等保2.0中的“安全運(yùn)維管理”對(duì)應(yīng)等保1.0中的“系統(tǒng)運(yùn)維管理”，對(duì)環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備維護(hù)管理、漏洞和風(fēng)險(xiǎn)管理、網(wǎng)絡(luò)和系統(tǒng)安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理、外包運(yùn)維管理均做出了明確要求。其中增加了漏洞和風(fēng)險(xiǎn)管理、配置管理、外包運(yùn)維管理等測(cè)評(píng)項(xiàng)，在環(huán)境管理、設(shè)備維護(hù)管理、網(wǎng)絡(luò)和系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、安全事件處置、應(yīng)急預(yù)案管理等測(cè)評(píng)方面均有所加強(qiáng)。

一覽表

評(píng)測(cè)實(shí)踐

在對(duì)安全運(yùn)維管理測(cè)評(píng)時(shí)，測(cè)評(píng)方會(huì)檢查是否建立機(jī)房安全管理制度、資產(chǎn)安全管理制度、配套設(shè)施軟硬件維護(hù)管理制度、網(wǎng)絡(luò)和系統(tǒng)安全管理制度、惡意代碼防范管理制度、基本配置信息更改申報(bào)審批程序、變更申報(bào)和審批控制程序、變更中止或失敗恢復(fù)程序、備份與恢復(fù)管理制度、安全事件報(bào)告和處置安全管理制度等，查看制度內(nèi)容是否符合測(cè)評(píng)要求。

詢問機(jī)房安全管理人員、設(shè)備維護(hù)管理人員、網(wǎng)絡(luò)和系統(tǒng)管理人員、系統(tǒng)維護(hù)負(fù)責(zé)人等，對(duì)機(jī)房環(huán)境、辦公環(huán)境、資產(chǎn)、介質(zhì)、各種設(shè)備、漏洞和風(fēng)險(xiǎn)、網(wǎng)絡(luò)和系統(tǒng)、惡意代碼防范、基本配置、密碼技術(shù)和產(chǎn)品、系統(tǒng)變更、備份與恢復(fù)管理、安全事件處置、應(yīng)急、外包運(yùn)維等管理流程、管理人員、管理措施、管理周期、管理依據(jù)等，是否形成管理記錄，檢查各管理記錄覆蓋是否全面。是否采取滲透測(cè)試、漏洞掃描等方式檢測(cè)系統(tǒng)存在的漏洞，是否對(duì)漏洞進(jìn)行修補(bǔ)等。

一至三級(jí)所需制度參考清單