基层单位信息系统安全等级保护三级管理制度信息系统系统建设管理规定

版本号：.0423信息系统建设治理规定标准。时更要有全面动态的安全策略和良好的内部治理机制，本标准包括五个局部：工程建设安全治理的总体要求：明确工程建设安全治理的目标和原则；求，确定各个环节的安全需求、目标和建设方案；方案论证和审批安全治理：由安全治理部门组织行内外专家对工程建设设的安全治理和技术人员及责任，并按规定安全内容和审批程序进展审批；工程实施方案和实施过程安全治理：包括确定工程实施的阶段的安全治理等；安全治理标准，以及相关依据。第三条标准性引用文件〔不包括订正的内容或均不适用于本标准，版本适用于本标准。GB/T－20238第四条术语和定义1〕信息安全infosec信息的机密性、完整性和可用性的保护。完整性定义为保护信息和处理方法的准确性和完备性。可用性定义为保证被授权用户在需要时能够访问到信息和相关资产。〔InformationSystemsSecurityEngineering〕〔ISSE〕是开掘用户信息安全保护需求，然后以经济、准确和简明的方法来设计和建筑计算机系统的一门技巧和科学，ISSE识别出安全风险，并使这些风险减至最少或使之受到遏制。风险分析riskanalysis发生的可能性的分析评估。安全目标securityobjective5)安全测试securitytesting能测试、渗透测试和验证。具体状况，依据各种标准、标准以及安全治理规定而制定。第六条工程建设安全治理目标如下表所示。工程建设安全治理的目标就是保证整个工程治理和建设过程中系统的安全。为了到达这个目标，信息安全〔INFOSEC〕必需融合在工程治理和工程建设过程〔ISSE〕工程，到一个可以承受水平的安全风险。系统安全工程要求。第七条工程建设安全治理原则1)等级周期；本钱-效益分析：进展信息安全建设和治理应考虑投入产出比；进展安全意识和职责培训，并落实到位；法；以避开消灭相应的安全问题；权任务所必需的权限。第八条工程建设安全治理要求限内完成各个环节的安全治理行为，否则应担当相应的行政责任。第九条工程申报阶段应对信息系统工程及其建设的各个环节进展统一的安阶段的安全需求、安全目标、安全治理措施。第十条应由工程应用主管单位进展工程需求分析、确定总体目标和建设方第十二条系统定级依据国家信息系统安全等级保护定级指南〔GBT22240-2023〕对工程中的系统进展定级，明确信息系统的边界和安全保护等级；成信息系统定级报告；性进展论证和审定，上报上级主管单位和安全监控单位进展审定；第十三条挖掘安全需求求分析，应至少包括以下信息安全方面的内容：患病的自然威逼或者人为威逼〔有意或无意，具体包括威逼列表、威逼可能性分析、威逼严峻性分析等；述，这些问题是被攻击的可能性、被攻击成功的可能性；失；分析，应供给风险清单以及风险优先级列表；的安全风险，都至少有一个安全需求与其对应。第十四条安全可行性在可行性报告的以下条目中应增加相应的信息安全方面的内容：工程目标、主要内容与关键技术：增加信息化工程的总体安全目标，并择；以及制度四个方面来实现全部的安全对策，并形成安全方案；的资质和阅历介绍，并增加介绍工程主要参与人员的信息安全背景；的安全职责、建设实施中的安全操作程序和相应安全治理要求；本钱效益分析：对安全方案进展本钱-效益分析。第十五条对投入使用的应用软件需要升级改造的，虽不需另行立项，但仍相应安全对策。第十六条本阶段主要是工程审批单位对工程申报内容进展安全方案的设第十七条安全标准确实定措施；和远期的安全建设工作打算；应依据信息系统的等级划分状况，统一考虑安全保障体系的总体安全策文件应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、进展论证和审定，并且经过批准后，才能正式实施；术框架、安全治理策略、总体建设规划、具体设计方案等相关配套文件。安全性论证，必要时可以聘请外单位的专家参与论证工作。第十九条安全性论证和审批本钱-效益、合理性、可行性和有效性分析，并在《信息化工程立项审批表》上给出明确的结论：适当不适宜〔拒绝〕需作复议充或者修改后，再次提交复审。其次十条工程安全立项下条目中应增加相应的计算机安全方面的内容：全组织构造以及人员的安全职责；程序和相应安全治理要求；用于实现安全对策的总体安全方案；能的强度；工程验收考核指标：增加安全性测试和考核指标。需与第三方签订安全保密协议。3工作。其次十三条概要设计子阶段的安全要求应当按子系统来描述系统的安全体系构造；应当描述每一个子系统所供给的安全功能；或软件中实现的支持性保护机制供给的功能表示；应当标识子系统的全部接口，并说明哪些接口是外部可见的；误消息的细节；〔需求。其次十四条具体设计子阶段的安全要求书》中至少要包括以下信息安全内容：查其技术原理；对系统层面上的和模块层面上的安全设计进展审查；〔通常包括完整的系统的、软件的、硬件的安全测试方案，至少是相关测试程序的一个草案；〕集成为完整的系统，并且检查确认集成以后的系统符合要求。本阶段中，应完成以下具体信息安全工作：更系统安全威逼评估，推测系统的使用寿命；统验证机制及检查方法；完善系统的运行程序和全生命期支持的安全打算，如密钥的分发等；在《系统集成操作手册》中，应制定安全集成的操作程序；在《系统修改操作手册》中，应制定系统修改的安全操作程序；对工程参与人员进展信息安全意识培训；并对参与工程建设的安全治理和技术人员的安全职责进展检查。选购，并确保选购的设备至少符合下面的要求：部门的测评或认证的产品。48禁将未经测试验收或验收不合格的设备交付使用。要自行确定。通过试运行的设备，才能投入生产系统，正式运行。1)检查代码的全部权和学问产权状况；质量合格证和所进展的工作的准确度；在第三方发生故障的状况下，有第三方备份保存；进展质量审核；在合同上有代码质量方面的要求；在安装之前进展测试以检测特洛伊代码；供给源代码以及相关设计、实施文档；重要的工程建设中还要要对源代码进展审核。〔如操作系统、数据库等〕或安全专用产品〔如防火墙、IDS〕应到达以下要求：〔ATM制度中的相关规定执行；安全产品的选购必需由公司进展统一选购；证；研制单位；安全产品选型的标准；实际需要制定信息技术产品选型的标准。48禁将未经测试验收或验收不合格的设备交付使用。要自行确定。通过试运行的设备，才能投入生产系统，正式运行。其次十九条产品和效劳供给商应到达以下要求：质，对于较为重要的系统应有更高级别的集成资质；工商要求：①产品、系统或效劳供给单位的营业执照和税务登记在合法期限内；②产品、系统或效劳供给商的产品、系统或效劳的供给资格；③连续赢利期限要求；④连续无相关法律诉讼年限要求；⑤没有发生重大治理、技术人员变化和流淌的期限要求；⑥没有发生主业变化期限要求。信息安全产品的选购请参阅《信息安全产品选购、使用治理制度》统应有更高级别的安全效劳资质；家权威部门颁发的信息安全人员资质认证；不被作为非法攻击的跳板；主管部门进展工程交付，但交付的内容至少包括：制定的系统交付清单，对交付的设备、软件和文档进展清点；对系统运维人员进展技能培训，要求系统运维人员能进展日常的维护；供给系统建设的过程文档，包括实施方案、实施记录等；供给系统运行维护的帮助和操作手册字确认。要求完成交付工作。第三十三条应制定投产与验收测试大纲，在工程实施完成后，由工程应用安全性测试和评估要求：配置治理：系统开发单位应使用配置治理系统，并供给配置治理文档；了安全的配置；具体设计进展检查，保证其符合概要设计以及总体安全方案；功能的优点和保护功能等具体准确的信息；的安全功能的用途以及如何使用它们，这样用户可以持续有效地保护他们的信息；其次，它必需解释在维护系统的安全时用户所能起的作用；〔或哈希函数说明口令空间是否有足够大来指出口令字功能是否满足强度要求；〔安全对策是否可以满足估上述内容，以推断它们在实际应用中是否会被利用来减弱系统的安全。工程开发担当单位应作进一步修改。第三十五条测试通过后，由工程应用单位组织进入试运行阶段，应有一系措施保证系统的安全水平在系统运行期间不会下降。具体工作如下：监测系统的安全性能，包括事故报告；进展用户安全培训，并对培训进展总结；监视与安全有关的部件的撤除处理；险有关的因素；监测安全部件的备份支持，支持与系统安全有关的维护培训；评估大大小小的系统改动对安全造成的影响；影响系统的安全风险。第三十六条系统安全试运行半年后，工程应用主管单位可以组织由工程开安全内容：安全功能；承受技术是否符合国家、电力行业有关安全技术标准及标准；是否实现验收测评的安全技术指标；工程建设过程中的各种文档资料是否标准、齐全；在验收报告中也应在以下条目中反映对系统安全性验收的状况：工程设计总体安全目标及主要内容；工程承受的关键安全技术；第三十七条系统备案相关材料有由公司进展统一治理，相应的系统应用、治理部门可以借阅；系统等级及相关材料报系统主管部门进展备案；第四十条设备治理，严禁盗用帐号和密码，超越治理权限，非法操作安全设备。猜测的强口令，并遵循省电网公司统一的帐号口令治理方法。门备案。人员审核批准，并准时更策略配置库。设备须有备机备件，由公司统一进展保管、分发和替换。加强设备外联掌握，严禁擅自接入国际互联网或其他公众信息网络。留档。存储介质(含磁盘、磁带、光盘和优盘)的治理应遵循：①因工作缘由需使用外来介质，应首先进展病毒检查。②存储介质上粘贴统一标识，注明编号、部门、责任人。9)安全设备的使用治理：处理；②关键安全设备媒体必需进展日常巡检；③当设备的配置更改时，应做好配置的备份工作；位进展故障排解，应填写操作记录和技术文档。设备相应责任人负责：①建立具体的运行日志记录、备份制度；行状况等。最正确状况；〔如温度、湿度、电压、电磁干扰、粉尘度等〕下工作；依据要求调整相应设备参数配置；上的备份，并存放一份于异地。第四十一条投产后的监控与跟踪工程投产后还应进展一段时间的监控和跟踪，具体包括以下要求：具体的记录；监控增的安全部件对系统安全的影响；跟踪安全有关部件的撤除处理状况，并监控随后系统安全性的变化；影响；监控系统所受威逼的变化，评估其发生的可能性以及可能造成的影响；监控并跟踪安全部件的备份状况；监控运行程序的变化，并记录这些变化对系统安全的影响；监控系统物理环境的变化状况，并记录