安全資訊

等保2.0中的“安全運維管理”對應等保1.0中的“系統運維管理”，對環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設備維護管理、漏洞和風(fēng)險管理、網(wǎng)絡(luò )和系統安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理、外包運維管理均做出了明確要求。其中增加了漏洞和風(fēng)險管理、配置管理、外包運維管理等測評項，在環(huán)境管理、設備維護管理、網(wǎng)絡(luò )和系統安全管理、惡意代碼防范管理、密碼管理、變更管理、安全事件處置、應急預案管理等測評方面均有所加強。

一覽表

評測實(shí)踐

在對安全運維管理測評時(shí)，測評方會(huì )檢查是否建立機房安全管理制度、資產(chǎn)安全管理制度、配套設施軟硬件維護管理制度、網(wǎng)絡(luò )和系統安全管理制度、惡意代碼防范管理制度、基本配置信息更改申報審批程序、變更申報和審批控制程序、變更中止或失敗恢復程序、備份與恢復管理制度、安全事件報告和處置安全管理制度等，查看制度內容是否符合測評要求。

詢(xún)問(wèn)機房安全管理人員、設備維護管理人員、網(wǎng)絡(luò )和系統管理人員、系統維護負責人等，對機房環(huán)境、辦公環(huán)境、資產(chǎn)、介質(zhì)、各種設備、漏洞和風(fēng)險、網(wǎng)絡(luò )和系統、惡意代碼防范、基本配置、密碼技術(shù)和產(chǎn)品、系統變更、備份與恢復管理、安全事件處置、應急、外包運維等管理流程、管理人員、管理措施、管理周期、管理依據等，是否形成管理記錄，檢查各管理記錄覆蓋是否全面。是否采取滲透測試、漏洞掃描等方式檢測系統存在的漏洞，是否對漏洞進(jìn)行修補等。

一至三級所需制度參考清單