信息化标准体系建设规划

XX市自来水有限公司信息化标准体系规划TOC\o"1-5"\h\z\o"CurrentDocument"1前言1\o"CurrentDocument"2编制说明2\o"CurrentDocument"2.1编制目的2\o"CurrentDocument"2.2编制原则2\o"CurrentDocument"2.3编制依据3\o"CurrentDocument"2.4术语与定义3\o"CurrentDocument"3标准体系组成7\o"CurrentDocument"3.1概述7\o"CurrentDocument"3.2标准体系框架7\o"CurrentDocument"3.3标准体系组成说明8\o"CurrentDocument"3.3.1网络基础设施建设标准8\o"CurrentDocument"3.3.2信息资源体系标准8\o"CurrentDocument"3.3.3应用支撑平台建设标准8\o"CurrentDocument"3.3.4应用系统接口标准9\o"CurrentDocument"3.3.5信息安全体系标准9\o"CurrentDocument"3.3.6信息化管理体系标准9\o"CurrentDocument"4网络基础设施建设标准10\o"CurrentDocument"4.1网络建设规范10\o"CurrentDocument"4.1.1设备命名规范10\o"CurrentDocument"IP地址及VLAN规范12\o"CurrentDocument"安全区域划分13\o"CurrentDocument"运行维护规范13\o"CurrentDocument"人员管理规范13\o"CurrentDocument"设施管理规范16\o"CurrentDocument"运行管理规范21\o"CurrentDocument"主要技术标准26\o"CurrentDocument"5信息资源体系标准28\o"CurrentDocument"5.1信息资源分类标准28\o"CurrentDocument"5.1.1分类原则28\o"CurrentDocument"5.1.2分类方法30\o"CurrentDocument"5.2信息资源编码规范32\o"CurrentDocument"5.2.1信息系统编码规范32\o"CurrentDocument"5.2.2主数据编码规范34\o"CurrentDocument"5.2.3数据库命名规范34\o"CurrentDocument"5.3信息资源交换规范39\o"CurrentDocument"6应用支撑平台建设标准40\o"CurrentDocument"6.1应用支撑平台总体架构40\o"CurrentDocument"6.2应用支撑平台建设要求41\o"CurrentDocument"6.3统一接入认证规范42\o"CurrentDocument"6.3.1单点登录规范42\o"CurrentDocument"6.3.2统一用户管理规范42\o"CurrentDocument"6.3.3权限管理规范43\o"CurrentDocument"6.4应用支撑安全规范43\o"CurrentDocument"6.4.1应用系统日志记录接口44\o"CurrentDocument"6.4.2系统管理记录接口45\o"CurrentDocument"6.4.3用户行为记录接口46\o"CurrentDocument"7应用系统接口标准47\o"CurrentDocument"7.1服务设计规范47\o"CurrentDocument"7.1.1概述47\o"CurrentDocument"7.1.2服务识别47\o"CurrentDocument"7.1.3服务定义48\o"CurrentDocument"7.2服务封装规范50\o"CurrentDocument"7.2.1服务封装原则50\o"CurrentDocument"7.2.2服务封装方式51\o"CurrentDocument"7.3服务开发规范51\o"CurrentDocument"7.3.1基本要求51\o"CurrentDocument"WebService命名规范52\o"CurrentDocument"WSDL编写说明52\o"CurrentDocument"7.3.4适配器开发规范55\o"CurrentDocument"7.4服务集成规范55\o"CurrentDocument"企业服务总线（ESB）55\o"CurrentDocument"服务描述57\o"CurrentDocument"服务注册/发布57\o"CurrentDocument"服务发现/调用58\o"CurrentDocument"服务编排58\o"CurrentDocument"信息安全体系标准59安全体系框架59\o"CurrentDocument"基础标准59\o"CurrentDocument"技术与机制标准60\o"CurrentDocument"管理标准61\o"CurrentDocument"测评标准62\o"CurrentDocument"密码标准63\o"CurrentDocument"保密标准64\o"CurrentDocument"通信安全标准64\o"CurrentDocument"信息化管理体系标准66\o"CurrentDocument"9.1需求管理规范66\o"CurrentDocument"9.1.1管理范围66\o"CurrentDocument"9.1.2项目确立66\o"CurrentDocument"需求方案编制67\o"CurrentDocument"需求方案审核67\o"CurrentDocument"需求方案变更67\o"CurrentDocument"实施管理规范70\o"CurrentDocument"职责界定70\o"CurrentDocument"系统开发71\o"CurrentDocument"试点推广71\o"CurrentDocument"维护升级72\o"CurrentDocument"验收管理规范72\o"CurrentDocument"9.3.1组织管理72\o"CurrentDocument"9.3.2验收条件72\o"CurrentDocument"9.3.3验收依据72\o"CurrentDocument"9.3.4验收内容73\o"CurrentDocument"9.3.5验收程序749.4运行使用管理规范77\o"CurrentDocument"9.4.1系统管理77\o"CurrentDocument"9.4.2用户管理78\o"CurrentDocument"9.4.3安全管理78\o"CurrentDocument"9.4.4应急处理79XX市自来水有限公司-信息化标准体系规划XX市自来水有限公司-信息化标准体系规划#7应用系统接口标准应用系统接口标准明确了各应用系统接入应用支撑平台使用的标准和规范，为服务使用方和服务提供方提供开发参考。应用系统间接口交互基于企业服务总线（ESB）进行，应按照接口标准中的服务设计规范、服务接入规范、服务开发规范进行服务的建设，并实现服务的统一管理。服务设计规范概述Web服务作为应用系统之间的交互方式，应按照统一的标准进行开发，服务的设计包括服务识别与服务定义。服务识别a）服务识别是指对业务进行分析和梳理，抽象出业务实现所需的服务，并按服务分类要求进行合理划分。b）服务识别应分析与业务功能或业务数据相关的接口以及约束该接口的契约，接口和契约采用中立、基于标准的方式进行定义，它独立于实现服务的硬件平台、操作系统和编程语言。c）服务识别应从业务的角度出发，包括但不限于下述几点：1）业务流程切入点：通过梳理、优化业务流程，将业务流程转化为可重用、更具有灵活性的流程服务。2）用户体验切入点：关注用户体验需求，为终端用户提供增值、个性化、多渠道的服务，并据此来优化整合内部的应用和流程服务定义服务定义是在服务识别的基础上定义服务的各项属性，描述服务的信息。服务的属性包括：基本属性、技术属性、安全属性、配置属性，服务的各项属性定义应分阶段进行、逐步细化。服务识别阶段定义服务的基本属性，服务设计阶段定义服务的技术属性与安全属性，服务的部署阶段定义服务的配置属性。a）服务的基本属性包括但不限于表7-1所述信息：表7-1序号属性说明取值说明1服务编码标识服务的唯一编码2服务英文名称服务的英文概要名称，描述应简洁准确3服务中文名称服务的中文概要名称，描述应简洁准确4服务性质编码描述服务的特性如:关键任务服务、高容量服务、高水平服务、标准服务5服务功能描述对服务功能规格的详细描述。6服务开发单位实现服务的开发厂家b）服务的技术属性包括但不限于表7-2所述信息：表7-2序号属性说明取值说明1版本号服务的版本号如：V1.02注册时间服务的正式注册时间如：2016-01-0110:003依赖的服务本服务需要调用的其它服务的编号歹g表如：服务编码1；服务编码2；

4实现方式具体技术实现方式如：JAVA5服务类型属于服务体系中的哪种类型如:访问服务、数据服务、业务服务、流程服务、综合服务、展现服务6交互属性是否需要人工交互是/否7服务调用方式客户端调用服务的具体方式如:服务同步调用、服务异步无返回调用、服务异步有返回调用8接口方法服务提供的接口方法列表如：Create()9接口协议调用服务的通讯协议如：http10服务启用时间服务的正式启动时间2013-01-108:0011服务停用时间服务的正式停用时间2013-12-3118:00c）服务的安全属性包括但不限于表7-3所述信息：表7-3序号属性说明取值说明1安全要求调用服务时，是否需要进行安全认证是/否2允许调用的角色允许调用该服务的角色列表如1：Operator；Manager3服务自行安全认证服务被调用时，是否还进行自身的安全认证是/否d）服务的配置属性包括但不限于表7-4所述信息：表7-4序号属性说明取值说明1服务部署IP地址提供服务功能的网络IP地址如：2服务接口定义文件描述服务接口定义的文件路径如:http://192.168.1-1/test.wsdl3可以使用的时间可以使用该服务的时间段如：0：00-24：004是否支持重试服务调用失败后，是否支持重发调用是/否服务封装规范7.2.1服务封装原则服务封装是Web服务实现的手段，服务封装将应用系统可重用的功能或数据“剥离”出来，对外以相关的接口方式以及约束这个接口的契约提供给消费者调用。接口和契约的定义是中立的且基于标准的，并独立于实现服务的硬件平台、操作系统与编程语言。服务封装应遵循包括但不限于下述原则：1）无状态原则：最大限度减少服务管理的状态信息以及状态期限。2）单一实例原则：避免功能冗余。3）接口定义原则：使用WSDL定义服务接口，使用WS-Policy描述服务契约，使用XML模式（Schema）定义服务交换的消息格式（即服务的公共数据）。服务消费者依赖服务契约调用服务，服务定义应相对稳定，修改应通过审核批准。4）自包含和模块化原则：服务封装的是那些在业务上稳定的、重复出现的活动和组件，组成服务的功能实体是完全独立自主的，可以独立进行部署、版本控制、自管理和恢复。5）粗粒度原则：服务粒度指抽象级别或者服务包含的功能。确定服务粒度时需要考虑性能需求，以及未来可能进行的更改对服务实现的影响，应尽可能使用粗粒度模式隐藏其中的细粒度服务，这样有利于将服务与其实现的更改隔离开来。服务数量太多会带来服务管理的复杂性。6）松耦合性原则：服务消费者使用服务接口调用服务，服务的位置、实现技术、当前状态以及服务的私有数据对服务消费者是透明的。7）可重用原则：服务是可重复使用的。8）策略声明原则：应利用策略声明描述对服务的期望，例如：安全性方面的要求、与业务有关的语义方面的要求以及服务级别方面的要求等。7.2.2服务封装方式对于技术实现方式和接口不能满足或难以满足本规范服务定义与服务封装要求的现有应用系统，建议通过适配器对现有应用系统进行集成，利用适配器对外提供的各类接口的方式实现服务封装。对于采用J2EE支持Web服务开发的现有应用系统，可以在不改变现有应用系统的技术实现方式与现有接口的前提下，通过增加对外接口以支持标准的服务接口协议的方式，直接实现现有应用系统功能模块的服务封装。对于新建的应用系统，应按本规范的服务定义与服务封装的要求，直接采用支持SOA的开发工具进行服务封装。服务开发规范基本要求XX自来水信息化工程WebService服务要求基于统一的平台（如：AXIS2）进行开发和部署，并在企业服务总线中注册。WebService命名规范WebService服务名称应遵循以下要求：a）服务的方法名称为大小写混合的形式，以小写字母开头，名字中其他单词的首字母以大写字母开头，所有其它的单词都应为小写字母，不宜使用下划线分隔单词。服务的命名应该能描绘出方法的作用和功能，服务的名字宜使用祈使动词或者动词短语。b）服务的方法参数命名应用一个小写字母开头，后面的单词应用大写字母开头。c）所有的服务方法应有完整的注释，注释内容包含方法功能介绍、参数说明、返回类型说明、例外类型，例如：/***方法的功能描述。@paramname名称@return返回值类型（INT）；返回-1表示传入的参数存在类型错误或参数不足，*返回0表示操作失败，返回1表示操作成功。*/解释:@param格式如下：@param参数名说明其中“参数名"是指参数列表内的标识符，而"说明"代表一些可延续到后续行内的说明文字。一旦遇到一个新文档标记，就认为前一个说明结束。可使用任意数量的说明，每个参数一个。@eturn格式如下：@return说明其中“说明”是指返回值的含义。它可延续到后面的行内。targetNamespace命名要求：targetNamespace在XX自来水信息化工程中的命名为：。7・3・3WSDL编写说明♦编写要求WSDL文档是利用这些主要的元素来描述某个webservice的，如表7-5所示：表7-5兀素定义<portType>webservice执行的操作<message>webservice使用的消息<types>webservice使用的数据类型<binding>webservice使用的通信协议WSDL文档可包含其它的元素，比如extension元素，以及一个service元素，此元素可把若干个webservices的定义组合在一个单一的WSDL文档中。WSDL端口＜portType＞元素是最重要的WSDL元素，它可描述一个webservice、可被执行的操作，以及相关的消息，可以把＜portType＞元素比作传统编程语言中的一个函数库(或一个模块、或一个类)。WSDL消息＜message＞元素定义一个操作的数据元素。每个消息均由一个或多个部件组成。可以把这些部件比作传统编程语言中一个函数调用的参数。WSDLtypes＜types＞元素定义webservice使用的数据类型。为了最大程度的平台中立性，WSDL使用XMLSchema语法来定义数据类型。WSDLBindings＜binding＞元素为每个端口定义消息格式和协议细节。♦WSDL实例以下是WSDL文档的简化片段的举例：vwsdl:definitionsxmlns:soap/wsdl/soap/xmlns:tns/SimpleService/xmlns:wsdl/wsdl/xmlns:xsd/2001/XMLSchemanameSimpleServicetargetNamespace/SimpleService/<wsdl:types><xsd:schematargetNamespace/SimpleService/<xsd:elementnameconcatRequestvxsd:complexType>vxsd:sequence><xsd:elementnames1typexsd:string<xsd:elementnames2typexsd:string</xsd:sequence></xsd:complexType></xsd:element><xsd:elementnameconcatResponsetypexsd:string</xsd:element></xsd:schema></wsdl:types><wsdl:messagenameconcatRequest<wsdl:partelementtns:concatRequestnameparameters</wsdl:message><wsdl:messagenameconcatResponse<wsdl:partelementtns:concatResponsenameparameters</wsdl:message><wsdl:portTypenameSimpleService<wsdl:operationnameconcat<wsdl:inputmessagetns:concatRequest<wsdl:outputmessagetns:concatResponse</wsdl:operation></wsdl:portType><wsdl:bindingnameSimpleServiceSOAPtypetns:SimpleService<soap:bindingstyledocumenttransport/soap/http<wsdl:operationnameconcat<soap:operationsoapAction/SimpleService/concat<wsdl:input><soap:bodyuseliteral</wsdl:input><wsdl:output><soap:bodyuseliteral</wsdl:output></wsdl:operation></wsdl:binding><wsdl:servicenameSimpleServicevwsdl:portbindingtns:SimpleServiceSOAPnameSimpleServiceSOAPvsoap:addresslocationhttp://IP:PORT/axis2/services/SimpleService</wsdl:port></wsdl:service>v/wsdl:definitions>7.3.4适配器开发规范基于TCP/IP协议，XX自来水信息化工程可以使用的适配器类型包括：a）Socket通讯方式适配器。b）Http通讯方式适配器。c）JMS（JavaMessageService：JAVA企业级消息规范）通讯方式适配器。适配器分为长连接和短连接，以及同步通讯方式和异步通讯方式。通过适配器可以进行：a）定义WebService服务：定义WebService的方法、参数等信息。b）转换WebService的输入参数：把节点的输入参数转换为WebService的方法参数。c）调用WebService服务:调用WebService服务，并输入WebService服务对应的参数。d）打包WebService的返回结果：扌巴WebService运行的结果打包返回。服务集成规范7・4・1企业服务总线（ESB）ESB提供了一种开放的，基于标准的消息机制，通过标准的适配器和接口，来完成服务之间的互操作。ESB提供了多协议的服务调用接入、服务路由、服务访问控制和服务适配器等核心功能。ESB是服务提供者和服务消费者之间的一个中介，避免了点对点的集成，是实现Web服务松藕合的重要机制。服务消费者可以不关心服务提供者的接口（消息格式的不同）、地域（服务部署位置的变化）、调用方式（同步/异步）、传输协议（服务提供者和消费者可以使用不同的通讯协议）、技术实现（编程语言/部署环境）等。ESB功能包括但不限于：1）服务接入：服务接入是调用服务的统一入口。包括：接收服务请求消息和调用者使用的通信协议与ESB内部通信协议之间转换功能。2）访问控制：访问控制包括身份鉴别与权限控制。3）消息转换：消息转换提供不同格式的消息之间的转换，包括输入消息转换和输出消息转换。4）服务路由：根据消息的内容和预先配置好的规则，将服务请求传递给某个具体的服务处理。5）适配转换：负责ESB内部通信协议与被调用的服务使用的通信协议之间的转换，并调用服务，获得服务返回结果。ESB应包括但不限于下述特性：1）与操作系统和编程语言无关，并能在Java和.Net应用程序之间工作。2）使用XML作为标准通信语言。3）支持Web服务标准。4）支持多种传输协议，例如:HTTP（S）、JMS、RMI、FTP或其他消息中间5）支持多种消息传递方式，包括：同步、异步、点对点、发布-订阅等。6）包含基于标准的适配器，例如：JCA、文件适配器、JDBC适配器等。7）包含基于内容的智能路由功能。8）包含标准安全模型，用于ESB的认证、授权和审计。9）包含消息转换功能,使用可视化映射工具定义XSLT规则，在发送应用和接收应用之间能够进行格式转换、语义转换。10）包含基于模式（schema）的消息验证。11）支持服务管理，比如服务的注册、维护、报废和版本管理；监控服务的运行情况，包括时延、吞吐量、错误率等。12）提供对中文的全面支持，包括对GB2312/GBK/UTF8的完善支持。ESB应具有良好的可扩展性，能够充分利用硬件系统的资源，支持垂直扩展和水平扩展，支持负载均衡，满足日益增长的服务数量的需求。服务描述服务使用WSDL描述其使用的抽象消息操作、具体的网络协议和端点地址。服务使用XML模式（XMLSchema）描述其接收和发送的基于XML的消息的结构和内容。服务使用Web服务策略（WebServicesPolicy）规范来描述Web服务的能力、需求和一般特征，包括但不限于安全性策略。7.4.3服务注册/发布基于SOA松耦合特性，需要对各种服务进行注册，以方便服务提供者发布自己的服务、服务消费查找所需的服务。服务注册中心需要提供分类管理能力，实现对服务的搜索。服务注册应该提供服务审批的功能，保证对敏感注册数据的任何变动都能够传递到适合的审批流程中。同时，还应该提供服务变更管理功能，支持变更的通知和订阅，能够实现将注册数据的变动主动地通知到管理员或者相应的流程。7.4.4服务发现/调用ESB应具有自动发现服务的功能，ESB中可以通过图形化界面及参数配置的方式调用服务。Java客户端应用程序中使用UDDIAPI,以编程方式查找服务目录，并调用服务。SOA服务应优先采用Web服务方式实现,并符合WS-I国际标准。服务间互操作的协议为简单对象访问协议(SOAP)。服务间数据交换的格式为可扩展标记语言(XML)。7.4.5服务编排复杂的服务需要通过若干个简单的服务组合而成,这时候就需要对服务进行编排。轻量级服务编排在ESB中完成,通过ESB的服务路由、消息格式转换功能,实现多个服务组合成一个更粗粒度的服务。需要长期运行的业务流程,可利用业务规则管理组件进行服务编排。8信息安全体系标准信息安全体系是从管理、技术、组织等多个方面完整、准确地落实安全策略，做到风险、安全及成本的平衡。我国信息安全标准化工作最早可追溯到20世纪80年代，于1984年7月在全国信息技术标准化技术委员会之下组建了数据加密标准化分技术委员会，1985年发布了第一个有关信息安全方面的标准。本次信息安全体系标准将参照《国家信息安全标准体系》，用于指导XX自来水信息安全标准制定和信息安全标准实施。安全体系框架整个信息安全体系由基础标准、技术与机制标准、管理标准、测评标准、密码标准、保密标准和通信安全标准这七大标准组成。信息安全技术标准体系基础标准基础标准是为其他标准制定提供支撑的公用的标准，包括术语、体系结构模型、框架标准四个组成部分

基础标准包含的内容如下：标准编号标准名称对应国际标准状态安全术语标准GB/T5271.8-2001信息技术词汇第8部分：安全ISO/IEC2382-8已发布GB/T25069-2010信息安全技术术语已发布《信息系统个人信息保护基本概念》计划编制体系结构标准GB/T9387.2-1995信息处理系统开放系统互连基本参考模型第2部分：安全体系结构ISO7498-2:1989已发布《信息安全技术物联网安全体系架构》计划编制模型标准GB/T17965-2000信息技术开放系统互连咼层安全模型ISO/IEC10745:1995已发布GB/T18237.1-2000信息技术开放系统互连通用高层安全概述、模型和记法ISO/IEC115861:1996已发布框架标准GB/T16264.8-2005信息技术开放系统互连目录第8部分：公钥和属性证书框架ISO/IEC9594-8已发布GB/T18794.1-2002第1部分:概述ISO10181-1:1996已发布技术与机制标准技术与机制标准包括标识、鉴别、授权、电子签名、实体管理和物理安全技术标准。技术与机制标准内容如下：标准编号标准名称对应国际标准状态标识标准

数字身份信息服务框架报批稿鉴别标准GB/T28445-2012信息安全技术引入可信第三方的实体鉴别及接入架构规范已发布GB/T15843.1-2008信息技术安全技术实体鉴别第1部分：概述ISO/IEC9798-1:1997已发布授权标准GB/T25062-2010信息安全技术鉴别与授权基于角色的访问控制模型与管理规范已发布电子签名标准GB/T20518-2006信息安全技术公钥基础设施数字证书格式已发布实体管理标准GB/T17143.1-1997信息技术开放系统互连系统管理第1部分:客体管理功能ISO/IEC101641:1993已发布物理安全技术标准GB/T21052-2007信息安全技术信息系统物理安全技术要求已发布管理标准信息安全管理标准包括管理基础标准、信息安全管理体系（ISMS）标准、管理支撑技术标准、信息安全服务管理标准和个人信息保护管理标准。信息安全管理标准内容如下：标准编号标准名称对应国际标准状态管理基础标准GB17859-1999计算机信息系统安全保护等级划分准则已发布ISMS标准

GB/T22080-2008信息技术安全技术信息安全管理体系要求ISO/IEC27OO1:2OO5已发布GB/T22081-2008信息技术安全技术信息安全管理实用规则ISO/IEC27OO2:2OO5已发布管理支撑技术标准GB/T20269-2006信息安全技术信息系统安全管理要求已发布GB/T20984-2007信息安全技术信息安全风险评估规范已发布服务管理标准GB/T30283-2013信息安全技术信息安全服务定义和分类已发布个人信息保护管理标准GB/Z28828-2012信息安全技术公共及商用服务信息已发布测评标准信息安全测评标准包括测评基础标准、产品测评标准、系统测评标准和能力评估标准。测评标准内容如下：标准编号标准名称对应国际标准状态测评基础标准GB/T18336.1-2008信息技术安全技术信息技术安全性评估准则第1部分：简介和一般模型ISO/IEC154081:2005已发布GB/T18336.2-2008信息技术安全技术信息技术安全性评估准则第2部分：安全功能要求ISO/IEC154082:2005已发布GB/T18336.3-2008信息技术安全技术信息技术安全性评估准则第3部分：安全保ISO/IEC154083:2005已发布

证要求产品测评标准GB/T20278-2013信息安全技术网络脆弱性扫描产品安全技术要求已发布GB/T20945-2013信息安全技术信息系统安全审计产品技术要求和测试评价方法已发布系统测评标准GB/T20271-2006信息安全技术信息系统通用安全技术要求已发布GB/T20983-2007信息安全技术网上银行系统信息安全保障评估准则已发布能力评估标准GB/T30271-2013信息安全服务能力评估准则已发布信息安全等级测评机构能力要求和评估规范草案密码标准密码标准包括基础标准、技术标准和管理标准密码标准内容如下：标准编号标准名称对应国际标准状态GB/T29829-2013信息安全技术可信计算密码支撑平台功能与接口规范已发布祖冲之序列密码算法（3个部分）送审稿SM2椭圆曲线密码算法（5个部分）征求意见稿SM3密码杂凑算法征求意见稿SM4分组密码算法征求意见稿随机性检测规范征求意见稿

密码应用标识规范征求意见稿IPSec安全接入技术要求与实施指南征求意见稿保密标准保密标准包括通用技术要求标准、涉及国家秘密的计算机信息系统安全产品测评标准、涉及国家秘密的计算机信息系统测评标准、涉密信息系统管理标准和保密技术检查标准。通信安全标准通信安全标准包括通信基础标准、通信安全技术标准、通信设备安全测评标准、通信管理与服务标准。通信安全标准内容如下：标准编号标准名称对应国际标准状态GB/T30284-2013信息安全技术移动通信智能终端操作系统安全技术要求（EAL2级）已发布信息安全技术近场通信安全技术第1部分：NFCIP-1安全服务和协议送审稿信息安全技术近场通信安全技术第2部分:安全机制要求送审稿信息安全技术网络存储设备安全技术规范送审稿移动智能终端安全架构征求意见稿信息安全技术公共域名服务系统安全技术要求征求意见稿

信息安全技术域名系统（DNS）安全部署指南征求意见稿信息安全技术移动终端电子支付安全技术要求第1部分：基于近距离无线通信征求意见稿9信息化管理体系标准信息化管理体系标准是为了规范信息化建设的管理，构建稳定、安全、经济、高效、可持续的信息支撑体系，提高企业管理现代化水平，推动XX自来水公司又好又快发展。信息化管理体系包括信息化项目的需求管理规范、实施管理规范、验收管理规范和运行使用管理规范四部分内容。需求管理规范需求管理规范是为了规范信息化应用系统项目需求管理，确保应用系统开发质量。管理范围信息化建设项目需求管理是指对信息化项目确立、需求方案制定、需求变更控制等进行管理。项目确立（一）各子（分）公司、各部门（以下简称需求单位）对信息化建设有需求的，需向公司信息中心申报，并提交项目申报材料。项目申报材料包括项目申报表（见附表一）和项目建议书。项目申报表主要包括项目的名称、申报单位、项目概算和项目基本情况等内容。项目建议书主要包括项目建设的背景、必要性、项目目标、需求分析、建设周期、项目投资、经济效益与社会效益分析等内容。需求单位为两个或者两个以上的，相关单位确定一个单位牵头，统一申报。（二）公司信息中心根据申报材料，提出项目资源配置方案，必要时组织专家进行可行性论证。（三）项目申报材料经公司信息中心审核并报公司同意后方可进行需求方案编制。9.1.3需求方案编制需求方案由需求单位负责编制，需求方案包括业务需求、技术需求、设备需求等，明确项目建设目标，详尽描述项目的建设内容、业务范围、业务流程、数据规模、用户数量、应用范围等内容。9.1.4需求方案审核（一）需求单位完成需求方案编制后，由公司信息中心组织审核。（二）公司信息中心提出审核意见，报公司批准后，作为系统开发依据。9.1.5需求方案变更（一）需求方案变更是指对需求内容的增减、取消和调整。（二）需求方案如需变更，由需求单位根据业务需求变化，填写《信息化建设项目需求变更申请表》（详见附表二）和项目变更方案，按照本细则规定的需求方案的提交和审核程序执行。（三）公司信息中心根据审核后的《信息化建设项目需求变更申请表》和变更方案，调整需求方案相关内容，并及时更新技术文档。附表一：信息化建设项目申报表附表二：信息化建设项目需求变更申请表附表一：信息化建设项目需求申报表（参考）项目名称申请单位申请日期资金概算项目起始结束日期申请单位意见签字盖章年月日业务主管部门审核意见签字盖章年月日信息中心审核意见签字盖章年月日公司领导意见签字年月日具体申报内容（项目明细说明，包含项目的详细内容、目的、意义以及前景规划等内容。可另附纸）附表二：信息化建设项目需求变更申请表（参考）编号：项目名称申请单位申请日期申请单位意见签字盖章年月日业务主管部门审核意见签字盖章年月日信息中心审核意见公司领导意见签字盖章年月日需求变更申报内容（需求变更详细内容说明，包含项目的变更原因和依据，变更前后比较分析等内容。可另附纸）实施管理规范实施管理规范用于规范公司信息化建设项目的实施过程。职责界定（一）信息化建设项目实施是指对网络建设、系统集成和业务应用软件的开发、测试、试点运行、应用推广、软件后期维护等工作进行组织管理的过程。（二）公司信息中心负责项目设计方案的审核和项目承建单位的资质审查以及技术、设备选型；负责项目实施的组织协调、进度控制、质量监督、成果接收、升级完善等管理工作。（三）各子（分）公司、公司各部门（以下简称需求单位）负责业务需求和业务流程的细化、系统功能要求的提出与系统功能验证、系统升级业务需求采集、系统的推广应用及提出升级完善建议等。系统开发（一）公司信息中心负责公司网络建设项目、系统集成和应用软件开发的组织管理。（二）公司信息中心按照设计规范和开发进度方案组织系统开发工作，并定期向需求单位通报开发进展情况。（三）公司信息中心负责检查项目开发工作的完成情况，发现问题，及时通知项目开发单位修改、更正。（四）公司信息中心和需求单位共同建立风险控制机制，规避项目风险。（五）公司信息中心负责组织项目需求单位、项目开发单位组成系统测试组，负责系统测试工作。系统测试组编制软件测试计划和测试用例并进行测试，包括功能测试、性能测试、安全性测试等。根据需要，公司信息中心负责组织专业测试机构，对软件系统的功能、性能进行第三方测试。（六）需求单位负责对通过阶段性测试的系统进行试用，检测系统功能的正确性和完整性，验证系统功能是否满足业务需求。试点推广（一）需求单位负责制定系统推广实施计划，编制系统应用推广方案。（二）需求单位负责确定系统试点范围，协调解决试点期间的业务问题，验证业务需求的合理性和系统功能的完整性、正确性，并汇总试点工作中发现的问题，提出完善系统的建议。公司信息中心组织项目开发单位进行系统的修改完善。（三）经试点成功后，需求单位会同公司信息中心制定培训方案，组织人员培训，进行全面推广维护升级（一）公司信息中心统一组织对信息化应用系统开发项目的升级工作。（二）需求单位根据业务需求变化和系统运行中出现的问题，提出系统升级建议，按照《公司信息化建设项目需求管理规范》规定的项目审核程序进行审核。验收管理规范验收管理规范用于规范公司信息化建设项目的验收管理，确保项目建设质量组织管理公司信息中心负责信息化建设项目验收的组织管理工作。验收条件（一）项目按设计要求建成，经测试和试运行合格并能满足实际需要；（二）完成项目要求的相关培训且已落实售后服务措施；（三）项目档案文件完整、准确；（四）应用系统类项目，完成系统的试点运行，并由项目需求单位提交系统功能符合业务需要的说明。验收依据（一）有关法律、法规以及相关标准；（二）项目招标相关资料；（三）项目竣工验收申请报告；（四）相关单位出具的用户报告；（五）测试单位出具的测试报告；（六）项目合同或协议；（七）业务需求说明书；（八）系统运行记录报告和使用单位意见；（九）项目实施中涉及的其他资料。验收内容（一）建设情况。主要包括建设内容、建设规模是否按照批准的建设方案、