基层单位信息系统安全等级保护三级管理新规制度信息系统建设管理详细规定.doc

《基层单位信息系统安全等级保护三级管理新规制度信息系统建设管理详细规定.doc》由会员分享，可在线阅读，更多相关《基层单位信息系统安全等级保护三级管理新规制度信息系统建设管理详细规定.doc（15页珍藏版）》请在咨信网上搜索。

版本号：1.0. 0423 信息系统建设管理规定 第一章 总则 第一条 为加快公司信息系统建设步伐，规范信息系统工程项目建设安全管理，提高信息系统建设和管理水平，保障信息系统工程项目建设安全，特制定本规范。 第二条 本规范重要对聚蓝金融信息服务有限公司（如下简称“公司”）信息系统建设过程提出安全管理规范。保证安全运营必要依托强有力安全技术，同步更要有全面动态安全方略和良好内部管理机制，本规范涉及五个某些： 1）项目建设安全管理总体规定：明确项目建设安全管理目的和原则； 2）项目规划安全管理：对信息化项目建设各个环节规划提出安全管理规定，拟定各个环节安全需求、目的和建设方案； 3）方案论证和审批安全管理：由安全管理部门组织行内外专家对项目建设安全方案进行论证，保证安全方案合理性、有效性和可行性。标明参加项目建设安全管理和技术人员及责任，并按规定安全内容和审批程序进行审批； 4）项目实行方案和实行过程安全管理：涉及拟定项目实行阶段安全管理目的和实行办法，并完毕项目安全专用产品拟定、非安全产品安全性拟定等； 5）项目投产与验收安全管理：制定项目安全测评与验收办法、项目投产安全管理规范，以及有关根据。 第三条 规范性引用文献 下列文献中条款通过本规范引用而成为本规范条款。凡是注日期引用文献，其随后所有修改单（不涉及勘误内容）或修订版均不合用于本规范，但勉励研究与否可使用这些文献最新版本。凡是不注日期引用文献，其最新版本合用于本规范。GB/T 5271.8－信息技术 词汇 第8某些 安全 第四条 术语和定义 本规范引用GB/T 5271.8－中术语和定义，还采用了如下术语和定义： 1）信息安全 infosec 信息机密性、完整性和可用性保护。 注释： 机密性定义为保证信息仅仅被那些被授权了人员访问。 完整性定义为保护信息和解决办法精确性和完备性。 可用性定义为保证被授权顾客在需要时可以访问到信息和有关资产。 2)计算机系统安全工程 ISSE（Information Systems Security Engineering） 计算机系统安全工程（ISSE）是发掘顾客信息安全保护需求，然后以经济、精准和简要办法来设计和建造计算机系统一门技巧和科学，ISSE辨认出安全风险，并使这些风险减至至少或使之受到遏制。 3)风险分析 risk analysis 对信息和信息解决设施所面临威胁及其影响以及计算机系统脆弱性及其发生也许性分析评估。 4)安全目的 security objective 本规范中特指公司项目建设信息安全管理中需要达到到目的。 5)安全测试 security testing 用于拟定系统安全特性按设计规定实现过程。这一过程普通涉及现场功能测试、渗入测试和验证。 第五条 本规范遵循国家有关政策法规和条例，结合各种信息化项目建设详细状况，根据各种原则、规范以及安全管理规定而制定。 第二章 项目建设安全管理总体规定 第六条 项目建设安全管理目的 一种项目生命周期涉及：项目申报、项目审批和立项、项目实行、项目验收和投产；从项目建设角度来看，这些生命周期阶段则涉及如下子阶段：需求分析、总体方案设计、概要设计、详细设计、系统实行、系统测试和试运营，如下表所示。 项目建设安全管理目的就是保证整个项目管理和建设过程中系统安全。为了达到这个目的，信息安全（INFOSEC）必要融合在项目管理和项目建设过程中，与公司业务需求、环境规定、项目筹划、成本效益以及国家和地方政策、原则、指令相一致。这种融合应当产生一种计算机系统安全工程（ISSE）项目，它要确认、评估、并且消除或控制住系统对已知或假定威胁脆弱点，最后得到一种可以接受水平安全风险。 计算机系统安全工程（ISSE）并不意味着存在一种单独独立过程。它支持项目管理和建设过程，并且是后者不可分割一某些。第三章到第六章将以项目管理过程为主轴，并结合项目建设过程，规定了在每个阶段中应达到哪些计算机系统安全工程规定。 第七条 项目建设安全管理原则 信息系统项目建设安全管理应遵循如下原则： 1)级别 2)全生命周期安全管理：信息安全管理必要贯穿信息化项目建设整个生命周期； 3)成本-效益分析：进行信息安全建设和管理应考虑投入产出比； 4)明确职责：每个参加项目建设和项目管理人员都应当明确安全职责，应进行安全意识和职责培训，并贯彻到位； 5)管理公开：应保证每个项目参加人员都知晓和理解安全管理模式和办法； 6)科学制衡：进行恰当职责分离，保证没有人可以单独完毕一项业务活动，以避免浮现相应安全问题； 7)最小特权：人员对项目资产访问权限制到最低限度，即仅赋予其执行授权任务所必须权限。 第八条 项目建设安全管理规定 项目安全管理工作应强化责任机制、规范管理程序，在项目申报、审批、立项、实行、验收等核心环节中，必要依照规定职能行使职权，并在规定期限内完毕各个环节安全管理行为，否则应承担相应行政责任。 第三章 项目申报 第九条 项目申报阶段应对信息系统项目及其建设各个环节进行统一安全管理规划，拟定项目安全需求、安全目的、安全建设方案，以及生命周期各阶段安全需求、安全目的、安全管理办法。 第十条 应由项目应用主管单位进行项目需求分析、拟定总体目的和建设方案。项目应用主管单位进行项目申报时应填写《信息系统项目立项申请表》，并提交《业务需求书》和《信息系统项目可行性研究报告》。 第十二条 系统定级 1）根据国家信息系统安全级别保护定级指南（GBT 22240-）对项目中系统进行定级，明确信息系统边界和安全保护级别； 2）以书面形式阐明拟定信息系统为某个安全保护级别办法和理由，形成信息系统定级报告； 3）组织有关部门和关于安全技术专家对信息系统定级成果合理性和对的性进行论证和审定，上报上级主管单位和安全监控单位进行审定； 4）信息系统定级成果向本地公安机关进行备案。 第十三条 挖掘安全需求 在《业务需求书》中除了描述系统业务需求之外，还应进行系统安全性需求分析，应至少涉及如下信息安全面内容： 1)安全威胁分析报告：应分析待建计算机系统在生命周期各个阶段中也许遭受自然威胁或者人为威胁（故意或无意），详细涉及威胁列表、威胁也许性分析、威胁严重性分析等； 2)系统脆弱性分析报告：涉及对系统导致问题脆弱性定性或定量描述，这些问题是被袭击也许性、被袭击成功也许性； 3)影响分析报告：描述威胁运用系统脆弱性也许导致不良影响。影响也许是有形，例如资金损失或收益减少，或也许是无形，例如名誉和信誉损失； 4)风险分析报告：安全风险分析目在于辨认出一种给定环境中涉及到对某一系统有依赖关系安全风险。它取决于上面威胁分析、脆弱性分析和影响分析，应提供风险清单以及风险优先级列表； 5)系统安全需求报告：针对安全风险，应提出安全需求，对于每个不可接受安全风险，都至少有一种安全需求与其相应。 第十四条 安全可行性 在可行性报告如下条目中应增长相应信息安全面内容： 1）项目目的、重要内容与核心技术：增长信息化项目总体安全目的，并在重要内容背面增长针对前面分析出安全需求所提出相应安全对策，每个安全需求都至少相应一种安全对策，安全对策强度应依照相应资产重要性来选取； 2）项目采用技术路线或者技术方案：增长描述如何从技术、运作、组织以及制度四个方面来实现所有安全对策，并形成安全方案； 3）项目承担单位及人员状况简介：增长项目各承担单位信息安全面资质和经验简介，并增长简介项目重要参加人员信息安全背景； 4）项目安全管理：增长项目建设中安全管理模式、安全组织构造、人员安全职责、建设实行中安全操作程序和相应安全管理规定； 5）成本效益分析：对安全方案进行成本-效益分析。 第十五条 对投入使用应用软件需要升级改造，虽不需另行立项，但仍需参照上述办法进行一定安全性分析，并针对也许发生安全问题提出和实现相应安全对策。 第四章 安全方案设计 第十六条 本阶段重要是项目审批单位对项目申报内容进行安全方案设计，对项目安全性进行拟定，必要时可以聘请外单位专家参加论证工作。 第十七条 安全原则拟定 1）依照系统安全保护级别选取基本安全办法，设计安全原则必要达到级别保护有关级别基本规定，并根据风险分析成果进行补充和调节必要安全办法； 2）指定和授权专门部门对信息系统安全建设进行总体规划，制定近期和远期安全建设工作筹划； 3）应依照信息系统级别划分状况，统一考虑安全保障体系总体安全方略、安全技术框架、安全管理方略、总体建设规划和详细设计方案，并形成配套文献 4）应组织有关部门和关于安全技术专家对总体安全方略、安全技术框架、安全管理方略、总体建设规划、详细设计方案等有关配套文献合理性和对的性进行论证和审定，并且通过批准后，才干正式实行； 5）依照级别测评、安全评估成果定期调节和修订总体安全方略、安全技术框架、安全管理方略、总体建设规划、详细设计方案等有关配套文献。 第五章 方案论证和审批 第十八条 本阶段重要是项目审批单位对项目申报内容进行审批，对项目进行安全性论证，必要时可以聘请外单位专家参加论证工作。 第十九条 安全性论证和审批 安全性论证应着重对项目安全需求分析、安全对策以及总体安全方案进行成本-效益、合理性、可行性和有效性分析，并在《信息化项目立项审批表》上给出明确结论： 1）恰当 2）不适当（否决） 3）需作复议 对论证结论为“需作复议”项目，告知申报单位对关于内容进行必要补充或者修改后，再次提交复审。 第二十条 项目安全立项 审批后，项目审批单位将对项目进行立项，在《信息系统项目任务书》如下条目中应增长相应计算机安全面内容： 1)项目管理模式、组织构造和责任：增长项目建设中安全管理模式、安全组织构造以及人员安全职责； 2)项目实行基本程序和相应管理规定：增长项目建设实行中安全操作程序和相应安全管理规定； 3)项目设计目的、重要内容和核心技术：增长总体安全目的、安全对策以及用于实现安全对策总体安全方案； 4)项目实现功能和性能指标：增长描述系统拥有详细安全功能以及安全功能强度； 5)项目验收考核指标：增长安全性测试和考核指标。 第二十一条 立项项目，如采用引进、合伙开发或者外包开发等形式，则需与第三方订立安全保密合同。 第六章 项目实行方案和实行过程安全管理原则 第二十二条 信息化项目实行阶段涉及3个子阶段：概要设计、详细设计和项目实行，本阶段重要工作由项目开发承担单位来完毕，项目审批单位负责监督工作。 第二十三条 概要设计子阶段安全规定 在概要设计阶段，系统层次上设计规定和功能指标都被分派到了子系统层次上，这个子阶段安全目的是保证各子系统设计实现了总体安全方案中安全功能。因而，《概要设计阐明书》中至少应达到如下安全规定： 1)应当按子系统来描述系统安全体系构造； 2)应当描述每一种子系统所提供安全功能； 3)应当标记所规定任何基本性硬件、固件或软件，和在这些硬件、固件或软件中实现支持性保护机制提供功能表达； 4)应当标记子系统所有接口，并阐明哪些接口是外部可见； 5)描述子系统所有接口用途与用法，并恰当提供影响、例外状况和错误消息细节； 6)确证子系统（无论是开发，还是买来）安全功能指标满足系统安全需求。 第二十四条 详细设计子阶段安全规定 无论是新开发一种系统，或是对一种系统进行修改，本阶段任务是完毕那些不能买到现成品软硬件模块设计。先要完毕每个模块详细设计方案，最后依照每个模块详细设计得到整个系统详细设计。本子阶段安全目的是保证各模块设计实现了概要设计中安全功能，因而在这一阶段《详细设计阐明书》中至少要涉及如下信息安全内容： 1）详细设计中应提出相应详细安全方案，标明实现安全功能，并应检查其技术原理； 2）对系统层面上和模块层面上安全设计进行审查； 3）完毕安全测试和评估规定（普通涉及完整系统、软件、硬件安全测试方案，至少是有关测试程序一种草案）； 4）确认各模块设计，以及模块间接口设计能满足系统层面安全规定。 第二十五条 项目实行子阶段安全规定 无论是新开发一种系统或是进行系统修改，本阶段重要目是将所有模块（软硬件）集成为完整系统，并且检查确认集成后来系统符合规定。本阶段中，应完毕如下详细信息安全工作： 1)更新系统安全威胁评估，预测系统使用寿命； 2)找出并描述实现安全方案后系统和模块安全规定和限制，以及有关系统验证机制及检查办法； 3)完善系统运营程序和全生命期支持安全筹划，如密钥分发等； 4)在《系统集成操作手册》中，应制定安全集成操作程序； 5)在《系统修改操作手册》中，应制定系统修改安全操作程序； 6)对项目参加人员进行信息安全意识培训； 7)并对参加项目建设安全管理和技术人员安全职责进行检查。 第二十六条 在系统实行阶段需要采购网络安全设备必要由公司进行统一采购，并保证采购设备至少符合下面规定： 1)网络安全设备选型应依照国家电力行业关于规定选取通过国家关于权威部门测评或认证产品。 2)所有安全设备后均需进行严格检测，凡购回设备均应在测试环境下通过持续72小时以上单机运营测试和联机48小时应用系统兼容性运营测试。禁止将未经测实验收或验收不合格设备交付使用。 3)通过上述测试后，设备才干进入试运营阶段。试运营时间长短可依照需要自行拟定。通过试运营设备，才干投入生产系统，正式运营。 第二十七条 在软件开发被外包地方，应当考虑如下几点： 1)检查代码所有权和知识产权状况； 2)质量合格证和所进行工作精准度； 3)在第三方发生故障状况下，有第三方备份保存； 4)进行质量审核； 5)在合同上有代码质量方面规定； 6)在安装之迈进行测试以检测特洛伊代码； 7)提供源代码以及有关设计、实行文档； 8)重要项目建设中还要要对源代码进行审核。 第二十八条 计算机系统集成信息技术产品（如操作系统、数据库等）或安全专用产品（如防火墙、IDS等）应达到如下规定： 1)对项目实行所需计算机及配套设备、网络设备、重要机具（如ATM）、计算机软件产品购买，计算机应用系统合伙开发或者外包开发拟定，按既有制度中有关规定执行； 2)安全产品采购必要由公司进行统一采购； 3)安全专用产品应具备国家职能某些颁发信息安全专用产品销售允许证； 4)密码产品符合国家密码主管部门规定，来源于国家主管部门批准密码研制单位； 5)核心安全专用产品应获得国家有关安全认证，在选型中依照实际需要制定安全产品选型原则； 6)核心信息技术产品安全功能模块应获得国家有关安全认证，在选型中依照实际需要制定信息技术产品选型原则。 7)所有安全设备后均需进行严格检测，凡购回设备均应在测试环境下通过持续72小时以上单机运营测试和联机48小时应用系统兼容性运营测试。禁止将未经测实验收或验收不合格设备交付使用。 8)通过上述测试后，设备才干进入试运营阶段。试运营时间长短可依照需要自行拟定。通过试运营设备，才干投入生产系统，正式运营。 第二十九条 产品和服务供应商应达到如下规定： 1)系统集成商资质规定：至少要拥有国家权威部门承认系统一级集成资质，对于较为重要系统应有更高档别集成资质； 2)工商规定： ①产品、系统或服务提供单位营业执照和税务登记在合法期限内； ②产品、系统或服务提供商产品、系统或服务提供资格； ③持续获利期限规定； ④持续无有关法律诉讼年限规定； ⑤没有发生重大管理、技术人员变化和流动期限规定； ⑥没有发生主业变化期限规定。 3)信息安全产品采购请参阅《信息安全产品采购、使用管理制度》 4)安全服务商资质：至少应具备国家一级安全服务资质，对于较为重要系统应有更高档别安全服务资质； 5)人员资质规定：系统集成人员、安全服务人员以及有关管理人员应获得国家权威部门颁发信息安全人员资质认证； 6)其他规定：系统符合国家有关法律、法规，按照有关主管部门技术管理规定对非法信息和恶意代码进行有效控制，按照关于规定对设备进行控制，使之不被作为非法袭击跳板； 7)服务供应商选取还要参阅《安全服务外包管理制度》。 第七章 项目验收与投产 第三十条 系统建设完毕后，项目承建方要根据项目合同交付某些向应用主管部门进行项目交付，但交付内容至少涉及： 1)制定系统交付清单，对交付设备、软件和文档进行清点； 2)对系统运维人员进行技能培训，规定系统运维人员能进行寻常维护； 3)提供系统建设过程文档，涉及实行方案、实行记录等； 4)提供系统运营维护协助和操作手册 第三十一条 系统交付要项目实行和应用主管部门有关项目负责人进行签字确认。 第三十二条 系统交付由项目应用系统主管部门负责，必要安照系统交付规定完毕交付工作。 第三十三条 应制定投产与验收测试大纲，在项目实行完毕后，由项目应用主管单位和项目开发承担单位共同组织进行测试。在测试大纲中应至少涉及如下安全性测试和评估规定： 1)配备管理：系统开发单位应使用配备管理系统，并提供配备管理文档； 2)安装、生成和启动程序：应制定安装、生成和启动程序，并保证最后产生了安全配备； 3)安全功能测试：对系统安全功能进行测试，以保证其符合详细设计并对详细设计进行检查，保证其符合概要设计以及总体安全方案； 4)系统管理员指南：应提供如何安全地管理系统和如何高效地运用系统安全功能长处和保护功能等详细精确信息； 5)系统顾客指南：必要包括两方面内容：一方面，它必要解释那些顾客可见安全功能用途以及如何使用它们，这样顾客可以持续有效地保护她们信息；另一方面，它必要解释在维护系统安全时顾客所能起作用； 6)安全功能强度评估：功能强度分析应阐明以概率或排列机制（如，口令字或哈希函数）实现系统安全功能。例如，对口令机制功能强度分析可以通过阐明口令空间与否有足够大来指出口令字功能与否满足强度规定； 7)脆弱性分析：应分析所采用安全对策完备性（安全对策与否可以满足所有安全需求）以及安全对策之间依赖关系。普通可以使用穿透性测试来评估上述内容，以判断它们在实际应用中与否会被运用来削弱系统安全。 第三十四条 测试完毕后，项目测试小组应提交《测试报告》，其中应涉及安全性测试和评估成果。不能通过安全性测试评估，由测试小组提出修改意见，项目开发承担单位应作进一步修改。 第三十五条 测试通过后，由项目应用单位组织进入试运营阶段，应有一系列安全办法来维护系统安全，它涉及解决系统在现场运营时安全问题和采用办法保证系统安全水平在系统运营期间不会下降。详细工作如下： 1)监测系统安全性能，涉及事故报告； 2)进行顾客安全培训，并对培训进行总结； 3)监视与安全关于部件拆除解决； 4)监测新发现对系统安全袭击、系统所受威胁变化以及其他与安全风险关于因素； 5)监测安所有件备份支持，支持与系统安全关于维护培训； 6)评估大大小小系统改动对安全导致影响； 7)监测系统物理和功能配备，涉及运营过程，由于某些不太显眼变化也许影响系统安全风险。 第三十六条 系统安全试运营半年后，项目应用主管单位可以组织由项目开发承担单位和科技部门人员参加项目验收组对项目进行验收。验收应增长如下安全内容： 1)项目与否已达到项目任务书中制定总体安全目的和安全指标，实现所有安全功能； 2)采用技术与否符合国家、电力行业关于安全技术原则及规范； 3)与否实现验收测评安全技术指标； 4)项目建设过程中各种文档资料与否规范、齐全； 5)在验收报告中也应在如下条目中反映对系统安全性验收状况： 6)项目设计总体安全目的及重要内容； 7)项目采用核心安全技术； 8)验收专家组中安全专家及安全验收评价意见。 第三十七条 系统备案 1）系统建设完毕后，要向相应公安机关进行备案，系统备案，备案有关材料有由公司进行统一管理，相应系统应用、管理部门可以借阅； 2）系统级别及有关材料报系统主管部门进行备案； 3）系统待级及其他规定备案材料报相应公安机关备案。 第四十条 设备管理 1)设备使用均应指定专人负责，均应设定严格管理员身份鉴别和访问控制，禁止盗用帐号和密码，超越管理权限，非法操作安全设备。 2)设备口令不得少于10位，须使用包括大小写字母、数字等在内不易猜测强口令，并遵循省电网公司统一帐号口令管理办法。 3)设备网络配备应遵循统一规划和分派，有关网络配备应向信息管理部门备案。 4)设备安全方略应进行统一管理，安全方略固化后变更应通过安全管理人员审核批准，并及时更新方略配备库。 5)设备须有备机备件，由公司统一进行保管、分发和替代。 6)加强设备外联控制，禁止擅自接入国际互联网或其她公众信息网络。 7)工作需要，设备需携带出工作环境时，应递交申请并由有关负责人签字并留档。 8)存储介质(含磁盘、磁带、光盘和优盘)管理应遵循： ①因工作因素需使用外来介质，应一方面进行病毒检查。 ②存储介质上粘贴统一标记，注明编号、部门、负责人。 ③存储介质如有损坏或其她因素更换下来，需交回解决。 9)安全设备使用管理： ①安全设备每月详细检查一次，记录并分析有关日记，对可疑行为及时进行解决； ②核心安全设备媒体必须进行寻常巡检； ③当设备配备更改时，应做好配备备份工作； ④安全设备浮现故障要及时报告主管领导，并及时告知系统集成商或关于单位进行故障排除，应填写操作记录和技术文档。 10)设备相应负责人负责： ①建立详细运营日记记录、备份制度； ②负责设备使用登记，登记内容应涉及运营起止时间、合计运营时数及运营状况等。 ③负责进行设备寻常清洗及定期保养维护，做好维护记录，保障设备处在最佳状况； ④一旦设备浮现故障，负责人应及时如实填写故障报告，告知关于人员解决； ⑤设备负责人应保证设备在其出厂标称使用环境（如温度、湿度、电压、电磁干扰、粉尘度等）下工作； 11)及时关注下发各类信息安全告示，关注最新病毒防治信息和提示，依照规定调节相应设备参数配备； 12)安全管理员应界定重要设备，对重要设备配备技术文档应考虑双份以上备份，并存储一份于异地。 第四十一条 投产后监控与跟踪 项目投产后还应进行一段时间监控和跟踪，详细涉及如下规定： 1)应对系统核心安全性能变化状况进行监控，理解其变化因素； 2)对系统安全事故发生、应急、解决、恢复、总结进行全程跟踪，并编写详细记录； 3)监控新增安所有件对系统安全影响； 4)跟踪安全关于部件拆除解决状况，并监控随后系统安全性变化； 5)对新发现对系统安全袭击进行监控，记录其发生频率以及对系统影响； 6)监控系统所受威胁变化，评估其发生也许性以及也许导致影响； 7)监控并跟踪安所有件备份状况； 8)监控运营程序变化，并记录这些变化对系统安全影响； 9)监控系统物理环境变化状况，并记录这些变化对系统安全影响； 10)监控安全配备变化状况，并记录这些变化对系统安全影响； 11)对于上述所有监控和跟踪内容，如果对系统安全有不良影响处，都应在系统设计、配备、运营管理上做相应改进，以保证系统安全、正常运营。 第四十二条 级别测评 1）系统进入运营过程后，三级系统每年聘请第三方测评机构对系统进行一次级别测评，二级系统由自已每年测评一次，发现不符合相应级别保护原则规定及时整治； 2）系统发生变更时，及时对系统进行级别测评，发现级别发生变化及时调节级别并进行安全改造，发现不符合相应级别保护原则规定及时整治； 3）测评机构要选取具备国家有关技术资质和安全资质单位； 4）系统级别测评由信息部负责管理。 第八章 附 则 第四十三条 本制度由公司信息技术部门负责解释。 第四十四条 本制度自颁布之日起实行。