5.1.3.3人侵防范(G1)

5.1.3.4恶意代码防范(G1)

5.1.4.1身份鉴别(S1)

5. 1.4.2 访问控制(S1)

市政工程标准规范范本5. 1.4.3 通信完整性(S1

5.1.4.4软件容错（A1)

5.1.5数据安全及备份恢复

5.1.5.1数据完整性（S1）

5.1.5.2备份和恢复（A1）

应能够对重要信息进行备份和恢复。

5.2.1 安全管理制度

5.2.1.1 管理制度(G1)

应建立日常管理活动中常用的安全管理

5.2.1.2制定和发布(G1)

a）应指定或授权专门的人员负责安全管理制度的制定； b）应将安全管理制度以纸质或电子版等方式发布到相关人员手中。

5.2.2安全管理机构

5.2.2.1岗位设置(G1) 应设立系统管理员、网络管理员、安全管理员等岗位，并明确各个岗位的职责。 5.2.2.2人员配备（G1） 应配备一定数量的系统管理员、网络管理员、安全管理员等。

5.2.2.1 岗位设置(G1)

5.2.2.3授权和审批(G1)

应根据各个部门和岗位的职责明确授权审批部门及批准人，对系统投入运行 冬源的访问等关键活动进行审批

5.2.2.4沟通和合作（G1)

应加强与同业单位、公安机关、安全机关、运营商等的合作与沟通

5.2.3人员安全管理

5.2. 3. 1 人员录用(G1)

应指定或授权专门的部门或人员负责人员录用； 应对被录用人员的身份和专业资格等进行审查，确保其具有基本的专业技才 知识

5.2.3.2 人员离岗(G1)

a）应立即终止离岗员工的所有访问权限； b）应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备 5.2.3.3安全意识教育和培训（G1）

5.2.3.4外部人员访问管理（G1)

外部人员在访问受控区域前应获得授权

部人员在访问受控区域前应获得授权或宜

5.2.4 系统建设管理

5.2.4.1系统定级(G1)

应明确信息系统的边界和安全保护等级； b）应以书面形式说明信息系统确定为某个安全保护等级的方法和理 c）信息系统的定级结果应经过相关部门的批准

5.2.4.2安全方案设计（G1）

5.2.4.3产品采购和使用(G1

5.2.4.5外包软件开发(G1

5.2.4.6工程实施(G1)

5.2.4.7测试验收(G1）

测试验收结果，并形成测试验收报告

4.8 系统交付(G1

应对负责系统运行维护的技术人员进行相应的技能培训； c）应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档

5.2.4.9安全服务商选择(G1)

安全服务商的选择应符合国家有关规定； 应与选定的安全服务商签订安全协议，明确约定相关责任

5.2.5系统运维管理

5.2.5.1 环境管理(GI)

5.2.5.3介质管理(G1)

指定人员对网络安全进行管理，负责运行日志和网络监控记录的日常维护，以及 处理工作； 定期进行网络系统漏洞扫描，及时对发现的安全漏洞进行修补。

5.2.5.6系统安全管理(G1)

a）应根据业务需求和系统安全分析，确定系统的访问控制策略； b）应定期进行漏洞扫描，及时对发现的系统安全漏洞进行修补； c）应安装最新的系统补丁程序，并在安装系统补丁前对重要文件进行备份

5.2.5.7 恶意代码防范管理(GI

应提高所有用户的防病毒意识，告知其及时升级防病毒软件。在读取移动存储设备上的数据以及网 络上接收文件或邮件之前，先进行病毒检查。在外来计算机或存储设备接入网络系统之前也应进行病毒 检查

5.2.5.8备份与恢复管理（G1）

a）应明确需要定期备份的重要业务信息、系统数据及软件系统等； b）应规定数据的备份方式、备份频率、存储介质、保存期等。

5.2.5.9安全事件处置(G1

应制定安全事件报告和处置管理制度，规定安全事件的现场处理、事件报告和后期恢复等 内容； b 应报告所发现的安全弱点和可疑事件，且在任何情况下均不应尝试或验证安全弱点，

6.1. 1 物理安全

a）机房和办公场地应选择在具备防震、防风和防雨等能力的建筑内； b）应具有机房或机房所在建筑物符合当地抗震要求的相关证明。 6.1.1.2物理访问控制(G2) a 机房出人口应安排专人负责管理。对没有配置电子门禁系统的机房，应有专人值守，对所有进 出机房的人员进行控制、鉴别和记录，人员进出记录应至少保存30天；对配有电子门禁系统的 机房，门禁系统的日志记录应至少保留30天； b） 应采用监控设备将机房人员进出情况传输到值班点，监控记录应至少保留30天； 来访人员应经申请和审批后方可进入机房，并限制和监控其活动范围。 6.1.1.3防盗窃和防破坏（G2） a 应将主要设备放置在机房内或其他不易被盗窃和破坏的可控范围内； b） 应将设备或主要部件进行固定，并设置明显的不易除去的标记，如粘贴标签或铭牌等； C 应将通信线缆铺设在地下或管道中等隐蔽处，强弱电应隔离铺设并进行统一标识； d） 应对介质进行分类标识和分类存放，存储在介质库或档案室中； e） 主机房应安装必要的防盗报警装置，当发现异常现象时，可自动报警并保存报警记录。 6.1.1.4防雷击(G2) a 机房建筑应设置避雷装置，防雷击措施至少应包括安装避雷针或避雷器： b）机房应设置交流电源地线。 6.1.1.5防火(G2) 机房应配置灭火设备和火灾自动报警系统。当发现火灾隐患时，火灾自动报警系统可自动报警并保 存报警记录。 6.1.1.6防水和防潮(G2) a） 水管的安装不宜穿过机房屋顶和活动地板下。如不可避免，应采取有效防护措施； b 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透； C） 应采取措施防止机房内水蒸气结露和地下积水，如在机房地面修建地漏、泄水槽等。 6.1.1.7防静电(G2) a）关键设备应采取必要的接地防静电措施； b）主机房和辅助区内的工作台面应采用导静电或静电耗散材料。 6.1.1.8温湿度控制(G2) 机房应设置温湿度自动调节设施，使机房温、湿度的变化控制在设备运行所要求的范围之内。设备 开机时，机房温度应控制在18~26℃，相对湿度应控制在30%~50%。 6.1.1.9电力供应（A2） a 应在机房供电线路上配置稳压器和过电压防护设备； b）应具有短期的备用电力供应，至少满足关键设备在断电情况下正常运行2h以上。 6.1.1.10电磁防护(S2) 电源线和通信线缆宜隔离铺设，铺设在不同的桥架或管道中，并使用交叉走线避免并排铺设；如不可

b）应具有机房或机房所在建筑物符合当地抗震要求的相关证明。 6.1.1.2物理访问控制（G2） a 机房出人口应安排专人负责管理。对没有配置电子门禁系统的机房，应有专人值守，对所有进 出机房的人员进行控制、鉴别和记录，人员进出记录应至少保存30天；对配有电子门禁系统的 机房，门禁系统的日志记录应至少保留30天； b 应采用监控设备将机房人员进出情况传输到值班点，监控记录应至少保留30天； C 来访人员应经申请和审批后方可进入机房，并限制和监控其活动范围。

6. 1. 1.2 物理访问控制( (

6.1.1.3防盗窃和防破坏(G2)

6. 1. 1. 4防雷击(G2)

6. 1.1.5 防火(G2)

机房应配置灭火设备和火灾自动报警系统。当发现火灾隐患时，火灾自动报警系统可自动报警并保 存报警记录。 m湖

6.1.1.6防水和防潮(G2)

1. 1. 7 防静电(G

6. 1. 1.8 温湿度控制( G2

6.1.1.9电力供应（A2)

6.1.1.10 电磁防护(S2)

6. 1.2.2 访间控制( G2)

6.1.2.4边界完整性检查（S2）

6.1.2.5入侵防范(G2)

6.1.2.6网络设备防护(G2

6.1.3.1 身份鉴别(S2)

b） 应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性； 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点。口令应有复杂度要求，包

含数字、天写字母、小写字母和特殊字符，且长度应不少于8位：口令应定期更换，至少每180天 更换一次； 应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施； 当对服务器进行远程管理时，应采取SSH、HTTPS等必要措施，防止用户鉴别信息在网络传输过 程中被窃听。

6. 1.3.2 访问控制(S2)

a 应启用访问控制功能，依据安全策略控制用户对资源的访问，关闭系统默认共享功能： b) 应实现操作系统和数据库系统特权用户的权限分离； C 应限制默认账户的访问权限，重新命名系统默认账户，修改这些账户的默认口令，如系统中的 administrator账号; d 应及时删除多余的、过期的账户，避免共享账户的存在，如禁止多人共用一个相同的管理 账户。

b） 应实现操作系统和数据库系统特权用户的权限分离； C 应限制默认账户的访问权限，重新命名系统默认账户，修改这些账户的默认口令，如系统中的 administrator账号; 应及时删除多余的、过期的账户，避免共享账户的存在，如禁止多人共用一个相同的管理 账户。 1.3.3安全审计（G2） a 审计范围应覆盖到服务器上的每个操作系统用户和数据库用户； b 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等。如用户的添加 和删除、审计功能的启动和关闭、审计策略的调整、权限变更、用户登录与退出等操作； c）审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等； d）应保护审计记录，避免受到未预期的删除、修改或覆盖等操作，审计记录应至少保存90天。 1.3.4入侵防范（G2） 操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式及 更新系统补丁。 1.3.5恶意代码防范（G2） 亚小

6.1.3.3安全审计(G2)

6.1.3.4入侵防范(G2)

6.1.3.5恶意代码防范(G2)

应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库； 应支持防恶意代码的统一管理，可进行统一更新、统一检测和查杀。 6资源控制（A2） 应通过设定终端接入方式、网络地址范围等条件限制终端登录； 应根据安全策略设置登录终端的操作超时锁定功能； 应限制单个用户对系统资源的最大或最小使用限度，

6.1.3.6资源控制（A2)

6.1.3.7业务移动端安全（P2）

应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置服务器等方式及时更新系 统补丁； b 应通过技术手段，限制用户对不必要功能的使用，关闭非业务所需的无线、蓝牙、GPS等； 应保持安全的业务移动终端运行环境，具有安全输人、安全显示、安全存储等功能

6.1.4.1身份鉴别(S2)

应具有专用的登录控制模块对登录用户进行身份标识和鉴别； 应具有用户身份标识唯一性和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份 标识，身份鉴别信息不易被冒用，口令应包含数字、字母和特殊字符，且长度不少于8位，至少每 180天更换一次； 应具有登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施； 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理 功能，并根据安全策略配置相关参数

6. 1.4.2 访问控制(S2)

a 应具有访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问，如控制数据的增 加、删除、修改或查询等操作； b） 访问控制的覆盖范围应包括与资源访问相关的主体、客体及相互之间的操作，应在用户界面屏 蔽未授权功能的导航； 应由授权主体配置访问控制策略，并严格限制默认账户的访问权限。应重新命名默认账户，如 admin等；及时删除或锁定多余无用的账户，如测试用账户等； 应授予不同账户完成各自任务所需的最小权限，并在相互之间形成制约关系

admin等；及时删除或锁定多余无用的账户，如测试用账户等； d）应授予不同账户完成各自任务所需的最小权限，并在相互之间形成制约关系。 6.1.4.3安全审计(G2) a 应具有覆盖每个用户的安全审计功能，应对应用系统重要安全事件进行审计，如对用户登录和 退出、增加、修改、删除关键数据等操作及系统的异常事件进行日志记录； b） 审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、过程描述和结果等； C 应保证无法删除、修改或覆盖审计记录，审计记录应至少保存90天。 6.1.4.4通信完整性（S2） 应采用校验码技术保证通信过程中数据的完整性。 6.1.4.5通信保密性（S2） a 在通信双方建立连接之前，应利用密码技术进行会话初始化验证； b 应对通信过程中的整个报文或会话过程进行加密 6.1.4.6软件容错（A2） a 应具有数据有效性检验功能，通过人机接口输入或通过通信接口输入的数据格式或长度应符合 系统设定要求。文件上传时应进行文件格式、内容检查，禁止恶意文件上传； b） 在故障发生时，应用系统应能够继续提供部分功能，确保能够实施必要的补救措施。 6.1.4.7资源控制(A2) a 当应用系统通信双方中的一方在一段时间内未作出任何响应，另一方应能够自动结束会话，如 应用系统可在不超过60min的时间内自动终止超时会话； b） 应能够对系统的最大并发会话连接数进行限制，如在中间件或WEB服务器中对最大连接数进 行设置； 应能够对单个账户的多重并发会话进行限制

6.1.4.3安全审计(G2)

6.1.4.4通信完整性(S2

6.1.4.5 通信保密性(S2)

6.1.5数据安全及备份恢复

6.1.5.1数据完整性(S2)

能够检测到用户鉴别信息和重要业务数据的完整性在传输过程中已经受到破坏 备操作系统、主机操作系统、数据库管理系统和应用系统的用户鉴别信息和重要

6.1.5.2数据保密性(S2)

应采用加密或其他保护措施存储用户鉴别信息，保护范围应覆盖网络设备操作系统、主机操作系统、 数据库管理系统和应用系统等

6.1.5.3备份和恢复（A2）

a） 应能够定期对重要信息进行备份和恢复，备份和恢复范围应覆盖主机操作系统、网络设备操作 系统、数据库管理系统和应用系统配置文件和其他重要信息； b 应对关键网络设备、通信线路和数据处理系统的硬件进行余配置。 6.1.5.4数据泄露防护（P2） a） 应明确用户敏感信息的范围，对敏感信息的使用进行授权和审批； b) 应在关键网络边界和关键应用上对敏感数据进行有效识别，并能够持续地对敏感数据的传输及 使用进行监控和保护

6.1.5.4数据泄露防护(P2

6. 2. 1 安全管理制度

6.2. 1.1 管理制度(G2)

a 应制定信息系统安全工作的总体方针和安全策略，规定信息系统安全工作的总体目标、范围、原 则和安全框架等； b 应针对重要的安全管理内容建立安全管理制度，管理制度应包括物理、网络、主机、应用、数据管 理等内容； C 应建立安全操作规程，范围应覆盖安全主管、安全管理员、网络管理员、主机管理员、安全审计 员数据库管理易应用管理员和介质管理品等岗位

6.2.1.2制定和发布(G2)

a）应指定或授权专门的部门或人员负责安全管理制度的制定； b） 应组织相关人员对安全管理制度进行论证和审定，保存安全管理制度评审记录，详细记录相关 人员的评审意见； C 应将安全管理制度以纸质或电子版等方式发布到相关人员手中

6.2.1.3评审和修订(G2)

应每年或当技术基础架构和组织架构等发生变更时，对安全管理制度进行

6.2.2 安全管理机构

6.2.2. 1岗位设置(G2)

a）应设立负责信息系统安全管理工作的职能部门； b）应设立系统管理员、网络管理员、安全管理员等岗位，并明确各个岗位的职责， 6.2.2.2人员配备(G2) a 应配备一定数量的系统管理员、网络管理员、安全管理员等： b） 安全管理员不可兼任网络管理员、系统管理员、数据库管理员等 6.2.2.3授权和审批(G2) a 应根据各个部门和岗位的职责明确授权审批部门及批准人，对系统投人运行、网络系统接人利 重要资源的访问、系统变更等关键活动进行审批； b 应针对关键活动建立审批流程，并由批准人签字确认。 6.2.2.4沟通和合作（G2） 应加强管理人员之间、内部组织机构之间以及信息系统安全管理职能部门之间的合作与沟通： 应加强与同业单位、公安机关、安全机关、运营商的合作与沟通，明确合作内容和合作方式。 6.2.2.5 5审核和检查（G2）

6.2.2. 3 授权和审批(G2)

6.2.2.5审核和检查(G2)

6.2.3 人员安全管理

6.2.3. 1人员录用(G2)

应与从事关键岗位的人员签署保密协议，保密协议应明确保密范围、保密责任 期限等内容。

6.2. 3. 2 人员离岗(G2)

a）应规范人员离岗程序，及时终止离岗员工的所有访问权限，包括但不限于物理访问权限、网络设 备访问权限、操作系统访问权限、数据库访问权限、应用系统访问权限、用户终端访问权限等； b） 应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备，详细记录交还情况； ）应办理严格的调离手续并保存调离手续记录

c）应办理严格的调离手续，并保存调离手续记录。 6.2.3.3人员考核(G2) 应至少每年一次对各个岗位的人员进行安全认知、安全技能及信息系统安全等级保护相关内容的考核 6.2.3.4安全意识教育和培训（G2） a 应制定安全意识教育和培训计划，内容包括信息系统安全基础知识、岗位操作规程等； b 应至少每年一次对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训； C 应告知相关人员安全责任和惩戒措施，对违反安全策略和规定的人员进行惩戒

6.2.3.3人员考核(G2)

6.2.3.4安全意识教育和培训(GI

a）应制定安全意识教育和培训计划，内容包括信息系统安全基础知识、岗位操作规程等； b）应至少每年一次对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训； c）应告知相关人员安全责任和惩戒措施,对违反安全策略和规定的人员进行惩戒。

6.2.3.5外部人员访问管理(G2)

外部人员在访问机房、重要服务器或设备区等受控区域前应获得授权或审批，由专人全程陪同或监 督，并登记备案。

6.2.4 系统建设管理

6.2.4.1系统定级(G2)

a 应明确信息系统的边界和安全保护等级； b 应以书面的形式说明信息系统确定为某个安全保护等级的方法和理由 C 信息系统的定级结果应经过相关部门批准

6.2.4.2安全方案设计(G2) a） 应根据系统的安全保护等级选择基本安全措施，并依据风险分析结果补充和调整安全措施； b 应以书面形式描述系统的安全保护要求、保护策略和安全措施等内容，形成系统的安全方案； c） 应对安全方案进行细化，形成能指导安全系统建设、安全产品采购和使用的详细设计方案； 应组织相关部门和有关技术专家对安全设计方案的合理性和正确性进行论证和审定，安全设计 方案经过批准后才能正式实施。 6.2.4.3产品采购和使用（G2） a 信息系统安全产品的采购和使用应符合国家有关规定，如根据信息系统安全需求选择使用相应 等级的产品； b） 密码产品的采购和使用应符合国家密码主管部门的要求，如系统中使用的密码产品应具有国家 密码主管部门颁发的销售许可证； C 应指定或授权专门的部门负责信息系统安全产品采购。 6.2.4.4自行软件开发（G2） 开发环境应与实际运行环境物理分开； 应制定软件开发管理制度，明确规定开发过程的控制方法和人员行为准则，明确应经过授权、审 批的开发活动； c）应确保提供软件设计的相关文档和使用指南，并由专人负责保管。

6.2.4.2安全方案设计(G2)

a 应根据系统的安全保护等级选择基本安全措施，并依据风险分析结果补充和调整安全措施； 应以书面形式描述系统的安全保护要求、保护策略和安全措施等内容，形成系统的安全方案； C） 应对安全方案进行细化，形成能指导安全系统建设、安全产品采购和使用的详细设计方案； d 应组织相关部门和有关技术专家对安全设计方案的合理性和正确性进行论证和审定，安全设 方案经过批准后才能正式实施

6.2.4.3产品采购和使用(G2)

6.2.4.5外包软件开发(G2)

a 应根据开发需求检测软件质量，检测范围应包括代码质量、软件功能和性能等； b） 应在软件安装之前检测软件包中可能存在的恶意代码，并保存恶意代码检测报告； C 应确保开发单位提供软件设计的相关文档和使用指南：

d）应要求开发单位提供软件源代码，并审查软件中可能存在的后门木马；若开发单位未能提供软 件源代码，则应要求开发单位提供第三方机构出具的软件源代码审查报告。 6.2.4.6工程实施(G2) a 应指定或授权专门的部门或人员负责工程实施过程管理； b） 应制订详细的工程实施方案，工程实施方案应明确工程时间限制、进度控制和质量控制等内容 6.2.4.7测试验收(G2) a） 应对系统进行安全性测试验收，并保存测试报告； b 在测试验收前应根据设计方案或合同要求等制定测试验收方案，测试验收方案应明确规定参与 测试的部门、人员、测试验收内容、现场操作过程等内容，在测试验收过程中应详细记录测试验 收结果，并形成测试验收报告； C） 应组织相关部门和人员对测试验收报告进行审定，并签字确认。 6.2.4.8系统交付(G2) a） 应制定详细的系统交付清单，并根据交付清单对所交接的设备、软件和文档等进行清点； b） 应对负责系统运行维护的技术人员进行相应的技能培训； C 应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档

6.2.4.6 工程实施(G2)

6.2. 4. 8系统交付( G2)

6.2.4.9安全服务商选择（G2）

a 安全服务商的选择应符合国家有关规定； b) 应与选定的安全服务商签订安全协议，明确约定相关责任、保密范围、有效期限等内容； C 选定的安全服务商应提供技术培训和服务承诺，必要时与其签订服务合同，内容包括但不限于 技术培训、服务承诺、服务期限等。

6.2.5系统运维管理

6.2.5.1环境管理（G2）

a 应指定专门的部门或人员至少每季度对机房供配电、空调、温湿度控制等设施设备进行维护 管理； b 应配备机房安全管理人员，对设备与人员进出机房、服务器的开关等工作进行管理； C 应建立机房安全管理制度，对有关人员进出机房，物品带进、带出机房和机房环境安全等作出 规定； d 应加强对办公环境的保密性管理，包括工作人员调离办公室应立即交还办公室钥匙、登记在办 公区接待来访人员情况等。

6.2.5.2 资产管理(G2)

a）应建立资产管理制度，规定信息系统资产管理的责任部门和人员，规范资产使用和管理行为，明 确资产使用、传输、存储、维护以及职责划分等内容； b 编制并保存与信息系统相关的资产清单，包括资产的重要程度、价值和类别、责任部门和所处位 置等。

6.2.5.3介质管理（G2）

a 介质应存放在安全环境中，专人负责保护和管理各类介质； b 应根据所承载数据和软件的重要程度，对介质进行分类和标识，如粘贴纸质标签等； C 应对介质的归档和查询等过程进行记录，每季度根据介质存档清单进行检查； d）对需要送出维修或销毁的介质应清除其中的敏感数据，防止非法泄露相关信息

6.2.5.4设备管理(G2)

应指定专门的部门或人员定期对信息系统相关的各种设备、线路等进行维护 应建立设备安全管理制度，对信息系统中各种软硬件设备的选型、采购、发

规定； C 应对服务器、计算机终端、业务移动终端、网络等设备的操作和使用进行规范化管理，按照安全 操作规程对主要设备进行启动、停止、加电、断电等操作； d）信息处理设备应经过审批才能带离机房或办公地点。

6.2.5.5网络安全管理(G2）

a 应指定人员对网络安全进行管理，负责运行日志和网络监控记录的日常维护，以及报警信息分 析处理工作： b 应建立网络安全管理制度，对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新 周期等作出规定； C 应根据厂家提供的软件升级版本对网络设备进行更新，并在更新前对重要文件进行备份； 应定期对网络系统进行漏洞扫描，及时对发现的安全漏洞进行修补。在实施漏洞扫描或漏洞修 补前，应对可能的风险进行评估，并做好充分准备，如选择恰当时间、制定数据备份和回退方案 漏洞扫描或漏洞修补后应进行验证测试供暖标准，以保证网络系统的正常运行； e 应定期对网络设备的配置文件进行备份； 所有与外部系统的连接均应获得授权和批准

6.2.5.6系统安全管理(G2)

6.2.5.7恶意代码防范管理（G2)

6.2.5.8密码管理(G2)

6.2.5.9变更管理(G2)

6.2.5.10备份与恢复管理（G2）

装饰标准规范范本应明确需要定期备份的重要业务信息、系统数据及软件系统等； 应规定数据的备份方式、备份频率、存储介质和保存期等：