信息系统工程实施管理制度.docxVIP

系统实施安全管理规定 总 则 为了确保广东XX医药有限公司重要信息系统实施阶段工作的有序、高效开展，保证服务质量和规范工程实施的流程，进一步提高整体的网络与信息安全水平，特制定本规定。 本规定适用于广东XX医药有限公司重要信息系统，包括计算机、网络、存储备份、输入输出等设备，以及系统、应用软件。 系统实施相关管理应首先遵照广东XX医药有限公司现有工程实施中的具体要求执行。 广东XX医药有限公司重要信息系统范围内的应用系统部署管理应遵照《应用系统部署安全规范》中的具体要求执行。 职责分工 信息安全领导小组应制定各工程责任单位、部门工程实施相关管理制度，明确工程实施的流程，工程实施管理方法，以及人员行为准则。 信息中心负责对所辖信息系统的工程实施，信息安全领导小组对各工程实施进行指导和监督。 系统实施安全管理 信息系统实施阶段安全管理包括项目签约、项目计划、工程实施和试运行相关阶段的安全管理要求。 在签署项目合约过程中，通过签署《保密协议书》约束双方的安全保密行为，签署过程中可以视实际情况对《保密协议书》进行修订和完善，《保密协议书》应经过商务部审核确认后方可使用。 在概要设计阶段，概要设计中应考虑以下安全要求： 根据安全需求，按安全功能子系统来描述系统的安全架构； 标识所要求的任何基础性的硬件、固件或软件，以及在这些硬件、固件或软件中实现的支持性保护机制提供的功能表示； 标识子系统的所有接口，并说明哪些接口是外部可见的； 子系统所有接口的用途与使用方法，并适当提供影响、例外情况和错误消息的处理机制。 在详细设计阶段，详细设计中应考虑以下安全要求： 详细设计中须提出具体安全设计方案，标明实现的安全功能，并说明其技术原理； 对系统层面上的和模块层面上的安全设计进行审查； 确认各模块的设计，以及模块间的接口设计能满足系统层面的安全要求。 工程实施方案应规定工程时间限制、进度控制、质量控制等方面内容。工程实施过程按照实施方案形成各种文档，如阶段性工程报告、需求调研报告、风险评估报告等。 工程实施如需第三方参与，则应进行厂商、服务商及集成商的选择。选择过程中针对厂家资质、信誉及以往工程实施质量和本次工程实施方案等进行详细分析、评审及选择。 选定工程实施第三方后，应与第三方签订符合合同，详细描述工程实施规范及第三方责任，明确其任务要求，并规定工程实施过程中的安全行为、环境要求、工程质量以及实施后的服务承诺等内容。 工程实施人员进场前，应提交《广东XX医药有限公司工程实施进场申请表》（附表1），经相关部门领导审批后方可进场。 工程实施过程中，工程实施方应严格遵守工程实施计划，把控工程实施质量；项目监理方进行监理。 项目实施过程中，如有时间延期、人员调整、项目目标调整等变更情况发生，应填写《广东XX医药有限公司系统需求变更申请表》（附表2），进行项目变更的申请和执行。 信息系统在实施部署过程中，应考虑以下安全要求： 全面评估信息系统部署的网络环境、系统环境以及数据库的安全性能够确保应用系统自身的安全需求； 确保网络环境、系统环境和数据库的访问控制规则符合应用系统的访问控制权限要求； 信息系统应在测试环境中进行测试，以避免对已经运行信息系统产生影响。 信息系统在开发过程中，应禁止将口令写入应用程序。 信息系统在测试过程中应通过《广东XX医药有限公司信息系统测试表》（附表3）进行测试汇总和记录。 信息系统在初验前应注意如下安全控制： 信息系统具备与信息系统需求分析、概要设计、详细设计相一致的安全功能； 信息系统已经在与实际环境一致的测试环境运行稳定，并确定好周边安全控制措施，包括物理、网络和主机系统等基础环境； 信息系统的安全部署和运行符合普宁市地方税务局的总体安全策略要求。 信息系统在试运行期间应跟踪可能出现的安全威胁和风险，并与信息系统承建单位保持有效沟通和协调，保障系统的安全性。 信息系统在试运行期间如发现安全漏洞、安全隐患或新发布的安全补丁，需要对信息系统应用软件或承载的操作系统、数据库进行及时升级。 项目终验时应检查执行法律法规和标准情况，主要检查项目建设成果和管理是否符合有关法律、法规和国家信息化建设相关标准。 信息系统在终验前，必须明确系统运行的开放端口，并以书面形式交付至信息中心进行记录和备案。 项目安全管理 信息系统建设过程的项目管理应符合普宁市地方税务局相关规定内容，其中在工程安全管理中进一步加强如下管理内容： 信息系统建设的组织管理 信息系统建设的文档管理 信息系统建设的变更管理 信息系统建设的组织管理，应加强如下安全控制： 信息系统承建单位应遵守普宁市地方税务局既定的信息化建设项目管理制度； 应要求承建单位建立逐级解决问题的过程、提升信息系统安全性的组织保障能力； 信息系统建设过程中应加强对于系统承建单位的监视和评审工作