别的资产是否采取不同的管理措施。
2) 《信息分类文档》
? 内容是否明确了信息分类标识的原则和方法。 二、 记录 1) 《资产清单》
5.3 介质管理
一、 制度 1) 介质管理制度
? 介质的维修或销毁流程、维修或销毁制度;
? 内容包括在介质物理传输过程中对人员选择、打包、交付等情况进
行控制;
? 内容包括对存储介质的使用过程、送出维修以及销毁等进行严格管
理的方法和对带出工作环境的存储介质进行内容加密和监控管理的方法。
? 介质的分类、标识。 二、 记录
1) 《介质管理记录》
? 具有介质存放在安全的环境(防潮、防盗、防火、防磁,专用存储
空间);
? 内容包括对某些重要介质实行异地存储,异地存储环境是否与本地
环境相同;
? 内容包括定期对其完整性(数据是否损坏或丢失)和可用性(介质
是否受到物理破坏)进行检查; ? 介质的存档、查询、借用等记录;
? 根据介质的目录清单对介质的使用现状进行定期检查的记录。
5.4 设备管理
一、 制度
第16页共22页
1) 《设备安全管理制度》
? 对各种软硬件设备的选型、采购、发放和领用以及带离机构等环节
进行申报和审批。
2) 《配套设施、软硬件维护方面的管理制度》
? 内容包括对配套设施、软硬件维护进行有效的管理,包括明确维护
人员的责任、涉外维修和服务的审批、维修过程的监督控制管理等。
二、 文档
1) 《设备使用管理文档》
? 对终端计算机、工作站、便携机、系统和网络等设备的操作和使用
进行管理。
2) 《关键设备(包括备份和冗余设备)的操作规程》
? 主要设备(包括备份和冗余设备)的启动、停止、加电/断电等操作
的手册或规程;
? 定期对日志管理情况的检查。
对日志管理情况进行检查的记录
? 内容具有设备维护记录和主要设备的操作日志。 3) 《申报材料和审批报告》
? 内容具有设备的选型、采购、发放和领用以及带离机构等申请报告。
5.5 监控管理和安全管理中心
一、 制度
1) 《安全管理中心》
? 对通信线路、主机、网络设备和应用软件的运行状况,对设备状态、
恶意代码、网络流量、补丁升级、安全审计等安全相关事项进行集中管理。
二、 文档 1) 《监测记录》
? 内容包括记录监控对象、监控内容、监控的异常现象处理等方面。 2) 《监测分析报告》
第17页共22页
? 内容包括监测的异常现象、处理措施等。
5.6 网络安全管理
一、 制度
3) 《网络安全管理制度》
? 对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令
更新周期、文件备份等方面作出规定,查看安全策略是否包括允许或者拒绝便携式和移动式设备的网络接入。 ? 内容具有网络设备配置文件的离线备份文件。 二、 文档
1) 《网络漏洞扫描报告》
? 漏洞扫描的制度、漏洞扫描报告。 2) 《内部网络外联的授权批准书》
? 外联的对象和授权批准书。 3) 《网络设备配置文件的备份文件》 4) 网络设备升级更新的工作记录 5) 《网络审计日志》
5.7 系统安全管理
一、 制度
1) 《系统安全管理制度》
? 对系统安全策略、安全配置、日志管理和日常操作流程等方面作出
规定。
2) 《系统安全访问控制策略说明文档》
? 内容包括根据业务需求和系统安全分析制定系统的访问控制策略,
控制分配文件及服务的访问权限。
二、 文档
1) 补丁测试记录和系统补丁安装操作记录
2) 《详细操作日志(包括重要的日常操作、运行维护记录、参数的设置和
第18页共22页
修改等内容);
? 内容包括重要的日常操作、运行维护记录、参数的设置和修改等。 3) 《定期对运行日志和审计结果进行分析的记录》
? 查看报告是否能够记录帐户的连续多次登录失败、非工作时间的登
录、访问受限系统或文件的失败尝试、系统错误等非正常事件。
4) 《系统漏洞扫描报告》
? 漏洞扫描制度和漏洞扫描报告。
5.8 恶意代码防范管理
一、 制度
1) 《恶意代码防范管理文档》
? 包括防恶意代码软件的授权使用、恶意代码库升级、定期汇报等方
面。
2) 《对员工的恶意代码防范教育的相关培训文档》 二、 记录
1) 《恶意代码检测记录》
? 指定专人对网络和主机进行恶意代码检测的记录。 2) 《恶意代码库升级记录》
? 内容包括查看升级记录是否记录升级时间、升级版本等。 3) 《分析报告》
? 内容包括分析报告是否描述恶意代码的特征、修补措施等。
5.9 密码管理
一、 制度
1) 《密码使用管理制度》
? 具有密码使用管理制度
第19页共22页
5.10 变更管理
一、 制度
1) 《变更管理制度》
? 内容覆盖变更前审批、变更过程记录、变更后通报等方面。 ? 内容包括变更控制的申报、审批程序,查看其是否规定需要申报的
变更类型、申报流程、审批部门、批准人等方面。
? 检查变更失败恢复程序,查看其是否规定变更失败后的恢复流程。 二、 文档 2) 《系统变更方案》
? 内容包括变更类型、变更原因、变更过程、变更前评估等方面进行
规定。
3) 《重要系统的变更申请书》 4) 《变更过程记录文档》 三、 记录
? 《变更方案评审记录》
5.11 备份与恢复管理
一、 文档
1) 《备份管理文档》
? 内容包括备份方式、备份频度、存储介质和保存期等方面内容; ? 各系统的备份文档或备份流程(包括网络、系统、数据库、应用系
统等)。
2) 《数据备份和恢复策略文档》
? 内容包括备份数据的存放场所、文件命名规则、介质替换频率、数
据离站传输方法等方面;
? 备份与恢复的流程(包括网络、系统、数据库、应用系统等)。 3) 《需要定期备份的重要业务信息、系统数据、软件系统的列表或清单》
? 内容包括业务信息、系统数据及软件系统等。
第20页共22页