GB∕T 37094-2018 信息安全技术 办公信息系统安全管理要求

系统交付要求如下： 应制定系统交付清单，并根据交付清单对所交接的设备、软件和文档等进行清点； ） 应对负责系统运行维护的技术人员进行相应的技能培训，形成培训记录，记录培训内容、培训 时间和参与人员等

系统父付要求如下： 应制定系统交付清单，并根据交付清单对所交接的设备、软件和文档等进行清点； b 应对负责系统运行维护的技术人员进行相应的技能培训，形成培训记录，记录培训内容、培 时间和参与人员等

c）应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档。

锻件标准GB/T370942018

服务商选择要求如下： a）应确保服务商的选择符合国家的有关规定； 应与选定的服务商签订相关的协议，明确约定相关责任，协议内容包含服务内容、培训和服务 承诺、保密范围、安全责任、违约责任、协议的有效期限等

服务商选择要求如下： 应确保服务商的选择符合国家的有关规定； 应与选定的服务商签订相关的协议，明确约定相关责任，协议内容包含服务内容、培训和服务 承诺、保密范围、安全责任、违约责任、协议的有效期限等

坏境管理要求如下： a）应建立机房管理制度，内容覆盖机房物理访问、物品带进和带出机房、机房环境维护等； 应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护，形成维护记 录，记录维护日期、维护人、维护设备、故障原因、维护结果等方面内容； 应指定部门负责机房安全，对机房的出入、服务器的开机或关机等工作进行管理

资产管理要求如下： a 应编制并保存与信息系统相关的资产清单，包括资产责任部门、重要程度和所处位置等内容 b 应建立资产管理制度，规定信息系统资产管理的责任人员或责任部门，并规范资产管理和使 的行为。

资产管理要求如下： 应编制并保存与信息系统相关的资产清单，包括资产责任部门、重要程度和所处位置等内容； 应建立资产管理制度，规定信息系统资产管理的责任人员或责任部门，并规范资产管理和使用 的行为

设备管理要求如下： 应对信息系统中的基础软硬件产品、主要网络设备和主要安全设备等指定专门的部门或人员 定期进行维护管理，形成设备维护记录： 应建立基于申报、审批和专人负责的设备管理制度，对信息系统中的基础软硬件产品、主要网 络设备和主要安全设备等的选型、采购、发放和领用等过程进行规范化管理； 应确保基础软硬件产品、主要网络设备和主要安全设备经过审批才能带离机房或办公地点； 应对信息系统中的移动存储设备建立严格的安全管理制度和流程，指定专门的安全人员负责 移动存储设备的采购、使用和销毁等活动

备管理要求如下： 应对信息系统中的基础软硬件产品、主要网络设备和主要安全设备等指定专门的部门或人员 定期进行维护管理，形成设备维护记录： 应建立基于申报、审批和专人负责的设备管理制度，对信息系统中的基础软硬件产品、主要网 络设备和主要安全设备等的选型、采购、发放和领用等过程进行规范化管理； 应确保基础软硬件产品、主要网络设备和主要安全设备经过审批才能带离机房或办公地点； 应对信息系统中的移动存储设备建立严格的安全管理制度和流程，指定专门的安全人员负责 移动存储设备的采购、使用和销股等活动

监控管理要求如下： a）应对通信线路、主机、网络设备和应用软件的运行状况、网络流量等进行监测和报警，形成记录 并妥善保存； b） 应组织相关人员定期对监测和报警记录进行分析、评审，形成分析报告，并采取必要的应对 施。

监控管理要求如下： a） 应对通信线路、主机、网络设备和应用软件的运行状况、网络流量等进行监测和报警，形成记录 并妥善保存： b） 应组织相关人员定期对监测和报警记录进行分析、评审，形成分析报告，并采取必要的应对 措施

4.2.5.1网络安全管理

网络安全管理要求如下： a）应指定专人对网络进行管理，负责运行日志、网络监控记录的日常维护和报警信息分析和处理 工作； b) 应建立网络安全管理制度，对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更 新周期等方面作出规定； ） 应根据厂家提供的软件升级版本对网络设备进行更新，并在更新前对现有的重要文件进行 备份； 及时的修补

4.2.5.2系统安全管理

系统安全管理要求如下： a)/ 应根据业务需求和系统安全分析确定系统的访问控制策略； D 应定期进行漏洞扫描，对发现的系统安全漏洞及时进行修补； 应安装系统的最新补丁程序，在安装系统补丁前，首先在测试环境中测试通过，并对重要文件 进行备份后，方可实施系统补丁程序的安装； d) 应建立系统安全管理制度，对系统安全策略、安全配置、日志管理和日常操作流程等方面作出 具体规定； e) 应定期对运行日志和审计数据进行分析，以便及时发现异常行为，异常行为包括账户的连续多 次登录失败、非工作时间的登录、访问受限系统或 文件的失败尝试、系统错误等

4.2.5.3恶意代码防范管理

恶意代码防范管理要求如下： a）应提高所有用户的防病毒意识，及时告知防病毒软件版本，在读取移动存储设备上的数据以及 网络上接收文件或邮件之前，先进行病毒检查，对外来计算机或存储设备接入网络系统之前也 应进行病毒检查； b） 应指定专人对网络和主机进行恶意代码检测并保存检测记录： 应提供恶意代码防范管理文档，内容是否覆盖防恶意代码软件的授权使用、恶意代码库升级 定期汇报等方面，

4.2.5.4密码管理

密码技术和产品的使用应遵照国家密码管理规定

后将变更情况向相关人员通告； 系统发生变更前应制定变更失败恢复程序，规定变更失败后的恢复流程。

4.2.7备份与恢复管理

GB/T370942018

备份与恢复管理要求如下： a) 应识别需要定期备份的重要业务信息、系统数据及软件系统等； b) 应建立备份与恢复管理相关的管理制度，对备份信息的备份方式、备份频度、存储介质和保存 期等进行规范： C) 应根据数据的重要性和数据对系统运行的影响，制定数据的备份策略和恢复策略，备份策略须 指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法，

4.2.8应急响应管理

应急响应管理要求如下： a）应在统一的应急预案框架下制定不同事件的应急预案，应急预案框架应包括启动应急预案的 条件、应急处理流程、系统恢复流程、事后教育和培训等内容； b) 应急预案需要定期审查和根据实际情况更新，形成审查和更新记录； c) 应对系统相关的人员进行应急预案培训，形成培训记录； d) 应急预案的培训应至少每年举办一次

4.2.9维修和报废管理

维修和报废管理要求如下： a） 应指定或授权专门的部门或人员负责信息技术相关产品的维修和报废； b) 应对信息技术相关产品的维修和报废管理指定规章制度； 在信息技术相关产品维修和报废前，应确保存储有用户数据信息的磁介质或其他介质已经被 卸除

管理制度要求如下： a）应对管理活动中的各类管理内容建立安全管理制度，覆盖物理、网络、主机系统、数据、应用、建 设和管理等层面的各类管理内容； 应对要求管理人员或操作人员执行的日常管理操作建立操作规程，如系统维护手册和用户操 作规程等； c） 应指定或授权专门的部门或人员负责管理制度的制定； 应组织相关人员对制定的管理制度进行论证和审定，并保存评审记录、评审意见； 应将管理制度以某种方式发布到相关人员手中，并进行登记； f) 应定期或不定期对管理制度进行评审，对存在不足或需要改进的管理制度进行修订，并保存评 审记录、评审意见

管理制度要求如下： a）应对管理活动中的各类管理内容建立安全管理制度，覆盖物理、网络、主机系统、数据、应用、建 设和管理等层面的各类管理内容； 应对要求管理人员或操作人员执行的日常管理操作建立操作规程，如系统维护手册和用户操 作规程等； c） 应指定或授权专门的部门或人员负责管理制度的制定； d) 应组织相关人员对制定的管理制度进行论证和审定，并保存评审记录、评审意见； 应将管理制度以某种方式发布到相关人员手中，并进行登记； f) 应定期或不定期对管理制度进行评审，对存在不足或需要改进的管理制度进行修订，并保存评 审记录、评审意见

4.3.3.1人员录用

人员录用要求如下： a 应指定或授权专门的部门或人员负责人员录用； b) 应与被录用人员签署保密协议； C) 应规范人员录用过程，对被录用人员的身份、背景和专业资格等进行审查，对其所具有的技术 技能进行考核，并记录审查内容和审查结果

4.3.3.2人员离岗

人员离岗要求如下： a 应规范人员离岗过程，及时终止离岗员工的所有访问权限，并保存相关记录； 应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备，并保存相关记录； c 应做好保密文件交接，销毁相关文件等，并保存相关记录

4.3.3.3人员考核

4.3.3.4人员培训

应对各类人员进行岗位技能培训和相关技术培训，并对培训周期、培训方式、培训内容等 记录

房地产项目4.3.3.5外部支持人员

外部支持人员要求如下： a）外部专业技术支持人员应取得相关信息系统集成商或基础软硬件厂商颁发的技能认证证书

GB/T370942018

b）应确保在外部支持人员访问受控区域前得到授权或审批，并保存授权或审批记录； C 外部人员访问受控区域要进行登记，登记内容包括进入时间、离开时间、访间区域、访问设备及 陪同人员等

b）应确保在外部支持人员访问受控区域前得到授权或审批，并保存授权或审批记录； 外部人员访问受控区域要进行登记，登记内容包括进入时间、离开时间、访间区域、访 陪同人员等

采购和使用信息技术外包服务时验货标准，应符合GB/T3