碼防備應(yīng)安裝防歹意代碼軟件或配置擁有相應(yīng)功能的軟件，并按期進(jìn)行升級(jí)和更新防歹意代碼庫(kù)?？尚趴甲C可鑒于可信根對(duì)計(jì)算設(shè)備的系統(tǒng)指引程序、系統(tǒng)程序、重要配置參數(shù)和應(yīng)用程序等進(jìn)行可信考證，并在檢測(cè)到其可信性遇到損壞后進(jìn)行報(bào)警，并將考證結(jié)果形成審計(jì)記錄送至安全管理中心。數(shù)據(jù)完好性應(yīng)采納校驗(yàn)技術(shù)保證重要數(shù)據(jù)在傳輸過(guò)程中的完好性。4.8數(shù)據(jù)備份恢復(fù)本項(xiàng)要求包含：5/14a）應(yīng)供給重要數(shù)據(jù)的當(dāng)?shù)財(cái)?shù)據(jù)備份與恢復(fù)功能；b）應(yīng)供給異地?cái)?shù)據(jù)備份功能，利用通訊網(wǎng)

8、絡(luò)將重要數(shù)據(jù)準(zhǔn)時(shí)批量傳遞至備用處所。4.9節(jié)余信息保護(hù)應(yīng)保證鑒識(shí)信息所在的儲(chǔ)存空間被開(kāi)釋或從頭分派前獲得完好消除。4.10個(gè)人信息保護(hù)本項(xiàng)要求包含：a）應(yīng)僅采集和保留業(yè)務(wù)必需的用戶(hù)個(gè)人信息；b）應(yīng)嚴(yán)禁未受權(quán)接見(jiàn)和非法使用用戶(hù)個(gè)人信息。安全管理中心系統(tǒng)管理本項(xiàng)要求包含：a）應(yīng)付系統(tǒng)管理員進(jìn)行身份鑒識(shí)，只同意其經(jīng)過(guò)特定的命令或操作界面進(jìn)行系統(tǒng)管理操作，并對(duì)這些操作進(jìn)行審計(jì)；b）應(yīng)經(jīng)過(guò)系統(tǒng)管理員對(duì)系統(tǒng)的資源和運(yùn)轉(zhuǎn)進(jìn)行配置、控制和管理，包含用戶(hù)身份、系統(tǒng)資源配置、系統(tǒng)加載和啟動(dòng)、系統(tǒng)運(yùn)轉(zhuǎn)的異樣辦理、數(shù)據(jù)和設(shè)備的備份與恢復(fù)等。審計(jì)管理本項(xiàng)要求包含：a）應(yīng)付審計(jì)管理員進(jìn)行身份鑒識(shí)，只同意其經(jīng)過(guò)特定的命令或

9、操作界面進(jìn)行安全審計(jì)操作，并對(duì)這些操作進(jìn)行審計(jì)；b）應(yīng)經(jīng)過(guò)審計(jì)管理員對(duì)審計(jì)記錄進(jìn)行剖析，并依據(jù)剖析結(jié)果進(jìn)行辦理，包含依據(jù)安全審計(jì)謀略對(duì)審計(jì)記錄進(jìn)行儲(chǔ)存、管理和查問(wèn)等。6/14安全管理制度嚴(yán)口應(yīng)擬訂網(wǎng)絡(luò)安全工作的整體目標(biāo)和安全策略，說(shuō)明機(jī)構(gòu)安全工作的整體目標(biāo)、范圍、原則和安全框架等。管理制度本項(xiàng)要求包含：a）應(yīng)付安全管理活動(dòng)中的主要管理內(nèi)容成立安全管理制度；。b）應(yīng)付管理人員或操作人員執(zhí)行的平時(shí)管理操作成立操作規(guī)程。擬訂和公布本項(xiàng)要求包含：a）應(yīng)指定或受權(quán)特意的部門(mén)或人員負(fù)責(zé)安全管理制度的擬訂；b）安全管理制度應(yīng)經(jīng)過(guò)正式、有效的方式公布,并進(jìn)行版本控制。評(píng)審和訂正應(yīng)按期對(duì)安全管理制度的合理性和合

10、用性進(jìn)行論證和判定，對(duì)存在不足或需要改良的安全管理制度進(jìn)行訂正。7安全管理機(jī)構(gòu)崗位設(shè)置本項(xiàng)要求包含：a）應(yīng)建立網(wǎng)絡(luò)安全管理工作的職能部門(mén)，建立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位，并定義各負(fù)責(zé)人的職責(zé)；b）應(yīng)建立系統(tǒng)管理員、審計(jì)管理員和安全管理員等崗位，并定義部門(mén)及各個(gè)工作崗位的職責(zé)。人員裝備7/14應(yīng)裝備必定數(shù)目的系統(tǒng)管理員、審計(jì)管理員和安全管理員等。受權(quán)和審批本項(xiàng)要求包含：a）應(yīng)依據(jù)各個(gè)部門(mén)和崗位的職責(zé)明確受權(quán)審批事項(xiàng)、審批部門(mén)和同意人b）應(yīng)針對(duì)系統(tǒng)更改、重要操作。物理接見(jiàn)和系統(tǒng)接入等事項(xiàng)執(zhí)行審批過(guò)程。交流和合作本項(xiàng)要求包含：a）應(yīng)增強(qiáng)各種管理人員、組織內(nèi)部機(jī)構(gòu)和網(wǎng)絡(luò)安全管理部門(mén)之間的合

11、作與交流，按期召開(kāi)協(xié)調(diào)會(huì)議，共同協(xié)作辦理網(wǎng)絡(luò)安全問(wèn)題；c）應(yīng)成立外聯(lián)單位聯(lián)系列b）應(yīng)增強(qiáng)與網(wǎng)絡(luò)安全職能部門(mén)、各種供給商、業(yè)界專(zhuān)家及安全組織的合作與交流;表，包含外聯(lián)單位名稱(chēng)、合作內(nèi)容，聯(lián)系人和聯(lián)系方式等信息。審察和檢查應(yīng)按期進(jìn)行慣例安全檢查，檢查內(nèi)容包含系統(tǒng)平時(shí)運(yùn)轉(zhuǎn)、系統(tǒng)破綻和數(shù)據(jù)備份等狀況。安全管理人員人員錄取本項(xiàng)要求包含：a）應(yīng)指定或受權(quán)特意的部門(mén)或人員負(fù)責(zé)人員錄?。篵）應(yīng)付被錄取人員的身份、安全背景、專(zhuān)業(yè)資格或資質(zhì)等進(jìn)行審察。人員離崗精選文檔精選文檔 #8/14精選文檔精選文檔 應(yīng)實(shí)時(shí)停止離崗人員的全部接見(jiàn)權(quán)限，取回各樣身份證件、鑰匙、微章等以及機(jī)構(gòu)供給的軟硬件設(shè)備。安全意識(shí)教育和培訓(xùn)應(yīng)

12、付各種人員進(jìn)行安全意識(shí)教育和崗位技術(shù)培，并見(jiàn)告有關(guān)的安全責(zé)任和懲戒舉措。外面人員接見(jiàn)管理本項(xiàng)要求包含：a）應(yīng)在外面人員物理接見(jiàn)受控地區(qū)前先提出版面申請(qǐng)，同意后由專(zhuān)人全程陪伴，并登記存案；b）應(yīng)在外面人員接入受控網(wǎng)絡(luò)接見(jiàn)系統(tǒng)前先提出版面申請(qǐng)，同意后由專(zhuān)人開(kāi)設(shè)賬戶(hù)、分派權(quán)限，并登記存案；c）外面人員離場(chǎng)后應(yīng)實(shí)時(shí)消除其全部的接見(jiàn)權(quán)限。安全建設(shè)管理定級(jí)和存案本項(xiàng)要求包含：a）應(yīng)以書(shū)面的形式說(shuō)明保護(hù)對(duì)象的安全保護(hù)等級(jí)及確立等級(jí)的方法和理由；b）應(yīng)組織有關(guān)部門(mén)和有關(guān)安全技術(shù)專(zhuān)家對(duì)定級(jí)結(jié)果的合理性和正確性進(jìn)行論證和判定；c）應(yīng)保證定級(jí)結(jié)果經(jīng)過(guò)有關(guān)部門(mén)的同意；d）應(yīng)將存案資料報(bào)主管部門(mén)和相應(yīng)公安機(jī)關(guān)存案。安全

13、方案設(shè)計(jì)本項(xiàng)要求包含：9/14a）應(yīng)依據(jù)安全保護(hù)等級(jí)選擇基本安全舉措，依照風(fēng)險(xiǎn)剖析的結(jié)果增補(bǔ)和調(diào)整安全舉措；b）應(yīng)依據(jù)保護(hù)對(duì)象的安全保護(hù)等級(jí)進(jìn)行安全方案設(shè)計(jì)；c）應(yīng)組織有關(guān)部門(mén)和有關(guān)安全專(zhuān)家對(duì)安全方案的合理性和正確性進(jìn)行論證和判定，經(jīng)過(guò)同意后才能正式實(shí)行。9.3產(chǎn)品采買(mǎi)和使用本項(xiàng)要求包含：a）應(yīng)保證網(wǎng)絡(luò)安全產(chǎn)品采買(mǎi)和使用切合國(guó)家的有關(guān)規(guī)定;b）應(yīng)保證密碼產(chǎn)品與服務(wù)的采買(mǎi)和使用切合國(guó)家密碼管理主管部門(mén)的要求。9.4自行軟件開(kāi)發(fā)本項(xiàng)要求包含：a）應(yīng)將開(kāi)發(fā)環(huán)境與實(shí)質(zhì)運(yùn)轉(zhuǎn)環(huán)境物理分開(kāi)，測(cè)試數(shù)據(jù)和測(cè)試結(jié)果遇到控制；b）應(yīng)在軟件開(kāi)發(fā)過(guò)程中對(duì)安全性進(jìn)行測(cè)試，在軟件安裝前對(duì)可能存在的歹意代碼進(jìn)行檢測(cè)。9.5外

14、包軟件開(kāi)發(fā)本項(xiàng)要求包含：a）應(yīng)在軟件交托前檢測(cè)此中可能存在的歹意代碼；b）應(yīng)保證開(kāi)發(fā)單位供給軟件設(shè)計(jì)文檔和使用指南。96工程實(shí)行本項(xiàng)要求包含：a）應(yīng)指定或受權(quán)特意的部門(mén)或人員負(fù)責(zé)工程實(shí)行過(guò)程的管理；b）應(yīng)擬訂安全工程實(shí)行方案控制工程實(shí)行過(guò)程。9.7測(cè)試查收本項(xiàng)要求包含：精選文檔精選文檔 # #10/14精選文檔精選文檔精選文檔13/14 11/14 a）應(yīng)制定測(cè)試查收方案，并依照測(cè)試查收方案實(shí)行測(cè)試查收，形成測(cè)試查收?qǐng)?bào)告；b）應(yīng)進(jìn)行上線(xiàn)前的安全性測(cè)試，并出具安全測(cè)試報(bào)告。系統(tǒng)交托本項(xiàng)要求包含：a）應(yīng)擬訂交托清單，并依據(jù)交托清單對(duì)所交接的設(shè)備、軟件和文檔等進(jìn)行盤(pán)點(diǎn)；b）應(yīng)付負(fù)責(zé)運(yùn)轉(zhuǎn)保護(hù)的技術(shù)人員

15、進(jìn)行相應(yīng)的技術(shù)培訓(xùn)；c）應(yīng)供給建設(shè)過(guò)程文檔和運(yùn)轉(zhuǎn)保護(hù)文檔。9.9等級(jí)測(cè)評(píng)本項(xiàng)要求包含：a）應(yīng)按期進(jìn)行等級(jí)測(cè)評(píng)，發(fā)現(xiàn)不切合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的實(shí)時(shí)整頓；b）應(yīng)在發(fā)生重要更改或級(jí)別發(fā)生變化時(shí)進(jìn)行等級(jí)測(cè)評(píng)；c）應(yīng)保證測(cè)評(píng)機(jī)構(gòu)的選擇切合國(guó)家有關(guān)規(guī)定。9.10服務(wù)供給商選擇本項(xiàng)要求包含：a）應(yīng)保證服務(wù)供給商的選擇切合國(guó)家的有關(guān)規(guī)定;b）應(yīng)與選定的服務(wù)供給商簽署有關(guān)協(xié)議，明確整個(gè)服務(wù)供給鏈各方需執(zhí)行的網(wǎng)絡(luò)安全有關(guān)義務(wù)。管理10安全運(yùn)維環(huán)境管理本項(xiàng)要求包含a）應(yīng)指定特意的部門(mén)或人員負(fù)責(zé)機(jī)房安全，對(duì)機(jī)房出人進(jìn)行管理，按期對(duì)機(jī)房供配電、空調(diào)、溫濕度控制、消防等設(shè)備進(jìn)行保護(hù)管理；b）應(yīng)付機(jī)房的安全管理做出規(guī)定，

16、包含物理接見(jiàn)、物件進(jìn)出和環(huán)境安全等：應(yīng)不在重要地區(qū)招待來(lái)訪(fǎng)人員，不任意擱置含有敏感信息的紙檔文件和挪動(dòng)介質(zhì)等。財(cái)產(chǎn)管理應(yīng)編制并保留與保護(hù)對(duì)象有關(guān)的財(cái)產(chǎn)清單，包含財(cái)產(chǎn)責(zé)任部門(mén)、重要程度和所處地點(diǎn)等內(nèi)容。介質(zhì)管理本項(xiàng)要求包含：a）應(yīng)將介質(zhì)寄存在安全的環(huán)境中，對(duì)各種介質(zhì)進(jìn)行控制和保護(hù)，推行儲(chǔ)存環(huán)境專(zhuān)人管理，并依據(jù)存檔介質(zhì)的目錄清單按期盤(pán)點(diǎn)；b）應(yīng)付介質(zhì)在物理傳輸過(guò)程中的人員選擇、打包、交托等狀況進(jìn)行控制，并對(duì)介質(zhì)的歸檔和查問(wèn)等進(jìn)行登記記錄。10.4設(shè)備保護(hù)管理本項(xiàng)要求包含：a）應(yīng)付各樣設(shè)備（包含備份和冗余設(shè)備）、線(xiàn)路等指定特意的部門(mén)或人員按期進(jìn)行保護(hù)管理；b）應(yīng)付配套設(shè)備、軟硬件保護(hù)管理做出規(guī)定，包

17、含明確保護(hù)人員的責(zé)任、維修和服務(wù)的審批。維修過(guò)程的監(jiān)察控制等。破綻微風(fēng)險(xiǎn)管理應(yīng)采納必需的舉措辨別安全破綻和隱患，對(duì)發(fā)現(xiàn)的安全破綻和隱患實(shí)時(shí)進(jìn)行修理或評(píng)估可能的影響后進(jìn)行修理。網(wǎng)絡(luò)和系統(tǒng)安全管理。本項(xiàng)要求包含：a）應(yīng)區(qū)分不一樣的管理員角色進(jìn)行網(wǎng)絡(luò)和系統(tǒng)的運(yùn)維管理，明確各個(gè)角色的責(zé)任和權(quán)限；b）應(yīng)指定特意的部門(mén)或人員進(jìn)行賬戶(hù)管理，對(duì)申請(qǐng)賬戶(hù)、成立賬戶(hù)、刪除賬戶(hù)等進(jìn)行控制；c）應(yīng)成立網(wǎng)絡(luò)和系統(tǒng)安全管理制度，對(duì)安全策略、賬戶(hù)管理、配置管理、日記管理、平時(shí)操作、升級(jí)與打補(bǔ)丁、口令更新周期等方面作出規(guī)定；12/14d）應(yīng)擬訂重要設(shè)備的配置和操作手冊(cè)，依照手冊(cè)對(duì)設(shè)備進(jìn)行安全配置和優(yōu)化配置等；e）應(yīng)詳盡記錄運(yùn)

18、維操作日記，包含平時(shí)巡檢工作、運(yùn)轉(zhuǎn)保護(hù)記錄、參數(shù)的設(shè)置和改正等內(nèi)容。歹意代碼防備管理本項(xiàng)要求包含：a）應(yīng)提升所實(shí)用戶(hù)的防歹意代碼意識(shí)，對(duì)外來(lái)計(jì)算機(jī)或儲(chǔ)存設(shè)備接人系統(tǒng)行進(jìn)行歹意代碼檢查等；b）應(yīng)付歹意代碼防備要求做出規(guī)定，包含防歹意代碼軟件的受權(quán)使用、歹意代碼庫(kù)升級(jí)、歹意代碼的按期查殺等；c）應(yīng)按期檢查歹意代碼庫(kù)的升級(jí)狀況，對(duì)截獲的歹意代碼進(jìn)行實(shí)時(shí)剖析處理。配置管理應(yīng)記錄和保留基本配置信息，包含網(wǎng)絡(luò)拓?fù)錁?gòu)造、各個(gè)設(shè)備安裝的軟件組件、軟件組件的版本和補(bǔ)丁信息、各個(gè)設(shè)備或軟件組件的配置參數(shù)等。密碼管理本項(xiàng)要求包含：a）應(yīng)依照密碼有關(guān)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn);b）應(yīng)使用國(guó)家密碼管理主管部門(mén)認(rèn)證同意的密碼技術(shù)和產(chǎn)品。更改管理應(yīng)明確更改需求，更改前依據(jù)更改需求擬訂更改方案，更改方案經(jīng)過(guò)評(píng)審、審批后方可實(shí)行。備份與恢復(fù)管理本項(xiàng)要求包含：b）應(yīng)規(guī)定備份信息的備份方式、備份頻度、擬訂數(shù)據(jù)的備份策略和恢復(fù)策略、備份程序a）應(yīng)辨別需要按期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等;儲(chǔ)存介質(zhì)保留期等；c）應(yīng)依據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對(duì)系統(tǒng)運(yùn)轉(zhuǎn)的影響，和恢復(fù)程序等。安全事件處理本項(xiàng)要求包含：a）應(yīng)實(shí)時(shí)向安全管理部門(mén)報(bào)告所發(fā)現(xiàn)的安