9.2 第二級 系統審計保護級

9.2.1　工程目標和范圍

目標：在這一級別，資格保證要求滿足，組織保證、工程實施和項目實施的基本要求項是經過計劃并被跟蹤。
范圍：應驗證特定步驟的執行工作產品應符合指定的標準和需求；測量用于跟蹤要求項的執行情況；組織能夠基于實際執行活動進行管理；本級別除去對基本要求項的要求外，還對要求項中的要求子項提出了特別要求；
保證計算機信息系統安全保護等級達到GB/T AAAA-200X中6.2、GB/T BBBB-200X中5.2的要求。

9.2.2　資格保證要求

資格保證要求滿足下列5個要求項：
a)國家主管部門認可的集成資質(見5.1)；
b)國家主管部門認可的服務人員資質(見5.2)；
c)國家主管部門認可的服務單位資質(見5.3)；
d)信息安全產品應具有在國內生產、經營、銷售的許可證，并符合相應的等級(見5.4)；
e)系統符合國家相關的法律、法規和政策(見5.6)。

9.2.3　組織保證要求

組織保證基本要求項是經計劃并被跟蹤。應驗證特定步驟的執行；工作產品應符合指定的標準和需求；測量用于跟蹤要求項的執行情況；組織能夠基于實際執行活動進行管理；本級別除去對組織保證要求中6個要求項的過程完整、明確，除完全達到每個要求項的要求外，還對下列要求項中的要求子項提出了特別要求。
a)定義剪裁指南（見6.1.4）；
b)評定過程（見6.2.2）；
c)監視系統工程支持環境（見6.4.7）；
d)確定培訓要求（見6.5.1）；
e)評估培訓的有效性（見6.5.6）；
f)維護培訓材料（見6.5.8）；
g)確定系統的組件或服務（見6.6.1）；
h)選擇供應商或銷售商（見6.6.3）；
i)提供期望（見6.6.4）。

9.2.4　工程實施要求

工程實施基本要求項經計劃并被跟蹤。應驗證特定步驟的執行；工作產品應符合指定的標準和需求；測量用于跟蹤要求項的執行情況；工程實施能夠基于實際執行活動進行管理。本級別除去對安全工程實施中11個要求項過程完整、明確，除完全達到每個要求項的要求外，還對下列要求項中的要求子項提出了特別要求。
a)管理安全服務及控制機制（見7.1.5）；
b)監視影響（見7.2.7）；
c)監視安全風險及其特征（見7.3.7）；
d)監視威脅及其特征（見7.4.7）；
e)監視脆弱性及其特征（見7.5.6）；
f)控制保證證據（見7.6.4）；
g)提供保證論據（見7.6.6）；
h)分析事件記錄（見7.8.3）；
i)監視變化（見7.8.4）；
j)監視安全防護措施（見7.8.5）；
k)檢查安全態勢（見7.8.6）；
l)管理安全突發事件響應（見7.8.7）；
m)保護安全監視的記錄數據（見7.8.8）；
n)標識安全選項（見7.9.4）；
o)標識可用的法律、策略和約束（見7.10.3）；
p)定義安全相關需求（見7.10.7）；
q)確定驗證和確認的目標（見7.11.2）；
r)定義驗證和確認方法（見7.11.3）；
s)執行驗證（見7.11.4）；
t)執行證實（見7.11.5）；
u)提供驗證和確認的結果（見7.11.6）。

9.2.5　項目實施要求

項目實施基本要求項是經計劃并被跟蹤的。應驗證特定步驟的執行；工作產品應符合指定的標準和需求；測量用于跟蹤要求項的執行情況；項目實施能夠基于實際執行活動進行管理。本級別除去對安全項目實施中5個要求項過程完整、明確，除完全達到每個要求項的要求外，還對下列要求項中的要求子項提出了特別要求。
a)監視所定義過程的一致性（見8.1.2）；
b)測量工作產品的質量（見8.1.3）；
c)測量過程質量（見8.1.4）；
d)分析質量測量（見8.1.5）；
e)檢測修正行為要求（見8.1.8）；
f)標識項目風險（見8.3.3）；
g)評估項目風險（見8.3.4）；
h)評審項目風險評估（見8.3.5）；
i)執行風險降低活動（見8.3.6）；
j)跟蹤風險降低活動（見8.3.7）；
k)跟蹤項目資源（見8.4.3）；
l)跟蹤技術參數（見8.4.4）；
m)評審項目執行（見8.4.5）；
n)采取修正行動（見8.4.7）；
o)設立技術參數（見8.5.9）；
p)評審并認可工程計劃（見8.5.11）。