移动新媒体聚合管理系统建设管理制度.docVIP

新华通讯社山西分社 移动新媒体聚合管理系统 系统建设管理制度 文件编号： XHSMTJH-008 版： ： 版本记录 版本号 版本日期 修改 审核 批准 修改  目录 1 总则 3 1.1 目的 3 1.2 范围 3 1.3 职责 3 2 管理细则 3 2.1 安全管理要点 3 2.2 工程实施和管理 4 2.3 工程监理 4 2.4 工程测试验收 5 2.5 安全测评 5 2.6 安全试运行 6 2.7 测试验收 6 2.8 系统交付 7 3 附件 8 系统交付清单（附表2） 9 成果转移培训记录单（附表3） 10  总则 目的 为规范单位移动新媒体聚合管理信息系统建设管理和工程实施管理，在工程实施各个环节按照信息安全等级保护要求进行管理和测试验收准则及系统交付管理，特制定本管理规范。 范围 本规范适用于移动新媒体聚合管理信息系统建设管理和工程实施管理。 职责 信息技术部门负责移动新媒体聚合管理系统建设管理和工程实施管理和测试验收的协调和实施及系统交付，办公室负责单一采购类系统交付管理。 管理细则 安全管理要点 工程实施阶段的主要目的是将所有的模块（软硬件）集成为完整的系统，并且检查确认集成以后的系统符合要求。 本阶段应完成以下具体信息安全工作： 由信息技术部门授权或指定专职人员代表单位负责工程实施过程的管理； 由工程实施方根据具体项目情况制定详细的《工程实施方案》来控制实施过程，并监督工程实施单位认真执行安全工程过程； 找出并描述实现安全方案后系统和模块的安全要求和限制，以及相关的系统验证机制及检查方法； 完善系统的运行程序和全生命期支持的安全计划，如密钥的分发等； 对项目参与人员进行信息安全意识培训； 对参加项目建设的安全管理和技术人员的安全职责进行检查。 工程实施和管理 安全建设整改工程实施的组织管理工作包括落实安全建设整改的责任部门和人员，保证建设资金足额到位，选择符合要求的安全建设整改服务商，采购符合要求的信息安全产品，管理和控制安全功能开发、集成过程的质量等方面。按照《GB/T 20282—2006信息系统安全工程管理要求》中有关资格保障和组织保障等要求组织管理等级保护安全建设整改工程。实施流程管理、进度规划控制和工程质量控制可参照《GB/T 20282—2006信息系统安全工程管理要求》中第8、9、10章提出的工程实施、项目实施和安全工程流程控制要求，实现相应等级的工程目标和要求。 工程监理 为保证建设工程的安全和质量，单位信息系统安全建设和整改工程可以实施监理。监理内容包括对工程实施前期安全性、采购外包安全性、工程实施过程安全性、系统环境安全性等方面的核查。 工程测试验收 工程验收的内容包括全面检验工程项目所实现的安全功能，设备部署、安全配置等是否满足设计要求，工程施工质量是否达到预期指标，工程档案资料是否齐全等方面。在通过安全测评或测试的基础上，组织相应信息安全专家进行工程验收。大型项目可参照《GB/T 20282—2006信息系统安全工程管理要求》。一般项目可按照以下三步骤进行项目测试验收工作。 安全测评 安全测评阶段应制定投产与验收测试大纲，在项目实施完成后，由信息技术部门和项目承接单位共同组织进行测试。 对于第三级以上的应用系统整改建设，由信息技术部门委托第三方测试单位对系统进行安全性测试，并独立不受干扰地出具安全性测试报告。 在测试大纲中应至少包括以下安全性测试和评估要求： a)配置管理：系统开发单位应使用配置管理系统，并提供配置管理文档； b)安装、生成和启动程序：应制定安装、生成和启动程序，并保证最终产生了安全的配置； c)安全功能测试：对系统的安全功能进行测试，以保证其符合详细设计并对详细设计进行检查，保证其符合概要设计以及总体安全方案； d)系统管理员指南：应提供如何安全地管理系统和如何高效地利用系统安全功能的优点和保护功能等详细准确的信息； e)系统用户指南：必须包含两方面的内容：首先，它必须解释那些用户可见的安全功能的用途以及如何使用它们，这样用户可以持续有效地保护他们的信息；其次，它必须解释在维护系统的安全时用户所能起的作用； f)安全功能强度评估：功能强度分析应说明以概率或排列机制（如，口令字或哈希函数）实现的系统安全功能。例如，对口令机制的功能强度分析可以通过说明口令空间是否有足够大来指出口令字功能是否满足强度要求； g)脆弱性分析：应分析所采取的安全对策的完备性（安全对策是否可以满足所有的安全需求）以及安全对策之间的依赖关系。通常可以使用穿透性测试来评估上述内容，以判断它们在实际应用中是否会被利用来削弱系统的安全。 h)测试完成后，项目测试小组应提交《测试报告》，其中应包括安全性测试和评估的结果