三级等级保护之安全建设管理

通用要求 定级和备案

a）应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由； b）应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定； c）应保证定级结果经过相关部门的批准； d）应将备案材料报主管部门和相应公安机关备案。

安全方案设计

a）应根据安全保护等级选择基本安全措施，依据风险分析的结果补充和调整安全措施； b）应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计，设计内容应包含密码技术相关内容，并形成配套文件； c）应组织相关部门和有关安全专家对安全整体规划及其配套文件的合理性和正确性进行论证和审定，经过批准后才能正式实施。

产品采购和使用

a）应确保网络安全产品采购和使用符合国家的有关规定； b）应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求； c）应预先对产品进行选型测试，确定产品的候选范围，并定期审定和更新候选产品名单。

自行软件开发

a）应将开发环境与实际运行环境物理分开，测试数据和测试结果受到控制； b）应制定软件开发管理制度，明确说明开发过程的控制方法和人员行为准则； c）应制定代码编写安全规范，要求开发人员参照规范编写代码； d）应具备软件设计的相关文档和使用指南，并对文档使用进行控制； e）应保证在软件开发过程中对安全性进行测试，在软件安装前对可能存在的恶意代码进行检测； f）应对程序资源库的修改、更新、发布进行授权和批准，并严格进行版本控制； g）应保证开发人员为专职人员，开发人员的开发活动受到控制、监视和审查。

外包软件开发

a）应在软件交付前检测其中可能存在的恶意代码； b）应保证开发单位提供软件设计文档和使用指南； c）应保证开发单位提供软件源代码，并审查软件中可能存在的后门和隐蔽信道。

工程实施

a）应指定或授权专门的部门或人员负责工程实施过程的管理； b）应制定安全工程实施方案控制工程实施过程； c）应通过第三方工程监理控制项目的实施过程。

测试验收

a）应制订测试验收方案，并依据测试验收方案实施测试验收，形成测试验收报告； b）应进行上线前的安全性测试，并出具安全测试报告，安全测试报告应包含密码应用安全性测试相关内容。

系统交付

a）应制定交付清单，并根据交付清单对所交接的设备、软件和文档等进行清点； b）应对负责运行维护的技术人员进行相应的技能培训； c）应提供建设过程文档和运行维护文档。

等级测评

a）应定期进行等级测评，发现不符合相应等级保护标准要求的及时整改； b）应在发生重大变更或级别发生变化时进行等级测评； c）应确保测评机构的选择符合国家有关规定。

服务供应商选择

a）应确保服务供应商的选择符合国家的有关规定； b）应与选定的服务供应商签订相关协议，明确整个服务供应链各方需履行的网络安全相关义务； c）应定期监督、评审和审核服务供应商提供的服务，并对其变更服务内容加以控制。

云计算扩展要求 云服务商选择

a）应选择安全合规的云服务商，其所提供的云计算平台应为其所承载的业务应用系统提供相应等级的安全保护能力； b）应在服务水平协议中规定云服务的各项服务内容和具体技术指标； c）应在服务水平协议中规定云服务商的权限与责任，包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等； d）应在服务水平协议中规定服务合约到期时，完整提供云服务客户数据，并承诺相关数据在云计算平台上清除； e）应与选定的云服务商签署保密协议，要求其不得泄露云服务客户数据。

供应链管理

a）应确保供应商的选择符合国家有关规定； b）应将供应链安全事件信息或安全威胁信息及时传达到云服务客户； c）应将供应商的重要变更及时传达到云服务客户，并评估变更带来的安全风险，采取措施对风险进行控制。

移动互联安全 移动应用软件采购

a）应保证移动终端安装、运行的应用软件来自可靠分发渠道或使用可靠证书签名； b）应保证移动终端安装、运行的应用软件由指定的开发者开发。

移动应用软件开发

a）应对移动业务应用软件开发者进行资格审查； b）应保证开发移动业务应用软件的签名证书合法性。