文档介绍:管理要求
安全管理制度
管理制度( G2)
本项要求包括:
应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等;
应
产品采购和使用( G2)
本项要求包括:
应确保安全产品采购和使用符合国家的有关规定;
应确保密码产品采购和使用符合国家密码主管部门的要求;
应指定或授权专门的部门负责产品的采购。
自行软件开发( G2)
本项要求包括:
应确保开发环境与实际运行环境物理分开;
应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则;
应确保提供软件设计的相关文档和使用指南,并由专人负责保管。
外包软件开发( G2)
本项要求包括:
应根据开发要求检测软件质量;
应确保提供软件设计的相关文档和使用指南;
应在软件安装之前检测软件包中可能存在的恶意代码;
应要求开发单位提供软件源代码,并审查软件中可能存在的后门。
工程实施( G2)
欢迎下载 4
精品文库
本项要求包括:
应指定或授权专门的部门或人员负责工程实施过程的管理;
应制定详细的工程实施方案,控制工程实施过程。
测试验收( G2)
本项要求包括:
应对系统进行安全性测试验收;
在测试验收前应根据设计方案或合同要求等制订测试验收方案,在测试验收过程中应详细记录测试验收结果,并形成测试验收报告;
应组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认。
系统交付( G2)
本项要求包括:
应制定系统交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点;
应对负责系统运行维护的技术人员进行相应的技能培训;
应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档。
安全服务商选择( G2)
本项要求包括:
应确保安全服务商的选择符合国家的有关规定;
应与选定的安全服务商签订与安全相关的协议,明确约定相关责任;
应确保选定的安全服务商提供技术支持和服务承诺,必要的与其签订服务合同。
系统运维管理
环境管理( G2)
本项要求包括:
a) 应指定专门的部门或人员定期对机房供配电、 空调、温湿度控制等设施进行维护管理;
欢迎下载 5
精品文库
应配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理;
应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定;
应加强对办公环境的保密性管理,包括工作人员调离办公室应立即交还该办公室钥匙和不在办公区接