二级(S2A2G2)安全运维管理(通用) 安全运维管理现场访谈记录表 访问者: 访问者职务: 被访问者: 被访问者职务: 访问日期: 访问地点: 安全子项 测评指标 a) 应指定专门的部门或人员负责机房安全,对机房出入进行管理,定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理; 环境管理(G2) b) 应对机房的安全管理做出规定,包括机房物理访问、物品带进带出和机房环境安全等; c) 应不在重要区域接待来访人员和桌面上没有包含敏感信息的纸档文件、移动介质等; 资产管理(G2) a) 应编制并保存与保护对象相关的资产清单,包括资产责任部门、重要程度和所处位置等内容; a) 应确保介质存放在安全的环境中,对各类介质进行控制和保护,实行存介质管理目录清单定期盘点; (G2)) b) 应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,并对介质的归档和查询等进行登记记录; a) 应对各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员设备维护管理(G2) 定期进行维护管理; b) 应对配套设施、软硬件维护管理做出规定,包括明确维护人员的责任、维修和服务的审批、维修过程的监督控制等; 漏洞和风险管理(G2) 结果记录 符合情况 储环境专人管理,并根据存档介质的 a) 应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补 1 二级(S2A2G2)安全运维管理(通用) 安全子项 测评指标 a) 应划分不同的管理员角色进行网络和系统的运维管理,明确各个角色的责任和权限; b) 应指定专门的部门或人员进行账户管理,对申请账户、建立账户、删除账户等进行控制; c) 应建立网络和系统安全管理制度, 结果记录 符合情况 网络和系对安全策略、账户管理、配置管理、日统安全管志管理、日常操作、升级与打补丁、口理(G2) 令更新周期等方面作出规定; d) 应制定重要设备的配置和操作手册,依据手册对设备进行安全配置和优化配置等; e) 应详细记录运维操作日志,包括日常巡检工作、运行维护记录、参数的设置和修改等内容; a) 应提高所有用户的防恶意代码意识,告知对外来计算机或存储设备接入系统前进行恶意代码检查等; 恶意代码防范管理(G2) b) 应对恶意代码防范要求做出规定,包括防恶意代码软件的授权使用、恶意代码库升级、恶意代码的定期查杀等; c) 应定期检查恶意代码库的升级情况,对截获的恶意代码进行及时分析处理; a) 应记录和保存基本配置信息,包括配置管理(G2) 网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等 密码管理(G2) 变更管理(G2) a) 应使用国家密码管理主管部门认证核准的密码 技术和 产品; a) 应明确系统变更需求,变更前根据变更需求制定 变更方案,变更方案经过评审、审批后方可实施; a) 应识别需要定期备份的重要业务信息、系统数据及软件系统等; 2 二级(S2A2G2)安全运维管理(通用) 安全子项 测评指标 b) 应规定备份信息的备份方式、备份 结果记录 符合情况 备份与恢复管理(G2) 频度、存储介质、保存期等; c) 应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略、备份程序和恢复程序等; a) 应及时向安全管理部门报告所发现的安全弱点和可疑事件; b) 应制定安全事件报告和处置管理制度,明确不同安全事件的报告、处置和响应流程,规定安全事件的现场处理、事件报告和后期恢复的管理职责等; c) 应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训; a) 应制定重要事件的应急预案,包括应急处理流程、系统恢复流程等内容; b) 应定期对系统相关的人员进行应急预案培训,并进行应急预案的演练; a) 应确保外包运维服务商的选择符合国家的有关规定; 安全事件处置(G2) 应急预案管理(G2) 外包运维b) 应与选定的外包运维服务商签订相管理(G2) 关的协议,明确约定外包运维的范围、 工作内容。 测评结果确认 测评人员签名: 用户签名: 3 本文来源:https://www.wddqw.com/doc/c15404f958eef8c75fbfc77da26925c52dc5914d.html