GM∕T 0065-2019 商用密碼產(chǎn)品生產(chǎn)和保障能力建設(shè)規(guī)范

書 書 書犐 犆犛 犔 ?犌犕犜 ?犛 狆 犲 犮 犻 犳 犻 犮 犪 狋 犻 狅 狀犳 狅 狉犮 犪 狆 犪 犫 犻 犾 犻 狋 狔犮 狅 狀 狊 狋 狉 狌 犮 狋 犻 狅 狀狅 犳狆 狉 狅 犱 狌 犮 狋 犻 狅 狀犪 狀 犱犵 狌 犪 狉 犪 狀 狋 犲 犲犳 狅 狉犮 狅犿犿犲 狉 犮 犻 犪 犾 犮 狉 狔 狆 狋 狅 犵 狉 犪 狆 犺 犻 犮狆 狉 狅 犱 狌 犮 狋 狊 ? ? ?書 書 書目次前言引言范圍規(guī)范性引用文件術(shù)語和定義評(píng)估要素 基本項(xiàng) 聲明項(xiàng) 評(píng)估項(xiàng)基本項(xiàng)要求 法人資格 主要技術(shù)人員 產(chǎn)品研發(fā) 行業(yè)管理遵從聲明項(xiàng)要求 關(guān)鍵人員信息 單位性質(zhì) 數(shù)據(jù)管理評(píng)估項(xiàng)要求 生產(chǎn)能力 技術(shù)力量 生產(chǎn)管理 生產(chǎn)條件 生產(chǎn)工藝與流程 質(zhì)量保障能力 制度保障 開發(fā)過程質(zhì)量管理 質(zhì)量問題管理 持續(xù)改進(jìn)產(chǎn)品質(zhì)量措施 安全保障能力 組織保障 安全管理 服務(wù)保障能力 制度保障 應(yīng)急響應(yīng)能力 服務(wù)響應(yīng)方式犌犕犜 前言本標(biāo)準(zhǔn)根據(jù) 給出的規(guī)則起草。本標(biāo)準(zhǔn)由密碼行業(yè)標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口。本標(biāo)準(zhǔn)起草單位：北京中電華大電子設(shè)計(jì)有限責(zé)任公司、格爾軟件股份有限公司、興唐通信科技有限公司、國(guó)家密碼管理局商用密碼檢測(cè)中心、北京三未信安科技發(fā)展有限公司、天地融科技股份有限公司、成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司、北京市密碼管理局、上海市密碼管理局、廣東省密碼管理局。本標(biāo)準(zhǔn)主要起草人：周建鎖、葉楓、趙閃、羅鵬、馮育暉、韓小平、楊耀華、高志權(quán)、熊云、李立勛、馬飛、鄭強(qiáng)、李明、曲志華、楊陽。犌犕犜 引言密碼是網(wǎng)絡(luò)和信息安全的核心技術(shù)和基礎(chǔ)支撐，是保障國(guó)家安全、推動(dòng)經(jīng)濟(jì)發(fā)展和維護(hù)公眾利益的戰(zhàn)略性資源。商用密碼產(chǎn)品是密碼技術(shù)的實(shí)現(xiàn)載體，為應(yīng)用提供機(jī)密性、完整性、不可否認(rèn)性等安全保障。國(guó)家對(duì)銷售或者在經(jīng)營(yíng)活動(dòng)中使用的商用密碼產(chǎn)品實(shí)施許可。根據(jù)商用密碼管理?xiàng)l例的相關(guān)要求，商用密碼產(chǎn)品研制生產(chǎn)單位必須具備獨(dú)立的法人資格，具有與開發(fā)、生產(chǎn)商用密碼產(chǎn)品相適應(yīng)的技術(shù)力量和場(chǎng)所，具有確保商用密碼產(chǎn)品質(zhì)量的設(shè)備、生產(chǎn)工藝和質(zhì)量保證體系，滿足法律、行政法規(guī)規(guī)定的其他條件。為了對(duì)商用密碼產(chǎn)品生產(chǎn)單位的生產(chǎn)和保障能力建設(shè)提供統(tǒng)一、客觀的標(biāo)準(zhǔn)，為了生產(chǎn)單位對(duì)自身技術(shù)力量、場(chǎng)所、設(shè)備、生產(chǎn)工藝和質(zhì)量保證能力有較為全面的把握，制定本標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)從評(píng)估的角度對(duì)商用密碼產(chǎn)品生產(chǎn)單位相關(guān)能力建設(shè)提出要求，也可用于第三方機(jī)構(gòu)對(duì)商用密碼產(chǎn)品生產(chǎn)單位進(jìn)行評(píng)估。建設(shè)規(guī)范包含本標(biāo)準(zhǔn)和商用密碼產(chǎn)品生產(chǎn)和保障能力建設(shè)實(shí)施指南 ，本標(biāo)準(zhǔn)規(guī)定了基本項(xiàng)、聲明項(xiàng)和評(píng)估項(xiàng)等要素及要求； 商用密碼產(chǎn)品生產(chǎn)和保障能力建設(shè)實(shí)施指南包含評(píng)估方法、評(píng)估程序、評(píng)估報(bào)告和實(shí)施要點(diǎn)。犌犕犜 商用密碼產(chǎn)品生產(chǎn)和保障能力建設(shè)規(guī)范范圍本標(biāo)準(zhǔn)規(guī)定了商用密碼產(chǎn)品生產(chǎn)和保障能力的評(píng)估要素和評(píng)估要求。本標(biāo)準(zhǔn)適用于對(duì)商用密碼產(chǎn)品生產(chǎn)單位的生產(chǎn)能力、質(zhì)量保障能力、安全保障能力和服務(wù)保障能力進(jìn)行能力建設(shè)及核查。規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。 密碼術(shù)語商用密碼管理?xiàng)l例術(shù)語和定義 界定的以及下列術(shù)語和定義適用于本文件。 主要技術(shù)人員犿犪 犻 狀狋 犲 犮 犺 狀 犻 犮 犪 犾狆 犲 狉 狊 狅 狀 狀 犲 犾從事商用密碼產(chǎn)品設(shè)計(jì)、實(shí)現(xiàn)、檢測(cè)或測(cè)試及技術(shù)支持工作的人員。 關(guān)鍵人員犮 狉 狌 犮 犻 犪 犾狆 犲 狉 狊 狅 狀 狀 犲 犾包括法定代表人、實(shí)際控制人、高層管理人員、技術(shù)負(fù)責(zé)人。 關(guān)鍵崗位犮 狉 狌 犮 犻 犪 犾狆 狅 狊 犻 狋 犻 狅 狀對(duì)研發(fā)、生產(chǎn)和管理活動(dòng)具有重要作用，對(duì)結(jié)果的質(zhì)量有顯著影響，甚至能決定結(jié)果成敗的崗位。 密碼核心技術(shù)犮 狅 狉 犲犮 狉 狔 狆 狋 狅 犵 狉 犪 狆 犺 犻 犮狋 犲 犮 犺 狀 狅 犾 狅 犵 狔商用密碼產(chǎn)品中使用的實(shí)現(xiàn)密碼核心功能的技術(shù)。 密碼固件犮 狉 狔 狆 狋 狅 犵 狉 犪 狆 犺 犻 犮犳 犻 狉犿狑犪 狉 犲密碼邊界內(nèi)的硬件中、執(zhí)行期間不能被動(dòng)態(tài)寫入或修改的程序與數(shù)據(jù)組成部分。如存儲(chǔ)硬件，包括但不限于、與。評(píng)估要素 基本項(xiàng)基本項(xiàng)是商用密碼產(chǎn)品生產(chǎn)單位應(yīng)達(dá)到的基本條件，包括法人資格、主要技術(shù)人員、研發(fā)產(chǎn)品和行犌犕犜 業(yè)管理遵從項(xiàng)。 聲明項(xiàng)聲明項(xiàng)是商用密碼產(chǎn)品生產(chǎn)單位做出的特別說明，包括生產(chǎn)單位關(guān)鍵人員信息、單位性質(zhì)和數(shù)據(jù)管理。 評(píng)估項(xiàng)評(píng)估項(xiàng)是商用密碼產(chǎn)品和生產(chǎn)保障能力評(píng)估的具體量化指標(biāo)，生產(chǎn)單位參照評(píng)估項(xiàng)提高自身的商用密碼產(chǎn)品生產(chǎn)和保障能力。評(píng)估要求具體指標(biāo)參見表。表評(píng)估指標(biāo)一級(jí)指標(biāo)二級(jí)指標(biāo)三級(jí)指標(biāo)生產(chǎn)能力技術(shù)力量生產(chǎn)管理生產(chǎn)條件生產(chǎn)工藝與流程人力資源主要技術(shù)團(tuán)隊(duì)技術(shù)積累及優(yōu)勢(shì)技術(shù)創(chuàng)新研發(fā)工具和設(shè)備試驗(yàn)測(cè)試條件崗位設(shè)置制度保障管理系統(tǒng)供應(yīng)管理生產(chǎn)場(chǎng)所生產(chǎn)設(shè)備生產(chǎn)外協(xié)生產(chǎn)技術(shù)管理批量生產(chǎn)和檢測(cè)能力生產(chǎn)外協(xié)質(zhì)量保障能力制度保障開發(fā)過程質(zhì)量管理質(zhì)量問題管理持續(xù)改進(jìn)產(chǎn)品質(zhì)量措施開發(fā)與測(cè)試體系研發(fā)過程管理版本管理安全保障能力組織保障領(lǐng)導(dǎo)力承諾建立組織機(jī)制人力資源安全犌犕犜 表（續(xù)）一級(jí)指標(biāo)二級(jí)指標(biāo)三級(jí)指標(biāo)安全保障能力安全管理安全生產(chǎn)制度保障物理和環(huán)境安全計(jì)算機(jī)和網(wǎng)絡(luò)安全訪問控制介質(zhì)控制開發(fā)和支持過程中的安全資產(chǎn)管理日志審計(jì)事故管理業(yè)務(wù)持續(xù)性管理服務(wù)保障能力制度保障應(yīng)急響應(yīng)能力服務(wù)響應(yīng)方式服務(wù)網(wǎng)絡(luò)受理與反饋基本項(xiàng)要求 法人資格應(yīng)為在中國(guó)境內(nèi)注冊(cè)的獨(dú)立法人。 主要技術(shù)人員應(yīng)不少于 人。 產(chǎn)品研發(fā)產(chǎn)品密碼核心技術(shù)應(yīng)具有自主知識(shí)產(chǎn)權(quán)，禁止核心技術(shù)外包或產(chǎn)品貼牌。 行業(yè)管理遵從應(yīng)遵守商用密碼產(chǎn)品管理相關(guān)法律法規(guī)，自愿遵從商用密碼產(chǎn)品管理相關(guān)標(biāo)準(zhǔn)規(guī)定，并承諾提供產(chǎn)品源代碼以供審查，承諾接受研發(fā)和生產(chǎn)現(xiàn)場(chǎng)審查，做好產(chǎn)品銷售情況日常記錄。聲明項(xiàng)要求 關(guān)鍵人員信息應(yīng)提供關(guān)鍵人員的國(guó)籍（或綠卡） 、教育背景和從業(yè)經(jīng)歷等信息。若關(guān)鍵人員有違法犯罪記錄，應(yīng)如實(shí)聲明。犌犕犜 單位性質(zhì)應(yīng)聲明單位性質(zhì)信息，明確注冊(cè)資本構(gòu)成及注冊(cè)資金規(guī)模。 數(shù)據(jù)管理應(yīng)聲明商用密碼產(chǎn)品研發(fā)、生產(chǎn)和保障數(shù)據(jù)中心所在地，并說明商用密碼產(chǎn)品研發(fā)、生產(chǎn)和保障數(shù)據(jù)流轉(zhuǎn)審批流程及數(shù)據(jù)流轉(zhuǎn)是否經(jīng)境外。評(píng)估項(xiàng)要求 生產(chǎn)能力 技術(shù)力量 人力資源應(yīng)設(shè)置研發(fā)、生產(chǎn)和管理關(guān)鍵崗位，并對(duì)擔(dān)任該崗位的人員能力設(shè)置要求。 主要技術(shù)團(tuán)隊(duì)）應(yīng)具備能支撐密碼產(chǎn)品研發(fā)的技術(shù)團(tuán)隊(duì)；）應(yīng)具備技術(shù)負(fù)責(zé)人，且技術(shù)負(fù)責(zé)人應(yīng)掌握密碼產(chǎn)品的關(guān)鍵密碼技術(shù)。 技術(shù)積累及優(yōu)勢(shì)）密碼產(chǎn)品應(yīng)符合生產(chǎn)單位的科研方向；）在近年內(nèi)開展過與密碼產(chǎn)品類似項(xiàng)目的科研活動(dòng)并獲得科研成果，有密碼產(chǎn)品相關(guān)領(lǐng)域的專業(yè)技術(shù)研究成果且該成果得到過實(shí)際應(yīng)用；）生產(chǎn)單位專業(yè)技術(shù)水平滿足密碼產(chǎn)品的需求或達(dá)到國(guó)內(nèi)先進(jìn)水平。 技術(shù)創(chuàng)新）具有發(fā)明專利、實(shí)用新型專利、軟件著作權(quán)和或集成電路布圖登記等知識(shí)產(chǎn)權(quán)；）密碼產(chǎn)品宜填補(bǔ)國(guó)內(nèi)外行業(yè)應(yīng)用空白，且產(chǎn)品在成本、功能、性能、可靠性、市場(chǎng)應(yīng)用等方面具有競(jìng)爭(zhēng)力和創(chuàng)新性。 研發(fā)工具和設(shè)備應(yīng)具備滿足密碼產(chǎn)品研發(fā)需求的軟硬件工具和設(shè)備。 試驗(yàn)測(cè)試條件應(yīng)具有完善的密碼產(chǎn)品功能、性能、穩(wěn)定性、可靠性、環(huán)境適應(yīng)性等試驗(yàn)或測(cè)試條件。 生產(chǎn)管理 崗位設(shè)置應(yīng)設(shè)置生產(chǎn)主管、倉儲(chǔ)管理等相關(guān)崗位，并對(duì)擔(dān)任該崗位的人員能力設(shè)定要求。犌犕犜 制度保障應(yīng)制定生產(chǎn)管理規(guī)章制度和倉儲(chǔ)管理制度，并建立生產(chǎn)過程記錄檔案且確保生產(chǎn)過程記錄可查詢和追溯。 管理系統(tǒng)）應(yīng)建立完善的產(chǎn)品出入庫記錄檔案，并確保產(chǎn)品出入庫記錄可查詢和追溯；）應(yīng)建立產(chǎn)品數(shù)量管理要求，并確保數(shù)量管理的準(zhǔn)確性。 供應(yīng)管理）對(duì)供應(yīng)商或外協(xié)單位應(yīng)考核是否具備相應(yīng)的資質(zhì)和技術(shù)能力，要求供應(yīng)商或外協(xié)單位提供資質(zhì)和能力證明材料；）對(duì)供應(yīng)商供貨環(huán)節(jié)和外協(xié)加工環(huán)節(jié)應(yīng)具備控制和監(jiān)管措施，對(duì)供應(yīng)商及外協(xié)加工產(chǎn)品提出質(zhì)量標(biāo)準(zhǔn)要求，并對(duì)供應(yīng)商及外協(xié)產(chǎn)品生產(chǎn)的質(zhì)量進(jìn)行監(jiān)視、測(cè)量和驗(yàn)收；）生產(chǎn)單位應(yīng)與供應(yīng)商簽訂質(zhì)量保證協(xié)議并定期進(jìn)行質(zhì)量審查，對(duì)外包人員、過程和外包工作有明確管理規(guī)定。 生產(chǎn)條件 生產(chǎn)場(chǎng)所應(yīng)具備生產(chǎn)場(chǎng)所土地及房屋使用權(quán)，生產(chǎn)設(shè)施和倉儲(chǔ)場(chǎng)所應(yīng)滿足與產(chǎn)品生產(chǎn)能力相適應(yīng)的需要。 生產(chǎn)設(shè)備應(yīng)具備滿足生產(chǎn)要求的生產(chǎn)設(shè)備和檢測(cè)設(shè)備。 生產(chǎn)外協(xié)應(yīng)提供生產(chǎn)外協(xié)單位滿足 和 要求的證明材料。 生產(chǎn)工藝與流程 生產(chǎn)技術(shù)管理應(yīng)具備齊全的生產(chǎn)技術(shù)文件和管理規(guī)范。 批量生產(chǎn)和檢測(cè)能力應(yīng)具備批量生產(chǎn)和檢測(cè)能力，具備自動(dòng)化生產(chǎn)線及相應(yīng)的產(chǎn)品檢測(cè)機(jī)制，具備規(guī)定的檢驗(yàn)、試驗(yàn)和計(jì)量設(shè)備并與生產(chǎn)規(guī)模相適應(yīng)。 生產(chǎn)外協(xié)應(yīng)提供生產(chǎn)外協(xié)單位滿足 和 要求的證明材料。 質(zhì)量保障能力 制度保障應(yīng)保證商用密碼產(chǎn)品的全生命周期質(zhì)量，建立質(zhì)量管理制度及標(biāo)準(zhǔn)要求，明確質(zhì)量目標(biāo)并由高層管犌犕犜 理人員負(fù)責(zé)落實(shí)實(shí)施。 開發(fā)過程質(zhì)量管理 開發(fā)與測(cè)試體系應(yīng)建立完備的開發(fā)與測(cè)試體系，規(guī)范芯片開發(fā)、軟硬件模塊開發(fā)和系統(tǒng)集成，規(guī)范單元測(cè)試、集成測(cè)試、系統(tǒng)測(cè)試和驗(yàn)收測(cè)試等活動(dòng)。 研發(fā)過程管理）對(duì)研發(fā)過程應(yīng)進(jìn)行管理和控制，對(duì)整個(gè)過程有明確的階段劃分和過程管理，具備變更管理規(guī)范并對(duì)變更進(jìn)行管控；）應(yīng)建立技術(shù)文檔管理規(guī)范并對(duì)技術(shù)性文檔進(jìn)行保存。 版本管理對(duì)產(chǎn)品版本應(yīng)進(jìn)行管理并制定版本管理制度，設(shè)置版本管理人員，使用版本管理工具，保證每個(gè)產(chǎn)品版本與實(shí)際用戶使用產(chǎn)品版本相對(duì)應(yīng)，留存試用備品。 質(zhì)量問題管理）對(duì)質(zhì)量問題應(yīng)具有管理和控制措施，并就質(zhì)量問題的解決進(jìn)行跟蹤管理；）應(yīng)建立質(zhì)量問題處理制度和流程，對(duì)質(zhì)量問題處理的時(shí)效性進(jìn)行要求。 持續(xù)改進(jìn)產(chǎn)品質(zhì)量措施）應(yīng)具有合理的持續(xù)改進(jìn)產(chǎn)品質(zhì)量的措施；）對(duì)產(chǎn)品質(zhì)量應(yīng)進(jìn)行持續(xù)跟蹤監(jiān)控并收集產(chǎn)品質(zhì)量改進(jìn)信息，且據(jù)此制定產(chǎn)品質(zhì)量改進(jìn)計(jì)劃；）應(yīng)對(duì)客戶進(jìn)行產(chǎn)品質(zhì)量滿意度調(diào)查。 安全保障能力 組織保障 領(lǐng)導(dǎo)力承諾應(yīng)明確安全的重要性，建立組織范圍內(nèi)的安全目標(biāo)，由高層管理人員承諾保證安全研發(fā)和生產(chǎn)。 建立組織機(jī)制）應(yīng)由專人或部門（組織）負(fù)責(zé)安全；）應(yīng)定期進(jìn)行組織內(nèi)部安全管理制度的審核和評(píng)審，確保安全管理體系的適宜性和有效性；）應(yīng)建立組織預(yù)防、處理安全事件的機(jī)制。 人力資源安全）應(yīng)與員工簽署正規(guī)的勞動(dòng)合同并對(duì)員工進(jìn)行安全培訓(xùn)；）應(yīng)與相關(guān)崗位員工簽署保密合同或合同中包含著安全管理?xiàng)l款，并對(duì)相關(guān)崗位員工進(jìn)行商用密碼相關(guān)法律法規(guī)的培訓(xùn)；犌犕犜 ）對(duì)離職或調(diào)離崗位的單位員工應(yīng)設(shè)置歸還信息資產(chǎn)和撤銷訪問權(quán)限的規(guī)定；）對(duì)糾正和危害安全的行為可進(jìn)行適當(dāng)?shù)墓膭?lì)和懲罰。 安全管理 安全生產(chǎn)制度保障）應(yīng)建立安全生產(chǎn)規(guī)章制度并貫徹執(zhí)行；）應(yīng)了解國(guó)家和行業(yè)的安全生產(chǎn)規(guī)定和標(biāo)準(zhǔn)，制定安全生產(chǎn)責(zé)任制和安全操作流程。 物理和環(huán)境安全）應(yīng)劃分物理安全區(qū)域并任命相應(yīng)的負(fù)責(zé)人；）在重要區(qū)域應(yīng)安裝門禁系統(tǒng)并對(duì)訪問進(jìn)行記錄且記錄可查詢；）在重要區(qū)域應(yīng)安裝監(jiān)控系統(tǒng)且監(jiān)控的內(nèi)容記錄可查詢；）對(duì)重要資產(chǎn)進(jìn)出單位或重要區(qū)域應(yīng)實(shí)行審批機(jī)制；）對(duì)重要區(qū)域應(yīng)設(shè)置溫濕度要求并配備不間斷電源；）應(yīng)通過消防機(jī)構(gòu)認(rèn)證，為生產(chǎn)場(chǎng)所配置完備的消防設(shè)施，對(duì)生產(chǎn)人員進(jìn)行消防培訓(xùn)，保證生產(chǎn)場(chǎng)所具有充足通暢的消防通道供生產(chǎn)人員安全撤離；）應(yīng)由安全負(fù)責(zé)人定期對(duì)機(jī)房防火、防雷、防漏、防塵、接地等規(guī)程進(jìn)行檢查和記錄。 計(jì)算機(jī)和網(wǎng)絡(luò)安全）應(yīng)具備計(jì)算機(jī)軟件防護(hù)措施和網(wǎng)絡(luò)防護(hù)措施；）重要信息資產(chǎn)應(yīng)由專人維護(hù)；）有遠(yuǎn)程及移動(dòng)辦公，應(yīng)建立安全管理制度；）應(yīng)具備風(fēng)險(xiǎn)預(yù)警及應(yīng)急處置措施；）應(yīng)建立適應(yīng)組織的信息安全策略，保證信息存儲(chǔ)、交換和銷毀等過程中的安全；）應(yīng)具有重要數(shù)據(jù)備份機(jī)制及應(yīng)急災(zāi)備計(jì)劃。 訪問控制）應(yīng)建立信息訪問控制機(jī)制，對(duì)重要區(qū)域有識(shí)別并重點(diǎn)保護(hù)；）對(duì)通過網(wǎng)絡(luò)接入生產(chǎn)單位內(nèi)網(wǎng)應(yīng)有訪問控制，具有員工對(duì)信息訪問的控制策略；）應(yīng)安全傳輸、接收和處理關(guān)鍵數(shù)據(jù)，及時(shí)刪除存儲(chǔ)介質(zhì)上的數(shù)據(jù)或銷毀存儲(chǔ)介質(zhì)；）應(yīng)詳細(xì)記錄數(shù)據(jù)存放信息。 介質(zhì)控制）應(yīng)具有針對(duì)移動(dòng)存儲(chǔ)介質(zhì)的安全管理制度；）應(yīng)建立對(duì)存儲(chǔ)介質(zhì)申請(qǐng)、使用、更換、維修及報(bào)廢的管理制度和安全策略，并保存對(duì)關(guān)鍵存儲(chǔ)介質(zhì)定期檢查的記錄；）對(duì)可重復(fù)利用的介質(zhì)應(yīng)執(zhí)行寫操作以覆蓋舊內(nèi)容并確保不可恢復(fù)；）對(duì)不再利用的介質(zhì)應(yīng)采用毀損的方式進(jìn)行物理銷毀并確保存儲(chǔ)內(nèi)容不可恢復(fù)。 開發(fā)和支持過程中的安全）應(yīng)設(shè)立開發(fā)安全制度；犌犕犜 ）應(yīng)具有項(xiàng)目開發(fā)安全風(fēng)險(xiǎn)識(shí)別和控制措施，具有配置管理或權(quán)限控制措施；）外協(xié)外包過程如涉及商業(yè)秘密應(yīng)簽署保密協(xié)議，且外協(xié)外包過程應(yīng)不包含密鑰安裝及關(guān)鍵參數(shù)配置。 資產(chǎn)管理）應(yīng)識(shí)別所有的資產(chǎn)并保持對(duì)重要資產(chǎn)的保護(hù)；）應(yīng)制定一套與生產(chǎn)單位所采用的資產(chǎn)管理分類方案一致的信息標(biāo)識(shí)和處置程序并實(shí)施。 日志審計(jì)）對(duì)用戶活動(dòng)、意外和安全事件日志、系統(tǒng)管理員和系統(tǒng)操作者的活動(dòng)應(yīng)進(jìn)行記錄，且按照約定的期限對(duì)記錄進(jìn)行保存；）應(yīng)保護(hù)日志設(shè)施和日志信息免受破壞和未授權(quán)的訪問；）對(duì)錯(cuò)誤日志應(yīng)進(jìn)行分析并采取適當(dāng)?shù)拇胧?事故管理）應(yīng)確保與信息系統(tǒng)有關(guān)的安全弱點(diǎn)和安全事件的內(nèi)部溝通并及時(shí)采取相應(yīng)措施；）對(duì)安全事故應(yīng)使用持續(xù)有效的方法管理。 業(yè)務(wù)持續(xù)性管理應(yīng)防止業(yè)務(wù)活動(dòng)中斷并保護(hù)關(guān)鍵業(yè)務(wù)流程不受信息系統(tǒng)重大失效或自然災(zāi)害影響，確保及時(shí)恢復(fù)。 服務(wù)保障能力 制度保障）應(yīng)設(shè)置完善的服務(wù)保障制度，建立服務(wù)質(zhì)量保障體系，明確對(duì)服務(wù)質(zhì)量的標(biāo)準(zhǔn)要求，對(duì)服務(wù)質(zhì)量進(jìn)行監(jiān)督并評(píng)估。）根據(jù)服務(wù)管理的策劃應(yīng)實(shí)施服務(wù)管理并提供服務(wù)、監(jiān)督、測(cè)量和評(píng)審，并持續(xù)改進(jìn)。 應(yīng)急響應(yīng)能力）應(yīng)建立