系统运维管理测评指导书v01.docVIP

秦皇岛燕大正洋电子有限公司 QHD-YDZY-XTYW-100 项目编号： 系统运维管理测评指导书 秦皇岛燕大正洋电子有限公司 年 月 版本控制 版本 日期 参与人员 更新说明 0.1 2011/5/20 罗凯，张阳 初稿建立 秦皇岛燕大正洋电子有限公司 QHD-YDZY-XTYW-100 第 PAGE 13 页 /共13页 序号 测评指标 测评项 操作步骤 预期结果 1 环境管理(G3) 应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理； a) 访谈物理安全负责人，询问是否指定专人或部门对机房基本设施（如空调、供配电设备等）进行定期维护，由何部门/何人负责，维护周期多长。 指定专人或部门对机房基本设施（如空调、供配电设备等）进行定期维护，明确负责人、维护周期。 应指定部门负责机房安全，并配备机房安全管理人员，对机房的出入、服务器的开机或关机等工作进行管理； a) 访谈物理安全负责人，询问是否指定部门负责机房安全管理工作，对机房进出管理是否要求制度化和文档化； 指定部门负责机房安全管理工作，对机房进出管理要求制度化和文档化； b) 访谈机房值守人员，询问对外来人员进出机房是否采用人工记录和电子记录双重控制； 机房值守人员对外来人员进出机房采用人工记录和电子记录双重控制； c) 检查机房基础设施维护记录，查看是否记录维护日期、维护人、维护设备、故障原因、维护结果等方面内容。 机房基础设施维护记录中明确记录维护日期、维护人、维护设备、故障原因、维护结果等方面内容。 应建立机房安全管理制度，对有关机房物理访问，物品带进、带出机房和机房环境安全等方面做出规定； a) 检查机房安全管理制度，查看其内容是否覆盖机房物理访问、物品带进、带出机房、机房环境安全等方面。 机房安全管理制度，内容覆盖机房物理访问、物品带进、带出机房、机房环境安全等方面。 应加强对办公环境的保密性管理，规范办公环境人员行为，包括如工作人员调离办公室应立即交还该办公室钥匙和不在办公区接待来访人员、工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等。 a) 访谈工作人员，询问对办公环境的保密性要求事项； 有相关保密要求； b) 检查办公环境管理文档，查看其内容是否对工作人员离开座位后的保密行为（如清理桌面文件和屏幕锁定等）、人员调离办公室后的行为等方面进行规定。 办公环境管理文档，内容对工作人员离开座位后的保密行为（如清理桌面文件和屏幕锁定等）、人员调离办公室后的行为等方面进行规定。 2 资产管理(G3) 应编制并保存与信息系统相关的资料清单，包括资产责任部门、重要程度和所处位置等内容； a) 访谈资产管理员，询问是否编制和保存信息系统相关的资产清单，其包括资产责任部门、重要程度和所处位置等内容。 编制和保存信息系统相关的资产清单，其包括资产责任部门、重要程度和所处位置等内容。 应建立资产安全管理制度，规定信息系统资产管理的责任人员或责任部门，并规定资产管理和使用的行为； a) 访谈安全主管，询问是否指定资产管理的责任人员或部门,由何部门/何人负责； 明确资产管理的责任部门与责任人； b) 访谈物理安全负责人，询问是否对资产管理要求文档化和制度化； 对资产管理要求文档化和制度化； c) 检查资产安全管理制度，查看其内容是否覆盖资产使用、借用、维护等方面。 资产安全管理制度，其内容覆盖资产使用、借用、维护等方面。 应根据资产的重要程度对资产进行标识管理，根据资产的价值选择相应的管理措施； a) 访谈资产管理员，询问是否依据资产的重要程度对资产进行赋值和标识管理，不同类别的资产是否采取不同的管理措施； 依据资产的重要程度对资产进行赋值和标识管理，不同类别的资产采取不同的管理措施； b) 检查资产清单，查看其内容是否覆盖资产责任人、所属级别、所处位置、所属部门等方面。 资产清单，其内容覆盖资产责任人、所属级别、所处位置、所属部门等方面。 应对信息分类与标识方法做出规定，并对信息的使用、传输和存储等进行规范化管理。 a