第一篇：信息安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)項(xiàng)目需求書V20(招標(biāo)文件)

信息安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)項(xiàng)目需求書

一、項(xiàng)目?jī)?nèi)容

XX銀行股份有限公司成立于xxxx年，xxxx年末，資產(chǎn)規(guī)模達(dá)xxxx億元。在北京、天津、沈陽(yáng)、大連、哈爾濱等地區(qū)設(shè)立分行。目前，與70多個(gè)國(guó)家及地區(qū)500多個(gè)金融機(jī)構(gòu)開展業(yè)務(wù)，代理行網(wǎng)絡(luò)遍及世界各地。

作為重點(diǎn)金融機(jī)構(gòu)，其信息系統(tǒng)承載了非常重要的患者數(shù)據(jù)。為保證本行信息系統(tǒng)安全、降低風(fēng)險(xiǎn)，提高管理能力，進(jìn)一步加強(qiáng)內(nèi)部網(wǎng)絡(luò)的整體安全防護(hù)能力，全面提升我行信息系統(tǒng)整體安全防范能力。特對(duì)本行核心網(wǎng)絡(luò)系統(tǒng)進(jìn)行2015年度安全等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目，本項(xiàng)目為預(yù)算為XX萬(wàn)。服務(wù)范圍： 系統(tǒng)名稱

級(jí)別

核心網(wǎng)絡(luò)系統(tǒng)

第三級(jí)

二、服務(wù)年限

投標(biāo)人中標(biāo)，簽訂合同之日起一年

三、要求條款 要求項(xiàng)目

需求條款

是否為實(shí)質(zhì)性條款

原因說(shuō)明（實(shí)質(zhì)性條款需列明原因）

資格要求

資格 要求

投標(biāo)人必須是在天津工商行政管理部門注冊(cè)的企業(yè)，投標(biāo)時(shí)應(yīng)提交加蓋投標(biāo)人公章的營(yíng)業(yè)執(zhí)照副本復(fù)印件。（復(fù)印件加蓋公章，現(xiàn)場(chǎng)攜帶原件備查）

是

企業(yè)資格常規(guī)及本地化服務(wù)要求。

投標(biāo)人必須具有公安部頒發(fā)的信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書。（復(fù)印件加蓋公章，現(xiàn)場(chǎng)攜帶原件備查）

是

安全資質(zhì)認(rèn)證要求，有資格和能力對(duì)我單位進(jìn)行等保評(píng)測(cè)響應(yīng)和等保整改方案應(yīng)對(duì)工作。

商務(wù)要求

企業(yè) 資信

投標(biāo)人必須具有依法繳納稅收和社會(huì)保障款項(xiàng)的良好記錄；（提供近一年的完稅證明和社保繳存記錄復(fù)印件，加蓋公章）

否

投標(biāo)人應(yīng)提供稅務(wù)登記證復(fù)印件，組織機(jī)構(gòu)代碼證復(fù)印件。（復(fù)印件加蓋公章，原件攜帶備查）

否

企業(yè) 業(yè)績(jī)

投標(biāo)人應(yīng)證明其履行等級(jí)保護(hù)測(cè)評(píng)服務(wù)的能力，提供2014年至今金融行業(yè)三級(jí)或三級(jí)以上信息系統(tǒng)測(cè)評(píng)成果案例一項(xiàng)。提供測(cè)評(píng)案例證明材料，包括合同復(fù)印件、驗(yàn)收?qǐng)?bào)告復(fù)印件等(合同原件,驗(yàn)收?qǐng)?bào)告原件,測(cè)評(píng)報(bào)告原件攜帶備查）。

否

人員 資格

現(xiàn)場(chǎng)實(shí)施人員應(yīng)包含Cisco CCIE、華為、華三等認(rèn)證的安全服務(wù)工程師。（復(fù)印件加蓋公章，現(xiàn)場(chǎng)攜帶原件備查）。

否

應(yīng)建立人員安排完備的安全服務(wù)小組，安全服務(wù)小組中應(yīng)具備通過(guò)信息安全等級(jí)保護(hù)測(cè)評(píng)師認(rèn)證的安全服務(wù)工程師組成。（證書復(fù)印件加蓋公章，現(xiàn)場(chǎng)攜帶原件備查）。

否

安全服務(wù)小組內(nèi)現(xiàn)場(chǎng)實(shí)施人員應(yīng)包含ISO27001、ITIL等認(rèn)證的安全服務(wù)工程師，該工程師必須為等保測(cè)評(píng)師（復(fù)印件加蓋公章，現(xiàn)場(chǎng)攜帶測(cè)評(píng)師證和相關(guān)證書原件備查）。

否

驗(yàn)收 標(biāo)準(zhǔn)

項(xiàng)目實(shí)施過(guò)程中保證招標(biāo)人系統(tǒng)正常運(yùn)行，確保招標(biāo)人信息系統(tǒng)經(jīng)過(guò)安全建設(shè)后，順利通過(guò)等級(jí)保護(hù)評(píng)測(cè)，并獲得相關(guān)部門認(rèn)可。

否

報(bào)價(jià)

投標(biāo)方必須在報(bào)價(jià)中根據(jù)招標(biāo)人實(shí)際情況列出總體方案價(jià)格和對(duì)應(yīng)各項(xiàng)工作的詳細(xì)報(bào)價(jià)。

否

售后 服務(wù)

項(xiàng)目驗(yàn)收后，投標(biāo)人提供1年免費(fèi)技術(shù)支持服務(wù)，對(duì)招標(biāo)人安全加固提供咨詢建議。

否

交貨 時(shí)間

交貨期：簽訂合同之日起12個(gè)月內(nèi)。

否

交貨 地點(diǎn)

交貨地點(diǎn)：招標(biāo)人指定地點(diǎn)。

否

付款 方式

合同簽訂5個(gè)工作日內(nèi)，招標(biāo)人向中標(biāo)單位支付全部合同額。

否

罰則

未按約定的時(shí)間完成項(xiàng)目，招標(biāo)人有權(quán)按照每延誤一日扣除合同金額萬(wàn)分之五的處罰金，并向供應(yīng)商索賠因此引起的全部損失。

否

四、技術(shù)要求 序號(hào)

采購(gòu)項(xiàng)名稱

需求條款

是否為實(shí)質(zhì)性條款

原因說(shuō)明（實(shí)質(zhì)性條款需列明原因）

等級(jí)保護(hù)差距分析

投標(biāo)人應(yīng)對(duì)招標(biāo)人提供信息系統(tǒng)差距分析服務(wù)，通過(guò)對(duì)信息系統(tǒng)安全差距分析，從信息系統(tǒng)現(xiàn)狀出發(fā)，明確招標(biāo)人重要信息系統(tǒng)中存在的風(fēng)險(xiǎn)和相關(guān)脆弱點(diǎn)，并出具《信息系統(tǒng)差距分析報(bào)告》

否

等保評(píng)測(cè)響應(yīng)

在項(xiàng)目實(shí)施前，應(yīng)根據(jù)差距分析的結(jié)果及招標(biāo)人實(shí)際情況，編制信息安全等級(jí)保護(hù)測(cè)評(píng)方案。

否

投標(biāo)人應(yīng)對(duì)招標(biāo)人重要信息系統(tǒng)提供正式測(cè)評(píng)，測(cè)評(píng)范圍包括但不限于如下內(nèi)容：

安全技術(shù)測(cè)評(píng)：物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全等五個(gè)方面的安全測(cè)評(píng)。安全管理測(cè)評(píng)：安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)方面的安全測(cè)評(píng)。

否

投標(biāo)人完成對(duì)招標(biāo)人信息系統(tǒng)等級(jí)保護(hù)系統(tǒng)測(cè)評(píng)工作后,應(yīng)出具符合國(guó)家要求的等級(jí)保護(hù)測(cè)評(píng)報(bào)告，并完成報(bào)告通過(guò)天津市網(wǎng)監(jiān)備案工作，以保證信息系統(tǒng)可以順利通過(guò)信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)。

否

等保整改方案應(yīng)對(duì)

根據(jù)招標(biāo)人臨時(shí)或計(jì)劃的要求，響應(yīng)等保整改方案中的所有內(nèi)容。

否

測(cè)評(píng)質(zhì)量控制

投標(biāo)人應(yīng)具備完善的項(xiàng)目質(zhì)量管理能力，確保測(cè)評(píng)實(shí)施流程規(guī)范合理，測(cè)評(píng)結(jié)果準(zhǔn)確有效。

否

應(yīng)急處置方案

投標(biāo)人應(yīng)具備在項(xiàng)目實(shí)施過(guò)程中的風(fēng)險(xiǎn)控制能力，保證招標(biāo)人系統(tǒng)正常穩(wěn)定運(yùn)行，對(duì)于系統(tǒng)突發(fā)安全事件有應(yīng)急處置方案。

否

五、評(píng)分因素及評(píng)標(biāo)標(biāo)準(zhǔn) 第一部分商務(wù)因素（35分）本地化服務(wù)（3分）

投標(biāo)人是在天津工商行政管理部門注冊(cè)企業(yè)（3分）

投標(biāo)人在天津設(shè)有分公司、全資子公司或與本項(xiàng)目服務(wù)相關(guān)的投資公司（投資比例需超過(guò)50%，提供戶卡或驗(yàn)資報(bào)告），并在天津依法納稅滿一年的（提供納稅發(fā)票復(fù)印件）（2分）投標(biāo)人在本市具有常駐機(jī)構(gòu)，提供房屋租賃合同或產(chǎn)權(quán)證明（1分）

投標(biāo)人具備GB/T19001系列或ISO9001系列質(zhì)量管理體系認(rèn)證，提供證書復(fù)印件（1分）具備1分，不具備0分

投標(biāo)人需建立安全服務(wù)小組，投標(biāo)人安全服務(wù)小組內(nèi)實(shí)施人員應(yīng)具備信息安全等級(jí)保護(hù)師認(rèn)證（項(xiàng)目實(shí)施人員應(yīng)為投標(biāo)人的本單位的正式員工，提供相關(guān)認(rèn)證原件、勞動(dòng)合同和社保證明）（3分）

投標(biāo)人安全服務(wù)小組內(nèi)實(shí)施人員均為信息安全等級(jí)保護(hù)測(cè)評(píng)師，項(xiàng)目中安排高級(jí)、中級(jí)、初級(jí)測(cè)評(píng)師完成測(cè)評(píng)工作，分工合理。（3分）

投標(biāo)人安全服務(wù)小組內(nèi)實(shí)施人員部分具備信息安全等級(jí)保護(hù)測(cè)評(píng)師認(rèn)證（1分）投標(biāo)人安全服務(wù)小組內(nèi)實(shí)施人員無(wú)信息安全等級(jí)保護(hù)測(cè)評(píng)師認(rèn)證（0分）

安全服務(wù)小組內(nèi)實(shí)施人員應(yīng)包含Cisco CCIE、華為、華三等認(rèn)證的安全服務(wù)工程師（項(xiàng)目實(shí)施人員應(yīng)為投標(biāo)人的本單位的正式員工，要求提供相關(guān)認(rèn)證原件、勞動(dòng)合同和社保證明）。（3分）

（1）現(xiàn)場(chǎng)實(shí)施人員提供上述所有認(rèn)證資質(zhì)證明文件：3分（2）現(xiàn)場(chǎng)實(shí)施人員提供上述1-2項(xiàng)證書資質(zhì)證明文件：1分（3）未提供或不符合要求的：0分。

投標(biāo)人安全服務(wù)小組內(nèi)實(shí)施人員應(yīng)包含ISO27001、ITIL等認(rèn)證的安全服務(wù)工程師（項(xiàng)目實(shí)施人員應(yīng)為投標(biāo)人的本單位的正式員工，提供相關(guān)認(rèn)證原件、勞動(dòng)合同和社保證明）。（2分）（1）現(xiàn)場(chǎng)實(shí)施人員提供上述所有認(rèn)證資質(zhì)證明文件：3分

（2）現(xiàn)場(chǎng)實(shí)施人員提供上述任意一項(xiàng)項(xiàng)證書資質(zhì)證明文件：1分（3）未提供或不符合要求的：0分。

投標(biāo)人實(shí)施能力，提供自2014年至今金融行業(yè)三級(jí)或三級(jí)以上信息系統(tǒng)測(cè)評(píng)成果案例一項(xiàng)（3分）

測(cè)評(píng)系統(tǒng)為四級(jí)系統(tǒng)：3分 測(cè)評(píng)系統(tǒng)為三級(jí)系統(tǒng)：1分

測(cè)評(píng)系統(tǒng)為二級(jí)及以下系統(tǒng)：0分 價(jià)格（20分）

（1）投標(biāo)報(bào)價(jià)超過(guò)采購(gòu)預(yù)算的，投標(biāo)無(wú)效，未超過(guò)采購(gòu)預(yù)算的投標(biāo)報(bào)價(jià)按以下公式進(jìn)行計(jì)算

（2）投標(biāo)報(bào)價(jià)得分=（評(píng)標(biāo)基準(zhǔn)價(jià)/投標(biāo)報(bào)價(jià)）×20 注：滿足招標(biāo)文件要求且投標(biāo)報(bào)價(jià)最低的投標(biāo)報(bào)價(jià)為評(píng)標(biāo)基準(zhǔn)價(jià)

第二部分技術(shù)因素（65分）

信息安全等級(jí)保護(hù)差距分析（8分）

投標(biāo)人應(yīng)根據(jù)招標(biāo)人信息系統(tǒng)現(xiàn)狀情況，結(jié)合該信息系統(tǒng)級(jí)別要求，建立相關(guān)方案，分析招標(biāo)人信息系統(tǒng)與等級(jí)保護(hù)要求的差距情況，并出具《信息安全等級(jí)保護(hù)差距分析報(bào)告》 投標(biāo)人相關(guān)項(xiàng)目經(jīng)驗(yàn)豐富，熟悉差距分析內(nèi)容，建立詳細(xì)的差距分析方案，并在差距分析工作完成后出具符合要求的《信息安全等級(jí)保護(hù)差距分析報(bào)告》（8分）

投標(biāo)人相關(guān)項(xiàng)目經(jīng)驗(yàn)較多，比較熟悉差距分析內(nèi)容，所建立差距分析方案內(nèi)容比較詳盡，可在差距分析工作后出具相關(guān)文件（4分）

投標(biāo)人相關(guān)項(xiàng)目經(jīng)驗(yàn)很少，不熟悉差距分析內(nèi)容，所建立差距分析方案內(nèi)容不充分，無(wú)法在差距分析工作后出具相關(guān)文件（0分）信息安全等級(jí)保護(hù)方案（27分）

投標(biāo)人服務(wù)方案規(guī)范化及標(biāo)準(zhǔn)化程度（7分）投標(biāo)人相關(guān)項(xiàng)目經(jīng)驗(yàn)非常豐富，非常熟悉完成項(xiàng)目所有工作內(nèi)容，提供的服務(wù)方案規(guī)范性及標(biāo)準(zhǔn)化程度很高：7分； 投標(biāo)人相關(guān)項(xiàng)目經(jīng)驗(yàn)較多，比較熟悉完成項(xiàng)目所有工作內(nèi)容，提供的服務(wù)方案規(guī)范性及標(biāo)準(zhǔn)化程度比較好：5分；

投標(biāo)人相關(guān)項(xiàng)目經(jīng)驗(yàn)很少，基本能夠完成項(xiàng)目所有工作內(nèi)容，提供的服務(wù)方案規(guī)范性及標(biāo)準(zhǔn)化程度一般：3分；

投標(biāo)人服務(wù)方案的針對(duì)性、可行性、完整性（10分）

服務(wù)方案完整，充分考慮用戶需求，服務(wù)方案針對(duì)性及可行性很高：10分 服務(wù)方案比較完整，服務(wù)方案具有一定的針對(duì)性及可行性：7分 服務(wù)方案不夠完整，且服務(wù)方案的針對(duì)性及可行性一般：4分 投標(biāo)人服務(wù)方案中對(duì)本服務(wù)項(xiàng)目任務(wù)、需求的理解程度（10分）

全面分析了用戶現(xiàn)狀、性能要求、實(shí)施要求等內(nèi)容，對(duì)于本項(xiàng)目任務(wù)目標(biāo)及需求理解深刻：10分；

對(duì)于用戶系統(tǒng)現(xiàn)狀、性能要求、實(shí)施要求等內(nèi)容闡述不夠充分，對(duì)于本項(xiàng)目任務(wù)目標(biāo)及需求有基本了解：7分；

對(duì)用戶信息化現(xiàn)狀、業(yè)務(wù)需求了解不夠充分：4分 信息安全等級(jí)保護(hù)響應(yīng)（6分）

投標(biāo)人應(yīng)響應(yīng)招標(biāo)人信息系統(tǒng)等級(jí)評(píng)測(cè)需求，完成其重要信息系統(tǒng)等級(jí)安全測(cè)評(píng)，出具符合國(guó)家規(guī)定的等級(jí)測(cè)評(píng)報(bào)告，負(fù)責(zé)提交有關(guān)部門，并保證招標(biāo)人信息系統(tǒng)可以順利通過(guò)等保評(píng)測(cè)。

具有完善的等級(jí)測(cè)評(píng)計(jì)劃，包含測(cè)評(píng)的各個(gè)環(huán)節(jié)、測(cè)評(píng)范圍、質(zhì)量控制、風(fēng)險(xiǎn)控制、完成標(biāo)準(zhǔn)，實(shí)施測(cè)評(píng)方案充分體現(xiàn)了完整性、針對(duì)性、專業(yè)性的：（6分）

具有較完善的等級(jí)測(cè)評(píng)計(jì)劃，基本包含測(cè)評(píng)的各個(gè)環(huán)節(jié)、測(cè)評(píng)范圍、質(zhì)量控制、風(fēng)險(xiǎn)控制、完成標(biāo)準(zhǔn)，實(shí)施測(cè)評(píng)方案基本體現(xiàn)了完整性、針對(duì)性、專業(yè)性的：（3分）

無(wú)完善的等級(jí)測(cè)評(píng)計(jì)劃，缺少等級(jí)測(cè)評(píng)的重要環(huán)節(jié)、測(cè)評(píng)范圍、質(zhì)量控制、風(fēng)險(xiǎn)控制、完成標(biāo)準(zhǔn)等，實(shí)施測(cè)評(píng)方案缺乏完整性、針對(duì)性、專業(yè)性的：（0分）測(cè)評(píng)內(nèi)容應(yīng)對(duì)（6分）

招標(biāo)人應(yīng)結(jié)合招標(biāo)人信息系統(tǒng)現(xiàn)狀進(jìn)行信息安全等級(jí)保護(hù)測(cè)評(píng)，測(cè)評(píng)范圍包括但不限于如下內(nèi)容：

安全技術(shù)測(cè)評(píng)：物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全等五個(gè)方面的安全測(cè)評(píng)。安全管理測(cè)評(píng)：安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)方面的安全測(cè)評(píng)。測(cè)評(píng)內(nèi)容詳盡，具有測(cè)評(píng)方案，符合招標(biāo)人要求，每項(xiàng)測(cè)評(píng)內(nèi)容均具有測(cè)評(píng)指導(dǎo)書，每項(xiàng)環(huán)節(jié)均留有相關(guān)測(cè)評(píng)材料（6分）

測(cè)評(píng)內(nèi)容不夠詳盡，無(wú)具體方案指導(dǎo)，不符合等保及招標(biāo)人要求，測(cè)評(píng)指導(dǎo)書不夠充實(shí)（3分）

對(duì)招標(biāo)人需測(cè)評(píng)的內(nèi)容把握不足，現(xiàn)在工作中不具備測(cè)評(píng)指導(dǎo)書，無(wú)法保證每項(xiàng)環(huán)節(jié)均具有相關(guān)測(cè)評(píng)材料（0分）

信息安全等級(jí)保護(hù)整改方案應(yīng)對(duì)（6分）投標(biāo)人根據(jù)招標(biāo)人臨時(shí)或計(jì)劃的要求，響應(yīng)等保整改方案中的所有內(nèi)容，出具符合國(guó)家標(biāo)準(zhǔn)的等級(jí)測(cè)評(píng)報(bào)告，并對(duì)報(bào)告中設(shè)計(jì)的安全問(wèn)題協(xié)助指導(dǎo)招標(biāo)人進(jìn)行改正。投標(biāo)人出具符合國(guó)家標(biāo)準(zhǔn)的正式版測(cè)評(píng)報(bào)告，并報(bào)送相關(guān)部門； 投標(biāo)人針對(duì)報(bào)告中提出的安全整改項(xiàng)協(xié)助投標(biāo)人完成整改工作的；

投標(biāo)人滿足全部要求得6分，投標(biāo)人滿足一項(xiàng)要求得3分，無(wú)滿足得0分。項(xiàng)目質(zhì)量控制（6分）

投標(biāo)人應(yīng)編制相關(guān)方案證明投標(biāo)人具備完善的項(xiàng)目質(zhì)量管理能力，確保測(cè)評(píng)實(shí)施流程規(guī)范合理，測(cè)評(píng)結(jié)果準(zhǔn)確有效。

具有完善的質(zhì)量控制方案（6分）質(zhì)量控制方案內(nèi)容一般（3分）質(zhì)量控制方案內(nèi)容較差（1分）應(yīng)急處置方案（6分）

投標(biāo)人應(yīng)針對(duì)測(cè)評(píng)過(guò)程中各項(xiàng)環(huán)節(jié)可能出現(xiàn)的突發(fā)事件建立針對(duì)本項(xiàng)目的應(yīng)急處置方案，以應(yīng)對(duì)突發(fā)事件出現(xiàn)后可迅速解決，防止給招標(biāo)人信息系統(tǒng)帶來(lái)影響。應(yīng)急處置方案比較細(xì)致、全面，各種故障處理準(zhǔn)備充分（6分）應(yīng)急處置方案比較細(xì)致，各種故障處理比較充分（3分）應(yīng)急處置方案不夠資質(zhì)，各種故障處理準(zhǔn)備不夠充分（1分）

第二篇：信息安全等級(jí)保護(hù)測(cè)評(píng)

TopSec可信等級(jí)體系 天融信等級(jí)保護(hù)方案

Hacker.cn 更新時(shí)間:08-03-27 09:37 來(lái)源:硅谷動(dòng)力 作者:中安網(wǎng)

1.等級(jí)保護(hù)概述

1.1為什么要實(shí)行等級(jí)保護(hù)？

信息系統(tǒng)與社會(huì)組織體系是具有對(duì)應(yīng)關(guān)系的，而這些組織體系是分層次和級(jí)別的，因此各種信息系統(tǒng)是具有不同等級(jí)的重要性和社會(huì)、經(jīng)濟(jì)價(jià)值的。對(duì)信息系統(tǒng)的基礎(chǔ)資源和信息資源的價(jià)值大小、用戶訪問(wèn)權(quán)限的大小、大系統(tǒng)中各子系統(tǒng)的重要程度進(jìn)行區(qū)別對(duì)待就是級(jí)別的客觀要求。信息安全必須符合這些客觀要求，這就需要對(duì)信息系統(tǒng)進(jìn)行分級(jí)、分區(qū)域、分階段進(jìn)行保護(hù)，這是做好國(guó)家信息安全的必要條件。

1.2等級(jí)保護(hù)的政策文件

信息安全等級(jí)保護(hù)工作非常重要，為此從2003年開始國(guó)家發(fā)布了一系列政策文件，具體如下：

2003年9月，中辦國(guó)辦頒發(fā)《關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號(hào)），這是我國(guó)第一個(gè)信息安全保障工作的綱領(lǐng)性文件，戰(zhàn)略目標(biāo)為經(jīng)過(guò)五年努力，基本形成國(guó)家信息安全保障體系，實(shí)行等級(jí)保護(hù)制度。

2004年11月，四部委會(huì)簽《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》（公通字[2004]66號(hào)）：等級(jí)保護(hù)是今后國(guó)家信息安全的基本制度也是根本方法、等級(jí)保護(hù)制度的重要意義、原則、基本內(nèi)容、工作職責(zé)分工、工作要求和實(shí)施計(jì)劃。2005年9月，國(guó)信辦文件，《關(guān)于轉(zhuǎn)發(fā)《電子政務(wù)信息安全等級(jí)保護(hù)實(shí)施指南》的通知》（國(guó)信辦[2004]25號(hào)）：基本原理、定級(jí)方法、安全規(guī)劃與設(shè)計(jì)、實(shí)施與運(yùn)營(yíng)、大型復(fù)雜電子政務(wù)系統(tǒng)等級(jí)保護(hù)過(guò)程。

2005年，公安部標(biāo)準(zhǔn)：《等級(jí)保護(hù)安全要求》、《等級(jí)保護(hù)定級(jí)指南》、《等級(jí)保護(hù)實(shí)施指南》、《等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則》。

2006年1月，四部委會(huì)簽《關(guān)于印發(fā)《信息安全等級(jí)保護(hù)管理辦法的通知》（公通字[2006]7號(hào)）。

1.3 等級(jí)保護(hù)的管理結(jié)構(gòu)－北京為例

等級(jí)保護(hù)的實(shí)施和落實(shí)離不開各級(jí)管理機(jī)構(gòu)的指導(dǎo)和監(jiān)督，這在等級(jí)保護(hù)的相關(guān)文件中已經(jīng)得到了規(guī)定，下面以北京市為例來(lái)說(shuō)明管理機(jī)構(gòu)的組成和職責(zé)，具體如下圖所示：

1.4等級(jí)保護(hù)理論的技術(shù)演進(jìn)

在等級(jí)保護(hù)理論被提出以后，經(jīng)過(guò)相關(guān)部門的努力工作，逐漸提出了一系列原則、技術(shù)和框架，已經(jīng)具備實(shí)施等級(jí)保護(hù)工作的基礎(chǔ)條件了，其具體演進(jìn)過(guò)程如下圖所示：

1.5等級(jí)保護(hù)的基本需求

一個(gè)機(jī)構(gòu)要實(shí)施等級(jí)保護(hù)，需要基本需求。由于等級(jí)保護(hù)是國(guó)家推動(dòng)的旨在規(guī)范安全工作的基本工作制度，因此各級(jí)組織在這方面就存在如下需求：

（1）政策要求－符合等級(jí)保護(hù)的要求。系統(tǒng)符合《基本要求》中相應(yīng)級(jí)別的指標(biāo)，符合《測(cè)評(píng)準(zhǔn)則》中的要求。

（2）實(shí)際需求－適應(yīng)客戶實(shí)際情況。適應(yīng)業(yè)務(wù)特性與安全要求的差異性，可工程化實(shí)施。

1.6基本安全要求的結(jié)構(gòu)

對(duì)系統(tǒng)進(jìn)行定級(jí)后，需要通過(guò)努力達(dá)到相應(yīng)等級(jí)的基本安全要求，在總體上分為技術(shù)要求和管理要求，技術(shù)上又分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全，在管理要求中又分為安全管理機(jī)構(gòu)、安全管理制度等5項(xiàng)，具體如下圖所示：

2.等級(jí)保護(hù)實(shí)施中的困難與出路

由于等級(jí)保護(hù)制度還處于探討階段，目前來(lái)看，尚存在如下困難：

1.標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)，否則：

a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島

b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難

c)各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平

2.在建立長(zhǎng)效機(jī)制方面考慮較少，難以做到可持續(xù)運(yùn)行、發(fā)展和完善

3.管理難度太大，管理成本高

4.大型客戶最關(guān)注的關(guān)鍵要求指標(biāo)超出《基本要求》規(guī)定

針對(duì)上述問(wèn)題，在下面幾小節(jié)分別給出了堅(jiān)決辦法。

2.1安全體系設(shè)計(jì)方法

需求分析－1

問(wèn)題1：標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)

a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島

需求：從組織整體出發(fā)，綜合考核所有系統(tǒng)

方法：引入體系設(shè)計(jì)方法

2.2保護(hù)對(duì)象框架設(shè)計(jì)方法

需求分析－2

1.標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)

a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島

b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難

需求：準(zhǔn)確地進(jìn)行大系統(tǒng)的分解和描述，反映實(shí)際特性和差異性安全要求

方法：引入保護(hù)對(duì)象框架設(shè)計(jì)方法

保護(hù)對(duì)象框架－政府行業(yè)

保護(hù)對(duì)象框架－電信行業(yè)

保護(hù)對(duì)象框架－銀行業(yè)

2.3安全平臺(tái)的設(shè)計(jì)與建設(shè)方法

需求分析－3

1.標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)

a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島

b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難

c)各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平

需求：統(tǒng)一規(guī)劃，集中建設(shè)，避免重復(fù)和分散，降低成本，提高建設(shè)水平

方法：引入安全平臺(tái)的設(shè)計(jì)與建設(shè)方法

平臺(tái)定義：為系統(tǒng)提供互操作性及其服務(wù)的環(huán)境

2.4建立安全運(yùn)行體系

需求分析－4

1.標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)

a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島

b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難

c)各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平

2.在建立長(zhǎng)效機(jī)制方面考慮較少，難以做到可持續(xù)運(yùn)行、發(fā)展和完善

需求：建立長(zhǎng)效機(jī)制，建立可持續(xù)運(yùn)行、發(fā)展和完善的體系

方法：建立安全運(yùn)行體系

2.5安全運(yùn)維工作過(guò)程

需求分析－5

1.標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)

a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島

b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難

c)各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平

2.在建立長(zhǎng)效機(jī)制方面考慮較少，難以做到可持續(xù)運(yùn)行、發(fā)展和完善

3.管理難度太大，管理成本高

需求：需要高水平、自動(dòng)化的安全管理工具

方法：TSM安全管理平臺(tái)

2.6 TNA可信網(wǎng)絡(luò)架構(gòu)模型

需求分析－6

1.標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)

a)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島

b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難

c)各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平

2.在建立長(zhǎng)效機(jī)制方面考慮較少，難以做到可持續(xù)運(yùn)行、發(fā)展和完善

3.管理難度太大，管理成本高

4.大型客戶最關(guān)注的關(guān)鍵指標(biāo)超出《基本要求》規(guī)定

需求：在《基本要求》基礎(chǔ)上提出更強(qiáng)的措施，滿足客戶最關(guān)注的指標(biāo)

方法：引入可信計(jì)算的理念，提供可信網(wǎng)絡(luò)架構(gòu)

3.總體解決方案－TopSec可信等級(jí)體系

按照上面解決等級(jí)保護(hù)目前困難的方法，總體解決方案就是建立TopSec可信等級(jí)體系：

遵照國(guó)家等級(jí)保護(hù)制度、滿足客戶實(shí)際需求，采用等級(jí)化、體系化和可信保障相結(jié)合的方法，為客戶建設(shè)一套覆蓋全面、重點(diǎn)突出、節(jié)約成本、持續(xù)運(yùn)行的安全保障體系。

實(shí)施后狀態(tài)：一套持續(xù)運(yùn)行、涵蓋所有安全內(nèi)容的安全保障體系，是企業(yè)或組織安全工作所追求的最終目標(biāo)

特質(zhì)：

等級(jí)化：突出重點(diǎn)，節(jié)省成本，滿足不同行業(yè)、不同發(fā)展階段、不同層次的要求

整體性：結(jié)構(gòu)化，內(nèi)容全面，可持續(xù)發(fā)展和完善，持續(xù)運(yùn)行

針對(duì)性：針對(duì)實(shí)際情況，符合業(yè)務(wù)特性和發(fā)展戰(zhàn)略

3.1可信等級(jí)體系設(shè)計(jì)方法

3.2信息安全保障體系總體框架

3.3體系設(shè)計(jì)的成果

安全組織體系

安全策略體系

安全技術(shù)體系

安全運(yùn)行體系

3.4安全體系的實(shí)現(xiàn)

4.成功案例

某國(guó)有大型企業(yè)已經(jīng)采用了我們的可信等級(jí)體系，取得了良好的效果。

第三篇：臨沂中醫(yī)醫(yī)院信息安全等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目

臨沂市中醫(yī)醫(yī)院信息安全等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目

集中競(jìng)價(jià)采購(gòu)須知

為了公開、公平、公正地集中競(jìng)價(jià)采購(gòu)，本著合理、競(jìng)爭(zhēng)、經(jīng)濟(jì)的原則，我院擬對(duì)本次采購(gòu)活動(dòng)參照招標(biāo)形式進(jìn)行集中競(jìng)價(jià)，相關(guān)事項(xiàng)如下：

第一部分

項(xiàng)目要求

一、項(xiàng)目背景

為了提高信息系統(tǒng)的安全保護(hù)水平，按照國(guó)家法律法規(guī)和有關(guān)部門相關(guān)要求，聘請(qǐng)第三方專業(yè)機(jī)構(gòu)，在全面了解臨沂市中醫(yī)院現(xiàn)有信息化現(xiàn)況的基礎(chǔ)上，開展信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)工作。通過(guò)本次工作，發(fā)現(xiàn)信息系統(tǒng)中存在的安全風(fēng)險(xiǎn)，分析信息系統(tǒng)安全現(xiàn)狀與相關(guān)政策文件、技術(shù)標(biāo)準(zhǔn)內(nèi)容要求的符合性情況，完善工作制度，提出安全建設(shè)加固建議。切實(shí)加強(qiáng)信息安全防范水平，提高系統(tǒng)抵御風(fēng)險(xiǎn)的能力。

二、項(xiàng)目目標(biāo)、內(nèi)容

按照國(guó)家等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)和要求，對(duì)其HIS、電子病歷系統(tǒng)（三級(jí)）、PACS和網(wǎng)站（二級(jí)）安全等級(jí)保護(hù)測(cè)評(píng)工作，找出系統(tǒng)現(xiàn)狀與相關(guān)標(biāo)準(zhǔn)要求之間的差距，遵循適度原則，提出切實(shí)可行的整改建議，完成等級(jí)保護(hù)測(cè)評(píng)報(bào)告，并提供后續(xù)檢測(cè)服務(wù)。

三、項(xiàng)目實(shí)施參照法律法規(guī)及標(biāo)準(zhǔn) ? 《網(wǎng)絡(luò)安全法》

? 公安部、國(guó)家保密局、國(guó)際密碼管理局、國(guó)務(wù)院信息化工作辦公室聯(lián)合轉(zhuǎn)發(fā)的《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》（公通字[2004]66號(hào)）； ? 公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息化工作辦公室制定的《信息安全等級(jí)保護(hù)管理辦法》（公通字 [2007]43號(hào)）。

? 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T22239-2008）

? 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（GB/T 22240-2008）? 《信息安全技術(shù)

信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》 ? 《信息安全技術(shù)

信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》 ? 《信息安全技術(shù)

信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》 ? 《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB 17859-1999）? 《信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-2006）? 《信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T 20270-2006）

? 《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》（GB/T 20272-2006）? 《信息安全技術(shù) 數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2006）? 《信息安全技術(shù) 服務(wù)器技術(shù)要求》（GB/T 21028-2007）

? 《信息安全技術(shù) 終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》（GA/T 671-2006）? 《信息安全技術(shù) 信息系統(tǒng)安全管理要求》（GB/T20269-2006）? 《信息安全技術(shù) 信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）? GB/T 18336-2001 信息技術(shù) 安全技術(shù) 信息技術(shù) 安全性評(píng)估準(zhǔn)則

四、項(xiàng)目?jī)?nèi)容

1.等級(jí)測(cè)評(píng)

通過(guò)詳細(xì)的系統(tǒng)調(diào)研，開展對(duì)其HIS、LIS系統(tǒng)（三級(jí)）、PACS和網(wǎng)站（二級(jí)）的等級(jí)保護(hù)測(cè)評(píng)工作，找出安全現(xiàn)狀與標(biāo)準(zhǔn)要求之間的差距，并遵循適度安全的原則，協(xié)助制定安全整改建設(shè)方案，指導(dǎo)整改工作。最終完成等級(jí)保護(hù)測(cè)評(píng)報(bào)告。

測(cè)評(píng)的內(nèi)容包括但不限于以下內(nèi)容：

? 安全技術(shù)測(cè)評(píng)：包括物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全等五個(gè)方面的安全測(cè)評(píng)；

? 安全管理測(cè)評(píng)：安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)方面的安全測(cè)評(píng)。

（1）、物理安全

根據(jù)臨沂市中醫(yī)院信息系統(tǒng)機(jī)房和現(xiàn)場(chǎng)安全測(cè)評(píng)記錄，針對(duì)機(jī)房和現(xiàn)場(chǎng)在“物理位置選擇”、“物理訪問(wèn)控制”、“防盜竊和防破壞”、“防雷擊”、“防火”、“防水和防潮”、“防靜電”、“溫濕度控制”、“電力供應(yīng)”和“電磁防護(hù)”等物理安全方面所采取的措施進(jìn)行，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。中標(biāo)人出具加蓋CNAS章的機(jī)房檢測(cè)報(bào)告。（2）、網(wǎng)絡(luò)安全

根據(jù)臨沂市中醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全測(cè)評(píng)記錄，針對(duì)網(wǎng)絡(luò)方面在“結(jié)構(gòu)安全”、“訪問(wèn)控制”、“安全審計(jì)”、“邊界完整性檢查”、“入侵防范”、“惡意代碼防范”、“網(wǎng)絡(luò)設(shè)備防護(hù)”等網(wǎng)絡(luò)安全方面所采取的措施進(jìn)行檢查，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。

（3）、主機(jī)安全

主機(jī)安全現(xiàn)場(chǎng)測(cè)評(píng)包括對(duì)臨沂市中醫(yī)院信息系統(tǒng)服務(wù)器的測(cè)評(píng)，測(cè)評(píng)內(nèi)容包括“身份鑒別”、“訪問(wèn)控制”、“安全審計(jì)”、“剩余信息保護(hù)”、“入侵防護(hù)”、“惡意代碼防護(hù)”、“資源控制”。（4）、應(yīng)用安全

應(yīng)用安全現(xiàn)場(chǎng)測(cè)評(píng)包括對(duì)臨沂市中醫(yī)院信息系統(tǒng)的測(cè)評(píng)，測(cè)評(píng)內(nèi)容包括“身份鑒

別”、“訪問(wèn)控制”、“安全審計(jì)”、“剩余信息保護(hù)”、“通信完整性”、“通信保密性”、“抗抵賴”、“軟件容錯(cuò)”、“資源控制”方面。（5）、數(shù)據(jù)安全及備份恢復(fù)

臨沂市中醫(yī)院信息系統(tǒng)數(shù)據(jù)安全及備份恢復(fù)現(xiàn)場(chǎng)測(cè)評(píng)包括“數(shù)據(jù)完整性”、“數(shù)據(jù)保密性”、“備份和恢復(fù)”幾個(gè)方面的測(cè)評(píng)。（6）、安全管理制度

根據(jù)現(xiàn)場(chǎng)安全測(cè)評(píng)記錄，針對(duì)臨沂市中醫(yī)院信息系統(tǒng)在安全管理制度方面的“管理制度”、“制定和發(fā)布”以及“評(píng)審和修訂”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。（7）、安全管理機(jī)構(gòu)

根據(jù)現(xiàn)場(chǎng)安全測(cè)評(píng)記錄，針對(duì)臨沂市中醫(yī)院信息系統(tǒng)在安全管理機(jī)構(gòu)方面的“崗位設(shè)置”、“人員配備”、“授權(quán)和審批”、“溝通和合作”以及“審核和檢查”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。（8）、人員安全管理

根據(jù)現(xiàn)場(chǎng)安全測(cè)評(píng)記錄，針對(duì)臨沂市中醫(yī)院信息系統(tǒng)在人員安全管理方面的“人員錄用”、“人員離崗”、“人員考核”、“安全意識(shí)教育和培訓(xùn)”以及“外部人員訪問(wèn)管理”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。（9）、系統(tǒng)建設(shè)管理

根據(jù)現(xiàn)場(chǎng)安全測(cè)評(píng)記錄，針對(duì)臨沂市中醫(yī)院信息系統(tǒng)在系統(tǒng)建設(shè)管理方面的“系統(tǒng)定級(jí)”、“安全方案設(shè)計(jì)”、“產(chǎn)品采購(gòu)和使用”、“自行軟件開發(fā)”、“外包軟件開發(fā)”、“工程實(shí)施”、“測(cè)試驗(yàn)收”、“系統(tǒng)交付”、“系統(tǒng)備案”、“等級(jí)測(cè)評(píng)”以及“安全服務(wù)商選擇”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。（10）、系統(tǒng)運(yùn)維管理

根據(jù)現(xiàn)場(chǎng)安全測(cè)評(píng)記錄，針對(duì)臨沂市中醫(yī)院信息系統(tǒng)在系統(tǒng)運(yùn)維管理方面的“環(huán)境管理”、“資產(chǎn)管理”、“介質(zhì)管理”、“設(shè)備管理”、“網(wǎng)絡(luò)安全管理”、“系統(tǒng)安全管理”、“惡意代碼防范管理”、“密碼管理”、“變更管理”、“備份與恢復(fù)管理”、“安全事件處置”以及“應(yīng)急預(yù)案管理”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。

通過(guò)現(xiàn)場(chǎng)測(cè)評(píng)，逐項(xiàng)找出系統(tǒng)現(xiàn)狀與國(guó)家相關(guān)標(biāo)準(zhǔn)要求之間的差距，進(jìn)行逐項(xiàng)待整改完畢后，進(jìn)行結(jié)果確認(rèn)，完成信息安全等級(jí)保護(hù)測(cè)評(píng)，出具測(cè)評(píng)報(bào)告，2.安全管理體系咨詢

協(xié)助建立符合等級(jí)保護(hù)要求的信息安全管理體系，包含信息安全方針、信息安全策略、運(yùn)行管理制度和運(yùn)維管理制度。并參照國(guó)際標(biāo)準(zhǔn)體系ISO 27001和ISO 分析、整體分析，給出差距分析報(bào)告，并給出整改建議方案。并將測(cè)評(píng)報(bào)告報(bào)當(dāng)?shù)毓矙C(jī)關(guān)備案。

20000制定相應(yīng)流程，促進(jìn)臨沂市中醫(yī)院信息安全管理工作。

3.安全監(jiān)測(cè)

提供門戶網(wǎng)站7*24小時(shí)網(wǎng)站安全監(jiān)測(cè)，對(duì)網(wǎng)站頁(yè)面掛馬、篡改等事件實(shí)時(shí)監(jiān)測(cè)，發(fā)現(xiàn)問(wèn)題及時(shí)通報(bào)相關(guān)人員，并安排人員及時(shí)處理。

4.應(yīng)急支援

服務(wù)期內(nèi)提供不限次數(shù)的應(yīng)急支援服務(wù)，針對(duì)發(fā)生的事件協(xié)助分析事件原因，查找問(wèn)題，并提供安全加固建議。

5.安全培訓(xùn)

組織技術(shù)培訓(xùn)，對(duì)臨沂市中醫(yī)院的技術(shù)人員進(jìn)行等級(jí)保護(hù)、安全技術(shù)和項(xiàng)目部署要求等內(nèi)容培訓(xùn)。技術(shù)培訓(xùn)應(yīng)從實(shí)際應(yīng)用出發(fā)，涵蓋網(wǎng)絡(luò)安全的如下方面： 基礎(chǔ)設(shè)施運(yùn)行安全培訓(xùn)、網(wǎng)絡(luò)安全縱深防御體系培訓(xùn)、操作系統(tǒng)安全加固技術(shù)培訓(xùn)、應(yīng)用系統(tǒng)滲透測(cè)試檢測(cè)與加固培訓(xùn)、數(shù)據(jù)庫(kù)安全管理培訓(xùn)、27001安全管理體系培訓(xùn)等。

6.信息安全風(fēng)險(xiǎn)評(píng)估

按照GB-T20984-2007信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范標(biāo)準(zhǔn)和要求，對(duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，明確信息系統(tǒng)安全風(fēng)險(xiǎn)，提出合理的、滿足等級(jí)保護(hù)要求的總體建設(shè)和管理規(guī)劃，并制定安全實(shí)施計(jì)劃，以指導(dǎo)后續(xù)的信息系統(tǒng)安全建設(shè)工程實(shí)施。

五、成果交付

該項(xiàng)目提交的文檔至少包括如下文件：

1、《臨沂市中醫(yī)院XX信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)方案》

2、《臨沂市中醫(yī)院XX系統(tǒng)信息安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告》

3、《臨沂市中醫(yī)院XX信息安全管理制度匯編》

4、《信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告》

5、《信息安全整改方案》

第二部分

投標(biāo)方資質(zhì)要求

1、《企業(yè)法人營(yíng)業(yè)執(zhí)照》副本復(fù)印件（蓋章）。

2、法定代表人身份證明書或法人授權(quán)委托書、身份證復(fù)印件。

3、投標(biāo)公司具有信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)的國(guó)家相關(guān)資質(zhì)，有專業(yè)技術(shù)檢測(cè)項(xiàng)目組，其中有高級(jí)測(cè)評(píng)師及中級(jí)測(cè)評(píng)師，參與技術(shù)檢測(cè)的人員均為中國(guó)公民，無(wú)違法犯罪記錄并簽訂安全保密協(xié)議。

4、同類項(xiàng)目近幾年的業(yè)績(jī)情況及客戶名單。

第三部分標(biāo)書、報(bào)價(jià)方式

1、標(biāo)書分正本1份，副本2份，并在標(biāo)書標(biāo)書袋上標(biāo)明“正本”、“副本”字樣。均固定裝訂成一冊(cè)，不能活頁(yè)裝訂或散裝，蓋單位公章和法定代表人印簽后遞交醫(yī)院招標(biāo)辦。

第四部分報(bào)送時(shí)間、地點(diǎn)

標(biāo)書報(bào)送時(shí)間截止2018年1月30日16時(shí)。（每日8：00～17：00，周六、周日除外）

標(biāo)書報(bào)送地點(diǎn)：臨沂市中醫(yī)醫(yī)院門診七樓招標(biāo)辦。

第四篇：《信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)管理辦法》最新

信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)管理辦法

第一條 為加強(qiáng)信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)管理，規(guī)范等級(jí)測(cè)評(píng)行為，提高測(cè)評(píng)技術(shù)能力和服務(wù)水平，根據(jù)《信息安全等級(jí)保護(hù)管理辦法》等有關(guān)規(guī)定，制定本辦法。

第二條 等級(jí)測(cè)評(píng)工作，是指等級(jí)測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)非涉及國(guó)家秘密信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活動(dòng)。

等級(jí)測(cè)評(píng)機(jī)構(gòu)，是指依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度規(guī)定，具備本辦法規(guī)定的基本條件，經(jīng)審核推薦，從事等級(jí)測(cè)評(píng)等信息安全服務(wù)的機(jī)構(gòu)。

第三條 等級(jí)測(cè)評(píng)機(jī)構(gòu)推薦管理工作遵循統(tǒng)籌規(guī)劃、合理布局、安全規(guī)范的方針，按照“誰(shuí)推薦、誰(shuí)負(fù)責(zé)，誰(shuí)審核、誰(shuí)負(fù)責(zé)”的原則有序開展。

第四條 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)以提供等級(jí)測(cè)評(píng)服務(wù)為主，可根據(jù)信息系統(tǒng)運(yùn)營(yíng)使用單位安全保障需求，提供信息安全咨詢、應(yīng)急保障、安全運(yùn)維、安全監(jiān)理等服務(wù)。

第五條 國(guó)家信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室（以下簡(jiǎn)稱“國(guó)家等保辦”）負(fù)責(zé)受理隸屬國(guó)家信息安全職能部門和重點(diǎn)行業(yè)主管部門申請(qǐng)單位提出的申請(qǐng)，并對(duì)其推薦的等級(jí)測(cè)評(píng)機(jī)構(gòu)進(jìn)行監(jiān)督管理。

省級(jí)信息安全等級(jí)保護(hù)工作協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室（以下簡(jiǎn)稱“省級(jí)等保辦”）負(fù)責(zé)受理本?。▍^(qū)、直轄市）申請(qǐng)單位提出的申請(qǐng)，并對(duì)其推薦的等級(jí)測(cè)評(píng)機(jī)構(gòu)進(jìn)行監(jiān)督管理。

第六條 申請(qǐng)成為等級(jí)測(cè)評(píng)機(jī)構(gòu)的單位（以下簡(jiǎn)稱“申請(qǐng)單位”）應(yīng)具備以下基本條件：

（一）在中華人民共和國(guó)境內(nèi)注冊(cè)成立，由中國(guó)公民、法人投資或者國(guó)家投資的企事業(yè)單位；

（二）產(chǎn)權(quán)關(guān)系明晰，注冊(cè)資金100萬(wàn)元以上；

（三）從事信息系統(tǒng)安全相關(guān)工作兩年以上，無(wú)違法記錄；

（四）測(cè)評(píng)人員僅限于中華人民共和國(guó)境內(nèi)的中國(guó)公民，且無(wú)犯罪記錄；

（五）具有信息系統(tǒng)安全相關(guān)工作經(jīng)驗(yàn)的技術(shù)人員，不少于10人；

（六）具備必要的辦公環(huán)境、設(shè)備、設(shè)施，使用的技術(shù)裝備、設(shè)施應(yīng)滿足測(cè)評(píng)工作需求；

（七）具有完備的安全保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等規(guī)章制度；

（八）自覺(jué)接受等保辦的監(jiān)督、檢查和指導(dǎo)，對(duì)國(guó)家安全、社會(huì)秩序、公共利益不構(gòu)成威脅；

（九）不涉及信息安全產(chǎn)品開發(fā)、銷售或信息系統(tǒng)安全集成等業(yè)務(wù)；

（十）應(yīng)具備的其他條件。

第七條 申請(qǐng)時(shí)，申請(qǐng)單位應(yīng)向等保辦提交以下材料：

（一）《信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)申請(qǐng)表》；

（二）從事信息系統(tǒng)安全相關(guān)工作情況；

（三）檢測(cè)評(píng)估工作所需軟硬件及其他服務(wù)保障設(shè)施配備情況；

（四）有關(guān)管理制度建設(shè)情況；

（五）申請(qǐng)單位及其測(cè)評(píng)人員基本情況；

（六）應(yīng)提交的其他材料。

等保辦收到申請(qǐng)材料后，應(yīng)在10個(gè)工作日內(nèi)組織初審，并出具初審結(jié)果告知書。

第八條 通過(guò)初審的申請(qǐng)單位，應(yīng)及時(shí)參加指定評(píng)估機(jī)構(gòu)組織的測(cè)評(píng)人員培訓(xùn)?？荚嚭细竦娜藛T，取得等級(jí)測(cè)評(píng)師證書。

等級(jí)測(cè)評(píng)師分為初級(jí)、中級(jí)和高級(jí)。申請(qǐng)單位應(yīng)至少有10人獲得等級(jí)測(cè)評(píng)師證書，其中高級(jí)和中級(jí)測(cè)評(píng)師均不得少于1人。

第九條 指定評(píng)估機(jī)構(gòu)應(yīng)根據(jù)標(biāo)準(zhǔn)規(guī)范對(duì)申請(qǐng)單位開展能力評(píng)估，出具信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)能力評(píng)估報(bào)告，并及時(shí)將申請(qǐng)單位能力評(píng)估有關(guān)情況報(bào)送等保辦。

第十條 等保辦組織專家對(duì)通過(guò)能力評(píng)估的申請(qǐng)單位進(jìn)行審核。審核通過(guò)的，頒發(fā)《信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書》。

省級(jí)等保辦應(yīng)及時(shí)將本地等級(jí)測(cè)評(píng)機(jī)構(gòu)推薦情況報(bào)國(guó)家等保辦，國(guó)家等保辦定期發(fā)布公告，在《中國(guó)信息安全等級(jí)保護(hù)網(wǎng)》發(fā)布《全國(guó)信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦目錄》。

第十一條 下列事項(xiàng)發(fā)生變更時(shí)，等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)在變更后5個(gè)工作日內(nèi)向等保辦報(bào)告。

（一）等級(jí)測(cè)評(píng)機(jī)構(gòu)名稱、地址、測(cè)評(píng)人員和主要負(fù)責(zé)人發(fā)生變更的；

（二）等級(jí)測(cè)評(píng)機(jī)構(gòu)法人、股權(quán)結(jié)構(gòu)發(fā)生變更的；

（三）其他重大事項(xiàng)發(fā)生變更的。

省級(jí)等保辦應(yīng)及時(shí)將等級(jí)測(cè)評(píng)機(jī)構(gòu)變更情況報(bào)國(guó)家等保辦。

第十二條 信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書有效期為三年。等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)在推薦證書期滿前30日內(nèi)，向等保辦申請(qǐng)復(fù)審。復(fù)審?fù)ㄟ^(guò)的等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)換發(fā)新證。復(fù)審未通過(guò)的，等保辦應(yīng)督促其限期整改。

省級(jí)等保辦應(yīng)及時(shí)將等級(jí)測(cè)評(píng)機(jī)構(gòu)期滿復(fù)審情況報(bào)國(guó)家等保辦。

第十三條 等級(jí)測(cè)評(píng)師上崗前，等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)組織崗前培訓(xùn)。培訓(xùn)合格的，由等級(jí)測(cè)評(píng)機(jī)構(gòu)配發(fā)上崗證。未取得測(cè)評(píng)師證書和上崗證的，不得參與等級(jí)測(cè)評(píng)項(xiàng)目。

等級(jí)測(cè)評(píng)師離職前，等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)與其簽訂離職保密承諾書，并收回上崗證。

第十四條 等級(jí)測(cè)評(píng)師應(yīng)妥善保管等級(jí)測(cè)評(píng)師證書、上崗證，不得涂改、出借、出租和轉(zhuǎn)讓。

第十五條 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)加強(qiáng)對(duì)本機(jī)構(gòu)等級(jí)測(cè)評(píng)師的監(jiān)督管理，定期組織開展安全保密教育和業(yè)務(wù)培訓(xùn)。

第十六條 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)嚴(yán)格按照信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)規(guī)范公正、獨(dú)立地開展等級(jí)測(cè)評(píng)工作，依據(jù)模板出具信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告，確保測(cè)評(píng)質(zhì)量，全面、客觀地反映被測(cè)信息系統(tǒng)的安全保護(hù)狀況。

第十七條 等級(jí)測(cè)評(píng)機(jī)構(gòu)開展測(cè)評(píng)項(xiàng)目不受地域、行業(yè)限制。等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)在測(cè)評(píng)項(xiàng)目合同簽訂以及項(xiàng)目完成后5個(gè)工作日內(nèi)，向受理信息系統(tǒng)備案的公安機(jī)關(guān)報(bào)告等級(jí)測(cè)評(píng)項(xiàng)目有關(guān)情況。

第十八條 測(cè)評(píng)項(xiàng)目實(shí)施過(guò)程中，等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)接受等保辦的監(jiān)督、檢查和指導(dǎo)。測(cè)評(píng)項(xiàng)目完成后，等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)請(qǐng)被測(cè)評(píng)信息系統(tǒng)運(yùn)營(yíng)使用單位對(duì)測(cè)評(píng)服務(wù)情況進(jìn)行評(píng)價(jià)，評(píng)價(jià)情況由被測(cè)單位反饋等保辦。

第十九條 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)定期向等保辦報(bào)送測(cè)評(píng)工作開展情況。根據(jù)測(cè)評(píng)實(shí)踐，每年底編制并報(bào)送信息系統(tǒng)安全狀況分析報(bào)告。第二十條 等級(jí)測(cè)評(píng)機(jī)構(gòu)實(shí)行等級(jí)化管理。根據(jù)信息系統(tǒng)測(cè)評(píng)數(shù)量、機(jī)構(gòu)規(guī)模、測(cè)評(píng)技術(shù)能力和服務(wù)質(zhì)量等指標(biāo)，對(duì)等級(jí)測(cè)評(píng)機(jī)構(gòu)劃分為五個(gè)星級(jí)，最低為一星級(jí)，最高為五星級(jí)。等級(jí)測(cè)評(píng)機(jī)構(gòu)星級(jí)評(píng)定標(biāo)準(zhǔn)由國(guó)家等保辦另行制定。

第二十一條 等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)于每年底向等保辦提交星級(jí)評(píng)定所需材料。

等保辦負(fù)責(zé)組織所推薦等級(jí)測(cè)評(píng)機(jī)構(gòu)的星級(jí)評(píng)定審核工作，并出具星級(jí)評(píng)定意見。省級(jí)等保辦應(yīng)及時(shí)將評(píng)定意見報(bào)國(guó)家等保辦審定，國(guó)家等保辦定期發(fā)布星級(jí)評(píng)定結(jié)果。

第二十二條 取得信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書未滿一年的，不參加星級(jí)評(píng)定。

第二十三條 等保辦負(fù)責(zé)對(duì)所推薦等級(jí)測(cè)評(píng)機(jī)構(gòu)的日常監(jiān)督檢查、測(cè)評(píng)項(xiàng)目抽查和年審工作，及時(shí)掌握等級(jí)測(cè)評(píng)機(jī)構(gòu)工作情況。

第二十四條 等保辦應(yīng)于每年底對(duì)所推薦的等級(jí)測(cè)評(píng)機(jī)構(gòu)進(jìn)行年審。等級(jí)測(cè)評(píng)機(jī)構(gòu)自推薦之日起未滿6個(gè)月的，當(dāng)年可免予年審。年審時(shí)，等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)提交以下材料：

（一）《信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)年審表》；

（二）信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書副本；

（三）測(cè)評(píng)工作總結(jié)；

（四）其他所需材料。

第二十五條

國(guó)家等保辦負(fù)責(zé)組織開展等級(jí)測(cè)評(píng)機(jī)構(gòu)能力驗(yàn)證和抽查工作。

第二十六條 等級(jí)測(cè)評(píng)機(jī)構(gòu)有下列情形之一的，等保辦應(yīng)責(zé)令其限期整改；情形嚴(yán)重的，予以通報(bào)。

（一）未按照有關(guān)標(biāo)準(zhǔn)規(guī)范開展測(cè)評(píng)或未按規(guī)定出具信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告的；

（二）影響被測(cè)評(píng)信息系統(tǒng)正常運(yùn)行，危害被測(cè)評(píng)信息系統(tǒng)安全的；

（三）非授權(quán)占有、使用，未妥善保管等級(jí)測(cè)評(píng)相關(guān)資料及數(shù)據(jù)文件的；

（四）分包或轉(zhuǎn)包等級(jí)測(cè)評(píng)項(xiàng)目，以及擾亂測(cè)評(píng)市場(chǎng)秩序的；

（五）限定被測(cè)評(píng)單位購(gòu)買、使用指定信息安全產(chǎn)品的；

（六）測(cè)評(píng)人員未取得等級(jí)測(cè)評(píng)師證書和上崗證從事等級(jí)測(cè)評(píng)活動(dòng)的；

（七）未按本辦法規(guī)定向等保辦提交材料、報(bào)告情況或弄虛作假的；

（八）其他違反等級(jí)測(cè)評(píng)有關(guān)規(guī)定的行為。

第二十七條 等級(jí)測(cè)評(píng)機(jī)構(gòu)有下列情形之一的，等保辦應(yīng)取消其信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書，并向社會(huì)公告。

（一）因單位股權(quán)、人員等情況發(fā)生變動(dòng)，不符合等級(jí)測(cè)評(píng)機(jī)構(gòu)基本條件的；

（二）有信息安全產(chǎn)品開發(fā)、銷售或信息系統(tǒng)安全集成行為的；

（三）故意泄露被測(cè)評(píng)單位工作秘密、重要信息系統(tǒng)數(shù)據(jù)信息的；

（四）故意隱瞞測(cè)評(píng)過(guò)程中發(fā)現(xiàn)的安全問(wèn)題，或者在測(cè)評(píng)過(guò)程中弄虛作假未如實(shí)出具等級(jí)測(cè)評(píng)報(bào)告的；

（五）一年內(nèi)未開展信息系統(tǒng)測(cè)評(píng)工作或自愿退出《全國(guó)信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦目錄》的；

（六）連續(xù)兩年年審不合格或限期整改后仍未通過(guò)復(fù)審的；

（七）違反本辦法第二十六條規(guī)定，情節(jié)特別嚴(yán)重的。第二十八條 等級(jí)測(cè)評(píng)師有下列行為之一的，等保辦應(yīng)責(zé)令等級(jí)測(cè)評(píng)機(jī)構(gòu)督促其限期改正；情節(jié)嚴(yán)重的，責(zé)令等級(jí)測(cè)評(píng)機(jī)構(gòu)暫停其參與測(cè)評(píng)工作；情形特別嚴(yán)重的，應(yīng)注銷其等級(jí)測(cè)評(píng)師證書，并對(duì)其所在等級(jí)測(cè)評(píng)機(jī)構(gòu)進(jìn)行通報(bào)。

（一）未經(jīng)允許擅自使用或泄露、出售等級(jí)測(cè)評(píng)工作中收集的數(shù)據(jù)信息、資料或信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告的；

（二）違反本辦法第十四條規(guī)定，未妥善保管等級(jí)測(cè)評(píng)師證書、上崗證，有涂改、出借、出租和轉(zhuǎn)讓等行為的；

（三）測(cè)評(píng)行為失誤或不當(dāng)，影響信息系統(tǒng)安全或造成運(yùn)營(yíng)使用單位利益損失的；

（四）其他違反等級(jí)測(cè)評(píng)有關(guān)規(guī)定的行為。第二十九條 等級(jí)測(cè)評(píng)機(jī)構(gòu)及其等級(jí)測(cè)評(píng)師違反本辦法的相關(guān)規(guī)定，給被測(cè)評(píng)信息系統(tǒng)運(yùn)營(yíng)使用單位造成嚴(yán)重危害和損失的，由相關(guān)部門依照有關(guān)法律、法規(guī)予以處理。

第三十條 任何單位和個(gè)人如發(fā)現(xiàn)等級(jí)測(cè)評(píng)機(jī)構(gòu)、等級(jí)測(cè)評(píng)師有違法、違規(guī)行為的，可向國(guó)家等保辦舉報(bào)、投訴。

第三十一條 本辦法由國(guó)家等保辦負(fù)責(zé)解釋。第三十二條 本辦法自發(fā)布之日起實(shí)施。

第五篇：信息安全等級(jí)保護(hù)

信息安全等級(jí)保護(hù)(二級(jí))信息安全等級(jí)保護(hù)(二級(jí))備注：其中黑色字體為信息安全等級(jí)保護(hù)第二級(jí)系統(tǒng)要求，藍(lán)色字體為第三級(jí)系統(tǒng)等保要求。

一、物理安全

1、應(yīng)具有機(jī)房和辦公場(chǎng)地的設(shè)計(jì)/驗(yàn)收文檔（機(jī)房場(chǎng)地的選址說(shuō)明、地線連接要求的描述、建筑材料具有相應(yīng)的耐火等級(jí)說(shuō)明、接地防靜電措施）

2、應(yīng)具有有來(lái)訪人員進(jìn)入機(jī)房的申請(qǐng)、審批記錄；來(lái)訪人員進(jìn)入機(jī)房的登記記錄

3、應(yīng)配置電子門禁系統(tǒng)(三級(jí)明確要求)；電子門禁系統(tǒng)有驗(yàn)收文檔或產(chǎn)品安全認(rèn)證資質(zhì)，電子門禁系統(tǒng)運(yùn)行和維護(hù)記錄

4、主要設(shè)備或設(shè)備的主要部件上應(yīng)設(shè)置明顯的不易除去的標(biāo)記

5、介質(zhì)有分類標(biāo)識(shí)；介質(zhì)分類存放在介質(zhì)庫(kù)或檔案室內(nèi)，磁介質(zhì)、紙介質(zhì)等分類存放

6、應(yīng)具有攝像、傳感等監(jiān)控報(bào)警系統(tǒng)；機(jī)房防盜報(bào)警設(shè)施的安全資質(zhì)材料、安裝測(cè)試和驗(yàn)收?qǐng)?bào)告；機(jī)房防盜報(bào)警系統(tǒng)的運(yùn)行記錄、定期檢查和維護(hù)記錄；

7、應(yīng)具有機(jī)房監(jiān)控報(bào)警設(shè)施的安全資質(zhì)材料、安裝測(cè)試和驗(yàn)收?qǐng)?bào)告；機(jī)房監(jiān)控報(bào)警系統(tǒng)的運(yùn)行記錄、定期檢查和維護(hù)記錄

8、應(yīng)具有機(jī)房建筑的避雷裝置；通過(guò)驗(yàn)收或國(guó)家有關(guān)部門的技術(shù)檢測(cè)；

9、應(yīng)在電源和信號(hào)線上增加有資質(zhì)的防雷保安器；具有防雷檢測(cè)資質(zhì)的檢測(cè)部門對(duì)防雷裝置的檢測(cè)報(bào)告

10、應(yīng)具有自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警、自動(dòng)滅火的自動(dòng)消防系統(tǒng)；自動(dòng)消防系統(tǒng)的運(yùn)行記錄、檢查和定期維護(hù)記錄；消防產(chǎn)品有效期合格；自動(dòng)消防系統(tǒng)是經(jīng)消防檢測(cè)部門檢測(cè)合格的產(chǎn)品

11、應(yīng)具有除濕裝置；空調(diào)機(jī)和加濕器；溫濕度定期檢查和維護(hù)記錄

12、應(yīng)具有水敏感的檢測(cè)儀表或元件；對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警；防水檢測(cè)裝置的運(yùn)行記錄、定期檢查和維護(hù)記錄

13、應(yīng)具有溫濕度自動(dòng)調(diào)節(jié)設(shè)施；溫濕度自動(dòng)調(diào)節(jié)設(shè)施的運(yùn)行記錄、定期檢查和維護(hù)記錄

14、應(yīng)具有短期備用電力供應(yīng)設(shè)備（如UPS）；短期備用電力供應(yīng)設(shè)備的運(yùn)行記錄、定期檢查和維護(hù)記錄

15、應(yīng)具有冗余或并行的電力電纜線路（如雙路供電方式）

16、應(yīng)具有備用供電系統(tǒng)（如備用發(fā)電機(jī)）；備用供電系統(tǒng)運(yùn)行記錄、定期檢查和維護(hù)記錄

二、安全管理制度

1、應(yīng)具有對(duì)重要管理操作的操作規(guī)程，如系統(tǒng)維護(hù)手冊(cè)和用戶操作規(guī)程

2、應(yīng)具有安全管理制度的制定程序：

3、應(yīng)具有專門的部門或人員負(fù)責(zé)安全管理制度的制定（發(fā)布制度具有統(tǒng)一的格式，并進(jìn)行版本控制）

4、應(yīng)對(duì)制定的安全管理制度進(jìn)行論證和審定，論證和審定方式如何（如召開評(píng)審會(huì)、函審、內(nèi)部審核等），應(yīng)具有管理制度評(píng)審記錄

5、應(yīng)具有安全管理制度的收發(fā)登記記錄，收發(fā)應(yīng)通過(guò)正式、有效的方式（如正式發(fā)文、領(lǐng)導(dǎo)簽署和單位蓋章等）----安全管理制度應(yīng)注明發(fā)布范圍，并對(duì)收發(fā)文進(jìn)行登記。

6、信息安全領(lǐng)導(dǎo)小組定期對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定，審定周期多長(zhǎng)。（安全管理制度體系的評(píng)審記錄）

7、系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時(shí)應(yīng)對(duì)安全管理制度進(jìn)行檢查，對(duì)需要改進(jìn)的制度進(jìn)行修訂。（應(yīng)具有安全管理制度修訂記錄）

三、安全管理機(jī)構(gòu)

1、應(yīng)設(shè)立信息安全管理工作的職能部門

2、應(yīng)設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人

3、應(yīng)設(shè)立機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位（分工明確，各司其職），數(shù)量情況（管理人員名單、崗位與人員對(duì)應(yīng)關(guān)系表）

4、安全管理員應(yīng)是專職人員

5、關(guān)鍵事物需要配備2人或2人以上共同管理，人員具體配備情況如何。

6、應(yīng)設(shè)立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組（最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)委任或授權(quán)的人員擔(dān)任）

7、應(yīng)對(duì)重要信息系統(tǒng)活動(dòng)進(jìn)行審批（如系統(tǒng)變更、重要操作、物理訪問(wèn)和系統(tǒng)接入、重要管理制度的制定和發(fā)布、人員的配備和培訓(xùn)、產(chǎn)品的采購(gòu)、外部人員的訪問(wèn)等），審批部門是何部門，審批人是何人。審批程序：

8、應(yīng)與其它部門之間及內(nèi)部各部門管理人員定期進(jìn)行溝通（信息安全領(lǐng)導(dǎo)小組或者安全管理委員會(huì)應(yīng)定期召開會(huì)議）

9、應(yīng)組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門內(nèi)部的安全工作會(huì)議文件或會(huì)議記錄，定期：

10、信息安全管理委員會(huì)或領(lǐng)導(dǎo)小組安全管理工作執(zhí)行情況的文件或工作記錄（如會(huì)議記錄/紀(jì)要，信息安全工作決策文檔等）

11、應(yīng)與公安機(jī)關(guān)、電信公司和兄弟單位等的溝通合作（外聯(lián)單位聯(lián)系列表）

12、應(yīng)與供應(yīng)商、業(yè)界專家、專業(yè)的安全公司、安全組織等建立溝通、合作機(jī)制。

13、聘請(qǐng)信息安全專家作為常年的安全顧問(wèn)（具有安全顧問(wèn)名單或者聘請(qǐng)安全顧問(wèn)的證明文件、具有安全顧問(wèn)參與評(píng)審的文檔或記錄）

14、應(yīng)組織人員定期對(duì)信息系統(tǒng)進(jìn)行安全檢查（查看檢查內(nèi)容是否包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況）

15、應(yīng)定期進(jìn)行全面安全檢查（安全檢查是否包含現(xiàn)行技術(shù)措施有效性和管理制度執(zhí)行情況等方面、具有安全檢查表格，安全檢查報(bào)告，檢查結(jié)果通告記錄）

四、人員安全管理

1、何部門/何人負(fù)責(zé)安全管理和技術(shù)人員的錄用工作（錄用過(guò)程）

2、應(yīng)對(duì)被錄用人的身份、背景、專業(yè)資格和資質(zhì)進(jìn)行審查，對(duì)技術(shù)人員的技術(shù)技能進(jìn)行考核，技能考核文檔或記錄

3、應(yīng)與錄用后的技術(shù)人員簽署保密協(xié)議（協(xié)議中有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容）

4、應(yīng)設(shè)定關(guān)鍵崗位，對(duì)從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔，是否要求其簽署崗位安全協(xié)議。

5、應(yīng)及時(shí)終止離崗人員的所有訪問(wèn)權(quán)限（離崗人員所有訪問(wèn)權(quán)限終止的記錄）

6、應(yīng)及時(shí)取回離崗人員的各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備等（交還身份證件和設(shè)備等的登記記錄）

7、人員離崗應(yīng)辦理調(diào)離手續(xù)，是否要求關(guān)鍵崗位調(diào)離人員承諾相關(guān)保密義務(wù)后方可離開（具有按照離崗程序辦理調(diào)離手續(xù)的記錄，調(diào)離人員的簽字）

8、對(duì)各個(gè)崗位人員應(yīng)定期進(jìn)行安全技能考核；具有安全技能考核記錄，考核內(nèi)容要求包含安全知識(shí)、安全技能等。

9、對(duì)關(guān)鍵崗位人員的安全審查和考核與一般崗位人員有何不同，審查內(nèi)容是否包括操作行為和社會(huì)關(guān)系等。

10、應(yīng)對(duì)各類人員（普通用戶、運(yùn)維人員、單位領(lǐng)導(dǎo)等）進(jìn)行安全教育、崗位技能和安全技術(shù)培訓(xùn)。

11、應(yīng)針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃，并按照計(jì)劃對(duì)各個(gè)崗位人員進(jìn)行安全教育和培訓(xùn)（安全教育和培訓(xùn)的結(jié)果記錄，記錄應(yīng)與培訓(xùn)計(jì)劃一致）

12、外部人員進(jìn)入條件（對(duì)哪些重要區(qū)域的訪問(wèn)須提出書面申請(qǐng)批準(zhǔn)后方可進(jìn)入），外部人員進(jìn)入的訪問(wèn)控制（由專人全程陪同或監(jiān)督等）

13、應(yīng)具有外部人員訪問(wèn)重要區(qū)域的書面申請(qǐng)

14、應(yīng)具有外部人員訪問(wèn)重要區(qū)域的登記記錄（記錄描述了外部人員訪問(wèn)重要區(qū)域的進(jìn)入時(shí)間、離開時(shí)間、訪問(wèn)區(qū)域、訪問(wèn)設(shè)備或信息及陪同人等）

五、系統(tǒng)建設(shè)管理

1、應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí)（具有定級(jí)文檔，明確信息系統(tǒng)安全保護(hù)等級(jí)）

2、應(yīng)具有系統(tǒng)建設(shè)/整改方案

3、應(yīng)授權(quán)專門的部門對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，由何部門/何人負(fù)責(zé)

4、應(yīng)具有系統(tǒng)的安全建設(shè)工作計(jì)劃（系統(tǒng)安全建設(shè)工作計(jì)劃中明確了近期和遠(yuǎn)期的安全建設(shè)計(jì)劃）

5、應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件進(jìn)行論證和審定（配套文件的論證評(píng)審記錄或文檔）

6、應(yīng)對(duì)總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件應(yīng)定期進(jìn)行調(diào)整和修訂

7、應(yīng)具有總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的維護(hù)記錄或修訂版本

8、應(yīng)按照國(guó)家的相關(guān)規(guī)定進(jìn)行采購(gòu)和使用系統(tǒng)信息安全產(chǎn)品

9、安全產(chǎn)品的相關(guān)憑證，如銷售許可等，應(yīng)使用符合國(guó)家有關(guān)規(guī)定產(chǎn)品

10、應(yīng)具有專門的部門負(fù)責(zé)產(chǎn)品的采購(gòu)

11、采購(gòu)產(chǎn)品前應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單

12、應(yīng)具有產(chǎn)品選型測(cè)試結(jié)果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測(cè)試結(jié)果文檔）

13、應(yīng)具有軟件設(shè)計(jì)相關(guān)文檔，專人保管軟件設(shè)計(jì)的相關(guān)文檔，應(yīng)具有軟件使用指南或操作手冊(cè)

14、對(duì)程序資源庫(kù)的修改、更新、發(fā)布應(yīng)進(jìn)行授權(quán)和批準(zhǔn)

15、應(yīng)具有程序資源庫(kù)的修改、更新、發(fā)布文檔或記錄

16、軟件交付前應(yīng)依據(jù)開發(fā)協(xié)議的技術(shù)指標(biāo)對(duì)軟件功能和性能等進(jìn)行驗(yàn)收檢測(cè)

17、軟件安裝之前應(yīng)檢測(cè)軟件中的惡意代碼（該軟件包的惡意代碼檢測(cè)報(bào)告），檢測(cè)工具是否是第三方的商業(yè)產(chǎn)品

18、應(yīng)具有軟件設(shè)計(jì)的相關(guān)文檔和使用指南

19、應(yīng)具有需求分析說(shuō)明書、軟件設(shè)計(jì)說(shuō)明書、軟件操作手冊(cè)等開發(fā)文檔

20、應(yīng)指定專門部門或人員按照工程實(shí)施方案的要求對(duì)工程實(shí)施過(guò)程進(jìn)行進(jìn)度和質(zhì)量控制

21、應(yīng)具有工程實(shí)施過(guò)程應(yīng)按照實(shí)施方案形成各種文檔，如階段性工程進(jìn)程匯報(bào)報(bào)告，工程實(shí)施方案

22、在信息系統(tǒng)正式運(yùn)行前，應(yīng)委托第三方測(cè)試機(jī)構(gòu)根據(jù)設(shè)計(jì)方案或合同要求對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的安全性測(cè)試（第三方測(cè)試機(jī)構(gòu)出示的系統(tǒng)安全性測(cè)試驗(yàn)收?qǐng)?bào)告）

23、應(yīng)具有工程測(cè)試驗(yàn)收方案（測(cè)試驗(yàn)收方案與設(shè)計(jì)方案或合同要求內(nèi)容一致）

24、應(yīng)具有測(cè)試驗(yàn)收?qǐng)?bào)告

25、應(yīng)指定專門部門負(fù)責(zé)測(cè)試驗(yàn)收工作（具有對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定的意見）

26、根據(jù)交付清單對(duì)所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)（系統(tǒng)交付清單）

27、應(yīng)具有系統(tǒng)交付時(shí)的技術(shù)培訓(xùn)記錄

28、應(yīng)具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)維的文檔（如服務(wù)器操作規(guī)程書）以及系統(tǒng)培訓(xùn)手冊(cè)等文檔。

29、應(yīng)指定部門負(fù)責(zé)系統(tǒng)交付工作

30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運(yùn)維商和等級(jí)測(cè)評(píng)機(jī)構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議（文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容

31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)

32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書

11、采購(gòu)產(chǎn)品前應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試確定產(chǎn)品的候選范圍，形成候選產(chǎn)品清單，是否定期審定和更新候選產(chǎn)品名單

12、應(yīng)具有產(chǎn)品選型測(cè)試結(jié)果記錄和候選產(chǎn)品名單及更新記錄（產(chǎn)品選型測(cè)試結(jié)果文檔）

13、應(yīng)具有軟件設(shè)計(jì)相關(guān)文檔，專人保管軟件設(shè)計(jì)的相關(guān)文檔，應(yīng)具有軟件使用指南或操作手冊(cè)

14、對(duì)程序資源庫(kù)的修改、更新、發(fā)布應(yīng)進(jìn)行授權(quán)和批準(zhǔn)

15、應(yīng)具有程序資源庫(kù)的修改、更新、發(fā)布文檔或記錄

16、軟件交付前應(yīng)依據(jù)開發(fā)協(xié)議的技術(shù)指標(biāo)對(duì)軟件功能和性能等進(jìn)行驗(yàn)收檢測(cè)

17、軟件安裝之前應(yīng)檢測(cè)軟件中的惡意代碼（該軟件包的惡意代碼檢測(cè)報(bào)告），檢測(cè)工具是否是第三方的商業(yè)產(chǎn)品

18、應(yīng)具有軟件設(shè)計(jì)的相關(guān)文檔和使用指南

19、應(yīng)具有需求分析說(shuō)明書、軟件設(shè)計(jì)說(shuō)明書、軟件操作手冊(cè)等開發(fā)文檔

20、應(yīng)指定專門部門或人員按照工程實(shí)施方案的要求對(duì)工程實(shí)施過(guò)程進(jìn)行進(jìn)度和質(zhì)量控制

21、應(yīng)具有工程實(shí)施過(guò)程應(yīng)按照實(shí)施方案形成各種文檔，如階段性工程進(jìn)程匯報(bào)報(bào)告，工程實(shí)施方案

22、在信息系統(tǒng)正式運(yùn)行前，應(yīng)委托第三方測(cè)試機(jī)構(gòu)根據(jù)設(shè)計(jì)方案或合同要求對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的安全性測(cè)試（第三方測(cè)試機(jī)構(gòu)出示的系統(tǒng)安全性測(cè)試驗(yàn)收?qǐng)?bào)告）

23、應(yīng)具有工程測(cè)試驗(yàn)收方案（測(cè)試驗(yàn)收方案與設(shè)計(jì)方案或合同要求內(nèi)容一致）

24、應(yīng)具有測(cè)試驗(yàn)收?qǐng)?bào)告

25、應(yīng)指定專門部門負(fù)責(zé)測(cè)試驗(yàn)收工作（具有對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定的意見）

26、根據(jù)交付清單對(duì)所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)（系統(tǒng)交付清單）

27、應(yīng)具有系統(tǒng)交付時(shí)的技術(shù)培訓(xùn)記錄

28、應(yīng)具有系統(tǒng)建設(shè)文檔（如系統(tǒng)建設(shè)方案）、指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)維的文檔（如服務(wù)器操作規(guī)程書）以及系統(tǒng)培訓(xùn)手冊(cè)等文檔。

29、應(yīng)指定部門負(fù)責(zé)系統(tǒng)交付工作

30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開發(fā)商、系統(tǒng)集成商、系統(tǒng)運(yùn)維商和等級(jí)測(cè)評(píng)機(jī)構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議（文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容

31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)

32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書

六、系統(tǒng)運(yùn)維管理

1、應(yīng)指定專人或部門對(duì)機(jī)房的基本設(shè)施（如空調(diào)、供配電設(shè)備等）進(jìn)行定期維護(hù)，由何部門/何人負(fù)責(zé)。

2、應(yīng)具有機(jī)房基礎(chǔ)設(shè)施的維護(hù)記錄，空調(diào)、溫濕度控制等機(jī)房設(shè)施定期維護(hù)保養(yǎng)的記錄

3、應(yīng)指定部門和人員負(fù)責(zé)機(jī)房安全管理工作

4、應(yīng)對(duì)辦公環(huán)境保密性進(jìn)行管理（工作人員離開座位確保終端計(jì)算機(jī)退出登錄狀態(tài)、桌面上沒(méi)有包含敏感信息的紙檔文件）

5、應(yīng)具有資產(chǎn)清單（覆蓋資產(chǎn)責(zé)任人、所屬級(jí)別、所處位置、所處部門等方面）

6、應(yīng)指定資產(chǎn)管理的責(zé)任部門或人員

7、應(yīng)依據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)

8、介質(zhì)存放于何種環(huán)境中，應(yīng)對(duì)存放環(huán)境實(shí)施專人管理（介質(zhì)存放在安全的環(huán)境（防潮、防盜、防火、防磁，專用存儲(chǔ)空間））

9、應(yīng)具有介質(zhì)使用管理記錄，應(yīng)記錄介質(zhì)歸檔和使用等情況（介質(zhì)存放、使用管理記錄）

10、對(duì)介質(zhì)的物理傳輸過(guò)程應(yīng)要求選擇可靠傳輸人員、嚴(yán)格介質(zhì)的打包（如采用防拆包裝置）、選擇安全的物理傳輸途徑、雙方在場(chǎng)交付等環(huán)節(jié)的控制

11、應(yīng)對(duì)介質(zhì)的使用情況進(jìn)行登記管理，并定期盤點(diǎn)（介質(zhì)歸檔和查詢的記錄、存檔介質(zhì)定期盤點(diǎn)的記錄）

12、對(duì)送出維修或銷毀的介質(zhì)如何管理，銷毀前應(yīng)對(duì)數(shù)據(jù)進(jìn)行凈化處理。（對(duì)帶出工作環(huán)境的存儲(chǔ)介質(zhì)是否進(jìn)行內(nèi)容加密并有領(lǐng)導(dǎo)批準(zhǔn)。對(duì)保密性較高的介質(zhì)銷毀前是否有領(lǐng)導(dǎo)批準(zhǔn)）（送修記錄、帶出記錄、銷毀記錄）

13、應(yīng)對(duì)某些重要介質(zhì)實(shí)行異地存儲(chǔ)，異地存儲(chǔ)環(huán)境是否與本地環(huán)境相同（防潮、防盜、防火、防磁，專用存儲(chǔ)空間）

14、介質(zhì)上應(yīng)具有分類的標(biāo)識(shí)或標(biāo)簽

15、應(yīng)對(duì)各類設(shè)施、設(shè)備指定專人或?qū)ｉT部門進(jìn)行定期維護(hù)。

16、應(yīng)具有設(shè)備操作手冊(cè)

17、應(yīng)對(duì)帶離機(jī)房的信息處理設(shè)備經(jīng)過(guò)審批流程，由何人審批（審批記錄）

18、應(yīng)監(jiān)控主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的運(yùn)行狀況等

19、應(yīng)有相關(guān)網(wǎng)絡(luò)監(jiān)控系統(tǒng)或技術(shù)措施能夠?qū)νㄐ啪€路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行監(jiān)測(cè)和報(bào)警

20、應(yīng)具有日常運(yùn)維的監(jiān)控日志記錄和運(yùn)維交接日志記錄

21、應(yīng)定期對(duì)監(jiān)控記錄進(jìn)行分析、評(píng)審

22、應(yīng)具有異?，F(xiàn)象的現(xiàn)場(chǎng)處理記錄和事后相關(guān)的分析報(bào)告

23、應(yīng)建立安全管理中心，對(duì)設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等相關(guān)事項(xiàng)進(jìn)行集中管理

24、應(yīng)指定專人負(fù)責(zé)維護(hù)網(wǎng)絡(luò)安全管理工作

25、應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行過(guò)升級(jí)，更新前應(yīng)對(duì)現(xiàn)有的重要文件是否進(jìn)行備份（網(wǎng)絡(luò)設(shè)備運(yùn)維維護(hù)工作記錄）

26、應(yīng)對(duì)網(wǎng)絡(luò)進(jìn)行過(guò)漏洞掃描，并對(duì)發(fā)現(xiàn)的漏洞進(jìn)行及時(shí)修補(bǔ)。

27、對(duì)設(shè)備的安全配置應(yīng)遵循最小服務(wù)原則，應(yīng)對(duì)配置文件進(jìn)行備份（具有網(wǎng)絡(luò)設(shè)備配置數(shù)據(jù)的離線備份）

28、系統(tǒng)網(wǎng)絡(luò)的外聯(lián)種類（互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級(jí)部門網(wǎng)絡(luò)等）應(yīng)都得到授權(quán)與批準(zhǔn)，由何人/何部門批準(zhǔn)。應(yīng)定期檢查違規(guī)聯(lián)網(wǎng)的行為。

29、對(duì)便攜式和移動(dòng)式設(shè)備的網(wǎng)絡(luò)接入應(yīng)進(jìn)行限制管理

30、應(yīng)具有內(nèi)部網(wǎng)絡(luò)外聯(lián)的授權(quán)批準(zhǔn)書，應(yīng)具有網(wǎng)絡(luò)違規(guī)行為（如撥號(hào)上網(wǎng)等）的檢查手段和工具。

31、在安裝系統(tǒng)補(bǔ)丁程序前應(yīng)經(jīng)過(guò)測(cè)試，并對(duì)重要文件進(jìn)行備份。

32、應(yīng)有補(bǔ)丁測(cè)試記錄和系統(tǒng)補(bǔ)丁安裝操作記錄

33、應(yīng)對(duì)系統(tǒng)管理員用戶進(jìn)行分類（比如：劃分不同的管理角色，系統(tǒng)管理權(quán)限與安全審計(jì)權(quán)限分離等）

34、審計(jì)員應(yīng)定期對(duì)系統(tǒng)審計(jì)日志進(jìn)行分析（有定期對(duì)系統(tǒng)運(yùn)行日志和審計(jì)數(shù)據(jù)的分析報(bào)告）

35、應(yīng)對(duì)員工進(jìn)行基本惡意代碼防范意識(shí)的教育，如告知應(yīng)及時(shí)升級(jí)軟件版本（對(duì)員工的惡意代碼防范教育的相關(guān)培訓(xùn)文檔）

36、應(yīng)指定專人對(duì)惡意代碼進(jìn)行檢測(cè)，并保存記錄。

37、應(yīng)具有對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測(cè)的記錄

38、應(yīng)對(duì)惡意代碼庫(kù)的升級(jí)情況進(jìn)行記錄（代碼庫(kù)的升級(jí)記錄），對(duì)各類防病毒產(chǎn)品上截獲的惡意代碼是否進(jìn)行分析并匯總上報(bào)。是否出現(xiàn)過(guò)大規(guī)模的病毒事件，如何處理

39、應(yīng)具有惡意代碼檢測(cè)記錄、惡意代碼庫(kù)升級(jí)記錄和分析報(bào)告 40、應(yīng)具有變更方案評(píng)審記錄和變更過(guò)程記錄文檔。

41、重要系統(tǒng)的變更申請(qǐng)書，應(yīng)具有主管領(lǐng)導(dǎo)的批準(zhǔn)

42、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員和網(wǎng)絡(luò)管理員應(yīng)識(shí)別需定期備份的業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)（備份文件記錄）

43、應(yīng)定期執(zhí)行恢復(fù)程序，檢查和測(cè)試備份介質(zhì)的有效性

44、應(yīng)有系統(tǒng)運(yùn)維過(guò)程中發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件對(duì)應(yīng)的報(bào)告或相關(guān)文檔

45、應(yīng)對(duì)安全事件記錄分析文檔

46、應(yīng)具有不同事件的應(yīng)急預(yù)案

47、應(yīng)具有應(yīng)急響應(yīng)小組，應(yīng)具備應(yīng)急設(shè)備并能正常工作，應(yīng)急預(yù)案執(zhí)行所需資金應(yīng)做過(guò)預(yù)算并能夠落實(shí)。

48、應(yīng)對(duì)系統(tǒng)相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)（應(yīng)急預(yù)案培訓(xùn)記錄）

49、應(yīng)定期對(duì)應(yīng)急預(yù)案進(jìn)行演練（應(yīng)急預(yù)案演練記錄）50、應(yīng)對(duì)應(yīng)急預(yù)案定期進(jìn)行審查并更新

51、應(yīng)具有更新的應(yīng)急預(yù)案記錄、應(yīng)急預(yù)案審查記錄。