【文章內(nèi)容簡介】 系統(tǒng)的邊界和安全保護(hù)等級，并明確說明信息系統(tǒng)為某個安全保護(hù)等級的方法和理由，同時組織相關(guān)部門和有關(guān)安全技術(shù)專家對信息系統(tǒng)定級結(jié)果的合理性和正確性進(jìn)行論證和審定，并確保信息系統(tǒng)的定級結(jié)果經(jīng)過相關(guān)部門的批準(zhǔn)。第二條 信息技術(shù)部負(fù)責(zé)對信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，制定近期和遠(yuǎn)期的安全建設(shè)工作計劃；總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計方案等相關(guān)配套文件的合理性和正確性進(jìn)行論證和審定，并且經(jīng)過批準(zhǔn)后，才能正式實施。信息系統(tǒng)建設(shè)方案必須進(jìn)行安全論證，遵照相關(guān)標(biāo)準(zhǔn)，建立完善的身份驗證、訪問控制、安全保護(hù)和安全審計機(jī)制。核心業(yè)務(wù)系統(tǒng)必須采取基于協(xié)議交換的多層結(jié)構(gòu)，確?？蛻舳瞬僮髋c數(shù)據(jù)服務(wù)端的物理無關(guān)性，并具備防止強(qiáng)力試探密碼、防止異常中斷后非法進(jìn)入系統(tǒng)等安全防護(hù)功能。第三條 信息技術(shù)部負(fù)責(zé)安全產(chǎn)品的采購，確保安全產(chǎn)品采購和使用符合國家的有關(guān)規(guī)定，而密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求，在采購前應(yīng)預(yù)光對產(chǎn)品進(jìn)行選型測試，確定產(chǎn)品的候選范圍，并定期審定和更新候選產(chǎn)品名單。第四條 業(yè)務(wù)系統(tǒng)的開發(fā)、測試和運(yùn)行設(shè)施要分離并進(jìn)行控制，控制措施包括敏感數(shù)據(jù)不能拷貝到測試系統(tǒng)環(huán)境中、禁止開發(fā)和測試人員訪問運(yùn)行系統(tǒng)及其信息等，以減少對運(yùn)行設(shè)施及其信息的未授權(quán)訪問和帶來的潛在風(fēng)險。第五條 定期根據(jù)外包服務(wù)協(xié)議中的安全要求，監(jiān)視、評審由外單位提供的服務(wù)、報告和記錄，監(jiān)督協(xié)議規(guī)定的信息安全條款和條件的嚴(yán)格執(zhí)行。監(jiān)視、評審內(nèi)容包括監(jiān)視服務(wù)執(zhí)行效率，評審服務(wù)報告，審查外包服務(wù)的安全事件、操作問題、故障、失誤追蹤和破壞的記錄。第六條 授權(quán)信息技術(shù)部負(fù)責(zé)工程實施過程的管理，工程實施前應(yīng)制定詳細(xì)的工程實施方案控制實施過程，并要求工程實施單位能正式地執(zhí)行安全工程過程，并制定工程實施方面的管理制度，明確說明實施過程的控制方法和人員行為準(zhǔn)則。第七條 新業(yè)務(wù)系統(tǒng)或升級版本在正式上線前，要進(jìn)行合適的測試，并根據(jù)驗收要求和標(biāo)準(zhǔn)進(jìn)行正式的驗收，以證實全部驗收準(zhǔn)則完全被滿足。第八條 系統(tǒng)建設(shè)完成后應(yīng)制定詳細(xì)的系統(tǒng)交付清單，并根據(jù)交付清單對所交接的設(shè)備、軟件和文檔等進(jìn)行清點；應(yīng)提供系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔，同時對負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)。第九條 信息技術(shù)部負(fù)責(zé)管理系統(tǒng)定級的相關(guān)材料，并控制這些材料的使用；將系統(tǒng)等級及相關(guān)材料報系統(tǒng)主管部門和相應(yīng)公安機(jī)關(guān)備案。第十條 信息技術(shù)部負(fù)責(zé)等級測評的管理，并在系統(tǒng)運(yùn)行過程中，對三級信息系統(tǒng)應(yīng)每年進(jìn)行一次等級測評，應(yīng)選擇具有國家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測評單位，發(fā)現(xiàn)不符合相應(yīng)等級保護(hù)標(biāo)準(zhǔn)要求的及時整改；同時在系統(tǒng)發(fā)生變更時及時對系統(tǒng)進(jìn)行等級測評，發(fā)現(xiàn)級別發(fā)生變化的及時調(diào)整級別并進(jìn)行安全改造，發(fā)現(xiàn)不符合相應(yīng)等級保護(hù)標(biāo)準(zhǔn)要求的及時整改。第十一條在選擇安全服務(wù)商時應(yīng)符合國家的有關(guān)規(guī)定，并與選定的安全服務(wù)商簽訂與安全相關(guān)酌協(xié)議，明確約定相關(guān)責(zé)任，同時確保選定的安全服務(wù)商提供技術(shù)培訓(xùn)和服務(wù)承諾，必要的與其簽訂服務(wù)合同。五、系統(tǒng)運(yùn)維策略第一條 所有的資產(chǎn)要指定專人責(zé)任，并對責(zé)任人賦予相應(yīng)的職責(zé)，確保所有資產(chǎn)都可以核查。第二條 根據(jù)資產(chǎn)的重要性、業(yè)務(wù)價值、依賴程度，對所有資產(chǎn)進(jìn)行分類、分級，編制資產(chǎn)的清單。對資產(chǎn)清單妥善保管，并在資產(chǎn)變更時及時更新清單，確?？梢詫Y產(chǎn)進(jìn)行有效的保護(hù)。第三條 應(yīng)對磁帶、磁盤、閃盤、可移動硬件驅(qū)動器、CD、DVD、打印媒體等進(jìn)行有效的管理，防止非授權(quán)的使用和破壞。對可移動存儲介質(zhì)的管理包括所有介質(zhì)應(yīng)存儲在符合制造商說明的安全、保密環(huán)境中，使用介質(zhì)要進(jìn)行授權(quán)、登記并追蹤審計等。第四條 應(yīng)對不再需要的介質(zhì)進(jìn)行安全處置，降低介質(zhì)敏感信息泄漏給未授權(quán)人員的風(fēng)險。第五條 應(yīng)對信息系統(tǒng)相關(guān)的各種設(shè)備（包括備份和冗余設(shè)備）、線路等指定專門的部門或人員定期進(jìn)行維護(hù)管理。第六條 應(yīng)建立配套設(shè)施、軟硬件維護(hù)方面的管理制度，對其維護(hù)進(jìn)行有效的管理，包括明確維護(hù)人員的責(zé)任、涉外維修和服務(wù)的審批、維修過程的監(jiān)督控制等，應(yīng)確保信息處理設(shè)備必須經(jīng)過審批才能帶離機(jī)房或辦公地點。第七條