8.1.7.5 审核和检查

应定期开展常规安全检查，检查的内容涵盖系统的日常运行情况，以及系统存在的漏洞情况和数据备份情况。

应定期开展全面的安全检查工作，检查的内容涵盖以下几个方面：一是现有安全技术措施是否有效；二是安全配置与安全策略是否保持一致；三是安全管理制度的执行情况如何。

应制定安全检查表格，以此来实施安全检查。要汇总安全检查数据，从而形成安全检查报告。并且要对安全检查结果进行通报。

8.1.8安全管理人员

8.1.8.1 人员录用

a) 应指定或授权专门的部门或人员负责人员录用；

对被录用人员所具有的技术技能进行考核。

应签署保密协议，对象是被录用人员；应签署岗位责任协议，对象是关键岗位人员。

.8.1.8.2 人员离岗

a) 应及时终止离岗人员的所有访问权限，

取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备；

应办理调离手续，且该手续需严格办理。同时，需承诺调离后的保密义务，只有在满足这两个条件后才可离开。

.8.1.8.3 安全意识教育和培训

对各类人员要进行安全意识方面的教育，同时要进行岗位技能方面的培训。并且要将相关的安全责任告知他们，还要把惩戒措施告知他们。

应根据不同的岗位分别制定相应的培训计划，要对安全方面的基础知识进行培训，同时也要对岗位的操作规程等进行培训。

c) 应定期对不同岗位的人员进行技能考核；

8.1.8.4 外部人员访问管理

应先提出书面申请，而后外部人员方可进行物理访问受控区域。在申请获得批准后，需由专人全程陪同，同时还需进行登记备案。

应先提出书面申请，然后外部人员才能接入网络访问系统；在申请批准后，由专人负责开设账号、分配权限，并进行登记备案。

c) 外部人员离场后应及时清除其所有的访问权限；

获得系统访问授权的外部人员需签署保密协议。他们不能进行非授权操作。也不能复制和泄露任何敏感信息。

8.1.9 安全建设管理

8.1.9.1 定级和备案

应以书面形式来进行说明，说明的内容包括保护对象的安全保护等级，以及确定该等级的方法和理由。

应组织相关部门以及相关安全技术专家，对定级结果的合理性与正确性展开论证和审定工作。

c) 应保证定级结果经过有关部门的批准。

d) 应将备案材料报主管部门和相应公安机关备案。

8.1.9.2 安全方案设计

应按照安全保护等级来选择基本安全措施，并且依据风险分析所得出的结果去补充和调整安全措施。

应依据保护对象的安全保护等级以及其与其他级别保护对象之间的关系，来开展安全整体规划以及安全方案设计。设计的内容当中应当包含密码技术相关的内容，并且要形成配套的文件。

应组织相关部门以及相关安全专家，对安全整体规划及其配套文件的合理性与正确性展开论证和审定工作。此项工作完成且经过批准之后，方可正式予以实施。

8.1.9. 产品采购和使用

a) 应确保网络安全产品采购和使用符合国家的有关规定；

应保证密码产品和服务的采购行为符合国家密码主管部门的要求；应保证密码产品和服务的使用行为符合国家密码主管部门的要求。

应预先对产品开展选型测试工作，以此来确定产品的候选范围。同时，要定期对候选产品名单进行审定和更新。

8.1.9.4 自行软件开发

开发环境需与实际运行环境在物理上分开，并且要对测试数据以及测试结果进行控制。

应制定出软件开发方面的管理制度，要清晰地阐明开发过程所应采用的控制方法以及人员应当遵循的行为准则。

应制定关于代码编写的安全规范，让开发人员按照此规范来编写代码；

应具备与软件设计相关的文档以及使用指南，同时要对文档的使用进行管控。

应在软件开发过程中进行安全性测试，并且在软件安装之前检测可能存在的恶意代码。

对语言资源库的修改、更新、发布要进行授权和批准，同时要严格实施版本控制。

应确保开发人员是专职的。开发人员的开发活动能够被控制、被监视以及被审查。

8.1.9.5 外包软件开发

a) 应在软件交付前检测其中可能存在的恶意代码；

b) 应保证开发单位提供软件设计文档和使用指南；

应保证开发单位提供软件的源代码。同时，要对软件中可能存在的后门以及隐蔽信道进行审查。

8.1.9.6 工程实施

a) 应指定或授权专门的部门或人员负责工程实施过程的管理；

b) 应制定安全工程实施方案控制工程实施过程；

c) 应通过第三方工程监理控制项目的实施过程。

8.1.9.7 测试验收

应进行上线前的安全性测试，并且要出具安全测试报告，该安全测试报告需要包含密码应用安全性测试的相关内容。

应制定测试验收方案，然后按照此方案进行测试验收，最后形成测试验收报告。

8.1.9.8 系统交付

应制定交付清单，接着依据交付清单对所交接的设备进行清点，同时也要依据交付清单对所交接的软件进行清点，并且依据交付清单对所交接的文档等进行清点。

b) 应对负责运行维护的技术人员进行相应的技能培训；

c) 应确保提供建设过程文档和运行维护文档。

8.1.9.9 等级测评

应定期开展等级测评工作，一旦发现存在不符合相应等级保护标准要求的情况，就要及时进行整改。

b) 应在发生重大变更或级别发生变化时进行等级测评；

c) 应确保测评机构的选择符合国家有关规定；

8.1.9.10 服务供应商选择

a) 应确保服务供应商的选择符合国家的有关规定；

应签订相关协议，协议对象为选定的服务供应商，要在协议中明确整个服务供应链各方需履行的网络安全相关义务；

同时，要对服务供应商变更服务内容加以控制。

8.1.10安全运维管理

8.1.10.1 环境管理

应指定专门的部门来负责机房安全，并且要对机房的出入进行管理。同时，还需定期对机房的供配电设施、空调设施、温湿度控制设施以及消防设施等进行维护管理。

应建立机房安全管理制度，规定有关物理访问方面的管理，规定物品带进出方面的管理，规定环境安全方面的管理。

c) 不应随意放置含敏感信息的移动介质等。

8.1.10.2 资产管理（G3）

应编制一份资产清单，这份清单要与保护对象相关，并且要保存起来。这份资产清单应包含资产责任部门、重要程度以及所处位置等内容。

应依据资产的重要程度来对资产进行标识管理，并且要按照资产的价值选取相应的管理措施。

c) 要对信息的分类与标识方法作出规定，同时还要对信息的使用、传输以及存储等方面进行规范化的管理。

8.1.10.3 介质管理（G3）

应确保将介质存放在安全的环境里，要对各类介质进行控制以及保护，实行存储环境由专人进行管理，并且要根据存档介质的目录清单定期进行盘点。

b) 要对介质在物理传输过程中涉及的人员选择情况进行控制，要对介质的打包情况进行控制，要对介质的交付情况进行控制，同时要对介质的归档情况进行登记记录，还要对介质的查询情况进行登记记录。

8.1.10.4 设备维护管理

指定专门的部门或人员来应对各种设备，包括备份和冗余设备，以及线路等，并且要定期进行维护管理。

应建立关于配套设施以及软硬件维护的管理制度，要对其维护进行有效的管理。具体来说，要明确维护人员的责任，对维修和服务进行审批，还要对维修过程进行监督控制等。

信息处理设备需经过审批才可带离机房或办公地点。若设备含有存储介质并带离工作环境，那么其中的重要数据应进行加密。

含有存储介质的设备在报废时，应进行完全清除；在重用前，应被安全覆盖。这样做是为了确保该设备上的敏感数据和授权软件无法被恢复重用。

8.1.10.5 漏洞和风险管理

应采取必要措施来识别安全漏洞与隐患，并且对于发现的安全漏洞和隐患，要及时进行修补，或者在评估可能的影响之后再进行修补。

应定期开展安全测评工作，然后形成安全测评报告，接着要采取相应措施来应对所发现的安全问题。

8.1.10.6 网络和系统安全管理

应划分出不同的管理员角色，用于进行网络和系统的运维管理。并且要明确各个角色所承担的责任以及所拥有的权限。

应指定专门的部门来进行账户管理，要对申请账户这一行为进行控制；应指定专门的人员来进行账户管理，要对建立账户这一行为进行控制；应指定专门的部门或人员来进行账户管理，要对删除账户这一行为进行控制。

应建立网络和系统的安全管理制度，明确安全策略方面的规定；明确账户管理方面的规定；明确配置管理方面的规定；明确日志管理方面的规定；明确日常操作方面的规定；明确升级与打补丁方面的规定；明确口令更新周期方面的规定。

应制定关于重要设备的配置手册，该手册用于对设备进行安全配置等操作；同时应制定关于重要设备的操作手册，依据此手册对设备进行优化配置等工作。

应详细记录运维操作日志，其中包含日常巡检工作的相关记录；应记录运行维护的相关情况；应记录参数的设置情况以及参数的修改情况等内容。

f）需要指定一个特定的部门或者人员来对日志、监测以及报警数据等展开分析和统计工作，以便能够及时察觉到可疑的行为；

应严格管控变更性运维。只有经过审批，才可以更改连接，或者安装系统组件，亦或是调整配置参数。在操作过程中，应当保留不可更改的审计日志。操作结束之后，应同步更新配置信息库。

应严格把控运维工具的使用，需经过审批之后才能够接入并进行操作。在操作过程当中，应当保留不可被更改的审计日志。而在操作结束之后，应该删除工具里的敏感数据。

应严格把控远程运维的开通事宜，只有经过审批之后，才能够开通远程运维接口或者通道。在操作过程当中，应当保留不可更改的审计日志。而在操作结束之后，要立即关闭接口或者通道。

应确保所有与外部的连接都经过了授权和批准，并且要定期对违反规定无线上网以及其他违反网络安全策略的行为进行检查。

8.1.10.7 恶意代码防范管理

应提升所有用户的防恶意代码的意识，要告知他们在将外来计算机或存储设备接入系统之前，需要进行恶意代码的检查等事宜。

b) 应定期验证防范恶意代码攻击的技术措施的有效性。

8.1.10.8配置管理

应记录基本配置信息并予以保存，其中包含网络拓扑结构，各个设备所安装的软件组件，软件组件的版本以及补丁信息，还有各个设备或软件组件的配置参数等。

应将基本配置信息的改变纳入变更的范畴，要对配置信息的改变进行控制，并且要及时更新基本配置信息库。

8.1.10.9 密码管理

a）应遵循密码相关国家标准和行业标准；

b）应使用国家密码管理主管部门认证核准的密码技术和产品。

8.1.10.10 变更管理

应明确变更的需求。在变更之前，要依据变更需求来制定变更方案。并且，变更方案必须经过评审以及审批，只有通过评审和审批之后，才可以实施该变更方案。

应建立相关的申报和审批控制程序，用于变更事宜。要依据此程序来对所有的变更进行控制。同时，还需记录变更的实施过程。

应建立相关程序，用于中止变更以及从失败变更中恢复。要明确过程控制的方法以及人员的职责。在必要的情况下，对恢复过程进行演练。

8.1.10.11 备份与恢复管理

应识别出那些需要定期进行备份的重要业务信息，以及系统数据和软件系统等。

应规定备份信息的备份方式，应规定备份信息的备份频度，应规定备份信息的存储介质，应规定备份信息的保存期等。

应依据数据的重要程度以及数据对系统运行所产生的影响，来制定数据的备份策略和恢复策略，同时也要制定备份程序和恢复程序等。

8.1.10.12 安全事件处置

a) 应及时向安全管理部门报告所发现的安全弱点和可疑事件；

应制定相关管理制度，明确不同安全事件在报告、处置和响应方面的流程；要规定安全事件在现场处理、事件报告以及后期恢复等方面的管理职责。

在安全事件报告和响应处理过程里，要进行对事件产生原因的分析与鉴定，同时收集证据，把处理过程记录下来，并且总结经验教训。

对于导致系统中断的重大安全事件，应采用特定的处理程序；对于导致信息泄漏的重大安全事件，也应采用不同的处理程序和报告程序。

8.1.10.13 应急预案管理

应规定出一个统一的应急预案框架，其中包含启动预案所需要的条件，还有应急组织的构成情况，以及应急资源的保障事宜，同时也涵盖事后的教育和培训等内容。

应制定关于重要事件的应急预案，此预案包含应急处理流程以及系统恢复流程等相关内容。

应定期对与系统相关的人员开展应急预案培训工作，同时要进行应急预案的演练。

d) 应定期对原有的应急预案重新评估，修订完善。

8.1.10.14 外包运维管理

a) 应确保外包运维服务商的选择符合国家的有关规定；

应签订与选定的外包运维服务商相关的协议，明确规定外包运维的范围以及工作内容。

应确保外包运维服务商在技术方面具有按照等级保护要求开展安全运维工作的能力，同时在管理方面也应具备该能力，并且要将这些能力要求明确写在签订的协议中。

应在与外包运维服务商签订的协议里明确所有相关的安全要求。这些安全要求可能包括对敏感信息的访问要求、处理要求以及存储要求等。同时，也应包含对 IT 基础设施中断服务的应急保障要求等。