【正文】 附 錄 A(資料性附錄)安全工程要求與安全保護等級、安全工程流程的對應關系。也可能要采取措施對數(shù)據(jù)進行加密以便將來使用，如采取適當?shù)牟襟E確保對密鑰的長期和安全存儲。硬件和軟件可被出售，贈送或丟棄。信息可轉移到其它系統(tǒng)、存檔、丟棄或銷毀。首先應確定驗證和證實的目標并確定解決辦法；定義驗證和證實每種解決方案的方法和嚴密等級；驗證解決辦法實現(xiàn)了與上一抽象層相關的要求；最后執(zhí)行驗證并提供驗證和證實的結果。a) 需求方向相應的主管部門提出驗收申請；試運轉測試期間，承建者應觀察記錄產品的各項功能實施情況，并主要對以下問題進行測試及觀1) 交換機等核心設備各項功能在運轉時情況； 在移交測試中，應由開發(fā)者和承建者共同擬定測試內容、測試指標、測試結果說明、測試儀器及方法等內容，并報告給需求方和投資者審查通過。b) 移交測試測試和測量的內容應作詳細的工作文檔記錄，這些文檔包括工程測試方法、測試結果、測試指標結果等。如果工程的實際建設與原詳細設計有差別或變更的，應提交實施方通過，如遇重大改動，還應提請專家組重新審議，并經通過后方可進行。 在開始工程實施前后，實施方應向需求方提交相應文檔資料，直到工程移交。面對眾多的硬件商、系統(tǒng)軟件商、數(shù)據(jù)庫廠商、應用軟件商，其產品和服務的開放性、兼容性、可擴展性和可維護性是考察的一個重要標準。設計方案應能深刻理解網絡現(xiàn)狀并能提供直接的解決方案，應從技術和管理兩個方面進行考慮，應是管理制度和網絡解決方案的結合。本階段的目的是：完成系統(tǒng)的頂層設計、初步設計和詳細設計，決定組成系統(tǒng)的配置項，定下系統(tǒng)指標。需求分析應完成一份功能需求草案。 需求分析在需求分析中，各方應進一步發(fā)展上一階段得出的系統(tǒng)需求和概念，總結出一份正式的系統(tǒng)需求報告，為系統(tǒng)的設計和測試做好準備。 方案的初步確立在方案的初步確立中，需求方應該確定安全保證目標，并為所有保證目標定義一個安全保證策略；識別并控制安全保證證據(jù)，和對安全保證證據(jù)進行分析；確定的草案必須能提供證明顧客安全需求得到滿足的安全保證性論據(jù)。 項目立項需求方應根據(jù)系統(tǒng)構建情況，對信息系統(tǒng)安全風險進行分析，得出清晰明確的安全需求。中長期規(guī)劃應作為具體建設項目立項的主要依據(jù)。需求方可以選擇某些關鍵節(jié)點對安全工程要求實現(xiàn)與否進行審核，這些審核的結果一般會對整個安全工程的品質產生較為重要的影響。 安全保護等級劃分安全工程要求對照表e) 剪裁系統(tǒng)工程支持環(huán)境（）； 組織保證要求在這個級別上，應基于組織的目標針對過程有效性和效率建立量化執(zhí)行目標；通過執(zhí)行已定義過程新概念、新技術的量化反饋來保證對實現(xiàn)這些目標的過程進行連續(xù)改進；除滿足第四級的要求外，還應要求組織的全面安全計劃成為組織文化的有機組成部分；保證具有持續(xù)完善的組織保證管理，并對計算機信息系統(tǒng)安全實施全面的質量管理；安全組織保證過程中6個要求項的過程應完整、明確，除完全達到每個要求項的所有要求外，所有要求項中的要求子項應完整并滿足要求，也就是在滿足第四級的組織保證基礎上，還應滿足下列要求子項的要求并且能與歷史資料進行對比，利用模型進行優(yōu)化：a) 規(guī)劃過程改進（）；d) 信息安全產品應具有在國內生產、經營、銷售的許可證，并符合相應的等級()；保證計算機信息系統(tǒng)安全保護等級達到GB/T 、GB/T 。i) 定義項目界面（）。e) 指導技術活動（）；a) 參與質量活動（）；l) 獲取系統(tǒng)運行的安全思想（）；h) 促進協(xié)調（）；d) 綜合系統(tǒng)脆弱性（）； 工程實施要求安全工程中11個要求項的過程完整、明確，完全達到每個要求項的目標、概述要求，所有要求子項提供的證據(jù)材料應完整、全面，文檔化管理應能夠與日常運行和歷史資料進行對比，能使用有效的控制手段對要求和要求子項進行過程管理。b) 改變標準過程（）；f) 系統(tǒng)聘請專業(yè)監(jiān)理公司，且監(jiān)理公司具有國家主管部門認可監(jiān)理資質證書（）；b) 國家主管部門認可的服務人員資質()；范圍：在達到第三級管理目標的基礎上，要求計算機信息系統(tǒng)的使用單位能夠使用有效的控制手段對各項要求和文檔清單進行管理。h) 開發(fā)項目進度表（）；d) 溝通配置狀況（）；在這一級別，項目實施按照充分定義的過程執(zhí)行，充分定義的過程是依據(jù)對文檔化的標準過程進行裁剪并經批準的過程；本級別利用組織范圍內的過程標準來管理和規(guī)劃，在實現(xiàn)第二級項目管理目標的基礎上，要求對需求方、系統(tǒng)資源和工程過程進行規(guī)范記錄，建立健全一系列的安全管理制度，實現(xiàn)制度化管理。t) 分析工程選項的安全性（）；p) 評估威脅的可能性（）；l) 標識自然威脅（）；h) 標識和特征化影響（）；d) 對影響進行優(yōu)先級排列（）； 工程實施要求在這一級別，工程實施按照充分定義的過程執(zhí)行，充分定義的過程是依據(jù)對文檔化的標準過程進行裁剪并經批準的過程；利用組織范圍內的過程標準來管理和規(guī)劃，在達到第二級工程管理目標的基礎上，要求對需求方、系統(tǒng)資源和工程過程進行規(guī)范記錄，建立健全一系列的安全管理制度，實現(xiàn)制度化管理。j) 培訓人員（）；f) 維持技術認識（）；b) 開發(fā)組織的系統(tǒng)工程過程（）； 組織保證要求在這一級別，組織保證按照充分定義的過程執(zhí)行，充分定義的過程是依據(jù)對文檔化的標準過程進行裁剪并經批準的過程版本；本級別利用組織范圍內的過程標準來管理和規(guī)劃，在實現(xiàn)第二級工程管理目標的基礎上，要求實現(xiàn)制度化管理。d) 信息安全產品應具有在國內生產、經營、銷售的許可證，并符合相應的等級()；保證計算機信息系統(tǒng)安全保護等級達到GB/T 、GB/T 。o) 設立技術參數(shù)（）；k) 跟蹤項目資源（）；g) 評估項目風險（）；c) 測量過程質量（）；應驗證特定步驟的執(zhí)行；工作產品應符合指定的標準和需求；測量用于跟蹤要求項的執(zhí)行情況；項目實施能夠基于實際執(zhí)行活動進行管理。s) 執(zhí)行驗證（）；o) 標識可用的法律、策略和約束（）；k) 檢查安全態(tài)勢（）；g) 提供保證論據(jù)（）；c) 監(jiān)視安全風險及其特征（）；應驗證特定步驟的執(zhí)行；工作產品應符合指定的標準和需求；測量用于跟蹤要求項的執(zhí)行情況；工程實施能夠基于實際執(zhí)行活動進行管理。g) 確定系統(tǒng)的組件或服務（）；c) 監(jiān)視系統(tǒng)工程支持環(huán)境（）； 組織保證要求組織保證基本要求項是經計劃并被跟蹤。b) 國家主管部門認可的服務人員資質()；b) 管理配置()；i) 提供安全輸入()；e) 評估脆弱性()；a) 管理安全控制()；d) 管理系統(tǒng)工程支持環(huán)境()；b) 系統(tǒng)應符合國家相關的法律、法規(guī)和政策（）； 組織保證要求組織保證過程中下列6個要求項的過程應完整、明確，應基本達到每個要求項的目標；此級別組織內的個人可標識出一個行動應被執(zhí)行，并同意這個行動會在需要時執(zhí)行。范圍：這個級別應該制定安全工程計劃，明確計算機信息系統(tǒng)的安全目標和安全范圍并經組織內或具有所有權單位的主管領導批準。 應確保在整個工程中通過有影響的團體和個人，對過程、資源、進度表和信息需求有自上而下的共同理解。每個可跟蹤的技術參數(shù)應該有一個期望的校正閾值或公差；在項目進度表中的重要時間點關鍵技術參數(shù)應進行事先估算。 開發(fā)項目進度表 為項目的整個生存周期制定技術進度表。 在最高層的技術過程應遵循基于工程特征、組織特征和組織的標準過程的生存周期模型。 應通過將系統(tǒng)分解成與其它項目相似的組成單元的辦法來對項目范圍和規(guī)模進行估計；對規(guī)模的估計可以調整為如復雜性差異或其它參數(shù)等因素?！胺治鲰椖繂栴}”“采取修正行動”“協(xié)調安全”。 采取修正行動 當實際結果偏離計劃時或技術參數(shù)預示著將有問題時，應采取修正行動。 評審項目執(zhí)行 根據(jù)技術性管理計劃執(zhí)行評審。 跟蹤項目資源 根據(jù)技術性管理計劃跟蹤資源的實際利用情況。在開發(fā)和系統(tǒng)運行時，“監(jiān)視安全態(tài)勢”“管理安全控制”。 定期檢查已經有效實施的降低項目風險活動，測量結果并確定該活動是否成功。 評審項目風險評估的充分性，以確定是否需要修改或取消基于風險的承諾。 標識項目風險 通過檢查項目目標（并考慮到選擇和限制）確定可能出現(xiàn)哪些差錯并以這兩種方法來標識項目的風險。工程實施要求項列出 “安全風險”活動，這些活動是用來確定是否可容忍殘余安全脆弱性對運行的影響。 管理項目風險 基本要求應標識、評估、監(jiān)視和降低風險以使系統(tǒng)工程活動和全部技術活動均取得成功；這個要求項要持續(xù)整個工程生存周期。 控制變化 對已建立的配置項的變化進行控制，包括跟蹤每個配置項的配置；如需要批準新的配置，應更新系統(tǒng)的基線。 配置管理過程的描述?！肮芾砼渲谩敝袑σ粋€系統(tǒng)/“建立保證論據(jù)”的保證目標所詳細要求的級別。 發(fā)起改進質量的活動應發(fā)起以質量問題或質量改進問題為主題的有關活動。 測量過程質量對項目所使用的系統(tǒng)工程過程的質量進行測量。 監(jiān)視所定義過程的一致性 確保項目是按照所定義的系統(tǒng)工程過程來執(zhí)行的；應按相應的時間間隔來檢查一致情況；應將與所定義的過程相偏離以及該偏離所帶來的影響記錄下來。 提供驗證和確認的結果為其它工程組收集并提供驗證和確認的結果；驗證和確認的結果應以某種易被理解和使用的方式所提供；所有結果應被跟蹤。 執(zhí)行驗證 應通過顯示解決辦法實現(xiàn)與上一抽象層相關的要求，“建立保證論據(jù)”的結果所標識的保證需要；“定義驗證和確認方法”中有標識；個人需求和整個系統(tǒng)都要受到檢測。 驗證和確認安全性 基本要求應確保解決安全問題的辦法已經被驗證與證實。 獲取安全的高層目標確定在運行環(huán)境中對系統(tǒng)安全性是足夠的安全目標；獲取高層安全目標就是定義系統(tǒng)的安全性。 定義系統(tǒng)的安全邊界；組織的許多外部因素也影響組織安全要求的變化程度，監(jiān)視和定期地評估策略上的傾向性和策略重點的改變、技術開發(fā)、經濟影響、全局性事件以及信息戰(zhàn)等變化帶來的潛在影響。所有部門，包括用戶之間應達成對安全要求的共識；應定義整個信息系統(tǒng)中所有安全方面的活動，通過在整個項目中收集、提煉、使用和更新（）這一要求項所獲得和產生的信息，提出安全要求。 提供安全工程指南制定出與安全相關的指南，并將它提供給工程組。 標識安全選項標識出與安全相關的工程問題的解決辦法選項；解決辦法可以多種形式提供。 “指定安全要求”中確定的需求。 保護安全監(jiān)視的記錄數(shù)據(jù)保證與安全監(jiān)視有關的設備得到相應的保護，監(jiān)視活動包括封存和歸檔相關的日志、審計報告和相關分析結果。 監(jiān)視安全防護措施 檢測安全防護措施的執(zhí)行情況，標識出安全防護措施執(zhí)行中的變化。 分析事件記錄檢測安全相關性信息的歷史和事件記錄，通過多條記錄中的事件相關元素，標識出安全事件；分析事件記錄，以確定事件的原因、預測可能發(fā)生的事件。 促進安全工程的協(xié)調。 協(xié)調安全 基本要求應協(xié)調并保持安全工程所涉及到安全組織、其他工程組織和外部組織之間的關系；以保證所有部門都有一種參與安全工程的意識。 控制保證證據(jù)安全保證證據(jù)通過與所有工程實施要求項相互配合，在安全保證策略內標識出的不同層面抽象的證據(jù)的方法進行收集；證據(jù)應受到控制。 安全保證目標應清晰地溝通。 標識保證目標 標識安全保證目標。 監(jiān)視脆弱性及其特征 “監(jiān)視變化”中變化的一般性監(jiān)視活動緊密相連。 選擇對一確定環(huán)境中系統(tǒng)安全脆弱性進行標識和特征化的方法、技術和標準。 監(jiān)視威脅范圍中不斷的變化以及相應特征的變化。 評估威脅影響的效果 確定對系統(tǒng)進行成功攻擊的黑客潛在的能力。 標識自然威脅標識由自然原因引起的相應威脅。 按優(yōu)先級對風險進行排列?！敖⒈ＷC論據(jù)”密切相關，因為證據(jù)能用于追蹤修改，從而在某種輸入下降低不確定性。 標識威脅/脆弱性/影響三組合（風險）。 評估安全風險 基本要求應對在特定環(huán)境中運行該系統(tǒng)相關的安全風險進行標識與評價，并按照一定的方法對風險問題進行優(yōu)先級排序。 選擇影響的度量應預先確定適合的度量用于評估影響。 對影響進行優(yōu)先級排列對在系統(tǒng)中起關鍵作用的運行、業(yè)務或任務的能力進行標識、分析和按優(yōu)先級排列。 管理所有的需求方和管理員的安全意識、培訓和教育大綱。 本項目應該保證承擔相應安全責任的人員是負責的，并獲得相應的授權；應該保證采用的所有安全控制措施是明確的，并被廣泛和一致地應用。 組織與供應商要對期望的和所需的溝通建立相互諒解。 以合乎邏輯和公平的方式選擇供應商以滿足產品的目標；提供最能彌補本組織能力的供應商特征，標識合格的候選者；“管理安全控制”的實