序号测评指标控制项检查对象安全通用要求1定级和备案2345678a) 应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由; 记录表单类文档b) 应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定; 记录表单类文档c) 应保证定级结果经过相关部门的批准;记录表单类文档d) 应将备案材料报主管部门和相应公安机关备案。记录表单类文档安全方案设计a) 应根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施; 安全规划设计类文档b) 应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案 设计,设计内容应包含密码技术相关内容,并形成配套文件; 安全规划设计类文档c) 应组织相关部门和有关安全专家对安全整体规划及其配套文件的合理性和正确性进行论证和 审定,经过批准后才能正式实施。 记录表单类文档产品采购和使用a) 应确保网络安全产品采购和使用符合国家的有关规定;记录表单类文档91011建设负责人121314151617建设负责人18192021工程实施2223产品采购和使用b) 应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求; 建设负责人和记录表单类文档c) 应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。 记录表单类文档自行软件开发a) 应将开发环境与实际运行环境物理分开,测试数据和测试结果受到控制; b) 应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则;管理制度类文档c) 应制定代码编写安全规范,要求开发人员参照规范编写代码; 管理制度类文档d) 应具备软件设计的相关文档和使用指南,并对文档使用进行控制; 软件开发类文档e) 应保证在软件开发过程中对安全性进行测试,在软件安装前对可能存在的恶意代码进行检测;记录表单类文档f) 应对程序资源库的修改、更新、发布进行授权和批准,并严格进行版本控制;记录表单类文档g) 应保证开发人员为专职人员,开发人员的开发活动受到控制、监视和审查。 外包软件开发a) 应在软件交付前检测其中可能存在的恶意代码;记录表单类文档b) 应保证开发单位提供软件设计文档和使用指南;操作规程类文档和记录表单类文档c) 应保证开发单位提供软件源代码,并审查软件中可能存在的后门和隐蔽信道。建设负责人和记录表单类文档a) 应指定或授权专门的部门或人员负责工程实施过程的管理; 记录表单类文档b) 应制定安全工程实施方案控制工程实施过程; 记录表单类文档c) 应通过第三方工程监理控制项目的实施过程。 记录表单类文档24测试验收2526系统交付272829等级测评303132建设负责人3334云安全扩展要求12a) 应制订测试验收方案,并依据测试验收方案实施测试验收,形成测试验收报告; 记录表单类文档b) 应进行上线前的安全性测试,并出具安全测试报告,安全测试报告应包含密码应用安全性测 试相关内容。记录表单类文档a) 应制定交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点; 记录表单类文档b) 应对负责运行维护的技术人员进行相应的技能培训; 记录表单类文档c) 应提供建设过程文档和运行维护文档。 记录表单类文档a) 应定期进行等级测评,发现不符合相应等级保护标准要求的及时整改; 运维负责人和记录表单类文档b) 应在发生重大变更或级别发生变化时进行等级测评; 运维负责人和记录表单类文档c) 应确保测评机构的选择符合国家有关规定。等级测评报告和相关资质文件服务供应商选择a) 应确保服务供应商的选择符合国家的有关规定;b) 应与选定的服务供应商签订相关协议,明确整个服务供应链各方需履行的网络安全相关义务;记录表单类文档c) 应定期监督、评审和审核服务供应商提供的服务,并对其变更服务内容加以控制。 管理制度类文档和记录表单类文档云服务商选择a) 应选择安全合规的云服务商,其所提供的云计算平台应为其所承载的业务应用系统提供相应等级的安全保护能力;系统建设负责人和服务合同b) 应在服务水平协议中规定云服务的各项服务内容和具体技术指标;服务水平协议或服务合同3456供应链...
