【正文】 的信息安全意識 。 內(nèi)容 有相應(yīng)的安全培訓(xùn)記錄 。 內(nèi)容 根據(jù) 法律要求， 對 敏感性和關(guān)鍵性等因素對信息及信息系統(tǒng)進行分類。 風(fēng)險評估更新 信息系統(tǒng)的風(fēng)險評估處于一個動態(tài)平衡狀態(tài)，當(dāng)系統(tǒng)內(nèi)部有所變化，相對應(yīng)的風(fēng)險級別發(fā)生新的更新以符合新的風(fēng) 險狀態(tài)。 要求 當(dāng)前投入 使用的信息系統(tǒng)安全技術(shù)產(chǎn)品應(yīng)該按照有關(guān)法律法規(guī)得到國家權(quán)威機構(gòu)的測評和 認(rèn)證，以確定信息安全技術(shù)產(chǎn)品的功能和性能可以滿足系統(tǒng)的安全需求； 邀請 國家權(quán)威機構(gòu)對本單位信息系統(tǒng)進行測評和認(rèn)證，以確定信息系統(tǒng)的技術(shù)控制 措施，安全管理規(guī)章和工程建設(shè)過程可以為 系統(tǒng)的安全提供充分的保障； 安全認(rèn)證應(yīng)結(jié)合到系統(tǒng)開發(fā)的生命周期（ SDLC）中 ,并貫穿在生命周期的各個階段。 內(nèi)容 信息系統(tǒng)的技術(shù)控制措施，安全管理規(guī)章和工程建設(shè)過程符合有關(guān)規(guī)定， 并 通過了有關(guān)的評估和認(rèn)證 ； 當(dāng)前使用的信息安全產(chǎn)品符合 相關(guān)規(guī)定， 并 通過了有關(guān)的評估和認(rèn)證。 系統(tǒng)與服務(wù)采購 系統(tǒng)和服務(wù)采購涉及到資源分配、生命周期支 持、信息系統(tǒng)文件、軟件使用限制、用戶安裝的軟件、安全設(shè)計原則、外包信息系統(tǒng)服務(wù)、開發(fā)人員配置管理、開發(fā)人員安全測試十個項目內(nèi)容。 內(nèi)容 在相關(guān)的信息管理系統(tǒng)中明確 關(guān)于系統(tǒng)生命周期的說明； 有對應(yīng)系統(tǒng)開發(fā)周期的相應(yīng)的 實施 指南。 內(nèi)容 信息系統(tǒng)文件（如安全設(shè) 計方案、建設(shè)方案、管理員和用戶指南、系統(tǒng)安全配置參考文件等）完整， 清晰地定義了文檔的授權(quán)級別。 用戶安裝的軟件 要求 對軟件的下載和安裝要有明確的規(guī)定； 對軟件的類型進行識別和分類，確認(rèn)哪些是可以下載和安裝的，哪些是被禁止的。 外包信息系統(tǒng)服務(wù) 要求 執(zhí)行和維護在服務(wù)協(xié)議中規(guī)定的信息安全服務(wù)提供級別； 對第三方的服務(wù)提供進行管理； 對第三方 的服務(wù)的監(jiān)控和審核進行管理； 對第三方服務(wù)變更進行管理。 內(nèi)容 為信息系統(tǒng)開發(fā)建立和實施了相應(yīng)的配置管理計劃； 在控制可發(fā)過程之中的變更 有記錄。 配置管理 配置管理是信息系統(tǒng)運行管理的一個重要組成部分。要將對資產(chǎn)清單和基線配置的更新作為系統(tǒng)更新或擴展的一項必要工作，保證資產(chǎn)清單和基線配置能反映系統(tǒng)當(dāng)前的真實情況。 。 基線配置 要求 編制系統(tǒng)資產(chǎn)清單和當(dāng)前系統(tǒng)的基線配置； 對資產(chǎn)清單和基線配置的更新作為系統(tǒng)更新或擴展的一項必要工作 ； 使用自動化工具自動生成和維護資產(chǎn)清單和基線配置。 信息系統(tǒng)的管理和維護人員要在明確安全需求的基礎(chǔ)上，熟悉各個軟硬件設(shè)備的當(dāng)前配置情況，并在信息系統(tǒng)出現(xiàn)變更時按照配置管理策略和配置管理流程對配置進行及時的修改和記錄。開發(fā)安全測試和評估結(jié)果應(yīng)提交用于信息系統(tǒng)交付的安全認(rèn)證和認(rèn)可過程。 內(nèi)容 驗證協(xié)議 的執(zhí)行情況，監(jiān)控實際操作與協(xié)議的符合程度，對與協(xié)議不符的地方進行相應(yīng)的管理，來確保第三方所提供的服務(wù)達到了協(xié)議中的要求； 第三方實施了在第三方服務(wù)提供中所規(guī)定的安全控制措施，服務(wù)定義和提供服務(wù)的級別。 安全設(shè)計原則 要求 使用安全工程原則設(shè)計和實施信息系統(tǒng)。 內(nèi)容 制定軟件使用政策，遵守軟件許可協(xié)議，禁止使用盜版軟件； 控制用戶可訪問的范圍，監(jiān)控異常情況。 內(nèi)容 采購合同滿足該行業(yè)相關(guān)的安全需求； 在信息系統(tǒng)所要求的文檔中 包括了相應(yīng)的安全配置說明和安全實施指南。 內(nèi)容 定義 投資控制的范圍 ； 信息系統(tǒng)規(guī)劃中 定義了相應(yīng)的安全要求。 要求 監(jiān)控信息系統(tǒng)現(xiàn)有的安全控制措施，有計劃地持續(xù)進行配置管理、信息系統(tǒng)組件控制、系統(tǒng)變更后的安全影響分析、現(xiàn)有安全控制措施評估和狀態(tài)匯報等工作。 安全認(rèn)可 保障信息系統(tǒng)的安全運行。 內(nèi)容 當(dāng) 信息系統(tǒng)發(fā)生重大變更時 ，如設(shè)備改變或其它影響系統(tǒng)安全狀態(tài)時， 進行了風(fēng)險評估更新， 并對以前的風(fēng)險評估有 更新記錄； 有針對風(fēng)險評估更新而制定的具體標(biāo)準(zhǔn)。 要求 標(biāo)識信息系統(tǒng)的資產(chǎn)價值，識別信息系統(tǒng)面臨的自然和人為的威脅，識別信息系統(tǒng)的脆弱性，分析各種威脅發(fā)生 的可能性，并定量或定性的描述可能造成的損失、評估系統(tǒng)的風(fēng)險級別； 定期進行風(fēng)險評估，以定期審核系統(tǒng)的安全風(fēng)險和已實施的安全控制的效果。 安全分類 在于對不同類別的信息和信息系統(tǒng)提供出不同等級的安全保護。 內(nèi)容 根據(jù) 安全培訓(xùn)計劃和安全培訓(xùn)教材 以及工作人員的安全角色和職責(zé)制定 針對性較強的信息安全培訓(xùn)； 根據(jù) 安全培訓(xùn)記錄 并結(jié)合 安全培訓(xùn)計劃 ， 在適當(dāng)?shù)臅r間，對相關(guān)各類人員進行了必要的信息安全培訓(xùn) 。 安全意識和培訓(xùn)涉及以下內(nèi)容：安全意識、安全培訓(xùn)、安全培訓(xùn)記錄。 人員處罰 要求 建立正規(guī)的程序，處罰或制裁未遵守信息安全策略和流程的員工。 工作協(xié)議和條款 要求 在對需要訪問信息和信息系統(tǒng)的人員進行訪問授權(quán)之前，簽署適當(dāng)?shù)墓ぷ鲄f(xié)議和條款（如，保密協(xié)議、按規(guī)定進行使用的協(xié)議、行為規(guī)范等）。 人員工作合同終止 要求 當(dāng)人員工作合同終止時，應(yīng)終止人員對信息系統(tǒng)的訪問，并確保其歸還所擁有與組織相關(guān)的資產(chǎn)； 制定 員工注冊和注銷流程，來授予和撤銷員工對信息系統(tǒng)和服務(wù)的訪問權(quán)限。 工作崗位風(fēng)險分級 要求 對工作崗位進行風(fēng)險分級，并制定針對在各級崗位工作的人員 審查機制； 定期復(fù)核和修訂不同工作崗位的風(fēng)險分級。 內(nèi)容 組建信息安全管理機構(gòu)及其機構(gòu)組成，人員設(shè)置 ,并文件化； 組建的信息安全管理機構(gòu) 有明確的信息安全管理職能（包括物理安全管理、身份鑒別管理、訪問控制管理、安全審計管 理、安全教育與培訓(xùn)等）； 組建的信息安全管理機構(gòu)是自上而下，分級負(fù)責(zé)的。 階段性行動計劃 信息系統(tǒng)的生命周期有不同的階段，在每一個階段信息系統(tǒng)的安全需求是不同的，要對