b) 应以书面的形式说明信息系统确定为某个安全保护等级的方法和理由;
c) 应确保信息系统的定级结果经过相关部门的批准。
本项要求包括:
a) 应根据系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施;
b) 应以书面形式描述对系统的安全保护要求、策略和措施等内容,形成系统的安全方案;
c) 应对安全方案进行细化,形成能指导安全系统建设、安全产品采购和使用的详细设计方案;
d) 应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施。
本项要求包括:
a) 应确保安全产品采购和使用符合国家的有关规定;
b) 应确保密码产品采购和使用符合国家密码主管部门的要求;
c) 应指定或授权专门的部门负责产品的采购。
本项要求包括:
a) 应确保开发环境与实际运行环境物理分开;
b) 应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则;
c) 应确保提供软件设计的相关文档和使用指南,并由专人负责保管。
本项要求包括:
a) 应根据开发要求检测软件质量;
b) 应确保提供软件设计的相关文档和使用指南;
c) 应在软件安装之前检测软件包中可能存在的恶意代码;
d) 应要求开发单位提供软件源代码,并审查软件中可能存在的后门。
