9.4 第四級 結構化保護級

9.4.1　工程目標和范圍

目標：在這一級別，要求滿足更高一級的資格保證要求；通過有效的控制手段將安全工程過程、安全項目過程和組織保證過程的有效性程序化、周期化。
范圍：在達到第三級管理目標的基礎上，要求計算機信息系統的使用單位能夠使用有效的控制手段對各項要求和文檔清單進行管理。
保證計算機信息系統安全保護等級達到GB/T AAAA-200X中6.4、GB/T BBBB-200X中5.4的要求。

9.4.2　資格保證要求

滿足下列要求子項的資格目標要求：
a)國家主管部門認可的集成資質(見5.1)；
b)國家主管部門認可的服務人員資質(見5.2)；
c)國家主管部門認可的服務單位資質(見5.3)；
d)信息安全產品應具有在國內生產、經營、銷售的許可證，并符合相應的等級(見5.4)；
e)應具備信息安全系統建設工程實施監理管理制度（見5.5.1）；
f)系統聘請專業監理公司，且監理公司具有國家主管部門認可監理資質證書（見5.5.2）；
g)系統符合國家相關的法律、法規和政策(見5.6)。

9.4.3　組織保證要求

組織保證要求項中下列5個過程完整，在文檔清單要求中除了滿足第三級要求外，還應滿足下列文檔清單的要求，且所有文檔清單的描述應完整、全面，文檔化管理應能夠與日常運行和歷史資料進行對比，能夠使用有效的控制手段對要求和文檔清單進行過程管理。
a)制定過程目標（見6.1.2）；
b)改變標準過程（見6.2.4）；
c)獲得系統工程支持環境（見6.4.4）；
d)維護環境（見6.4.7）；
e)選擇知識或技能的獲取模式（見6.5.3）。

9.4.4　工程實施要求

安全工程中11個要求項的過程完整、明確，完全達到每個要求項的目標、概述要求，所有要求子項提供的證據材料應完整、全面，文檔化管理應能夠與日常運行和歷史資料進行對比，能使用有效的控制手段對要求和要求子項進行過程管理。
a)標識安全風險（見7.3.3）；
b)安全風險優先級排列（見7.3.6）；
c)選擇脆弱性分析方法（見7.5.2）；
d)綜合系統脆弱性（見7.5.5）；
e)標識保證目標（見7.6.2）；
f)控制保證證據（見7.6.4）；
g)定義協調目標（見7.7.2）；
h)促進協調（見7.7.4）；
i)理解安全輸入要求（見7.9.2）；
j)提供安全工程指南（見7.9.6）；
k)標識系統安全關聯性（見7.10.4）；
l)獲取系統運行的安全思想（見7.10.5）；
m)定義安全相關需求（見7.10.7）；
n)提供驗證和確認的結果（見7.11.6）。

9.4.5　項目實施要求

項目過程中5個要求項的過程完整、明確，除完全達到每個要求項的所有要求外，所有要求子項提供的證據材料應完整、全面，文檔化管理應能夠與日常運行和歷史資料進行對比，能使用有效的控制手段對要求和要求子項進行過程管理。
a)參與質量活動（見8.1.6）；
b)建立配置管理方法（見8.2.2）；
c)維護工作產品基線（見8.2.4）；
d)制定項目風險管理方法（見8.3.2）；
e)指導技術活動（見8.4.2）；
f)估算項目費用（見8.5.4）；
g)確定工程過程（見8.5.5）；
h)確定技術活動（見8.5.6）；
i)定義項目界面（見8.5.7）。