【正文】 測評(píng)等服務(wù)的安全服務(wù)單位；l 安全服務(wù)商的安全資質(zhì)文件；l 內(nèi)容包括與所有安全服務(wù)商簽訂的安全責(zé)任合同書或保密協(xié)議文檔，文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等。 自行軟件開發(fā)一、 制度1) 《軟件開發(fā)管理制度》l 內(nèi)容包括軟件設(shè)計(jì)、開發(fā)、測試、驗(yàn)收過程的控制方法和人員行為準(zhǔn)則，明確哪些開發(fā)活動(dòng)應(yīng)經(jīng)過授權(quán)、審批，明確軟件開發(fā)相關(guān)文檔的管理等。3) 《保密承諾文檔》l 內(nèi)容包括保密的內(nèi)容，期限，調(diào)離人員的簽字等。2) 《安全管理制度》l 內(nèi)容包括物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)、應(yīng)用、建設(shè)和管理等層面各類管理內(nèi)容。2) 《人員錄用時(shí)的技能考核文檔或記錄》l 內(nèi)容包括筆試和面試的記錄；l 記錄考核內(nèi)容和考核結(jié)果等。4) 《專家論證文檔》l 內(nèi)容包括相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的論證意見。3) 《工程測試驗(yàn)收方案》l 內(nèi)容包括參與測試的部門、人員、測試驗(yàn)收的內(nèi)容、現(xiàn)場操作過程等4) 《測試驗(yàn)收記錄》5) 《系統(tǒng)測試驗(yàn)收報(bào)告》l 內(nèi)容包括系統(tǒng)測試驗(yàn)收的過程控制方法、參與人員的行為規(guī)范等。2) 《配套設(shè)施、軟硬件維護(hù)方面的管理制度》l 內(nèi)容包括對配套設(shè)施、軟硬件維護(hù)進(jìn)行有效的管理，包括明確維護(hù)人員的責(zé)任、涉外維修和服務(wù)的審批、維修過程的監(jiān)督控制管理等。4) 《系統(tǒng)漏洞掃描報(bào)告》l 漏洞掃描制度和漏洞掃描報(bào)告。3) 《安全事件報(bào)告和處理程序文檔》l 內(nèi)容包括根據(jù)不同安全事件制定不同的處理和報(bào)告程序，及響應(yīng)和處置的范圍、程度、處理方法，是否明確具體報(bào)告方式、報(bào)告內(nèi)容、報(bào)告人等方面。二、 記錄1) 《備份和恢復(fù)記錄》l 內(nèi)容包含備份內(nèi)容、備份操作、備份介質(zhì)存放等，記錄內(nèi)容與備份和恢復(fù)策略是否一致。3) 《網(wǎng)絡(luò)設(shè)備配置文件的備份文件》4) 網(wǎng)絡(luò)設(shè)備升級(jí)更新的工作記錄5) 《網(wǎng)絡(luò)審計(jì)日志》 系統(tǒng)安全管理一、 制度1) 《系統(tǒng)安全管理制度》l 對系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出規(guī)定。二、 記錄1) 《資產(chǎn)清單》 介質(zhì)管理一、 制度1) 介質(zhì)管理制度l 介質(zhì)的維修或銷毀流程、維修或銷毀制度；l 內(nèi)容包括在介質(zhì)物理傳輸過程中對人員選擇、打包、交付等情況進(jìn)行控制；l 內(nèi)容包括對存儲(chǔ)介質(zhì)的使用過程、送出維修以及銷毀等進(jìn)行嚴(yán)格管理的方法和對帶出工作環(huán)境的存儲(chǔ)介質(zhì)進(jìn)行內(nèi)容加密和監(jiān)控管理的方法。二、 文檔1) 《工程實(shí)施方案》l 包括工程時(shí)間限制、進(jìn)度控制和質(zhì)量控制等方面內(nèi)容。2) 《專家論證文檔》l 專家對定級(jí)結(jié)果的論證意見。2) 關(guān)鍵活動(dòng)的審批過程記錄 溝通和合作一、 記錄1) 《外聯(lián)單位聯(lián)系列表》l 內(nèi)容包括包含公安機(jī)關(guān)、電信公司、兄弟公司、供應(yīng)商，業(yè)界專家、專業(yè)的安全公司和安全組織等外聯(lián)單位；l 說明外聯(lián)單位的名稱、聯(lián)系人、合作內(nèi)容和聯(lián)系方式等內(nèi)容。 評(píng)審和修訂一、 制度1) 修訂過的安全管理制度二、 記錄1) 《安全管理制度評(píng)審記錄（修訂時(shí)）》l 內(nèi)容包括相關(guān)人員的評(píng)審意見，評(píng)審周期。4) 信息安全教育及技能培訓(xùn)和考核管理文檔l 包括培訓(xùn)周期、培訓(xùn)方式、培訓(xùn)內(nèi)容和考核方式等相關(guān)內(nèi)容二、 記錄1) 《具有安全教育和培訓(xùn)記錄》l 內(nèi)容包括培訓(xùn)人員、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)果等的描述。 外包軟件開發(fā)一、 文檔1) 《需求分析說明書、軟件設(shè)計(jì)說明書、軟件操作手冊、軟件源代碼文檔等軟件開發(fā)文檔和使用指南》二、 記錄1) 《軟件源代碼審查記錄》l 包括對可能存在后門的審查結(jié)果。2) 《消防設(shè)施巡檢記錄表》 資產(chǎn)管理一、 制度1) 《資產(chǎn)安全管理制度》l 內(nèi)容包括明確信息資產(chǎn)管理的責(zé)任部門、責(zé)任人等；l 其覆蓋資產(chǎn)使用、借用、維護(hù)等方面。 l 內(nèi)容具有網(wǎng)絡(luò)設(shè)備配置文件的離線備份文件。3) 《重要系統(tǒng)的變更申請書》4) 《變更過程記錄文檔》三、 記錄l 《變更方案評(píng)審記錄》 備份與恢復(fù)管理一、 文檔1) 《備份管理文檔》l 內(nèi)容包括備份方式、備份頻度、存儲(chǔ)介質(zhì)和保存期等方面內(nèi)容；l 各系統(tǒng)的備份文檔或備份流程（包括網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)等）。2) 《應(yīng)急預(yù)案培訓(xùn)記錄》l 培訓(xùn)記錄內(nèi)容包括培訓(xùn)內(nèi)容、培訓(xùn)日期等。2) 《惡意代碼