信息系统建设管理制度
信息系统建设管理制度
信息系统建设管理制度第一章总则第一条目的和依据为确保企业信息系统的稳定运行、信息安全和管理效率,订立本制度。
本制度的订立依据为国家法律法规、相关行业标准和企业相关制度。
第二条适用范围本制度适用于企业全部信息系统的建设和管理工作。
第二章信息系统建设第三条信息系统规划1.企业应依据业务需求和发展战略,订立长期和中期信息系统规划。
2.信息系统规划应明确系统的功能、性能、安全性等要求,以及系统建设的阶段目标和时间表。
第四条信息系统采购1.企业应依据信息系统规划和业务需求,订立统一的信息系统采购管理流程。
2.采购前,企业应进行需求评估、技术评估和风险评估,并编制认真的采购文件。
3.采购过程中,应遵从公开、公平、公正原则,选择具备资质和本领的供应商。
4.信息系统采购文件应依照相关法律法规的要求,妥当保管并定期进行备份。
第五条信息系统开发和测试1.企业应依据信息系统规划,确定系统开发和测试的工作内容、时间和人员。
2.开发前,应编制认真的系统需求规格和设计文档,并进行开发计划的订立。
3.开发过程中,应遵守相关的开发规范和标准,并建立相应的开发管理掌控措施。
4.在系统开发完成后,应进行严格的测试工作,确保系统的质量和稳定性。
第六条信息系统上线1.在信息系统上线前,应进行系统的验收工作,并编制认真的验收报告。
2.上线前,应对系统进行备份并订立应急预案,以应对可能显现的故障。
3.上线后,应进行系统监控和日常维护工作,及时处理可能显现的问题。
第三章信息系统管理第七条信息系统运维1.企业应订立认真的信息系统运维管理流程和工作计划。
2.运维工作包含硬件设备的维护、软件的更新和升级、网络的安全和优化等。
3.运维人员应依照相关规定,及时记录和处理运维工作和问题,并保持相关记录。
第八条信息安全管理1.企业应建立健全的信息安全管理制度和安全策略。
2.信息安全管理包含人员安全、物理安全、网络安全和数据安全等方面的管理。
3.企业应定期进行信息安全风险评估,并采取相应的安全防护措施。
信息系统建设管理制度
XXX单位信息系统建设管理制度二〇二二年x月历史版本编写、批准、发布信息记录表文档修改记录信息系统建设管理制度第一章总则第一条为规范XXX单位信息系统建设管理,提高信息系统建设管理水平,实现项目工程管理过程和内容安全可控,特制定本制度。
第二条范围本制度适用于信息系统立项至上线运行,所发生管理工作。
第三条定义信息化建设项目是指以计算机、网络、通信、网络安全及其他信息技术等为主要技术手段,包括自主研发、引进试点、推广完善等方式建设的管理应用系统、基础设施等项目。
第二章职责第四条信息化建设领导小组负责审定信息化项目年度计划,对重大信息化项目统一决策和指导。
第五条各专业管理小组负责审定本专业信息化项目年度计划,监督、检查重大信息化项目建设进度和应用效果。
第六条XXX部门负责制定信息化项目实施计划,提出技术解决方案,组织项目实施和推广,控制项目建设质量、进度和成本。
第七条XXX部门负责项目业务需求分析,确定项目业务目标;优化业务功能和业务流程,提出业务解决方案。
第八条XXX部门负责列入投资计划的信息化项目立项审查及批复、计划下达;XXX部门负责列入成本的信息化项目立项审查、批复、计划下达。
第九条信息化项目实行各部门两个层次管理,XXX部门对信息化项目统一归口管理,负责项目实施过程、测试验收、交付等管理工作,相关业务和职能部门协同配合。
第三章管理规定第十条信息化项目管理流程和规则信息化项目管理流程主要内容包括:项目需求上报、项目立项、项目实施、项目验收、项目检查、项目后评估等。
第十一条项目需求上报(一)信息化项目按年度进行申报。
各部门申报的信息化项目必须符合信息化建设发展规划,必须结合本部门生产和管理工作的实际需要。
(二)年度项目前期工作计划编制及上报。
各部门提出并编制本信息化年度项目前期工作计划并上报XXX部门。
内容包括项目建议书(现状分析及存在问题、技术方案—建设规模、技术路线、主要工程量;投资估算—投资构成、效益效果预测)、项目卡片、项目表格等。
信息系统管理制度
信息系统管理制度信息系统管理制度是指为了规范和保障企业信息系统的正常运行和安全性而制定的一系列管理规定和操作流程。
它主要包括信息系统建设、运维、维护和数据安全等方面的制度要求。
下面就是关于信息系统管理制度的一些要点,以供参考。
一、信息系统建设制度1.明确建设目标和计划。
根据企业的业务需求和发展战略,制定关于信息系统建设的目标和计划,明确项目范围、时间和成本预算等。
2.规范项目管理流程。
建立项目管理办公室,明确各个阶段的工作任务和要求,监控项目进度和质量,保证项目按时按质完成。
3.要求安全设计和审计。
在信息系统建设的各个环节,加强安全设计和审计工作,确保系统满足安全性和可靠性的要求。
二、信息系统运维制度1.建立运维管理组织。
组建专业的信息系统运维团队,明确职责和权限,确保运维工作的质量和效率。
2.规范运维流程。
制定信息系统运维的操作流程和管理规定,包括日常维护、备份、灾备恢复等方面的工作。
3.加强监控和预警。
建立运维监控系统,及时监测系统运行状态和异常情况,并能够及时预警和处理故障。
三、信息系统维护制度1.明确维护责任和要求。
制定维护工作的责任分工和绩效评估指标,明确各个岗位的工作职责和要求。
2.建立维护知识库。
建立维护知识库,包括系统配置和故障处理等方面的知识,方便维护人员使用和参考。
3.定期维护和升级。
制定信息系统的定期维护和升级计划,包括软件升级、补丁打补丁等,以确保系统的稳定性和安全性。
四、信息系统数据安全制度1.规范数据访问和权限控制。
明确数据访问的权限和限制规定,建立严格的权限管理机制,防止数据泄露和非法操作。
2.设立数据备份和恢复机制。
定期备份关键数据,并建立完善的数据恢复机制,以防止数据丢失和系统瘫痪。
3.加强安全防护措施。
加强网络安全、设备安全和物理安全等方面的防护措施,包括入侵检测系统、防火墙和安全策略等。
综上所述,信息系统管理制度是企业为了规范和保障信息系统的正常运行和安全性而制定的一系列管理规定和操作流程。
(完整版)信息系统建设管理制度
信息系统建设管理制度一章总则第一条为加快公司信息系统建设步伐,规范信息系统工程项目建设安全管理,提升信息系统建设和管理水平,保障信息系统工程项目建设安全,特制定本规范。
第二条本规范主要对XX公司(以下简称“公司”)信息系统建设过程提出安全管理规范。
保证安全运行必须依靠强有力的安全技术,同时更要有全面动态的安全策略和良好的内部管理机制,本规范包括五个部分:1)项目建设安全管理的总体要求:明确项目建设安全管理的目标和原则;2)项目规划安全管理:对信息化项目建设各个环节的规划提出安全管理要求,确定各个环节的安全需求、目标和建设方案;3)方案论证和审批安全管理:由安全管理部门组织行内外专家对项目建设安全方案进行论证,确保安全方案的合理性、有效性和可行性。
标明参加项目建设的安全管理和技术人员及责任,并按规定安全内容和审批程序进行审批;4)项目实施方案和实施过程安全管理:包括确定项目实施的阶段的安全管理目标和实施办法,并完成项目安全专用产品的确定、非安全产品安全性的确定等;5)项目投产与验收安全管理:制定项目安全测评与验收方法、项目投产的安全管理规范,以及相关依据。
第三条规范性引用文件下列文件中的条款通过本规范的引用而成为本规范的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,但鼓励研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本规范。
GB/T 5271.8-2001信息技术词汇第8部分安全第四条术语和定义本规范引用GB/T 5271.8-2001中的术语和定义,还采用了以下术语和定义:1)信息安全 infosec信息的机密性、完整性和可用性的保护。
注释:机密性定义为确保信息仅仅被那些被授权了的人员访问。
完整性定义为保护信息和处理方法的准确性和完备性。
可用性定义为保证被授权用户在需要时能够访问到信息和相关资产。
2)计算机系统安全工程 ISSE(Information Systems Security Engineering)计算机系统安全工程(ISSE)是发掘用户信息安全保护需求,然后以经济、精确和简明的方法来设计和建造计算机系统的一门技巧和科学,ISSE识别出安全风险,并使这些风险减至最少或使之受到遏制。
信息系统建设管理制度
信息系统建设管理制度一、引言随着信息技术的快速发展和信息化程度的不断提升,信息系统已成为企业重要的运营支撑。
对于一个企业来说,信息系统建设管理应该是一个长期不断完善的过程,且需要建立一套完善的管理制度,以确保信息系统能够稳定正常运行,满足企业发展的需要。
二、管理目标信息系统建设管理制度的主要目标是实现信息系统的有序化建设和有效运营,保障企业的业务需求和安全需求,同时提高信息系统的运行效率和管理效益。
三、制度内容1. 系统的建设和维护企业需要制定详细的信息系统建设和维护流程,确保按照标准化的程序进行开发和维护。
建设流程要求包括验证需求、系统设计、软件开发、系统测试、上线部署等完整的流程。
企业在维护过程中,还需要设定定期巡检、备份、紧急处理等制度,以保障系统的正常稳定运行。
2. 数据安全和保密企业需要建立完善的信息系统安全管理制度,包括数据库访问权限管理、数据备份和恢复、防火墙的配置、设备锁定等方面。
对于重要的信息系统数据,必须建立保密管理制度,防止泄露和篡改。
3. 服务质量管理企业需要建立完善的服务质量管理制度,包括用户需求管理、用户反馈管理、售后服务等方面。
通过建立服务质量管理制度,可以提供更好的用户体验,增强用户满意度,同时也能提高企业的市场竞争力。
4. 系统运维管理企业需要建立完善的系统运维管理制度,包括设备维护、设备更换、设备升级、设备维修等方面。
此外,还需要建立紧急事件管理制度,以确保系统的稳定性和可靠性。
5. 知识管理企业需要建立完善的知识管理制度,包括技术培训、知识共享、员工培训等方面。
这些措施可以提高员工的专业素养和工作技能,增强企业竞争力,提高应对市场变化的能力。
四、管理流程1. 系统建设流程•需求沟通和确认•系统设计和架构•系统开发和测试•系统部署和验收•项目文档归档2. 系统维护流程•系统更新检查和评估•系统升级和更新•系统巡检和检测•系统备份和恢复•紧急事件处理3. 服务质量流程•用户需求调查和反馈•定期客服问卷调查•售后服务管理•用户满意度调查和整改五、总结综上所述,建立完善的信息系统建设管理制度对于企业信息化建设至关重要。
信息系统规划和建设管理制度
信息系统规划和建设管理制度第一章总则第一条目的和依据1.1 本制度的目的是为了规范企业信息系统规划和建设工作,提高信息系统的质量和效益,保障企业信息化建设的顺利进行。
1.2 本制度依据国家相关法律法规、政策文件和企业发展需要订立,适用于企业全部信息系统规划和建设工作。
第二条适用范围2.1 本制度适用于企业全部信息系统规划和建设工作,包含内部管理系统、业务系统、数据中心等各类信息系统。
第三条定义3.1 信息系统规划:依据企业战略目标和业务需求,订立信息系统建设的长期规划和发展方向。
3.2 信息系统建设:依据信息系统规划,对系统进行分析、设计、开发、测试、部署和运维等工作。
第二章信息系统规划第四条规划组织和责任4.1 企业应设立信息系统规划部门,负责统一组织和协调信息系统规划工作,并明确规划负责人和团队成员的职责和权限。
4.2 信息系统规划部门应与企业各部门紧密合作,了解各部门的业务需求,订立符合企业整体发展的信息系统规划。
第五条规划过程和方法5.1 信息系统规划应依据企业战略目标和业务需求,采用系统化的方法进行,包含调研分析、需求调研、目标确定、方案订立、评估和决策等环节。
5.2 信息系统规划应重视前瞻性和可连续发展,充分考虑技术发展趋势和市场变动,并与企业战略目标相全都。
第三章信息系统建设第六条建设组织和责任6.1 企业应设立信息系统建设部门,负责统一组织和协调信息系统建设工作,并明确建设负责人和团队成员的职责和权限。
6.2 信息系统建设部门应与企业各部门紧密合作,了解各部门的业务需求,订立符合需求的系统设计和开发方案。
第七条建设过程和方法7.1 信息系统建设应依据信息系统规划,采用系统化的方法进行,包含需求分析、系统设计、开发测试、部署和运维等环节。
7.2 信息系统建设应采用合理和成熟的技术和工具,确保系统的稳定性、安全性和可扩展性。
第八条质量管理和评估8.1 信息系统建设应严格依照相关标准和流程进行,确保系统的质量和可靠性。
信息系统管理制度(五篇)
信息系统管理制度一、总则1、为加强公司网络管理,明确岗位职责,规范操作流程,维护网络正常运行,确保计算机信息系统的安全,现根据《____计算机信息系统安全保护条例》、等有关规定,结合本公司实际,特制订本制度;2、计算机信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统;3、公司由微机科专门负责本公司范围内的计算机信息系统安全管理工作。
二、网络管理1、遵守国家有关法律、法规,严格执行安全保密制度及公司信息保密协议相关条款,不得利用网络从事危害公司安全、泄露公司____等违法犯罪活动,严格控制和防范计算机病毒的侵入;2、禁止未授权用户或外来计算机接入公司计算机网络及访问、拷贝网络中的资源;3、任何员工不得故意输入、传播计算机病毒和其他有害数据,不得利用非法手段复制、截收、篡改计算机信息系统中的数据;4、计算机各终端用户应保管好自己的用户帐号和____。
严禁随意向他人泄露、借用自己的帐号和____;计算机使用者更应以____天为周期更改____、____长度不少于____位。
三、设备管理1、it设备安全管理实行“谁使用谁负责”的原则(公用设备责任落实到部门)。
严禁擅自移动和装拆各类设备及其他辅助设备;严禁擅自请人维修;严禁擅自调整部门内部计算机信息系统的安排;2、设备硬件或重装操作系统等问题由微机科统一管理。
四、数据管理1、计算机终端用户计算机内的资料涉及公司____的,应该为计算机设定开____码或将文件加密;凡涉及公司____的数据或文件,非工作需要不得以任何形式转移,更不得透露给他人。
离开原工作岗位的员工由所在部门经理负责将其所有工作资料收回并保存;2、工作范围内的重要数据(重要程度由各部门负责人核定)由计算机终端用户定期更新、备份,并提交给所在部门负责人,由部门负责人负责保存;3、计算机终端用户务必将有价值的数据存放在除系统盘(操作系统所在的硬盘分区,一般是c盘)外的盘上。
信息系统安全建设管理制度
第一章总则第一条为加强信息系统安全建设,保障公司信息资产的安全,维护公司正常运营秩序,根据国家相关法律法规和行业标准,结合公司实际情况,特制定本制度。
第二条本制度适用于公司所有信息系统及其相关设施的建设、运行和维护过程。
第三条信息系统安全建设应遵循以下原则:(一)安全优先:将信息系统安全建设放在首位,确保信息系统安全稳定运行。
(二)全面覆盖:覆盖信息系统建设全生命周期,包括规划、设计、开发、测试、部署、运维等环节。
(三)分层管理:按照信息系统安全等级,实施分级管理和防护措施。
(四)持续改进:根据安全形势变化和业务发展需求,不断完善信息系统安全建设。
第二章安全规划与设计第四条信息系统安全规划应与公司发展战略相结合,明确安全目标、策略和措施。
第五条信息系统安全设计应遵循以下要求:(一)采用先进的安全技术,提高信息系统整体安全防护能力;(二)合理划分安全区域,实现物理安全、网络安全、数据安全等多维度防护;(三)加强系统访问控制,确保用户身份认证和权限管理;(四)定期进行安全风险评估,制定相应的安全措施。
第三章安全实施与运维第六条信息系统安全实施应按照以下步骤进行:(一)安全配置:按照安全设计要求,对信息系统进行安全配置;(二)安全加固:对操作系统、数据库、中间件等关键组件进行安全加固;(三)安全审计:定期对信息系统进行安全审计,发现安全隐患及时整改;(四)安全监控:建立安全监控系统,实时监测信息系统安全状况。
第七条信息系统安全运维应遵循以下要求:(一)制定安全运维规范,明确运维人员职责和操作流程;(二)加强运维人员安全培训,提高安全意识和技能;(三)定期对运维人员进行安全考核,确保运维人员具备相应安全资质;(四)加强安全事件处置,确保信息系统安全稳定运行。
第四章安全教育与培训第八条公司应定期开展信息系统安全教育培训,提高员工安全意识和技能。
第九条安全教育培训内容应包括:(一)信息系统安全基础知识;(二)安全操作规范;(三)安全事件应对措施;(四)安全法律法规。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统建设管理制度一章总则第一条为加快公司信息系统建设步伐,规范信息系统工程项目建设安全管理,提升信息系统建设和管理水平,保障信息系统工程项目建设安全,特制定本规范。
第二条本规范主要对XX公司(以下简称“公司”)信息系统建设过程提出安全管理规范。
保证安全运行必须依靠强有力的安全技术,同时更要有全面动态的安全策略和良好的内部管理机制,本规范包括五个部分:1)项目建设安全管理的总体要求:明确项目建设安全管理的目标和原则;2)项目规划安全管理:对信息化项目建设各个环节的规划提出安全管理要求,确定各个环节的安全需求、目标和建设方案;3)方案论证和审批安全管理:由安全管理部门组织行内外专家对项目建设安全方案进行论证,确保安全方案的合理性、有效性和可行性。
标明参加项目建设的安全管理和技术人员及责任,并按规定安全内容和审批程序进行审批;4)项目实施方案和实施过程安全管理:包括确定项目实施的阶段的安全管理目标和实施办法,并完成项目安全专用产品的确定、非安全产品安全性的确定等;5)项目投产与验收安全管理:制定项目安全测评与验收方法、项目投产的安全管理规范,以及相关依据。
第三条规范性引用文件下列文件中的条款通过本规范的引用而成为本规范的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,但鼓励研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本规范。
GB/T 5271.8-2001信息技术词汇第8部分安全第四条术语和定义本规范引用GB/T 5271.8-2001中的术语和定义,还采用了以下术语和定义:1)信息安全 infosec信息的机密性、完整性和可用性的保护。
注释:机密性定义为确保信息仅仅被那些被授权了的人员访问。
完整性定义为保护信息和处理方法的准确性和完备性。
可用性定义为保证被授权用户在需要时能够访问到信息和相关资产。
2)计算机系统安全工程 ISSE(Information Systems Security Engineering)计算机系统安全工程(ISSE)是发掘用户信息安全保护需求,然后以经济、精确和简明的方法来设计和建造计算机系统的一门技巧和科学,ISSE识别出安全风险,并使这些风险减至最少或使之受到遏制。
3)风险分析 risk analysis对信息和信息处理设施所面临的威胁及其影响以及计算机系统脆弱性及其发生的可能性的分析评估。
4)安全目标 security objective本规范中特指公司项目建设信息安全管理中需要达成到的目标。
5)安全测试 security testing用于确定系统的安全特征按设计要求实现的过程。
这一过程通常包括现场功能测试、渗透测试和验证。
第五条本规范遵照国家相关政策法规和条例,结合各种信息化项目建设的具体情况,依据各种标准、规范以及安全管理规定而制定。
第二章项目建设安全管理的总体要求第六条项目建设安全管理目标一个项目的生命周期包括:项目申报、项目审批和立项、项目实施、项目验收和投产;从项目建设的角度来看,这些生命周期的阶段则包括以下子阶段:需求分析、总体方案设计、概要设计、详细设计、系统实施、系统测试和试运行,如下表所示。
项目建设安全管理的目标就是保证整个项目管理和建设过程中系统的安全。
为了达到这个目标,信息安全(INFOSEC)必须融合在项目管理和项目建设过程中,与公司的业务需求、环境要求、项目计划、成本效益以及国家和地方的政策、标准、指令相一致。
这种融合应该产生一个计算机系统安全工程(ISSE)项目,它要确认、评估、并且消除或控制住系统对已知或假定的威胁的脆弱点,最终得到一个可以接受水平的安全风险。
计算机系统安全工程(ISSE)并不意味着存在一个单独独立的过程。
它支持项目管理和建设过程,而且是后者不可分割的一部分。
第三章到第六章将以项目管理过程为主轴,并结合项目建设过程,规定了在每个阶段中应达到哪些计算机系统安全工程要求。
第七条项目建设安全管理原则信息系统项目建设安全管理应遵循如下原则:1)等级2)全生命周期安全管理:信息安全管理必须贯穿信息化项目建设的整个生命周期;3)成本-效益分析:进行信息安全建设和管理应考虑投入产出比;4)明确职责:每个参与项目建设和项目管理的人员都应该明确安全职责,应进行安全意识和职责培训,并落实到位;5)管理公开:应保证每个项目参与人员都知晓和理解安全管理的模式和方法;6)科学制衡:进行适当的职责分离,保证没有人可以单独完成一项业务活动,以避免出现相应的安全问题;7)最小特权:人员对项目资产的访问权限制到最低限度,即仅赋予其执行授权任务所必需的权限。
第八条项目建设安全管理要求项目安全管理工作应强化责任机制、规范管理程序,在项目的申报、审批、立项、实施、验收等关键环节中,必须依照规定的职能行使职权,并在规定的时限内完成各个环节的安全管理行为,否则应承担相应的行政责任。
第三章项目申报第九条项目申报阶段应对信息系统项目及其建设的各个环节进行统一的安全管理规划,确定项目的安全需求、安全目标、安全建设方案,以及生命周期各阶段的安全需求、安全目标、安全管理措施。
第十条应由项目应用主管单位进行项目需求分析、确定总体目标和建设方案。
项目应用主管单位进行项目申报时应填写《信息系统项目立项申请表》,并提交《业务需求书》和《信息系统项目可行性研究报告》。
第十二条系统定级1)依据国家信息系统安全等级保护定级指南(GBT 22240-2008)对项目中的系统进行定级,明确信息系统的边界和安全保护等级;2)以书面的形式说明确定信息系统为某个安全保护等级的方法和理由,形成信息系统定级报告;3)组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定,上报上级主管单位和安全监控单位进行审定;4)信息系统的定级结果向本地公安机关进行备案。
第十三条挖掘安全需求在《业务需求书》中除了描述系统业务需求之外,还应进行系统的安全性需求分析,应至少包括以下信息安全方面的内容:1)安全威胁分析报告:应分析待建计算机系统在生命周期的各个阶段中可能遭受的自然威胁或者人为威胁(故意或无意),具体包括威胁列表、威胁可能性分析、威胁严重性分析等;2)系统脆弱性分析报告:包括对系统造成问题的脆弱性的定性或定量的描述,这些问题是被攻击的可能性、被攻击成功的可能性;3)影响分析报告:描述威胁利用系统脆弱性可能导致不良影响。
影响可能是有形的,例如资金的损失或收益的减少,或可能是无形的,例如声誉和信誉的损失;4)风险分析报告:安全风险分析的目的在于识别出一个给定环境中涉及到对某一系统有依赖关系的安全风险。
它取决于上面的威胁分析、脆弱性分析和影响分析,应提供风险清单以及风险优先级列表;5)系统安全需求报告:针对安全风险,应提出安全需求,对于每个不可接受的安全风险,都至少有一个安全需求与其对应。
第十四条安全可行性在可行性报告的以下条目中应增加相应的信息安全方面的内容:1)项目目标、主要内容与关键技术:增加信息化项目的总体安全目标,并在主要内容后面增加针对前面分析出的安全需求所提出的相应安全对策,每个安全需求都至少对应一个安全对策,安全对策的强度应根据相应资产的重要性来选择;2)项目采用的技术路线或者技术方案:增加描述如何从技术、运作、组织以及制度四个方面来实现所有的安全对策,并形成安全方案;3)项目的承担单位及人员情况介绍:增加项目各承担单位的信息安全方面的资质和经验介绍,并增加介绍项目主要参与人员的信息安全背景;4)项目安全管理:增加项目建设中的安全管理模式、安全组织结构、人员的安全职责、建设实施中的安全操作程序和相应安全管理要求;5)成本效益分析:对安全方案进行成本-效益分析。
第十五条对投入使用的应用软件需要升级改造的,虽不需另行立项,但仍需参照上述方法进行一定的安全性分析,并针对可能发生的安全问题提出和实现相应安全对策。
第四章安全方案设计第十六条本阶段主要是项目审批单位对项目申报内容进行安全方案的设计,对项目的安全性进行确定,必要时可以聘请外单位的专家参与论证工作。
第十七条安全标准的确定1)根据系统的安全保护等级选择基本安全措施,设计安全标准必须达到等级保护相关等级的基本要求,并依据风险分析的结果进行补充和调整必要的安全措施;2)指定和授权专门的部门对信息系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划;3)应根据信息系统的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件4)应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施;5)根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。
第五章方案论证和审批第十八条本阶段主要是项目审批单位对项目申报内容进行审批,对项目进行安全性论证,必要时可以聘请外单位的专家参与论证工作。
第十九条安全性论证和审批安全性论证应着重对项目的安全需求分析、安全对策以及总体安全方案进行成本-效益、合理性、可行性和有效性分析,并在《信息化项目立项审批表》上给出明确的结论:1)适当2)不合适(否决)3)需作复议对论证结论为“需作复议”的项目,通知申报单位对有关内容进行必要的补充或者修改后,再次提交复审。
第二十条项目安全立项审批后,项目审批单位将对项目进行立项,在《信息系统项目任务书》的以下条目中应增加相应的计算机安全方面的内容:1)项目的管理模式、组织结构和责任:增加项目建设中的安全管理模式、安全组织结构以及人员的安全职责;2)项目实施的基本程序和相应的管理要求:增加项目建设实施中的安全操作程序和相应安全管理要求;3)项目设计目标、主要内容和关键技术:增加总体安全目标、安全对策以及用于实现安全对策的总体安全方案;4)项目实现功能和性能指标:增加描述系统拥有的具体安全功能以及安全功能的强度;5)项目验收考核指标:增加安全性测试和考核指标。
第二十一条立项的项目,如采用引进、合作开发或者外包开发等形式,则需与第三方签订安全保密协议。
第六章项目实施方案和实施过程安全管理标准第二十二条信息化项目实施阶段包括3个子阶段:概要设计、详细设计和项目实施,本阶段的主要工作由项目开发承担单位来完成,项目审批单位负责监督工作。
第二十三条概要设计子阶段的安全要求在概要设计阶段,系统层次上的设计要求和功能指标都被分配到了子系统层次上,这个子阶段的安全目标是保证各子系统设计实现了总体安全方案中的安全功能。