测评要求-安全建设管理

九、安全建设管理

1、定级和备案

    a、应以**书面的形式**说明保护对象的**安全保护等级及确定等级的方法和理由**。

    b、应组织相关部门和有关安全技术专家对**定级结果的合理性和正确性进行论证和审定**。

    c、应保证**定级结果经过有关部门的批准**。

    d、应将**备案材料报主管部门和相应公安机关备案**。

2、安全方案设计

    a、应根据安全保护等级选择**基本安全措施**，依据风险分析的结果补充和调整安全措施。

    b、应根据安全保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计，设计内容应包含密码技术相关内容，并形成配套文件。

    c、应组织相关部门和有关安全专家对安全整体规划及配套文件的合理性和正确性进行论证和审定，经过批注后才能正式实施。

3、安全产品采购和使用

    a、应确保网络安全产品的采购和使用符合国家的有关规范。

    b、应确保密码产品和服务的采购和使用符合国家密码管理主管部门的要求。

    c、应预先对产品进行选型测试，确定产品的候选范围，并定期审定和更新候选产品名单。

4、自行软件开发

    a、应将开发环境与实际运行环境物理分开，测试数据和测试结果受到控制。

    b、应制定软件开发管理制度，明确说明开发过程的控制方法和人员行为准则。

    c、应指定代码编写安全规范，要求开发人员参照规范编写代码。

    d、应具备软件设计的相关文档和使用指南，并对文档使用进行控制。

    e、应保证在软件开发过程中对安全性进行测试，在软件安装前对可能存在的恶意代码进行检测。

    f、应对程序资源的修改、更新、发布进行授权和批准，并严格进行版本控制。

    g、应保证开发人员为专职人员，开发人员的开发活动受到控制、监视和审查。

5、外包软件开发

    a、应在软件交付前检测其中可能存在的恶意代码。

    b、应保证开发单位提供软件设计文档和使用指南。

    c、应保证开发单位提供软件源代码，并审查软件中可能存在的后门和隐藏信道。

6、工程实施

    a、应指定或授权专门的部门或人员负责工程实施过程的管理。

    b、应指定安全工程实施方案控制工程实施过程。

    c、应通过第三方工程监理控制项目的实施过程。

7、测试验收

    a、应制订测试验收方案，并依据测试验收方案实施测试验收，形成测试验收报告。

    b、应进行上线前的安全性测试，并出具安全测试报告，安全测试报告应包含密码应用安全性测试相关内容。

8、系统交付

    a、应制定交付清单，并根据交付清单对所交付的设备、软件和文档等进行清点。

    b、应对负责运行维护的技术人员进行相应的技能培训。

    c、应提供建设过程文档和运行维护文档。

9、等级测评

    a、应定期进行等级测评，发现不符合相应等级保护标准要求的及时整改。

    b、应在发生重大变更或级别发生变化时进行等级测评。

    c、应确保测评机构的选择符合国家有关规定。

10、服务供应商管理

    a、应确保服务供应商的选择符合国家有关规定。

    b、应与选定的服务供应商签订相关协议，明确整个服务供应链各个方面需履行的网络安全相关义务。

    c、应定期监督、评审和审核服务供应商的服务，并对其变更服务内容加以控制。