信息安全等级保护测评作业指导书(系统管理建设三级)

信息安全等级保护测评作业指导书系统建设管理（三级）

修改页

一、系统定级

1．信息系统边界和安全保护等级

2．信息系统定级方法和理由

3．定级结果论证和审定

4．定级结果经过相关部门批准

二、安全方案设计

1．选择基本安全措施及补充调整

2．安全建设总体规划

3．细化系统安全方案

4．安全技术专家论证和审定

5．安全方案调整和修订

三、产品采购和使用

1．安全产品采购和使用符合国家有关规定

2．保密码产品采购和使用符合国家密码主管部门要求

3．专门部门负责产品采购

4．预先产品选型测试

四、自行软件开发

1．开发环境与实际运行环境物理分开，测试数据和测试结果受到控制

2．软件开发管理制度

3．代码编写安全规范

4．软件设计相关文档和使用指南

5．程序资源库修改、更新、发布进行授权和批准

五、外包软件开发1．软件质量测试

2．检测软件包恶意代码

3．软件设计相关文档和使用指南

4．软件源代码检查

六、工程实施1．工程实施管理

2．工程实施方案

3．工程实施管理制度

七、测试验收

1．第三方安全性测试

2．安全性测试验收报告

3．书面规定测试验收的控制方法和人员行为准则

4．系统测试验收授权及完成

5．测试验收报告审定

八、系统交付

1．系统交付清单

2．运行维护技术人员技能培训

3．系统运行维护文档

4．书面规定系统交付的控制方法和人员行为准则

5．系统交付管理工作授权及完成

九、系统备案

1．系统定级材料管理

2．系统主管部门备案

3．备案材料报送相应公安机关备案

十、等级测评

1．每年一次等级测评及整改

2．系统变更进行等级测评

3．测评单位技术资质和安全资质

4．授权专门部门或人员负责等级测评管理

十一、安全服务商选择1．安全服务商选择合规

2．安全服务商协议

3．安全服务商服务合同