PDF《2 规范性引用文件》

3 人员安全管理 5. 2. 3.

1 人员录用(G1) a) 应指定或授权专门的部门或人员负责人员录用? b) 应对被录用人员的身份和专业资格等进行审查?确保其具有基本的专业技术水平和安全管理 知识? 5. 2. 3.

2 人员离岗(G1) a) 应立即终止离岗员工的所有访问权限? b) 应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备? 5. 2. 3.

3 安全意识教育和培训(G1) a) 应对各类人员进行安全意识教育和岗位技能培训? b) 应告知相关人员安全责任和惩戒措施? 5. 2. 3.

4 外部人员访问管理(G1) 外部人员在访问受控区域前应获得授权或审批? 5. 2.

4 系统建设管理 5. 2. 4.

1 系统定级(G1) a) 应明确信息系统的边界和安全保护等级? b) 应以书面形式说明信息系统确定为某个安全保护等级的方法和理由? c) 信息系统的定级结果应经过相关部门的批准? 5. 2. 4.

2 安全方案设计(G1) a) 应根据系统的安全保护等级选择基本安全措施?依据风险分析结果补充和调整安全措施? b) 应以书面形式描述系统的安全保护要求、保护策略和安全措施等内容?形成系统的安全方案? c) 应对安全方案进行细化?形成能指导安全系统建设、安全产品采购和使用的详细设计方案? 5. 2. 4.

3 产品采购和使用(G1) 信息系统安全产品的采购和使用应符合国家有关规定? 5. 2. 4.

4 自行软件开发(G1) a) 开发环境应与实际运行环境物理分开? b) 软件设计相关文档应由专人负责保........