《信息系统建设管理制度》.docxVIP

  1. 1、本文档共17页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
信息系统建设管理制度 一^章总贝[I 第一条 为加快公司信息系统建设步伐,规范信息系统工程项目建设安全管 理,提升信息系统建设和管理水平,保障信息系统工程项目建设安全,特制定本 规范。 第二条本规范主要对XX公司(以下简称“公司”)信息系统建设过程提出 安全管理规范。保证安全运行必须依靠强有力的安全技术, 同时更要有全面动态 的安全策略和良好的内部管理机制,本规范包括五个部分: 1) 项目建设安全管理的总体要求:明确项目建设安全管理的目标和原则; 2) 项目规划安全管理:对信息化项目建设各个环节的规划提出安全管理要 求,确定各个环节的安全需求、目标和建设方案; 3) 方案论证和审批安全管理:由安全管理部门组织行内外专家对项目建设 安全方案进行论证,确保安全方案的合理性、有效性和可行性。标明参加项目建 设的安全管理和技术人员及责任,并按规定安全内容和审批程序进行审批; 4) 项目实施方案和实施过程安全管理:包括确定项目实施的阶段的安全管 理目标和实施办法,并完成项目安全专用产品的确定、非安全产品安全性的确定 等; 5) 项目投产与验收安全管理:制定项目安全测评与验收方法、项目投产的 安全管理规范,以及相关依据。 第三条规范性引用文件 下列文件中的条款通过本规范的引用而成为本规范的条款。 凡是注日期的引 用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用丁本规范, 但鼓励研究是否可使用这些文件的最新版本。 凡是不注日期的引用文件,其最新 版本适用丁本规范。 GB/T 5271.8 — 2001信息技术 词汇 第8部分 安全 第四条术语和定义 本规范引用GB/T5271.8 — 2001中的术语和定义,还采用了以下术语和定义: 1) 信息安全infosec 信息的机密性、完整性和可用性的保护。 注释:机密性定义为确保信息仅仅被那些被授权了的人员访问。 完整性定义为保护信息和处理方法的准确性和完备性。 可用性定义为保证被授权用户在需要时能够访问到信息和相关资产。 2) 计算机系统安全工程 ISSE (Information Systems Security Engineering ) 计算机系统安全工程(ISSE)是发掘用户信息安全保护需求,然后以经济、 精确和简明的方法来设计和建造计算机系统的一门技巧和科学, ISSE识别出安 全风险,并使这些风险减至最少或使之受到遏制。 3) 风险分析 risk analysis 对信息和信息处理设施所面临的威胁及其影响以及计算机系统脆弱性及其 发生的可能性的分析评估。 4) 安全 目标 security objective 本规范中特指公司项目建设信息安全管理中需要达成到的目标。 5) 安全测试 security testing 用丁确定系统的安全特征按设计要求实现的过程。这一过程通常包括现场功 能测试、渗透测试和验证。 第五条 本规范遵照国家相关政策法规和条例,结合各种信息化项目建设的 具体情况,依据各种标准、规范以及安全管理规定而制定。 第二章 项目建设安全管理的总体要求 第六条 项目建设安全管理目标 一个项目的生命周期包括:项目申报、项目审批和立项、项目实施、项目验 收和投产;从项目建设的角度来看,这些生命周期的阶段则包括以下子阶段: 需 求分析、总体方案设计、概要设计、详细设计、系统实施、系统测试和试运行, 如下表所小。 项目宣迥命周期 项目申报 需求分析 总体方案设计 项目审批和立项 项目炙施 概蔓设计、详细设计、系统实施 项目验收和投产 系统测试、试运行和投产 项目建设安全管理的目标就是保证整个项目管理和建设过程中系统的安全。 为了 达到这个目标,信息安全(INFOSEC必须融合在项目管理和项目建设过程中, 与公司的业务需求、环境要求、项目计划、成本效益以及国家和地方的政策、标 准、指令相一致。这种融合应该产生一个计算机系统安全工程(ISSE)项目,它 要确认、评估、并且消除或控制住系统对已知或假定的威胁的脆弱点, 最终得到 一个可以接受水平■的安全风险。 计算机系统安全工程(ISSB并不意味着存在一个单独独立的过程。它支持 项目管理和建设过程,而且是后者不可分割的一部分。第三章到第六章将以项目 管理过程为主轴,并结合项目建设过程,规定了在每个阶段中应达到哪些计算机 系统安全工程要求。 第七条 项目建设安全管理原则 信息系统项目建设安全管理应遵循如下原则: 1) 等级 2) 全生命周期安全管理:信息安全管理必须贯穿信息化项目建设的整个生命 周期; 3) 成本-效益分析:进行信息安全建设和管理应考虑投入产出比; 4) 明确职责:每个参与项目建设和项目管理的人员都应该明确安全职责, 应 进行安全意识和职责培训,并落实到位; 5) 管理公开:应保证每个项目参与人员都知晓和理解安

文档评论(0)

wuchunjia1 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档