8.5　安全自查和持續改進

8.5　安全自查和持續改進

8.5.1　安全狀態自查

活動目標：
本活動的主要目標是通過對等級保護對象的安全狀態進行自查，為等級保護對象的持續改進過程提供依據和建議，確保等級保護對象的安全保護能力滿足相應等級安全要求。關于等級測評見8.7，關于監督檢查見8.8。
參與角色：運營、使用單位。
活動輸入：等級保護對象詳細描述文件，變更結果報告，安全狀態分析報告。
活動描述：
本活動主要包括以下子活動內容：
a) 確定自查對象和自查方法
確定檢查的對象和方法，確定本次安全自查的范圍及安全自查工具、調研表格等。
b) 制定自查計劃和自查方案
確定自查工作的角色和職責，確定自查工作的方法，成立安全自查工作組。制定安全自查工作計劃和安全自查方案，說明安全自查的范圍、對象、工作方法等，準備安全自查需要的各類表單和工具。
c) 安全自查實施
根據安全自查計劃，通過詢問、檢查和測試等多種手段，進行安全狀況自查，記錄各種自查活動的結果數據，分析安全措施的有效性、安全事件產生的可能性和定級對象的實際改進需求等。
d) 安全自查結果和報告
總結安全自查的結果，提出改進的的建議，并產生安全自查報告。將安全自查過程的各類文檔、資料歸檔保存。

8.5.2　改進方案制定

活動目標：
本活動的主要目標是依據安全檢查的結果，調整等級保護對象的安全狀態，保證等級保護對象安全防護的有效性。
參與角色：運營、使用單位。
活動輸入：安全自查報告。
活動描述：
本活動主要包括以下子活動內容：
a) 安全改進的立項
根據安全檢查結果確定安全改進的策略，如果涉及安全保護等級的變化，則應進入安全保護等級保護實施的一個新的循環過程；如果安全保護等級不變，但是調整內容較多、涉及范圍較大，則應對安全改進項目進行立項，重新開始安全實施/實現過程，參見第7章；如果調整內容較小，則可以直接進行安全改進實施。
b) 制定安全改進方案
確定安全改進的工作方法、工作內容、人員分工、時間計劃等，制定安全改進方案。安全改進方案只適用于小范圍內的安全改進，如安全加固、配置加強、系統補丁等。

8.5.3　安全改進實施

活動目標：
本活動的目標是保證按照安全改進方案實現各項補充安全措施，并確保原有的技術措施和管理措施與各項補充的安全措施一致有效地工作。
參與角色：運營、使用單位。
活動輸入：安全改進方案。
活動描述：
本活動主要包括以下子活動內容：
a) 安全方案實施控制
見7.4.3。
b) 安全措施測試與驗收
見7.3.4。
c) 配套技術文件和管理制度的修訂
按照安全改進方案實施和落實各項補充的安全措施后，要調整和修訂各類相關的技術文件和管理制度，保證原有體系完整性和一致性。