9.1 第一級 用戶自主保護級

9.1.1　工程目標和范圍

目標：在這一級別，要求滿足資格保證的基本要求項，應基本達到組織保證、工程實施和項目實施的基本要求項。此級別組織內的個人可標識出一個行動應被執行，并同意這個行動會在需要時執行。
范圍：這個級別應該制定安全工程計劃，明確計算機信息系統的安全目標和安全范圍并經組織內或具有所有權單位的主管領導批準。
保證計算機信息系統安全保護等級達到GB/T AAAA-200X中6.1、GB/T BBBB-200X中5.1的要求。

9.1.2　資格保證要求

資格保證要求滿足下列2個基本要求項
a)信息安全產品應具有在國內生產、經營、銷售的許可證，并符合相應的等級(見5.4)；
b)系統應符合國家相關的法律、法規和政策（見5.6）；

9.1.3　組織保證要求

組織保證過程中下列6個要求項的過程應完整、明確，應基本達到每個要求項的目標；此級別組織內的個人可標識出一個行動應被執行，并同意這個行動會在需要時執行。
a)定義組織的系統工程過程(見6.1.1)；
b)改進組織的系統工程過程(見6.2.1)；
c)管理系列產品演化(見6.3.1)；
d)管理系統工程支持環境(見6.4.1)；
e)提供不斷發展的技能和知識(見6.5.1)；
f)與供應商協調(見6.6.1)。

9.1.4　工程實施要求

安全工程中11個要求項的過程完整、明確，應基本達到每個要求項的目標；組織內的個人可標識出一個行動應被執行，并同意這個行動會在需要時執行。
a)管理安全控制(見7.1.1)；
b)評估影響(見7.2.1)；
c)評估安全風險(見7.3.1)；
d)評估威脅(見7.4.1)；
e)評估脆弱性(見7.5.1)；
f)建立保證論據(見7.6.1)；
g)協調安全(見7.7.1)；
h)監視安全態勢(見7.8.1)；
i)提供安全輸入(見7.9.1)；
j)指定安全要求(見7.10.1)；
k)驗證和確認安全性(見7.11.1)；

9.1.5　項目實施要求

安全項目過程中下列5個要求項的過程完整、明確，應基本達到每個要求項的目標；組織內的個人可標識出一個行動應被執行，并同意這個行動會在需要時執行。
a)質量保證(見8.1.1)；
b)管理配置(見8.2.1)；
c)管理項目風險(見8.3.1)；
d)監視技術活動(見8.4.1)；
e)計劃技術活動(見8.5.1)；