【正文】 的完整性問(wèn)題：對(duì)于存放在服務(wù)器上的數(shù)據(jù)，其所存在的網(wǎng)絡(luò)、系統(tǒng)平臺(tái)自身是否具有足夠的控制和監(jiān)視手段來(lái)防止信息被篡改；l 網(wǎng)絡(luò)傳輸數(shù)據(jù)的完整性問(wèn)題：攻擊者在截獲網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)報(bào)文后，即可對(duì)報(bào)文內(nèi)容進(jìn)行修改，造成收信者的錯(cuò)誤理解；或者通過(guò)刪減信息內(nèi)容等方式，造成對(duì)信息的破壞，導(dǎo)致信息的嚴(yán)重失真；還可以通過(guò)重新發(fā)送收到的數(shù)據(jù)包的方式，進(jìn)行重放攻擊，而對(duì)于一些業(yè)務(wù)系統(tǒng)，特別是數(shù)據(jù)庫(kù)系統(tǒng)，這種重放攻擊會(huì)造成數(shù)據(jù)失真以及數(shù)據(jù)錯(cuò)誤。 管理風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)主要表現(xiàn)在安全組織的建設(shè)、安全管理策略和制度的制定與執(zhí)行、人員的管理等方面。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理的安全風(fēng)險(xiǎn)，即使采用了各種先進(jìn)的安全技術(shù)手段，信息系統(tǒng)仍然無(wú)法有效抵御所受到的各種安全威脅。管理層面的安全風(fēng)險(xiǎn)如下。 安全管理風(fēng)險(xiǎn)國(guó)家某局目前缺乏有效的安全事件流程化處理機(jī)制，每當(dāng)出現(xiàn)安全問(wèn)題，管理員總是要嘗試很多種辦法才能解決問(wèn)題，要做大量的重復(fù)性工作，而好的經(jīng)驗(yàn)和方法并不能形成整個(gè)單位的安全事件處理規(guī)范供大家共享，技術(shù)人員安全響應(yīng)慢、工作效率低等現(xiàn)象時(shí)有發(fā)生。 安全組織建設(shè)風(fēng)險(xiǎn)隨著國(guó)家某局信息化程度的提升，信息系統(tǒng)安全體系的建設(shè)對(duì)組織保障提出了更高的要求，國(guó)家某局現(xiàn)有的機(jī)構(gòu)設(shè)置、崗位設(shè)定、人員配備等不能完全滿足對(duì)信息系統(tǒng)安全管理的需求，這些問(wèn)題在很大程度上制約了國(guó)家某局信息安全體系建設(shè)的發(fā)展。 安全制度風(fēng)險(xiǎn)國(guó)家某局在安全管理制度的建設(shè)還不全面，如：l 缺乏完善的制度策略體系，部分安全管理工作開(kāi)展無(wú)據(jù)可依，隨意性大；l 對(duì)安全策略和制度執(zhí)行狀況的定期審查制度及對(duì)安全策略和制度符合性的評(píng)估制度不夠完善；l 沒(méi)有根據(jù)各類信息的不同安全要求確定相應(yīng)的安全級(jí)別，信息安全管理范圍不明確；l 缺乏有效的安全監(jiān)控措施和評(píng)估檢查制度，不利于在發(fā)生安全事件后及時(shí)發(fā)現(xiàn)，并采取措施；l 缺乏完善的災(zāi)難應(yīng)急計(jì)劃和制度，對(duì)突發(fā)的安全事件沒(méi)有制定有效的應(yīng)對(duì)措施，沒(méi)有有效的機(jī)制和手段來(lái)發(fā)現(xiàn)和監(jiān)控安全事件，沒(méi)有有效的對(duì)安全事件的處理流程和制度。 人員風(fēng)險(xiǎn)再安全的網(wǎng)絡(luò)設(shè)備離不開(kāi)人的管理，再好的安全策略最終要靠人來(lái)實(shí)現(xiàn)，因此人員是整個(gè)網(wǎng)絡(luò)安全中最為重要的一環(huán)。在國(guó)家某局外網(wǎng)信息系統(tǒng)中，人員方面的安全風(fēng)險(xiǎn)主要是因人員配置不足、穩(wěn)定性不夠、安全意識(shí)不夠及安全操作經(jīng)驗(yàn)不足而導(dǎo)致的安全問(wèn)題。例如：l 安全管理及技術(shù)人員配置不足，且主要以外聘為主，帶來(lái)一定安全風(fēng)險(xiǎn)；l 大量的人為因素的安全隱患，為破壞者進(jìn)入系統(tǒng)造成了便利，例如密碼強(qiáng)度不夠，或沒(méi)有設(shè)置密碼；l 缺乏操作性很強(qiáng)的行為規(guī)范制度，使國(guó)家某局外網(wǎng)用戶無(wú)法正確地操作系統(tǒng)；l 網(wǎng)絡(luò)的易用性與安全性存在矛盾，而國(guó)家某局外網(wǎng)訪問(wèn)人員更傾向于采用簡(jiǎn)單的方法處理信息，因此往往對(duì)安全性重視程度不足，或者對(duì)安全訪問(wèn)手段缺乏常識(shí)，而導(dǎo)致誤操作行為；l 由于對(duì)系統(tǒng)缺乏必要的技術(shù)監(jiān)控手段，因此導(dǎo)致國(guó)家某局外網(wǎng)安全管理人員很難對(duì)網(wǎng)絡(luò)中的用戶活動(dòng)進(jìn)行細(xì)致全面的掌握，網(wǎng)絡(luò)活動(dòng)對(duì)安全管理人員存在“管理黑洞”。l 國(guó)家某局信息管理部門對(duì)安全的認(rèn)識(shí)相對(duì)較高，但在安全策略的具體執(zhí)行和落實(shí)、安全防范的技能等方面還有待加強(qiáng)。 安全需求分析 符合等級(jí)保護(hù)技術(shù)要求的需求根據(jù)確定的定級(jí)對(duì)象及定級(jí)建議，參考《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中對(duì)各子系統(tǒng)提出的安全建設(shè)要求，從符合性的角度國(guó)家某局各系統(tǒng)的技術(shù)防護(hù)需求包括： 政府網(wǎng)站系統(tǒng)系統(tǒng)定級(jí)為3級(jí)，且等級(jí)保護(hù)要求選擇為S3A2G3，查找《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》得到該系統(tǒng)的具體技術(shù)要求選擇，以及差異性需求包括：防護(hù)層面要求選擇差異性需求物理安全物理位置的選擇（G3）機(jī)房建設(shè)（應(yīng)按照3級(jí)機(jī)房標(biāo)準(zhǔn)或達(dá)到GB93611988《計(jì)算機(jī)場(chǎng)地安全要求》中的A類機(jī)房的指標(biāo)進(jìn)行建設(shè)）物理訪問(wèn)控制（G3）防盜竊和防破壞（G3）防雷擊（G3）防火（G3）防水和防潮（G3）防靜電（G3）溫濕度控制（G3）電力供應(yīng)（A2）電磁防護(hù)（S3）網(wǎng)絡(luò)安全結(jié)構(gòu)安全（G3）應(yīng)實(shí)現(xiàn)網(wǎng)絡(luò)層面的加固，確保網(wǎng)絡(luò)能夠更好地支撐應(yīng)用系統(tǒng)的運(yùn)行訪問(wèn)控制（G3）利用訪問(wèn)控制措施實(shí)現(xiàn)基于網(wǎng)絡(luò)IP地址、協(xié)議、端口的強(qiáng)訪問(wèn)控制，并支持針對(duì)用戶的訪問(wèn)控制安全審計(jì)（G3）應(yīng)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況日志審計(jì)、流量審計(jì)等，應(yīng)實(shí)現(xiàn)對(duì)日志信息的集中記錄邊界完整性檢查（S3）應(yīng)防范非法的內(nèi)聯(lián)和外聯(lián)入侵防范（G3）應(yīng)實(shí)現(xiàn)有效的網(wǎng)絡(luò)入侵防范惡意代碼防范（G3）應(yīng)對(duì)蠕蟲(chóng)類惡意代碼進(jìn)行過(guò)濾防護(hù)網(wǎng)絡(luò)設(shè)備防護(hù)（G3）網(wǎng)絡(luò)設(shè)備應(yīng)采取加固措施 主機(jī)安全身份鑒別（S3）操作系統(tǒng)和數(shù)據(jù)庫(kù)應(yīng)采取加固技術(shù)訪問(wèn)控制（S3）操作系統(tǒng)和數(shù)據(jù)庫(kù)應(yīng)進(jìn)行加固安全審計(jì)（G3）應(yīng)對(duì)關(guān)鍵的服務(wù)器配置日志審計(jì)措施，剩余信息保護(hù)（S3）應(yīng)通過(guò)對(duì)服務(wù)器的核心加固，防范客體重用，實(shí)現(xiàn)剩余信息保護(hù)入侵防范（G3）通過(guò)操作系統(tǒng)加固來(lái)實(shí)現(xiàn)部分入侵防范惡意代碼防范（G3）實(shí)現(xiàn)基于主機(jī)的防病毒資源控制（A2）實(shí)現(xiàn)對(duì)主機(jī)資源的限制和保護(hù)應(yīng)用安全身份鑒別（S3）應(yīng)實(shí)現(xiàn)高強(qiáng)度的身份認(rèn)證技術(shù)訪問(wèn)控制（S3）應(yīng)實(shí)現(xiàn)針對(duì)應(yīng)用系統(tǒng)的授權(quán)和嚴(yán)格的訪問(wèn)控制安全審計(jì)（G3）應(yīng)對(duì)應(yīng)用系統(tǒng)實(shí)現(xiàn)有效安全審計(jì)，并防范審計(jì)記錄被非法修改和刪除剩余信息保護(hù)（S3）應(yīng)用系統(tǒng)應(yīng)當(dāng)對(duì)緩存信息和臨時(shí)信息進(jìn)行有效保護(hù)，在注銷當(dāng)前用戶時(shí)應(yīng)當(dāng)進(jìn)行有效清除通信完整性（S3）應(yīng)采用SSL協(xié)議來(lái)實(shí)現(xiàn)通信數(shù)據(jù)的完整性保護(hù)通信保密性（S3）應(yīng)采用SSL協(xié)議來(lái)實(shí)現(xiàn)通信數(shù)據(jù)的保密性保護(hù)抗抵賴（G3）應(yīng)在應(yīng)用系統(tǒng)中設(shè)計(jì)實(shí)現(xiàn)防范操作抵賴行為軟件容錯(cuò)（A2）應(yīng)用軟件對(duì)錯(cuò)誤的輸入有控制資源控制（A2）應(yīng)針對(duì)應(yīng)用服務(wù)器進(jìn)行連接數(shù)的限制數(shù)據(jù)安全數(shù)據(jù)完整性（S3）應(yīng)當(dāng)保障業(yè)務(wù)數(shù)據(jù)在存儲(chǔ)和傳輸過(guò)程中的保密性數(shù)據(jù)保密性（S3）應(yīng)當(dāng)保障業(yè)務(wù)數(shù)據(jù)在存儲(chǔ)和傳輸過(guò)程中的完整性備份和恢復(fù)（A2）采用雙機(jī)熱備措施，關(guān)鍵網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)應(yīng)有冗余設(shè)計(jì) 二級(jí)系統(tǒng)區(qū)域?qū)τ诙?級(jí)的系統(tǒng)區(qū)域，等級(jí)保護(hù)要求選擇為S2A2G2，查找《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》得到該區(qū)域的具體技術(shù)要求選擇，以及差異性需求包括：防護(hù)層面要求選擇差異性需求物理安全物理位置的選擇（G2）機(jī)房建設(shè)（按照2級(jí)機(jī)房標(biāo)準(zhǔn)或達(dá)到GB93611988《計(jì)算機(jī)場(chǎng)地安全要求》中的B類機(jī)房的指標(biāo)進(jìn)行建設(shè)）物理訪問(wèn)控制（G2）防盜竊和防破壞（G2）防雷擊（G2）防火（G2）防水和防潮（G2）防靜電（G2）溫濕度控制（G2）電力供應(yīng)（A2）電磁防護(hù)（S2）網(wǎng)絡(luò)安全結(jié)構(gòu)安全（G2）應(yīng)實(shí)現(xiàn)網(wǎng)絡(luò)層面的加固，確保網(wǎng)絡(luò)能夠更好地支撐應(yīng)用系統(tǒng)的運(yùn)行訪問(wèn)控制（G2）利用防火墻實(shí)現(xiàn)基于網(wǎng)絡(luò)IP地址、協(xié)議、端口的強(qiáng)訪問(wèn)控制，并支持針對(duì)用戶的訪問(wèn)控制安全審計(jì)（G2）應(yīng)對(duì)網(wǎng)絡(luò)的運(yùn)行狀態(tài)進(jìn)行審計(jì)，并采取審計(jì)平臺(tái)對(duì)記錄進(jìn)行單獨(dú)保存邊界完整性檢查（S2）應(yīng)限制私自外聯(lián)的行為入侵防范（G2）應(yīng)實(shí)現(xiàn)有效的網(wǎng)絡(luò)入侵防范惡意代碼防范（G2）應(yīng)在網(wǎng)絡(luò)邊界處對(duì)蠕蟲(chóng)類惡意代碼進(jìn)行過(guò)濾網(wǎng)絡(luò)設(shè)備防護(hù)（G2）網(wǎng)絡(luò)設(shè)備加固主機(jī)安全身份鑒別（S2）應(yīng)進(jìn)行服務(wù)器加固、數(shù)據(jù)庫(kù)加固，實(shí)現(xiàn)高強(qiáng)度的口令加固訪問(wèn)控制（S2）應(yīng)進(jìn)行服務(wù)器加固、數(shù)據(jù)庫(kù)加固，對(duì)登錄人員進(jìn)行訪問(wèn)控制安全審計(jì)（G2）應(yīng)對(duì)關(guān)鍵的服務(wù)器配置日志審計(jì)措施，入侵防范（G2）實(shí)現(xiàn)主機(jī)入侵防護(hù)惡意代碼防范（G2）實(shí)現(xiàn)基于主機(jī)的防病毒資源控制（A2）應(yīng)對(duì)服務(wù)器訪問(wèn)數(shù)量進(jìn)行限制應(yīng)用安全身份鑒別（S2）軟件實(shí)現(xiàn)身份認(rèn)證訪問(wèn)控制（S2）軟件實(shí)現(xiàn)訪問(wèn)控制安全審計(jì)（G2）應(yīng)在應(yīng)用軟件中實(shí)現(xiàn)安全審計(jì)通信完整性（S2）應(yīng)在應(yīng)用軟件中對(duì)重要數(shù)據(jù)進(jìn)行完整性檢驗(yàn)通信保密性（S2）應(yīng)在應(yīng)用軟件中對(duì)重要數(shù)據(jù)機(jī)密性傳輸保護(hù)軟件容錯(cuò)（A2）應(yīng)在應(yīng)用軟件中對(duì)輸入信息進(jìn)行控制資源控制（A2）應(yīng)實(shí)現(xiàn)對(duì)應(yīng)用系統(tǒng)的連接控制數(shù)據(jù)安全數(shù)據(jù)完整性（S2）應(yīng)實(shí)現(xiàn)對(duì)重要數(shù)據(jù)的機(jī)密性保護(hù)數(shù)據(jù)保密性（S2）應(yīng)實(shí)現(xiàn)對(duì)重要數(shù)據(jù)的完整性保護(hù)備份和恢復(fù)（A2）磁盤備份（數(shù)據(jù)備份） 安全管理系統(tǒng)國(guó)家某局的安全管理系統(tǒng)包括外網(wǎng)的終端安全管理服務(wù)器、網(wǎng)絡(luò)殺毒管理服務(wù)器和網(wǎng)絡(luò)入侵檢測(cè)管理服務(wù)器組成，其中終端安全管理服務(wù)器和網(wǎng)絡(luò)殺毒管理服務(wù)器存在對(duì)應(yīng)用系統(tǒng)的訪問(wèn)。終端安全管理服務(wù)器和網(wǎng)絡(luò)殺毒管理服務(wù)器在對(duì)應(yīng)用系統(tǒng)服務(wù)器的訪問(wèn)上屬于混用模式，無(wú)法做到按不同系統(tǒng)進(jìn)行劃分，因此本規(guī)劃中將安全管理系統(tǒng)視為單獨(dú)的系統(tǒng)，進(jìn)行單獨(dú)的防護(hù)，其防護(hù)需求包括：n 對(duì)其他系統(tǒng)服務(wù)器的訪問(wèn)控制：利用防火墻進(jìn)行網(wǎng)絡(luò)層邊界防護(hù)和訪問(wèn)控制。限制終端安全管理服務(wù)器和網(wǎng)絡(luò)殺毒服務(wù)器對(duì)應(yīng)用服務(wù)器的訪問(wèn)行為，禁止其他安全管理服務(wù)器訪問(wèn)應(yīng)用服務(wù)器； n 與終端區(qū)域之間的訪問(wèn)控制：利用防火墻進(jìn)行網(wǎng)絡(luò)層訪問(wèn)控制。限制網(wǎng)絡(luò)殺毒服務(wù)器及終端安全管理服務(wù)器與終端區(qū)域之間的訪問(wèn)行為，禁止網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)管理服務(wù)器對(duì)終端區(qū)域發(fā)起訪問(wèn)；僅允許終端區(qū)域的管理維護(hù)終端對(duì)所有管理服務(wù)器的管理訪問(wèn)；n 對(duì)管理服務(wù)器的自身防護(hù)：應(yīng)統(tǒng)一部署服務(wù)器防病毒系統(tǒng)，并進(jìn)行管理服務(wù)器系統(tǒng)的安全加固配置，提升服務(wù)器系統(tǒng)自身的安全性。 終端系統(tǒng)國(guó)家某局外網(wǎng)的辦公終端在對(duì)應(yīng)用系統(tǒng)的訪問(wèn)上屬于混用模式，且無(wú)專用的管理維護(hù)終端（在辦公終端上實(shí)現(xiàn)管理維護(hù)）；無(wú)法做到按不同系統(tǒng)使用不同終端進(jìn)行訪問(wèn)，因此本規(guī)劃中將終端視為單獨(dú)的系統(tǒng)，進(jìn)行單獨(dú)的防護(hù)，其防護(hù)需求包括：n 對(duì)其他系統(tǒng)服務(wù)器的訪問(wèn)控制：利用現(xiàn)有的防火墻進(jìn)行網(wǎng)絡(luò)層訪問(wèn)控制。限制不同類型的終端對(duì)不同的應(yīng)用服務(wù)器進(jìn)行訪問(wèn)，禁止普通辦公終端訪問(wèn)安全管理服務(wù)器；對(duì)于管理維護(hù)終端則在策略上允許對(duì)安全管理服務(wù)器的維護(hù)操作。n 對(duì)應(yīng)用系統(tǒng)的認(rèn)證和訪問(wèn)控制：通過(guò)應(yīng)用系統(tǒng)的認(rèn)證和訪問(wèn)控制功能來(lái)實(shí)現(xiàn)，根據(jù)終端使用者的角色來(lái)分配可使用的模塊和功能；n 對(duì)終端的自身防護(hù)：一方面應(yīng)統(tǒng)一防病毒系統(tǒng)的型號(hào)，改變目前終端防病毒軟件不統(tǒng)一，無(wú)法進(jìn)行統(tǒng)一的病毒管理的問(wèn)題；另一方面利用已部署的北信源終端安全管理平臺(tái)，來(lái)實(shí)現(xiàn)終端的健康性檢查，包括終端的資產(chǎn)管理、終端自身安全防護(hù)、終端行為監(jiān)管、終端補(bǔ)丁統(tǒng)一升級(jí)等，應(yīng)在現(xiàn)有的終端安全管理平臺(tái)上安裝補(bǔ)丁升級(jí)服務(wù)器，實(shí)現(xiàn)補(bǔ)丁的自動(dòng)升級(jí)；n 終端的非法接入控制和非法外聯(lián)控制：利用部署的北信源終端安全管理平臺(tái)來(lái)實(shí)現(xiàn)，防止終端私自通過(guò)其他方式接入互聯(lián)網(wǎng)；通過(guò)網(wǎng)絡(luò)設(shè)備的端口安全特性結(jié)合北信源系統(tǒng)限制非某局許可的終端接入國(guó)家某局外網(wǎng)，對(duì)局里的信息系統(tǒng)造成非法的訪問(wèn)。 符合等級(jí)保護(hù)管理要求的需求根據(jù)對(duì)等級(jí)保護(hù)管理要求，分析而得到的差異性需求包括：防護(hù)層面要求選擇差異性需求管理機(jī)構(gòu)崗位設(shè)置（G3）應(yīng)補(bǔ)充設(shè)置安全管理員、安全審計(jì)員職位；并定義其崗位的工作職責(zé)和技術(shù)能力要求。人員配備（G3）應(yīng)配備專職安全管理員，不可兼任。授權(quán)和審批（G3）建立健全授權(quán)和審批程序，對(duì)系統(tǒng)變更、物理訪問(wèn)、系統(tǒng)接入、補(bǔ)丁升級(jí)等事件，均須經(jīng)過(guò)授權(quán)和審批方可執(zhí)行；同時(shí)，根據(jù)各個(gè)部門和崗位的職責(zé)明確授權(quán)審批事項(xiàng)、審批部門和批準(zhǔn)人等。安全管理工作組應(yīng)該定期審查審批事項(xiàng)，及時(shí)對(duì)審批事件進(jìn)行更新。審核和授權(quán)須保存書(shū)面文檔。溝通和合作（G3）應(yīng)定期召開(kāi)安全工作會(huì)議，對(duì)前一階段安全工作的總結(jié)，提出問(wèn)題，在下一階段的安全工作中予以改進(jìn)；通過(guò)等級(jí)保護(hù)備案，與公安機(jī)關(guān)建立安全工作的聯(lián)系；審核和檢查（G3）應(yīng)針對(duì)現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等，制定安全檢查表格實(shí)施安全檢查，組織辦公室、信息辦及信息安全相關(guān)人員進(jìn)行周期性檢查匯總安全檢查數(shù)據(jù)，形成安全檢查報(bào)告，并對(duì)安全檢查結(jié)果進(jìn)行通報(bào)。安全制度管理制度（G3）制度體系應(yīng)包含信息安全總體策略、信息安全標(biāo)準(zhǔn)與規(guī)范、信息安全指南和細(xì)則三個(gè)層面。通過(guò)信息安全策略、信息安全標(biāo)準(zhǔn)與規(guī)范、信息安全指南和細(xì)則將信息安全戰(zhàn)略逐步細(xì)化、落實(shí)制定和發(fā)布（G3）安全策略系列文檔制定后，必須采取有效手段和途徑發(fā)布和執(zhí)行。發(fā)布和執(zhí)行過(guò)程中除了要得到管理層的大力支持和推動(dòng)外，還必須要有合適的、可行的發(fā)布和推動(dòng)手段。評(píng)審和修訂（G3）應(yīng)每年對(duì)制度體系內(nèi)的文檔進(jìn)行審核和修行，包括：n 網(wǎng)絡(luò)與信息安全策略；n 網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)中。網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)不需要全部更新，可以僅對(duì)因系統(tǒng)變更而受影響的部分進(jìn)行更新。n 安全管理組織機(jī)構(gòu)和人員的安全職責(zé)；n 操作流程；n 各類管理規(guī)定、管理辦法和暫行規(guī)定；n 用戶協(xié)議。人員安全人員錄用（G3）信息安全關(guān)鍵崗位的人員，應(yīng)從內(nèi)部人員中選拔，并與之簽署崗位安全協(xié)議。人員離崗（G3）規(guī)范人員離崗過(guò)程，即時(shí)收回離崗人員的各類權(quán)限，要求離崗人員履行保密義務(wù)。人員考核（G3）應(yīng)定期對(duì)各個(gè)崗位人員進(jìn)行安全知識(shí)和技能的考核，并對(duì)關(guān)鍵崗位人員進(jìn)行安全審計(jì)。安全意識(shí)教育和培訓(xùn)（G3）應(yīng)定期的針對(duì)不同崗位職責(zé)的員工，邀請(qǐng)內(nèi)部人員和外部專家進(jìn)行有針對(duì)性的安全教育和培訓(xùn)。國(guó)家某局發(fā)布新的安全管理策略體系時(shí)，應(yīng)對(duì)全體員工進(jìn)行制度的培訓(xùn)。所有培訓(xùn)均需保存培訓(xùn)記錄。外部人員訪問(wèn)管理（G3）應(yīng)該針對(duì)外部人員訪問(wèn)制定相應(yīng)的管理規(guī)定，執(zhí)行正規(guī)的申請(qǐng)審批和記錄，訪問(wèn)過(guò)程中須由專人陪同和監(jiān)督。系統(tǒng)建設(shè)系統(tǒng)定級(jí)（G3）n 舉行專家論證會(huì)。補(bǔ)充系統(tǒng)定級(jí)專家論證文檔。n 將定級(jí)結(jié)果送到相關(guān)部門報(bào)批。獲得批準(zhǔn)蓋章。n 制定《系統(tǒng)定級(jí)管理制度》安全方案設(shè)計(jì)（G3）n 補(bǔ)充系統(tǒng)安全建設(shè)計(jì)劃。216。 明確系統(tǒng)近期安全建設(shè)計(jì)劃216。 明確了系統(tǒng)遠(yuǎn)期安全建設(shè)計(jì)劃n 為各系統(tǒng)制定總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等配套文件，并得到國(guó)家某局管理層批準(zhǔn)。n 舉行安全方案專家論證會(huì)，獲得論證意見(jiàn)文檔。n 制定并落實(shí)《安全方案管理制度》