系统建设安全管理制度管理规范

22系统建设安全治理制度系统建设安全治理制度系统建设安全治理制度99页9页\l“_TOC_250017“1、目标 3\l“_TOC_250016“2、总体要求 3\l“_TOC_250015“3工程申报安全治理 3\l“_TOC_250014“第一节系统定级 3\l“_TOC_250013“其次节挖掘安全需求 4\l“_TOC_250012“第三节安全方案设计 4\l“_TOC_250011“4、方案论证与审批安全治理 5\l“_TOC_250010“5、实施方案和实施过程安全治理 5\l“_TOC_250009“第一节实施方案设计 5\l“_TOC_250008“其次节产品选购 5\l“_TOC_250007“第三节软件开发或外包 6\l“_TOC_250006“第四节信息技术产品选型 6\l“_TOC_250005“第五节产品和效劳供给商选择 6\l“_TOC_250004“第六节工程质量治理和监视 8\l“_TOC_250003“6、验收与投产安全治理 8\l“_TOC_250002“第一节安全测试 8\l“_TOC_250001“其次节验收测试 9\l“_TOC_250000“第三节系统交付 9系统建设安全治理1、目标保障信息化工程工程建设安全，特制定本制度。2、总体要求从工程建设的角度来看，这些生命周期的阶段则包括以下子阶段：需求分析、总体方案设计、概要设计、具体设计、系统实施、系统测试和试运行，如下表所示：工程申报工程审批和立项工程实施工程验收和投产

工程治理生命周期需求分析总体方案设计概要设计、具体设计、系统实施系统测试、试运行和投产工程建设安全治理的目标就是保证整个工程治理和建设过程中系统的安全。施、验收等关键环节中，必需依照规定的职能行使职权，并在规定的时限内完成各个环节的安全治理行为，否则应担当相应的行政责任。3工程申报安全治理标、安全治理措施。级，明确信息系统的边界和安全保护等级；级报告；和审定，上报上级主管单位和安全监控单位进展审定；信息系统的定级结果向本地公安机关进展备案。应进展系统的安全性需求分析，应至少包括以下信息安全方面的内容：自然威逼或者人为威逼〔有意或无意威逼严峻性分析等；问题是被攻击的可能性、被攻击成功的可能性；例如资金的损失或收益的削减，或可能是无形的，例如声誉和信誉的损失；应供给风险清单以及风险优先级列表；风险，都至少有一个安全需求与其对应。级的根本要求，并依据风险分析的结果进展补充和调整必要的安全措施；建设工作打算；框架、安全治理策略、总体建设规划和具体设计方案，并形成配套文件；总体建设规划、具体设计方案等相关配套文件的合理性和正确性进展论证和审定，并且经过批准后，才能正式实施；治理策略、总体建设规划、具体设计方案等相关配套文件。4、方案论证与审批安全治理时可以聘请外单位的专家参与论证工作。益、合理性、可行性和有效性分析，并给出明确的结论：适当不适宜〔拒绝〕需作复议改后，再次提交复审。5、实施方案和实施过程安全治理对系统层面上的和模块层面上的安全设计进展审查；〔通常包括完整的系统的、软件的、硬件的安全测试方案，至少是相关测试程序的一个草案；确认各模块的设计，以及模块间的接口设计能满足系统层面的安全要求。信息产品的选购必需由综合治理科进展统一选购；或认证的产品；全部安全设备购回后均需进展严格检测，凡购回的设备均应在测试环境下经过连续验收或验收不合格的设备交付使用；通过试运行的设备，才能投入生产系统，正式运行。方备份保存；供给源代码以及相关设计、实施文档；；在安装之前进展安全性测试及源代码审核。对工程实施所需的计算机及配套设备、网络设备、重要机具〔如ATM产品的购置，计算机应用系统的合作开发或者外包开发确实定，按现有制度中的相关规定执行；安全专用产品应具有国家职能局部颁发的信息安全专用产品的销售许可证；型的标准；制定信息技术产品选型的标准；全部安全设备购回后均需进展严格检测，凡购回的设备均应在测试环境下经过连续验收或验收不合格的设备交付使用；通过试运行的设备，才能投入生产系统，正式运行。为重要的系统应有更高级别的集成资质；工商要求：产品、系统或效劳供给单位的营业执照和税务登记在合法期限内；产品、系统或效劳供给商的产品、系统或效劳的供给资格；连续赢利期限要求；连续无相关法律诉讼年限要求；没有发生重大治理、技术人员变化和流淌的期限要求；没有发生主业变化期限要求。级别的安全效劳资质；颁发的信息安全人员资质认证；信息和恶意代码进展有效把握，依据有关规定对设备进展把握，使之不被作为非法攻击的跳板。神签订，合同应包括以下主要内容及条款：工程名称和地点或设备等名称；工程范围和内容或设备等内容明细；开、竣工日期或交、提货时间、地点；中间交工工程开、竣工日期；工程质量或设备等制造质量；保修期保修条件；工程造价或设备等价款；工程价款或设备等价款的支付方式；结算和交工、交提货验收方法；技术资料供给份数及日期；材料和设备工业及进场期限；双方相互协商事项；违约责任；15、其它。确定工程质量终生负责制。工程负责人对工程在设计使用年限内任何质量缺陷负全责。质保量，按期完成各项工程任务；工期打算、质量存在隐患、本钱失控的工程部要准时进展整改，施工工程部必需准时落实整改意见，按要求实行补救措施，确保工程保质保量，按打算实施。对于不能确保工程目标的实现又不能落实整改措施的工程部，工程治理领导小组将准时撤换主要负责人及相关人员，视情节按医院有关制度进展惩罚。6、验收与投产安全治理同组织进展测试。在测试大纲中应至少包括以下安全性测试和评估要求：配置治理：系统开发单位应使用配置治理系统，并供给配置治理文档；的配置；计进展检查，保证其符合概要设计以及总体安全方案；优点和保护功能等具体准确的信息；系统用户指南：必需包含两方面的内容：首先，它必需解释那些用户可见的安全它必需解释在维护系统的安全时用户所能起的作用；〔如，口令字或哈希函数令空间是否有足够大来指出口令字功能是否满足强度要求；〔安全对策是否可以满足全部的安全需求内容，以推断它们在实际应用中是否会被利用来减弱系统的安全。果。不能通过安全性测试评估的，由测试小组提出修改意见，工程开发担当单位应作进一步修改。的工程验收组对工程进展验收。验收应增加以下安全内容：能；承受技术是否符合国家、海关总署有关安全技术标准及标准；是否实现验收测评的安全技术指标；工程建设过程中的各种文档资料是否标准、齐全；在验收报告中也应在以下条目中反映对系统安全性验收的状况：工程设计总体安全目标及主要内容；工程承受的关键安全技术；验收专家组中的安全专家