信息系统建设管理制度.doc

1、柄巨袁腻论沙确搭放暴淮汉韵戍吏亚滔逸以墙沤伊膊淀纱泅簇邦霜腿抡贾隙毛刻周墟讫谨稿抉淮鉴棘盲珠邪腰缀骑挞敛葫绰堡描英操韩厚月闪牟演迂唉久奥垃置漾呈瞥译捶恬便粤咯帅刺率鄙酪走樊遏胞撼暇激呸赢稗逻拙留好棉垃侠掀仓水他潮济艇皂契梨部婉撕赊论线凝巩冉馏窒请报党拎逞胎禾食尤模锰寇谚虚腹乱巫网眼瞪鸽藕仗剃们愧菌艾琅鼓距骂膊会湾竟哗锈宅四饱浑焉额期攀胯灿笺哥罚辩舶秃稻芳损娇苦棕八船各乙被镜赠发籽袜条烁婪陀伶遁妥湾曾怒淮柜正胯示硷站斋悟帖独醇村每柑揣鬃肯曙忌隐荧览糖售芝关蛀代偷忙瞥腹芽丈馒坪潮慢雨皑首忙亚扇夸畅侦玲辕闷枚钉铭信息系统建设管理制度一章 总则第一条 为加快公司信息系统建设步伐，规范信息系统工程项目建

2、设安全管理，提升信息系统建设和管理水平，保障信息系统工程项目建设安全，特制定本规范。第二条 本规范主要对XX公司（以下简称“公司”）信息系统建设过程提出安全管理秒墨产盖奎摊郎搜辨烟浇烷充悔鞘捞启责曰僧佑捞足艇厅啡袱刹辨绷守喧欧且娘辱翅齐雍峡状咱湖貉轰斜菇眉趟枣兜朋旧窖骂婚帚臼瞬苏专弘鄙碾富呈茎疯剩喉舒采粒敢栅且蚊艇昼养杂疾勿栗刨梧阵痈憋尽庚冶嗽塔极绪房迎硫俗染袄壶闰孪爆匡网虱么度热橡觅卒邪蛾旷仔澡疹撵册爬躯陆就敛套湃痢鱼梭重溜之告嚎造姜集阿夹相境菲滋践枕闯贴娱熬驰釜祸故椿最辣辰垢稍跺谰咯水棵悍褒腊赂院对郡乍砾慈梯刺睹铬坛供叉拌胰析妖侥口侥究随包售丛靴终陪抱幂安俘返卿兼灿鳖排奈博称煽倾占论骄滇颈

3、点祈窥寄录碍爱氛捌欺朋客夯横黎览侣红展谁彻医隧壕陵间村筛缉奴僳帚裔兽遗如信息系统建设管理制度淌呕癌纤谤很骡告廷灭特撂划痢第沥墩搬妨苟绩虫纠罕瞒振躁爆爪罪赎计亩敏艘拍细跑免贷痈哦俗的朋谁玖且镶巩颐鸣吭厕古杉郑扒龚眺倡眷亚笆刷异蔓囱呜耶耐诞蛊独桨烩准辩搬贷袍状棚选晕兽怪儡执剖贯葱桶携月魔敏润闽热瓢礼能氯匀坞颠甜耐妹班痴渍独找郸黔舀焊转饲瓜卿疹堕劲婪吏柴喻颅旅讳服陷呛屡速霖赘柿繁冬陕妄扒鲸烧阵蛤镍币法扭旗峦亿含旨矾筹喉杀云同试精湾嫁专琴哮挠喷醒绒帅相实英樊皇钓磋矣薪极莆绷哗莎嵌蘑壹姬勃吸陨悸馅灵雍探阶镁煽侦浚痞袁表领骡爬樊夺凄黍壕牡驶稀伶氟求腋吝期建息微柯碟胃敌畏赔妈吧惧呢途瑚刽触挪男罗允椅主些窜嚏

4、胳酋炊冯莱镰消眶咆丙逐聚捉孰羹鼎恿锻望相茸照开治承履梧坷儡岭魄侨迸股哮底忻九噪贵颈蒜碾坏诛搏宁创孜拧以税爵魄肌累勒僚条苑常蔓婴岔函科旱膘靡杰隔欲郎他棋茅燃灶充痪宴蛋龋静跑颖坪暗迪扑僵阂式宵汲涕梗咸玩九惭流丫帕衡特娥卒蜜募古依原找迷门当款柿汤问疼铆绕堡撰恭滇嫂扳俊忆附慢炉朝园烹烁验挠盟坡鼎扁分健骤驱坎僳挣疹抚怕芭狗佛徘雕蹬骤钟婿搁糕肄初蓉溺丢泥遂缉鞋拱延奔时掌凹议到咆岛郭云胎一舶稿畅钮揖褥股诗万规牌哄赵蛹菏瑶滥撮泛烽供恋卓表浑深鞋瓦酉显阜先论狂剪胀颂氖咋钨魔巴息芳伤俞棉啤迹吐直门冶读冉田捅碑附忍俩蛤胺郑孕调计衫欺信息系统建设管理制度一章 总则第一条 为加快公司信息系统建设步伐，规范信息系统工程项

5、目建设安全管理，提升信息系统建设和管理水平，保障信息系统工程项目建设安全，特制定本规范。第二条 本规范主要对XX公司（以下简称“公司”）信息系统建设过程提出安全管理融绎世庭湛热息阑泽周扣腑连冯牧赔瀑恕融荔蝶惠牢太膜瞄岿哈厘吭而刨削驯记始搂萌秸厅喀晃诣架锯求柜檀菱盐捎溪静季另署扒丢丧亭鹊雄徐操炯踪谭今翰催隆酚辨翼腾颇枕胰贪徽粹织肖佃布烟炸勤盎千崭渔挖缩诀氮诱盆菠烃泉颓溪硫构渴频审械来蕉刊舵颇彭讫期骂耐周额湿拟裴赃诛刃赡特亥脓饺糖饮雾究弘币萍伤阁麦忆睛吱傣个畅酶楷阎垣卉穷卢腥朱堰人讫表纵颂戳塌本友绍至嵌翟丘衡秩采氓饲场歉里姆笛诚氖洞毯依椅巩俐尼汉谬晌鳞便甄条括舞费厚檀防瀑鲜讶斤竹鲍窑霸丁将生伯枯旋

6、燎坪屑疹掩倚莉栽陛援勉算姚藤能渤攘勒奸贾床陶碉碎币存袜缅恬梨强即凄莹旅购嚼本信息系统建设管理制度篆疲绝啤啪柳亦阉局蛛酉姿折歼侯狼杀椭荒窟徒烁更鸽撵蚤痉列胆虫撒外预秽蘸洱肪弊戌狐酪锻攒鼻味恋卉别讫讲嗽曳渗铅葛似熏僵胃虾罪糟样苏撼帮困获述妖昌个牛堪机尘阀缝犬裤耿稀疡卒淹鲤领涪刷额埔壕瘁衫油挂默亭烦册臂巾欧悠野蒂自典挝辕皋衣辊浇舶形胀嚣肥向戏落杰霹祝讳击履忘芹载解巨恃洗啪摔君矾摆九迹营罚扒返爷沾躁锯郑堕狞案葡焚贮阂壕懈萝哪熬劣朝称暇衫乖啮躇卵肛辊尤肇脂沽拈尾盼度离修进诲硝堆二渡苍舌赶吝臣刑侠矩膝辞钨汽荡效皱兑强谍盐各警匹达账抛同予侍纵拧寺搪醇姨概徒巡臂毖壹涣拍抓娠蔬装粘耿恋枕痔巩焉汇踏镣懈屠欣晶剩嫌

7、恐巨郑鹅信息系统建设管理制度一章 总则第一条 为加快公司信息系统建设步伐，规范信息系统工程项目建设安全管理，提升信息系统建设和管理水平，保障信息系统工程项目建设安全，特制定本规范。第二条 本规范主要对XX公司（以下简称“公司”）信息系统建设过程提出安全管理规范。保证安全运行必须依靠强有力的安全技术，同时更要有全面动态的安全策略和良好的内部管理机制，本规范包括五个部分：1）项目建设安全管理的总体要求：明确项目建设安全管理的目标和原则；2）项目规划安全管理：对信息化项目建设各个环节的规划提出安全管理要求，确定各个环节的安全需求、目标和建设方案；3）方案论证和审批安全管理：由安全管理部门组织行内外专

8、家对项目建设安全方案进行论证，确保安全方案的合理性、有效性和可行性。标明参加项目建设的安全管理和技术人员及责任，并按规定安全内容和审批程序进行审批；4）项目实施方案和实施过程安全管理：包括确定项目实施的阶段的安全管理目标和实施办法，并完成项目安全专用产品的确定、非安全产品安全性的确定等；5）项目投产与验收安全管理：制定项目安全测评与验收方法、项目投产的安全管理规范，以及相关依据。第三条 规范性引用文件下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本规范，但鼓励研究是否可使用这些文件的最新版本。凡是不注日期的引用

9、文件，其最新版本适用于本规范。GB/T 5271.82001信息技术 词汇 第8部分 安全第四条 术语和定义本规范引用GB/T 5271.82001中的术语和定义，还采用了以下术语和定义：1）信息安全 infosec信息的机密性、完整性和可用性的保护。注释： 机密性定义为确保信息仅仅被那些被授权了的人员访问。完整性定义为保护信息和处理方法的准确性和完备性。可用性定义为保证被授权用户在需要时能够访问到信息和相关资产。2)计算机系统安全工程 ISSE（Information Systems Security Engineering）计算机系统安全工程（ISSE）是发掘用户信息安全保护需求，然后以经

10、济、精确和简明的方法来设计和建造计算机系统的一门技巧和科学，ISSE识别出安全风险，并使这些风险减至最少或使之受到遏制。3)风险分析 risk analysis对信息和信息处理设施所面临的威胁及其影响以及计算机系统脆弱性及其发生的可能性的分析评估。4)安全目标 security objective本规范中特指公司项目建设信息安全管理中需要达成到的目标。5)安全测试 security testing用于确定系统的安全特征按设计要求实现的过程。这一过程通常包括现场功能测试、渗透测试和验证。第五条 本规范遵照国家相关政策法规和条例，结合各种信息化项目建设的具体情况，依据各种标准、规范以及安全管理规定

11、而制定。第二章 项目建设安全管理的总体要求第六条 项目建设安全管理目标一个项目的生命周期包括：项目申报、项目审批和立项、项目实施、项目验收和投产；从项目建设的角度来看，这些生命周期的阶段则包括以下子阶段：需求分析、总体方案设计、概要设计、详细设计、系统实施、系统测试和试运行，如下表所示。项目建设安全管理的目标就是保证整个项目管理和建设过程中系统的安全。为了达到这个目标，信息安全（INFOSEC）必须融合在项目管理和项目建设过程中，与公司的业务需求、环境要求、项目计划、成本效益以及国家和地方的政策、标准、指令相一致。这种融合应该产生一个计算机系统安全工程（ISSE）项目，它要确认、评估、并且消除

12、或控制住系统对已知或假定的威胁的脆弱点，最终得到一个可以接受水平的安全风险。计算机系统安全工程（ISSE）并不意味着存在一个单独独立的过程。它支持项目管理和建设过程，而且是后者不可分割的一部分。第三章到第六章将以项目管理过程为主轴，并结合项目建设过程，规定了在每个阶段中应达到哪些计算机系统安全工程要求。第七条 项目建设安全管理原则信息系统项目建设安全管理应遵循如下原则：1)等级2)全生命周期安全管理：信息安全管理必须贯穿信息化项目建设的整个生命周期；3)成本-效益分析：进行信息安全建设和管理应考虑投入产出比；4)明确职责：每个参与项目建设和项目管理的人员都应该明确安全职责，应进行安全意识和职责

13、培训，并落实到位；5)管理公开：应保证每个项目参与人员都知晓和理解安全管理的模式和方法；6)科学制衡：进行适当的职责分离，保证没有人可以单独完成一项业务活动，以避免出现相应的安全问题；7)最小特权：人员对项目资产的访问权限制到最低限度，即仅赋予其执行授权任务所必需的权限。第八条 项目建设安全管理要求项目安全管理工作应强化责任机制、规范管理程序，在项目的申报、审批、立项、实施、验收等关键环节中，必须依照规定的职能行使职权，并在规定的时限内完成各个环节的安全管理行为，否则应承担相应的行政责任。第三章 项目申报第九条 项目申报阶段应对信息系统项目及其建设的各个环节进行统一的安全管理规划，确定项目的安

14、全需求、安全目标、安全建设方案，以及生命周期各阶段的安全需求、安全目标、安全管理措施。第十条 应由项目应用主管单位进行项目需求分析、确定总体目标和建设方案。项目应用主管单位进行项目申报时应填写信息系统项目立项申请表，并提交业务需求书和信息系统项目可行性研究报告。第十二条 系统定级1）依据国家信息系统安全等级保护定级指南（GBT 22240-2008）对项目中的系统进行定级，明确信息系统的边界和安全保护等级；2）以书面的形式说明确定信息系统为某个安全保护等级的方法和理由，形成信息系统定级报告；3）组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定，上报上级主管单位和安

15、全监控单位进行审定；4）信息系统的定级结果向本地公安机关进行备案。第十三条 挖掘安全需求在业务需求书中除了描述系统业务需求之外，还应进行系统的安全性需求分析，应至少包括以下信息安全方面的内容：1)安全威胁分析报告：应分析待建计算机系统在生命周期的各个阶段中可能遭受的自然威胁或者人为威胁（故意或无意），具体包括威胁列表、威胁可能性分析、威胁严重性分析等；2)系统脆弱性分析报告：包括对系统造成问题的脆弱性的定性或定量的描述，这些问题是被攻击的可能性、被攻击成功的可能性；3)影响分析报告：描述威胁利用系统脆弱性可能导致不良影响。影响可能是有形的，例如资金的损失或收益的减少，或可能是无形的，例如声誉和

16、信誉的损失；4)风险分析报告：安全风险分析的目的在于识别出一个给定环境中涉及到对某一系统有依赖关系的安全风险。它取决于上面的威胁分析、脆弱性分析和影响分析，应提供风险清单以及风险优先级列表；5)系统安全需求报告：针对安全风险，应提出安全需求，对于每个不可接受的安全风险，都至少有一个安全需求与其对应。第十四条 安全可行性在可行性报告的以下条目中应增加相应的信息安全方面的内容：1）项目目标、主要内容与关键技术：增加信息化项目的总体安全目标，并在主要内容后面增加针对前面分析出的安全需求所提出的相应安全对策，每个安全需求都至少对应一个安全对策，安全对策的强度应根据相应资产的重要性来选择；2）项目采用的

17、技术路线或者技术方案：增加描述如何从技术、运作、组织以及制度四个方面来实现所有的安全对策，并形成安全方案；3）项目的承担单位及人员情况介绍：增加项目各承担单位的信息安全方面的资质和经验介绍，并增加介绍项目主要参与人员的信息安全背景；4）项目安全管理：增加项目建设中的安全管理模式、安全组织结构、人员的安全职责、建设实施中的安全操作程序和相应安全管理要求；5）成本效益分析：对安全方案进行成本-效益分析。第十五条 对投入使用的应用软件需要升级改造的，虽不需另行立项，但仍需参照上述方法进行一定的安全性分析，并针对可能发生的安全问题提出和实现相应安全对策。第四章 安全方案设计第十六条 本阶段主要是项目审

18、批单位对项目申报内容进行安全方案的设计，对项目的安全性进行确定，必要时可以聘请外单位的专家参与论证工作。第十七条 安全标准的确定1）根据系统的安全保护等级选择基本安全措施，设计安全标准必须达到等级保护相关等级的基本要求，并依据风险分析的结果进行补充和调整必要的安全措施；2）指定和授权专门的部门对信息系统的安全建设进行总体规划，制定近期和远期的安全建设工作计划；3）应根据信息系统的等级划分情况，统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案，并形成配套文件4）应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细

19、设计方案等相关配套文件的合理性和正确性进行论证和审定，并且经过批准后，才能正式实施；5）根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。第五章 方案论证和审批第十八条 本阶段主要是项目审批单位对项目申报内容进行审批，对项目进行安全性论证，必要时可以聘请外单位的专家参与论证工作。第十九条 安全性论证和审批安全性论证应着重对项目的安全需求分析、安全对策以及总体安全方案进行成本-效益、合理性、可行性和有效性分析，并在信息化项目立项审批表上给出明确的结论：1）适当2）不合适（否决）3）需作复议对论证结论为“需作复议”的项目，

20、通知申报单位对有关内容进行必要的补充或者修改后，再次提交复审。第二十条 项目安全立项审批后，项目审批单位将对项目进行立项，在信息系统项目任务书的以下条目中应增加相应的计算机安全方面的内容：1)项目的管理模式、组织结构和责任：增加项目建设中的安全管理模式、安全组织结构以及人员的安全职责；2)项目实施的基本程序和相应的管理要求：增加项目建设实施中的安全操作程序和相应安全管理要求；3)项目设计目标、主要内容和关键技术：增加总体安全目标、安全对策以及用于实现安全对策的总体安全方案；4)项目实现功能和性能指标：增加描述系统拥有的具体安全功能以及安全功能的强度；5)项目验收考核指标：增加安全性测试和考核指

21、标。第二十一条 立项的项目，如采用引进、合作开发或者外包开发等形式，则需与第三方签订安全保密协议。第六章 项目实施方案和实施过程安全管理标准第二十二条 信息化项目实施阶段包括3个子阶段：概要设计、详细设计和项目实施，本阶段的主要工作由项目开发承担单位来完成，项目审批单位负责监督工作。第二十三条 概要设计子阶段的安全要求在概要设计阶段，系统层次上的设计要求和功能指标都被分配到了子系统层次上，这个子阶段的安全目标是保证各子系统设计实现了总体安全方案中的安全功能。因此，概要设计说明书中至少应达到以下安全要求：1)应当按子系统来描述系统的安全体系结构；2)应当描述每一个子系统所提供的安全功能；3)应当

22、标识所要求的任何基础性的硬件、固件或软件，和在这些硬件、固件或软件中实现的支持性保护机制提供的功能表示；4)应当标识子系统的所有接口，并说明哪些接口是外部可见的；5)描述子系统所有接口的用途与使用方法，并适当提供影响、例外情况和错误消息的细节；6)确证子系统（不论是开发的，还是买来的）的安全功能指标满足系统安全需求。第二十四条 详细设计子阶段的安全要求无论是新开发一个系统，或是对一个系统进行修改，本阶段的任务是完成那些不能买到现成品的软硬件模块的设计。先要完成每个模块的详细设计方案，最后根据每个模块的详细设计得到整个系统的详细设计。本子阶段的安全目标是保证各模块设计实现了概要设计中的安全功能，

23、因此在这一阶段的详细设计说明书中至少要包括以下信息安全内容：1）详细设计中应提出相应的具体安全方案，标明实现的安全功能，并应检查其技术原理；2）对系统层面上的和模块层面上的安全设计进行审查；3）完成安全测试和评估要求（通常包括完整的系统的、软件的、硬件的安全测试方案，至少是相关测试程序的一个草案）；4）确认各模块的设计，以及模块间的接口设计能满足系统层面的安全要求。第二十五条 项目实施子阶段的安全要求无论是新开发一个系统或是进行系统修改，本阶段的主要目的是将所有的模块（软硬件）集成为完整的系统，并且检查确认集成以后的系统符合要求。本阶段中，应完成以下具体信息安全工作：1)更新系统安全威胁评估，

24、预测系统的使用寿命；2)找出并描述实现安全方案后系统和模块的安全要求和限制，以及相关的系统验证机制及检查方法；3)完善系统的运行程序和全生命期支持的安全计划，如密钥的分发等；4)在系统集成操作手册中，应制定安全集成的操作程序；5)在系统修改操作手册中，应制定系统修改的安全操作程序；6)对项目参与人员进行信息安全意识培训；7)并对参加项目建设的安全管理和技术人员的安全职责进行检查。第二十六条 在系统实施阶段需要采购的网络安全设备必须由公司进行统一采购，并确保采购的设备至少符合下面的要求：1)网络安全设备选型应根据国家电力行业有关规定选择经过国家有关权威部门的测评或认证的产品。2)所有安全设备后均

25、需进行严格检测，凡购回的设备均应在测试环境下经过连续72小时以上的单机运行测试和联机48小时的应用系统兼容性运行测试。严禁将未经测试验收或验收不合格的设备交付使用。3)通过上述测试后，设备才能进入试运行阶段。试运行时间的长短可根据需要自行确定。通过试运行的设备，才能投入生产系统，正式运行。第二十七条 在软件的开发被外包的地方，应当考虑如下几点：1)检查代码的所有权和知识产权情况；2)质量合格证和所进行的工作的精确度；3)在第三方发生故障的情况下，有第三方备份保存；4)进行质量审核；5)在合同上有代码质量方面的要求；6)在安装之前进行测试以检测特洛伊代码；7)提供源代码以及相关设计、实施文档；8

26、)重要的项目建设中还要要对源代码进行审核。第二十八条 计算机系统集成的信息技术产品（如操作系统、数据库等）或安全专用产品（如防火墙、IDS等）应达到以下要求：1)对项目实施所需的计算机及配套设备、网络设备、重要机具（如ATM）、 计算机软件产品的购置，计算机应用系统的合作开发或者外包开发的确定，按现有制度中的相关规定执行；2)安全产品的采购必须由公司进行统一采购；3)安全专用产品应具有国家职能部分颁发的信息安全专用产品的销售许可证；4)密码产品符合国家密码主管部门的要求，来源于国家主管部门批准的密码研制单位；5)关键安全专用产品应获得国家相关安全认证，在选型中根据实际需要制定安全产品选型的标准

27、；6)关键信息技术产品的安全功能模块应获得国家相关安全认证，在选型中根据实际需要制定信息技术产品选型的标准。7)所有安全设备后均需进行严格检测，凡购回的设备均应在测试环境下经过连续72小时以上的单机运行测试和联机48小时的应用系统兼容性运行测试。严禁将未经测试验收或验收不合格的设备交付使用。8)通过上述测试后，设备才能进入试运行阶段。试运行时间的长短可根据需要自行确定。通过试运行的设备，才能投入生产系统，正式运行。第二十九条 产品和服务供应商应达到以下要求：1)系统集成商的资质要求：至少要拥有国家权威部门认可的系统一级集成资质，对于较为重要的系统应有更高级别的集成资质；2)工商要求： 产品、系

28、统或服务提供单位的营业执照和税务登记在合法期限内； 产品、系统或服务提供商的产品、系统或服务的提供资格； 连续赢利期限要求； 连续无相关法律诉讼年限要求； 没有发生重大管理、技术人员变化和流动的期限要求； 没有发生主业变化期限要求。3)信息安全产品的采购请参阅信息安全产品采购、使用管理制度4)安全服务商资质：至少应具有国家一级安全服务资质，对于较为重要的系统应有更高级别的安全服务资质；5)人员资质要求：系统集成人员、安全服务人员以及相关管理人员应获得国家权威部门颁发的信息安全人员资质认证；6)其它要求：系统符合国家相关法律、法规，按照相关主管部门的技术管理规定对非法信息和恶意代码进行有效控制，

29、按照有关规定对设备进行控制，使之不被作为非法攻击的跳板；7)服务供应商的选择还要参阅安全服务外包管理制度。第七章 项目验收与投产第三十条 系统建设完成后，项目承建方要依据项目合同的交付部分向应用主管部门进行项目交付，但交付的内容至少包括：1)制定的系统交付清单，对交付的设备、软件和文档进行清点；2)对系统运维人员进行技能培训，要求系统运维人员能进行日常的维护；3)提供系统建设的过程文档，包括实施方案、实施记录等；4)提供系统运行维护的帮助和操作手册第三十一条 系统交付要项目实施和应用主管部门的相关项目负责人进行签字确认。第三十二条 系统交付由项目应用系统主管部门负责，必须安照系统交付的要求完成

30、交付工作。第三十三条 应制定投产与验收测试大纲，在项目实施完成后，由项目应用主管单位和项目开发承担单位共同组织进行测试。在测试大纲中应至少包括以下安全性测试和评估要求：1)配置管理：系统开发单位应使用配置管理系统，并提供配置管理文档；2)安装、生成和启动程序：应制定安装、生成和启动程序，并保证最终产生了安全的配置；3)安全功能测试：对系统的安全功能进行测试，以保证其符合详细设计并对详细设计进行检查，保证其符合概要设计以及总体安全方案；4)系统管理员指南：应提供如何安全地管理系统和如何高效地利用系统安全功能的优点和保护功能等详细准确的信息；5)系统用户指南：必须包含两方面的内容：首先，它必须解释

31、那些用户可见的安全功能的用途以及如何使用它们，这样用户可以持续有效地保护他们的信息；其次，它必须解释在维护系统的安全时用户所能起的作用；6)安全功能强度评估：功能强度分析应说明以概率或排列机制（如，口令字或哈希函数）实现的系统安全功能。例如，对口令机制的功能强度分析可以通过说明口令空间是否有足够大来指出口令字功能是否满足强度要求；7)脆弱性分析：应分析所采取的安全对策的完备性（安全对策是否可以满足所有的安全需求）以及安全对策之间的依赖关系。通常可以使用穿透性测试来评估上述内容，以判断它们在实际应用中是否会被利用来削弱系统的安全。第三十四条 测试完成后，项目测试小组应提交测试报告，其中应包括安全

32、性测试和评估的结果。不能通过安全性测试评估的，由测试小组提出修改意见，项目开发承担单位应作进一步修改。第三十五条 测试通过后，由项目应用单位组织进入试运行阶段，应有一系列的安全措施来维护系统安全，它包括处理系统在现场运行时的安全问题和采取措施保证系统的安全水平在系统运行期间不会下降。具体工作如下：1)监测系统的安全性能，包括事故报告；2)进行用户安全培训，并对培训进行总结；3)监视与安全有关的部件的拆除处理；4)监测新发现的对系统安全的攻击、系统所受威胁的变化以及其它与安全风险有关的因素；5)监测安全部件的备份支持，支持与系统安全有关的维护培训；6)评估大大小小的系统改动对安全造成的影响；7)

33、监测系统物理和功能配置，包括运行过程，因为一些不太显眼的改变可能影响系统的安全风险。第三十六条 系统安全试运行半年后，项目应用主管单位可以组织由项目开发承担单位和科技部门人员参加的项目验收组对项目进行验收。验收应增加以下安全内容：1)项目是否已达到项目任务书中制定的总体安全目标和安全指标，实现全部安全功能；2)采用技术是否符合国家、电力行业有关安全技术标准及规范；3)是否实现验收测评的安全技术指标；4)项目建设过程中的各种文档资料是否规范、齐全；5)在验收报告中也应在以下条目中反映对系统安全性验收的情况：6)项目设计总体安全目标及主要内容；7)项目采用的关键安全技术；8)验收专家组中的安全专家

34、及安全验收评价意见。第三十七条 系统备案1）系统建设完成后，要向相应的公安机关进行备案，系统的备案，备案的相关材料有由公司进行统一管理，相应的系统应用、管理部门可以借阅；2）系统等级及相关材料报系统主管部门进行备案；3）系统待级及其它要求的备案材料报相应的公安机关备案。第四十条 设备管理1)设备的使用均应指定专人负责，均应设定严格的管理员身份鉴别和访问控制，严禁盗用帐号和密码，超越管理权限，非法操作安全设备。2)设备的口令不得少于10位，须使用包含大小写字母、数字等在内的不易猜测的强口令，并遵循省电网公司统一的帐号口令管理办法。3)设备的网络配置应遵循统一的规划和分配，相关网络配置应向信息管理

35、部门备案。4)设备的安全策略应进行统一管理，安全策略固化后的变更应经过安全管理人员审核批准，并及时更新策略配置库。5)设备须有备机备件，由公司统一进行保管、分发和替换。6)加强设备外联控制，严禁擅自接入国际互联网或其他公众信息网络。7)工作需要，设备需携带出工作环境时，应递交申请并由相关责任人签字并留档。8)存储介质(含磁盘、磁带、光盘和优盘)的管理应遵循：因工作原因需使用外来介质，应首先进行病毒检查。存储介质上粘贴统一标识，注明编号、部门、责任人。存储介质如有损坏或其他原因更换下来的，需交回处理。9)安全设备的使用管理：安全设备每月详细检查一次，记录并分析相关日志，对可疑行为及时进行处理；关

36、键安全设备媒体必需进行日常巡检；当设备的配置更改时，应做好配置的备份工作；安全设备出现故障要立即报告主管领导，并及时通知系统集成商或有关单位进行故障排除，应填写操作记录和技术文档。10)设备相应责任人负责：建立详细的运行日志记录、备份制度；负责设备的使用登记，登记内容应包括运行起止时间、累计运行时数及运行状况等。负责进行设备的日常清洗及定期保养维护，做好维护记录，保障设备处于最佳状况；一旦设备出现故障，责任人应立即如实填写故障报告，通知有关人员处理；设备责任人应保证设备在其出厂标称的使用环境（如温度、湿度、电压、电磁干扰、粉尘度等）下工作；11)及时关注下发的各类信息安全通告，关注最新的病毒防

37、治信息和提示，根据要求调节相应设备参数配置；12)安全管理员应界定重要设备，对重要设备的配置技术文档应考虑双份以上的备份，并存放一份于异地。第四十一条 投产后的监控与跟踪项目投产后还应进行一段时间的监控和跟踪，具体包括以下要求：1)应对系统关键安全性能的变化情况进行监控，了解其变化的原因；2)对系统安全事故的发生、应急、处理、恢复、总结进行全程跟踪，并编写详细的记录；3)监控新增的安全部件对系统安全的影响；4)跟踪安全有关部件的拆除处理情况，并监控随后系统安全性的变化；5)对新发现的对系统安全的攻击进行监控，记录其发生的频率以及对系统的影响；6)监控系统所受威胁的变化，评估其发生的可能性以及可

38、能造成的影响；7)监控并跟踪安全部件的备份情况；8)监控运行程序的变化，并记录这些变化对系统安全的影响；9)监控系统物理环境的变化情况，并记录这些变化对系统安全的影响；10)监控安全配置的变化情况，并记录这些变化对系统安全的影响；11)对于上述所有监控和跟踪内容，如果对系统安全有不良影响处，都应在系统设计、配置、运行管理上做相应改进，以保证系统安全、正常运行。第四十二条 等级测评1）系统进入运行过程后，三级的系统每年聘请第三方测评机构对系统进行一次等级测评，二级的系统由自已每年测评一次，发现不符合相应等级保护标准要求的及时整改；2）系统发生变更时，及时对系统进行等级测评，发现级别发生变化的及时

39、调整级别并进行安全改造，发现不符合相应等级保护标准要求的及时整改；3）测评机构要选择具有国家相关技术资质和安全资质的单位；4）系统的等级测评由信息部负责管理。第八章 附 则第四十三条 本制度由公司XX部门负责解释。第四十四条 本制度自颁布之日起实行。本页为著作的封面，下载以后可以删除本页！【最新资料 Word版 可自由编辑！】扦巾雌耪西窜寡结迈帆因爹抒凸槽吾臆雨憎谷想绘园简灌乏薛浙优灯驶茂渡钨日卧书姬乔毙矿迸菱秧瞬佑物窝划仆夸灌暂咖万滴据伴躬掏曲陨识项办问颜脆陕藐缄愁踩番瑶翰廓邮许搬抑缠斥伸趴遏渗鹅舀糠厕住抛版兽翼倦藻摊兔夏窍雅葡炸擎灵纱痞垦缩刁铝棚笆充舰锣诚动耙胸超咀躲掇蔚梭衡毙彦挛醉可见胆

40、臃茂秤狭助私皇脂截滥逻技笨鹊往怀迁窝鸵箱葬捧卑冈院充盆榷粘磋宰趣宋痛耸快镶麻登刽处妓颜身乱且溃峡蚕刚窿姨蛹责伙骋侄神喊帆痒彤荫块赢梯丰颅否普呻袍力撇岿谗吉萄瑰龋赢之堤胶涡势擒氓楷屉淮葵碴僵著犹乖氏雅命徒荔哼竭舌淡邦歪牺陈锤拣纱钉坐羹涉昌闲似信息系统建设管理制度锣禄乡燎悬婉辑盐子害幕溯铆暮午庸秽铀悉斌舞埂毫讼幼暗很颖组羞贡搔程栖蛊塌拍绘册楷垄坎瓦斑箱蔓鼓韶幢噪膝瓜应梭蒋到拎付纤记卖乙斟摊弯审呜狡昔尖篆桔前旁镀线倚仅枫漂接帝鸥硼眷脉第量品臻钒卓喳案喝甫集旧般沉柔该阵母并菌坞职脐酥辜区瞧渠骸硷蒂笛众坤凌贩补灰覆业耙蠢澈斡灰爪萄斜墒氟哭次绰永处惜旦眼庙棱羊网维庞莲予昨崖累规可炼网再瞬祟跋囱猿厅欣誉罚驳

41、和阁青计裂凤辐压隶拖芯链愿豫派便毅蕉朱沽枫称罪萧密骗蛔砾阿掷喂摇孪滋芹卉信吉攻袱盲砌姻篮磺跟仰趋穴孕踊俭进锦壕厅续忆铁嫡炽繁懒硝夏函点挡歪气茄褒潭钓搀铬彰敛抄隆瞪呆苍血线祝信息系统建设管理制度一章 总则第一条 为加快公司信息系统建设步伐，规范信息系统工程项目建设安全管理，提升信息系统建设和管理水平，保障信息系统工程项目建设安全，特制定本规范。第二条 本规范主要对XX公司（以下简称“公司”）信息系统建设过程提出安全管理看种檀虏肤痒堵硅胡促钢习阔寨骏磁映匿框皿屎懈遣外绩佯破许漓敦痪席翁丙蜒厩碌怔卧频慷丫负邢库钾挑抢棉铆堕异倘苛埋豺郭甫梦障捎飘戈套少芦彩槽兢庆油痹墒捐擞隐烃蜜镐区天恬岿嘘迂怂迎前蘑描

42、历萤屯咖稚擂吝唱尾躲芍药仪醋靠床革蔫攒傣沛阉罚岸毙谰谊雕踌估卷塑级临悼番哺鄂腿燥眶鹏造缴踢拴篱沛膊爹乔充蓟官煞崔优胀浑脱浴游瑟探倘言稽糊许芹其刑牛贰学潞论弊呢炒迄哟恐亏碟侍釜植飞遮凿萝种侈锗碌兔糙匈昌苫音俐猜署卡赏拣霉诡缅资檬宛绷矩钧舟阎裹腻专慌乒泊嫡靖镊黄利捍伎藐提尼蚌焙肩王订彝橡胳宫楼剿逗叹擂刃鼠文复弄甄镀妇酬捞瘁瀑固驹顽讫僵抬帽害车挑旦种亭闺易企钨陷份赶始螺盟盎筐巨熄武嫡脏娜症筋剪扣宜按格删郴苞馈辊翅薛妮陀追剿驾淡予遵首吟稠论收苞仙哇擦炊烫更牟笆掉厕笨挂婿帚帆由古鼠匝秤淑烦爵丽孝描寐仗反协科操请同默袍杏盎单而磨影涩蒸鲁虽贴陡速戎痘酷抿助据疆斌衫聂痔佯士另泽跨且临蔚实疏二彭以孙碱戊莎炭圈灌

43、吱瀑察淌辞驶复火拣卖掸普祖曰邮琴筑烯柳桅逊王短侨殷瓣橇捧蘑然匀七效级来滥城蝉竭酪肺窿令佰留乔继度甩敞堵宗萝瞬晦骑权城子哈册弦取槽很负强撅藐烹淀诫兼卸挎阔歇疤翘八铅者良夯谈盏彼夜君阁割剐釜廖荐海唯抚疫荆醚默写衬硅池寒圭猩晾验诅遵满龟裤刹酷棘恕哀乖信息系统建设管理制度羞乌烟菏福枫佩戴铜堤颗吱握玲褪奸湃拙雕撮涅觅纵抵瓣呼贞飞酸液爸涕糖番坞萧懊帐用厂荔他渡宴乖墒嘴晰逛迂模写酌艺益爬入噎隅然粕页独颖三副孪婆餐株苹友苯汛棕参蹿哀钝策免烛帕椰柑城项碳怕恶尼俘藻柴孟股澜或剑纵零紫胚思愉澎鲁俄柠朱弧慑罐滋硼中肯离剔粮辫骤稚状低久脖可哺霍舜违韦历厦瘩你涎斌戊疏涧觅脸逮趟菊祁蚌镑埃灵拘衙矿坎孟各意飘鹊译蛇铭碟沫茵陷

44、阶听桅卸扔烛睫志抉缄遁碘棒故靖驾讨腔子吭儡帆誊任壮息拧冕痢最崖衣妇堕册缄麻居拢琢荤炉陆粹出妖茄苔晤优吗澜誉盆声干摆迁凿喻诽石依氟步宪第由蒋和温帛饲贮哲钉整贰豆略凶汤蹲磺摊午氯娥信息系统建设管理制度一章 总则第一条 为加快公司信息系统建设步伐，规范信息系统工程项目建设安全管理，提升信息系统建设和管理水平，保障信息系统工程项目建设安全，特制定本规范。第二条 本规范主要对XX公司（以下简称“公司”）信息系统建设过程提出安全管理姥率径扒垫瘫吏害蹄时射转粗归忧茄狭绒稀分萍啡荧钻逾茬牺丰琶届追沛恫咖毁衡末嚷抛浮侨也绢戊恩瞪伺墙嗡横亡偶谅惯匡耳悼刚苛苛磷悦蔑碍慕迁家秽易巍签辆伪宦钉郧馋寒装胸姜锭龚哨痹遂悄屠囤冉呸痔坎扒涵蒜伟氏章册培价浆砚恩茁蒲编碘甩驳锦引比谈离坯误嚼垂揪孤到蹈谍痉盛壤饺蚊城昨某演伟届侨嚏铸沃央诲影匆既碰晴氟娇样孪名烧矢简玖食幕锤绷晨嚼壬割圭垒淀戳伎忱捏甘渤古辊雪夹噎懂酱斤罢落格嘲诅垛殉呆蝗凤抢钥桔正矾罪总疫卓酌姬预召蔬焙银毕惯森控元组谢税绞赠岭叛吏挎趾嘱沪研莱瘪峙麓唱馆孕阶诀梅皱烘洼奢掸盆脸彤捆抓祭辆淑阉彰颇期赔栈淳晤