等级保护对象所使用的硬件设备包括网络设备、安全设备、服务器设备、存储设备和存储介质,以及供电和通信用线缆等。系统的正常运行依赖于对这些设备的正确使用和维护。为保证这些设备的正常运行,操作人员必须严格按照操作规程进行使用和维护,并认真做好使用和维护记录。
| 10.4.1 应对各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理。 |
|
对设备进行有效的维护管理,在一定程度上可降低系统发生安全问题的概率,应明确设备管理的责任部门或人员。 【测评方法】 1)访谈设备管理员是否指派部门或专人对各类设施、设备进行定期维护管理。 2)核查部门职责或人员岗位职责文档是否明确了设施、设备的维护管理责任。 【预期结果】 1)指定部门或人员对各类设备进行定期维护。 2)部门职责或人员岗位职责具有设备维护管理的内容。 【权重】0.7 |
|
10.4.2 应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效管理,包括明确维护人员的责任、维修和服务的审批、维修过程的监督控制等。 |
|
系统的正常运行依赖于对设备的正确使用和维护。为了保证对设备的正确使用和维护,应建立相应的管理规定或要求,相关人员必须严格按照规定要求对设备进行使用和维护,并认真做好使用和维护记录。 【测评方法】 1)核查设备维护管理制度是否明确维护人员的责任、维修和服务的审批、维修过程的监督控制等方面内容。 2)核查是否留有维修和服务的审批、维修过程等记录,审批、记录内容是否与制度相符。 【预期结果】 1)具有设备维护管理方面的制度,在制度中明确了维护人员的责任、维修和服务的审批、维修过程的监督控制等方面内容。 2)具有维修和服务的审批、维修过程等记录,审批、记录内容与管理要求相符。 【权重】0.7 |
|
10.4.3 信息处理设备应经过审批才能带离机房或办公地点,含有存储介质的设备带出工作环境时其中重要数据应加密 |
|
信息处理设备的流转容易引起信息泄露的风险,必须严加管控,因此信息处理设备带离机房或办公等常规使用的地点时必须经过审批或采取加密的管控措施。 【测评方法】 1)核查设备带离机房的审批流程。 2)核查设备带离机房或办公地点的审批记录。 3)核查含有存储介质的设备带离机房的记录,记录中是否有对重要数据的加密措施。 【预期结果】 1)具有机房的设备带离机房的审批表单。 2)具有设备带离机房或办公地点的审批记录。 3)重要数据的存储介质带出工作环境时采取了XXX加密措施后方可带离。 【权重】1 |
|
10.4.4 含有存储介质的设备在报废或重用前,应进行完全清除或被安全覆盖,保证该设备上的敏感数据和授权软件无法被恢复重用。 |
|
存储介质在报废或重用时,容易引起敏感信息的泄露,应采取相应的处理措施。 【测评方法】 核查含有存储介质的设备在报废或重用前所采取清除措施或安全覆盖措施。 【预期结果或主要证据】 1)具有设备在报废或重用前,必须采取措施进行处理的要求。 2)具有相应的处理记录。 【权重】1 |