本篇為管理要求中系統(tǒng)建設(shè)管理的部分，文中內(nèi)容都是個(gè)人觀點(diǎn)，如有不對(duì)的地方歡迎糾正。文章以等保三級(jí)系統(tǒng)為基礎(chǔ)，從合規(guī)角度解讀要求。本部分為人員安全和安全管理機(jī)構(gòu)部分。

正文

不多說了，直接進(jìn)入正題。最后兩個(gè)部分，內(nèi)容比較多，分別進(jìn)行解讀。

a) **應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí)；b) **應(yīng)以書面的形式說明確定信息系統(tǒng)為某個(gè)安全保護(hù)等級(jí)的方法和理由；c) **應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)信息系統(tǒng)定級(jí)結(jié)果的合理性和正確性進(jìn)行論證和審定；d) **應(yīng)確保信息系統(tǒng)的定級(jí)結(jié)果經(jīng)過相關(guān)部門的批準(zhǔn)。 |

系統(tǒng)定級(jí)在以前并非強(qiáng)制，一般都是政府部門、事業(yè)單位會(huì)被要求必須定級(jí)。但是2017年6月《網(wǎng)安法》出臺(tái)后，要求所有系統(tǒng)原則上都必須定級(jí)備案，這樣一來，政府、國(guó)企、事業(yè)、大中型私企都要定級(jí)，只有部分很小的系統(tǒng)，對(duì)社會(huì)影響可以忽略不計(jì)的那種可以不去做，不過如果后期業(yè)務(wù)發(fā)展，要與大公司或政府合作，那還是要備案，所以基本就是說只要你有運(yùn)行的系統(tǒng)就要定級(jí)備案。

對(duì)于如何定級(jí)可以參考GB/T-22240-2008，里邊寫的比較詳細(xì)，在后邊備案和測(cè)評(píng)章節(jié)會(huì)簡(jiǎn)單解釋一下，因?yàn)閮?nèi)容比較多，五個(gè)級(jí)別，各級(jí)別的定義，三個(gè)客體，影響程度，定級(jí)矩陣，標(biāo)準(zhǔn)里都有提到。

a) 說得是邊界的界定，定級(jí)以系統(tǒng)為單位，要明確邊界，不能無(wú)限延伸，一般來說按照老的標(biāo)準(zhǔn)，從邊界防火墻到核心，再到系統(tǒng)所在的服務(wù)器區(qū)間，以及下邊可以訪問該系統(tǒng)的PC或移動(dòng)端，這一整套網(wǎng)絡(luò)都屬于該系統(tǒng)，那么邊界就是從防火墻到用戶終端這么一個(gè)圈；

b) 一般定級(jí)都會(huì)先提交系統(tǒng)相關(guān)的詳細(xì)資料，之后會(huì)填下定級(jí)報(bào)告；國(guó)家提倡自主定級(jí)，就是企業(yè)自己組織專家組或聘請(qǐng)第三方專家來為系統(tǒng)定級(jí)，主要依據(jù)還是系統(tǒng)對(duì)社會(huì)影響的程度，系統(tǒng)的量級(jí)（參考GB/T-22240），一般來說大多系統(tǒng)會(huì)定為二級(jí)，一部分為三級(jí)，四級(jí)系統(tǒng)一般會(huì)有國(guó)家級(jí)機(jī)構(gòu)來定，五級(jí)系統(tǒng)就不是我們操心的了。各省級(jí)測(cè)評(píng)機(jī)構(gòu)最多有權(quán)測(cè)評(píng)三級(jí)系統(tǒng)。

c) 這塊其實(shí)感覺有些多余，一般來說自定級(jí)和專家評(píng)審之后，會(huì)把定級(jí)結(jié)果送交到公安，如果合理會(huì)走后續(xù)流程，如果不合適會(huì)通知重新定級(jí)；所以這個(gè)正確性與否其實(shí)讓公安來把控就好了，不過一般來說大多不會(huì)定錯(cuò)級(jí)，除非有些企業(yè)為了投機(jī)故意低報(bào)級(jí)別。

d) 去公安申報(bào)，先申請(qǐng)備案，按正常流程走就可以，這是外部流程。企業(yè)內(nèi)部要對(duì)系統(tǒng)定級(jí)，要先向上級(jí)申請(qǐng)，提出某系統(tǒng)要進(jìn)行定級(jí)備案，經(jīng)高層審批通過后，開始執(zhí)行外部流程。注意不要只考慮外部流程，忘了內(nèi)部審批流程。

a)**應(yīng)根據(jù)系統(tǒng)的安全保護(hù)等級(jí)選擇基本安全措施，并依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施；b)**應(yīng)指定和授權(quán)專門的部門對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，制定近期和遠(yuǎn)期的安全建設(shè)工作計(jì)劃；c)**應(yīng)根據(jù)信息系統(tǒng)的等級(jí)劃分情況，統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案，并形成配套文件；d)**應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的合理性和正確性進(jìn)行論證和審定，并且經(jīng)過批準(zhǔn)后，才能正式實(shí)施；e)**應(yīng)根據(jù)等級(jí)測(cè)評(píng)、安全評(píng)估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案 等相關(guān)配套文件。** |

a) 本項(xiàng)在1.0本中解釋起來有點(diǎn)麻煩，不過按照最近的“三同步”解釋，大家都明白了，在系統(tǒng)設(shè)計(jì)初期就要考慮安全性的問題，如果還不太了解，可以參考SDL中安全設(shè)計(jì)階段，一個(gè)是對(duì)軟件，一個(gè)是對(duì)系統(tǒng)，目的相同。

b) 類似于要啟動(dòng)項(xiàng)目就要建立一個(gè)項(xiàng)目組團(tuán)隊(duì)，系統(tǒng)定級(jí)備案也是一樣，不是一個(gè)人就能搞定的事（包括系統(tǒng)設(shè)計(jì)和建設(shè)），然后要有項(xiàng)目計(jì)劃，這點(diǎn)不難理解。

c) 這里說的是提前規(guī)劃的情況，目前大多數(shù)還是先有系統(tǒng)后做定級(jí)，這種三同步的規(guī)劃沒多少企業(yè)會(huì)真正落實(shí)，規(guī)劃周期長(zhǎng)，設(shè)計(jì)復(fù)雜，而且當(dāng)年沒有強(qiáng)制性要求，沒人關(guān)心定級(jí)的事；本項(xiàng)要看的就是系統(tǒng)當(dāng)初設(shè)計(jì)時(shí)的設(shè)計(jì)文檔，各階段的記錄和報(bào)告，類似于SDLC。

d) 本項(xiàng)是c的后續(xù)流程，按照正常流程，設(shè)計(jì)方案要內(nèi)部評(píng)審，通過后才可正式實(shí)施，不過做到這么細(xì)的國(guó)內(nèi)公司還是少數(shù)，而且中間的記錄文檔也不全，檢查的時(shí)候很多東西都是臨時(shí)偽造，補(bǔ)充出來的，其實(shí)這部分主要強(qiáng)調(diào)的還是流程管理的東西，檢查時(shí)能拿出系統(tǒng)設(shè)計(jì)方案內(nèi)部評(píng)審報(bào)告和記錄就OK.

e) 按照要求二級(jí)系統(tǒng)2年一次復(fù)測(cè)，三級(jí)系統(tǒng)1年一次復(fù)測(cè)，這期間系統(tǒng)多少會(huì)有功能上的變更（如果有大變化就要重新定級(jí)），這樣一來，系統(tǒng)相關(guān)的文檔肯定會(huì)有變化，本項(xiàng)檢查的就是不同版本變化中的過程文檔和記錄。

a)**應(yīng)確保安全產(chǎn)品采購(gòu)和使用符合國(guó)家的有關(guān)規(guī)定；b)**應(yīng)確保密碼產(chǎn)品采購(gòu)和使用符合國(guó)家密碼主管部門的要求；c)**應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)產(chǎn)品的采購(gòu)；d)**應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試，確定產(chǎn)品的候選范圍，并定期審定和更新候選產(chǎn)品名單。 |

本節(jié)內(nèi)容沒什么可細(xì)講的，都是按照相關(guān)標(biāo)準(zhǔn)采購(gòu)設(shè)備和產(chǎn)品，采購(gòu)部門基本會(huì)按照這些要求來選擇供應(yīng)商。這里額外會(huì)要求一點(diǎn)：政府、國(guó)企、央企和國(guó)資背景企業(yè)的關(guān)鍵系統(tǒng)不能使用國(guó)外網(wǎng)絡(luò)產(chǎn)品（Ciso、Juniper這類），私營(yíng)企業(yè)沒有這方面的要求。如果有可能，盡量采購(gòu)國(guó)產(chǎn)產(chǎn)品和軟件。

a) **應(yīng)確保開發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開，開發(fā)人員和測(cè)試人員分離，測(cè)試數(shù)據(jù)和測(cè)試結(jié)果受到控制；b) 應(yīng)制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和人員行為準(zhǔn)則；c) **應(yīng)制定代碼編寫安全規(guī)范，要求開發(fā)人員參照規(guī)范編寫代碼；d) **應(yīng)確保提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南，并由專人負(fù)責(zé)保管；e) **應(yīng)確保對(duì)程序資源庫(kù)的修改、更新、發(fā)布進(jìn)行授權(quán)和批準(zhǔn)。 |

有自己開發(fā)團(tuán)隊(duì)的情況下：

a) 一般來說，測(cè)試環(huán)境基本都是封閉的，和外網(wǎng)、生產(chǎn)網(wǎng)、辦公網(wǎng)這些都沒有通信，這單還比較容易做到；開發(fā)人員和測(cè)試人員分離，一般可能做不到，畢竟經(jīng)常要在一起討論，所以實(shí)際檢查中，更多的是關(guān)注測(cè)試環(huán)境的隔離情況。

b) 檢查中會(huì)查看開發(fā)人員的行為規(guī)范和操作規(guī)范，開發(fā)部門管理制度等一系列文檔；

c) 編碼規(guī)范估計(jì)每家公司都會(huì)有，但不是有就可以，要看你有沒有去按照規(guī)范去做，一般就是日常的編碼規(guī)范和編碼安全培訓(xùn)，以及在行為準(zhǔn)則中如何規(guī)定的。

d) 本點(diǎn)要求是系統(tǒng)要有開發(fā)各階段的文檔，以及系統(tǒng)的使用手冊(cè)/指南，往往都是各階段文檔齊備，但是缺少使用指南（文檔和指南都是便于交接工作，由于人員變動(dòng)，時(shí)間久了很多東西根本不從查起，如果沒做好文檔和流程管理，就會(huì)造成新人接手系統(tǒng)一問三不知的情況）。由專人負(fù)責(zé)保管這項(xiàng)不是重點(diǎn)，因?yàn)榕R時(shí)安排一個(gè)人來應(yīng)付檢查，也沒法查出來。

e) 還是流程的事，版本變更，功能上線，系統(tǒng)發(fā)布都要有過程記錄。

a)**應(yīng)根據(jù)開發(fā)需求檢測(cè)軟件質(zhì)量；b)**應(yīng)在軟件安裝之前檢測(cè)軟件包中可能存在的惡意代碼；c)**應(yīng)要求開發(fā)單位提供軟件設(shè)計(jì)的相關(guān)文檔和使用指南；d)**應(yīng)要求開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門。 |

外包第三方開發(fā)團(tuán)隊(duì)的情況：

a) 系統(tǒng)的功能測(cè)試，壓力測(cè)試等，要保留測(cè)試報(bào)告以備檢查；

b) 系統(tǒng)安全測(cè)試，白盒、黑盒、交互式等的測(cè)試，要有系統(tǒng)上線前的安全測(cè)試報(bào)告，并且對(duì)發(fā)現(xiàn)的漏洞已進(jìn)行整改（一般是針對(duì)中高危級(jí)別的漏洞）；

c) 很多企業(yè)外包開發(fā)，系統(tǒng)功能OK就可以了，需求文檔、設(shè)計(jì)文檔、設(shè)計(jì)方案、測(cè)試文檔全都沒有，檢查的時(shí)候，外包商又說之前的員工離職了，現(xiàn)在這個(gè)系統(tǒng)的具體信息我們也不太清楚，這種局面就很鬧心了；所以說，對(duì)外包商要求嚴(yán)一點(diǎn)，以后給自己找的麻煩就會(huì)少一點(diǎn)。

d) 和b有點(diǎn)重復(fù)，類似于代碼審計(jì)工作，一般中小企業(yè)不太會(huì)花錢去做這塊，大多找個(gè)開源工具掃一下，挑幾個(gè)高危的修修了事。大型企業(yè)這塊做的比較好（接觸過的幾家），各種安全測(cè)試、代碼審計(jì)、滲透測(cè)試，能做的都會(huì)做，雖然不強(qiáng)制要求中小企業(yè)也這么去搞，但是希望在能力范圍能盡力去做好安全工作，不要為了應(yīng)付檢查做一下表面工作。

a)**應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)工程實(shí)施過程的管理；b)**應(yīng)制定詳細(xì)的工程實(shí)施方案控制實(shí)施過程， 并要求工程實(shí)施單位能正式地執(zhí)行安全工程過程；c) **應(yīng)制定工程實(shí)施方面的管理制度，明確說明實(shí)施過程的控制方法和人員行為準(zhǔn)則。** |

無(wú)論自研還是外包，肯定都會(huì)指定一個(gè)項(xiàng)目經(jīng)理，一般來說會(huì)是甲方的人，也可能叫負(fù)責(zé)人，乙方的叫項(xiàng)目經(jīng)理，主要就是負(fù)責(zé)把控項(xiàng)目進(jìn)度和質(zhì)量。實(shí)施部分要有詳細(xì)的實(shí)施方案，進(jìn)度計(jì)劃表，啟動(dòng)會(huì)記錄，里程碑記錄，變更記錄，延期記錄（如果有的情況）。甲方對(duì)于項(xiàng)目實(shí)施會(huì)有一些管理制度，保密協(xié)議之類的，檢查的時(shí)候不會(huì)非常細(xì)，但是會(huì)看各階段的文檔記錄，以證明項(xiàng)目是按照計(jì)劃和流程穩(wěn)步推進(jìn)的。

a)**應(yīng)委托公正的第三方測(cè)試單位對(duì)系統(tǒng)進(jìn)行安全性測(cè)試，并出具安全性測(cè)試報(bào)告；b)在測(cè)試驗(yàn)收前應(yīng)根據(jù)設(shè)計(jì)方案或合同要求等制訂測(cè)試驗(yàn)收方案，在測(cè)試驗(yàn)收過程中應(yīng)詳細(xì)記錄測(cè)試驗(yàn)收結(jié)果，并形成測(cè)試驗(yàn)收?qǐng)?bào)告；c)**應(yīng)對(duì)系統(tǒng)測(cè)試驗(yàn)收的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定；d)**應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)測(cè)試驗(yàn)收的管理，并按照管理規(guī)定的要求完成系統(tǒng)測(cè)試驗(yàn)收工作；e)**應(yīng)組織相關(guān)部門和相關(guān)人員對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定，并簽字確認(rèn)。 |

a) 一般開發(fā)團(tuán)隊(duì)不會(huì)負(fù)責(zé)安全問題，所以會(huì)由安全團(tuán)隊(duì)來做測(cè)試，大多是以第三方就是乙方來做安全測(cè)試（代碼審計(jì)、黑盒、滲透、基線等等）；如果有自己的安全團(tuán)隊(duì)也可以內(nèi)部來搞，但是不能水，要認(rèn)真測(cè)試。檢查時(shí)會(huì)看測(cè)試報(bào)告，包括代碼審計(jì)報(bào)告、滲透測(cè)試報(bào)告、漏掃報(bào)告等。

b) 這點(diǎn)要求的就是兩個(gè)文檔，一個(gè)是驗(yàn)收方案（甲方會(huì)明確怎樣才算合格）；另一個(gè)就是驗(yàn)收?qǐng)?bào)告，里邊約定驗(yàn)收結(jié)果，并由甲乙方蓋章簽字。

c) 說實(shí)話這條我也沒詳細(xì)查過，一般都是略過去，所以無(wú)法解釋，有了解的可以留言補(bǔ)充一下；

d) 這點(diǎn)很好理解，制定專人或部門來管理驗(yàn)收工作，臨時(shí)指定等項(xiàng)目結(jié)束再解聘也是可以的，不過要有文檔能證明此項(xiàng)工作；

e) 一般都會(huì)在項(xiàng)目驗(yàn)收（報(bào)告會(huì)）同時(shí)進(jìn)行，高層領(lǐng)導(dǎo)、技術(shù)專家也會(huì)出席，同意后才會(huì)蓋章簽字，可以在項(xiàng)目驗(yàn)收會(huì)的簽到表中體現(xiàn)。

a)**應(yīng)制定詳細(xì)的系統(tǒng)交付清單，并根據(jù)交付清單對(duì)所交接的設(shè)備、軟件和文檔等進(jìn)行清點(diǎn)；b)**應(yīng)對(duì)負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)的技術(shù)人員進(jìn)行相應(yīng)的技能培訓(xùn)；c)**應(yīng)確保提供系統(tǒng)建設(shè)過程中的文檔和指導(dǎo)用戶進(jìn)行系統(tǒng)運(yùn)行維護(hù)的文檔；d)**應(yīng)對(duì)系統(tǒng)交付的控制方法和人員行為準(zhǔn)則進(jìn)行書面規(guī)定；e)**應(yīng)指定或授權(quán)專門的部門負(fù)責(zé)系統(tǒng)交付的管理工作，并按照管理規(guī)定的要求完成系統(tǒng)交付工作。** |

交付部分很容易理解，不需要詳細(xì)解釋了吧。同驗(yàn)收部分一樣，d項(xiàng)檢查的時(shí)候沒有特別要求客戶去做，所以這塊還是不太了解。其他部分類似的。

a)**應(yīng)指定專門的部門或人員負(fù)責(zé)管理系統(tǒng)定級(jí)的相關(guān)材料，并控制這些材料的使用；b)**應(yīng)將系統(tǒng)等級(jí)及相關(guān)材料報(bào)系統(tǒng)主管部門備案；c)**應(yīng)將系統(tǒng)等級(jí)及其他要求的備案材料報(bào)相應(yīng)公安機(jī)關(guān)備案。**

7.2.4.10**等級(jí)測(cè)評(píng)（G3）a)**在系統(tǒng)運(yùn)行過程中，應(yīng)至少每年對(duì)系統(tǒng)進(jìn)行一次等級(jí)測(cè)評(píng) ，發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改；b)**應(yīng)在系統(tǒng)發(fā)生變更時(shí)及時(shí)對(duì)系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)，發(fā)現(xiàn)級(jí)別發(fā)生變化的及時(shí)調(diào)整級(jí)別并進(jìn)行安全改造，發(fā)現(xiàn)不符合相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)要求的及時(shí)整改；c)應(yīng)選擇具有國(guó)家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測(cè)評(píng)單位進(jìn)行等級(jí)測(cè)評(píng)；d)**應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)等級(jí)測(cè)評(píng)的管理。 |

備案和測(cè)評(píng)這兩部分放在一起來說，是一個(gè)連續(xù)的過程。

定級(jí)前要知道的幾點(diǎn)，等級(jí)保護(hù)制度主要監(jiān)管方式公安部，分為五個(gè)級(jí)別，涉及三個(gè)客體，即：

a) 公民、法人和其他組織的合法權(quán)益；

b) 社會(huì)秩序、公共利益；

c) 國(guó)家安全。

對(duì)客體的危害程度分為三個(gè)級(jí)別：

a) 造成一般損害；

b) 造成嚴(yán)重?fù)p害；

c) 造成特別嚴(yán)重?fù)p害。

定級(jí)備案其實(shí)是一起的，要先到當(dāng)?shù)毓策M(jìn)行備案，然后會(huì)讓你提交一堆文檔，包括：備案表、工作自查表、基本情況調(diào)研表等等；此后要先自定級(jí)，提交定級(jí)報(bào)告；再之后聘請(qǐng)測(cè)評(píng)機(jī)構(gòu)對(duì)系統(tǒng)進(jìn)行測(cè)評(píng)—整改—復(fù)測(cè)—下發(fā)備案證明—每年監(jiān)督檢查。

如果定級(jí)備案后，系統(tǒng)有較大變更，比如新增一個(gè)模塊，需要聘請(qǐng)專業(yè)機(jī)構(gòu)進(jìn)行重新定級(jí)，上述流程要重新再來一次。如果這種情況不報(bào)，被年檢查出來，企業(yè)和負(fù)責(zé)人要接受警告或處罰。（詳細(xì)的可以參考22240）

a)**應(yīng)確保安全服務(wù)商的選擇符合國(guó)家的有關(guān)規(guī)定；b)**應(yīng)與選定的安全服務(wù)商簽訂與安全相關(guān)的協(xié)議，明確約定相關(guān)責(zé)任；c)**應(yīng)確保選定的安全服務(wù)商提供技術(shù)培訓(xùn)和服務(wù)承諾，必要的與其簽訂服務(wù)合同。** |

屬于第三方管理制度范疇，這里說的比較簡(jiǎn)單，至少要有供應(yīng)商管理制度、供應(yīng)商服務(wù)合同、服務(wù)詳細(xì)說明等文檔。推薦看一下ISO 27002中15 供應(yīng)商關(guān)系部分的細(xì)節(jié)（內(nèi)容較多，不進(jìn)行擴(kuò)展了）。

結(jié)語(yǔ)

以上為管理要求在系統(tǒng)建設(shè)管理部分的要求。內(nèi)容比較多的一部分，更多的是強(qiáng)調(diào)流程和記錄。如果看過ISO27002或者C5（今年開始叫做COBIT2019了），那么理解起來就很容易了。

等級(jí)保護(hù)測(cè)評(píng)系列介紹

等級(jí)保護(hù)測(cè)評(píng)（一）：物理安全

等級(jí)保護(hù)測(cè)評(píng)（二）：網(wǎng)絡(luò)安全

等級(jí)保護(hù)測(cè)評(píng)（三）：主機(jī)安全

等級(jí)保護(hù)測(cè)評(píng)（四）：應(yīng)用與數(shù)據(jù)安全

等級(jí)保護(hù)測(cè)評(píng)（五）：制度與人員安全

等級(jí)保護(hù)測(cè)評(píng)（六）：系統(tǒng)建設(shè)管理

等級(jí)保護(hù)測(cè)評(píng)（七）：系統(tǒng)運(yùn)維管理