【正文】 。 基線配置 要求 編制系統(tǒng)資產(chǎn)清單和當(dāng)前系統(tǒng)的基線配置； 對資產(chǎn)清單和基線配置的更新作為系統(tǒng)更新或擴(kuò)展的一項必要工作 ； 使用自動化工具自動生成和維護(hù)資產(chǎn)清單和基線配置。要將對資產(chǎn)清單和基線配置的更新作為系統(tǒng)更新或擴(kuò)展的一項必要工作，保證資產(chǎn)清單和基線配置能反映系統(tǒng)當(dāng)前的真實情況。 信息系統(tǒng)的管理和維護(hù)人員要在明確安全需求的基礎(chǔ)上，熟悉各個軟硬件設(shè)備的當(dāng)前配置情況，并在信息系統(tǒng)出現(xiàn)變更時按照配置管理策略和配置管理流程對配置進(jìn)行及時的修改和記錄。 配置管理 配置管理是信息系統(tǒng)運行管理的一個重要組成部分。開發(fā)安全測試和評估結(jié)果應(yīng)提交用于信息系統(tǒng)交付的安全認(rèn)證和認(rèn)可過程。 內(nèi)容 為信息系統(tǒng)開發(fā)建立和實施了相應(yīng)的配置管理計劃； 在控制可發(fā)過程之中的變更 有記錄。 內(nèi)容 驗證協(xié)議 的執(zhí)行情況，監(jiān)控實際操作與協(xié)議的符合程度，對與協(xié)議不符的地方進(jìn)行相應(yīng)的管理，來確保第三方所提供的服務(wù)達(dá)到了協(xié)議中的要求； 第三方實施了在第三方服務(wù)提供中所規(guī)定的安全控制措施，服務(wù)定義和提供服務(wù)的級別。 外包信息系統(tǒng)服務(wù) 要求 執(zhí)行和維護(hù)在服務(wù)協(xié)議中規(guī)定的信息安全服務(wù)提供級別； 對第三方的服務(wù)提供進(jìn)行管理； 對第三方 的服務(wù)的監(jiān)控和審核進(jìn)行管理； 對第三方服務(wù)變更進(jìn)行管理。 安全設(shè)計原則 要求 使用安全工程原則設(shè)計和實施信息系統(tǒng)。 用戶安裝的軟件 要求 對軟件的下載和安裝要有明確的規(guī)定； 對軟件的類型進(jìn)行識別和分類，確認(rèn)哪些是可以下載和安裝的，哪些是被禁止的。 內(nèi)容 制定軟件使用政策，遵守軟件許可協(xié)議，禁止使用盜版軟件； 控制用戶可訪問的范圍，監(jiān)控異常情況。 內(nèi)容 信息系統(tǒng)文件（如安全設(shè) 計方案、建設(shè)方案、管理員和用戶指南、系統(tǒng)安全配置參考文件等）完整， 清晰地定義了文檔的授權(quán)級別。 內(nèi)容 采購合同滿足該行業(yè)相關(guān)的安全需求； 在信息系統(tǒng)所要求的文檔中 包括了相應(yīng)的安全配置說明和安全實施指南。 內(nèi)容 在相關(guān)的信息管理系統(tǒng)中明確 關(guān)于系統(tǒng)生命周期的說明； 有對應(yīng)系統(tǒng)開發(fā)周期的相應(yīng)的 實施 指南。 內(nèi)容 定義 投資控制的范圍 ； 信息系統(tǒng)規(guī)劃中 定義了相應(yīng)的安全要求。 系統(tǒng)與服務(wù)采購 系統(tǒng)和服務(wù)采購涉及到資源分配、生命周期支 持、信息系統(tǒng)文件、軟件使用限制、用戶安裝的軟件、安全設(shè)計原則、外包信息系統(tǒng)服務(wù)、開發(fā)人員配置管理、開發(fā)人員安全測試十個項目內(nèi)容。 要求 監(jiān)控信息系統(tǒng)現(xiàn)有的安全控制措施，有計劃地持續(xù)進(jìn)行配置管理、信息系統(tǒng)組件控制、系統(tǒng)變更后的安全影響分析、現(xiàn)有安全控制措施評估和狀態(tài)匯報等工作。 內(nèi)容 信息系統(tǒng)的技術(shù)控制措施，安全管理規(guī)章和工程建設(shè)過程符合有關(guān)規(guī)定， 并 通過了有關(guān)的評估和認(rèn)證 ； 當(dāng)前使用的信息安全產(chǎn)品符合 相關(guān)規(guī)定， 并 通過了有關(guān)的評估和認(rèn)證。 安全認(rèn)可 保障信息系統(tǒng)的安全運行。 要求 當(dāng)前投入 使用的信息系統(tǒng)安全技術(shù)產(chǎn)品應(yīng)該按照有關(guān)法律法規(guī)得到國家權(quán)威機(jī)構(gòu)的測評和 認(rèn)證，以確定信息安全技術(shù)產(chǎn)品的功能和性能可以滿足系統(tǒng)的安全需求； 邀請 國家權(quán)威機(jī)構(gòu)對本單位信息系統(tǒng)進(jìn)行測評和認(rèn)證，以確定信息系統(tǒng)的技術(shù)控制 措施，安全管理規(guī)章和工程建設(shè)過程可以為 系統(tǒng)的安全提供充分的保障； 安全認(rèn)證應(yīng)結(jié)合到系統(tǒng)開發(fā)的生命周期（ SDLC）中 ,并貫穿在生命周期的各個階段。 內(nèi)容 當(dāng) 信息系統(tǒng)發(fā)生重大變更時 ，如設(shè)備改變或其它影響系統(tǒng)安全狀態(tài)時， 進(jìn)行了風(fēng)險評估更新， 并對以前的風(fēng)險評估有 更新記錄； 有針對風(fēng)險評估更新而制定的具體標(biāo)準(zhǔn)。 風(fēng)險評估更新 信息系統(tǒng)的風(fēng)險評估處于一個動態(tài)平衡狀態(tài)，當(dāng)系統(tǒng)內(nèi)部有所變化，相對應(yīng)的風(fēng)險級別發(fā)生新的更新以符合新的風(fēng) 險狀態(tài)。 要求 標(biāo)識信息系統(tǒng)的資產(chǎn)價值，識別信息系統(tǒng)面臨的自然和人為的威脅，識別信息系統(tǒng)的脆弱性，分析各種威脅發(fā)生 的可能性，并定量或定性的描述可能造成的損失、評估系統(tǒng)的風(fēng)險級別； 定期進(jìn)行風(fēng)險評估，以定期審核系統(tǒng)的安全風(fēng)險和已實施的安全控制的效果。 內(nèi)容 根據(jù) 法律要求， 對 敏感性和關(guān)鍵性等因素對信息及信息系統(tǒng)進(jìn)行分類。 安全分類 在于對不同類別的信息和信息系統(tǒng)提供出不同等級的安全保護(hù)。 內(nèi)容 有相應(yīng)的安全培訓(xùn)記錄 。 內(nèi)容 根據(jù) 安全培訓(xùn)計劃和安全培訓(xùn)教材 以及工作人員的安全角色和職責(zé)制定 針對性較強(qiáng)的信息安全培訓(xùn)； 根據(jù) 安全培訓(xùn)記錄 并結(jié)合 安全培訓(xùn)計劃 ， 在適當(dāng)?shù)臅r間，對相關(guān)各類人員進(jìn)行了必要的信息安全培訓(xùn) 。 內(nèi)容 相關(guān)人員 具備基本的信息安全意識 。 安全意識和培訓(xùn)涉及以下內(nèi)容：安全意識、安全培訓(xùn)、安全培訓(xùn)記錄。 安全意識和培訓(xùn) 安全意識和培訓(xùn)的目標(biāo)是確保用戶清 楚信息安全威脅和利害關(guān)系。 人員處罰 要求 建立正規(guī)的程序，處罰或制裁未遵守信息安全策略和流程的員工。 第三方人員安全 要求 建立針對第三方人員（如服務(wù)機(jī)構(gòu)、合作方、信息系統(tǒng)開發(fā)商、信息技術(shù)服務(wù)、應(yīng)用系統(tǒng)外包、網(wǎng)絡(luò) 和安全管理等）的安全要求，并不斷監(jiān)督其遵從安全要求的情況以確保足夠安全。 工作協(xié)議和條款 要求 在對需要訪問信息和信息系統(tǒng)的人員進(jìn)行訪問授權(quán)之前，簽署適當(dāng)?shù)墓ぷ鲄f(xié)議和條款（如，保密協(xié)議、按規(guī)定進(jìn)行使用的協(xié)議、行為規(guī)范等）。 人員調(diào)動 要求 當(dāng) 工作人員被重新分配或調(diào)動到單位其它工作崗位時，應(yīng)復(fù)查信息系統(tǒng)和設(shè)施的訪問授權(quán)，并采取適當(dāng)?shù)拇胧ㄈ缰匦掳l(fā)放身份卡，關(guān)閉原有賬戶的同時創(chuàng)建新賬戶，更改系統(tǒng)的訪問授權(quán)等） 。 人員工作合同終止 要求 當(dāng)人員工作合同終止時，應(yīng)終止人員對信息系統(tǒng)的訪問，并確保其歸還所擁有與組織相關(guān)的資產(chǎn)； 制定 員工注冊和注銷流程，來授予和撤銷員工