等级保护测评中管理要求类别分为：安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理五个大类。本次讲解三级信息系统中系统建设管理的要求。

　　1、系统定级（G3）

　　a) 应明确信息系统的边界和安全保护等级；

　　b) 应以书面的形式说明确定信息系统为某个安全保护等级的方法和理由；

　　c) 应组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定；

　　d) 应确保信息系统的定级结果经过相关部门的批准。

　　小结:应对信息系统及时开展定级工作，确保定级合理与正确，要经过专家或主管单位的评审，实际工作中经过评审的定级比较少。这里建议大家一定要合理定级，不能为了省测评费或者图省事，把原本该定的三级的信息系统定成二级，即使公安部门批准定级了，也不代表你的定级是合理的，不出事还好，出了事，严重点，归根结底还是安全责任没有履行到位，二级和三级的防护要求不一样，二级满足要求不代表在三级情况下也能满足要求，定级不合理为自己的信息系统埋下了安全隐患。

　　2、安全方案设计（G3）

　　a) 应根据系统的安全保护等级选择基本安全措施，并依据风险分析的结果补充和调整安全措施；

　　b) 应指定和授权专门的部门对信息系统的安全建设进行总体规划，制定近期和远期的安全建设工作计划；

　　c) 应根据信息系统的等级划分情况，统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案，并形成配套文件；

　　d) 应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定，并且经过批准后，才能正式实施；

　　e) 应根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。

　　小结：应根据系统等级及测评结果制定合理的安全建设工作计划，及时调整和修订总体安全策略及安全设计方案等。

　　3、产品采购和使用（G3）

　　a) 应确保安全产品采购和使用符合国家的有关规定；

　　b) 应确保密码产品采购和使用符合国家密码主管部门的要求；

　　c) 应指定或授权专门的部门负责产品的采购；

　　d) 应预先对产品进行选型测试，确定产品的候选范围，并定期审定和更新候选产品名单。

　　小结：使用的安全产品要符合国家相关规定，对产品的选型要经过测试或论证，保证产品的品质。

　　4、自行软件开发（G3）

　　a) 应确保开发环境与实际运行环境物理分开，开发人员和测试人员分离，测试数据和测试结果受到控制；

　　b) 应制定软件开发管理制度，明确说明开发过程的控制方法和人员行为准则；

　　c) 应制定代码编写安全规范，要求开发人员参照规范编写代码；

　　d) 应确保提供软件设计的相关文档和使用指南，并由专人负责保管；

　　e) 应确保对程序资源库的修改、更新、发布进行授权和批准。

　　小结：自行软件开发做好开发环境和实际运行环境物理分开，测试人员和开发人员需分开，有详细的开发管理制度，代码编写规范，有相关设计文档等文件，确保软件开发的规范性和安全性。

　　5、外包软件开发（G3）

　　a) 应根据开发需求检测软件质量；

　　b) 应在软件安装之前检测软件包中可能存在的恶意代码；

　　c) 应要求开发单位提供软件设计的相关文档和使用指南；

　　d) 应要求开发单位提供软件源代码，并审查软件中可能存在的后门。

　　小结：应在软件交付前进行安全测试，检测是否有恶意代码及后门等，需要开发单位提供源代码，确保软件可控。目前我们欣喜地看到越来越多的用户在新系统上线前除了做等保测评外另外要求对软件进行一个全方位的安全测试，确保软件本身的安全性。

　　6、工程实施（G3）

　　a) 应指定或授权专门的部门或人员负责工程实施过程的管理；

　　b) 应制定详细的工程实施方案控制实施过程，并要求工程实施单位能正式地执行安全工程过程；

　　c) 应制定工程实施方面的管理制度，明确说明实施过程的控制方法和人员行为准则。

　　小结：对工程实施过程中要有专人或部门负责工程质量的把控，需要有详细的实施方案和管理制度。目前大项目有监理公司在进行监理，没有监理的需要注意工程实施质量控制工作。

　　7、测试验收（G3）

　　a) 应委托公正的第三方测试单位对系统进行安全性测试，并出具安全性测试报告；

　　b) 在测试验收前应根据设计方案或合同要求等制订测试验收方案，在测试验收过程中应详细记录测试验收结果，并形成测试验收报告；

　　c) 应对系统测试验收的控制方法和人员行为准则进行书面规定；

　　d) 应指定或授权专门的部门负责系统测试验收的管理，并按照管理规定的要求完成系统测试验收工作；

　　e) 应组织相关部门和相关人员对系统测试验收报告进行审定，并签字确认。

　　小结：应委托第三方对系统进行安全性测试，出具测试报告，对测试过程进行管理，并对结果确认。这个其实是非等保的测试，但是等保也能解决里面的一些问题，现在部分单位也要求系统在验收时需通过等级保护测评。

　　8、系统交付（G3）

　　a) 应制定详细的系统交付清单，并根据交付清单对所交接的设备、软件和文档等进行清点；

　　b) 应对负责系统运行维护的技术人员进行相应的技能培训；

　　c) 应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档；

　　d) 应对系统交付的控制方法和人员行为准则进行书面规定；

　　e) 应指定或授权专门的部门负责系统交付的管理工作，并按照管理规定的要求完成系统交付工作。

　　小结：系统交付时需要有交付清单，对相关技术人员进行运行维护的培训，对系统交付按照约定进行管理并交付。

　　9、系统备案（G3）

　　a) 应指定专门的部门或人员负责管理系统定级的相关材料，并控制这些材料的使用；

　　b) 应将系统等级及相关材料报系统主管部门备案；

　　c) 应将系统等级及其他要求的备案材料报相应公安机关备案。

　　小结：系统备案资料及时交付给上级主管部门和公安机关进行备案工作。等级保护管理办法要求新系统在上线后30日内进行备案。

　　10、等级测评（G3）

　　a) 在系统运行过程中，应至少每年对系统进行一次等级测评，发现不符合相应等级保护标准要求的及时整改；

　　b) 应在系统发生变更时及时对系统进行等级测评，发现级别发生变化的及时调整级别并进行安全改造，发现不符合相应等级保护标准要求的及时整改；

　　c) 应选择具有国家相关技术资质和安全资质的测评单位进行等级测评；

　　d) 应指定或授权专门的部门或人员负责等级测评的管理。

　　小结：备案后的系统及时按照要求进行等级测评，对发现的问题及时进行整改，消除隐患。

　　11、安全服务商选择（G3）

　　a) 应确保安全服务商的选择符合国家的有关规定；

　　b) 应与选定的安全服务商签订与安全相关的协议，明确约定相关责任；

　　c) 应确保选定的安全服务商提供技术培训和服务承诺，必要的与其签订服务合同。

　　小结：安全服务商的选择符合国家的相关规定，要有相关协议或合同约定双方的责任和义务。服务不仅是要有能力去做，也要有资格去做，合理合规。