《项目及信息 系统建设管理制度讲义资料》由会员分享,可在线阅读,更多相关《项目及信息 系统建设管理制度讲义资料(22页珍藏版)》请在金锄头文库上搜索。
1、1 单位安全管理制度汇编单位安全管理制度汇编 项目及信息系统建设管理制度项目及信息系统建设管理制度 安全管理制度汇编 第 2 页 共 23 页 文件名称项目及信息系统建设管理管理制度密级内部 文件编号版 本 号 V1 0 编写部门网络室编 写 人 审 批 人发布时间2010 8 29 安全管理制度汇编 第 3 页 共 23 页 目目 录录 编制说明编制说明 3 第一章第一章 总则总则 4 第二章第二章 安全要求安全要求 4 第一节 项目建设安全管理的总体要求 4 第二节 项目申报安全管理标准 5 第三节 系统定级管理 7 第四节 方案论证和审批安全管理标准 7 第五节 项目实施方案和实施过程安
2、全管理标准 8 第六节 安全方案设计管理 11 第七节 产品采购和使用管理 12 第八节 自行软件开发管理 12 第九节 外包软件开发管理 12 第十节 工程实施管理 13 第十一节 测试验收管理 13 第十二节 系统交付管理 13 第十三节 系统备案管理 14 第十四节 等级测评管理 14 第十五节 安全服务商选择管理 14 第十六节 项目验收与投产安全管理标准 15 第三章第三章 评估和论证安全管理评估和论证安全管理 18 第四章第四章 附则附则 20 第一节 文挡信息 20 第二节 版本控制 20 第三节 其他信息 20 安全管理制度汇编 第 4 页 共 23 页 编制说明编制说明 为进
3、一步贯彻党中央和国务院批准的 国家信息化领导小组关于加强信 息安全保障工作的意见 及其 重点保护基础信息网络和重要信息系统安全 的思想 贯彻信息产业部 积极预防 及时发现 快速反应 确保恢复 的方 针和 同步规划 同步建设 同步运行 的要求 特制定本制度 本制度依据我国信息安全的有关法律法规 结合 单位的自身业务特 点 并参考国际有关信息安全标准制定的 单位安全管理制度汇编项目及信息系统建设管理制度单位安全管理制度汇编项目及信息系统建设管理制度 是针对所 有 IT 建设项目 主要用于在 IT 项目立项过程中安全部分的方案规划 评估 和安全管理 安全管理制度汇编 第 5 页 共 23 页 第一章
4、第一章 总则总则 第一条 制度目标 制度目标 为了加强 单位信息安全保障能力 建立健全的安全 管理体系 提高整体的网络与信息安全水平 保证网络通信畅通和业务系统的 正常运营 提高网络服务质量 在安全体系框架下 本制度旨在提高 IT 项目信 息安全建设质量 加强 IT 项目建设安全管理工作 第二条 适用范围 适用范围 本制度适用于所有 TCP IP 网络 IT 建设项目 主要用 于 IT 项目立项过程中方案设计 规划的安全要求参考 第三条 使用人员及角色职责 使用人员及角色职责 本制度适用于全体人员 第二章第二章 安全要求安全要求 第一节第一节 项目建设安全管理的总体要求项目建设安全管理的总体要
5、求 第四条 项目建设安全管理目标 一个项目的生命周期包括 项目申报 项目审批和立项 项目实施 项目验收和投产 从项目建设的角度来看 这些生命周期的阶段则包括以 下子阶段 需求分析 总体方案设计 概要设计 详细设计 系统实施 系统测试和试运行 如下表所示 项目管理生命周期项目管理生命周期 项目申报 项目审批和立项 系统定级 需求分析 总体方案设计 项目实施概要设计 详细设计 系统实施 项目验收和投产系统测试 试运行和投产 项目建设安全管理的目标就是保证整个项目管理和建设过程中系统的 安全 为了达到这个目标 信息安全 INFOSEC 必须融合在项目管理和 项目建设过程中 与组织的业务需求 环境要求
6、 项目计划 成本效益以 安全管理制度汇编 第 6 页 共 23 页 及国家和地方的政策 标准 指令相一致 这种融合应该产生一个信息系 统安全工程 ISSE 项目 它要确认 评估 并且消除或控制住系统对已 知或假定的威胁的脆弱点 最终得到一个可以接受水平的安全风险 第五条项目建设安全管理原则 信息建设项目建设安全管理应遵循如 下原则 一 全生命周期安全管理 信息安全管理必须贯穿信息系统建设项 目建设的整个生命周期 二 成本 效益分析 进行信息安全建设和管理应考虑投入产出比 三 明确职责 每个参与项目建设和项目管理的人员都应该明确安 全职责 应进行安全意识和职责培训 并落实到位 四 管理公开 应保
7、证每个项目参与人员都知晓和理解安全管理的 模式和方法 五 科学制衡 进行适当的职责分离 将业务的不同责任分配给不 同的责任人 六 最小特权 人员对项目资产的访问权限制到最低限度 即仅赋 予其执行授权任务所必需的权限 第六条 项目建设安全管理要求 项目安全管理工作由信息安全管理部门负责 在项目的申报 审批 立项 实施 验收等关键环节中 必须有信息安全管理部门的参与和评审意见 应在 项目规划中明确信息安全责任 义务与管理程序 第二节第二节 项目申报安全管理标准项目申报安全管理标准 项目申报阶段应对信息系统建设项目各个环节进行统一的安全管理规划 确定项目的等级保护系统保护级别 安全需求 安全目标 安
8、全建设方案 以 及生命周期各阶段的安全需求 安全目标 安全管理措施 由项目开发单位协同用户单位进行项目需求分析 确定总体目标和建设方 案 第七条 挖掘安全需求 安全管理制度汇编 第 7 页 共 23 页 在 需求分析报告 中除了描述系统业务需求之外 还应进行系统的安 全性需求分析 应尽可能包括以下信息安全方面的内容 一 等级保护等级 从信息系统自身对于国家 社会公共秩序 法 人及其它合法权益的侵害及侵害程度 判别系统的等级保护级别 二 安全威胁分析报告 应分析待建计算机系统在生命周期的各个 阶段中可能遭受的自然威胁或者人为威胁 故意或无意 具体包 括威胁列表 威胁可能性分析 威胁严重性分析等
9、三 系统脆弱性分析报告 包括对系统造成问题的脆弱性的定性或 定量的描述 这些问题是被攻击的可能性 被攻击成功的可能 性 四 影响分析报告 描述威胁利用系统脆弱性可能导致不良影响 影响可能是有形的 例如资金的损失或收益的减少 或可能是 无形的 例如声誉和信誉的损失 五 风险分析报告 安全风险分析的目的在于识别出一个给定环境 中涉及到对某一系统有依赖关系的安全风险 它取决于上面的 威胁分析 脆弱性分析和影响分析 应提供风险清单以及风险 优先级列表 六 系统安全需求报告 针对安全风险 应提出安全需求 对于每 个不可接受的安全风险 都至少有一个安全需求与其对应 第八条 安全可行性 在 信息系统建设项目
10、可行性研究报告 的以下条目中应增加相应的信 息安全方面的内容 一 项目目标 主要内容与关键技术 增加信息系统建设项目的总 体安全目标 并在主要内容后面增加针对前面分析出的安全需求所 提出的相应安全对策 每个安全需求都至少对应一个安全对策 安 全对策的强度应根据相应资产的重要性来选择 二 项目采用的技术路线或者技术方案 增加描述如何从技术 运 作 组织以及制度四个方面来实现所有的安全对策 并形成安 全方案 三 项目的承担单位及人员情况介绍 增加项目各承担单位的信息 安全管理制度汇编 第 8 页 共 23 页 安全方面的资质和经验介绍 并增加介绍项目主要参与人员的 信息安全背景 四 项目安全管理
11、安全级别达到重要级以上的项目应增加项目建 设中的安全管理模式 安全组织结构 人员的安全职责 建设 实施中的安全操作程序和相应安全管理要求 项目安全管理人 员由 XXX 部主管及信息安全管理部门人员担任 信息安全管理 部门人员具体对项目安全进行监管 五 成本效益分析 对安全方案进行成本 效益分析 六 对投入使用的应用软件需要升级改造的 虽不需另行立项 但 仍需参照上述方法进行一定的安全性分析 并针对可能发生的 安全问题提出和实现相应安全对策 第三节第三节 系统定级管理系统定级管理 单位应根据 信息系统等级保护管理办法 和 信息系统安全保护等级定 级指南 以及上级定级指导意见 初步确定系统安全保护
12、等级 定级工作需要 符合如下要求 一 应明确信息系统的边界和安全保护等级 二 应以书面的形式说明确定信息系统为某个安全保护等级的方法 和理由 三 定级结果有本单位信息安全主管领导的批准 四 定级结果有上级主管单位批准 五 应组织相关部门和有关安全技术专家对信息系统定级结果的合 理性和正确性进行论证和审定 六 应确保信息系统的定级结果经过相关部门的批准 第四节第四节 方案论证和审批安全管理标准方案论证和审批安全管理标准 本阶段主要是 XXX 部主管组织人员对项目申报内容中的信息安全需求与解 决方案部分进行论证 必要时可以聘请外单位的专家参与论证工作 安全管理制度汇编 第 9 页 共 23 页 第
13、九条 安全性论证和审批 安全性论证应着重对项目的安全需求分析 安全对策以及总体安全方案 进行成本 效益 合理性 可行性和有效性分析 给出明确的结论 一 适当 二 不合适 否决 三 需作复议 对论证结论为 需作复议 的项目 通知申报单位对有关内容进行必要 的补充或者修改后 再次提交复审 第十条 项目安全立项 审批后 项目审批单位将对项目进行立项 以下条目中应增加相应的计 算机安全方面的内容 一 项目的管理模式 组织结构和责任 增加项目建设中的安全管 理模式 安全组织结构以及人员的安全职责 二 项目实施的基本程序和相应的管理要求 增加项目建设实施中 的安全操作程序和相应安全管理要求 三 项目设计目
14、标 主要内容和关键技术 增加总体安全目标 安 全对策以及用于实现安全对策的总体安全方案 四 项目实现功能和性能指标 增加描述系统拥有的具体安全功能 以及安全功能的强度 五 项目验收考核指标 增加安全性测试和考核指标 六 立项的项目 如采用引进 合作开发或者外包开发等形式 则 需与第三方签订安全保密协议 第五节第五节 项目实施方案和实施过程安全管理项目实施方案和实施过程安全管理 信息系统建设项目实施阶段包括 3 个子阶段 概要设计 详细设计和项 目实施 本阶段的主要工作由项目实施单位来完成 项目审批单位负责监督工 作 概要设计子阶段的安全要求 在概要设计阶段 系统层次上的设计要求和功能指标都被分
15、配到了子系 统层次上 这个子阶段的安全目标是保证各子系统设计实现了总体安全方案中 安全管理制度汇编 第 10 页 共 23 页 的安全功能 因此 概要设计说明书 中应尽可能达到以下安全要求 一 应当按子系统来描述系统的安全体系结构 二 应当描述每一个子系统所提供的安全功能 三 应当标识所要求的任何基础性的硬件 固件或软件 和在这些 硬件 固件或软件中实现的支持性保护机制提供的功能表示 四 应当标识子系统的所有接口 并说明哪些接口是外部可见的 五 描述子系统所有接口的用途与使用方法 并适当提供影响 例 外情况和错误消息的细节 六 确证子系统 不论是开发的 还是买来的 的安全功能指标满 足系统安全
16、需求 第十一条 详细设计子阶段的安全要求 无论是新开发一个系统 或是对一个系统进行修改 本阶段的任务是完 成那些不能买到现成品的软硬件模块的设计 先要完成每个模块的详细设计方 案 最后根据每个模块的详细设计得到整个系统的详细设计 本子阶段的安全 目标是保证各模块设计实现了概要设计中的安全功能 因此在这一阶段的 详 细设计说明书 中至少要包括以下信息安全内容 一 详细设计中应提出相应的具体安全方案 标明实现的安全功能 并应检查其技术原理 二 对系统层面上的和模块层面上的安全设计进行审查 三 完成安全测试和评估要求 通常包括完整的系统的 软件的 硬件的安全测试方案 至少是相关测试程序的一个草案 四 确认各模块的设计 以及模块间的接口设计能满足系统层面的 安全要求 第十二条 项目实施子阶段的安全要求 无论是新开发一个系统或是进行系统修改 本阶段的主要目的是将所有 的模块 软硬件 集成为完整的系统 并且检查确认集成以后的系统符合要求 本阶段中 应完成以下具体信息安全工作 一 更新系统安全威胁评估 预测系统的使用寿命 二 找出并描述实现安全方案后系统和模块的安全要求和限制 以 安全管理制度汇编
