《信息系统建设管理制度.docx》由会员分享,可在线阅读,更多相关《信息系统建设管理制度.docx(19页珍藏版)》请在金锄头文库上搜索。
1、信息系统建设管理制度第一章总则第一条为加快公司信息系统建设步伐,规范信息系统工程项目建设安全管理,提升信息系统建设和管理水平,保障信息系统工程项目建设安全,特拟定本规范。第二条本规范主要对XX公司(以下简称“公司”)信息系统建设过程提出安全管理规范。保证安全运行必定依赖强有力的安全技术,同时更要有全面动态的安全策略和优异的内部管理体系,本规范包括五个部分:1)项目建设安全管理的整体要求:明确项目建设安全管理的目标和原则;2)项目规划安全管理:对信息化项目建设各个环节的规划提出安全管理要求,确定各个环节的安全需求、目标和建设方案;3)方案论证和审批安全管理:由安全管理部门组织行内外专家对项目建设
2、安全方案进行论证,保证安全方案的合理性、有效性和可行性。注明参加项目建设的安全管理和技术人员及责任,并按规定安全内容和审批程序进行审批;4)项目推行方案和推行过程安全管理:包括确定项目推行的阶段的安全管理目标和推行方法,并完成项目安全专用产品的确定、非安全产品安全性的确定等;5)项目投产与查收安全管理:拟定项目安全测评与查收方法、项目投产的安全管理规范,以及相关依照。第三条规范性引用文件以下文件中的条款经过本规范的引用而成为本规范的条款。凡是注日期的引用文件,其随后全部的更正单(不包括勘误的内容)或校正版均不适用于本规范,但激励研究可否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版
3、本适用于本规范。GB/T5271.82001信息技术词汇第8部分安全第四条术语和定义本规范引用GB/T5271.82001中的术语和定义,还采用了以下术语和定义:1)信息安全infosec信息的机密性、完满性和可用性的保护。说明:机密性定义为保证信息不过被那些被授权了的人员接见。完满性定义为保护信息和办理方法的正确性和齐全性。可用性定义为保证被授权用户在需要时能够接见到信息和相关财富。2)计算机系统安全工程ISSE(InformationSystemsSecurityEngineering)计算机系统安全工程(ISSE)是挖掘用户信息安全保护需求,尔后以经济、精确和简短的方法来设计和建筑计算机
4、系统的一门技巧和科学,ISSE鉴别出安全风险,并使这些风险减至最少或使之碰到截止。3)风险解析riskanalysis对信息和信息办理设施所面对的威胁及其影响以及计算机系统纤弱性及其发生的可能性的解析评估。4)安全目标securityobjective本规范中特指公司项目建设信息安全管理中需要完成到的目标。5)安全测试securitytesting用于确定系统的安全特色按设计要求实现的过程。这一过程平常包括现场功能测试、浸透测试和考据。第五条本规范依照国家相关政策法规和条例,结合各种信息化项目建设的详细情况,依照各种标准、规范以及安全管理规定而拟定。第二章项目建设安全管理的整体要求第六条项目建
5、设安全管理目标一个项目的生命周期包括:项目申报、项目审批和立项、项目推行、项目验收和投产;从项目建设的角度来看,这些生命周期的阶段则包括以下子阶段:需求解析、整体方案设计、大纲设计、详细设计、系统推行、系统测试和试运行,以下表所示。项目建设安全管理的目标就是保证整个项目管理和建设过程中系统的安全。为了达到这个目标,信息安全(INFOSEC)必定交融在项目管理和项目建设过程中,与公司的业务需求、环境要求、项目计划、成本效益以及国家和地方的政策、标准、指令相一致。这种交融应该产生一个计算机系统安全工程(ISSE)项目,它要确认、评估、而且除掉或控制住系统对已知或假定的威胁的柔缺点,最后获得一个能够
6、接受水平的安全风险。计算机系统安全工程(ISSE)其实不意味着存在一个单独独立的过程。它支持项目管理和建设过程,而且是后者不能切割的一部分。第三章到第六章将以项目管理过程为主轴,并结合项目建设过程,规定了在每个阶段中应达到哪些计算机系统安全工程要求。第七条项目建设安全管理原则信息系统项目建设安全管理应依照以下原则:1)等级2)全生命周期安全管理:信息安全管理必定贯穿信息化项目建设的整个生命周期;3)成本-效益解析:进行信息安全建设和管理应试虑投入产出比;4)明确职责:每个参加项目建设和项目管理的人员都应该明确安全职责,应进行安全意识和职责培训,并落实到位;5)管理公开:应保证每个项目参加人员都
7、认识和理解安全管理的模式和方法;6)科学制衡:进行合适的职责分别,保证没有人能够单独完成一项业务活动,以防备出现相应的安全问题;7)最小特权:人员对项目财富的接见权限制到最低限度,即仅赐予其执行授权任务所必要的权限。第八条项目建设安全管理要求项目安全管理工作应加强责任体系、规范管理程序,在项目的申报、审批、立项、推行、查收等要点环节中,必定依照规定的职能执行职权,并在规定的时限内完成各个环节的安全管理行为,否则应担当相应的行政责任。第三章项目申报第九条项目申报阶段对付信息系统项目及其建设的各个环节进行一致的安全管理规划,确定项目的安全需求、安全目标、安全建设方案,以及生命周期各阶段的安全需求、
8、安全目标、安全管理措施。第十条应由项目应用主管单位进行项目需求解析、确定整体目标和建设方案。项目应用主管单位进行项目申报时应填写信息系统项目立项申请表,并提交业务需求书和信息系统项目可行性研究报告。第十二条系统定级1)依照国家信息系统安全等级保护定级指南(GBT22240-2008)对项目中的系统进行定级,明确信息系统的界线和安全保护等级;2)以书面的形式说明确定信息系统为某个安全保护等级的方法和原因,形成信息系统定级报告;3)组织相关部门和相关安全技术专家对信息系统定级结果的合理性和正确性进行论证和判定,上报上级主管单位和安全监控单位进行判定;4)信息系统的定级结果向当地公安机关进行备案。第
9、十三条挖掘安全需求在业务需求书中除了描述系统业务需求之外,还应进行系统的安全性需求解析,应最少包括以下信息安全方面的内容:1)安全威胁解析报告:应解析待建计算机系统在生命周期的各个阶段中可能受到的自然威胁也许人为威胁(故意或没心),详细包括威胁列表、威胁可能性解析、威胁严重性解析等;2)系统纤弱性解析报告:包括对系统造成问题的纤弱性的定性或定量的描述,这些问题是被攻击的可能性、被攻击成功的可能性;3)影响解析报告:描述威胁利用系统纤弱性可能以致不良影响。影响可能是有形的,比方资本的损失或收益的减少,或可能是无形的,比方声誉和信誉的损失;4)风险解析报告:安全风险解析的目的在于鉴别出一个给定环境
10、中涉及到对某一系统有依赖关系的安全风险。它取决于上面的威胁解析、纤弱性解析和影响解析,应供应风险清单以及风险优先级列表;5)系统安全需求报告:针对安全风险,应提出安全需求,对于每个不能接受的安全风险,都最少有一个安全需求与其对应。第十四条安全可行性在可行性报告的以下条目中应增加相应的信息安全方面的内容:1)项目目标、主要内容与要点技术:增加信息化项目的整体安全目标,并在主要内容后边增加针对前面解析出的安全需求所提出的相应安全对策,每个安全需求都最少对应一个安全对策,安全对策的强度应依照相应财富的重要性来选择;2)项目采用的技术路线也许技术方案:增加描述如何从技术、运作、组织以及制度四个方面来实
11、现全部的安全对策,并形成安全方案;3)项目的担当单位及人员情况介绍:增加项目各担当单位的信息安全方面的资质和经验介绍,并增加介绍项目主要参加人员的信息安全背景;4)项目安全管理:增加项目建设中的安全管理模式、安全组织结构、人员的安全职责、建设推行中的安全操作程序和相应安全管理要求;5)成本效益解析:对安全方案进行成本-效益解析。第十五条对投入使用的应用软件需要升级改造的,虽不需另行立项,但仍需参照上述方法进行必然的安全性解析,并针对可能发生的安全问题提出和实现相应安全对策。第四章安全方案设计第十六条本阶段主若是项目审批单位对项目申报内容进行安全方案的设计,对项目的安全性进行确定,必要时能够邀请
12、外单位的专家参加论证工作。第十七条安全标正的确定1)依照系统的安全保护等级选择基本安全措施,设计安全标准必定达到等级保护相关等级的基本要求,并依照风险解析的结果进行补充和调整必要的安全措施;2)指定和授权特地的部门对信息系统的安全建设进行整体规划,拟定近期和远期的安全建设工作计划;3)应依照信息系统的等级划分情况,一致考虑安全保障系统的整体安全策略、安全技术框架、安全管理策略、整体建设规划和详细设计方案,并形成配套文件4)应组织相关部门和相关安全技术专家对整体安全策略、安全技术框架、安全管理策略、整体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和判定,而且经过赞同后,才能正式推
13、行;5)依照等级测评、安全评估的结果如期调整和校正整体安全策略、安全技术框架、安全管理策略、整体建设规划、详细设计方案等相关配套文件。第五章方案论证和审批第十八条本阶段主若是项目审批单位对项目申报内容进行审批,对项目进行安全性论证,必要时能够邀请外单位的专家参加论证工作。第十九条安全性论证和审批安全性论证应重视对项目的安全需求解析、安全对策以及整体安全方案进行成本-效益、合理性、可行性和有效性解析,并在信息化项目立项审批表上给出明确的结论:1)合适2)不合适(反对)3)需作复议对论证结论为“需作复议”的项目,通知申报单位对相关内容进行必要的补充也许更正后,再次提交复审。第二十条项目安全立项审批
14、后,项目审批单位将对项目进行立项,在信息系统项目任务书的以下条目中应增加相应的计算机安全方面的内容:1)项目的管理模式、组织结构和责任:增加项目建设中的安全管理模式、安全组织结构以及人员的安全职责;2)项目推行的基本程序和相应的管理要求:增加项目建设推行中的安全操作程序和相应安全管理要求;3)项目设计目标、主要内容和要点技术:增加整体安全目标、安全对策以及用于实现安全对策的整体安全方案;4)项目实现功能和性能指标:增加描述系统拥有的详细安全功能以及安全功能的强度;5)项目查收核查指标:增加安全性测试和核查指标。第二十一条立项的项目,如采用引进、合作开发也许外包开发等形式,则需与第三方签订安全保密协议。第六章项目推行方案和推行过程安全管理标准第二十二条信息化项目推行阶段包括3个子阶段:大纲设计、详细设计和项目推行,本阶段的主要工作由项目开发担当单位来完成,项目审批单位负责监监工作。第二十三条大纲设计子阶段的安全要求在大纲设计阶段,系统层次上的设计要求和功能指标都被分配到了子系统层次上,这个子阶段的安全目标是保证各子系统设计实现了整体安全方案中的安全功能。因此,大纲设计说明书中最少应达到以下安全要求:1)应该按子系统来描述系统的安全系统结构;2)应
