A、應明確信息系統(tǒng)的邊界和安全保護等級。
B、應以書面的形式說明確定信息系統(tǒng)為某個安全保護等級的方法和理由。
C、應組織相關(guān)部門和有關(guān)安全技術(shù)專家對信息系統(tǒng)定級結(jié)果的合理性和正確性進行論證和審定。
D、應確保信息系統(tǒng)的定級結(jié)果經(jīng)過相關(guān)部門的批準。

A、應制定信息安全工作的總體方針和安全策略，說明機構(gòu)安全工作的總體目標、范圍、原則和安全框架等；
B、應對安全管理活動中的各類管理內(nèi)容建立安全管理制度；
C、應對要求管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程；
D、應形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系。

A.應指定或授權(quán)專門的部門或人員負責人員錄用。
B.應嚴格規(guī)范人員錄用過程，對被錄用人的身份、背景、專業(yè)資格和資質(zhì)等進行審查，對其所具有的技術(shù)技能進行考核。
C.應簽署保密協(xié)議。
D.可從所有人員中選拔從事關(guān)鍵崗位的人員，并簽署崗位安全協(xié)議。

A、應能夠?qū)σ粋€時間段內(nèi)可能的并發(fā)會話連接數(shù)進行限制。
B、應能夠?qū)σ粋€訪問帳戶或一個請求進程占用的資源分配最大限額和最小限額。
C、應能夠?qū)ο到y(tǒng)服務水平降低到預先規(guī)定的最小值進行檢測和報警。
D、應提供服務優(yōu)先級設定功能，并在安裝后根據(jù)安全策略設定訪問帳戶或請求進程的優(yōu)先級，根據(jù)優(yōu)先級分配系統(tǒng)資源。

A、應對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別；
B、應提供用戶身份標識唯一和鑒別信息復雜度檢查功能，保證應用系統(tǒng)中不存在重復用戶身份標識，身份鑒別信息不易被冒用；
C、應提供登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；
D、應啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)。