二级、三级等级保护的系统建设管理要求比较

　　二级、三级等级保护的系统建设管理要求比较，主要从系统定级、安全方案设计、产品采购、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、安全测评和安全服务商选择等方面来比较。

　　系统建设管理：

　　系统定级：

　　二级等保：

　　应明确信息系统划分的方法;应确定信息系统的安全等级;应以书面的形式定义确定了安全等级的信息系统的属性，包括使命、业务、网络、硬件、软件、数据、边界、人员等;应确保信息系统的定级结果经过相关部门的批准。

　　三级等保：

　　应明确信息系统划分的方法;应确定信息系统的安全等级;应以书面的形式定义确定了安全等级的信息系统的属性，包括使命、业务、网络、硬件、软件、数据、边界、人员等;应以书面的形式说明确定一个信息系统为某个安全等级的方法和理由;应组织相关部门和有关安全技术专家对信息系统的定级结果的合理性和正确性进行论证和审定;应确保信息系统的定级结果经过相关部门的批准。

　　安全方案设计：

　　二级等保：

　　应根据系统的安全级别选择基本安全措施，依据风险分析的结果补充和调整安全措施;应以书面的形式描述对系统的安全保护要求和策略、安全措施等内容，形成系统的安全方案;应对安全方案进行细化，形成能指导安全系统建设和安全产品采购的详细设计方案;应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定;应确保安全设计方案必须经过批准，才能正式实施。

　　三级等保：

　　应根据系统的安全级别选择基本安全措施，依据风险分析的结果补充和调整安全措施;应指定和授权专门的部门对信息系统的安全建设进行总体规划，制定近期和远期的安全建设工作计划;应根据信息系统的等级划分情况，统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案，并形成配套文件;应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定;应确保总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等文件必须经过批准，才能正式实施;应根据安全测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。

　　产品采购：

　　二级等保：

　　应确保安全产品的使用符合国家的有关规定;应确保密码产品的使用符合国家密码主管部门的要求;应指定或授权专门的部门负责产品的采购。

　　三级等保：

　　应确保安全产品的使用符合国家的有关规定;应确保密码产品的使用符合国家密码主管部门的要求;应指定或授权专门的部门负责产品的采购;应制定产品采购方面的管理制度明确说明采购过程的控制方法和人员行为准则;应预先对产品进行选型测试，确定产品的候选范围，并定期审定和更新候选产品名单。

　　自行软件开发：

　　二级等保：

　　应确保开发环境与实际运行环境物理分开;应确保提供软件设计的相关文档和使用指南;应确保系统开发文档由专人负责保管，系统开发文档的使用受到控制。

　　三级等保：

　　应确保开发环境与实际运行环境物理分开;应确保系统开发文档由专人负责保管，系统开发文档的使用受到控制;应制定开发方面的管理制度明确说明开发过程的控制方法和人员行为准则;应确保开发人员和测试人员的分离，测试数据和测试结果受到控制;应确保提供软件设计的相关文档和使用指南;应确保对程序资源库的修改、更新、发布进行授权和批准。

　　外包软件开发：

　　二级等保：

　　应与软件开发单位签订协议，明确知识产权的归属和安全方面的要求;应根据协议的要求检测软件质量;应在软件安装之前检测软件包中可能存在的恶意代码;应确保提供软件设计的相关文档和使用指南。

　　三级等保：

　　应与软件开发单位签订协议，明确知识产权的归属和安全方面的要求;应根据协议的要求检测软件质量;应在软件安装之前检测软件包中可能存在的恶意代码;应要求开发单位提供技术培训和服务承诺;应要求开发单位提供软件设计的相关文档和使用指南。

　　工程实施：

　　二级等保：

　　应与工程实施单位签订与安全相关的协议，约束工程实施单位的行为;应指定或授权专门的人员或部门负责工程实施过程的管理;应制定详细的工程实施方案控制实施过程。

　　三级等保：

　　应与工程实施单位签订与安全相关的协议，约束工程实施单位的行为;应指定或授权专门的人员或部门负责工程实施过程的管理;应制定详细的工程实施方案控制实施过程，并要求工程实施单位能正式地执行安全工程过程;应制定工程实施方面的管理制度，明确说明实施过程的控制方法和人员行为准则。

　　测试验收：

　　二级等保：

　　应对系统进行安全性测试验收;应在测试验收前根据设计方案或合同要求等制订测试验收方案，测试验收过程中详细录测试验收结果，形成测试验收报告;应组织相关部门和相关人员对系统测试验收报告进行审定，没有疑问后由双方签字。

　　三级等保：

　　应对系统进行安全性测试验收;应在测试验收前根据设计方案或合同要求等制订测试验收方案，测试验收过程中详细记录测试验收结果，形成测试验收报告;应委托公正的第三方测试单位对系统进行测试，并出具测试报告;应制定系统测试验收方面的管理制度明确说明系统测试验收的控制方法和人员行为准则;应指定或授权专门的部门负责系统测试验收的管理，并按照管理制度的要求完成系统测试验收工作;应组织相关部门和相关人员对系统测试验收报告进行审定，没有疑问后由双方签字。

　　系统交付：

　　二级等保：

　　应明确系统的交接手续，并按照交接手续完成交接工作;应由系统建设方完成对委托建设方的运维技术人员的培训;应由系统建设方提交系统建设过程中的文档和指导用户进行系统运行维护的文档;应由系统建设方进行服务承诺，并提交服务承诺书，确保对系统运行维护的支持。

　　三级等保：

　　应明确系统的交接手续，并按照交接手续完成交接工作;应由系统建设方完成对委托建设方的运维技术人员的培训;应由系统建设方提交系统建设过程中的文档和指导用户进行系统运行维护的文档;应由系统建设方进行服务承诺，并提交服务承诺书，确保对系统运行维护的支持;应制定系统交付方面的管理制度明确说明系统交付的控制方法和人员行为准则;应指定或授权专门的部门负责系统交付的管理工作，并按照管理制度的要求完成系统交付工作。

　　系统备案：

　　二级等保：无

　　三级等保：

　　应将系统定级、系统属性等材料指定专门的人员或部门负责管理，并控制这些材料的使用;应将系统等级和系统属性等资料报系统主管部门备案;应将系统等级、系统属性、等级划分理由及其他要求的备案材料报相应公安机关备案。

　　安全测评：

　　二级等保：无

　　三级等保：

　　应在系统投入运行前进行安全测评，测评后符合相应等级保护标准要求的才能投入使用;应在系统运行过程中定期对系统进行安全测评，发现不符合相应等级保护标准要求的及时整改;应在系统发生变更时及时对系统进行安全测评，发现级别发生变化的及时调整级别并进行安全改造;发现不符合相应等级保护标准要求的及时整改;应选择具有国家相关技术资质和安全资质的测评单位进行安全测评;应与测评单位签订与安全相关的协议，约束测评单位的行为;应指定或授权专门的人员或部门负责安全测评的管理。

　　安全方案设计：

　　二级等保：

　　应根据系统的安全级别选择基本安全措施，依据风险分析的结果补充和调整安全措施;应以书面的形式描述对系统的安全保护要求和策略、安全措施等内容，形成系统的安全方案;应对安全方案进行细化，形成能指导安全系统建设和安全产品采购的详细设计方案;应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定;应确保安全设计方案必须经过批准，才能正式实施。

　　三级等保：

　　应根据系统的安全级别选择基本安全措施，依据风险分析的结果补充和调整安全措施;应指定和授权专门的部门对信息系统的安全建设进行总体规划，制定近期和远期的安全建设工作计划;应根据信息系统的等级划分情况，统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案，并形成配套文件;应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定;应确保总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等文件必须经过批准，才能正式实施;应根据安全测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。

　　产品采购：

　　二级等保：

　　应确保安全产品的使用符合国家的有关规定;应确保密码产品的使用符合国家密码主管部门的要求;应指定或授权专门的部门负责产品的采购。

　　三级等保：

　　应确保安全产品的使用符合国家的有关规定;应确保密码产品的使用符合国家密码主管部门的要求;应指定或授权专门的部门负责产品的采购;应制定产品采购方面的管理制度明确说明采购过程的控制方法和人员行为准则;应预先对产品进行选型测试，确定产品的候选范围，并定期审定和更新候选产品名单。

　　自行软件开发：

　　二级等保：

　　应确保开发环境与实际运行环境物理分开;应确保提供软件设计的相关文档和使用指南;应确保系统开发文档由专人负责保管，系统开发文档的使用受到控制。

　　三级等保：

　　应确保开发环境与实际运行环境物理分开;应确保系统开发文档由专人负责保管，系统开发文档的使用受到控制;应制定开发方面的管理制度明确说明开发过程的控制方法和人员行为准则;应确保开发人员和测试人员的分离，测试数据和测试结果受到控制;应确保提供软件设计的相关文档和使用指南;应确保对程序资源库的修改、更新、发布进行授权和批准。

　　外包软件开发：

　　二级等保：

　　应与软件开发单位签订协议，明确知识产权的归属和安全方面的要求;应根据协议的要求检测软件质量;应在软件安装之前检测软件包中可能存在的恶意代码;应确保提供软件设计的相关文档和使用指南。

　　三级等保：

　　应与软件开发单位签订协议，明确知识产权的归属和安全方面的要求;应根据协议的要求检测软件质量;应在软件安装之前检测软件包中可能存在的恶意代码;应要求开发单位提供技术培训和服务承诺;应要求开发单位提供软件设计的相关文档和使用指南。

　　工程实施：

　　二级等保：

　　应与工程实施单位签订与安全相关的协议，约束工程实施单位的行为;应指定或授权专门的人员或部门负责工程实施过程的管理;应制定详细的工程实施方案控制实施过程。

　　三级等保：

　　应与工程实施单位签订与安全相关的协议，约束工程实施单位的行为;应指定或授权专门的人员或部门负责工程实施过程的管理;应制定详细的工程实施方案控制实施过程，并要求工程实施单位能正式地执行安全工程过程;应制定工程实施方面的管理制度，明确说明实施过程的控制方法和人员行为准则。

　　测试验收：

　　二级等保：应对系统进行安全性测试验收;应在测试验收前根据设计方案或合同要求等制订测试验收方案，测试验收过程中详细记录测试验收结果，形成测试验收报告;应组织相关部门和相关人员对系统测试验收报告进行审定，没有疑问后由双方签字。

　　三级等保：应对系统进行安全性测试验收;应在测试验收前根据设计方案或合同要求等制订测试验收方案，测试验收过程中详细记录测试验收结果，形成测试验收报告;应委托公正的第三方测试单位对系统进行测试，并出具测试报告;应制定系统测试验收方面的管理制度明确说明系统测试验收的控制方法和人员行为准则;应指定或授权专门的部门负责系统测试验收的管理，并按照管理制度的要求完成系统测试验收工作;应组织相关部门和相关人员对系统测试验收报告进行审定，没有疑问后由双方签字。

　　系统交付：

　　二级等保：应明确系统的交接手续，并按照交接手续完成交接工作;应由系统建设方完成对委托建设方的运维技术人员的培训;应由系统建设方提交系统建设过程中的文档和指导用户进行系统运行维护的文档;应由系统建设方进行服务承诺，并提交服务承诺书，确保对系统运行维护的支持。

　　三级等保：应明确系统的交接手续，并按照交接手续完成交接工作;应由系统建设方完成对委托建设方的运维技术人员的培训;应由系统建设方提交系统建设过程中的文档和指导用户进行系统运行维护的文档;应由系统建设方进行服务承诺，并提交服务承诺书，确保对系统运行维护的支持;应制定系统交付方面的管理制度明确说明系统交付的控制方法和人员行为准则;应指定或授权专门的部门负责系统交付的管理工作，并按照管理制度的要求完成系统交付工作。

　　系统备案：

　　二级等保：无

　　三级等保：应将系统定级、系统属性等材料指定专门的人员或部门负责管理，并控制这些材料的使用;应将系统等级和系统属性等资料报系统主管部门备案;应将系统等级、系统属性、等级划分理由及其他要求的备案材料报相应公安机关备案。

　　安全测评：

　　二级等保：无

　　三级等保：应在系统投入运行前进行安全测评，测评后符合相应等级保护标准要求的才能投入使用;应在系统运行过程中定期对系统进行安全测评，发现不符合相应等级保护标准要求的及时整改;应在系统发生变更时及时对系统进行安全测评，发现级别发生变化的及时调整级别并进行安全改造;发现不符合相应等级保护标准要求的及时整改;应选择具有国家相关技术资质和安全资质的测评单位进行安全测评;应与测评单位签订与安全相关的协议，约束测评单位的行为;应指定或授权专门的人员或部门负责安全测评的管理。

　　安全服务商选择：

　　二级、三级等保：

　　应确保安全服务商的选择符合国家的有关规定。