DOC《目次》

应对被录用人员的身份和专业资格等进行审查,并确保其具有基本的专业技术水平和安全管理知识. 人员离岗(G1) 本项要求包括: a) 应立即终止由于各种原因离岗员工的所有访问权限;

b) 应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备. 安全意识教育和培训(G1) 本项要求包括: a) 应对各类人员进行安全意识教育和岗位技能培训;

b) 应告知人员相关的安全责任和惩戒措施. 外部人员访问管理(G1) 应确保在外部人员访问受控区域前得到授权或审批. 系统建设管理 系统定级(G1) 本项要求包括: a) 应明确信息系统的边界和安全保护等级;

b) 应以书面的形式说明信息系统确定为某个安全保护等级的方法和理由;

c) 应确保信息系统的定级结果经过相关部门的批准. 安全方案设计(G1) 本项要求包括: 应根据系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施;

应以书面的形式描述对系统的安全保护要求和策略、安全措施等内容,形成系统的安全方案;

应对安全方案进行细化,形成能指导安全系统建设、安全产品采购和使用的详细设计方案. 产品采购和使用(G1) 应确保安全产品采购和使用符合国家的有关规定. 自行软件开发(G1) 本项要求包括: a) 应确保开发环境与实际运行环境物理分开;

b) 应确保软件设计相关文档由专人负责保管. 外包软件开发(G1) 本项要求包括: a) 应根据开发要求检测软件质量;

b) 应在软件安装之前检测软件包中可能存在的恶意代码;

c) 应确保提供软件设计的相关文档和使用指南. 工程实施(G1) 应指定或授权专门的部门或人员负责工程实施过程的管理. 测试验收(G1) 本项要求包括: 应对系统进行安全性测试验收;

在测试验收前应根据设计方案或合同要求等制订测试验收方案,在测试验收过程中应详细记录测试验收结果,并形成测试验收报告. 系统交付(G1) 本项要求包括: a) 应制定系统交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点;

b) 应对负责系统运行维护的技术人员进行相应的技能培训;

c) 应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档.........