项目及信息系统建设管理系统规章制度

1、«*单位安全管理制度汇编项目与信息系统建设管理制度编制说明2第一章总如此2第二章安全要求3第一节项目建设安全管理的总体要求 3第二节项目申报安全管理标准 4第三节系统定级管理6第四节方案论证和审批安全管理标准6第五节 项目实施方案和实施过程安全管理标准7第六节安全方案设计管理 10 第七节产品采购和使用管理10第八节自行软件开发管理 11 第九节夕卜包软件开发管理 11 第十节工程实施管理12 第十一节测试验收管理12 第十二节系统交付管理13 第十三节系统备案管理13 第十四节等级测评管理13 第十五节安全服务商选择管理14第十六节 项目验收与投产安全管理标准15第三章评估和论证安

2、全管理 18第四章附如此19第一节文挡信息19 第二节版本控制19 第三节其他信息19文件名称项目与信息系统建设管理管理制度密级内部文件编号版本号编写部门网络室编写人审批人发布时间2010-8-29编制说明为进一步贯彻党中央和国务院批准的国家信息化领导小组关于加强信 息安全保障工作的意见与其“重点保护根底信息网络和重要信息系统安全 的思想、贯彻信息产业部“积极预防、与时发现、快速反响、确保恢复的 方针和“同步规划、同步建设、同步运行的要求，特制定本制度。本制度依据我国信息安全的有关法律法规，结合*单位的自身业务特点、并参考国际有关信息安全标准制定的。*单位安全管理制度汇编项目与信息系统建设管理

3、制度，是针对所 有IT建设项目，主要用于在IT项目立项过程中安全局部的方案规划、评估 和安全管理。第一章总如此第一条 制度目标：为了加强*单位信息安全保障能力，建立健全的安全 管理体系，提高整体的网络与信息安全水平，保证网络通信畅通和业务系统的正 常运营，提高网络服务质量，在安全体系框架下，本制度旨在提高IT项目信息安全建设质量，加强IT项目建设安全管理工作。第二条 适用X围：本制度适用于所有TCP/IP网络IT建设项目，主要用于 IT项目立项过程中方案设计、规划的安全要求参考。第三条 使用人员与角色职责：本制度适用于全体人员。第二章安全要求第一节项目建设安全管理的总体要求第四条 项目建设安全

4、管理目标一个项目的生命周期包括：项目申报、项目审批和立项、项目实施、项目 验收和投产；从项目建设的角度来看，这些生命周期的阶段如此包括以下 子阶段：需求分析、总体方案设计、概要设计、详细设计、系统实施、系统测试和试运行，如下表所示项目管理生命周期项目申报系统定级 需求分析 总体方案设计项目审批和立项项目实施概要设计、详细设计、系统实施项目验收和投产系统测试、试运行和投产项目建设安全管理的目标就是保证整个项目管理和建设过程中系统的安全。为了达到这个目标，信息安全INFOSEC必须融合在项目管理和项 目建设过程中，与组织的业务需求、环境要求、项目计划、本钱效益以与 国家和地方的政策、标准、指令相一

5、致。这种融合应该产生一个信息系统 安全工程ISSE项目，它要确认、评估、并且消除或控制住系统对或假 定的威胁的脆弱点，最终得到一个可以承受水平的安全风险。第五条 项目建设安全管理原如此信息建设项目建设安全管理应遵循如下原如此：（一）全生命周期安全管理：信息安全管理必须贯穿信息系统建设项目 建设的整个生命周期；（二）本钱-效益分析：进展信息安全建设和管理应考虑投入产出比；（三）明确职责：每个参与项目建设和项目管理的人员都应该明确安全 职责，应进展安全意识和职责培训，并落实到位；（四）管理公开：应保证每个项目参与人员都知晓和理解安全管理的模 式和方法；（五）科学制衡：进展适当的职责别离，将业务的不

6、同责任分配给不同 的责任人；（六）最小特权：人员对项目资产的访问权限制到最低限度，即仅赋予 其执行授权任务所必需的权限。第六条 项目建设安全管理要求项目安全管理工作由信息安全管理部门负责， 在项目的申报、审批、立项、实施、 验收等关键环节中，必须有信息安全管理部门的参与和评审意见。 应在项目规划 中明确信息安全责任、义务与管理程序。第二节项目申报安全管理标准项目申报阶段应对信息系统建设项目各个环节进展统一的安全管理规划，确定项目的等级保护系统保护级别、安全需求、安全目标、安全建设方案，以与生 命周期各阶段的安全需求、安全目标、安全管理措施。由项目开发单位协同用户单位进展项目需求分析、确定总体目

7、标和建设方 案。第七条挖掘安全需求在需求分析报告中除了描述系统业务需求之外，还应进展系统的安全 性需求分析，应尽可能包括以下信息安全方面的内容：（一）等级保护等级：从信息系统自身对于国家、社会公共秩序、法人 与其它合法权益的侵害与侵害程度，判别系统的等级保护级别。（二）安全威胁分析报告：应分析待建计算机系统在生命周期的各个阶 段中可能遭受的自然威胁或者人为威胁故意或无意，具体包括威 胁列表、威胁可能性分析、威胁严重性分析等；（三）系统脆弱性分析报告：包括对系统造成问题的脆弱性的定性或定 量的描述，这些问题是被攻击的可能性、被攻击成功的可能性；（四）影响分析报告：描述威胁利用系统脆弱性可能导致不

8、良影响。影 响可能是有形的，例如资金的损失或收益的减少，或可能是无形的，例如声誉和信誉的损失；（五）风险分析报告：安全风险分析的目的在于识别出一个给定环境中 涉与到对某一系统有依赖关系的安全风险。它取决于上面的威胁 分析、脆弱性分析和影响分析，应提供风险清单以与风险优先级 列表；（六）系统安全需求报告：针对安全风险，应提出安全需求，对于每个 不可承受的安全风险，都至少有一个安全需求与其对应。第八条安全可行性在信息系统建设项目可行性研究报告 的以下条目中应增加相应的信息 安全方面的内容：（一）项目目标、主要内容与关键技术：增加信息系统建设项目的总体 安全目标，并在主要内容后面增加针对前面分析出的

9、安全需求所提 出的相应安全对策，每个安全需求都至少对应一个安全对策，安全 对策的强度应根据相应资产的重要性来选择；（二）项目采用的技术路线或者技术方案：增加描述如何从技术、运作、 组织以与制度四个方面来实现所有的安全对策，并形成安全方案；（三）项目的承当单位与人员情况介绍：增加项目各承当单位的信息安 全方面的资质和经验介绍，并增加介绍项目主要参与人员的信息 安全背景；（四）项目安全管理：安全级别达到重要级以上的项目应增加项目建设 中的安全管理模式、安全组织结构、人员的安全职责、建设实施 中的安全操作程序和相应安全管理要求，项目安全管理人员由 XXX部主管与信息安全管理部门人员担任，信息安全管理

10、部门人 员具体对项目安全进展监管；（五）本钱效益分析：对安全方案进展本钱-效益分析。（六）对投入使用的应用软件需要升级改造的，虽不需另行立项，但仍 需参照上述方法进展一定的安全性分析，并针对可能发生的安全 问题提出和实现相应安全对策。第三节系统定级管理单位应根据信息系统等级保护管理方法和信息系统安全保护等级定 级指南以与上级定级指导意见，初步确定系统安全保护等级。定级工作需要符 合如下要求：（一）应明确信息系统的边界和安全保护等级；（二）应以书面的形式说明确定信息系统为某个安全保护等级的方法 和理由；（三）定级结果有本单位信息安全主管领导的批准；（四）定级结果有上级主管单位批准；（五）应组织相

11、关部门和有关安全技术专家对信息系统定级结果的合 理性和正确性进展论证和审定；（六）应确保信息系统的定级结果经过相关部门的批准。第四节 方案论证和审批安全管理标准本阶段主要是XXX部主管组织人员对项目申报内容中的信息安全需求与解 决方案局部进展论证，必要时可以聘请外单位的专家参与论证工作。第九条安全性论证和审批安全性论证应着重对项目的安全需求分析、 安全对策以与总体安全方案进展本钱-效益、合理性、可行性和有效性分析，给出明确的结论：（一）适当（二）不适宜否决（三）需作复议对论证结论为“需作复议的项目，通知申报单位对有关内容进展必要的 补充或者修改后，再次提交复审。第十条 项目安全立项审批后，项目

12、审批单位将对项目进展立项， 以下条目中应增加相应的计算 机安全方面的内容：（一）项目的管理模式、组织结构和责任：增加项目建设中的安全管理模式、安全组织结构以与人员的安全职责；（二）项目实施的根本程序和相应的管理要求：增加项目建设实施中的 安全操作程序和相应安全管理要求；（三）项目设计目标、主要内容和关键技术：增加总体安全目标、安全 对策以与用于实现安全对策的总体安全方案；（四）项目实现功能和性能指标：增加描述系统拥有的具体安全功能以 与安全功能的强度；（五）项目验收考核指标：增加安全性测试和考核指标。（六）立项的项目，如采用引进、合作开发或者外包开发等形式，如此 需与第三方签订安全某某协议。第

13、五节 项目实施方案和实施过程安全管理信息系统建设项目实施阶段包括 3个子阶段：概要设计、详细设计和项目 实施，本阶段的主要工作由项目实施单位来完成， 项目审批单位负责监视工作。 概要设计子阶段的安全要求。在概要设计阶段，系统层次上的设计要求和功能指标都被分配到了子系统 层次上，这个子阶段的安全目标是保证各子系统设计实现了总体安全方案中的 安全功能。因此，概要设计说明书中应尽可能达到以下安全要求：（一）应当按子系统来描述系统的安全体系结构；（二）应当描述每一个子系统所提供的安全功能；（三）应当标识所要求的任何根底性的硬件、固件或软件，和在这些硬 件、固件或软件中实现的支持性保护机制提供的功能表示

14、；（四）应当标识子系统的所有接口，并说明哪些接口是外部可见的；（五）描述子系统所有接口的用途与使用方法，并适当提供影响、例外 情况和错误消息的细节；（六）确证子系统不论是开发的，还是买来的的安全功能指标满足 系统安全需求。第十一条详细设计子阶段的安全要求无论是新开发一个系统，或是对一个系统进展修改，本阶段的任务是完成 那些不能买到现成品的软硬件模块的设计。先要完成每个模块的详细设计方案， 最后根据每个模块的详细设计得到整个系统的详细设计。本子阶段的安全目标 是保证各模块设计实现了概要设计中的安全功能，因此在这一阶段的详细设 计说明书中至少要包括以下信息安全内容：（一）详细设计中应提出相应的具体

15、安全方案，标明实现的安全功能， 并应检查其技术原理；（二）对系统层面上的和模块层面上的安全设计进展审查；（三）完成安全测试和评估要求通常包括完整的系统的、软件的、硬 件的安全测试方案，至少是相关测试程序的一个草案；（四）确认各模块的设计，以与模块间的接口设计能满足系统层面的安 全要求。第十二条 项目实施子阶段的安全要求无论是新开发一个系统或是进展系统修改， 本阶段的主要目的是将所有的 模块软硬件集成为完整的系统，并且检查确认集成以后的系统符合要求。本阶段中，应完成以下具体信息安全工作：（一）更新系统安全威胁评估，预测系统的使用寿命；（二）找出并描述实现安全方案后系统和模块的安全要求和限制，以与

16、 相关的系统验证机制与检查方法；（三）完善系统的运行程序和全生命期支持的安全计划，如密钥的分发 等；（四）在系统集成操作手册中，应制定安全集成的操作程序；（五）在系统修改操作手册中，应制定系统修改的安全操作程序；（六）对项目参与人员进展信息安全意识培训；（七）并对参加项目建设的安全管理和技术人员的安全职责进展检查。（八）在软件的开发被外包的地方，应当考虑如下几点：a. 检查代码的所有权和知识产权情况；b. 质量合格证和所进展的工作的准确度；c. 在第三方发生故障的情况下，有第三方备份保存；d. 进展质量审核；e. 在合同上有代码质量方面的要求；f. 在安装之前进展测试以检测特洛伊代码；g. 提

17、供源代码以与相关设计、实施文档；h. 重要的项目建设中还要对源代码进展审核。（九）如果软件是自主开发的，如此需注意上述的 d、f、g、h点要求。（十） 计算机系统集成的信息技术产品如操作系统、数据库等或安 全专用产品如防火墙、IDS等应达到以下要求：1. 对项目实施所需的计算机与配套设备、 网络设备、重要机具、计 算机软件产品的购置，计算机应用系统的合作开发或者外包开发 确实定，按现有制度中的相关规定执行；2. 安全专用产品应具有国家职能部门颁发的信息安全专用产品的 销售许可证；3. 密码产品符合国家密码主管部门的要求， 来源于国家主管部门批 准的密码研制单位；4. 关键安全专用产品应获得国家

18、相关安全认证， 在选型中根据实际 需要制定安全产品选型的标准；5. 关键信息技术产品的安全功能模块应获得国家相关安全认证，在 选型中根据实际需要制定信息技术产品选型的标准。（十一）产品和服务供给商应达到以下要求：1. 系统集成商的资质要求：至少要拥有国家权威部门认可的系统一 级集成资质，对于较为重要的系统应有更高级别的集成资质；2. 工商要求：a. 产品、系统或服务提供单位的营业执照和税务登记在合法期 限内；b. 产品、系统或服务提供商的产品、系统或服务的提供资格；c. 连续赢利期限要求；d. 连续无相关法律诉讼年限要求；e. 没有发生重大管理、技术人员变化和流动的期限要求；f. 没有发生主业

19、变化期限要求。3. 安全服务商资质：至少应具有国家一级安全服务资质，对于较为重要的系统应有更高级别的安全服务资质；4. 人员资质要求：系统集成人员、安全服务人员以与相关管理人员 应获得国家权威部门颁发的信息安全人员资质认证；5. 其它要求：系统符合国家相关法律、法规，按照相关主管部门的 技术管理规定对非法信息和恶意代码进展有效控制，按照有关规 定对设备进展控制，使之不被作为非法攻击的跳板。第六节安全方案设计管理（一） 应根据系统的安全保护等级选择根本安全措施，并依据风险分析 的结果补充和调整安全措施；（二）单位指定和授权XXX部门对信息系统的安全建设进展总体规划， 制定近期和远期的安全建设工作

20、计划；（三）应根据信息系统的等级划分情况，统一考虑安全保障体系的总体 安全策略、安全技术框架、安全管理策略、总体建设规划和详细设 计方案，并形成配套文件；（四）应组织相关部门和有关安全技术专家对总体安全策略、安全技术 框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进展论证和审定，并且经过批准后，才能正式 实施；（五）应根据等级测评、安全评估的结果定期调整和修订总体安全策 略、安全技术框架、安全管理策略、总体建设规划、详细设计方案 等相关配套文件。第七节 产品采购和使用管理（一）应确保安全产品采购和使用符合国家的有关规定；（二）应确某某码产品采购和使用符合国家密码主

21、管部门的要求；（三）应指定或授权专门的部门负责产品的采购；（四）应预先对产品进展选型测试，确定产品的候选X围，并定期审定和更新候选产品（五） 对项目实施所需的计算机与配套设备、 网络设备、重要机具、计 算机软件产品的购置，计算机应用系统的合作开发或者外包开发确 实定，按现有制度中的相关规定执行；（六）安全专用产品应具有国家职能部门颁发的信息安全专用产品的 销售许可证；（七）密码产品符合国家密码主管部门的要求， 来源于国家主管部门批 准的密码研制单位；（八）关键安全专用产品应获得国家相关安全认证， 在选型中根据实际 需要制定安全产品选型的标准；（九） 关键信息技术产品的安全功能模块应获得国家相关

22、安全认证，在 选型中根据实际需要制定信息技术产品选型的标准。第八节自行软件开发管理（一）应确保开发环境与实际运行环境物理分开，开发人员和测试人员 别离，测试数据和测试结果受到控制；（二）应制定软件开发管理制度，明确说明开发过程的控制方法和人员 行为准如此；（三）应制定代码编写安全规X,要求开发人员参照规X编写代码；（四）应确保提供软件设计的相关文档和使用指南，并由专人负责保 管；（五）应确保对程序资源库的修改、更新、发布进展授权和批准。第九节外包软件开发管理（一）应根据开发需求检测软件质量；（二）应在软件安装之前检测软件包中可能存在的恶意代码；（三）应要求开发单位提供软件设计的相关文档和使用指

23、南；（四）应要求开发单位提供软件源代码，并审查软件中可能存在的后 门。（五）检查代码的所有权和知识产权情况；（六）质量合格证和所进展的工作的准确度；（七）在第三方发生故障的情况下，有第三方备份保存;（八）进展质量审核；（九）在合同上有代码质量方面的要求；（十）在安装之前进展测试以检测特洛伊代码；（十一）提供源代码以与相关设计、实施文档；（十二）重要的项目建设中还要对源代码进展审核。第十节工程实施管理（一）应指定或授权专门的部门或人员负责工程实施过程的管理；（二）应制定详细的工程实施方案控制实施过程，并要求工程实施单位 能正式地执行安全工程过程；（三）应制定工程实施方面的管理制度，明确说明实施过

24、程的控制方法 和人员行为准如此。第一节测试验收管理（一） 应委托公正的第三方测试单位对系统进展安全性测试，并出具安 全性测试报告；（二）在测试验收前应根据设计方案或合同要求等制订测试验收方案， 在测试验收过程中应详细记录测试验收结果，并形成测试验收报告；（三）应对系统测试验收的控制方法和人员行为准如此进展书面规疋；（四）应指定或授权专门的部门负责系统测试验收的管理，并按照管 理规定的要求完成系统测试验收工作；（五） 应组织相关部门和相关人员对系统测试验收报告进展审定，并签字确认第十二节系统交付管理（一）应制定详细的系统交付清单，并根据交付清单对所交接的设备、 软件和文档等进展清点；（二）应对负

25、责系统运行维护的技术人员进展相应的技能培训；（三）应确保提供系统建设过程中的文档和指导用户进展系统运行维护的文档;（四）应对系统交付的控制方法和人员行为准如此进展书面规定;（五）应指定或授权专门的部门负责系统交付的管理工作， 并按照管理规定的要求完成系统交付工作第十三节系统备案管理（一）指定XXX部门或人员负责管理系统定级的相关材料， 并控制这些 材料的使用；（二）应将系统等级与相关材料报系统主管部门备案；（三）应将系统等级与其他要求的备案材料报相应公安机关备案。第十四节等级测评管理（一）在系统运行过程中，至少每年对3级系统进展一次等级测评，发 现不符合相应等级保护标准要求的与时整改；（二）应

26、在系统发生变更时与时对系统进展等级测评，发现级别发生变 化的与时调整级别并进展安全改造，发现不符合相应等级保护标准 要求的与时整改；（三）应选择具有国家相关技术资质和安全资质的测评单位进展等级 测评；（四）要求技术测评机构提供相关材料。包括营业执照、声明、证明与资质材料等;（五）与测评机构签订某某协议；（六）要求测评机构制定技术检测方案；（七）具体项目将指定具体人员负责等级测评的管理第十五节安全服务商选择管理（一）应确保安全服务商的选择符合国家的有关规定；（二）应与选定的安全服务商签订与安全相关的协议，明确约定相关责 任；（三） 应确保选定的安全服务商提供技术培训和服务承诺，必要的与其 签订服

27、务合同。（四）系统集成商的资质要求：至少要拥有国家权威部门认可的系统一 级集成资质，对于较为重要的系统应有更高级别的集成资质；（五）工商要求：g. 产品、系统或服务提供单位的营业执照和税务登记在合法期 限内；h. 产品、系统或服务提供商的产品、系统或服务的提供资格；i. 连续赢利期限要求；j. 连续无相关法律诉讼年限要求；k. 没有发生重大管理、技术人员变化和流动的期限要求；l. 没有发生主业变化期限要求。（六）安全服务商资质：至少应具有国家一级安全服务资质， 对于较为 重要的系统应有更高级别的安全服务资质；（七）人员资质要求：系统集成人员、安全服务人员以与相关管理人员 应获得国家权威部门颁发

28、的信息安全人员资质认证；（八）其它要求：系统符合国家相关法律、法规，按照相关主管部门的 技术管理规定对非法信息和恶意代码进展有效控制，按照有关规定 对设备进展控制，使之不被作为非法攻击的跳板。第十六节项目验收与投产安全管理标准第十三条安全测评应制定研发、投产与验收等过程中的安全测试与验收大纲， 在项目实施完 成后，由项目用户单位、项目开发单位共同组织进展测试。在测试大纲中应至 少包括以下安全性测试和评估要求：（一）配置管理：项目实施单位应使用配置管理系统，并提供配置管理 文档；（二）交付程序：应将把系统与其局部交付给用户的程序文档化；（三）安装、生成和启动程序：应制定安装、生成和启动程序，并保

29、证 最终产生了安全的配置；（四）安全功能测试：对系统的安全功能进展测试，以保证其符合详细 设计并对详细设计进展检查，保证其符合概要设计以与总体安全（五）系统管理员指南：应提供如何安全地管理系统和如何高效地利用 系统安全功能的优点和保护功能等详细准确的信息；（六）系统用户指南：必须包含两方面的内容：首先，它必须解释那些 用户可见的安全功能的用途以与如何使用它们，这样用户可以持 续有效地保护他们的信息；其次，它必须解释在维护系统的安全 时用户所能起的作用；（七）安全功能强度评估：功能强度分析应说明以概率或排列机制 如, 口令字或哈希函数实现的系统安全功能。例如，对口令机制的 功能强度分析可以通过说

30、明口令空间是否有足够大来指出口令 字功能是否满足强度要求；（八）脆弱性分析：应分析所采取的安全对策的完备性安全对策是否 可以满足所有的安全需求以与安全对策之间的依赖关系。通常 可以使用穿透性测试来评估上述内容，以判断它们在实际应用中 是否会被利用来削弱系统的安全。（九） 测试完成后，项目测试小组应提交测试报告，其中应包括安 全性测试和评估的结果。不能通过安全性测试评估的，由测试小 组提出修改意见，项目实施单位应作进一步修改。第十四条安全试运行测试通过后，由项目用户单位组织进入试运行阶段， 应有一系列的安全措 施来维护系统安全，它包括处理系统在现场运行时的安全问题和采取措施保证 系统的安全水平在

31、系统运行期间不会下降。具体工作如下：（一）监测系统的安全性能，包括事故报告；（二）进展用户安全培训，并对培训进展总结；（三）监视与安全有关的部件的拆除处理；（四）监测新发现的对系统安全的攻击、系统所受威胁的变化以与其它 与安全风险有关的因素；（五）监测安全部件的备份支持，支持与系统安全有关的维护培训；（六）评估大大小小的系统改动对安全造成的影响；（七）监测系统物理和功能配置，包括运行过程，因为一些不太显眼的 改变可能影响系统的安全风险。（八）在试运行情况报告中应对上述工作做总结性描述。第十五条安全验收在项目建设要求中规定的系统试运行过程完毕后， 项目开发单位可以组织 用户单位人员参加的项目验收

32、组对项目进展验收。验收应增加以下安全内容：（一）项目是否已达到项目任务书中制定的总体安全目标和安全指标， 实现全部安全功能；（二）采用技术是否符合国家、行业有关安全技术标准与规 X；（三）是否实现验收测评的安全技术指标；（四）项目建设过程中的各种文档资料是否规 X、齐全；（五）在验收报告中也应在以下条目中反映对系统安全性验收的情况：（六）项目设计总体安全目标与主要内容；（七）项目采用的关键安全技术；（八）验收专家组中的安全专家与安全验收评价意见。第十六条投产后的监控与跟踪项目投产后还应进展一段时间的监控和跟踪， 应用系统的管理人员负责监控和跟踪工作，具体包括以下要求：（一）应对系统关键安全性能

33、的变化情况进展监控，了解其变化的原 因；（二）对系统安全事故的发生、应急、处理、恢复、总结进展全程跟踪, 并编写详细的记录；（三）监控新增的安全部件对系统安全的影响；（四）跟踪安全有关部件的拆除处理情况，并监控随后系统安全性的变 化；（五）对新发现的对系统安全的攻击进展监控，记录其发生的频率以与 对系统的影响；（六）监控系统所受威胁的变化，评估其发生的可能性以与可能造成的 影响；（七）监控并跟踪安全部件的备份情况；（八）监控运行程序的变化，并记录这些变化对系统安全的影响；（九）监控系统物理环境的变化情况，并记录这些变化对系统安全的影 响；（十） 监控安全配置的变化情况，并记录这些变化对系统安全的影响；（十一）对于上述所有监控和跟踪内容，如果对系统安全有不良影响处，都应在系统设计、配置、运行管理上做相应改良，以保证系 统安全、正常运行。第十七条 各职能管理部门在进展 TCP/IP网络和系统建设项目立项申请过 程中，应由信息安全工作组对项目提出安全建议。第十八条 根据项目立项中的项目立项申请、立项论证、立项评估和立项审 批四个程序，都应结合各类的安全技术规 X。第十九条 各职能管理部门、