等级保护三级信息系统制度清单(3)

4) 《专家论证文档》

? 内容包括相关部门和有关安全技术专家对总体安全策略、安全技术

框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的论证意见。

5) 《系统总体安全策略、安全技术框架、安全管理策略、总体建设规划、

详细设计方案》等配套文件

? 包括配套文件的修订版本或记录。

4.3 产品采购和使用

一、 文档

1) 《系统使用的有关信息安全产品符合国家的有关规定》

? 采购的流程； ? 安全产品；

? 安全产品具有相关凭证。 2) 《密码产品的使用情况》

? 采购的流程； ? 安全产品；

? 密码产品具有相关凭证。 3) 《产品采购管理文档》

? 包括需要的产品性能指标，确定产品的候选范围，通过招投标等方

式确定采购产品及人员行为准则等方面；

二、 记录

1) 《产品选型测试结果记录、候选产品名单审定记录或更新的候选产品名

单》。

4.4 自行软件开发

一、 制度

1) 《软件开发管理制度》

? 内容包括软件设计、开发、测试、验收过程的控制方法和人员行为

第11页共22页

准则，明确哪些开发活动应经过授权、审批，明确软件开发相关文档的管理等。

2) 《代码编写规范》

? 包括代码编写规则等。 二、 文档

1) 《软件设计的相关文档（应用软件设计程序文件、源代码文档等）、软

件使用指南或操作手册和维护手册》 ? 软件设计相关文档； ? 软件使用指南或操作手册等； ? 专人负责文档保管。 三、 记录

1) 《对程序资源库的修改、更新、发布进行授权和审批的文档或记录》

? 包括批准人的签字。

4.5 外包软件开发

一、 文档

1) 《需求分析说明书、软件设计说明书、软件操作手册、软件源代码文档

等软件开发文档和使用指南》 二、 记录

1) 《软件源代码审查记录》

? 包括对可能存在后门的审查结果。

2) 《软件安装之前检测软件中的恶意代码的记录》

? 检测工具是第三方的商业产品。

4.6 工程实施

一、 制度

1) 《工程实施管理制度》

? 是否包括工程实施过程的控制方法、实施参与人员的行为准则等方

面内容。

第12页共22页

二、 文档

1) 《工程实施方案》

? 包括工程时间限制、进度控制和质量控制等方面内容。 三、 记录

1) 《按照实施方案形成的阶段性工程报告》。

4.7 测试验收

一、 制度

1) 《测试验收管理文档》

? 包括系统测试验收的过程控制方法、参与人员的行为规范等内容。 二、 文档 2) 测试报告

? 系统安全性测试报告； ? 系统测试验收报告。 3) 《工程测试验收方案》

? 内容包括参与测试的部门、人员、测试验收的内容、现场操作过程等 4) 《测试验收记录》 5) 《系统测试验收报告》

? 内容包括系统测试验收的过程控制方法、参与人员的行为规范等。 6) 《系统安全性测试报告》

? 内容包括测试通过的结论（如果报告中提出了存在的问题，则检查

是否有针对这些问题的改进报告），是否有第三方测试机构的签字或盖章。

7) 对测试验收报告的审定文档

? 内容包括相关人员的审定意见。

4.8 系统交付

一、 文档

1) 《系统交付管理文档》

第13页共22页

? 内容包括交付过程的控制方法和对交付参与人员的行为限制等。 二、 记录

1) 《系统交付清单》

? 内容包括包括所交接的设备、文档、软件等； 2) 《培训记录》

? 系统交付技术培训记录，包括培训内容、培训时间和参与人员等。

4.9 系统备案

一、 文档

1) 备案的记录或备案文档

? 内容包括将系统等级相关材料报主管部门备案的记录或备案文档； 2) 公安机关备案的记录或证明

? 内容包括将系统等级相关备案材料报相应公安机关备案的记录或证

明；

3) 系统定级相关材料的适用控制记录

4.10 安全服务商选择

一、 文档

1) 《与安全服务商签订的安全责任合同书或保密协议等文档》

? 对信息系统进行安全规划、设计、实施、维护、测评等服务的安全

服务单位；

? 安全服务商的安全资质文件；

? 内容包括与所有安全服务商签订的安全责任合同书或保密协议文

档，文档中有保密范围、安全责任、违约责任、协议的有效期限和责任人的签字等。

2) 《与安全服务商签订的服务合同》

第14页共22页

5 系统运维管理

5.1 环境管理

一、 制度

1) 《机房安全管理制度》

? 内容覆盖机房物理访问、物品带进、带出机房和机房环境安全等方

面。

二、 文档

1) 《机房消防管理制度和消防预案》 2) 《办公环境管理办法》

? 规范办公环境内人员的行为；

? 工作人员离开座位确保终端计算机退出登录状态； ? 桌面上没有包含敏感信息的纸档文件；

? 工作人员调离办公立即交还该办公室钥匙和不在办公区接待来访人

员等。

三、 记录

1) 《机房基础设施维护记录》

? 内容包括记录维护日期、维护人、维护设备、故障原因、维护结果

等。

2) 《消防设施巡检记录表》

5.2 资产管理

一、 制度

1) 《资产安全管理制度》

? 内容包括明确信息资产管理的责任部门、责任人等； ? 其覆盖资产使用、借用、维护等方面。

? 内容包括依据资产的重要程度对资产进行分类和标识管理，不同类

第15页共22页

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库等级保护三级信息系统制度清单(3)在线全文阅读。