项目及信息系统建设管理制度

《***单位安全管理制度汇编》项目及信息系统建设管理制度文件名称文件编号编写部门审批人项目及信息系统建设管理管理制度版本号网络室编写人发布时间密级内部V1.02/21 3/21编制说明为进一步贯彻党中央和国务院批准的《国家信息化领导小组关于加强信息安全保障工作的意见》及其“重点保护基础信息网络和重要信息系统安全”的思想、贯彻信息产业部“积极预防、及时发现、快速反应、确保恢复”的方本制度依据我国信息安全的有关法律法规，结合***单位的自身业务特点、并参考国际有关信息安全标准制定的。4/21第一章总则常运营，提高网络服务质量，在安全体系框架下，本制度旨在提高IT项目信息第二章安全要求第一节项目建设安全管理的总体要求第四条项目建设安全管理目标一个项目的生命周期包括：项目申报、项目审批和立项、项目实施、项目验收和投产；从项目建设的角度来看，这些生命周期的阶段则包括以系统测试和试运行，如下表所示。项目管理生命周期项目管理生命周期系统定级总体方案设计系统测试、试运行和投产项目申报项目审批和立项项目实施项目验收和投产项目建设安全管理的目标就是保证整个项目管理和建设过程中系统的安全。为了达到这个目标，信息安全(INFOSEC)必须融合在项目管理和项5/21国家和地方的政策、标准、指令相一致。这种融合应该产生一个信息系统安全工程(ISSE)项目，它要确认、评估、并且消除或控制住系统对已知或假定的威胁的脆弱点，最终得到一个可以接受水平的安全风险。第五条项目建设安全管理原则信息建设项目建设安全管理应遵循如(一)全生命周期安全管理：信息安全管理必须贯穿信息系统建设项目(二)成本-效益分析：进行信息安全建设和管理应考虑投入产出比；(三)明确职责：每个参与项目建设和项目管理的人员都应该明确安全职责，应进行安全意识和职责培训，并落实到位；(四)管理公开：应保证每个项目参与人员都知晓和理解安全管理的模(五)科学制衡：进行适当的职责分离，将业务的不同责任分配给不同(六)最小特权：人员对项目资产的访问权限制到最低限度，即仅赋予第二节项目申报安全管理标准由项目开发单位协同用户单位进行项目需求分析、确定总体目标和建设方第七条挖掘安全需求6/21全(一)等级保护等级：从信息系统自身对于国家、社会公共秩序、法人段中可能遭受的自然威胁或者人为威胁(故意或无意)，具体包括威(四)影响分析报告：描述威胁利用系统脆弱性可能导致不良影响。影报告：安全风险分析的目的在于识别出一个给定环境中(六)系统安全需求报告：针对安全风险，应提出安全需求，对于每个(一)项目目标、主要内容与关键技术：增加信息系统建设项目的总体安全目标，并在主要内容后面增加针对前面分析出的安全需求所提出的相应安全对策，每个安全需求都至少对应一个安全对策，安全对策的强度应根据相应资产的重要性来选择；增加描述如何从技术、运作、组织以及制度四个方面来实现所有的安全对策，并形成安全方(三)项目的承担单位及人员情况介绍：增加项目各承担单位的信息安息7/21：安全级别达到重要级以上的项目应增加项目建设中的安全操作程序和相应安全管理要求，项目安全管理人员由XXX部主管及信息安全管理部门人员担任，信息安全管理部门人员具体对项目安全进行监管；(五)成本效益分析：对安全方案进行成本-效益分析。(六)对投入使用的应用软件需要升级改造的，虽不需另行立项，但仍第三节系统定级管理单位应根据《信息系统等级保护管理办法》和《信息系统安全保护等级定(一)应明确信息系统的边界和安全保护等级；(二)应以书面的形式说明确定信息系统为某个安全保护等级的方法(三)定级结果有本单位信息安全主管领导的批准；(四)定级结果有上级主管单位批准；(五)应组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定；(六)应确保信息系统的定级结果经过相关部门的批准。第四节方案论证和审批安全管理标准本阶段主要是XXX部主管组织人员对项目申报内容中的信息安全需求与解时可以聘请外单位的专家参与论证工作。全性论证和审批8/21：(一)适当(二)不合适(否决)(三)需作复议全立项(一)项目的管理模式、组织结构和责任：增加项目建设中的安全管理(二)项目实施的基本程序和相应的管理要求：增加项目建设实施中的(三)项目设计目标、主要内容和关键技术：增加总体安全目标、安全(四)项目实现功能和性能指标：增加描述系统拥有的具体安全功能以(五)项目验收考核指标：增加安全性测试和考核指标。第五节项目实施方案和实施过程安全管理个子阶段的安全目标是保证各子系统设计实现了总体安全方案中的9/21(一)应当按子系统来描述系统的安全体系结构；(二)应当描述每一个子系统所提供的安全功能；(三)应当标识所要求的任何基础性的硬件、固件或软件，和在这些硬(四)应当标识子系统的所有接口，并说明哪些接口是外部可见的；(五)描述子系统所有接口的用途与使用方法，并适当提供影响、例外(六)确证子系统(不论是开发的，还是买来的)的安全功能指标满足个模块的详细设计得到整个系统的详细设计。本子阶段的安全目标(一)详细设计中应提出相应的具体安全方案，标明实现的安全功能，(二)对系统层面上的和模块层面上的安全设计进行审查；(三)完成安全测试和评估要求(通常包括完整的系统的、软件的、硬关测试程序的一个草案)；(四)确认各模块的设计，以及模块间的接口设计能满足系统层面的安(一)更新系统安全威胁评估，预测系统的使用寿命；(二)找出并描述实现安全方案后系统和模块的安全要求和限制，以及(三)完善系统的运行程序和全生命期支持的安全计划，如密钥的分发10/21(四)在《系统集成操作手册》中，应制定安全集成的操作程序；(五)在《系统修改操作手册》中，应制定系统修改的安全操作程序；(六)对项目参与人员进行信息安全意识培训；(七)并对参加项目建设的安全管理和技术人员的安全职责进行检查。(八)在软件的开发被外包的地方，应当考虑如下几点：b；dg.提供源代码以及相关设计、实施文档；h.重要的项目建设中还要对源代码进行审核。(十)计算机系统集成的信息技术产品(如操作系统、数据库等)或安2.安全专用产品应具有国家职能部门颁发的信息安全专用产品的3.密码产品符合国家密码主管部门的要求，来源于国家主管部门批准的密码研制单位；4.关键安全专用产品应获得国家相关安全认证，在选型中根据实际需要制定安全产品选型的标准；(十一)产品和服务供应商应达到以下要求：11/21a.产品、系统或服务提供单位的营业执照和税务登记在合法期f.没有发生主业变化期限要求。第六节安全方案设计管理制定近期和远期的安全建设工作计划；(三)应根据信息系统的等级划分情况，统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案，并形成配套文件；(四)应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文12/21(五)应根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案第七节产品采购和使用管理(一)应确保安全产品采购和使用符合国家的有关规定；(二)应确保密码产品采购和使用符合国家密码主管部门的要求；(三)应指定或授权专门的部门负责产品的采购；算机软件产品的购置，计算机应用系统的合作开发或者外包开发的确定，按现有制度中的相关规定执行；(六)安全专用产品应具有国家职能部门颁发的信息安全专用产品的销售许可证；(七)密码产品符合国家密码主管部门的要求，来源于国家主管部门批准的密码研制单位；(八)关键安全专用产品应获得国家相关安全认证，在选型中根据实际需要制定安全产品选型的标准；(九)关键信息技术产品的安全功能模块应获得国家相关安全认证在，选型中根据实际需要制定信息技术产品选型的标准。第八节自行软件开发管理(一)应确保开发环境与实际运行环境物理分开，开发人员和测试人员分离，测试数据和测试结果受到控制；(二)应制定软件开发管理制度，明确说明开发过程的控制方法和人员(三)应制定代码编写安全规范，要求开发人员参照规范编写代码；13/21(四)应确保提供软件设计的相关文档和使用指南，并由专人负责保(五)应确保对程序资源库的修改、更新、发布进行授权和批准。第九节外包软件开发管理(一)应根据开发需求检测软件质量；(二)应在软件安装之前检测软件包中可能存在的恶意代码；(三)应要求开发单位提供软件设计的相关文档和使用指南；(四)应要求开发单位提供软件源代码，并审查软件中可能存在的后(五)检查代码的所有权和知识产权情况；(六)质量合格证和所进行的工作的精确度；(七)在第三方发生故障的情况下，有第三方备份保存；(八)进行质量审核；(九)在合同上有代码质量方面的要求；(十)在安装之前进行测试以检测特洛伊代码；(十一)提供源代码以及相关设计、实施文档；(十二)重要的项目建设中还要对源代码进行审核。第十节工程实施管理(一)应指定或授权专门的部门或人员负责工程实施过程的管理；(二)应制定详细的工程实施方案控制实施过程，并要求工程实施单位(三)应制定工程实施方面的管理制度，明确说明实施过程的控制方法和人员行为准则。14/21第十一节测试验收管理(一)应委托公正的第三方测试单位对系统进行安全性测试，并出具安(二)在测试验收前应根据设计方案或合同要求等制订测试验收方案，(三)应对系统测试验收的控制方法和人员行为准则进行书面规定；(四)应指定或授权专门的部门负责系统测试验收的管理，并按照管第十二节系统交付管理(一)应制定详细的系统交付清单，并根据交付清单对所交接的设备、(二)应对负责系统运行维护的技术人员进行相应的技能培训；(三)应确保提供系统建设过程中的文档和指导用户进行系统运行维(四)应对系统交付的控制方法和人员行为准则进行书面规定；(五)应指定或授权专门的部门负责系统交付的管理工作，并按照管理规定的要求完成系统交付工作。第十三节系统备案管理(二)应将系统等级及相关材料报系统主管部门备案；(三)应将系统等级及其他要求的备案材料报相应公安机关备案。15/21第十四节等级测评管理(二)应在系统发生变更时及时对系统进行等级测评，发现级别发生变化的及时调整级别并进行安全改造，发现不符合相应等级保护标准(三)应选择具有国家相关技术资质和安全资质的测评单位进行等级(五)与测评机构签订保密协议；(六)要求测评机构制定技术检测方案；(七)具体项目将指定具体人员负责等级测评的管理。第十五节安全服务商选择管理(一)应确保安全服务商的选择符合国家的有关规定；(二)应与选定的安全服务商签订与安全相关的协议，明确约定相关责(三)应确保选定的安全服务商提供技术培训和服务承诺，必要的与其(四)系统集成商的资质要求：至少要拥有国家权威部门认可的系统一于较为重要的系统应有更高级别的集成资质；(五)工商要求：g.产品、系统或服务提供单位的营业执照和税务登记在合法期h.产品、系统或服务提供商的产品、系统或服务的提供资格；j求；16/21l业变化期限要求。技术管理规定对非法信息和恶意代码进行有效控制，按照有关规定对设备进行控制，使之不被作为非法攻击的跳板。第十六节项目验收与投产安全管理标准安全测评(一)配置管理：项目实施单位应使用配置管理系统，并提供配置管理(二)交付程序：应将把系统及其部分交付给用户的程序文档化；(三)安装、生成和启动程序：应制定安装、生成和启动程序，并保证(四)安全功能测试：对系统的安全功能进行测试，以保证其符合详细(五)系统管理员指南：应提供如何安全地管理系统和如何高效地利用(六)系统用户指南：必须包含两方面的内容：首先，它必须解释那些17/21口令字或哈希函数)实现的系统安全功能。例如，对口令机制的功能强度分析可以通过说明口令空间是否有足够大来指出口令字功能是否满足强度要求；(八)脆弱性分析：应分析所采取的安全对策的完备性(安全对策是否可以满足所有的安全需求)以及安全对策之间的依赖关系。通常(九)测试完成后，项目测试小组应提交《测试报告》，其中应包括安来维护系统安全，它包括处理系统在现场运行时的安全问题和采取措施保证全水平在系统运行期间不会下降。具体工作如下：(一)监测系统的安全性能，包括事故报告；(二)进行用户安全培训，并对培训进行总结；(三)监视与安全有关的部件的拆除处理；(四)监测新发现的对系统安全的攻击、系统所受威胁的变化以及其它(五)监测安全部件的备份支持，支持与系统安全有关的维护培训；(六)评估大大小小的系统改动对安全造成的影响；(七)监测系统物理和功能配置，包括运行过程，因为一些不太显眼的(八)在《试运行情况报告》中应对上述工作做总结性描述。(一)项目是否已达到项目任务书中制定的总体安全目标和安全指标，18/21(二)采用技术是否符合国家、行业有关安全技术标准及规范；(三)是否实现验收测评的安全技术指标；(四)项目建设过程中的各种文档资料是否规范、齐全；(五)在验收报告中也应在以下条目中反映对系统安全性验收的情况：(六)项目设计总体安全目标及主要内容；(七)项目采用的关键安全技术；(八)验收专家组中的安全专家及安全验收评价意见。(一)应对系统关键安全性能的变化情况进行监控，了解其变化的原(三)监控新增的安全部件对系统安全的影响；(四)跟踪安全有关部件的拆除处理情况，