描述对系统的安全保护要求、策略和措施等内容,形成系统的安全方案; 应对安全方案进行细化,形成能指导安全系统建设、安全产品采购和使用的详细设计方案; 应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施 信息系统安全检查项目表(安全管理制度)类别检查项目项目安全标准是否符合标准备注产品采购和使用应确保安全产品采购和使用符合国家的有关规定 应确保密码产品采购和使用符合国家密码主管部门的要求 应指定或授权专门的部门负责产品的采购 自行软件开发应确保开发环境与实际运行环境物理分开;应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则 自行软件开发应确保提供软件设计的相关文档和使用指南,并由专人负责保管 外包软件开发应根据开发要求检测软件质量 应确保提供软件设计的相关文档和使用指南 应在软件安装之前检测软件包中可能存在的恶意代码 应要求开发单位提供软件源代码,并审查软件中可能存在的后门 工程实施应指定或授权专门的部门或人员负责工程实施过程的管理 应制定详细的工程实施方案,控制工程实施过程 测试验收应对系统进行安全性测试验收 在测试验收前应根据设计方案或合同要求等制订测试验收方案,在测试验收过程中应详细记录测试验收结果,并形成测试验收报告 应组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认 系统交付应制定系统交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点 应对负责系统运行维护的技术人员进行相应的技能培训 应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档 安全服务商选择应确保安全服务商的选择符合国家的有关规定 应与选定的安全服务商签订与安全相关的协议,明确约定相关责任 应确保选定的安全服务商提供技术支持和服务承诺,必要的与其签订服务合同。
全文预览
