基层单位信息系统安全等级保护三级管理新规制度信息系统建设管理详细规定.doc
《基层单位信息系统安全等级保护三级管理新规制度信息系统建设管理详细规定.doc》由会员分享,可在线阅读,更多相关《基层单位信息系统安全等级保护三级管理新规制度信息系统建设管理详细规定.doc(15页珍藏版)》请在咨信网上搜索。
1、版本号:1.0. 0423信息系统建设管理规定第一章 总则第一条为加快公司信息系统建设步伐,规范信息系统工程项目建设安全管理,提高信息系统建设和管理水平,保障信息系统工程项目建设安全,特制定本规范。第二条 本规范重要对聚蓝金融信息服务有限公司(如下简称“公司”)信息系统建设过程提出安全管理规范。保证安全运营必要依托强有力安全技术,同步更要有全面动态安全方略和良好内部管理机制,本规范涉及五个某些:1)项目建设安全管理总体规定:明确项目建设安全管理目的和原则;2)项目规划安全管理:对信息化项目建设各个环节规划提出安全管理规定,拟定各个环节安全需求、目的和建设方案;3)方案论证和审批安全管理:由安全
2、管理部门组织行内外专家对项目建设安全方案进行论证,保证安全方案合理性、有效性和可行性。标明参加项目建设安全管理和技术人员及责任,并按规定安全内容和审批程序进行审批;4)项目实行方案和实行过程安全管理:涉及拟定项目实行阶段安全管理目的和实行办法,并完毕项目安全专用产品拟定、非安全产品安全性拟定等;5)项目投产与验收安全管理:制定项目安全测评与验收办法、项目投产安全管理规范,以及有关根据。第三条 规范性引用文献下列文献中条款通过本规范引用而成为本规范条款。凡是注日期引用文献,其随后所有修改单(不涉及勘误内容)或修订版均不合用于本规范,但勉励研究与否可使用这些文献最新版本。凡是不注日期引用文献,其最
3、新版本合用于本规范。GB/T 5271.8信息技术 词汇 第8某些 安全第四条 术语和定义本规范引用GB/T 5271.8中术语和定义,还采用了如下术语和定义:1)信息安全 infosec信息机密性、完整性和可用性保护。注释: 机密性定义为保证信息仅仅被那些被授权了人员访问。完整性定义为保护信息和解决办法精确性和完备性。可用性定义为保证被授权顾客在需要时可以访问到信息和有关资产。2)计算机系统安全工程 ISSE(Information Systems Security Engineering)计算机系统安全工程(ISSE)是发掘顾客信息安全保护需求,然后以经济、精准和简要办法来设计和建造计算机
4、系统一门技巧和科学,ISSE辨认出安全风险,并使这些风险减至至少或使之受到遏制。3)风险分析 risk analysis对信息和信息解决设施所面临威胁及其影响以及计算机系统脆弱性及其发生也许性分析评估。4)安全目的 security objective本规范中特指公司项目建设信息安全管理中需要达到到目的。5)安全测试 security testing用于拟定系统安全特性按设计规定实现过程。这一过程普通涉及现场功能测试、渗入测试和验证。第五条 本规范遵循国家有关政策法规和条例,结合各种信息化项目建设详细状况,根据各种原则、规范以及安全管理规定而制定。第二章 项目建设安全管理总体规定第六条 项目建
5、设安全管理目的一种项目生命周期涉及:项目申报、项目审批和立项、项目实行、项目验收和投产;从项目建设角度来看,这些生命周期阶段则涉及如下子阶段:需求分析、总体方案设计、概要设计、详细设计、系统实行、系统测试和试运营,如下表所示。 项目建设安全管理目的就是保证整个项目管理和建设过程中系统安全。为了达到这个目的,信息安全(INFOSEC)必要融合在项目管理和项目建设过程中,与公司业务需求、环境规定、项目筹划、成本效益以及国家和地方政策、原则、指令相一致。这种融合应当产生一种计算机系统安全工程(ISSE)项目,它要确认、评估、并且消除或控制住系统对已知或假定威胁脆弱点,最后得到一种可以接受水平安全风险
6、。计算机系统安全工程(ISSE)并不意味着存在一种单独独立过程。它支持项目管理和建设过程,并且是后者不可分割一某些。第三章到第六章将以项目管理过程为主轴,并结合项目建设过程,规定了在每个阶段中应达到哪些计算机系统安全工程规定。第七条 项目建设安全管理原则信息系统项目建设安全管理应遵循如下原则:1)级别2)全生命周期安全管理:信息安全管理必要贯穿信息化项目建设整个生命周期;3)成本-效益分析:进行信息安全建设和管理应考虑投入产出比;4)明确职责:每个参加项目建设和项目管理人员都应当明确安全职责,应进行安全意识和职责培训,并贯彻到位;5)管理公开:应保证每个项目参加人员都知晓和理解安全管理模式和办
7、法;6)科学制衡:进行恰当职责分离,保证没有人可以单独完毕一项业务活动,以避免浮现相应安全问题;7)最小特权:人员对项目资产访问权限制到最低限度,即仅赋予其执行授权任务所必须权限。第八条 项目建设安全管理规定项目安全管理工作应强化责任机制、规范管理程序,在项目申报、审批、立项、实行、验收等核心环节中,必要依照规定职能行使职权,并在规定期限内完毕各个环节安全管理行为,否则应承担相应行政责任。第三章 项目申报第九条 项目申报阶段应对信息系统项目及其建设各个环节进行统一安全管理规划,拟定项目安全需求、安全目的、安全建设方案,以及生命周期各阶段安全需求、安全目的、安全管理办法。第十条 应由项目应用主管
8、单位进行项目需求分析、拟定总体目的和建设方案。项目应用主管单位进行项目申报时应填写信息系统项目立项申请表,并提交业务需求书和信息系统项目可行性研究报告。第十二条 系统定级1)根据国家信息系统安全级别保护定级指南(GBT 22240-)对项目中系统进行定级,明确信息系统边界和安全保护级别;2)以书面形式阐明拟定信息系统为某个安全保护级别办法和理由,形成信息系统定级报告;3)组织有关部门和关于安全技术专家对信息系统定级成果合理性和对的性进行论证和审定,上报上级主管单位和安全监控单位进行审定;4)信息系统定级成果向本地公安机关进行备案。第十三条 挖掘安全需求在业务需求书中除了描述系统业务需求之外,还
9、应进行系统安全性需求分析,应至少涉及如下信息安全面内容:1)安全威胁分析报告:应分析待建计算机系统在生命周期各个阶段中也许遭受自然威胁或者人为威胁(故意或无意),详细涉及威胁列表、威胁也许性分析、威胁严重性分析等;2)系统脆弱性分析报告:涉及对系统导致问题脆弱性定性或定量描述,这些问题是被袭击也许性、被袭击成功也许性;3)影响分析报告:描述威胁运用系统脆弱性也许导致不良影响。影响也许是有形,例如资金损失或收益减少,或也许是无形,例如名誉和信誉损失;4)风险分析报告:安全风险分析目在于辨认出一种给定环境中涉及到对某一系统有依赖关系安全风险。它取决于上面威胁分析、脆弱性分析和影响分析,应提供风险清
10、单以及风险优先级列表;5)系统安全需求报告:针对安全风险,应提出安全需求,对于每个不可接受安全风险,都至少有一种安全需求与其相应。第十四条 安全可行性在可行性报告如下条目中应增长相应信息安全面内容:1)项目目的、重要内容与核心技术:增长信息化项目总体安全目的,并在重要内容背面增长针对前面分析出安全需求所提出相应安全对策,每个安全需求都至少相应一种安全对策,安全对策强度应依照相应资产重要性来选取;2)项目采用技术路线或者技术方案:增长描述如何从技术、运作、组织以及制度四个方面来实现所有安全对策,并形成安全方案;3)项目承担单位及人员状况简介:增长项目各承担单位信息安全面资质和经验简介,并增长简介
11、项目重要参加人员信息安全背景;4)项目安全管理:增长项目建设中安全管理模式、安全组织构造、人员安全职责、建设实行中安全操作程序和相应安全管理规定;5)成本效益分析:对安全方案进行成本-效益分析。第十五条 对投入使用应用软件需要升级改造,虽不需另行立项,但仍需参照上述办法进行一定安全性分析,并针对也许发生安全问题提出和实现相应安全对策。第四章 安全方案设计第十六条 本阶段重要是项目审批单位对项目申报内容进行安全方案设计,对项目安全性进行拟定,必要时可以聘请外单位专家参加论证工作。第十七条 安全原则拟定1)依照系统安全保护级别选取基本安全办法,设计安全原则必要达到级别保护有关级别基本规定,并根据风
12、险分析成果进行补充和调节必要安全办法;2)指定和授权专门部门对信息系统安全建设进行总体规划,制定近期和远期安全建设工作筹划;3)应依照信息系统级别划分状况,统一考虑安全保障体系总体安全方略、安全技术框架、安全管理方略、总体建设规划和详细设计方案,并形成配套文献4)应组织有关部门和关于安全技术专家对总体安全方略、安全技术框架、安全管理方略、总体建设规划、详细设计方案等有关配套文献合理性和对的性进行论证和审定,并且通过批准后,才干正式实行;5)依照级别测评、安全评估成果定期调节和修订总体安全方略、安全技术框架、安全管理方略、总体建设规划、详细设计方案等有关配套文献。第五章 方案论证和审批第十八条
13、本阶段重要是项目审批单位对项目申报内容进行审批,对项目进行安全性论证,必要时可以聘请外单位专家参加论证工作。第十九条 安全性论证和审批安全性论证应着重对项目安全需求分析、安全对策以及总体安全方案进行成本-效益、合理性、可行性和有效性分析,并在信息化项目立项审批表上给出明确结论:1)恰当2)不适当(否决)3)需作复议对论证结论为“需作复议”项目,告知申报单位对关于内容进行必要补充或者修改后,再次提交复审。第二十条 项目安全立项审批后,项目审批单位将对项目进行立项,在信息系统项目任务书如下条目中应增长相应计算机安全面内容:1)项目管理模式、组织构造和责任:增长项目建设中安全管理模式、安全组织构造以
14、及人员安全职责;2)项目实行基本程序和相应管理规定:增长项目建设实行中安全操作程序和相应安全管理规定;3)项目设计目的、重要内容和核心技术:增长总体安全目的、安全对策以及用于实现安全对策总体安全方案;4)项目实现功能和性能指标:增长描述系统拥有详细安全功能以及安全功能强度;5)项目验收考核指标:增长安全性测试和考核指标。第二十一条 立项项目,如采用引进、合伙开发或者外包开发等形式,则需与第三方订立安全保密合同。第六章 项目实行方案和实行过程安全管理原则第二十二条 信息化项目实行阶段涉及3个子阶段:概要设计、详细设计和项目实行,本阶段重要工作由项目开发承担单位来完毕,项目审批单位负责监督工作。第
15、二十三条 概要设计子阶段安全规定在概要设计阶段,系统层次上设计规定和功能指标都被分派到了子系统层次上,这个子阶段安全目的是保证各子系统设计实现了总体安全方案中安全功能。因而,概要设计阐明书中至少应达到如下安全规定:1)应当按子系统来描述系统安全体系构造;2)应当描述每一种子系统所提供安全功能;3)应当标记所规定任何基本性硬件、固件或软件,和在这些硬件、固件或软件中实现支持性保护机制提供功能表达;4)应当标记子系统所有接口,并阐明哪些接口是外部可见;5)描述子系统所有接口用途与用法,并恰当提供影响、例外状况和错误消息细节;6)确证子系统(无论是开发,还是买来)安全功能指标满足系统安全需求。第二十
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基层单位 信息系统安全 等级 保护 三级 管理 规制 信息系统 建设 详细 规定
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。