【正文】 標識該風險，認識這些威脅和脆弱性的利害關系，進而標識出威脅和脆弱性造成的影響；這些風險在選擇系統保護措施中應予以考慮。 選擇風險分析方法 本要求項包括定義用于標識給定環(huán)境中的系統安全風險的方法，該方法是對安全風險進行分析、評估和比較；應該包括一個對風險進行分類和分級的方案，其依據是威脅、運行功能、已建立的系統脆弱性、潛在損失、安全需求等相關問題。 監(jiān)視影響監(jiān)視影響中的變化。 標識度量關系標識所選影響的評估度量與度量轉換因子之間的關系。 對支持系統的關鍵性運行能力或安全目標的系統資產進行標識和特征化。 標識系統資產 對支持系統的安全目標或關鍵性能力（運行，業(yè)務或任務功能）進行標識。 評估影響 基本要求應標識對該系統有關系的影響，并對發(fā)生影響的可能性進行評估。 管理安全服務及控制機制 安全服務及控制機制的一般管理類似于其它服務及機制的管理，包括保護它們避免損傷、偶然事故和人為故障，并根據法律和政策要求進行整理并歸檔。 管理安全意識、培訓和教育大綱 組織和管理對所有員工進行安全意識的培訓和教育。 管理安全措施的配置 所有設備的安全配置都需要管理。 建立安全職責 建立安全控制措施的職責和責任并通知到組織中的每一個人。所建立的溝通的特點包括：雙方公認的公開的沒有任何限制的信息類型，受限的信息類型（如策略或合同關系），所期望的信息請求與回應的及時性，用于溝通的工具和方法，安全，保密以及期望的分布情況。 維持溝通 與供應商維持及時的雙向溝通。 提出要求 對供應商提出組織對系統組件或服務的要求、期望和效果指標。 選擇供應商或銷售商 。 確定勝任的供應商或銷售商 標識在特定領域中具有專門技術的供應商。 與供應商協調 基本要求應能夠根據工程的需求建立與維護供應商的關系，確保供應商能夠為系統工程提供滿足要求的產品或服務。 維護培訓材料 維護知識庫中的培訓材料。 維護培訓記錄 維護培訓與取得經驗的記錄。 評估培訓的有效性 評估培訓的有效性以滿足所確定的培訓要求。 培訓人員 培訓教員要具備執(zhí)行賦予他們的角色的技能與知識。 準備培訓材料 根據確定的培訓要求準備培訓材料。 應確保所選擇的方法是最佳的，以使得所需技能和知識對項目及時有效。 綜合現有的程序、組織的戰(zhàn)略計劃和現有員工的技能等各方面信息確定這些要求。 培訓 基本要求應建立一套完整的培訓體系，能夠為員工提供滿足組織需求并適用于系統工程活動的，及時有效的知識與技能培訓。 監(jiān)視系統工程支持環(huán)境 監(jiān)視系統工程支持環(huán)境以發(fā)現改進的機會。 維護環(huán)境 維護系統工程支持環(huán)境以持續(xù)支持依賴該環(huán)境的項目。 插入新技術 根據組織的應用目標和項目需要將新技術插入到系統工程支持環(huán)境中。 針對所需的系統工程支持環(huán)境，確定其評價標準和潛在的候選解決方案；利用分析候選解決要求項選擇一個解決方案；得到并實現所選的系統工程支持環(huán)境。 確定支持需求根據組織的需要確定組織的系統工程支持環(huán)境的需求。 維持技術認識 維持對支持實現組織目標的那些技術的認識。 管理系統工程支持環(huán)境 基本要求應能夠為不同需求的系統工程提供支持環(huán)境，并可以通過剪裁適應不同的項目。 插入產品技術 將新的技術插入到產品開發(fā)、市場營銷和制造過程中。 確保關鍵組件的可用性 確保關鍵組件都可利用，并可以支持有計劃的產品改進。 適應開發(fā)過程 在產品開發(fā)周期中采取必要的變動以支持新產品的開發(fā)。 標識新生產技術 標識新生產技術或加強基礎設施建設，將有助于組織獲取、開發(fā)和應用新生產技術來提高競爭優(yōu)勢。 定義支持組織戰(zhàn)略目標的系列產品。 管理系列產品演化 基本要求應通過引進服務、設備和新技術實現產品更新與工程費用降低，獲取工程進度和執(zhí)行的最佳收益。 改變標準過程改變組織的標準系統工程過程以便反映目標的改進。 評定過程 評定組織中現有的執(zhí)行過程以便了解它們的強項和弱項，了解組織現有的執(zhí)行過程的強項和弱項是建立改進活動基線的關鍵； 評定時應考慮過程執(zhí)行的測量與課程學習過程；評定可以多種形式進行，評定方法的選擇應與文化和組織需求相匹配。 定義剪裁指南定義剪裁組織的標準系統工程過程的指南，該指南在開發(fā)項目的定義過程中使用。 開發(fā)組織的系統工程過程 為組織開發(fā)一個充分定義的標準系統工程過程。 收集過程資產 收集和維護系統工程過程資產。 制定過程目標 從組織的應用目標出發(fā)為組織的系統工程過程制定目標。 法律、法規(guī)、政策符合性要求系統應符合國家相關的法律、法規(guī)和政策。 工程監(jiān)理要求 應具備信息安全系統建設工程實施監(jiān)理管理制度。 第三方服務要求國家主管部門認可的服務單位資質。5 資格保證要求 系統集成資質要求國家主管部門認可的系統集成資質。其中保證是由資格保證要求和組織保證要求構成，實施是由工程實施要求和項目實施要求構成。 安全工程目標理解需求方的安全風險，根據已標識的安全風險建立合理的安全要求，將安全要求轉換成安全指南，這些安全指南指導項目實施的其它活動，在正確有效的安全機制下建立對信息安全的信心和保證；判斷系統中和系統運行時殘留的安全脆弱性，及其對運行的影響是否可容忍（即可接受的風險），使安全工程成為一個可信的工程活動，能夠滿足相應等級信息系統設計的要求。4 安全工程體系 概述在整個工程范圍內確定了不同等級工程的具體要求構成了安全工程管理要求體系。過程 process把輸入轉化為輸出的一組相關活動。項目 project項目是各種相關實施活動和資源的總和，這些實施活動和資源用于開發(fā)或維護信息安全工程。實施方 developer信息系統安全工程的建設與服務的提供方。風險 risk某種威脅會利用一種資產或若干資產的脆弱性使這些資產損失或破壞的可能性。安全工程指南 security engineering guide由工程組做出的有關如何選擇工程體系結構、設計與實現的指導性信息。安全工程 security engineering為確保信息系統的保密性、完整性、可用性等目標而進行的系統工程過程。GB/T 202692006 信息安全等級保護 信息系統安全通用技術要求使用本標準的各方應探討使用下列標準最新版本的可能性。2 規(guī)范性引用文件下列文件中的條款通過本標準的引用而成為本標準的條款。信息安全技術 信息系統安全工程管理要求1 范圍本標準規(guī)定了信息安全工程（以下簡稱安全工程）的管理要求，是對信息安全工程中所涉及到的需求方、實施方與第三方工程實施的指導性文件，各方可以此為依據建立安全工程管理體系。本標準按照GB178591999劃分的五個安全保護等級，規(guī)定了信息安全工程的不同要求。本標準適用于該系統的需求方和實施方的工程管理，其他有關各方也可參照使用。凡是注明日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準。凡是不注明日期的引用文件，其最新版本適用于本標準。GB 178591999 計算機信息系統安全保護等級劃分準則GB/T 202712006 信息安全等級保護 信息系統安全管理要求3 術語和定義下列術語和定義適用于本標準。安全工程的生存周期 security engineering lifecycle在整個信息系統生存周期中執(zhí)行的安全工程活動包括：概念形成、概念開發(fā)和定義、驗證與確認、工程實施開發(fā)與制造、生產與部署、運行與支持和終止。脆弱性 vulnerability能夠被某種威脅利用的某個或某組資產的弱點。需求方 owner信息系統安全工程建設的擁有者或組織者。第三方 third party獨立于需求方、實施方，從事信息系統安全工程建設相關活動的中立組織或機構。一個項目往往有相關的資金，成本賬目和交付時間表。過程管理 process management一系列用于預見、評價和控制過程執(zhí)行的活動和體系結構。通過這個體系從安全工程中分離出實施和保證的基本特征，立信息系統安全分級保護要求與工程管理的關系。 基本關系安全工程由安全等級、保證與實施要求兩個維度組成，不同等級要求的安全工程對應不同的保證與實施要求。資格保證要求表示信息安全工程中對應具備一定能力級別的實施方或與工程相關第三方資質的要求；組織保證要求表示信息安全工程過程要求中對需求方組織保證的要求；工程實施要求表示信息安全工程中對安全實施過程的要求；項目實施要求表示信息安全工程中對項目實施過程的要求。 人員資質要求國家主管部門認可的安全服務人員資質。 安全產品要求信息安全產品應具有在國內生產、經營、銷售的許可證，并符合相應的等級。 系統聘請專業(yè)監(jiān)理公司，且監(jiān)理公司具有國家主管部門認可監(jiān)理資質證書。6 組織保證要求 定義組織的系統工程過程 基本要求應為系統工程定義一套標準有明確目標的過程，這套標準的過程可以通過裁剪應用于定義新工程項目的過程。 系統工程過程在業(yè)務環(huán)境中運行，為了使組織的標準實現制度化，該目標應得到明確的認可；這個過程的目標應考慮財力、質量、人力資源和對業(yè)務成功起重要作用的問題。 在組織和項目層次中，由過程定義活動所產生的信息都需要存儲（在過程資產庫中），使得那些剪裁、過程設計活動中的資產能被使用人理解，并得到維護與保持。 在開發(fā)組織的標準系統工程過程中，可能使用到過程資產庫中的設備；在開發(fā)任務時，可能需要一些新的過程資產，應該將這些資產添加到過程資產庫中；應該將組織的標準系統工程過程置于過程資產庫中。 改進組織的系統工程過程 基本要求應實施測量和改進系統工程過程的連續(xù)活動，以標準系統工程過程定義為基礎，通過不斷改進活動提高組織系統工程過程的效益和效率。 規(guī)劃過程改進應基于對潛在改進所產生影響的分析，為組織制訂過程改進計劃，以達到過程的目標。 溝通過程改進適當地同現有項目和其它有相關團體共同溝通過程的改進。 定義產品演化 定義要提供產品的類型。 考慮組織的強項和弱項、競爭力、潛在的市場份額和可利用的技術。 確定可能引入到系列產品的新生產技術，為確定新技術和基礎設施改進而建立并能維護的原始資料和方法。 適應組織的產品開發(fā)過程，熟悉并利用準備在將來使用的組件。 組織應確定產品系列的關鍵組件及其可用性的計劃。 管理將新技術引入到系列產品的工作（包括現有產品系列組件的改進、新組件的引進）；標識和管理與產品設計變化有關的風險。根據技術、環(huán)境狀態(tài)的變化對支持環(huán)境進行改進。 對工藝現狀或實施現狀應該插入新的技術，組織應具有對新技術的充分認識。 獲得系統工程支持環(huán)境 獲得一個系統工程支持環(huán)境，該環(huán)境要滿足在確定支持需求中通過利用分析候選解決要求項的實施而建立的要求。 剪裁系統工程支持環(huán)境剪裁系統工程支持環(huán)境，以滿足單個項目的要求。 組織的系統工程支持環(huán)境應用新技術更新，并要支持組織的應用目標及工程需要；在系統工程支持環(huán)境中，應提供使用新技術的培訓。 維護活動包括計算機系統管理、培訓、熱線支持、專家的作用、發(fā)展或者擴充一個技術庫等。 確定影響系統工程支持環(huán)境有用性的因素，包括任何新插入的技術；監(jiān)視新技術和整個系統工程支持環(huán)境的接受情況。 確定培訓要求 以項目的要求、組織的戰(zhàn)略計劃和現有的員工技能情況為指導，確定組織在技能與知識方面所需的改進。 選擇知識或技能的獲取模式 評價和選擇通過培訓或其它資源獲取知識或技能的適當模式。 確保技能和知識的可用性確保技能和知識對系統工程活動是適用的。 為每一個由組織內部人員建成的班編制培訓材料，或為每一個已存在的班準備培訓材料。 要根據培訓計劃和編制的材料進行人員培訓。 評估有效性的方法應與培訓計劃編制和培訓材料的擬定同時列出；應及時獲取有效性評估的結果，以便對培訓做出相應調整。 維護記錄以追蹤每個人員接受培訓的情況，以及受訓后的技能和能力。 維護知識庫中的課件材料以供員工今后訪問，并且在課程材料變動時可供跟蹤。 確定系統的組件或服務確定應由其它外部組織提供的系統組件或服務。 供應商的能力包括勝任開發(fā)過程、制造過程、驗證責任、及時交付、生存周期支持過程及遠程有效通信能力，上述能力應符合本組織的各項要求。 以合乎邏輯和公平的方式選擇供應商以滿足產品的目標；提供最能彌補本組織能力的供應商特征，標識合格的候選者；“管理安全控制”的實施來選擇出合適的