4) 《专家论证文档》
? 内容包括相关部门和有关安全技术专家对总体安全策略、安全技术
框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的论证意见。
5) 《系统总体安全策略、安全技术框架、安全管理策略、总体建设规划、
详细设计方案》等配套文件
? 包括配套文件的修订版本或记录。
4.3 产品采购和使用
一、 文档
1) 《系统使用的有关信息安全产品符合国家的有关规定》
? 采购的流程; ? 安全产品;
? 安全产品具有相关凭证。 2) 《密码产品的使用情况》
? 采购的流程; ? 安全产品;
? 密码产品具有相关凭证。 3) 《产品采购管理文档》
? 包括需要的产品性能指标,确定产品的候选范围,通过招投标等方
式确定采购产品及人员行为准则等方面;
二、 记录
1) 《产品选型测试结果记录、候选产品名单审定记录或更新的候选产品名
单》。
4.4 自行软件开发
一、 制度
1) 《软件开发管理制度》
? 内容包括软件设计、开发、测试、验收过程的控制方法和人员行为
第11页共22页
准则,明确哪些开发活动应经过授权、审批,明确软件开发相关文档的管理等。
2) 《代码编写规范》
? 包括代码编写规则等。 二、 文档
1) 《软件设计的相关文档(应用软件设计程序文件、源代码文档等)、软
件使用指南或操作手册和维护手册》 ? 软件设计相关文档; ? 软件使用指南或操作手册等; ? 专人负责文档保管。 三、 记录
1) 《对程序资源库的修改、更新、发布进行授权和审批的文档或记录》
? 包括批准人的签字。
4.5 外包软件开发
一、 文档
1) 《需求分析说明书、软件设计说明书、软件操作手册、软件源代码文档
等软件开发文档和使用指南》 二、 记录
1) 《软件源代码审查记录》
? 包括对可能存在后门的审查结果。
2) 《软件安装之前检测软件中的恶意代码的记录》
? 检测工具是第三方的商业产品。
4.6 工程实施
一、 制度
1) 《工程实施管理制度》
? 是否包括工程实施过程的控制方法、实施参与人员的行为准则等方
面内容。
第12页共22页
二、 文档
1) 《工程实施方案》
? 包括工程时间限制、进度控制和质量控制等方面内容。 三、 记录
1) 《按照实施方案形成的阶段性工程报告》。
4.7 测试验收
一、 制度
1) 《测试验收管理文档》
? 包括系统测试验收的过程控制方法、参与人员的行为规范等内容。 二、 文档 2) 测试报告
? 系统安全性测试报告; ? 系统测试验收报告。 3) 《工程测试验收方案》
? 内容包括参与测试的部门、人员、测试验收的内容、现场操作过程等 4) 《测试验收记录》 5) 《系统测试验收报告》
? 内容包括系统测试验收的过程控制方法、参与人员的行为规范等。 6) 《系统安全性测试报告》
? 内容包括测试通过的结论(如果报告中提出了存在的问题,则检查
是否有针对这些问题的改进报告),是否有第三方测试机构的签字或盖章。
7) 对测试验收报告的审定文档
? 内容包括相关人员的审定意见。
4.8 系统交付
一、 文档
1) 《系统交付管理文档》
第13页共22页
? 内容包括交付过程的控制方法和对交付参与人员的行为限制等。 二、 记录
1) 《系统交付清单》
? 内容包括包括所交接的设备、文档、软件等; 2) 《培训记录》
? 系统交付技术培训记录,包括培训内容、培训时间和参与人员等。
4.9 系统备案
一、 文档
1) 备案的记录或备案文档
? 内容包括将系统等级相关材料报主管部门备案的记录或备案文档; 2) 公安机关备案的记录或证明
? 内容包括将系统等级相关备案材料报相应公安机关备案的记录或证
明;
3) 系统定级相关材料的适用控制记录
4.10 安全服务商选择
一、 文档
1) 《与安全服务商签订的安全责任合同书或保密协议等文档》
? 对信息系统进行安全规划、设计、实施、维护、测评等服务的安全
服务单位;
? 安全服务商的安全资质文件;
? 内容包括与所有安全服务商签订的安全责任合同书或保密协议文
档,文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等。
2) 《与安全服务商签订的服务合同》
第14页共22页
5 系统运维管理
5.1 环境管理
一、 制度
1) 《机房安全管理制度》
? 内容覆盖机房物理访问、物品带进、带出机房和机房环境安全等方
面。
二、 文档
1) 《机房消防管理制度和消防预案》 2) 《办公环境管理办法》
? 规范办公环境内人员的行为;
? 工作人员离开座位确保终端计算机退出登录状态; ? 桌面上没有包含敏感信息的纸档文件;
? 工作人员调离办公立即交还该办公室钥匙和不在办公区接待来访人
员等。
三、 记录
1) 《机房基础设施维护记录》
? 内容包括记录维护日期、维护人、维护设备、故障原因、维护结果
等。
2) 《消防设施巡检记录表》
5.2 资产管理
一、 制度
1) 《资产安全管理制度》
? 内容包括明确信息资产管理的责任部门、责任人等; ? 其覆盖资产使用、借用、维护等方面。
? 内容包括依据资产的重要程度对资产进行分类和标识管理,不同类
第15页共22页