安全建設管理風(fēng)險主要來(lái)源于信息安全管理體系的不健全，以及因相關(guān)控制措施的缺失而導致的信息系統及信息工程規劃設計、軟件開(kāi)發(fā)、工程實(shí)施、測試驗收及系統交付等階段工作內容和工作流程的不全面、不規范問(wèn)題，進(jìn)而有可能導致信息系統或信息工程在安全功能和相關(guān)控制措施方面的缺陷，為合規性和信息系統運維埋下隱患。

通過(guò)建立信息系統及信息工程規劃設計、軟件開(kāi)發(fā)、工程實(shí)施、測試驗收及交付等階段的控制措施，將這些控制措施和流程落實(shí)到管理制度文檔，并進(jìn)行合理的發(fā)布和實(shí)施。確保信息系統在規劃、開(kāi)發(fā)、實(shí)施、測試驗收和交付階段工作內容和工作流程的全面、規范、符合項目管理的要求。

1、安全建設管理要求

（1）定級和備案要求

1）應以書(shū)面的形式說(shuō)明保護對象的邊界、安全保護等級及確定等級的方法和理由。

2）應組織相關(guān)部門(mén)和有關(guān)安全技術(shù)專(zhuān)家對定級結果的合理性和正確性進(jìn)行論證和審定。

3）應確保定級結果經(jīng)過(guò)相關(guān)部門(mén)的批準。

4）應將備案材料報主管部門(mén)和相應公安機關(guān)備案。

（2）安全方案設計要求

1）應根據安全保護等級選擇基本安全措施，依據風(fēng)險分析的結果補充和調整安全措施。

2）應根據保護對象的安全保護等級及與其他級別保護對象的關(guān)系進(jìn)行安全整體規劃和安全方案設計，并形成配套文件。

3）應組織相關(guān)部門(mén)和有關(guān)安全專(zhuān)家對安全整體規劃及其配套文件的合理性和正確性進(jìn)行論證和審定，經(jīng)過(guò)批準后才能正式實(shí)施。

（3）產(chǎn)品采購和使用要求

1）應確保信息安全產(chǎn)品采購和使用符合國家的有關(guān)規定。

2）應確保密碼產(chǎn)品采購和使用符合國家密碼主管部門(mén)的要求。

3）應預先對產(chǎn)品進(jìn)行選型測試，確定產(chǎn)品的候選范圍，并定期審定和更新候選產(chǎn)品名單。

（4）自行軟件開(kāi)發(fā)要求

1）應確保開(kāi)發(fā)環(huán)境與實(shí)際運行環(huán)境物理分開(kāi)，測試數據和測試結果受到控制。

2）應制定軟件開(kāi)發(fā)管理制度，明確說(shuō)明開(kāi)發(fā)過(guò)程的控制方法和人員行為準則。

3）應制定代碼編寫(xiě)安全規范，要求開(kāi)發(fā)人員參照規范編寫(xiě)代碼。

4）應確保具備軟件設計的相關(guān)文檔和使用指南，并對文檔使用進(jìn)行控制。

5）應確保在軟件開(kāi)發(fā)過(guò)程中對安全性進(jìn)行測試，在軟件安裝前對可能存在的惡意代碼進(jìn)行檢測。

6）應確保對程序資源庫的修改、更新、發(fā)布進(jìn)行授權和批準，并嚴格進(jìn)行版本控制。

7）應確保開(kāi)發(fā)人員為專(zhuān)職人員，開(kāi)發(fā)人員的開(kāi)發(fā)活動(dòng)受到控制、監視和審查。

（5）外包軟件開(kāi)發(fā)要求

1）應在軟件交付前檢測軟件質(zhì)量和其中可能存在的惡意代碼。

2）應要求開(kāi)發(fā)單位提供軟件設計文檔和使用指南。

3）應要求開(kāi)發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門(mén)和隱蔽信道。

（6）工程實(shí)施要求

1）應指定或授權專(zhuān)門(mén)的部門(mén)或人員負責工程實(shí)施過(guò)程的管理。

2）應制訂工程實(shí)施方案控制安全工程實(shí)施過(guò)程。

3）應通過(guò)第三方工程監理控制項目的實(shí)施過(guò)程。

（7）測試驗收要求

1）制訂測試驗收方案，并依據測試驗收方案實(shí)施測試驗收，形成測試驗收報告。

2）應進(jìn)行上線(xiàn)前的安全性測試，并出具安全測試報告。

（8）系統交付要求

1）應制定交付清單，并根據交付清單對所交接的設備、軟件和文檔等進(jìn)行清點(diǎn)。

2）應對負責運行維護的技術(shù)人員進(jìn)行相應的技能培訓。

3）應確保提供建設過(guò)程中的文檔和指導用戶(hù)進(jìn)行運行維護的文檔。

（9）等級測評要求

1）應定期進(jìn)行等級測評，發(fā)現不符合相應等級保護標準要求的及時(shí)整改。

2）應在發(fā)生重大變更或級別發(fā)生變化時(shí)進(jìn)行等級測評。

3）應選擇具有國家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測評單位進(jìn)行等級測評。

（10）服務(wù)供應商選擇要求

1）應確保服務(wù)供應商的選擇符合國家的有關(guān)規定。

2）應與選定的服務(wù)供應商簽訂相關(guān)協(xié)議，明確整個(gè)服務(wù)供應鏈各方需履行的信息安全相關(guān)義務(wù)。

3）應定期監視、評審和審核服務(wù)供應商提供的服務(wù)，并對其變更服務(wù)內容加以控制。

2、安全建設管理措施

（1）定級和備案

等級保護制度是我國保證信息系統安全的重要手段，是在合規性管理的重要工作內容。信息系統定級和備案是開(kāi)展等級保護工作的重要內容，也是最先開(kāi)展的環(huán)節，定級的準確性決定了信息系統在后續規劃、設計和項目建設階段是否全面、準確。因此，必須建立與等級保護相關(guān)的管理制度，要求信息系統的規劃和建設者必須參照國家相關(guān)標準，以書(shū)面的形式準確地描述保護對象，包括其安全邊界、信息資產(chǎn)、業(yè)務(wù)功能、安全保護等級，以及等級確定的方法和依據，并填寫(xiě)公安機關(guān)要求的其他備案材料。在完成材料準備后，應組織相關(guān)業(yè)務(wù)部門(mén)和外部安全技術(shù)專(zhuān)家對定級結果的合理性和準確性進(jìn)行審定，如果有上級主管部門(mén)，還應當通過(guò)上級主管部門(mén)的審核，在按照專(zhuān)家和主管部門(mén)的審定意見(jiàn)完成備案材料的修訂后，應將修改后的材料報主管部門(mén)和公安機關(guān)審查，完成備案。

（2）安全方案設計

確定信息系統的安全等級保護級別后，就唯一確定了一組針對該等級的控制措施，應該根據信息系統面臨的風(fēng)險和相應的安全措施，進(jìn)行安全整體規劃和安全方案的設計，并組織業(yè)務(wù)部門(mén)、上級部門(mén)和外部安全專(zhuān)家對設計方案進(jìn)行評價(jià)審定。

（3）產(chǎn)品采購和使用

信息安全產(chǎn)品是落實(shí)控制措施的重要手段之一，如何采購到符合組織需要的、符合國家相關(guān)部門(mén)標準的產(chǎn)品是非常重要的，一旦購買(mǎi)的產(chǎn)品不能滿(mǎn)足信息安全保護的要求，可能會(huì )給相關(guān)業(yè)務(wù)系統帶來(lái)嚴重損失。因此，必須按照項目管理的采購知識領(lǐng)域的要求，建立產(chǎn)品采購相關(guān)的制度，控制產(chǎn)品采購的過(guò)程。建議制定不同類(lèi)型產(chǎn)品必須滿(mǎn)足的資質(zhì)級別要求，特別是商用密碼產(chǎn)品必須滿(mǎn)足國家密碼主管部門(mén)的相關(guān)要求。在開(kāi)始采購產(chǎn)品之前預先對產(chǎn)品的性能和功能進(jìn)行測試，確保產(chǎn)品不存在性能虛標，可以滿(mǎn)足項目建設的功能要求，產(chǎn)品本身的安全防護能力可以達到信息系統相同等級保護級別的要求；而產(chǎn)品的測試結果形成組織候選產(chǎn)品清單，并根據國家相關(guān)部門(mén)要求的變化及組織業(yè)務(wù)的需要定期審定和更新該產(chǎn)品清單。產(chǎn)品采購階段應考慮：

1）為了滿(mǎn)足用戶(hù)身份鑒別要求，需要確認廠(chǎng)商所宣稱(chēng)身份的信任級別。

2）無(wú)論是業(yè)務(wù)用戶(hù)、特權用戶(hù)，他們的訪(fǎng)問(wèn)資源調配與授權過(guò)程應該是相同的。

3）用戶(hù)和操作員的權限及職責。

4）資產(chǎn)需要達到的保護要求，包括但不限于可用性、保密性和完整性等。

5）源自業(yè)務(wù)過(guò)程的要求，例如交易記錄、監視和抗抵賴(lài)等。

6）其他安全控制強制的要求，例如日志記錄和監視或數據泄露檢測系統之間的接口。

如果購買(mǎi)產(chǎn)品，則需要遵循一個(gè)正式的測試和獲取過(guò)程。與供應商簽訂的合同需要給出已確定的安全要求，如果推薦的產(chǎn)品的安全功能不能滿(mǎn)足要求，在購買(mǎi)產(chǎn)品之前需要重新考慮引入的風(fēng)險和相關(guān)控制措施。

（4）自行軟件開(kāi)發(fā)管理措施

軟件源代碼、測試數據和測試結果作為組織的重要資產(chǎn)，一旦泄露會(huì )導致非常嚴重的后果，因此必須建立軟件開(kāi)發(fā)相關(guān)的管理制度，明確開(kāi)發(fā)環(huán)境的安全性要求，例如開(kāi)發(fā)和測試環(huán)境要和生產(chǎn)環(huán)境物理隔離，從生產(chǎn)環(huán)境抽取的測試數據必須進(jìn)行必要的脫敏工作；明確開(kāi)發(fā)過(guò)程安全，例如開(kāi)發(fā)過(guò)程中由誰(shuí)負責代碼的審核、由誰(shuí)負責代碼的安全性測試，并注意權限職責的分離；應明確編碼安全規范，至少包含變量的命名、數據庫連接等臨界資源的獲取和釋放、輸入數據的過(guò)濾和數據流的控制、程序異常的處理等內容，必要時(shí)，對開(kāi)發(fā)人員進(jìn)行安全開(kāi)發(fā)方面的培訓；明確文檔管理和代碼版本控制，對開(kāi)發(fā)過(guò)程中產(chǎn)生的設計文檔、測試文檔、使用文檔等進(jìn)行合理的分類(lèi)分級，確定不同類(lèi)型和級別的文檔的閱讀人員和訪(fǎng)問(wèn)權限，并注意這些文檔和代碼的更新等；明確開(kāi)發(fā)人員的行為準則，包括職業(yè)道德、保密要求、BYOD工作中個(gè)人設備的保護要求等。

安全開(kāi)發(fā)是建立安全服務(wù)、安全架構、安全軟件和系統的必然要求?；谝粋€(gè)安全開(kāi)發(fā)策略，以下方面需要充分考慮：

1）開(kāi)發(fā)環(huán)境安全。

2）軟件開(kāi)發(fā)方法的安全。

3）所使用編程語(yǔ)言的安全編碼指南。

4）設計階段的安全要求。

5）項目里程碑中的安全核查點(diǎn)。

6）安全知識庫。

7）安全版本控制。

8）所要求的應用安全知識。

9）開(kāi)發(fā)人員避免、發(fā)現和修復軟件脆弱性的能力。

考慮制定安全編碼標準并且強制使用，對開(kāi)發(fā)人員進(jìn)行代碼開(kāi)發(fā)、測試或評審標準的培訓，并對標準落實(shí)情況進(jìn)行控制和驗證。

（5）外包軟件開(kāi)發(fā)管理措施

外包軟件的開(kāi)發(fā)過(guò)程不在組織的掌控之下，因此必須對軟件質(zhì)量和文檔提出相關(guān)要求。例如要求開(kāi)發(fā)商提供軟件的源代碼，進(jìn)行代碼安全審計，發(fā)現代碼存在的方法誤用、授權驗證、數據驗證、異常處理、密碼加密等方面的代碼問(wèn)題，以及可能存在的軟件后門(mén)。

外包軟件開(kāi)發(fā)時(shí)，在組織的整個(gè)外部供應鏈中，需要考慮下列要點(diǎn)：

1）有關(guān)外包內容的許可證安排、代碼所有權和知識產(chǎn)權。

2）安全設計、編碼和測試實(shí)踐的合同要求。

3）為外部開(kāi)發(fā)者提供被認可的威脅模型。

4）交付物質(zhì)量和準確性的驗收測試。

5）用于建立安全和隱私質(zhì)量最小化可接受級別（閾值）的證據的條款。

6）已應用足夠的測試來(lái)防止交付過(guò)程中有意或無(wú)意的惡意內容的證據的條款。

7）已應用足夠的測試來(lái)防止存在已知脆弱性的證據的條款。

8）當開(kāi)發(fā)出現重大問(wèn)題時(shí)的處理措施，例如，如果源代碼不可用時(shí)。

9）審核開(kāi)發(fā)過(guò)程和控制措施的合同權利。

10）創(chuàng )建可交付使用的有效文檔。

11）組織應確保自身可以實(shí)現驗證控制措施有效的職責。

（6）工程實(shí)施管理措施

組織應建立工程實(shí)施相關(guān)的管理制度，明確工程實(shí)施管理的目的、要點(diǎn)和責任部門(mén)，包括安全建設工程實(shí)施的組織管理工作以及落實(shí)安全建設的責任部門(mén)和人員，保證建設資金足額到位，選擇符合要求的安全建設整改服務(wù)商，采購符合要求的信息安全產(chǎn)品，管理和控制安全功能開(kāi)發(fā)、集成過(guò)程的質(zhì)量等方面。并且為保證建設工程的安全和質(zhì)量，信息系統安全建設工程可以實(shí)施監理。監理內容包括對工程實(shí)施前期安全性、采購外包安全性、工程實(shí)施過(guò)程安全性、系統環(huán)境安全性等方面的核查。

工程實(shí)施階段的主要目的是將所有的模塊（軟硬件）集成為完整的系統，并且檢查確認集成以后的系統符合要求。

本階段應完成以下具體信息安全工作：

由授權或指定專(zhuān)職人員代表組織負責工程實(shí)施過(guò)程的管理；由工程實(shí)施單位根據具體項目情況制定詳細的工程實(shí)施方案來(lái)控制實(shí)施過(guò)程，并監督工程實(shí)施單位認真執行安全工程過(guò)程；找出并描述實(shí)現安全方案后系統和模塊的安全要求和限制，以及相關(guān)的系統驗證機制及檢查方法；完善系統的運行程序和全生命周期的安全計劃，如密鑰的分發(fā)等；對項目參與人員進(jìn)行信息安全意識培訓；對參加項目建設的安全管理和技術(shù)人員的安全職責落實(shí)情況進(jìn)行檢查。

安全建設整改工程實(shí)施的組織管理工作包括保證落實(shí)安全建設整改的責任部門(mén)和人員，保證建設資金足額到位，選擇符合要求的安全建設整改服務(wù)商，采購符合要求的信息安全產(chǎn)品，管理和控制安全功能開(kāi)發(fā)、集成過(guò)程的質(zhì)量等方面。

（7）測試驗收管理措施

組織應建立工程測試驗收相關(guān)的管理制度，明確要求在測試驗收前制定針對本次工程的測試驗收方案，工程驗收的內容包括全面檢驗工程項目所實(shí)現的安全功能，設備部署、安全配置等是否滿(mǎn)足設計要求和安全規范，工程施工質(zhì)量是否達到預期指標，工程檔案資料是否齊全等方面，并形成測試驗收報告和安全測試報告。在通過(guò)安全測評和試運行的基礎上，組織業(yè)務(wù)、技術(shù)人員以及安全專(zhuān)家進(jìn)行工程驗收。

一般項目可按照以下三步驟進(jìn)行項目測試驗收工作。

1）安全測試

安全測試階段應制定測試大綱，在項目實(shí)施完成后，由組織和項目承接單位共同組織測試。對于第三級以上的應用系統整改建設，由組織委托第三方測試單位對系統進(jìn)行安全性測試，并獨立不受干擾地出具安全性測試報告。在測試大綱中應至少包括以下安全性測試和評估內容：

配置管理：系統開(kāi)發(fā)單位應使用配置管理系統，并提供配置管理文檔。

安裝、生成和啟動(dòng)程序：應制定安裝、生成和啟動(dòng)程序，并保證最終產(chǎn)生了安全的配置。

安全功能測試：對系統的安全功能進(jìn)行測試，以保證其符合詳細設計并對詳細設計進(jìn)行檢查，保證其符合概要設計以及總體安全方案。

系統管理員指南：應提供如何安全地管理系統和如何高效地利用系統安全功能和保護功能等詳細準確的信息。

系統用戶(hù)指南：必須包含兩方面的內容：首先，它必須解釋那些用戶(hù)可見(jiàn)的安全功能的用途以及如何使用它們，這樣用戶(hù)可以持續有效地保護他們的信息；其次，它必須解釋在維護系統安全時(shí)用戶(hù)所能起的作用。

安全功能強度評估：功能強度分析應說(shuō)明以概率或排列機制（如，口令字或哈希函數）實(shí)現的系統安全功能。例如，對口令機制的功能強度分析可以通過(guò)說(shuō)明口令空間是否足夠大來(lái)判斷口令字功能是否滿(mǎn)足強度要求。

脆弱性分析：應分析所采取的安全對策的完備性（安全對策是否可以滿(mǎn)足所有的安全需求）以及安全對策之間的依賴(lài)關(guān)系。通?？梢允褂么┩感詼y試來(lái)評估上述內容，以判斷它們在實(shí)際應用中是否會(huì )被利用來(lái)削弱系統的安全。

測試完成后，項目測試小組應提交安全測試報告，其中應包括安全性測試和評估的結果。不能通過(guò)安全性測試評估的，由測試小組提出修改意見(jiàn)，項目開(kāi)發(fā)承擔單位應做進(jìn)一步修改。

2）安全試運行

測試通過(guò)后，由項目應用單位組織進(jìn)入試運行階段，應有一系列的安全措施來(lái)維護系統安全，它包括處理系統在現場(chǎng)運行時(shí)的安全問(wèn)題和采取措施保證系統的安全水平在系統運行期間不會(huì )下降。具體工作如下：

監測系統的安全性能，包括事故報告；進(jìn)行用戶(hù)安全培訓，并對培訓進(jìn)行總結；監視與安全有關(guān)的部件的變更或移除；監測新發(fā)現的對系統安全的攻擊、系統所受威脅的變化以及其他與安全風(fēng)險有關(guān)的因素；監測安全部件的備份支持，開(kāi)展與系統安全有關(guān)的維護培訓；評估系統改動(dòng)對安全造成的影響；監測系統物理和功能配置，包括運行過(guò)程。在試運行情況報告中應對上述工作做總結性描述。

3）測試驗收

系統安全試運行過(guò)后，可以組織由項目開(kāi)發(fā)承擔單位和相關(guān)部門(mén)人員參加的項目驗收組對項目進(jìn)行驗收。驗收應增加以下安全內容：

項目是否已達到項目任務(wù)書(shū)中制定的總體安全目標和安全指標，實(shí)現全部安全功能；采用技術(shù)是否符合國家、行業(yè)有關(guān)安全技術(shù)標準及規范；是否實(shí)現驗收測評的安全技術(shù)指標；項目建設過(guò)程中的各種文檔資料是否規范、齊全。

在測試驗收報告中也應在以下條目中反映對系統安全性驗收的情況：項目設計總體安全目標及主要內容；項目采用的關(guān)鍵安全技術(shù)；驗收專(zhuān)家組中的安全專(zhuān)家出具安全驗收評價(jià)意見(jiàn)。

（8）系統交付管理措施

組織應建立系統交付相關(guān)的管理制度，明確系統建設完成后，項目承建方要向組織交付的內容，建議至少包括詳細的系統交付清單、制定項目培訓計劃、系統建設的各類(lèi)過(guò)程文檔、系統運行維護的操作手冊和幫助，并且系統交付過(guò)程文檔必須有項目承建和組織雙方項目負責人進(jìn)行簽字確認。

系統建設完成后，項目承建方要依據項目合同的交付部分向組織進(jìn)行項目交付，交付的內容至少包括：制定詳細的系統交付清單，對照系統交付清單，對交付的設備、軟件和文檔進(jìn)行清點(diǎn)；制定項目培訓計劃，對系統運維人員進(jìn)行技能培訓，目標是經(jīng)過(guò)培訓的系統運維人員能勝任日常的運維工作；提供系統建設的各類(lèi)過(guò)程文檔，包括但不限于：實(shí)施方案、實(shí)施記錄等；提供系統運行維護的幫助和操作手冊；系統交付工作由組織、項目承建方共同參與，雙方簽字確認后，交付物交由組織方管理。

（9）等級測評

應結合等保的定級備案部分的要求建立相關(guān)等級保護測評的管理制度，明確信息系統按照國家相關(guān)部門(mén)的要求進(jìn)行等級保護測評工作，一旦系統發(fā)生重大變更或保護級別變化時(shí)要重新進(jìn)行測評工作。此外，還應當對備選的測評機構進(jìn)行資質(zhì)審查，形成候選測評機構清單，并根據國家相關(guān)部門(mén)要求的變化及組織業(yè)務(wù)的需要定期審定和更新該清單。

（10）服務(wù)供應商選擇管理措施

組織應建立服務(wù)供應商選擇和管理相關(guān)的管理制度，明確系統集成商的資質(zhì)要求，產(chǎn)品、系統或服務(wù)提供單位的工商管理要求，安全服務(wù)商的資質(zhì)要求，人員的資質(zhì)要求，與這些供應商需要簽訂安全責任合同書(shū)或保密協(xié)議等文檔的內容。

為降低供應商訪(fǎng)問(wèn)組織資產(chǎn)帶來(lái)的風(fēng)險，需要與供應商協(xié)商并記錄相關(guān)信息安全要求。

組織需要確定和授權特定說(shuō)明的供應商，允許其訪(fǎng)問(wèn)組織策略中的信息安全控制措施信息。這些控制措施需要說(shuō)明組織已實(shí)施的過(guò)程和規程，以及組織需要供應商實(shí)施的過(guò)程和規程，包括：

1）確定和記錄允許訪(fǎng)問(wèn)組織信息的供應商類(lèi)型，例如 IT 服務(wù)、物流服務(wù)、金融服務(wù)、IT基礎組件服務(wù)等。

2）管理供應商關(guān)系的標準化過(guò)程和生命周期。

3）定義允許不同類(lèi)型供應商訪(fǎng)問(wèn)信息的類(lèi)型，監視和控制訪(fǎng)問(wèn)。

4）每種類(lèi)型信息和訪(fǎng)問(wèn)的最小化安全要求作為單個(gè)供應商協(xié)議的基礎，最小化信息安全要求基于組織的業(yè)務(wù)需求及其風(fēng)險輪廓確定。

5）監視的過(guò)程和規程遵從為每種類(lèi)型供應商及訪(fǎng)問(wèn)建立的信息安全要求，包括第三方評審和產(chǎn)品驗證。

6）準確性和完整性控制以確保信息或由任何一方所提供信息處理的完整性。

7）為了保護組織信息，適用于供應商的業(yè)務(wù)類(lèi)型。

8）處理供應商訪(fǎng)問(wèn)相關(guān)的事件或突發(fā)事件，涉及組織和供應商的職責。

9）如果必要，實(shí)施復原、恢復和應急計劃確保任何一方所提供信息處理的可用性。

10）針對與供應商人員交互的組織人員開(kāi)展意識培訓，培訓內容涉及基于供應商類(lèi)型和供應商訪(fǎng)問(wèn)組織系統及信息級別的規則和行為。

11）在一定條件下，將信息安全要求和控制措施記錄在雙方簽訂的協(xié)議中。

12）為管理信息、信息處理設施及其他還需刪除的信息設立必要過(guò)渡期，確保整個(gè)過(guò)渡期的信息安全。

需要建立供應商協(xié)議并文件化，以確保在組織和供應商之間關(guān)于雙方要履行的信息安全相關(guān)義務(wù)不存在誤解。

為滿(mǎn)足識別的信息安全要求，需要考慮將下列條款包含在協(xié)議中：

1）被提供和訪(fǎng)問(wèn)信息的描述以及提供和訪(fǎng)問(wèn)信息的方法。

2）根據組織的分類(lèi)方案進(jìn)行信息分類(lèi)，如果需要，則要將組織自身的分類(lèi)方案和供應商的分類(lèi)方案進(jìn)行映射。

3）包括數據保護、知識產(chǎn)權和版權的法律、法規要求，并描述如何確保這些要求得到滿(mǎn)足。

4）每個(gè)合同的合約方有義務(wù)執行一套已商定的控制措施，包括訪(fǎng)問(wèn)控制、性能評審、監視、報告和審核。

5）信息可接受的使用規則，如果需要也包括不可接受的使用規則。

6）授權訪(fǎng)問(wèn)或接收組織信息和規程的供應商人員列表及授權和撤銷(xiāo)供應商人員訪(fǎng)問(wèn)或接收組織信息的條件。

7）合同具體約定的相關(guān)信息安全策略。

8）事件管理要求和規程（特別是故障修復期間的通告和合作）。

9）具體規程和信息安全要求的培訓和意識要求，例如事件響應、授權規程等。

10）分包的相關(guān)規則，包括需要實(shí)施的控制措施。

11）相關(guān)協(xié)議方，包括處理信息安全問(wèn)題的聯(lián)系人。

12）如有對供應商人員的審查要求，包括實(shí)施審查的職責、審查未完成或審查結果引起疑問(wèn)或關(guān)注的通知規程。

13）審核供應商協(xié)議相關(guān)過(guò)程和控制措施的權力。

14）缺陷和沖突的解決過(guò)程。

15）供應商有義務(wù)定期遞交一份關(guān)于控制措施有效性的獨立報告，并且同意及時(shí)糾正報告中提及的問(wèn)題。

16）供應商有義務(wù)遵從組織安全要求。

來(lái)源：計算機與網(wǎng)絡(luò )安全