信息系统建设管理制度.docx

信息系统建设管理制度 一章 总则 第一条 为加快公司信息系统建设步伐，规范信息系统工程项目建设安全管 理，提升信息系统建设和管理水平， 保障信息系统工程项目建设安全， 特制定本规范。 第二条 本规范主要对 XX公司（以下简称“公司”）信息系统建设过程提出 安全管理规范。 保证安全运行必须依靠强有力的安全技术， 同时更要有全面动态的安全策略和良好的内部管理机制，本规范包括五个部分： 项目建设安全管理的总体要求：明确项目建设安全管理的目标和原则； 项目规划安全管理：对信息化项目建设各个环节的规划提出安全管理要求，确定各个环节的安全需求、目标和建设方案； 方案论证和审批安全管理：由安全管理部门组织行内外专家对项目建设 安全方案进行论证， 确保安全方案的合理性、 有效性和可行性。 标明参加项目建设的安全管理和技术人员及责任，并按规定安全内容和审批程序进行审批； 项目实施方案和实施过程安全管理：包括确定项目实施的阶段的安全管 理目标和实施办法， 并完成项目安全专用产品的确定、 非安全产品安全性的确定等； 项目投产与验收安全管理：制定项目安全测评与验收方法、项目投产的安全管理规范，以及相关依据。 第三条 规范性引用文件 下列文件中的条款通过本规范的引用而成为本规范的条款。 凡是注日期的引用文件，其随后所有的修改单 （不包括勘误的内容） 或修订版均不适用于本规范， 但鼓励研究是否可使用这些文件的最新版本。 凡是不注日期的引用文件， 其最新版本适用于本规范。 GB/T 5271.8 －2001 信息技术 词汇 第 8 部分 安全第四条 术语和定义 本规范引用 GB/T5271.8 －2001 中的术语和定义，还采用了以下术语和定义： 1）信息安全 infosec 信息的机密性、完整性和可用性的保护。 注释： 机密性定义为确保信息仅仅被那些被授权了的人员访问。完整性定义为保护信息和处理方法的准确性和完备性。 可用性定义为保证被授权用户在需要时能够访问到信息和相关资产。 计算机系统安全工程 ISSE（ Information Systems Security Engineering ） 计算机系统安全工程（ ISSE）是发掘用户信息安全保护需求，然后以经济、精确和简明的方法来设计和建造计算机系统的一门技巧和科学， ISSE识别出安全风险，并使这些风险减至最少或使之受到遏制。 风险分析 risk analysis 对信息和信息处理设施所面临的威胁及其影响以及计算机系统脆弱性及其发生的可能性的分析评估。 安全目标 security objective 本规范中特指公司项目建设信息安全管理中需要达成到的目标。 安全测试 security testing 用于确定系统的安全特征按设计要求实现的过程。 这一过程通常包括现场功能测试、渗透测试和验证。 第五条 本规范遵照国家相关政策法规和条例，结合各种信息化项目建设的具体情况，依据各种标准、规范以及安全管理规定而制定。 第二章 项目建设安全管理的总体要求 第六条 项目建设安全管理目标 一个项目的生命周期包括：项目申报、项目审批和立项、项目实施、项目验 收和投产； 从项目建设的角度来看， 这些生命周期的阶段则包括以下子阶段： 需求分析、总体方案设计、概要设计、详细设计、系统实施、系统测试和试运行， 如下表所示。 项目建设安全管理的目标就是保证整个项目管理和建设过程中系统的安全。 为了达到这个目标，信息安全（ INFOSEC）必须融合在项目管理和项目建设过程中， 与公司的业务需求、环境要求、项目计划、成本效益以及国家和地方的政策、标 准、指令相一致。这种融合应该产生一个计算机系统安全工程（ ISSE）项目，它要确认、评估、并且消除或控制住系统对已知或假定的威胁的脆弱点， 最终得到一个可以接受水平的安全风险。 计算机系统安全工程 （ISSE）并不意味着存在一个单独独立的过程。 它支持 项目管理和建设过程， 而且是后者不可分割的一部分。 第三章到第六章将以项目管理过程为主轴， 并结合项目建设过程， 规定了在每个阶段中应达到哪些计算机系统安全工程要求。 第七条 项目建设安全管理原则 信息系统项目建设安全管理应遵循如下原则： 等级 全生命周期安全管理： 信息安全管理必须贯穿信息化项目建设的整个生命周期； 成本- 效益分析：进行信息安全建设和管理应考虑投入产出比； 明确职责： 每个参与项目建设和项目管理的人员都应该明确安全职责， 应进行安全意识和职责培训，并落实到位； 管理公开：应保证每个项目参与人员都知晓和理解安全管理的模式和方 法； 科学制衡：进行适当的职责分离， 保证没有人可以单独完成一项业务活动， 以避免出现相应的安全问题； 最小特权： 人员对项目资产的访问权限制到最低限度， 即仅赋予其执行授权任务所必