9.5 第五級 訪問驗證保護級

9.5.1　工程目標和范圍

目標：在這一級別應基于組織的目標針對過程有效性和效率建立量化執行指標，通過已定義過程和新概念、新技術的量化反饋來保證對實現這些目標的過程進行連續改進。
范圍：除滿足第四級的要求外，組織的全面安全計劃應成為組織文化的有機組成部分，保證具有持續完善的工程過程管理、項目過程管理和組織保證管理，并對計算機信息系統安全實施全面的質量管理，能夠利用歷史資料和使用模型對工程進行優化；
保證計算機信息系統安全保護等級達到GB/T AAAA-200X中6.5、GB/T BBBB-200X中5.5的要求。

9.5.2　資格保證要求

滿足下列關鍵資格保證要求子項的目標：
a)國家主管部門認可的集成資質(見5.1)；
b)國家主管部門認可的服務人員資質(見5.2)；
c)國家主管部門認可的服務單位資質(見5.3)；
d)信息安全產品應具有在國內生產、經營、銷售的許可證，并符合相應的等級(見5.4)；
e)應具備信息安全系統建設工程實施監理管理制度（見5.5.1）；
f)系統聘請專業監理公司，且監理公司具有國家主管部門認可監理資質證書（見5.5.2）；
g)系統符合國家相關的法律、法規和政策(見5.6)。

9.5.3　組織保證要求

在這個級別上，應基于組織的目標針對過程有效性和效率建立量化執行目標；通過執行已定義過程新概念、新技術的量化反饋來保證對實現這些目標的過程進行連續改進；除滿足第四級的要求外，還應要求組織的全面安全計劃成為組織文化的有機組成部分；保證具有持續完善的組織保證管理，并對計算機信息系統安全實施全面的質量管理；安全組織保證過程中6個要求項的過程應完整、明確，除完全達到每個要求項的所有要求外，所有要求項中的要求子項應完整并滿足要求，也就是在滿足第四級的組織保證基礎上，還應滿足下列要求子項的要求并且能與歷史資料進行對比，利用模型進行優化：
a)規劃過程改進（見6.2.3）；
b)定義產品演化（見6.3.2）；
c)標識新生產技術（見6.3.3）；
d)適應開發過程（見6.3.4）；
e)剪裁系統工程支持環境（見6.4.5）；
f)插入新技術（見6.4.6）。

9.5.4　工程實施要求

在這個級別上，應基于組織的目標針對過程有效性和效率建立量化執行目標；通過執行已定義過程和新概念、新技術的量化反饋來保證對實現這些目標的過程進行連續改進；除滿足第四級的要求外，要求組織的全面安全計劃應成為組織文化的有機組成部分；保證具有持續完善的工程實施管理，并對計算機信息系統安全實施全面的質量管理；工程實施要求中11個要求項的過程應完整、明確，要完全達到每個要求項的所有要求，所有要求項中的要求子項也應完整并滿足要求，要求項和要求子項能夠根據組織的特點進行添加與升級，并且能與歷史資料進行對比，利用模型進行優化。

9.5.5　項目實施要求

在這個級別上，應基于組織的應用目標針對過程有效性和效率建立量化執行目標；通過執行已定義過程和有創建的新概念、新技術的量化反饋來保證對這些目標進行連續過程改進；除滿足第四級的要求外，要求組織的全面安全計劃成為組織文化的有機組成部分；保證具有持續完善的項目過程管理，并對計算機信息系統安全實施全面的質量管理保證體系；項目實施要求中5個要求項的過程應完整、明確，除完全達到每個要求項的所有要求外，所有要求項中的要求子項應完整并滿足要求；要求項和要求子項能夠根據組織的特點進行添加與升級，以及能與歷史資料進行對比，利用模型對資料進行優化。