安全建設(shè)管理風(fēng)險主要來源于信息安全管理體系的不健全，以及因相關(guān)控制措施的缺失而導(dǎo)致的信息系統(tǒng)及信息工程規(guī)劃設(shè)計、軟件開發(fā)、工程實施、測試驗收及系統(tǒng)交付等階段工作內(nèi)容和工作流程的不全面、不規(guī)范問題，進而有可能導(dǎo)致信息系統(tǒng)或信息工程在安全功能和相關(guān)控制措施方面的缺陷，為合規(guī)性和信息系統(tǒng)運維埋下隱患。

通過建立信息系統(tǒng)及信息工程規(guī)劃設(shè)計、軟件開發(fā)、工程實施、測試驗收及交付等階段的控制措施，將這些控制措施和流程落實到管理制度文檔，并進行合理的發(fā)布和實施。確保信息系統(tǒng)在規(guī)劃、開發(fā)、實施、測試驗收和交付階段工作內(nèi)容和工作流程的全面、規(guī)范、符合項目管理的要求。

1、安全建設(shè)管理要求

（1）定級和備案要求

1）應(yīng)以書面的形式說明保護對象的邊界、安全保護等級及確定等級的方法和理由。

2）應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對定級結(jié)果的合理性和正確性進行論證和審定。

3）應(yīng)確保定級結(jié)果經(jīng)過相關(guān)部門的批準。

4）應(yīng)將備案材料報主管部門和相應(yīng)公安機關(guān)備案。

（2）安全方案設(shè)計要求

1）應(yīng)根據(jù)安全保護等級選擇基本安全措施，依據(jù)風(fēng)險分析的結(jié)果補充和調(diào)整安全措施。

2）應(yīng)根據(jù)保護對象的安全保護等級及與其他級別保護對象的關(guān)系進行安全整體規(guī)劃和安全方案設(shè)計，并形成配套文件。

3）應(yīng)組織相關(guān)部門和有關(guān)安全專家對安全整體規(guī)劃及其配套文件的合理性和正確性進行論證和審定，經(jīng)過批準后才能正式實施。

（3）產(chǎn)品采購和使用要求

1）應(yīng)確保信息安全產(chǎn)品采購和使用符合國家的有關(guān)規(guī)定。

2）應(yīng)確保密碼產(chǎn)品采購和使用符合國家密碼主管部門的要求。

3）應(yīng)預(yù)先對產(chǎn)品進行選型測試，確定產(chǎn)品的候選范圍，并定期審定和更新候選產(chǎn)品名單。

（4）自行軟件開發(fā)要求

1）應(yīng)確保開發(fā)環(huán)境與實際運行環(huán)境物理分開，測試數(shù)據(jù)和測試結(jié)果受到控制。

2）應(yīng)制定軟件開發(fā)管理制度，明確說明開發(fā)過程的控制方法和人員行為準則。

3）應(yīng)制定代碼編寫安全規(guī)范，要求開發(fā)人員參照規(guī)范編寫代碼。

4）應(yīng)確保具備軟件設(shè)計的相關(guān)文檔和使用指南，并對文檔使用進行控制。

5）應(yīng)確保在軟件開發(fā)過程中對安全性進行測試，在軟件安裝前對可能存在的惡意代碼進行檢測。

6）應(yīng)確保對程序資源庫的修改、更新、發(fā)布進行授權(quán)和批準，并嚴格進行版本控制。

7）應(yīng)確保開發(fā)人員為專職人員，開發(fā)人員的開發(fā)活動受到控制、監(jiān)視和審查。

（5）外包軟件開發(fā)要求

1）應(yīng)在軟件交付前檢測軟件質(zhì)量和其中可能存在的惡意代碼。

2）應(yīng)要求開發(fā)單位提供軟件設(shè)計文檔和使用指南。

3）應(yīng)要求開發(fā)單位提供軟件源代碼，并審查軟件中可能存在的后門和隱蔽信道。

（6）工程實施要求

1）應(yīng)指定或授權(quán)專門的部門或人員負責工程實施過程的管理。

2）應(yīng)制訂工程實施方案控制安全工程實施過程。

3）應(yīng)通過第三方工程監(jiān)理控制項目的實施過程。

（7）測試驗收要求

1）制訂測試驗收方案，并依據(jù)測試驗收方案實施測試驗收，形成測試驗收報告。

2）應(yīng)進行上線前的安全性測試，并出具安全測試報告。

（8）系統(tǒng)交付要求

1）應(yīng)制定交付清單，并根據(jù)交付清單對所交接的設(shè)備、軟件和文檔等進行清點。

2）應(yīng)對負責運行維護的技術(shù)人員進行相應(yīng)的技能培訓(xùn)。

3）應(yīng)確保提供建設(shè)過程中的文檔和指導(dǎo)用戶進行運行維護的文檔。

（9）等級測評要求

1）應(yīng)定期進行等級測評，發(fā)現(xiàn)不符合相應(yīng)等級保護標準要求的及時整改。

2）應(yīng)在發(fā)生重大變更或級別發(fā)生變化時進行等級測評。

3）應(yīng)選擇具有國家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測評單位進行等級測評。

（10）服務(wù)供應(yīng)商選擇要求

1）應(yīng)確保服務(wù)供應(yīng)商的選擇符合國家的有關(guān)規(guī)定。

2）應(yīng)與選定的服務(wù)供應(yīng)商簽訂相關(guān)協(xié)議，明確整個服務(wù)供應(yīng)鏈各方需履行的信息安全相關(guān)義務(wù)。

3）應(yīng)定期監(jiān)視、評審和審核服務(wù)供應(yīng)商提供的服務(wù)，并對其變更服務(wù)內(nèi)容加以控制。

2、安全建設(shè)管理措施

（1）定級和備案

等級保護制度是我國保證信息系統(tǒng)安全的重要手段，是在合規(guī)性管理的重要工作內(nèi)容。信息系統(tǒng)定級和備案是開展等級保護工作的重要內(nèi)容，也是最先開展的環(huán)節(jié)，定級的準確性決定了信息系統(tǒng)在后續(xù)規(guī)劃、設(shè)計和項目建設(shè)階段是否全面、準確。因此，必須建立與等級保護相關(guān)的管理制度，要求信息系統(tǒng)的規(guī)劃和建設(shè)者必須參照國家相關(guān)標準，以書面的形式準確地描述保護對象，包括其安全邊界、信息資產(chǎn)、業(yè)務(wù)功能、安全保護等級，以及等級確定的方法和依據(jù)，并填寫公安機關(guān)要求的其他備案材料。在完成材料準備后，應(yīng)組織相關(guān)業(yè)務(wù)部門和外部安全技術(shù)專家對定級結(jié)果的合理性和準確性進行審定，如果有上級主管部門，還應(yīng)當通過上級主管部門的審核，在按照專家和主管部門的審定意見完成備案材料的修訂后，應(yīng)將修改后的材料報主管部門和公安機關(guān)審查，完成備案。

（2）安全方案設(shè)計

確定信息系統(tǒng)的安全等級保護級別后，就唯一確定了一組針對該等級的控制措施，應(yīng)該根據(jù)信息系統(tǒng)面臨的風(fēng)險和相應(yīng)的安全措施，進行安全整體規(guī)劃和安全方案的設(shè)計，并組織業(yè)務(wù)部門、上級部門和外部安全專家對設(shè)計方案進行評價審定。

（3）產(chǎn)品采購和使用

信息安全產(chǎn)品是落實控制措施的重要手段之一，如何采購到符合組織需要的、符合國家相關(guān)部門標準的產(chǎn)品是非常重要的，一旦購買的產(chǎn)品不能滿足信息安全保護的要求，可能會給相關(guān)業(yè)務(wù)系統(tǒng)帶來嚴重損失。因此，必須按照項目管理的采購知識領(lǐng)域的要求，建立產(chǎn)品采購相關(guān)的制度，控制產(chǎn)品采購的過程。建議制定不同類型產(chǎn)品必須滿足的資質(zhì)級別要求，特別是商用密碼產(chǎn)品必須滿足國家密碼主管部門的相關(guān)要求。在開始采購產(chǎn)品之前預(yù)先對產(chǎn)品的性能和功能進行測試，確保產(chǎn)品不存在性能虛標，可以滿足項目建設(shè)的功能要求，產(chǎn)品本身的安全防護能力可以達到信息系統(tǒng)相同等級保護級別的要求；而產(chǎn)品的測試結(jié)果形成組織候選產(chǎn)品清單，并根據(jù)國家相關(guān)部門要求的變化及組織業(yè)務(wù)的需要定期審定和更新該產(chǎn)品清單。產(chǎn)品采購階段應(yīng)考慮：

1）為了滿足用戶身份鑒別要求，需要確認廠商所宣稱身份的信任級別。

2）無論是業(yè)務(wù)用戶、特權(quán)用戶，他們的訪問資源調(diào)配與授權(quán)過程應(yīng)該是相同的。

3）用戶和操作員的權(quán)限及職責。

4）資產(chǎn)需要達到的保護要求，包括但不限于可用性、保密性和完整性等。

5）源自業(yè)務(wù)過程的要求，例如交易記錄、監(jiān)視和抗抵賴等。

6）其他安全控制強制的要求，例如日志記錄和監(jiān)視或數(shù)據(jù)泄露檢測系統(tǒng)之間的接口。

如果購買產(chǎn)品，則需要遵循一個正式的測試和獲取過程。與供應(yīng)商簽訂的合同需要給出已確定的安全要求，如果推薦的產(chǎn)品的安全功能不能滿足要求，在購買產(chǎn)品之前需要重新考慮引入的風(fēng)險和相關(guān)控制措施。

（4）自行軟件開發(fā)管理措施

軟件源代碼、測試數(shù)據(jù)和測試結(jié)果作為組織的重要資產(chǎn)，一旦泄露會導(dǎo)致非常嚴重的后果，因此必須建立軟件開發(fā)相關(guān)的管理制度，明確開發(fā)環(huán)境的安全性要求，例如開發(fā)和測試環(huán)境要和生產(chǎn)環(huán)境物理隔離，從生產(chǎn)環(huán)境抽取的測試數(shù)據(jù)必須進行必要的脫敏工作；明確開發(fā)過程安全，例如開發(fā)過程中由誰負責代碼的審核、由誰負責代碼的安全性測試，并注意權(quán)限職責的分離；應(yīng)明確編碼安全規(guī)范，至少包含變量的命名、數(shù)據(jù)庫連接等臨界資源的獲取和釋放、輸入數(shù)據(jù)的過濾和數(shù)據(jù)流的控制、程序異常的處理等內(nèi)容，必要時，對開發(fā)人員進行安全開發(fā)方面的培訓(xùn)；明確文檔管理和代碼版本控制，對開發(fā)過程中產(chǎn)生的設(shè)計文檔、測試文檔、使用文檔等進行合理的分類分級，確定不同類型和級別的文檔的閱讀人員和訪問權(quán)限，并注意這些文檔和代碼的更新等；明確開發(fā)人員的行為準則，包括職業(yè)道德、保密要求、BYOD工作中個人設(shè)備的保護要求等。

安全開發(fā)是建立安全服務(wù)、安全架構(gòu)、安全軟件和系統(tǒng)的必然要求。基于一個安全開發(fā)策略，以下方面需要充分考慮：

1）開發(fā)環(huán)境安全。

2）軟件開發(fā)方法的安全。

3）所使用編程語言的安全編碼指南。

4）設(shè)計階段的安全要求。

5）項目里程碑中的安全核查點。

6）安全知識庫。

7）安全版本控制。

8）所要求的應(yīng)用安全知識。

9）開發(fā)人員避免、發(fā)現(xiàn)和修復(fù)軟件脆弱性的能力。

考慮制定安全編碼標準并且強制使用，對開發(fā)人員進行代碼開發(fā)、測試或評審標準的培訓(xùn)，并對標準落實情況進行控制和驗證。

（5）外包軟件開發(fā)管理措施

外包軟件的開發(fā)過程不在組織的掌控之下，因此必須對軟件質(zhì)量和文檔提出相關(guān)要求。例如要求開發(fā)商提供軟件的源代碼，進行代碼安全審計，發(fā)現(xiàn)代碼存在的方法誤用、授權(quán)驗證、數(shù)據(jù)驗證、異常處理、密碼加密等方面的代碼問題，以及可能存在的軟件后門。

外包軟件開發(fā)時，在組織的整個外部供應(yīng)鏈中，需要考慮下列要點：

1）有關(guān)外包內(nèi)容的許可證安排、代碼所有權(quán)和知識產(chǎn)權(quán)。

2）安全設(shè)計、編碼和測試實踐的合同要求。

3）為外部開發(fā)者提供被認可的威脅模型。

4）交付物質(zhì)量和準確性的驗收測試。

5）用于建立安全和隱私質(zhì)量最小化可接受級別（閾值）的證據(jù)的條款。

6）已應(yīng)用足夠的測試來防止交付過程中有意或無意的惡意內(nèi)容的證據(jù)的條款。

7）已應(yīng)用足夠的測試來防止存在已知脆弱性的證據(jù)的條款。

8）當開發(fā)出現(xiàn)重大問題時的處理措施，例如，如果源代碼不可用時。

9）審核開發(fā)過程和控制措施的合同權(quán)利。

10）創(chuàng)建可交付使用的有效文檔。

11）組織應(yīng)確保自身可以實現(xiàn)驗證控制措施有效的職責。

（6）工程實施管理措施

組織應(yīng)建立工程實施相關(guān)的管理制度，明確工程實施管理的目的、要點和責任部門，包括安全建設(shè)工程實施的組織管理工作以及落實安全建設(shè)的責任部門和人員，保證建設(shè)資金足額到位，選擇符合要求的安全建設(shè)整改服務(wù)商，采購符合要求的信息安全產(chǎn)品，管理和控制安全功能開發(fā)、集成過程的質(zhì)量等方面。并且為保證建設(shè)工程的安全和質(zhì)量，信息系統(tǒng)安全建設(shè)工程可以實施監(jiān)理。監(jiān)理內(nèi)容包括對工程實施前期安全性、采購?fù)獍踩浴⒐こ虒嵤┻^程安全性、系統(tǒng)環(huán)境安全性等方面的核查。

工程實施階段的主要目的是將所有的模塊（軟硬件）集成為完整的系統(tǒng)，并且檢查確認集成以后的系統(tǒng)符合要求。

本階段應(yīng)完成以下具體信息安全工作：

由授權(quán)或指定專職人員代表組織負責工程實施過程的管理；由工程實施單位根據(jù)具體項目情況制定詳細的工程實施方案來控制實施過程，并監(jiān)督工程實施單位認真執(zhí)行安全工程過程；找出并描述實現(xiàn)安全方案后系統(tǒng)和模塊的安全要求和限制，以及相關(guān)的系統(tǒng)驗證機制及檢查方法；完善系統(tǒng)的運行程序和全生命周期的安全計劃，如密鑰的分發(fā)等；對項目參與人員進行信息安全意識培訓(xùn)；對參加項目建設(shè)的安全管理和技術(shù)人員的安全職責落實情況進行檢查。

安全建設(shè)整改工程實施的組織管理工作包括保證落實安全建設(shè)整改的責任部門和人員，保證建設(shè)資金足額到位，選擇符合要求的安全建設(shè)整改服務(wù)商，采購符合要求的信息安全產(chǎn)品，管理和控制安全功能開發(fā)、集成過程的質(zhì)量等方面。

（7）測試驗收管理措施

組織應(yīng)建立工程測試驗收相關(guān)的管理制度，明確要求在測試驗收前制定針對本次工程的測試驗收方案，工程驗收的內(nèi)容包括全面檢驗工程項目所實現(xiàn)的安全功能，設(shè)備部署、安全配置等是否滿足設(shè)計要求和安全規(guī)范，工程施工質(zhì)量是否達到預(yù)期指標，工程檔案資料是否齊全等方面，并形成測試驗收報告和安全測試報告。在通過安全測評和試運行的基礎(chǔ)上，組織業(yè)務(wù)、技術(shù)人員以及安全專家進行工程驗收。

一般項目可按照以下三步驟進行項目測試驗收工作。

1）安全測試

安全測試階段應(yīng)制定測試大綱，在項目實施完成后，由組織和項目承接單位共同組織測試。對于第三級以上的應(yīng)用系統(tǒng)整改建設(shè)，由組織委托第三方測試單位對系統(tǒng)進行安全性測試，并獨立不受干擾地出具安全性測試報告。在測試大綱中應(yīng)至少包括以下安全性測試和評估內(nèi)容：

配置管理：系統(tǒng)開發(fā)單位應(yīng)使用配置管理系統(tǒng)，并提供配置管理文檔。

安裝、生成和啟動程序：應(yīng)制定安裝、生成和啟動程序，并保證最終產(chǎn)生了安全的配置。

安全功能測試：對系統(tǒng)的安全功能進行測試，以保證其符合詳細設(shè)計并對詳細設(shè)計進行檢查，保證其符合概要設(shè)計以及總體安全方案。

系統(tǒng)管理員指南：應(yīng)提供如何安全地管理系統(tǒng)和如何高效地利用系統(tǒng)安全功能和保護功能等詳細準確的信息。

系統(tǒng)用戶指南：必須包含兩方面的內(nèi)容：首先，它必須解釋那些用戶可見的安全功能的用途以及如何使用它們，這樣用戶可以持續(xù)有效地保護他們的信息；其次，它必須解釋在維護系統(tǒng)安全時用戶所能起的作用。

安全功能強度評估：功能強度分析應(yīng)說明以概率或排列機制（如，口令字或哈希函數(shù)）實現(xiàn)的系統(tǒng)安全功能。例如，對口令機制的功能強度分析可以通過說明口令空間是否足夠大來判斷口令字功能是否滿足強度要求。

脆弱性分析：應(yīng)分析所采取的安全對策的完備性（安全對策是否可以滿足所有的安全需求）以及安全對策之間的依賴關(guān)系。通常可以使用穿透性測試來評估上述內(nèi)容，以判斷它們在實際應(yīng)用中是否會被利用來削弱系統(tǒng)的安全。

測試完成后，項目測試小組應(yīng)提交安全測試報告，其中應(yīng)包括安全性測試和評估的結(jié)果。不能通過安全性測試評估的，由測試小組提出修改意見，項目開發(fā)承擔單位應(yīng)做進一步修改。

2）安全試運行

測試通過后，由項目應(yīng)用單位組織進入試運行階段，應(yīng)有一系列的安全措施來維護系統(tǒng)安全，它包括處理系統(tǒng)在現(xiàn)場運行時的安全問題和采取措施保證系統(tǒng)的安全水平在系統(tǒng)運行期間不會下降。具體工作如下：

監(jiān)測系統(tǒng)的安全性能，包括事故報告；進行用戶安全培訓(xùn)，并對培訓(xùn)進行總結(jié)；監(jiān)視與安全有關(guān)的部件的變更或移除；監(jiān)測新發(fā)現(xiàn)的對系統(tǒng)安全的攻擊、系統(tǒng)所受威脅的變化以及其他與安全風(fēng)險有關(guān)的因素；監(jiān)測安全部件的備份支持，開展與系統(tǒng)安全有關(guān)的維護培訓(xùn)；評估系統(tǒng)改動對安全造成的影響；監(jiān)測系統(tǒng)物理和功能配置，包括運行過程。在試運行情況報告中應(yīng)對上述工作做總結(jié)性描述。

3）測試驗收

系統(tǒng)安全試運行過后，可以組織由項目開發(fā)承擔單位和相關(guān)部門人員參加的項目驗收組對項目進行驗收。驗收應(yīng)增加以下安全內(nèi)容：

項目是否已達到項目任務(wù)書中制定的總體安全目標和安全指標，實現(xiàn)全部安全功能；采用技術(shù)是否符合國家、行業(yè)有關(guān)安全技術(shù)標準及規(guī)范；是否實現(xiàn)驗收測評的安全技術(shù)指標；項目建設(shè)過程中的各種文檔資料是否規(guī)范、齊全。

在測試驗收報告中也應(yīng)在以下條目中反映對系統(tǒng)安全性驗收的情況：項目設(shè)計總體安全目標及主要內(nèi)容；項目采用的關(guān)鍵安全技術(shù)；驗收專家組中的安全專家出具安全驗收評價意見。

（8）系統(tǒng)交付管理措施

組織應(yīng)建立系統(tǒng)交付相關(guān)的管理制度，明確系統(tǒng)建設(shè)完成后，項目承建方要向組織交付的內(nèi)容，建議至少包括詳細的系統(tǒng)交付清單、制定項目培訓(xùn)計劃、系統(tǒng)建設(shè)的各類過程文檔、系統(tǒng)運行維護的操作手冊和幫助，并且系統(tǒng)交付過程文檔必須有項目承建和組織雙方項目負責人進行簽字確認。

系統(tǒng)建設(shè)完成后，項目承建方要依據(jù)項目合同的交付部分向組織進行項目交付，交付的內(nèi)容至少包括：制定詳細的系統(tǒng)交付清單，對照系統(tǒng)交付清單，對交付的設(shè)備、軟件和文檔進行清點；制定項目培訓(xùn)計劃，對系統(tǒng)運維人員進行技能培訓(xùn)，目標是經(jīng)過培訓(xùn)的系統(tǒng)運維人員能勝任日常的運維工作；提供系統(tǒng)建設(shè)的各類過程文檔，包括但不限于：實施方案、實施記錄等；提供系統(tǒng)運行維護的幫助和操作手冊；系統(tǒng)交付工作由組織、項目承建方共同參與，雙方簽字確認后，交付物交由組織方管理。

（9）等級測評

應(yīng)結(jié)合等保的定級備案部分的要求建立相關(guān)等級保護測評的管理制度，明確信息系統(tǒng)按照國家相關(guān)部門的要求進行等級保護測評工作，一旦系統(tǒng)發(fā)生重大變更或保護級別變化時要重新進行測評工作。此外，還應(yīng)當對備選的測評機構(gòu)進行資質(zhì)審查，形成候選測評機構(gòu)清單，并根據(jù)國家相關(guān)部門要求的變化及組織業(yè)務(wù)的需要定期審定和更新該清單。

（10）服務(wù)供應(yīng)商選擇管理措施

組織應(yīng)建立服務(wù)供應(yīng)商選擇和管理相關(guān)的管理制度，明確系統(tǒng)集成商的資質(zhì)要求，產(chǎn)品、系統(tǒng)或服務(wù)提供單位的工商管理要求，安全服務(wù)商的資質(zhì)要求，人員的資質(zhì)要求，與這些供應(yīng)商需要簽訂安全責任合同書或保密協(xié)議等文檔的內(nèi)容。

為降低供應(yīng)商訪問組織資產(chǎn)帶來的風(fēng)險，需要與供應(yīng)商協(xié)商并記錄相關(guān)信息安全要求。

組織需要確定和授權(quán)特定說明的供應(yīng)商，允許其訪問組織策略中的信息安全控制措施信息。這些控制措施需要說明組織已實施的過程和規(guī)程，以及組織需要供應(yīng)商實施的過程和規(guī)程，包括：

1）確定和記錄允許訪問組織信息的供應(yīng)商類型，例如 IT 服務(wù)、物流服務(wù)、金融服務(wù)、IT基礎(chǔ)組件服務(wù)等。

2）管理供應(yīng)商關(guān)系的標準化過程和生命周期。

3）定義允許不同類型供應(yīng)商訪問信息的類型，監(jiān)視和控制訪問。

4）每種類型信息和訪問的最小化安全要求作為單個供應(yīng)商協(xié)議的基礎(chǔ)，最小化信息安全要求基于組織的業(yè)務(wù)需求及其風(fēng)險輪廓確定。

5）監(jiān)視的過程和規(guī)程遵從為每種類型供應(yīng)商及訪問建立的信息安全要求，包括第三方評審和產(chǎn)品驗證。

6）準確性和完整性控制以確保信息或由任何一方所提供信息處理的完整性。

7）為了保護組織信息，適用于供應(yīng)商的業(yè)務(wù)類型。

8）處理供應(yīng)商訪問相關(guān)的事件或突發(fā)事件，涉及組織和供應(yīng)商的職責。

9）如果必要，實施復(fù)原、恢復(fù)和應(yīng)急計劃確保任何一方所提供信息處理的可用性。

10）針對與供應(yīng)商人員交互的組織人員開展意識培訓(xùn)，培訓(xùn)內(nèi)容涉及基于供應(yīng)商類型和供應(yīng)商訪問組織系統(tǒng)及信息級別的規(guī)則和行為。

11）在一定條件下，將信息安全要求和控制措施記錄在雙方簽訂的協(xié)議中。

12）為管理信息、信息處理設(shè)施及其他還需刪除的信息設(shè)立必要過渡期，確保整個過渡期的信息安全。

需要建立供應(yīng)商協(xié)議并文件化，以確保在組織和供應(yīng)商之間關(guān)于雙方要履行的信息安全相關(guān)義務(wù)不存在誤解。

為滿足識別的信息安全要求，需要考慮將下列條款包含在協(xié)議中：

1）被提供和訪問信息的描述以及提供和訪問信息的方法。

2）根據(jù)組織的分類方案進行信息分類，如果需要，則要將組織自身的分類方案和供應(yīng)商的分類方案進行映射。

3）包括數(shù)據(jù)保護、知識產(chǎn)權(quán)和版權(quán)的法律、法規(guī)要求，并描述如何確保這些要求得到滿足。

4）每個合同的合約方有義務(wù)執(zhí)行一套已商定的控制措施，包括訪問控制、性能評審、監(jiān)視、報告和審核。

5）信息可接受的使用規(guī)則，如果需要也包括不可接受的使用規(guī)則。

6）授權(quán)訪問或接收組織信息和規(guī)程的供應(yīng)商人員列表及授權(quán)和撤銷供應(yīng)商人員訪問或接收組織信息的條件。

7）合同具體約定的相關(guān)信息安全策略。

8）事件管理要求和規(guī)程（特別是故障修復(fù)期間的通告和合作）。

9）具體規(guī)程和信息安全要求的培訓(xùn)和意識要求，例如事件響應(yīng)、授權(quán)規(guī)程等。

10）分包的相關(guān)規(guī)則，包括需要實施的控制措施。

11）相關(guān)協(xié)議方，包括處理信息安全問題的聯(lián)系人。

12）如有對供應(yīng)商人員的審查要求，包括實施審查的職責、審查未完成或?qū)彶榻Y(jié)果引起疑問或關(guān)注的通知規(guī)程。

13）審核供應(yīng)商協(xié)議相關(guān)過程和控制措施的權(quán)力。

14）缺陷和沖突的解決過程。

15）供應(yīng)商有義務(wù)定期遞交一份關(guān)于控制措施有效性的獨立報告，并且同意及時糾正報告中提及的問題。

16）供應(yīng)商有義務(wù)遵從組織安全要求。

來源：計算機與網(wǎng)絡(luò)安全