等保2.0中的“安全運維管理”對應等保1.0中的“系統運維管理”，對環境管理、資產管理、介質管理、設備維護管理、漏洞和風險管理、網絡和系統安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理、外包運維管理均做出了明確要求。其中增加了漏洞和風險管理、配置管理、外包運維管理等測評項，在環境管理、設備維護管理、網絡和系統安全管理、惡意代碼防范管理、密碼管理、變更管理、安全事件處置、應急預案管理等測評方面均有所加強。

一覽表

評測實踐

在對安全運維管理測評時，測評方會檢查是否建立機房安全管理制度、資產安全管理制度、配套設施軟硬件維護管理制度、網絡和系統安全管理制度、惡意代碼防范管理制度、基本配置信息更改申報審批程序、變更申報和審批控制程序、變更中止或失敗恢復程序、備份與恢復管理制度、安全事件報告和處置安全管理制度等，查看制度內容是否符合測評要求。

詢問機房安全管理人員、設備維護管理人員、網絡和系統管理人員、系統維護負責人等，對機房環境、辦公環境、資產、介質、各種設備、漏洞和風險、網絡和系統、惡意代碼防范、基本配置、密碼技術和產品、系統變更、備份與恢復管理、安全事件處置、應急、外包運維等管理流程、管理人員、管理措施、管理周期、管理依據等，是否形成管理記錄，檢查各管理記錄覆蓋是否全面。是否采取滲透測試、漏洞掃描等方式檢測系統存在的漏洞，是否對漏洞進行修補等。

一至三級所需制度參考清單