金融服务公司信息化项目建设安全管理的总体要求.docxVIP

金融服务公司信息化项目建设安全管理的总体要求 第六条 项目建设安全管理目标 一个项目的生命周期包括：项目申报、项目审批和立项、项目实施、项目验收和投产；从项目建设的角度来看，这些生命周期的阶段则包括以下子阶段：需求分析、总体方案设计、概要设计、详细设计、系统实施、系统测试和试运行，如下表所示。 项目建设安全管理的目标就是保证整个项目管理和建设过程中系统的安全。为了达到这个目标，信息安全（INFOSEC）必须融合在项目管理和项目建设过程中，与公司的业务需求、环境要求、项目计划、成本效益以及国家和地方的政策、标准、指令相一致。这种融合应该产生一个计算机系统安全工程（ISSE）项目，它要确认、评估、并且消除或控制住系统对已知或假定的威胁的脆弱点，最终得到一个可以接受水平的安全风险。 计算机系统安全工程（ISSE）并不意味着存在一个单独独立的过程。它支持项目管理和建设过程，而且是后者不可分割的一部分。第三章到第六章将以项目管理过程为主轴，并结合项目建设过程，规定了在每个阶段中应达到哪些计算机系统安全工程要求。 第七条 项目建设安全管理原则 信息系统项目建设安全管理应遵循如下原则： 1)等级 2)全生命周期安全管理：信息安全管理必须贯穿信息化项目建设的整个生命周期； 3)成本-效益分析：进行信息安全建设和管理应考虑投入产出比； 4)明确职责：每个参与项目建设和项目管理的人员都应该明确安全职责，应进行安全意识和职责培训，并落实到位； 5)管理公开：应保证每个项目参与人员都知晓和理解安全管理的模式和方法； 6)科学制衡：进行适当的职责分离，保证没有人可以单独完成一项业务活动，以避免出现相应的安全问题； 7)最小特权：人员对项目资产的访问权限制到最低限度，即仅赋予其执行授权任务所必需的权限。 第八条 项目建设安全管理要求 项目安全管理工作应强化责任机制、规管理程序，在项目的申报、审批、立项、实施、验收等关键环节中，必须依照规定的职能行使职权，并在规定的时限完成各个环节的安全管理行为，否则应承担相应的行政责任。