【正文】 的信息安全意識(shí) 。 內(nèi)容 有相應(yīng)的安全培訓(xùn)記錄 。 內(nèi)容 根據(jù) 法律要求， 對(duì) 敏感性和關(guān)鍵性等因素對(duì)信息及信息系統(tǒng)進(jìn)行分類。 風(fēng)險(xiǎn)評(píng)估更新 信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估處于一個(gè)動(dòng)態(tài)平衡狀態(tài)，當(dāng)系統(tǒng)內(nèi)部有所變化，相對(duì)應(yīng)的風(fēng)險(xiǎn)級(jí)別發(fā)生新的更新以符合新的風(fēng) 險(xiǎn)狀態(tài)。 要求 當(dāng)前投入 使用的信息系統(tǒng)安全技術(shù)產(chǎn)品應(yīng)該按照有關(guān)法律法規(guī)得到國(guó)家權(quán)威機(jī)構(gòu)的測(cè)評(píng)和 認(rèn)證，以確定信息安全技術(shù)產(chǎn)品的功能和性能可以滿足系統(tǒng)的安全需求； 邀請(qǐng) 國(guó)家權(quán)威機(jī)構(gòu)對(duì)本單位信息系統(tǒng)進(jìn)行測(cè)評(píng)和認(rèn)證，以確定信息系統(tǒng)的技術(shù)控制 措施，安全管理規(guī)章和工程建設(shè)過程可以為 系統(tǒng)的安全提供充分的保障； 安全認(rèn)證應(yīng)結(jié)合到系統(tǒng)開發(fā)的生命周期（ SDLC）中 ,并貫穿在生命周期的各個(gè)階段。 內(nèi)容 信息系統(tǒng)的技術(shù)控制措施，安全管理規(guī)章和工程建設(shè)過程符合有關(guān)規(guī)定， 并 通過了有關(guān)的評(píng)估和認(rèn)證 ； 當(dāng)前使用的信息安全產(chǎn)品符合 相關(guān)規(guī)定， 并 通過了有關(guān)的評(píng)估和認(rèn)證。 系統(tǒng)與服務(wù)采購(gòu) 系統(tǒng)和服務(wù)采購(gòu)涉及到資源分配、生命周期支 持、信息系統(tǒng)文件、軟件使用限制、用戶安裝的軟件、安全設(shè)計(jì)原則、外包信息系統(tǒng)服務(wù)、開發(fā)人員配置管理、開發(fā)人員安全測(cè)試十個(gè)項(xiàng)目?jī)?nèi)容。 內(nèi)容 在相關(guān)的信息管理系統(tǒng)中明確 關(guān)于系統(tǒng)生命周期的說明； 有對(duì)應(yīng)系統(tǒng)開發(fā)周期的相應(yīng)的 實(shí)施 指南。 內(nèi)容 信息系統(tǒng)文件（如安全設(shè) 計(jì)方案、建設(shè)方案、管理員和用戶指南、系統(tǒng)安全配置參考文件等）完整， 清晰地定義了文檔的授權(quán)級(jí)別。 用戶安裝的軟件 要求 對(duì)軟件的下載和安裝要有明確的規(guī)定； 對(duì)軟件的類型進(jìn)行識(shí)別和分類，確認(rèn)哪些是可以下載和安裝的，哪些是被禁止的。 外包信息系統(tǒng)服務(wù) 要求 執(zhí)行和維護(hù)在服務(wù)協(xié)議中規(guī)定的信息安全服務(wù)提供級(jí)別； 對(duì)第三方的服務(wù)提供進(jìn)行管理； 對(duì)第三方 的服務(wù)的監(jiān)控和審核進(jìn)行管理； 對(duì)第三方服務(wù)變更進(jìn)行管理。 內(nèi)容 為信息系統(tǒng)開發(fā)建立和實(shí)施了相應(yīng)的配置管理計(jì)劃； 在控制可發(fā)過程之中的變更 有記錄。 配置管理 配置管理是信息系統(tǒng)運(yùn)行管理的一個(gè)重要組成部分。要將對(duì)資產(chǎn)清單和基線配置的更新作為系統(tǒng)更新或擴(kuò)展的一項(xiàng)必要工作，保證資產(chǎn)清單和基線配置能反映系統(tǒng)當(dāng)前的真實(shí)情況。 。 基線配置 要求 編制系統(tǒng)資產(chǎn)清單和當(dāng)前系統(tǒng)的基線配置； 對(duì)資產(chǎn)清單和基線配置的更新作為系統(tǒng)更新或擴(kuò)展的一項(xiàng)必要工作 ； 使用自動(dòng)化工具自動(dòng)生成和維護(hù)資產(chǎn)清單和基線配置。 信息系統(tǒng)的管理和維護(hù)人員要在明確安全需求的基礎(chǔ)上，熟悉各個(gè)軟硬件設(shè)備的當(dāng)前配置情況，并在信息系統(tǒng)出現(xiàn)變更時(shí)按照配置管理策略和配置管理流程對(duì)配置進(jìn)行及時(shí)的修改和記錄。開發(fā)安全測(cè)試和評(píng)估結(jié)果應(yīng)提交用于信息系統(tǒng)交付的安全認(rèn)證和認(rèn)可過程。 內(nèi)容 驗(yàn)證協(xié)議 的執(zhí)行情況，監(jiān)控實(shí)際操作與協(xié)議的符合程度，對(duì)與協(xié)議不符的地方進(jìn)行相應(yīng)的管理，來確保第三方所提供的服務(wù)達(dá)到了協(xié)議中的要求； 第三方實(shí)施了在第三方服務(wù)提供中所規(guī)定的安全控制措施，服務(wù)定義和提供服務(wù)的級(jí)別。 安全設(shè)計(jì)原則 要求 使用安全工程原則設(shè)計(jì)和實(shí)施信息系統(tǒng)。 內(nèi)容 制定軟件使用政策，遵守軟件許可協(xié)議，禁止使用盜版軟件； 控制用戶可訪問的范圍，監(jiān)控異常情況。 內(nèi)容 采購(gòu)合同滿足該行業(yè)相關(guān)的安全需求； 在信息系統(tǒng)所要求的文檔中 包括了相應(yīng)的安全配置說明和安全實(shí)施指南。 內(nèi)容 定義 投資控制的范圍 ； 信息系統(tǒng)規(guī)劃中 定義了相應(yīng)的安全要求。 要求 監(jiān)控信息系統(tǒng)現(xiàn)有的安全控制措施，有計(jì)劃地持續(xù)進(jìn)行配置管理、信息系統(tǒng)組件控制、系統(tǒng)變更后的安全影響分析、現(xiàn)有安全控制措施評(píng)估和狀態(tài)匯報(bào)等工作。 安全認(rèn)可 保障信息系統(tǒng)的安全運(yùn)行。 內(nèi)容 當(dāng) 信息系統(tǒng)發(fā)生重大變更時(shí) ，如設(shè)備改變或其它影響系統(tǒng)安全狀態(tài)時(shí)， 進(jìn)行了風(fēng)險(xiǎn)評(píng)估更新， 并對(duì)以前的風(fēng)險(xiǎn)評(píng)估有 更新記錄； 有針對(duì)風(fēng)險(xiǎn)評(píng)估更新而制定的具體標(biāo)準(zhǔn)。 要求 標(biāo)識(shí)信息系統(tǒng)的資產(chǎn)價(jià)值，識(shí)別信息系統(tǒng)面臨的自然和人為的威脅，識(shí)別信息系統(tǒng)的脆弱性，分析各種威脅發(fā)生 的可能性，并定量或定性的描述可能造成的損失、評(píng)估系統(tǒng)的風(fēng)險(xiǎn)級(jí)別； 定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，以定期審核系統(tǒng)的安全風(fēng)險(xiǎn)和已實(shí)施的安全控制的效果。 安全分類 在于對(duì)不同類別的信息和信息系統(tǒng)提供出不同等級(jí)的安全保護(hù)。 內(nèi)容 根據(jù) 安全培訓(xùn)計(jì)劃和安全培訓(xùn)教材 以及工作人員的安全角色和職責(zé)制定 針對(duì)性較強(qiáng)的信息安全培訓(xùn)； 根據(jù) 安全培訓(xùn)記錄 并結(jié)合 安全培訓(xùn)計(jì)劃 ， 在適當(dāng)?shù)臅r(shí)間，對(duì)相關(guān)各類人員進(jìn)行了必要的信息安全培訓(xùn) 。 安全意識(shí)和培訓(xùn)涉及以下內(nèi)容：安全意識(shí)、安全培訓(xùn)、安全培訓(xùn)記錄。 人員處罰 要求 建立正規(guī)的程序，處罰或制裁未遵守信息安全策略和流程的員工。 工作協(xié)議和條款 要求 在對(duì)需要訪問信息和信息系統(tǒng)的人員進(jìn)行訪問授權(quán)之前，簽署適當(dāng)?shù)墓ぷ鲄f(xié)議和條款（如，保密協(xié)議、按規(guī)定進(jìn)行使用的協(xié)議、行為規(guī)范等）。 人員工作合同終止 要求 當(dāng)人員工作合同終止時(shí)，應(yīng)終止人員對(duì)信息系統(tǒng)的訪問，并確保其歸還所擁有與組織相關(guān)的資產(chǎn)； 制定 員工注冊(cè)和注銷流程，來授予和撤銷員工對(duì)信息系統(tǒng)和服務(wù)的訪問權(quán)限。 工作崗位風(fēng)險(xiǎn)分級(jí) 要求 對(duì)工作崗位進(jìn)行風(fēng)險(xiǎn)分級(jí)，并制定針對(duì)在各級(jí)崗位工作的人員 審查機(jī)制； 定期復(fù)核和修訂不同工作崗位的風(fēng)險(xiǎn)分級(jí)。 內(nèi)容 組建信息安全管理機(jī)構(gòu)及其機(jī)構(gòu)組成，人員設(shè)置 ,并文件化； 組建的信息安全管理機(jī)構(gòu) 有明確的信息安全管理職能（包括物理安全管理、身份鑒別管理、訪問控制管理、安全審計(jì)管 理、安全教育與培訓(xùn)等）； 組建的信息安全管理機(jī)構(gòu)是自上而下，分級(jí)負(fù)責(zé)的。 階段性行動(dòng)計(jì)劃 信息系統(tǒng)的生命周期有不同的階段，在每一個(gè)階段信息系統(tǒng)的安全需求是不同的，要對(duì)