软件系统安全规范模板

1、软件系统平安标准一、引言1. 1目的随着计算机应用的广泛普及,计算机平安已成为衡量计算机系统性 能的一个重要指标.计算机系统平安包含两局部内容,一是保证系统正常运行,预防各 种非成心的错误与损坏；二是预防系统及数据被非法利用或破 坏.两者虽有很大不同,但又相互联系,无论从治理上还是从技术 上都难以截然分开,因此,计算机系统平安是一个综合性的系统工 程.本标准对涉及计算机系统安、 全的各主要环节做了具体的说明 , 以便计算机系统的设计、 安装、运行及监察部门有一个衡量系统 平安的依据.1. 2范围本标准是一份指导性文件,适用于国家各部门的计算机系统.在弓I用本标准时,要根据各单位的实际情况,选择

2、适当的范围,不 强求全面采用.平安组织与治理 2. 1. 1单位最高领导必须主管计算机平安工作.2. 1. 2建立平安组织：2. 1. 2. 1平安组织由单位主要领导人领导 ,不能隶属于计算机 运行或应用部门.2. 1. 2. 2平安组织由治理、 系统分析、 软件、硬件、保卫、 审计、人事、通信等有关方面人员组成.2. 1. 2. 3平安负责人负责平安组织的具体工作.2. 1. 2. 4平安组织的任务是根据本单位的实际情况定期做风险 分析,提出相应的对策并监督实施.2. 1. 3平安负责人制：2. 1. 3. I确定平安负责人对本单位的计算机平安负全部责任.2. 1. 3. 2只有平安负责人或

3、其指定的专人才有权存取和修改系 统授权表及系统特权口令.2. 1. 3. 3平安负责人要审阅每天的违章报告 ,限制台操作记 录、系统日志、系统报警记录、 系统活动统计、 警卫报告、 加 班报表及其它与平安有关的材料.2. 1. 3. 4平安负责人负责制定平安培训方案.2. 1. 3. 5假设终端分布在不同地点,那么各地都应有地区平安负责人,可设专职,也能够兼任,并接受中央平安负责人的领导.2. 1. 3. 6各部门发现违章行为,应向中央平安负责人报告,系统 中发现违章行为要通知各地有关平安负责人.2. 1. 4计算机系统的建设应与计算机平安工作同步进行2. 2人事治理2. 2. 1人员审查：必

4、须根据计算机系统所定的密级确定审查标 准.如：处理机要信息的系统,接触系统的所有工作人员必须按机 要人员的标准进行审查.2. 2. 2关键岗位的人选.如：系统分析员,不但要有严格的政审, 还要考虑其现实表现、工作态度、道德修养和业务水平等方面. 尽可能保证这局部人员平安可靠.2. 2. 3所有工作人员除进行业务培训外 ,还必须进行相应的计算 机平安课程培训,才能进入系统工作.2. 2. 4人事部门应定期对系统所有工作人员从政治思想、业务水平、工作表现等方面进行考核,对不适于接触信息系统的人员 要适时调离.2. 2. 5对调离人员,特别是在不情愿的情况下被调走的人员,必须认真办理手续.除人事手续

5、外,必须进行调离谈话,申明其调离 后的保密义务,收回所有钥匙及证件,退还全部技术手册及有关材 料.系统必须更换口令和机要锁.在调离决定通知本人的同时,必须立即进行上述工作,不得拖延.2.3平安治理2 . 3, 1应根据系统所处理数据的秘密性和重要性确定平安等级,井据此采用有关标准和制定相应治理制度.3 .3.2平安等级可分为保密等级和可靠性等级两种,系统的保密等级与可靠性等级能够不同.2. 3. 2. 1保密等级应按有关规定划为绝密、机密、秘密.2. 3. 2. 2可靠性等级可分为三级.对可靠性要求最高的为A级,系统运行所要求的最低限度可靠性为C级,介于中间的为B级.2. 3. 3用于重要部门

6、的计算机系统投入运行前,应请公安机关的计算机监察部门进行平安检查.2. 3. 4必须制定有关电源设备、空凋设备,防水防盗消防等防范设备的治理规章制度.确定专人负责设备维护和制度实施.2. 3. 5应根据系统的重要程度,设立监视系统,分别监视设备的 运行情况或工作人员及用户的操作情况 ,或安装自动录象等记录装 置.对这些设备必须制定治理制度 ,并确定负责人.2. 3. 6制定严格的计算中央出入治理制度 ：2. 3. 6. 1计算机中央要实行分区限制,限制工作人员出入与己 无关的区域.2. 3. 6. 2规模较大的计算中央,可向所有工作人员,包括来自外 单位的人员,发行带有照片的身份证件,并定期进

7、行检查或更换.2. 3. 6. 3平安等级较高的计算机系统,除采取身份证件进行识别以外,还要考虑其它出入治理举措,如：安装自动识别登记系统,采用磁卡、 结构编码卡或带有徽电脑及存储器的身份卡等手段,对人员进行自动识别、登记及出入治理.2. 3. 6. 4短期工作人员或维修人员的证件 ,应注明有效日期,届 时收回.2. 3. 6. 5参观人员必须由主管部门办理参观手续 ,参观时必须有专人陪同.2. 3. 6. 6因系统维修或其它原因需外国籍人进入机房时,必须始终有人陪同.2. 3. 6. 7进出口的钥匙应保存在约定的场所 ,由专人治理,并明 确其责任.记录最初人室者及最后离室者和钥匙交换时间.2. 3. 6. 8在无警卫的场合,必须保证室内无人时,关锁所有出入 口.2. 3. 6. 9禁止携带与上机工作无关的物品进入机房.2. 3. 6. 10对于带进和带出的物品,如有疑问,庞进行查验.2. 3. 7制定严格的技术文件治理制度.2. 3. 7. 1计算机系统的技术文件如说明书、手册等应妥善保存要有严格的借阅手续,不得损坏及丧失.2. 3. 7. 2应备有关计算机系统操作手册规定的文件.2. 3. 7. 3庞常备计算机系统出现故障时的替代举措及恢复顺序所规定的文件.2. 3. 8制定严格的操作规程：2. 3