網絡安全等級保護2.0-等保三級合規基線表(管理要求)
網絡安全等級保護2.0-等保三級合規基線表(管理要求)
1.安全管理制度
| 分類 | 項目 | 內容 | 測評對象 | 要求項說明 | 現狀分析 | 檢查結果 | 條目來源 | 備注 |
| 符合/不符合/部分符合/不適用 | ||||||||
| 管理制度 | 安全策略 | a) 應制定網絡安全工作的總體方針和安全策略,闡明機構安全工作的總體目標、范圍、原則和安全框架等。 | 總體方針策略類文檔 | 應核查網絡安全工作的總體方針和安全策略文件是否明確機構安全工作的總體目標、范圍、原則和各類安全策略。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||
| 管理制度 | a) 應對安全管理活動中的各類管理內容建立安全管理制度; | 安全管理制度類文檔 | 應核實各項安全管理制度是否覆蓋物理、網絡、主機系統、數據、應用、建設和運維等管理內容。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | ||||
| b) 應對管理人員或操作人員執行的日常管理操作建立操作規程; | 操作規程類文檔 | 應核查是否具有日常管理操作的操作規程,如系統維護手冊和用戶操作規程等。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| c) 應形成由安全策略、管理制度、操作規程等構成的全面的信息安全管理制度體系。 | 總體方針策略類文檔、文檔制度類文檔、操作規程類文檔和記錄表單類文檔 | 應核查總體方針策略文件、管理制度和操作規程、記錄表單是否全面且具有關聯性和一致性。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| 制定和發布 | a) 應指定或授權專門的部門或人員負責安全管理制度的制定; | 部門/人員職責文件等 | 應核查是否由專門的部門或人員負責制定安全管理制度。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | ||||
| b) 安全管理制度應通過正式、有效的方式發布,并進行版本控制; | 管理制度類文檔和記錄表單類文檔 |
1、應核查制度制定和發布要求管理文檔是否說明安全管理制度的制定和發布程序、格式要求及版本編號等相關內容; 2、應核查安全管理制度的收發登記記錄是否通過正式、有效的方式收發,如正式發文、領導簽署和單位蓋章等。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| 評審和修訂 | a) 應定期對安全管理制度的合理性和適用性進行論證和審定,對存在不足或需要改進的安全管理制度進行修訂; | 信息/網絡安全主管和記錄表單類文檔 |
1、應訪談信息/網絡安全主管是否定期對安全管理制度的合理性和適用性進行審定; 2、應核查是否具有安全管理制度的審定或論證記錄,如果對制度做過修訂,核查是否有修訂版本的安全管理制度。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 |
| 分類 | 項目 | 內容 | 測評對象 | 要求項說明 | 現狀分析 | 檢查結果 | 條目來源 | 備注 |
| 符合/不符合/部分符合/不適用 | ||||||||
| 安全管理機構 | 崗位設置 | a) 應成立指導和管理網絡安全工作的委員會或領導小組,其最高領導由單位主管領導擔任或授權; | 信息/網絡安全主管、管理制度類文檔和記錄表單類文檔 |
1、應訪談信息/網絡安全主管是否成立了指導和管理網絡安全工作的委員會或領導小組; 2、應核查相關文檔是否明確了網絡安全工作委員會或領導小組構成情況和相關職責; 3、應核查委員會或領導小組的最高領導是否由單位主管領導擔任或由其進行了授權。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||
| b) 應設立網絡安全管理工作的職能部門,設立安全主管、安全管理各個方面的負責人崗位,并定義各負責人的職責; | 信息/網絡安全主管、管理制度類文檔和記錄表單類文檔 |
1、應訪談信息/信息網絡安全主管是否設立網絡安全管理工作的職能部門; 2、應核查部門職責文檔是否明確網絡安全管理工作的職能部門和各負責人職責; 3、應核查崗位職責文檔是否有崗位劃分情況和崗位職責。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| c) 應設立系統管理員、審計管理員和安全管理員等崗位,并定義部門及各個工作崗位的職責; | 信息/網絡安全主管、管理制度類文檔和記錄表單類文檔 |
1、應訪談信息/網絡安全主管是否進行了安全管理崗位的劃分; 2、應核查崗位職責文檔是否明確了各部門及崗位職責。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| 人員配備 | a) 應配備一定數量的系統管理員、審計管理員和安全管理員等; | 信息/網絡安全主管、管理制度類文檔和記錄表單類文檔 |
1、應訪談信息/網絡安全主管是否配備系統管理員、審計管理員和安全管理員; 2、應核查人員配備文檔是否明確各崗位人員配備情況。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | ||||
| b) 應配備專職安全管理員,不可兼任; | 記錄表單類文檔 | 應核查人員配備文檔是否配備了專職安全管理員。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| 授權和審批 | a) 應根據各個部門和崗位的職責明確授權審批事項、審批部門和批準人等; | 管理制度類文檔和記錄表單類文檔 |
1、應核查部門職責文檔是否明確各部門審批事項; 2、應核查崗位職責文檔是否明確各崗位審批事項。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | ||||
| b) 應針對系統變更、重要操作、物理訪問和系統接入等事項建立審批程序,按照審批程序執行審批過程,對重要活動建立逐級審批制度; | 操作規程類文檔和記錄表單類文檔 |
1、應核查系統變更、重要操作、物理訪問和系統接入等事項的操作規范是否明確建立了逐級審批程序; 2、應核查審批記錄、操作記錄,審批結果是否與相關制度一致。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| c) 應定期審查審批事項,及時更新需授權和審批的項目、審批部門和審批人等信息; | 信息/網絡安全主管、管理制度類文檔和記錄表單類文檔 |
1、應訪談信息/網絡安全主管是否對各類審批事項進行更新; 2、應核查是否具有定期審查審批事項的記錄。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| 溝通和合作 | a) 應加強各類管理人員、組織內部機構和網絡安全管理部門之間的合作與溝通,定期召開協調會議,共同協作處理網絡安全問題; | 信息/網絡安全主管、管理制度類文檔和記錄表單類文檔 |
1、應訪談信息/網絡安全主管是否建立了各類管理人員、組織內部機構和網絡安全管理部門之間的合作與溝通機制; 2、應核查會議記錄是否明確各類管理人員、組織內部機構和網絡安全管理部門之間開展了合作與溝通。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | ||||
| b) 應加強與網絡安全職能部門、各類供應商、業界專家及安全組織的合作與溝通; | 信息/網絡安全主管、管理制度類文檔和記錄表單類文檔 |
1、應訪談信息/網絡安全主管是否建立了與網絡安全職能部門、各類供應商、業界專家及安全組織的合作與溝通機制; 2、應核查會議記錄是否與網絡安全職能部門、各類供應商、業界專家及安全組織開展了合作與溝通。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| c) 應建立外聯單位聯系列表,包括外聯單位名稱、合作內容、聯系人和聯系方式等信息; | 記錄表單類文檔 | 應核查外聯單位聯系列表是否記錄了外聯單位名稱、合作內容、聯系人和聯系方式等信息。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| 審核和檢查 | a) 應定期進行常規安全檢查,檢查內容包括系統日常運行、系統漏洞和數據備份等情況; | 信息/網絡安全主管、管理制度類文檔和記錄表單類文檔 |
1、應訪談信息/網絡安全主管是否定期進行了常規安全檢查; 2、應核查常規安全檢查記錄是否包括了系統日常運行、系統漏洞和數據備份等情況。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | ||||
| b) 應定期進行全面安全檢查,檢查內容包括現有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執行情況等; | 信息/網絡安全主管、管理制度類文檔和記錄表單類文檔 |
1、應訪談信息/網絡安全主管是否定期進行了全面檢查; 2、應核查全面安全檢查記錄是否包括了現有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執行情況等。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| c) 應制定安全檢查表格實施安全檢查,匯總安全檢查數據,形成安全檢查報告,并對安全檢查結果進行通報; | 記錄表單類文檔 | 應核查是否具有安全檢查表格、安全檢查記錄、安全檢查報告、安全檢查結果通報記錄。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 |
| 分類 | 項目 | 內容 | 測評對象 | 要求項說明 | 現狀分析 | 檢查結果 | 條目來源 | 備注 |
| 符合/不符合/部分符合/不適用 | ||||||||
| 人員安全管理 | 人員錄用 | a) 應指定或授權專門的部門或人員負責人員錄用; | 信息/網絡安全主管 | 應訪談信息/網絡安全主管是否由專門的部門或人員負責人員的錄用工作。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||
| b) 應對被錄用人員的身份、安全背景、專業資格或資質等進行審查,對其所具有的技術技能進行考核; | 管理制度類文檔和記錄表單類文檔 |
1、應核查人員安全管理文檔是否說明錄用人員應具備的條件(如學歷、學位要求,技術人員應具備的專業技術水平,管理人員應具備的安全管理知識等); 2、應核查是否具有人員錄用時對錄用人身份、安全背景、專業資格或資質等進行審查的相關文檔或記錄,是否記錄審查內容和審查結果等); 3、應核查人員錄用時的能考核文檔或記錄是否記錄考核內容和考核結果等。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| c) 應與被錄用人員簽署保密協議,與關鍵崗位人員簽署崗位責任協議; | 記錄表單類文檔 |
1、應核查保密協議是否有保密范圍、保密職責、違約職責、協議的有效期限和責任人的簽字等內容; 2、應核查崗位安全協議是否有崗位安全責任書定義、協議的有效期限和責任人簽字等內容。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| 人員離崗 | a) 應及時終止離崗人員的所有訪問權限,取回各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備; | 記錄表單類文檔 | 應核查是否具有離職人員終止其訪問權限、交還身份證件、軟硬件設備等的登錄記錄。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | ||||
| b) 應辦理嚴格的調離手續,并承諾調離后的保密義務后方可離開。 | 管理制度類文檔和記錄表單類文檔 |
1、應核查人員離崗的管理文檔是否規定了人員調離手續和離崗要求等; 2、應核查是否具有按照離崗程序辦理調離手續的記錄; 3、應核查保密承諾文檔是否有調離人員的簽字。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| 安全意識教育和培訓 | a) 應對各類人員進行安全意識教育和崗位技能培訓,并告知相關的安全責任和懲戒措施; | 管理制度類文檔 |
1、應核查安全意識教育及崗位技能培訓文檔是否明確培訓周期、培訓方式、培訓內容和考核方式等相關內容; 2、應核查安全責任和懲戒措施管理文檔或培訓文檔是否包含具體的安全職責和懲戒措施。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | ||||
| b) 應針對不同崗位制定不同的培訓計劃,對安全基礎知識、崗位操作規程等進行培訓; | 記錄表單類文檔 |
1、應核查安全教育和培訓計劃文檔是否具有不同崗位的培訓計劃; 2、應核查培訓內容是否包含安全基礎知識、崗位操作規程等; 3、應核查安全教育和培訓記錄是否有培訓人員、培訓內容、培訓結果等描述。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| c) 應定期對不同崗位的人員進行技能考核。 | 記錄表單類文檔 | 應核查是否具有針對各崗位人員的技能考核記錄。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| 外部人員訪問管理 | a) 應在外部人員物理訪問受控區域前先提出書面申請,批準后由專人全程陪同,并登記備案; | 管理制度類文檔和記錄表單類文檔 |
1、應核查外部人員訪問管理文檔是否明確允許外部人員訪問的范圍、外部人員進入的條件、外部人員進入的訪問控制措施等; 2、應核查外部人員訪問重要區域的書面申請文檔是否具有批準人允許訪問的批準簽字等; 3、應核查外部人員訪問重要區域的登錄記錄是否記錄了外部人員訪問重要區域的進入時間、離開時間、訪問區域及陪同人等; |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | ||||
| b) 應在外部人員接入受控網絡訪問系統前先提出書面申請,批準后由專人開設賬戶、分配權限,并登記備案; | 管理制度類文檔和記錄表單類文檔 |
1、應核查外部人員訪問管理文檔是否明確外部人員接入受控網絡前的申請審批流程; 2、應核查外部人員訪問系統的書面申請文檔是否明確外部人員的訪問權限、是否具有允許訪問的批準簽字等; 3、應核查外部人員訪問系統的登錄記錄是否記錄了外部人員訪問的權限、時限、賬戶等。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| c) 外部人員離場后應及時清除其所有的訪間權限; | 管理制度類文檔和記錄表單類文檔 |
1、應核查外部人員訪問管理文檔是否明確外部人員離開后及時清除其所有訪問權限; 2、應核查外部人員訪問系統的登記記錄是否記錄了訪問權限清除時間。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| d) 獲得系統訪間授權的外部人員應簽署保密協議,不得進行非授權操作,不得復制和泄露任何敏感信息。 | 記錄表單類文檔 | 應核查外部人員訪問保密協議是否明確人員的保密義務(如不得進行非授權操作,不得復制信息等)。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 |
4.安全建設管理
| 分類 | 項目 | 內容 | 測評對象 | 要求項說明 | 現狀分析 | 檢查結果 | 條目來源 | 備注 |
| 符合/不符合/部分符合/不適用 | ||||||||
| 系統建設管理 | 定級和備案 | a) 應以書面的形式說明保護對象的安全保護等級及確定等級的方法和理由; | 記錄表單類文檔 | 應核查定級文檔是否明確保護對象的安全保護等級,是否說明定級的方法和理由。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||
| b) 應組織相關部門和有關安全技術專家對定級結果的合理性和正確性進行論證和審定; | 記錄表單類文檔 | 應核查定級結果的論證評審會議記錄是否有相關部門和相關安全技術專家對定級結果的論證意見。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| c) 應組織相關部門和有關安全技術專家對信息系統定級結果的合理性和正確性進行論證和審定; | 記錄表單類文檔 | 應核查定級結果部門審批文檔是否有上級主管部門或本單位相關部門的審批意見。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| d) 應將備案材料報主管部門和相應公安機關備案。 | 記錄表單類文檔 | 應核查是否具有公安機關出具的備案證明文檔。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| 安全方案設計 | a) 應根據安全保護等級選擇基本安全措施,依據風險分析的結果補充和調整安全措施; | 安全規劃設計類文檔 | 應核查安全設計文檔是否根據安全保護等級選擇安全措施,是否跟安全需求調整安全措施。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | ||||
| b) 應根據保護對象的安全保護等級及與其他級別保護對象的關系進行安全整體規劃和安全方案設計,設計內容應包含密碼技術相關內容,并形成配套文件; | 安全規劃設計類文檔 | 應核查是否有總體規劃和安全設計方案等配套文件,設計方案中應包含密碼技術相關內容。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| c) 應組織相關部門和有關安全專家對安全整體規劃及其配套文件的合理性和正確性進行論證和審定,經過批準后才能正式實施。 | 記錄表單類文檔 | 應核查配套文件的論證評審記錄或文檔是否有相關部門和相關安全技術專家對總體安全規劃、安全設計方案等相關配套文件的批準意見和論證意見。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| 產品采購和使用 | a) 應確保網絡安全產品采購和使用符合國家的有關規定; | 記錄表單類文檔 | 應核查有關網絡安全產品是否符合國家的相關規定,如網絡安全產品獲得了銷售許可等。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | ||||
| b) 應確保密碼產品與服務的采購和使用符合國家密碼管理主管部門的要求; | 建設負責人和記錄表單類文檔 |
1、應訪談建設負責人是否采用了密碼產品及相關服務; 2、應核查密碼產品與服務的采購和使用是否符合國家密碼管理主管部門的要求。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| c) 應預先對產品進行選型測試,確定產品的候選范圍,并定期審定和更新候選產品名單。 | 記錄表單類文檔 | 應核查是否具有產品選型測試結果文檔、候選產品采購清單及審定或更新的記錄。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| 自行軟件開發 | a) 應將開發環境與實際運行環境物理分開,測試數據和測試結果受到控制; | 建設負責人 |
1、應訪談建設負責人自主開發軟件是否在獨立的物理環境中完成編寫和調試,與實際運行環境分開; 2、應核查測試數據和結果是否受控使用。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | ||||
| b) 應制定軟件開發管理制度,明確說明開發過程的控制方法和人員行為準則; | 管理制度類文檔 | 應核查軟件開發管理制度是否明確軟件設計、開發、測試和驗收過程的控制方法和人員行為準則,是否明確哪些開發活動應經過授權和審批。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| c) 應制定代碼編寫安全規范,要求開發人員參照規范編寫代碼; | 管理制度類文檔 | 應核查代碼編寫安全規范是否明確代碼安全編寫規則。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| d) 應具備軟件設計的相關文檔和使用指南,并對文檔使用進行控制; | 軟件開發類文檔 | 應核查是否具有軟件開發文檔和使用指南,并對文檔使用進行控制。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| e) 應保證在軟件開發過程中對安全性進行測試,在軟件安裝前對可能存在的惡意代碼進行檢測; | 記錄表單類文檔 | 應核查是否具有軟件安全測試報告和代碼審計報告,明確軟件存在的安全問題及可能存在的惡意代碼。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| f) 應對程序資源庫的修改、更新、發布進行授權和批準,并嚴格進行版本控制; | 記錄表單類文檔 | 應核查對程序資源庫的修改、更新、發布進行授權和審批的文檔或記錄是否有批準人的簽字。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| g) 應保證開發人員為專職人員,開發人員的開發活動受到控制、監視和審查。 | 建設負責人 | 應訪談建設負責人開發人員是否為專職,是否對開發人員活動進行控制等。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| 外包及其管理 | a) 應在軟件交付前檢測其中可能存在的惡意代碼; | 記錄表單類文檔 | 應核查是否具有交付前的惡意代碼檢查報告。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | ||||
| b) 應保證開發單位提供軟件設計文檔和使用指南; | 操作規程類文檔和記錄表單類文檔 | 應核查是否具有軟件開發的相關文檔,如需求分析說明書、軟件設計說明書等,是否具有軟件操作手冊或使用指南。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| c) 應保證開發單位提供軟件源代碼,并審查軟件中可能存在的后門和隱蔽信道; | 操作規程類文檔和記錄表單類文檔 |
1、應訪談建設負責人委托開發單位是否提供軟件源代碼; 2、應核查軟件測試報告是否審查了軟件可能存在的后門和隱蔽信道。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| 工程實施 | a) 應指定或授權專門的部門或人員負責工程實施過程的管理; | 記錄表單類文檔 | 應核查是否指定專門部門或人員對工程實施進行進度和質量控制。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | ||||
| b) 應制定安全工程實施方案控制工程實施過程; | 記錄表單類文檔 | 應核查安全工程實施方案是否包括工程時間限制、進度控制和質量控制等方面內容,是否按照工程實施方面的管理制度進行各類控制、產生階段性文檔等。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| c) 應通過第三方工程監理控制項目的實施過程; | 記錄表單類文檔 | 應核查工程監理報告是否明確了工程進度、時間計劃、控制措施等方面內容。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| 測試驗收 | a) 應制訂測試驗收方案,并依據測試驗收方案實施測試驗收,形成測試驗收報告; | 記錄表單類文檔 |
1、應核查工程測試驗收方案是否明確說明參與測試的部門、人員、測試驗收內容、現場操作過程等內容; 2、應核查測試驗收報告是否有相關部門和人員對測試驗收報告進行審定的意見。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | ||||
| b) 應進行上線前的安全性測試,并出具安全測試報告,安全測試報告應包含密碼應用安全性測試先關內容; | 記錄表單類文檔 | 應核查是否具有上線前的安全測試報告,報告應包含密碼應用安全性測試相關內容。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| 系統交付 | a) 應制定交付清單,并根據交付清單對所交接的設備、軟件和文檔等進行清點; | 記錄表單類文檔 | 應核查交付清單是否說明交付的各類設備、軟件、文檔等。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | ||||
| b) 應對負責運行維護的技術人員進行相應的技能培訓; | 記錄表單類文檔 | 應核查系統交付技術培訓記錄是否包括培訓內容、培訓時間和參與人員等。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| c) 應提供建設過程文檔和運行維護文檔。 | 記錄表單類文檔 | 應核查交付文檔是否包括建設過程文檔和運行維護文檔等,提供的文檔是否符合管理規定的要求。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| 等級測評 | a) 應定期進行等級測評,發現不符合相應等級保護標準要求的及時整改; | 運維負責人和記錄表單類文檔 |
1、應訪談運維負責人本次測評是否為首次,若非首次,是否根據以往測評結果進行相應的安全整改; 2、應核查是否具有以往等級測評報告和安全整改方案。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | ||||
| b) 應在發生重大變更或級別發生變化時進行等級測評; | 運維負責人和記錄表單類文檔 |
1、應核查是否有過重大變更或級別發生過變化及是否進行相應的等級測評; 2、應核查是否具有相應情況下的等級測評報告。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| c) 應確保測評機構的選擇符合國家有關規定。 | 等級測評報告和相關資質文件 | 應核查以往等級測評的測評單位是否具有等級測評機構資質。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| 服務供應商選擇 | a) 應確保服務供應商的選擇符合國家的有關規定; | 建設負責人 | 應訪談建設負責人選擇的安全服務商是否符合國家相關規定。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | ||||
| b) 應與選定的服務供應商簽訂相關協議,明確整個服務供應鏈各方需履行的網絡安全相關義務; | 記錄表單類文檔 | 應核查與服務供應商簽訂的服務合同或安全責任書是否明確了后期的技術支持和服務承諾等內容。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| c) 應定期監督、評審和審核服務供應商提供的服務,并對其變更服務內容加以控制。 | 管理制度類文檔和記錄表單類文檔 |
1、應核查是否具有服務供應商定期提交的安全服務報告; 2、應核查是否定期審核評價服務供應商所提供的服務及服務內容變更情況,是否具有服務審核報告; 應核查是否具有服務供應商評價審核管理制度,明確針對服務供應商的評價指標、考核內容等。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 |
5.安全運維管理
| 分類 | 項目 | 內容 | 測評對象 | 要求項說明 | 現狀分析 | 檢查結果 | 條目來源 | 備注 |
| 符合/不符合/部分符合/不適用 | ||||||||
| 系統運維管理 | 環境管理 |
a) 應指定專門的部門或人員負責機房安全,對機房出入進行管理,定期對機房供配電、空調、溫濕 度控制、消防等設施進行維護管理; |
物理安全負責人和記錄表單類文檔 |
1、應訪談物理安全負責人是否指定部門和人員負責機房安全管理工作,對機房的出入進行管理、對基礎設施(如空調、供電設備、滅火器等)進行定期維護; 2、應核查部門或人員崗位職責文檔是否定期明確機房安全的責任部門及人員; 3、應核查機房的出入登記記錄是否記錄來訪人員、來訪時間、離開時間、攜帶物品等信息; 4、應核查機房的基礎設施的維護記錄是否記錄維護日期、維護人、維護設備、故障原因、維護結果等方面內容。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||
| b) 應建立機房安全管理制度,對有關物理訪間、物品帶進出和環境安全等方面的管理作出規定; | 管理制度類文檔和記錄表單類文檔 |
1、應核查機房安全管理制度是否覆蓋物理訪問、物品進出和環境安全等方面內容; 2、應核查物理訪問、物品進出和環境安全等相關記錄是否與制度相符。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| c) 應不在重要區域接待來訪人員,不隨意放置含有敏感信息的紙檔文件和移動介質等。 | 管理制度類文檔和辦公環境 |
1、應核查機房安全管理制度是否明確來訪人員的接待區域; 2、應核查辦公桌面上等位置是否未隨意放置了敏感信息的紙檔文件和移動介質等。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| 資產管理 | a) 應編制并保存與保護對象相關的資產清單,包括資產責任部門、重要程度和所處位置等內容; | 記錄表單類文檔 | 應核查資產清單是否包括資產類別(含設備設施、軟件、文檔等)、資產責任部門、重要程度和所處位置等內容。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | ||||
| b) 應根據資產的重要程度對資產進行標識管理,根據資產的價值選擇相應的管理措施; | 資產管理員、管理制度類文檔和設備 |
1、應訪談資產管理員是否依據資產的重要程度對資產進行標識,不同類別的資產在管理措施的選取上是否不同; 2、應核查資產管理制度是否明確資產的標識方法以及不同資產的管理措施要求; 3、應核查資產清單中的設備是否具有相應標識,標識方法是否符合2相關要求。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| c) 應對信息分類與標識方法作出規定,并對信息的使用、傳輸和存儲等進行規范化管理。 | 管理制度類文檔 |
1、應核查信息分類文檔是否規定了分類標識的原則和方法(如根據信息的重要程度、敏感程度或用途不同進行分類); 2、應核查信息資產管理辦法是否規定了不同類信息的使用、傳輸和存儲等要求。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| 介質管理 | a) 應將介質存放在安全的環境中,對各類介質進行控制和保護,實行存儲環境專人管理,并根據存檔介質的目錄清單定期盤點; | 資產管理員和記錄表單類文檔 |
1、應訪談資產管理員介質存放環境是否安全,存放環境是否由專人管理; 2、應核查介質管理記錄是否記錄介質歸檔、使用和定期盤點等情況。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | ||||
| b) 應對介質在物理傳輸過程中的人員選擇、打包、交付等情況進行控制,并對介質的歸檔和查詢等進行登記記錄。 | 資產管理員和記錄表單類文檔 |
1、應訪談資產管理員介質在物理傳輸過程中的人員選擇、打包、交付等情況是否進行控制; 2、核查是否對介質的歸檔和查詢等進行登記記錄。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| 設備維護管理 | a) 應對各種設備(包括備份和冗余設備)、線路等指定專門的部門或人員定期進行維護管理; | 設備管理員和管理制度類文檔 |
1、應訪談設備管理員是否對各類設備、線路指定專人或專門部門進行定期維護; 2、應核查部門或人員崗位職責文檔是否明確設備維護管理的責任部門。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | ||||
| b) 應建立配套設施、軟硬件維護方面的管理制度,對其維護進行有效的管理,包括明確維護人員的責任、維修和服務的審批、維修過程的監督控制等; | 管理制度類文檔和記錄表單類文檔 |
1、應核查設備維護管理制度是否明確維護人員的責任、維修和服務的審批、維修過程的監督控制等方面內容; 2、應核查是否留有維修和服務的審批、維修過程等記錄,審批、記錄內容是否與制度相符。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| c) 信息處理設備應經過審批才能帶離機房或辦公地點,含有存儲介質的設備帶出工作環境時其中重要數據應加密; | 設備管理員和記錄表單類文檔 |
1、應訪談設備管理員含有重要數據的設備帶出工作環境是否加密措施; 2、應訪談設備管理員對帶離機房的設備是否經過審批; 3、應核查是否具有設備帶離機房或辦公地點的審批記錄。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| d) 含有存儲介質的設備在報廢或重用前,應進行完全清除或被安全覆蓋,保證該設備上的敏感數據和授權軟件無法被恢復重用。 | 設備管理員 | 應訪談設備管理員含有存儲介質的設備在報廢或重用前,是否采取措施進行完全清除或被安全覆蓋。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| 漏洞和風險管理 | a) 應采取必要的措施識別安全漏洞和隱患,對發現的安全漏洞和隱患及時進行修補或評估可能的影響后進行修補; | 記錄表單類文檔 |
1、應核查是否有識別安全漏洞和隱患的安全報告或記錄(如漏洞掃描報告、滲透測試報告和安全通報等); 2、應核查相關記錄是否對發現的漏洞及時進行修補或評估可能的影響后進行修補。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | ||||
| b) 應定期開展安全測評,形成安全測評報告,采取措施應對發現的安全間題。 | 安全管理員和記錄表單類文檔 |
1、應訪談安全管理員是否定期開展安全測評; 2、應核查是否具有安全測評報告; 3、應核查是否具有安全整改應對措施文檔。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| 網絡和系統安全管理 | a) 應劃分不同的管理員角色進行網絡和系統的運維管理,明確各個角色的責任和權限; | 記錄表單類文檔 | 應核查網絡和系統安全管理文檔,系統管理員是否劃分了不同角色,并定義各個角色的責任和權限。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | ||||
| b) 應指定專門的部門或人員進行賬戶管理,對申請賬戶、建立賬戶、刪除賬戶等進行控制; | 運維負責人和記錄表單類文檔 |
1、應訪談運維負責人是否指定專門的部門或人員進行賬戶管理; 2、應核查相關審批記錄或流程是否對申請賬單、建立賬戶、刪除賬戶等進行控制。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| c) 應建立網絡和系統安全管理制度,對安全策略、賬戶管理、配置管理、日志管理、日常操作、升級與打補丁、口令更新周期等方面做出規定。 | 管理制度類文檔 | 應核查網絡和系統安全管理制度是否覆蓋網絡和系統的安全策略、賬戶管理(用戶責任、、義務、風險、權限審批、權限分配、賬戶注銷等)、配置文件的生成及備份、變更審批、授權訪問、最小服務、升級與打補丁、審計日志管理、登錄設備和系統的口令更新周期等方面。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| d) 應制定重要設備的配置和操作手冊、依據手冊對設備進行安全配置和優化配置等; | 操作規程類文檔 | 應核查重要設備或系統(如操作系統、數據庫、網絡設備、安全設備、應用和組件)的配置和操作手冊是否明確操作步驟、參數配置等內容。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| e) 應詳細記錄運維操作日志,包括日常巡檢工作、運行維護記錄、參數的設置和修改等內容; | 記錄表單類文檔 | 應核查運維操作日志是否覆蓋網絡和系統的日常巡檢、運行維護、參數的設置和修改等內容。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| f) 應指定專門的部門或人員對日志、監測和報警數據等進行分析、統計,及時發現可疑行為; | 系統管理員和記錄表單類文檔 |
1、應訪談網絡和系統相關人員是否指定專門部門或人員對日志、監測和報警數據等進行分析統計; 2、應核查是否具有對日志、監測和報警數據等進行分析統計的報告。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| g) 應嚴格控制變更性運維,經過審批后才可改變連接、安全系統組件或調整配置參數,操作過程中保留不可更改的審計日志,操作結束后應同步更新配置信息庫; | 系統管理員和記錄表單類文檔 |
1、應訪談網絡和系統相關人員調整配置參數結束后是否同步更新配置信息庫,并核實配置信息庫是否為最新版本; 2、應核查是否具有變更運維的審批記錄,如系統連接、安裝系統組件或調整配置參數等活動; 3、應核查是否具有變更運維的操作過程記錄。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| h) 應嚴格控制運維工具的使用,經過審批后才可接入進行操作,操作過程中應保留不可更改的審計日志,操作結束后應刪除工具中的敏感數據; | 系統管理員和記錄表單類文檔 |
1、應訪談系統管理員使用運維工具結束后是否刪除工具中的敏感數據; 2、應核查是否具有運維工具接入系統的審計記錄; 3、應核查運維工具的審計日志記錄,審計日志是否不可以更改。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| i) 應嚴格控制遠程運維的開通,經過審批后才可開通遠程運維接口或通道,操作過程中應保留不可更改的審計日志,操作結束后立即關閉接口或通道; | 系統管理員和記錄表單類文檔 |
1、應訪談系統相關人員日常運維過程中是否存在遠程運維,若存在,遠程運維結束后是否立即關閉了接口或通道; 2、應核查開通遠程運維的審批記錄; 3、應核查針對遠程運維的審計日志是否不可以更改。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| j) 應保證所有與外部的連接暈得到授權和批準,應定期檢查違反規定無線上網或其他違反網絡安全策略的行為。 | 安全管理員和記錄表單類文檔 |
1、應訪談系統相關人員往來外聯連接(如互聯網、合作伙伴企業網、上級部門網絡等)是否都得到授權與批準; 2、應訪談網絡管理員是否定期核查違規聯網行為; 3、應核查是否具有外聯授權的記錄文件。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| 惡意代碼防范管理 | a) 應提高 所有用戶的防惡意代碼意識,對外來計算機或存儲設備接入系統前進行惡意代碼檢查等。; | 運維負責人和管理制度類文檔 |
1、應訪談運維負責人是否采取培訓和告知等方式提升員工的防惡意代碼意識; 2、應核查惡意代碼防范管理制度是否明確對外來計算機或存儲設備接入系統前進行惡意代碼檢查。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | ||||
| b) 應定期驗證防范惡意代碼攻擊的技術措施的有效性; | 安全管理員和記錄表單類文檔 |
1、若采用可信驗證技術,應訪談安全管理員是否未發生過惡意代碼攻擊事件; 2、若采用防惡意代碼產品,應訪談安全管理員是否定期對惡意代碼庫進行升級,且對升級情況進行記錄,對各類防病毒產品上截獲的惡意代碼是否進行分析并匯總上報,是否未出現過大規模的病毒事件; 3、應核查是否具有惡意代碼檢測記錄、惡意代碼庫升級記錄和分析報告。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| 配置管理 | a)應記錄和保存基本配置信息,包括網絡拓撲結構、各個設備安裝的軟件組件、軟件組件的版本和補丁信息、各個設備或軟件組件的配置參數; | 系統管理員 | 應訪談系統管理員是否對基本配置信息進行記錄和保存。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | ||||
| b) 應將基本配置信息改變納入變更范疇,實施對配置信息改變的控制,并及時更新基本配置信息庫; | 系統管理員和記錄表單類文檔 |
1、應訪談配置管理人員基本配置信息改變后是否及時更新基本配置信息庫; 2、應核查配置信息的變更流程是否具有相應的申報審批程序。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| 密碼管理 | a)應遵循密碼相關國家標準和行業標準; | 系統管理員和記錄表單類文檔 | 應訪談安全管理員密碼管理過程中是否遵循密碼相關的國家標準和行業標準要求。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | ||||
| b) 應使用國家密碼管理主管部門認證核準的密碼技術和產品; | 安全管理員 | 應核查相關產品是否獲得有效的國家密碼管理主管部門規定的檢測報告或密碼產品型號證書。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| 變更管理 | a) 應明確變更需求,變更前根據變更需求制定變更方案,變更方案經過評審、審批后方可實施; | 安全管理員 |
1、應核查變更方案是否包含變更類型、變更原因、變更過程、變更前評估等內容; 2、應核查是否具有變更方案評審記錄和變更過程記錄文檔。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | ||||
| b) 應建立變更的申報和審批控制程序,依據程序控制所有的變更,記錄變更實施過程; | 記錄表單類文檔 |
1、應核查變更控制的申報、審批程序其是否規定需要申報的變更類型、申報流程、審批部門、批準人等方面內容; 2、應核查是否具有變更實施過程的記錄文檔。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| c) 應建立中止變更并從失敗變更中恢復的程序,明確過程控制方法和人員職責,必要時對恢復過程進行演練。 | 記錄表單類文檔 |
1、應訪談運維負責人變更終止或變更失敗后的恢復程序、工作方法和職責是否文檔化,恢復過程是否經過演練; 2、應核查是否具有變更恢復演練記錄; 3、應核查變更恢復程序是否規定變更終止或失敗后的恢復流程。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| 備份與恢復管理 | a) 應識別需要定期備份的重要業務信息、系統數據及軟件系統等; | 運維負責人和記錄表單類文檔 |
1、應訪談系統管理員有哪些需要定期備份的業務信息、系統數據及軟件系統; 2、應核查是否具有定期備份的重要業務信息、系統數據、軟件系統的列表或清單。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | ||||
| b) 應規定備份信息的備份方式、備份頻度、存儲介質、保存期等; | 系統管理員和記錄表單類文檔 | 應核查備份與恢復管理制度是否明確備份方式、頻度、介質、保質期等內容。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| c) 應根據數據的重要性和數據對系統運行的影響,制定數據的備份策略和恢復策略、備份程序和恢復程序等。 | 管理制度類文檔 | 應核查備份和恢復的策略文檔是否根據數據的重要程度制定相應備份恢復策略和程序等。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| 安全事件處置 | a) 應及時向安全管理部門報告所發現的安全弱點和可疑事件; | 管理制度類文檔 |
1、應訪談運維負責人是否告知用戶在發現安全弱點和可疑事件時及時向安全管理部門報告; 2、應核查在發現安全弱點和可疑事件后是否具備對應的報告或相關文檔。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | ||||
| b) 應制定安全事件報告和處置管理制度,明確不同安全事件的報告、處置和響應流程,規定安全事件的現場處理、事件報告和后期恢復的管理職責等; | 運維負責人和記錄表單類文檔 | 應核查安全事件報告和處理管理制度是否明確了與安全事件有關的工作職責、不同安全事件的報告、處置和相應流程等。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| c) 應在安全事件報告和響應處理過程中,分析和鑒定事件產生的原因,收集證據,記錄處理過程,總結經驗教訓; | 管理制度類文檔 | 應核查安全事件報告和響應處置記錄是否記錄引發安全事件的原因、證據、處置過程、經驗教訓、補救措施等內容。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| d) 對造成系統中斷和造成信息泄漏的重大安全事件應采用不同的處理程序和報告程序。 | 記錄表單類文檔 |
1、應訪談運維負責人不同安全事件的報告流程; 2、應核查對重大安全事件是否制定不同安全事件報告和處理流程,是否明確具體報告方式、報告內容、報告人等方面內容。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| 應急預案管理 | a) 應規定統一的應急預案框架,包括啟動預案的條件、應急組織構成、應急資源保障、事后教育和培訓等內容; | 運維負責人和記錄表單類文檔 | 應核查應急預案框架是否覆蓋啟動應急預案的條件、應急組織構成、應急資源保障、事后教育和培訓等方面。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | ||||
| b) 應制定重要事件的應急預案,包括應急處理流程、系統恢復流程等內容; | 管理制度類文檔 | 應核查是否具有重要事件的應急預案(如針對機房、系統、網絡等各方面)。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| c) 應定期對系統相關的人員進行應急預案培訓,并進行應急預案的演練; | 運維負責人和記錄表單類文檔 |
1、應訪談運維負責人是否定期對相關人員進行應急預案培訓和演練; 2、應核查應急預案培訓記錄是否明確培訓對象、培訓內容、培訓結果等; 3、應核查應急預案記錄是否記錄演練時間、主要操作內容、演練結果等。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| d) 應定期對原有的應急預案重新評估,修訂完善。 | 記錄表單 | 應核查應急預案修訂記錄是否定期評估并修訂完善等。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| 外包運維管理 | a) 應確保外包運維服務商的選擇符合國家的有關規定; | 運維負責人 |
1、應訪談運維負責人是否有外包運維服務情況; 2、應訪談運維負責人外包運維服務單位是否符合國家相關規定。 |
GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | ||||
| b) 應與選定的外包運維服務商簽訂相關的協議,明確約定外包運維的范圍、工作內容; | 記錄表單類文檔 | 應核查外部運維服務協議是否明確約定外包運維的范圍和工作內容。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| c) 應保證選擇的外包運維服務商在技術和管理方面均應具有按照等級保護要求開展安全運維工作的能力,并將能力要求在簽訂的協議中明確; | 記錄表單類文檔 | 應核查與外部運維服務商簽訂的協議中是否明確其具有等級保護要求的服務能力。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 | |||||
| d) 應在與外包運維服務商簽訂的協議中明確所有相關的安全要求,如可能涉及對敏感信息的訪間、處理、存儲要求,對IT基礎設施中斷服務的應急保障要求等。 | 記錄表單類文檔 | 應核查外包運維服務協議是否包含可能涉及對敏感信息的訪問、處理、存儲要求,對IT基礎設施中斷服務的應急保障要求等內容。 | GBT22239-2019-信息安全技術_網絡安全等級保護基本要求 |
測評結果
| 1.系統信息 | |||||||
| 系統名稱: | |||||||
| 系統等級: | |||||||
| 2.測評結果-管理類 | |||||||
| 針對本系統依照信息安全等級保護三級級信息系統安全管理類要求總共進行了XXX項安全檢查,具體測評結果如下: | |||||||
| 檢查單元\符合情況 | 總檢查項 | 符合 | 不符合 | 部分符合 | 不適用 | ||
| 安全管理制度 | 7 | 7 | |||||
| 安全管理機構 | 14 | 14 | |||||
| 員工安全管理 | 12 | 12 | |||||
| 系統建設管理 | 34 | 34 | |||||
| 系統運維管理 | 48 | 48 | |||||
