序号 测评对象测评指标控制项描述1a) 应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由;2b) 应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定;3c) 应确保定级结果经过相关部门的批准;对定级结果的合理性和正确性进行论证和审定后,确定测评系统的定级结果报相关部门进行批准。4d) 应将备案材料报主管部门和相应公安机关备案。5a) 应根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施;6b) 应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计,设计内容应包含密码相关内容,并形成配套文件;设计合理的安全方案是保障信息系统安全建设和运行的基础。安全设计方案应当对系统安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等内容做出具体的规划和设计,并形成配套的文件。7c) 应组织相关部门和有关安全专家对安全整体规划及其配套文件的合理性和正确性进行论证和审定,经过批准后才能正式实施。针对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等的相关配套文件,相关部门和有关安全技术专家对其进行合理性和正确性的论证和审定,在经过审批批准流程后方可正式实施。安全方案设计定级和备案8a) 应确保信息安全产品采购和使用符合国家的有关规定;要选择符合国家及相关部门规定和要求的安全产品,如符合由中国信息安全产品测评认证中心编制的《信息安全产品政府采购指南》。9b) 应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求;要采购和使用符合国家密码主管部门相关要求的密码产品。密码产品可以是数字证书(如CA认证)、令牌同环、生物识别等,且符合国家相关规定如由国家信息安全,国家密码局、科学技术部、公安部、国家安全部、财政部、信息产业部、商务部、国家保密局、国家信息化工作办公室联合制定了《含有密码技术的信息产品政府采购规定》。10c) 应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。11a) 应确保开发环境与实际运行环境物理分开,测试数据和测试结果受到控制;为避免开发过程中对系统造成影响,要保证开发环境与实际运行环境物理分开。而且,系统开发文档的保管、使用以及后续程序资源库的维护都应严格管理,加以限制。12b) 应制定软件开发管理制度,明确说明开发过程的控制方法和人员...
