职业技术学院信息系统建设安全管理制度

XXXX职业技术学院信息系统建设安全管理制度为规范XXXX职业技术学院信息系统建设安全管理，提升信息系统建设和管理水平，保障信息系统建设安全，根据《中华人民共和国网络安全法》等法律法规，《中华人民共和国计算机信息系统安全保护条例》《信息安全等级保护管理办法》（公通字[20XX]43号）、《关于加强教育行业网络与信息安全工作的指导意见》等文件规定，特制定本制度。第一章总则本制度适用于信息系统建设过程安全管理规范。保证信息系统安全运行必须依靠强有力的安全技术，同时更要有全面的安全策略和良好的内部管理机制。第二章信息系统建设安全管理的总体要求第一条信息系统建设安全管理目标一个信息系统建设的生命周期阶段包括：需求分析、总体方案设计、概要设计、详细设计、系统实施、系统测试和试运行。信息系统建设安全管理的目标就是保证整个项目管理和建设过程中系统的安全。第二条信息系统建设安全管理原则信息系统建设安全管理应遵循如下原则：1.系统等级：应根据信息安全等级保护相关规范确定信息系统安全等级；2.全生命周期安全管理：信息安全管理必须贯穿信息系统建设的整个生命周期；3.明确职责：每个参与信息系统建设和管理的人员都应该明确安全职责，应进行安全意识和职责培训，并落实到位；4.管理公开：应保证每个信息系统建设参与人员都知晓和理解安全管理的模式和方法；5.最小特权：人员对信息系统的访问权限制到最低限度，仅赋予其执行授权任务所必需的权限。第三条项目建设安全管理要求信息系统建设安全管理工作应强化责任机制、规范管理程序，在建设的各个环节均须考虑安全。第三章信息系统安全设计第四条应对信息系统建设方案及其建设的各个环节进行统一的安全管理规划，确定项目的安全需求、安全目标、安全建设方案，以及生命周期各阶段的安全需求、安全目标、安全管理措施。第五条应由建设部门进行信息系统项目安全需求分析、确定总体目标和建设方案。第六条系统等级保护测评依据2020年11月1日正式实施的新版《GB/T22240-2020信息安全技术网络安全等级保护定级指南》，受到破坏时所侵害的客体和对客体造成侵害的程度，对信息系统进行定级。第七条安全需求分析1.在信息系统建设方案中除了描述系统业务需求之外，还应进行系统的安全性需求分析：（1）拟定信息化项目的总体安全目标，并在主要内容后面增加针对前面分析出的安全需求提出相应安全对策，每个安全需求都至少对应一个安全对策，安全对策的强度应根据相应信息系统的重要性来选择；（2）描述如何从技术、运作、组织以及制度等方面来实现所有的安全对策，并形成安全方案；（3）信息系统建设单位的信息安全方面的资质和经验介绍，并增加介绍项目主要参与人员的信息安全背景；（4）明确信息系统建设中的安全管理模式、安全组织结构、人员的安全职责、建设实施中的安全操作程序和相应安全管理要求；（5）在方案中对数据与信息安全及保密相关进行约束。2.对投入使用的应用软件需要升级改造的，仍需参照上述方法进行一定的安全性分析，并针对可能发生的安全问题提出相应安全对策。3.采购的信息系统，安全需求应在双方认可的合同或协议中给予明确规定，需与第三方签订安全保密协议。第八条业务归口管理部门对信息系统建设申报内容安全方案报信息中心审核，对项目的安全性进行确定。第九条根据系统的安全保护等级选择基本安全措施，设计安全标准必须达到等级保护相关等级的基本要求，并依据风险分析的结果进行补充和调整必要的安全措施；第十条信息中心对信息系统的安全进行总体规划，制定安全建设工作计划；第十一条根据信息系统的等级划分情况，统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案，并形成配套文件；第十二条根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划等相关配套文件。第四章信息系统采购和实施第十三条信息系统采用外包开发方式进行开发，在软件外包开发时，应当考虑如下几点：1.选择信誉与质量保证能力好的软件开发商；2.软件交付前是否依据开发要求的技术指标（信息系统安全方案和软件设计说明书）对软件功能和性能等进行验收测试；3.软件安装之前应采用第三方的商业产品软件检测信息系统是否包含恶意代码；4.应要求软件开发商提供需求分析说明书、软件设计说明书、软件操作手册等软件开发文档和使用指南；5.软件开发商应承诺提供软件培训和售后技术服务。6.建设部门与软件开发商签署协议，明确软件许可权协议、代码所有关系以及知识产权。7.合同或协议里应包括软件开发商违约时应该采取的措施。第十四条实施1.由软件供应商负责人负责信息系统建设实施过程的管理；2.要求软件供应商提供其能够安全实施系统建设的资质证明和能力保证以及实施后的服务承诺等内容；3.要求软件供应商制定详细的工程实施方案，规定工程时间限制、进度控制、质量控制和安全控制等内容；4.应制定详细的信息系统建设实施组织，明确组织内各参与人员职责和范围；5.信息系统建设过程中，软件供应商应严格遵守工程实施计划，把控工程实施质量；6.信息系统建设过程中，如有时间延期、人员调整、项目目标调整等变更情况发生，应进行项目变更的申请和执行；7.信息系统建设过程中，各参与人员应遵守以下行为准则：（1）遵守本单位相关管理制度规定；（2）未经授权，不得参与职责和范围外的实施工作；（3）不得泄露信息系统信息；（4）不得随意私自接入信息系统网络；（5）其他规定的行为准则。第五章信息系统测试与试运行第十五条系统测试在项目实施完成后，由软件供应商、建设部门和信息中心根据系统设计方案和合同要求制定测试验收方案，共同组织进行测试。重要信息系统（即等级保护三级以上信息系统）应委托公正的第三方测试单位对系统进行安全性测试。测试验收方案中应至少包括以下安全性测试和评估要求：1.配置管理：软件供应商需提供配置管理文档；2.安全功能测试：对系统的安全功能进行测试以保证其符合详细设计，并对详细设计进行检查，保证其符合概要设计以及总体安全方案；3.系统管理员指南：应提供如何安全地管理系统和如何高效地利用系统安全功能的优点和保护功能等详细准确的信息；4.系统用户指南：必须包含两方面的内容：首先，它必须解释那些用户可见的安全功能的用途以及如何使用它们，这样用户可以持续有效地保护他们的信息；其次，它必须解释在维护系统的安全时用户所能起的作用；5.脆弱性分析：应分析所采取的安全对策的完备性（安全对策是否可以满足所有的安全需求）以及安全对策之间的依赖关系。测试验收方案应明确参与测试的部门、人员、测试验收的内容和现场操作过程，测试验收工程应严格按照测试验收方案执行，正确记录测试结果，不得随意更改测试过程和测试结果。测试完成后，项目测试小组应提交《测试报告》，其中应包括测试时间、测试人员、现场操作过程、安全性测试和评估的结果。组织相关部门和相关人员对系统测试验收报告进行审定，并签字确认。不能通过安全性测试评估的，由测试小组提出修改意见，软件供应商完成修改。第十六条系统试运行测试通过后，由建设部门组织试运行，应有一系列的安全措施来维护系统安全，它包括处理系统在现场运行时的安全问题和采取措施保证系统的安全水平在系统运行期间不会下降。具体工作如下：1.监测系统的安全性能，包括事故报告；2.进行用户安全培训，并对培训进行总结；3.监视与安全有关的部件的拆除处理；4.监测新发现的对系统安全的攻击、系统所受威胁的变化以及其它与安全风险有关的因素；5.监测安全部件的备份支持，支持与系统安全有关的维护培训；6.评估系统改动对安全造成的影响；7.监测系统物理和功能配置，包括运行过程，因为一些不太显眼的改变可能影响系统的安全风险。第六章项目验收与交付第十七条项目验收应审查如下内容：1.功能检查：对软件功能完整性、正确性进行审查和评价；2.项目管理审查：对项目计划、采用标准、需求方案及其执行情况进行审查和评价；3.测试结果审查：对项目测试报告等进行审查；4.技术文档检查：对软件开发商交付的文档资料（纸质文档和电子文档）进行审查。第十八条项目交付系统建设完成后，软件供应商要依据项目合同的交付部分向建设部门进行项目交付，交付的内容至少包括：1.制定详细的系统交付清单，对交付的设备、软件和文档等进行清点；2.对系统运维人员进行技能培训，要求系统运维人员能进行日常的维护，并形成培训记录，记录培训内容、培训时间和参与人员等；3.提供系统建设的过程文档，包括实施方案、实施记录等；4.提供系统运行维护的帮助和操作手册；系统交付由建设部门负责，必须按照系统交付的要求完成交付工作。第十九条系统安全试运行，完成对项目进行验收。验收应注意以下安全内容：1.项目是否已达到信息系统建设方案中制定的总体安全目标和安全指标，实现全部安全功能；2.采用技术是否符合国家有关安全技术标准及规范；3.是否实现验收测评的安全技术指标；4.项目建设过程中的各种文档资料是否规范、齐全；5.项目设计总体安全目标及主要内容；6.项目采用的关键安全技术；第二十条系统验收并移交后，必须立即修改系统中相关的口令。第二十一条将通过验收的项目各种文件资料及最终验收审批报告，归类整理并列出清单，按照有关规定归档保存。第二十二条验收标准1.通过验收标准：完成所有建设内容，技术指标达到设计要求，建设标准达到国家信息化相关建设标准，系统运行安全稳定，建设过程符合国家有关规定。2.系统建设项目有下列情况之一，不能通过验收：1）验收文件、资料、数据不真实；2）未达到设计要求；3）设计不符合国家信息化建设相关标准要求；4）擅自修改设计目标和建设内容；5）系统建设过程中出现重大问题，未能解决和做出说明，或存在纠纷尚未解决的。第七章系统备案与测评第二十三条系统备案1.系统建设完成后，要向相应的公安机关进行备案，系统的备案，备案的相关材料由建设部门负责；2.系统等级及其他要求的备案材料报信息中心备案。第二十四条等级测评1.系统进入运行过程后，三级的系统每年聘请第三方测评机构对系统进行一次等级测评，二级的系统每两年测评一次，发现不符合相应等级保