【正文】 a) b) c) 對關(guān)鍵區(qū)域不允許外部人員訪問系統(tǒng)建設(shè)管理系統(tǒng)定級（G）a) 應(yīng)明確信息系統(tǒng)的邊界和安全保護等級； b) 應(yīng)以書面的形式說明信息系統(tǒng)確定為某個安全保護等級的方法和理由；c) 應(yīng)確保信息系統(tǒng)的定級結(jié)果經(jīng)過相關(guān)部門的批準(zhǔn)a) b) c) a) b) c) d) 應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對信息系統(tǒng)定級結(jié)果的合理性和正確性進行論證和審定；a) b) c) d) 安全方案設(shè)計（G）a) 應(yīng)根據(jù)系統(tǒng)的安全保護等級選擇基本安全措施，依據(jù)風(fēng)險分析的結(jié)果補充和調(diào)整安全措施；b) 應(yīng)以書面的形式描述對系統(tǒng)的安全保護要求和策略、安全措施等內(nèi)容，形成系統(tǒng)的安全方案；c) 應(yīng)對安全方案進行細化，形成能指導(dǎo)安全系統(tǒng)建設(shè)、安全產(chǎn)品采購和使用的詳細設(shè)計方案a) b) c) d) 應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對安全設(shè)計方案的合理性和正確性進行論證和審定，并且經(jīng)過批準(zhǔn)后，才能正式實施a) b) 應(yīng)指定和授權(quán)專門的部門對信息系統(tǒng)的安全建設(shè)進行總體規(guī)劃，制定近期和遠期的安全建設(shè)工作計劃；c) 應(yīng)根據(jù)信息系統(tǒng)的等級劃分情況，統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細設(shè)計方案，并形成配套文件；d) 應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細設(shè)計方案等相關(guān)配套文件的合理性和正確性進行論證和審定，并且經(jīng)過批準(zhǔn)后，才能正式實施；e) 應(yīng)根據(jù)等級測評、安全評估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細設(shè)計方案等相關(guān)配套文件a) b) c) d) e) 產(chǎn)品采購和使用（G）a) 應(yīng)確保安全產(chǎn)品采購和使用符合國家的有關(guān)規(guī)定a) b) 應(yīng)確保密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求；c) 應(yīng)指定或授權(quán)專門的部門負責(zé)產(chǎn)品的采購a) b) c) d) 應(yīng)預(yù)先對產(chǎn)品進行選型測試，確定產(chǎn)品的候選范圍，并定期審定和更新候選產(chǎn)品名單a) b) c) d) e) 應(yīng)對重要部位的產(chǎn)品委托專業(yè)測評單位進行專項測試，根據(jù)測試結(jié)果選用產(chǎn)品自行軟件開發(fā)（G）a) 應(yīng)確保開發(fā)環(huán)境與實際運行環(huán)境物理分開；b) 應(yīng)確保軟件設(shè)計相關(guān)文檔由專人負責(zé)保管a) 應(yīng)確保開發(fā)環(huán)境與實際運行環(huán)境物理分開；b) 應(yīng)確保提供軟件設(shè)計的相關(guān)文檔和使用指南，并由專人負責(zé)保管c) 應(yīng)制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和人員行為準(zhǔn)則；a) 應(yīng)確保開發(fā)環(huán)境與實際運行環(huán)境物理分開，開發(fā)人員和測試人員分離，測試數(shù)據(jù)和測試結(jié)果受到控制；b) c) d) 應(yīng)制定代碼編寫安全規(guī)范，要求開發(fā)人員參照規(guī)范編寫代碼；e) 應(yīng)確保對程序資源庫的修改、更新、發(fā)布進行授權(quán)和批準(zhǔn)a) b) c) d) e) f) 應(yīng)確保開發(fā)人員為專職人員，開發(fā)人員的開發(fā)活動受到控制、監(jiān)視和審查外包軟件開發(fā)（G）a) 應(yīng)根據(jù)開發(fā)要求檢測軟件質(zhì)量；b) 應(yīng)在軟件安裝之前檢測軟件包中可能存在的惡意代碼；c) 應(yīng)確保提供軟件設(shè)計的相關(guān)文檔和使用指南a) b) c) d) 應(yīng)要求開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門a) b) c) d) a) b) c) d) 應(yīng)要求開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門和隱蔽信道工程實施（G）a) 應(yīng)指定或授權(quán)專門的部門或人員負責(zé)工程實施過程的管理a) b) 應(yīng)制定詳細的工程實施方案，控制工程實施過程a) b) 應(yīng)制定詳細的工程實施方案控制實施過程，并要求工程實施單位能正式地執(zhí)行安全工程過程；c) 應(yīng)制定工程實施方面的管理制度，明確說明實施過程的控制方法和人員行為準(zhǔn)則a) b) c) d) 應(yīng)通過第三方工程監(jiān)理控制項目的實施過程測試驗收（G）a) 應(yīng)對系統(tǒng)進行安全性測試驗收；b) 在測試驗收前應(yīng)根據(jù)設(shè)計方案或合同要求等制訂測試驗收方案，在測試驗收過程中應(yīng)詳細記錄測試驗收結(jié)果，并形成測試驗收報告a) b) c) 應(yīng)組織相關(guān)部門和相關(guān)人員對系統(tǒng)測試驗收報告進行審定，并簽字確認a) 應(yīng)委托公正的第三方測試單位對系統(tǒng)進行安全性測試，并出具安全性測試報告；b)c) d) 應(yīng)對系統(tǒng)測試驗收的控制方法和人員行為準(zhǔn)則進行書面規(guī)定；e) 應(yīng)指定或授權(quán)專門的部門負責(zé)系統(tǒng)測試驗收的管理，并按照管理規(guī)定的要求完成系統(tǒng)測試驗收工作；a) b) c) d) e) 系統(tǒng)交付（G）a) 應(yīng)制定系統(tǒng)交付清單，并根據(jù)交付清單對所交接的設(shè)備、軟件和文檔等進行清點； b) 應(yīng)對負責(zé)系統(tǒng)運行維護的技術(shù)人員進行相應(yīng)的技能培訓(xùn)；c) 應(yīng)確保提供系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進行系統(tǒng)運行維護的文檔a) b) c) a) 應(yīng)制定詳細的系統(tǒng)交付清單，并根據(jù)交付清單對所交接的設(shè)備、軟件和文檔等進行清點；b) c) d) 應(yīng)對系統(tǒng)交付的控制方法和人員行為準(zhǔn)則進行書面規(guī)定；e) 應(yīng)指定或授權(quán)專門的部門負責(zé)系統(tǒng)交付的管理工作，并按照管理規(guī)定的要求完成系統(tǒng)交付工作a) b) c) d) e) 系統(tǒng)備案（G）//a) 應(yīng)指定專門的部門或人員負責(zé)管理系統(tǒng)定級的相關(guān)材料，并控制這些材料的使用；b) 應(yīng)將系統(tǒng)等級及相關(guān)材料報系統(tǒng)主管部門備案；c) 應(yīng)將系統(tǒng)等級及其他要求的備案材料報相應(yīng)公安機關(guān)備案a) b) c) 等級測評（G）//a) 在系統(tǒng)運行過程中，應(yīng)至少每年對系統(tǒng)進行一次等級測評，發(fā)現(xiàn)不符合相應(yīng)等級保護標(biāo)準(zhǔn)要求的及時整改；b) 應(yīng)在系統(tǒng)發(fā)生變更時及時對系統(tǒng)進行等級測評，發(fā)現(xiàn)級別發(fā)生變化的及時調(diào)整級別并進行安全改造，發(fā)現(xiàn)不符合相應(yīng)等級保護標(biāo)準(zhǔn)要求的及時整改；c) 應(yīng)選擇具有國家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測評單位進行等級測評；d) 應(yīng)指定或授權(quán)專門的部門或人員負責(zé)等級測評的管理a) 在系統(tǒng)運行過程中，應(yīng)至少每半年對系統(tǒng)進行一次等級測評，發(fā)現(xiàn)不符合相應(yīng)等級保護標(biāo)準(zhǔn)要求的及時整改；b) c) d) 安全服務(wù)商選擇（G）a) 應(yīng)確保安全服務(wù)商的選擇符合國家的有關(guān)規(guī)定；b) 應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責(zé)任a) 應(yīng)確保安全服務(wù)商的選擇符合國家的有關(guān)規(guī)定；b) 應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責(zé)任；c) 應(yīng)確保選定的安全服務(wù)商提供技術(shù)支持和服務(wù)承諾，必要的與其簽訂服務(wù)合同a) b) c) a) b) c) 系統(tǒng)運維管理環(huán)境管理（G）a) 應(yīng)指定專門的部門或人員定期對機房供配電、空調(diào)、溫濕度控制等設(shè)施進行維護管理；b) 應(yīng)對機房的出入、服務(wù)器的開機或關(guān)機等工作進行管理；c) 應(yīng)建立機房安全管理制度，對有關(guān)機房物理訪問，物品帶進、帶出機房和機房環(huán)境安全等方面的管理作出規(guī)定a) b) 應(yīng)配備機房安全管理人員，對機房的出入、服務(wù)器的開機或關(guān)機等工作進行管理；c) d) 應(yīng)加強對辦公環(huán)境的保密性管理，包括工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙和不在辦公區(qū)接待來訪人員等a) b) 應(yīng)指定部門負責(zé)機房安全，并配備機房安全管理人員，對機房的出入、服務(wù)器的開機或關(guān)機等工作進行管理；c) d) 應(yīng)加強對辦公環(huán)境的保密性管理，規(guī)范辦公環(huán)境人員行為，包括工作人員調(diào)離辦公室應(yīng)立即交還該辦公室鑰匙、不在辦公區(qū)接待來訪人員、工作人員離開座位應(yīng)確保終端計算機退出登錄狀態(tài)和桌面上沒有包含敏感信息的紙檔文件等a) b) c) d) e) 應(yīng)對機房和辦公環(huán)境實行統(tǒng)一策略的安全管理，對出入人員進行相應(yīng)級別的授權(quán)，對進入重要安全區(qū)域的活動行為實時監(jiān)視和記錄資產(chǎn)管理（G）a) 應(yīng)編制與信息系統(tǒng)相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容a) b) 應(yīng)建立資產(chǎn)安全管理制度，規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門，并規(guī)范資產(chǎn)管理和使用的行為a) b) c) 應(yīng)根據(jù)資產(chǎn)的重要程度對資產(chǎn)進行標(biāo)識管理，根據(jù)資產(chǎn)的價值選擇相應(yīng)的管理措施；d) 應(yīng)對信息分類與標(biāo)識方法作出規(guī)定，并對信息的使用、傳輸和存儲等進行規(guī)范化管理a) b) c) d) 介質(zhì)管理（G）b) 應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對各類介質(zhì)進行控制和保護；c) 應(yīng)對介質(zhì)歸檔和查詢等過程進行記錄，并根據(jù)存檔介質(zhì)的目錄清單定期盤點b) 應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對各類介質(zhì)進行控制和保護，并實行存儲環(huán)境專人管理；c) d ) 應(yīng)對需要送出維修或銷毀的介質(zhì)，首先清除其中的敏感數(shù)據(jù)，防止信息的非法泄漏；f ) 應(yīng)根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進行分類和標(biāo)識管理a) 應(yīng)建立介質(zhì)安全管理制度，對介質(zhì)的存放環(huán)境、使用、維護和銷毀等方面作出規(guī)定； b) c) 應(yīng)對介質(zhì)在物理傳輸過程中的人員選擇、打包、交付等情況進行控制，對介質(zhì)歸檔和查詢等進行登記記錄，并根據(jù)存檔介質(zhì)的目錄清單定期盤點； d) 應(yīng)對存儲介質(zhì)的使用過程、送出維修以及銷毀等進行嚴格的管理，對帶出工作環(huán)境的存儲介質(zhì)進行內(nèi)容加密和監(jiān)控管理，對送出維修或銷毀的介質(zhì)應(yīng)首先清除介質(zhì)中的敏感數(shù)據(jù)，對保密性較高的存儲介質(zhì)未經(jīng)批準(zhǔn)不得自行銷毀； e) 應(yīng)根據(jù)數(shù)據(jù)備份的需要對某些介質(zhì)實行異地存儲，存儲地的環(huán)境要求和管理方法應(yīng)與本地相同；f) 應(yīng)對重要介質(zhì)中的數(shù)據(jù)和軟件采取加密存儲，并根據(jù)所承載數(shù)據(jù)和軟件的重要程度對介質(zhì)進行分類和標(biāo)識管理a) b) c) d