本篇為管理要求中系統(tǒng)建設(shè)管理的部分，文中內(nèi)容都是個人觀點，如有不對的地方歡迎糾正。文章以等保三級系統(tǒng)為基礎(chǔ)，從合規(guī)角度解讀要求。本部分為人員安全和安全管理機構(gòu)部分。

正文

不多說了，直接進(jìn)入正題。最后兩個部分，內(nèi)容比較多，分別進(jìn)行解讀。

a) **應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級；b) **應(yīng)以書面的形式說明確定信息系統(tǒng)為某個安全保護(hù)等級的方法和理由；c) **應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對信息系統(tǒng)定級結(jié)果的合理性和正確性進(jìn)行論證和審定；d) **應(yīng)確保信息系統(tǒng)的定級結(jié)果經(jīng)過相關(guān)部門的批準(zhǔn)。 |

系統(tǒng)定級在以前并非強制，一般都是政府部門、事業(yè)單位會被要求必須定級。但是2017年6月《網(wǎng)安法》出臺后，要求所有系統(tǒng)原則上都必須定級備案，這樣一來，政府、國企、事業(yè)、大中型私企都要定級，只有部分很小的系統(tǒng)，對社會影響可以忽略不計的那種可以不去做，不過如果后期業(yè)務(wù)發(fā)展，要與大公司或政府合作，那還是要備案，所以基本就是說只要你有運行的系統(tǒng)就要定級備案。

對于如何定級可以參考GB/T-22240-2008，里邊寫的比較詳細(xì)，在后邊備案和測評章節(jié)會簡單解釋一下，因為內(nèi)容比較多，五個級別，各級別的定義，三個客體，影響程度，定級矩陣，標(biāo)準(zhǔn)里都有提到。

a) 說得是邊界的界定，定級以系統(tǒng)為單位，要明確邊界，不能無限延伸，一般來說按照老的標(biāo)準(zhǔn)，從邊界防火墻到核心，再到系統(tǒng)所在的服務(wù)器區(qū)間，以及下邊可以訪問該系統(tǒng)的PC或移動端，這一整套網(wǎng)絡(luò)都屬于該系統(tǒng)，那么邊界就是從防火墻到用戶終端這么一個圈；

b) 一般定級都會先提交系統(tǒng)相關(guān)的詳細(xì)資料，之后會填下定級報告；國家提倡自主定級，就是企業(yè)自己組織專家組或聘請第三方專家來為系統(tǒng)定級，主要依據(jù)還是系統(tǒng)對社會影響的程度，系統(tǒng)的量級（參考GB/T-22240），一般來說大多系統(tǒng)會定為二級，一部分為三級，四級系統(tǒng)一般會有國家級機構(gòu)來定，五級系統(tǒng)就不是我們操心的了。各省級測評機構(gòu)最多有權(quán)測評三級系統(tǒng)。

c) 這塊其實感覺有些多余，一般來說自定級和專家評審之后，會把定級結(jié)果送交到公安，如果合理會走后續(xù)流程，如果不合適會通知重新定級；所以這個正確性與否其實讓公安來把控就好了，不過一般來說大多不會定錯級，除非有些企業(yè)為了投機故意低報級別。

d) 去公安申報，先申請備案，按正常流程走就可以，這是外部流程。企業(yè)內(nèi)部要對系統(tǒng)定級，要先向上級申請，提出某系統(tǒng)要進(jìn)行定級備案，經(jīng)高層審批通過后，開始執(zhí)行外部流程。注意不要只考慮外部流程，忘了內(nèi)部審批流程。

a)**應(yīng)根據(jù)系統(tǒng)的安全保護(hù)等級選擇基本安全措施，并依據(jù)風(fēng)險分析的結(jié)果補充和調(diào)整安全措施；b)**應(yīng)指定和授權(quán)專門的部門對信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，制定近期和遠(yuǎn)期的安全建設(shè)工作計劃；c)**應(yīng)根據(jù)信息系統(tǒng)的等級劃分情況，統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計方案，并形成配套文件；d)**應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計方案等相關(guān)配套文件的合理性和正確性進(jìn)行論證和審定，并且經(jīng)過批準(zhǔn)后，才能正式實施；e)**應(yīng)根據(jù)等級測評、安全評估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計方案 等相關(guān)配套文件。** |

a) 本項在1.0本中解釋起來有點麻煩，不過按照最近的“三同步”解釋，大家都明白了，在系統(tǒng)設(shè)計初期就要考慮安全性的問題，如果還不太了解，可以參考SDL中安全設(shè)計階段，一個是對軟件，一個是對系統(tǒng)，目的相同。

b) 類似于要啟動項目就要建立一個項目組團隊，系統(tǒng)定級備案也是一樣，不是一個人就能搞定的事（包括系統(tǒng)設(shè)計和建設(shè)），然后要有項目計劃，這點不難理解。

c) 這里說的是提前規(guī)劃的情況，目前大多數(shù)還是先有系統(tǒng)后做定級，這種三同步的規(guī)劃沒多少企業(yè)會真正落實，規(guī)劃周期長，設(shè)計復(fù)雜，而且當(dāng)年沒有強制性要求，沒人關(guān)心定級的事；本項要看的就是系統(tǒng)當(dāng)初設(shè)計時的設(shè)計文檔，各階段的記錄和報告，類似于SDLC。

d) 本項是c的后續(xù)流程，按照正常流程，設(shè)計方案要內(nèi)部評審，通過后才可正式實施，不過做到這么細(xì)的國內(nèi)公司還是少數(shù)，而且中間的記錄文檔也不全，檢查的時候很多東西都是臨時偽造，補充出來的，其實這部分主要強調(diào)的還是流程管理的東西，檢查時能拿出系統(tǒng)設(shè)計方案內(nèi)部評審報告和記錄就OK.

e) 按照要求二級系統(tǒng)2年一次復(fù)測，三級系統(tǒng)1年一次復(fù)測，這期間系統(tǒng)多少會有功能上的變更（如果有大變化就要重新定級），這樣一來，系統(tǒng)相關(guān)的文檔肯定會有變化，本項檢查的就是不同版本變化中的過程文檔和記錄。

a)**應(yīng)確保安全產(chǎn)品采購和使用符合國家的有關(guān)規(guī)定；b)**應(yīng)確保密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求；c)**應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的采購；d)**應(yīng)預(yù)先對產(chǎn)品進(jìn)行選型測試，確定產(chǎn)品的候選范圍，并定期審定和更新候選產(chǎn)品名單。 |

本節(jié)內(nèi)容沒什么可細(xì)講的，都是按照相關(guān)標(biāo)準(zhǔn)采購設(shè)備和產(chǎn)品，采購部門基本會按照這些要求來選擇供應(yīng)商。這里額外會要求一點：政府、國企、央企和國資背景企業(yè)的關(guān)鍵系統(tǒng)不能使用國外網(wǎng)絡(luò)產(chǎn)品（Ciso、Juniper這類），私營企業(yè)沒有這方面的要求。如果有可能，盡量采購國產(chǎn)產(chǎn)品和軟件。

a) **應(yīng)確保開發(fā)環(huán)境與實際運行環(huán)境物理分開，開發(fā)人員和測試人員分離，測試數(shù)據(jù)和測試結(jié)果受到控制；b) 應(yīng)制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和人員行為準(zhǔn)則；c) **應(yīng)制定代碼編寫安全規(guī)范，要求開發(fā)人員參照規(guī)范編寫代碼；d) **應(yīng)確保提供軟件設(shè)計的相關(guān)文檔和使用指南，并由專人負(fù)責(zé)保管；e) **應(yīng)確保對程序資源庫的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)。 |

有自己開發(fā)團隊的情況下：

a) 一般來說，測試環(huán)境基本都是封閉的，和外網(wǎng)、生產(chǎn)網(wǎng)、辦公網(wǎng)這些都沒有通信，這單還比較容易做到；開發(fā)人員和測試人員分離，一般可能做不到，畢竟經(jīng)常要在一起討論，所以實際檢查中，更多的是關(guān)注測試環(huán)境的隔離情況。

b) 檢查中會查看開發(fā)人員的行為規(guī)范和操作規(guī)范，開發(fā)部門管理制度等一系列文檔；

c) 編碼規(guī)范估計每家公司都會有，但不是有就可以，要看你有沒有去按照規(guī)范去做，一般就是日常的編碼規(guī)范和編碼安全培訓(xùn)，以及在行為準(zhǔn)則中如何規(guī)定的。

d) 本點要求是系統(tǒng)要有開發(fā)各階段的文檔，以及系統(tǒng)的使用手冊/指南，往往都是各階段文檔齊備，但是缺少使用指南（文檔和指南都是便于交接工作，由于人員變動，時間久了很多東西根本不從查起，如果沒做好文檔和流程管理，就會造成新人接手系統(tǒng)一問三不知的情況）。由專人負(fù)責(zé)保管這項不是重點，因為臨時安排一個人來應(yīng)付檢查，也沒法查出來。

e) 還是流程的事，版本變更，功能上線，系統(tǒng)發(fā)布都要有過程記錄。

a)**應(yīng)根據(jù)開發(fā)需求檢測軟件質(zhì)量；b)**應(yīng)在軟件安裝之前檢測軟件包中可能存在的惡意代碼；c)**應(yīng)要求開發(fā)單位提供軟件設(shè)計的相關(guān)文檔和使用指南；d)**應(yīng)要求開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門。 |

外包第三方開發(fā)團隊的情況：

a) 系統(tǒng)的功能測試，壓力測試等，要保留測試報告以備檢查；

b) 系統(tǒng)安全測試，白盒、黑盒、交互式等的測試，要有系統(tǒng)上線前的安全測試報告，并且對發(fā)現(xiàn)的漏洞已進(jìn)行整改（一般是針對中高危級別的漏洞）；

c) 很多企業(yè)外包開發(fā)，系統(tǒng)功能OK就可以了，需求文檔、設(shè)計文檔、設(shè)計方案、測試文檔全都沒有，檢查的時候，外包商又說之前的員工離職了，現(xiàn)在這個系統(tǒng)的具體信息我們也不太清楚，這種局面就很鬧心了；所以說，對外包商要求嚴(yán)一點，以后給自己找的麻煩就會少一點。

d) 和b有點重復(fù)，類似于代碼審計工作，一般中小企業(yè)不太會花錢去做這塊，大多找個開源工具掃一下，挑幾個高危的修修了事。大型企業(yè)這塊做的比較好（接觸過的幾家），各種安全測試、代碼審計、滲透測試，能做的都會做，雖然不強制要求中小企業(yè)也這么去搞，但是希望在能力范圍能盡力去做好安全工作，不要為了應(yīng)付檢查做一下表面工作。

a)**應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)工程實施過程的管理；b)**應(yīng)制定詳細(xì)的工程實施方案控制實施過程， 并要求工程實施單位能正式地執(zhí)行安全工程過程；c) **應(yīng)制定工程實施方面的管理制度，明確說明實施過程的控制方法和人員行為準(zhǔn)則。** |

無論自研還是外包，肯定都會指定一個項目經(jīng)理，一般來說會是甲方的人，也可能叫負(fù)責(zé)人，乙方的叫項目經(jīng)理，主要就是負(fù)責(zé)把控項目進(jìn)度和質(zhì)量。實施部分要有詳細(xì)的實施方案，進(jìn)度計劃表，啟動會記錄，里程碑記錄，變更記錄，延期記錄（如果有的情況）。甲方對于項目實施會有一些管理制度，保密協(xié)議之類的，檢查的時候不會非常細(xì)，但是會看各階段的文檔記錄，以證明項目是按照計劃和流程穩(wěn)步推進(jìn)的。

a)**應(yīng)委托公正的第三方測試單位對系統(tǒng)進(jìn)行安全性測試，并出具安全性測試報告；b)在測試驗收前應(yīng)根據(jù)設(shè)計方案或合同要求等制訂測試驗收方案，在測試驗收過程中應(yīng)詳細(xì)記錄測試驗收結(jié)果，并形成測試驗收報告；c)**應(yīng)對系統(tǒng)測試驗收的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定；d)**應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)測試驗收的管理，并按照管理規(guī)定的要求完成系統(tǒng)測試驗收工作；e)**應(yīng)組織相關(guān)部門和相關(guān)人員對系統(tǒng)測試驗收報告進(jìn)行審定，并簽字確認(rèn)。 |

a) 一般開發(fā)團隊不會負(fù)責(zé)安全問題，所以會由安全團隊來做測試，大多是以第三方就是乙方來做安全測試（代碼審計、黑盒、滲透、基線等等）；如果有自己的安全團隊也可以內(nèi)部來搞，但是不能水，要認(rèn)真測試。檢查時會看測試報告，包括代碼審計報告、滲透測試報告、漏掃報告等。

b) 這點要求的就是兩個文檔，一個是驗收方案（甲方會明確怎樣才算合格）；另一個就是驗收報告，里邊約定驗收結(jié)果，并由甲乙方蓋章簽字。

c) 說實話這條我也沒詳細(xì)查過，一般都是略過去，所以無法解釋，有了解的可以留言補充一下；

d) 這點很好理解，制定專人或部門來管理驗收工作，臨時指定等項目結(jié)束再解聘也是可以的，不過要有文檔能證明此項工作；

e) 一般都會在項目驗收（報告會）同時進(jìn)行，高層領(lǐng)導(dǎo)、技術(shù)專家也會出席，同意后才會蓋章簽字，可以在項目驗收會的簽到表中體現(xiàn)。

a)**應(yīng)制定詳細(xì)的系統(tǒng)交付清單，并根據(jù)交付清單對所交接的設(shè)備、軟件和文檔等進(jìn)行清點；b)**應(yīng)對負(fù)責(zé)系統(tǒng)運行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)；c)**應(yīng)確保提供系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運行維護(hù)的文檔；d)**應(yīng)對系統(tǒng)交付的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定；e)**應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)交付的管理工作，并按照管理規(guī)定的要求完成系統(tǒng)交付工作。** |

交付部分很容易理解，不需要詳細(xì)解釋了吧。同驗收部分一樣，d項檢查的時候沒有特別要求客戶去做，所以這塊還是不太了解。其他部分類似的。

a)**應(yīng)指定專門的部門或人員負(fù)責(zé)管理系統(tǒng)定級的相關(guān)材料，并控制這些材料的使用；b)**應(yīng)將系統(tǒng)等級及相關(guān)材料報系統(tǒng)主管部門備案；c)**應(yīng)將系統(tǒng)等級及其他要求的備案材料報相應(yīng)公安機關(guān)備案。**

7.2.4.10**等級測評（G3）a)**在系統(tǒng)運行過程中，應(yīng)至少每年對系統(tǒng)進(jìn)行一次等級測評 ，發(fā)現(xiàn)不符合相應(yīng)等級保護(hù)標(biāo)準(zhǔn)要求的及時整改；b)**應(yīng)在系統(tǒng)發(fā)生變更時及時對系統(tǒng)進(jìn)行等級測評，發(fā)現(xiàn)級別發(fā)生變化的及時調(diào)整級別并進(jìn)行安全改造，發(fā)現(xiàn)不符合相應(yīng)等級保護(hù)標(biāo)準(zhǔn)要求的及時整改；c)應(yīng)選擇具有國家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測評單位進(jìn)行等級測評；d)**應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)等級測評的管理。 |

備案和測評這兩部分放在一起來說，是一個連續(xù)的過程。

定級前要知道的幾點，等級保護(hù)制度主要監(jiān)管方式公安部，分為五個級別，涉及三個客體，即：

a) 公民、法人和其他組織的合法權(quán)益；

b) 社會秩序、公共利益；

c) 國家安全。

對客體的危害程度分為三個級別：

a) 造成一般損害；

b) 造成嚴(yán)重?fù)p害；

c) 造成特別嚴(yán)重?fù)p害。

定級備案其實是一起的，要先到當(dāng)?shù)毓策M(jìn)行備案，然后會讓你提交一堆文檔，包括：備案表、工作自查表、基本情況調(diào)研表等等；此后要先自定級，提交定級報告；再之后聘請測評機構(gòu)對系統(tǒng)進(jìn)行測評—整改—復(fù)測—下發(fā)備案證明—每年監(jiān)督檢查。

如果定級備案后，系統(tǒng)有較大變更，比如新增一個模塊，需要聘請專業(yè)機構(gòu)進(jìn)行重新定級，上述流程要重新再來一次。如果這種情況不報，被年檢查出來，企業(yè)和負(fù)責(zé)人要接受警告或處罰。（詳細(xì)的可以參考22240）

a)**應(yīng)確保安全服務(wù)商的選擇符合國家的有關(guān)規(guī)定；b)**應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責(zé)任；c)**應(yīng)確保選定的安全服務(wù)商提供技術(shù)培訓(xùn)和服務(wù)承諾，必要的與其簽訂服務(wù)合同。** |

屬于第三方管理制度范疇，這里說的比較簡單，至少要有供應(yīng)商管理制度、供應(yīng)商服務(wù)合同、服務(wù)詳細(xì)說明等文檔。推薦看一下ISO 27002中15 供應(yīng)商關(guān)系部分的細(xì)節(jié)（內(nèi)容較多，不進(jìn)行擴展了）。

結(jié)語

以上為管理要求在系統(tǒng)建設(shè)管理部分的要求。內(nèi)容比較多的一部分，更多的是強調(diào)流程和記錄。如果看過ISO27002或者C5（今年開始叫做COBIT2019了），那么理解起來就很容易了。

等級保護(hù)測評系列介紹

等級保護(hù)測評（一）：物理安全

等級保護(hù)測評（二）：網(wǎng)絡(luò)安全

等級保護(hù)測評（三）：主機安全

等級保護(hù)測評（四）：應(yīng)用與數(shù)據(jù)安全

等級保護(hù)測評（五）：制度與人員安全

等級保護(hù)測評（六）：系統(tǒng)建設(shè)管理

等級保護(hù)測評（七）：系統(tǒng)運維管理