应用系统安全改造监督规范..docVIP

某某石油管理局企业标准 应用系统安全改造监督规范 1适用范围 本标准规定了某某石油管理局应用系统安全改造监督规范。 本标准适用于某某油田（企业内部）应用系统安全改造管理方的权责、施工方的权责、施工方资格审查、施工方方案预审、施工方案实施、评估与审计、管理方应该注意的事项、认证与批准等。 2规范解释权 本规定适用于某某油田管理局信息安全管理中心和下属各单位中心机房。 3管理方的权责 根据工作量的大小，应成立专门的或者兼职的领导小组督察改造工作。 提供信息系统要求达到的安全目标（参见其它规范），以及评估标准。 安全目标，以及改造措施的设定要综合考虑上级和下级相关单位。 对系统安全目标，以及拟采用的安全方案应该上报上级机关审批。 对重要的应用系统的安全改造，有权利和责任对施工方案做出评审。 对施工方的申请，要求有义务做出积极的响应。 提供系统安全现状，根据工作量的大小，以书面形式提交。 提供系统安全规范。 提供系统安全目标。 提供系统软、硬件设备的说明书，必要的技术资料。 提供系统改造时必要的用户名，口令、密码。 提供系统改造时资源设备的保护要求。 提供必要的场地以及配合工作人员。 提供基础的工作环境，比如电源，网络接口等。 4施工方的权责 提供必要的资格证明。 提供详细的施工方案。 要求对重要设备的物理安全做出承诺。 对改造中涉及到的重要系统，数据的访问有义务向管理方申请，并作记录。 对重要系统参数的设置，修改有义务向施工方做出书面说明。 改造后要求写出总结文档。 5施工方资格审查 根据改造工作的任务量，安全要求级别酌情使用如下规范： 施工方要求有合法的身份证明。 施工方必须有一定的从事该业务的资质和经济实力。 必须有与其业务量相适应的工程技术人员和技术工人。 从事安全改造的技术人员要求政治过关，遵纪守法。 对涉及财务等重要系统的安全改造，不能由内部人员从事。 6施工方方案预审 方案中要对安全的需求，做出分析说明并且提出明确的安全策略。 方案要求对方案实施后可达到的安全目标做出说明或解释。 要求方案对每一个安全策略，要求对其安全功能和代价做出详细的说明。 要求方案对改造中将要采购的软件、硬件设备做出说明。 要求方案对改造中将涉及到的设施改动做出说明。 要求方案对改造工程做出总体预算。 要求方案对改造工期安排，改造对现行业务的影响程度作详细说明。 要求方案对改造中要求管理方承诺的服务做出说明。 要求方案对改造过程中可能出现的意外情况（例如，系统死锁），以及相关的防护、补救措施做出说明。 管理方应当根据实际情况评审方案。 权衡施工方案的实施对业务造成的影响。 权衡安全需求与所付出的资金的代价。 权衡改造中的风险代价与业务持续性和安全性要求。 权衡给施工方提供的服务与可能造成的安全隐患之间的矛盾。 权衡新设备的利用率与业务安全需求之间的关系。 7施工方案实施 要求监督施工进度，工期原则上不能延期。 工程间歇，系统不能停留在不安全状态。 对重要的系统，在安全改造之前，应当对信息系统资源和施工方人员进行登记，备案。 对改造中涉及到的重要数据，必须备份。 启用新的应用软件，应当交管理方系统维护人员安装到业务系统，并做好日志记录。 对存有重要数据的故障设备修理时，管理方必须安排专人在场监督。 对改造过程中出现的意外情况，要求做好日志记录。 8验收与测试．评估与审计 应用系统安全改造施工之后，施工方应该归还相关资料，提交工程报告。 应用系统安全改造施工之后，管理局信息中心依据合同对工程进行验收。 测试过程必须在管理局技术委员会的监督下进行，由管理局信息中心与施工方共同参与测试。 管理局技术委员会对应用系统的安全性能以及安全等级做出评估，保证系统安全改造后的安全性能和等级达到合同中所规定的安全目标。 考察应用系统是否达到要求的安全要求并作测试纪录。 改造施工后，测试操作系统加固以及安装最新的安全补丁情况是否达到所规定的安全目标。 改造施工后，施工方就还可能出现的安全漏洞以及补救措施等向管理局信息中心进行说明，避免出现不必要的操作错误和安全隐患。 应用系统授权人应该考察评估结果，用以决定是否可以接收系统运行的风险。 9管理方应该注意的事项 系统安全改造之后，对分配给施工方人员的权力应当交还系统管理员。 系统改造之后，必须对系统日志做出审计。 系统管理员对超级用户口令，其它用户名和口令等登录信息的进行重新设置。 系统管理员可以根据需要对其它的网络进出口的口令重新设置。 10认证与批准 认证与批准是针对自动信息系统和其他保护措施的技术或非技术安全特征的一种复杂评估。其目的是确定某一特定设计和实施满足指定的安全需求集的程度，并由指定的批准授权机构籍此正式宣布某信息系统被获准可在某一可接受的风险级别上运行。CA（Cetification Aut