等保2.0中的“安全運維管理”對應(yīng)等保1.0中的“系統(tǒng)運維管理”，對環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備維護管理、漏洞和風(fēng)險管理、網(wǎng)絡(luò)和系統(tǒng)安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理、外包運維管理均做出了明確要求。其中增加了漏洞和風(fēng)險管理、配置管理、外包運維管理等測評項，在環(huán)境管理、設(shè)備維護管理、網(wǎng)絡(luò)和系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、安全事件處置、應(yīng)急預(yù)案管理等測評方面均有所加強。

一覽表

評測實踐

在對安全運維管理測評時，測評方會檢查是否建立機房安全管理制度、資產(chǎn)安全管理制度、配套設(shè)施軟硬件維護管理制度、網(wǎng)絡(luò)和系統(tǒng)安全管理制度、惡意代碼防范管理制度、基本配置信息更改申報審批程序、變更申報和審批控制程序、變更中止或失敗恢復(fù)程序、備份與恢復(fù)管理制度、安全事件報告和處置安全管理制度等，查看制度內(nèi)容是否符合測評要求。

詢問機房安全管理人員、設(shè)備維護管理人員、網(wǎng)絡(luò)和系統(tǒng)管理人員、系統(tǒng)維護負責(zé)人等，對機房環(huán)境、辦公環(huán)境、資產(chǎn)、介質(zhì)、各種設(shè)備、漏洞和風(fēng)險、網(wǎng)絡(luò)和系統(tǒng)、惡意代碼防范、基本配置、密碼技術(shù)和產(chǎn)品、系統(tǒng)變更、備份與恢復(fù)管理、安全事件處置、應(yīng)急、外包運維等管理流程、管理人員、管理措施、管理周期、管理依據(jù)等，是否形成管理記錄，檢查各管理記錄覆蓋是否全面。是否采取滲透測試、漏洞掃描等方式檢測系統(tǒng)存在的漏洞，是否對漏洞進行修補等。

一至三級所需制度參考清單