9.3 第三級 安全標記保護級

9.3.1　工程目標和范圍
目標：在這一級別，要求滿足資格保證要求；組織保證、工程實施和項目實施按照充分定義的過程執行（充分定義的過程是依據對文檔化的標準過程進行裁剪并經批準的過程）；
范圍：本級別利用組織范圍內的過程標準來管理和規劃，在實現第二級工程管理目標的基礎上，要求對需求方、系統資源和工程過程進行規范記錄，對要求和文檔清單建立健全的一系列安全管理制度，實現制度化管理。
保證計算機信息系統安全保護等級達到GB/T AAAA-200X中6.3、GB/T BBBB-200X中5.3的要求。
9.3.2　資格保證要求
滿足下列資格清單要求子項的目標：
a)國家主管部門認可的集成資質(見5.1)；
b)國家主管部門認可的服務人員資質(見5.2)；
c)國家主管部門認可的服務單位資質(見5.3)；
d)信息安全產品應具有在國內生產、經營、銷售的許可證，并符合相應的等級(見5.4)；
e)應具備信息安全系統建設工程實施監理管理制度（見5.5.1）；
f)系統聘請專業監理公司，且監理公司具有國家主管部門認可監理資質證書（見5.5.2）；
g)系統符合國家相關的法律、法規和政策(見5.6)。
9.3.3　組織保證要求
在這一級別，組織保證按照充分定義的過程執行，充分定義的過程是依據對文檔化的標準過程進行裁剪并經批準的過程版本；本級別利用組織范圍內的過程標準來管理和規劃，在實現第二級工程管理目標的基礎上，要求實現制度化管理。
除滿足二級組織保證要求項外還應滿足下列要求子項的目標并規范化、制度化管理：
a)收集過程資產（見6.1.3）；
b)開發組織的系統工程過程（見6.1.4）；
c)溝通過程改進（見6.2.5）；
d)確保關鍵組件的可用性（見6.3.5）；
e)插入產品技術（見6.3.6）；
f)維持技術認識（見6.4.2）；
g)確定支持需求（見6.4.3）；
h)確保技能和知識的可用性（見6.5.4）；
i)準備培訓材料（見6.5.5）；
j)培訓人員（見6.5.6）；
k)維護培訓記錄（見6.5.8）；
l)確定勝任的供應商或銷售商（見6.6.3）；
m)維持溝通（見6.6.6）。
9.3.4　工程實施要求
在這一級別，工程實施按照充分定義的過程執行，充分定義的過程是依據對文檔化的標準過程進行裁剪并經批準的過程；利用組織范圍內的過程標準來管理和規劃，在達到第二級工程管理目標的基礎上，要求對需求方、系統資源和工程過程進行規范記錄，建立健全一系列的安全管理制度，實現制度化管理。除滿足二級所有要求項和要求子項外，還應滿足下列子項的要求并實現規范化、制度化管理：
a)建立安全職責（見7.1.2）；
b)管理安全配置（見7.1.3）；
c)管理安全意識、培訓和教育大綱（見7.1.4）；
d)對影響進行優先級排列（見7.2.2）；
e)標識系統資產（見7.2.3）；
f)選擇影響的度量（見7.2.4）；
g)標識度量關系（見7.2.5）；
h)標識和特征化影響（見7.2.6）；
i)標識安全風險（見7.3.3）；
j)評估安全風險（見7.3.4）；
k)評估總體不確定性（見7.3.5）；
l)標識自然威脅（見7.4.2）；
m)標識人為威脅（見7.4.3）；
n)標識威脅的測量尺度（見7.4.4）；
o)評估威脅影響的效果（見7.4.5）；
p)評估威脅的可能性（見7.4.6）；
q)標識脆弱性（見7.5.3）；
r)收集脆弱性數據（見7.5.4）；
s)促進協調（見7.7.4）；
t)分析工程選項的安全性（見7.9.5）；
u)提供安全工程指南（見7.9.6）；
v)標識系統安全關聯性（見7.10.4）。
9.3.5　項目實施要求
在這一級別，項目實施按照充分定義的過程執行，充分定義的過程是依據對文檔化的標準過程進行裁剪并經批準的過程；本級別利用組織范圍內的過程標準來管理和規劃，在實現第二級項目管理目標的基礎上，要求對需求方、系統資源和工程過程進行規范記錄，建立健全一系列的安全管理制度，實現制度化管理。除滿足二級所有要求項外，還應滿足下列要求子項的要求并規范化、制度化管理：
a)發起改進質量的活動（見8.1.7）；
b)確定配置單元（見8.2.3）；
c)控制變化（見8.2.5）；
d)溝通配置狀況（見8.2.6）；
e)分析項目問題（見8.4.6）；
f)標識關鍵資源（見8.5.2）；
g)估計項目范圍（見8.5.3）；
h)開發項目進度表（見8.5.8）；