系統(tǒng)建設(shè)安全管理制度管理規(guī)范

22系統(tǒng)建設(shè)安全治理制度系統(tǒng)建設(shè)安全治理制度系統(tǒng)建設(shè)安全治理制度99頁9頁\l“_TOC_250017“1、目標(biāo) 3\l“_TOC_250016“2、總體要求 3\l“_TOC_250015“3工程申報(bào)安全治理 3\l“_TOC_250014“第一節(jié)系統(tǒng)定級(jí) 3\l“_TOC_250013“其次節(jié)挖掘安全需求 4\l“_TOC_250012“第三節(jié)安全方案設(shè)計(jì) 4\l“_TOC_250011“4、方案論證與審批安全治理 5\l“_TOC_250010“5、實(shí)施方案和實(shí)施過程安全治理 5\l“_TOC_250009“第一節(jié)實(shí)施方案設(shè)計(jì) 5\l“_TOC_250008“其次節(jié)產(chǎn)品選購(gòu) 5\l“_TOC_250007“第三節(jié)軟件開發(fā)或外包 6\l“_TOC_250006“第四節(jié)信息技術(shù)產(chǎn)品選型 6\l“_TOC_250005“第五節(jié)產(chǎn)品和效勞供給商選擇 6\l“_TOC_250004“第六節(jié)工程質(zhì)量治理和監(jiān)視 8\l“_TOC_250003“6、驗(yàn)收與投產(chǎn)安全治理 8\l“_TOC_250002“第一節(jié)安全測(cè)試 8\l“_TOC_250001“其次節(jié)驗(yàn)收測(cè)試 9\l“_TOC_250000“第三節(jié)系統(tǒng)交付 9系統(tǒng)建設(shè)安全治理1、目標(biāo)保障信息化工程工程建設(shè)安全，特制定本制度。2、總體要求從工程建設(shè)的角度來看，這些生命周期的階段則包括以下子階段：需求分析、總體方案設(shè)計(jì)、概要設(shè)計(jì)、具體設(shè)計(jì)、系統(tǒng)實(shí)施、系統(tǒng)測(cè)試和試運(yùn)行，如下表所示：工程申報(bào)工程審批和立項(xiàng)工程實(shí)施工程驗(yàn)收和投產(chǎn)

工程治理生命周期需求分析總體方案設(shè)計(jì)概要設(shè)計(jì)、具體設(shè)計(jì)、系統(tǒng)實(shí)施系統(tǒng)測(cè)試、試運(yùn)行和投產(chǎn)工程建設(shè)安全治理的目標(biāo)就是保證整個(gè)工程治理和建設(shè)過程中系統(tǒng)的安全。施、驗(yàn)收等關(guān)鍵環(huán)節(jié)中，必需依照規(guī)定的職能行使職權(quán)，并在規(guī)定的時(shí)限內(nèi)完成各個(gè)環(huán)節(jié)的安全治理行為，否則應(yīng)擔(dān)當(dāng)相應(yīng)的行政責(zé)任。3工程申報(bào)安全治理標(biāo)、安全治理措施。級(jí)，明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí)；級(jí)報(bào)告；和審定，上報(bào)上級(jí)主管單位和安全監(jiān)控單位進(jìn)展審定；信息系統(tǒng)的定級(jí)結(jié)果向本地公安機(jī)關(guān)進(jìn)展備案。應(yīng)進(jìn)展系統(tǒng)的安全性需求分析，應(yīng)至少包括以下信息安全方面的內(nèi)容：自然威逼或者人為威逼〔有意或無意威逼嚴(yán)峻性分析等；問題是被攻擊的可能性、被攻擊成功的可能性；例如資金的損失或收益的削減，或可能是無形的，例如聲譽(yù)和信譽(yù)的損失；應(yīng)供給風(fēng)險(xiǎn)清單以及風(fēng)險(xiǎn)優(yōu)先級(jí)列表；風(fēng)險(xiǎn)，都至少有一個(gè)安全需求與其對(duì)應(yīng)。級(jí)的根本要求，并依據(jù)風(fēng)險(xiǎn)分析的結(jié)果進(jìn)展補(bǔ)充和調(diào)整必要的安全措施；建設(shè)工作打算；框架、安全治理策略、總體建設(shè)規(guī)劃和具體設(shè)計(jì)方案，并形成配套文件；總體建設(shè)規(guī)劃、具體設(shè)計(jì)方案等相關(guān)配套文件的合理性和正確性進(jìn)展論證和審定，并且經(jīng)過批準(zhǔn)后，才能正式實(shí)施；治理策略、總體建設(shè)規(guī)劃、具體設(shè)計(jì)方案等相關(guān)配套文件。4、方案論證與審批安全治理時(shí)可以聘請(qǐng)外單位的專家參與論證工作。益、合理性、可行性和有效性分析，并給出明確的結(jié)論：適當(dāng)不適宜〔拒絕〕需作復(fù)議改后，再次提交復(fù)審。5、實(shí)施方案和實(shí)施過程安全治理對(duì)系統(tǒng)層面上的和模塊層面上的安全設(shè)計(jì)進(jìn)展審查；〔通常包括完整的系統(tǒng)的、軟件的、硬件的安全測(cè)試方案，至少是相關(guān)測(cè)試程序的一個(gè)草案；確認(rèn)各模塊的設(shè)計(jì)，以及模塊間的接口設(shè)計(jì)能滿足系統(tǒng)層面的安全要求。信息產(chǎn)品的選購(gòu)必需由綜合治理科進(jìn)展統(tǒng)一選購(gòu)；或認(rèn)證的產(chǎn)品；全部安全設(shè)備購(gòu)回后均需進(jìn)展嚴(yán)格檢測(cè)，凡購(gòu)回的設(shè)備均應(yīng)在測(cè)試環(huán)境下經(jīng)過連續(xù)驗(yàn)收或驗(yàn)收不合格的設(shè)備交付使用；通過試運(yùn)行的設(shè)備，才能投入生產(chǎn)系統(tǒng)，正式運(yùn)行。方備份保存；供給源代碼以及相關(guān)設(shè)計(jì)、實(shí)施文檔；；在安裝之前進(jìn)展安全性測(cè)試及源代碼審核。對(duì)工程實(shí)施所需的計(jì)算機(jī)及配套設(shè)備、網(wǎng)絡(luò)設(shè)備、重要機(jī)具〔如ATM產(chǎn)品的購(gòu)置，計(jì)算機(jī)應(yīng)用系統(tǒng)的合作開發(fā)或者外包開發(fā)確實(shí)定，按現(xiàn)有制度中的相關(guān)規(guī)定執(zhí)行；安全專用產(chǎn)品應(yīng)具有國(guó)家職能局部頒發(fā)的信息安全專用產(chǎn)品的銷售許可證；型的標(biāo)準(zhǔn)；制定信息技術(shù)產(chǎn)品選型的標(biāo)準(zhǔn)；全部安全設(shè)備購(gòu)回后均需進(jìn)展嚴(yán)格檢測(cè)，凡購(gòu)回的設(shè)備均應(yīng)在測(cè)試環(huán)境下經(jīng)過連續(xù)驗(yàn)收或驗(yàn)收不合格的設(shè)備交付使用；通過試運(yùn)行的設(shè)備，才能投入生產(chǎn)系統(tǒng)，正式運(yùn)行。為重要的系統(tǒng)應(yīng)有更高級(jí)別的集成資質(zhì)；工商要求：產(chǎn)品、系統(tǒng)或效勞供給單位的營(yíng)業(yè)執(zhí)照和稅務(wù)登記在合法期限內(nèi)；產(chǎn)品、系統(tǒng)或效勞供給商的產(chǎn)品、系統(tǒng)或效勞的供給資格；連續(xù)贏利期限要求；連續(xù)無相關(guān)法律訴訟年限要求；沒有發(fā)生重大治理、技術(shù)人員變化和流淌的期限要求；沒有發(fā)生主業(yè)變化期限要求。級(jí)別的安全效勞資質(zhì)；頒發(fā)的信息安全人員資質(zhì)認(rèn)證；信息和惡意代碼進(jìn)展有效把握，依據(jù)有關(guān)規(guī)定對(duì)設(shè)備進(jìn)展把握，使之不被作為非法攻擊的跳板。神簽訂，合同應(yīng)包括以下主要內(nèi)容及條款：工程名稱和地點(diǎn)或設(shè)備等名稱；工程范圍和內(nèi)容或設(shè)備等內(nèi)容明細(xì)；開、竣工日期或交、提貨時(shí)間、地點(diǎn)；中間交工工程開、竣工日期；工程質(zhì)量或設(shè)備等制造質(zhì)量；保修期保修條件；工程造價(jià)或設(shè)備等價(jià)款；工程價(jià)款或設(shè)備等價(jià)款的支付方式；結(jié)算和交工、交提貨驗(yàn)收方法；技術(shù)資料供給份數(shù)及日期；材料和設(shè)備工業(yè)及進(jìn)場(chǎng)期限；雙方相互協(xié)商事項(xiàng)；違約責(zé)任；15、其它。確定工程質(zhì)量終生負(fù)責(zé)制。工程負(fù)責(zé)人對(duì)工程在設(shè)計(jì)使用年限內(nèi)任何質(zhì)量缺陷負(fù)全責(zé)。質(zhì)保量，按期完成各項(xiàng)工程任務(wù)；工期打算、質(zhì)量存在隱患、本錢失控的工程部要準(zhǔn)時(shí)進(jìn)展整改，施工工程部必需準(zhǔn)時(shí)落實(shí)整改意見，按要求實(shí)行補(bǔ)救措施，確保工程保質(zhì)保量，按打算實(shí)施。對(duì)于不能確保工程目標(biāo)的實(shí)現(xiàn)又不能落實(shí)整改措施的工程部，工程治理領(lǐng)導(dǎo)小組將準(zhǔn)時(shí)撤換主要負(fù)責(zé)人及相關(guān)人員，視情節(jié)按醫(yī)院有關(guān)制度進(jìn)展懲罰。6、驗(yàn)收與投產(chǎn)安全治理同組織進(jìn)展測(cè)試。在測(cè)試大綱中應(yīng)至少包括以下安全性測(cè)試和評(píng)估要求：配置治理：系統(tǒng)開發(fā)單位應(yīng)使用配置治理系統(tǒng)，并供給配置治理文檔；的配置；計(jì)進(jìn)展檢查，保證其符合概要設(shè)計(jì)以及總體安全方案；優(yōu)點(diǎn)和保護(hù)功能等具體準(zhǔn)確的信息；系統(tǒng)用戶指南：必需包含兩方面的內(nèi)容：首先，它必需解釋那些用戶可見的安全它必需解釋在維護(hù)系統(tǒng)的安全時(shí)用戶所能起的作用；〔如，口令字或哈希函數(shù)令空間是否有足夠大來指出口令字功能是否滿足強(qiáng)度要求；〔安全對(duì)策是否可以滿足全部的安全需求內(nèi)容，以推斷它們?cè)趯?shí)際應(yīng)用中是否會(huì)被利用來減弱系統(tǒng)的安全。果。不能通過安全性測(cè)試評(píng)估的，由測(cè)試小組提出修改意見，工程開發(fā)擔(dān)當(dāng)單位應(yīng)作進(jìn)一步修改。的工程驗(yàn)收組對(duì)工程進(jìn)展驗(yàn)收。驗(yàn)收應(yīng)增加以下安全內(nèi)容：能；承受技術(shù)是否符合國(guó)家、海關(guān)總署有關(guān)安全技術(shù)標(biāo)準(zhǔn)及標(biāo)準(zhǔn)；是否實(shí)現(xiàn)驗(yàn)收測(cè)評(píng)的安全技術(shù)指標(biāo)；工程建設(shè)過程中的各種文檔資料是否標(biāo)準(zhǔn)、齊全；在驗(yàn)收?qǐng)?bào)告中也應(yīng)在以下條目中反映對(duì)系統(tǒng)安全性驗(yàn)收的狀況：工程設(shè)計(jì)總體安全目標(biāo)及主要內(nèi)容；工程承受的關(guān)鍵安全技術(shù)；驗(yàn)收專家組中的安全專家