等保2.0通用測(cè)評(píng)要求

一、安全物理環(huán)境

1.1 物理位置選擇

本項(xiàng)要求包括：
a）機(jī)房場(chǎng)地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)；
b）機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的頂層或地下室，否則應(yīng)加強(qiáng)防水和防潮措施。

1.2物理訪問控制

機(jī)房出入口應(yīng)安排專人值守或配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。

1.3防盜竊和防破壞

本項(xiàng)要求包括：
a）應(yīng)將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)識(shí)；
b）應(yīng)將通信線纜鋪設(shè)在隱蔽安全處。

1.4防雷擊

應(yīng)將各類機(jī)柜、設(shè)施和設(shè)備等通過接地系統(tǒng)安全接地。

1.5防火

本項(xiàng)要求包括：
a）機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)，能夠自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警，并自動(dòng)滅火；
b）機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級(jí)的建筑材料。

1.6防水和防潮

本項(xiàng)要求包括：
a）應(yīng)采取措施防止雨水通過機(jī)房窗戶、屋頂和墻壁滲透；
b）應(yīng)采取措施防止機(jī)房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透。

1.7防靜電

應(yīng)采用防靜電地板或地面并采用必要的接地防靜電措施。

1.8 溫濕度控制

應(yīng)設(shè)置溫濕度自動(dòng)調(diào)節(jié)設(shè)施，使機(jī)房溫濕度的變化在設(shè)備運(yùn)行所允許的范園之內(nèi)。

1.9電力供應(yīng)

本項(xiàng)要求包括：
a）應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過電壓防護(hù)設(shè)備；
b）應(yīng)提供短期的備用電力供應(yīng)，至少滿足設(shè)備在斷電情況下的正常運(yùn)行要求。

1.10電磁防護(hù)

電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干擾。

二、安全通信網(wǎng)絡(luò)

2.1 網(wǎng)絡(luò)架構(gòu)

本項(xiàng)要求包括：
a）應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址；
b） 應(yīng)避免將重要 絡(luò)區(qū)域部署在邊界處， 重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采取可靠的技
術(shù)隔離手段。

2.2 通信傳輸

應(yīng)采用校驗(yàn)技術(shù)保證通信過程中數(shù)據(jù)的完整性。

2.3 可信驗(yàn)證

可基于可信根對(duì)通信設(shè)備的系統(tǒng)引導(dǎo)程序、 系統(tǒng)程序、 重要配置參數(shù)和通信應(yīng)用程序等進(jìn)行
可信驗(yàn)證， 并在檢測(cè)到其可信性受到破壞后進(jìn)行報(bào)警， 并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全
管理中心。

三、安全區(qū)域邊界

3.1邊界防護(hù)

應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進(jìn)行通信。

3.2 訪問控制

本項(xiàng)要求包括：
a）應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，默認(rèn)情況下除允許通信
外受控接口拒絕所有通信；
b）應(yīng)刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數(shù)量最小
化；
c） 應(yīng)對(duì)源地址、 目的地址、 源端口、 目的端口和協(xié)議等進(jìn)行檢查， 以允許/拒絕數(shù)據(jù)包進(jìn)出；
d）應(yīng)能根據(jù)會(huì)話狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力。

3.3 入侵防范

應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處監(jiān)視網(wǎng)絡(luò)攻擊行為。

3.4 惡意代碼防范。

應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)惡意代碼進(jìn)行檢測(cè)和清除，并維護(hù)惡意代碼防護(hù)機(jī)制的升級(jí)和更新。

3.5 安全審計(jì)

本項(xiàng)要求包括：
a）應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì)，審計(jì)覆蓋到每個(gè)用戶，對(duì)重要的用戶行為
和重要安全事件進(jìn)行審計(jì)；
b）審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)
的信息；
c）應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等。

3.6 可信驗(yàn)證

可基于可信根對(duì)邊界設(shè)備的系統(tǒng)引導(dǎo)程序、 系統(tǒng)程序、 重要配置參數(shù)和邊界防護(hù)應(yīng)用程序等
進(jìn)行可信驗(yàn)證， 并在檢測(cè)到其可信性受到破壞后進(jìn)行報(bào)警， 并將驗(yàn)證結(jié)果形成審計(jì)記錄送至
安全管理中心。

四、 安全計(jì)算環(huán)境

4.1 身份鑒別

本項(xiàng)要求包括：
a）應(yīng)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)具有唯一性，身份鑒別信息具有復(fù)雜度
要求并定期更換；
b）應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超
時(shí)自動(dòng)退出等相關(guān)措施；
c）當(dāng)進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。

4.2 訪問控制

本項(xiàng)要求包括：
a）應(yīng)對(duì)登錄的用戶分配賬戶和權(quán)限：
b）應(yīng)重命名或刪除默認(rèn)賬戶，修改默認(rèn)賬戶的默認(rèn)口令； 。
c）應(yīng)及時(shí)刪除或停用多余的、過期的賬戶，避免共享賬戶的存在；
d）應(yīng)授予管理用戶所需的最小權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離。

4.3 安全審計(jì)

本項(xiàng)要求包括：
a）應(yīng)啟用安全審計(jì)功能，審計(jì)覆蓋到每個(gè)用戶，對(duì)重要的用戶行為和重要安全事件進(jìn)行審
計(jì)；
b）審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)
的信息；
c）應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等。

4.4 入侵防范。

本項(xiàng)要求包括：
a）應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序；
b）應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口；
c）應(yīng)通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對(duì)通過網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制；
d）應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過人機(jī)接口輸入或通過通信接口輸入的內(nèi)容符合系
統(tǒng)設(shè)定要求；
e）應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過充分測(cè)試評(píng)估后，及時(shí)修補(bǔ)漏洞。

4.5 惡意代碼防范

應(yīng)安裝防惡意代碼軟件或配置具有相應(yīng)功能的軟件，并定期進(jìn)行升級(jí)和更新防惡意代碼庫。

4.6 可信驗(yàn)證

可基于可信根對(duì)計(jì)算設(shè)備的系統(tǒng)引導(dǎo)程序、 系統(tǒng)程序、 重要配置參數(shù)和應(yīng)用程序等進(jìn)行可信
驗(yàn)證， 并在檢測(cè)到其可信性受到破壞后進(jìn)行報(bào)警， 并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理
中心。

4.7 數(shù)據(jù)完整性

應(yīng)采用校驗(yàn)技術(shù)保證重要數(shù)據(jù)在傳輸過程中的完整性。

4.8 數(shù)據(jù)備份恢復(fù)

本項(xiàng)要求包括：
a）應(yīng)提供重要數(shù)據(jù)的本地?cái)?shù)據(jù)備份與恢復(fù)功能；
b）應(yīng)提供異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將重要數(shù)據(jù)定時(shí)批量傳送至備用場(chǎng)地。

4.9 剩余信息保護(hù)

應(yīng)保證鑒別信息所在的存儲(chǔ)空間被釋放或重新分配前得到完全清除。

4.10個(gè)人信息保護(hù)

本項(xiàng)要求包括：
a）應(yīng)僅采集和保存業(yè)務(wù)必需的用戶個(gè)人信息；
b）應(yīng)禁止未授權(quán)訪問和非法使用用戶個(gè)人信息。

五、安全管理中心

5.1 系統(tǒng)管理

本項(xiàng)要求包括：
a） 應(yīng)對(duì)系統(tǒng)管理員進(jìn)行身份鑒別， 只允許其通過特定的命令或操作界面進(jìn)行系統(tǒng)管理操作，
并對(duì)這些操作進(jìn)行審計(jì)；
b）應(yīng)通過系統(tǒng)管理員對(duì)系統(tǒng)的資源和運(yùn)行進(jìn)行配置、控制和管理，包括用戶身份、系統(tǒng)資
源配置、系統(tǒng)加載和啟動(dòng)、系統(tǒng)運(yùn)行的異常處理、數(shù)據(jù)和設(shè)備的備份與恢復(fù)等。

5.2 審計(jì)管理

本項(xiàng)要求包括：
a） 應(yīng)對(duì)審計(jì)管理員進(jìn)行身份鑒別， 只允許其通過特定的命令或操作界面進(jìn)行安全審計(jì)操作，
并對(duì)這些操作進(jìn)行審計(jì)；
b）應(yīng)通過審計(jì)管理員對(duì)審計(jì)記錄進(jìn)行分析，并根據(jù)分析結(jié)果進(jìn)行處理，包括根據(jù)安全審計(jì)
策略對(duì)審計(jì)記錄進(jìn)行存儲(chǔ)、管理和查詢等。

六、安全管理制度

6.1 安全策略

應(yīng)制定網(wǎng)絡(luò)安全工作的總體方針和安全策略， 闡明機(jī)構(gòu)安全工作的總體目標(biāo)、 范圍、 原則和
安全框架等。

6.2 管理制度

本項(xiàng)要求包括：
a）應(yīng)對(duì)安全管理活動(dòng)中的主要管理內(nèi)容建立安全管理制度；。
b）應(yīng)對(duì)管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程。

6.3 制定和發(fā)布

本項(xiàng)要求包括：
a）應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)安全管理制度的制定；
b）安全管理制度應(yīng)通過正式、有效的方式發(fā)布，并進(jìn)行版本控制。

6.4 評(píng)審和修訂

應(yīng)定期對(duì)安全管理制度的合理性和適用性進(jìn)行論證和審定， 對(duì)存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂。

七、安全管理機(jī)構(gòu)

7.1 崗位設(shè)置

本項(xiàng)要求包括：
a） 應(yīng)設(shè)立網(wǎng)絡(luò)安全管理工作的職能部門， 設(shè)立安全主管、 安全管理各個(gè)方面的負(fù)責(zé)人崗位，
并定義各負(fù)責(zé)人的職責(zé)；
b）應(yīng)設(shè)立系統(tǒng)管理員、審計(jì)管理員和安全管理員等崗位，并定義部門及各個(gè)工作崗位的職
責(zé)。

7.2 人員配備

應(yīng)配備一定數(shù)量的系統(tǒng)管理員、審計(jì)管理員和安全管理員等。

7.3 授權(quán)和審批

本項(xiàng)要求包括：
a）應(yīng)根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批事項(xiàng)、審批部門和批準(zhǔn)人等；
b）應(yīng)針對(duì)系統(tǒng)變更、重要操作。物理訪問和系統(tǒng)接入等事項(xiàng)執(zhí)行審批過程。

7.4 溝通和合作

本項(xiàng)要求包括：
a）應(yīng)加強(qiáng)各類管理人員、組織內(nèi)部機(jī)構(gòu)和網(wǎng)絡(luò)安全管理部門之間的合作與溝通，定期召開
協(xié)調(diào)會(huì)議，共同協(xié)作處理網(wǎng)絡(luò)安全問題；
b）應(yīng)加強(qiáng)與網(wǎng)絡(luò)安全職能部門、各類供應(yīng)商、業(yè)界專家及安全組織的合作與溝通；
c）應(yīng)建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容，聯(lián)系人和聯(lián)系方式等信息。

7.5 審核和檢查

應(yīng)定期進(jìn)行常規(guī)安全檢查，檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。

八、 安全管理人員

8.1 人員錄用

本項(xiàng)要求包括：
a）應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)人員錄用：
b）應(yīng)對(duì)被錄用人員的身份、安全背景、專業(yè)資格或資質(zhì)等進(jìn)行審查。

8.2 人員離崗

應(yīng)及時(shí)終止離崗人員的所有訪問權(quán)限， 取回各種身份證件、 鑰匙、 微章等以及機(jī)構(gòu)提供的軟
硬件設(shè)備。

8.3 安全意識(shí)教育和培訓(xùn)

應(yīng)對(duì)各類人員進(jìn)行安全意識(shí)教育和崗位技能培，并告知相關(guān)的安全責(zé)任和懲戒措施。

8.4 外部人員訪問管理

本項(xiàng)要求包括：
a）應(yīng)在外部人員物理訪問受控區(qū)域前先提出書面申請(qǐng)，批準(zhǔn)后由專人全程陪同，并登記備
案；
b）應(yīng)在外部人員接入受控網(wǎng)絡(luò)訪問系統(tǒng)前先提出書面申請(qǐng)，批準(zhǔn)后由專人開設(shè)賬戶、分配
權(quán)限，并登記備案；
c）外部人員離場(chǎng)后應(yīng)及時(shí)清除其所有的訪問權(quán)限。

九、 安全建設(shè)管理

9.1 定級(jí)和備案

本項(xiàng)要求包括：
a）應(yīng)以書面的形式說明保護(hù)對(duì)象的安全保護(hù)等級(jí)及確定等級(jí)的方法和理由；
b）應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)定級(jí)結(jié)果的合理性和正確性進(jìn)行論證和審定；
c）應(yīng)保證定級(jí)結(jié)果經(jīng)過相關(guān)部門的批準(zhǔn)；
d）應(yīng)將備案材料報(bào)主管部門和相應(yīng)公安機(jī)關(guān)備案。

9.2 安全方案設(shè)計(jì)

本項(xiàng)要求包括：
a）應(yīng)根據(jù)安全保護(hù)等級(jí)選擇基本安全措施，依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施；
b）應(yīng)根據(jù)保護(hù)對(duì)象的安全保護(hù)等級(jí)進(jìn)行安全方案設(shè)計(jì)；
c）應(yīng)組織相關(guān)部門和有關(guān)安全專家對(duì)安全方案的合理性和正確性進(jìn)行論證和審定，經(jīng)過批
準(zhǔn)后才能正式實(shí)施。

9.3 產(chǎn)品采購和使用

本項(xiàng)要求包括：
a）應(yīng)確保網(wǎng)絡(luò)安全產(chǎn)品采購和使用符合國家的有關(guān)規(guī)定；
b）應(yīng)確保密碼產(chǎn)品與服務(wù)的采購和使用符合國家密碼管理主管部門的要求。

9.4 自行軟件開發(fā)

本項(xiàng)要求包括：
a）應(yīng)將開發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開，測(cè)試數(shù)據(jù)和測(cè)試結(jié)果受到控制；
b） 應(yīng)在軟件開發(fā)過程中對(duì)安全性進(jìn)行測(cè)試， 在軟件安裝前對(duì)可能存在的惡意代碼進(jìn)行檢測(cè)。

9.5 外包軟件開發(fā)

本項(xiàng)要求包括：
a）應(yīng)在軟件交付前檢測(cè)其中可能存在的惡意代碼；
b）應(yīng)保證開發(fā)單位提供軟件設(shè)計(jì)文檔和使用指南。

9.6 工程實(shí)施

本項(xiàng)要求包括：
a）應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)工程實(shí)施過程的管理；
b）應(yīng)制定安全工程實(shí)施方案控制工程實(shí)施過程。

9.7 測(cè)試驗(yàn)收

本項(xiàng)要求包括：
a）應(yīng)制訂測(cè)試驗(yàn)收方案，并依據(jù)測(cè)試驗(yàn)收方案實(shí)施測(cè)試驗(yàn)收，形成測(cè)試驗(yàn)收?qǐng)?bào)告；
b）應(yīng)進(jìn)行上線前的安全性測(cè)試，并出具安全測(cè)試報(bào)告。

9.8 系統(tǒng)交付

本項(xiàng)要求包括：
a）應(yīng)制定交付清單，并根據(jù)交付清單對(duì)所交接的設(shè)備、軟件和文檔等進(jìn)行清點(diǎn)；
b）應(yīng)對(duì)負(fù)責(zé)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)；
c）應(yīng)提供建設(shè)過程文檔和運(yùn)行維護(hù)文檔。

9.9 等級(jí)測(cè)評(píng)

本項(xiàng)要求包括：
a）應(yīng)定期進(jìn)行等級(jí)測(cè)評(píng)，發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改；
b）應(yīng)在發(fā)生重大變更或級(jí)別發(fā)生變化時(shí)進(jìn)行等級(jí)測(cè)評(píng)；
c）應(yīng)確保測(cè)評(píng)機(jī)構(gòu)的選擇符合國家有關(guān)規(guī)定。

9.10服務(wù)供應(yīng)商選擇

本項(xiàng)要求包括：
a）應(yīng)確保服務(wù)供應(yīng)商的選擇符合國家的有關(guān)規(guī)定；
b）應(yīng)與選定的服務(wù)供應(yīng)商簽訂相關(guān)協(xié)議，明確整個(gè)服務(wù)供應(yīng)鏈各方需履行的網(wǎng)絡(luò)安全相關(guān)
義務(wù)。

十、 安全運(yùn)維管理

10.1環(huán)境管理

本項(xiàng)要求包括：
a）應(yīng)指定專門的部門或人員負(fù)責(zé)機(jī)房安全，對(duì)機(jī)房出人進(jìn)行管理，定期對(duì)機(jī)房供配電、空
調(diào)、溫濕度控制、消防等設(shè)施進(jìn)行維護(hù)管理；
b）應(yīng)對(duì)機(jī)房的安全管理做出規(guī)定，包括物理訪問、物品進(jìn)出和環(huán)境安全等：
c 應(yīng)不在重要區(qū)域接待來訪人員，不隨意放置含有敏感信息的紙檔文件和移動(dòng)介質(zhì)等。

10.2資產(chǎn)管理

應(yīng)編制并保存與保護(hù)對(duì)象相關(guān)的資產(chǎn)清單， 包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容。

10.3介質(zhì)管理

本項(xiàng)要求包括：
a）應(yīng)將介質(zhì)存放在安全的環(huán)境中，對(duì)各類介質(zhì)進(jìn)行控制和保護(hù)，實(shí)行存儲(chǔ)環(huán)境專人管理，
并根據(jù)存檔介質(zhì)的目錄清單定期盤點(diǎn)；
b）應(yīng)對(duì)介質(zhì)在物理傳輸過程中的人員選擇、打包、交付等情況進(jìn)行控制，并對(duì)介質(zhì)的歸檔
和查詢等進(jìn)行登記記錄。

10.4設(shè)備維護(hù)管理

本項(xiàng)要求包括：
a） 應(yīng)對(duì)各種設(shè)備（包括備份和冗余設(shè)備）、線路等指定專門的部門或人員定期進(jìn)行維護(hù)管理；
b） 應(yīng)對(duì)配套設(shè)施、 軟硬件維護(hù)管理做出規(guī)定， 包括明確維護(hù)人員的責(zé)任、 維修和服務(wù)的審
批。維修過程的監(jiān)督控制等。

10.5漏洞和風(fēng)險(xiǎn)管理

應(yīng)采取必要的措施識(shí)別安全漏洞和隱患， 對(duì)發(fā)現(xiàn)的安全漏洞和隱患及時(shí)進(jìn)行修補(bǔ)或評(píng)估可能
的影響后進(jìn)行修補(bǔ)。

10.6網(wǎng)絡(luò)和系統(tǒng)安全管理。

本項(xiàng)要求包括：
a）應(yīng)劃分不同的管理員角色進(jìn)行網(wǎng)絡(luò)和系統(tǒng)的運(yùn)維管理，明確各個(gè)角色的責(zé)任和權(quán)限；
b） 應(yīng)指定專門的部門或人員進(jìn)行賬戶管理， 對(duì)申請(qǐng)賬戶、 建立賬戶、 刪除賬戶等進(jìn)行控制；
c）應(yīng)建立網(wǎng)絡(luò)和系統(tǒng)安全管理制度，對(duì)安全策略、賬戶管理、配置管理、日志管理、日常
操作、升級(jí)與打補(bǔ)丁、口令更新周期等方面作出規(guī)定；
d）應(yīng)制定重要設(shè)備的配置和操作手冊(cè)，依據(jù)手冊(cè)對(duì)設(shè)備進(jìn)行安全配置和優(yōu)化配置等；
e）應(yīng)詳細(xì)記錄運(yùn)維操作日志，包括日常巡檢工作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)
容。

10.7惡意代碼防范管理

本項(xiàng)要求包括：
a）應(yīng)提高所有用戶的防惡意代碼意識(shí)，對(duì)外來計(jì)算機(jī)或存儲(chǔ)設(shè)備接人系統(tǒng)前進(jìn)行惡意代碼
檢查等；
b）應(yīng)對(duì)惡意代碼防范要求做出規(guī)定，包括防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級(jí)、
惡意代碼的定期查殺等；
c）應(yīng)定期檢查惡意代碼庫的升級(jí)情況，對(duì)截獲的惡意代碼進(jìn)行及時(shí)分析處理。

10.8配置管理

應(yīng)記錄和保存基本配置信息， 包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、 各個(gè)設(shè)備安裝的軟件組件、 軟件組件的版
本和補(bǔ)丁信息、各個(gè)設(shè)備或軟件組件的配置參數(shù)等。

10.9密碼管理

本項(xiàng)要求包括：
a）應(yīng)遵循密碼相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)；
b）應(yīng)使用國家密碼管理主管部門認(rèn)證核準(zhǔn)的密碼技術(shù)和產(chǎn)品。

10.10 變更管理

應(yīng)明確變更需求， 變更前根據(jù)變更需求制定變更方案， 變更方案經(jīng)過評(píng)審、審批后方可實(shí)施。

10.11 備份與恢復(fù)管理

本項(xiàng)要求包括：
a）應(yīng)識(shí)別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等；
b）應(yīng)規(guī)定備份信息的備份方式、備份頻度、存儲(chǔ)介質(zhì)保存期等；
c）應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對(duì)系統(tǒng)運(yùn)行的影響，制定數(shù)據(jù)的備份策略和恢復(fù)策略、備份
程序和恢復(fù)程序等。

10.12 安全事件處置

本項(xiàng)要求包括：
a）應(yīng)及時(shí)向安全管理部門報(bào)告所發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件；
b）應(yīng)制定安全事件報(bào)告和處置管理制度，明確不同安全事件的報(bào)告、處置和響應(yīng)流程，規(guī)
定安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)的管理職責(zé)等；
c）應(yīng)在安全事件報(bào)告和響應(yīng)處理過程中，分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處
理過程，總結(jié)經(jīng)驗(yàn)教訓(xùn)。

10.13 應(yīng)急預(yù)案管理

本項(xiàng)要求包括：
a）應(yīng)制定重要事件的應(yīng)急預(yù)案，包括應(yīng)急處理流程、系統(tǒng)恢復(fù)流程等內(nèi)容；
b）應(yīng)定期對(duì)系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，并進(jìn)行應(yīng)急預(yù)案的演練。

10.14 外包運(yùn)維管理

本項(xiàng)要求包括：
a）應(yīng)確保外包運(yùn)維服務(wù)商的選擇符合國家的有關(guān)規(guī)定；
b）應(yīng)與選定的外包運(yùn)維服務(wù)商簽訂相關(guān)的協(xié)議，明確約定外包運(yùn)維的范圍、工作內(nèi)容。文章來源地址http://www.zghlxwxcb.cn/news/detail-842777.html

到了這里，關(guān)于等保2.0通用測(cè)評(píng)要求的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！