涉密计算机和信息系统应当制定文档化的安全保密策略，并根据环境、系统和威胁变化情况及时调整更新；应当定期形成文档化的安全保密审计报告；每6个月根据系统综合日志，进行一次风险自评估，形成文档化的风险分析报告，对存在的风险应当及时采取补救措施。
1、单位应制定文档化的涉密计算机和信息系统安全策略文件，明确实施安全策略的设备、资源和人员，确定系统配置管理权限的划分和变更流程。
（1）安全策略是一种处理安全问题管理策略的描述。策略需要对一个安全主题进行描述，探讨其必要性和重要性，解释清楚什么该做什么不该做。
（2）涉密信息系统安全策略文件一般应包括：物理安全策略、运行管理策略、信息安全策略、备份与恢复策略、应急计划和响应策略、计算机病毒与恶意代码防护策略、身份鉴别策略、访问控制策略、信息完整性保护策略、安全审计策略等。单台涉密计算机可依据实际要求进行调整。
（3）安全策略文件应有单位保密委员会负责人批准后下发正式文件，并通过教育和培训，传达给涉密计算机和信息系统的全体管理和使用人员，确保安全策略文件的各项要求在涉密计算机和信息系统的安全保密管理工作中得到正确执行。
（4）应当根据环境、系统和威胁变化情况及时调整更新安全策略。原则上，当涉密计算机和信息系统的物理环境发生重大改变、软硬件结构发生较大变化、出现新的信息安全威胁时，应当调整安全策略。调整应当依据风险分析结果，以不降低涉密计算机和信息系统整体安全保密强度，确保国家秘密安全为原则。
2、单位信息化管理部门应定期形成文档化的安全保密审计报告。安全保密审计报告是依据涉密计算机和信息系统的安全审计策略，通过对可审计事件、异常事件和行为进行统计分析，形成的综合性报告。保密工作机构应根据安全保密审计报告的内容掌握涉密计算机和信息系统的管理、运行和维护情况。
3、单位应根据综合审计日志，定期对涉密计算机和信息系统进行风险自评估，形成文档化的风险评估报告，制定整改措施并予以实施。
（1）风险自评估由信息系统管理使用单位自己组织进行或委托有涉密信息系统风险评估资质的第三方单位进行。
（2）应根据风险自评估的结果，生成风险评估报告，并提出需要补充、完善的安全措施建议。风险评估过程中形成的记录、文档、资料以及最终报告应当归档，妥善保管。
（3）应根据风险评估报告调整信息系统的安全保密策略，及时补充完善技术与管理措施，使涉密计算机和信息系统保持与涉密等级要求相一致的安全管理水平。
备注：2、3级《标准》要求每12个月根据系统综合日志，进行1次风险自评估，形成文档化的风险分析报告，对存在的风险应及时采取补救措施。

【金标准顾问机构  民参军指导专家】