4.2　系統運維管理

4.2　系統運維管理

4.2.1　環境管理

環境管理要求如下：
a) 應建立機房管理制度，內容覆蓋機房物理訪問、物品帶進和帶出機房、機房環境維護等；
b) 應指定專門的部門或人員定期對機房供配電、空調、溫濕度控制等設施進行維護，形成維護記錄，記錄維護日期、維護人、維護設備、故障原因、維護結果等方面內容；

4.2.2　資產管理

資產管理要求如下：
a) 應編制并保存與信息系統相關的資產清單，包括資產責任部門、重要程度和所處位置等內容；

4.2.3　設備管理

設備管理要求如下：
a) 應對信息系統相關的各種設備（包括備份和冗余設備）、線路等指定專門的部門或人員定期進行維護管理，形成設備維護記錄；
b) 應建立基于申報、審批和專人負責的設備管理制度，對信息系統的各種軟硬件設備的選型、采購、發放和領用等過程進行規范化管理；

4.2.4　監控管理

監控管理要求如下：
a) 應對通信線路、主機、網絡設備和應用軟件的運行狀況、網絡流量等進行監測和報警，形成記錄并妥善保存；

4.2.5　安全管理

4.2.5.1　網絡安全管理

網絡安全管理要求如下：
a) 應指定專人對網絡進行管理，負責運行日志、網絡監控記錄的日常維護和報警信息分析和處理工作；
b) 應建立網絡安全管理制度，對網絡安全配置、日志保存時間、安全策略、升級與打補丁、口令更新周期等方面作出規定；
c) 應根據廠家提供的軟件升級版本對網絡設備進行更新，并在更新前對現有的重要文件進行備份；

4.2.5.2　系統安全管理

系統安全管理要求如下：
a) 應根據業務需求和系統安全分析確定系統的訪問控制策略；
b) 應定期進行漏洞掃描，對發現的系統安全漏洞及時進行修補；
c) 應安裝系統的最新補丁程序，在安裝系統補丁前，首先在測試環境中測試通過，并對重要文件進行備份后，方可實施系統補丁程序的安裝；
d) 應建立系統安全管理制度，對系統安全策略、安全配置、日志管理和日常操作流程等方面作出具體規定；

4.2.5.3　惡意代碼防范管理

惡意代碼防范管理要求如下：
a) 應提高所有用戶的防病毒意識，及時告知防病毒軟件版本，在讀取移動存儲設備上的數據以及網絡上接收文件或郵件之前，先進行病毒檢查，對外來計算機或存儲設備接入網絡系統之前也應進行病毒檢查；
b) 應指定專人對網絡和主機進行惡意代碼檢測并保存檢測記錄；

4.2.5.4　密碼管理

密碼技術和產品的使用應遵照國家密碼管理規定。

4.2.6　變更管理

變更管理要求如下：
a) 應確認系統中要發生的變更，并制定變更方案，方案覆蓋變更類型、變更原因、變更過程、變更前評估等方面的內容；
b) 系統發生變更前，向主管領導申請，變更和變更方案經過評審、審批后方可實施變更，并在實施后將變更情況向相關人員通告；

4.2.7　備份與恢復管理

備份與恢復管理要求如下：
a) 應識別需要定期備份的重要業務信息、系統數據及軟件系統等；
b) 應建立備份與恢復管理相關的管理制度，對備份信息的備份方式、備份頻度、存儲介質和保存期等進行規范；

4.2.8　應急響應管理

應急響應管理要求如下：
a) 應在統一的應急預案框架下制定不同事件的應急預案，應急預案框架應包括啟動應急預案的條件、應急處理流程、系統恢復流程、事后教育和培訓等內容；
b) 應急預案需要定期審查和根據實際情況更新，形成審查和更新記錄；
c) 應對系統相關的人員進行應急預案培訓，形成培訓記錄；

4.2.9　維修和報廢管理

維修和報廢管理要求如下：
a) 應指定或授權專門的部門或人員負責信息技術相關產品的維修和報廢；
b) 應對信息技術相關產品的維修和報廢管理指定規章制度；