【正文】 子活動(dòng)內(nèi)容：a) 制定產(chǎn)品采購(gòu)說(shuō)明書(shū)信息安全產(chǎn)品選型過(guò)程首先依據(jù)安全詳細(xì)設(shè)計(jì)方案的設(shè)計(jì)要求，制定產(chǎn)品采購(gòu)說(shuō)明書(shū)，對(duì)產(chǎn)品的采購(gòu)原則、采購(gòu)范圍、指標(biāo)要求、采購(gòu)方式、采購(gòu)流程等方面進(jìn)行說(shuō)明，然后依據(jù)產(chǎn)品采購(gòu)說(shuō)明書(shū)對(duì)現(xiàn)有產(chǎn)品進(jìn)行比對(duì)和篩選。對(duì)于密碼產(chǎn)品的使用，應(yīng)當(dāng)按照國(guó)家密碼管理的相關(guān)規(guī)定進(jìn)行選擇和使用。因此，在應(yīng)用系統(tǒng)開(kāi)發(fā)的同時(shí)，要依據(jù)安全詳細(xì)設(shè)計(jì)方案進(jìn)行安全控制的開(kāi)發(fā)設(shè)計(jì)，保證系統(tǒng)應(yīng)用與安全控制同步建設(shè)。b) 概要設(shè)計(jì)概要設(shè)計(jì)要考慮安全方案中關(guān)于身份鑒別、訪問(wèn)控制、安全審計(jì)、剩余信息保護(hù)、通信完整性、通信保密性、抗抵賴(lài)等方面的指標(biāo)要求，設(shè)計(jì)安全措施模塊的體系結(jié)構(gòu)，定義開(kāi)發(fā)安全措施的模塊組成，定義每個(gè)模塊的主要功能和模塊之間的接口。d) 編碼實(shí)現(xiàn)按照設(shè)計(jì)進(jìn)行硬件調(diào)試和軟件的編碼，在編碼和開(kāi)發(fā)過(guò)程中，要關(guān)注硬件組合的安全性和編碼的安全性，并通過(guò)論證和測(cè)試?；顒?dòng)輸出：安全控制開(kāi)發(fā)過(guò)程相關(guān)文檔?；顒?dòng)輸入：安全詳細(xì)設(shè)計(jì)方案。該質(zhì)量控制方案應(yīng)該確定系統(tǒng)實(shí)施各個(gè)階段的質(zhì)量控制目標(biāo)、控制措施、工程質(zhì)量問(wèn)題的處理流程、系統(tǒng)實(shí)施人員的職責(zé)要求等，并提供詳細(xì)的安全控制集成進(jìn)度表。例如：綜合布線(xiàn)系統(tǒng)施工過(guò)程中，應(yīng)該及時(shí)利用網(wǎng)絡(luò)測(cè)試儀測(cè)定線(xiàn)路質(zhì)量，及早發(fā)現(xiàn)并解決質(zhì)量問(wèn)題?！?系統(tǒng)驗(yàn)收活動(dòng)目標(biāo)：本活動(dòng)的目標(biāo)是檢驗(yàn)系統(tǒng)是否嚴(yán)格按照安全詳細(xì)設(shè)計(jì)方案進(jìn)行建設(shè)，是否實(shí)現(xiàn)了設(shè)計(jì)的功能和性能。活動(dòng)描述：本活動(dòng)主要包括以下子活動(dòng)內(nèi)容：a) 系統(tǒng)驗(yàn)收準(zhǔn)備安全控制開(kāi)發(fā)、集成完成后，要根據(jù)安全設(shè)計(jì)方案中需要達(dá)到的安全目標(biāo)，準(zhǔn)備系統(tǒng)驗(yàn)收方案。c) 驗(yàn)收?qǐng)?bào)告在測(cè)試完成后形成驗(yàn)收?qǐng)?bào)告，驗(yàn)收?qǐng)?bào)告需要用戶(hù)與建設(shè)方進(jìn)行確認(rèn)。8 安全運(yùn)行與維護(hù) 安全運(yùn)行與維護(hù)階段的工作流程安全運(yùn)行與維護(hù)是等級(jí)保護(hù)實(shí)施過(guò)程中確保信息系統(tǒng)正常運(yùn)行的必要環(huán)節(jié)，涉及的內(nèi)容較多，包括安全運(yùn)行與維護(hù)機(jī)構(gòu)和安全運(yùn)行與維護(hù)機(jī)制的建立，環(huán)境、資產(chǎn)、設(shè)備、介質(zhì)的管理，網(wǎng)絡(luò)、系統(tǒng)的管理，密碼、密鑰的管理，運(yùn)行、變更的管理，安全狀態(tài)監(jiān)控和安全事件處置，安全審計(jì)和安全檢查等內(nèi)容。參與角色：信息系統(tǒng)運(yùn)營(yíng)、使用單位。b) 授予管理權(quán)限根據(jù)管理制度和實(shí)際運(yùn)行管理需要，授予每一個(gè)運(yùn)行管理角色不同的管理權(quán)限?！?運(yùn)行管理過(guò)程控制活動(dòng)目標(biāo)：本活動(dòng)的主要目標(biāo)是通過(guò)制定運(yùn)行管理操作規(guī)程，確定運(yùn)行管理人員的操作目的、操作內(nèi)容、操作時(shí)間和地點(diǎn)、操作方法和流程等，并進(jìn)行操作過(guò)程記錄，確保對(duì)操作過(guò)程進(jìn)行控制。b) 操作過(guò)程記錄對(duì)運(yùn)行管理人員按照操作規(guī)程執(zhí)行的操作過(guò)程形成相關(guān)的記錄文件，可能是日志文件，記錄操作的時(shí)間和人員、正?；虍惓５刃畔?。活動(dòng)輸入：變更需求。如果是由信息系統(tǒng)類(lèi)型發(fā)生變化、承載的信息資產(chǎn)類(lèi)型發(fā)生變化、信息系統(tǒng)服務(wù)范圍發(fā)生變化和業(yè)務(wù)處理自動(dòng)化程度發(fā)生變化等原因引起信息系統(tǒng)安全保護(hù)等級(jí)發(fā)生變化的重大變更，則需要重新確定信息系統(tǒng)安全保護(hù)等級(jí)，返回到等級(jí)保護(hù)實(shí)施過(guò)程的信息系統(tǒng)定級(jí)階段。　 變更過(guò)程控制活動(dòng)目標(biāo)：本活動(dòng)的目標(biāo)是確保變更實(shí)施過(guò)程受到控制，各項(xiàng)變化內(nèi)容進(jìn)行記錄，保證變更對(duì)業(yè)務(wù)的影響最小。按照機(jī)構(gòu)建立的審批流程對(duì)變更方案進(jìn)行審批。 安全狀態(tài)監(jiān)控　 監(jiān)控對(duì)象確定活動(dòng)目標(biāo)：本活動(dòng)的目標(biāo)是確定可能會(huì)對(duì)信息系統(tǒng)安全造成影響的因素，即確定安全狀態(tài)監(jiān)控的對(duì)象。b) 形成監(jiān)控對(duì)象列表根據(jù)確定的監(jiān)控對(duì)象，分析監(jiān)控的必要性和可行性、監(jiān)控的開(kāi)銷(xiāo)和成本等因素，形成監(jiān)控對(duì)象列表?；顒?dòng)輸入：監(jiān)控對(duì)象列表。 活動(dòng)輸出：安全狀態(tài)信息。活動(dòng)描述：本活動(dòng)主要包括以下子活動(dòng)內(nèi)容：a) 狀態(tài)分析對(duì)安全狀態(tài)信息進(jìn)行分析，及時(shí)發(fā)現(xiàn)險(xiǎn)情、隱患或安全事件，并記錄這些安全事件，分析其發(fā)展趨勢(shì)。 安全事件處置和應(yīng)急預(yù)案　 安全事件分級(jí)活動(dòng)目標(biāo)：本活動(dòng)的目標(biāo)是結(jié)合信息系統(tǒng)的實(shí)際情況，分析事件對(duì)信息系統(tǒng)的破壞程度，所造成后果嚴(yán)重程度，將安全事件依次進(jìn)行分級(jí)。b) 安全事件等級(jí)劃分根據(jù)以上調(diào)查和分析結(jié)果，根據(jù)信息安全事件造成的損失程度，信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素，確定事件等級(jí)，制定安全事件的報(bào)告程序?；顒?dòng)輸入：安全事件報(bào)告程序?；顒?dòng)輸出：各類(lèi)應(yīng)急預(yù)案。活動(dòng)描述：本活動(dòng)主要包括以下子活動(dòng)內(nèi)容：a) 安全事件上報(bào)根據(jù)安全狀態(tài)分析報(bào)告分析可能的安全事件，對(duì)接報(bào)的安全事件進(jìn)行分析，明確安全事件等級(jí)、影響程度以及優(yōu)先級(jí)等，按照安全事件報(bào)告程序上報(bào)安全事件，確定是否應(yīng)對(duì)安全事件啟動(dòng)應(yīng)急預(yù)案。活動(dòng)輸出：安全事件處置報(bào)告。活動(dòng)輸入：信息系統(tǒng)詳細(xì)描述文件，變更結(jié)果報(bào)告，安全狀態(tài)分析報(bào)告。c) 安全檢查實(shí)施根據(jù)安全檢查計(jì)劃，通過(guò)詢(xún)問(wèn)、檢查和測(cè)試等多種手段，進(jìn)行安全狀況檢查，記錄各種檢查活動(dòng)的結(jié)果數(shù)據(jù)，分析安全措施的有效性、安全事件產(chǎn)生的可能性和信息系統(tǒng)的實(shí)際改進(jìn)需求等?！?改進(jìn)方案制定活動(dòng)目標(biāo)：本活動(dòng)的主要目標(biāo)是依據(jù)安全檢查的結(jié)果，調(diào)整信息系統(tǒng)的安全狀態(tài)，保證信息系統(tǒng)安全防護(hù)的有效性。b) 制定安全改進(jìn)方案確定安全改進(jìn)的工作方法、工作內(nèi)容、人員分工、時(shí)間計(jì)劃等，制定安全改進(jìn)方案。參與角色：信息系統(tǒng)運(yùn)營(yíng)、使用單位。c) 配套技術(shù)文件和管理制度的修訂按照安全改進(jìn)方案實(shí)施和落實(shí)各項(xiàng)補(bǔ)充的安全措施后，要調(diào)整和修訂各類(lèi)相關(guān)的技術(shù)文件和管理制度，保證原有體系完整性和一致性。活動(dòng)輸入：信息系統(tǒng)詳細(xì)描述文件，信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告，系統(tǒng)驗(yàn)收?qǐng)?bào)告。參與角色：信息系統(tǒng)主管部門(mén)，信息系統(tǒng)運(yùn)營(yíng)、使用單位，國(guó)家管理部門(mén)。 監(jiān)督檢查活動(dòng)目標(biāo)：本活動(dòng)的目標(biāo)是通過(guò)國(guó)家管理部門(mén)對(duì)信息系統(tǒng)定級(jí)、規(guī)劃設(shè)計(jì)、建設(shè)實(shí)施和運(yùn)行管理等過(guò)程進(jìn)行監(jiān)督檢查，確保其符合信息系統(tǒng)安全保護(hù)相應(yīng)等級(jí)的要求?；顒?dòng)輸出：監(jiān)督檢查結(jié)果報(bào)告。 本標(biāo)準(zhǔn)在信息系統(tǒng)終止階段關(guān)注信息轉(zhuǎn)移、暫存和清除，設(shè)備遷移或廢棄，存儲(chǔ)介質(zhì)的清除或銷(xiāo)毀等活動(dòng)。 活動(dòng)輸入：信息系統(tǒng)信息資產(chǎn)清單。c) 處理過(guò)程記錄記錄信息轉(zhuǎn)移、暫存和清除的過(guò)程，包括參與的人員，轉(zhuǎn)移、暫存和清除的方式以及目前信息所處的位置等?；顒?dòng)輸入：設(shè)備遷移或廢棄清單等。d) 設(shè)備處理和記錄根據(jù)設(shè)備處理方案對(duì)設(shè)備進(jìn)行處理，如果是涉密信息的設(shè)備，其處理過(guò)程應(yīng)符合國(guó)家相關(guān)部門(mén)的規(guī)定；記錄設(shè)備處理過(guò)程，包括參與的人員、處理的方式、是否有殘余信息的檢查結(jié)果等?；顒?dòng)輸入：存儲(chǔ)介質(zhì)清單等。對(duì)于存儲(chǔ)涉密信息的介質(zhì)應(yīng)按照國(guó)家相關(guān)部門(mén)的規(guī)定進(jìn)行處理。附　錄　A（規(guī)范性附錄）主要過(guò)程及其活動(dòng)輸出主要階段主要過(guò)程活動(dòng)活動(dòng)輸入活動(dòng)輸出信息系統(tǒng)定級(jí)信息系統(tǒng)分析系統(tǒng)識(shí)別和描述信息系統(tǒng)的立項(xiàng)、建設(shè)、管理文檔信息系統(tǒng)總體描述文件信息系統(tǒng)劃分信息系統(tǒng)總體描述文件* 信息系統(tǒng)詳細(xì)描述文件安全保護(hù)等級(jí)確定定級(jí)、審核和批準(zhǔn)信息系統(tǒng)總體描述文件信息系統(tǒng)詳細(xì)描述文件定級(jí)結(jié)果形成定級(jí)報(bào)告信息系統(tǒng)總體描述文件信息系統(tǒng)詳細(xì)描述文件定級(jí)結(jié)果* 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告總體安全規(guī)劃安全需求分析基本安全需求確定信息系統(tǒng)詳細(xì)描述文件信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息系統(tǒng)相關(guān)的其它文檔基本安全需求額外/特殊安全需求的確定信息系統(tǒng)詳細(xì)描述文件信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告信息系統(tǒng)相關(guān)的其它文檔重要資產(chǎn)的特殊保護(hù)要求形成安全需求分析報(bào)告信息系統(tǒng)詳細(xì)描述文件信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告信息系統(tǒng)安全等級(jí)保護(hù)基本要求基本安全需求重要資產(chǎn)的特殊保護(hù)要求* 安全需求分析報(bào)告安全總體設(shè)計(jì)總體安全策略設(shè)計(jì)信息系統(tǒng)詳細(xì)描述文件信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告安全需求分析報(bào)告總體安全策略文件各級(jí)系統(tǒng)安全技術(shù)措施設(shè)計(jì)總體安全策略文件安全需求分析報(bào)告信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息系統(tǒng)安全技術(shù)體系結(jié)構(gòu)系統(tǒng)整體安全管理策略設(shè)計(jì)總體安全策略文件安全需求分析報(bào)告信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息系統(tǒng)安全管理體系結(jié)構(gòu)設(shè)計(jì)結(jié)果文檔化安全需求分析報(bào)告信息系統(tǒng)安全技術(shù)體系結(jié)構(gòu)信息系統(tǒng)安全管理體系結(jié)構(gòu)* 信息系統(tǒng)安全總體方案安全建設(shè)項(xiàng)目規(guī)劃安全建設(shè)目標(biāo)確定信息系統(tǒng)安全總體方案單位信息化建設(shè)的中長(zhǎng)期發(fā)展規(guī)劃信息系統(tǒng)分階段安全建設(shè)目標(biāo)安全建設(shè)內(nèi)容規(guī)劃信息系統(tǒng)安全總體方案信息系統(tǒng)分階段安全建設(shè)目標(biāo)安全建設(shè)內(nèi)容安全建設(shè)項(xiàng)目計(jì)劃設(shè)計(jì)信息系統(tǒng)安全總體方案信息系統(tǒng)分階段安全建設(shè)目標(biāo)安全建設(shè)內(nèi)容* 信息系統(tǒng)安全建設(shè)項(xiàng)目計(jì)劃安全設(shè)計(jì)與實(shí)施安全方案詳細(xì)設(shè)計(jì)技術(shù)措施實(shí)現(xiàn)內(nèi)容設(shè)計(jì)信息系統(tǒng)安全總體方案信息系統(tǒng)安全建設(shè)項(xiàng)目計(jì)劃各類(lèi)信息技術(shù)產(chǎn)品技術(shù)白皮書(shū)各類(lèi)信息安全產(chǎn)品技術(shù)白皮書(shū)技術(shù)措施實(shí)現(xiàn)方案管理措施實(shí)現(xiàn)內(nèi)容設(shè)計(jì)信息系統(tǒng)安全總體方案信息系統(tǒng)安全建設(shè)項(xiàng)目計(jì)劃管理措施實(shí)現(xiàn)方案設(shè)計(jì)結(jié)果文檔化技術(shù)措施落實(shí)方案管理措施落實(shí)方案* 安全詳細(xì)設(shè)計(jì)方案管理措施落實(shí)管理機(jī)構(gòu)和人員的設(shè)置機(jī)構(gòu)現(xiàn)有相關(guān)管理制度和政策安全詳細(xì)設(shè)計(jì)方案* 角色與職責(zé)說(shuō)明書(shū)管理制度的建設(shè)和修訂安全組織結(jié)構(gòu)表角色與職責(zé)說(shuō)明書(shū)安全詳細(xì)設(shè)計(jì)方案* 各項(xiàng)管理制度和操作規(guī)范人員安全技能培訓(xùn)系統(tǒng)/產(chǎn)品使用說(shuō)明書(shū)各項(xiàng)管理制度和操作規(guī)范培訓(xùn)記錄及上崗資格證等安全實(shí)施過(guò)程管理安全技術(shù)建設(shè)各階段相關(guān)文檔各階段管理過(guò)程文檔技術(shù)措施落實(shí)信息安全產(chǎn)品采購(gòu)安全詳細(xì)設(shè)計(jì)方案、相關(guān)產(chǎn)品信息已采購(gòu)信息安全產(chǎn)品清單安全控制開(kāi)發(fā)安全。d) 存儲(chǔ)介質(zhì)處理和記錄根據(jù)存儲(chǔ)介質(zhì)處理方案對(duì)存儲(chǔ)介質(zhì)進(jìn)行處理，記錄處理過(guò)程，包括參與的人員、處理的方式、是否有殘余信息的檢查結(jié)果等。b) 確定存儲(chǔ)介質(zhì)處理方法和流程根據(jù)存儲(chǔ)介質(zhì)所承載信息的敏感程度確定對(duì)存儲(chǔ)介質(zhì)的處理方式和處理流程。 存儲(chǔ)介質(zhì)的清除或銷(xiāo)毀活動(dòng)目標(biāo)：本活動(dòng)的目標(biāo)是通過(guò)采用合理的方式對(duì)計(jì)算機(jī)介質(zhì)（包括磁帶、磁盤(pán)、打印結(jié)果和文檔）進(jìn)行信息清除或銷(xiāo)毀處理，防止介質(zhì)內(nèi)的敏感信息泄露。b) 制定硬件設(shè)備處理方案根據(jù)規(guī)定和實(shí)際情況制定設(shè)備處理方案，包括重用設(shè)備、廢棄設(shè)備、敏感信息的清除方法等。 設(shè)備遷移或廢棄活動(dòng)目標(biāo)：本活動(dòng)的目標(biāo)是確保信息系統(tǒng)終止后，遷移或廢棄的設(shè)備內(nèi)不包括敏感信息，對(duì)設(shè)備的處理方式應(yīng)符合國(guó)家相關(guān)部門(mén)的要求。b) 信息資產(chǎn)轉(zhuǎn)移、暫存和清除根據(jù)信息資產(chǎn)的重要程度制定信息資產(chǎn)的轉(zhuǎn)移、暫存、清除的方法和過(guò)程。輸出主要過(guò)程輸入信息轉(zhuǎn)移、暫存和清除信息轉(zhuǎn)移、暫存、清除處理記錄文檔信息系統(tǒng)信息資產(chǎn)清單設(shè)備遷移或廢棄設(shè)備遷移、廢棄處理記錄文檔信息系統(tǒng)硬件設(shè)備清單存儲(chǔ)介質(zhì)的清除或銷(xiāo)毀信息系統(tǒng)存儲(chǔ)介質(zhì)清單存儲(chǔ)介質(zhì)清除、銷(xiāo)毀處理記錄文檔圖6 信息系統(tǒng)終止階段的工作流程 信息轉(zhuǎn)移、暫存和清除活動(dòng)目標(biāo)：本活動(dòng)的目標(biāo)是在信息系統(tǒng)終止處理過(guò)程中，對(duì)于可能會(huì)在另外的信息系統(tǒng)中使用的信息采取適當(dāng)?shù)姆椒▽⑵浒踩剞D(zhuǎn)移或暫存到可以恢復(fù)的介質(zhì)中，確保將來(lái)可以繼續(xù)使用，同時(shí)采用安全的方法清除要終止的信息系統(tǒng)中的信息。當(dāng)信息系統(tǒng)被轉(zhuǎn)移、終止或廢棄時(shí)，正確處理系統(tǒng)內(nèi)的敏感信息對(duì)于確保機(jī)構(gòu)信息資產(chǎn)的安全是至關(guān)重要的?；顒?dòng)輸入：備案材料?；顒?dòng)描述：本活動(dòng)主要包括以下子活動(dòng)內(nèi)容：a) 備案材料整理信息系統(tǒng)運(yùn)營(yíng)、使用單位針對(duì)備案材料的要求，整理、填寫(xiě)備案材料， b) 備案材料提交信息系統(tǒng)運(yùn)營(yíng)、使用單位根據(jù)國(guó)家管理部門(mén)的要求辦理定級(jí)備案手續(xù)，提交備案材料；國(guó)家管理部門(mén)接收備案材料?；顒?dòng)輸出：安全等級(jí)測(cè)評(píng)報(bào)告。 等級(jí)測(cè)評(píng)活動(dòng)目標(biāo)：本活動(dòng)的目標(biāo)是通過(guò)信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)對(duì)已經(jīng)完成等級(jí)保護(hù)建設(shè)的信息系統(tǒng)定期進(jìn)行等級(jí)測(cè)評(píng)，確保信息系統(tǒng)的安全保護(hù)措施符合相應(yīng)等級(jí)的安全要求?；顒?dòng)描述：本活動(dòng)主要包括以下子活動(dòng)內(nèi)容：a) 安全方案實(shí)施控制?；顒?dòng)輸出：安全改進(jìn)方案。活動(dòng)輸入：安全檢查報(bào)告。將安全檢查過(guò)程的各類(lèi)文檔、資料歸檔保存。b) 制定檢查計(jì)劃和檢查方案確定檢查工作的角色和職責(zé)，確定檢查工作的方法，成立安全檢查工作組。，本節(jié)描述自我檢查過(guò)程。對(duì)未知安全事件的處置，應(yīng)根據(jù)安全事件的等級(jí)，制定安全事件處置方案，包括安全事件處置方法以及應(yīng)采取的措施等；并按照安全事件處置流程和方案對(duì)安全事件進(jìn)行處置。參與角色：信息系統(tǒng)運(yùn)營(yíng)、使用單位。b) 確定和認(rèn)可各項(xiàng)職責(zé)在統(tǒng)一的應(yīng)急預(yù)案框架下，明確和認(rèn)可應(yīng)急預(yù)案中各部門(mén)的職責(zé)，并協(xié)調(diào)各部門(mén)間的合作和分工。　 應(yīng)急預(yù)案制定活動(dòng)目標(biāo)：本活動(dòng)的目標(biāo)是通過(guò)對(duì)安全事件的等級(jí)分析，在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同安全事件的應(yīng)急預(yù)案?；顒?dòng)輸入：各類(lèi)安全事件列表。c) 形成安全狀態(tài)分析報(bào)告根據(jù)安全狀態(tài)分析和影響分析的結(jié)果，形成安全狀態(tài)分析報(bào)告，上報(bào)安全事件或提出變更需求。參與角色：信息系統(tǒng)運(yùn)營(yíng)、使用單位。監(jiān)控工具也可能不是自動(dòng)化的工具，而只是由各類(lèi)人員構(gòu)成的，遵循一定規(guī)則進(jìn)行操作的組織，或者是兩者的綜合?！?監(jiān)控對(duì)象狀態(tài)信息收集活動(dòng)目標(biāo)：本活動(dòng)的目標(biāo)是選擇狀態(tài)監(jiān)控工具，收集安全狀態(tài)監(jiān)控的信息，識(shí)別和記錄入侵行為，對(duì)信息系統(tǒng)的安全狀態(tài)進(jìn)行監(jiān)控?；顒?dòng)輸入：安全詳細(xì)設(shè)計(jì)方案、系統(tǒng)驗(yàn)收?qǐng)?bào)告等。c) 形成變更結(jié)果報(bào)告收集變更過(guò)程的各類(lèi)相關(guān)文檔，整理、分析和總結(jié)各類(lèi)數(shù)據(jù)，形成變更結(jié)果報(bào)告，并歸檔保存。活動(dòng)輸入：變更方案。d) 制定變更方案根據(jù)a）、b）、c）的結(jié)果制定變更方案。