一、要求内容 

a)应对信息系统相关的各种设备（包括备份和冗余设备）、线路等指定专门的部门或人员定期进行维护管理； 

b)应建立基于申报、审批和专人负责的设备安全管理制度，对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理； 

c)应建立配套设施、软硬件维护方面的管理制度，对其维护进行有效的管理，包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等； 

d)应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理，按操作规程实现设备（包括备份和冗余设备）的启动/停止、加电/断电等操作； 

e)应确保信息处理设备必须经过审批才能带离机房或办公地点。 

二、实施建议 

建立或完善设备管理要求，内容应当至少满足以上等保规定的内容，同时要严格按照规定的内容执行，保存好设备使用的记录。 

三、常见问题 

有些公司对设备管理、使用的要求设计的不够完善，员工在执行的过程中不能严格按照要求操作，缺乏严格的监管和记录。 

四、实施难点 

严格的设备使用管理规定会使员工感觉影响工作效率，需要对员工进行培训说明管理的重要性和必要性，同时应当由主管领导声明管理要求的有效性。 

五、测评方法 

形式 访谈，检查。 对象 资产管理员，系统管理员，审计员，设备操作规程，设备安全管理制度，设备使用管理文档，设备维护记录，设备操作日志。 

实施 

a)应访谈资产管理员，询问是否对各类设备（包括备份和冗余设备）、线路等指定专人或专门部门进行定期维护，由何部门/何人维护，维护周期多长； 

b)应访谈资产管理员，询问是否对设备选用的各个环节（选型、采购、发放等）进行审批控制，是否对设备带离机构进行审批控制，设备的操作和使用是否要求规范化管理； 

c)应访谈系统管理员，询问其对设备（包括备份和冗余设备）的操作是否按操作规程进行； 

d)应访谈审计员，询问对设备（包括备份和冗余设备）的操作是否建立日志，日志文件如何管理，是否定期检查管理情况； 

e)应检查设备安全管理制度，查看其内容是否覆盖对设备选型、采购、发放、维护以及带离机构等环节的申报和审批规定；查看是否具有对设备的选型、采购、发放等过程的申报材料和审批报告；查看其是否覆盖维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等方面； 

f)应检查设备使用管理文档，查看其是否对终端计算机、便携机、网络设备等使用、操作原则、注意事项等方面作出规定； 

g)应检查设备（包括备份和冗余设备）操作规程，查看其内容是否覆盖服务器如何启动、停止、加电、断电等操作； 

h)应检查是否具有设备维护记录和设备操作日志。 

六、参考资料 

《信息安全等级保护信息系统安全管理要求》中对设备管理的要求; 

5.4.2.4 设备管理要求 对设备管理要求，不同安全等级应有选择地满足以下要求的一项： 

a）申报和审批要求：对于信息系统的各种软硬件设备的选型、采购、发放或领用，使用者应提出申请，报经相应领导审批，才可以实施；设备的选型、采购、使用和保管应明确责任人。 

b）系统化管理：在a）的基础上，要求设备有专人负责，实行分类管理；通过对资产清单（见5.4.2.1）的管理，记录资产的状况和资产使用、转移、废弃及其授权过程，保证设备的完好率。 

c）建立资产管理信息登记机制：在b）的基础上，对各种资产进行全面管理，提高资产安全性和使用效率；建立资产管理登记系统，提供资产分类标识、授权与访问控制、变更管理、系统安全审计等功能，为整个系统提供基础技术支撑。