信息安全技術(shù)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全能力成熟度模型44目 次前 言 61范圍 7規(guī)性用件 7術(shù)、義 7語定義 7互網(wǎng)用統(tǒng)Internetapplicationsystem 7互網(wǎng)用統(tǒng)全能Internetapplicationsystemsecuritycapability 7成度maturity 7成度型maturitymodel 7安過域securityprocessarea 7基實basepractices 8通實genericpractices 8核保對象coreprotectedobject 8縮語 8互網(wǎng)用統(tǒng)全力成度型構(gòu) 8力熟模架構(gòu) 8力素度 9能構(gòu)成 9機(jī)建設(shè) 9制流程 9技工具 9人能力 9力熟等維度 9力設(shè)程度 10PA體系 10編規(guī)則 11關(guān)描述 11核保對安全 12信全 12PA01絡(luò)構(gòu) 12PA述 12級述 12PA02信輸 12PA述 12級述 13PA03信證 13PA述 13級述 13絡(luò)界全 14PA04全域分 14PA述 14級述 14PA05絡(luò)界護(hù) 15PA述 15級述 15PA06程問全 15PA述 15級述 16算境全 16PA07份別 16PA述 16級述 16PA08問制 17PA述 17級述 17PA09全計 18PA述 18級述 18PA10侵御 19PA述 19級述 19據(jù)全 20PA11據(jù)集全 20PA述 20級述 20PA12據(jù)輸全 21PA述 21級述 21PA13據(jù)儲全 22PA述 22級述 22PA14據(jù)理全 23PA述 23級述 23PA15據(jù)換全 24PA述 24級述 24PA16據(jù)毀全 26PA述 26級述 26人息全 27PA17人息則 27PA述 27級述 27PA18戶權(quán) 28PA述 28級述 28PA19人息共享 29PA述 29級述 29PA20人息權(quán)利 30PA述 30級述 30通安全 31全劃架構(gòu) 31PA21全略 31PA述 31級述 31PA22全構(gòu)置 31PA述 31級述 31PA23全責(zé)分 32PA述 32級述 32PA24全發(fā)程 33PA述 33級述 33員理培訓(xùn) 34PA25員全理 34PA述 34級述 34PA26全育訓(xùn) 35PA述 35級述 35理環(huán)安全 36PA27理全護(hù) 36PA述 36級述 36PA28力應(yīng) 36PA述 36級述 36PA29理災(zāi) 37PA述 37級述 37PA30境離 38PA述 38級述 38測警應(yīng)響應(yīng) 39PA31產(chǎn)知 39PA述 39級述 39PA32險測 40PA述 40級述 40PA33脅警 40PA述 40級述 40PA34急案 41PA述 41級述 41PA35急練 42PA述 42級述 42應(yīng)安保障 43PA36品型 43PA述 43級述 43PA37應(yīng)選擇 43PA述 43級述 43PA38購付 44PA述 44級述 44PA39同議制 45PA述 45級述 45PA40代審計 46PA述 46級述 46PA41級全障 46PA述 46級述 46附 錄 A資性）力熟等描與GP 48述 48力熟級1：基礎(chǔ)設(shè) 48能成度級述 48A.2.2GP1.1機(jī)建設(shè) 48A.2.3GP1.2制流程 48A.2.4GP1.3技工具 48A.2.5GP1.4人能力 48力熟級2：規(guī)范護(hù) 48能成度級述 48A.3.2GP2.1機(jī)建設(shè) 48A.3.3GP2.2制流程 48A.3.4GP2.3技工具 48A.3.5GP2.4人能力 49力熟級3：集成控 49能成度級述 49A.4.2GP3.1機(jī)建設(shè) 49A.4.3GP3.2制流程 49A.4.4GP3.3技工具 49A.4.5GP3.4人能力 49力熟級4：綜合同 49能成度級述 49A.5.2GP4.1機(jī)建設(shè) 49A.5.3GP4.2制流程 49A.5.4GP4.3技工具 49A.5.5GP4.4人能力 50力熟級5：智能化 50能成度級述 50A.6.2GP5.1機(jī)建設(shè) 50A.6.3GP5.2制流程 50A.6.4GP5.3技工具 50A.6.5GP5.4人能力 50附 錄 B(料附）力熟模使法 51述 51力熟模使步驟 51附 錄 C資性）熟等的估法 52述 52建驗隊 52定驗劃 52基情梳理 52確核范圍 52確核具任與方案 52確還恢預(yù)案 53其工要求 53展場驗 53成驗論 53力熟等核驗 53力熟等核報告寫 53參考獻(xiàn) 551010信息安全技術(shù) 互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全能力成熟度模型范圍本標(biāo)準(zhǔn)給出了互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全能力成熟度模型，規(guī)定了核心保護(hù)對象安全和通用安全的成熟度等級要求，提出了能力成熟度等級核驗方法。GB/T25069—2022信息安全技術(shù)術(shù)語GB/T22239—2019信息安全技術(shù)信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求GB/T37988—2019信息安全技術(shù)信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型GB/T41400—2022信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全防護(hù)能力成熟度模型GB-T41391—2022信息安全技術(shù)移動互聯(lián)網(wǎng)應(yīng)用程序（App）收集個人信息基本要求GB/T35273—2017信息安全技術(shù)個人信息安全規(guī)范GB/T25069—2022中界定的以及下列術(shù)語和定義適用于本文件。互聯(lián)應(yīng)系統(tǒng) Internetapplicationsystem在互聯(lián)網(wǎng)運行的門戶網(wǎng)站以及面向社會公眾提供服務(wù)的網(wǎng)站或信息系統(tǒng)。互聯(lián)應(yīng)系安能力 Internetapplicationsystemsecuritycapability成熟度 maturity對一個組織的有條理的持續(xù)改進(jìn)能力的度量，對實現(xiàn)特定過程的連續(xù)性、可持續(xù)性、有效性和可信度的度量。成熟模型 maturitymodelsecurityprocessarea實現(xiàn)同一安全目標(biāo)的一系列數(shù)據(jù)安全相關(guān)活動、過程的集合。basepractices是實現(xiàn)某一安全目標(biāo)的互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全相關(guān)的活動和過程，一個過程域由若干個基本實踐組成。genericpractices在等級核驗中用于確定任何安全過程域或基礎(chǔ)實踐的實施能力的評定準(zhǔn)則。coreprotectedobject對互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全所適用的法律法規(guī)的遵循?？s略語下列縮略語適用于本標(biāo)準(zhǔn)：CMM：能力成熟度模型（CapabilityMaturityModel）IASS-CMM：互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全能力成熟度模型（InternetapplicationsystemsecurityCapabilityMaturityModel）BP：（BasePractice）GP：（GenericPractice）PA：（ProcessArea）CF：（CommonFeature）5543通信安全網(wǎng)絡(luò)邊界安全計算環(huán)境安全數(shù)據(jù)安全個人信息安全21能力成熟度等級圖1互聯(lián)網(wǎng)應(yīng)用系統(tǒng)能力成熟度模型架構(gòu)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全能力成熟度模型的架構(gòu)由以下三個維度構(gòu)成。組織互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全能力要素包括機(jī)構(gòu)建設(shè)、制度流程、技術(shù)工具和人員能力。組織互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全能力成熟度等級劃分為五級，具體包括：1級是基礎(chǔ)建設(shè)級，2級是規(guī)范防護(hù)級，3級是集成管控級，4級是綜合協(xié)同級，5級是智能優(yōu)化級。組織互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全能力建設(shè)過程包括核心保護(hù)對象安全和通用安全：個過程類；5對能力成熟度等級維和數(shù)據(jù)安全過程域維之間的映射關(guān)系，如圖2所示。從承擔(dān)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全工作的組織應(yīng)具備的機(jī)構(gòu)建設(shè)能力角度，根據(jù)以下方面進(jìn)行能力等級區(qū)分：從組織互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全制度流程的建設(shè)以及執(zhí)行情況角度，根據(jù)以下方面進(jìn)行能力等級區(qū)分：從組織承擔(dān)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全工作的人員應(yīng)具備的能力角度，根據(jù)以下方面進(jìn)行能力等級區(qū)分：互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全人員所具備的安全技能是否能夠滿足復(fù)合型能力要求(對互聯(lián)網(wǎng)應(yīng)用系統(tǒng)相關(guān)業(yè)組織互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全能力成熟度等級共分為5級，見圖2。等級5：等級5：智能優(yōu)化4：綜合協(xié)同等級3：集成管控等級2：規(guī)范防護(hù)等級1：基礎(chǔ)建設(shè)圖2互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全能力成熟度等級5CFPAPA體系分為核心保護(hù)對象安全和通用安全兩部分，共包含41個PA，見圖3。數(shù)據(jù)安全PA11數(shù)據(jù)安全PA11PA01網(wǎng)絡(luò)架構(gòu)PA04安全區(qū)域劃分PA07身份鑒別PA12PA02通信傳輸PA05網(wǎng)絡(luò)邊界防護(hù)PA08訪問控制PA13PA03可信驗證PA06遠(yuǎn)程訪問安全PA09安全審計PA14PA10入侵防御PA15PA16PA17個人信息規(guī)則PA18用戶授權(quán)PA21安全策略與規(guī)程PA22安全機(jī)構(gòu)設(shè)置PA23安全職責(zé)劃分PA24開發(fā)安全流程PA27物理安全防護(hù)PA28電力供應(yīng)PA29物理防災(zāi)PA30環(huán)境分離PA21安全策略與規(guī)程PA22安全機(jī)構(gòu)設(shè)置PA23安全職責(zé)劃分PA24開發(fā)安全流程PA27物理安全防護(hù)PA28電力供應(yīng)PA29物理防災(zāi)PA30環(huán)境分離PA31PA36產(chǎn)品選型PA37供應(yīng)商選擇PA38采購交付PA39合同協(xié)議控制PA40源代碼審計PA41升級安全保障PA25PA26核心保護(hù)對象安全包括以下5個過程類：PA（PA01-PA03）PA（PA04-PA06）PA（PA07-PA10）5PA（PA25-PA26）PA（PA27-PA30）供應(yīng)鏈安全保障的互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全PA編碼規(guī)則如下：PA01,02PABPBP.XX.XXPABPBP01,02PABP平。能力成熟度等級與PA、BP、能力要素的關(guān)系如下：PA54BP；PA4PA，GB/T32919—2016提供的方法對某一等級能力要求進(jìn)行裁剪。注：針對某一具體PA54能力成熟度等級的描述與GP，見附錄A。能力成熟度模型使用方法，見附錄B。能力成熟度等級核驗流程，見附錄C。PA01PA等級1（BP.01.01）等級2(BP.01.02)；（(BP.01.03)等級3該等級的安全能力描述如下：(BP.01.04)；組織對互聯(lián)網(wǎng)應(yīng)用系統(tǒng)核心網(wǎng)絡(luò)設(shè)備和關(guān)鍵安全設(shè)備應(yīng)采用雙機(jī)熱備方式進(jìn)行冗余部署(BP.01.05)；(BP.01.06等級4該等級的安全能力描述如下：(BP.01.07等級5該等級的安全防護(hù)能力應(yīng)不低于4級BP。PA02PA等級1該等級的安全能力描述如下：人員能力：BP.02.01)；BP.02.02等級2IPsecVPNSSLBP.02.03)；）BP.02.04等級3該等級的安全能力描述如下：(BP.02.05)；TLS技術(shù)采用校驗碼技術(shù)或數(shù)字簽名技術(shù)，對傳輸數(shù)據(jù)的完整性進(jìn)行驗證和保護(hù)，確保數(shù)據(jù)傳輸過程從沒有受到篡改(BP.02.06)。等級4該等級的安全能力描述如下：RadiusBP.02.07等級5該等級的安全能力描述如下：BP.02.08PA03PA等級1該等級的安全能力描述如下：(BP.03.01等級2該等級的安全能力描述如下：（(BP.03.02)；TPCM（TPCM）BP.03.03等級3該等級的安全能力描述如下：BP.03.04等級4該等級的安全能力描述如下：(BP.03.05)。等級5該等級的安全能力描述如下：技術(shù)工具：組織采用可信驗證機(jī)制對應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動態(tài)可信驗證，保證通信設(shè)備的真實可信(BP.03.06)。PA04PA對互聯(lián)網(wǎng)應(yīng)用系統(tǒng)網(wǎng)絡(luò)安全區(qū)域之間進(jìn)行邏輯隔離安全防護(hù)，防止由于單點網(wǎng)絡(luò)攻擊造成全局網(wǎng)絡(luò)問題。等級1該等級的安全能力描述如下：制度流程：組織僅根據(jù)特定需求或基于組織經(jīng)驗建立安全區(qū)域劃分策略(BP.04.01)。等級2該等級的安全能力描述如下：BP.04.03等級3該等級的安全能力描述如下：技術(shù)工具：組織將具有相同功能和安全要求的控制設(shè)備劃分到同一區(qū)域，區(qū)域之間執(zhí)行管道通信，并對控制區(qū)域間管道中的通信內(nèi)容進(jìn)行統(tǒng)一管理(BP.04.04)。等級4該等級的安全防護(hù)能力應(yīng)不低于3級BP。等級5該等級的安全能力描述如下：(BP.04.05PA05PA通過網(wǎng)絡(luò)邊界防護(hù)設(shè)備對互聯(lián)網(wǎng)應(yīng)用系統(tǒng)網(wǎng)絡(luò)與辦公網(wǎng)或互聯(lián)網(wǎng)之間的邊界進(jìn)行安全防護(hù)，防止外部的安全風(fēng)險引入互聯(lián)網(wǎng)應(yīng)用系統(tǒng)網(wǎng)絡(luò)。等級1該等級的安全能力描述如下：BP.05.01)等級2組織在業(yè)務(wù)網(wǎng)和辦公網(wǎng)邊界部署安全防護(hù)設(shè)備，防止辦公網(wǎng)的安全風(fēng)險進(jìn)入互聯(lián)網(wǎng)應(yīng)用系統(tǒng)網(wǎng)絡(luò)(BP.05.02)；BP.05.03)；BP.05.04等級3該等級的安全能力描述如下：BP.05.05)；BP.05.07等級4該等級的安全能力描述如下：技術(shù)工具：組織部署相應(yīng)技術(shù)措施，發(fā)現(xiàn)并阻斷非授權(quán)內(nèi)聯(lián)和非法外聯(lián)行為(BP.05.08)。等級5該等級的安全能力描述如下：技術(shù)工具：組織采用可信驗證機(jī)制對接入到網(wǎng)絡(luò)中的設(shè)備進(jìn)行可信驗證，保證接入網(wǎng)絡(luò)的設(shè)備真實可信(BP.05.09)。PA06PA等級1該等級的安全能力描述如下：人員能力：組織僅根據(jù)特定需求或基于組織經(jīng)驗對互聯(lián)網(wǎng)應(yīng)用系統(tǒng)遠(yuǎn)程訪問進(jìn)行管理(BP.06.01)。等級2該等級的安全能力描述如下：TelnetRlogin等高風(fēng)(BP.06.02)；BP.06.03)。(BP.06.04)；BP.06.05等級3VPNBP.06.06)；BP.06.07(BP.06.08)；BP.06.09)；（BP.06.10等級4該等級的安全能力描述如下：SDNBP.06.11等級5該等級的安全能力描述如下：技術(shù)工具：組織自建專用通信傳輸網(wǎng)絡(luò)或租用專用通信線纜，以實現(xiàn)重要互聯(lián)網(wǎng)應(yīng)用系統(tǒng)遠(yuǎn)程訪問的安全性(BP.06.12)。PA07PA基于組織的互聯(lián)網(wǎng)應(yīng)用系統(tǒng)網(wǎng)絡(luò)安全需求和合規(guī)性要求建立身份認(rèn)證機(jī)制，防止對互聯(lián)網(wǎng)應(yīng)用系統(tǒng)數(shù)據(jù)的未授權(quán)訪問。等級1該等級的安全能力描述如下：BP.07.01等級2該等級的安全能力描述如下：(BP.07.02)；BP.07.03)；BP.07.04（）(BP.07.05)；組織對互聯(lián)網(wǎng)應(yīng)用系統(tǒng)進(jìn)行遠(yuǎn)程管理，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽(BP.07.06)。等級3該等級的安全能力描述如下：技術(shù)工具：BP.07.07)；(BP.07.08等級4該等級的安全能力描述如下：PKIBP.07.09等級5該等級的安全能力描述如下：技術(shù)工具：組織通過自建電子認(rèn)證體系，建立全組織范圍內(nèi)的身份認(rèn)證系統(tǒng)，實現(xiàn)多級別多因素的認(rèn)證方式，以此構(gòu)建重要互聯(lián)網(wǎng)應(yīng)用系統(tǒng)多層防御機(jī)制(BP.07.10)。PA08PA基于組織的互聯(lián)網(wǎng)應(yīng)用系統(tǒng)網(wǎng)絡(luò)安全需求和合規(guī)性要求建立訪問控制機(jī)制，防止對互聯(lián)網(wǎng)應(yīng)用系統(tǒng)越權(quán)或違規(guī)訪問。等級1該等級的安全能力描述如下：機(jī)構(gòu)建設(shè)：組織根據(jù)不同業(yè)務(wù)需求、崗位職責(zé)等，合理分類分配賬戶和權(quán)限，配置訪問控制策略(BP.08.01)。等級2該等級的安全能力描述如下：(BP.08.02)；(BP08.3(BP.08.04)；(BP.08.05)；(BP.08.06BP.08.07)；BP.08.08)。等級3該等級的安全能力描述如下：技術(shù)工具：組織依據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的操作(BP.08.09)。等級4該等級的安全能力描述如下：技術(shù)工具：組織對訪問控制的粒度應(yīng)達(dá)到主體為用戶級或進(jìn)程級，客體為文件、數(shù)據(jù)庫表級(BP.08.10)。等級5該等級的安全能力描述如下：(BP.08.11PA09PA等級1該等級的安全能力描述如下：BP.09.01等級2該等級的安全能力描述如下：(BP.09.02)；BP.09.03)；BP.09.05)。等級3該等級的安全能力描述如下：技術(shù)工具：BP.09.06)；BP.09.07等級4該等級的安全能力描述如下：(BP.09.08)。等級5該等級的安全能力描述如下：(BP.09.09PA10PA等級1該等級的安全能力描述如下：(BP.10.01等級2該等級的安全能力描述如下：(BP.10.02)；BP.10.03)；(BP.10.04)；BP.10.05)。技術(shù)工具：組織應(yīng)設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制(BP.10.06)。等級3該等級的安全能力描述如下：技術(shù)工具：BP.10.07)；通過通信接口輸入的數(shù)據(jù)格式或長度是否符合系統(tǒng)設(shè)定要求，防止用戶輸入畸形數(shù)據(jù)而導(dǎo)致系統(tǒng)出錯(SQL(BP.10.08)等級4該等級的安全能力描述如下：技術(shù)工具：組織部署相應(yīng)的技術(shù)措施對互聯(lián)網(wǎng)應(yīng)用系統(tǒng)定期進(jìn)行漏洞掃描，發(fā)現(xiàn)漏洞并及時修補(bǔ)漏洞(BP.10.09)。等級5該等級的安全能力描述如下：PA11PA等級1該等級的安全能力描述如下：等級2該等級的安全能力描述如下：(BP.11.02(BP.11.03)；(BP.11.04)等級3該等級的安全能力描述如下：BP.11.05BP.11.06)；(BP.11.07)；組織應(yīng)明確數(shù)據(jù)采集范圍、數(shù)量和頻度，確保不收集與提供服務(wù)無關(guān)的個人信息和重要數(shù)據(jù)(BP.11.08)；(BP.11.09)；(BP.11.10)；BP.11.11c）(BP.11.12)；(BP.11.13BP.11.14)。等級4該等級的數(shù)據(jù)安全能力要求描述如下:BP.11.15)；BP.11.16)；(BP.11.17等級5該等級的數(shù)據(jù)安全能力要求描述如下:(BP.11.18)；PA12PA等級1該等級的數(shù)據(jù)安全能力描述如下：BP.12.01等級2該等級的安全能力描述如下：BP.12.02)；(BP.12.03)(BP.12.04)；組織應(yīng)對傳輸數(shù)據(jù)加密的技術(shù)方案和工具，包括針對關(guān)鍵的數(shù)據(jù)傳輸通道的加密方案（如采用TLS/SSL方式），及對傳輸數(shù)據(jù)內(nèi)容進(jìn)行加密(BP.12.05)。等級3該等級的安全能力描述如下：(BP.12.06)（）(BP.12.07)；BP.12.08c）BP.12.09)；組織應(yīng)部署對通道安全配置、密碼算法配置、密鑰管理等保護(hù)措施進(jìn)行審核及監(jiān)控的技術(shù)工具(BP.12.10)。的業(yè)務(wù)選擇合適的數(shù)據(jù)傳輸安全管理方式(BP.12.11)；組織負(fù)責(zé)該項工作的人員應(yīng)熟悉數(shù)據(jù)加密的算法，并能夠基于業(yè)務(wù)選擇合適的加密技術(shù)(BP.12.12)。等級4該等級的安全能力描述如下：(BP.12.13組織對每個傳輸鏈路上的節(jié)點都應(yīng)部署了獨立密鑰對和數(shù)字證書，以保證各節(jié)點有效的身份鑒別(BP.12.14)；(BP.12.15)；BP.12.16)。等級5該等級的安全能力描述如下：BP.12.17)PA13PA等級1該等級的安全能力描述如下：BP.13.01)等級2該等級的安全能力描述如下：組織建設(shè)：組織應(yīng)由業(yè)務(wù)團(tuán)隊相關(guān)人員根據(jù)實際業(yè)務(wù)需求負(fù)責(zé)執(zhí)行數(shù)據(jù)存儲相關(guān)的安全管理工作(BP.13.02)。\\BP.13.03BP.13.04BP.13.05等級3該等級的安全能力描述如下：(BP.13.06)；BP.13.07)；(BP.13.08BP.13.09BP.13.10)。等級4該等級的安全能力描述如下：BP.13.11組織應(yīng)建立管理數(shù)據(jù)存儲系統(tǒng)安全配置的技術(shù)工具，實現(xiàn)對安全配置情況的統(tǒng)一管理和控制(BP.13.12)；(BP.13.13)a) (BP.13.14等級5該等級的安全能力描述如下：技術(shù)工具：(BP.13.15)；BP.13.16PA14PA等級1該等級的安全防護(hù)能力描述如下：(BP.14.01等級2該等級的安全能力描述如下：BP.14.02)；BP.14.03)；組織應(yīng)對涉及數(shù)據(jù)處理需求進(jìn)行人工審核，針對具體的數(shù)據(jù)處理場景制定相應(yīng)的隱私保護(hù)方案(BP.14.04)。技術(shù)工具：組織在數(shù)據(jù)信息的處理過程中，應(yīng)采用多種技術(shù)手段以降低數(shù)據(jù)分析過程中隱私泄露風(fēng)險(BP.14.05)。等級3該等級的安全能力描述如下：BP.14.06)。(BP.14.07)；(BP.14.08)；(BP.14.09)；(BP.14.10)KBP.14.11)；組織應(yīng)記錄并保存數(shù)據(jù)處理與分析過程中對個人信息、重要數(shù)據(jù)等敏感數(shù)據(jù)的操作行為(BP.14.12)；組織應(yīng)提供組織統(tǒng)一的數(shù)據(jù)處理和分析系統(tǒng)，并能夠呈現(xiàn)數(shù)據(jù)處理前后數(shù)據(jù)間的映射關(guān)系(BP.14.13)。BP.14.14等級4該等級的安全能力描述如下：技術(shù)工具:BP.14.15)；進(jìn)(BP.14.16)。等級5該等級的安全能力描述如下：技術(shù)工具：組織應(yīng)基于機(jī)器學(xué)習(xí)的敏感數(shù)據(jù)自動識別、數(shù)據(jù)分析算法安全涉及等數(shù)據(jù)分析安全能力(BP.14.17)。PA15PA等級1該等級的安全防護(hù)能力描述如下：BP.15.01等級2該等級的安全能力描述如下：(BP.15.02)(BP.15.03(BP.15.04BP.15.05等級3該等級的安全能力描述如下：(BP.15.06)；BP.15.07)；BP.15.08)；組織使用外部的軟件開發(fā)包/組件/求(BP.15.09)。BP.15.10)；(BP.15.11)；(BP.15.12BP.15.13等級4該等級的安全能力描述如下：(BP.15.14BP.15.15)；BP.15.16)；(BP.15.17)(BP.15.18)；組織應(yīng)具備數(shù)據(jù)接口訪問的審計能力，并能為數(shù)據(jù)安全審計提供可配置的數(shù)據(jù)服務(wù)接口(BP.15.19)；(BP.15.20(BP.15.21等級5該等級的安全能力描述如下：BP.15.22PA16PA等級1該等級的安全防護(hù)能力描述如下：(BP.16.01等級2該等級的安全能力描述如下：(BP.16.02(BP.16.03(BP.16.04)(BP.16.05)等級3該等級的安全能力描述如下：BP.16.06(BP.16.07)；BP.16.08)；(BP.16.09BP.16.10)；BP.16.11(BP.16.12)等級4該等級的安全能力描述如下：制度流程：組織應(yīng)明確數(shù)據(jù)銷毀效果評估機(jī)制，定期對數(shù)據(jù)銷毀效果進(jìn)行抽樣認(rèn)定和銷毀記錄檢查(BP.16.13)；(BP.16.14)；(BP.16.15)；(BP.16.16等級5(BP.16.17PA17PA等級1該等級的安全能力描述如下：(BP.17.01)。等級2該等級的安全能力描述如下：(BP.17.02)BP.17.03)；BP.17.05等級3該等級的安全能力描述如下：(BP.17.06(BP.17.07)；(BP.17.08)；BP.17.09)；BP.17.10)；(BP.17.11)；BP.17.12BP.17.13)；組織應(yīng)采用相關(guān)技術(shù)手段方式個人信息泄露，存在中高危安全漏洞導(dǎo)致個人信息泄露風(fēng)險(BP.17.14)。(BP.17.15)等級4該等級的安全能力描述如下：(BP.17.16BP.17.17)；(BP.17.18等級5該等級的安全能力描述如下：BP.17.19BP.17.20)；BP.17.21(BP.17.22PA18PA對互聯(lián)網(wǎng)應(yīng)用系統(tǒng)個人信息的收集、使用、共享時提出征得用戶授權(quán)要求，需要告知用戶并征得用戶同意。等級1該等級的安全能力描述如下：制度流程：組織支持特定需求場景下的個人信息的收集授權(quán)流程，僅根據(jù)個人經(jīng)驗進(jìn)行用戶授權(quán)控制(BP.18.01)。等級2該等級的安全能力描述如下：BP.18.02)；等級3該等級的安全能力描述如下：BP.18.05)。(BP.18.06)；(BP.18.07(BP.18.08人員能力：組織對系統(tǒng)研發(fā)人員進(jìn)行專項培訓(xùn)，對業(yè)界開發(fā)同意授權(quán)的方式、方法、路徑等進(jìn)行培訓(xùn)(BP.18.09)。等級4該等級的安全能力描述如下：BP.18.10(BP.18.11)；BP.18.12等級5該等級的安全能力描述如下：制度流程：組織應(yīng)建立可追溯的用戶授權(quán)記錄，包括授權(quán)內(nèi)容、操作功能等(BP.18.13)。PA19PA對互聯(lián)網(wǎng)應(yīng)用系統(tǒng)委托、共享、轉(zhuǎn)讓和公開披露提出具體要求，建立現(xiàn)安全機(jī)制保障個人信息安全。等級1該等級的安全能力描述如下：等級2該等級的安全能力描述如下：BP.19.02)。BP.19.03等級3該等級的安全能力描述如下：BP.19.04(BP.19.05)；(BP.19.06)；BP.19.07)；BP.19.08組織應(yīng)采取措施確保個人信息在委托、共享、轉(zhuǎn)讓和公開披露的安全合規(guī)，如數(shù)據(jù)加密、脫敏等(BP.19.09)；(BP.19.10)(BP.19.11)等級4該等級的安全能力描述如下：BP.19.12)；BP.19.13)。(BP.19.14)等級5該等級的安全能力描述如下：(BP.19.15a) BP.19.16PA20PA等級1該等級的安全能力描述如下：等級2該等級的安全能力描述如下：(BP.20.02)BP.20.03等級3該等級的安全能力描述如下：BP.20.04BP.20.05)；BP.20.06組織對個人主體權(quán)利功能進(jìn)行功能校驗，特別是注銷、刪除等操作，結(jié)合后臺數(shù)據(jù)進(jìn)行校驗(BP.20.07)；組織應(yīng)建立可靠個人信息刪除、銷毀技術(shù)和方法，確保以不可逆的方式進(jìn)行銷毀，避免數(shù)據(jù)恢復(fù)(BP.20.08)。(BP.20.09)等級4該等級的安全能力描述如下：(BP.20.10)(BP.20.11等級5該等級的安全能力描述如下：BP.20.12技術(shù)工具：組織應(yīng)參與國際、國家或者行標(biāo)相關(guān)標(biāo)準(zhǔn)定制，在業(yè)界風(fēng)險最佳事件，成為行業(yè)標(biāo)桿(BP.20.13)。PA21PA建立組織互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全策略規(guī)劃，內(nèi)容覆蓋互聯(lián)網(wǎng)應(yīng)用系統(tǒng)各層次的安全風(fēng)險。等級1該等級的安全能力描述如下：人員能力：組織僅根據(jù)特定需求或基于組織經(jīng)驗制定或發(fā)布安全策略(BP.21.01)。等級2(BP.21.02)；BP.21.03)；BP.21.04等級3該等級的安全能力描述如下：制度流程：按組織定義的時間間隔，對安全規(guī)劃的策略及規(guī)程進(jìn)行評審和更新(BP.21.05)。等級4(BP.21.06)；BP.21.07)。等級5該等級的安全防護(hù)能力應(yīng)不低于4級BP。PA22PA建立組織內(nèi)部負(fù)責(zé)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全防護(hù)工作的職能部門，保障安全防護(hù)工作有效執(zhí)行。等級1該等級的安全能力描述如下：(BP.22.01等級2該等級的安全能力描述如下：BP.22.02)；BP.22.03等級3該等級的安全能力描述如下：機(jī)構(gòu)建設(shè)：各相關(guān)部門在網(wǎng)絡(luò)安全協(xié)調(diào)小組的指導(dǎo)下，按照管理機(jī)制，明確互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全管理責(zé)任人，落實互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全責(zé)任制，部署互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全防護(hù)措施(BP.22.04)。等級4(BP.22.05)；BP.22.06等級5該等級的安全能力描述如下：機(jī)構(gòu)建設(shè)：組織聯(lián)合產(chǎn)業(yè)鏈上下游，建立互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全防護(hù)聯(lián)合工作機(jī)制(BP.22.07)。PA23PA設(shè)立組織內(nèi)部負(fù)責(zé)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全防護(hù)工作的崗位，明確安全職責(zé)劃分。等級1該等級的安全能力描述如下：機(jī)構(gòu)建設(shè)：組織僅根據(jù)特定需求或基于組織經(jīng)驗選定相關(guān)人員臨時負(fù)責(zé)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全相關(guān)工作(BP.23.01)。等級2(BP.23.02)；BP.23.03等級3(BP.23.04)；BP.23.057.1.3.2.4 7.1.3.2.4 等級43434該等級的安全防護(hù)能力應(yīng)不低于3級BP。7.1.3.2.5 等級5該等級的安全防護(hù)能力應(yīng)不低于4級BP。PA24PA設(shè)立組織內(nèi)部負(fù)責(zé)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)開發(fā)安全流程管理工作的崗位，明確安全職責(zé)劃分。等級1該等級的安全防護(hù)能力描述如下：機(jī)構(gòu)建設(shè)：組織僅根據(jù)特定需求或基于組織經(jīng)驗選定相關(guān)人員臨時負(fù)責(zé)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全開發(fā)相關(guān)工作(BP.24.01)。等級2該等級的安全防護(hù)能力描述如下：BP.24.02(BP.24.03等級3該等級的安全防護(hù)能力描述如下：(BP.24.04)；BP.24.05)；(BP.24.06)；(BP.24.07BP.24.08)；(BP.24.09)；BP.24.10)；(BP.24.11)；(BP.24.12)；BP.24.13)；(BP.24.14)；BP.24.15 (BP.24.16)BP.24.17)；BP.24.18等級4該等級的安全防護(hù)能力描述如下：(BP.24.19)；BP.24.20)；BP.24.21)； 件安全檢測、滲透測試、人工安全合規(guī)檢查、數(shù)據(jù)安全檢查、源代碼倉庫、私有組件倉庫、制品倉庫(BP.24.22等級5該等級的安全防護(hù)能力描述如下：對源代碼進(jìn)行管控，規(guī)范組件使用，私有組件入庫審批，制品根據(jù)不同類型進(jìn)行入庫管理(BP.24.23)；BP.24.24 BP.24.25PA25PA對人力資源管理過程中各環(huán)節(jié)進(jìn)行安全管理，防范人員管理過程中存在的系統(tǒng)安全風(fēng)險。等級1該等級的安全能力描述如下：機(jī)構(gòu)建設(shè)：組織僅根據(jù)特定需求或基于組織經(jīng)驗對系統(tǒng)運維人員的訪問權(quán)限進(jìn)行管理(BP.25.01)。等級2(BP.25.02)；(BP.25.03)；BP.25.04)；(BP.25.05)；BP.25.06)；BP.25.07)。等級3該等級的安全能力描述如下：制度流程：BP.25.08)；BP.25.09)；BP.25.10)；BP.25.11)。3636等級4該等級的安全能力描述如下：(BP.25.12等級5該等級的安全防護(hù)能力應(yīng)不低于4級BP。PA26PA為互聯(lián)網(wǎng)應(yīng)用系統(tǒng)運維人員進(jìn)行信息安全教育培訓(xùn)，使其能夠履行與信息安全相關(guān)的職責(zé)。等級1該等級的安全能力描述如下：機(jī)構(gòu)建設(shè)：組織僅根據(jù)特定需求或基于組織經(jīng)驗開展互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全相關(guān)教育培訓(xùn)(BP.26.01)。等級2(BP.26.02)；BP.26.03)；(BP.26.04)；(BP.26.05)；BP.26.06)；BP.26.07)。等級3BP.26.08)；BP.26.09)；(BP.26.10)等級4該等級的安全能力描述如下：(BP.26.11)；BP.26.12等級5該等級的安全能力描述如下：BP.26.13)；BP.26.14PA27PA保護(hù)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)的外部運行環(huán)境，防止人員未經(jīng)授權(quán)訪問、損壞和干擾互聯(lián)網(wǎng)應(yīng)用系統(tǒng)資產(chǎn)。等級1該等級的安全能力描述如下：制度流程：組織基于互聯(lián)網(wǎng)應(yīng)用系統(tǒng)軟硬件重要程度規(guī)劃設(shè)立重點物理安全防護(hù)區(qū)域(BP.27.01)。等級2該等級的安全能力描述如下。(BP.27.02)；BP.27.03在指定出入口采用圍墻、門禁、門衛(wèi)等物理訪問控制措施及視頻監(jiān)控、入侵報警等物理防護(hù)設(shè)備(BP.27.04)；1) (BP.27.05等級3該等級的安全能力描述如下。BP.27.06)；(BP.27.07控制對互聯(lián)網(wǎng)應(yīng)用系統(tǒng)的物理訪問，這些控制應(yīng)獨立于對互聯(lián)網(wǎng)應(yīng)用系統(tǒng)設(shè)備的物理訪問控制(BP.27.08)；組織將互聯(lián)網(wǎng)應(yīng)用系統(tǒng)網(wǎng)絡(luò)設(shè)備放置在只能由授權(quán)人員訪問的符合環(huán)境要求的安全區(qū)域中(BP.27.09)；對擁有可移動存儲媒體驅(qū)動器的互聯(lián)網(wǎng)應(yīng)用系統(tǒng)設(shè)備采取物理加鎖、驅(qū)動卸載或軟件禁用等手段(BP.27.10)。等級4該等級的安全能力描述如下：技術(shù)工具：根據(jù)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)的實際情況，將服務(wù)器放置在帶鎖的區(qū)域并采用認(rèn)證保護(hù)機(jī)制(BP.27.11)。等級5該等級的安全能力描述如下：PA28PA為互聯(lián)網(wǎng)應(yīng)用系統(tǒng)配備應(yīng)急電源，保障關(guān)鍵設(shè)備在斷電情況下的持續(xù)運行。等級1該等級的安全能力描述如下：(BP.28.01等級2UPS(BP.28.02)；BP.28.03等級3(BP.28.04)；(BP.28.05)等級4該等級的安全能力描述如下：技術(shù)工具：組織為互聯(lián)網(wǎng)應(yīng)用系統(tǒng)提供長期的備用電力供應(yīng)系統(tǒng)，該系統(tǒng)是獨立運行而不依賴外部電源的(BP.28.06)。等級5該等級的安全能力描述如下：聯(lián)網(wǎng)應(yīng)用系統(tǒng)能夠在主電源長期喪失的事故中，實現(xiàn)主備電源的智能切換，以維持其事故前的工作運行能力(BP.28.07)。PA29PA保護(hù)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)的外部運行環(huán)境，避免受到外部物理環(huán)境因素影響。等級1該等級的安全能力描述如下。BP.29.01(BP.29.02)；(BP.29.03)；BP.29.04等級2BP.29.05)；BP.29.06)；BP.29.07)；(BP.29.08)；(BP.29.09等級3(BP.29.10)；(BP.29.11)；使用滅火設(shè)備或系統(tǒng)，該設(shè)備或系統(tǒng)為組織和緊急事件處理人員提供任何激活操作的自動通知(BP.29.12)。等級4BP.29.13)；(BP.29.14)等級5(BP.29.15)；BP.29.16PA30PA分離互聯(lián)網(wǎng)應(yīng)用系統(tǒng)的開發(fā)、測試和生產(chǎn)環(huán)境，避免開發(fā)、測試環(huán)境中的安全風(fēng)險引入生產(chǎn)系統(tǒng)。等級1該等級的安全能力描述如下：制度流程：組織為開發(fā)和測試環(huán)境，維護(hù)一個基線配置(BP.30.01)。等級2BP.30.02)；BP.30.03等級3該等級的安全能力描述如下：技術(shù)工具：組織通過集中管控平臺對開發(fā)、測試和生產(chǎn)環(huán)境進(jìn)行集中統(tǒng)一管理(BP.30.04)。等級4該等級的安全能力描述如下：技術(shù)工具：組織對互聯(lián)網(wǎng)應(yīng)用系統(tǒng)分別提供獨立的開發(fā)、測試和生產(chǎn)環(huán)境(BP.30.05)。等級5該等級的安全能力描述如下：BP.30.06)。PA31PA建立針對互聯(lián)網(wǎng)應(yīng)用系統(tǒng)資產(chǎn)的有效技術(shù)手段，全方位感知組織內(nèi)部各廠區(qū)的設(shè)備資產(chǎn)(BP.31.01)。等級1該等級的安全能力描述如下：制度流程：組織僅根據(jù)特定需求或基于組織經(jīng)驗對互聯(lián)網(wǎng)應(yīng)用系統(tǒng)資產(chǎn)進(jìn)行感知(BP.31.02)。等級2該等級的安全能力描述如下：(BP.31.03)；應(yīng)用系統(tǒng)網(wǎng)絡(luò)中的資產(chǎn)，覆蓋組織關(guān)鍵資產(chǎn)，采集互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全運行狀態(tài)，生成資產(chǎn)清單(BP.31.04)。等級3該等級的安全能力描述如下：技術(shù)工具：針對互聯(lián)網(wǎng)應(yīng)用系統(tǒng)，以自動化技術(shù)手段，識別互聯(lián)網(wǎng)應(yīng)用系統(tǒng)網(wǎng)絡(luò)中重要互聯(lián)網(wǎng)應(yīng)用系統(tǒng)資產(chǎn)(BP.31.05)。等級4(BP.31.06)；BP.31.07等級5該等級的安全能力描述如下：技術(shù)工具：組織采用的資產(chǎn)感知技術(shù)，可識別組織中全部互聯(lián)網(wǎng)應(yīng)用系統(tǒng)專用協(xié)議，能夠智能構(gòu)建網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)(BP.31.08)；BP.31.09PA32PA建立互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全風(fēng)險監(jiān)測機(jī)制，防范組織內(nèi)部和外部的網(wǎng)絡(luò)安全風(fēng)險。等級1該等級的安全能力描述如下：制度流程：僅根據(jù)特定需求選擇相關(guān)安全機(jī)構(gòu)開展互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全風(fēng)險監(jiān)測服務(wù)(BP.32.01)。等級2BP.32.02)；在重要互聯(lián)網(wǎng)應(yīng)用系統(tǒng)網(wǎng)絡(luò)中部署具備應(yīng)用協(xié)議深度包檢測功能的監(jiān)測設(shè)備，審計違法操作(BP.32.03)。等級3(BP.32.04)；(BP.32.05等級4(BP.32.06)；BP.32.07等級5(BP.32.08)；(BP.32.09PA33PA建立互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全威脅預(yù)警機(jī)制，防范組織外部的網(wǎng)絡(luò)安全威脅。等級1該等級的安全能力描述如下：制度流程：組織僅根據(jù)特定需求或基于組織經(jīng)驗建立威脅預(yù)警機(jī)制(BP.33.01)。等級2該等級的安全能力描述如下：(BP.33.02等級3該等級的安全能力描述如下：人員能力：及時將國家級與省級互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全風(fēng)險預(yù)警平臺發(fā)布的重大安全風(fēng)險通知到具體業(yè)務(wù)負(fù)責(zé)人，在組織內(nèi)部開展針對重大安全風(fēng)險排查工作(BP.33.03)。等級4接入國家級或省級互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全相關(guān)監(jiān)測預(yù)警平臺，建立安全威脅報送與預(yù)警處置工作流程(BP.33.04)；(BP.33.05)；BP.33.06等級5該等級的安全防護(hù)能力應(yīng)不低于4級BP。PA34PA等級1該等級的安全能力描述如下：機(jī)構(gòu)建設(shè)：組織僅根據(jù)特定需求或基于組織經(jīng)驗制定互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全應(yīng)急預(yù)案(BP.34.01)。等級2BP.34.03)；應(yīng)急預(yù)案中包含：應(yīng)急預(yù)案恢復(fù)計劃、應(yīng)急響應(yīng)者的角色和職責(zé)、應(yīng)急響應(yīng)者人員清單及聯(lián)系信息等(BP.34.04)。等級3BP.34.05)；制定應(yīng)急預(yù)案培訓(xùn)計劃，并向具有相應(yīng)角色和職責(zé)的互聯(lián)網(wǎng)應(yīng)用系統(tǒng)用戶提供應(yīng)急培訓(xùn)(BP.34.06等級4該等級的安全能力描述如下。BP.34.07）(BP.34.08)；BP.34.09BP.34.10等級5BP.34.11)；BP.34.12)。PA35PA針對應(yīng)急預(yù)案開展應(yīng)急演練，保證應(yīng)急預(yù)案的有效性，建立互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全事件處理能力。等級1該等級的安全能力描述如下：機(jī)構(gòu)建設(shè)：組織僅根據(jù)特定需求或基于組織經(jīng)驗開展過至少一次互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全相關(guān)的應(yīng)急演練(BP.35.01)。等級2BP.35.02)；(BP.35.03)；(BP.35.04等級3(BP.35.05)；(BP.35.06)等級4該等級的安全能力描述如下：(BP.35.07(BP.35.09等級5該等級的安全能力描述如下：BP.35.10)；BP.35.11PA36PA建立組織互聯(lián)網(wǎng)應(yīng)用系統(tǒng)產(chǎn)品選型機(jī)制，防范產(chǎn)品供應(yīng)過程中的安全風(fēng)險。等級1該等級的安全能力描述如下：人員能力：組織僅根據(jù)特定需求或基于組織經(jīng)驗考慮互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全進(jìn)行產(chǎn)品選型工作(BP.36.01)。等級2BP.36.02)；(BP.36.03等級3該等級的安全能力描述如下：制度流程：組織在互聯(lián)網(wǎng)應(yīng)用系統(tǒng)選型上，基于利于維護(hù)等原則選擇設(shè)備和供應(yīng)商(BP.36.04)。等級4該等級的安全能力描述如下：BP.36.05等級5BP.36.06)；BP.36.07PA37PA建立組織互聯(lián)網(wǎng)應(yīng)用系統(tǒng)服務(wù)供應(yīng)商選擇機(jī)制，防范外部服務(wù)提供過程中的安全風(fēng)險。等級1該等級的安全能力描述如下：人員能力：組織僅根據(jù)特定需求或基于組織經(jīng)驗考慮互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全進(jìn)行供應(yīng)商選擇(BP.37.01)。等級2P.3.02全防護(hù)經(jīng)驗的企業(yè)或事業(yè)單位(BP.37.03)。等級3BP.37.04)；(BP.37.05等級4(BP.37.06)；BP.37.07)；組織強(qiáng)化采購渠道安全管理，從多個國家或地區(qū)獲得互聯(lián)網(wǎng)應(yīng)用系統(tǒng)及設(shè)備，確保來源具有多樣性(BP.37.08)。等級5該等級的安全防護(hù)能力應(yīng)不低于4級BP。PA38PA建立組織的互聯(lián)網(wǎng)應(yīng)用系統(tǒng)供應(yīng)鏈采購和交付策略，防范產(chǎn)品和服務(wù)交付過程中的安全風(fēng)險。等級1該等級的安全能力描述如下：人員能力：組織僅根據(jù)特定需求或基于組織經(jīng)驗對供應(yīng)商交付能力進(jìn)行鑒別(BP.38.01)。等級2求(BP.38.02)；運行說明、與管理功能有關(guān)的配置和使用方面的注意事項、對用戶安全責(zé)任和注意事項的說明等(BP.38.03)；BP.38.04)。等級3(BP.38.05)；BP.38.06)；BP.38.07)。等級4該等級的安全能力描述如下：機(jī)構(gòu)建設(shè)：(BP.38.08)；BP.38.09)。等級5BP.38.10)；如RFID等、GPS定位、APP(BP.38.11)PA39PA建立互聯(lián)網(wǎng)應(yīng)用系統(tǒng)采購合同協(xié)議控制機(jī)制，明確安全條款，防范敏感信息泄露。等級1該等級的安全能力描述如下：人員能力：組織僅根據(jù)特定需求或基于組織經(jīng)驗對合同協(xié)議的安全保密條款進(jìn)行控制(BP.39.01)。等級2組織與供應(yīng)商簽訂產(chǎn)品和服務(wù)采購協(xié)議，并體現(xiàn)產(chǎn)品和服務(wù)安全保障、保密和驗收準(zhǔn)則等內(nèi)容(BP.39.02)；(BP.39.03)等級3(BP.39.04)；BP.39.05等級4該等級的安全防護(hù)能力應(yīng)不低于3級BP。等級5該等級的安全防護(hù)能力應(yīng)不低于4級BP。PA40PA建立互聯(lián)網(wǎng)應(yīng)用系統(tǒng)軟件源代碼審計機(jī)制，防范開源代碼等安全和合規(guī)風(fēng)險。等級1該等級的安全能力描述如下：制度流程：不在互聯(lián)網(wǎng)應(yīng)用系統(tǒng)相關(guān)應(yīng)用程序中使用開源、受限制的或無認(rèn)證源代碼源的可執(zhí)行代碼(BP.40.01)。等級2該等級的安全能力描述如下：制度流程：組織制定相關(guān)管理制度，明確規(guī)定在部署運行應(yīng)用程序前，對其源代碼進(jìn)行安全性測試(BP.40.02)。等級3該等級的安全能力描述如下：技術(shù)工具：對于定制軟件和應(yīng)用程序的脆弱性進(jìn)行分析，開展源代碼評審、分析、漏洞挖掘等工作，包括但不限于SQL注入、文件操作（上傳/寫入/讀取/刪除）、文件包含、命令執(zhí)行、XSS、Cookie欺騙、邏輯漏洞等