安全建设管理

指标总览

指标详情

定级和备案

指标内容如图：

指标理解：

a）编制相关文档说明系统定级方法及定级理由。

b）定级方法和理由经过专家评审。“相关部门和有关安全技术专家”个人理解可以向监管部门、上级单位以及测评单位邀请一些专家，开会评审，并形成评审记录材料。

c）通常在评审过程中有最终定级结论，也就经过了批准，最终需要在相关材料中体现“批准”。

d）提交备案材料，在公安机关完成备案，获得备案证书和编号。

安全方案设计

指标内容如图：

指标理解：

a）基于等保要求进行差距分析，根据差距分析结果，进行补充和调整安全措施。过程中需要有相关记录文档，如差距分析问题汇总文档、整改情况文档等。

b）有针对测评系统的整体安全建设方案，方案中涉及的具体策略、措施等内容再形成配套的材料。

c）最终的建设规划及材料要在组织评审，论证合理性和正确性，并形成相关评审记录。通常可以内部组织相关技术人员及领导评审，也可以邀请外部专家参与评审。

产品采购和使用

指标内容如图：

指标理解：

a）据了解，这块暂时没有特别明确的标准，采用常见、成熟产品应该都可以。按照目前的趋势都是国产化为主了。

b）这块主要是和密评相关，当使用了密码相关产品及服务时，需要考虑同时满足密评的要求。

c）在相关制度文件中明确要求，在产品采购前有需要有产品选型测试过程，并形成相关测试记录文件。

自行软件开发

指标内容如图：

指标理解：

a）开发环境和测试环境做到物理隔离。

b）测评时会检查是否具备相关润健开发管理制度文件。

c）测评时会检查是否具备代码编写安全规范，同时看是否有相关代码编写规范培训。

d）在软件开发各阶段都应有相关文档，并且应具备使用指南文档。通过开发相关文档的控制，便于在人员变动时，接手的人可以基于文档正确开展工作。当需要事后回溯时，通过良好的文档控制了解到早起的相关信息。

e）在软件开发过程中也要进行安全性测试，如代码审计、漏洞扫描等。

f）对程序资源库的管理，软件开发可能采用外部资源库，外部资源库本身可能存在风险，通过对程序资源库的管理，可以有效发现这些外部的风险。测评时也是看相关制度文件中是否有明确要求，并且是否有相关变更记录文档。

g）开发人员不可兼容，并且有相关管理制度约束开发人员的开发活动。

外包软件开发

指标内容如图：

指标理解：

a）要求有系统上线前的安全评估，如代码审计、漏洞扫描、渗透测试等，确保上线的系统没有中高危漏洞。通常可以要求供应商在交付时，提供第三方安全测试报告。

b）外包单位在交付产品时，需要把相关设计文档和使用指南都一并交付。最好是能在合同内能够明确约束。

c）交付产品时，需要同时交付源代码，并进行代码审计，避免外包单位留后门等，也避免外包单位开发不规范，未删除开发时留的便捷访问入口等情况。

工程实施

指标内容如图：

指标理解：

a）项目需要指定专门的项目经理负责项目管理。

b）项目实施需要有项目实施方案，包含实施计划、里程碑等。这部分可以参考项目管理方法论。

c）在项目实施中，监理的作用理论上是很重要的，在测评中，项目制度要求及项目实施中至少需要做到有这样的角色。

测试验收

指标内容如图：

指标理解：

a）测评时检查验收方案及验收报告。

b）测评时检查安全测试报告，涉及密码应用的也必须包含相关测试。

系统交付

指标内容如图：

指标理解：

a）需要具备相关制度要求交付流程，测评时检查交付清单及交付记录文档。

b）可以要求供应商提供相关培训。测评时会检查相关培训文档及培训记录文档等。

c）建设过程文档个人理解实施过程中相关的文档，包括实施方案、实施记录等。运行维护文档个人理解是后期使用过程中相关文档，包括设备维护记录、操作记录等。

等级测评

指标内容如图：

指标理解：

a）三四级系统要求每年进行一次测评，二级系统每两年测评一次，但二级系统时间上要求没有那么严格。

b）系统新增功能模块或等级提升等情况都需要重新测评。如系统增加交易模块，符合系统放生重大变更，如果原来是二级，那定级就会变成三级，符合级别发生变化。

c）选择有资质的测评单位进行测评工作。

服务供应商选择

指标内容如图：

指标理解：

a）优先选择具有DJJS资质的等保服务供应商。

b）网络安全义务包括有安全巡检、安全评估等。

c）对服务商的服务资质定期评估，对服务商服务内容的变更有具体的变更控制流程。