安全建设管理山西省信息化和信息安全评测中心被测系统详细信息系统名称重要等级主要用途负责人评估人员评估日期签字确认IP地址安全建设管理山西省信息化和信息安全评测中心被测系统详细信息控制点测评项测评对象建设负责人8.1.9.1 定级和备案a) 应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由; 记录表单类文档b) 应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定; 记录表单类文档c) 应保证定级结果经过相关部门的批准; 记录表单类文档d) 应将备案材料报主管部门和相应公安机关备案。记录表单类文档8.1.9.2 安全方案设计a) 应根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施; 安全规划设计类文档b) 应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计,设计内容应包含密码技术相关内容,并形成配套文件;安全规划设计类文档c) 应组织相关部门和有关安全专家对安全整体规划及其配套文件的合理性和正确性进行论证和审定,经过批准后才能正式实施。记录表单类文档8.1.9.3 产品采购和使用a) 应确保网络安全产品采购和使用符合国家的有关规定;记录表单类文档b) 应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求; 建设负责人和记录表单类文档c) 应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。 记录表单类文档8.1.9.4 自行软件开发a) 应将开发环境与实际运行环境物理分开,测试数据和测试结果受到控制; b) 应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则; 管理制度类文档c) 应制定代码编写安全规范,要求开发人员参照规范编写代码; 管理制度类文档d) 应具备软件设计的相关文档和使用指南,并对文档使用进行控制; 软件开发类文档e) 应保证在软件开发过程中对安全性进行测试,在软件安装前对可能存在的恶意代码进行检测; 记录表单类文档建设负责人8.1.9.4 自行软件开发f) 应对程序资源库的修改、更新、发布进行授权和批准,并严格进行版本控制; 记录表单类文档g) 应保证开发人员为专职人员,开发人员的开发活动受到控制、监视和审查。 8.1.9.5 外包软件开发a) 应在软件交付前检测其中可能存在的恶意代码; 记录表单类文档b) 应保证开发单位提供软件设计文档和使用指南; 操作规程类文档和记录表单类文档c) 应保证开发单位提供软件源代码,并审查软件中可能存在的后门和隐蔽信道。 操作规程类文档和记录表单类文档8.1.9.6 工程实施a) 应指定或授权专门的部门或人员负责工程实施过程的管理; 记录表单类文档b) 应制定安全工程实施方案控制工程实施过程; 记录表单类文档c) 应通过第三方工程监理控制项目的实施过程。 记录表单类文档8.1.9.7 测试验收a) 应制订测试验收方案,并依据测试验收方案实施测试验收,形成测试验收报告; 记录表单类文档b) 应进行上线前的安全性测试,并出具安全测试报告,安全测试报告应包含密码应用安全性测试相关内容。 记录表单类文档8.1.9.8 系统交付a) 应制定交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点; 记录表单类文档b) 应对负责运行维护的技术人员进行相应的技能培训; 记录表单类文档c) 应提供建设过程文档和运行维护文档。 记录表单类文档8.1.9.9 等级测评a) 应定期进行等级测评,发现不符合相应等级保护标准要求的及时整改; 运维负责人和记录表单类文档b) 应在发生重大变更或级别发生变化时进行等级测评; 运维负责人和记录表单类文档建设负责人层面得分8.1.9.9 等级测评c) 应确保测评机构的选择符合国家有关规定。 等级测评报告和相关资质文件8.1.9.10 服务供应商选择a) 应确保服务供应商的选择符合国家的有关规定; b) 应与选定的服务供应商签订相关协议,明确整个服务供应链各方需履行的网络安全相关义务; 记录表单类文档c) 应定期监督、评审和审核服务供应商提供的服务,并对其变更服务内容加以控制。 管理制度类文档和记录表单类文档测评方法及步...
