等保测评之安全运维管理

安全运维管理

环境管理

a)应指定专门的部门或人员负责机房安全，对机房出入进行管理，定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理；

b)应建立机房安全管理制度，对有关物理访问、物品进出和环境安全等方面的管理作出规定；

c)应不在重要区域接待来访人员，不随意放置含有敏感信息的纸档文件和移动介质等。

资产管理

a)应编制并保存与保护对象相关的资产清单，包括资产责任部门、重要程度和所处位置等内容；

b)应根据资产的重要程度对资产进行标识管理，根据资产的价值选择相应的管理措施；

c)应对信息分类与标识方法作出规定，并对信息的使用、传输和存储等进行规范化管理。

介质管理

a)应将介质存放在安全的环境中，对各类介质进行控制和保护，实行存储介质专人管理，并根据存档介质的目录清单定期盘点；

b)应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制， 并对介质的归档和查询等进行登记记录。

设备维护管理

a)应对各种设备（包括备份和冗余设备）、线路等指定专门的部门或人员定期进行维护管理；

b)应建立配套设施、软硬件维护方面的管理制度，对其维护进行有效管理， 包括明确维护人员的责任、维修和服务的审批、维修过程的监督控制等；

c)信息处理设备必须经过审批才能带离机房或办公地点，含有存储介质的设备带出工作环境时其中重要数据必须加密；

d)含有存储介质的设备在报废或重用前，应进行完全清除或被安全覆盖， 保证该设备上的敏感数据和授权软件无法被恢复重用。

漏洞和风险管理

a)应采取必要的措施识别安全漏洞和隐患，对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补；

b)应定期开展安全测评，形成安全测评报告，采取措施应对发现的安全问题。

网络和系统安全管理

a)应划分不同的管理员角色进行网络和系统的运维管理，明确各个角色的责任和权限；

b)应指定专门的部门或人员进行账户管理，对申请账户、建立账户、删除账户等进行控制；

c)应建立网络和系统安全管理制度，对安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面作出规定；

d)应制定重要设备的配置和操作手册，依据手册对设备进行安全配置和优化配置等；

e)应详细记录运维操作日志，包括日常巡检工作、运行维护记录、参数的设置和修改等内容；

f)应指定专门的部门或人员对日志、监测和报警数据等进行分析、统计， 及时发现可疑行为；

g)应严格控制变更性运维，经过审批后才可改变连接、安装系统组件或调整配置参数，操作过程中应保留不可更改的审计日志，操作结束后应同步更新配置信息库；

h)应严格控制运维工具的使用，经过审批后才可接入进行操作，操作过程中应保留不可更改的审计日志，操作结束后应删除工具中的敏感数据；

i)应严格控制远程运维的开通，经过审批后才可开通远程运维接口或通道， 操作过程中应保留不可更改的审计日志，操作结束后立即关闭接口或通道；

j)应保证所有与外部的连接均得到授权和批准，应定期检查违反规定无线上网及其他违反网络安全策略的行为。

恶意代码防范管理

a)应提高所有用户的防恶意代码意识，对外来计算机或存储设备接入系统前进行恶意代码检查等；

b)应定期验证防范恶意代码攻击的技术措施的有效性。

配置管理

a)应记录和保存基本配置信息，包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等；

b)应将基本配置信息改变纳入变更范畴，实施对配置信息改变的控制，并及时更新基本配置信息库。

密码管理

a)应遵循密码相关的国家标准和行业标准；

b)应使用国家密码管理主管部门认证核准的密码技术和产品。

变更管理

a)应明确变更需求，变更前根据变更需求制定变更方案，变更方案经过评审、审批后方可实施；

b)应建立变更的申报和审批控制程序，依据程序控制所有的变更，记录变更实施过程；

c)应建立中止变更并从失败变更中恢复的程序，明确过程控制方法和人员职责，必要时对恢复过程进行演练。

备份与恢复管理

a)应识别需要定期备份的重要业务信息、系统数据及软件系统等；

b)应规定备份信息的备份方式、备份频度、存储介质、保存期等；

c)应根据数据的重要性和数据对系统运行的影响，制定数据的备份策略和恢复策略、备份程序和恢复程序等。

安全事件处置

a)应及时向安全管理部门报告所发现的安全弱点和可疑事件；

b)应制定安全事件报告和处置管理制度，明确不同安全事件的报告、处置和响应流程，规定安全事件的现场处理、事件报告和后期恢复的管理职责等；

c)应在安全事件报告和响应处理过程中，分析和鉴定事件产生的原因，收集证据，记录处理过程，总结经验教训；

d)对造成系统中断和造成信息泄漏的重大安全事件应采用不同的处理程序和报告程序。

应急预案管理

a)应规定统一的应急预案框架，包括启动预案的条件、应急组织构成、应急资源保障、事后教育和培训等内容；

b)应制定重要事件的应急预案，包括应急处理流程、系统恢复流程等内容；

c)应定期对系统相关的人员进行应急预案培训，并进行应急预案的演练；

d)应定期对原有的应急预案重新评估，修订完善。

外包运维管理

a)应确保外包运维服务商的选择符合国家的有关规定；

b)应与选定的外包运维服务商签订相关的协议，明确约定外包运维的范围、工作内容；

c)应保证选择的外包运维服务商在技术和管理方面均应具有按照等级保护要求开展安全运维工作的能力，并将能力要求在签订的协议中明确；

d)应在与外包运维服务商签订的协议中明确所有相关的安全要求，如可能涉及对敏感信息的访问、处理、存储要求，对 IT 基础设施中断服务的应急保障要求等。

、