a）应定期对各个岗位的人员进行安全技能及安全认知的考核;

b)应对关键岗位的人员进行全面、严格的安全审查和技能考核;

c）应对考核结果进行记录并保存。

7。2.3。4安全意识教育和培训（G3)

本项要求包括:

a）应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训；

b）应对安全责任和惩戒措施进行书面规定并告知相关人员，对违反违背安全策略和规定的人员进行惩戒；

c)应对定期安全教育和培训进行书面规定,针对不同岗位制定不同的培训计划,对信息安全基础知识、岗位操作规程等进行培训;

d）应对安全教育和培训的情况和结果进行记录并归档保存。

7.2。3。5外部人员访问管理(G3)

本项要求包括：

a）应确保在外部人员访问受控区域前先提出书面申请，批准后由专人全程陪同或监督，并登记备案;

b)对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定,并按照规定执行。

7.2.4系统建设管理

7.2.4。1系统定级（G3)

本项要求包括:

a)应明确信息系统的边界和安全保护等级；

b)应以书面的形式说明确定信息系统为某个安全保护等级的方法和理由;

c)应组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定；

d)应确保信息系统的定级结果经过相关部门的批准。

7。2。4.2安全方案设计（G3）

本项要求包括:

a)应根据系统的安全保护等级选择基本安全措施，并依据风险分析的结果补充和调整安全措施；

b)应指定和授权专门的部门对信息系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划；

c)应根据信息系统的等级划分情况，统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件；

d）应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定，并且经过批准后,才能正式实施；

e）应根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。

7.2。4。3产品采购和使用(G3）

本项要求包括:

a）应确保安全产品采购和使用符合国家的有关规定;

b）应确保密码产品采购和使用符合国家密码主管部门的要求;

c)应指定或授权专门的部门负责产品的采购；

d)应预先对产品进行选型测试，确定产品的候选范围，并定期审定和更新候选产品名单。

7。2.4。4自行软件开发（G3)

本项要求包括:

a)应确保开发环境与实际运行环境物理分开，开发人员和测试人员分离，测试数据和测试结果受到控制；

b）应制定软件开发管理制度，明确说明开发过程的控制方法和人员行为准则;

c）应制定代码编写安全规范，要求开发人员参照规范编写代码;

d)应确保提供软件设计的相关文档和使用指南，并由专人负责保管；

e）应确保对程序资源库的修改、更新、发布进行授权和批准。