网络安全等级保护基本要求 GB/T 22239-2019 2.0

应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由

应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定

应确保定级结果经过相关部门的批准，并按照相关要求进行备案

补充覆盖 S9.1 控制域的实施要求，用于完善 GB/T 22239-2019 控制项映射完整性。

补充覆盖 S9.1 控制域的实施要求，用于完善 GB/T 22239-2019 控制项映射完整性。

应根据安全保护等级选择基本安全措施，依据风险分析的结果补充和调整安全措施

应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计

应组织相关部门和有关安全专家对安全整体规划及其配套文件的合理性和正确性进行论证和审定

补充覆盖 S9.2 控制域的实施要求，用于完善 GB/T 22239-2019 控制项映射完整性。

补充覆盖 S9.2 控制域的实施要求，用于完善 GB/T 22239-2019 控制项映射完整性。

应确保网络安全产品采购和使用符合国家的有关规定

应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求

应预先对产品进行选型测试，确定产品的候选范围，并定期审定和更新候选产品名单

补充覆盖 S9.3 控制域的实施要求，用于完善 GB/T 22239-2019 控制项映射完整性。

补充覆盖 S9.3 控制域的实施要求，用于完善 GB/T 22239-2019 控制项映射完整性。

应将开发环境与实际运行环境物理分开，测试数据和测试结果受到控制

应制定软件开发管理制度，明确说明开发过程的控制方法和人员行为准则

应制定代码编写安全规范，要求开发人员参照规范编写代码

应具备软件设计的相关文档和使用指南，对文档使用进行控制

补充覆盖 S9.4 控制域的实施要求，用于完善 GB/T 22239-2019 控制项映射完整性。

补充覆盖 S9.4 控制域的实施要求，用于完善 GB/T 22239-2019 控制项映射完整性。

应在软件交付前检测其中可能存在的恶意代码

应保证开发单位提供软件设计文档和使用指南

应保证开发单位提供软件源代码，并审查软件中可能存在的后门或恶意功能

补充覆盖 S9.5 控制域的实施要求，用于完善 GB/T 22239-2019 控制项映射完整性。

补充覆盖 S9.5 控制域的实施要求，用于完善 GB/T 22239-2019 控制项映射完整性。

应指定或授权专门的部门或人员负责工程实施过程的管理

应制定安全工程实施方案控制实施过程，并在工程实施的重要环节进行工程监理

补充覆盖 S9.6 控制域的实施要求，用于完善 GB/T 22239-2019 控制项映射完整性。

补充覆盖 S9.6 控制域的实施要求，用于完善 GB/T 22239-2019 控制项映射完整性。

应制订测试验收方案，并依据测试验收方案实施测试验收，形成测试验收报告

应进行上线前的安全性测试，并出具安全测试报告，安全测试报告应包含密码应用安全性测试相关内容

应指定或授权专门的部门负责测试验收管理，并按照管理规定的要求完成测试验收

补充覆盖 S9.7 控制域的实施要求，用于完善 GB/T 22239-2019 控制项映射完整性。

补充覆盖 S9.7 控制域的实施要求，用于完善 GB/T 22239-2019 控制项映射完整性。

应制定交付清单，并根据交付清单对所交接的设备、软件和文档等进行清点

应对负责运行维护的技术人员进行相应的技能培训

应提供建设过程文档和运行维护文档

补充覆盖 S9.8 控制域的实施要求，用于完善 GB/T 22239-2019 控制项映射完整性。

补充覆盖 S9.8 控制域的实施要求，用于完善 GB/T 22239-2019 控制项映射完整性。

应定期进行等级测评，发现不符合相应等级保护标准要求的及时整改

第三级及以上信息系统应每年至少进行一次等级测评，第四级信息系统应每半年至少进行一次等级测评

补充覆盖 S9.9 控制域的实施要求，用于完善 GB/T 22239-2019 控制项映射完整性。

补充覆盖 S9.9 控制域的实施要求，用于完善 GB/T 22239-2019 控制项映射完整性。

应确保服务供应商的选择符合国家的有关规定

应与选定的服务供应商签订相关协议，明确整个服务供应链各方需履行的网络安全相关义务

应定期监督、评审和审核服务供应商提供的服务，并对其变更服务内容加以控制

补充覆盖 S9.10 控制域的实施要求，用于完善 GB/T 22239-2019 控制项映射完整性。

补充覆盖 S9.10 控制域的实施要求，用于完善 GB/T 22239-2019 控制项映射完整性。