【正文】 可考慮錄用。216。216。n 如有必要，修改保密協(xié)議，并擬定新的雇傭合同，而且原合同中的保密協(xié)議將繼續(xù)有效。n 遵循“需要知道”原則，盡量避免由于不當(dāng)或過(guò)于頻繁的調(diào)動(dòng)，造成人員的權(quán)限過(guò)大的情況。 安全崗位人員的離職安全崗位人員在離職時(shí)，必須遵守以下安全操作流程：n 刪除該員工的所有信息系統(tǒng)訪問(wèn)賬號(hào)和權(quán)限，如有必要將重新創(chuàng)建有關(guān)管理員賬號(hào)和口令。216。對(duì)執(zhí)行制度好、信息安全工作成績(jī)顯著的部門(mén)和個(gè)人，將給與表彰和適當(dāng)獎(jiǎng)勵(lì)；對(duì)違反公司安全管理制度、信息安全工作存在不足和隱患的部門(mén)、營(yíng)業(yè)廳，由公司網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組發(fā)出書(shū)面整改通知，限期整改；對(duì)刻意不執(zhí)行公司安全管理制度、漠視信息安全工作和存在安全隱患而沒(méi)有及時(shí)整改的，以至造成重大安全事故和案件的，將追究其部門(mén)主要負(fù)責(zé)人和直接責(zé)任者的責(zé)任，并按公司有關(guān)考核管理辦法予以處理，構(gòu)成犯罪的，將依法追究其刑事責(zé)任。簽署崗位安全協(xié)議　　人員安全管理解決方案人員安全管理人員離崗a應(yīng)嚴(yán)格規(guī)范人員離崗過(guò)程，及時(shí)終止離崗員工的所有訪問(wèn)權(quán)限；離崗權(quán)限中止記錄　　人員安全管理解決方案人員安全管理人員離崗b應(yīng)取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備；離職繳回記錄　　人員安全管理解決方案人員安全管理人員離崗c應(yīng)辦理嚴(yán)格的調(diào)離手續(xù)，關(guān)鍵崗位人員離崗須承諾調(diào)離后的保密義務(wù)后方可離開(kāi)。記錄文檔管理　　 第三方人員安全管理解決方案在信息系統(tǒng)使用過(guò)程中，除開(kāi)內(nèi)部員工，還有第三方人員，第三方人員主要包含如下角色：第三方人員包括為公司提供服務(wù)的軟件開(kāi)發(fā)商、產(chǎn)品供應(yīng)商、系統(tǒng)集成商、設(shè)備維護(hù)商和服務(wù)提供商等非本公司人員；第三方人員管理的范疇包括臨時(shí)第三方人員和長(zhǎng)期第三方人員；臨時(shí)第三方人員指因業(yè)務(wù)洽談、技術(shù)交流、提供短期和不頻繁的技術(shù)支持服務(wù)而臨時(shí)來(lái)訪的第三方人員；長(zhǎng)期第三方人員指因從事合作開(kāi)發(fā)、參與項(xiàng)目工程、提供技術(shù)支持或顧問(wèn)服務(wù)，必須在一定時(shí)間內(nèi)在公司內(nèi)部辦公的第三方人員；接待人是指公司與來(lái)訪第三方的相關(guān)部門(mén)派出的，負(fù)責(zé)接待和管理第三方人員的員工。 第三方人員短期訪問(wèn)安全管理一、 物理安全第三方人員現(xiàn)場(chǎng)訪問(wèn)需要遵從公司物理安全的管理制度，具體物理安全的負(fù)責(zé)部門(mén)是行政部。n 工作時(shí)間內(nèi)機(jī)房必須有當(dāng)班、值班人員，對(duì)第三方人員進(jìn)入機(jī)房?jī)?nèi)部一律進(jìn)行登記。二、 網(wǎng)絡(luò)訪問(wèn)安全第三方人員現(xiàn)場(chǎng)訪問(wèn)公司網(wǎng)絡(luò)原則上不允許。n 臨時(shí)接入公司生產(chǎn)網(wǎng)絡(luò)的第三方人員，需要公司接待人員所屬三級(jí)經(jīng)理的同意，同時(shí)在本部門(mén)內(nèi)部進(jìn)行登記。第三方人員遠(yuǎn)程訪問(wèn)公司網(wǎng)絡(luò)原則上不允許。一旦發(fā)生并經(jīng)核實(shí)其起因是第三方人員引起的安全事件，相關(guān)責(zé)任由公司接待人員及所屬三級(jí)經(jīng)理負(fù)責(zé)。 第三方人員長(zhǎng)期訪問(wèn)安全管理一、 物理安全第三方人員現(xiàn)場(chǎng)訪問(wèn)，需要遵照公司物理安全的管理制度執(zhí)行，具體物理安全的負(fù)責(zé)部門(mén)是行政部。n 工作時(shí)間內(nèi)機(jī)房必須有當(dāng)班值班人員，對(duì)進(jìn)入機(jī)房?jī)?nèi)部的第三方人員一律進(jìn)行登記。n 第三方人員均應(yīng)遵從機(jī)房管理人員的管理。n 需要公司辦公網(wǎng)管理部門(mén)相關(guān)工作負(fù)責(zé)人審批確認(rèn)，詳細(xì)內(nèi)容參見(jiàn)《辦公網(wǎng)絡(luò)環(huán)境第三方人員訪問(wèn)申請(qǐng)審批流程》 。n 第三方人員在訪問(wèn)公司網(wǎng)絡(luò)期間如違反公司安全管理制度，除根據(jù)保密協(xié)議及相關(guān)公司安全管理制度進(jìn)行處罰以外，公司接待人及所屬部門(mén)也應(yīng)承擔(dān)責(zé)任。如果必須，需要第三方人員及接待人員遵守如下安全要求：n 需要簽署相關(guān)《第三方人員安全保密協(xié)議》，承諾遵守公司安全制度及規(guī)范。在長(zhǎng)期訪問(wèn)終止后，接待人通知辦公網(wǎng)管理部門(mén)相關(guān)工作人員，工作人員備案并作相應(yīng)安全評(píng)估、檢查工作。 第三方人員訪問(wèn)申請(qǐng)審批流程信息表流程名稱：辦公網(wǎng)絡(luò)環(huán)境第三方人員訪問(wèn)申請(qǐng)審批流程流程編碼OPT7流程負(fù)責(zé)人：公司網(wǎng)絡(luò)與信息安全辦公室流程起點(diǎn)： 第三方訪問(wèn)申請(qǐng)流程目的：第三方人員長(zhǎng)期訪問(wèn)公司網(wǎng)絡(luò)流程終點(diǎn)：訪問(wèn)終止步驟編號(hào)操作步驟操作描述操作崗位1訪問(wèn)申請(qǐng)167。 接待人所屬三級(jí)經(jīng)理審批申請(qǐng)167。 第三方人員訪問(wèn)結(jié)束，接待人終止訪問(wèn)申請(qǐng)，通報(bào)公司IT 服務(wù)部門(mén)主管辦公網(wǎng)絡(luò)環(huán)境的安全管理員接待人4審計(jì)、檢查第三方人員訪問(wèn)167。 發(fā)現(xiàn)問(wèn)題，通報(bào)所屬接待人三級(jí)經(jīng)理；同時(shí)根據(jù)考核管理辦法，對(duì)接待人及所屬部門(mén)進(jìn)行考核167。外部訪問(wèn)制度　　 系統(tǒng)建設(shè)安全管理解決方案對(duì)信息系統(tǒng)的安全管理需要貫穿到信息系統(tǒng)整個(gè)生命周期中去，在系統(tǒng)審批、建設(shè)、使用等過(guò)程需要對(duì)其安全管理，在對(duì)系統(tǒng)建設(shè)的安全管理需要考慮如下幾個(gè)方面： 系統(tǒng)安全建設(shè)審批流程信息系統(tǒng)建設(shè)的審批流程如下圖所示：信息系統(tǒng)安全建設(shè)審批流程圖信息系統(tǒng)安全建設(shè)流程如下：1) 各業(yè)務(wù)生產(chǎn)部門(mén)在進(jìn)行項(xiàng)目建設(shè)前，首先向計(jì)劃建設(shè)部提出項(xiàng)目申報(bào)，項(xiàng)目申報(bào)中要提交《項(xiàng)目安全建設(shè)申請(qǐng)表》、《項(xiàng)目需求書(shū)》和《項(xiàng)目可行性分析報(bào)告》，申請(qǐng)表中要包括建設(shè)項(xiàng)目的安全威脅分析、系統(tǒng)脆弱性分析、影響分析、風(fēng)險(xiǎn)分析和系統(tǒng)安全需求分析；2) 計(jì)劃建設(shè)部會(huì)根據(jù)申報(bào)內(nèi)容，把技術(shù)方案提交公司網(wǎng)絡(luò)部進(jìn)行技術(shù)可行性分析；3) 公司網(wǎng)絡(luò)部會(huì)綜合公司的總體安全狀況、網(wǎng)絡(luò)狀況和業(yè)務(wù)系統(tǒng)接入規(guī)范中的相關(guān)內(nèi)容進(jìn)行整體分析，并在5個(gè)工作日內(nèi)給出項(xiàng)目是否可行的意見(jiàn)和辦法；4) 如果項(xiàng)目不可行，各業(yè)務(wù)系統(tǒng)需要根據(jù)公司網(wǎng)絡(luò)部給出的意見(jiàn)和辦法進(jìn)行方案設(shè)計(jì)的修改，重新提出申請(qǐng)；5) 如果項(xiàng)目可行，則項(xiàng)目建設(shè)安全審批通過(guò)，在沒(méi)有其他因素影響的情況下，項(xiàng)目可以進(jìn)入實(shí)施和驗(yàn)收階段；6) 在項(xiàng)目實(shí)施和驗(yàn)收階段，網(wǎng)絡(luò)部對(duì)于安全建設(shè)部分進(jìn)行跟蹤和監(jiān)督；7) 審批流程結(jié)束。 安全要求各職能管理部門(mén)、各直屬單位在進(jìn)行TCP/核心業(yè)務(wù)系統(tǒng)和系統(tǒng)建設(shè)項(xiàng)目立項(xiàng)申請(qǐng)過(guò)程中，應(yīng)由公司信息安全辦公室對(duì)項(xiàng)目提出安全建議；根據(jù)公司項(xiàng)目立項(xiàng)中的項(xiàng)目立項(xiàng)申請(qǐng)、立項(xiàng)論證、立項(xiàng)評(píng)估和立項(xiàng)審批四個(gè)程序，都應(yīng)結(jié)合公司各類的安全技術(shù)規(guī)范；各職能管理部門(mén)、各直屬單位進(jìn)行項(xiàng)目立項(xiàng)申請(qǐng)時(shí)，在提交《項(xiàng)目立項(xiàng)建議書(shū)》等相關(guān)資料中應(yīng)增加以下安全方面的資料：n 系統(tǒng)安全需求分析說(shuō)明書(shū)；n 系統(tǒng)安全功能說(shuō)明書(shū)；n 系統(tǒng)中采用的安全設(shè)備以及性能指標(biāo)參數(shù)。216。IT項(xiàng)目安全性的論證和評(píng)估主要關(guān)注以下方面的內(nèi)容：n IT項(xiàng)目建設(shè)中網(wǎng)絡(luò)規(guī)劃中安全域的劃分、網(wǎng)絡(luò)冗余、網(wǎng)絡(luò)傳輸安全、網(wǎng)絡(luò)訪問(wèn)控制、網(wǎng)絡(luò)邊界安全、遠(yuǎn)程訪問(wèn)安全；n IT項(xiàng)目建設(shè)中系統(tǒng)的性能、容量以及系統(tǒng)和業(yè)務(wù)的兼容性；n IT項(xiàng)目建設(shè)中應(yīng)用系統(tǒng)中身份驗(yàn)證、角色訪問(wèn)控制、數(shù)據(jù)加密、備份、日志審計(jì)等安全功能；n IT項(xiàng)目建設(shè)中應(yīng)用系統(tǒng)是否有后門(mén)、漏洞和不安全的隱患。 項(xiàng)目建設(shè)管理的總體安全要求項(xiàng)目建設(shè)的生命周期與周期的子階段；項(xiàng)目管理生命周期項(xiàng)目管理生命周期的子階段項(xiàng)目申報(bào)需求分析總體方案設(shè)計(jì)項(xiàng)目審批和立項(xiàng)項(xiàng)目實(shí)施概要設(shè)計(jì)、詳細(xì)設(shè)計(jì)、系統(tǒng)實(shí)施項(xiàng)目驗(yàn)收和投產(chǎn)項(xiàng)目驗(yàn)收在項(xiàng)目的申報(bào)、審批、立項(xiàng)、實(shí)施、驗(yàn)收等關(guān)鍵環(huán)節(jié)中，職能部門(mén)必須依照規(guī)定的職能行使職權(quán)，在接到業(yè)務(wù)生產(chǎn)部門(mén)申請(qǐng)的情況下，規(guī)定的時(shí)限內(nèi)完成各個(gè)環(huán)節(jié)的安全管理行為，否則須承擔(dān)相應(yīng)的行政責(zé)任。 項(xiàng)目申報(bào)安全管理《業(yè)務(wù)需求書(shū)》除了描述系統(tǒng)業(yè)務(wù)需求之外，還須進(jìn)行系統(tǒng)的安全性需求分析，至少包括以下信息安全方面的內(nèi)容：n 安全威脅分析報(bào)告n 系統(tǒng)脆弱性分析報(bào)告n 影響分析報(bào)告n 風(fēng)險(xiǎn)分析報(bào)告n 系統(tǒng)安全需求報(bào)告在《可性性分析報(bào)告》中須包括以下信息安全方面的內(nèi)容：n 項(xiàng)目目標(biāo)、主要內(nèi)容與關(guān)鍵技術(shù)：增加項(xiàng)目的總體安全目標(biāo)，并在主要內(nèi)容后面增加針對(duì)前面分析出的安全需求所提出的相應(yīng)安全對(duì)策，每個(gè)安全需求都至少對(duì)應(yīng)一個(gè)安全對(duì)策，安全對(duì)策的強(qiáng)度根據(jù)相應(yīng)資產(chǎn)的重要性來(lái)選擇；n 項(xiàng)目采用的技術(shù)路線或者技術(shù)方案：增加描述如何從技術(shù)、運(yùn)作、組織以及制度四個(gè)方面來(lái)實(shí)現(xiàn)所有的安全對(duì)策，并形成安全方案； n 項(xiàng)目的承建單位及人員情況介紹：增加項(xiàng)目各承擔(dān)單位的信息安全方面的資質(zhì)和經(jīng)驗(yàn)介紹，并增加介紹項(xiàng)目主要參與人員的信息安全背景；n 項(xiàng)目安全管理：增加項(xiàng)目建設(shè)中的安全管理模式、安全組織結(jié)構(gòu)、人員的安全職責(zé)、建設(shè)實(shí)施中的安全操作程序和相應(yīng)安全管理要求；n 成本效益分析：對(duì)安全方案進(jìn)行成本效益分析。 方案論證和審批安全管理安全性論證對(duì)項(xiàng)目的安全需求分析、安全對(duì)策以及總體安全方案進(jìn)行成本效益、合理性、可行性和有效性分析；項(xiàng)目方案報(bào)計(jì)劃建設(shè)部或財(cái)務(wù)部進(jìn)行項(xiàng)目可行性審計(jì)；項(xiàng)目技術(shù)方案需網(wǎng)絡(luò)部進(jìn)行技術(shù)可行性審計(jì)；項(xiàng)目最終批準(zhǔn)由計(jì)劃建設(shè)部或財(cái)務(wù)部和網(wǎng)絡(luò)部共同批準(zhǔn)備方可立項(xiàng)；在項(xiàng)目立項(xiàng)后，《項(xiàng)目任務(wù)書(shū)》的以下條目中須增加相應(yīng)的信息安全方面的內(nèi)容：n 項(xiàng)目的管理模式、組織結(jié)構(gòu)和責(zé)任：增加項(xiàng)目建設(shè)中的安全管理模式、安全組織結(jié)構(gòu)以及人員的安全職責(zé)；n 項(xiàng)目實(shí)施的基本程序和相應(yīng)的管理要求：增加項(xiàng)目建設(shè)實(shí)施中的安全操作程序和相應(yīng)安全管理要求；n 項(xiàng)目設(shè)計(jì)目標(biāo)、主要內(nèi)容和關(guān)鍵技術(shù)：增加總體安全目標(biāo)、安全對(duì)策以及用于實(shí)現(xiàn)安全對(duì)策的總體安全方案；n 項(xiàng)目實(shí)現(xiàn)功能和性能指標(biāo)：增加描述系統(tǒng)擁有的具體安全功能以及安全功能的強(qiáng)度；n 項(xiàng)目驗(yàn)收考核指標(biāo)：增加安全性測(cè)試和考核指標(biāo)。 項(xiàng)目實(shí)施方案和實(shí)施過(guò)程安全管理項(xiàng)目實(shí)施階段包括3個(gè)子階段：概要設(shè)計(jì)、詳細(xì)設(shè)計(jì)和項(xiàng)目實(shí)施，本階段的主要工作由項(xiàng)目開(kāi)發(fā)承擔(dān)單位來(lái)完成，項(xiàng)目審批單位負(fù)責(zé)監(jiān)督工作。詳細(xì)設(shè)計(jì)子階段的安全要求，《詳細(xì)設(shè)計(jì)說(shuō)明書(shū)》中至少要包括以下信息安全內(nèi)容：n 詳細(xì)設(shè)計(jì)中須提出相應(yīng)的具體安全方案，標(biāo)明實(shí)現(xiàn)的安全功能，并檢查其技術(shù)原理；n 對(duì)系統(tǒng)層面上的和模塊層面上的安全設(shè)計(jì)進(jìn)行審查；n 完成安全測(cè)試和評(píng)估要求（通常包括完整的系統(tǒng)的、軟件的、硬件的安全測(cè)試方案，至少是相關(guān)測(cè)試程序的一個(gè)草案）；n 確認(rèn)各模塊的設(shè)計(jì)，以及模塊間的接口設(shè)計(jì)能滿足系統(tǒng)層面的安全要求。在概要設(shè)計(jì)、詳細(xì)設(shè)計(jì)和項(xiàng)目實(shí)施三個(gè)階段，公司信息安全管理部門(mén)（網(wǎng)絡(luò)部）、投資建設(shè)管理部門(mén)（計(jì)劃建設(shè)部或財(cái)務(wù)部）根據(jù)項(xiàng)目建設(shè)方案和相關(guān)項(xiàng)目文檔，定期和不定期對(duì)項(xiàng)目質(zhì)量、項(xiàng)目進(jìn)度、項(xiàng)目階段性成果進(jìn)行審查。 項(xiàng)目驗(yàn)收安全管理項(xiàng)目驗(yàn)收到須得到公司信息安全管理部門(mén)（網(wǎng)絡(luò)部）、投資建設(shè)管理部門(mén)（計(jì)劃建設(shè)部或財(cái)務(wù)部）和項(xiàng)目業(yè)務(wù)生產(chǎn)部門(mén)共同確認(rèn)簽字驗(yàn)收；項(xiàng)目須達(dá)到項(xiàng)目任務(wù)書(shū)中制定的總體安全目標(biāo)和安全指標(biāo)，實(shí)現(xiàn)全部安全功能； 采用技術(shù)須符合國(guó)家、電信行業(yè)安全技術(shù)標(biāo)準(zhǔn)及規(guī)范； 項(xiàng)目建設(shè)過(guò)程中的各種文檔資料須規(guī)范、齊全；驗(yàn)收?qǐng)?bào)告中有項(xiàng)目設(shè)計(jì)總體安全目標(biāo)及主要內(nèi)容；驗(yàn)收?qǐng)?bào)告中有項(xiàng)目采用的關(guān)鍵安全技術(shù)內(nèi)容；驗(yàn)收?qǐng)?bào)告中有驗(yàn)收專家組中的安全專家及安全驗(yàn)收評(píng)價(jià)意見(jiàn)。調(diào)整說(shuō)明　　系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理產(chǎn)品采購(gòu)和使用a應(yīng)確保安全產(chǎn)品采購(gòu)和使用符合國(guó)家的有關(guān)規(guī)定；產(chǎn)品采購(gòu)符合說(shuō)明　　系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理產(chǎn)品采購(gòu)和使用b應(yīng)確保密碼產(chǎn)品采購(gòu)和使用符合國(guó)家密碼主管部門(mén)的要求；密碼符合說(shuō)明　　系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理產(chǎn)品采購(gòu)和使用c應(yīng)指定或授權(quán)專門(mén)的部門(mén)負(fù)責(zé)產(chǎn)品的采購(gòu)；采購(gòu)授權(quán)說(shuō)明　　系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理產(chǎn)品采購(gòu)和使用d應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試，確定產(chǎn)品的候選范圍，并定期審定和更新候選產(chǎn)品名單。工程實(shí)施管理制度　　系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理測(cè)試驗(yàn)收a應(yīng)委托公正的第三方測(cè)試單位對(duì)系統(tǒng)進(jìn)行安全性測(cè)試，并出具安全性測(cè)試報(bào)告；第三方安全性測(cè)試報(bào)告　　系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理測(cè)試驗(yàn)收b在測(cè)試驗(yàn)收前應(yīng)根據(jù)設(shè)計(jì)方案或合同要求等制訂測(cè)試驗(yàn)收方案，在測(cè)試驗(yàn)收過(guò)程中應(yīng)詳細(xì)記錄測(cè)試驗(yàn)收結(jié)果，并形成測(cè)試驗(yàn)收?qǐng)?bào)告；測(cè)試驗(yàn)收方案，測(cè)試驗(yàn)收?qǐng)?bào)告　　系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理測(cè)試驗(yàn)收c應(yīng)對(duì)系統(tǒng)測(cè)試驗(yàn)收的控制方法和人員行為準(zhǔn)則進(jìn)行書(shū)面規(guī)定；系統(tǒng)測(cè)試驗(yàn)收的控制方法和人員行為準(zhǔn)則制度　　系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理測(cè)試驗(yàn)收d應(yīng)指定或授權(quán)專門(mén)的部門(mén)負(fù)責(zé)系統(tǒng)測(cè)試驗(yàn)收的管理，并按照管理規(guī)定的要求完成系統(tǒng)測(cè)試驗(yàn)收工作；測(cè)試驗(yàn)收負(fù)責(zé)部門(mén)說(shuō)明　　系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理測(cè)試驗(yàn)收e應(yīng)組織相關(guān)部門(mén)和相關(guān)人員對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定，并簽字確認(rèn)。交付負(fù)責(zé)部門(mén)說(shuō)明　　系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理安全服務(wù)商選擇a應(yīng)確保安全服務(wù)商的選擇符合國(guó)家的有關(guān)規(guī)定；服務(wù)商選擇說(shuō)明　　系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理安全服務(wù)商選擇b應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責(zé)任；服務(wù)商責(zé)任協(xié)議　　系統(tǒng)建設(shè)安全管理解決方案系統(tǒng)建設(shè)管理安全服務(wù)商選擇c應(yīng)確保選定的安全服務(wù)商提供技術(shù)培訓(xùn)和服務(wù)承諾，必要的與其簽訂服務(wù)合同。準(zhǔn)確的描述是正確的安全保護(hù)的基礎(chǔ)，在進(jìn)行保護(hù)之前，我們需要從安全角度，正確和完整的描述信息系統(tǒng)的安全特性和安全要求，在此之前，需要描述之所以產(chǎn)生這些安全特性和要求的背景信息，即信息系統(tǒng)的業(yè)務(wù)情況，使用情況和所處的環(huán)境。主流程圖如下：?jiǎn)蜗到y(tǒng)詳細(xì)描述流程圖如下： 信息系統(tǒng)框架設(shè)計(jì)流程如下：1. 信息系統(tǒng)框架分類信息系統(tǒng)框架分類的原理與主要原則如下：a） 系統(tǒng)功能和應(yīng)用相似性原則區(qū)域的劃分要以服務(wù)業(yè)務(wù)應(yīng)用為基本原則，根據(jù)應(yīng)用的功能和應(yīng)用內(nèi)容劃分不同的安全區(qū)域。d） 安全要求相似性原則在信息安全的三個(gè)基本屬性方面，同一安全區(qū)域內(nèi)的信息資產(chǎn)應(yīng)具有相似的機(jī)密性要求、完整性要求和可用性要求。2. 系統(tǒng)安全框架描述根據(jù)上述原則，形成的常用的框架分類模版如下：? 按管理機(jī)構(gòu)，決定不同的安全管理體系– 按系統(tǒng)所處的組織結(jié)構(gòu)級(jí)別，如政府行業(yè)的中央/總部級(jí)、省級(jí)、地市級(jí)、縣區(qū)級(jí)等；公司的集團(tuán)公司，子公司，分公司，孫公司等– 按管理部門(mén)，如銀行的科技部，運(yùn)維中心，或電子商務(wù)中心等；