广电BOSS系统-等级保护测评整改方案

..-..word.zl-.-..可修编..数字电视综合运营支撑〔BOSS〕系统等级保护整改 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 2014年12月..-..word.zl-目录TOC\o"1-3"\h\z\uHYPERLINK\l"_Toc406980674"一、概述PAGEREF_Toc406980674\h1HYPERLINK\l"_Toc406980675"二、系统现状PAGEREF_Toc406980675\h1HYPERLINK\l"_Toc406980676"2.1数字电视综合运营支撑〔BOSS〕系统PAGEREF_Toc406980676\h1HYPERLINK\l"_Toc406980677"2.1.1系统描述PAGEREF_Toc406980677\h1HYPERLINK\l"_Toc406980678"2.1.2系统拓扑图PAGEREF_Toc406980678\h1HYPERLINK\l"_Toc406980679"2.1.3系统构成PAGEREF_Toc406980679\h2HYPERLINK\l"_Toc406980680"2.1.4系统测评结论PAGEREF_Toc406980680\h3HYPERLINK\l"_Toc406980681"三、整改依据PAGEREF_Toc406980681\h4HYPERLINK\l"_Toc406980682"四、整改容PAGEREF_Toc406980682\h5HYPERLINK\l"_Toc406980683"4.1数字电视综合运营支撑〔BOSS〕系统PAGEREF_Toc406980683\h5HYPERLINK\l"_Toc406980684"4.1.1物理平安PAGEREF_Toc406980684\h5HYPERLINK\l"_Toc406980685"4.1.2根底网络平安PAGEREF_Toc406980685\h5HYPERLINK\l"_Toc406980686"4.1.3边界平安PAGEREF_Toc406980686\h6HYPERLINK\l"_Toc406980687"4.1.4主机平安PAGEREF_Toc406980687\h7HYPERLINK\l"_Toc406980688"4.1.5总要求PAGEREF_Toc406980688\h9HYPERLINK\l"_Toc406980689"4.1.6平安管理机构PAGEREF_Toc406980689\h10HYPERLINK\l"_Toc406980690"4.1.7人员平安管理PAGEREF_Toc406980690\h12HYPERLINK\l"_Toc406980691"4.1.8系统建立管理PAGEREF_Toc406980691\h13HYPERLINK\l"_Toc406980692"4.1.9系统运维管理PAGEREF_Toc406980692\h15HYPERLINK\l"_Toc406980693"五、方案总结PAGEREF_Toc406980693\h20HYPERLINK\l"_Toc406980694"附件一：设备清单汇总PAGEREF_Toc406980694\h22HYPERLINK\l"_Toc406980695"附件二： 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 及表单条目清单PAGEREF_Toc406980695\h23..-..word.zl-概述信息平安等级保护是信息平安保障的根本制度、根本策略、根本方法，开展信息平安等级保护工作是保护信息化开展、维护信息平安的根本保障。实施信息平安等级保护制度，信息系统运营使用单位和主管部门能按照标准进展平安建立、整改，信息系统平安也有了一个衡量尺度。信息系统根据其在平安、经济建立、社会生活中的重要程度，遭到破坏后对平安、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度分成五个平安保护等级〔从第一级到第五级逐级增高〕。本方案主要针对信息系统的现状，依据信息系统等级保护评测工作的?播送数字全自动播出信息系统等级保护定级报告?、?数字电视综合运营支撑〔BOSS〕系统等级保护测评报告?、的现有的状况和等保相关要求差距进一步深入分析，并以满足等保需求为根底，对信息系统的建立整改良行规划设计。系统现状数字电视综合运营支撑〔BOSS〕系统系统描述BOSS系统业务信息包括：数字电视客户根本资料〔XX、地址、等〕，缴费记录、授权情况、欠费信息、机顶盒设备信息等。为该信息系统定级的责任单位，该系统已被定级为三级〔S2A2G2〕。系统拓扑图核心设备部署了中兴通信的ZXR108908万兆路由交换机，19个乡镇以及城区会聚节点均部署ZXR108905万兆路由交换机。具体网络拓扑如下列图所示：图1信息系统网络拓扑系统构成业务应用软件表4信息系统业务应用软件序号软件名称主要功能数字电视综合运营支撑〔BOSS〕系统主要完成数字电视用户信息的录入、更新、认证、授权、计费等功能主机/存储设备表5信息系统主机/存储设备序号设备名称操作系统/数据库管理系统收费工作站PCWindowsXP/--数据库效劳器-1IBMX3650M3SOLARIS/Oracle数据库效劳器-2IBMX3650M3SOLARIS/Oracle接口效劳器IBMX3650M3Linux/--测试效劳器-1IBMX3650M3Linux/--测试效劳器-2IBMX3650M3Linux/--认证效劳器-1IBMX3650M3Linux/--认证效劳器-2IBMX3650M3Linux/--网络互联设备表6信息系统网络互联设备序号设备名称用途中兴ZXR108908核心交换机中兴ZXR108908会聚交换机系统测评结论等级测评结论为“根本符合〞，差距项分布如下表所示：名称测评指标局部符合项不符合项高风险项技术要求物理平安400根底网络平安200边界平安030效劳器平安310应用平安510数据平安及备份恢复100管理要求总要求000平安管理机构500人员平安管理410系统建立管理500系统运维管理1020整改依据GB17859-1999信息平安技术计算机信息系统平安保护等级划分准那么；?播送电视相关信息系统平安等级保护根本要求?〔GD/J038-2011〕?播送电视相关信息系统平安等级保护测评要求?〔GD/J044-2012〕；?信息系统平安等级保护定级报告?；?数字电视综合运营支撑〔BOSS〕系统平安等级保护测评报告?；整改容数字电视综合运营支撑〔BOSS〕系统物理平安相关要求及依据详见GD/J038-2011有关物理平安要求。为满足要求，通过部署防盗报警系统及火灾自动报警系统和灭火系统，开展机房运维管理和环境管理，提高机房的平安性。平安现状及整改措施类别测评容结果记录涉及资产符合情况整改措施物理访问控制b〕需进入播出机房的来访人员应经过申请和审批流程，并限制和监控其活动围。进入机房由专人陪同，缺少来访人员进入机房的审批记录\局部符合设置来访人员进展机房审批记录防盗窃和防破坏c〕应利用光、电等技术设置机房防盗报警系统；机房缺少防盗报警系统\不符合部署防盗报警系统机房环境b)机房应有防水防潮措施，应充分考虑水管泄漏和凝露的可能性，并做好相应的预防措施；机房窗户缺少防水防渗处理，机房的窗户、屋顶和墙壁未出现漏水、渗透和返潮现象，机房空调排水管进展加固防渗、防漏处理，机房空调具有除湿功能，缺少防水防潮处理记录\不符合定期开展机房运维和环境管理d〕机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的围之；机房具有专业空调，可对机房温度进展自动调节，具有空调定期检查和维护记录，缺少机房湿度控制设置\局部符合增加机房湿度调节设施机房消防设施b〕机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；机房具有日常值守人员，机房具有干粉灭火器，缺少自动灭火设备\局部符合部署火灾自动报警系统和自动灭火系统根底网络平安相关要求及依据详见GD/J038-2011有关根底网络平安要求。为满足要求，通过部署动态令牌及日志效劳器并完善设备根本配置要求，定期开展设备维护，到达根底网络平安要求。平安现状及整改措施类别测评容结果记录涉及资产符合情况整改措施平安审计c)应保护审计记录，防止受到未预期的删除、修改或覆盖等，审计记录至少保存90天；缺少对审计日志进展必要保护交换机不符合对日志进展集中管理，定期进展分析d)应定期对审计记录进展分析，以便及时发现异常行为；未定期对审计记录进展分析交换机不符合对日志进展集中管理，定期进展分析网络设备防护e)当对网络设备进展远程管理时，应采用HTTPS、SSH等平安的远程管理手段，防止用户身份鉴别信息在网络传输过程中被窃听；远程管理设备时采用telnet方式进展交换机不符合采用SSH远程管理边界平安相关要求及依据详见GD/J038-2011有关边界平安要求。为满足要求，通过修改配置，设置日志集中管理并定期分析，提供边界平安性。平安现状及整改措施类别测评容结果记录涉及资产符合情况整改措施恶意代码防a)应在信息系统的网络边界处进展恶意代码检测和去除，并维护恶意代码库的升级和检测系统的更新，播出整备系统、播出系统等播出直接相关系统的边界可根据需要进展部署BOSS系统在边界处未设置恶意代码防措施\不符合在网络边界部署恶意代码防设备b)防恶意代码产品应与信息系统部防恶意代码产品具有不同的恶意代码库BOSS系统在边界处未设置恶意代码防措施\不符合入侵防a)应在信息系统的网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝效劳攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等，播出整备系统、播出系统等信息系统的边界可根据需要进展部署BOSS系统在边界处未设置入侵防御措施\不符合在网络边界部署入侵防设备平安审计a)应在与外部网络连接的网络边界处进展数据通信行为审计BOSS系统与CA系统、VOD、营业厅相连，缺少对系统网络边界处进展数据通信的行为进展审计\不符合在与外部网络连接的网络边界处进展数据通信行为审计，并对审计日志进展集中管理和日常分析b)审计记录应包括事件的日期、时间、用户名、IP地址、事件类型、事件是否成功等BOSS系统与CA系统、VOD、营业厅相连，缺少对系统网络边界处进展数据通信的行为进展审计\不符合c)应保护审计记录，防止受到未预期的删除、修改或覆盖等，审计记录至少保存90天BOSS系统与CA系统、VOD、营业厅相连，缺少对系统网络边界处进展数据通信的行为进展审计\不符合d)应定期对审计记录进展分析，以便及时发现异常行为BOSS系统与CA系统、VOD、营业厅相连，缺少对系统网络边界处进展数据通信的行为进展审计\不符合主机平安相关要求及依据详见GD/J038-2011有关主机要求。为满足要求，通过修改主机平安配置，设置登陆口令复杂度限制、登陆失败措施、开启平安审计、定期升级系统和打补丁，提高主机操作系统和数据库的平安性。平安现状及整改措施类别测评容结果记录涉及资产符合情况整改措施身份鉴别a)应对登录操作系统和数据库系统的用户进展身份标识和鉴别，应为不同用户分配不同的用户名，不能多人使用同一用户名；技术部多人使用同一管理员账户，不同用户未分配不同的用户名收费工作站数据库效劳器-1/2接口效劳器测试效劳器-1/2认证效劳器-1/2数据库系统-1/2不符合每个自然人对应使用一个账户，防止账户共享情况b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；操作系统缺少口令长度、更新周期、复杂性限制收费工作站数据库效劳器-1/2接口效劳器测试效劳器-1/2认证效劳器-1/2数据库系统-1/2数字电视综合运营支撑〔BOSS〕系统不符合对操作系统和数据库配置用户口令有效期的强制提醒与更新功能，使口令设置时系统具有复杂度检查和长度限制c)应启用登录失败处理功能，可采取完毕会话、限制非法登录次数和自动退出等措施；操作系统未启用登录失败处理功能收费工作站数据库效劳器-1/2接口效劳器测试效劳器-1/2认证效劳器-1/2数据库系统-1/2数字电视综合运营支撑〔BOSS〕系统不符合启用登录失败处理功能，口令尝试超过规定次数锁定账户c)应实现操作系统和数据库系统特权用户的权限别离；操作系统和数据库管理员由同一人担任，权限未别离数据库系统-1/2不符合为操作系统管理员和数据库管理员岗位配备不同的人员，同时补充相应人员岗位职责平安审计a)平安审计应覆盖到效劳器和重要客户端上的每个操作系统用户和数据库用户；审计功能未开启或审计不全面，未定期对审计记录进展分析数据库效劳器-1/2接口效劳器测试效劳器-1/2认证效劳器-1/2数据库系统-1/2不符合启用本地平安审计功能或部署堡垒机等第三方审计系统，审计谋略配置登录登出、权限变更、重要文件增删行为等事件容入侵防a)操作系统遵循最小安装的原那么，仅安装需要的组件和应用程序，并通过设置升级效劳器等方式保持系统补丁及时得到更新系统补丁未及时升级收费工作站数据库效劳器-1/2接口效劳器测试效劳器-1/2认证效劳器-1/2数据库系统-1/2不符合通过设置专门的升级效劳器等方式保持对操作系统平安补丁的及时更新，并补充完善相关系统升级制度和升级记录恶意代码防应部署具有统一管理功能的防恶意代码软件，并定期更新防恶意代码软件版本和恶意代码库；新闻制播系统、播出整备系统、播出系统等播出直接相关系统的核心效劳器可根据需要进展部署和更新。操作系统未部署具有统一管理功能的防恶意代码软件收费工作站数据库效劳器-1/2接口效劳器测试效劳器-1/2认证效劳器-1/2数据库系统-1/2不符合建议操作系统安装企业版或网络版杀毒软件进展统一管理总要求相关要求及依据详见GD/J038-2011有关总要求。为满足要求，制定?信息平安工作的总体方针和平安策略??管理制度和操作规程??平安管理制度体系?等制度到达目的或检查要求。平安现状及整改措施类别测评容结果记录涉及资产符合情况整改措施总要求a)应制定信息平安工作的总体方针和平安策略，说明平安工作的总体目标、围、原那么和平安框架等；缺少信息平安工作的总体方针和平安策略文件/不符合补充?信息平安工作的总体方针和平安策略?，主要容包括机构平安工作的总体目标、围、方针、原那么、和平安框架b)应成立指导和管理信息平安工作的领导小组，设立信息平安管理工作的职能部门；关于成立信息平安保护工作的 通知 关于发布提成方案的通知关于xx通知关于成立公司筹建组的通知关于红头文件的使用公开通知关于计发全勤奖的通知 余广电【2012】42号，明确成立了信息平安工作的领导小组，但未设立信息平安管理工作的职能部门/局部符合补充?信息平安管理工作的职能部门?，并明确职能部门的职责c)应制定各项信息平安制度和操作规程，明确信息平安管理各项要求，形成由平安方针、管理制度、细化流程等构成的全面的信息平安管理制度体系，使等级保护工作常态化、制度化。缺少各项平安管理制度文档，缺少全面的信息平安管理制度体系/不符合制定各项平安管理制度和操作规程制定信息平安管理制度体系文件，制度体系由总体方针、平安策略、管理制度、操作规程等构成平安管理机构相关要求及依据详见GD/J038-2011有关管理机构要求。为满足要求，?系统管理审批管理制度?、?系统管理审批记录?、?平安检查制度?、?平安检查管理制度?和补充完善?岗位职责?、?平安检查记录?等制度，保障系统的平安。平安现状及整改措施类别测评容结果记录涉及资产符合情况整改措施岗位设置b)应设立信息平安管理工作的职能部门，负责信息平安各项工作的组织和落实，配备专职平安管理员；设立信息平安组织机构，负责信息平安各项工作的组织和落实未配备专职的平安管理员/局部符合补充岗位职责，明确平安管理员的职责，配备专职的平安管理员b)应设立信息平安管理工作的职能部门，负责信息平安各项工作的组织和落实，配备专职平安管理员；未设立信息平安组织机构未配备专职的平安管理员/不符合设立信息平安组织机构，明确机构的职责，配备专职的平安管理员d)应制定文件明确平安管理机构各个部门和岗位的职责。缺少职能部门的职责和岗位职责文件/不符合补充部门职责和岗位职责，主要容包括：平安主管、各个方面的负责人的岗位职责的具体设置，主要容包括：网络管理员、机房管理员、系统管理员、平安管理员、数据库管理员、审计员、应用系统管理员等岗位的具体设置，并清晰、明确各个岗位的职责围授权和审批b〕应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度；缺少审批管理制度〔系统变更、重要操作、物理访问和系统接入等事项〕，缺少逐级审批的文档/不符合增加?系统管理审批管理制度?：主要容包括明确对系统投入运行、网络系统接入和重要资源的访问、变更管理、产品采购等关键活动的审批部门和批准人进展规定，明确审批流程c〕应定期审查审批事项，及时更新需授权和审批的工程、审批部门和审批人等信息；缺少审批管理制度文档/不符合增加?逐级审批的文档?对审批过程进展记录，增加?审批事项的审查记录?，包括审批事项、审批部门、审批人的变更进展评审等容，对关键活动的审批进展记录d〕应记录审批过程并保存审批文档。缺少关键活动的审批过程记录/不符合沟通和合作a〕应加强各类管理人员之间、组织部机构之间以及信息平安职能部门部的合作与沟通，定期或不定期召开协调会议，共同协作处理信息平安问题；不定期召开协调会议，、、当面沟通，沟通容历史问题的解决，缺少组织部机构之间以及信息平安职能部门部的平安工作会议文件，经检查，通讯录，明确了组织机构部人员联系表/局部符合增加?会议纪要?，包括组织部机构之间以及信息平安职能部门部的平安工作会议文件b)应加强与系统外相关工作单位的合作与沟通，确保信息平安各项工作的顺利开展；与信息外相关工作单位建立了沟通与合作机构，、进展联系，包括业务，平安等，但缺少单独的工作文件或记录/局部符合增加?会议纪要?，包括与系统外相关工作单位的合作与沟通的记录审核和检查a〕平安管理员应负责定期进展信息平安检查，检查容包括系统日常运行、系统漏洞和数据备份等情况；1个月检查一次，包括日常运行、备份等，未包括漏洞检查，经检查，缺少平安检查的记录或报告/局部符合补充?平安检查记录?，明确检查的周期，检查的容包括系统日常运行、系统漏洞和数据备b〕应定期进展全面信息平安检查，检查容包括现有平安技术措施的有效性、平安配置与平安策略的一致性、平安管理制度的执行情况等；对信息系统未进展全面的平安检查，缺少平安检查管理制度/不符合增加?平安检查制度?，明确检查容包括技术措施有效性和平安管理制度执行情况等方面；增加?平安检查文档?，明确了定期进展全面平安检查，明确了检查容等c)信息平安主管部门应制定平安检查表格实施平安检查，汇总平安检查数据，形成平安检查报告，并对平安检查结果进展通报。缺少全面的平安检查缺少全面的平安检查报告/不符合增加?平安检查报告??平安检查时的平安检查表??结果通告记录?，包括检查容、检查时间、检查人员、检查数据汇总表、检查结果等容的描述制度管理a)应建立信息平安管理制度、操作规程等从访问控制、系统设计、系统建立、系统验收、系统运维、应急处置、人员管理、文件档案管理、审核检查等方面规各项信息平安管理工作；缺少各项平安管理制度〔访问控制、系统设计、系统建立、系统验收、系统运维、应急处置、人员管理、文件档案管理、审核检查等方面〕/局部符合增加?各项平安管理制度?，明确访问控制、系统设计、系统建立、系统验收、系统运维、人员管理、文件档案管理、审核检查等方面b)信息平安管理部门负责制定信息平安管理制度和操作规程，并进展版本控制；缺少平安管理制度文档/不符合增加?平安管理制度文档?，规制度的版本管理c)应组织专家和相关部门人员对平安管理制度和操作规程进展论证和审定，并定期对其合理性和适用性进展审定，根据需要进展修订；不定期对其合理性和适用性进展审定，根据需要进展修订缺少管理制度评审记录/局部符合增加?管理制度评审记录?，包括评审容、评审周期、参加人员和评审等人员平安管理相关要求及依据详见GD/J038-2011有关人员平安管理要求。为满足要求，通过制定?XX 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 ?、?岗位平安协议、?人员离职管理制度?、?离岗人员交接记录??外来人员访问管理制度?、?外部人员访问重要区域的批准文档?、?外部人员访问重要区域的登记记录?等人员管理制度，保障系统的平安。平安现状及整改措施类别测评容结果记录涉及资产符合情况整改措施人员上岗b〕应签署XX协议和岗位平安协议。对从事关键岗位的人员未签署XX协议和岗位平安协议/不符合增加?XX协议?，对关键岗位的人员签署XX协议，包括平安责任、违约责任、协议的有效期限和责任人签字等容增加?岗位平安协议?，包括平安责任、违约责任、协议的有效期限和责任人签字等容人员离岗a)应规人员离岗过程，及时终止离岗员工的所有访问权限；缺少人员离岗管理制度/不符合增加?人员离岗管理制度?，包括规人员离岗过程，及时终止离岗员工的所有访问权限等容b)应取回各种XX件、钥匙、徽章等以及单位提供的软硬件设备；缺少人员交接记录/不符合增加?离岗手续记录表??交接手续登记表?，取回离岗人员的各种XX件、钥匙、徽章等以及机构提供的软硬件设备等c)应办理严格的调离手续，关键岗位人员离岗须承诺调离后的XX义务前方可离开。缺少人员调离记录，缺少离职人员的XX承诺文档/不符合增加?XX承诺文档?，明确要求关键岗位调离人员承诺相关XX义务前方可离开培训与考核b)应对信息平安各相关岗位的人员定期进展平安技能、政策及平安认知的考核；年度考核记录，未包括平安技能和平安知识的考核/局部符合补充?人员平安技术考核制度?、?人员考核记录?，考核的容包括平安技能及平安认知等c)应对信息平安培训和考核情况进展记录并保存。缺少平安教育和培训记录/不符合增加?平安教育和培训记录?，包括培训时间、地点、参与人员、培训容、培训结果等外部人员访问管理a〕应确保在外部人员访问受控区域前先提出书面申请，得到授权或审批，批准后由专人全程陪同或监视，并登记备案；访问受控区域前经过相关人员的批准，同意后有专人陪同，缺少外部人员访问重要区域的批准文档，缺少外部人员访问重要区域的登记记录/局部符合增加?外部人员访问重要区域的批准文档?、?外部人员访问重要区域的登记记录?，主要容明确对外部人员访问机房等重要区域应经相关部门或负责人批准，明确外部人员访问的围、外部人员进入的条件、外部人员进入的访问控制措施b)对外部人员允许访问的区域、系统、设备、信息等容应进展书面的规定，并按照规定执行。缺少外部人员访问管理制度/不符合增加?外来人员访问管理制度?，明确允许外部人员访问的围，外部人员进入的条件，外部人员进入的访问控制措施等；对允许外部人员访问的区域、系统、设备和信息等进展明确规定系统建立管理相关要求及依据详见GD/J038-2011有关系统建立管理要求。为满足要求，我们通过增加?平安设计方案?、?工程实施文档?、?测试验收文档?、?方案评审记录?、?软件开发管理规?和?系统交付清单?等方式来加强系统的平安。平安现状及整改措施类别测评容结果记录涉及资产符合情况整改措施平安方案设计a〕根据信息系统的等级划分情况，应由专门的部门对信息系统的平安建立进展总体规划，统一考虑信息平安保障体系的总体平安策略、平安技术框架、平安管理策略、总体建立规划、远期和近期建立方案等；技术运维部负责信息系统的总体规划，经检查，缺少系统总体平安策略、平安技术框架、平安管理策略、总体建立规划、详细设计方案、近期平安建立方案和远期平安建立方案等配套文件/局部符合增加?总体平安策略?，容包括近期平安建立方案和远期平安建立方案配套文件，增加?信息系统建立的配套文件?，包括平安技术框架、平安管理策略、总体建立规划、详细设计方案b〕应根据和行业标准、规合理设计信息系统的信息平安方案和策略，制定详细的建立方案；缺少信息系统的信息平安方案和策略，缺少详细的建立方案/局部符合增加?系统平安方案和策略??详细设计方案和策略?c〕应组织相关部门和有关平安技术专家对信息平安的规划、建立方案等进展论证和审定，并且经过批准后，才能正式实施；缺少配套文件的专家论证文档/不符合对?平安方案?组织专家评审并形成?方案评审记录?；对配套文件进展维护记录形成?维护记录?d)应根据等级测评、平安评估的结果调整和修订信息平安的规划、建立方案等。缺少配套文件的修订文档/不符合外包软件开发b)应在软件安装之前检测软件包中可能存在的恶意代码；软件安装之前未检测软件包中可能存在的恶意代码/不符合软件安装之前检测软件包中可能存在的恶意代码增加?恶意代码检测记录?c)应要求开发单位提供软件设计的相关文档和使用指南；未提供软件设计的相关文档和使用指南〔需求分析说明书、软件设计说明书、软件操作手册、软件源代码文档等〕/不符合增加?软件设计的相关文档和使用指南?，包括需求分析说明书、软件设计说明书、软件操作手册、软件源代码文档等d)应要求开发单位提供软件源代码，并审查软件中可能存在的后门漏洞等。缺少软件源代码审查记录/不符合增加?源代码审查记录?，包括软件中可能存在的后门漏洞等容工程实施b)应制定详细的工程实施方案控制实施过程，并要求工程实施单位能正式地执行平安工程过程；未提供工程实施方案，未提供阶段性实施文档/不符合增加?工程实施方案?，规定工程时间限制、进度、控制、质量控制等方面容，工程实施过程按照实施方案形成各种文档，如阶段性工程进程汇报报告c)应制定工程实施方面的管理制度，明确说明实施过程的控制方法和人员行为准那么。缺少工程实施方面的管理制度/不符合增加?工程实施管理制度?，包括，明确说明实施过程的控制方法和人员行为准那么等容测试验收a)应委托具有资质的第三方对系统进展平安性测试，并出具平安性测试报告；未委托公正具有资质的第三方对系统进展平安性测试/不符合信息系统建立完成后对其进展测试，委托第三方测试机构对信息系统进展独立的平安性测试，形成平安性测试报告b)在测试验收前应根据设计方案或 合同 劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载 要求等制订测试验收方案，在测试验收过程中应详细记录测试验收结果，并形成测试验收报告；未提供系统测试验收方案，未提供系统测试验收报告/不符合增加?工程测试验收方案?，明确参与测试的部门、人员、测试验收容、现场操作过程等容，制定?测试验收记录?、?测试验收报告?c)应对系统测试验收的控制方法和人员行为准那么进展书面规定；缺少系统测试验收管理制度/不符合增加?测试验收管理制度?，包括系统测试验收的控制方法和人员行为准那么进展书面规定e〕应组织相关部门和相关人员对系统测试验收报告进展审定，并签字确认。未提供验收报告的审定文档/不符合增加?验收报告的审定文档?，包括验收报告的审定容及审定意见等系统交付a)应制定详细的系统交付清单，并根据交付清单对所交接的设备、软件和文档等进展清点；未提供系统交付清单/不符合增加?系统交付清单?，明确所交接的设备、软件和文档等制定?工程建立管理制度?要求工程系统交付后进展技术培训，?培训记录?并形成记录b)应对负责系统运行维护的技术人员进展相应的技能培训；目前系统是部技术人员维护，对维护人员进展过培训，但未提供系统交付时的技术培训记录/局部符合c)应提供系统建立过程中的文档和指导用户进展系统运行维护的文档；未提供系统交付清单/不符合系统运维管理相关要求及依据详见GD/J038-2011有关系统运维管理要求。为满足要求，我们制定?机房平安管理制度?、?介质管理制度?、?设备维护制度?、?设备操作规程?、?恶意代码防管理制度?、?网络平安管理制度?、?系统平安管理制度?、?备份与恢复管理制度?、?平安事件报告和处置管理制度?和?应急预案?等到达目的或检查要求。平安现状及整改措施类别测评容结果记录涉及资产符合情况整改措施环境管理a)应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进展维护管理；技术运维部进展维护，不定期进展维护，缺少机房根底设施的维护记录/局部符合增加?机房根底设施维护记录?，包括空调、UPS等c)应建立机房平安管理制度，规机房物理访问、机房环境平安、工作人员行为等。机房管理制度不够完善，未包括机房物理访问、物品带进和带出机房、机房环境平安和工作人员行为等方面/局部符合完善?机房管理制度?，包括机房物理访问、机房环境平安、工作人员行为等容资产管理a)应编制并保存与信息系统相关的资产清单，包括资产责任部门、重要程度和所处位置等容；未明确资产的责任部门，缺少资产清单/不符合增加?资产清单?，明确资产的责任部门、责任人、重要程度和所处位置等b)应建立资产平安管理制度，规定信息系统资产管理的责任人员或责任部门，并规资产管理和使用的行为；缺少资产平安管理制度/不符合增加?资产平安管理制度?，规定信息系统资产管理的责任人员或责任部门，并规资产管理和使用的行为c)应根据资产的重要程度对资产进展标识管理，并选择相应的管理措施；未明确的分类和标识管理，不同类别的资产未采取不同的管理措施/不符合根据资产的重要程度对资产进展标识管理，并选择相应的管理措施d)应对信息分类与标识方法作出规定，并对信息的使用、传输和存储等进展规化管理。缺少信息分类文档/不符合增加?信息分类管理文档?，包括分类与标识方法，信息的使用、传输和存储等容介质管理a)应建立介质平安管理制度，对介质的存放环境、使用、维护和销毁等方面作出规定；缺少介质平安管理制度〔介质的存放环境、使用、维护和销毁等方面〕/不符合制定?介质平安管理制度?，包括介质的存放环境、使用、维护和销毁等方面b)应确保介质存放在平安的环境中，并根据所承载数据和软件的重要程度对介质进展分类和标识管理，进展相应的控制和保护；未明确专门的存放环境，对介质未进展分类和标识/不符合明确介质的存放环境，根据重要性对介质进展分类和标识管理，进展相应的控制和保护c)应对存储介质的使用过程、送出维修以及销毁等进展严格的管理，对经批准带出工作环境的存储介质进展登记和监控管理，对送出维修或销毁的介质应首先去除介质中的敏感数据，对XX性较高的存储介质未经批准不应自行销毁；缺少介质管理制度〔存储介质的使用过程、送出维修以及销毁等进展严格的管理，对经批准带出工作环境的存储介质进展登记和监控管理，对送出维修或销毁的介质应首先去除介质中的敏感数据〕/不符合制定?介质管理制度?，明确介质的销毁和维修等方面的要求。明确对介质的物理传输过程是否要求选择可靠传输人员、严格介质的打包、选择平安的物理传输途径、双方在场交付等容d)应根据数据备份的需要对某些介质实行异地存储，存储地的环境要求和管理方法应与本地一样；重要数据未实行异地存储/不符合明确重要数据进展加密存储设备管理c)应建立配套设施、软硬件维护方面的管理制度，对其维护进展有效的管理，包括明确维护人员的责任、涉外维修和效劳的审批、维修过程的监视控制等；缺少配套设施、软硬件维护方面的管理制度/不符合增加?设备维护制度?，明确维护人员的责任、涉外维修和效劳的审批、维修过程的监视控制等容d)应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进展规化管理，按操作规程实现主要设备的启动/停顿、加电/断电等操作；缺少设备使用管理文档，缺少设备的操作规程，关键设备的操作未建立操作日志/局部符合增加?设备使用管理文档?，包括终端计算机、便携机和网络设备等使用方式、操作原那么、考前须知等容，制定?操作规程?，包括对重要系统，如效劳器、防火墙、交换机、路由器等容，增加?日志管理记录?，包括检查人员、日期、容等e)应确保信息处理设备必须经过审批才能带离机房或办公地点。缺少设备带离机房或办公场地的审批记录/不符合制定?处理设备必须经过审批才能带离机房或办公地点的记录?，明确审批容和批准人恶意代码防管理b)应对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确规定；缺少恶意代码方面的管理制度/不符合增加?恶意代码防管理制度?，包括防恶意代码软件的授权使用、恶意代码库升级、定期汇报等容c)应定期检查信息系统各种产品的恶意代码库的升级情况并进展记录，对防恶意代码产品上截获的危险病毒或恶意代码进展及时分析处理，并形成书面的报表和总结汇报。缺少恶意代码检测记录、恶意代码库升级记录和分析报告/不符合增加?恶意代码检测记录??恶意代码库升级记录?和?恶意代码分析报告?，明确其检查周期、检查人员、检查结果等密码管理a〕应使用符合密码管理规定的密码技术和产品；缺少密码使用方面的管理制度/不符合增加?密码管理制度?，明确密码使用方面的容变更管理b)应建立变更管理制度，系统发生变更前，向主管领导申请，变更和变更方案经过评审、审批前方可实施变更，并在实施后将变更情况向相关人员通告；缺少变更管理制度〔更前审批、变更过程记录、变更后通报等方面容〕/不符合增加?变更管理制度?，明确变更类型、变更原因、变更过程、变更前评估等方面容；c)应建立变更控制的申报和审批文件化程序，对变更影响进展分析，记录变更实施过程，并妥善保存所有文档和记录；缺少变更控制的申报和审批程序文档/不符合增加?变更管理制度?，包括变更申报、审批程序，规定需要申报的变更类型、申报流程、审批部门、批准人等方面容d)应建立中止变更并从失败变更中恢复的文件化程序，明确过程控制方法和人员职责，必要时对恢复过程进展演练；缺少变更方案、缺少变更失败恢复程序文档/不符合增加?变更方案??变更恢复程序文档?，明确过程控制方法和人员职责，必要时对恢复过程进展演练备份与恢复管理b)应建立备份与恢复管理相关的平安管理制度，对备份信息的备份方式、备份频度、存储介质和保存期等进展规；缺少备份与恢复管理相关的平安管理制度/不符合增加?备份与恢复管理制度?，包括备份信息的备份方式、备份频度、存储介质、保存期等c)应根据数据的重要性和数据对系统运行的影响，制定数据的备份策略和恢复策略，备份策略须指明备份数据的放置场所、文件命名规那么、介质替换频率和将数据离站运输的方法；缺少备份与恢复管理制度，缺少备份与恢复策略文档/不符合增加?备份与恢复管理制度?、?备份策略文档和恢复策略文档?包括备份数据的放置场所、文件命名规那么、介质替换频率和数据离站运输方法等容d)应建立控制数据备份和恢复过程的程序，对备份过程进展记录，所有文件和记录应妥善保存；缺少数据备份和恢复过程记录/不符合增加?备份和恢复记录?，明确容、日期、检查人、结果等平安事件处置a)应制定平安事件报告和处置管理制度，明确平安事件的类型，规定平安事件的现场处理、事件报告和后期恢复的管理职责；缺少平安事件报告和处置管理制度/不符合增加?平安事件报告和处置管理制度?，明确平安事件类型，规定平安事件的现场处理、事件报告和后期恢复的管理职责b)按照和行业相关规定及时上报信息平安事件和可疑事件；缺少信息平安事件和可疑事件上报文档/不符合增加?信息事件和可疑事件上报的文档?，明确容、日期、检查人、结果等c)应制定平安事件报告和响应处理程序，确定事件的报告流程，响应和处置的围、程度，以及处理方法等；缺少平安事件报告和响应处理程序/不符合增加?平安事件报告和响应处理程序?，包括事件的报告流程，响应和处置的围、程度，以及处理方法等d)应在平安事件报告和响应处理过程中，分析和鉴定事件产生的原因，收集证据，记录处理过程，总结经历教训，制定防止再次发生的补救措施，过程形成的所有文件和记录均应妥善保存。缺少平安事件分析文档/不符合增加?平安事件分析文档?，包括分析和鉴定事件产生的原因，收集证据，记录处理过程，总结经历教训，制定防止再次发生的补救措施应急预案管理a〕应在统一的应急框架下制定不同事件的应急预案，应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、后期处理等容；缺少应急预案框架文档，缺少不同事件的应急预案/不符合根据应急预案框架的要求制定不同事件的应急预案，包括效劳器、网络、应用、病毒、机房等方面b〕应根据系统变更、管理要求的变化等及时更新应急预案；未明确应急预案更新方面的要求/不符合增加?应急预案审查记录?，明确预案审查的周期，包括预案名称、时间、参加人员、审查结果等d〕应对系统相关的人员进展应急预案培训，应急预案的培训应至少每年举办一次；未明确预案的培训周期/不符合增加?应急预案培训记录?，明确培训的周期，包括时间、参加人员，培训容、培训结果等e)应定期对应急预案进展演练。未明确预案的演练周期局部符合增加?应急预案演练记录?，明确演练的周期，包括预案名称、时间、参加人员、演练情况、演练结果等方案总结本方案针对信息系统，依据?播送电视相关信息系统平安等级保护根本要求?、?播送电视相关信息系统平安等级保护测评要求?，根据分级、分域的原那么，进展平安保障体系的建立与规划，从保护计算环境、保护区域边界以及保护通信网络，使平安保障体系全面保障信息系统的正常、平安运行，使得整个系统在平安性上到达对应等级保护的强度，同时在根底防护措施的根底上引入全面的平安管理和平安运行维护策略，进一步提升系统的可靠性和应用平安性。技术方面主要保障了以下几个方面：保障物理平安：通过对机房的根底设施日常维护和巡检来加强物理环境的平安。保障网络平安：通过修改网络及平安设备的配置来加强网络的平安，并定期对网络的设备运行情况及日志进展查看和分析。保障主机平安：通过定期升级系统、数据库和防病毒软件的补丁，对其终端接入进展限制，增加数据库审计功能等方面保障操作系统、数据库、效劳器、用户终端及相关商用产品的平安。保障应用平安：通过完善系统口令管理，增强审计功能等方面保障应用程序层对网络信息的XX性、完整性和信源的真是的保护和鉴别，防止和抵御各种平安威胁和攻击手段，在一定程度上弥补和完善现有操作系统和网络信息系统的平安风险。保障数据平安：通过采用SSL加密方式传输重要数据信息，网络设备和平安设备配置的定期备份，配置系统硬件冗余等方面，防止数据在传输过程中被窃取，有效提高数据的平安性。另外，从平安管理的角度，本方案在总要求、平安管理机构、人员平安管理、系统建立管理以及系统运维管理方面，提出了具体的建立步骤和方法，在总体上使信息系统的平安管理能够到达2级系统的要求，并且对实际工作也起到积极的实际意义。附件一：设备清单汇总编号产品名称数量单位备注1湿度调节设备1台2防盗报警系统1套3火灾自动灭火系统1套4恶意代码防设施1台5入侵防御设施1台6日志审计系统1套附件二：管理制度及表单条目清单序号管理制度分项容备注5总要求?信息平安工作的总体方针和平安策略??各项平安管理制度和操作规程??平安管理体系?6平安管理机构?部门职责和岗位职责??系统管理审批管理制度??逐级审批的文档??平安检查制度??系统平安检查记录表??平安检查报告??结果通告记录?7人员平安管理?XX协议??岗位平安协议??离岗人员交接记录??离岗时的XX承诺文档??人员离职管理制度??人员考核记录??外来人员访问管理制度??外部人员访问重要区域的批准文档??外部人员访问重要区域的登记记录?8系统建立管理?系统的平安建立工作方案??平安建立方案??详细设计方案??总体平安策略、平安技术框架、平安管理策略??方案评审记录??软件开发管理规??工程实施文档??测试验收方案??测试验收报告和文档??系统交付清单??系统交付时的技术培训记录?9系统运维管理?机房管理制度??信息分类文档??介质平安管理制度??设备维护制度??设备使用管理制度??设备操作规程??网络平安管理制度??系统平安管理制度??恶意代码防管理制度??恶意代码检测记录??恶意代码升级记录??恶意代码分析报告??变更管理制度??变更方案??变更恢复程序??备份与恢复管理制度??备份与恢复策略文档??备份和恢复记录??平安事件报告和处置制度??平安事件分析文档??应急预案??应急预案培训记录??应急预案演练记录??应急预案审查记录?