企業(yè)培訓_等級保護基本要求培訓

信息系統(tǒng)安全等級保護基本要求 程曉峰 目錄 等級保護知識回顧使用時機和主要作用基本要求主要思想各級系統(tǒng)保護的主要內(nèi)容 等級保護等級 等級保護重要標準 GB17859 1999計算機信息系統(tǒng)安全保護等級劃分準則GB T22239 2008信息系統(tǒng)安全等級保護基本要求GB T22240 2008信息系統(tǒng)安全等級保護定級指南信息系統(tǒng)安全等級保護測評過程指南 國標報批稿 信息系統(tǒng)安全等級保護測評要求 國標報批稿 GB T25058 2010信息系統(tǒng)安全等級保護實施指南GB T25070 2010信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求 等級保護相關(guān)標準 GA T708 2007信息系統(tǒng)安全等級保護體系框架GA T709 2007信息系統(tǒng)安全等級保護基本模型GA T710 2007信息系統(tǒng)安全等級保護基本配置GA T711 2007應用軟件系統(tǒng)安全等級保護通用技術(shù)指南GA T712 2007應用軟件系統(tǒng)安全等級保護通用測試指南GA T713 2007信息系統(tǒng)安全管理測評GB T18018 2007路由器安全技術(shù)要求GB T20269 2006信息系統(tǒng)安全管理要求GB T20270 2006網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB T20271 2006信息系統(tǒng)安全通用技術(shù)要求GB T20272 2006操作系統(tǒng)安全技術(shù)要求GB T20273 2006數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求GB T20275 2006入侵檢測系統(tǒng)技術(shù)要求和測試評價方法GB T20278 2006網(wǎng)絡(luò)脆弱性掃描產(chǎn)品技術(shù)要求GB T20279 2006網(wǎng)絡(luò)和終端設(shè)備隔離部件安全技術(shù)要求GB T20281 2006防火墻技術(shù)要求和測試評價方法GB T20282 2006信息系統(tǒng)安全工程管理要求GB T20979 2007虹膜識別系統(tǒng)技術(shù)要求GB T20984 2007信息安全風險評估規(guī)范GB T20988 2007信息系統(tǒng)災難恢復規(guī)范GB T21028 2007服務(wù)器安全技術(shù)要求GB T21052 2007信息系統(tǒng)物理安全技術(shù)要求GB T21053 2007公鑰基礎(chǔ)設(shè)施PKI系統(tǒng)安全等級保護技術(shù)要求GB Z20985 2007信息安全事件管理指南YD TGB Z20986 2007信息安全事件分類分級指南 定級流程 G MAX S A S A 安全保護和系統(tǒng)定級的關(guān)系 使用時機和主要作用 等級保護基本要求作用 技術(shù)標準和管理規(guī)范的作用 技術(shù)標準和管理規(guī)范 信息系統(tǒng)定級 信息系統(tǒng)安全建設(shè)或改建 安全狀況達到等級保護要求的信息系統(tǒng) 基本要求 的定位 是系統(tǒng)安全保護 等級測評的一個基本 標尺 同樣級別的系統(tǒng)使用統(tǒng)一的 標尺 來衡量 保證權(quán)威性 是一個達標線 每個級別的信息系統(tǒng)按照基本要求進行保護后 信息系統(tǒng)具有相應等級的基本安全保護能力 達到一種基本的安全狀態(tài) 是每個級別信息系統(tǒng)進行安全保護工作的一個基本出發(fā)點 更加貼切的保護可以通過需求分析對基本要求進行補充 參考其他有關(guān)等級保護或安全方面的標準來實現(xiàn) 等級保護基本要求效果 等保二級 等保三級 基本要求 的定位 某級信息系統(tǒng) 基本保護 精確保護 基本要求 保護 基本要求 測評 補充的安全措施GB17859 1999通用技術(shù)要求安全管理要求高級別的基本要求等級保護其他標準安全方面相關(guān)標準等等 基本保護 特殊需求補充措施 基本要求主要思想 基本要求 基本思路 不同級別的安全保護能力要求 第一級安全保護能力應能夠防護系統(tǒng)免受來自個人的 擁有很少資源 如利用公開可獲取的工具等 的威脅源發(fā)起的惡意攻擊 一般的自然災難 災難發(fā)生的強度弱 持續(xù)時間很短等 以及其他相當危害程度的威脅 無意失誤 技術(shù)故障等 所造成的關(guān)鍵資源損害 在系統(tǒng)遭到損害后 能夠恢復部分功能 第二級安全保護能力應能夠防護系統(tǒng)免受來自外部小型組織的 如自發(fā)的三兩人組成的黑客組織 擁有少量資源 如個別人員能力 公開可獲或特定開發(fā)的工具等 的威脅源發(fā)起的惡意攻擊 一般的自然災難 災難發(fā)生的強度一般 持續(xù)時間短 覆蓋范圍小等 以及其他相當危害程度的威脅 無意失誤 技術(shù)故障等 所造成的重要資源損害 能夠發(fā)現(xiàn)重要的安全漏洞和安全事件 在系統(tǒng)遭到損害后 能夠在一段時間內(nèi)恢復部分功能 不同級別的安全保護能力要求 第三級安全保護能力應能夠在統(tǒng)一安全策略下防護系統(tǒng)免受來自外部有組織的團體 如一個商業(yè)情報組織或犯罪組織等 擁有較為豐富資源 包括人員能力 計算能力等 的威脅源發(fā)起的惡意攻擊 較為嚴重的自然災難 災難發(fā)生的強度較大 持續(xù)時間較長 覆蓋范圍較廣等 以及其他相當危害程度的威脅 內(nèi)部人員的惡意威脅 無意失誤 較嚴重的技術(shù)故障等 所造成的主要資源損害 能夠發(fā)現(xiàn)安全漏洞和安全事件 在系統(tǒng)遭到損害后 能夠較快恢復絕大部分功能 第四級安全保護能力應能夠在統(tǒng)一安全策略下防護系統(tǒng)免受來自國家級別的 敵對組織的 擁有豐富資源的威脅源發(fā)起的惡意攻擊 嚴重的自然災難 災難發(fā)生的強度大 持續(xù)時間長 覆蓋范圍廣等 以及其他相當危害程度的威脅 內(nèi)部人員的惡意威脅 無意失誤 嚴重的技術(shù)故障等 所造成的資源損害 能夠發(fā)現(xiàn)安全漏洞和安全事件 在系統(tǒng)遭到損害后 能夠迅速恢復所有功能 不同級別的安全保護能力要求 各個要素之間的關(guān)系 安全保護能力 基本安全要求 每個等級的信息系統(tǒng) 基本技術(shù)措施 基本管理措施 具備 包含 包含 滿足 滿足 實現(xiàn) 基本要求 核心思路 某級系統(tǒng) 技術(shù)要求 管理要求 基本要求 建立安全技術(shù)體系 建立安全管理體系 具有某級安全保護能力的系統(tǒng) 各級系統(tǒng)的保護要求差異 宏觀 安全保護模型PPDRR Protection防護PolicyDetection策略檢測Response響應 Recovery恢復 各級系統(tǒng)的保護要求差異 宏觀 一級系統(tǒng) 二級系統(tǒng) 三級系統(tǒng) 四級系統(tǒng) 防護 防護 監(jiān)測 策略 防護 監(jiān)測 恢復 策略 防護 監(jiān)測 恢復 響應 各級系統(tǒng)的保護要求差異 宏觀 成功的完成業(yè)務(wù) 信息保障 深度防御戰(zhàn)略 人 技術(shù) 操作 防御網(wǎng)絡(luò)與基礎(chǔ)設(shè)施 防御飛地邊界 防御計算環(huán)境 支撐性基礎(chǔ)設(shè)施 安全保護模型IATF 各級系統(tǒng)的保護要求差異 宏觀 一級系統(tǒng) 二級系統(tǒng) 三級系統(tǒng) 四級系統(tǒng) 通信 邊界 基本 通信 邊界 內(nèi)部 關(guān)鍵設(shè)備 通信 邊界 內(nèi)部 主要設(shè)備 通信 邊界 內(nèi)部 基礎(chǔ)設(shè)施 所有設(shè)備 能力成熟度模型CMM 各級系統(tǒng)的保護要求差異 宏觀 一級系統(tǒng) 二級系統(tǒng) 三級系統(tǒng) 四級系統(tǒng) 計劃和跟蹤 主要制度 計劃和跟蹤 主要制度 良好定義 管理活動制度化 持續(xù)改進 管理活動制度化 及時改進 各級系統(tǒng)的保護要求差異 微觀 某級系統(tǒng) 物理安全 技術(shù)要求 管理要求 基本要求 網(wǎng)絡(luò)安全 主機安全 應用安全 數(shù)據(jù)安全 安全管理機構(gòu) 安全管理制度 人員安全管理 系統(tǒng)建設(shè)管理 系統(tǒng)運維管理 各級系統(tǒng)保護的主要內(nèi)容 基本要求的主要內(nèi)容 由9個章節(jié)2個附錄構(gòu)成1 適用范圍2 規(guī)范性引用文件3術(shù)語和定義4 等級保護概述5 6 7 8 9對應第一至五級基本要求附錄A關(guān)于信息系統(tǒng)整體安全保護能力的要求附錄B基本安全要求的選擇和使用 基本要求的組織方式 某級系統(tǒng) 類 技術(shù)要求 管理要求 基本要求 類 控制點 具體要求 控制點 具體要求 基本要求舉例 技術(shù)要求網(wǎng)絡(luò)安全 類 6 1 2 2訪問控制 G2 控制點 本項要求包括 具體要求 a 應在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備 啟用訪問控制功能 b 應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許 拒絕訪問的能力 控制粒度為網(wǎng)段級 c 應按用戶和系統(tǒng)之間的允許訪問規(guī)則 決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問 控制粒度為單個用戶 d 應限制具有撥號訪問權(quán)限的用戶數(shù)量 基本要求舉例 技術(shù)要求網(wǎng)絡(luò)安全 類 7 1 2 2訪問控制 G3 本項要求包括 a 應在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備 啟用訪問控制功能 b 應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許 拒絕訪問的能力 控制粒度為端口級 c 應對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾 實現(xiàn)對應用層HTTP FTP TELNET SMTP POP3等協(xié)議命令級的控制 d 應在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接 e 應限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù) f 重要網(wǎng)段應采取技術(shù)手段防止地址欺騙 g 應按用戶和系統(tǒng)之間的允許訪問規(guī)則 決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問 控制粒度為單個用戶 h 應限制具有撥號訪問權(quán)限的用戶數(shù)量 基本要求標注方式 基本要求技術(shù)要求管理要求要求標注業(yè)務(wù)信息安全類要求 標記為S類 系統(tǒng)服務(wù)保證類要求 標記為A類 通用安全保護類要求 標記為G類 基本要求的選擇和使用 一個3級系統(tǒng) 定級結(jié)果為S3A2 保護類型應該是S3A2G3第1步 選擇標準中3級基本要求的技術(shù)要求和管理要求 第2步 要求中標注為S類和G類的不變 標注為A類的要求可以選用2級基本要求中的A類作為基本要求 安全保護和系統(tǒng)定級的關(guān)系 定級指南要求按照 業(yè)務(wù)信息 和 系統(tǒng)服務(wù) 的需求確定整個系統(tǒng)的安全保護等級定級過程反映了信息系統(tǒng)的保護要求 系統(tǒng)服務(wù)要求舉例 電力控制 A 一級 計算機系統(tǒng)供電應與其他供電分開 應設(shè)置穩(wěn)壓器和過電壓防護設(shè)備 二級 應提供短期的備用電力供應 如 UPS設(shè)備 三級 應具備冗余或并行的電力電纜線路 備用供電系統(tǒng) 如備用發(fā)電機 四級 與三級要求相同 業(yè)務(wù)信息要求舉例 電磁防護 S 一級 無此要求 二級 要求具有基本的電磁防護能力 如電源線和通信線纜應隔離鋪設(shè)等 三級 除二級要求外 增強了防護能力 要求能夠做到關(guān)鍵設(shè)備和磁介質(zhì)的電磁屏蔽 四級 在三級要求的基礎(chǔ)上 要求屏蔽范圍擴展關(guān)鍵區(qū) 不同級別系統(tǒng)控制點的差異 不同級別系統(tǒng)要求項的差異 基本要求組織方式 各級系統(tǒng)安全保護要求 物理安全 各級系統(tǒng)安全保護要求 物理安全 一級物理安全要求 主要要求對物理環(huán)境進行基本的防護 對出入進行基本控制 環(huán)境安全能夠?qū)ψ匀煌{進行基本的防護 電力則要求提供供電電壓的正常 二級物理安全要求 對物理安全進行了進一步的防護 不僅對出入進行基本的控制 對進入后的活動也要進行控制 物理環(huán)境方面 則加強了各方面的防護 采取更細的要求來多方面進行防護 三級物理安全要求 對出入加強了控制 做到人 電子設(shè)備共同監(jiān)控 物理環(huán)境方面 進一步采取各種控制措施來進行防護 如 防火要求 不僅要求自動消防系統(tǒng) 而且要求區(qū)域隔離防火 建筑材料防火等方面 將防火的范圍增大 從而使火災發(fā)生的幾率和損失降低 四級物理安全要求 對機房出入的要求進一步增強 要求多道電子設(shè)備監(jiān)控 物理環(huán)境方面 要求采用一定的防護設(shè)備進行防護 如靜電消除裝置等 各級系統(tǒng)安全保護要求 網(wǎng)絡(luò)安全 各級系統(tǒng)安全保護要求 網(wǎng)絡(luò)安全 一級網(wǎng)絡(luò)安全要求 主要提供網(wǎng)絡(luò)安全運行的基本保障 包括網(wǎng)絡(luò)結(jié)構(gòu)能夠基本滿足業(yè)務(wù)運行需要 網(wǎng)絡(luò)邊界處對進出的數(shù)據(jù)包頭進行基本過濾等訪問控制措施 二級網(wǎng)絡(luò)安全要求 不僅要滿足網(wǎng)絡(luò)安全運行的基本保障 同時還要考慮網(wǎng)絡(luò)處理能力要滿足業(yè)務(wù)極限時的需要 對網(wǎng)絡(luò)邊界的訪問控制粒度進一步增強 同時 加強了網(wǎng)絡(luò)邊界的防護 增加了安全審計 邊界完整性檢查 入侵防范等控制點 對網(wǎng)絡(luò)設(shè)備的防護不僅局限于簡單的身份鑒別 同時對標識和鑒別信息都有了相應的要求 三級網(wǎng)絡(luò)安全要求 對網(wǎng)絡(luò)處理能力增加了 優(yōu)先級 考慮 保證重要主機能夠在網(wǎng)絡(luò)擁堵時仍能夠正常運行 網(wǎng)絡(luò)邊界的訪問控制擴展到應用層 網(wǎng)絡(luò)邊界的其他防護措施進一步增強 不僅能夠被動的 防 還應能夠主動發(fā)出一些動作 如報警 阻斷等 網(wǎng)絡(luò)設(shè)備的防護手段要求兩種身份鑒別技術(shù)綜合使用 四級網(wǎng)絡(luò)安全要求 對網(wǎng)絡(luò)邊界的訪問控制做出了更為嚴格的要求 禁止遠程撥號訪問 不允許數(shù)據(jù)帶通用協(xié)議通過 邊界的其他防護措施也加強了要求 網(wǎng)絡(luò)安全審計著眼于全局 做到集中審計分析 以便得到更多的綜合信息 網(wǎng)絡(luò)設(shè)備的防護 在身份鑒別手段上除要求兩種技術(shù)外 其中一種鑒別技術(shù)必須是不可偽造的 進一步加強了對網(wǎng)絡(luò)設(shè)備的防護 各級系統(tǒng)安全保護要求 主機安全 各級系統(tǒng)安全保護要求 主機安全 一級主機系統(tǒng)安全要求 對主機進行基本的防護 要求主機做到簡單的身份鑒別 粗粒度的訪問控制以及重要主機能夠進行惡意代碼防范 二級主機系統(tǒng)安全要求 在控制點上增加了安全審計和資源控制等 同時 對身份鑒別和訪問控制都進一步加強 鑒別的標識 信息等都提出了具體的要求 訪問控制的粒度進行了細化等 惡意代碼增加了統(tǒng)一管理等 三級主機系統(tǒng)安全要求 在控制點上增加了剩余信息保護 即 訪問控制增加了設(shè)置敏感標記等 力度變強 同樣 身份鑒別的力度進一步增強 要求兩種以上鑒別技術(shù)同時使用 安全審計已不滿足于對安全事件的記錄 而要進行分析 生成報表 對惡意代碼的防范綜合考慮網(wǎng)絡(luò)上的防范措施 做到二者相互補充 對資源控制的增加了對服務(wù)器的監(jiān)視和最小服務(wù)水平的監(jiān)測和報警等 四級主機系統(tǒng)安全要求 在控制點上增加了安全標記和可信路徑 其他控制點在強度上也分別增強 如 身份鑒別要求使用不可偽造的鑒別技術(shù) 訪問控制要求部分按照強制訪問控制的力度實現(xiàn) 安全審計能夠做到統(tǒng)一集中審計等 各級系統(tǒng)安全保護要求 應用安全 各級系統(tǒng)安全保護要求 應用安全 一級應用安全要求 對應用進行基本的防護 要求做到簡單的身份鑒別 粗粒度的訪問控制以及數(shù)據(jù)有效性檢驗等基本防護 二級應用安全要求 在控制點上增加了安全審計 通信保密性和資源控制等 同時 對身份鑒別和訪問控制都進一步加強 鑒別的標識 信息等都提出了具體的要求 訪問控制的粒度進行了細化 對通信過程的完整性保護提出了特定的校驗碼技術(shù) 應用軟件自身的安全要求進一步增強 軟件容錯能力增強 三級應用安全要求 在控制點上增加了剩余信息保護和抗抵賴等 同時 身份鑒別的力度進一步增強 要求組合鑒別技術(shù) 訪問控制增加了敏感標記功能 安全審計已不滿足于對安全事件的記錄 而要進行分析等 對通信過程的完整性保護提出了特定的密碼技術(shù) 應用軟件自身的安全要求進一步增強 軟件容錯能力增強 增加了自動保護功能 四級應用安全要求 在控制點上增加了安全標記和可信路徑等 部分控制點在強度上進一步增強 如 身份鑒別要求使用不可偽造的鑒別技術(shù) 安全審計能夠做到統(tǒng)一安全策略提供集中審計接口等 軟件應具有自動恢復的能力等 各級系統(tǒng)安全保護要求 數(shù)據(jù)安全及備份恢復 各級系統(tǒng)安全保護要求 數(shù)據(jù)安全及備份恢復 一級數(shù)據(jù)安全及備份恢復要求 對數(shù)據(jù)完整性用戶數(shù)據(jù)在傳輸過程提出要求 能夠檢測出數(shù)據(jù)完整性受到破壞 同時能夠?qū)χ匾畔⑦M行備份 二級數(shù)據(jù)及備份恢復安全要求 對數(shù)據(jù)完整性的要求增強 范圍擴大 要求鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中都要保證其完整性 對數(shù)據(jù)保密性要求實現(xiàn)鑒別信息存儲保密性 數(shù)據(jù)備份增強 要求一定的硬件冗余 三級數(shù)據(jù)及備份恢復安全要求 對數(shù)據(jù)完整性的要求增強 范圍擴大 增加了系統(tǒng)管理數(shù)據(jù)的傳輸完整性 不僅能夠檢測出數(shù)據(jù)受到破壞 并能進行恢復 對數(shù)據(jù)保密性要求范圍擴大到實現(xiàn)系統(tǒng)管理數(shù)據(jù) 鑒別信息和重要業(yè)務(wù)數(shù)據(jù)的傳輸和存儲的保密性 數(shù)據(jù)的備份不僅要求本地完全數(shù)據(jù)備份 還要求異地備份和冗余網(wǎng)絡(luò)拓撲 四級數(shù)據(jù)及備份恢復安全要求 為進一步保證數(shù)據(jù)的完整性和保密性 提出使用專有的安全協(xié)議的要求 同時 備份方式增加了建立異地適時災難備份中心 在災難發(fā)生后系統(tǒng)能夠自動切換和恢復 各級系統(tǒng)安全保護要求 安全管理制度 各級系統(tǒng)安全保護要求 安全管理制度 一級安全管理制度要求 主要明確了制定日常常用的管理制度 并對管理制度的制定和發(fā)布提出基本要求 二級安全管理制度要求 在控制點上增加了評審和修訂 管理制度增加了總體方針和安全策略 和對各類重要操作建立規(guī)程的要求 并且管理制度的制定和發(fā)布要求組織論證 三級安全管理制度要求 在二級要求的基礎(chǔ)上 要求機構(gòu)形成信息安全管理制度體系 對管理制度的制定要求和發(fā)布過程進一步嚴格和規(guī)范 對安全制度的評審和修訂要求領(lǐng)導小組的負責 四級安全管理制度要求 在三級要求的基礎(chǔ)上 主要考慮了對帶有密級的管理制度的管理和管理制度的日常維護等 各級系統(tǒng)安全保護要求 安全管理機構(gòu) 各級系統(tǒng)安全保護要求 安全管理機構(gòu) 一級安全管理機構(gòu)要求 主要要求對開展信息安全工作的基本工作崗位進行配備 對機構(gòu)重要的安全活動進行審批 加強對外的溝通和合作 二級安全管理機構(gòu)要求 在控制點上增加了審核和檢查 同時 在一級基礎(chǔ)上 明確要求設(shè)立安全主管等重要崗位 人員配備方面提出安全管理員不可兼任其它崗位原則 溝通與合作的范圍增加與機構(gòu)內(nèi)部及與其他部門的合作和溝通 三級安全管理機構(gòu)要求 對于崗位設(shè)置 不僅要求設(shè)置信息安全的職能部門 而且機構(gòu)上層應有一定的領(lǐng)導小組全面負責機構(gòu)的信息安全全局工作 授權(quán)審批方面加強了授權(quán)流程控制以及階段性審查 溝通與合作方面加強了與外部組織的溝通和合作 并聘用安全顧問 同時對審核和檢查工作進一步規(guī)范 四級安全管理機構(gòu)要求 同三級要求 各級系統(tǒng)安全保護要求 人員安全管理 各級系統(tǒng)安全保護要求 人員安全管理 一級人員安全管理要求 對人員在機構(gòu)的工作周期 即 錄用 日常培訓 離崗 的活動提出基本的管理要求 同時 對外部人員訪問要求得到授權(quán)和審批 二級人員安全管理要求 在控制點上增加了人員考核 對人員的錄用和離崗要求進一步增強 過程性要求增加 安全教育培訓更正規(guī)化 對外部人員的訪問活動約束其訪問行為 三級人員安全管理要求 在二級要求的基礎(chǔ)上 增強了對關(guān)鍵崗位人員的錄用 離崗和考核要求 對人員的培訓教育更具有針對性 外部人員訪問要求更具體 四級人員安全管理要求 在三級要求的基礎(chǔ)上 提出了保密要求和關(guān)鍵區(qū)域禁止外部人員訪問的要求 各級系統(tǒng)安全保護要求 系統(tǒng)建設(shè)管理 各級系統(tǒng)安全保護要求 系統(tǒng)建設(shè)管理 一級系統(tǒng)建設(shè)管理要求 對系統(tǒng)建設(shè)整體過程所涉及的各項活動進行基本的規(guī)范 如 先定級 方案準備 安全產(chǎn)品按要求采購 軟件開發(fā) 自行 外包 的基本安全 實施的基本管理 建設(shè)后的安全性驗收 交付等都進行要求 二級系統(tǒng)建設(shè)管理要求 在控制點上增加了系統(tǒng)備案和安全測評 增加了某些活動的文檔化要求 如軟件開發(fā)管理制度 工程實施應有實施方案要求等 同時 對安全方案 驗收報告等增加了審定要求 產(chǎn)品的采購增加了密碼產(chǎn)品的采購要求等 三級系統(tǒng)建設(shè)管理要求 對建設(shè)過程的各項活動都要求進行制度化規(guī)范 按照制度要求進行活動的開展 對建設(shè)前的安全方案設(shè)計提出體系化要求 并加強了對其的論證工作 四級系統(tǒng)建設(shè)管理要求 主要對軟件開發(fā)活動進一步加強了要求 以保證軟件開發(fā)的安全性 對工程實施過程提出了監(jiān)理要求 各級系