序号测评指标控制项检查对象安全通用要求1环境管理234资产管理567介质管理8910a) 应指定专门的部门或人员负责机房安全,对机房出入进行管理,定期对机房供配电、空调、温 湿度控制、消防等设施进行维护管理; 物理安全负责人和记录表单类文档b) 应建立机房安全管理制度,对有关物理访问、物品带进出和环境安全等方面的管理作出规定;管理制度类文档和记录表单类文档c) 应不在重要区域接待来访人员,不随意放置含有敏感信息的纸档文件和移动介质等。 管理制度类文档和办公环境a) 应编制并保存与保护对象相关的资产清单,包括资产责任部门、重要程度和所处位置等内容;记录表单类文档b) 应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施; 资产管理员、管理制度类文档和设备c) 应对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。管理制度类文档a) 应将介质存放在安全的环境中,对各类介质进行控制和保护,实行存储环境专人管理,并根据 存档介质的目录清单定期盘点;资产管理员和记录表单类文档b) 应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,并对介质的归档和查询 等进行登记记录。 资产管理员和记录表单类文档设备维护管理a) 应对各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理;设备管理员和管理制度类文档b) 应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维护人员 的责任、维修和服务的审批、维修过程的监督控制等; 管理制度类文档和记录表单类文档1112设备管理员13141516171819202122设备维护管理c) 信息处理设备应经过审批才能带离机房或办公地点,含有存储介质的设备带出工作环境时其 中重要数据应加密; 设备管理员和记录表单类文档d) 含有存储介质的设备在报废或重用前,应进行完全清除或被安全覆盖,保证该设备上的敏感 数据和授权软件无法被恢复重用。 漏洞和风险管理a) 应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的 影响后进行修补; 记录表单类文档b) 应定期开展安全测评,形成安全测评报告,采取措施应对发现的安全问题。 安全管理员和记录表单类文档网络和系统安全管理a) 应划分不同的管理员角色进行网络和系统的运维管理,明确各个角色的责任和权限; 记录表单类文档b) 应指定专门的部门或人员进行账户管理,对申请账户、建立账户、删除账户等进行控制;运维负责人和记录表单类文档c) 应建立网络和系统安全管理制度,对安全策略、账户管理、配置管理、日志管理、日常操作、 升级与打补丁、口令更新周期等方面作出规定; 管理制度类文档d) 应制定重要设备的配置和操作手册,依据手册对设备进行安全配置和优化配置等; 操作规程类文档e) 应详细记录运维操作日志,包括日常巡检工作、运行维护记录、参数的设置和修改等内容; 记录表单类文档f) 应指定专门的部门或人员对日志、监测和报警数据等进行分析、统计,及时发现可疑行为; 系统管理员和记录表单类文档g) 应严格控制变更性运维,经过审批后才可改变连接、安装系统组件或调整配置参数,操作过 程中应保留不可更改的审计日志,操作结束后应同步更新配置信息库; 系统管理员和记录表单类文档h) 应严格控制运维工具的使用,经过审批后才可接入进行操作,操作过程中应保留不可更改的 审计日志,操作结束后应删除工具中的敏感数据; 系统管理员和记录表单类文档2324252627配置管理系统管理员2829密码管理安全管理员30安全管理员31变更管理323334网络和系统安全管理i) 应严格控制远程运维的开通,经过审批后才可开通远程运维接口或通道,操作过程中应保留 不可更改的审计日志,操作结束后立即关闭接口或通道; 系统管理员和记录表单类文档j) 应保证所有与外部的连接均得到授权和批准,应定期检查违反规定无线上网及其他违反网络 安全策略的行为。 安全管理员和记录表单类文档恶意代码防范管理a) 应提高所有用户的防恶意代码意识,对外来计算机或存储设备接入系统前进行恶...
