【正文】 形成安全控制集成報告應將安全控制集成過程相關內容文檔化，并形成安全控制集成報告，其包含集成實施方案、質量控制方案、集成實施報告以及培訓考核記錄等內容。例如：綜合布線系統(tǒng)施工過程中，應該及時利用網絡測試儀測定線路質量，及早發(fā)現并解決質量問題。集成實施應嚴格按照集成進度安排進行，出現問題各方應及時溝通。該質量控制方案應該確定系統(tǒng)實施各個階段的質量控制目標、控制措施、工程質量問題的處理流程、系統(tǒng)實施人員的職責要求等，并提供詳細的安全控制集成進度表。b) 集成準備主要工作內容是對實施環(huán)境進行準備，包括硬件設備準備、軟件系統(tǒng)準備、環(huán)境準備。活動輸入：安全詳細設計方案。安全控制集成的過程需要把安全實施、風險控制、質量控制等有機結合起來，遵循運營使用單位與信息安全服務機構共同參與相互配合的實施的原則。活動輸出：安全控制開發(fā)過程相關文檔。測試分為單元測試、集成測試、系統(tǒng)測試和以用戶試用為主的用戶測試四個步驟。d) 編碼實現按照設計進行硬件調試和軟件的編碼，在編碼和開發(fā)過程中，要關注硬件組合的安全性和編碼的安全性，并通過論證和測試。按照功能的需求和模塊劃分進行各個部分的詳細設計，包含接口設計和管理方式設計等。b) 概要設計概要設計要考慮安全方案中關于身份鑒別、訪問控制、安全審計、剩余信息保護、通信完整性、通信保密性、抗抵賴等方面的指標要求，設計安全措施模塊的體系結構，定義開發(fā)安全措施的模塊組成，定義每個模塊的主要功能和模塊之間的接口?；顒虞斎耄喊踩敿氃O計方案。因此，在應用系統(tǒng)開發(fā)的同時，要依據安全詳細設計方案進行安全控制的開發(fā)設計，保證系統(tǒng)應用與安全控制同步建設?！?安全控制開發(fā)活動目標：本活動的目標是對于一些不能通過采購現有信息安全產品來實現的安全措施和安全功能，通過專門進行的設計、開發(fā)來實現。對于密碼產品的使用，應當按照國家密碼管理的相關規(guī)定進行選擇和使用。b) 產品選擇在依據產品采購說明書對現有產品進行選擇時，不僅要考慮產品的使用環(huán)境、安全功能、成本（包括采購和維護成本）、易用性、可擴展性、與其他產品的互動和兼容性等因素，還要考慮產品質量和可信性?；顒用枋觯罕净顒又饕ㄒ韵伦踊顒觾热荩篴) 制定產品采購說明書信息安全產品選型過程首先依據安全詳細設計方案的設計要求，制定產品采購說明書，對產品的采購原則、采購范圍、指標要求、采購方式、采購流程等方面進行說明，然后依據產品采購說明書對現有產品進行比對和篩選。參與角色：信息安全產品供應商，信息系統(tǒng)運營、使用單位?；顒虞敵觯焊麟A段管理過程文檔。因此在建設系統(tǒng)的過程中，必須制訂項目進度計劃，繪制網絡圖，將系統(tǒng)分解為不同的子任務，并進行時間控制確保項目的如期完成。一旦批準變更，必須設定一個程序來執(zhí)行變更。每一次的變更處理，必須遵循同樣的程序，即相同的文字報告、相同的管理辦法、相同的監(jiān)控過程。在整個系統(tǒng)建設過程中，風險管理要貫穿始終。在整個系統(tǒng)的生命周期中，通過測量、分析和修正活動，保證所完成目標和過程的質量。同時，還要保證用于創(chuàng)建系統(tǒng)的過程的質量。 活動輸入：安全設計與實施階段參與各方相關進度控制和質量監(jiān)督要求文檔?！?安全實施過程管理活動目標：本活動的目標是在系統(tǒng)定級、規(guī)劃設計、實施過程中，對工程的質量、進度、文檔和變更等方面的工作進行監(jiān)督控制和科學管理?；顒用枋觯横槍ζ胀▎T工、管理員、開發(fā)人員、主管人員以及安全人員的特定技能培訓和安全意識培訓，培訓后進行考核，合格者發(fā)給上崗資格證書等。參與角色： 信息系統(tǒng)主管部門，信息系統(tǒng)運營、使用單位，信息安全服務機構?；顒虞敵觯?各項管理制度和操作規(guī)范。c) 行為規(guī)范規(guī)定管理制度是通過制度化、規(guī)范化的流程和行為，來保證各項管理工作的一致性?；顒用枋觯罕净顒又饕ㄒ韵伦踊顒觾热荩篴) 應用范圍明確管理制度建立首先要明確制度的應用范圍，如機房管理、帳戶管理、遠程訪問管理、特殊權限管理、設備管理、變更管理等方面的內容。參與角色： 信息系統(tǒng)主管部門，信息系統(tǒng)運營、使用單位，信息安全服務機構?；顒虞敵觯簷C構、角色與職責說明書。活動描述： 本活動主要包括以下子活動內容：a) 安全組織確定識別與信息安全管理有關的組織成員及其角色，例如：操作人員、文檔管理員、系統(tǒng)管理員、安全管理員等，形成安全組織結構表。參與角色： 信息系統(tǒng)運營、使用單位，信息安全服務機構?；顒虞敵觯喊踩敿氃O計方案?；顒用枋觯簩夹g措施落實方案中技術實施內容和管理措施落實方案中管理實施內容等文檔進行整理，形成信息系統(tǒng)安全建設詳細設計方案。 參與角色：信息系統(tǒng)運營、使用單位，信息安全服務機構。活動輸出：管理措施落實方案?；顒用枋觯航Y合系統(tǒng)實際安全管理需要和本次技術建設內容，確定本次安全管理建設的范圍和內容，同時注意與信息系統(tǒng)安全總體方案的一致性。參與角色：信息系統(tǒng)運營、使用單位，信息安全服務機構?；顒虞敵觯杭夹g措施落實方案。對于需對原有網絡進行調整的，給出網絡調整的圖示方案等。對需要開發(fā)的安全控制組件，提出性能指標要求。對需要開發(fā)的安全控制組件，提出功能指標要求?；顒用枋觯罕净顒又饕ㄒ韵伦踊顒觾热荩篴) 結構框架設計依據本次實施項目的建設內容和信息系統(tǒng)的實際情況，給出與總體安全規(guī)劃階段的安全體系結構一致的安全實現技術框架，內容可能包括安全防護的層次、信息安全產品的使用、網絡子系統(tǒng)劃分、IP地址規(guī)劃其他內容。參與角色：信息系統(tǒng)運營、使用單位，信息安全服務機構，信息安全產品供應商。輸入輸出主要過程安全組織結構表各項管理制度和操作規(guī)范系統(tǒng)技術建設過程文檔系統(tǒng)驗收報告管理措施實現安全詳細設計方案信息系統(tǒng)安全總體方案信息系統(tǒng)安全建設項目計劃各類信息技術產品技術白皮書各類信息安全產品技術白皮書安全詳細設計方案安全方案詳細設計技術措施實現安全詳細設計方案信息安全產品采購清單安全控制集成報告系統(tǒng)驗收報告圖4 安全設計與實施流程圖 安全方案詳細設計　 技術措施實現內容設計活動目標：本活動的目標是根據建設目標和建設內容將信息系統(tǒng)安全總體方案中要求實現的安全策略、安全技術體系結構、安全措施和要求落實到產品功能或物理形態(tài)上，提出能夠實現的產品或組件及其具體規(guī)范，并將產品功能特征整理成文檔。7 安全設計與實施 安全設計與實施階段的工作流程安全設計與實施階段的目標是按照信息系統(tǒng)安全總體方案的要求，結合信息系統(tǒng)安全建設項目計劃，分期分步落實安全措施。安全建設項目計劃可包含以下內容：a) 規(guī)劃建設的依據和原則；b) 規(guī)劃建設的目標和范圍；c) 信息系統(tǒng)安全現狀；d) 信息化的中長期發(fā)展規(guī)劃；e) 信息系統(tǒng)安全建設的總體框架；f) 安全技術體系建設規(guī)劃；g) 安全管理與安全保障體系建設規(guī)劃；h) 安全建設投資估算；i) 信息系統(tǒng)安全建設的實施保障等內容?；顒虞斎耄盒畔⑾到y(tǒng)安全總體方案，信息系統(tǒng)分階段安全建設目標，安全建設內容等?！?形成安全建設項目計劃活動目標：本活動的目標是根據建設目標和建設內容，在時間和經費上對安全建設項目列表進行總體考慮，分到不同的時期和階段，設計建設順序，進行投資估算，形成安全建設項目計劃。b） 確定主要安全建設項目組合安全建設內容為不同的安全建設項目，描述項目所解決的主要安全問題及所要達到的安全目標，對項目進行支持或依賴等相關性分析，對項目進行緊迫性分析，對項目進行實施難易程度分析，對項目進行預期效果分析，描述項目的具體工作內容、建設方案，形成安全建設項目列表。活動描述：本活動主要包括以下子活動內容：a） 確定主要安全建設內容根據信息系統(tǒng)安全總體方案明確主要的安全建設內容，并將其適當的分解。參與角色： 信息系統(tǒng)運營、使用單位，信息安全服務機構?；顒虞敵觯?信息系統(tǒng)分階段安全建設目標?；顒用枋觯?本活動主要包括以下子活動內容：a) 信息化建設中長期發(fā)展規(guī)劃和安全需求調查了解和調查單位信息化建設的現況、中長期信息化建設的目標、主管部門對信息化的投入，對比信息化建設過程中階段狀態(tài)與安全策略規(guī)劃之間的差距，分析急迫和關鍵的安全問題，考慮可以同步進行的安全建設內容等。參與角色： 信息系統(tǒng)運營、使用單位，信息安全服務機構?；顒虞敵觯盒畔⑾到y(tǒng)安全總體方案?；顒用枋觯?對安全需求分析報告、信息系統(tǒng)安全技術體系結構和安全管理體系結構等文檔進行整理，形成信息系統(tǒng)總體安全方案。 參與角色： 信息系統(tǒng)運營、使用單位，信息安全服務機構?；顒虞敵觯盒畔⑾到y(tǒng)安全管理體系結構。f) 規(guī)定各等級信息系統(tǒng)安全事件處置和應急管理策略根據機構總體安全策略文件、等級保護基本要求和安全需求，提出各個不同級別信息系統(tǒng)的安全事件處置和應急管理策略等。d) 規(guī)定各等級信息系統(tǒng)介質、設備等的安全管理策略根據機構總體安全策略文件、等級保護基本要求和安全需求，提出各個不同級別信息系統(tǒng)的介質、設備等的安全策略。b) 規(guī)定各等級信息系統(tǒng)的人員安全管理策略根據機構總體安全策略文件、等級保護基本要求和安全需求，提出各個不同級別信息系統(tǒng)的管理人員框架，分配各個級別信息系統(tǒng)的管理人員職責，規(guī)定各個級別信息系統(tǒng)的人員安全管理策略等。活動輸入：信息系統(tǒng)詳細描述文件，信息系統(tǒng)安全保護等級定級報告，安全需求分析報告，信息系統(tǒng)安全等級保護基本要求?！?整體安全管理體系結構設計活動目標：本活動的目標是根據等級保護基本要求、安全需求分析報告、機構總體安全策略文件等，調整原有管理模式和管理策略，既從全局高度考慮為每個等級信息系統(tǒng)制定統(tǒng)一的安全管理策略，又從每個信息系統(tǒng)的實際需求出發(fā)，選擇和調整具體的安全管理措施，最后形成統(tǒng)一的整體安全管理體系結構。f) 形成信息系統(tǒng)安全技術體系結構將骨干網/城域網、通過骨干網/城域網的子系統(tǒng)互聯(lián)、局域網內部的子系統(tǒng)互聯(lián)、子系統(tǒng)的邊界、子系統(tǒng)內部各類平臺、機房以及其他方面的安全保護策略和安全技術措施進行整理、匯總，形成信息系統(tǒng)的安全技術體系結構。e) 規(guī)定不同級別信息系統(tǒng)機房的安全保護技術措施根據機構總體安全策略文件、等級保護基本要求和安全需求，提出不同級別信息系統(tǒng)機房的安全保護策略和安全技術措施。子系統(tǒng)邊界安全保護策略和安全技術措施提出時應考慮邊界設備共享的情況，如果不同級別的子系統(tǒng)通過同一設備進行邊界保護，這個邊界設備的安全保護策略和安全技術措施應滿足最高級別子系統(tǒng)的等級保護基本要求。b) 規(guī)定子系統(tǒng)之間互聯(lián)的安全技術措施根據機構總體安全策略文件、等級保護基本要求和安全需求，提出跨局域網互聯(lián)的子系統(tǒng)之間的信息傳輸保護策略要求和具體的安全技術措施，包括同級互聯(lián)的策略、不同級別互聯(lián)的策略等；提出局域網內部互聯(lián)的子系統(tǒng)之間的信息傳輸保護策略要求和具體的安全技術措施，包括同級互聯(lián)的策略、不同級別互聯(lián)的策略等。活動描述： 本活動主要包括以下子活動內容：a) 規(guī)定骨干網/城域網的安全保護技術措施根據機構總體安全策略文件、等級保護基本要求和安全需求，提出骨干網/城域網的安全保護策略和安全技術措施。參與角色： 信息系統(tǒng)運營、使用單位，信息安全服務機構。活動輸出： 總體安全策略文件。活動描述： 本活動主要包括以下子活動內容：a) 確定安全方針形成機構最高層次的安全方針文件，闡明安全工作的使命和意愿，定義信息安全的總體目標，規(guī)定信息安全責任機構和職責，建立安全工作運行模式等。參與角色： 信息系統(tǒng)運營、使用單位，信息安全服務機構?；顒虞敵觯?安全需求分析報告?；顒用枋觯?本活動主要包括以下子活動內容：a) 完成安全需求分析報告根據基本安全需求和特殊的安全保護需求等形成安全需求分析報告。參與角色： 信息系統(tǒng)運營，使用單位，信息安全服務機構?；顒虞敵觯?重要資產的特殊保護要求。d) 綜合風險分析分析威脅利用弱點可能產生的結果，結果產生的可能性或概率，結果造成的損害或影響的大小，以及避免上述結果產生的可能性、必要性和經濟性。b) 重要資產安全弱點評估檢查或判斷上述重要部件可能存在的弱點，包括技術上和管理上的；分析安全弱點被利用的可能性?；顒虞斎耄盒畔⑾到y(tǒng)詳細描述文件，信息系統(tǒng)安全保護等級定級報告，信息系統(tǒng)相關的其它文檔。　 額外/特殊安全需求的確定活動目標：本活動的目標是通過對信息系統(tǒng)重要資產特殊保護要求的分析，確定超出相應等級保護基本要求的部分或具有特殊安全保護要求的部分，采用需求分析/風險分析的方法，確定可能的安全風險，判斷對超出等級保護基本要求部分實施特殊安全措施的必要性，提出信息系統(tǒng)的特殊安全保護需求。整理和分析不符合的評價指標，確定信息系統(tǒng)安全保護的基本需求。根據評價指標，結合確定的具體對象制定可以操作的評估方案，評估方案可以包含以下內容：1) 管理狀況評估表格；2) 網絡狀況評估表格；3) 網絡設備（含安全設備）評估表格；4) 主機設備評估表格；5) 主要設備安全測試方案；6) 重要操作的作業(yè)指導書。初步確定每個等級信息系統(tǒng)的分析對象，包括整體對象，如機房、辦公環(huán)境、網絡等，也包括具體對象，如邊界設備、網關設備、服務器設備、工作站、應用系統(tǒng)等。活動輸入： 信息系統(tǒng)詳細描述文件，信息系統(tǒng)安全保護等級定級報告，信息系統(tǒng)相關的其它文檔，信息系統(tǒng)安全等級保護基本要求。主要過程輸出輸入安全需求分析報告安全需求分析信息系統(tǒng)詳細描述文件信息系統(tǒng)安全保護等級定級報告信息系統(tǒng)相關的其它文檔信息系統(tǒng)安全等級保護基本要求總體安全設計信息系統(tǒng)詳細描述文件信息系統(tǒng)安