系统测评_涉密信息管理系统_[共2页]

152
续表
目标层主体层
采购与选型
操作与使用
报关与保存
设备与介质管理
维修与报废
运行使用
应用系统开发
运行与开发管理
异常事件
信息分类与控制
用户管理与授权
信息保密管理
信息系统互联
③安全保密产品资质证书查验
涉密信息系统建设项目使用的安全保密产品应选用国产设备，计算机病毒防护产品应获得公安机关批准，密码产品应获得国家密码管理部门批准，其他安全保密产品应获得国家保密工作部门批准。

涉密信息系统建设工程实施过程中，应查验供应商的相关检测证书原件，并查看产品名称和型号是否与证书一致。

详细核对产品检测报告，查看产品是否为经过检测的版本、是否存在未通过检测的模块、检测报告中提及产品存在的问题是否经过完善修改，以便依据设计和实施方案正确部署和配置安全保密产品，这是涉密信息系统建设和管理的重点之一。

此外，核对产品不仅需要核查产品的名称和型号是否与证书一致，也需要注意与合同上列明的产品报价表的产品名称、规格、数量、附件等是否一致，或是否与设计变更中列出的相一致，只有这样才能对预算成本进行有效控制和管理。

④应用系统开发
在组织开发用于处理涉密信息的业务应用系统时，应从密级标志、身份鉴别、访问控制和安全审计等几个方面进行安全保密功能的同步开发；根据业务应用系统需求，按照保密标准合理划分系统管理员、安全保密管理员、安全审计员及系统用户的权限；涉密信息在涉密业务应用系统内的产生、存储、处理、传输和归档等环节应按照有关保密要求添加密级标志，这是涉密信息系统应用系统开发的薄弱环节。

处理涉密信息的业务应用系统与其他安全保密产品和设备配合使用，形成涉密信息系统的细粒度的访问控制，是涉密信息系统建设工程的难点之一。

3.4 涉密信息系统测评、审批与日常管理
信息系统的安全是一个动态的复杂过程，它贯穿于信息系统的整个生命周期。

信息系统安全的威胁来自内部破坏、外部攻击、内外勾结进行的破坏以及信息系统本身所产生的意外事故，必须按照风险管理的思想，对可能的威胁和需要保护的信息资源进行评测，审批适当的安全措施，加强日常管理、妥善应对可能发生的安全风险。

因此，对信息系统特别是重要的信息系统进行测评、审批与日常管理是十分必要的。

3.4.1 系统测评
涉密信息系统投入运行必须先测评后审批涉密信息系统建设使用单位在系统工程实施结束。