医院网络安全等级保护2.0中的“安全运维管理”

等保2.0中的“安全运维管理”对应等保1.0中的“系统运维管理”，对环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理均做出了明确要求。其中增加了漏洞和风险管理、配置管理、外包运维管理等测评项，在环境管理、设备维护管理、网络和系统安全管理、恶意代码防范管理、密码管理、变更管理、安全事件处置、应急预案管理等测评方面均有所加强。

一览表

评测实践

在对安全运维管理测评时，测评方会检查是否建立机房安全管理制度、资产安全管理制度、配套设施软硬件维护管理制度、网络和系统安全管理制度、恶意代码防范管理制度、基本配置信息更改申报审批程序、变更申报和审批控制程序、变更中止或失败恢复程序、备份与恢复管理制度、安全事件报告和处置安全管理制度等，查看制度内容是否符合测评要求。

询问机房安全管理人员、设备维护管理人员、网络和系统管理人员、系统维护负责人等，对机房环境、办公环境、资产、介质、各种设备、漏洞和风险、网络和系统、恶意代码防范、基本配置、密码技术和产品、系统变更、备份与恢复管理、安全事件处置、应急、外包运维等管理流程、管理人员、管理措施、管理周期、管理依据等，是否形成管理记录，检查各管理记录覆盖是否全面。是否采取渗透测试、漏洞扫描等方式检测系统存在的漏洞，是否对漏洞进行修补等。

一至三级所需制度参考清单

（节选自医院网络安全等级保护2.0实施指南）

医院网络安全等级保护2.0可请点击购买